windows 2000 server todo

Windows 2000 Server

1. Visión general de Windows 2000 2. Introducción a los servicios de directorio 3. Planificación del espacio de nombres y de los dominios 4. Instalación de Windows 2000 Server 5. Configuración de las instalaciones nuevas de Windows 2000 Server 6. Actualización a Windows 2000 7. Sistemas de almacenamiento 8. Active Directory, Instalación 9. Active Directory, Configuración

10. Active Directory, Administración 11. Gestión de Usuarios 12. Gestión de Grupos 13. Gestión de Directivas de Grupo 14. Operaciones cotidianas 15. Instalación y gestión de Impresoras

file:///D|/downloads/W2000%20server/index.htm (1 of 2) [27/12/2002 20:55:25]

Windows 2000 Server

16. Cómo implantar la administración de discos 17. Planificación de la seguridad 18. Interoperatividad con Novell NetWare y con UNIX 19. Uso de los servicios para Macintosh 20. Implantación de Servicios de Terminal Server 21. Control del rendimiento y ajustes 22. Copia de seguridad 23. El Registro de Windows 2000 24. Consola de Recuperación

file:///D|/downloads/W2000%20server/index.htm (2 of 2) [27/12/2002 20:55:25]

Capítulo 1

Capítulo 1

Microsoft Windows 2000 constituye un gran avance en las áreas de administración de redes, soporte de hardware, acceso a Internet y demás. Sin embargo, eso no quiere decir que no existan limitaciones. Windows 2000 tiene que funcionar tanto en el presente como en el futuro, y la necesidad de una compatibilidad con lo anterior conlleva unos compromisos que, aún siendo esenciales, no son probablemente lo que se podría esperar.

Sin embargo, los cambios positivos son varios. Windows 2000 es, con certeza, más fiable, más sencillo de administrar (una vez que nos hemos habituado a los cambios) y más rápido que Microsoft Windows NT. Microsoft Windows 2000 Server, llamado también Microsoft Windows 2000 Server Standard Edition, es el sucesor de Microsoft Windows NT 4. Basado en el Active Directory, incluye seguridad Kerberos e infraestructura de clave pública (PKI, Public-Key Infraestructure), Servicios de terminal (Terminal Services), COM+, Servicios de componente (Component Services), Servicios de información de Internet (Internet Information Services), Servicio de índices (Indexing Services) y Colas de mensajes (Message Queuing). También soporta hasta 4 Gb de memoria física y hasta 4 vías de multiprocesamiento simétrico (SMP, Symmetric Multiprocesing).

Microsoft Windows 2000 Advanced Server es el sucesor de Microsoft Windows NT 4 Enterprise Edition. Tiene todas las características de Windows 2000 Server además de equilibrado de la carga de la red, agrupamiento de aplicaciones con gestión de fallos mejorado, hasta 8 Gb de memoria física y SMP de 8 vías. Microsoft Windows Datacenter Server tendrá las características del Advanced Server además de SMP de 32 vías, hasta 64 Gb de memoria física y agrupamiento aún más avanzado.

Implantación conjunta de las funciones de servidor y de estación de trabajo

La implantación conjunta de Windows 2000 Professional y Windows 2000 Server proporcionará beneficios excepcionales por medio de las tecnologías de administración nula de Windows (ZAW, Zero Administration for Windows). Estas tecnologías almacenan de forma inteligente los datos, aplicaciones, archivos de sistema y configuraciones administrativas de los usuarios de los escritorios basados en Windows 2000 Professional en los servidores que ejecutan Windows 2000 Server.

Por ejemplo, IntelliMirror es un servicio de réplica distribuido y altamente configurable que permite a clientes y servidores compartir la información del sistema de archivos local o distribuido y hacer espejos de este sistema. El Servicio de inicio remoto de IntelliMirror proporciona un mecanismo para que cualquier computadora cliente autorizada cargue todo o parte de una instalación desde un servidor remoto, incluyendo una versión completamente configurada del sistema operativo, aplicaciones e

file:///D|/downloads/W2000%20server/Capitulo1.htm (1 of 45) [27/12/2002 20:55:32]

Capítulo 1

información especifica del sitio.

Con ZAW, una aplicación asignada a un usuario, simplemente aparece en su menú Inicio y se instala la primera vez que pulsa sobre ella. Si la aplicación no se requiere inmediatamente, el administrador puede publicarla de forma que aparezca como una opción en Agregar o quitar programas para que el usuario la instale cuando la necesite. Cuando se encuentre disponible una actualización para una aplicación, se aplica automáticamente la siguiente vez que el usuario ejecuta la aplicación.

Los documentos y la configuración personal del usuario pueden almacenarse, o duplicarse, en un servidor gestionado por un administrador. Esto proporciona:

● Acceso mejorado: Los usuarios pueden conectarse a cualquier PC en la red; todos sus documentos y configuraciones personales aparecerán en cualquier computadora que utilicen.

● Disponibilidad incrementada: La información duplicada en el servidor también reside en la máquina local, de forma que está disponible incluso cuando los usuarios no están conectados a la red. Cuando un usuario se vuelve a conectar, la información del servidor se sincroniza con la nueva información local. Como la información de los usuarios de computadoras portátiles se sincroniza con el servidor cada vez que una computadora portátil se conecta a la red, los administradores de la red pueden hacer una copia de seguridad de la información de los usuarios móviles incluso cuando las computadoras portátiles no están conectadas.

● Mejor protección: Todos los archivos residen en el servidor, de forma que se pueden hacer copias de seguridad como parte de los procedimientos de copia y restauración normales y centralizados.

Mientras que los sistemas operativos de máquinas que ejecutan Windows 95/98, Macintosh y UNIX se pueden conectar como clientes de Windows 2000 Server, la totalidad de las mejoras sólo está disponible para la combinación de Windows 2000 Server y Windows 2000 Professional instalados conjuntamente. Sin embargo, se puede ganar bastante con actualizaciones graduales o parciales. Se pueden obtener beneficios simplemente actualizando un único servidor a Windows 2000 Server.

Primero se debe actualizar el controlador primario de dominio (PDC, Primary Domain Controller) a Windows 2000. Si se añade un controlador de Windows 2000 o se actualiza cualquier otro controlador que no sea el PDC en un dominio Windows NT existente, se creará un nuevo dominio Windows 2000 que se parece al dominio existente, pero no es el mismo dominio.

Aunque se puede utilizar Windows 2000 en un entorno Windows NT 4 más o menos de forma indefinida, no se obtendrán muchas de las ventajas reales implícitas en Windows 2000 hasta que se realice el compromiso con un entorno Windows 2000.

Gestión de la Red


Capítulo 1

Hay que admitir que la suerte de un administrador de red no es siempre favorable, particularmente cuando se enfrenta a grandes cambios que pueden tener un impacto negativo en el presupuesto departamental. No hay ninguna duda de que cualquier mejora tiene su lado negativo. Existe el coste (en tiempo) del aprendizaje de las nuevas tecnologías y su puesta en práctica. Aparece entonces el coste (económico) de las inevitables actualizaciones de hardware y software necesarias para implantar Windows 2000 Server y Windows 2000 Professional conjuntamente para cosechar los beneficios tecnológicos, algunos de los cuales no serán evidentes de forma inmediata.

En el caso de Windows 2000, los esfuerzos serán recompensados con fiabilidad, dimensionabilidad y seguridad incrementadas, además de las herramientas administrativas para simplificar la gestión de grandes y complicadas redes.

Incluso los administradores de Windows NT experimentados (quizás especialmente esos administradores de Windows NT experimentados) deberían emplear bastante tiempo en aprender y practicar los nuevos conceptos de Windows 2000. La organización de la interfaz no será familiar, y una red de pruebas dedicada es esencial para cualquiera que vaya a vérselas con Active Directory por primera vez.

Interfaces de Administración

La consola de administración de Microsoft (MMC, Microsoft Management Console) incorpora herramientas administrativas mostradas como consolas. Estas herramientas, formadas por una o más aplicaciones, están construidas mediante módulos llamados complementos. Este diseño permite personalizar las herramientas de forma que se puedan delegar tareas administrativas específicas a usuarios o grupos. Almacenadas como archivos MMC, estas herramientas personalizadas se pueden enviar por correo electrónico, compartirse en una carpeta de red o publicarse en la Web. Por medio de la configuración de la política del sistema, se pueden asignar también archivos MMC a usuarios, grupos o computadoras. Una herramienta puede dimensionarse, integrarse a la perfección en el sistema operativo, reempaquetarse y personalizarse. De hecho, se puede hacer todo con estas herramientas, incluso añadir diseños y tapices de fondo personalizados.

● Consola Microsoft de Gestión (MMC). La Consola Microsoft de Gestión (MMC) ofrece a los administradores de sistema una consola común para ver las funciones de red y usar las herramientas administrativas. La MMC muestra consolas que albergan programas llamados complementos, que ofrecen las funcionalidades necesarias para administrar la red. La MMC rebaja el coste total de propiedad de los desktops. La delegación de tareas, el agrupamiento lógico de herramientas y procesos y la administración mediante un interfaz único permiten a los administradores de sistemas organizar mejor sus herramientas y tareas y simplificar la administración remota.

● Administración del Ordenador (complemento de la MMC): el complemento de


Capítulo 1

Administración del Ordenador es una herramienta de configuración de ordenadores que los administradores podrán usar para operar desde cualquier ordenador de la red y a distancia para detectar problemas y configurar otros ordenadores de la red. el complemento de Administración del Ordenador es una caja de herramientas remotas, una carpeta de Herramientas Administrativas. No sólo ofrece acceso a las herramientas básicas de Windows 2000 Server (ver eventos, crear comparticiones, administrar dispositivos, etc.), sino que además descubre dinámicamente que servicios y aplicaciones de servidor hay para administrar.

● Administración de Disco (complemento de la MMC): el complemento de Administración de Disco es la herramienta gráfica para administrar discos que sustituye al Administrador de Discos. Soporta particiones, drivers lógicos y volúmenes dinámicos, incluyendo además menús de asistentes acceso directo para simplificar la creación de volúmenes y la inicialización y actualización de discos. Esta herramienta permite a los administradores realizar tareas administrativas como la creación, extensión y copia espejo de volúmenes e incluso el añadido de discos, todo ello son necesidad de reiniciar el sistema o interrumpir el trabajo de los usuarios

● Administración de Servicio de Sistema (complemento de la MMC): Esta herramienta le permite detener, iniciar, pausar o desconectar los servicios de un ordenador local o remoto. Reemplaza la aplicación de Panel de Control de Servicios de las versiones anteriores a Windows 2000 Server. Esta funcionalidad permite al servicio SCM ocuparse de la mayoría de los problemas más comunes de los usuarios. Por ejemplo, cuando un servicio falle, lo reiniciará automáticamente, ejecutará un script .exe o incluso reiniciará el servidor.

● Asistente de Hardware y Administrador de Dispositivos (complemento de la MMC): El Asistente de Hardware es un complemento de la Consola Microsoft de Gestión que le permite configurar los dispositivos y recursos de su ordenador. Añadir hardware nuevo, desconectar o sacar un dispositivo o cambiar sus propiedades y resolver cualquier conflicto de hardware son sólo algunas de las operaciones que podrá llevar a cabo con el Asistente de Hardware.

● Políticas de Grupo: El interfaz de usuario para el desarrollo de aplicaciones, las opciones de políticas para ordenadores y usuarios y los scripts es un complemento de la MMC llamado Políticas de Grupo (GP). Este complemento es el responsable de administrar la configuración de las políticas de grupo aplicadas a un sitio, dominio o Unidad Organizativa dado. La administración basada en políticas automatizará tareas como las actualizaciones del sistema operativo, la instalación de aplicaciones o el bloqueo del sistema desktop y los perfiles de usuario.

● Windows Scripting Host (WSH): Windows 2000 Server soporta la ejecución directa de scripts desde el interfaz de usuario o la ventana de comandos. Este soporte se realiza a través del Windows Scripting Host (WSH), una herramienta extremadamente flexible con soporte integrado para los scripts Visual Basic y Java y una arquitectura independiente de lenguaje. Windows Scripting Host permite a administradores y usuarios ahorrar tiempo automatizando muchas de las acciones del interfaz de usuario, como la creación de accesos directos, la conexión o desconexión


Capítulo 1

a un servidor de red, etc. ● Programador de Tareas: El Programador de Tareas ofrece un interfaz de usuario muy cómodo

para programar una agenda de aplicaciones. Este interfaz es en mismo que el de Windows 95, con la salvedad de que incluye funcionalidades de seguridad adicionales. Con el Programador de Tareas es posible invocar cualquier script, programa o documento puente cualquier momento o con el intervalo que se desee, desde una vez al día a anualmente, y en eventos como la reinicialización del sistema, la conexión del usuario o los tiempos de inactividad del sistema.

Administración nula

El propósito de Windows 2000 es proporcionar clientes y servidores «intocables». En otras palabras, una vez que se configuran los clientes y servidores, el hardware, el software y los cambios de los usuarios se gestionan automáticamente, utilizando reglas y perfiles para determinar lo que pasa. Los administradores pueden controlar las reglas para una red completa desde una única localización central. Aunque ZAW no está completamente desarrollado en Windows 2000, se han realizado muchos progresos en esa dirección. La siguiente tabla resume algunas de las tareas de administración de red centralizada disponibles en Windows 2000.

Las tareas de administración centralizadas en Windows 2000 Server son:

● Administración de los documentos del usuario: Duplica la información del usuario en la red y almacena en la caché la información de red localmente en el cliente. Para ello se utiliza Active Directory, Política de grupos, Archivos sin conexión, Administrador de sincronización, cuotas de disco y mejoras de la interfaz

● Administración de las configuraciones del usuario: Duplica las configuraciones del usuario en la red y aplica lo establecido de forma predeterminada por el administrador al entorno del usuario. Para ello se utiliza Active Directory, Política de grupos, Archivos sin conexión, perfiles de usuario móviles y mejoras de la interfaz.

● Instalación remota del SO: Instala el sistema operativo desde servidores de red. Para ello se utiliza Active Directory, Política de grupos, Servidor de instalación remota, estación de trabajo con instalación remota.

● Administración de los perfiles del usuario: Permite a los usuarios «navegar» entre computadoras dentro de la red corporativa. Para ello se utiliza Perfiles de usuario móviles, Política de grupos.

● Instalación de software: Proporciona instalación a tiempo de software (aplicaciones y actualizaciones del sistema operativo). Para ello se utiliza Active Directory, Política de grupos, Instalación de Windows, Instalación de software, Agregar o quitar programas, Panel de control y mejoras de la interfaz.

● Instalación Remota del Sistema Operativo: Usando la tecnología de inicio remoto basado en estándares (PXE), un PC podrá conectarse automáticamente a un Windows 2000 Server e instalar Windows 2000 Professional. El servicio de instalación remota del sistema operativo puede ser usado para configurar un nuevo ordenador, actualizarse a Windows 2000 Server o reformatear y reinstalar el sistema operativo en un ordenador ya existente.


Capítulo 1

● Administración de Datos del Usuario: Los usuarios podrán moverse por cualquier PC Windows 2000 Professional de la red corporativa y tendrán acceso a sus datos, aplicaciones y preferencias informáticas. Podrán además usar los recursos de la red sin conexión, sincronizandose automáticamente al reestablecerse ésta. Los datos del usuario están siempre disponibles, y la vista del usuario del entorno informático es homogénea, tanto si el ordenador cliente está conectado como si no. Además, se evita la pérdida o el daño de los datos de usuario en caso de error del ordenador local.

● Mantenimiento e Instalación de Software: Los administradores pueden definir un conjunto de aplicaciones para que esté siempre a disposición del usuario o grupo de usuarios. Si una aplicación en concreto no lo estuviera, sería instalada automáticamente en cuanto fuera necesaria. También soporta la autoreapración, actualización y eliminación de aplicaciones.Los administradores IT pueden implementar y mantener las aplicaciones de cualquier usuario o grupo de usuarios en un par de pasos, sin intervención de usuario y sin tener que acudir a su desktop.

● Administración de Configuraciones de Usuario: El control y la administración centralizada de los ordenadores desktop permite bloquear las configuraciones desktop. Con la tecnología de administración IntelliMirror, las configuraciones del usuario pueden ser copiadas en una imagen espejo en la red, de forma que los administradores puedan definir los entornos específicos de usuarios y ordenadores.

Servicios de Terminal Server

Los servicios de Terminal Server permiten a las aplicaciones basadas en Windows ejecutarse en equipos que normalmente no pueden ejecutar grandes aplicaciones Windows. Todo el procesamiento de la aplicación y el almacenamiento de información tiene lugar en el servidor; la máquina cliente sólo necesita ser capaz de ejecutar un «cliente ligero», que requiere cantidades de memoria y espacio de almacenamiento de disco muy pequeños. (Bajo Windows 2000, un cliente puede ser tanto un cliente ligero como un cliente pesado, simultáneamente.) Esto permite a máquinas que hubieran requerido actualizaciones de hardware para poder ejecutar Windows 2000 tener acceso a aplicaciones que no hubieran estado disponibles de otro modo. Mediante el uso de un complemento de terceros, incluso máquinas DOS, UNIX y Macintosh pueden ser clientes.

Con los Servicios de Terminal Server, los usuarios se conectan y ven únicamente su propia sesión, la cual es completamente independiente de cualquier otra sesión cliente. La aplicación opera en el servidor, y todo el proceso es trasparente al usuario. Instalando los Servicios de Terminal se obtiene:

● Soporte de Clientes Múltiples: Ofrece el GUI Windows a los usuarios de Terminales Windows y desktops heredados, incluyendo Win16, Macintosh y UNIX, así como desktops de interfaz de programación de aplicaciones Win32. Los clientes podrán usar su hardware heredado.

● Soporte de Desconexión en Itinerancia: Soporta la opción de desconectarse de una sesión sin salir del sistema. Los usuarios podrán dejar una sesión activa u operativa sin desconectarse, pudiendo retomarla desde otro ordenador o en otro momento.


Capítulo 1

● Soporte de Conexión Múltiple: Soporta varias sesiones de conexión simultanea desde desktops diferentes. Los usuarios podrán conectarse a varios Terminal Servers o a uno solo varias veces para realizar diferentes tareas o para operar con varias sesiones en un solo desktop.

● Soporte del Sistema de Archivo Distribuido: Soporta la conexión a una compartición Dfs. Los usuarios podrán albergar comparticiones Dfs de un Terminal Server.

● Administración de los Servicios de Terminal y Administración de Control Remoto: La herramienta de Administración de los Servicios de Terminal es usada para buscar y administrar Sesiones Terminal Server y usuarios y procesos de los Terminal Servers.Cualquier usuario de los Servicios de Terminal con privilegios administrativos y acceso a las utilidades de gestión del Terminal Server podrá administrar de forma remota el Terminal Server. Entre otras funciones, esta utilidad puede:

❍ Desconectarse de una sesión ❍ Enviar un mensaje a una Sesión o usuario ❍ Restaurar una Sesión ❍ Mostrar el estado de conexión de una Sesión ❍ Mostrar la información del cliente de la Sesión ❍ Mostrar los procesos del sistema y del usuario ❍ Finalizar un proceso

● Configuración de los Servicios de Terminal: Crea, modifica y borra sesiones y configuraciones de sesión en su Terminal Server. Entre otras funciones, esta utilidad puede:

❍ Configurar una nueva conexión ❍ Administrar permisos para conectarse ❍ Añadir usuarios y grupos a las listas de permisos ❍ Controlar la configuración de las pausas de inactividad y de las desconexiones

● Integración con el Monitor de Rendimiento de Windows 2000 Server: Permite al administrador de sistemas mantener un seguimiento fácil del rendimiento del sistema Terminal Server. Usando el Monitor de Rendimiento con los Servicios de Terminal, los administradores de red pueden:

❍ Seguir el uso del procesador por sesiones de usuario ❍ Seguir la localización de memoria por sesiones de usuario ❍ Seguir el uso e intercambio de memoria compaginada por sesiones de usuario

● Pausa de Inactividad Configurable: Los administradores pueden configurar cuando desactivar una sesión por su inactividad. Esta funcionalidad permite una reducción de la carga del servidor.

● Niveles múltiples de Encriptación: Los administradores tendrán la opción de configurar la transmisión de datos entre el Terminal Server y los Clientes Terminal Server. Los administradores podrán encriptar parte de o todos los datos transmitidos entre el cliente y el servidor en tres niveles diferentes, dependiendo de sus necesidades de seguridad.

INTEROPERATIVIDAD


Capítulo 1

La red natural en un medio de una gran empresa es completamente heterogénea, de forma que la interoperabilidad entre sistemas operativos es fundamental. Para una interoperabilidad mejorada, Windows 2000:

● Se comunica de forma nativa con sistemas UNIX y NetWare, utilizando TCP/IP. ● Proporciona servicios para compartir archivos e impresoras con UNIX, NetWare, Macintosh e

IBM (esta última por medio de un Servidor SNA). ● Soporta software con Conectividad abierta de bases de datos (ODBC, Open Database

Connectivity), Servicios de colas de mensajes y Modelo de objetos de componentes (COM+, Component Object Model), de forma que las nuevas aplicaciones puedan interoperar con el software e información existentes.

Además, si se implanta el Active Directory, se pueden integrar múltiples espacios de nombres bajo varios sistemas operativos en un directorio unificado y fácilmente administrable.

SEGURIDAD DEL SISTEMA Y DE LA RED

La seguridad está disponible en Windows 2000 para cualquier configuración, desde un simple grupo de trabajo hasta sistemas servidores para empresas. El énfasis en la seguridad y el hecho de que los mecanismos de seguridad impregnen cada esquina de Windows 2000 no debería ser una sorpresa. La seguridad es una cuestión que se vuelve cada vez más crítica en prácticamente cualquier empresa. Intranets, extranets y acceso telefónico a redes, por no mencionar la eventual actuación incorrecta del usuario, son amenazas tanto para la información como para la infraestructura. Al mismo tiempo, un aparato de seguridad demasiado complejo pone a prueba la paciencia de administradores y usuarios por igual. Windows 2000 trata de resolver estas necesidades conflictivas con un sistema de seguridad fácil de administrar y transparente al usuario.

El Administrador Configuración de la seguridad es una herramienta integrada que permite a un administrador configurar en un único emplazamiento ajustes del registro sensibles a la seguridad, control de acceso en archivos y claves del registro. Esta información puede incorporarse en una plantilla de seguridad que se puede aplicar después a múltiples computadoras en una única operación.

Windows 2000 Server incluye soporte completo para el protocolo de seguridad del MIT Kerberos versión 5, proporcionando un único acceso a recursos empresariales basados en Windows 2000 Server. Kerberos reemplaza al Administrador de LAN de NT (NTLM, NT LAN Manager), utilizado en Windows NT 4 como principal protocolo de seguridad. Para proporcionar una integración sin complicaciones, Windows 2000 permite ambos métodos de autenticación -NTLM, cuando el cliente o el servidor ejecuta una versión anterior de Windows, y Kerberos, para servidores y clientes Windows 2000-. Además, el soporte para Capa de conectores seguros/Seguridad de la capa de transporte (SSL/TLS, Secure Socket Layer/Transport Layer Security) está incorporado para usuarios que se conecten a un servidor Web seguro.


Capítulo 1

Entre el resto de mejoras de seguridad se incluyen:

● Un servidor de certificados de clave pública basado en X.509 integrado con el Active Directory, que permite el uso de certificados de clave pública para la autenticación.

● Soporte para tarjetas inteligentes anti-manipulación para almacenar contraseñas, claves privadas, números de cuentas u otra información de seguridad.

● Seguridad del protocolo de Internet de Microsoft (IPSec, Internet Protocol Security), que gestiona la comunicación segura extremo a extremo. Una vez implementada IPSec, las comunicaciones son seguras de forma transparente; no es necesario el entrenamiento o la interacción del usuario.

Varias de las funciones de seguridad en Windows 2000 son innatas al Active Directory, y su implementación completa sólo está disponible cuando se utiliza el Active Directory. Además, algunas funciones de seguridad no se pueden llevar a cabo completamente en un entorno mixto de dominios de servidor. Por ejemplo, Windows 2000 incluye soporte para la transitividad de la confianza, lo que significa que cuando un dominio Windows 2000 se une a un bosque de dominios Windows 2000, se establece automáticamente una relación de confianza transitiva de dos direcciones. No se requiere ninguna tarea administrativa para establecer esta relación de confianza. Sin embargo, para establecer una relación de confianza entre un dominio Windows 2000 y un dominio Windows NT es necesario hacerlo explícitamente.

● CHAP, MS-CHAP, PAP: El Challenge Handshake Authentication Protocol es un estándar IETF usado comúnmente para la autentificación de usuarios a través de conexiones PPP.El Microsoft CHAP es una variación del CHAP usado para autentificar usuarios contra un Módulo de Acceso de Seguridad (SAM) Windows 2000 Server, e incluye soporte para cambios de contraseñas. MS-CHAP ofrece una encriptación y un intercambio de claves transparente y automático.El Password Authentication Protocol ofrece autentificación de contraseña de texto limpio. Este protocolo es completamente soportado, pero no se recomienda su uso por cuestiones de seguridad. Los sistemas funcionan así sin necesidad de alteraciones con los protocolos de autentificación más frecuentemente usados por ISPs.

● Extensible Authentication Protocol (EAP): El EAP extiende los métodos de autentificación usados por el PPP. Usando APIs EAP, los ISVs pueden ofrecer nuevos módulos de autentificación para tarjetas inteligentes, hardware biométrico, etc. Permite añadir servicios de autentificación más potentes a las conexiones VPN y de marcación telefónica, para aumentar así la seguridad en la conexión.

● Soporte de Tarjetas Inteligentes (EAP-TLS): El módulo EAP integrado soporta la autentificación de certificados de clave pública basada en tarjetas inteligentes para conexiones VPN y de marcación telefónica. Funciona con cualquier tarjeta inteligente certificada para Windows. Funciona sin necesidad de alteraciones con la mayoría de las tarjetas inteligentes para simplificar la integración de servicios de autentificación más potentes.


Capítulo 1

● Servicios de Encriptación RC4: Dispondrá de soporte integrado para la encriptación RC4 de 40 y 128 bits para conexiones VPN y de marcación telefónica mediante la Microsoft Point to Point Encryption. La generación inicial de claves y la actualización no requieren la intervención del usuario. Permite a los usuarios poder elegir una opción de encriptación fuerte sin el gasto y los esfuerzos asociados a una infraestructura de clave pública.

● Cliente RADIUS— RFC 2138: Ahora, un servidor de PC operando con Windows 2000 Server pueden actuar como cliente RADIUS de un servidor RADIUS, ofreciendo opciones adicionales de autentificación- El RADIUS (Remote Authentication Dial-In User Service) es el protocolo de contabilidad y autentificación de marcación telefónica usado por los proveedores de servicios de Internet. Ofrece una opción para autentificar a los usuarios contra una base de datos de usuarios externos con Windows.

● Servidor RADIUS: Internet Authentication Server es un completo RADIUS. Soporta la autentificación y contabilidad RADIUS, almacena la información en el Directorio Activo o en una base de datos local del servidor IAS. Ofrece un interfaz de usuario gráfico muy intuitivo para la mayoría de los atributos necesarios, además de un tabulador de input para todos los atributos de cada fabricante. Además, emplea los mecanismos de Acceso de Usuario Basado en Políticas (políticas y perfiles). Permite mantener las cuentas de usuario de forma centralizada dentro del Directorio Activo, a la vez que permite a los sistemas no Windows 2000 Server autentificarse contra Windows 2000 Server.

● Filtrado de paquetes IP: El servicio de enrutamiento soporta una amplia variedad de funcionalidades de filtrado de paquetes de entrada y salida, una importante medida de la seguridad del sistema que incluye: puerto TCP, puerto UDP, ID de protocolo IP, tipo ICMP, código ICMP, dirección fuente y destino, etc. Ofrece un método básico para bloquear la entrada a la red de cierto tipo de tráfico, mejorando la seguridad de la red.

● Filtrado de paquetes IPX: El servicio de enrutamiento soporta un nivel similar de filtrado de paquetes para paquetes IPX. Entre las diversas opciones destacan la dirección fuente y destino, el nodo fuente y destino, el enchufe fuente y destino y el tipo de paquete. Ofrece un método básico para bloquear el tráfico NetWare de porciones de una red.

● Set de Herramientas de Configuración de la Seguridad: El Set de Herramientas de Configuración de la Seguridad ofrece una herramienta inmediata de análisis y configuración de la seguridad para Windows 2000 Server. Permite configurar varios parámetros de seguridad, acceder a los controles sobre las claves de registro y archivo y la configuración de la seguridad de los servicios de sistema. El Administrador de Configuraciones de Seguridad es una tecnología "definir una vez, aplicar infinitas veces" que permite a los administradores de redes definir las configuraciones de seguridad como si fueran una plantilla, para luego aplicarlas a los ordenadores designados al efecto con una sola operación.


Capítulo 1

● Autentificación Kerberos: El protocolo de autentificación Kerberos Versión 5 reemplaza a NTLM como protocolo de seguridad primario para acceder a los recursos en uno o varios dominios Windows 2000 Server. El soporte completo de la versión 5 de Kerberos permite una conexión única a Windows 2000 Server basada en los recursos empresariales y en el resto de entornos que soportan este protocolo.

● PPTP/L2TP: El PPTP/L2TP ofrece soporte para VPNs, permitiendo a las empresas usar Internet como una VPN para asegurar y autentificar sus comunicaciones. Permite a los usuarios remotos conectarse a su empresa por Internet. De esta forma se sustituye el caro alquiler de líneas telefónicas por el uso de Internet.

● Servidor de Certificados de Clave Pública: El servidor de certificados de clave pública X.509 y la integración con el Directorio Activo permite el uso de certificados de clave pública para servicios de autentificación. Servidor de Certificados de Clave Pública integrado en Windows 2000 Server está orientado a organizaciones que deseen crear certificados de clave pública para sus usuarios sin depender de los servicios CA comerciales.

● Infraestructura de Tarjeta Inteligente: Las tarjetas inteligentes ofrecen un almacenamiento a prueba de errores de manipulación para proteger las claves privadas, los número de cuenta, las contraseñas y otros tipos de información personal. Las tarjetas inteligentes son un componente fundamental de la infraestructura de clave pública que Microsoft está integrando en la plataforma Windows porque mejoran las soluciones sólo de software (autentificación de clientes, conexión única, almacenamiento y administración de sistema seguros, etc.).

● Protocolo de Seguridad IP: El IPSEC soporta la encriptación e integridad de datos y la autentificación a nivel de redes, integrándose con la seguridad inherente del sistema operativo Windows 2000 Server para ofrecer la plataforma ideal para asegurar las comunicaciones por intranets y por Internet. La Administración de Seguridad IP de Microsoft gobierna las comunicaciones seguras entre puntos finales. Una vez que el administrador implementa la seguridad IP de una empresa, las comunicaciones son aseguradas de forma transparente, sin necesidad de intervención por parte del usuario.

Nueva Funcionalidad

Descripción Beneficios

Windows 2000 Professional y Windows 2000 Server

Administración de direcciones y nomenclatura


Capítulo 1

DNS Dinámico El DNS Dinámico es un estándar IETF para la actualización dinámica de registros en servidores DNS, para reflejar los cambios y adiciones en los mapas dirección-a-nombre. Windows 2000 Server incluye una implementación de servidor de DNS Dinámico intergrada con DHCP y el Directorio Activo, así como soporte de DNS Dinámico para implementaciones no Windows 2000 Server.

El DNS Dinámico reduce los costes de administración de redes al elimina la necesidad de editar y replicar manualmente la base de datos DNS cada vez que se produzca un cambio en la configuración del cliente DNS. La integración con el Directorio Activo acaba con el requeremiento de mantener una infraestructura de replicación separada sólo para DNS. El soporte de los protocolos de actualización DNS de IETF permite la interoperatibilidad con los entornos DNS existentes y con las implementaciones de DNS dinámico de otros fabricantes.

DHCP con soporte de DNS Dinámico

El Dynamic Host Configuration Protocol (DHCP) permite rebajar el coste total de propiedad para redes IP, puesto que asigna dinámicamente direcciones IP a los PCs y resto de recursos conectados a una red IP. El servidor DHCP Windows 2000 Server se integra con el DNS Dinámico y el Directorio Activo para simplificar la administración de direcciones y reflejar

Se trata de una mejora significativa para ahorrar tiempo y dinero, en comparación con la asignación manual de direcciones IP utilizables.


Capítulo 1

dinámicamente las asignaciones de direcciones.

Servicio Localizador de Información (ILS)

ILS ofrece un registro dinámico para los servicios específicos de aplicaciones. El Marcador Telefónico Windows 2000 Server emplea el ILS para programar y localizar llamadas de conferencia de red.

Permite a usuarios y aplicaciones conectarse a servicios dinámicos cuando se necesita más de una dirección IP para la conexión.

WINS El Windows Internet Name Service ofrece una resolución nombre-a-dirección para peticiones de cliente NetBIOS.

Ofrece un modo Plug & Play para que los clientes Windows encuentren los servicios Windows en una red enrutada. Protege su inversión actual en clientes Windows, y permite la administración escalable de namespaces NetBIOS.

calidad de servicio (QoS)

Calidad de Servicio Diferenciada(diff-serve)

Permite a las aplicaciones multimedia o de misión crítica (SAP, correo electrónico, etc.) obtener de la red la calidad de servicio necesaria. Además, los administradores de red podrán gestionar el impacto de estas aplicaciones en los recursos de red. Interopera con RSVP.

Permite a tipos específicos de aplicaciones obtener un mejor servicio en las conexiones de red y por las porciones diff-serve de las redes corporativas internas.


Capítulo 1

Servicio de Control de Admisión

Los administradores pueden controlar la cantidad de ancho de banda que cada aplicación se reserva según políticas configuradas en el Directorio Activo.

Las redes con el ACS implementado pueden evitar su invasión por vídeo de gran ancho de banda de larga duración. Los recursos de red pueden ser asignados así a aplicaciones de gran valor, como las de telefonía IP, por ejemplo.

LANs Priorizadas IEEE 802.1p

Permite la Priorización del tráfico LAN. Windows 2000 Server ha integrado soporte QoS para permitir al tráfico de red por LANs 802.1p obtener servicios priorizados. Este soporte está integrado con el Servicio de Control de Admisiones, el RSVP y los Servicios Diferenciados.

Permite un mejor servicio de redes para aquellas aplicaciones que no pueden tolerar la pérdida o el retraso en la transmisión de paquetes (aplicaciones de audio, de misión crítica, etc.)

RSVP Permite a las aplicaciones (principalmente a las multimedia) obtener la calidad de acceso que necesitan de la red. Permite además a los administradores de red gestionar el impacto de estas aplicaciones sobre los recursos de red. Interopera con diff-serv.

Mejora el rendimiento de las aplicaciones de latencia y sensibles al ancho de banda en redes locales (por ejemplo, aplicaciones de difusión multimedia continua de audio o vídeo).

SOPORTE DE HARDWARE

Windows 2000 incluye cientos de nuevos controladores de impresoras, módem y demás hardware, haciendo la instalación y configuración del hardware más eficiente. La fusión de los equipos de


Capítulo 1

desarrollo y prueba de Windows NT con los de Windows 98 abrió el mundo de los dispositivos soportados por Windows 98. Por consiguiente, Windows 2000 soporta tipos de dispositivos que resultan difíciles de utilizar en Windows NT. Un controlador de puerto paralelo bidireccional permite a Windows 2000 comunicarse con muchos más escáneres, impresoras y dispositivos multioffice.

La conexión y uso inmediatos (PnP, Plug and Play) ha llegado finalmente con Windows 2000, lo que es una buena noticia especialmente para los usuarios de portátiles. Sin embargo, muchos portátiles antiguos necesitarán una actualización de la flash BIOS o software complementario para aprovechar la gestión de energía de Windows 2000.

A la vez que añade soporte para mucho hardware nuevo, Windows 2000 conserva la compatibilidad con los controladores de vídeo de Windows NT 4. La trampa está en que al utilizar estos controladores de vídeo se desactivan las funciones de gestión de energía en Windows 2000, aunque el resto de controladores de Windows NT 4 debería funcionar. Microsoft está animando a los distribuidores de tarjetas de vídeo a escribir nuevos controladores para Windows 2000 y, al final, todos los controladores nativos de Windows NT 4 se actualizarán.

DISPONIBILIDAD Y FIABILIDAD

Si se ha trabajado antes con Windows NT Server, se habrá observado sin duda que prácticamente cualquier modificación en la configuración requiere el reinicio. Cada vez que se instala un escáner o un controlador de red o se cambia cualquier otro parámetro de la configuración, es necesario reiniciar.

Se han eliminado aproximadamente cincuenta, y ahora sólo es necesario reiniciar tras instalar un Service Pack, actualizar un controlador de dominio, cambiar las fuentes del sistema, cambiar la ubicación predeterminada del sistema o al añadir o eliminar puertos COM (cuando es necesario hacer cambios en los puentes). Además, las nuevas herramientas para controlar la salud del sistema pueden jugar un papel decisivo a la hora de mantener activos y en funcionamiento los servidores un alto porcentaje del tiempo.

Windows 2000 Advanced Server (el sustituto de Windows NT Enterprise Edition) permite conectar dos servidores en un agrupamiento (cluster) de hasta 64 procesadores, de forma que los recursos del servidor estén más disponibles y sean más fáciles de administrar. Este agrupamiento controla la salud de las aplicaciones estándar y de los servidores, y puede prevenir de forma automática a la información y a las aplicaciones críticas de muchos tipos de errores, normalmente en menos de un minuto.

ACTIVE DIRECTORY

Un servicio de directorio es una herramienta que conecta los directorios a lo largo de la red y actúa como una gran guía telefónica para todos los usuarios. Por medio de una consulta en lenguaje natural, un usuario puede obtener un listado de recursos disponibles. Los servicios de directorio en Windows NT 4 proporcionan funciones importantes en forma de un inicio de sesión único y un único punto de administración y réplica. Aunque éstas son críticas, los servicios de directorio de Windows NT 4 no las


Capítulo 1

equilibran suficientemente bien. El Active Directory es la siguiente generación de servicios de directorio de Microsoft y ofrece grandes ventajas en dimensionabilidad, ampliación y seguridad, a la vez que proporciona una vista jerárquica del directorio y réplica multimaestro.

Active Directory combina los estándares de denominación X.500, el Sistema de nombres de dominio (DNS, Domain Name System) de Internet como dispositivo de localización y el Protocolo de acceso ligero a directorios (LDAP, Lightweight Directory Access Protocol) como protocolo principal. El Active Directory permite un único punto de administración para todos los recursos, incluyendo usuarios, archivos, dispositivos periféricos, conexiones al anfitrión (host), bases de datos, accesos a la Web, servicios y recursos de red. Soporta un espacio de nombres jerárquico para usuarios, grupos e información de cuentas de la máquina y puede englobar otros directorios para reducir la carga administrativa y los costes asociados al mantenimiento de múltiples espacios de nombres.

La migración al Active Directory no es muy complicada, pero la planificación del diseño de los nuevos directorios puede ser pesada. Los errores de diseño pueden perjudicar a la estabilidad y eficiencia de la red. Afortunadamente, no es necesario deshacerse de los dominios existentes para aprovechar las ventajas del Active Directory, y la migración puede realizarse de forma gradual. Los servidores se pueden actualizar de Windows NT 4 a Windows 2000 sin que los usuarios se den cuenta de los cambios.

● Lightweight Directory Access Protocol (LDAP): El LDAP versión 2 y versión 3 es implementado para el acceso cliente. Permite la interoperatibilidad entre diferentes sistemas operativos y directorios.

● Nomenclatura Estándar: Tanto las aplicaciones como los usuarios se ven afectados por el formato de nombre usado en los servicios de directorio. Si cualquiera de ellos necesita encontrar o usar algo, deberá saber antes el nombre o alguna de sus propiedades para localizarlo. Hay varias formas comunes para los nombres de los directorios, definidos por estándares formales y de facto, y el Directorio Activo soporta muchos de estos formatos, incluyendo los Nombres de URL HTTP, las URLs LDAP y los Nombres X.500 y UNC. Este soporte extendido para formatos de nombre diversos permite a los usuarios emplear el formato con el que estén más familiarizados al acceder al Directorio Activo.

● Integrado en DNS: DNS es el servicio de directorio más usado en todo el mundo. Se trata del servicio de localización usado en Internet y en la mayoría de las intranets. Se emplea un servicio de localización para traducir un nombre (por ejemplo, MiMaquina.MiEmpresa.com) en una dirección TCP/IP. Dado que DNS ha sido diseñado para escalarse en grandes sistemas, a la vez que permanece lo suficientemente "ligero" como para ser usado en un sistema con pocos ordenadores, las organizaciones pueden estar seguras de que el servicio de directorio de Windows 2000 Server se escalará a la medida de sus necesidades específicas.

● Interfaz de Servicios de Directorio Activo (ADSI): ADSI integra todas las capacidades de los servicios de directorio de varios proveedores de redes para presentar un solo set de interfaces de


Capítulo 1

servicios de directorio para administrar los recursos de red. ADSI es un conjunto de interfaces de programación fáciles de usar y ampliar, diseñados para escribir aplicaciones que accedan y administren:

❍ El Directorio Activo ❍ Cualquier directorio LDAP ❍ Otros servicios de directorio de la red del cliente, incluyendo NDS

Esto simplifica notablemente el desarrollo de aplicaciones de directorio, así como la administración de sistemas distribuidos. Los desarrolladores y los administradores podrán usar este set único de interfaces de servicios de directorio para enumerar y administrar los recursos de un servicio de directorio, independientemente del entorno de red que contenga esos recursos.

● Esquema Extensible: El Directorio Activo ofrece a los desarrolladores y administradores la posibilidad de aumentar el esquema de directorio y crear nuevas propiedades y objetos. Los desarrolladores pueden usar esta funcionalidad de extensibilidad para crear sus propias estructuras de datos en el directorio para aplicaciones, usando así el directorio como almacén de datos. Es más, los usuarios de la red podrá publicar la información importante en el directorio, de forma que el resto de usuarios puedan encontrarla fácilmente.

● Catálogo Global: Otro nuevo concepto del Directorio Activo es el Catálogo Global (GC), que incluye todos los objetos de todos los dominios del directorio Windows 2000 Server, y un subconjunto de las propiedades de cada objeto. Diseñado para alcanzar un gran rendimiento, el GC permite a los usuarios encontrar con facilidad un objeto, independientemente de dónde se encuentre en el árbol, mientras realiza una búsqueda por atributos seleccionados.

● Replicación Multimaster: Con la replicación multimaster se pueden realizar cambios en cualquier controlador de dominios del dominio. El controlador de dominios replica luego los cambios en sus partners de replicación. El uso de esta funcionalidad permite conseguir una alta disponibilidad del directorio para cambios, incluso cuando un controlador de dominios independiente no esté disponible. Además, ofreciendo varias copias del directorio en diferentes servidores, el directorio Windows 2000 Server es capaz de escalarse para satisfacer las necesidades de la empresa.

● Compatibilidad Hacia Atrás: Windows 2000 Server soporta un entorno mixto de los controladores de dominio del Directorio Activo de Windows 2000 Server y los controladores de dominio de Windows NT Server 4.0. Los clientes de bajo nivel pensarán que están accediendo a los controladores de Windows NT Server 4.0. Esta compatibilidad hacia atrás permite a las empresas migrar sus controladores de dominio primero y luego sus clientes, o migrar una mezcla de servidores y clientes. No hay nunca un punto en el proceso de migración que requiera de una migración masiva a la nueva versión del sistema operativo en servidores o clientes, así como no es necesario desconectar un dominio entero para migrar los clientes o controladores de dominio.

ALMACENAMIENTO Y SOPORTE DE SISTEMAS DE ARCHIVOS


Capítulo 1

Se han producido grandes cambios en el área del almacenamiento y el soporte de sistemas de archivos, incluyendo una nueva versión de NTFS 5 que permite cuotas de disco para observar y limitar el uso del espacio de disco en volúmenes NTFS a la vez que se mejora drásticamente la seguridad. Los administradores pueden establecer cuotas de disco globales que impidan a los usuarios almacenar o copiar más información en un dispositivo de almacenamiento una vez que han alcanzado su cuota.

● Administración del Servicio de Archivo: El complemento de la MMC de Administración del Servicio de Archivo permite a los usuarios crear comparticiones y administrar las sesiones y conexiones en ordenadores locales y remotos. Sustituye una funcionalidad anterior de la aplicación Panel de Control del Sistema. Además de sus capacidades remotas, permite al usuario crear compaticiones para cualquier servicio de archivo instalable de Microsoft: Servicios de Archivo e Impresión para Macintosh, Servicios de Archivo e Impresión para NetWare, etc. Usada junto con el Sistema de Archivo Distribuido (dfs), esta herramienta puede emplearse para conectar juntas comparticiones en toda la empresa en un solo namespace lógico (es decir, los usuarios se conectan a un solo recurso para acceder a todos los recursos publicado en cualquier volumen Dfs). También puede ser usado con la Herramienta de Administración de Directorio para publicar una compartición como un Objeto de Volumen en el Directorio Activo, que los usuarios podrán rastrear fácil y rápidamente en busca de cualquier recurso disponible.

● Mejoras NTFS: Windows 2000 Server incluye una versión mejorada del sistema de archivo NTFS, con soporte para la encriptación de archivo, la posibilidad de añadir espacio de disco a un volumen NTFS sin tener que reiniciar, seguimiento de links distribuidos y cuotas de disco por usuario para controlar y limitar el uso del espacio de disco, así como otras mejoras de rendimiento.: Los descriptores de seguridad pueden ser almacenados una sola vez para luego ser usados en varios archivos, ahorrando así espacio de disco. El soporte nativo para propiedades como el flujo NTFS pemite realizar búsquedas más rápidas. Además, se puede evitar tener que descomprimir y recomprimir los datos de los archivos al transmitirlos por una red, reduciendo así el sobreuso de la CPU del servidor.

● Sistema de Archivos Encriptados: La Encriptación del Sistema de Archivo (NTFS) de Windows 2000 protege sus datos según un criterio de archivo o directorio. Se emplea una tecnología de encriptación de clave pública, operando como un servicio de sistema integrado fácil de administrar, difícil de atacar y transparente para el usuario. En versiones anteriores de Windows 2000 Server cualquiera con acceso físico al sistema podía sortear las funcionalidades de seguridad integradas en el sistema operativo usando una herramienta para leer las estructuras en el disco del sistema de archivo (NTFS) de Windows 2000 Server.

● Seguimiento de Links Distribuidos: Windows 2000 Server ofrece un Servicio de Seguimiento de Links Distribuidos para que las aplicaciones cliente puedan rastrear las fuentes de los enlaces modificados. El Seguimiento de Links Distribuidos ayuda a resolver los cortes y links OLE a los archivos NTFS que hayan sufrido un cambio de nombre o ruta.


Capítulo 1

● Cuotas de Disco: Windows 2000 Server y Windows 2000 Professional soportan las cotas de disco para volúmenes formateados por NTFS (volúmenes NTFS). Podrá usar las cuotas de disco para controlar y limitar el uso de espacio de disco. Podrá asignar una cuota a cada objeto de un disco, así como definir políticas y acciones que se ejecuten cuando se sobrepase un umbral de nivel predeterminado.

● Archivos Esparcidos: El soporte de archivos esparcidos permite a una aplicación crear grandes archivos sin tener que asignar espacio de disco a todos los bytes. Usando los archivos esparcidos, NTFS sólo localizará el espacio de disco físico a las porciones del archivo escritas.

● Servicios de Almacenamiento Remoto (RSS): Los RSS son una herramienta de administración de almacenamientos jerárquicos. Monitoriza de forma automática la cantidad de espacio disponible en un disco duro local, de forma que cuando el espacio libre del disco duro primario desciende por debajo del nivel necesario, los RSS eliminan datos locales copiados en el almacenamiento remoto, disponiendo así del espacio de disco libre necesario. Dado que los discos ópticos y las cintas de almacenamiento son menos caros (por MB) que los discos duros, éste puede ser el medio más económico de lograr la máxima capacidad de almacenamiento con un rendimiento local óptimo.

● Administrador de Almacenamiento no Fijo (RSM): El RSM presenta un interfaz común para librerías de medios y robots de cambios automáticos, permitiendo a varias aplicaciones compartir librerías locales y drives de disco y cintas, y controla los medios regrabables en un sistema de un solo servidor. La Administración de Disco ha sido mejorada en Windows 2000 Server para permitir a los administradores realizar tareas online sin tener que apagar el sistema o interrumpir la labor de sus usuarios.

● Utilidad de Copia de Seguridad NT: Seagate Software ofrece una actualización de Copia de Seguridad Windows 2000 Server basada en medios en lugar de en cintas, que incluye además un nuevo interfaz de usuario con asistentes de copias de seguridad y recuperación, hojas de propiedades y acceso al Vecindario de Red. La Utilidad de Copia de Seguridad Windows 2000 Server ayuda a proteger los datos de pérdidas accidentales por fallos de los medios de almacenamiento o el hardware. Con Windows 2000 Server, la utilidad puede hacer una copia de seguridad de los datos en una amplia gama de medios de almacenamiento (drives de cinta o de disco dura externo, discos zipeados, CD-ROMs regrabables, drives lógicos, etc.).

● Utilidad de Desfragmentación de Discos: Windows 2000 Server y Windows 2000 Professional soportan la posibilidad de desfragmentar volúmenes de disco, formateados como FAT, FAT32 y NTFS. Además de ser segura y compatible con todo tipo de discos, esta nueva utilidad de desfragmentación opera mientras el sistema está en marcha y los discos en uso.

● Sistema de Archivo Distribuido (Dfs): El Sistema de Archivo Distribuido (Dfs) de Microsoft implementa un solo namespace para recursos del sistema de archivo dispares en un mismo sitio.


Capítulo 1

Un Dfs está organizado como una estructura jerárquica de volúmenes lógicos independiente de la localización física del recurso en cuestión. El Dfs para Windows 2000 Server es un servicio de red que facilita a los administradores la tarea de gestionar servidores de archivos, y ofrece a las organizaciones una mayor disponibilidad en servidores de archivo y a los usuarios un vista única de todos los servidores de archivos de red mediante un solo árbol de directorios.

Nueva Funcionalidad


Integración con el Directorio Activo

Windows 2000 Server incluye un objeto de impresora estándar para el Directorio Activo. Usando este objeto, las organizaciones pueden publicar impresoras en el Directorio Activo para compartirlas por la red.

Los usuarios contarán con un método sencillo de búsqueda de impresoras en la red, mediante atributos (capacidades como PostScript, color, tamaño del papel, etc.) y localizaciones almacenadas en el Directorio Activo.

Protocolo de Impresión por Internet (IPP)

IPP es el último estándar de Internet para poder imprimi directamente en una URL, ver el estado de la impresora con un navegador e instalar drivers desde una URL.

Los usuarios podrán imprimir fácilmente sus documentos vía intranet o Internet. Por ejemplo, usted podrá mandar a imprimir su documento a www.colorprinter.kinkos.com/.


Capítulo 1

Impresión de Alta Disponibilidad

Las organizaciones pueden aprovechar los servicios de cluster de Windows 2000 Advanced Server y Windows 2000 Datacenter Server para construir servidores de impresión de mayor disponibilidad.

Los usuarios dispondrán del más alto nivel de disponibilidad del servidor de impresión.

Interfaz de Usuario Simplificado y Mejorado

Usando el nuevo soporte de Plug &Play, el asistente mejorado para añadir impresoras y la coniguración de dispositivos simplificada, los usuarios podrán preparar una impresora para su uso con Windows 2000 Server de una forma muy sencilla.

Estas funcionalidades convierten la instalación y configuración de una impresora para su uso desde el servidor y las estaciones de trabajo en una tarea sencilla; por ejemplo, los usuarios no tendrán que saber nada sobre drivers, lenguajes de impresoras o puertos, puesto que todo esto se les dará hecho.

Comunicaciones

La comunicación es el alma de los negocios, y no sólo las comunicaciones de red, tan importantes como son. Windows 2000 incluye docenas de mejoras para hacer que las comunicaciones sean más sencillas y fiables. Para las conexiones tanto dentro como fuera de una empresa, Windows 2000 ofrece las siguientes herramientas:

Por medio del soporte de Internet integrado en Windows 2000 Professional, los usuarios pueden enviar correo electrónico, mantener conversaciones y consultar grupos de noticias.


Capítulo 1

Windows 2000 proporciona soporte cliente para el estándar industrial red privada virtual (VPN, Virtual Private Network) por medio de dos protocolos: el Protocolo punto a punto canalizado (PPTP, Point-To-Point Tunneling Protocol) y el Protocolo canalizado de la capa dos (L2TP, Layer Two Tunneling Protocol). Estos protocolos permiten a los clientes o sucursales conectarse a otra red (como a su red corporativa) a través de Internet.

Windows 2000 Professional integra Microsoft Outlook Express, un cliente de correo electrónico basado en los estándares de Internet.

Los usuarios pueden enviar, recibir, controlar y administrar faxes directamente desde el escritorio. Hay disponibles diversas utilidades sencillas de utilizar desde el menú Inicio.

● Mejoras TCP/IP: El TCP/IP Microsoft ha sido actualizado en Windows 2000 Server para incluir diversas mejoras de rendimiento para redes en entornos LAN y WAN de gran ancho de banda. El amplio soporte Windows mejora el rendimiento del TCP/IP cuando grandes cantidades de datos permanecen "volando" o ignoradas largo tiempo en su camino entre dos host conectados.

● Servidor Telnet: Telnet emplea el protocolo TELNET, parte de la suite del protocolo TCP/IP, para conectarse a un ordenador remoto por la red. El Servidor Telnet actúa como puerta de comunicaciones para que todos los clientes se comuniquen entre si, pudiendo soportar hasta 63 de estos al mismo tiempo. El software de servidor Telnet permite a los clientes Telnet conectarse a un ordenador remoto, realizar la conexión a un ordenador, lanzar aplicaciones en modo carácter y modificar las preferencias de usuario.

● Seguridad IP (IPSec): El protocolo de Seguridad IP es un estándar propuesto por IETF para la encriptación del tráfico IP. Windows 2000 Server integra perfectamente IPSec con la administración de políticas de sistema para asegurar la encriptación entre sistemas (transparente para los usuarios). IPSec puede ser usado tanto para comunicaciones privadas y VPNs. Los usuarios pueden enviar comunicaciones administradas por políticas de grupo y aseguradas vía encriptación por cualquier red. Dado que IPSec está integrado en el sistema operativo, es más fácil de configurar y administrar que las soluciones add-on. Además, se encripta todo el tráfico, no sólo el que transcurre entre dispositivos de red como enrutadores o cajas de encriptación.

● Layer 2 Tunneling Protocol (L2TP): El Layer 2 Tunneling Protocol en una anteproyecto de especificación de IETF para el encapsulamiento y la transmisión de tráfico no IP por redes TCP/IP. Emplea IPSec para una encriptación opcional y soporta la asignación de direcciones IP dinámicas para una administración simplificada de las VPNs. Los usuarios pueden usar esté nuevo estándar para soportar protocolos IP o no IP (IPX, AppleTalk, etc.) a través de conexiones VPN basadas en IPSec.

● Point-to-Point Tunneling Protocol (PPTP): El Point-to-Point Tunneling Protocol en un protocolo de múltiples fabricantes ampliamente adoptado para crear soluciones de Redes Virtuales Privadas (VPNs). Como el L2TP, el PPTP ofrece servicio de túnel para soportar protocolos no TCP/IP. Emplea MPPE como sus servicios de encriptación, y es compatible con el viejo soporte de VPNs de versiones anteriores de Windows. Se trata pues de una excelente alternativa a IPSec y al L2TP para aquellas organizaciones que no deseen instalar y administrar una infraestructura de clave pública para VPNs. Los usuarios pueden usar una VPN sencilla de


Capítulo 1

secreto compartido para evitar los gastos asociados al mantenimiento de una infraestructura de clave pública. Podrán proteger además su inversión en el PPTP como solución VPN, puesto que ofrece una encriptación de software eficiente y es una opción apropiada para los procesadores 486 y los primeros Pentium

● H.323: H.323 es un estándar ITU para realizar llamadas multimedia por redes IP. Este protocolo es soportado como parte del sistema operativo Windows 2000 Server, y es accesible con los APIs de telefonía estándar. Las aplicaciones Windows que usen H.323 podrán interoperar con las aplicaciones y los servicios H.323 de otras plataformas.

● TCP/IP Mejorado: El Transmission Control Protocol/Internet Protocol es la suite de protocolos estándar de la Fuerza de Trabajo de Ingenieros de Internet (IETF) para transmitir el tráfico por Internet. La implementación del TCP/IP de Microsoft cumple los requerimientos para Hosts de Internet (RFC 1122 y RFC 1123), la especificación que enumera los requerimientos para implementaciones de sistema host de la suite de protocolo de Internet. El TCP/IP de Windows 2000 Server incluye soporte para redes de alta velocidad (RFC 1323) y soporte para Reconocimientos Selectivos (SACK) para un mejor rendimiento en redes sin cables o de IPS. Su soporte de TCP/IP estándar implica que Windows 2000 Server se conecta fácilmente a Internet e interopera con la más amplia gama posible de soluciones de redes de otros fabricantes.

● IPX/SPX: El Internet Packet Exchange/Sequenced Packet Exchange es el protocolo propietario heredado para Novell NetWare. El soporte IPX protege sus inversiones heredadas en redes NetWare, facilitando la integración de estos entornos con Windows 2000 Server.

● AppleTalk: El AppleTalk es el protocolo propietario heredado usado para las antiguas comunicaciones Apple Macintosh. Apple ya ha establecido el TCP/IP como su protocolo de redes preferido para los sistemas Macintosh, soportando la compartición de archivos vía Apple File Protocol a través del TCP/IP. Con Windows 2000 Server, los clientes pueden elegir entre mantener el AppleTalk o sustituirlo por el Apple File Protocol a través del TCP/IP. El soporte AppleTalk protege sus antiguas inversiones en sistemas Macintosh, dándole la opción de soportar viejos ordenadores Macintosh sin tener que cambiar el cliente. Los sistemas Macintosh más nuevos pueden usar el TCP/IP para reducir la complejidad de administración de varios protocolos de red para soportar clientes Macintosh.

● Point-to-Point Protocol (PPP): El Point-to-Point Protocol es un estándar IETF para conexiones de marcación telefónica multiprotocolo. El protocolo soporta la asignación dinámica de direcciones IP a sistemas remotos. El PPP permite a los sistemas Windows 2000 Server conectarse directamente a Internet o a otros servicios de marcación telefónica con módems y sin necesidad de añadir hardware nuevo.

Servicios de puerta de comunicaciones y protocolos de enrutamiento

● Traductor de Direcciones de Red (NAT): El Traductor de Direcciones de Red (NAT) administra internamente direcciones IP de redes externas, traduciendo una dirección interna privada a dirección externa pública. Reduce los costes de registro de direcciones IP al permitir a los usuarios eliminar el registro de direcciones IP internamente, con traducción a un reducido número de direcciones IP registradas externamente. Esconde además la estructura interna de la red, reduciendo el riesgo de ataques de servicio contra los sistemas internos.


Capítulo 1

● IGMP versión 2: El Internet Group Management Protocol es empleado para registrar clientes IP con sesiones de comunicaciones multidifusión. Windows 2000 Server soporta IGMP v2, lo que permite a las subredes emplear este sistema operativo para enrutamientos multidifusión. Permite a varios clientes compartir una sesión de multidifusión común, para mejorar así el rendimiento y reducir los costes en las redes de las delegaciones.

● RIP v2 (y v1) para IP: El Routing Information Protocol protocolo de enrutamiento de muy frecuente uso en redes de tamaño medio. Es relativamente fácil de usar, y ofrece un gran rendimiento. El servicio soporta las versiones 1 y 2 de RIP. Permite la interoperatibilidad con enrutadores RIP de otros fabricantes.

● OSPF: El Open Shortest Path First es el protocolo estándar de enrutamiento de estado de los links estándar de la IETF para enrutamientos IP. Es más sofisticado que RIP, ofreciendo una convergencia de algoritmos de enrutamiento más rápida. La implementación OSPF del servicio es resultado del esfuerzo de colaboración entre Microsoft y Bay Networks, un proveedor lider en sistemas de interconexiones de red. Permite la interoperatibilidad con enrutadores OSPF de otros fabricantes.

● Proxy DNS: El Proxy DNS dirige las peticiones de nombre DNS del ordenador cliente y por una red IP privada a un servidor DNS de Internet. Mejora la seguridad en la ocultación de redes a la vez que soporta la interoperatibilidad de los estándares IETF para resolución de nombres.

● DHCP Relay Agent: El servicio ofrece una función de relay agent para los servidores DHCP, de forma que las asignaciones DHCP puedan ser hechas a través de redes enrutadas, independientemente de si la conexión es vía LAN o WAN. Permite a clientes de diferentes redes obtener asignaciones de dirección IP de un servidor DHCP central.

● RIP y SAP para IPX: El Routing Information Protocol (RIP) y el Service Advertising Protocol (SAP) son dos protocolos de enrutamiento muy comunes en entornos Novell NetWare (IPX) de tamaño pequeño y mediano. El servicio soporta estos protocolos para hacer posible la ineroperatibilidad en entornos de red mixtos. Ofrece la posibilidad de enrutar tráfico IPX a la vez que se interopera con entornos NetWare heredados.

● Enrutamiento estático: El servicio sigue soportando el uso de asignaciones de enrutamiento fijas o estáticas. Los administradores podrán controlar la ruta que sigue el tráfico en una red enrutada.

Servicios VPN y acceso remoto

● Servicios de Acceso Remoto: Los Servicios de Acceso Remoto de Windows 2000 Server ofrecen un acceso VPN y de marcación telefónica integrado para individuos y delegaciones a través de IPSec, PPTP y/o L2TP. Esto permite contar con la flexibilidad de poder usar marcación telefónica directa, VPN de Internet o ambas para conectarse a sistemas remotos de la red. Las compañías pueden conectar fácilmente a gente fuera de la oficina a la red a la vez que controlan las políticas para reducir costes. Los protocolos múltiples permiten a los administradores optimizar los beneficios, mientras que su transparencia facilita la labor a los usuarios.

● Redes de Marcación Telefónica: Windows 2000 Server incluye el interfaz de redes de marcación telefónica habitual, que permite conectarse a redes corporativas directamente a través de conexiones VPN. Permite a los usuarios conectarse a un ISP para obtener acceso a Internet o marcar telefónicamente a su servidor Windows fácilmente mediante un solo interfaz.


Capítulo 1

Servicios de Internet

Con Windows 2000, cualquier cosa que se puede hacer en una red corporativa se puede realizar también en un entorno Web. Windows 2000 incorpora un conjunto de servicios que proporcionan soporte del lado del servidor para los protocolos de Internet para las aplicaciones más populares, permitiendo que un servidor Windows 2000 funcione como servidor Web, servidor FTP, host SMTP o host NNTP

En el sistema operativo Microsoft Windows NT 4, estos servicios se proporcionan como un componente opcional llamado Servidor de información de Internet (Internet Information Server). Para obtener un soporte completo para los servicios de Internet en un entorno Windows NT 4, los administradores deben instalar el Servidor de información de Internet instalando el Service Pack 3 para Windows NT 4 o superior y el Option Pack para Windows NT 4. En contraposición, los servicios básicos de Internet están integrados en las plataformas Windows 2000 Server y Windows 2000 Advanced Server. Estos servicios se denominan ahora Servicios de información de Internet 5 en lugar de Servidor de información de Internet.

Como los Servicios de información de Internet están completamente integrados en Windows 2000, se pueden hacer cosas como hospedar múltiples sitios Web en un único servidor Windows 2000 y una única dirección IP Además, cada sitio Web puede tener su propia base de datos de usuarios, lo que significa que pueden coexistir múltiples dominios de usuarios independientes en un único servidor.

● Configuración y Actualización Integradas: Internet Information Server se instala como un servicio de red de as Windows 2000 Server. Aquellos clientes con Windows NT Server 3.51 o 4.0 serán actualizados automáticamente a los servicios Web de Windows 2000 Server. También serán actualizados si están actualizando, como lo serán los usuarios de Windows 9x y PWS durante la actualización a Windows 2000 Professional desde Windows 9x. Facilita a los usuarios la tarea de aprovechar los nuevos servicios y funcionalidades de Windows 2000 Server y IIS.

● Contabilidad de Procesos: Ofrece información sobre cómo usan los sitios Web los recursos de la CPU del servidor. La Contabilidad de Procesos es habilitada y personalizada según un criterio por sitio. Los administradores de sistemas y los desarrolladores de aplicaciones pueden usar esta funcionalidad para conocer todos los datos disponibles sobre la utilización de la CPU.Los Proveedores de Servicio de Internet (ISPs) pueden usar esta información para determinar qué sitios están usando una cantidad desproporcionada de recursos de la CPU o contienen scripts o CGIs de funcionamiento erróneo. Los administradores IT pueden usar esta información para facturar el coste de albergar un sitio o una aplicación Web a la división apropiada dentro de la compañía.

● Potenciación de la CPU: Aprovechando los Objetos de tarea de Windows 2000 Server, los administradores pueden limitar el tiempo de proceso de la CPU que una aplicación o sitio Web podrá emplear en un periodo de tiempo dado. Las organizaciones operando con varios sitios Web


Capítulo 1

en un solo ordenador o con varias aplicaciones en el mismo ordenador (que hace las veces de servidor Web) pueden limitar el tiempo que las aplicaciones fuera de servicio de un sitio Web pueden usar el procesador. Esto asegura que siempre haya capacidad de proceso disponible para el resto de sitios Web y aplicaciones ajenas al entorno Web.

● Dominios de Usuario Múltiples: En el caso de albergar varios sitios Web en Windows 2000 Server, los administradores pueden ofrecer un namespace único para cada sitio. Permite a los ISPs albergar varios sitios Web en un solo servidor, a la vez que ofrecen dominios de usuario independientes para cada sitio. De esta forma, cada dominio de usuario puede ser administrado con un nivel de seguridad alto por el administrador de sitio asignado.

● Asistente de Certificados: La seguridad SSL es un requisito cada vez más común para los sitios Web que pretendan ofrecer capacidades de comercio electrónico y acceso a información empresarial confidencial . El nuevo Asistente SSL hace más sencilla la configuración de sitios Web preparados para SSL en Windows 2000 Server. Con el Asistente de Certificados, los administradores podrán configurar y mantener de manera sencilla la encriptación SSL y la autentificación de certificados cliente en un sitio Web Windows 2000 Server.

● Asistente de Permisos: El Asistente de Permisos acompaña a los administradores en las tareas de configuración de permisos y acceso autentificado en un sitio Web IIS. Facilita en gran medida la configuración y administración de sitios Web que requieren de un acceso autorizado a sus contenidos.

● Almohadilla de Tareas de la MMC: IIS saca el máximo partido a las capacidades de almohadilla de tareas de la Consola de Gestión Microsoft. Se presenta a los administradores una lista de tareas realizables en cada nodo u objeto de el complemento IIS. Por ejemplo, si un usuario ha seleccionado un servidor con el snap-.in de la MMC, la almohadilla de tareas mostrará los asistentes correspondientes para crear nuevos sitios Web y FTP. Convierte en increíblemente sencillo administrar un servidor IIS. Con sólo elegir las tareas que se desea ver completadas, los asistentes se encargarán de hacer el resto por usted.

● Scripts Administrativos de Línea de Comando Mejorados: IIS incluye scripts adicionales que pueden ser ejectados desde la línea de comando para automatizar las tareas de administración del servidor Web más comunes. Desde la línea de comando, los administradores pueden crear scripts personalizados con los que automatizar la administración de IIS.

● Distribuir por Protocolo HTTP: Sirve una difusión unicast vía HTTP a otro Windows 2000 Server y servidor multimedia. Facilita la difusión a través de firewalls sin tener que abrir puertos específicos en ellos.

● Autentificación de proxy distribuido: Si el usuario se enfrenta a un reto con el proxy, el servidor le ofrecerá la oportunidad de introducir su ID y contraseña. Con lo que se consigue seguridad


Capítulo 1

firewall.

● Reenvío UDP: Si se pierde algún paquete UDP , el servidor lo reenviará inmediatamente. Con lo que se consigue mejor calidad de multimedia al usar el protocolo UDP.

● Limitar las conexiones cliente por punto de publicación: Limita el número de clientes conectados a un punto de publicación. Con lo que se consigue mejor gestión de los servidores albergados para maximizar los clientes en un punto de publicación específico. Excelente para los escenarios de contabilidad.

● Limitar el ancho de banda total por punto de publicación: Limita el ancho de banda por punto de publicación. Con lo que se consigue mejor gestión de los servidores albergados para maximizar los clientes en un punto de publicación específico.

● Output a formato de archivo W3C: Eventos de registro del output basado en las estadísticas cliente. Con lo que se consigue que las herramientas de análisis estándar pueden mantener un seguimiento de la información fácilmente.

● Análisis e Informe basado en el Analizador de Usos: Integración con Site Server para informar con registros Windows Multimedia. Con lo que se consigue mejor integración con Site Server para informar sobre usos.

● Modelo de autorización conectable: Los usuarios pueden autorizar el inicio de la difusión de un contenido específico con aplicaciones personalizadas. (API abierto en el SDK). Con lo que se permite a las aplicaciones de comercio operar con difusiones Windows Multimedia.

● Modelo de notificación conectable: El servidor puede indicar qué cliente está iniciando, pausando o deteniendo una difusión en el momento en el que lo hace. (API abierto en el SDK). Excelente para las compañías encargadas de albergar contenidos que desean saber cuánto tiempo permanecen sus clientes conectados, y para escenarios de contabilidad.

● Muestras de autorización de servidor de comercio y notificación de eventos: Muestras de autorización integradas para beneficio de los usuarios. Con lo que se facilita el empezar a usar la funcionalidad de autorización.

● Modelo de autentificación conectable: Use su propia base de datos de autentificación personalizada. (API abierto en el SDK). Con lo que se podrá usar los Servicios Windows Multimedia con sus bases de datos de autentificación actuales.

● Seguridad por punto de publicación: Restringe el acceso a grupos de archivos o eventos en vivo a través de seguridad en los puntos de publicación. Con lo que se consigue uno de los nuevos niveles de seguridad que hacen posible el ofrecer más información confidencial a determinados


Capítulo 1

individuos.

● Autentificación BASIC usando NTLM: Los administradores pueden restringir el acceso en base a la ID y contraseña del usuario. Con lo que se consigue más seguridad en el servidor para conceder o denegar el acceso a sus contenidos.

● Membresías mediante autentificación BASIC: Los administradores pueden restringir el acceso en base a la ID y contraseña del usuario. Con lo que se consigue más seguridad en el servidor para conceder o denegar el acceso a sus contenidos.

● Distribuir por Protocolo HTTP: Sirve una estación a través del protocolo HTTP protocol a otro Servidor Multimedia Windows 2000 Server. Con lo que se facilita la difusión a través de firewalls sin tener que abrir puertos específicos en ellos.

● Autentificación de proxy distribuido: Si se enfrenta a un reto con el proxy, el servidor le ofrecerá la oportunidad de introducir su ID y contraseña. Con lo que se consigue Requeriría de autentificación proxy entre Servidores Multimedia y mejor seguridad entre Servidores Multimedia.

● Gathering multidifusión sin conexión: Al recibir una multidifusión, el cliente usará el protocolo HTTP para registar las estadísticas cliente en un servidor Web HTTP. Con lo que se consigue mejor acceso a la información cliente en gatherings de multidifusión sin conexión.

● Tres asistentes completamente funcionales: Asistente Bajo Demanda para contenidos almacenados. Asistente Unicast en Vivo. Asistente Multidifusión para transmisiones de este tipo. Con lo que se simplifica la configuración para crear escenarios complejos.

Soporte para los estándares más nuevos

● Soporte para WebDAV: El Versionado y Autoría Distribuidos (DAV) es una extensión del estándar HTTP 1.1 para mostrar un medio de almacenamiento de archivos jerárquico, del tipo de un sistema de archivos, a través de una conexión HTTP. Usando el DAV, los autores remotos pueden acceder fácilmente a recursos en el sistema de archivo vía http. Con la implementación IIS de DAV, los usuarios podrán permitir a los autores remotos editar, mover, buscar y borrar los archivos y directorios del servidor.

● Carpetas Web: El Soporte para Carpetas Web permite a los usuarios navegar en un servidor de Versionado y Autoría Distribuidos (DAV) y visualizar los contenidos (con los permisos apropiados) como si fuera parte del mismo namespace que el sistema local. Los usuarios podrán arrastrar y soltar archivos, recuperar/modificar información de las propiedades de los archivos y realizar otras tareas relacionadas con el sistema de archivo. El Soporte para Carpetas Web permite a los usuarios mantener una imagen y capacidad de uso homogéneos a la hora de navegar por un sistema de archivos local, un drive en red y un sitio Web en Internet. Por ejemplo, usando las


Capítulo 1

Carpetas Web y el DAV es posible realizar el equivalente de un comando DIR en un recurso http y recuperar toda la información necesaria para completar un vista Microsoft Windows Explorer.

● Autentificación Compendiada: La Autentificación Compendiada ofrece las mismas funcionalidades que la Autentificación Básica, pero implica un modo diferente de transmitir las credenciales de autentificación. La Autentificación Básica envía las contraseñas por Internet como texto limpio, mientras que la Compendiada la oscurece en la conexión. Los usuarios con navegadores que soporten la Autentificación Compendiada se autentifican a si mismos ante un servidor IIS sin comprometes sus credenciales de conexión.

● Compresión HTTP: Integración con el protocolo de compresión HTTP estándar. Esta funcionalidad comprime y almacena en caché los archivos estáticos, y puede opcionalmente realizar una compresión bajo demanda de los generados dinámicamente. Ofrece una transmisión rápida de páginas entre el servidor Web y los clientes con la funcionalidad de compresión habilitada. Esto es muy útil en escenarios en los que el ancho de banda es limitado pero hay recursos disponibles en el servidor para realizar la compresión. Las versiones 4 y 5 de Internet Explorer soportan los métodos de compresión usados en Windows 2000 Server.

● Reinicio FTP: Si se interrumpe a un usuario la descarga de un archivo largo de un sitio de FTP, la próxima vez que trate de descargarlo comenzará a hacerlo desde dónde lo dejó. Se trata de un modo más sencillo, cómodo y rápido para descargar información de Internet.

Sitios Web dinámicos más fáciles de construir

● Mejoras de Rendimiento: ASPs sin script. Los archivos ASP que no contienen scripts de servidor son procesados como páginas HTML estáticas.

❍ Control de Flujos. En lugar de redireccionar las peticiones que requieren de un viaje de ida y vuelta al cliente de alto impacto sobre el rendimiento, los desarrolladores Web pueden transferirlas directamente a un archivo .asp, para que no tengan que salir del servidor.

❍ Objetos de Rendimiento Mejorado. IIS ofrece versiones de rendimiento mejorado actualizadas de los componentes instalables más populares.

❍ AutoSintonización. IIS detecta la ejecución de peticiones bloqueadas por recursos externos, ofreciendo automáticamente más hilos de información para ejecutar simultaneamente peticiones adicionales que permitan continuar con los procesos normales.

El rendimiento es fundamental para construir e implementar soluciones empresariales rentables para la Web. Las continuas mejoras de rendimiento de IIS ofrecen a las organizaciones una solución más rentable para construir e implementar aplicaciones empresariales para la Web.

● Tratamiento de Errores: Los desarrolladores pueden redireccionar los errores a páginas ASP con información útil (descripción del error, número de línea en el archivo .asp, etc.). Con estas capacidades, los desarrolladores pueden evitar perder tanto tiempo escribiendo procedimientos de tratamiento de errores personalizados, para centrarse en la lógica empresarial de las aplicaciones.

● Scriptlets de Servidor: Con los Scriptlets de Server, los desarrolladores pueden encapsular scripts comunes, como los usados para acceder a bases de datos o generar contenidos, en


Capítulo 1

componentes reutilizables accesibles desde cualquier programa o archivo .asp. Los scriptlets pueden además ser incorporados a los programas escritos en lenguajes de programación COM, como Microsoft VBScript o Microsoft Visual J++. Con scriptlets, los desarrolladores pueden aprovechar los lenguajes de scripting más fáciles de usar para convertir sus procedimientos de script de lógica empresarial en componentes COM reutilizables en otras aplicaciones Web y en otros programas compatibles con el COM.

Servicios de aplicación Web

● Páginas Activas de Servidor (ASPs): Las Páginas Activas de Servidor son un entorno de trabajo de aplicaciones diseñado para ofrecer a las organizaciones un modo sencillo para construir aplicaciones Web. Las ASPs de Windows 2000 Server incluyen las siguientes funcionalidades:

❍ Control de Flujo Mejorado. El objeto ASP Server tiene ahora dos nuevos métodos a disposición de los desarrolladores para controlar el flujo de programas, Server.Transfer and Server.Execute. En lugar de redireccionar las peticiones, lo que hace necesario un viaje de ida y vuelta al cliente con la consiguiente pérdida de rendimiento, podrán usar estos nuevos métodos para transferir las peticiones directamente a un archivo .asp sin tener que salir del servidor.

❍ Tratado de Errores. Las ASPs cuentan con una nueva capacidad de tratado de errores, que permite a los desarrolladores atraparlos en un archivo .asp de mensaje de error personalizado. Usando el nuevo método Server.GetLastError, el administrador podrá mostrar la información útil (descripción del error, número de línea en el archivo .asp, etc.) al usuario.

❍ Scriptlets de Servidor. Las ASPs soportan una nueva y potente tecnología Microsoft de scripting, los Scriptlets de Server. Con ellos, los desarrolladores podrán convertir sus procedimientos de script de lógica empresarial en componentes COM reutilizables en otras aplicaciones Web y en otros programas compatibles con el COM.

❍ Objectos de Rendimiento Mejorado. Las ASP ofrecen ahora versiones de rendimiento mejorado de sus populares componentes instalables. Estos objetos se escalarán de forma fiable de una amplia gama de entornos de aplicación Web.

Las nuevas funcionalidades ASP de Windows 2000 Server han sido diseñadas para:

❍ Facilita a los desarrolladores la tarea de construir aplicaciones Web. ❍ Ofrecer mejores capacidades de tratado de errores para aplicaciones Web ❍ Ofrecer mejor rendimiento y escalabilidad

● Potenciación de la CPU: Las organizaciones que operen con varios sitios Web en un sólo ordenador o con otras aplicaciones en su servidor Web podrán limitar la cantidad de tiempo que se les permite a las aplicaciones fuera de proceso de un sitio Web utilizar el procesador. Permite asegurarse de que de dispone de tiempo del procesador para los sitios Web y las aplicaciones no Web.

● Contabilidad de Procesos: La Contabilidad de Procesos agrega campos personalizados al archivo W3C Extended Log para registrar la información sobre el modo en que los sitios Web


Capítulo 1

emplean los recursos de la CPU del servidor. La Contabilidad de Procesos está habilitada y personalizada según un criterio por sitio. Esta información puede ser útil para que los ISPs puedan determinar qué sitios están usando una cantidad desproporcionada de recursos de CPU o cuentan con scripts o procesos CGI dañados.

Servicios de cola de mensajes

● Integración del Directorio Activo: Los Servicios de Cola de Mensajes de Windows 2000 Server usan el directorio para almacenar la información de la cola de mensajes. Permite a las aplicaciones localizar sin problemas las colas de mensajes en una red.

RESISTENCIA A LAS CATEGORÍAS

Como se puede deducir del apartado anterior, resulta difícil clasificar muchos de los cambios de Windows 2000. El sistema de archivos NTFS 5 afecta a la administración de discos porque permite establecer cuotas de disco para controlar y limitar el uso del espacio de disco en volúmenes NTFS. Es al mismo tiempo un importante componente de seguridad, ya que añade cifrado de archivos a sus características de seguridad ya existentes.

Como consecuencia no siempre es posible tener categorías ordenadas.

Nueva Funcionalidad Descripción Beneficios

Herramientas de configuración y resolución de problemas

Administración de Componentes Opcionales

Para soportar la instalación de componentes opcionales, la configuración de Windows 2000 Server incluye ahora un mecanismo para ligar cualquier número de componentes añadidos a un módulo de instalación, instalándolos durante o tras la configuración del sistema.

Windows 2000 Server soporta la posibilidad de integrar componentes opcionales para que los integradores de sistemas puedan personalizar las instalaciones de add-ons de otros fabricantes.


Capítulo 1

Configuración en Modo Seguro

Windows 2000 soporta ahora una pantalla de opciones de modo seguro accessible desde el inicio del sistema con sólo pulsar F8.

El modo seguro evita el sistema operativo si es imposible de iniciar por un driver de "comportamiento erróneo" de otro fabricante o por una aplicación que usa drivers de modo kernel (especialmente filtros de sistema de archivo).

Duplicación de Discos La configuración incluye un mecanismo para que los OEMs, VARs y administradores de sistemas puedan duplicar o "clonar" sistemas completamente instalados en circunstancias controladas (por ejemplo, configuraciones de un dominio o hardware idéntico)

Los usuarios corporativos que deben implementar miles de desktops y servidores Windows 2000 Server en entornos informáticos homogéneos con el mismo hardware desean contar con la posibilidad de personalizar un solo ordenador para luego "clonar" su disco duro en el resto de desktops de la corporación.

Asistente de Incompatibilidad de Drivers

Este asistente de resolución de problemas detecta y avisa al usuario si alguna aplicación o componente provoca errores en la actualización o es previsible que no funcione una vez completada ésta.

En el caso de detectarse una incompatibilidad, el usuario puede ir directamente a un sitio Web creado por el OEM/ISV para hallar más información al respecto o para arreglar su problema, o bien usar un disco del OEM/ISV para reparar la aplicación incompatible.


Capítulo 1

Asistente Configure su Servidor

Windows 2000 Server puede ser ahora configurado automáticamente para un gran número de escenarios de uso: Servidor de Directorio Activo, Servidor de Aplicaciones y Servidor Avanzado, Servidor de Archivos, Servidor de Impresoras, Servidor Web/Media y Servidor de Redes.

En cada escenario la configuración sólo instalará los servicios relevantes; por ejemplo, el escenario de Directorio Activo configura el servidor como controlador de dominios e instala los servicios AD y DNS (opcionalmente, también puede instalar DHCP).

Configuración sin Supervisión

La Configuración sin Supervisión es la solución para que los OEMs, los administradores de corporaciones, los Vendedores de Valor Añadido (VARs) y el resto de usuarios puedan instalar Windows 2000 Server y los componentes opcionales (Windows Media Services, Clustering, Directorio Activo, etc.) sin intervención del usuario.

Esto permite hacer más rápidas las instalaciones personalizadas del sistema operativo.

Consola de Comandos de Reparación

Esta utilidad permite a un usuario autorizado leer/escribir volúmenes NTFS usando los Discos de Inicio de Windows 2000 Server, y por tanto copiar archivos, iniciar y detener servicios y reparar el sistema. Podrá además reparar el sector de Inicio / Registro de Inicio Master y

En lanzamientos beta anteriores Microsoft no ofrecía ningún medio sancionado de acceder a un volumen NFTS sin tener Windows 2000 Server inicializado. En algunos casos, sin embargo, era imposible hacerlo si un archivo de sistema fundamental había sido dañado o borrado. La


Capítulo 1

formatear/fdisk volúmenes.

única solución en ese caso era volver a instalar Windows 2000 Server en paralelo o activar el proceso de reparación, perdiendo bastante tiempo en ambos casos. Muchas veces, y debido precisamente a esto, los administradores instalaban Windows 2000 en la FAT, de forma que pudieran acceder al volumen en todo momento usando un disquete de DOS.

Soporte de Disco Dinámico

Permite actualizaciones e instalaciones limpias en volúmenes de disco dinámicos (por ejemplo, volúmenes que no precisan de inicializaciones para implementar cambios de configuración).

Un volumen de disco dinámico es cualquier disco partido por el Administrador de Disco Lógico (que contiene una partición de sistema de 4 MB al final del disco físico), que permite aumentar el volumen ser configurado para ser tolerante a fallos.

Nueva Funcionalidad Descripción Beneficios

Más Rendimiento y Escalabilidad para aplicaciones


Capítulo 1

Arquitectura de Memoria Empresarial

Memorias mayores de 4GB en plataformas Intel (PAE). Dependiendo de la plataforma, podrán soportar memorias físicas principales de hasta 64 GB.

La localización de procesadores de 64 bits permite a las aplicaciones que realizan procesos de transacciones o soporte de decisiones en grandes conjuntos de datos en memoria, para mejorar el rendimiento.

Escalabilidad SMP Mejorada

Microsoft ha centrado sus esfuerzos de desarrollo, prueba y sintonización de escalabilidad SMP en Windows 2000 Advanced Server y Datacenter Server.

Windows 2000 Server ha sido optimizado para una cantidad creciente de servidores SMP de 4, 8 y 32 modos a precios competitivos basados en procesadores de arquitectura Intel cada vez más rápidos.

Soporte I20 La arquitectura I2O emplea

un procesador dedicado con su propia memoria de descargar de procesos I/O el procesador principal. Este permite incrementar en gran medida el rendimiento y rebajar la utilización de la CPU.

I2O alivia el host de

tareas I/O de interrupción intensiva, mejorando notablemente el rendimiento I/O en aplicaciones de banda ancha (vídeo por red, procesos cliente/servidor y groupware, etc.).


Capítulo 1

Dispersión/Unificación de I/O

LA Dispersión/Unificación de I/O es un tipo especial de I/O de alto rendimiento disponible mediante las funciones Win32 ReadFileScatter y WriteFileScatter.

Permite un rendimiento I/O mayor cuando los datos de las aplicaciones están situados en localizaciones de memoria no contiguas (lo normal) y necesitan pues ser reescritos en una localización de archivo contiguo.

Clasificación de Alto Rendimiento

Optimiza el rendimiento de clasificación comercial en grandes conjuntos de datos.

Esta clasificación ha sido diseñada para preparar los datos para ser cargada en aplicaciones de data-warehouse y data-mart y para preparar operaciones de archivo lote e impresión a gran escala sensibles a clasificaciones.

Equilibrado de Cargas de Red

El Equilibrado de Cargas de Red equilibra y distribuye las conexiones cliente (conexiones TCP/IP) por servidores múltiples escalando el rendimiento de servicios TCP/IP (servidores Web, Proxy o FTP, por ejemplo) y asegurando una alta disponibilidad.

A medida que los servicios de Internet se han convertido en esenciales para realizar los procesos empresariales diarios, es necesario que sean capaces de manejar grandes volúmenes de peticiones de clientes sin generar demoras. Escalando el rendimiento mediante el Equilibrado de Cargas de Red,


Capítulo 1

podrá añadir hasta 32 servidores Windows 2000 a su cluster para satisfacer la demanda de estos servicios.

Más fiabilidad y disponibilidad para aplicaciones

Objetos de Tarea Windows 2000 Server contiene una extensión de modelo de procesos denominada tarea. Los objetos de tarea son renombables, asegurables y compartibles, y su misión es controlar los atributos de sus procesos asociados, permitiendo administrar y manipular los grupos de procesos como si fueran una unidad.

Los ISPs suelen albergar varios sitios Web sin relación alguna entre si en un solo servidor, y para ello necesitan contar con un modo de localizar los recursos usado por cada sitio dinámico. Los ISPs podrían usar los objetos de tarea para contabilizar el uso de la CPU por las aplicaciones Web y para definir los límites de este uso de cada una de ellas.

Servicios de Clustering El clustering de Windows 2000 Advanced Server y Windows 2000 Datacenter Server permite conectar tres o cuatro servidores en un "cluster" para mayor disponibilidad y una administración más sencilla de los recursos de servidor. El servicio de clustering controla la salud de las aplicaciones y los servidores estándar, pudiendo recuperar automáticamente las aplicaciones y datos de misión crítica tras los tipos

El soporte de Clustering permite ofrecer un alto nivel de servicio a los usuarios a la vez que se gana control sobre la administración de los recursos de servidor críticos. Los cluster de Windows 2000 Advanced Server y Windows 2000 Datacenter Server aprovechan las tecnologías de redes y las


Capítulo 1

de caída más comunes.

Destacan entre las nuevas mejoras el soporte para el Directorio Activo, el soporte para conexiones de red de marcación telefónica de alta disponibilidad, servicios de sistema preparados para el cluster (DHCP, WINS, Dfs) y soporte para actualizaciones en serie.

plataformas PC estádares actuales. El modelo de driver por capas de Windows 2000 Server permitirá a Microsoft añadir soporte rápidamente para las tecnologías de cluestering de alto rendimiento y propósito especial (por ejemplo, interconexiones de latencia baja) a medida que sean desarrolladas por los fabricantes especializados.

Menos Reinicializaciones de Servidor

Para mejorar la configuración y el mantenimiento de hardware y software se ha eliminado la necesidad de reiniciar en varias funciones que lo precisaban con Windows NT Server 4.0 (aumentar un volumen de almacenamiento, configurar protocolos de red o reconfigurar parámetros en PCI y otro hardware PnP.

Un menor número de reinicializaciones para las tareas comunes de mantenimiento del servidor implica mayor operatividad para los usuarios. Windows 2000 Advanced Server y Windows 2000 Datacenter Server soportan actualizaciones en serie, que permiten un mantenimiento planeado con el menor tiempo de caída posible.


Capítulo 1

Protección de Archivos Windows (WFP)

La WFP evita el reemplazo de archivos de sistema fundamentales, evitando los errores de versiones de archivo. Protege estos archivos mediante un mecanismo de fondo que opera dentro del WINLOGON.EXE de Windows 2000. Tras iniciarse, el servicio de Protección de Archivos Windows chequea todos los archivos de catálogo (.cat) usados para mantener un seguimiento de las versiones de archivo correctas. Si falta o está dañado alguno de ellos, la Protección de Archivos Windows renombrará el archivo afectado y recuperará un versión almacenado en el directorio de caché de dlls.

Versiones anteriores de los sistemas operativos Windows permitían que los archivos de sistema compartidos pudieran ser sobreescritos durante la instalación de una aplicación. Una vez hechos los cambios, el usuario no podía predecir su resultado, que oscilaba entre el fallo de la aplicación y la caída del sistema completo. Este problema afecta sobre todo a las librerías delinks dinámicos (DLLs) y a los archivos ejecutables (EXEs), siendo denominado familiarmente "infierno DLL".

Con Windows 2000, la Protección de Archivos Windows impide la sustitución de los archivos de sistema monitorizados, evitando así estos errores de versión.


Capítulo 1

CHKDSK y recuperación de caídas más rápida

Una caída de kernel permite un reinicio más rápido de sistemas con grandes cantidades de memoria física. Una caída resumen es generada tras un error de parada, y precisa menos tiempo y espacio porque sólo salva las páginas válidas de la memoria kernel y, opcionalmente, las páginas de usuario válidas de los procesos en curso.

Dependiendo del uso del sistema, esto puede disminuir hasta un 80% el tamaño y tiempo de la caída, mejorando así la disponibilidad y capacidad de recuperación del sistema.

Menos Caídas de "Pantalla Azul"

Windows 2000 incluye varias funcionalidades para permitir a los desarrolladores evitar problemas en los sitios de sus clientes:

● Protección de modo kernel: emplea el administrador de memoria de Windows 2000 para ofrecer protección contra la sobreescritura de código y subsecciones de sólo lectura del kernel y los drivers de dispositivo.

● Tecnología de Firma de Código: complementa la Protección de Archivos de Sistema usando las tecnologías criptográficas de Firma Digital existentes para verificar la fuente de

Estas funcionalidades protegen las áreas del sistema operativo de bugs en otras secciones, permitiendo a lso desarrolladores evitar posibles problemas en los sitios de sus clientes.


Capítulo 1

archivo de sistema antes de instalarlo.

● Etiquetado de Pools: permite a los editores de drivers de dispositivos de kernel producir mejores drivers y código más limpio, llevando todas las localizaciones de memoria de los drivers seleccionados a un pool especial en lugar de a un pool de sistema compartido.

Verificador de Drivers El Verificador de Drivers es un potente mecanismo configurable por el administrador diseñado para que Windows 2000 pueda mostrar los drivers de modo kernel y activar sus defensas en caso de encontrar alguno imposible de instalar.

Los drivers deben cumplir unas complejas reglas para interactuar de forma segura con el resto de drivers y componentes del sistema operativo. Una pequeña desviación de estas reglas puede significar una corrupción muy dificil de localizar y reparar. El Verificador de Drivers muestra y señala con precisión el código erróneo.


Capítulo 1

Firma de Drivers Para asegurar a los usuarios que los drivers de dispositivo cargados en sus sistemas son productos certificados y avisarles en caso contrario, Microsoft ofrece un potente mecanismo de firma criptográfica sobre el código binario del driver, y ha empezado a firmar digitalmente los drivers que han superado los tests de los Windows Hardware Quality Labs (WHQL).

La certificación demuestra al usuario que los drivers que está empleando son idénticos a los probados por Microsoft, evitando cualquier cambio en su código una vez el producto es incluido en la Lista de Compatibilidad de Hardware.

PageHeap Una vez habilitada la funcionalidad PageHeap para una aplicación, todas las localizaciones heap (área especial en la memoria que se utiliza para guardar recursos importantes) de esa aplicación (incluyendo las de las DLLs en ese proceso) son colocadas en la memoria de forma que el fin de la localización heap esté alineada con el fin de una página virtual de memoria. La siguiente página estará definida como NO_ACCESS. Cualquiera lectura o escritura de memoria por detrás de la localización heap provocará una violación de acceso inmediata, captada por el depurador para mostrar al desarrollador la línea exacta causante de la corrupción heap.

La funcionalidad PageHeap puede ayudar a los desarrolladores a detectar problemas de corrupción heap de forma más rápida y fiable.


Capítulo 1

Nueva Funcionalidad


Servicios de componente

COM+ El Modelo de Objetos de Componente (COM+) de Windows 2000 Server simplifica radicalmente la creación y uso de componentes de software, ofreciendo unos servicios y un rendimiento fáciles de usar con cualquier herramienta o lenguaje de programación, y permitiendo la interoperatibilidad entre componentes independientemente de cómo hayan sido implementados.

● El Servicios de Publicación y Suscripción de Eventos es un mecanismo de evento general para que varios clientes se puedan "suscribir" a múltiples eventos "publicados". Cuando el editor suspende un evento, el sistema de eventos COM+ revisa la base de datos de suscripción y se lo notifica a todos los suscriptores.

● Los componentes en cola permiten a los clientes invocar métodos en componentes COM usando un modelo asícrono, muy útil en redes poco fiables y en

COM+ tiene las siguientes ventajas:

● Escalabilidad de aplicaciones mejorada. Tecnologías como la Base de Datos en Memoria permiten a las aplicaciones operar y escalarse más rápidamente.

● Flexibilidad mejorada. – Tecnologías como los Componentes en Cola y los Eventos de Publicación y Suscripción facilitan a los desarrolladores la tarea de integrar su código en los sistemas de otros fabricantes.

● Programación simplificada. La integración con el modelo de programación MTS y COM simplifica el desarrollo y aumenta el soporte para la programación por atributos.


Capítulo 1

escenarios de uso desconectados.

Analizador de XML

El Analizador de XML Windows 2000 es implementado como un componente COM, y ofrece la base XML completa para las aplicaciones DNA de Windows DNA Entre sus funcionalidades se cuentan:

● Un completo modelo de programación independiente de la programación, que incluye soporte para ECMAScript, Java, Perl, Python, SQL, el sistema de desarrollo Visual Basic® y Visual C++® y Visual Basic Scripting Edition (VBScript).

● Soporte para el W3C XML 1.0, XML DOM, y las recomendaciones Namespaces.

● Soporte para DTDs y validación.

● El prime soporte de la industria para XSL, querying y una vista previa de la tecnología de esquemas.

El Analizador de XML de Microsoft XML tiene una arquitectura multicapa de alto rendimiento ideal para el proceso de XSL y XML de cliente y servidor.

NECESIDAD DE PLANIFICACIÓN

Si se diseña una nueva red o se realizan cambios en una existente, la planificación es el componente


Capítulo 1

esencial y sofisticado que hay que tener en cuenta antes que cualquier otra cosa. Poca diversión y mucho trabajo convierten esta tarea en algo desagradable, pero es importante comprender que cada minuto y cada hora empleados en planificar le serán después correspondidos al administrador (o a sus herederos y ayudantes) multiplicados por cien.

Algunas veces cuesta apreciar los beneficios de una planificación meticulosa -hasta que se ha tenido la mala fortuna de tener que soportar una instalación mal planteada-. Windows 2000 es particularmente implacable con una planificación tomada a la ligera. Como se mencionó anteriormente, se puede añadir Windows 2000 Server o Professional a una red Windows NT 4. Sin embargo, a menos que se piense utilizar finalmente el Active Directory y otras herramientas específicas de Windows 2000, los beneficios de simplemente acoplar un par de máquinas Windows 2000 serán mínimos. Y en todos los casos, el diseño de directorios -por no mencionar la aplicación de los nuevos conceptos como bosques y árboles- requiere una planificación considerable y la capacidad de proyectar la experiencia actual al futuro. Por lo tanto, los administradores de sistemas sensatos poseen una mayor perspectiva.


Capítulo 2

Capítulo 2

Todo el mundo utiliza directorios dentro o fuera del ordenador. Después de todo, si no fuera por las programaciones televisivas que aparecen en los periódicos, se perderían horas cambiando de canal, buscando algo que ver.

Otro tipo de directorio que muchos encuentran indispensable es la guía de teléfonos. De hecho, las guías telefónicas son la fuente de analogía para dos formas de búsqueda necesarias en los directorios informáticos. Existe la búsqueda en "páginas blancas" por atributo, por medio de la cual se puede conocer el nombre u otro dato del objeto y cuya búsqueda se realiza utilizando ese fragmento de información. El segundo tipo de búsqueda, llamada búsqueda en "páginas amarillas", se realiza por categoría. El tener los dos tipos de búsqueda disponibles implica que no es necesario conocer muchos datos de un objeto para localizarlo.

La falta de coherencia que puede ir unida a los directorios tiene grandes consecuencias en una red de cualquier tamaño. Los servicios de directorio reales -un catálogo global de servicios y recursos de la red- no existen en las redes Microsoft Windows NT. Las funciones de directorio disponibles en la versión 4 proporcionan los tan importantes inicio único y punto de administración único que los entornos empresariales necesitan, pero tienen serias deficiencias cuando se involucra una gran cantidad de usuarios. Los intentos de organizar documentos en carpetas y directorios funcionan hasta cierto punto, pero cuando el número de objetos se incrementa, su administración se vuelve compleja y pesada.

Hasta ahora, el servicio de directorio informático considerado como el mejor era Servicios de directorio de Novell (NDS, Novell Directory Services), incorporado en NetWare 4.0 en 1993.

Introducción a los Servicios de Directorio (DC)

En un entorno informático Windows NT normal, un usuario puede iniciar sesión en la red con un nombre de usuario, digamos Mperez, y una contraseña. Asumiendo que tiene los permisos necesarios, Mperez puede pulsar con el ratón en Entorno de red o conectarse a una unidad de red y buscar los archivos que necesite.

Todo esto funciona muy bien hasta que el ámbito de la red cambia. La empresa introduce correo electrónico y Mperez obtiene otra identidad ([email protected]). Los servicios, bases de datos y herramientas administrativas adicionales -cada uno identificando a María Pérez de forma ligeramente distinta- necesitan estar accesibles por el mismo usuario. Cuando se considera que todo esto es sólo para uno de cientos e incluso miles de usuarios, no cuesta ver lo difícil de resolver que pueden resultar los errores que pueden presentarse. A medida que el número de objetos en una red crece, los servicios de directorio -un lugar centralizado donde almacenar la información administrativa que se emplea para


Capítulo 2

gestionar el sistema informático completo- se vuelven esenciales.

Los servicios de directorio se diferencian de un directorio en que son tanto la fuente de la información de directorio como los servicios que hacen que la información esté disponible para los usuarios. Al ser al mismo tiempo una herramienta de administración y una herramienta para el usuario final, los servicios de directorio necesitan contemplar estas necesidades:

● Acceso a todos los servidores, aplicaciones y recursos por medio de un inicio de sesión único. (El acceso del usuario se permite o se bloquea por medio de permisos.)

● Réplica multimaestro. Toda la información se distribuye por todo el sistema y se replica en varios servidores.

● Búsquedas en «páginas blancas» basadas en atributos, por ejemplo, por nombre o tipo de archivo. ● Búsquedas en «páginas amarillas» basadas en clasificaciones, por ejemplo, todas las impresoras

de la tercera planta o todos los servidores de la oficina de Madrid. ● La capacidad de eliminar la dependencia con las ubicaciones físicas para propósitos de

administración. Esto es, debería ser posible delegar la administración del directorio, tanto parcial como completamente.

Aunque Microsoft ha empleado alguna vez el término «servicios de directorio» en relación con Windows NT (al igual que en el Administrador de servicios de directorio para NetWare), Windows NT no proporciona un auténtico servicio de directorio jerárquico. En Windows NT, las funciones de directorio se dividen en una gran cantidad de servicios basados en dominios. El Servidor del Sistema de nombres de dominio (DNS, Domain Name System) proporciona la traducción de nombres en números IP y se integra con los servidores con Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) utilizados para asignar dinámicamente direcciones TCP/IP. El Servicio de nombres de Internet para Windows (WINS, Windows Internet Naming Service) se utiliza para la resolución de nombres de NetBIOS y lo necesitan las redes Windows NT para compartir archivos y algunas aplicaciones. La seguridad se implementa por medio de listas de control de acceso (ACLs, Access Control List), la base de datos del gestor de cuentas de seguridad (SAM, Security Accounts Manager) y otros servicios.

En Microsoft Windows 2000 Server, Active Directory reemplaza la colección de funciones de directorio de Windows NT con una implementación integrada que incluye DNS, DHCP, Protocolo de acceso ligero a directorios (LDAP, Lightweight Directory Access Protocol) y Kerberos.

X.500 es un estándar para servicios de directorio establecido por la Unión internacional de telecomunicaciones (ITU, International Telecommunications Union). La Organización internacional de normalización/ Comisión electrotécnica internacional (ISO/IEC, International Standars Organization/International Electrotechnical Commission) también ha publicado el mismo estándar. El estándar X.500 define el modelo de información utilizado en los servicios de directorio. En este modelo, toda la información de un directorio se almacena en entradas, cada una de las cuales pertenece al menos a una clase


Capítulo 2

de objetos. La información real de una entrada se determina por los atributos que contiene.

El estándar original X.500 de 1988 se centró principalmente en los protocolos que debían implementarse. El Protocolo de acceso a directorios (DAP, Directory Access Protocol) especifica cómo acceden las aplicaciones de usuario a la información del directorio. El Protocolo de servicios de directorio (DSP, Directory Service Protocol) se utiliza para propagar las peticiones al directorio entre los servidores de directorio cuando el servidor de directorio local no puede satisfacerlas.

Ningún servicio de directorio existente implementa completamente el estándar X.500, pero todos se modelan según las especificaciones básicas de X.500, como Active Directory.

Active Directory en Windows 2000 (AD)

Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de cualquier tamaño, desde un único servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory también simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una única forma de acceder a múltiples directorios, ya estén basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services).

En Windows 2000, Active Directory integra el concepto de espacio de nombres de Internet con los servicios de directorio del sistema operativo. Esta combinación permite la unificación de múltiples espacios de nombres entre, por ejemplo, la mezcla de entornos software y hardware de las redes corporativas, incluso de un lado a otro de las fronteras entre sistemas operativos. La capacidad de subsumir directorios empresariales individuales en un directorio de propósito general implica que Active Directory puede reducir notablemente los costes de la administración de múltiples espacios de nombres.

Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y soporta el modelo de información X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500. LDAP está basado en TCP/IP y es considerablemente más simple que el DAP de X.500. Al igual que X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para identificar una entrada sin ambigüedad. Pero en lugar de utilizar la estructurada codificación de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio. LDAP utiliza muchas de las técnicas de acceso a directorio especificadas en el estándar DAP de X.500 pero requiere menos recursos del cliente, haciéndolo más práctico cuando se tiende a usarlo sobre un enlace TCP/IP.

Active Directory también soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). Todo objeto de Active Directory se puede mostrar como una página en


Capítulo 2

Lenguaje de marcas de hipertexto (HTML, Hypertext Markup Languaje) en un explorador Web. El directorio soporta extensiones para que el Servicio de información de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en páginas HTML para mostrarlas en cualquier cliente HTML.

Active Directory permite un punto único de administración para todos los recursos públicos, entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en árbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory sólo utiliza controladores de dominio, y las actualizaciones se replicarán en el resto de controladores de dominio.

Terminología y conceptos de Active Directory

Algunos de los términos empleados para describir conceptos de Active Directory se han utilizado durante algún tiempo en otros contextos, por lo que resulta importante comprender lo que significan cuando se utilizan específicamente en referencia al Active Directory.

Espacio de nombres y resolución de nombres

«Espacio de nombres» es quizás un término poco familiar para un concepto muy familiar. Cada servicio de directorio es un espacio de nombres -un área circunscrita en la cual un nombre se puede resolver-. Un listado de programas televisivos constituye un espacio de nombres en el cual se puede traducir un programa de televisión al canal correspondiente. Un sistema de archivos informático constituye un espacio de nombres en el cual se puede relacionar un nombre de archivo con el propio archivo.

Active Directory constituye un espacio de nombres en el cual se puede relacionar el nombre de un objeto del directorio con el propio objeto. La resolución de nombres es el proceso de relacionar un nombre con algún objeto o información que representa dicho nombre.

Atributo

Cada fragmento de información que describe algún aspecto de una entrada se denomina atributo. Un atributo está formado por un tipo del atributo y uno o más valores del atributo. Un ejemplo de un tipo de atributo puede ser "número de teléfono", y un ejemplo de valor del atributo número de teléfono puede ser «914 785 426».

Objeto

Un objeto es un conjunto determinado de atributos que representa algo concreto, como un usuario, una


Capítulo 2

impresora o una aplicación. Los atributos contienen la información que describe lo que se identifica por medio del objeto de directorio. Entre los atributos de un usuario se podrían incluir el nombre del usuario, los apellidos y la dirección de correo electrónico. La clasificación de un objeto define qué tipos de atributos se utilizan. Por ejemplo, los objetos clasificados como «usuarios» podrían permitir el uso de tipos de atributos como «nombre», «número de teléfono» y «dirección de correo electrónico», mientras que la clase de objetos «empresa» permitiría tipos de atributos como «nombre de la empresa» y «tipo de negocio». Un atributo puede tener uno o más valores, dependiendo de su tipo.

Identidad del objeto

Cada objeto en Active Directory tiene una identidad única. Los objetos se pueden mover o renombrar, pero su identidad nunca cambia. Los objetos se conocen internamente por su identidad, no por su nombre actual. La identidad de un objeto es un identificador único global (GUID, Globally Unique Identifier), asignado por el Agente del sistema del directorios (DSA, Directory System Agent) cuando se crea el objeto. El GUID se almacena en un atributo, objectGUID, que forma parte de todo objeto. El atributo objectGUID no se puede modificar ni borrar. Cuando se almacena una referencia a un objeto de Active Directory en un almacén externo (por ejemplo, una base de datos), se debería utilizar objectGUID porque, a diferencia de un nombre, no cambiará.

Contenedor

Un contenedor se parece a un objeto en el hecho de que posee atributos y forma parte del espacio de nombres de Active Directory. Sin embargo, a diferencia de un objeto, un contenedor no representa algo concreto. Es un almacén de objetos y otros contenedores.

Árbol y subárbol

Un árbol en Active Directory es simplemente una extensión de la idea de árbol de directorios. Es una jerarquía de objetos y contenedores que muestra cómo se relacionan los objetos o el camino desde un objeto hasta otro. Los puntos finales del árbol son generalmente objetos.

Un subárbol es cualquier camino sin interrupciones del árbol, incluyendo todos los miembros de cada contenedor de dicho camino.

Nombre distinguido

Todo objeto en Active Directory tiene lo que se denomina un nombre distinguido (DN, Distinguished


Capítulo 2

Name). En este contexto, «distinguido» implica las cualidades que permiten distinguir al nombre. Los nombres distinguidos identifican el dominio que contiene el objeto además del camino completo a través de la jerarquía del contenedor utilizado para alcanzar el objeto. Un DN típico podría ser CN=María Pérez,OU=Investigación,DC=dominio,DC=com. Este DN identifica al objeto usuario «María Pérez» en el departamento de investigación, en el dominio dominio.com.

CN se interpreta como nombre propio (Common Name), OU como unidad organizacional (Organizational Unit) y DC significa controlador de dominio (Domain Controller). Algunos atributos se derivan del modelo X.500; un administrador puede definir otros.

Active Directory utiliza también un nombre distinguido relativo (RDN, Relative Distinguished Name), el cual forma parte del nombre distinguido que es un atributo del propio objeto. En el ejemplo anterior, el RDN del objeto usuario es CN = María Pérez. El RDN del objeto padre es OU = Investigación.

El fragmento "DC=" de un nombre distinguido permite a los directorios X.500 conectarse al espacio de nombres DNS, lo que también hace Active Directory. La raíz del espacio de nombres global de Active Directory es el espacio de nombres DNS. De este modo, los nombres de dominio DNS se mezclan con el esquema de denominación de Active Directory. Por ejemplo, dominio.com es un nombre de dominio DNS correcto y también podría ser el nombre de un dominio de Active Directory. La integración con DNS implica que Active Directory se adapte perfectamente a entornos de Internet e intranet. Los servidores de Active Directory pueden conectarse directamente a Internet para simplificar las conexiones seguras y el comercio electrónico con clientes y socios.

Esquema

" Esquema" es un término utilizado generalmente en el trabajo con bases de datos. En el contexto de Active Directory, el esquema son todos los fragmentos que componen un Active Directory: los objetos, atributos, contenedores, etc. Active Directory posee un esquema predeterminado que define la mayoría de las clases de objetos habituales, como usuarios, grupos, computadoras, departamentos, políticas de seguridad y dominios.

El esquema de Active Directory se puede actualizar de forma dinámica. Esto es, una aplicación puede ampliar el esquema con nuevos atributos y clases y utilizar las extensiones inmediatamente. Las actualizaciones del esquema se realizan creando o modificando los objetos esquema almacenados en el directorio. ACLs protege los objetos esquema, de forma que sólo los usuarios autorizados puedan modificar el esquema.

ARQUITECTURA DE ACTIVE DIRECTORY

Active Directory no es, estrictamente hablando, un servicio de directorio X.500, aunque como el resto de servicios de directorio, se deriva de ese estándar. Las características de la arquitectura de Active Directory son:


Capítulo 2

El Directory System Agent (DSA)

El DSA es el proceso que proporciona acceso al almacén físico de la información del directorio ubicada en un disco duro. El DSA es parte del subsistema Local System Authority (LSA) de Windows 2000. Los clientes pueden acceder a la información del directorio por medio de alguno de los siguientes mecanismos:

● Los clientes LDAP se conectan a DSA utilizando el protocolo LDAP; Active Directory soporta LDAP v3, definido en el RFC 2251; y LDAP v2, definido en el RFC 1777. Los clientes Windows 2000 Server y los clientes Windows 95/98 con los componentes clientes de Active Directory instalados utilizan LDAP v3 para conectarse a DSA.

● Los clientes Interfaz de programación para aplicaciones de mensajería (MAPI, Messaging Applications Programming Interface) como Microsoft Exchange se conectan a DSA utilizando la interfaz Llamada a procedimientos remotos (RPC, Remote Procedure Call) MAPI.

● Los clientes Windows que utilizan Windows NT se conectan al DSA por medio de la interfaz SAM.

● Los DSA de Active Directory se conectan entre ellos para realizar replicaciones por medio de una interfaz RPC propietaria.

Formatos de denominación

Active Directory soporta varios formatos de denominación para adaptarse tanto a los usuarios como a las aplicaciones:

● Nombres RFC 822, conocidos por la mayoría de usuarios como direcciones de correo electrónico de Internet, como [email protected]. Active Directory proporciona un «nombre intuitivo» de la forma RFC 822 para todos los objetos. De este modo, un usuario puede emplear un nombre intuitivo tanto como dirección de correo electrónico como nombre utilizado para iniciar la sesión.

● URL HTTP, conocidos por la mayoría de usuarios que tienen exploradores Web. Un URL normal tiene la forma http://dominio/camino-hasta-la-página, donde dominio se refiere al servidor que ejecuta los servicios de Active Directory y camino-hasta-la-página es el camino al objeto de interés a través de la jerarquía de Active Directory. El URL para María Pérez es http: //AServer.dominio.com/División/Producto/Investigación/MaríaPérez.

● Nombres LDAP, que son más complicados que los nombres de Internet, pero que generalmente se ocultan dentro de una aplicación. Los nombres LDAP utilizan el convenio de denominación por medio de atributos de X.500. Un URL LDAP especifica el servidor que contiene los servicios de Active Directory y el nombre del objeto utilizando atributos -por ejemplo, ldap://AServer.dominio.com/CN=mariaperez, OU=Investigación, OU=Producto, OU=División, 0=MegaIntl, C=ES.

● Nombres UNC, el convenio de denominación universal utilizado en servidores basados en


Capítulo 2

Windows NT y redes basadas en Windows 2000 Server para referirse a volúmenes, impresoras y archivos compartidos. Por ejemplo, \\dominio.com\División.Producto.Investigación.Volúmen\DocumentosWord\informeabril.doc.

El modelo de datos

El modelo de datos de Active Directory se deriva del modelo de datos de X.500. El directorio contiene objetos que representan elementos variados, descritos por medio de atributos. El universo de objetos que se pueden almacenar en el directorio está definido en el esquema. Para cada clase de objeto, el esquema define qué atributos debe tener un ejemplar de la clase, qué atributos adicionales podría tener y qué clase de objetos puede ser su padre.

Implementación del esquema

El esquema de Active Directory está implementado como un conjunto de ejemplares de clases de objetos almacenados en el directorio. Esto difiere bastante de los directorios que poseen un esquema pero lo almacenan como un archivo de texto que se lee al iniciar. Almacenar el esquema en el directorio tiene muchas ventajas. Por ejemplo, las aplicaciones de los usuarios pueden leerlo para averiguar qué objetos y propiedades se encuentran disponibles.

El modelo de seguridad

Active Directory es parte de la base de confianza informática de Windows 2000 y participa completamente en la infraestructura de seguridad de Windows 2000. El modelo de seguridad distribuida se basa en el protocolo de autenticación Kerberos del MIT (versión 5). La autenticación Kerberos incorpora seguridad tanto de clave pública como de clave privada, utilizando el mismo soporte ACL que el sistema operativo subyacente, Windows 2000. Los ACL protegen todos los objetos de Active Directory. Determinan quién puede ver el objeto, qué atributos puede ver cada usuario y qué acciones puede realizar cada usuario sobre el objeto. Si un usuario no tiene permiso para ver un objeto o un atributo, nunca conocerá su existencia.

Un ACL, a su vez, se construye con Entradas de control de acceso (ACE, Access Control Entries) almacenadas junto al objeto que protege el ACL. En Windows NT y Windows 2000, un ACL se almacena como un valor binario, llamado descriptor de seguridad. Cada ACE contiene un identificador de seguridad (SID, Security Identifier) que identifica al director (usuario o grupo) al cual el ACE aplica y proporciona la información sobre qué tipo de acceso permite o rechaza el ACE.

Los ACL de los objetos del directorio contienen ACE que se aplican a la totalidad del objeto y ACE que se aplican a atributos individuales del objeto. Esto permite a un administrador controlar no sólo qué usuarios pueden ver un objeto, sino también qué propiedades pueden ver. Por ejemplo, todos los usuarios podrían tener permiso para leer los atributos correo electrónico y número de teléfono del resto de usuarios, pero el acceso a las propiedades de seguridad de los usuarios estaría prohibido para todos


Capítulo 2

excepto para los miembros de un grupo de seguridad especial de administradores. Además, los usuarios individuales deberían tener permiso de escritura a atributos personales como el teléfono y las direcciones de correo de sus propios objetos usuario.

Active Directory es el almacén del sistema de seguridad, incluyendo las cuentas de usuario, grupos y dominios. Este almacén reemplaza a la base de datos del registro de cuentas y es un componente de confianza dentro del LSA.

Delegación y herencia

La delegación es una de las características de seguridad más importante de Active Directory. Un administrador puede autorizar a un usuario a realizar un conjunto específico de acciones en algunos subárboles identificados del directorio. Esto se denomina administración. La administración delegada permite un control muy fino sobre quién puede hacer qué y permite a los administradores delegar autoridad sin conceder privilegios elevados. Esto elimina también la necesidad de los administradores de dominio con amplia autoridad sobre grandes segmentos de la población de usuarios.

Los administradores conceden permisos sobre operaciones concretas en clases de objetos concretas añadiendo ACE al ACL del contenedor.

La herencia permite propagar un ACE dado desde el contenedor en el que fue aplicado a todos los hijos de dicho contenedor. La herencia se puede combinar con la delegación para conceder derechos administrativos a subárboles completos del directorio con una única operación.

Contextos de denominación y particiones

Active Directory se compone de uno o más contextos de denominación o particiones. Un contexto de denominación es cualquier subárbol contiguo del directorio. Los contextos de denominación son las unidades de división. Un servidor único siempre contiene al menos tres contextos de denominación:

● El esquema. ● La configuración (topología de réplica e información relacionada). ● Uno o más contextos de denominación de usuarios (subárboles que contienen los objetos reales

del directorio).

El Catálogo global

El DN de un objeto incluye suficiente información para localizar una copia de la partición que contiene al objeto. Muchas veces, sin embargo, el usuario o la aplicación no conoce el DN del objeto objetivo, o qué partición debería contener el objeto. El Catálogo global (GC, Global Catalog) permite a los usuarios y a las aplicaciones encontrar objetos en un árbol de dominio de Active Directory, proporcionando uno o más atributos del objeto deseado.


Capítulo 2

El Catálogo global contiene una copia parcial de cada contexto de denominación del directorio. También contiene el esquema y los contextos de denominación de la configuración. Esto significa que el GC contiene una copia de cada objeto de Active Directory, pero con sólo un pequeño número de sus atributos. Los atributos en el GC son los utilizados con mayor frecuencia en las operaciones de búsqueda (como el nombre y apellidos de un usuario, el nombre de entrada al sistema, etc.) y aquellos necesarios para encontrar una copia completa del objeto. El GC permite a los usuarios encontrar los objetos de interés rápidamente sin conocer qué dominio los contiene y sin que sea necesario un espacio de nombres ampliado contiguo en la empresa.

El Catálogo global está integrado en el sistema de réplicas de Active Directory. La topología de réplicas del GC también se genera de forma automática. Las propiedades replicadas en el GC incluyen un conjunto base definido por Microsoft. Los administradores pueden especificar propiedades adicionales para satisfacer las necesidades de su instalación.


Capítulo 3

Capítulo 3

Cuando se emplea tiempo en analizar la estructura y necesidades de la organización y en determinar la mejor forma de trasladar esos requisitos al nuevo espacio de nombres, se obtiene como recompensa unos costes de soporte reducidos, una flexibilidad mejorada y una menor reorganización posterior. Es importante comprender que la planificación del espacio de nombres de una organización o compañía grande o incluso de tamaño medio es un proceso iterativo.

Análisis de las necesidades de convenios de denominación

Para planificar cómo debería quedar la estructura de espacios de nombres y dominios, es necesario analizar la organización y tratar de comprender sus necesidades de denominación fundamentales. Este proceso requiere una profunda comprensión del tipo de organización que se trata y quiénes son los actores, además de algunas conjeturas razonables acerca de adónde se dirigirá la organización en el futuro.

Árboles y bosques

Como primer paso, es necesario entender las diferencias entre los dos tipos básicos de espacios de nombres -árboles y bosques- para decidir cómo se adaptan a la organización. Se pueden cambiar los modelos después y no sin tener impacto sobre la totalidad de los nombres utilizados, por lo que se debe emplear algún tiempo para asegurarse de la comprensión de lo que realmente necesita la organización. Lo que la organización necesita puede ser diferente de lo que se piensa que quiere.

Árboles

El espacio de nombres en árbol es un espacio de nombres único y contiguo, donde cada nombre del espacio de nombres desciende directamente de un único nombre raíz. Este sencillo tipo de diseño de denominación es apropiado para una organización esencialmente cohesiva que tiene un único nombre bajo el cual puede haber muchas divisiones diferentes y diversos negocios. Muchos pequeños o medianos negocios encajarán bien en este modelo. Incluso negocios muy grandes pueden ajustarse cómodamente a una estructura en árbol si la organización está bastante centralizada y se la conoce por un único nombre.


Capítulo 3

Como se puede observar en la figura, con un espacio de nombres estructurado en árbol, cada rama del árbol tiene un nombre que desciende directamente de la raíz del árbol. Este convenio facilita el encontrar cualquier hoja o rama del árbol rastreando la estructura de su nombre.

Bosques

Un espacio de nombres en bosque es una colección de árboles esencialmente iguales, sin una única raíz en el espacio de nombres. El espacio de nombres en árbol es apropiado para una organización que tenga múltiples líneas de negocio, cada una con su propio nombre independiente e identificable. Generalmente serán grandes empresas, especialmente aquellas que hayan crecido por medio de adquisiciones. Por lo general no disponen de un grupo de sistemas de información único y central que gestiona toda la organización, y cada división tiene normalmente una identidad e infraestructura esencialmente independiente.

Definición de un convenio de denominación

Tanto si se va a tener un único árbol o un bosque de árboles como espacio de nombres global, es necesario tomar algunas decisiones sobre cómo se llamarán las distintas ramas del árbol. Ésta podría ser con facilidad una de las decisiones más difíciles y políticamente delicadas que se tendrán que tomar al diseñar toda la estructura de denominación.

Existen esencialmente dos tipos de convenios de denominación: organizativo y geográfico. Ambos tienen sus defensores, y existe un argumento para cada elección. No se debe olvidar que la gente puede volverse muy sensible de forma asombrosa sobre la manera de llamar a su división o departamento y sobre su peso relativo en la organización.

El convenio de denominación organizativo

Por medio de un convenio de denominación organizativa se podría modelar el espacio de nombres de la misma forma que está estructurada la organización. Así, la raíz del árbol podría ser dominio.com, con un primer nivel que consista en admin.dominio.com, finanzas.dominio.com, rrhh.dominio.com, etc.

Algunas de las ventajas e inconvenientes del convenio de denominación organizativo son:

Ventajas


Capítulo 3

● Refleja la organización de la compañía. ● Se entiende fácilmente. ● Posee un camino natural de crecimiento. ● Permite organizar los recursos por tipo de necesidad.

Inconvenientes

● Resulta difícil de ajustar cuando las estructuras y nombres de la organización cambian. ● Puede ser políticamente delicado. ● Puede resultar difícil de implementar si las divisiones de la organización tienen múltiples

ubicaciones de sus sitios. ● Es difícil el soporte de divisiones que se dividen y mezclan.

El convenio de denominación geográfico

Por medio de un convenio de denominación geográfico se podría modelar el espacio de nombres sobre las divisiones geográficas de la organización. Por ejemplo, con la misma raíz dominio.com, se podría tener un primer nivel que consista en corp.dominio.com, nortam.dominio.com, europa.dominio.com, africa.dominio.com, etc. Bajo este primer nivel, podría desglosarse cada entrada en los países o estados/provincias individuales, dependiendo del tamaño y complejidad de la organización.

Los sitios, una nueva estructura de Windows 2000 proporcionada por Active Directory, se pueden utilizar para reducir o eliminar el problema de la implementación de la estructura de denominación organizativa con divisiones que tienen múltiples ubicaciones. Una compañía puede crear un sitio para cada isla de computadoras con conexión LAN. Por ejemplo, la oficina principal podría ser un sitio, y una sucursal otro sitio. Cualquier dominio que abarque más de un sitio ajusta automáticamente sus parámetros de réplica para optimizar el uso del lento enlace WAN entre los sitios. Los clientes también se dirigen de forma automática a los controladores locales de dominio para solicitar servicios, disminuyendo así el uso de los enlaces WAN.

Algunas de las ventajas e inconvenientes del convenio de denominación geográfica son:

Ventajas

● Es apolítico. ● Emplea nombres que tienden a ser persistentes. ● Ofrece mayor flexibilidad y granularidad.

Inconvenientes

● No refleja la naturaleza de la organización. ● Puede requerir más dominios para satisfacer las necesidades de seguridad.


Capítulo 3

Los sitios son útiles para optimizar el uso de los lentos enlaces WAN en redes que utilizan un convenio de denominación geográfico. Aunque generalmente no existen dominios que abarquen múltiples sitios en redes que utilizan el convenio de denominación geográfico, el uso de sitios optimiza mucho más el uso de enlaces WAN al ajustar la réplica entre dominios de Active Directory.

Convenios de denominación mixtos

Por último, se puede optar por utilizar una mezcla de los convenios de denominación organizativo y geográfico, especialmente en un espacio de nombres en bosque donde distintas culturas empresariales han crecido y tienen sus propias agendas. El truco, por supuesto, es que esto puede producir mucha confusión y volver más costosa cualquier tarea de soporte, ya que no existe consistencia en la forma de hacer las cosas. Al crear los primeros espacios de nombres de Active Directory en Windows 2000, se debería considerar la realización de todos los esfuerzos para racionalizar la estructura, puesto que facilitará todo el trabajo de soporte posterior.

Incluso si se emplea un convenio de denominación puramente geográfico a lo largo de toda la organización, es posible que resulte ventajoso crear departamentos o dominios en el nivel inferior del árbol porque los grupos que trabajan en áreas similares o en proyectos relacionados tienden a necesitar acceder a los recursos de naturaleza similar. Las necesidades de la planta de fabricación suelen ser diferentes de la de contabilidad, por poner un ejemplo. Estas necesidades comunes pueden identificar las áreas naturales de soporte y control administrativo.

Determinación de la resolución de nombres

Una segunda decisión que se debe tomar es si se desea que el espacio de nombres utilizado internamente sea el mismo que el que se presenta al mundo exterior. Se podría pensar que los nombres deberían ser los mismos, pero en realidad puede haber razones de peso para optar por espacios de nombres internos y externos diferentes.

Utilización del mismo espacio de nombres interna y externamente

Si se tiene un único espacio de nombres, las máquinas tienen los mismos nombres en la red interna y en Internet. En otras palabras, se obtiene un único nombre de la autoridad de registro en Internet correspondiente y se mantiene un único espacio de nombres DNS, aunque sólo un subconjunto de los nombres será visible desde fuera de la compañía.

Si se utiliza el mismo nombre en los espacios de nombres interno y externo, se debe asegurar que la capacidad de resolver nombres desde fuera de la compañía se limita a máquinas fuera del cortafuego que se suponen que son visibles externamente. Hay que asegurarse de que ningún servidor de Active Directory resida fuera del cortafuego. Sin embargo, también es necesario asegurarse de que las máquinas


Capítulo 3

internas puedan resolver nombres y acceder a recursos en ambos lados del cortafuego.

Algunas de las ventajas e inconvenientes de utilizar el mismo espacio de nombres de forma interna y externa son:

Ventajas

● Proporciona consistencia en las denominaciones interna y externa. ● Permite registrar los nombres una única vez. ● Permite a los usuarios tener una identidad de acceso y de correo electrónico única.

Inconvenientes

● Necesita una configuración del servidor proxy compleja. ● Requiere el mantenimiento de distintas zonas que tienen los mismos nombres. ● Obliga a los usuarios a trabajar con diferentes vistas de los recursos, dependiendo de donde se

encuentren.

Utilización de distintos espacios de nombres interna y externamente

Si se establecen espacios de nombres interno y externo distintos, la presencia pública debería ser dominio.com, mientras que internamente se podría usar dom.com. Todos los recursos que residen fuera de la red de la compañía podrían tener nombres que terminen en dominio.com, como www.dominio.com. Sin embargo, dentro de la red de la compañía, se podría utilizar un espacio de nombres independiente que tuviera dom.com como raíz.

Una consideración que conviene recordar en este escenario: es conveniente registrar tanto el nombre público como el privado con la autoridad de nombres de Internet correspondiente. Se puede pensar que no es necesario preocuparse sobre el nombre que es sólo interno si no se tiene intención de exponerlo en Internet. Sin embargo, lo que se está haciendo realmente es asegurarse de que nadie más utilice el mismo nombre, lo que podría causar problemas de resolución a los clientes internos.

Algunas de las ventajas e inconvenientes de utilizar distintos espacios de nombres de forma interna y externa son

Ventajas

● Proporciona una distinción clara entre lo que es interno y lo que es externo. ● Ofrece un mantenimiento y configuración de proxy más sencillos. ● Facilita a los usuarios la comprensión de las diferencias entre los espacios de nombres interno y

externo.

Inconvenientes


Capítulo 3

● Requiere que se registren dos espacios de nombres. ● Implica que los nombres de acceso de los usuarios difieran de sus nombres de correo electrónico.

Planificación de una estructura de Dominios

Una vez que se ha establecido todo el diseño del espacio de nombres, es necesario diseñar la estructura de dominios que le dé soporte. Cada rama del espacio de nombres se divide bien en un dominio, bien en una unidad organizativa (OU, Organizational Unit). El que una rama sea un dominio o una OU dependerá de múltiples consideraciones, incluyendo la necesidad de réplica, política de seguridad, disponibilidad de recursos, calidad de la conexión, etc.

Dominios y unidades organizativas

Los árboles de red de Windows 2000 están formados por dominios y unidades organizativas. Cada uno proporciona fronteras administrativas entre las ramas del árbol, pero tienen implicaciones y requisitos de recursos diferentes.

Dominios

La unidad principal de Active Directory de Windows 2000 es el dominio, al igual que en Windows NT 3.x y Windows NT 4. Todos los objetos de la red forman parte de un dominio, y la política de seguridad es uniforme a lo largo de un dominio. A diferencia de Windows NT, la seguridad de Windows 2000 se basa en la versión 5 de Kerberos, y las relaciones de confianza son transitivas. En las relaciones transitivas, si un dominio A confía en un dominio B y un dominio B confía en un dominio C, entonces el dominio A también confía en el dominio C.

Se pueden establecer relaciones de confianza unidireccionales al estilo de Windows NT 4. Y aún más importante, las relaciones entre los dominios Windows 2000 y los dominios Windows NT heredados se basan en las relaciones de confianza unidireccionales no transitivas inherentes a Windows NT. Es esencial considerar estas relaciones al planificar la estructura de dominios.

Con Windows 2000, los conceptos de controlador de dominio principal y controlador de reserva de dominios han desaparecido. Los controladores de dominio (DC, Domain Controller) de Windows 2000 están basados en múltiples maestros y parejos. Cada controlador de un dominio tiene la misma autoridad sobre el dominio, y si el controlador cae, los demás continúan administrando y autenticando el dominio. Cualquier DC puede originar un cambio en el dominio y propagarlo después a los demás DC del dominio.

El dominio es también la unidad de réplica. Los cambios en un dominio se replican a lo largo del mismo, incluso cuando el dominio abarca múltiples sitios o ubicaciones. Esta capacidad permite a los


Capítulo 3

controladores de dominio de sitios distantes originar cambios en el dominio y tener los cambios replicados a lo largo del dominio.

Aunque los derechos de acceso son transitivos a ambos lados de las fronteras entre dominios, los derechos administrativos están limitados, de forma predeterminada, al dominio. Esto permite conceder derechos administrativos a un usuario clave en un dominio concreto sin tener que preocuparse de comprometer toda la seguridad de la organización, dado que los derechos administrativos terminan en la frontera del dominio, a no ser que se concedan de forma explícita en otros dominios.

Unidades organizativas

El concepto de OU es nuevo en Windows 2000. Tiene algunas de las características de un dominio, pero sin la sobrecarga de recursos. Una OU está contenida en un dominio y actúa como contenedor de objetos de servicios de directorio. Forma una rama del espacio de nombres contiguo, y puede contener a su vez otras OU. Así, el dominio corp.dominio.com puede contener otros dominios, como finanzas.corp.dominio.com, y también puede contener OU, como hr.corp.dominio.com. La OU proporciona una frontera administrativa conveniente, y los derechos y privilegios para la administración se pueden conceder a los usuarios en una OU sin comprometer al resto del dominio. Sin embargo, una OU no requiere un controlador de dominio independiente ni está implicada en la réplica.

La analogía más cercana a una OU en el modelo de dominios de Windows NT es el dominio de recursos, pero sin la sobrecarga del controlador de dominio que se requería bajo Windows NT. En los casos en los que no se necesita una política de seguridad independiente para un contenedor administrativo dado, la OU proporciona una frontera apropiada que consume pocos recursos. Por otra parte, una OU se puede convertir, si es necesario, en un dominio.

Diseño de una estructura de dominios

Una vez que se ha diseñado el espacio de nombres y todos los involucrados se han registrado en él, se puede empezar a diseñar e implementar la estructura de dominios. El diseño de la estructura de dominios se corresponderá con el diseño del espacio de nombres, si bien se puede tomar la decisión de que ciertas fronteras del espacio de nombres requieran sólo OU, no dominios completos. La decisión entre una unidad organizativa y un dominio debería basarse en si es necesaria una política de seguridad independiente para las entidades en los límites del espacio de nombres. Si un límite concreto del espacio de nombres no requiere una política de seguridad diferente de la de su padre, probablemente una OU resultará una división apropiada, ya que requiere menos recursos para su implementación. Como se menciona anteriormente, se puede convertir fácilmente una OU en un dominio más adelante si resulta necesario.

Diseño de una estructura de dominios en árbol

Si se va a crear un espacio de nombres único y contiguo y, por lo tanto, una estructura de dominios


Capítulo 3

puramente en árbol, se deseará crear los dominios en orden jerárquico, comenzando por la parte superior del árbol. El primer dominio será el dominio raíz y tendrá, por lo general, o todos los usuarios en él (para modelos pequeños con un único dominio) o ningún usuario en absoluto (si se utiliza un dominio estructural como dominio raíz). Para los que estén familiarizados con los modelos de dominios de Windows NT 4, este patrón se corresponde aproximadamente con el modelo de dominio «maestro único», con una importante diferencia. Los usuarios no necesitan (y muy menudo no deberían) residir en un único dominio maestro, sino que deberían residir en el lugar real que les corresponde en la estructura de dominios.

A medida que se ramifica el árbol del espacio de nombres, se crearán dominios o unidades organizativas para cada rama del árbol. La decisión sobre si crear una OU o un DC dependerá del modelo de seguridad, la calidad de la conexión a la ubicación y variedad de otros factores, incluyendo las consideraciones políticas de la planificación original del espacio de nombres. Si se tiene alguna duda en algún punto, basta con crear una OU, que se puede actualizar fácilmente a un dominio más tarde.

Diseño de una estructura de dominios en bosque

La estructura de bosque de árboles se utiliza a menudo para adaptarse a un espacio de nombres existente que no es contiguo y no se puede hacer contiguo de forma sencilla. Al final habrá múltiples dominios raíz, todos al mismo nivel. Bajo cada uno de esos dominios raíz se tendrá un espacio de nombres contiguo para ese árbol. Cada rama del espacio de nombres será bien un dominio (con el requisito que conlleva de uno o más controladores de dominio) o una unidad organizativa. Generalmente se creará cada árbol de arriba a abajo, y cada rama del árbol tendrá automáticamente una relación de confianza transitiva con las otras ramas del árbol.

Los árboles del bosque compartirán los mismos esquemas, configuración y Catálogo global, con relaciones de confianza transitivas Kerberos, entre todos los miembros del bosque. La jerarquía de confianza dentro de cada árbol seguirá la jerarquía de denominación. Sin embargo, la jerarquía de confianza en el bosque considerado como un todo seguirá el orden en el que los árboles se unan al bosque. Este hecho es trasparente a los usuarios pero puede ser modificado por el administrador para mejorar la gestión y otros aspectos relacionados.

Directivas para la seguridad de los dominios

Dentro de cada dominio, los requisitos, la política y la configuración de seguridad son consistentes. Si se necesita modificar los requisitos y la política de seguridad para una subunidad dentro de un dominio, será necesario crear esa subunidad como otro dominio, no como OU. Conviene recordar esta limitación al planificar el espacio de nombres al completo: será necesario tener una rama independiente del espacio de nombres para poder tener una política de seguridad independiente.

La política de seguridad incluye:


Capítulo 3

● Requisitos de acceso. ● Certificados. ● Caducidad y longitud mínima de las contraseñas. ● Tarjetas inteligentes u otros complementos de autenticación. ● Restricciones de la máquina o los horarios de conexión.

Muchas de estas cosas podrán mantenerse constantes a lo largo de toda la organización, pero puede haber ciertas áreas que requieran una seguridad significativamente mayor que la que se necesita en el resto de la organización. Si es así, conviene planificar que las áreas que requieren precauciones extra se encuentren en un dominio independiente para que su seguridad más restrictiva no se imponga a toda la organización.

Creación de unidades organizativas

En las situaciones donde no es necesario crear dominios independientes por motivos de seguridad pero se quiere mantener un nivel independiente en el espacio de nombres, se creará una OU independiente. De este modo, se podría tener un dominio llamado nortam.dominio.com que se quisiera dividir en unidades de negocio dentro de la región. Se podrían crear dominios de ventas, soporte, educación, recursos humanos, producción y finanzas independientes bajo nortam.dominio.com. Sin embargo, la sobrecarga de los dominios independientes (y sus controladores necesarios) para cada una de esas unidades no es necesaria, especialmente si todas ellas comparten una única política de seguridad. Así que basta con crear una OU para cada una de ellas. Si más adelante se decide actualizar a dominio alguna de ellas, se puede hacer fácilmente.

Las unidades organizativas establecen fronteras útiles para propósitos administrativos. Se pueden delegar varias tareas y privilegios administrativos al administrador de una OU específica, liberando al administrador del dominio y proporcionando a la OU el control local de sus propios recursos.

Planificación de varios Dominios

Cuando la organización es suficientemente compleja, o simplemente suficientemente grande, como para tener que crear múltiples dominios, se debería emplear tiempo extra planificando exactamente cómo implementarlos. El tiempo empleado en la interfaz de primer plano se ahorrará a la hora de la instalación.

Conviene recuperar la estructura de dominios planificada y compararla con el espacio de nombres planificado (o existente). Hay que decidir qué debe ser simplemente un dominio y qué puede ser sin problemas una OU. Se deben identificar los servidores que serán los controladores de dominio. No hay que olvidar que los conceptos de controlador de dominio principal y controlador de reserva de dominios ya no existen. Todos los servidores dentro de un dominio tienen el mismo peso e importancia. Las modificaciones hechas a cualquier controlador de dominio se propagan al resto de controladores dentro del dominio. Si se realizan cambios simultáneos en múltiples controladores, Active Directory utilizará los números de actualización secuenciales y las marcas temporales de los cambios para resolver cualquier


Capítulo 3

conflicto.

Planificación de un espacio de nombres contiguo

Al planificar un espacio de nombres contiguo y, por lo tanto, una estructura con un único árbol, se tendrá que crear inicialmente el dominio raíz del espacio de nombres. En este espacio de nombres se crearán las cuentas administrativas principales, pero es mejor dejar la creación del resto de las cuentas para más tarde. Las cuentas de usuarios y máquinas deberían residir en las hojas del árbol donde van a realizar la mayoría de su trabajo. Esto es lo contrario que en Windows NT donde, si había múltiples dominios, a menudo era necesario crear todas las cuentas de usuario en el nivel más alto del dominio a causa de la naturaleza de las relaciones de confianza.

Si se está migrando desde un entorno Windows NT existente, se tendrán los usuarios en un dominio único o multimaestro. Se puede mantener esta disposición y puede ser la forma más sencilla de migrar desde un entorno existente.

Determinación de la necesidad de bosques

Si se tiene un entorno donde ya hay múltiples dominios raíz, o donde no existe un espacio de nombres contiguo, será necesario crear un bosque en lugar de un entorno con un único árbol. El primer paso es examinar lenta y concienzudamente los espacios de nombres no contiguos. Ahora es el momento de hacerlo. Fusionarlos después será mucho más complicado.

Creación de bosques

Si se decide que simplemente no hay forma de obtener un único espacio de nombres contiguo, lo que implica que será necesario crear un bosque, se debería decidir dónde residirá exactamente la raíz de cada árbol del bosque. Hay que pensar en las ubicaciones físicas de los potenciales controladores de dominio, la disposición de la red, el ancho de banda de cada sitio y la existencia actual de dominios y controladores Windows NT 4. Una vez que se tiene un buen mapa físico y lógico de la red, se está en disposición de planificar la estrategia de dominios.

Primero se deben crear los dominios del nivel raíz y después comenzar a construir los árboles. No es un requisito absoluto, si se pasa por alto algún árbol o algo cambia, se puede volver atrás y añadir otro árbol al bosque. Sin embargo, generalmente conviene crear primero las raíces, aunque sólo sea por mantener las cosas alineadas y las relaciones de confianza de árbol a árbol en orden.

Una vez que se ha creado la raíz de un árbol, no existe una forma sencilla de cambiarle el nombre o borrarla, por lo que no conviene apresurarse a la hora de crear la estructura de dominios. Una planificación en detalle puede evitar grandes dolores de cabeza en el futuro.


Capítulo 3


Capítulo 4

Capítulo 4

Planificar la instalación podría no reducir demasiado el tiempo total hasta que el servidor se encuentre operativo, pero reducirá el número de procesos que se tendrán que hacer, deshacer y volver a hacer de nuevo.

Requisitos del sistema

Antes de instalar Microsoft Windows 2000 Server hay que verificar que se dispone del hardware adecuado. Esto implica tanto cumplir los requisitos de sistema mínimos (y a ser posible superarlos si se quiere que el servidor realice algún trabajo real) como verificar la lista de hardware compatible (HCL, Hardware Compatibility List) de Microsoft para asegurarse de que el equipo y los periféricos son soportados.

Y, antes de comprar hardware para el servidor, hay que comprobar la HCL en la carpeta Support del CD de instalación de Windows 2000. Si el sistema no aparece en la lista, conviene comprobar la HCL en el sitio Web de Microsoft (http://www.microsoft.com/hwtest/hcl/). Si existen controladores actualizados para el hardware que se va a utilizar, conviene descargarlos y copiarlos a un disquete o disco duro disponible para poder utilizarlos durante la instalación, si es necesario.

Si un componente del sistema no aparece en la HCL se puede visitar el sitio Web del fabricante del dispositivo o contactar con él para ver si hay disponibles controladores actualizados. En general, la regla ha seguir es la siguiente: no utilizar un servidor que no es 100 por 100 compatible.

Requisitos mínimos para obtener un rendimiento adecuado:

● Intel Pentium 133 a 32 bits: Uno o más procesadores Intel Pentium II 300 ó más rápidos (o procesadores compatibles; compruébese la HCL).

● 64 Mb de RAM: 128 Mb de RAM mínimo, 256 Mb o más recomendado. ● Monitor VGA: Monitor Súper VGA con resolución de al menos 800 x 600. ● Teclado y ratón u otro dispositivo señalador: Cualquier tipo de teclado y ratón u otro

dispositivo señalador. (Si el teclado es del tipo PS/2, el ratón debe ser también PS/2 o USB) ● Partición de 850 Mb con 650 Mb de espacio libre: 2 Gb de espacio libre en un disco duro Ultra

IDE o (preferiblemente) Ultra Wide SCSI con 7200 rpm o más. ● CD-ROM de inicio 12x: No se necesita más velocidad para la instalación, aunque tiene que ser

compatible con el sistema de inicio El Torito. ● Unidad de disco de 1.44 Mb: Si se va a realizar la instalación con los cuatro discos de inicio. ● Uno o más adaptadores de red: Si se va a realizar la instalación a través de la Red

file:///D|/downloads/W2000%20server/capitulo4.htm (1 of 28) [27/12/2002 20:55:41]

Capítulo 4

Planificación de las particiones

Lo siguiente es decidir cómo se desea dividir en particiones y configurar las unidades. Microsoft recomienda utilizar el sistema de archivos de NT (NTFS) en todo el sistema, a menos que se necesite mantener la compatibilidad con otro sistema operativo existente en el equipo, algo bastante raro en un servidor. NTFS posee muchas ventajas, incluyendo eficiencia, fiabilidad, seguridad y compresión. Además, muchas características o servicios de Windows 2000 requieren una partición NTFS. Por ejemplo, para utilizar el servidor como controlador de dominio o servidor de Active Directory debe haber disponible una partición NTFS.

NTFS ha sido siempre superior a la tabla de asignación de archivos (FAT, File Allocation Table) o los sistemas de archivos FAT32, pero tiene un problema en Windows NT. Si, por alguna razón, no se puede iniciar con la unidad de disco de sistema NTFS, la única esperanza de recuperación es realizar una instalación paralela de Windows NT. Windows 2000 viene equipado con una opción de inicio en Modo seguro, al estilo de Windows 95/98, además de un Consola de recuperación especial que permite iniciar con una línea de comandos en un sistema que no inicia y acceder de forma segura a las particiones NTFS.

Se pueden crear hasta cuatro particiones primarias en una unidad de disco, o hasta tres particiones primarias y una partición extendida. Para instalar Windows 2000, se utilizará simplemente, en la mayoría de los casos, una única partición con formato NTFS en la unidad de disco de inicio de aproximadamente 1 ó 2 Gb. Conviene dejar el resto del espacio libre del disco duro sin asignar hasta después de la instalación, cuando se podrán crear particiones adicionales para programas y datos en el espacio sin asignar.

Por regla general, se utilizarán una o más unidades de disco para datos, preferiblemente configuradas con alguna clase de tolerancia a fallos. Si se utiliza una unidad o unidades de disco diferentes para los datos, conviene convertirlas en discos dinámicos y darles formato con el sistema de archivos NTFS. Este enfoque permitirá trabajar de forma sencilla con los volúmenes y almacenar la información de forma segura y eficiente.

Recogida de información de la red

Después de determinar cómo se quieren dividir en particiones las unidades de disco, hay que localizar todos los controladores para el hardware. Después, hay que almacenar (o crear) los siguientes parámetros:

● Nombre en el Sistema de nombres de dominio (DNS, Domain Name System) del equipo: Este nombre puede contener letras mayúsculas o minúsculas, números y el carácter guión. El nombre DNS del host no debe sobrepasar los 15 caracteres si se pretende que el nombre NetBIOS sea el mismo que el DNS y mantener así la compatibilidad con clientes que no sean Windows 2000.

● Nombre del dominio o grupo de trabajo al que debe unirse (si se encuentra en una red): Si


Capítulo 4

se está creando un nuevo dominio Windows 2000, este nombre debería ser compatible con el DNS: por ejemplo, midepartamento.miempresa.com.

● Dirección IP del equipo: Esto es necesario a menos que la red disponga de un servidor de Protocolo de Configuración Dinámica de Host (DHCP, Dynamic Host Configuration Protocol).

Si no se dispone de un servidor DHCP y no se asigna una dirección IP al equipo, Windows 2000 asignará al equipo una dirección IP restringida. Esta dirección IP funcionará en una red sencilla con sólo una subred IP, pero no funcionará en redes más complejas, ni funcionará como dirección IP de Internet. Para redes más complejas, conviene instalar un servidor DHCP en la red o asignar las direcciones IP manualmente. Para adquirir una dirección IP de Internet válida es necesario registrar un contexto de direcciones IP en el proveedor de servicios de Internet.

● Componentes adicionales de Windows 2000 Server ● Modo de licencia de clientes y el número de clientes simultáneos (si el modo de licencia es

Por servidor) Windows 2000 Server soporta licencias Por servidor y Por puesto. Si no se está seguro de qué modo de licencia utilizar, es mejor elegir Por servidor. Se puede cambiar de modo Por servidor a Por puesto una vez (sin coste adicional) pero no de modo Por puesto a Por servidor.

Preparación física

Una vez almacenados los siguientes parámetros, aún quedan varias tareas físicas:

● Hacer copia de seguridad de la información existente en todas las unidades de disco de las que es responsable el servidor.

● Desactivar cualquier disco espejo durante el proceso de instalación. ● Desconectar cualquier conexión a un sistema de alimentación ininterrumpida (SAI). El equipo

SAI puede interferir en la capacidad de detectar dispositivos conectados a puertos serie del programa de instalación.

● Actualizar la BIOS del sistema a la última versión disponible. Esto es especialmente importante en sistemas basados en ACPI.

Consideraciones sobre inicios duales

Bajo muchas circunstancias, un servidor no tiene dos sistemas operativos, pero algunas veces este enfoque resulta apropiado. Por ejemplo, se puede utilizar una segunda instalación paralela de Windows 2000 en el servidor para poder reparar el sistema en el caso de que no se pueda iniciar con la instalación normal. En este caso, las instalaciones deberían estar, no sólo en particiones separadas, sino en discos duros físicamente independientes. Esta precaución tiene sentido cuando se considera que una de las formas de las que se puede conseguir un sistema que no inicia es mediante una avería en el disco duro; si ambas instalaciones están en el mismo disco duro físico, no estaremos de suerte.


Capítulo 4

Si se dispone de un dispositivo extraíble de almacenamiento masivo como una unidad Jaz de Iomega, se puede realizar la instalación paralela de Windows 2000 en ese disco, que después se puede extraer para ponerlo a buen recaudo. Y se puede utilizar una segunda instalación de Windows 2000 como entorno de pruebas para esos inevitables experimentos de configuración que tendrán consecuencias impredecibles. También se podría desear mantener una instalación existente de Windows NT 4 para minimizar el tiempo de inactividad del servidor durante la transición a Windows 2000.

Múltiples copias de Windows 2000

Si se decide crear una instalación paralela de Windows 2000, se puede elegir Windows 2000 Professional en lugar de la versión completa de Windows 2000 Server como segunda instalación. Se puede usar la instalación paralela de Windows 2000 únicamente para reparar la instalación existente, y utilizar después la instalación principal para corregir los problemas adicionales que haya.

Hay que tener un nombre de equipo diferente para cada instalación de sistema operativo en una red. Para cada instalación de Windows en un dominio se genera un único identificador de seguridad (SID, Security Identifier), y cada SID se asocia con un nombre de equipo concreto. De este modo, se pueden iniciar varios sistemas operativos, pero en cada sistema el equipo se conoce en la red por un nombre distinto.

Inicios duales con Windows NT

En lugar de actualizar el servidor, se puede optar por realizar una instalación limpia de Windows 2000 Server. Una instalación limpia permite preservar la instalación existente para utilizarla en caso de que se encuentre algún problema al configurar el servidor con Windows 2000. Realizar una instalación limpia es también la única opción si el servidor ejecuta una versión de Windows anterior a la 3.51 y no se desea actualizar a la 3.51 ó 4.0. Sin embargo, cuando se realiza una instalación limpia, Windows 2000 no migra los programas y la configuración existentes como si se hubiera actualizado el servidor.

Deberemos tener presentes algunas cuestiones cuando se utilice un inicio dual entre Windows NT y Windows 2000 en equipos con unidades de disco NTFS:

● Sólo Windows NT 4 con Service Pack 4 o posterior puede acceder a las unidades de disco y volúmenes NTFS 5.

● Las características de NTFS 5 como cuotas de disco y cifrado no funcionan en Windows NT 4. (Los archivos cifrados no se pueden leer en Windows NT 4.)

● Las utilidades de disco de Windows NT 4 como Chkdsk no funcionarán con las unidades de disco NTFS 5. Habrá que utilizar las versiones Windows 2000 de estas utilidades.

● Los discos de reparación de emergencia de Windows NT 4 no se podrán utilizar nunca más. ● No se podrá reinstalar Windows NT 4 después de instalar Windows 2000, a menos que se vuelva

a crear y dar formato a la partición en la que se instaló Windows NT 4. ● Los archivos que se guarden o se creen en Windows 2000 podrían no ser accesibles en Windows


Capítulo 4

NT 4. ● Los soportes extraíbles que tengan formato NTFS se convertirán automáticamente a NTFS 5

cuando se introduzcan o se utilicen con Windows 2000. ● Windows NT 4 no podrá leer ninguna unidad de disco con el formato del sistema de archivos

FAT32.

Si se opta por un inicio dual de Windows 2000 con otro sistema operativo (o copia de Windows 2000) habrá que instalar Windows 2000 en una partición de disco independiente. Los intentos de instalar dos sistemas operativos en una única partición causarán problemas, tanto durante la instalación como poco después. Si, por alguna razón, se planifica un inicio dual de Windows 95/98 y Windows 2000, deberemos instalar Windows 95/98 primero y después Windows 2000.

Inicios duales con otros sistemas operativos

El inicio dual de Windows 2000 Server con MS-DOS, Windows 95, Windows 98 u otro sistema operativo personal como BeOS debería realizarse en computadoras de sobremesa y no en el servidor. Realizar un inicio dual con UNIX u otro sistema operativo de servidor es quizás más útil, pero se debería evitar si resulta posible.

Si se opta por realizar un inicio dual con otro sistema operativo hay que utilizar la utilidad Copia de seguridad de Windows 2000 u otro programa de copia de seguridad de Windows 2000 para realizar una copia de seguridad completa del sistema incluyendo la información del estado del sistema. Además, se debería crear un disco de reparación de emergencia utilizando la utilidad Copia de seguridad de Windows 2000 (sólo por si acaso). Al instalar o configurar los sistemas operativos, hay que tener cuidado con el Registro de inicio principal (MBR, Master Boot Record).

Inicio dual de Windows 2000 con otros Sistemas Operativos

● Windows 95/98: Instalar y reiniciar antes de la instalación de Windows 2000 para evitar que Windows 95/98 sobreescriba el MBR e impida que Windows 2000 se inicie.

● Todos los sistemas operativos: Los programas deben ser instalados de forma independiente en cada sistema operativo. Windows 2000 no se puede instalar en una unidad de disco que se haya comprimido con cualquier programa que no sea la utilidad Compresión de archivos de NTFS.

● MS-DOS, OS/2: Si se instala Windows 2000 en un equipo que ya realiza inicios duales entre MS-DOS y OS/2 por medio del comando Boot, en el inicio sólo se podrá elegir entre iniciar con Windows 2000 o con el sistema operativo iniciado más recientemente.

Instalación de Windows 2000

La elección de cómo instalar Windows 2000 Server depende de lo que ya hay en el servidor, de dónde se encuentran los archivos de instalación y de cuántas instalaciones haya que hacer. Si se dispone de


Capítulo 4

Windows 95/98 o Windows NT en la máquina, hay que ejecutar la instalación de Windows 2000 de 32 bits desde Windows 95/98 o Windows NT. También se puede iniciar desde el CD-ROM de Windows 2000 o desde el disco de inicio de instalación (o un disco de inicio de MS-DOS con controladores de CD-ROM o de red) y ejecutar el programa de instalación de Windows 2000 de 16 bits. Ambas versiones de la instalación se pueden ejecutar desde la red o se pueden automatizar.

Instalación desde Windows 95/98 ó Windows NT

Si tenemos instalado Windows 95/98 ó Windows NT, la instalación recopila información y copia los archivos que necesita el equipo para iniciar en el modo de texto de Windows 2000 y después reinicia en modo texto. Se puede entonces (opcionalmente) seleccionar la partición apropiada, después de lo cual se instala Windows 2000 en el disco duro y se pasa al Asistente para instalación de Windows 2000 en modo gráfico, que recopila más información, configura los dispositivos y termina de copiar los archivos. Después de esto, la instalación está completa y el equipo se reinicia en Windows 2000.

1. Insertar el CD-ROM de Windows 2000 y pulsar en Instalar Windows 2000, si está activa la Reproducción automática del CD-ROM (Notificación automática de inserción). Si no es así, hay que ejecutar winnt32.exe desde la carpeta \i386 del CD-ROM de Windows 2000.

2. Para instalar Windows 2000 Server desde la red, hay que ejecutar el programa winnt32.exe desde la unidad de disco de red que contenga los archivos de instalación de \w2ks y después, proceder con la instalación normalmente.

3. Dependiendo del Sistema Operativo que tengamos y de la Licencia que hayamos adquirido (Actualización o OEM), el sistema activará o desactivará las siguientes opciones, ofreciendo todas las posibilidades de instalación posibles:

● Actualizar a Windows 2000. ● Instalar una nueva copia de Windows 2000.

4. Después de elegir la opción deseada pulsamos Siguiente. 5. Contrato de Licencia: Se debe leer el contrato de licencia, seguidamente hay que elegir el botón

de opción Acepto este contrato y pulsar con el ratón en Siguiente. La instalación muestra la


Capítulo 4

ventana Seleccionar opciones especiales, y que se utiliza para personalizar las opciones de idioma, cambiar cómo copiará la instalación los archivos y activar el uso de utilidades de accesibilidad durante la instalación para usuarios con problemas de visión.

6. Seleccionar opciones especiales: En esta pantalla se pueden configurar las siguientes pociones:

● Opciones de Idioma: Si se desea configurar el sistema operativo Windows 2000 para que utilice conjuntos de caracteres de varios idiomas, hay que pulsar en el botón Opciones de idioma, elegir el idioma principal de la lista desplegable, seleccionar cualquier grupo de idiomas adicionales para los cuales se desea instalar soporte y después pulsar Aceptar

● Opciones avanzadas: Para especificar la carpeta y partición de instalación de Windows 2000, o para decirle a la instalación de Windows 2000 la ubicación de los archivos de instalación, hay que pulsar con el ratón en el botón Opciones avanzadas en la ventana Seleccionar opciones especiales para abrir la ventana Opciones avanzadas.

● Opciones de accesibilidad: Para configurar las opciones de pantalla con configuraciones especiales para disminuidos físicos.

7. Se debe pulsar en Siguiente para copiar los archivos de instalación al equipo. Después de que la instalación termine de copiar archivos, se reinicia el equipo y se pasa al modo de texto de Windows 2000 para la parte de la instalación basada en texto.

Instalación desde un sistema con MS-DOS

Instalación desde un sistema con MS-DOS, la instalación copia los archivos necesarios al disco duro para reiniciar en el modo de texto de Windows 2000 y después lo hace. La instalación realiza el mismo proceso que hubiera realizado si se hubiera iniciado desde un CD-ROM o disco de inicio de instalación de Windows 2000.

Instalación desde los discos de inicio de instalación de Windows 2000 ó desde el CDROM

Si no se dispone de Windows 95/98 o Windows NT instalado en el servidor, es necesario iniciar el


Capítulo 4

sistema con el CD-ROM de Windows 2000 o los disquetes de inicio de instalación y configuración. (También se puede iniciar con un disco de inicio MS-DOS, pero es mucho más lento.)

Para iniciar desde el CD-ROM de Windows 2000, hay que introducir el CD en la unidad y reiniciar el sistema. Si la instalación no comienza automáticamente, quizás sea necesario configurar el inicio en la BIOS para decirle al sistema que utilice la unidad CD-ROM antes que el disco duro.

Si no es posible iniciar desde el CD-ROM, hay que introducir el Disco de instalación 1 en la disquetera y reiniciar la máquina. Se solicitará el resto de los disquetes de instalación y, entonces, el equipo pasará a la fase en modo texto de la instalación de Windows 2000, como se describe en la siguiente sección.

Fase del Programa de instalación en modo texto

Cuando se inicia desde el CD-ROM o los disquetes de Windows 2000, o cuando se reinicia la primera vez después de ejecutar la instalación desde MS-DOS, Windows 85/98 o Windows NT, se entra en la fase basada en texto en la cual el programa de instalación copia los archivos necesarios para reiniciar en Windows 2000 para la porción de la instalación basada en GUI. Durante la fase basada en texto de la instalación, hay que seguir los siguientes pasos:

1. La primera pantalla que aparece es la de Instalación de Windows 2000 Server, en la que se presentan tres posibilidades: Instalar Windows 2000, actualizar una instalación previa o salir del programa de instalación. Para continuar con la instalación hay que pulsar Intro.

2. Hay que leer el contrato de licencia de Windows 2000 Server. Se puede utilizar la tecla AV PÁG para desplazarse hacia abajo, y pulsar después F8 para continuar. Buscará instalaciones de Windows 2000 que pueda actualizar y si las encuentra nos pedirá que confirmemos si queremos actualizar o realizar una instalación nueva.

3. En la siguiente pantalla, se pide elegir en qué disco y partición se quiere instalar Windows 2000. Se muestran todas las unidades de disco y particiones reconocidas del sistema, clasificadas por identificador SCSI o IDE y el número de bus. Hay que seleccionar una partición o espacio sin dividir en particiones utilizando las teclas de dirección del teclado.Si se dispone de una unidad extraíble con capacidad de 829 Mb o más, se puede instalar Windows 2000 en un disco extraíble. Este paso sólo está recomendado para instalaciones paralelas, no para la instalación principal de Windows 2000.

4. Para borrar la partición seleccionada, hay que pulsar D; para crear una nueva partición, hay que seleccionar algún espacio libre sin dividir en particiones y pulsar c. Si se elige crear una nueva partición, la instalación preguntará si se quiere dar formato a la partición con el sistema de archivos NTFS o FAT. Si se escoge el sistema de archivos FAT en una partición mayor de 2 Gb, la partición se dará formato con el sistema de archivos FAT32.Al borrar una partición, se borra toda la información que contiene. No se debe borrar una partición a menos que toda su información se encuentre en una copia de seguridad fiable.

5. Cuando se termine de modificar las particiones, hay que seleccionar la partición en la que se desea instalar Windows 2000 y pulsar Intro.


Capítulo 4

6. La instalación pedirá confirmación sobre la elección de la partición y se dará la opción de formatear en FAT o NTFS. Si hubiera una partición formateada previamente, aparecerá una tercera opción que nos permitirá dejar la partición con el mismo sistema de archivos que ya tiene. Seleccionamos la opción correcta y pulsamos Intro.

7. La instalación comprueba la ausencia de errores en los discos duros y copia entonces los archivos apropiados en la recién creada carpeta de Windows 2000 (llamada \WINNT de forma predeterminada). Cuando la instalación termina de copiar los archivos, pide que se extraiga cualquier disquete o CD-ROM, y entonces reinicia el sistema e inicia el Asistente para la instalación de Windows 2000.

Asistente para la instalación de Windows 2000

Cuando la fase basada en texto de la instalación concluya, el equipo reiniciará y Windows 2000 se iniciará por primera vez, cargando el Asistente para la instalación de Windows 2000. Para utilizar el Asistente para la instalación hay que seguir los pasos que se indican a continuación. Al final de cada paso hay que pulsar con el ratón el botón Siguiente o el botón Aceptar para continuar.

1. Pantalla Instalando Dispositivos: el Asistente para la instalación detecta y configura los dispositivos instalados en el equipo. Si la instalación no puede detectar de forma apropiada un dispositivo, mostrará un cuadro de diálogo de configuración de dispositivo para la configuración manual del dispositivo.

2. Configuración regional: Después de detectar el hardware, se solicitan los parámetros regionales. Estos parámetros afectan a factores tales como la disposición del teclado y cómo se muestran las fechas y la moneda.Para escoger la localización que se quiere utilizar, para establecer la posibilidad de leer y escribir documentos en otros idiomas o para especificar el formato de números, fechas y monedas, hay que pulsar el primer botón Personalizar.

● En el cuadro de lista desplegable Su idioma (ubicación), hay que elegir la localización que se desea utilizar para la configuración de números, monedas y fecha y hora. Para configurar el sistema de forma que se puedan leer o escribir documentos en otros idiomas, hay que seleccionar la casilla de verificación situada junto a los idiomas que se quieren activar para lectura y escritura. Las otras pestañas se utilizan para modificar el formato de los números, monedas, fechas y horas.

● Para modificar la disposición del teclado, hay que pulsar el segundo botón Personalizar en la ventana Configuración regional, y utilizar entonces las opciones de Idiomas instalados para configurar el teclado para el idioma que se quiere utilizar. Hay que pulsar Siguiente.

3. Personalización del Software: Se debe introducir el nombre de la persona bajo la que se registrará el equipo además de la empresa.

4. Clave del Producto: Introducir el CD-KEY del producto que se está instalando. 5. Modos de licencia: Hay que escoger el modo de licencia en la siguiente ventana, como Por

servidor o Por puesto. Por defecto aparecerán las licencias para las que tiene el producto. Si se escoge Por servidor, hay que especificar cuántas Licencias de acceso de cliente se han adquirido.

6. Nombre del equipo y contraseña del administrador: Hay que introducir el nombre del equipo


Capítulo 4

en el cuadro de texto Nombre de equipo. El nombre del equipo puede contener los números del cero al nueve, letras en mayúscula y minúscula y el carácter guión, pero no espacios o puntos. El nombre debería ser compatible con DNS y puede tener un máximo de 63 caracteres de longitud, pero en interés de la compatibilidad con clientes anteriores a Windows 2000, debería ser menor de 15 caracteres.

7. Tras introducir el nombre del equipo, hay que introducir la contraseña de la cuenta del administrador de hasta 14 caracteres de longitud en el cuadro de texto Contraseña de administrador, y escribirla de nuevo en el cuadro de texto Confirmar contraseña. Hay que pulsar Siguiente.Para hacer que el sistema sea lo más seguro posible, hay que asignar siempre una contraseña a la cuenta de administrador, preferiblemente una contraseña de al menos siete caracteres de longitud y que consista en letras y caracteres mezclados, mayúsculas y minúsculas. También se debería limpiar el historial de accesos después de instalar Windows 2000 para que los aspirantes a hackers tengan que adivinar tanto la contraseña como el nombre de usuario. Otra buena precaución después de la instalación es utilizar la cuenta de administrador incorporada para crear una segunda cuenta con todos los privilegios administrativos. Esta cuenta puede tener el nombre del administrador o llamarse de alguna forma descriptiva. Conviene usarla para el trabajo administrativo de cada día. Hay que asignar una contraseña especial segura para la cuenta de administrador incorporada y cambiarle el nombre predeterminado. Hay que esconder la contraseña y el nombre en algún lugar seguro y relegar esa cuenta a una semi-jubilación. Como es posible desactivar cualquier cuenta de administrador, incluyendo la cuenta de administrador incorporada, resulta prudente tener una cuenta de reserva. De esta forma, siempre se tendrá una cuenta de administrador no contaminada; y que se sabe que es buena, a la que recurrir sólo si se da el caso.

8. Componentes de Windows 2000: La siguiente ventana sirve para seleccionar los componentes a instalar en este momento. Para instalar una opción, hay que seleccionar la casilla de verificación situada a la izquierda de la opción, o seleccionar la opción y pulsar con el ratón en el botón Detalles para modificar los subcomponentes que se deseen instalar.

9. En la ventana de ubicación de marcado que se muestra si la instalación detecta un módem, hay que seleccionar el país, introducir el código de zona o la línea telefónica (si la hay), introducir los códigos necesarios para obtener línea al exterior y pulsar Siguiente. (Se pueden escoger localizaciones adicionales o modificar la localización actual por medio de la herramienta Opciones de teléfono y módem del Panel de control cuando haya concluido la instalación.)

10. Valores de fecha y hora: Hay que revisar la fecha, hora e información de la zona horaria, realizar cualquier corrección necesaria y pulsar Siguiente para configurar los parámetros de red.

11. Si se seleccionó Servicios de Terminal Server, hay que escoger el modo de operación, que puede ser Modo de administración remoto o Modo de servidor de aplicaciones. Pulsar Siguiente.

12. Configuración de Red: Nos da dos posibilidades de configuración, una personalizada o típica. ● Configuración típica: se instalan los siguientes protocolos y servicios de red usados

comúnmente: Cliente para redes Microsoft, Compartir impresoras y archivos para redes Microsoft y TCP/IP configurado para utilizar DHCP (o Direcciones IP privadas automáticas (APIPA, Automatic Prívate IP Adressing) si no hay ningún servidor DHCP disponible.)


Capítulo 4

● Configuración personalizada: muestra la lista predeterminada de componentes de red y que se puede modificar según las necesidades. Para instalar componentes adicionales hay que pulsar el botón Instalar, seleccionar Cliente, Servicio o Protocolo, pulsar Agregar, seleccionar el componente deseado y pulsar Aceptar. Para desactivar un componente instalado hay que desmarcar la casilla de verificación situada al lado del componente y pulsar Desinstalar para eliminarla del sistema.

13. Grupo de Trabajo y Dominio: Para unirse a un grupo de trabajo, hay que elegir la primera opción de la ventana Grupo de trabajo o dominio del equipo y escribir el nombre del grupo de trabajo en el cuadro de texto Dominio o grupo de trabajo del equipo.

14. Si se está configurando un nuevo dominio, hay que escoger la primera opción y teclear en el cuadro de texto Dominio o grupo de trabajo del equipo el nombre del dominio futuro (la instalación hace que se cree un grupo de trabajo con ese mismo nombre). Para unirse a un dominio existente, hay que pulsar la segunda opción e introducir el nombre del dominio al que se desea unirse en el cuadro de texto Dominio o grupo de trabajo del equipo.

15. Hay que pulsar Siguiente cuando se haya terminado de configurar los parámetros del dominio o grupo de trabajo. Si se escoge unirse a un dominio, aparece un cuadro de diálogo pidiendo la introducción de un nombre de usuario y una contraseña para un usuario con permisos suficientes para crear una nueva cuenta de equipo para el servidor. Hay que introducir el nombre de usuario y la contraseña y pulsar después Aceptar. La instalación inicia sesión en el dominio y configura una cuenta de equipo para el servidor.

16. Instalando componentes: El programa instala después los componentes especificados y configura Windows 2000. Cuando finaliza ese proceso, se borran todos los archivos de instalación temporales y se solicita la extracción de cualquier CD-ROM o disquete que haya en las unidades. Hay que pulsar Finalizar para reiniciar el equipo.

17. Si se produce algún error durante el proceso de instalación, el programa de instalación muestra un mensaje de error y pregunta si se desea ver el archivo de registro setuplog.txt creado. Para hacer esto, hay que pulsar Aceptar. Conviene revisar el archivo y pulsar después Cerrar para reiniciar el sistema.

18. Cuando la instalación reinicie el equipo, se verá la ventana de inicio de sesión estándar de Windows 2000. Cuando se inicie sesión aparecerá el asistente para Configurar el servidor que servirá de guía durante la configuración de los parámetros adicionales del servidor.

Automatización de las instalaciones de Windows 2000 Server

La instalación de Windows 2000 Server, como la instalación de cualquier sistema operativo, dura bastante tiempo. La configuración de múltiples servidores puede consumir días enteros si se configura cada servidor manualmente. El tiempo que se puede ahorrar mediante la automatización de las instalaciones para un gran número de servidores similares compensa con creces los contratiempos ocasionales que puedan aparecer.

Antes de automatizar las instalaciones, se debería realizar un par de instalaciones manuales para familiarizarse mejor con el proceso de instalación. Conviene revisar los puntos anteriores y prestar atención durante el proceso de instalación. Se puede avanzar un paso y utilizar los modificadores de la


Capítulo 4

línea de comandos para automatizar parcialmente la instalación. Después de eso, se pueden crear algunos guiones que automaticen partes del proceso de instalación pero que aún permitan al usuario introducir datos en otras partes. Cuando el proceso resulte familiar, se pueden crear y probar guiones de instalación completamente automatizados.

Si el tiempo para ajustar los guiones de instalación crece demasiado, conviene tener en cuenta que es necesario automatizar completamente todas las instalaciones. El uso de los archivos de respuesta automatizados (guiones de instalación) puede proporcionar considerables ahorros de tiempo, pero es importante elegir el nivel de automatización apropiado para un trabajo concreto. Eso implicará crear algunas veces un único archivo de respuesta que se utilizará para implantar cientos de servidores, y otras significará utilizar sólo uno o dos parámetros de la línea de comandos para acelerar la instalación de un único servidor.

Parámetros de la línea de comandos del Programa de instalación

Se puede hacer más eficiente el proceso de instalación en una única máquina ejecutando el programa de instalación con parámetros de la línea de comandos; también se pueden utilizar los parámetros de la linea de comandos para especificar un archivo de respuesta que automatice completamente la instalación Para utilizar un parámetro de la línea de comandos en un equipo sin Windows 95/98 o Windows NT, hay que iniciar el equipo con un disco de inicio MS-DOS o Windows 95/98. Después, en el símbolo del sistema, hay que escribir [ruta de acceso]\winnt.exe [parámetro], sustituyendo [ruta de acceso] por la ubicación de los archivos de instalación de Windows 2000.

Para utilizar un parámetro de la línea de comandos en un equipo con Windows 95/98, Windows NT o Windows 2000, hay que iniciar el equipo con el sistema operativo y abrir una ventana con el símbolo del sistema. Después hay que escribir [ruta de acceso]\winnt32.exe [parámetroJ, sustituyendo [ruta de acceso] por la ubicación de los archivos de instalación de Windows 2000 además de reemplazar [parámetro] por el parámetro o parámetros apropiados que se desean utilizar.

Parámetros del comando WINNT.EXE:

● /a: Activa las Características de accesibilidad durante la instalación. ● /e:[comando]: Ejecuta el comando que sigue al parámetro /e: cuando finaliza el Asistente para la

instalación de Windows 2000. ● /i:[archivo inf]: Especifica el archivo de información (.INF) que ha de utilizar Instalar (el

predeterminado es dosnet.inf). No hay que incluir la ruta de acceso al archivo. ● /r:[carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la cual se instala

Windows 2000. La carpeta permanece después de que el programa de instalación termine, y se pueden copiar carpetas adicionales utilizando varios parámetros /r:.

● /rx:[carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la que se instala Windows 2000. La carpeta se borra cuando el programa de instalación termina.


Capítulo 4

● /s:[ruta origen]: Especifica la ubicación de los archivos de instalación de Windows 2000. (La forma predeterminada es la carpeta actual.) Debe de ser una ruta de acceso completa, X:\ruta o \\servidor\ruta\compartida. Para especificar múltiples rutas de acceso para que el programa de instalación busque los archivos necesarios, hay que utilizar varios parámetros /s:.

● /t:[letra de unidad]: Especifica la unidad de disco donde se quiere que el programa de instalación copie sus archivos temporales. De forma predeterminada, el programa de instalación utiliza la partición con mayor espacio libre.

● /u:[archivo de respuestas]: Ejecuta el programa de instalación en modo desatendido utilizando el archivo de respuestas proporcionado. Se debe utilizar el modificador /s: para especificar la ubicación del archivo de respuestas.

● /udf:[id, archivo UDF]: Especifica un archivo de base de datos único (UDF, Uniqueness Database File) para modificar un archivo de respuestas. El ID identifica qué parámetro del archivo de respuestas debería reemplazarse con información del archivo UDF. Por ejemplo, /udf:ComputerName,nuestra_empresa.udf tomaría el Nombre de la empresa del archivo .UDF en lugar del archivo de respuestas. Si no se especifica un archivo UDF, se pedirá la introducción de un disco que contenga el archivo $Unique$.udf.

Parámetros del comando WINNT32.EXE:

● /checkupgradeonly: Ejecuta una prueba de compatibilidad en el equipo para ver si tiene algún problema que pudiera interferir con la actualización del SO. Guarda un informe Winnt32.log en la carpeta de instalación para las actualizaciones de NT, o un informe Upgrade.txt en la carpeta Windows para las actualizaciones de Windows 95/98.

● /cmd:[comando]: Ejecuta el comando que sigue al parámetro /cmd: cuando el Asistente para la instalación de Windows 2000 termine.

● /cmdcons: Activa el uso de la Consola de recuperación durante el inicio para poder reparar instalaciones fallidas. Sólo se puede utilizar después de que se haya instalado Windows 2000.

● /copydir:[nombre de carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la que se instala Windows 2000 (\Winnt). La carpeta permanece cuando el programa de instalación termina y se pueden copiar carpetas adicionales utilizando el parámetro varias veces. La carpeta puede contener controladores u otros archivos necesarios después de la instalación.

● /copysource:[nombre de carpeta]: Nombra una carpeta adicional que debe ser copiada en la carpeta en la cual se instala Windows 2000. La carpeta se borra cuando el programa de instalación termina.

● /debug[nivel: nombre de archivo]: Crea un archivo de registro de depuración con el nivel especificado. El predeterminado crea un archivo de registro llamado C:\winnt32.log con el nivel establecido a 2 (Advertencias).

● /m:[nombre de carpeta]: Especifica la ubicación de una carpeta que contiene los reemplazamientos de los archivos de sistema. El programa de instalación examina primero esta carpeta cuando busca los archivos a copiar y después la carpeta de instalación.

● /makelocalsource: Informa al programa de instalación que copie todos los archivos de la instalación al disco duro local para que estén disponibles más adelante durante la instalación si el CD-ROM de Windows 2000 o el recurso de red compartido no está accesible.


Capítulo 4

● /noreboot: Informa al programa de instalación que no reinicie después de que finalice la fase inicial de copia de archivos de Windows NT/95/98/2000 de la instalación. Esto permite ejecutar comandos adicionales antes de continuar.

● /s:[ruta de origen]: Especifica la ubicación de los archivos de instalación de Windows 2000. (La forma predeterminada es la carpeta actual.) Debe ser una ruta de acceso completa, X:\ruta o \\servidor\ruta\compartida. Para especificar múltiples rutas de acceso para que el programa de instalación busque los archivos necesarios, hay que utilizar varios parámetros /s:. (Algunas veces también se pueden acelerar las transferencias desde un servidor especificando el mismo origen más de una vez.) El programa de instalación fallará si el primer servidor no está disponible.

● /syspart:[letra de unidad]: Especifica un disco duro al cual se quieren copiar los archivos de inicio de la instalación. Se marca como activa esta unidad de disco y el programa de instalación termina, permitiendo extraer el disco e insertarlo en otro equipo. Cuando se inicie de nuevo el equipo, la siguiente fase de la instalación comenzará automáticamente. Hay que usar el parámetro /tempdrive junto con el parámetro /syspart (ambos apuntando a la misma unidad de disco).

● /tempdrive:[letra de unidad]: Especifica la unidad de disco donde se quiere que el programa de instalación copie sus archivos temporales e instale Windows 2000. De forma predeterminada, el programa de instalación utiliza la partición con mayor espacio libre.

● /unattend: Actualiza la versión anterior de Windows en modo desatendido, tomando toda la configuración de la instalación anterior. Los OEMs no deberían utilizar el modificador unattend en las ventas para usuarios finales porque admite de forma explícita la comprensión y aceptación del contrato de licencia para usuarios finales (EULA, End User Licence Agreement).

● /unattend:[núm:archivo de respuestas]: Ejecuta el programa de instalación en modo desatendido utilizando el archivo de respuestas proporcionado. El parámetro núm especifica el número de segundos que debe esperar después de copiar los archivos y antes de reiniciar el equipo, y sólo funciona cuando se ejecuta el programa de instalación desde Windows 2000. Hay que utilizar el modificador /s: para especificar la ubicación del archivo de respuestas.

● /udf:[id, archivo UDF]: Especifica un UDF a utilizar para modificar un archivo de respuestas. El ID identifica qué parámetro del archivo de respuestas debería reemplazarse con información del archivo UDF. Por ejemplo, /udf:ComputerName,nuestra_empresa.udf tomaría el Nombre de la empresa del archivo .UDF en lugar del archivo de respuestas. Si no se especifica un archivo UDF, se pedirá la introducción de un disco que contenga el archivo $Unique$.udf.

Como se puede ver, muchos de estos parámetros se apoyan en otros parámetros, y muy pronto se acabarán escribiendo (y algunas veces reescribiendo) largas cadenas en el símbolo del sistema. Si se acaba haciendo esto a menudo, conviene crear un archivo de procesamiento por lotes (un archivo de texto con la extensión .BAT) que contenga el comando y los parámetros del programa de instalación.

Entonces, basta simplemente con ejecutar el archivo procesamiento por lotes en lugar de escribir todos los parámetros.

Creación de una carpeta de distribución

Una carpeta de distribución (llamada algunas veces directorio origen) es una carpeta compartida en el


Capítulo 4

servidor que contiene la carpeta \i386 del CD-ROM y cualquier controlador de dispositivo u otros archivos que se añadan para dar soporte a sistemas específicos:

Si se utiliza la herramienta Setup Manager del Kit de recursos de Windows 2000 para crear guiones de instalación automatizados, se puede disponer de una carpeta de distribución ya creada. O se puede crear esta carpeta manualmente. Para crearla hay que seguir los siguientes pasos:

1. Conectarse al volumen donde se quiere crear la carpeta de distribución. Copiar la carpeta \i386 desde el CD-ROM de Windows 2000 al volumen en el cual se quiere crear la carpeta de distribución.

2. Crear una subcarpeta en la carpeta \i386 para cualquier controlador o programa adicional que se quiera preinstalar en los sistemas. Todos los archivos y carpetas de esta carpeta se copian a la carpeta temporal de la instalación durante el proceso de instalación.

3. Crear las subcarpetas adicionales necesarias para las instalaciones.Con Windows 2000, se pueden aplicar service packs a las carpetas de distribución. Esto no sólo elimina el paso del service pack del proceso de instalación, sino que también asegura que si en algún momento un equipo necesita los archivos originales de Windows 2000 de la carpeta de distribución, recibe archivos actualizados. (De esta forma los service packs no tienen que ser reaplicados nunca más tras cambiar la configuración del sistema.) Para actualizar una carpeta de distribución, hay que ejecutar el programa de instalación del service pack y dirigirlo a la carpeta de distribución.

Subcarpetas que se pueden crear para almacenar archivos extra

Carpeta Descripción

\$OEM$\textmode La carpeta en la cual se sitúa cualquier archivo dependiente del hardware para utilizarlo durante la carga de la instalación de Windows 2000 y durante la fase en modo texto del programa de instalación. Entre estos archivos se incluye cualquier HAL del fabricante de equipos original (OEM, Original Equipment Manufacturer) que se podría usar, además de controladores SCSI actualizados, de teclado, de vídeo y de dispositivos señaladores.En esta carpeta se incluye también el archivo txtsetup.oem para controlar la carga e instalación de estos archivos. Para crear el archivo txtsetup.oem hay que crear un archivo de texto normal e incluir los nombres de todos los archivos de esta carpeta. (Hay que asegurarse de incluir este archivo y todos los archivos mencionados en el archivo Unattend.txt, bajo la sección [OEMBootFiles].)


Capítulo 4

\$OEM$\$$ La carpeta que contiene cualquier archivo o archivos de sistema nuevos que reemplazan a los archivos de sistema existentes. Estos archivos se copian en los diferentes subdirectorios que se crean en la carpeta de sistema de Windows 2000 (\winnt).Esta carpeta debe tener una estructura que se corresponda exactamente con las subcarpetas de sistema de Windows 2000 para aquellas carpetas en las que se quieran añadir o reemplazar archivos de sistema. Por ejemplo, para copiar archivos nuevos o de reemplazamiento en la carpeta \%windir%\System32, hay que crear una carpeta \$OEM$\$$\System32.

\$OEM$\$1 La carpeta en la cual se sitúan los archivos que se quieren copiar a la unidad de disco donde se instalará Windows 2000. Es equivalente a la variable de entorno %systemdrive% y se puede utilizar para permitir que las letras de unidad cambien sin causar problemas a las aplicaciones que se dirigen a una letra de unidad debido a su codificación. También se pueden crear subcarpetas aquí para los archivos que se desee y toda la estructura de carpetas se copiará a la unidad del sistema.

\$OEM$\letra_unidad La carpeta que especifica los archivos y carpetas adicionales que se han de copiar a la carpeta raíz de la unidad de disco mencionada. Habrá una entrada para cada unidad que necesite archivos adicionales. Por ejemplo, los archivos situados en la carpeta \$OEM$\C se copian en la carpeta raíz de la unidad C: durante la fase enmodo texto de la instalación. También se copia cualquier subcarpeta de la carpeta \$OEM$\C.Todos los archivos deben utilizar nombres cortos (8.3), pero se pueden renombrar después de la instalación incluyéndolos en el archivo $$Rename.txt.

Las carpetas \Display y \Net que se utilizaban en la carpeta \$OEM$ en Windows NT 4 ya no se usan en Windows 2000. También se puede situar la carpeta \$OEM$ fuera de la carpeta de distribución si se incluye la ruta de acceso (archivo o UNC) a la carpeta \$OEM$ en el archivo de respuestas después de la clave OEMFILESPATH.

Instalación de controladores Plug and Play en la carpeta de distribución

Para configurar la carpeta de distribución con controladores Plug and Play (PnP) hay que seguir los siguientes pasos:


Capítulo 4

1. Crear una subcarpeta en la carpeta \$OEM$\$1 con un nombre que no contenga más de ocho caracteres.

2. Dentro de la subcarpeta creada se pueden crear subcarpetas adicionales para clasificar los dispositivos; por ejemplo, se deberían tener los siguientes directorios:\$OEM$\$1\Company\Net \$OEM$\$1\Company\Video \$OEM$\$1\Company\Sound

3. Copiar los controladores y los archivos .INF en la subcarpeta apropiada. 4. Si no se crean subcarpetas adicionales y se sitúan todos los controladores en una única subcarpeta

(por ejemplo, \$OEM$\$1\Company), hay que añadir la siguiente línea al archivo de respuestas: OEMPnPDriversPath = "Company".Si se crean múltiples subcarpetas para las unidades, hay que añadirlas al archivo de respuestas con el siguiente formato, en el que cada referencia a carpeta va separada por punto y coma: OEMPnPDriversPath = "Company\net; Company\video; Company\sound" .

Conversión de los nombres de archivo cortos en nombres de archivo largos de nuevo

La instalación en modo texto de Windows 2000 requiere el uso de los formatos de archivo 8.3 de MS-DOS porque el programa está basado en una implementación MS-DOS de 16 bits. Por lo tanto, todos los archivos que se incluyan en la carpeta de distribución necesitan tener nombres cortos compatibles con MS-DOS. Sin embargo, el programa de instalación los convertirá en nombres largos mediante el uso de un archivo de renombramiento. Para crear un archivo de renombramiento, hay que seguir los siguientes pasos:

1. Abrir el Bloc de notas. 2. Entre corchetes hay que escribir la ruta de acceso a la subcarpeta que contenga los archivos que se

quieren renombrar (dejándola en blanco o utilizando el carácter barra invertida (\) para la carpeta raíz).

3. Debajo de la cabecera entre corchetes hay que introducir cada nombre de archivo corto que se desea renombrar (sin encerrarlo entre comillas) seguido de un signo igual y el nombre de archivo largo entre comillas.

4. Se debe repetir el paso 3 con cada subcarpeta adicional en la cual haya archivos o carpetas que sea necesario renombrar. A continuación se muestra un ejemplo de archivo de renombramiento:[media] nmarchl.txt = "Aquí el nombre de archivo largo.txt" ding.wav = "Campanada realmente alta y molesta.wav" whiz.drv = "Whizbang Deluxe Video.drv" [images] desktpl.bmp = "logo empresarial.bmp" desktp2.bmp = "logo de división.bmp"

5. Hay que guardar el archivo como $$rename.txt en la carpeta de distribución antes de ejecutar el programa de instalación.


Capítulo 4

También se incluye un archivo $$rename.txt ejemplo en el CD adjunto, en la carpeta \Samples\Chapter 5\unattend files.

Creación de archivos de respuestas por medio del Asistente para administración de la instalación

Cuando se instala Windows 2000, el programa de instalación se detiene varias veces a lo largo del camino esperando la introducción de datos por parte del usuario. Los archivos de respuesta son simplemente archivos de texto que suministran esos datos al programa de instalación, automatizando de este modo la mayor parte del proceso de instalación. Si se dispone del Kit de recursos de Windows 2000, se tiene el Asistente para administración de la instalación de Windows 2000, una práctica herramienta para crear archivos de respuestas.

Es un paso, que realmente ahorra trabajo, se puede configurar un servidor o cliente típico y dejar después que el Asistente para administración de la instalación construya un archivo de respuestas que duplique la configuración de la máquina. Después se puede utilizar el archivo de respuestas para configurar múltiples versiones de la máquina típica.

Para crear un nuevo archivo de respuestas hay que instalar primero las herramientas de soporte del Kit de recursos de Windows 2000. Después hay que elegir el comando Ejecutar del menú Inicio, escribir setupmgr en el cuadro de texto Abrir y seguir los siguientes pasos:

1. Pulsar Siguiente para empezar a utilizar el asistente, y escoger entonces la opción de crear un nuevo archivo de respuestas. El Asistente para administración de la instalación de Windows 2000 recorre la creación o modificación de archivos de respuestas que se pueden utilizar para automatizar las instalaciones.

2. Elegir el tipo de instalación para el que se quiere crear un archivo de respuestas escogiendo el tipo de instalación apropiado. A continuación, pulsar Siguiente. ,

3. Seleccionar el producto para el cual se está creando el archivo de respuestas. 4. Suministrar el nombre y la empresa que se quieren utilizar, y después pulsar con el ratón en

Siguiente. (El cuadro de diálogo dice que si se dejan las cajas en blanco, no se especificará ningún nombre o empresa en el archivo de respuestas, pero para un archivo de respuestas totalmente automatizado, se requieren nombre y empresa.)

5. Especificar el modo de licencia que utilizarán los servidores, y, si es necesario, para cuántas conexiones simultáneas se dispone de licencia; después hay que pulsar Siguiente.

6. Crear una lista de nombres de equipo para que la utilicen los sistemas. Se debe introducir un nombre de equipo en el cuadro de texto Nombre de equipos, y pulsar después Agregar. El Asistente para administración de la instalación de Windows 2000 toma los nombres (si hay dos o más) y crea un UDF que el programa de instalación consultará para obtener los nombres de los equipos, utilizando cada nombre solamente una vez. Conviene asegurarse de que los nombres de equipo son tanto compatibles DNS como compatibles NetBIOS si se quiere mantener la compatibilidad con clientes anteriores a Windows 2000. Hay que continuar introduciendo todos los nombres de equipo necesarios para el número de sistemas que se espera configurar por medio


Capítulo 4

de este archivo de respuestas. Para eliminar un nombre de la lista, hay que seleccionar el nombre y pulsar después el botón Quitar. Para importar una lista de nombres desde un archivo de texto, hay que pulsar el botón Importar. Se puede seleccionar Generar de forma automática nombres de equipo basados en nombres de organización para que el programa de instalación lo haga automáticamente: los nombres incluirán unas pocas letras del nombre de la empresa pero, por otro lado, serán aleatorios e inútiles. Cuando se haya terminado, hay que pulsar Siguiente.A la hora de determinar el nivel de interacción que se le va a solicitar al usuario, existen varias alternativas, y la elección que se haga determina el nivel de atención al proceso necesario por la persona que ejecute la instalación. A continuación se incluye una explicación más detallada de los niveles de interacción:

● Proporcionar valores predeterminados (Provide Defaults): Utiliza la información del archivo de respuestas como respuestas predeterminadas durante la instalación de Windows 2000. El usuario todavía tiene que confirmar los valores predeterminados o realizar cambios a medida que progresa la instalación.

● Completamente automatizado (Fully Automated): Automatiza completamente la instalación por medio de los parámetros especificados en el archivo de respuestas proporcionado. Esta opción resulta adecuada para configurar rápidamente múltiples sistemas con idénticas configuraciones.

● Ocultación de páginas (Hide Pages): Automatiza las partes de la instalación para las que se proporciona información, pero requiere que el usuario suministre cualquier información que no se incluya en el archivo de respuestas. Se puede utilizar esta opción para configurar un sistema de una forma específica, al tiempo que aún se permite al usuario personalizar algunas opciones limitadas. (El usuario sólo verá las partes de la instalación que no se cubran en el archivo de respuestas.)

● Sólo lectura (Read Only): Oculta las partes de la instalación para las que se proporciona información, al igual que la opción Ocultación de páginas. Sin embargo, si se suministra en el archivo de respuestas sólo parte de las respuestas de una ventana (y por lo tanto no está oculta para el usuario), el usuario puede completar sólo la porción no respondida de la ventana. Los parámetros proporcionados en el archivo de respuestas no se pueden cambiar durante la instalación.

● GUI atendida (GUI Attended): Automatiza la parte basada en texto de la instalación. La persona que ejecute el programa de instalación suministrará respuestas para el Asistente para la instalación de Windows 2000. Conviene usar este nivel cuando se quiera automatizar la parte de la instalación basada en texto y permitir que la persona que ejecute la instalación proporcione los parámetros durante la parte GUI.

7. La siguiente ventana se puede utilizar para especificar cómo han de elegirse las contraseñas de las cuentas de administrador de los sistemas.El archivo de respuestas que crea el Asistente para administración de la instalación de Windows 2000 es un archivo de texto no cifrado. Si se especifica una contraseña de cuenta de administrador en el archivo de respuestas, hay que asegurarse de que después de la instalación se cambie la contraseña de la cuenta de administrador por algo más seguro.

8. Se puede seleccionar la configuración de pantalla que va a utilizar el equipo durante la instalación en la siguiente ventana. Se podrían dejar los valores predeterminados o bien utilizar los


Capítulo 4

parámetros más básicos (pantalla a 640 x 480 con 16 colores y 60Hz) para asegurar la compatibilidad. También se puede especificar una configuración personalizada pulsando en el botón Personalizada y especificando los parámetros deseados, pero se recomienda seguir adelante con el mínimo común denominador de los parámetros para reducir problemas en la instalación. Se puede ajustar la resolución y los colores después de la instalación si es necesario. A continuación hay que pulsar Siguiente.

9. Se puede elegir la opción Configuración típica para instalar TCP/IP, activar DHCP e instalar el Cliente para redes Microsoft en los sistemas, o se puede elegir la opción Configuración personalizada para especificar cómo se desean configurar los parámetros de red de los sistemas. A continuación, pulsar Siguiente.

10. Esta ventana ofrece la opción de unir el equipo o equipos a un dominio o a un grupo de trabajo. Si los sistemas se van a unir a un grupo de trabajo hay que elegir la opción Grupo de trabajo y escribir el nombre del grupo de trabajo apropiado.Si los sistemas se van a unir a un dominio, hay que elegir la opción Dominio de servidor Windows. Hay que escribir el nombre del dominio de Windows Server en el cuadro de texto proporcionado. Para crear una cuenta para el equipo en el dominio se debe pulsar la casilla de verificación Crear una cuenta de equipo en el dominio y suministrar un nombre de usuario y contraseña. El nombre de usuario y contraseña deben ser los de una cuenta de usuario que tenga suficientes privilegios administrativos para autorizar la creación de una cuenta de equipo. Para continuar, hay que pulsar Siguiente.Si se introduce un nombre de usuario y contraseña con privilegios suficientes para crear una cuenta de equipo en el dominio para los nuevos sistemas, se añade un riesgo de seguridad porque el archivo de respuestas almacena todas las contraseñas en un archivo de texto plano sin cifrar. La mejor solución es no incluir contraseñas de cuentas administrativas en un archivo de respuestas, pero, si es necesario hacerlo, hay que proteger cuidadosamente el archivo y asegurarse de borrarlo después de completar la instalación.

11. En la siguiente ventana se puede especificar la zona horaria que utilizarán los sistemas. Pulsar Siguiente.

12. En este punto ya se ha recogido suficiente información para crear el archivo de respuestas, pero también se pueden especificar parámetros adicionales. Si se opta por no editar los parámetros adicionales, se puede saltar al paso 18. En otro caso, hay que seleccionar Sí, modificar la configuración adicional y pulsar Siguiente.

13. Elegir Configuración regional, donde se especifica (o se rehúsa especificar) el conjunto de caracteres para el idioma y región donde se utilizará el equipo. Esta configuración determina la representación predeterminada para la hora, la fecha, la moneda y otros caracteres específicos de una región.

14. En la ventana Idiomas se puede seleccionar cualquier grupo adicional de idiomas que se desee utilizar. Pulsar Siguiente.

15. En la ventana Configuración del explorador y el shell se puede seleccionar el método de personalización de Internet Explorer. Se pueden dejar los valores predeterminados, utilizar un guión de autoconfiguración personalizado creado con el Kit de administración de Internet Explorer, o especificar los parámetros concretos del proxy y de la página inicial predeterminada.

16. En la ventana Carpeta de instalación, se puede escoger la carpeta en la que se desea instalar


Capítulo 4

Windows 2000. Se debe utilizar la carpeta predeterminada e instalar en una carpeta llamada \Winnt a menos que se tenga un motivo específico para hace otra cosa.

17. Si se elige crear una carpeta de distribución desde la cual el sistema instalará Windows 2000, se pedirá especificar si se debería crear una nueva carpeta o modificar una existente. Si se va a instalar Windows 2000 desde un CD-ROM, no se necesitará una carpeta de distribución, por lo que se debe elegir No.

18. Para instalar controladores de almacenamiento masivo (generalmente controladores para nuevos adaptadores SCSI o controladores FibreChannel), hay que pulsar el botón Examinar en la ventana Proporcionar controladores adicionales de almacenamiento masivo. Se solicitará la ubicación de los controladores.

19. Hay que especificar una HAL de reemplazamiento si se necesita una. Pulsar el botón Examinar y localizar la HAL proporcionada por el fabricante del sistema.

20. Introducir cualquier comando a ejecutar al final de la instalación en el cuadro de texto Comandos para ejecutar, pulsando Agregar después de escribir cada comando. Obsérvese que no se pueden ejecutar comandos que requieran que un usuario inicie sesión. Se pueden eliminar comandos de la lista seleccionando el comando y pulsando Quitar.

21. Para personalizar la instalación, se puede incluir un logotipo o fondo para que se muestre durante la instalación. Se puede especificar un mapa de bits con el logotipo para que se muestre en la esquina durante la parte GUI de la instalación. El mapa de bits con el fondo debe ser de 640 por 480 con 16 colores y se mostrará como fondo durante la instalación.

22. En la ventana Copia de archivos o carpetas adicionales, se pueden seleccionar archivos o carpetas que se copiarán automáticamente en el equipo destino. Esta lista se puede extender a varias carpetas. Hay que resaltar una carpeta y pulsar Agregar archivo. Después hay que buscar el archivo o la carpeta a añadir.Si se dispone de controladores adicionales para dispositivos Plug and Play que no estén incluidos en Windows 2000, se deben copiar a la carpeta IPlug and Play Drivers en la unidad de disco del sistema. La instalación de Windows 2000 buscará los controladores en esta carpeta si no pudiera encontrarlos.

23. Escribir el nombre y la ubicación para el archivo de respuestas y después pulsar Siguiente. Hay que pulsar Finalizar para cerrar el asistente. El Asistente para administración de la instalación crea un archivo de procesamiento por lotes (con el mismo nombre que el archivo de respuestas) que, cuando se ejecute, iniciará la instalación y utilizará los contenidos del archivo de respuestas. Se puede utilizar este archivo de procesamiento por lotes o ejecutar el programa de instalación con los parámetros apropiados, incluyendo el parámetro con la ruta de acceso del archivo de respuestas.

Los archivos de procesamiento por lotes que crea el Asistente para administración de la instalación de Windows 2000 utilizan la versión de 32 bits del programa de instalación. Si no se dispone de una versión de 32 bits de Windows en la máquina donde se pretende instalar Windows 2000, hay que modificar el archivo de procesamiento por lotes para que utilice el archivo con la versión de 16 bits del programa de instalación, borrando el 32 desde la tercera hasta la última línea del archivo. También hay que cambiar el parámetro /unattend: desde la segunda hasta la última línea por /u:


Capítulo 4

Resolución de los problemas de las instalaciones

En muchos casos, la instalación de Windows 2000 Server es un proceso relativamente llevadero; sin embargo, cuando el programa de instalación falla por una u otra razón, la vida se complica. Afortunadamente, la mayoría de los problemas de la instalación se resuelven con facilidad.

El Programa de instalación se paraliza o se bloquea

Algunas veces la instalación de Windows 2000 se bloquea inexplicablemente al poco tiempo de comenzar el proceso de instalación. Si se recibe un mensaje de error STOP, conviene anotarlo y consultar bien el Solucionador de problemas relacionados con errores graves en la ayuda de Windows 2000 o en el soporte técnico de Microsoft.

En general, estos fallos son intermitentes y no vienen acompañados más que con un mensaje de error de escasa utilidad. Lo primero es reiniciar el sistema presionando CTRL+ALT+SUPR. Hay que hacer esto de forma repetida si es necesario. Si no se obtiene respuesta hay que pulsar el botón RESET del equipo o apagar el sistema, esperar 10 segundos y volverlo a encender. Si aparece un Menú de inicio, hay que escoger la opción Instalación de Windows 2000 Server para permitir que Instalar Windows 2000 trate de continuar con su instalación. Si no aparece ningún Menú de inicio, hay que ejecutar el programa de instalación de nuevo. En cualquier caso, no se debe optar por reparar la instalación sino por continuar con el programa de instalación.

El programa de instalación detecta, normalmente, que ha ocurrido un error en su último intento de instalar Windows 2000 y lo compensa con un método más seguro de instalación. Si el programa de instalación se bloquea o deja de responder de nuevo, hay que repetir el proceso. Algunas veces, el programa de instalación se bloqueará en múltiples ocasiones antes de finalizar la instalación de Windows 2000, por lo que hay que ser persistente. Si la instalación se paraliza en una parte concreta del proceso, se puede intentar elegir unas opciones de instalación más sencillas, si son aplicables. Por ejemplo, se pueden descartar los componentes opcionales de Windows.

A continuación se muestran otros procedimientos que se pueden utilizar para solucionar problemas de instalación:

● Desactivar la caché del sistema (la caché del procesador) en la BIOS, y ejecutar el programa de instalación de nuevo. Para realizar esta operación conviene consultar la documentación del hardware para obtener más información sobre el procedimiento correcto. Una vez que se ha completado la instalación, hay que activar la caché de nuevo para evitar una pérdida significativa del rendimiento.

● Intentar añadir un estado de espera para la RAM en la BIOS del sistema. Esto puede ser de ayuda con chips de RAM parcialmente defectuosos. (Sin embargo, si este servidor es importante -¿y qué servidor no lo es?- conviene plantearse el reemplazar esa RAM sospechosa antes de realizar


Capítulo 4

cualquier trabajo crítico en la máquina.) ● Verificar que los módulos RAM estén fabricados por la misma empresa y sean de la misma

velocidad y tipo. Aunque esto no sea una necesidad puede, a menudo, eliminar problemas. ● Modificar el orden de los módulos RAM o quitar algunos módulos y tratar de instalar de nuevo. ● Verificar los módulos RAM para buscar chips RAM defectuosos con un programa de terceros.

Hay que reemplazar cualquier módulo defectuoso y ejecutar el programa de instalación de nuevo. ● Comprobar el equipo en busca de un virus MBR iniciando desde un disquete libre de virus y

después ejecutar un programa detector de virus y explorar las unidades en busca de virus. Si se encuentra algún virus hay que eliminarlo del sistema y ejecutar el programa de instalación de nuevo.

Si el programa de instalación se paraliza sistemáticamente durante el Asistente para la instalación basado en Windows 2000 y el sistema tiene una BIOS compatible con ACPI, la BIOS podría no funcionar en modo ACPI con Windows 2000. Las paralizaciones pueden producirse en cualquier momento durante el Asistente para la instalación, aunque se producen más frecuentemente durante la fase de detección de dispositivos. Si se sospecha que la BIOS no está funcionando correctamente con Windows 2000, conviene descargar la última versión desde el distribuidor del sistema.

Si aun así hay problemas, o si no se encuentra disponible la BIOS actualizada, se puede intentar desactivar la ACPI durante la instalación presionando F5 al principio de la fase en modo texto del programa de instalación, justo después de que se indique que se puede pulsar F6 para instalar controladores de almacenamiento de terceros. Si esto no resuelve los problemas de la instalación, significa que no existe un problema con el soporte ACPI de la BIOS. Se puede volver a añadir el soporte ACPI una vez finalizada la instalación abriendo el cuadro de diálogo Propiedades de PC estándar en el Administrador de dispositivos y utilizando el Asistente para actualización de controlador de dispositivo para instalar el controlador Equipo compatible con ACPI, sin embargo, esto podría introducir problemas de estabilidad en el sistema y sólo debería intentarse si se es amante del riesgo.

También se puede activar o desactivar manualmente el soporte ACPI tras finalizar la fase de copia de archivos de la instalación, justo antes de que el equipo pase al Asistente para la instalación de Windows 2000. (Algunas veces se puede hacer esto después de que el sistema se paralice durante el Asistente para la instalación.) Para forzar a Windows 2000 a que active o desactive el soporte ACPI se deben seguir los siguientes pasos:

1. Después de que finalice la fase en modo texto del programa de instalación, pero antes de que Windows 2000 pase a Asistente para la instalación, hay que ir al símbolo del sistema.

2. Escribir attrib -r -s -h c:\txtsetup.sif en el símbolo del sistema. 3. Abrir el archivo c:\txtsetup.sif por medio del comando edit u otro editor de textos y

buscar "ACPIEnable=". 4. Para forzar la activación del soporte ACPI, lo que algunas veces soluciona

problemas de instalación, hay que cambiar el valor de "ACPIEnable=" a 1.


Capítulo 4

5. Para desactivar el soporte ACRI, hay que cambiar el valor de «ACPIEnable=» a 0. 6. Guardar el archivo y reiniciar para pasar al Asistente para la instalación de

Windows 2000.

De nuevo si alguno de los pasos realizados revela hardware cuestionable, hay que reemplazar el hardware antes de confiar en el equipo para almacenar información importante o proporcionar funciones críticas a los usuarios.

El Programa de instalación se detiene durante la copia de archivos

Si el programa de instalación se bloquea mientras copia archivos, podría existir un problema con la configuración de la unidad de disco IDE. Se pueden intentar algunas de las siguientes soluciones:

● Reiniciar la máquina usando CTRL+ALT+suPR o Reset y acceder a la BIOS del sistema. Hay que verificar que los controladores IDE estén activados y configurados apropiadamente. Conviene asegurarse de que todos los discos duros o CD-ROM IDE se han detectado correctamente. (Para verificarlo, posiblemente haya que reiniciar el sistema y observar la pantalla, porque a menudo las unidades no se muestran dentro de la BIOS.)

● Comprobar la configuración física de los puentes de las unidades de disco para asegurarse de que indiquen correctamente que hay un maestro y un máximo de un esclavo por canal IDE.

● Si la unidad de CD-ROM se encuentra en el mismo canal que el disco duro, conviene moverla al segundo canal y configurarla como maestra.

● Intentar disminuir la tasa de transferencia de datos de las unidades; por ejemplo, se pueden configurar las unidades para que utilicen PIO modo 2 en lugar del modo Ultra DMA o modo de transferencia Ultra 66.

● Asegurarse de que las unidades estén correctamente cableadas y que los cables no estén defectuosos.

● Verificar la configuración del hardware para asegurarse de que el controlador del disco duro no esté en conflicto con otro dispositivo. Se pueden intentar extraer todas las tarjetas del equipo, excepto la tarjeta de vídeo y el adaptador SCSI (si se está utilizando una unidad SCSI), y ejecutar el programa de instalación de nuevo. Si la instalación tiene éxito, hay que añadir las tarjetas una a una después de la instalación, y utilizar el Asistente para nuevo hardware encontrado de Windows 2000 para configurar los dispositivos y resolver cualquier conflicto de hardware que se encuentre.

Windows 2000 proporciona una variedad de herramientas que se pueden utilizar para iniciar un sistema que no quiere iniciar, incluyendo las opciones Modo seguro y La última configuración buena conocida, además de la Consola de recuperación, que permite un acceso de línea de comandos a una unidad NTFS o FAT que no iniciaría.

Si nada de esto sirve de ayuda, se pueden intentar las recomendaciones de la sección anterior o consultar la Base de conocimiento de Windows 2000.


Capítulo 4

El sistema operativo anterior no se inicia

Cuando se instala Windows 2000 Server en un equipo que ya utiliza un sistema operativo y se opta por no actualizar, el programa de instalación crea un inicio dual de forma que se pueda seleccionar qué sistema operativo se quiere utilizar en el momento de iniciar.

Si el equipo nunca muestra el menú del Cargador de Windows 2000 que permite escoger el sistema operativo anterior, el problema se debe generalmente a uno o dos motivos: el archivo boot.ini tiene un tiempo límite establecido a 0 (y, de este modo, el Menú de inicio no se muestra), o bien el MBR se ha sobreescrito durante la instalación, impidiendo el inicio del sistema operativo anterior incluso si se dispone de la entrada apropiada en el archivo boot.ini.

Para restaurar la capacidad de iniciar el resto de sistemas operativos, primero hay que realizar una copia de seguridad del disco duro con un programa de copia de seguridad de Windows 2000 que guarde la información del estado del sistema (como la utilidad Copia de seguridad incluida en Windows 2000). Hay que crear un disco de reparación de emergencia, también con Copia de seguridad, y seguir después los siguientes pasos:

1. Reiniciar el equipo y presionar la BARRA ESPACIADORA después de que se muestren las pantallas de la BIOS y en cuanto aparezcan los puntos en la parte superior de la pantalla. Esto muestra la pantalla Menú de recuperación de perfil y configuración de hardware.

2. Presionar F3 para mostrar la pantalla del Cargador de Windows 2000 sin valor de tiempo límite. 3. Seleccionar el sistema operativo anterior y pulsar INTRO para iniciarlo.

También se puede cambiar el parámetro tiempo límite si se abre el subprograma Sistema del Panel de control de Windows 2000, se pulsa en la pestaña Avanzado, se pulsa Inicio y recuperación, se selecciona entonces la casilla de verificación Mostrar lista de sistemas operativos durante y se establece el número de segundos que se desea que se muestre el menú de inicio.

Si esto funciona y se desea que se muestre el Cargador de Windows 2000 automáticamente, hay que cambiar el valor timeout en el archivo boot.ini a un valor superior a 0. Para hacer esto hay que seguir los siguientes pasos:

1. En el símbolo del sistema de Windows 2000 (si la unidad de inicio está con formato NTFS) o de MS-DOS (iniciando desde un disquete) hay que escribir el siguiente comando:attrib -r -s -h c:\boot.ini edit c:\boot.ini

2. Cambiar el valor del tiempo límite de 0 al número de segundos que se desea que el sistema muestre la pantalla del Cargador de Windows 2000 antes de iniciar automáticamente. (El valor predeterminado es de 30 segundos.)

3. Guardar y cerrar Edit, y escribir el siguiente comando:


Capítulo 4

attrib +r +s +h c:\boot.ini 4. Reiniciar el equipo de forma normal.

Si el equipo no tiene un archivo boot.ini, se puede utilizar o modificar uno de los archivos boot.ini incluidos en el CD adjunto o crear uno partiendo de cero. A continuación se muestra un ejemplo de archivo boot.ini.

[Boot Loader] Timeout=30 Default=multi(0)disk(0)rdisk(0)partition(1)\WINNT [Operating Systems] multi(0)disk(0)rdisk(0)partition(1) \WINNT="Windows 2000 Server" /fastdetect multi(0)disk(1)rdisk(0)partition(1) \WINNT="Windows 2000 Profesional (Instalación paralela)" /fastdetect

Las variables clave de un archivo boot.ini

● Timeout: Número de segundos que se debe mostrar el menú del Cargador de Windows 2000. ● Default: Ubicación del sistema operativo predeterminado para iniciar. ● Multi: Número y tipo de controlador de disco duro utilizado. Hay que reemplazarlo por un

parámetro scsi para unidades de disco conectadas a un controlador SCSI con su BIOS desactivada.

● Disk: Número del disco en el que reside el sistema operativo. Este valor siempre será 0 para unidades IDE, pero será el ID SCSI de una unidad SCSI.

● rdisk: Número del disco en el que reside el sistema operativo. Para unidades IDE será el número ordinal de la unidad, comenzando por el 0. Para un disco SCSI siempre será 0.

● Partition: Número de la partición en la que reside el sistema operativo. La numeración comienza por el 1.

● \WINNT: Ruta de acceso al sistema operativo en la partición especificada. ● "Windows 2000 Server": Nombre del sistema operativo que se muestra en el Menú de inicio del

Cargador de Windows 2000. Puede ser cualquiera.

La creación incorrecta de un archivo boot.ini puede causar que un sistema no inicie. No conviene realizar este procedimiento a menos que se disponga de una copia de seguridad actual, un disco de inicio que funcione y permita acceder a todos los recursos necesarios del equipo (¡hay que verificar el disco primero!), junto con el CD de instalación de Windows 2000, los discos de inicio del programa de instalación y un Disco de reparación de emergencia recién creado.

Cuando se crea el archivo boot.ini hay que asegurarse de utilizar el número de unidad de disco y de partición correctos o el sistema no iniciará. Una vez que se haya modificado o creado el archivo boot.ini, hay que copiarlo a la carpeta raíz de la unidad de disco de inicio y reiniciar el equipo. Cuando aparezca el


Capítulo 4

menú del Cargador de Windows 2000, hay que seleccionar el sistema operativo que se desea cargar y presionar INTRO.

Las particiones se numeran de la siguiente manera: primero se numeran las unidades que se encuentran en particiones primarias por orden de posición en el disco, después las unidades lógicas creadas en las partición extendida.

Si el sistema operativo que tiene problemas para iniciar es Windows NT o Windows 2000, se puede utilizar un modificador en la sección [Operating Systems] del archivo boot.ini para ayudar en la resolución del problema.

Si no se puede iniciar apropiadamente con ninguno de los sistemas operativos, es necesario eliminar el archivo boot.ini recién creado. Hay que iniciar el equipo por medio de la Consola de recuperación o un disco de inicio, escribir las siguientes líneas en el símbolo del sistema y reiniciar entonces el sistema.

attrib -r -s -h c:\boot.inidel boot.ini

Si el sistema operativo no inicia adecuadamente, podría ser necesario volver a crear el MBR del sistema operativo que estaba instalado antes. Esto es un asunto arriesgado, por lo que conviene releer la advertencia de la el Aviso anterior y asegurarse de que se dispone de tiempo para reinstalar el sistema operativo y restaurar una copia de seguridad si ocurre algún problema. Para volver a crear el MBR del sistema operativo anterior, hay que seguir los siguientes pasos:

1. Iniciar el equipo con un disco de inicio del sistema operativo que no se puede iniciar. (Hay que asegurarse de que el disco contenga el archivo Sys.com.)

2. Escribir lo siguiente en el símbolo del sistema para transferir los archivos del sistema del disquete al disco duro: A:\sys c:Si este paso no funciona en ese sistema operativo, hay que transferir los archivos del sistema de la forma que permita el sistema operativo o intentar utilizar cualquier utilidad de reparación de MBR incluida en ese sistema operativo.

3. Extraer el disquete y reiniciar el equipo. Hay que verificar que el sistema operativo que se quiere reparar se inicia correctamente antes de realizar el siguiente paso.

4. Iniciar Windows 2000 por medio del CD-ROM o los discos de inicio del programa de instalación de Windows 2000.

5. Cuando se ejecute la instalación de Windows 2000, hay que presionar Intro para empezar y pulsar después R para reparar una instalación existente.

6. Presionar R de nuevo y presionar después M para realizar una reparación manual. 7. Desmarcar todas las casillas de verificación excepto la casilla Inspeccionar el sector de inicio.

Pulsar después Intro. 8. Insertar el disco de reparaciones de emergencia cuando se solicite, o presionar Esc para que el

programa de instalación busque la instalación de Windows 2000.


Capítulo 4

9. Cuando el programa de instalación termine de reparar el MBR, hay que reiniciar el equipo y escoger el sistema operativo apropiado en el menú del Cargador de Windows 2000.

Modificadores para resolución de problemas del sistema operativo:

● /basevideo: Arranca utilizando el controlador estándar VGA. Muy útil si se tienen problemas de visualización.

● /sos: Muestra en pantalla cada controlador tal y como se ha cargado durante la fase de carga del núcleo. Muy útil para determinar si un controlador está provocando un fallo de arranque.

● /noserialmice: Desactiva la detección de serie. Puede añadirse =COMX sólo para eliminar esta detección con un puerto COMK específico.

● /crashdebug: Activa la característica Recuperación automática y reinicio. ● /maxmem:n: Limita la cantidad de memoria a "n" megabytes. Muy útil para la resolución de

problemas con errores de paridad de memoria. ● /scsiordinal:n: Asigna el número 0 al primer controlador SCSI y el número 1 al segundo.


Capítulo 5

Capítulo 5

Después de instalar Microsoft Windows 2000 es necesario configurar el servidor añadiendo los dispositivos que hagan falta, cambiando posiblemente los protocolos y servicios de red e instalando las herramientas clave del servidor.

Configuración de dispositivos

Inmediatamente después de finalizar una instalación de Windows 2000, o cualquier otro sistema operativo de similar propósito, hay que asegurarse de que los dispositivos se han reconocido y configurado apropiadamente. Aunque el Programa de instalación de Windows 2000 realiza un buen trabajo de detección y configuración, el Programa de instalación no es capaz de resolver los conflictos de recursos o superar la carencia de controladores. También será necesario activar dispositivos, como un sistema de alimentación ininterrumpida (SAI), que se desconectaron o desactivaron antes de comenzar la instalación.

Windows NT 4 no es el mejor sistema operativo a la hora de encontrar y solucionar los problemas de los dispositivos porque carece de funciones Plug and Play (PnP) y sólo tiene soporte para una base limitada de hardware. En cambio, Windows 2000 integra soporte PnP junto con un método más centralizado de administrar los dispositivos hardware, por medio del Administrador de dispositivos y el Asistente para agregar o quitar hardware, y mejorando en general el soporte de controladores de dispositivos. Hay que comprobar la existencia de conflictos en la lista de dispositivos a través del Administrador de dispositivos en dispositivos que no se instalaron durante la instalación, y utilizar entonces el Asistente para agregar o quitar hardware para hacer los cambios necesarios.

Asistente para agregar o quitar hardware

Aunque se puede utilizar el Administrador de dispositivos en lugar del Asistente para agregar o quitar hardware para gestionar la mayoría de las funciones del asistente, es necesario utilizar el Asistente para agregar o quitar hardware para añadir un dispositivo que Windows 2000 no puede reconocer o para desconectar o extraer un dispositivo. Una vez iniciado aparecen dos opciones


Capítulo 5

● Desinstalar o desconectar un dispositivo: lo seleccionaremos en el Asistente para agregar o quitar hardware, y utilizar después la ventana siguiente bien para desconectar temporalmente un dispositivo con conexión en caliente o bien para desinstalar permanentemente un dispositivo del sistema. Siempre se puede volver a agregar el dispositivo después utilizando este mismo asistente o por medio de la autodetección de dispositivos PnP de Windows 2000.

● Agregar dispositivo o solucionar problemas: lo seleccionaremos para agregar un dispositivo al sistema, hay que asegurarse de que el dispositivo está físicamente conectado y/o encendido. Después hay que pulsar dos veces en el icono Agregar o quitar hardware en el Panel de control y, cuando aparezca la ventana de bienvenida, pulsar Siguiente para iniciar el asistente. y pulsar Siguiente. Windows 2000 busca hardware PnP en el sistema y muestra después una lista con el hardware detectado. Si se detecta nuevo hardware PnP, Windows 2000 instala los controladores, si puede localizarlos, y muestra una lista de los dispositivos que ha instalado. Hay que pulsar Finalizar para terminar el proceso de instalación.

Resolución de problemas con un dispositivo


Capítulo 5

Si después de añadir un dispositivo, Windows 2000 no lo detecta o lo hace de forma incorrecta, se puede solucionar el problema por medio del Asistente para agregar o quitar hardware. Cuando no se encuentran nuevos dispositivos, Windows 2000 muestra todos los dispositivos del sistema, mostrando primero cualquier dispositivo o dispositivos deshabilitados o con problemas.

Para solucionar un problema con un dispositivo, hay que seleccionar el dispositivo en la lista y después pulsar Siguiente para ver el estado del dispositivo e iniciar un asistente para resolver problemas. Para agregar un dispositivo que Windows 2000 no pueda detectar, hay que seleccionar Agregar un dispositivo nuevo en la lista de la ventana Seleccione un dispositivo de hardware y seguir los siguientes pasos:

1. Escoger si se desea que Windows 2000 busque el hardware o si se quiere seleccionar el dispositivo manualmente de una lista.

2. Seleccionar de la lista de dispositivos detectados o seleccionar el tipo de hardware que se desea instalar de la lista proporcionada y pulsar Siguiente.

3. Si se escogió la selección manual del dispositivo, hay que seleccionar el fabricante y el dispositivo o pulsar Utilizar disco para proporcionar unos controladores propios y después pulsar Siguiente. Windows 2000 instala los controladores del dispositivo y muestra después un resumen de sus acciones.

4. Pulsar Finalizar para terminar el asistente.

El Administrador de dispositivos

El Administrador de dispositivos es un almacén central de información sobre dispositivos de Windows 2000. Si ya se ha utilizado el Administrador de dispositivos de Windows 95/98, no se tendrá ningún problema con el nuevo Administrador de dispositivos de Windows 2000. Se utiliza para ver o imprimir la configuración y los controladores cargados de cualquier dispositivo del sistema además de para deshabilitar, desinstalar o modificar la configuración de un dispositivo.


Capítulo 5

Inicio del Administrador de dispositivos

Se puede acceder al Administrador de dispositivos de muchas formas. Quizás la más útil es pulsar el icono Administración de equipos en el menú Herramientas administrativas del menú Inicio. Hay que pulsar el signo más junto a Herramientas del sistema para expandir el árbol y pulsar después Administrador de dispositivos.

También se puede acceder al Administrador de dispositivos abriendo la herramienta Sistema del Panel de control. Hay que pulsar la pestaña Hardware y pulsar después el botón Administrador de dispositivos. La pestaña hardware también contiene el Asistente para hardware y la herramienta Firma de controladores que se puede utilizar para especificar si se desea permitir el uso de controladores de dispositivos no firmados.

Para utilizar el complemento Administración de equipos para administrar remotamente otro equipo que ejecuta Windows 2000, hay que seleccionar Administración de equipos en el árbol de consolas y escoger después Conectar con otro equipo en el menú Acción. Hay que seleccionar el equipo que se desea administrar y pulsar Aceptar para empezar a hacerlo.

Trabajo con el Administrador de dispositivos

Tras abrir el Administrador de dispositivos, se podrá observar una lista de todos los dispositivos que Windows 2000 ha detectado en el sistema. Los dispositivos que no funcionan se muestran con un signo de admiración, indicando que existe un problema con el dispositivo; los dispositivos deshabilitados se muestran con una pequeña "x" roja sobre el icono.

En la parte derecha de la barra de herramientas se encuentran disponibles varios iconos según el dispositivo resaltado. En la figura aparecen los siguientes botones (leyendo de izquierda a derecha):


Capítulo 5

Buscar cambios en el hardware: Se puede pulsar este botón para decirle al sistema que busque cambios en el hardware. Hay que usar este botón después de añadir nuevos dispositivos PnP o después de cambiar el hardware.Deshabilitar/Habilitar: Hay que resaltar un dispositivo y pulsar este botón para deshabilitarlo o habilitarlo, dependiendo de su estado actual. Cuando un dispositivo está deshabilitado, sus recursos se liberan y sus controladores permanecen pero no se cargan durante el inicio. Hay que tener cuidado de no deshabilitar algo que sea necesario para iniciar la máquina.Desinstalar: Hay que resaltar un dispositivo y pulsar este botón para desinstalarlo. Esto sólo debería ser necesario para dispositivos no PnP Un dispositivo PnP se puede desinstalar simplemente extrayéndolo del equipo. La desinstalación de un dispositivo no elimina los controladores del dispositivo del disco duro.

Para modificar la forma en la que se muestra el Administrador de dispositivos hay que escoger una opción del menú Ver. Se pueden utilizar las diferentes opciones de vista del Administrador de dispositivos para organizar los dispositivos del sistema de forma que resulte sencillo encontrar la información que se necesita.

Opciones de vista:

● Dispositivos por tipo: Muestra los dispositivos clasificados por tipo de dispositivo; normalmente es la vista más útil (también la predeterminada).

● Dispositivos por conexión: Muestra todos los dispositivos en relación a cómo están conectados a otros dispositivos.

● Recursos por tipo: Muestra todos los recursos del sistema, clasificándolos por tipo de recurso.

● Recursos por conexión: Muestra todos los recursos del sistema, clasificándolos y agrupándolos por el dispositivo al que están conectados.

● Mostrar dispositivos ocultos: Incluye dispositivos que no son PnP además de dispositivos que podrían haberse extraído físicamente pero que todavía tienen sus controladores instalados.

Trabajo con las Propiedades del dispositivo

Para mostrar las propiedades de un dispositivo, hay que seleccionar el dispositivo y pulsar después el botón Propiedades de la barra de herramientas o pulsar dos veces sobre el dispositivo. En la ventana Propiedades del dispositivo existen varias pestañas. Se puede ver la información del estado y la configuración, además del fabricante del dispositivo, el tipo de dispositivos y su ubicación, en la parte superior de la pestaña General.


Capítulo 5

El nombre de dispositivo que se muestra en el Administrador de dispositivos es el nombre del controlador que Windows 2000 está utilizando para el dispositivo y puede ser en realidad incorrecto si se ha cargado el controlador equivocado para el dispositivo.

El cuadro Estado del dispositivo en el centro de la pestaña General muestra el estado del dispositivo, incluyendo cualquier error. Si el dispositivo tiene algún problema, el cuadro Estado del dispositivo describirá resumidamente el problema y, normalmente, describirá también la forma apropiada de proceder para corregir el problema. Se puede pulsar el botón Solucionador de problemas para utilizar los mecanismos incorporados para detectar la naturaleza del problema.

Entre las otras pestañas se incluye la pestaña Controlador, que muestra los detalles del controlador que se está utilizando. Esta pestaña también permite actualizar o desinstalar el controlador. La pestaña Recursos muestra los recursos hardware que se están utilizando. Esta pestaña permite ver y resolver cualquier conflicto causado por dispositivos no PnP junto con estas pestañas, algunos dispositivos cuentan con configuración avanzada adicional o pestañas para parámetros específicos del dispositivo.

El Administrador de dispositivos trabaja en equipos remotos en modo de sólo lectura. Se puede utilizar el Administrador de dispositivos para diagnosticar problemas, pero habrá que realizar los cambios de forma local.

Configuración de parámetros de la Red

Aunque el Programa de instalación de Windows 2000 solicita los parámetros de red necesarios, podría ser necesario modificar esos parámetros en algún punto después de completar la instalación, posiblemente inmediatamente, si los parámetros especificados eran erróneos o incompletos.


Capítulo 5

Cambio de la identidad de red

Los cambios son algunas veces necesarios, aunque con un servidor es mejor emplear el tiempo en planificar primero que tener que hacer cambios después. Sin embargo, incluso con una planificación cuidadosa, se puede descubrir que una máquina necesita tener un nombre diferente o necesita unirse a un dominio diferente.

Cambio de un servidor autónomo

Para cambiar la identidad de un servidor que no es un controlador de dominio, hay que iniciar sesión utilizando una cuenta de administrador y seguir los siguientes pasos:

1. Abrir la herramienta Sistema del Panel de control y pulsar después en la pestaña Identificación de red.

2. Para cambiar el nombre y el dominio o miembro de grupo de trabajo del equipo, hay que seleccionar Propiedades. Después hay que introducir el nuevo nombre del equipo en el cuadro de texto Nombre de equipo en el cuadro de diálogo Cambios de identificación.

3. Para modificar el dominio o el grupo de trabajo al que se pertenece, hay que escoger la opción Dominio o la opción Grupo de trabajo, y escribir después el nombre del dominio o del grupo de trabajo en el cuadro de texto.

4. Se puede pulsar Más para especificar manualmente el nombre del dominio para el equipo y para obtener una vista previa del nombre NetBIOS del sistema. Hay que pulsar Aceptar cuando se haya terminado.

Es una buena idea utilizar un nombre de equipo que sea tanto compatible DNS como compatible NetBIOS de forma que todos los tipos de clientes vean el mismo nombre para el equipo. Para hacer esto hay que mantener el nombre con un tamaño inferior a 15 caracteres y no utilizar asteriscos o puntos. Para obtener la mejor compatibilidad con las aplicaciones, hay que tratar también de evitar el uso de espacios, subrayados y guiones.

La modificación de la identidad de un controlador de dominio es un proceso de varios


Capítulo 5

pasos. Primero hay que bajar de categoría al controlador de dominio. Después se puede cambiar la identidad y, finalmente, se puede ascender de nuevo al controlador de dominio.

Configuración de los componentes de Red

Para agregar o modificar la configuración de los componentes principales de la red como clientes, servicios y protocolos, hay que abrir la carpeta Conexiones de red y de acceso telefónico, pulsar con el botón derecho del ratón en el icono Conexión de área local y escoger Propiedades en el menú contextual. Este procedimiento abre la ventana Propiedades de Conexión de área local que se puede utilizar para ver y modificar los componentes de red del servidor.

Para instalar un componente de red, hay que seleccionar Instalar, escoger el tipo de componente que se desea instalar (Cliente, Servicio o Protocolo) y pulsar después Agregar. Hay que seleccionar el componente de la lista presentada y pulsar Aceptar. Para configurar el componente (si el componente tiene la opción de configuración) hay que seleccionar el componente y pulsar Propiedades.

Si se dispone de un sistema de multipropiedad (un servidor con más de un adaptador de red) conviene dar a las conexiones de área local un nombre que indique a qué red están conectados los adaptadores.

TCP/IP

TCP/IP es el protocolo más importante de las redes actuales y es el eje central de la visión de Microsoft de red con Windows 2000. El protocolo se adapta bien a las redes de empresa y se requiere para acceder a Internet.

Instalación de TCP/IP

TCP/IP se instala como protocolo de red predeterminado y se detecta un adaptador de red durante la instalación. Si se ha ignorado el método predeterminado durante la instalación, se puede agregar TCP/IP como sigue:

1. Pulsar el botón Inicio, seleccionar Configuración y escoger entonces Conexiones de red y de


Capítulo 5

acceso telefónico. 2. Pulsar con el botón derecho del ratón en la conexión para la que se desea instalar TCP/IP y

escoger Propiedades. 3. Si TCP/IP no se encuentra en la lista de componentes utilizados hay que pulsar Instalar. 4. Resaltar Protocolo y pulsar Agregar. 5. En el cuadro Seleccione el protocolo de red, hay que resaltar Protocolo Internet (TCP/IP) y

pulsar Aceptar. 6. Hay que comprobar que la casilla de verificación Protocolo Internet (TCP/IP) está seleccionada y

pulsar después Cerrar.

Direccionamiento dinámico o estático

La forma más sencilla y más fiable de configurar máquinas de una red que funciona con TCP/IP es utilizar un servidor DHCP para distribuir automáticamente las direcciones IP DHCP también puede informar a los clientes de los servidores DNS y puertas de enlace apropiados a utilizar. Un servidor DHCP no sólo simplifica la configuración del cliente, también ayudaa la administración de la Red dado que administra la base de datos de direcciones IP disponibles de forma dinámica y automática. El direccionamiento dinámico por medio de DHCP es la configuración predeterminada de Windows 2000.

Si la red no dispone de un servidor DHCP o si se está configurando un servidor DHCP, es necesario configurar TCP/IP manualmente para que utilice una dirección IP e información DNS estáticas. Para hacer esto hay que obtener la dirección IP de la persona que mantiene la base de datos de direcciones IP que la empresa puede utilizar. Si se utiliza DHCP, todos los servidores DHCP necesitan ser actualizados también para excluir las direcciones IP estáticas.


Capítulo 5

Pasa configurar el direccionamiento de la tarjeta de Red deberemos seguir los siguientes pasos:

1. Seleccionar el componente Protocolo Internet (TCP/IP) en la ventana Propiedades de Conexión de área local y pulsar Propiedades.

● Obtener una dirección IP automáticamente. Seleccionar esta opción para que el host se convierta en cliente de un Servidor DHCP.

● Usar la Siguiente dirección IP: Se debe seleccionar esta opción para dotar al host de una configuración manual de TCP/IP, debiendo proporcionar una dirección IP y una máscara de subred apropiadas. Deberemos introducir la dirección IP de la puerta de enlace o enrutador predeterminado en el campo Puerta de enlace predeterminada. La puerta de enlace predeterminada reenvía o encamina cualquier tráfico destinado a hosts fuera de la subred local, posiblemente a otra porción de la red de área extensa (WAN, Wide Area Network) o a Internet.

2. Para seleccionar los servidores DNS existen, también, dos opciones: ● Obtener la dirección del servidor DNS automáticamente si el servidor DHCP está

configurado para proporcionar las direcciones del servidor DNS a los clientes. ● Usar las siguientes direcciones de servidor DNS: hay que introducir las direcciones IP

de los servidores DNS que se desean utilizar.

Opciones de Configuración avanzada de TCP/IP

Si no se utiliza un servidor DHCP para configurar las direcciones IP del servidor y su configuración asociada y es necesario introducir otros parámetros aparte de las direcciones IP del servidor y los servidores DNS, hay que seleccionar Avanzada en la ventana Propiedades de Protocolo Internet (TCP/IP). Esto abre el cuadro de diálogo Configuración avanzada de TCP/IP, el cual se puede utilizar para especificar parámetros adicionales, incluyendo servidores WINS, NetBIOS sobre TCP/IP y parámetros opcionales de TCP/IP.


Capítulo 5

Ficha Configuración de IP

El cuadro de diálogo Configuración avanzada de TCP/IP contiene cuatro fichas, la primera de las cuales es la ficha Configuración de IP Esta ficha se utiliza para añadir la dirección IP y la máscara de subred de la conexión de red, además de las puertas de enlace que debería utilizar el servidor. Las opciones que se pueden configurar en esta ficha son:

● Direcciones IP: Utilizar los botones Agregar, Modificar y Quitar bajo el cuadro Direcciones IP para modificar la configuración de la dirección IP y la máscara de subred. Se pueden usar hasta cinco direcciones IP y máscaras de subred para la conexión de red, tanto para acceder a diferentes redes IP lógicas como para utilizar diferentes direcciones IP en una única red IP lógica.

● Puertas de enlade predeterminadas: Para añadir una puerta de enlace o enrutador predeterminado hay que seleccionar Agregar e introducir la dirección IP del enrutador.

● Métrica de interfaz: La métrica de la interfaz asigna un coste relativo al uso de un enrutador particular para acceder a una dirección IP concreta. Conviene asignar métricas de interfaz inferiores a los enrutadores que se conecten a redes rápidas, como otra sección de una red local; y conviene asignar números más altos a las conexiones más lentas, como una conexión a Internet por medio de la Red digital de servicios integrados (RDSI) o de una Línea de suscriptor digital (DSL, Digital Subscriber Line).

Ficha DNS

Para acceder a la configuración avanzada de DNS de la conexión de red, hay que pulsar en la pestaña DNS donde se pueden configurar los siguientes parámetros:


Capítulo 5

● Direcciones de servidores de DNS, por orden de utilización: Utilizar los botones Agregar, Modificar y Quitar bajo el cuadro de direcciones DNS para añadir o modificar los servidores que se deseen utilizar para esta conexión. Se pueden usar las flechas hacia arriba y hacia abajo cercanas al cuadro para cambiar el orden en el cual el servidor consulta los servidores DNS.

● Parámetros para resolución de nombres no cualificados: Seleccionar las opciones apropiadas para nombres no cualificados.

● Anexar sufijos DNS principales y de conexiones específicas: Limita la resolución de nombres no cualificados a los sufijos de dominio y los sufijos de conexiones específicas. De esta forma, si el sufijo DNS principal es eng.dominio.com y se escribe ping srv4 en el símbolo del sistema, DNS buscará srv4.eng.dominio.com. Si se especifica también un nombre específico de la conexión (bajo Sufijo DNS para esta conexión), como dev.dominio.com, DNS consultará srv4.eng.dominio.com y srv4.dev.dominio.com.

i. Anexar sufijos primarios del sufijo DNS principal: Incluye sufijos primarios hasta el dominio de segundo nivel en la resolución de nombres no cualificados. De esta forma, si el sufijo DNS principal es eng.uk.corp.dominio.com y se escribe ping srv4 en el símbolo del sistema, DNS consultará lo siguiente:- srv4.eng.uk.corp.dominio.com - srv4.uk.corp.dominio.com - srv4.corp.dominio.com - srv4.dominio.com

● Anexar estos sufijos DNS (en este orden): Especifica los únicos sufijos de dominio a anexar a los nombres de dominio no cualificados durante el proceso de resolución de nombres. Si se especifican sufijos de dominio aquí, los sufijos principal y de conexiones específicas no se utilizan.

● Sufijo DNS para esta conexión: Para ignorar el nombre DNS primario del dominio especificado para el equipo en la ficha Identificación de red de la herramienta Propiedades del sistema del


Capítulo 5

Panel de control, hay que escribir el nombre DNS del dominio que se desea utilizar en el cuadro de texto Sufijo DNS para esta conexión.

● Registrar estas direcciones de conexiones en DNS: Para impedir que se registre el nombre DNS completo de la dirección IP del servidor en el servidor DNS, hay que desactivar la casilla de verificación Registrar estas direcciones de conexiones en DNS.

● Utilizar este sufijo DNS de conexión para registro DNS: Para registrar las direcciones IP de las conexiones de red en DNS basándose en el nombre de dominio de las conexiones, además de en el FQDN del servidor, hay que seleccionar la casilla de verificación Utilizar este sufijo DNS de conexión para registro DNS. El nombre de dominio de la conexión se introduce en el cuadro de texto Sufijo DNS para esta conexión o se asigna por el servidor DHCP

Ficha WINS

Para configurar los parámetros de WINS del equipo, hay que pulsar la pestaña WINS en el cuadro de diálogo Configuración avanzada de TCP/IP.

● Direcciones WINS, en orden de uso: Si hay servidores WINS operativos en la red, se deberían añadir sus direcciones aquí. Haciendo esto se consiguen los mejores resultados a la hora de comunicarse con hosts que ejecuten sistemas operativos de Microsoft anteriores a Windows 2000. Al igual que con el resto de fichas del cuadro de diálogo Configuración avanzada de TCP/IP, se pueden utilizar los botones Agregar, Modificar y Quitar para modificar la lista de servidores WINS.

● Habilitar la búsqueda de LMHOSTS: Para habilitar el uso de un archivo LMHOSTS para asignar direcciones IP a nombres NetBIOS, hay que seleccionar la casilla de verificación Habilitar la búsqueda de LMHOSTS y pulsar el botón Importar LMHOSTS para importar un archivo LMHOSTS. Se recomienda no utilizar archivos LMHOSTS a menos que sea absolutamente necesario dado que tratar de mantenerlos actualizados puede ser difícil: la minúscula reducción


Capítulo 5

del tráfico de red que ofrecen los archivos LMHOSTS no compensa.

Cuando se configura un servidor WINS hay que utilizar el comando Ipconfig en el símbolo del sistema para obtener la dirección IP actual e introducir entonces esa dirección en el campo Direcciones WINS. No se debe introducir ningún otro servidor WINS en este campo; no es deseable que el servidor WINS registre su nombre NetBIOS en otro servidor WINS si el servicio WINS no se ha iniciado a tiempo para responder en el inicio.

● Habilitar NetBIOS sobre TCP/IP: Lo más probable es que sea necesario comunicarse con clientes que ejecutan sistemas operativos de Microsoft anteriores a Windows 2000, por lo que conviene asegurarse de que esta opción esté seleccionada.

● Deshabilitar NetBIOS sobre TCP/IP: Sólo hay que desactivarla si hay comunicación exclusivamente con otros equipos que ejecutan Windows 2000 o equipos que se basan únicamente en DNS para los servicios de resolución de nombres (por ejemplo, UNIX). Además, conviene observar que cualquier aplicación que utilice NetBIOS no funcionará si se desactiva NetBIOS sobre TCP/IP.

● Usar configuración NetBIOS del servidor DHCP: Cuando se obtiene una dirección IP a través de DHCP, esta opción está seleccionada de forma predeterminada para que el equipo utilice la configuración NetBT proporcionada opcionalmente por el servidor DHCP y la configuración mediante DHCP. Sólo hay que seleccionar esta opción si la red tiene un servidor DHCP que configure completamente el equipo y proporcione la configuración NetBIOS correcta.

Configuración de las opciones de TCP/IP

Si es necesario configurar cualquier opción de TCP/IP, hay que pulsar la pestaña Opciones del cuadro de diálogo Configuración avanzada de TCP/IP Hay que seleccionar la opción que se quiera configurar y pulsar Propiedades.

Configuración de NWLink IPX/SPX

El protocolo NWLink IPX/SPX se diseñó como un protocolo de enrutamiento fácil de usar y configurar compatible con el protocolo IPX/SPX de NetWare. Como tal, es un protocolo popular en muchas empresas y puede ser clave para mantener la interoperabilidad con diferentes entornos de red. Afortunadamente, la configuración del protocolo NWLink IPX/SPX es sencilla. Basta con seguir los siguientes pasos:

1. Instalar el protocolo en el cuadro de diálogo Propiedades de Conexión de área local, al que se puede acceder pulsando con el botón derecho del ratón en el icono Conexión de área local en la carpeta Conexiones de red y de acceso telefónico y seleccionando Propiedades.

2. Seleccionar el protocolo y pulsar Propiedades. 3. Para dar a conocer los servicios que se ejecutan en el servidor (como Servicios de archivos e

impresión vara NetWare o Enrutamiento IPX) a los clientes NetWare nativos, hay que introducir


Capítulo 5

un número hexadecimal de ocho dígitos único para identificar al servidor en el cuadro de texto Número de red interno.

4. En muchos casos también se puede dejar a Windows 2000 que maneje la detección del tipo de trama seleccionando la opción Detección automática del tipo de trama.Windows 2000 detecta después el tipo de trama apropiado enviando una petición de protocolo de información de enrutamiento (RIP, Routing Information Protocol) para todos los tipos de trama y esperando la respuesta. El tipo de trama para el que recibe respuesta Windows 2000 se convierte en el predeterminado. Si se reciben respuestas para múltiples tipos de trama, Windows 2000 establece los tipos de trama predeterminados para los que ha recibido respuestas siguiendo este orden: Ethernet 802.2, Ethernet 802.3, Ethernet II, SNAIP

5. Si se desea especificar el tipo de trama de forma manual o añadir múltiples tipos de trama, hay que seleccionar la opción Detección manual del tipo de trama, seleccionar Agregar y escoger después un tipo de trama e introducir el número de red para ese tipo de trama.


Capítulo 6

Capítulo 6

Mejoras de Arquitectura en Windows 2000

Las mejoras de arquitectura en Windows 2000 incluyen cambios en los tipos de funciones de servidor disponibles y en el tipo de confianzas de dominio utilizadas; nuevo soporte para dispositivos, Plug and Play (PnP), gestión de energía y, por supuesto, la inclusión del servicio Active Directory. Sin embargo, todos estos cambios implican que algunas aplicaciones y controladores existentes pueden no funcionar bajo la nueva arquitectura de Windows 2000.

Los controladores de dominio y los papeles de servidor en Windows 2000

En Windows 2000, los tipos de papeles de servidor son ligeramente diferentes a los disponibles bajo Windows NT. Los servidores Windows NT 4 pueden tener uno de cuatro papeles: controlador primario de dominio (PDC, Primary Domain Controller), controlador de reserva del dominio (BDC, Backup Domain Controller), servidor miembro y servidor independiente.

Los dominios Windows NT están basados en un solo maestro, con el PDC sirviendo como almacén maestro para un dominio dado. Todos los cambios realizados al dominio deben ser llevados a cabo por el PDC. Los BDC se utilizan para hacer copias de seguridad del PDC y también reducen la carga en el PDC prestando, ellos mismos, servicio a las peticiones de los clientes. Los BDC mantienen una copia actualizada del dominio sincronizándose periódicamente con el PDC y pueden asumir el papel del PDC si este servidor falla o esta fuera de servicio.

Los servidores miembro son simplemente servidores Windows NT que pertenecen a un dominio Windows NT y normalmente trabajan compartiendo archivos o compartiendo impresoras o ejecutando algún otro tipo de software de servidor, como Web, Sistema de nombres de dominio (DNS, Domain Name System) o software servidor de Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol).

Los servidores independientes son servidores Windows NT que no pertenecen a un dominio Windows NT sino que son parte de un grupo de trabajo. Es importante comprender que aunque un servidor independiente no pertenece a un dominio Windows NT, no esta limitado en sus funciones como servidor. Aun puede operar como DNS, DHCP a otro tipo de servidor, pero, por definición, no puede ser PDC o BDC.

Las funciones del servidor miembro y del servidor independiente son las mismas en Windows 2000 y en Windows NT, pero las funciones del PDC y del BDC son reemplazadas por una única función de un


Capítulo 6

controlador de dominio (DC, Domain Controller). Si, los dominios en Windows NT están por fin basados en múltiples maestros, con todos los DCs de Windows 2000 actuando parejos unos con otros. Cualquier DC puede realizar cambios al dominio cuando sea oportuno. Toda la información del dominio se almacena en el Active Directory, que gestiona las replicas entre todos los controladores de dominio. La parte negativa es que los DCs de Windows 2000 no pueden existir en un dominio Windows NT hasta que el PDC del dominio se actualice a Windows 2000.

Los servidores miembro Windows 2000 y los servidores independientes pueden ser ascendidos al nivel de controlador de dominio, y los controladores de dominio pueden ser degradados a servidores miembro o a servidores independientes sin reinstalación del sistema operativo como ocurre en Windows NT.

Active Directory

Active Directory es probablemente la característica nueva mas importante de la familia Windows 2000 Server. Es un servicio de directorio ampliable, fácilmente administrable y tolerante a fallos, que es requerido por los controladores de dominio Windows 2000 y también es recomendable para su uso en servidores DNS Windows 2000.

Dominios de Active Directory

Aunque Active Directory no hace cambios fundamentales en la forma en que funcionan los dominios en Windows 2000 de cara a los usuarios finales, introduce algunas estructuras de dominio importantes que podrían afectar a la forma de aproximarse al diseño del dominio. Active Directory, al igual que el servicio de directorio de Windows NT, utiliza dominios como unidades principales de la estructura lógica. Los dominios ayudan a organizar la estructura de la red ajustándose a la organización de la empresa, ya sea política o geográficamente. Cada dominio requiere al menos un DC (preferiblemente más) para almacenar la información del dominio, siendo cada DC un maestro del dominio.

Los dominios Windows 2000, a diferencia de los dominios Windows NT, usan nombres DNS para los nombres de dominio. Al igual que los dominios DNS, los dominios Windows 2000 están organizados jerárquicamente. En Active Directory, los grupos de dominios con un espacio de nombres contiguo organizados jerárquicamente se llaman árboles, mientras que las agrupaciones de árboles con espacio de nombres no contiguos se llaman bosques.

Sitios, dominios estructurales y unidades organizativas

Active Directory también introduce los conceptos de sitios, dominios estructurales y unidades organizativas.

● Un sitio se define como un grupo de una o mas subredes con Protocolo Internet (IP) que comparten conectividad LAN. Dentro de un sitio puede haber uno o mas dominios, o un dominio único puede abarcar múltiples sitios.


Capítulo 6

● Los dominios estructurales son dominios que no contienen cuentas; simplemente sirven como raíz para dominios hijos de nivel mas bajo. Como tales, los dominios estructurales facilitan la reestructuración de los dominios hijos y también hacen que la replica entre dominios sea mas fácil y rápida, ya que todos los dominios simplemente se replican con el dominio estructural, que actúa como algo parecido a un concentrador de replicas.

● Las unidades organizativas (OU, Organizational Unit) son muy similares a los dominios en el hecho de que tienen contenedores para objetos de red tales como cuentas de usuarios y recursos. Sin embargo, a diferencia de los dominios, no marcan un limite de seguridad y no requieren controladores de dominio. Las OU de Active Directory proporcionan una forma excelente de proporcionar organización en un dominio sin la necesidad de directivas de seguridad y controladores de dominio adicionales. también se pueden convertir fácilmente en dominios y los dominios pueden convertirse fácilmente en OU, lo que los hace flexibles.

Relaciones de confianza en Active Directory

Las relaciones de confianza implicaban cierta dificultad si se trataba de múltiples dominios Windows NT. Windows 2000 simplifica esta labor.

Relaciones de confianza entre dominios de diferentes tipos

Dominio Windows NT

Dominio Windows 2000 (mismo bosque)

Dominio Windows 2000 (diferente bosque)

Dominio Windows NT

Confianza unidireccional *

Confianza unidireccional


Dominio Windows 2000


Solo confianza transitiva bidireccional


* Una confianza unidireccional se puede establecer en ambas direcciones.

Una relación de confianza es un mecanismo por el cual los usuarios de un dominio pueden ser autentificados por un controlador de dominio en otro dominio. Entre unos y otros dominios Windows NT, todas las confianzas son no transitivas, lo que significa que cada confianza es una relación en un único sentido que debe ser establecida explícitamente. Para que dos dominios confíen mutuamente, se deben establecer dos relaciones de confianza por separado, -una en cada sentido. Una confianza no transitiva también esta estrictamente limitada. Por ejemplo, supóngase que un dominio Finanzas confía en un dominio Administración y el dominio Fabricación confía en el dominio Administración. Cuando se involucran confianzas no transitivas esta afirmación dice solamente que Finanzas y Fabricación permiten al controlador de dominio en Administración autenticar usuarios. No dice nada acerca de la relación entre Finanzas y Fabricación. Ni tampoco indica si Administración, a su vez, permite a Finanzas o Fabricación autenticar usuarios. Cada relación de confianza debe ser establecida separada y explícitamente.


Capítulo 6

Windows 2000 permite el concepto de confianzas transitivas. Las confianzas transitivas son siempre de dos sentidos. Además, cuando se crea un dominio secundario, Windows 2000 establece automáticamente una confianza transitiva entre el dominio secundario y el dominio principal. Sin embargo, las confianzas transitivas no entran en escena hasta que se eliminan todos los controladores Windows NT del dominio y el dominio se cambia explícitamente al modo nativo. Mientras los controladores Windows NT están activos, el dominio esta en el modo mixto predeterminado, lo cual es necesario para que los DC de Windows 2000 se repliquen con los BDC de Windows NT.

Soporte de hardware

Windows NT siempre ha sido muy particular con respecto al hardware. Los usuarios de Windows 95 y Windows 98 han disfrutado mucho del amplio soporte para controladores de dispositivos, PnP, Gestión de energía, IEEE 1394 (Firewire) y Bus serie universal (USB, Universal Serial Bus), el más reciente en Windows 95 OSR 2.1 y Windows 98. Los usuarios de Windows NT carecen esencialmente de todo lo citado, aunque disponen de otras ventajas.

Windows 2000 introduce un buen soporte para PnP, USB, IEEE 1394 (Firewire) y la configuración de dispositivos y gestión de energía configuración avanzada a interfaz de energía (ACPI, Advanced Configuration Power Interface), también se ha mejorado enormemente el soporte de dispositivos, aunque Windows 2000 todavía soporta menos dispositivos que Windows 95/98. (Hay excepciones, como el soporte de impresoras. Casi todas las impresoras soportadas bajo Windows 98 y Windows NT 4 se soportan en Windows 2000). En la mayoría de los casos, si el dispositivo es soportado bajo Windows NT 4, también será soportado por Windows 2000. Sin embargo, esto mismo no siempre es cierto para Windows 95/98, así que conviene comprobar la Lista de hardware compatible (HCL, Hardware Compatibility List) o contactar con el fabricante del dispositivo para determinar si el dispositivo es soportado bajo Windows 2000.

En la actualidad, se requiere BIOS compatible con ACPI para un uso completo de PnP y Gestión de energía. Se soportan la Administración avanzada de energía (APM, Advanced Power Management) heredada y las BIOS PnP, pero sus funciones son limitadas.

Los controladores de dispositivos en Windows 2000 han cambiado para mejorar la estabilidad del sistema al incrementar el numero de dispositivos soportados. Ahora se soporta el Modelo de controlador de Win32 (WDM, Win32 Driver Model), lo que permite a muchos controladores funcionar de forma intercambiable en Windows 2000 y Windows 98. también se soporta la firma de controladores de dispositivo (Device Driver Signing), y los controladores que no han sido verificados y firmados digitalmente por Microsoft activan una alerta cuando se instalan (Los administradores también pueden crear directivas para evitar que se instalen controladores sin firma). También se han realizado cambios en el modelo de controlador para evitar la inestabilidad del sistema y facilitar el PnP y la Gestión de energía, lo cual impide desgraciadamente que algunos controladores Windows NT funcionen en Windows 2000. Además, la Gestión de energía y el PnP no están disponibles con los controladores de Windows NT 4.


Capítulo 6

Como en Windows NT 4, los controladores de dispositivos elaborados para Windows 95, 3.x o MS-DOS no funcionan en Windows 2000.

Soporte de software

El soporte de software es un área en la cual Windows 2000 tiene algunos aspectos de compatibilidad. Al igual que Windows NT 4, es posible que Windows 2000 experimente problemas de compatibilidad con programas para MS-DOS y Windows 3.x (especialmente con algunos que accedan directamente al hardware). Las aplicaciones para Windows 95/98 que no se soporten explícitamente en Windows NT o Windows 2000 también pueden convertirse en problemas. Casi todas las aplicaciones para Windows NT 4 se ejecutan bajo Windows 2000.

La actualización de un sistema existente basado en Windows 95/98 presenta complejidades adicionales debidas a que los distribuidores tienen a menudo diferentes versiones de su software para Windows 95/98 y Windows NT/2000, o porque la misma aplicación se instala de diferente manera dependiendo del sistema operativo implicado. Consecuentemente, algunas aplicaciones requieren archivos de migración suministrados por el distribuidor (paquetes de actualización) durante la actualización del sistema operativo.

Planificación de una actualización del Dominio

La actualización de un dominio Windows NT a un dominio Windows 2000 requiere una considerable planificación incluso antes de ejecutar el Programa de instalación de Windows 2000 en el primer equipo. Algunos equipos, como los PDC y los BDCs, deben ser actualizados en un orden especifico, siendo el PDC el primero a actualizar. Otros equipos, como los servidores miembro y servidores independientes Windows NT, además de equipos cliente, pueden actualizarse en cualquier momento antes o después de la actualización del dominio propiamente dicho.

Antes de comenzar la actualización de un dominio Windows NT existente, es importante evaluar la red actual y planificar el enfoque que se quiere tomar para la actualización.

Documentación de la red existente

El primer paso en la planificación de la actualización de un dominio in situ es documentar la estructura de la red actual. Para hacerlo de esta manera es necesario tomar nota del modelo del dominio existente, las confianzas existentes, el numero y la ubicación de los controladores de dominio, los dominios de cuentas y recursos, los espacios de nombres DNS actualmente en uso, los servidores de aplicaciones y algunos servidores Windows NT 3.51.

La actualización de un dominio in situ es la actualización de un dominio que se realiza dejando el dominio intacto también se pueden actualizar los dominios eliminando el PDC


Capítulo 6

del dominio, dejando que los BDCs suministren los servicios. Hay que actualizar el PDC a Windows 2000, probarlo y, entonces, devolverlo al dominio de la producción.

● El modelo de dominio existente: El tipo de estructura del dominio, o modelo, que los dominios Windows NT existentes utilizan determina como implementar los árboles y bosques de Active Directory de Windows 2000.

❍ Dominio único: Un único dominio Windows NT.

❍ Maestro único: Un dominio de cuentas y múltiples dominios de recursos.

❍ Múltiples maestros: Múltiples dominios de cuentas con confianzas bidireccionales entre ellos y múltiples dominios de recursos que confían en todos los dominios maestros.

❍ Confianza completa: Cada dominio es un dominio de recursos y un dominio de cuentas, con cada dominio confiando en cada uno de los otros dominios.

● Relaciones de confianza existentes: Ya que las relaciones de confianza se preservarán durante el proceso de actualización, es conveniente comprobar y documentar que relaciones de confianza existen actualmente.

● Ubicación y número de controladores de dominio: Hay que determinar dónde están localizados los PDC y todos los BDC. El PDC se debe actualizar primero. Los BDC pueden actualizarse después y, obviamente, no pueden desempeñar sus funciones deseadas durante la actualización.

● Dominios de cuentas y dominios de recursos: Hay que registrar el numero de dominios de cuentas y dominios de recursos actuales, también conviene registrar como están configurados estos dominios e ir pensando si se desea realizar una reestructuración del dominio antes o después de la actualización de la red a Windows 2000.

● Espacios de nombres DNS: Si la empresa ya ha implantado algún DNS se deberían documentar cuidadosamente los espacios de nombres actualmente en uso. Los dominios no se pueden renombrar una vez creados y deben ser únicos en la red, así que es importante tener nombres de dominios que no hayan sido usados en la organización.

● Servidores: Un paso crucial y a veces olvidado en la documentación de una red es hacer un inventario de los servidores de aplicaciones. Esto incluye todos los servidores DNS, DHCP y WINS, así como servidores de aplicaciones como servidores Exchange, servidores SQL, servidores proxy, etc. DNS es un servicio requerido en un dominio Windows 2000 nativo, así que se debería dedicar algún tiempo a determinar si se quieren usar servidores DNS existentes para este propósito, implantar nuevos servidores DNS o usar controladores de dominio como servidores DNS, que es lo que recomienda Microsoft.También conviene examinar algunos servidores NetWare en el entorno y determinar si se quiere


Capítulo 6

sincronizar Active Directory con Servicios de directorio de Novell (NDS, Novell Directory Services). también se deberían revisar las notas de la versión incluidas en el CD-ROM de Windows 2000 Server para comprobar algunos aspectos de compatibilidad con la versión de NetWare.Los servidores de aplicaciones como Exchange, SQL o servidores de medios también deberían evaluarse para comprobar la compatibilidad con los nuevos dominios Windows 2000. La mayoría de los servidores no presentaran problemas, pero es una buena oportunidad para comprobar doblemente, además de volver a evaluar las funciones de estos servidores y su eficacia en la red.

● Servidores Windows NT 3.51: Los servidores Windows NT 3.51 presentan problemas en un dominio Windows 2000 lo que hace generalmente inadecuado su uso, así que la estrategia de actualización debe tener en cuenta la actualización o inutilización de servidores que se ejecutan en Windows NT 3.51. Entre los problemas se incluyen servidores de aplicaciones Windows NT 3.51 tanto negando acceso a inicios de sesión de usuarios o grupos, como concediendo incorrectamente acceso a usuarios o grupos que tienen el acceso denegado. Estas dificultades se producen a causa de la forma en que Windows NT 3.51 genera testigos de acceso cuando un usuario inicia sesión en el sistema.

Elaboración de un plan de recuperación

Después de evaluar la situación de la red actual, hay que concebir un plan de recuperación para el caso en el que algo vaya mal durante la actualización del dominio. Si falla la actualización a Windows 2000 del PDC y no hay ningún BDC disponible, el dominio entero puede venirse abajo. Es importante tener un plan de copias de seguridad satisfactorio para estas y otras situaciones.

Comprobación de que todos los dominios tienen al menos un BDC

Es necesario asegurarse de que todos los dominios que se planea actualizar poseen al menos un BDC, además del PDC, para evitar que el dominio se quede huérfano si falla la actualización a Windows 2000 del PDC. Además, antes de actualizar el PDC, hay que asegurarse de que se sincroniza el PDC con todos los BCDs.

Realización de copias de seguridad de todos los equipos antes de actualizar

Es de sentido común hacer una copia de seguridad de los sistemas antes de actualizarlos. Aunque esto es quizás demasiado cauteloso en algunos sistemas de escritorio Windows NT, es realmente importante en servidores, especialmente en los controladores de dominio. Además, hay que asegurarse de que se verifican las copias de seguridad; no hay nada mas inútil que una cinta con copias de seguridad estropeada.

Sincronización de todos los BDCs con el PDC


Capítulo 6

Hay que sincronizar el PDC con todos sus asociados de replica antes de actualizarlo. Si el PDC falla durante la actualización del dominio, se puede ascender un BDC a PDC y el dominio no perderá ninguno de los cambios.

Utilización de un BDC desconectado para la copia de seguridad

Tener los BDCs recientemente sincronizados y nuevas copias de seguridad del PDC en cinta servirá de protección ante muchos desastres. Además, desconectar un BDC recientemente sincronizado antes de actualizar el PDC es un buen seguro. Esto proporciona una copia de seguridad del dominio como se encontraba antes de comenzar el proceso de actualización a Windows 2000 operativa y rápidamente disponible. Si el PDC actualizado replica información de dominio defectuosa a los BDCs o el dominio resulta dañado de alguna otra forma, tener una copia de seguridad desconectada permite retroceder y comenzar de nuevo. Si se registran todos los cambios realizados en el dominio después de desconectar el BDC, se puede incluso retroceder en los cambios antes de conectar de nuevo el BDC (si ocurre un desastre) y no perder los cambios en el dominio.

Para preparar un BDC para que actúe como una copia de seguridad del dominio sin conexión hay que sincronizar el BDC que se desea utilizar con el PDC del dominio, hacer copia de seguridad en ese BDC y desconectar después el cable de red del BDC. Si se produce un desastre serio durante la actualización del PDC a Windows 2000 y es necesario recuperar el estado del dominio antes de Windows 2000, hay que degradar todos los DCs Windows 2000 que haya en la red, volver a conectar a la red el BDC desconectado, ascender el BDC anteriormente desconectado a PDC y sincronizar después el resto de la red con el. Esto devolverá al dominio al estado en que se encontraba inmediatamente antes de desconectar el BDC.

Todos los cambios realizados en el dominio después de desconectar el BDC con la copia de seguridad se perderán si se vuelve a conectar el BDC y se asciende a PDC.

Planificación del árbol de Active Directory

Existen varios pasos que se deberían realizar a la hora de planificar el árbol de Active Directory, incluyendo la definición del espacio de nombres del DNS y la creación de la estructura del árbol inicial.

Definición del espacio de nombres

Cuando se ha decidido cómo implementar un espacio de nombres DNS, normalmente es necesario decidir si se va a utilizar un espacio de nombres DNS existente y se va a crear el dominio raíz con un nombre de dominio existente o si se va a crear un nuevo dominio raíz y su espacio de nombres DNS asociado. La decisión es crucial porque el dominio raíz no se puede eliminar o renombrar fácilmente.

Con estos antecedentes, la siguiente lista resume las tareas necesarias para definir a implementar el espacio de nombres.


Capítulo 6

● Decidir si se puede utilizar un nombre de dominio existente para el dominio raíz o si es necesario crear uno nuevo.

● Si se va a utilizar un nuevo nombre de dominio, hay que determinar que restricciones existen en el proceso de selección de nombres y utilizar los canales apropiados para escoger el nombre del dominio.

● Configurar el dominio raíz para crear el nivel superior del espacio de nombres, con una pareja de controladores de dominio para tener redundancia.

● Configurar uno o mas servidores DNS para el árbol del dominio raíz. El servidor DNS necesita soportar el registro de recursos de servicio (el registro de recursos DNS para la especificación de la ubicación de los servicios) y debería soportar también, idealmente, actualizaciones dinámicas. Microsoft recomienda instalar el DNS en cada controlador de dominio y almacenar la información de la zona en el Active Directory.

● Añadir el resto de dominios como dominios secundarios para el dominio raíz. Es un excelente momento para realizar una reestructuración del dominio, o al menos para consolidar algunos de los dominios de recursos en las OU.

Creación de la estructura inicial del árbol

Una vez tomadas las decisiones sobre el espacio de nombres DNS es el momento de planificar el árbol de Active Directory con detalle. Se asumirá que se tiene un bosque con un único árbol, con todos los dominios compartiendo un espacio de nombres contiguo. En la practica, muchas empresas necesitaran utilizar un bosque con múltiples árboles, cada uno con su propio espacio de nombres. Sin embargo, el proceso no es diferente; cada árbol se construye y se añade al bosque de la misma forma.

El primer dominio que se actualice a Windows 2000 (o que se cree si se utiliza un modelo de múltiples dominios maestros que no se presta a una consolidación bajo uno de los dominios actuales) ha de ser necesariamente el dominio raíz. El dominio raíz almacena la configuración y el esquema de todo el bosque de Active Directory y no se puede cambiar de nombre o eliminar.

Adaptación a modelos de dominios específicos

En Windows NT hay disponibles cuatro modelos de dominios.


Capítulo 6

● Modelo de un Único dominio: El modelo de un único dominio es fácil de actualizar: el único dominio bajo Windows NT se convierte en el dominio raíz en Active Directory bajo Windows 2000. Se pueden utilizar después las OU para organizar las cuentas y los recursos y para delegar parte de la carga administrativa.

● Modelo de dominios de un solo maestro: Si existe un modelo de dominios de un solo maestro, hay que hacer que el antiguo dominio maestro sea la raíz del árbol y añadir los dominios de recursos como dominios secundarios de la raíz. Si la empresa posee una estructura de red centralizada, se podría tomar en consideración la reestructuración de los dominios en un único dominio después de haber actualizado el dominio y cambiado a modo nativo. Se pueden utilizar OU bien para imitar los dominios de recursos o para organizarlos de forma mas lógica, con las cuentas y los recursos agrupados y organizados en concordancia con la estructura de la empresa.Mezclar los dominios de recursos de nuevo en un único dominio ofrece varias ventajas. Como hay menos dominios que administrar, la carga administrativa es menor. Se pueden utilizar las OU para crear una estructura de red detallada sin la necesidad de tratar con confianzas. Además, se puede delegar autoridad administrativa a las OU, lo que proporciona la flexibilidad para gestionar las tareas administrativas de la forma deseada. Las consultas de Active Directory también se realizan mas rápido y de forma mas eficiente en un único dominio. Finalmente, como las OU no requieren controladores de dominio, existe el potencial para liberar algunos de los recursos informáticos infrautilizados para dedicarlos a otras tareas.Una empresa con una organización mas descentralizada, o una con diferentes unidades de negocio, podría desear mantenerse fiel a los múltiples dominios pero convertir sus dominios de recursos en dominios hechos y derechos, tanto con recursos como con cuentas. (Con Active Directory no hay motivo para mantener dominios de recursos distintos). Esta solución permite a los usuarios estar en el mismo dominio que los recursos que utilizan, lo que reduce el trafico y facilita a los usuarios la búsqueda y el acceso a los recursos que necesitan. Sin embargo, se debería esperar hasta que la red se convirtiera al modo nativo de Windows 2000 antes de trasladar las cuentas porque las confianzas transitivas facilitan bastante el traslado de cuentas entre dominios y este tipo de confianza solo esta disponible en un


Capítulo 6

dominio en modo nativo. Como alternativa se puede establecer una confianza bidireccional entre los dominios de recursos y el dominio principal, pero normalmente tiene mas sentido esperar hasta que todos los dominios trabajen en modo nativo.Algunas soluciones de terceros pueden proporcionar mucha de esta flexibilidad organizativa en Windows NT 4, con la intención de permitir a las empresas reestructurar sus dominios de forma que funcionen correctamente con Active Directory antes de trasladarlos a Windows 2000.

● Modelo de dominio principal múltiple: Debido a la flexibilidad y a las ventajas que ofrece el modelo con un único dominio, muchas empresas con un modelo de dominio principal múltiple optan por consolidar sus dominios en un único dominio Windows 2000, utilizando las OUs para estructurar jerárquicamente su red. Si se opta por fusionar los dominios, primero se debería realizar la actualización del dominio de igual forma que si se fuera a preservar las estructura de dominios existente y, entonces, realizar la fusión de dominios solo después de actualizar la red al modo nativo después de que los dominios estén en modo nativo, todas las cuentas se pueden trasladar a un único dominio sin la necesidad de volver a asignar los permisos sobre los objetos.Si se desea crear un árbol con un único dominio (con un espacio de nombres contiguo) durante la actualización del dominio, se puede utilizar uno de los dominios existentes como raíz del árbol, o se puede crear un nuevo dominio raíz y añadir el resto de los dominios maestros como sus hijos. Se puede considerar la utilización de un dominio estructural para este dominio raíz. Primero hay que actualizar o crear el dominio raíz. Una vez que existe el dominio y trabaja con un par de controladores de dominio, hay que actualizar el resto de los dominios y añadirlos al árbol.Si se desea mantener cada dominio maestro con un papel autorizador, se puede crear un bosque con múltiples árboles, con cada dominio maestro sembrado como la raíz de un nuevo árbol del bosque. En este caso, no importa que dominio maestro se actualice primero, pero se debe actualizar cada dominio maestro de cada árbol antes de actualizar los dominios de recursos que se piensen añadir al árbol.El modelo de dominio principal múltiple se utiliza ampliamente en grandes organizaciones por un par de motivos. Primero, porque permite que la red crezca mas allá de los límites del Administrador de cuentas de seguridad (SAM, Security Accounts Manager), el único que utiliza los dominios únicos y los dominios de un solo maestro. El SAM de Windows NT se almacena en el registro del sistema y, cuando crece por encima de los 40 Mb, la degradación del rendimiento se vuelve evidente. Esto implica que el límite practico de un dominio es de 40.000 objetos, con un máximo de 20.000 cuentas de usuarios. Para poder tener mas cuentas de usuarios a objetos, Microsoft recomienda la migración a un modelo de dominio principal múltiple.El segundo motivo por el cual las empresas utilizan dominios principales múltiples bajo Windows


Capítulo 6

NT es para poder tener sitios de red físicamente diferentes que no posean conexiones de red de área local (WAN, Wide área Network) lo suficientemente rápidas y fiables como para permitir que tenga lugar la replica de controladores de dominio sin consumir una cantidad inapropiada del ancho de banda de la WAN. La utilización de un dominio maestro en cada sitio permite superar esta carencia de conectividad adecuada, dado que entre dominios de cuentas maestros no hay replica y todo el ancho de banda de la WAN queda disponible para otros usos.La tercera razón para utilizar una estructura de dominios Windows NT con múltiples maestros es reflejar la organización de la empresa en los casos en los que diferentes partes de la empresa necesitan controlar sus propios recursos y usuarios. Cada dominio de cuentas maestro puede tener su propio administrador o se puede centralizar la administración, dependiendo de los deseos de la empresa.Active Directory de Windows 2000 trata estos asuntos con efectividad, permitiendo a muchas empresas migrar a un modelo de un único dominio (o al menos reducir el numero de dominios) y ganar las ventajas que ofrece ese modelo. Active Directory almacena toda la información del dominio en su base de datos (que es externa al registro y puede aumentar su tamaño con libertad), de forma que cada dominio almacene su panel del directorio completo en lugar de que un servidor almacene todo el esquema de la red, lo que permite que el dominio crezca hasta aproximadamente un millón de objetos. No se necesita otro dominio; toda la organización se puede realizar con OUs. también se pueden crear múltiples sitios físicos con un único dominio que abarque todos los sitios y una replica entre sitios configurada para hacer el mejor use de los enlaces WAN lentos.

● Modelo de confianza o relación completa: El modelo de confianza completa de Windows NT se utiliza muy a menudo en empresas muy descentralizadas o en empresas que han ido implementando dominios poco a poco y conectándolos de forma gradual. El modelo proporciona bastante autonomía y flexibilidad en cada dominio maestro, pero también conlleva una gran carga administrativa.Al igual que con el modelo de dominio principal múltiple, muchas empresas, cuando actualicen un dominio que utiliza el modelo de confianza completa a Windows 2000, intentaran consolidar sus dominios en un único árbol o incluso en un único dominio. Sin embargo, si se desea mantener la autonomía de la estructura de dominios actual del modelo de confianza completa, se puede configurar cada dominio maestro actual como un nuevo árbol o (si es necesario) como un nuevo bosque. Cuando se crea una estructura Active Directory como esta se reduce automáticamente la cantidad de administración necesaria, dado que todas las confianzas entre dominios en un árbol o bosque Active Directory son automáticamente transitivas.Las confianzas transitivas no tienen efecto hasta que los dominios se convierten al modo nativo


Capítulo 6

de Windows 2000.Cuando se actualiza el dominio, hay que crear primero el dominio raíz creando un nuevo dominio (estructural o normal) o actualizando un dominio existente y sembrándolo como la raíz del árbol Active Directory. Una vez que la raíz este funcionando con un par de controladores de dominio, se puede pasar a actualizar el resto de dominios y a añadirlos como hijos del dominio raíz o como raíces de nuevos árboles o bosques. Si es necesario, después de actualizar todos los dominios y cambiar al modo nativo de operación, se pueden reemplazar todas las confianzas de un sentido al estilo de Windows NT por confianzas transitivas para limitar el acceso dentro de un bosque o para proporcionar a dominios externos acceso a dominios específicos del árbol o del bosque.Una confianza de un único sentido también se puede configurar para permitir que un dominio heredado Windows 3.51 o NT 4 o un dominio secundario de otro bosque (como, por ejemplo uno que pertenezca a un socio del negocio) acceda a un dominio especifico del árbol o del bosque. Cuando se establece una confianza en un único sentido explicita en Windows 2000, funciona de forma idéntica que las confianzas en Windows NT, esto es, la confianza no es transitiva. Si se concede a un dominio acceso a un único dominio del árbol o del bosque, el dominio en que se confía no puede acceder a ningún otro dominio del árbol, aun cuando el árbol este enlazado con confianzas transitivas.

Planificación de la topología de un sitio

Los sitios, una nueva característica importante de Windows 2000, definen los limites de la conectividad LAN, haciendo mas eficientes los enlaces WAN. Cuando se configuran sitios que delimitan las secciones de la red que tienen conectividad de alta velocidad, Active Directory ajusta la forma en que utiliza los enlaces WAN reduciendo la frecuencia de replica entre sitios y dirigiendo las peticiones de servicio de los clientes (como inicios de sesión clientes o búsquedas en el directorio) a los controladores de dominio que estén disponibles localmente.


Capítulo 6

Los sitios son independientes de los dominios. Mientras que los dominios generalmente duplican la estructura organizativa lógica de la una empresa, los sitios duplican la estructura física de la red de una empresa. Un único sitio puede consistir en uno o mas dominios, árboles o incluso bosques, y un único dominio puede abarcar múltiples sitios. Un sitio puede consistir en una única subred IP (lo que es a menudo el caso, porque las subredes marcan con frecuencia los limites de la red física) o en múltiples subredes IP, pero todas las subredes deben compartir una conectividad fiable de alta velocidad para poder ser parte de un único sitio.

En estos días de los enlaces WAN con modo de transferencia asíncrona (ATM, Asynchronous Transfer Mode), cada vez es más común que el enlace WAN de una empresa sea tan rápido (o algunas veces mas rápido) que la LAN interna. Sin embargo, la carga del enlace WAN podría estar basada en el uso, o una empresa podría utilizar el enlace principalmente para tareas en tiempo real con un uso intensivo del ancho de banda como el video, lo que reduce el ancho de banda disponible. En tales casos, aun se puede establecer una estructura de sitios para el bosque Active Directory, para evitar sobrecargar el enlace WAN con una replica o peticiones de servicio excesivos.

A la hora de planificar la actualización de un dominio Windows NT a Windows 2000, es importante planificar la topología del sitio para que se pueda configurar la estructura del sitio sin demora después de la actualización. Conviene plantearse las siguientes cuestiones y registrar las respuestas:


Capítulo 6

● ¿Qué sitios será necesario crear en el bosque Active Directory? ● ¿Qué enlaces hay disponibles entre esos sitios, y cómo son de rápidos y caros? ¿Se utilizan ya

intensamente o hay disponible abundante ancho de banda? ● ¿Se han planificado enlaces entre los sitios? ● ¿Existen dominios que abarcaran sitios físicos y, si es así, son suficientemente rápidos los enlaces

entre los sitios como para soportarlo?

Hay dos tipos de conexiones disponibles para la replica entre sitios: RPC síncrono de baja velocidad punto a punto y el Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol). Cualquier dominio que abarque varios sitios debe tener al menos una conexión RPC síncrona de baja velocidad entre los sitios incluidos en el dominio. Se requiere esta conexión porque no se puede utilizar SMTP para una replica intensiva entre controladores de dominio en el mismo dominio; sólo se puede utilizar SMTP para replicar el esquema, la configuración y la información del Catalogo global. Por lo tanto, si se tienen dominios con varios sitios, hay que comprobar dos veces el enlace entre los sitios para asegurarse de que se dispone de la conectividad adecuada para esta configuración.

Las empresas que utilizan el modelo de dominio principal múltiple o el de confianza completa bajo Windows NT escogerán normalmente un dominio existente para utilizarlo como la raíz de su árbol Active Directory. Sin embargo, algunas organizaciones podrían optar por utilizar un dominio estructural como raíz de su árbol, con los anteriores dominios maestros como dominios secundarios.

Un dominio estructural es simplemente un dominio sin cuentas de usuario ni recursos -existe puramente para formar la estructura del dominio (de ahí el nombre) además de ayudar a una replica entre dominios fácil y eficiente. Los dominios estructurales se pueden utilizar para proporcionar una estructura de dominios adecuada para una futura reestructuración más a fondo. Si se sitúan uno o más niveles de dominios estructurales en el árbol Active Directory, se proporciona un ancla inalterable en el árbol de dominios, bajo la cual se pueden trasladar dominios secundarios sin alterar la estructura de dominios de nivel superior. Al mismo tiempo, el dominio raíz estructural actúa como un escudo ante el mundo de forma que los cambios en la complejidad quedan ocultos tras el.

Los dominios estructurales también son útiles para la replica entre sitios, especialmente cuando se accede o se replica el Catálogo Global (CG), que es el catálogo maestro de todos los objetos de la porción de Active Directory del dominio del host y un catalogo


Capítulo 6

parcial de objetos almacenados en otros dominios. Si se dispone de mas de un sitio, se puede optar por crear un dominio estructural en la raíz que abarque todos los sitios y mantenga una copia del CG de cada sitio. (también se debería almacenar una copia del CG en el dominio local de nivel mas alto de cada sitio y utilizar el dominio estructural simplemente como un enlace entre los sitios). Disponer de un CG en el sitio permite que los dominios locales de todos los sitios se concentren en el procesamiento y réplica de la información interna del sitio, dejando que el dominio estructural realice toda la réplica entre sitios.

La utilización de dominios estructurales para la réplica también facilita la configuración y el mantenimiento de los vínculos de réplica. Los dominios secundarios simplemente se replican hacia arriba, hacia el dominio principal, obviando la necesidad de conocer el nombre de cada dominio con el que necesitan replicarse.

Desarrollo de una estrategia para la actualización

Después de documentar la infraestructura de red existente, realizar un plan de recuperación y diseñar los árboles y sitios Active Directory, es el momento de juntarlo todo y crear el plan real de actualización.

Comprobación de que el PDC es suficientemente potente

Hay que comenzar la actualización del dominio examinando cuidadosamente el PDC actual. Aunque Windows 2000 utiliza controladores de dominio principales múltiples parejos, el primer controlador de dominio conserva servicios extra que, en algunos casos, no se pueden trasladar fácilmente a otros controladores de dominio. Entre estos servicios se incluyen el servidor del Catalogo global, el Maestro de operaciones y el emulador de PDC. (El emulador de PDC proporciona servicios para clientes Windows NT y Windows 95/98 y también realiza algunas tareas en un entorno Windows 2000 puro). En otras palabras, todos los controladores de dominio son iguales, pero el primer controlador de dominio de Windows 2000 es un poco mas igual que los otros, por lo que puede ser deseable que esa máquina sea especialmente rápida y potente.

Creación del nuevo dominio raíz antes de actualizar el PDC

Si se esta migrando desde un modelo de dominio principal múltiple o de confianza completa y se desea crear un nuevo dominio para que trabaje como la raíz del árbol de dominios, es necesario hacerlo antes de actualizar el PDC. Una vez que se haya creado el nuevo dominio y este funcionando con un par de controladores de dominio (además de todos los nuevos sistemas o instalaciones limpias), se puede actualizar el PDC y unirlo a este nuevo árbol como dominio secundario.

Actualización del PDC primero

El primer servidor que ha de ser actualizado debe ser el PDC Windows NT del dominio de cuentas que


Capítulo 6

se quiera utilizar como la raíz del nuevo árbol Active Directory. Esto es cierto tanto si el árbol que se esta creando es el primero del bosque o el número veinte del tercer bosque; siempre es necesario actualizar el PDC primero si se desea actualizar el dominio Windows NT en lugar de crear un nuevo dominio.

Actualización de los BDC a continuación

Conviene actualizar todos los BDCs del dominio tan pronto como sea posible tras el comienzo del proceso de actualización. Este paso permitirá cambiar el dominio al modo nativo de Windows 2000 y obtener los beneficios administrativos del modo nativo cuanto antes.

Cuando se actualice un BDC a Windows 2000, se replicará con el primer controlador de dominio que pueda alcanzar. Si en el anterior PDC, ahora Windows 2000, el controlador de dominio no esta disponible, el BDC tratará de configurarse como el primer controlador Windows 2000 del dominio, creando serios problemas cuando el primer controlador de dominio vuelva a estar disponible. Hay que asegurarse de que el primer controlador de dominio Windows 2000 es visible en la red cuando se actualiza un BDC.

Actualización de los servidores miembro y de los clientes de forma independiente

Los servidores miembro y las estaciones de trabajo se pueden actualizar cuando se desee, o bien antes o bien después de actualizar el dominio a Windows 2000. Los clientes Windows 2000 y los servidores miembro funcionan perfectamente bien con los dominios Windows NT; sin embargo, no pueden acceder a los beneficios de Active Directory hasta que el dominio se actualice.

Programación apropiada de la actualización del dominio

Hay que programar la actualización del dominio para un momento en que tenga el menor impacto en la población de usuarios. Aunque probablemente sea una vana esperanza, es mejor evitar las actualizaciones durante los proyectos mas importantes y en las épocas mas ocupadas del año. Incluso las actualizaciones perfectas producen algún impacto en los usuarios, especialmente si se realiza una reestructuración o consolidación de los dominios.

Preparación de los Dominios y de los Equipos para la actualización

El primer paso de la actualización a Windows 2000 es preparar los dominios y los equipos. Este importante paso hará mas eficiente el proceso de actualización para que transcurra con los menos contratiempos posibles.

Preparación de los dominios

Para preparar los dominios para su actualización a Windows 2000 hay que asegurarse de que todos los servidores que se piensan actualizar ejecutan Windows NT 4. también es buena idea hacer limpieza de


Capítulo 6

directorios y cuentas de usuario para eliminar la basura anticuada. Cuando se actualiza el dominio a Windows 2000, todas las cuentas de usuario se trasladan al Active Directory -y aunque el Active Directory es extremadamente dimensionable, consume una buena parte del espacio del disco duro-. No tiene sentido almacenar las cuentas deshabilitadas y las no utilizadas indefinidamente, por lo que es mejor eliminarlas antes de actualizar. Conviene vaciar y limpiar los directorios no utilizados y desinstalar el software caducado. Hay que desactivar las confianzas que no se deseen preservar. Se debe sincronizar el PDC con todos los BDCs a implementar después el plan de recuperación, incluyendo la desconexión de uno de los BDC de la red.

Preparación de los equipos

Para preparar los equipos para la actualización, hay que seguir estos pasos en cada equipo involucrado:

1. Comprobar los requisitos de sistema de Windows 2000 para asegurarse de que el equipo los cumple. Solo porque el equipo satisfaga los requisitos mínimos de sistema no significa necesariamente que este preparado para las tareas previstas para él.

2. Comprobar la HCL en la carpeta Support del CD-ROM de instalación de Windows 2000. Si el sistema no aparece en la lista, hay que comprobar la HCL en el sitio Web de Microsoft (http://www.microsoft.com/hwtestlhcl/). Si existen controladores actualizados para el hardware hay que descargarlos y copiarlos a un disquete o a un disco local para poder utilizarlos durante la instalación, si fuese necesario. Si un componente del sistema no aparece en la HCL de Microsoft, se puede visitar el sitio Web del fabricante o contactar con el fabricante del dispositivo para ver si hay disponibles controladores actualizados. En general, es mejor reemplazar los componentes que no aparezcan como 100 por 100 compatibles.

3. Leer los archivos lealro.txt y leame.doc incluidos en el CD-ROM de Windows 2000 para obtener detalles sobre aplicaciones y sobre el hardware.

4. Desinstalar cualquier programa de protección antivirus que haya instalado, a menos que se sepa que funciona bajo Windows 2000 sin modificaciones.

5. Realizar y verificar una copia de seguridad de todo el sistema. 6. Crear o actualizar el disco de reparación de emergencia o el disco de inicio de Windows 95/98. 7. Registrar la configuración del hardware del sistema para tenerla como referencia en caso de que

se produzca un conflicto o problema con el hardware. Entre los elementos a registrar se incluyen los dispositivos instalados, las IRQ, la configuración de los puentes y las configuraciones de discos duros.

8. Desactivar el duplicado de disco si se esta utilizando. (Se puede activar cuando finalice la actualización).

9. Descomprimir el disco duro. (Esto sólo se aplica a los clientes Windows 95/98). 10. Desconectar el cable serie de cualquier dispositivo de alimentación ininterrumpida (SAI) de

puerto serie. (Los dispositivos SAI/USB se pueden dejar enchufados). 11. Localizar todas las unidades y obtener el CD-ROM de Windows 2000 o conectarse a un recurso

compartido de red con los archivos de la instalación de Windows 2000.


Capítulo 6

Actualización a Windows 2000 Professional desde Windows 95/98

Con toda probabilidad un administrador de redes empleara mas tiempo en realizar actualizaciones de clientes que actualizaciones de servidores. Windows 2000 es el primero de los sistemas operativos de red de Microsoft que proporciona una vía de actualización para los sistemas operativos de escritorio (Windows 95 y Windows 98) además de para el sistema operativo de estaciones de trabajo (Windows NT Workstation).

Las actualizaciones de Windows 95/98 son la vía de actualización a Windows 2000 mas difícil y, a causa de estas dificultades, se recomienda considerar la realización de instalaciones limpias en lugar de actualizaciones siempre que sea posible. Antes de decidir si se deben actualizar o realizar nuevas instalaciones, hay que leer las secciones que siguen y probar la actualización en algunos clientes que sean representativos de la población de clientes.

Windows 2000 Professional es de lejos el mejor cliente para empresas que vende Microsoft. Sin embargo, por algún motivo, Microsoft no lo ha promocionado como la primera opción para todas las empresas y continua revisando la línea Windows 95/98 aun cuando, en general, Windows 95 y Windows 98 no son los mejores sistemas para el lugar de trabajo. De acuerdo, estos poseen reexpedidotes funcionales para redes Microsoft y se pueden actualizar para acceder a Active Directory, pero también carecen de muchos de los atributos que hacen que un sistema operativo sea bueno para la empresa. Si Windows 2000 se ejecutara en los sistemas clientes, casi siempre será mejor utilizarlo que Windows 95/98.

Windows 2000 Professional tiene una sorprendente estabilidad de sistema, superando incluso a la de Windows NT Workstation. La seguridad del sistema es personalizable; se puede hacer que la seguridad del cliente sea muy flexible o extremadamente estricta. (Windows NT 3.51 esta certificado con la seguridad de nivel C2, y se espera que Windows NT 4 y Windows 2000 reciban también esta certificación cuando emerjan del proceso de prueba un tanto prolongado). Windows 2000 también esta construido para ser rápido, con un eficiente núcleo de 32 bits completamente multienhebrado con multitarea preferente y multiprocesamiento simétrico (SMP, Symmetric Multiprocessing), lo que permite a los usuarios ejecutar mas aplicaciones y ejecutar esas aplicaciones mas rápido. Los usuarios con múltiples procesadores y software escrito para sacar ventaja del SMP pueden utilizar un segundo procesador, algo no disponible en Windows 95/98. Windows 2000 es en realidad significativamente mas rápido en muchas aplicaciones que Windows 98 en un hardware equivalente (asumiendo que el hardware cumple los requisitos de sistema mínimos para Windows 2000).

Windows 2000 Professional esta diseñado para complementar la familia Windows 2000 Server, y como tal proporciona los mejores servicios de cliente para las redes basadas en Windows 2000, superando enormemente las excelentes prestaciones de red de Windows


Capítulo 6

NT 4 Workstation. En un dominio Windows 2000, los clientes Windows 2000 Professional pueden administrarse remotamente, hacer uso de los escritorios móviles y aprovechar las ventajas de las aplicaciones instaladas remotamente. (Incluso el sistema operativo se puede instalar remotamente).

Dificultades en las actualizaciones de Windows 95/98

Una actualización directa de Windows 95 o Windows 98 a Windows 2000 es posible y no se hace bien, pero resulta sorprendente descubrir que se hace completamente. La dificultad radica en una diferencia fundamental en las arquitecturas: Windows 2000 esta basado en Windows NT, y Windows 95 y Windows 98 son herederos de MS-DOS/Windows 3.x (aunque obviamente todos los sistemas operativos anteriores incluyen grandes cantidades de código nuevo). Para complicar aun mas el asunto, Windows 95 y 98 no utilizan los mismos controladores que Windows 2000. Estos son los principales obstáculos a vencer, aunque si hay controladores Windows 2000 disponibles para los componentes del sistema, el problema de los controladores se puede solucionar fácilmente.

El hecho es que algunas aplicaciones Windows 95/98 no se ejecutarán bajo Windows 2000 sin alguna modificación. Por lo tanto, cuando se realiza una actualización desde Windows 95 o Windows 98, es importante o bien desinstalar las aplicaciones que no funcionan sin modificaciones tanto en Windows 98 como en Windows 2000, o bien obtener un paquete de actualización (también llamado DLL de migración) del distribuidor de la aplicación.

Con lo dicho, se puede actualizar un sistema basado en Windows 95 o en Windows 98 a Windows 2000 Professional, y se puede conseguir que funcione. Sin embargo, una persona prudente realizara varias actualizaciones en sistemas representativos antes de decidirse sobre la estrategia de actualización.

Muchos paquetes de aplicación instalan diferentes versiones del mismo programa, dependiendo de si la instalaron se realiza para Windows 95/98 o bajo Windows 2000. Cuando este sea el caso, la versión Windows 95/98 normalmente no se ejecutara bajo Windows 2000. Si hay que enfrentarse a esta situación, es necesario obtener un paquete de actualización o una DLL de migración del distribuidor de la aplicación. O se puede desinstalar la aplicación antes de actualizar a instalar después la versión compatible con Windows 2000.

Inicio dual

Si es necesario trabajar con aplicaciones heredadas que solo funcionan bajo Windows 95/98, se puede configurar un inicio dual con Windows 95/98 y Windows 2000. El inicio dual permite a los usuarios seleccionar el sistema operativo en el inicio, estando cada sistema operativo instalado en una partición o unidad de disco independiente y manteniendo sus propias aplicaciones. Aunque el uso de un inicio dual permite bastante flexibilidad, no es algo que se deba hacer a gran escala a causa del trabajo administrativo adicional y los recursos extra requeridos.


Capítulo 6

Si se desea realizar un inicio dual con Windows 95/98 se deberían tener en cuenta las siguientes limitaciones:

● Windows 95/98 no puede acceder a las particiones NTFS, aunque Windows 2000 puede acceder a todas las particiones FAT y FAT32. Por lo tanto, si es necesario acceder a toda la información de la unidad de disco desde ambos sistemas operativos, es necesario utilizar FAT o FAT32 como formato para las particiones. Sin embargo, la utilización de FAT y FAT32 elimina muchas de las ventajas en seguridad que Windows 2000 ofrece, por lo que se debe utilizar esta solución con precaución.

● Se debe instalar cada aplicación de forma independiente en cada sistema operativo. ● Se necesita un nombre de equipo diferente para cada sistema operativo. El equipo aparecerá en la

red como nombre1 cuando se inicie en Windows 95 o Windows 98; aparecerá como nombre2 cuando se inicie en Windows 2000.

Si actualmente ya se utiliza un inicio dual entre Windows 95/98 y Windows NT se puede actualizar la instalación Windows NT a Windows 2000 y después utilizar un inicio dual entre Windows 95/98 y Windows 2000. Sin embargo, en esta situación no se puede actualizar la instalación Windows 95/98 a Windows 2000.

Para configurar un inicio dual desde Windows 95/98 hay que ejecutar el Programa de instalación o bien, si la opción para notificar automáticamente la inserción esta activa, basta con insertar el CDROM de Windows 2000 y pulsar No cuando se pregunte si se desea actualizar a Windows 2000. En la primera ventana que aparece después de ejecutar el Programa de instalación o pulsar No hay que seleccionar Instalar una nueva copia de Windows 2000 para realizar una instalación limpia.

Ejecución de la actualización

Se puede ejecutar el Programa de instalación desde el CD-ROM de Windows 2000 o desde una unidad de red. En cualquier caso, primero hay que ejecutar Windows 95 o Windows 98, cerrar todos los programas y desinstalar cualquier programa de protección ante virus que haya instalado.

Para ejecutar el Programa de instalación desde el CD-ROM hay que insertar el CD-ROM de Windows 2000. Aparece el cuadro de dialogo CD de Microsoft Windows 2000 si esta activa la Reproducción automática del CD-ROM (Notificar automáticamente la inserción). (Si esta opción no esta activa, hay que abrir la carpeta i386 del CD-ROM y pulsar dos veces en winnt32.exe). Este cuadro de dialogo pregunta si se desea actualizar la versión de Windows. Hay que pulsar Sí para iniciar el Programa de instalación.

Para actualizar a Windows 2000 Professional a través de la red hay que ejecutar el programa winnt32.exe desde la unidad de red que contenga los archivos de instalación de Windows 2000 Advanced Server y, después, proceder con el Programa de instalación. Una vez ejecutado el Programa de instalación hay que seguir estos pasos para actualizar el equipo a Windows 2000 Professional:


Capítulo 6

1. Seleccionar la opción Actualizar a Windows 2000 y después pulsar Siguiente. Esto actualizara el equipo a Windows 2000 Professional manteniendo la configuración y los programas intactos.

2. Leer el contrato de licencia y seleccionar la opción Acepto este contrato y, después, pulsar Siguiente.

3. Pulsar el hipervínculo proporcionado para conectarse al sitio Web de Microsoft para buscar los archivos de actualización que se pudieran necesitar y, después, pulsar Siguiente. después, el Programa de instalación explora el sistema en busca de incompatibilidades software y hardware.

4. Si se dispone de paquetes de actualización (también conocidos como DLLs de migración) para cualquiera de los programas, hay que seleccionar la opción correspondiente y después pulsar Agregar para seleccionar la carpeta que contiene los archivos. Si no se dispone de paquetes de actualización hay que seleccionar la segunda opción y pulsar Siguiente.

5. Indicar si se desea actualizar la unidad a NTFS en la siguiente pantalla y después pulsar Siguiente. (NTFS es necesario pare utilizar las características de seguridad de Windows 2000).

6. Si se sabe que se posee hardware pare el cual Windows 2000 no tiene controladores, hay qua indicar qua se suministraran al Programa de instalación controladores actualizados y después pulsar Siguiente.

7. El Programa de instalación muestra un informe de la actualización que documenta el estado del hardware y del software. Hay qua leer este informe detenidamente para determinar si todavía se desea realizar la actualización o no. Hay que desinstalar los programas qua el Programa de instalación indique que causan problemas y, después, pulsar Siguiente pare permitir qua el Programa de instalación actualice el equipo. El Programa de instalación procederá.

Si no se proporcionan controladores actualizados, los dispositivos con controladores anticuados no funcionaran hasta que se instalen controladores más nuevos. Esto se puede hacer después de instalar Windows 2000 sin causar problemas.

Actualización a Windows 2000 Server desde Windows NT

Cuando existen servidores o clientes Windows NT, la actualización a Windows 2000 Server o Advanced Server es con mucho la vía más sencilla. hacer esto permite preservar todas las configuraciones y, cuando se actualize el PDC, permite preservar el dominio y todas sus cuentas de usuario y recursos. Realizar una instalación limpia también es una opción, pero no es necesario a menos que se este ejecutando un sistema operativo de servidor distinto de Windows NT 3.51 ó 4. (Normalmente es mejor actualizar primero los servidores qua ejecutan versiones anteriores de Windows NT a 3.51 ó 4 y después actualizar a Windows 2000, en lugar de realizar una instalación limpia).

De forma similar, no se recomienda la configuración de un inicio dual a menos qua haya alguna necesidad de utilizar la configuración del servidor o cliente Windows NT existente parte del tiempo. El inicio dual entre Windows NT 4 y Windows 2000 tiene varias limitaciones.

Para actualizar a Windows 2000 Advanced Server con el CD-ROM de actualización de Windows 2000


Capítulo 6

Advanced Server, es necesario estar ejecutando Windows NT 4 Enterprise Edition. Si se dispone de la versión completa de Windows 2000 Advanced Server, pensada para equipos nuevos, se puede actualizar desde los siguientes productos:

● Windows NT 4 Enterprise Edition. ● Windows NT 4 Terminal Server. ● Windows NT 4 Server. ● Windows NT 3.51 Server.

Después de planificar la actualización del dominio y preparar el equipo, es el momento de comenzar la actualización. Si se esta actualizando un PDC hay que sincronizar con los BDC del dominio una ultima vez antes de iniciar la actualización.

Se deben cerrar todos los programas abiertos y desactivar todos los programas de protección antivirus y después insertar el CD-ROM de Windows 2000. Si esta activada la Reproducción automática del CD-ROM (Notificar automáticamente la inserción), aparece el cuadro de dialogo CD de Microsoft de Windows 2000. (Si esta opción no esta activada, hay que abrir la carpeta i386 del CDROM y pulsar dos veces en winnt32.exe). El cuadro de dialogo pregunta si se desea actualizar la versión de Windows. Hay que pulsar Si para iniciar el Programa de instalación y, después, seguir estos pasos para actualizar a Windows 2000:

1. Seleccionar la opción Actualizar a Windows 2000 y, después, pulsar Siguiente. Esto actualizara el equipo a Windows 2000 manteniendo las configuraciones y los programas intactos.

2. Leer el contrato de licencia y seleccionar la opción Acepto este contrato y después pulsar Siguiente.

3. Si el Programa de instalación encuentra hardware que no es compatible con Windows 2000 lo muestra en la siguiente pantalla. Hay que seleccionar el hardware incompatible y pulsar Utilizar disco para proporcionar controladores Windows 2000 actualizados para el dispositivo y, después, pulsar Siguiente. En este punto el Programa de instalación reinicia, instala Windows 2000 y después reinicia el recién actualizado sistema operativo.

4. Si se esta actualizando un PDC o un BDC comenzara el Asistente para instalación de Active Directory. Para más información acerca de la utilización de este asistente para instalar Active Directory y un servidor DNS si se desean implantar ambos servicios en el controlador del dominio.

Modos operativos en los dominios

Después de actualizar el PDC a Windows 2000, el dominio opera en modo mixto, lo que significa que pueden estar presentes controladores tanto Windows 2000 como Windows NT. Esta es la configuración predeterminada para los servidores Windows 2000. En modo mixto, las confianzas operan como lo harían entre dominios Windows NT 4.


Capítulo 6

Acerca del modo nativo

Para operar en modo nativo, un dominio Windows 2000 solo debe tener controladores de dominio Windows 2000 y debe cambiarse explícitamente al modo de operación nativo. Dado que esta es una migración en un solo sentido, se debe hacer de forma manual. Desde el momento en que se actualice a modo nativo, los controladores Windows NT 4 dejaran de funcionar en el dominio. Por lo tanto, no se debería cambiar a modo nativo a menos que se este seguro de que se han actualizado o desconectado todos los BDC Windows NT y de que no se van a actualizar en el futuro controladores de dominio Windows NT.

Los servidores miembro Windows NT 4 funcionan sin problemas en un dominio Windows 2000 en modo nativo, al igual que lo hacen los clientes basados en Windows NT 4 y en Windows 95/98. El modo nativo solo se refiere a los controladores de dominio, no a las maquinas del dominio.

Los dominios Windows 2000 en modo nativo ofrecen varias ventajas sobre los dominios Windows NT 4, además de sobre los dominios Windows 2000 en modo mixto. Además de las ventajas mostradas en la tabla, cambiar al modo nativo permite a clientes heredados beneficiarse de las relaciones transitivas entre dominios en el Active Directory y, una vez autentificados, acceder a recursos en cualquier parte del árbol del dominio, siempre que tengan los permisos adecuados.

Diferencias entre dominios Windows NT 4, dominios Windows 2000 en modo mixto y dominios Windows 2000 en modo nativo

Característica Windows NT 4 Windows 2000 en modo mixto

Windows 2000 en modo nativo

Objetos por dominio

Menos de 40.000 (20.000 cuentas de usuario) recomendado

Menos de 40.000 (20.000 cuentas de usuario) recomendado

Hasta 1 millón

Réplica con múltiples maestros

No Sí Si

Tipos de grupos Global, Local Global, Local Universal, Global del dominio, Local del dominio, Local

Grupos anidados No No Sí

Administración a través del dominio

Limitada Limitada Completa

Filtros de contraseñas

Instalados manualmente en cada PDC y BDC

Instalados manualmente en cada DC

Instalados automáticamente en todos los DC


Capítulo 6

Consultas por medio del cambio de escritorio/gestión de configuración

No Solo en DC Windows 2000

Si

Protocolos de autentificación

NTLM NTLM, Kerberos Kerberos

Es importante comprender que no todos los sistemas del dominio tienen que estar ejecutando Windows 2000 para poder operar en modo nativo. El modo nativo solo afecta a la operación de los controladores de dominio. Sin embargo, el problema de tener sistemas que no sean Windows 2000 en el dominio es importante cuando se va a planificar la implantación de un servidor WINS. Mientras haya clientes y servidores heredados (no Windows 2000) en el dominio, se necesitan servidores WINS para la resolución de nombres NetBIOS (a menos que se tenga una red pequeña no enrutada que pueda gestionar la resolución de nombres NetBIOS mediante difusión). Además, no se debería desactivar NetBIOS sobre TCP/IP en las maquinas Windows 2000 hasta que la red conste únicamente de Windows 2000 porque los sistemas heredados no serán capaces de comunicarse con los sistemas Windows 2000. (Los sistemas heredados basan su comunicación de red en llamadas NetBIOS).

Cambio al modo nativo

Cuando todos los BDCs Windows NT 4 hayan sido bien actualizados a Windows 2000 o bien desconectados, se puede cambiar la red al modo nativo de Windows 2000. Para realizar el cambio hay que iniciar sesión en un controlador de dominio utilizando una cuenta de administrador y seguir estos pasos:

1. Abrir Dominios y confianzas de Active Directory desde la carpeta Herramientas administrativas.

2. Pulsar con el botón derecho del ratón en el dominio que se desee convertir al modo nativo y escoger Propiedades en el menú contextual.

3. Pulsar el botón Cambiar el modo en la ventana Propiedades. Obsérvese que el cuadro Modo de operación del dominio muestra Modo mixto.

4. Cuando Windows 2000 pida que se confirme el cambio hay que pulsar Si. Hay que pulsar Aceptar en el siguiente cuadro de dialogo.

5. Reiniciar el controlador de dominio en el que se han hecho cambios además de cualquier DC del dominio después de que el DC modificado informe de que se esta ejecutando en modo nativo.

Cambiar al modo nativo es un proceso irreversible. después de cambiar al modo nativo no se pueden usar controladores de dominio Windows NT 4 en el dominio.


Capítulo 6


Capítulo 7

Capítulo 7

En Windows 2000, tanto compartir archivos como los medios de almacenamiento extraíbles se han simplificado para el usuario final. Y mientras que las tareas rutinarias asociadas a la administración se han racionalizado, compartir archivos y los medios de almacenamiento extraíbles ahora son más complejos de administrar debido a que las características de tecnologías simples han crecido.

El Sistema de Archivos Distribuido (DFS)

Uno de los problemas con compartir archivos y las redes es que los usuarios suelen tener dificultades para encontrar los archivos en la red a la que tienen acceso. Si se crea un único servidor de archivos para la red, este problema puede ser intrascendente. Sin embargo, cuando se añaden múltiples servidores de archivos en diversas ubicaciones, la ayuda a los usuarios a encontrar los recursos compartidos correctos puede convertirse en un trabajo a tiempo completo.

El Sistema de archivos distribuido (Distribuited File System, DFS) fue diseñado para ayudar a aliviar este dilema, mientras se proporciona también los beneficios del equilibrio de carga, tolerancia a fallos adicional y conservación del ancho de banda libre de la red. DFS logra estos objetivos ocultando la estructura subyacente de compartir archivos dentro de una estructura de carpeta virtual tal que los usuarios verán una única estructura continua de carpetas, la cual está formada en realidad por carpetas que residen en una docena de distintos servidores esparcidos a través de la organización.

Ventajas

La principal ventaja de DFS es su único punto de acceso para todos los recursos compartidos de la red. Otro beneficio es que permite organizar los recursos compartidos de archivos y administrar disponibilidad y tolerancia a fallos mejorada, así como la funcionalidad de equilibrio de carga. Además, la seguridad es fácil con DFS.

Un punto de acceso para todos los archivos de red

DFS hace más fácil al usuario encontrar y acceder a los archivos compartidos que necesiten. Sin DFS, los usuarios a menudo tienen que conectarse a una serie de recursos compartidos diferentes en varios servidores de archivos para obtener los archivos que necesitan. A menos que los usuarios sepan en qué servidores y qué archivos compartidos buscan, tienen que buscar los archivos por todos. DFS permite la creación de una colección virtual y organizada de forma jerárquica de archivos compartidos para que los usuarios sólo tengan que conectarse a un único servidor (el servidor host para la estructura de DFS). Todas las carpetas que necesite el usuario aparecen como si estuviesen almacenadas en el servidor incluso cuando las carpetas en realidad están almacenadas en múltiples servidores.


Capítulo 7

Alta disponibilidad y mejor rendimiento

DFS admite la configuración de la topología de carpetas compartidas de forma que maximiza la disponibilidad, incrementa la tolerancia a fallos y permite a los administradores configurar el equilibrio de carga para archivos compartidos de gran uso. Cuando los archivos compartidos redundantes se combinan con dominios de Windows 2000 usando sitios para delimitar las áreas de alta conectividad, DFS también incrementa el rendimiento del vínculo de red enlazado a los usuarios de las carpetas compartidas lo más cercanas posible.

Para enriquecer esta gran disponibilidad, DFS protege el verdadero archivo compartido de los usuarios. Los usuarios navegan por la estructura de carpetas de DFS de manera totalmente transparente. Es posible beneficiarse de esta abstracción de muy distintas formas. Por ejemplo, se puede incrementar la disponibilidad permitiendo actualizaciones y mantenimiento del servidor sin tener que dejar la carpeta compartida fuera de línea. Para hacerlo, sólo hay que cambiar el vínculo DFS para que apunte a otro servidor con una copia de la carpeta compartida. Esta posibilidad de estar en línea puede ser especialmente útil para los sitios Web. Sólo hay que crear un sitio Web en una carpeta compartida, crear un vínculo DFS a la carpeta compartida y configurar Internet Information Server (IIS) para que use el vínculo DFS a la carpeta como sitio Web. Si es necesario quitar de línea el servidor que almacena la carpeta compartida, sólo hay que cambiar el vínculo DFS a una copia de la carpeta compartida en otro servidor (no se rompen hipervínculos haciendo esto).

Cuando se usa DFS en un dominio de Windows 2000, la topología de DFS se publica en Active Directory y automáticamente se replica a todo los controladores de dominio del dominio, lo que asegura que los usuarios siempre tendrán acceso al árbol DFS, aun cuando uno o más servidores estén caídos. También se puede configurar una raíz de DFS o una carpeta compartida en un servidor para replicar con un duplicado de la carpeta compartida en otro servidor, proporcionando tolerancia a fallos en caso de que uno de los servidores falle.

La replicación entre carpetas compartidas DFS también permite un sencillo equilibrio de la carga de red. Configurando un vínculo DFS para que apunte a una serie de servidores distintos, cada uno con idénticas carpetas compartidas que están replicadas para que sean idénticas, los archivos compartidos populares pueden lograr un beneficio de rendimiento: tener múltiples servidores manteniendo las carpetas, mientras que al usuario final todo parece estar mantenido en una única máquina.

Seguridad

Otra ventaja es que la seguridad de DFS es fácil de administrar. Se asignan los permisos para la raíz de DFS sobre quién puede acceder o modificar la estructura de DFS, pero el resto de la seguridad la trata el sistema de archivos NTFS. Esta ordenación tiene sentido gracias a que DFS proporciona sólo una estructura virtual del conjunto existente de archivos compartidos. Las mismas opciones de seguridad que se aplican para acceder directamente a los archivos compartidos se aplica para acceder a archivos compartidos por medio del árbol de DFS.

Conceptos y terminología


Capítulo 7

DFS es una nueva tecnología de Windows que introduce nuevos conceptos y términos.

Clientes de DFS

Para acceder a la estructura de carpetas de DFS, es necesario un cliente DFS. Un cliente de DFS, no se puede acceder al árbol de DFS y lograr los beneficios de DFS; se puede acceder a los archivos compartidos sólo como se podría hacer si no se hubiese configurado DFS en la red. Si se está ejecutando un sistema operativo que no sea Microsoft no puede ser cliente DFS.

El tipo de clientes DFS admitidos que proporcionan diversos sistemas operativos son:

● No Microsoft, Macintosh, UNIX, OS/2: Ninguno ● MS-DOS: Ninguno ● Windows 3.x: Ninguno ● Windows 95: Se puede descargar el cliente para DFS 4.x y 5 ● Windows 98/98 Segunda edición: Clientes de DFS 4.x y 5 independientes incluidos y el cliente de

DFS 5 basado en dominio se puede descargar ● Windows NT 4 con Service Pack 3 o posterior: Clientes de DFS 4.x y 5 independientes incluidos ● Windows 2000: Soporte pleno incorporado

Servidor de DFS

El componente del lado del servidor para DFS está integrado en Windows 2000 Server y no se puede eliminar. Windows NT 4 con Service Pack 3 o posterior también puede ser host de raíces para DFS. Sin embargo, las raíces de DFS sólo pueden implantarse en servidores Windows NT independientes, no en servidores que pertenezcan a un dominio, ya que DFS basado en dominio depende fuertemente de Active Directory, con los cuales Windows NT sólo tiene posibilidades para interactuar.

Para usar la característica de sincronización de carpetas de DFS que mantiene dos archivos compartidos idénticos, es necesario implantar los archivos compartidos en particiones NTFS de Windows 2000.

Finalmente, no se puede instalar un servidor de DFS en NetWare o en UNIX. DFS actualmente es una de esas características sólo Microsoft, tanto el cliente como el servidor. Sin embargo, se pueden incluir archivos compartidos en el árbol de DFS desde cualquier sistema operativo que pueda resolverse mediante un camino UNC, incluyendo Microsoft Windows 95, Windows 98 y NetWare.

DFS dentro y fuera de dominios

DFS viene en dos variantes: independiente y basado en dominios.

● DFS independiente o una estructura DFS con una raíz de DFS hospedada en un servidor que no pertenece a un dominio de Windows 2000 tiene dos limitaciones respecto a DFS basado en


Capítulo 7

dominios. ❍ La primera de estas limitaciones es que DFS independiente no puede usar Active Directory.

Esta limitación es obvia, ya que los dominios de Windows 2000 están basados en Active Directory. El inconveniente más importante es que DFS independiente no puede realizar la replicación automática de carpetas compartidas en un conjunto de réplica, ni puede replicar la raíz de DFS en forma alguna.

❍ La segunda limitación de DFS independiente es que sólo puede tener una única capa de vínculos DFS. Esto en la actualidad también es una limitación real de DFS basado en dominio, ya que las uniones a medio nivel todavía no están implementadas.

En consecuencia, tanto la topología de DFS independiente como la basada en dominios están limitadas a una única capa de vínculos. Para lograr árboles de carpetas más profundos, las carpetas compartidas necesitan tener o bien carpetas, o bien es necesario crear un vínculo DFS a otra raíz DFS en otro servidor.

● DFS basadas en dominios se diferencian de DFS independientes en un par de cosas. DFS basado en dominios debe residir en un miembro o en un controlador de dominio de un dominio de Windows 2000. Alojar DFS en un servidor de un dominio Windows 2000 hace que publique automáticamente la topología de DFS en Active Directory, proporcionando tolerancia a fallos y la optimización del rendimiento de la red dirigiendo a los clientes a la carpeta DFS más cercana del conjunto de réplica.

Active Directory también permite que DFS basado en dominio sincronice automáticamente las carpetas compartidas del conjunto de réplica, así como las copias de la raíz de DFS. Y mientras que DFS en la actualidad sólo puede crear un nivel de vínculos DFS por raíz (exactamente igual que DFS independiente), en futuras versiones de Windows, DFS basado en dominios admitirá un número ilimitado de vínculos DFS anidados.

Estructura y topología

La estructura de un árbol DFS empieza con una raíz DFS. La raíz DFS es una carpeta compartida ordinaria que sirve como carpeta raíz para un determinado árbol DFS. Debido a que DFS es sólo un sistema de archivos virtual, la carpeta usada como raíz DFS tiene las mismas funciones que cualquier otra carpeta compartida y puede contener archivos y subcarpetas ordinarias. El servidor que almacena la raíz de DFS se llama servidor host.

Windows NT admite sólo una raíz de DFS por servidor, mientras que Windows 2000 no posee limitaciones de arquitectura al número de raíces DFS que puede admitir un único servidor. Sin embargo, en la actualidad Windows 2000 posee la misma limitación DFS de raíz por servidor que Windows NT

Por sí misma, la raíz DFS no es más que sólo un archivo compartido. Sin embargo, se puede usar el complemento Sistema de archivos distribuido para añadir vínculos DFS a otros archivos compartidos de la organización. Los vínculos DFS funcionan de manera casi idéntica a los hipervínculos de las páginas Web.


Capítulo 7

Los vínculos DFS que se crean de forma transparente vinculan la raíz DFS a cualquier otra carpeta compartida de la red. Cuando el usuario abre la raíz DFS, todas las carpetas vinculadas aparecen como si fuesen subcarpetas de la raíz DFS. Por lo tanto, cuando los usuarios abren una subcarpeta, abren de forma transparente el archivo compartido vinculado. Independientemente de si está en una unidad distinta del mismo servidor o en un servidor en un departamento completamente distinto, los usuarios nunca se darán cuenta de que la carpeta que han abierto no es sino una subcarpeta de la carpeta que abrieron previamente (en la raíz DFS).

Los vínculos DFS no tienen por qué apuntar a una sola carpeta, pueden apuntar hasta a 32 carpetas idénticas, llamadas carpetas compartidas DFS o réplicas y el usuario final verá sólo una única carpeta. Se pueden crear réplicas de archivos compartidos normales, así como de la raíz DFS, y se puede hacer que se sincronicen automáticamente con todas las restantes réplicas en un conjunto de réplica (si se usa DFS basado en dominio).

El uso de conjuntos de réplicas -un grupo idéntico de réplicas- crea un nivel de tolerancia a fallos y de equilibrio de carga, mejorando tanto el tiempo de acceso a los archivos compartidos como la respuesta de los archivos compartidos. Los clientes DFS escogen automáticamente una réplica en su sitio, si está disponible, reduciendo el tránsito de la red. Si hay más de una réplica disponible en el sitio del cliente, cada cliente escoge de forma aleatoria una réplica, permitiendo que la carga se distribuya a través de los servidores disponibles.

También se pueden crear vínculos DFS a otras raíces DFS residentes en otros servidores. Estos vínculos se llaman vínculos ínter-DFS y en la actualidad son la única forma de crear árboles DFS con mayor profundidad de un nivel. Los vínculos ínter-DFS también son la forma de vincular distintos espacios de nombres de DNS, ya que todos los vínculos normales de DFS tienen que ser a archivos compartidos dentro del mismo espacio de nombres de DNS. Para lograr la flexibilidad necesaria para crear árboles jerárquicos anidados en profundidad, DFS necesita soporte de unión a medio nivel: vínculos DFS desde una carpeta que no sea la raíz DFS. Las uniones a medio nivel todavía no están admitidas en Windows 2000.

Configuración, creación y apertura de una raíz DFS

El primer paso para trabajar con DFS es crear una raíz DFS (o abrir una para trabajar con una raíz


Capítulo 7

existente). Para hacerlo, hay que seguir estos pasos:

1. Se inicia el complemento Sistema de archivos distribuido desde la carpeta Herramientas administrativas.

2. Seleccionamos Sistema de Archivos distribuidos y seleccionamos Nueva raíz DFS en el menú Acción y después pulsar Siguiente. Se abre el Asistente para crear nueva raíz DFS.

3. Seleccionar el tipo de raíz DFS que se quiere crear:

● Crear una raíz DFS de dominio: seleccionarlo si se pertenece a un dominio y pulsar Siguiente

● Crear una raíz DFS independiente: si no se pertenece a un dominio 4. Si hemos elegido la primera opción, en la siguiente pantalla, se presenta el cuadro de selección del

dominio donde se quiere crear la raíz DFS. Se selecciona el dominio del host a usar para la raíz DFS y después se pulsa Siguiente.

5. En la siguiente pantalla, se introduce el nombre de DNS del servidor que mantendrá la raíz DFS o se pulsa Explorar para buscar en la red el host apropiado. Se pulsa Siguiente.

6. Se elige un archivo compartido existente a usar como raíz DFS o se crea un nuevo recurso compartido para mantener la raíz DFS, introduciendo el camino a la carpeta y el nombre de recurso compartido a usar para la carpeta. Después, hay que pulsar Siguiente.


Capítulo 7

7. Se introduce el nombre para la raíz DFS en el cuadro Nombre de raíz DFS, el cual verán los usuarios de DFS cuando abran la raíz DFS, se introducen los comentarios en el cuadro Comentarios y se pulsa Siguiente.

8. Se revisan las opciones y después se pulsa Finalizar para crear la raíz DFS.

Si se administran con frecuencia múltiples raíces de DFS, hay que abrir una MMC en blanco, abrir el complemento Sistema de archivos distribuido, abrir todas las raíces que se pretenda usar y después salvar el archivo de la consola. Después, cuando sea necesario acceder a todas las raíces de DFS, hay que iniciar la consola guardada en lugar del complemento estándar.

Cómo añadir vínculos DFS

Los vínculos DFS son lo que hacen especial a la raíz DFS. Sin vínculos DFS, no es más que otro archivo compartido. Los vínculos DFS permiten navegar desde la raíz DFS a otros archivos compartidos de la red sin tener que abandonar la estructura DFS. Para crear un vínculo DFS, hay que seguir estos pasos:

1. Desde el panel de árbol de la izquierda, se selecciona la raíz DFS a la que agregar vínculos DFS. 2. Se escoge la orden Nuevo vínculo DFS en el menú Acción. Esto muestra el cuadro de diálogo

Crear un nuevo vínculo DFS.


Capítulo 7

● Nombre de vínculo: se introduce el nombre que los usuarios verán para la carpeta compartida que se está vinculando.

● Enviar el usuario a esta carpeta compartida: Se introduce el UNC o el camino de DNS de la carpeta compartida o se pulsa Explorar para buscar la carpeta compartida a enlazar.

● Comentario: se introducen todos los comentarios que se desea que vean los usuarios.

● Los clientes mantienen en caché esta referencia durante: se usa para introducir la cantidad de tiempo que los clientes mantendrán en caché esta referencia antes de comprobar si la referencia aún es válida. Asignar un tiempo mayor reduce el tráfico de red, pero puede ocasionar referencias inadecuadas o interrupciones del servicio en caso de que cambie el vínculo DFS (durante la recuperación de un miembro de un conjunto de réplica a otro o manualmente, para preparar el mantenimiento de un servidor que alberga el archivo compartido).

3. Hay que pulsar Aceptar cuando se haya terminado.

Al igual que en el texto del hipervínculo de una página Web no es necesario reflejar el nombre de archivo de la página Web a la que está vinculado, el nombre de un vínculo DFS puede ser completamente distinto del nombre real de la carpeta compartida a la que está vinculado.

Configuración de la réplica

Una de las características clave de DFS es la posibilidad de configurar una carpeta compartida en el árbol de DFS para que se replique automáticamente (o manualmente) con una carpeta compartida idéntica que también pertenezca al árbol DFS. Se puede implementar esta característica sobre cualquier carpeta compartida DFS o sobre la propia raíz DFS.

Réplica de la raíz DFS La raíz DFS es la parte más importante a replicar del árbol DFS, ya que alberga la mayor parte de los vínculos DFS del árbol. Si el servidor de la raíz DFS cae, el árbol DFS estará inaccesible -a menos que se haya replicado la raíz DFS-. Para configurar la réplica de la raíz DFS, hay que seguir estos pasos:

1. Se inicia el complemento Sistema de archivos distribuido y seleccionamos la raíz DFS que se


Capítulo 7

desea replicar. 2. Se elige Nueva réplica de raíz en el menú Acción. 3. Aparece el Asistente para crear nueva raíz DFS. Se introduce el nombre del servidor que se desea

utilizar para albergar la réplica de la raíz DFS o se pulsa Explorar para buscar en la red el host apropiado. Se pulsa Siguiente.

4. Se elige un recurso compartido existente a usar como réplica de la raíz DFS o se crea uno nuevo para albergar la réplica de la raíz DFS, introduciendo el camino de la carpeta y el nombre de recurso compartido que se desea utilizar para la carpeta. Se pulsa Finalizar.

5. Se repiten los pasos 2 al 4 para todas las carpetas compartidas que se deseen utilizar como réplica de esta raíz DFS; después váyase al paso 6.

6. Se elige la orden Directiva de réplica en el menú Acción para mostrar el cuadro de diálogo Directiva de réplica.

7. Se selecciona la carpeta compartida que se pretende que sea la copia principal inicial para el conjunto de réplica y después se pulsa Habilitar.

8. Se selecciona cada carpeta compartida que se desea que participe en la réplica y se pulsa Habilitar después de seleccionar cada una.

9. Si se desea cambiar la copia maestra inicial para el conjunto de réplica, hay que seleccionar la carpeta compartida y pulsar Copia principal inicial.

10. Se pulsa Aceptar una vez terminado.

DFS basado en dominios está totalmente influenciado por Active Directory, réplica de archivos multicopia principal; sin embargo, la primera vez que se crea un conjunto de réplica es necesario especificar una copia principal inicial que se usará como carpeta fuente principal para sincronizar las otras réplicas.

Réplica de carpetas compartidas Un sistema de archivos fácil de usar, tolerante a fallos y con alto rendimiento no vale demasiado si los datos a los que se desea acceder no están disponibles. Por esta razón, DFS posee la réplica de carpetas compartidas. Se puede configurar que cualquier carpeta compartida tenga hasta 32 réplicas de sí misma, de tal forma que aunque ocurra el más profundo desastre, al menos haya todavía un servidor disponible con los datos que necesiten los usuarios. (Sin embargo, esto no es infalible si se pierde la corriente de la red completa, todos los servidores podrían estar inaccesibles).

Aunque la réplica de carpetas compartidas básicamente es lo mismo que configurar la réplica de la raíz DFS, existe una ligera diferencia, por lo que hay que seguir estos pasos para realizar el procedimiento:

1. Se selecciona el vínculo DFS en el árbol DFS al cual se desean añadir réplicas. 2. Se elige nueva réplica en el menú Acción. 3. Dentro del cuadro de diálogo proporcionado, se introduce el camino UNC para el recurso

compartido de red que se desea utilizar como réplica o se pulsa Examinar para localizar la carpeta de la red.

4. Se elige si se desea que la carpeta compartida se replique automáticamente (por defecto, cada 15 minutos) o manualmente. Se pulsa Aceptar.En un conjunto de réplica no se debe asignar una parte de las carpetas para réplica automática y otra para réplica manual. Se ocasionaría que las carpetas se sincronizasen de una forma bastante


Capítulo 7

pobre. 5. Se repiten los pasos 2 al 4 para todas las carpetas compartidas que se desean agregar al conjunto de

réplica; después váyase al paso 6. 6. Se elige Directiva de réplica en el menú Acción para mostrar el cuadro de diálogo Directiva de

réplica. 7. Se selecciona la carpeta compartida que se desea como copia principal inicial para el conjunto de

réplica y después se pulsa Habilitar. 8. Se selecciona la carpeta compartida que se desea que participe en la réplica y después se pulsa

Habilitar tras seleccionar cada una. 9. Si se desea cambiar la copia principal del conjunto de réplica, hay que seleccionar la carpeta

compartida y pulsar Copia principal inicial. 10. Se pulsa Aceptar una vez terminado el procedimiento.

DFS basado en dominios está totalmente influenciado por Active Directory, réplica de archivos multicopia principal; sin embargo, la primera vez que se crea un conjunto de réplica es necesario especificar una copia principal inicial que se usará como carpeta fuente principal para sincronizar las otras réplicas.

Almacenamiento Remoto

Aunque los precios de los discos han caído de forma dramática y las posibilidades se han mejorado tremendamente, nunca se tiene espacio suficiente en el disco duro. Debido a esta insaciable necesidad de espacio, Windows 2000 incluye una utilidad de administración de almacenamiento jerárquico de Seagate Software que permite a los servidores aprovechar un recurso varias veces más barato que el espacio en disco duro: las cintas. Esta utilidad, llamada Almacenamiento remoto, se beneficia del soporte integrado de agrupación de Windows 2000 para las unidades de almacenamiento jerárquico y habilita a Windows 2000 para extender un volumen NTFS de forma casi infinita. Almacenamiento remoto lo hace de forma transparente migrando los archivos no usados frecuentemente a una cinta, a la vez que los mantiene fácilmente accesibles.

Los usuarios ven los archivos migrados como si todavía estuviesen almacenados en el disco en lugar de en la cinta. Aun cuando los usuarios acceden a archivos migrados, las únicas diferencias apreciables son un pequeño cuadro de diálogo informando de que se está volviendo a llamar al archivo de la cinta y un tiempo de carga del archivo más largo. Además, excepto para la instalación y configuración de Almacenamiento remoto, esta característica viene con poco o nada de carga para los administradores. Almacenamiento remoto realiza toda la migración y recuperación de la cinta de forma automática (a menos que el medio necesario esté fuera de línea, en cuyo caso Medios de almacenamiento extraíbles situará la petición para un operador).

Conceptos y requisitos del sistema

Almacenamiento remoto también es conocido como Administración de almacenamiento jerárquico, ya que permite dos capas de almacenamiento de datos. La primera capa, el almacenamiento local, es el disco duro


Capítulo 7

estándar o la unidad de disco extraíble albergada en un volumen NTFS (como una unidad Jazz de Iomega). La segunda capa, proporcionada por Almacenamiento remoto y acertadamente denominada como capa de almacenamiento remoto, es la unidad de cinta y la biblioteca de cintas automatizada. Los datos están almacenados inicialmente en el almacén local, y una vez que los datos han caducado (no se ha accedido a ellas dentro del periodo de tiempo especificado), se copian o migran al medio de almacenamiento remoto, aunque también permanecen intactos o en la caché del almacén local para un rápido acceso. Almacenamiento remoto sólo administra físicamente los archivos de un volumen, no sigue enlaces DFS. Finalmente, cuando el almacén local se llena y es necesario liberar espacio para datos adicionales, los archivos que hayan caducado y se hayan migrado al almacén remoto se convierten en reservas de sitio o vínculos, liberando el espacio que solían consumir.

Los archivos que se hayan desplazado al almacén remoto y que no vayan a estar más en la caché local, todavía aparecerán como residentes en el almacén local. Estas reservas de sitio se parecen y actúan de igual forma que los archivos guardados de forma local, exceptuando un par de diferencias.

La primera diferencia es que el icono del archivo que se movió al almacén remoto posee un pequeño reloj sobre él para indicar que al abrir el archivo, el usuario tendrá que esperar a que Windows 2000 recupere el archivo del almacén remoto.

La segunda diferencia es que, aunque el Explorador de Windows muestre los archivos remotos usando la misma cantidad de espacio en disco que cuando estaban almacenados de forma local y esto no cambia la forma de funcionamiento de las cuotas de disco (los archivos remotos se descuentan de la cuota de disco igual que lo hacen los archivos locales), el Explorador de Windows resta los archivos remotos del total de espacio usado en la estimación de disco. En otras palabras, Windows 2000 trata los archivos remotos exactamente igual que los archivos locales, excepto cuando calcula la cantidad de espacio libre en disco, en cuyo caso Windows 2000 reconoce que los archivos almacenados de forma remota no consumen espacio en disco. El Explorador de Windows también añade la ficha Almacenamiento remoto al cuadro de diálogo Propiedades de los volúmenes administrados, permitiendo a los administradores visualizar y cambiar la configuración de los volúmenes administrados directamente desde el Explorador de Windows.

Cuando un usuario accede a un archivo almacenado de forma remota, aparece el cuadro de diálogo Recuperando desde el almacenamiento remoto, explicando que Windows está volviendo a llamar al archivo desde Almacenamiento remoto. Si un usuario no desea esperar al archivo, puede pulsar Cancelar y dejar el archivo en el almacén remoto. En caso contrario, el archivo se restaura en el almacén local y su marca de fecha de último acceso se pone a cero, impidiendo que se migre al almacén remoto hasta que el archivo haya vuelto a caducar.

Las operaciones de copiar y mover realizadas sobre reservas de sitio actúan de forma algo diferente a las operaciones de copiar y mover sobre archivos normales. Las reservas de sitio que se renombran o mueven a una ubicación diferente del mismo volumen no necesitan que se renombren en el almacén remoto. Sin embargo, cuando el usuario copia un archivo, Almacenamiento remoto vuelve a llamar al archivo y después lo copia en la nueva ubicación. El nuevo archivo no está vinculado al archivo antiguo del almacén remoto, tal y como se esperaría de un archivo copiado. Cuando el usuario mueve una reserva de sitio a un volumen distinto, Almacenamiento remoto vuelve a llamar al archivo, lo copia a su nueva ubicación y después


Capítulo 7

elimina el archivo original.

Compatibilidad con programas

La compatibilidad de Windows 2000 con programas es un aspecto importante de Almacenamiento remoto. Aunque Almacenamiento remoto está fuertemente integrado en el sistema operativo, algunos programas pueden no comportarse de forma óptima a menos que se especifique que sean conformes con Almacenamiento remoto. Dos ejemplos son los programas de copia de seguridad y los programas antivirus.

● Programas conformes a Almacenamiento Remoto: Los programas de copia de seguridad conformes a Almacenamiento remoto pueden realizar copias de seguridad de todos los datos almacenados localmente y de los vínculos a datos, pero no existe una forma de hacer la copia de seguridad de los datos que se han desplazado al almacén remoto (excepto mediante la restauración de los archivos almacenados de forma remota, con la funcionalidad de Almacenamiento remoto). Si un programa de copia de seguridad es conforme a Almacenamiento remoto (como el programa Copia de seguridad de Windows 2000), se tiene la opción de recuperar archivos del almacén remoto y hacerles la copia de seguridad junto con todos los datos almacenados de forma local y después devolver los archivos al almacén remoto una vez que se haya terminado.

● Programas no conformes a Almacenamiento Remoto: Los programas antivirus, de copia de seguridad, de búsqueda y de indexación que no son conformes a Almacenamiento remoto tienen una mala tendencia a acceder a todos los archivos que comprueban, poniendo a cero por lo tanto Almacenamiento remoto, así como llamando a archivos del almacén remoto para comprobar si tienen virus. Los programas conformes a Almacenamiento remoto no tienen esta desventaja.

Microsoft Office 97 provoca que todos los documentos de Word, documentos de PowerPoint y archivos HTML del almacén remoto se vuelvan a llamar al final de la instalación de Office 97. Esto se puede detener terminando el proceso Findfast.exe. Se debe desactivar FindFast usando la herramienta Panel de control de FindFast y asegurándose de que no hay ningún acceso directo a Findfast.exe en la carpeta Inicio del menú Inicio. Office 95 y Office 97 también pueden volver a llamar a archivos del almacén remoto cuando se use la orden Buscar del menú Edición.

Almacenamiento remoto minimiza el efecto de los programas que no son compatibles con Almacenamiento remoto limitando el número de llamadas sucesivas que permite el almacén remoto. Si un programa llama a un archivo del almacén remoto y solicita que se vuelva a llamar a otro sin pasar 10 segundos desde que se llamó al primero, Almacenamiento remoto lo cuenta. Cuando el contador alcance el límite configurable (el valor por defecto es 60), Almacenamiento remoto prohíbe más llamadas durante esa sesión. Fijar un límite no suele afectar a los usuarios normales, pero puede impedir que un programa antivirus no conforme a Almacenamiento remoto restaure todos los archivos del almacén remoto.

Seguridad de datos

Probablemente se esté preguntando cómo se asegura que los datos tienen una copia de seguridad adecuada cuando se trabaja con Almacenamiento remoto. Si un archivo se ha movido a una cinta, ¿qué ocurre si la


Capítulo 7

cinta se daña o se pierde?, ¿y qué ocurre si el vínculo del almacén local al archivo se pierde? Los miedos a la pérdida de datos se pueden mitigar de varias formas.

La primera forma es bastante conocida: frecuentes y minuciosas copias de seguridad. Se deben combinar las copias de seguridad regulares de los sistemas de almacenamiento locales con la creación de copias del medio de Almacenamiento remoto.

La segunda forma de proteger los datos es combinar las copias de seguridad regulares de los sistemas de almacenamiento locales con la creación de copias del medio de almacenamiento remoto. Por lo tanto, cada vez que se haga la copia de seguridad del almacén local, se hace una copia del medio de Almacenamiento remoto y se guarda con la copia de seguridad del almacén local. Este paso asegura que se hace una copia de seguridad del sistema de almacenamiento completo. También se pueden proteger los datos usando un programa de copia de seguridad compatible con Almacenamiento remoto para hacer la copia de seguridad del almacén remoto junto con la copia de seguridad del almacén local. El proceso de recuperación es el mismo para casi todos los tipos de copia de seguridad.

Para resumir, si se desea una protección minuciosa de los datos y se tiene la posibilidad de copiar el medio de Almacenamiento remoto, hay que usar una estrategia similar a una de las siguientes.

● Copia de seguridad de los datos locales regularmente. ● Cada vez que se realice una copia de seguridad completa, crear una copia de los medios de

Almacenamiento remoto y guardar esa copia con la copia de seguridad completa. ● Hacer más de una copia (hasta tres) del medio principal de Almacenamiento remoto y regularmente

sincronizar estas copias con la copia principal del medio. ● Considerar la copia de seguridad de los datos del almacén remoto a la vez que se hace la copia de

seguridad del almacén local. Puede llevar más tiempo y el uso de más medios, pero ofrece la mayor protección de datos y la mayor flexibilidad en caso de desastre.

Requisitos del sistema

Almacenamiento remoto no es particularmente intensivo con los recursos, y como tal funciona con casi todos los sistemas que cumplan la configuración de sistema recomendada para Windows 2000 Server. Se puede ejecutar Almacenamiento remoto en una máquina con Windows 2000 Professional y que Almacenamiento remoto sólo puede administrar volúmenes con formato NTFS 5.

Sin embargo, Almacenamiento remoto es algo exigente sobre el subsistema de almacenamiento extraíble a usar. La unidad necesita ser reconocida por Almacenamiento remoto; hay que usar hardware sólo de la Lista de compatibilidad de hardware. Además, por el momento, Almacenamiento remoto sólo admite las bibliotecas de cintas SCSI 4mm, 8mm y DLT que reconozca Medios de almacenamiento extraíbles. Almacenamiento remoto no admite unidades ópticas, bibliotecas de cintas QIC, ni cualquier tipo de unidad de disco extraíble (Jazz, Zip y demás).

Los sistemas cliente que usen el Administrador de archivos de Windows no pueden acceder a archivos


Capítulo 7

administrados por Almacenamiento remoto, el cual impide que los clientes Windows 3.x puedan acceder a estos archivos. También, los usuarios de Windows 95 deben evitar el uso del Administrador de archivos si desean acceder a archivos de Almacenamiento remoto.

Instalación y configuración

Deberemos instalar Almacenamiento remoto en el sistema, configurarlo de forma óptima según las necesidades y asegurarnos de que se está protegido de forma correcta frente a desastres. Es necesario tener el dispositivo configurado correctamente antes de ejecutar el programa de instalación de Almacenamiento Remoto, ya que los dispositivos añadidos con posterioridad no se detectarán.

Instalación de Almacenamiento remoto

Almacenamiento remoto es fácil de instalar. Sólo hay que asegurarse de que la biblioteca de almacenamiento que se desea utilizar con Almacenamiento remoto está conectada y configurada; después hay que seguir estos pasos:

1. Se abre la herramienta Agregar o quitar programas desde el Panel de control. 2. Se pulsa sobre Agregar o quitar componentes de Windows en el panel izquierdo. 3. Se selecciona el cuadro de verificación Almacenamiento remoto, si todavía no está seleccionado, y

se pulsa Siguiente. 4. Se reinicia el equipo. 5. Se inicia Almacenamiento remoto desde la carpeta Herramientas administrativas del menú Inicio.

Aparecerá el Asistente para instalación de Almacenamiento remoto. Se pulsa Siguiente. El asistente detecta todos los dispositivos de almacenamiento compatibles y comprueba las opciones de seguridad.

6. En la siguiente pantalla se seleccionan los volúmenes con los que se desea usar Almacenamiento remoto (sólo aparecen volúmenes NTFS) y después se pulsa Siguiente.

7. En el cuadro Espacio libre deseado, se introduce la cantidad mínima de espacio libre que se desea que esté disponible en los volúmenes administrados.

8. En el cuadro Mayor de, se introduce el tamaño más pequeño de archivo que se desea que Almacenamiento remoto migre a la cinta si hace falta más espacio en disco.

9. En el cuadro No accedido en, se introduce el número de días que tendrán que pasar desde que se accedió al archivo por última vez para que el archivo se pueda elegir para su migración a cinta. Después se pulsa Siguiente.

10. Se selecciona el medio deseado para su uso en Almacenamiento remoto en el cuadro de lista desplegable Tipos de medio (sólo se listan los medios detectados y admitidos). Se pulsa Siguiente.

11. Se pulsa Cambiar agenda para cambiar cuando Almacenamiento remoto copie los archivos a cinta o se pulsa Siguiente para continuar.

12. Se revisan las opciones introducidas y después se pulsa Finalizar para completar la instalación de Almacenamiento remoto.

Configuración de volúmenes adicionales con Almacenamiento remoto


Capítulo 7

Si se desean configurar volúmenes de almacenamiento adicionales en el sistema para su uso con Almacenamiento remoto después de haber completado la instalación inicial, se puede usar al Asistente para agregar administración de volumen. Para hacerlo, hay que seguir estos pasos:

1. Iniciar el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas administrativas del menú Inicio, o introducir %RaízDeSistema%\System32\RsAdmin.msc en el cuadro de diálogo Ejecutar o en la línea de órdenes.

2. Se selecciona la carpeta Administrar volúmenes en el árbol de consola. 3. Se pulsa el botón de la barra de herramientas Nuevo volumen a administrar para iniciar el Asistente

para agregar administración de volumen y después se pulsa Siguiente en la primera pantalla. 4. Se selecciona el cuadro de verificación junto al volumen NTFS que se desea o se escoge la opción

Administrar todos los volúmenes para decirle a Almacenamiento remoto que administre todos los medios disponibles. Después se pulsa Siguiente.

5. En el cuadro Espacio libre deseado, se introduce la cantidad de espacio libre que se desea que haya en el volumen, como tanto por ciento del espacio.

6. En el cuadro Mayor de, se introduce el tamaño de archivo mínimo que se desea para que Almacenamiento remoto migre a cinta los archivos. Nótese que la migración de archivos menores de 12 Kb normalmente no tiene sentido, ya que lleva demasiado tiempo, pero se puede cambiar esta opción si es necesario.

7. En el cuadro No accedido en, se introduce el número de días que deben pasar desde que se accedió por última vez al archivo, para que el archivo sea elegible para su migración al almacén remoto. Después se pulsa Siguiente. Hay que recordar que asignar un número demasiado alto limitará la cantidad de espacio que Almacenamiento remoto puede liberar, pero la asignación demasiado baja ocasionará una cantidad innecesaria de llamadas a cinta.

8. Se revisan las opciones en la pantalla final del asistente y después se pulsa Finalizar.

Cambio de opciones de volumen

Almacenamiento remoto usa un conjunto de reglas para gobernar qué archivos son elegibles para la migración al almacén remoto. Estas reglas se pueden fijar inicialmente cuando se instala un volumen de almacenamiento en la computadora para que Almacenamiento remoto lo administre, usando bien el Asistente para instalar Almacenamiento remoto, bien el Asistente para agregar volumen a administrar. Sin embargo, puede que se deseen cambiar estas opciones más tarde o agregar exclusiones, como que ciertos tipos de archivos nunca se migren a la cinta. Para hacerlo, hay que seguir estos pasos:

1. Se inicia el complemento de MMC Almacenamiento remoto desde la carpeta Herramientas administrativas del menú Inicio.

2. Se selecciona la carpeta Volúmenes administrados en el árbol de consola, se pulsa el botón derecho sobre el volumen que se desea configurar y se elige Configuración en el menú de contexto.

3. En el cuadro Espacio libre deseado, se introduce la cantidad de espacio libre que se desea tener en el volumen, como tanto por ciento del espacio total.También se pueden cambiar las opciones de un volumen administrado pulsando el botón derecho sobre el volumen en el Explorador de Windows, eligiendo Propiedades en el menú de contexto y después pulsando la ficha Almacenamiento remoto. Sin embargo, aquí no se pueden incluir o excluir


Capítulo 7

reglas. 4. En el cuadro Mayor de, se introduce el tamaño mínimo de archivo que se desea para que

Almacenamiento remoto migre a cinta el archivo. La mayoría de los usuarios encontraran que sobre todo hay que incrementar el tamaño del archivo, aunque si se tiene una gran cantidad de archivos pequeños de gran acceso, habría que considerar bajarlo.

5. En el cuadro No accedido en, se introduce el número de días que deben pasar desde que se accedió por última vez al archivo para que sea elegible para la migración al almacén remoto. Hay que recordar que asignar un número muy alto a esta opción limitará la cantidad de espacio en disco que Almacenamiento remoto podrá limitar, pero asignarlo demasiado bajo ocasionará una cantidad innecesaria de llamadas a la cinta.

6. Se pulsa la pestaña Reglas de inclusión o exclusión para crear o modificar reglas que especifiquen los tipos de archivo a excluir de Almacenamiento remoto.

7. Se selecciona la regla que se desea modificar (algunas reglas no se pueden cambiar) y se pulsa Editar para modificar la regla o Eliminar para eliminarla.

8. Para agregar una nueva regla, se pulsa Agregar para mostrar el cuadro de diálogo Modificar regla de inclusión o exclusión.

9. Se introduce el camino de la carpeta a la que se desea aplicar la regla en el cuadro Camino o se introduce una barra invertida para aplicar la regla al volumen completo.

10. En el cuadro Tipo de archivo, se introduce el tipo de archivo que se desea incluir o excluir de Almacenamiento remoto.

11. Se selecciona Excluir archivos coincidentes si se desea excluir de Almacenamiento remoto los archivos coincidentes con el criterio.

12. Se selecciona Incluir archivos coincidentes si se desea permitir explícitamente que Almacenamiento remoto administre los archivos que coincidan con el criterio. Esto es muy útil si se desea tomar una excepción para excluir de la regla sólo a determinadas carpetas.

13. Se selecciona el cuadro de verificación Aplicar reglas a las subcarpetas, si se desea que Almacenamiento remoto aplique la regla a todas las subcarpetas de las carpetas listadas en el cuadro Camino.

Cómo desactivar Almacenamiento remoto para un volumen administrado

Si se piensa desinstalar Almacenamiento remoto, habrá que interrumpir antes la administración de los volúmenes para que se pueda volver a llamar a los archivos del almacén remoto. Este paso es muy importante, ya que si no se hace, se puede perder la posibilidad de acceder a los archivos guardados en el almacén remoto.

También podría quererse hacer esto si se planea realizar una reinstalación completa (limpieza) de Windows 2000. Volver a llamar a los datos permite dejar los datos intactos en la unidad mientras se reinstala Windows o se hace una copia de seguridad de los datos usando un programa que no sea conforme a Almacenamiento remoto. (Si se desea volver a dar formato a la unidad, se puede hacer una copia de los datos y después restaurarlos una vez terminado). Si no se vuelve a llamar a los datos o se realiza una copia de seguridad de todos los datos (incluyendo los del almacén remoto) antes de hacer la reinstalación de limpieza de Windows 2000, se puede encontrar realizando un complejo procedimiento de recuperación de Almacenamiento remoto.


Capítulo 7

Otro caso en el que se puede elegir interrumpir la administración de Almacenamiento remoto de un volumen es cuando el medio que se está usando para el volumen se llena y no se desea que la base de datos de almacenamiento remoto se extienda a varias cintas. En este caso, se puede interrumpir la administración de Almacenamiento remoto del volumen, lo cual le dice a Almacenamiento remoto que deje de copiar archivos en el almacén remoto, pero que siga llamando a los archivos que ya están en el almacén remoto.

Cualquiera que sea la razón para finalizar la administración de Almacenamiento remoto de un volumen del sistema, se puede usar el Asistente para eliminar administración de volumen, para eliminar la administración de un volumen de Almacenamiento remoto:


2. Se pulsa sobre Volúmenes administrados en el árbol de consola. 3. Se pulsa el botón derecho sobre el volumen que se desea eliminar de Almacenamiento remoto y

después se elige Eliminar en el menú de contexto. Se pulsa Siguiente cuando se abra el Asistente para eliminar administración de volumen.

4. Para volver a llamar a todos los archivos del almacén remoto y situarlos de nuevo en el volumen administrado para que Almacenamiento remoto no los vuelva a usar en este volumen, se selecciona la opción Recuperar archivos copiados en almacenamiento remoto. Nótese que el volumen administrado necesita tener espacio suficiente para albergar a todos los archivos llamados.

5. Para hacer que Almacenamiento remoto deje de añadir archivos adicionales al almacén remoto mientras permite continuar la administración de los archivos que actualmente estén en el almacén remoto, se selecciona la opción Mantener archivos copiados en el almacén remoto y después se pulsa Siguiente.

6. Se pulsa Sí en el cuadro de diálogo que se abre. 7. Se revisan las opciones y después se pulsa Finalizar para implantarlas.

Cómo realizar las tareas de forma manual

Almacenamiento remoto se configura para realizar casi todas las operaciones de forma automática usando la carpeta Tareas programadas de Windows 2000. Sin embargo, a veces puede que sea necesario copiar inmediatamente todos los archivos elegibles al almacén remoto, crear espacio adicional en un volumen administrado o validar todas las reservas de sitio. Para realizar estas tareas, hay que seguir estos pasos:


2. Se pulsa sobre Volúmenes administrados en el árbol de consola. 3. Se pulsa el botón derecho sobre el volumen en el que se desea realizar una tarea, se elige Todas las

tareas en el menú de contexto y después se elige la tarea determinada en el submenú. Las tareas que se pueden llevar a cabo son:

● Copiar archivos al almacén remoto Copia de inmediato todos los archivos elegibles del volumen administrado al almacén remoto.

● Validar archivos Verifica que todas las reservas de sitio y los archivos en caché local estén


Capítulo 7

aún vinculados a datos válidos del almacén remoto y actualiza las estadísticas del volumen. ● Crear espacio libre Elimina todos los datos en caché de archivos que ya se hayan migrado al

almacén remoto. Esto crea espacio libre sólo si existen datos en la caché local. 4. Se pulsa en Aceptar en el cuadro de diálogo que se abre.

Visualización de las tareas de Almacenamiento remoto

Almacenamiento remoto sitúa todas las tareas en la carpeta Tareas programadas, tanto las tareas que Almacenamiento remoto realiza de forma automática, como las tareas que se realicen de forma manual. Para visualizar o modificar cuándo se van a realizar (o si se van a realizar), hay que seguir estos pasos:

1. Se abre la carpeta Tareas programadas abriendo el menú Inicio y eligiendo Programas, Accesorios, Herramientas de sistema.

2. Para realizar de inmediato una tarea programada, se pulsa el botón derecho sobre la tarea y se elige Ejecutar en el menú de contexto.

3. Para cancelar una tarea que se está ejecutando ahora, se pulsa el botón derecho sobre la tarea y se escoge Finalizar tarea en el menú de contexto.

4. Para visualizar las propiedades de la tarea (puede que para cambiar la agenda), se pulsa el botón derecho sobre la tarea y se elige Propiedades en el menú de contexto.

Cambio de la programación de tareas

Para cambiar la agenda que Almacenamiento remoto usa para copiar archivos al almacén remoto, para validar reservas de sitio y archivos en caché, o para crear espacio en disco, hay que seguir estos pasos:

1. Para cambiar la agenda de copia de archivos de Almacenamiento remoto, se pulsa el botón derecho sobre la raíz de Almacenamiento remoto en el árbol de consola y se elige Cambiar programación en el menú de contexto.

2. Se pulsa el botón Cambiar programación. 3. Se usa el cuadro de diálogo proporcionado para configurar la programación. 4. Para tener múltiples programaciones, hay que seleccionar el cuadro de verificación Mostrar todas las

programaciones y usar los botones Nueva o Eliminar para agregar o eliminar programaciones. 5. Para modificar la información avanzada sobre programación, hay que pulsar el botón Avanzadas. 6. Para modificar las programaciones de otras tareas de Almacenamiento remoto, hay que abrir la

carpeta Tareas programadas abriendo el menú Inicio y elegir Programas, Accesorios y después Herramientas de sistema.

7. Se pulsa el botón derecho sobre la tarea y se elige Propiedades en el menú de contexto. 8. Se pulsa la pestaña Programación y después se modifica la información de programación, tal y como

se describe en los pasos 4 y 5.

Asignación de los límites de rellamada

La característica de limitación de rellamada de Almacenamiento remoto puede volverse muy útil. Recuerde que debe usarse la característica de límite de rellamada debido a que existen programas no conformes a


Capítulo 7

Almacenamiento remoto, como programas de copia de seguridad, antivirus o buscadores, que tienen una insistente manía por poner todos los datos fuera del almacén remoto, haciendo que Almacenamiento remoto sea bastante poco útil. Cuando se fija el límite de rellamada, también conocido como un límite de rellamadas desbocadas debido a que sólo limita las rellamadas que tienen lugar en los 10 segundos posteriores a la última llamada, se impiden estos asaltos automáticos al Almacenamiento remoto deteniendo las llamadas desbocadas al almacén remoto. Esto no suele afectar a los usuarios (males, ya que la mayoría de los usuarios no son tan rápidos cuando realizan operaciones de copia masiva. Para configurar el límite de rellamada, hay que seguir estos pasos:

1. Se pulsa el botón derecho sobre la raíz de Almacenamiento remoto en el árbol de consola y se elige Propiedades en el menú de contexto.

2. Se pulsa sobre la ficha Límite de recuperación. 3. En el cuadro proporcionado, se introduce el número de rellamadas sucesivas deseado que pueden

realizarse en los 10 segundos posteriores a la última rellamada antes de impedir más rellamadas. Si los usuarios realizan tareas de copia masiva con frecuencia y se usan aplicaciones conformes con Almacenamiento remoto, debería fijarse un límite alto; en caso contrario, debe dejarse así o reducirlo según las necesidades.

4. Si se desea eximir a los usuarios con privilegios administrativos de este límite, hay que seleccionar el cuadro de verificación Eximir a los administradores de este límite.

La selección del cuadro de verificación Eximir a los administradores de este límite permitirá a aplicaciones no compatibles que se ejecuten como administrador hacer rellamadas potenciales a archivos del almacén remoto si el administrador no detiene explícitamente el proceso de rellamada de los datos.

Recuperación de datos y protección

Podría pensarse que debido a que los datos se almacenan remotamente en una cinta, esto es seguro. Puede que en algunas ocasiones sea una forma más segura que cuando se ubican en un disco duro local, pero la protección de los datos es aún más importante para los datos almacenados de forma remota, debido a la imposibilidad de los dispositivos de cinta de tener tolerancia a fallos como unidades espejo. También, debido a las nuevas tecnologías, un administrador es más probable que se encuentre un error que impida la recuperación de datos de un almacén remoto. Por lo tanto, hay que aprender e implementar un buen plan de protección de los datos.

Debido a que ni el mejor plan de protección puede prevenir un desastre, también hay que saber cómo recuperar datos si aparece el problema. Las secciones siguientes enseñan cómo proteger y recuperar datos con Almacenamiento remoto.

Introducción a las estrategias de protección de datos

La estrategia a usar para proteger los datos almacenados de forma remota variará dependiendo de la posibilidad de crear copias del medio de Almacenamiento remoto. (Hacen falta dos unidades del mismo tipo


Capítulo 7

de medio para poder hacerlo).

Estrategias de unidad única: Si se está usando una única unidad de cinta con Almacenamiento remoto, recomendamos que se realice la copia de seguridad de los archivos locales de acuerdo al plan de copia de seguridad preexistente. Por ejemplo, se podría realizar una copia de seguridad incremental cada noche y una copia de seguridad completa todos los fines de semana. Para las copias de seguridad completas, hay que asegurarse de instruir al programa de copia de seguridad para que realice la copia de seguridad de los datos migrados por Almacenamiento remoto, o de lo contrario no se tendrá una copia de seguridad de los archivos migrados. Nótese que esto significa casi hacer la copia de seguridad en una unidad distinta a la que mantiene el medio de Almacenamiento remoto. Si no se dispone de otro dispositivo de copia de seguridad, hay que considerar comprar un duplicado del dispositivo de Almacenamiento remoto.

Probablemente no sea necesario hacer la copia de seguridad de los archivos migrados en un plan de copia de seguridad diferencial o incremental, ya que los archivos que se añaden al almacén remoto probablemente no hayan cambiado desde la última copia de seguridad completa. Estos archivos se pueden devolver al almacén local a partir de la última copia de seguridad completa. Si los archivos han cambiado desde la última copia de seguridad completa y se han migrado al almacén remoto y eliminado su caché local (si se tiene un plan de copia de seguridad largo o un plan de migración corto y el volumen lleno), se pueden restaurar estos archivos desde una copia de seguridad diferencial o incremental reciente. Por supuesto, no hay que olvidar que a mayor tiempo entre las copias de seguridad completas, más parches incrementales habrá que aplicar si es necesaria la restauración de una copia de seguridad (una buena razón para usar en su lugar copias de seguridad diferenciales), o más datos se perderán si no se realizan con frecuencia estas copias de seguridad incrementales.

Además de un plan regular de copia de seguridad, recomendamos que se verifiquen con frecuencia las reservas de sitio del almacén remoto y los archivos en caché para asegurarse de que todavía están vinculados a archivos válidos del almacén remoto. Nótese que Almacenamiento remoto crea automáticamente un plan de validación cuando se instala.

Estrategias de varias unidades Si se poseen varias unidades del mismo tipo de medio que se pueden usar para hacer copias del medio de Almacenamiento remoto, se tiene un poco más de flexibilidad para la protección de datos que con una única unidad. Aunque la espina dorsal del plan de protección de datos seguirá siendo un buen plan de copia de seguridad, se puede complementar éste creando copias del medio de almacenamiento remoto y sincronizando estas copias de forma frecuente.

Hay que hacer la copia de seguridad de acuerdo al plan de copia de seguridad existente. Para las copias de seguridad completas, se puede elegir dar instrucciones a un programa de copia de seguridad para que haga la copia de seguridad de los datos migrados por Almacenamiento remoto. Esto proporciona algo de seguridad extra, eliminando la necesidad de tratar con Almacenamiento remoto en la recuperación; en cambio, sólo se pueden restaurar todos los datos al almacén local y ni siquiera preocuparse de Almacenamiento remoto. Esta es una buena idea si se tienen las facilidades (y el tiempo) para hacerlo. En caso contrario, hay que hacer la copia de seguridad sólo del almacén local, de acuerdo con el plan normal de copia de seguridad.


Capítulo 7

Además del plan de copia de seguridad, se deben hacer de una a tres copias del medio principal (el medio que mantiene los datos del almacén remoto) y sincronizarlos de forma rutinaria. Si el medio principal falla, se puede volver a crear a partir de una de las copias. Si no se hace la copia de seguridad de los archivos migrados al almacén remoto durante las copias de seguridad completas, hay que asegurarse de sincronizar la copia del medio y mantenerla con la copia de seguridad completa. Esto asegura que la copia de seguridad completa ha realizado la copia de seguridad de todos los datos.

Además de un plan de copia de seguridad regular, se deben verificar frecuentemente las reservas de sitio del almacén remoto y los archivos en caché para asegurarse de que todavía están vinculados a datos válidos del almacén remoto. Almacenamiento remoto crea automáticamente un plan de validación cuando se instala y suele ser ajustado para la mayoría de los propósitos. Sólo hay que asegurarse de que cubre todos los volúmenes que administra Almacenamiento remoto.

Trabajo con copias de medios

Debido a que se pueden crear arrays tolerantes a fallos de dispositivos de almacenamiento remoto, Microsoft proporciona la posibilidad de crear copias de los medios de Almacenamiento remoto para que exista algún nivel de redundancia en los datos almacenados de forma remota.

Hay que poner los medios nuevos en la cola de medios libres en lugar de manualmente en la cola de Almacenamiento remoto. Almacenamiento remoto tomará automáticamente y dará el formato apropiado a los medios de la cola de medios libres cuando sea necesario.

Cambio del número de copias principales: No es necesario crear explícitamente copias de medios en Almacenamiento remoto; en su lugar, se puede especificar cuántas se desean y Almacenamiento remoto se pondrá a hacerlas de forma automática. Cuando se termine una copia, Almacenamiento remoto comenzará la copia siguiente, suponiendo que hay suficientes medios disponibles en la cola de aplicación de Almacenamiento remoto o en la cola de medios libres. A cada grupo de copias de medios se le denomina Conjunto de copias de medios e incluye una copia de cada uno de los medios principales. (Es posible tener más de un medio principal cuando la cantidad de datos en el almacén remoto es demasiado grande para ajustarse a una cinta). Para especificar el número de conjuntos de copias de medios que se desean, hay que seguir estos pasos:

1. Se pulsa el botón derecho sobre la raíz de Almacenamiento remoto en el árbol de consola de Almacenamiento remoto y se elige Propiedades en el menú de contexto.

2. Se pulsa sobre la ficha Copias de medio y después se especifica el número de conjuntos de copias de medios que se desea crear para cada conjunto de medios principales (hasta un máximo de tres).

Si se decide que no son necesarios tantos conjuntos de copias de medios como se pensó originalmente, se puede decrementar el número de conjuntos que muestra Almacenamiento remoto y acceder según lo descrito. Sin embargo, nótese que hacer esto no quita la asignación de ningún medio. Si se desea liberar algún medio, hay que eliminarlo de la copia de medios, tal y como se describe en la sección siguiente.


Capítulo 7

Cómo eliminar y verificar el estado de copias de medio Si ya no va a hacer falta la copia de medios o se desea verificar si la copia de medios está funcionando correctamente (es decir, para ver si se tiene una cinta errónea), hay que eliminar o verificar las copias de medios. No sólo hay que reducir el número de copias admitidas por Almacenamiento remoto. Para eliminar o verificar el estado de una copia de medio, hay que seguir estos pasos:

1. Se selecciona la carpeta Medio en el árbol de la consola de Almacenamiento remoto. 2. Se pulsa el botón derecho sobre el medio principal que está asociado a la copia de medio que se

desea eliminar o verificar y después se elige Copias de medio en el menú de contexto. 3. Se visualiza la información de las copias de medios y después se pulsa el botón Eliminar copia

correspondiente, para todas las copias de medio que se deseen eliminar.

Sincronización de copias de medio Sincronizar copias de medios es tan sencillo que parece ridículo. Sólo hay que abrir el complemento de MMC Almacenamiento remoto, pulsar el botón derecho sobre Medio en el árbol de consola y después elegir Sincronizar copias de medios en el menú de contexto. Aparecerá el Asistente para la sincronización de medios; esto nos llevará a lo largo del resto del proceso.

No se pueden hacer llamadas o copiar datos al almacén remoto mientas se sincronizan las copias de medios. Por lo tanto, se deben sincronizar las copias de medio fuera de horas.

Cómo volver a crear una copia principal en caso de desastre: Si el medio principal está dañado o se ha perdido, se puede volver a crear a partir de una copia de medio sincronizada de forma reciente. Nótese que se perderán todos los datos que se hayan migrado al almacén remoto tras la última vez que se sincronizó la copia del medio, a menos que la caché local de los datos no se haya eliminado todavía. Los pasos siguientes se deben seguir sólo si se experimentan errores:

1. Hay que asegurarse de que haya medios suficientes disponibles en la cola de almacenamiento remoto o en la cola de medios libres y después abrir la carpeta Medios del árbol de la consola de Almacenamiento remoto.

2. Se pulsa el botón derecho sobre la copia de medio sincronizada de forma más reciente y después se escoge Copias de medios en el menú de contexto.

3. Se pulsa la ficha Recuperación y después se pulsa Volver a crear copia principal.

Recuperación de un desastre: Los desastres ocurren. Los servidores se caen. Las unidades fallan. Son hechos. Sin embargo, si se está preparado de antemano, se puede reducir el impacto negativo del desastre cuando éste golpee.

Pueden darse unos pocos tipos distintos de desastres con Almacenamiento remoto y existen unas pocas formas de recuperarse de ellos. Si el disco duro falla, hay que restaurar los archivos almacenados de forma local a partir de las copias de seguridad que se mantienen religiosamente, pero hay que tener cuidado de no realizar la operación de validación de Almacenamiento remoto hasta que se hayan restaurado todas las copias de seguridad incrementales o diferenciales. Cuando no se vea afectada la base de datos de Almacenamiento remoto guardada en la carpeta %RaízDeSistema%\System32\RemoteStorage, no es


Capítulo 7

necesario hacer nada más que realizar la validación para limpiar cualquier problema de las reservas de sitio.

Si el disco duro que guarda Windows 2000 falla, hay que restaurar el sistema a partir de una copia de seguridad. El sistema debe funcionar normalmente; sin embargo, podría verse el siguiente error cuando se llame a un archivo almacenado de forma remota:

Camino\nombrearchivo.doc. El sistema no puede acceder al archivo.

Si se experimenta este error, véase el artículo Q235469 de la Base de conocimiento y realícese el procedimiento Restauración de una base de datos RSS dañada.

Si es necesario realizar una limpieza y reinstalar Windows 2000, la mejor solución es llamar primero a todos los datos del almacén remoto. Sin embargo, si ocurre un desastre que impide volver a llamar a los datos y no se puede restaurar el sistema a partir de una copia de seguridad, hay que realizar un procedimiento especial para restaurar la base de datos de Almacenamiento remoto a partir del medio de Almacenamiento remoto, tras la reinstalación de Windows 2000. Para ver cómo realizar este procedimiento, véase el artículo Q235469 de la Base de conocimiento. Si se ve cualquiera de los siguientes mensajes de error cuando se accede a Almacenamiento remoto, véase el artículo Q235032 de la Base de conocimiento:

● Copia de seguridad no puede conectar con Almacenamiento remoto. Este servicio es necesario para usar las unidades de cinta y otros dispositivos de copia de seguridad.

● Almacenamiento remoto: Ha fallado la ejecución del servidor. ● Ha fallado la carga de la base de datos de almacenamiento remoto. Verificar el visor de sucesos.

Carpetas Compartidas

En Windows 2000 se pueden administrar las carpetas compartidas de dos formas. Se puede pulsar el botón derecho sobre una carpeta en el Explorador de Windows y escoger Compartir en el menú de contexto o se puede usar el complemento de MMC Carpetas compartidas. El complemento de MMC Carpetas compartidas proporciona una forma de visualizar todos los archivos compartidos a la vez, junto con las conexiones actuales a los archivos abiertos. El Explorador de Windows no.

Para usar la herramienta Carpetas compartidas, hay que seguir estos pasos:

1. Se abre el complemento de MMC Administración de equipos en la carpeta Herramientas administrativas del menú Inicio o se introduce %RaízDeSistema%\System32\ Compmgmt.msc en el cuadro de diálogo Ejecutar o en una línea de órdenes.

2. Se expande la carpeta Carpetas compartidas en el árbol de consola. 3. Hay que usar las carpetas Recursos compartidos, Sesiones, y Archivos abiertos para visualizar los

archivos compartidos del sistema que se está administrando y ver cuánta actividad están acumulando.

Configuración de Carpetas compartidas


Capítulo 7

Windows 2000 facilita compartir una carpeta o volumen en el sistema con otros usuarios de la red corporativa. Sólo hay que seguir estos pasos:

1. En la consola Administración de equipos, se abre la carpeta Carpetas compartidas en el árbol de la consola.

2. Se pulsa el botón derecho sobre la carpeta Recursos compartidos y se elige Nuevo recurso compartido de archivo en el menú de contexto.

3. En el cuadro de diálogo Crear carpeta compartida se pulsa el botón Explorar para localizar o crear la carpeta que se desea compartir.

4. Se introduce el nombre que se desea dar al recurso compartido de archivo. Este nombre debe ser perfectamente compatible con DNS y NetBIOS para una mejor interacción con los clientes de bajo nivel y no Microsoft.

5. Se introduce una descripción para el recurso compartido en el cuadro Descripción del recurso y después se pulsa Siguiente.

6. Opcionalmente, se pueden especificar los permisos Nivel de recurso compartido y después se pulsa Finalizar.


Capítulo 7

Se recomienda que se implementen los permisos a nivel de archivos NTFS en lugar de los permisos a nivel de recurso compartido. El uso de permisos a nivel de recurso compartido no suele ser lo bastante seguro en la mayoría de los casos, y el uso de ambos introduce un nivel de complejidad inaceptable.

Sin embargo, existen algunas excepciones para esta regla; por ejemplo, puede que se desee permitir a todos los usuarios acceso a un volumen en una determinada subcarpeta, pero permitir sólo a un determinado grupo el acceso al directorio raíz. (Los administradores siempre pueden acceder a la carpeta raíz de una unidad conectando el recurso compartido oculto de la unidad, por ejemplo, C$). En este caso, podrían crearse dos recursos compartidos de archivo: uno para el nivel de la subcarpeta sin seguridad de recurso compartido y uno para la carpeta raíz con seguridad a nivel de recurso compartido, permitiendo el acceso sólo al grupo especificado.

Algo aún más útil es la posibilidad de ocultar los recursos compartidos de archivo añadiendo un carácter signo dólar ($) al final del nombre del recurso compartido. Esta notación permite a cualquier usuario conectarse al recurso compartido -suponiendo que él o ella conoce el nombre del recurso compartido-. Una vez que los usuarios se conecten, todavía están ligados a los permisos de seguridad de NTFS, pero esto puede ser práctico para almacenar potentes herramientas muy útiles a las que los administradores quieran poder acceder desde un sistema de usuario y con una cuenta de usuario. La seguridad de archivos realmente no es el problema; lo único que no queremos es que los usuarios pierdan el tiempo con los archivos.

Cómo dejar de compartir una carpeta

Para dejar de compartir una carpeta en la red, hay que seguir estos pasos:


Capítulo 7

1. En la consola Administración de equipos, se abre la carpeta Carpetas compartidas en el árbol de la consola y después se abre la subcarpeta Recursos compartidos.

2. Se pulsa el botón derecho sobre la carpeta compartida que se desea dejar de compartir y se elige Dejar de compartir en el menú de contexto.

3. Se pulsa Aceptar.

Cómo desconectar usuarios

Si es necesario desconectar usuarios del servidor por alguna razón (digamos para cerrar el servidor mientras se actualizan los archivos), hay que seguir estos pasos:

Hay que ser deferente con los usuarios y avisarles antes de desconectarlos. La desconexión de un usuario que está trabajando puede ocasionar la pérdida de datos y los malestares consecuentes.

1. Se abre Carpetas compartidas en la consola Administración de equipos y después se abre la subcarpeta Sesiones.


Capítulo 7

2. Se pulsa el botón derecho sobre el usuario que se desea desconectar y se elige Cerrar sesión en el menú de contexto.

3. Para desconectar todas las sesiones, se pulsa el botón derecho sobre la carpeta Sesiones y se elige Desconectar todas las sesiones en el menú de contexto.

4. Para cerrar un archivo abierto, se pulsa sobre la carpeta Archivos abiertos, se pulsa el botón derecho sobre el archivo que se desea cerrar y después se elige Cerrar archivo abierto en el menú de contexto.

5. Para cerrar todos los archivos abiertos, se pulsa el botón derecho sobre la carpeta Archivos abiertos y se elige Desconectar todos los archivos abiertos en el menú de contexto.

Propiedades de los Recursos compartidos

Para ver las propiedades de los recursos compartidos abrimos Carpetas compartidas en la consola Administración de equipos y después se abre la subcarpeta Recursos compartidos. Si pulsamos el botón Propiedades aparecen tres pestañas.

Pestaña General

Aparece el nombre del recurso, la ruta y la descripción, único elemento que se puede modificar en esta pantalla.

● Límite de usuarios: Se puede limitar el número de conexiones de usuarios simultáneas que se desea permitir para una carpeta compartida, de forma que una determinada carpeta compartida no sobrecargue al servidor con conexiones de usuario.

❍ Máximo permitido: Si mantenemos seleccionada esta opción se podrán conectar al servidor el número de usuarios establecido en las licencias del servidor


Capítulo 7

❍ Permitir: Se debe seleccionar y establecer un límite de usuarios si no se quiere que se sobrecargue el servidor con conexiones de usuario.

Windows 2000 Professional admite un máximo de diez usuarios simultáneos.

Pestaña Permisos de los recursos compartidos

Como norma general no hay que usar los permisos a nivel de recurso compartido en la mayoría de los casos, a menos que no se esté usando la seguridad a nivel de archivos de NTFS. Los permisos a nivel de recurso compartido permiten o deniegan el acceso a una carpeta compartida dependiendo del grupo de usuarios del que se es miembro y de las opciones de seguridad del recurso compartido de archivo. La seguridad a nivel de archivo, por otro lado, tiene un nivel de control mucho más fino, proporcionando la posibilidad de conceder o denegar a usuarios y grupos la posibilidad de realizar un amplio rango de acciones, tanto para carpetas como para archivos individuales. Debido a que los permisos NTFS se suelen usar en situaciones en las que la seguridad es importante, generalmente no se recomiendan los permisos a nivel de recurso compartido. Sin embargo, se puede hacer, y por lo tanto, aquí está cómo. (También se pueden cambiar permisos NTFS usando este procedimiento, lo que es bastante cómodo).

Configuración de recursos compartidos Web

Si se ha instalado IIS en el sistema, se tiene la posibilidad de compartir cualquier carpeta en el sistema con todos los usuarios Web de la Intranet que puedan acceder al servidor. Normalmente, los recursos compartidos Web se instalan con IIS, pero también se puede hacer rápidamente usando el Explorador de Windows. Hay que seguir estos pasos:


Capítulo 7

1. Se abre el Explorador de Windows, se pulsa el botón derecho sobre la carpeta o unidad que se desea compartir en el Web y se elige Propiedades en el menú de contexto.

2. Se pulsa sobre la ficha Uso compartido de Web.

3. Se elige el sitio Web en el que se desea compartir la carpeta en la lista desplegable Compartir en.

4. Se selecciona la opción Compartir esta carpeta y después, en el cuadro de diálogo que aparece, Modificar alias, se introduce el nombre de la carpeta que se desea usar para el recurso compartido. Nótese que el alias que se introduce se anexa al nombre del sitio Web: http://miservidor.micompañia.com/alias.

5. Se fijan los permisos de acceso para la carpeta seleccionando los cuadros de verificación de la sección Permisos de acceso del cuadro de diálogo. (Es importante fijar estos permisos de acceso, especialmente si el servidor está visible en Internet).

6. Las opciones Permisos de la aplicación se usan para escoger el nivel de permisos que se desea conceder a las aplicaciones para esta carpeta, y después se pulsa Aceptar.


Capítulo 8

Capítulo 8

La gestión del servicio de directorio Active Directory es una parte importante del proceso de administración de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propósito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del menú Inicio incluye algunos complementos, pero para el funcionamiento diario se deberán añadir otros manualmente mediante la función Agregar complemento de la MMC.

Se descubrirá que algunas de las herramientas de administración de Active Directory son programas que se ejecutan cada día, mientras que otras solo son necesarias durante la instalación de Active Directory a ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administración de Active Directory son los siguientes:

● Asistente para instalación de Active Directory crea controladores de dominio, nuevos dominios, árboles y bosques.

● Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN).

● Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory. ● Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de

replica del controlador de dominio. ● Esquema de Active Directory modifica el esquema que define los objetos y propiedades de

Active Directory.

Además de los complementos MMC, Microsoft Windows 2000 Server incluye utilidades independientes para importar y exportar información a y desde Active Directory.

Asistente para la instalación de Active Directory

A diferencia de la versión 4 y anteriores de Microsoft Windows NT Server, Windows 2000 Server no permite designar un sistema como controlador de dominio durante la instalación del sistema operativo. Cada servidor de Windows 2000 se instala como un sistema independiente o un miembro de un dominio. Cuando la instalación esta completa se puede promocionar al servidor al estado de controlador de dominio utilizando el Asistente para instalación de Active Directory de Windows 2000. Esta herramienta proporciona una gran flexibilidad adicional a los administradores de Active Directory porque los servidores se pueden promover o degradar en cualquier momento, mientras que los servidores Windows NT 4 se designan irrevocablemente como controladores de dominio durante el proceso de instalación.


Capítulo 8

Algo que también ha desaparecido es la distinción entre controladores principales de dominio y controladores de dominio de reserva. Los controladores de dominio Windows 2000 son todos parejos en un sistema de replica con múltiples maestros. Esto significa que los administradores pueden modificar los contenidos del árbol de Active Directory de cualquier servidor que funcione como controlador de dominio. Esto es un avance muy importante desde el sistema de replica de un solo maestro de Windows NT 4, en el cual un administrador sólo puede cambiar el controlador principal de dominio (PDC, Primary Domain Controller) para que después los cambios se repliquen a todos los controladores de dominio de reserva (BDC, Backup Domain Controller).

Otra ventaja de Windows 2000 es que se puede utilizar el Asistente para instalación de Active Directory para degradar un controlador de dominio de nuevo a un servidor independiente o miembro.

En Windows NT 4, una vez que se instala un servidor come controlador de dominio, es posible degradarlo de PDC a BDC, pero no se puede eliminar su estado de controlador de dominio completamente, excepto reinstalando el sistema operativo.

La función básica del Asistente para instalación de Active Directory es configurar un servidor para que funcione come controlador de dominio, pero dependiendo del estado actual de Active Directory en la red, esta tarea puede tomar distintas formas. Si se instala el primer Windows 2000 Server de la red, antes de la promoción del sistema a controlador de dominio crea un Active Directory completamente nuevo con esa computadora alojando el primer dominio del primer árbol del primer bosque.

Preparación de la instalación

Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el proceso de instalación del sistema operativo. Después del ultimo reinicio, hay que iniciar sesión en la maquina utilizando una cuenta de administrador.

NTFS 5

Para alojar Active Directory, el servidor debe tener una partición NTFS 5. NTFS 5 es una versión actualizada del sistema de archives introducido en el primer lanzamiento de Windows NT. Cuando se crean nuevas particiones NTFS durante una instalación de Windows 2000 o se actualizan las particiones NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS 5. Si se opta por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una partición a NTFS antes de poder utilizar el Asistente para instalación de Active Directory. Esto se puede hacer utilizando la utilidad Convert.exe desde el símbolo del sistema o la pantalla Administración de discos del complemento Administración de equipos de MMC.

La conversión de la partición de inicio de Windows 2000 (la partición en la que se instaló Windows 2000) requiere reiniciar el sistema. Como la conversión no se puede hacer en realidad mientras esté cargado el GUI de Windows 2000, se utiliza un indicador del


Capítulo 8

registro para programar la conversión y que tenga lugar la próxima vez que se reinicie la maquina. Después se puede volver a cargar el Asistente para instalación de Active Directory y comenzar la secuencia de instalación de nuevo.

Servidor DNS

El ultimo requisito para instalar Active Directory es que el servidor tenga acceso a un servidor DNS. Active Directory utiliza el DNS para almacenar información sobre los controladores de dominio de la red. Los sistemas cliente localizan un controlador de dominio para la autenticación mediante el envío de una petición al servidor DNS identificado en sus configuraciones TCP/IP cliente. El servidor DNS que utiliza Active Directory ni necesita estar ejecutándose en el equipo que se va a convertir en un controlador de dominio, ni tiene que ejecutar el servicio DNS de Microsoft. Sin embargo, el servidor DNS que se utilice debe soportar el registro de recursos Localización de servicios definido en el documento RFC 2052 y el protocolo de Actualización dinámica definido en la RFC 2136.

Las peticiones de comentarios (RFC, Request For Comments) son los documentos de especificación del TCP/IP publicados por el Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force). Todos los documentos son de dominio publico y se pueden consultar en http://www.rfc-editor.org.

Si no hay disponible en lo red un servidor DNS que soporte las nuevas características, el asistente se ofrecerá a instalar y configurar Microsoft DNS Server en el sistema automáticamente. Se puede rechazar la oferta a instalar un servidor DNS en otro sistema, pero el nuevo servidor debe ser capaz de acceder al servidor DNS para poder instalar Active Directory y promover el sistema a controlador de dominio.

Si la red utiliza actualmente servidores DNS fuera del sitio para la resolución de nombres. Como los proporcionados por el proveedor de servicios Internet (ISP, Internet Service Provider), se debería instalar por lo menos un nuevo servidor DNS en la red local para dar soporte a Active Directory. Aunque los servidores DNS del ISO podrían soportar el registro de recursos Localización de servicios y el protocolo Actualización dinámica, es poco probable que los servidores Windows 2000 que se dispongan estén autorizados para actualizar dinámicamente los registros del servidor DNS del ISP E incluso si se permitiera, no resulta practico para los sistemas cliente atravesar un enlace WAN para solicitar información sobre recursos locales.

Instalación del Primer controlador de dominio

Siguiendo el patrón de un asistente estándar, la instalación de Active Directory en un servidor es una cuestión de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vínculos al asistente en la página de Active Directory de la página principal de Configurar el servidor de Windows 2000. Esta página se muestra en el explorador Microsoft Internet Explorer automáticamente después de la instalación del SO. Esta página Web local esta diseñada para guiar al administrador a través de los


Capítulo 8

procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y vínculos a las herramientas apropiadas para cada tarea.

Para instalar el Primer controlador deberemos seguir los siguientes pasos:

1. Iniciar la Herramienta Configuración del Servidor desde el menú de Herramientas Administrativas. Los usuarios que sean nuevos en Windows 2000, esta página Web funciona como una combinación de minitutorial y una lista de comprobación de los procedimientos de configuración del servidor. Los usuarios mas avanzados pueden saltarse la Página Web de configuración a iniciar el asistente directamente ejecutando el archivo ejecutable Dcpromo.exe desde el cuadro de dialogo Ejecutar. Los usuarios también pueden ejecutar el archivo desde el símbolo del sistema después de iniciar sesión por medio de la cuenta de administrador local. Dcpromo.exe se encuentra en la carpeta %SystemRoot%\System32, lo que permite ejecutarlos desde cualquier carpeta sin especificar una ruta de acceso.Cuando se actualiza un controlador principal de dominio Windows NT 4 a Windows 2000 Server, el sistema ejecuta automáticamente el Asistente para instalación de Active Directory después de que termine la instalación del sistema operativo.

2. Tipo de Controlador de Dominios: Después de una pantalla de bienvenida, el Asistente para


Capítulo 8

instalación pregunta sobre la acción que se va a realizar, basándose en el estado actual de Active Directory en el sistema. Si el servidor ya es un controlador de dominio, el asistente solo proporciona la opción de degradar el sistema de nuevo a servidor independiente o miembro. En un equipo que no es un controlador de dominio, el asistente muestra la pantalla Tipo de controlador de dominios, la cual pide que se seleccione una de las siguientes opciones:

● Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor y lo designa como el primer controlador de dominio de un nuevo dominio.

● Controlador de dominio adicional para un dominio existente: Instala Active Directory en el servidor y replica la información del directorio desde un dominio existente.

Para instalar el primer servidor Active Directory en la red, se selecciona la opción Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS .


Capítulo 8

3. Crear árbol o dominio secundario. Deberemos elegir el tipo de dominio que queremos configurar de las dos opciones que se presentan en el siguiente cuadro

● Crear un nuevo árbol de dominios: Configura el nuevo controlador de dominio pare que aloje el primer dominio de un nuevo árbol.

● Crear un nuevo dominio secundario en un árbol de dominios existente: Configura el nuevo controlador de dominio pare que aloje un hijo de un dominio de un árbol que ya existe.

Como este va a ser el primer servidor Active Directory de la red, se debería escoger Crear un nuevo árbol de dominios.

4. Crear o unir bosque, que permite especificar una de las siguientes opciones: ● Crear un nuevo bosque de árboles de dominios: Configure el controlador de dominio

pare que sea la raíz de un nuevo bosque de árboles. ● Situar este nuevo árbol de dominios en un bosque existente: Configure el controlador

de dominio pare que aloje el primer dominio de un nuevo árbol en un bosque que ya contiene uno o más árboles.


Capítulo 8

En este caso hay que seleccionar Crear un nuevo bosque de árboles de dominios, porque el primer controlador de dominio Windows 2000 de la red será siempre un nuevo dominio, en un nuevo árbol, en un nuevo bosque. A medida que se instalen controladores de dominio adicionales, se pueden utilizar estas mismas opciones para crear otros bosques nuevos o para poblar el bosque existente con árboles y dominios adicionales.

5. Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe especificar un nombre DNS valido para el dominio que se esta creando.Este nombre no tiene por que ser el mismo que el del dominio que utiliza la empresa para su presencia en Internet (aunque puede serlo). El nombre tampoco tiene que estar registrado en el Centro de información de redes de Internet (InterNIC, Internet Network información), la organización responsable de mantener el registro de los nombres DNS en los dominios de nivel superior com, net, org y edu. Sin embargo, el use de un nombre de dominio registrado es una buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a los recursos de red locales, o si los usuarios externos a la organización accederán a los recursos de red locales vía Internet.


Capítulo 8

Cuando los usuarios acceden a los recursos de Internet al mismo tiempo que a los recursos de la red Windows 2000, existe la posibilidad de que un nombre de dominio no registrado entre en conflicto con un dominio de Internet registrado que utilice el mismo nombre. Cuando los usuarios de Internet tengan permiso para acceder a los recursos de la red utilizando protocolos estándar de la capa de aplicación como HTTP y FTP, puede surgir alguna confusión si los usuarios internos y los externos deben utilizar diferentes nombres de dominio.

6. Nombre de dominio NetBIOS: Después de introducir un nombre DNS para el dominio, el sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los clientes que no soporten Active Directory. Los sistemas Windows 2000 todavía utilizan el espacio de nombres NetBIOS para sus nombres de equipo, pero Active Directory utiliza la nomenclatura DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 9x utilizan nombres NetBIOS para todos los recursos de la red, incluyendo los dominios.Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 9x, Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS), estos solo serán capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla Nombre de dominio NetBIOS contendrá una sugerencia para el nombre, basándose en el nombre DNS especificado, qua se puede utilizar o bien se puede reemplazar con un nombre qua se elija qua tenga 15 caracteres o menos.


Capítulo 8

7. Después de especificar los nombres de dominio, el asistente solicita las ubicaciones de la base de datos, los archivos de registro y el volumen del sistema de Active Directory. La base de datos de Active Directory contendrá los objetos Active Directory y sus propiedades, mientras qua los archivos de registro registran las actividades del servicio de directorio. Los directorios para estos archivos se especifican en la pantalla ubicación de la base de datos. La ubicación predeterminada tanto para la base de datos como para los registros es la carpeta %SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar esas ubicaciones como sea necesario; de hecho, probablemente se debería, para no tener todos los directorios en la misma cesta.

8. La pantalla Volumen del sistema compartido permite especificar la ubicación de lo qua se convertirá en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es un recurso compartido que contiene información del dominio que se replica al resto de controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema.


Capítulo 8

La base de datos, los registros y el volumen del sistema de Active Directory tiene que situarse en volúmenes que utilicen el sistema de archivos NTFS 5. Si el asistente detecta que alguno de los volúmenes escogidos no utiliza NTFS 5, habrá que convertirlos o seleccionar otro volumen antes de poder completar el proceso de instalación de Active Directory.Como Active Directory escribe a menudo en la base de datos y en los registros al mismo tiempo, Microsoft recomienda no almacenarlos en el mismo disco duro. Esto no es una cuestión demasiado importante en un único controlador de dominio a otra red pequeña, pero en una red empresarial con frecuentes actualizaciones del servicio de directorio y muchos controladores de dominio replicando sus bases de datos, la carga del almacenamiento de información puede ser significativa, por lo que se recomienda encarecidamente la utilización de discos independientes.La recomendación de situar los archivos de la base de datos y de registro indica la utilización de discos duros independientes, no distintos volúmenes de la misma unidad de disco. Esto se debe a que las restricciones físicas del mecanismo de desplazamiento de las cabezas del disco pueden ser responsables de la reducción del rendimiento del disco. Las cabezas de una única unidad de


Capítulo 8

disco no pueden estar en dos posiciones al mismo tiempo, por lo que el dispositivo debe realizar escrituras en la base de datos o en los registros de forma consecutiva. Cuando los archivos se almacenan en discos independientes, las escrituras puede realizarse simultáneamente. también es preferible utilizar unidades SCSI para este propósito en lugar de las EIDE, porque SCSI es más adecuado para ejecutar comandos simultáneos en múltiples dispositivos.

9. Instalación de DNS: En este punto, el Asistente para instalación de Active Directory tiene toda la información de configuración necesaria para instalar Active Directory y promover el servidor a controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los utiliza ya en servidor DNS a otros equipos de la red. Si, por ejemplo, el nombre NetBIOS seleccionado ya lo esta utilizando un dominio Windows NT 4 en la red, el asistente pide que se seleccione otro nombre.

10. El asistente también determina si el servidor DNS que alojara el dominio soporta el protocolo de Actualización dinámica. Si el sistema no puede contactar con el servidor DNS especificado en la configuración TCP/IP cliente del equipo, o si el servidor DNS especificado no es capaz de dar soporte a un dominio Windows 2000, el asistente se ofrece a instalar Microsoft DNS Server y configurarlo para que funcione como servidor autorizado para el dominio. La pantalla Configurar DNS permite especificar si se desea instalar el servidor DNS o configurar uno personalmente. Si se opta por utilizar otra maquina para el servidor DNS, es preciso instalarlo y configurarlo antes de poder completar la instalación de Active Directory.

11. Finalización de la instalación de Active Directory: Después de que el asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo


Capítulo 8

dominio, se completa la instalación y configuración de Active Directory sin mas introducción de datos por parte del usuario. El asistente registra todas las actividades que se producen durante el proceso de instalación en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la carpeta %SystemRoot%\debug. La instalación puede durar varios minutos, después de lo cual hay que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de administrador para el nuevo dominio utilizando la misma contraseña que tiene la cuenta de administrador local con la que se ha iniciado sesión antes de iniciar la instalación de Active Directory.

Instalación de un Controlador de dominio de Réplica

Las replicas proporcionan tolerancia a fallos en un dominio Active Directory, y pueden reducir el trafico entre redes permitiendo a los clientes de la red autenticarse utilizando un controlador de dominio en el segmento local. Cuando un controlador de dominio no funciona correctamente o no esta disponible por algún motivo, sus replicas asumen automáticamente sus funciones. Incluso un dominio pequeño necesita al menos dos controladores de dominio para mantener esta tolerancia a fallos.

Para crear una réplica de un dominio existente, hay que ejecutar el Asistente para instalación de Active Directory en un Windows 2000 Server recién instalado después de unirse al dominio que se trata de replicar. En el equipo que se une al dominio, se puede realizar la unión por primera vez y suministrar las credenciales administrativas que permiten al sistema crear un objeto equipo en el dominio, o bien se puede crear el objeto equipo manualmente por medio de Usuarios y equipos de Active Directory. Después de unirse al dominio, hay que iniciar sesión en el sistema utilizando la cuenta de administrador local y ejecutar el asistente desde la página Configurar el servidor o ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.


Capítulo 8

Cuando aparece la pantalla Tipo de controlador de dominios en el asistente, hay que seleccionar Controlador de dominio adicional para un dominio existente y especificar el nombre DNS del dominio que se va a replicar. Después hay que suministrar el nombre de usuario, la contraseña y el nombre de dominio de una cuenta con privilegios administrativos en el dominio.

El asistente instala Active Directory en el servidor, crea la base de datos, los registros y el volumen del sistema en las ubicaciones especificadas, registra el controlador de dominio en el servidor DNS y replica la información de un controlador de dominio para ese dominio existente.

Una vez que la replica del controlador de dominio esta en funcionamiento, no es distinguible del controlador de dominio existente, al menos en lo que concierne a la funcionalidad de los clientes. Las replicas funcionan como parejos, a diferencia de los servidores Windows NT, que están designados como controladores de dominio principales o de reserva. Los administradores pueden modificar el contenido de Active Directory (tanto los objetos como el esquema) de cualquier controlador de dominio, y los cambios se replicaran al resto de controladores de dominio de ese dominio.

Cuando se crea una replica, el Asistente para instalación de Active Directory configura automáticamente el proceso de replica entre los controladores de dominio. Se puede personalizar el pro-

ceso de replica utilizando Sitios y servicios de Active Directory, que se incluye en Windows 2000 Server.

Creación de un dominio secundario en un árbol existente

Cuando se crea el primer dominio Windows 2000 de la red, también se esta creando el primer árbol del bosque. Se puede poblar el árbol a medida que se crean dominios adicionales haciéndolos secundarios de dominios existentes. Un dominio secundario es uno que utiliza el mismo espacio de nombres que un dominio principal. Este espacio de nombres se establece por el nombre DNS del dominio principal, al cual el secundario añade un nombre precedente para el nuevo dominio. Por ejemplo, si se crea un


Capítulo 8

dominio llamado Miempresa.com, un secundario de ese dominio podría llamarse algo así como Investigacion.miempresa.com. Por regla general, los dominios secundarios reflejan las divisiones geográficas, departamentales o política de una organización, pero se puede utilizar cualquier principio para el diseño del árbol que se desee. Un dominio principal puede tener cualquier numero de secundarios, y la estructura del árbol puede extenderse a través de cualquier numero de generaciones, lo que permite utilizar un único espacio de nombres para crear un árbol de dominios que refleje la estructura de toda la organización.

Para instalar Active Directory y crear un dominio secundario:

1. Unir el Windows 2000 Server en el que se desea crear el Dominio secundario al dominio principal suministrando las credenciales administrativas o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory.

2. Iniciar sesión en el sistema utilizando la cuenta de administrador local 3. Ejecutar el Asistente para instalación de Active Directory desde la página Configurar el servidor o

ejecutando Dcpromo.exe desde el cuadro de dialogo Ejecutar.Un dominio secundario no es una replica; es un dominio completamente independiente situado en el mismo árbol. Por lo tanto, cuando el asistente muestra la pantalla Tipo de controlador de dominios, hay que seleccionar Controlador de dominio para un nuevo dominio. En el cuadro de dialogo Crear árbol o dominio secundario, hay que seleccionar Crear un nuevo dominio


Capítulo 8

secundario en un árbol de dominios existente. El asistente solicita a continuación el nombre DNS del dominio que ha de ser el principal del secundario. Después de suministrar esto, hay que especificar el nombre corto para el dominio secundario. El nombre corto es el nombre que se añadirá al nombre DNS del dominio principal para formar el nombre completo del dominio secundario. Por ejemplo, para crear un dominio secundario llamado Investigacion.miempresa.com, se especifica Miempresa.com como nombre del dominio principal a investigación como nombre corto del secundario.

4. Al igual que durante la creación del primer dominio del árbol, hay que proporcionar un nombre NetBIOS para el nuevo dominio de no mas de 15 caracteres. En el ejemplo anterior, el dominio podría llamarse Investigación. también hay que suministrar las credenciales de una cuenta que tenga privilegios administrativos en el dominio principal. Después, el asistente completa la instalación de Active Directory y pide que se reinicie el sistema.

Creación de un nuevo árbol en un bosque existente

Además de crear dominios secundarios en un árbol Active Directory, también se pueden crear árboles completamente nuevos, formando de este modo un bosque. Cada árbol de un bosque tiene su propio espacio de nombres independiente, pero todos los árboles comparten el mismo esquema y configuración.

Si, por ejemplo, se modifica el esquema para añadir atributos personalizados a un objeto particular de un árbol, estos atributos estarán presentes en el mismo tipo de objeto del resto de los árboles del bosque.


Capítulo 8

Antes de crear un nuevo árbol en un bosque existente, el nuevo Windows 2000 Server debe unirse al dominio raíz de ese bosque. El dominio raíz es el primer dominio creado en el bosque y el sistema se une a ese dominio iniciando sesión en el y especificando las credenciales de una cuenta administrativa en el dominio o creando manualmente un objeto equipo en el dominio por medio de Usuarios y equipos de Active Directory.

Una vez que el equipo posee una cuenta en el dominio raíz del bosque, se puede ejecutar el Asistente para instalación de Active Directory desde la pantalla Configurar el servidor o ejecutar Dcpromo.exe desde el cuadro de dialogo Ejecutar. Cuando aparece el cuadro de dialogo Tipo de controlador de dominio hay que seleccionar Controlador de dominio para un nuevo dominio. Después hay que seleccionar Crear un nuevo árbol de dominios en el cuadro de dialogo Crear árbol o dominio secundario y seleccionar Situar este nuevo árbol de dominios en un bosque existente en el cuadro de dialogo Crear o unir bosque.

Para crear el nuevo árbol, primero hay que especificar el nombre DNS del dominio raíz del bosque y después el nombre DNS que se desea asignar al primer dominio del nuevo árbol. El segundo nombre DNS no debe ser parte de ningún espacio de nombres existente en el bosque. Es decir, si un árbol ya utiliza Miempresa.com como nombre DNS de su dominio raíz, no se puede utilizar el nombre Investigacion.miempresa.com para el dominio raíz del nuevo árbol, incluso si ese nombre de dominio exacto no existe en el árbol Miempresa.com.

Después de suministrar los nombres DNS se facilita un equivalente NetBIOS de la forma usual y se proporcionan las credenciales de una cuenta administrativa en el dominio raíz del árbol. El asistente completa entonces el proceso de instalación y pide que se reinicie el sistema.

Creación de un nuevo bosque

La diferencia fundamental entre la creación de un nuevo árbol y la creación de un nuevo bosque es que los bosques tienen cada uno sus propios esquema y configuración individuales. El escenario mas obvio en el que una red debería tener múltiples bosques es cuando dos empresas con instalaciones Active Directory existentes se fusionan, y las suficientes diferencias de esquema y configuración existentes entre


Capítulo 8

las dos hace que la unión de ambas en un solo bosque sea impracticable.

El proceso de crear un nuevo bosque es el mismo que el de la creación del primer dominio de la red.

Actualización de los controladores de dominios de Windows NT 4

Windows 2000 simplifica el proceso de convertir los dominios de una red Windows NT 4 en dominios Active Directory de Windows 2000 permitiendo actualizar los servidores gradualmente. Los controladores de dominio Windows NT pueden coexistir en la misma red que los controladores de dominio Windows 2000 a incluso pueden funcionar en el mismo dominio. La única regla especial del proceso de actualización es que hay que actualizar el PDC de una red Windows NT 4 antes que cualquiera de los BDCs.

Cuando se instala el sistema operativo Windows 2000 en el PDC, el Asistente para instalación de Active Directory se ejecuta automáticamente después del ultimo reinicio y comienza el proceso de promoción. Después de que el servidor se haya promovido a controlador de dominio, el sistema puede alojar el dominio existente, utilizando los BDCs NT 4 como replicas. Después se pueden actualizar los BDC al ritmo que se desee.

Cuando todos los controladores de dominio estén ejecutando Windows 2000, se podrá utilizar el complemento Dominios y confianzas de Active Directory para convertir el dominio del modo mixto al modo nativo, lo que permite aprovechar todas las ventajas de las capacidades de agrupamiento de Active Directory.

Degradación de controladores de dominios

Una diferencia fundamental entre los controladores de dominio Windows 2000 y los controladores de dominio Windows NT es que se puede degradar un controlador de dominio Windows 2000 a servidor independiente o miembro. Cuando se ejecuta el Asistente para instalación de Active Directory, el programa determina que el sistema ya esta funcionando como controlador de dominio y solo proporciona la opción de degradar el servidor.

La pantalla Configurar el servidor también detecta el estado del sistema y proporciona una única opción.

La degradación de un controlador de dominio elimina la base de datos de Active Directory de la máquina, borra todas las referencias a ella del servidor DNS y devuelve las cuentas de seguridad del sistema a un estado idéntico al de un servidor Windows 2000 recién instalado. Si el dominio al que pertenece el sistema tiene controladores de dominio de replica en la red, el servidor permanece como, miembro de ese dominio después de la degradación.

Si el servidor es el único controlador de dominio de un dominio particular, la degradación provoca que el dominio se elimine completamente de Active Directory, y que el sistema se convierta en un servidor


Capítulo 8

independiente hasta que se una a otro dominio. Si el servidores el único controlador del dominio raíz de un bosque, hay que destruir el resto de dominios del bosque antes de que se pueda proceder con la degradación del controlador de dominio raíz. Para degradar el controlador hay que seguir estos pasos:

1. Abrir el Asistente para instalación de Active Directory ejecutando Dcpromo.exe. Si se muestra un cuadro de mensaje, no se debe proceder con la degradación del servidor hasta que se este seguro de que existe al menos otro servidor de Catalogo global en el dominio.

2. Pulsar Siguiente. 3. Proporcionar una contraseña para la cuenta administrador del servidor. Después se mostrara un

resumen que indica lo que se ha seleccionado y el resultado que se obtendrá si se sigue adelante.

Se abrirá la pantalla Configurando Active Directory que proporcionara una descripción sobre la marcha de los procesos que se estén realizando. Esto durara al menos unos minutos, y algunas veces realmente mucho mas, dependiendo de la maquina. Cuando la configuración termine, el servidor ya no será un controlador de dominio y se pedirá que se pulse Finalizar y, después, Reiniciar ahora.

Cambio de la identificación de un controlador de dominio

Cambiar la identificación de red de un controlador de dominio requiere degradar el servidor de su estado como controlador de dominio, cambiar la identidad y después promover la maquina de nuevo.

Cuando se cambie el nombre de un controlador de dominio, hay que obrar con cuidado, especialmente en un entorno mixto con clientes de nivel inferior. Pueden permanecer referencias al antiguo nombre de dominio del servidor en servidores WINS, causando problemas de exploración, edemas de impedir que se vuelva a utilizar el nombre del equipo, y limpiar las base de datos WINS pare corregir el problema puede ser complicado.

Primero, hay que abrir Ejecutar desde le menú Inicio, escribir dcpromo y pulsar Aceptar. . Una vez que se haya degradado el controlador de dominio, hay que seguir estos pesos pare cambiar la identidad de red del equipo: '

1. Abrir la herramienta Sistema del Panel de control y pulsar en la pestaña Identificación de red. 2. Pulsar el botón Avanzada pare abrir el cuadro de dialogo Cambios de identificación. 3. Introducir el nuevo nombre pare el equipo o hacer cambios en el dominio o grupo de trabajo al

que pertenece el equipo. 4. Pulsar el botón Más para especificar manualmente el nombre de dominio DNS para el equipo y

para obtener una vista previa del nombre NetBIOS. Pulsar Aceptar cuando se haya terminado.

Hay que tratar de utilizar un nombre de equipo que sea compatible tanto con DNS como con NetBIOS para que todos los tipos de clientes vean el mismo nombre para el equipo. Para hacer esto hay que mantener el nombre por debajo de los 15 caracteres y no utilizar asteriscos o puntos. también es preferible evitar el use de espacios, subrayados y guiones


Capítulo 8

para una mejor compatibilidad con las aplicaciones.

Una vez realizados los cambios en la identidad de red del equipo, es posible promoverlo una vez mas a controlador de dominio siguiendo estos pasos:

1. Abrir Ejecutar desde el menú Inicio e introducir dcpromo para iniciar al Asistente para instalación de Active Directory.

2. Seleccionar el tipo de controlador de dominio que se desea: un controlador de dominio adicional para un dominio existente o un controlador para un nuevo dominio.

3. Suministrar un nombre de usuario y contraseña, asegurándose de usar una cuenta con suficientes privilegios para realizar la operación.

4. Suministrar el nombre DNS completo del dominio, las ubicaciones de la base de datos de Active Directory, el registro de Active Directory y la carpeta Sysvol.

5. La página resumen aparecerá de nuevo mostrando las opciones seleccionadas. Pulsar el botón Atrás para hacer cualquier cambio; en otro caso, pulsar Siguiente.

6. Active Directory se configurara. El proceso dura varios minutos, incluso en un sistema relativamente rápido.

Al final del proceso, el Asistente para instalación de Active Directory informa de que Active Directory esta instalado y en que dominio y sitio. Es necesario reiniciar para que la instalación de Active Directory este completa.

Establecimiento de un servidor de Catalogo global

El primer controlador de dominio Windows 2000 de un bosque es automáticamente un servidor de Catalogo global. El Catalogo global (CG) contiene una replica completa de todos los objetos de directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de cada dominio del bosque. El objetivo de un CG es proporcionar autenticación a los inicios de sesión. Además, como un CG contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios. Una única consulta al CG produce la información sobre donde se puede encontrar el objeto.

Mientras la empresa tenga controladores de dominio Windows NT, cada dominio debe tener al menos un servidor de Catalogo global.

De forma predeterminada, habrá un CG, pero cualquier controlador de dominio se puede configurar como servidor de Catalogo global. Si se necesitan servicios de inicio de sesión y búsqueda adicionales, se pueden tener múltiples servidores de Catalogo global en el dominio.

Para convertir un controlador de dominio en un servidor de Catalogo global, hay que seguir estos pasos:

1. Escoger Sitios y servicios de Active Directory en el menú Herramientas administrativas.


Capítulo 8

2. Abrir Sites y seleccionar el sitio correspondiente. 3. Abrir Servers y seleccionar después el controlador de dominio que se desea convertir en servidor

de Catalogo global. 4. Seleccionar NTDS Settings en el panel derecho y escoger propiedades en el menú Acción. 5. En la pestaña General, seleccionar la casilla de verificación Catalogo global.

Mientras la empresa opere en modo mixto (esto es, que haya otros controladores de dominio además de los controladores de dominio Windows 2000), hay que tener al menos un servidor de Catalogo global por dominio. Una vez que se hayan actualizado todos los controladores de dominio a Windows 2000, se puede cambiar el dominio a modo nativo.


Capítulo 9

Capítulo 9

Dominios y confianzas de Active Directory

Dominios y confianzas de Active Directory de Windows 2000 es un complemento MMC que se puede utilizar para consultar un árbol que contiene todos los dominios del bosque. Con este complemento se pueden administrar las relaciones de confianza entre los dominios, cambiar el modo del dominio y configurar los sufijos del nombre principal de usuario (UPN, User Principal Name) para el bosque. Dominios y confianzas de Active Directory también proporciona acceso a Usuarios y equipos de Active Directory, que se puede utilizar para consultar y modificar las propiedades de los objetos individuales.

Inicio de Dominios y confianzas de Active Directory

Windows 2000 Server añade el complemento Administrador de Dominios y confianzas de Active Directory al menú Inicio de forma predeterminada, por lo que después de iniciar sesión utilizando una cuenta con privilegios administrativos se puede ejecutar la utilidad seleccionando Dominios y confianzas de Active Directory desde Herramientas administrativas en el grupo Programas del menú Inicio. El archivo del complemento MMC se llama Domain.msc, por lo que también se puede ejecutar el administrador desde el cuadro de dialogo Ejecutar ejecutando ese nombre de archivo.

Cuando se carga el Administrador de Dominios y confianzas de Active Directory, el árbol de la consola (a la izquierda) muestra todos los dominios del bosque como un árbol que se expande, partiendo de una raíz etiquetada como Dominios y confianza de Active Directory. El panel de resultados (a la derecha) muestra los secundarios del dominio seleccionado actualmente o, si se selecciona la raíz, los dominios raíz de todos los árboles del bosque. Las funciones que proporciona Dominios y confianzas de Active Directory están todas accesibles desde los menús Acción que se originan pulsando un nombre de dominio o el objeto raíz, además de dentro de la ventana Propiedades de un dominio.


Capítulo 9

Cambio del modo del dominio

Desde Dominios y confianzas de Active Directory, cuando se abre la ventana Propiedades de un dominio, la pestaña General muestra el nombre NetBIOS con el cual conocen los clientes de nivel inferior al dominio y permite especificar una descripción para ese dominio. Esta pestaña también muestra el modo de operación actual del dominio y permite cambiarlo.

De forma predeterminada, los controladores de dominio recién instalados operan en modo mixto, lo que significa que se pueden utilizar BDC Windows NT como controladores de dominio en un dominio Windows 2000. De esta forma, se puede actualizar un dominio Windows NT existente a Windows 2000 de forma gradual actualizando primero el PDC Windows NT a Windows 2000. después se puede utilizar Active Directory para almacenar información sobre el dominio y modificar el directorio utilizando los complementos de Active Directory incluidos en Windows 2000 Server.

Cuando Windows 2000 Server opera en modo mixto, los BDCs Windows NT son controladores de dominio completamente funcionales en el dominio Active Directory, capaces de realizar replica con múltiples maestros

al igual que los controladores de dominio Windows 2000. El único inconveniente de utilizar el modo mixto es que no se pueden aprovechar las ventajas de las características avanzadas de agrupación de Windows 2000, como la posibilidad de anidar grupos y crear grupos con miembros en dominios diferentes.

Una vez que se ha completado la actualización a Windows 2000 de todos los BDC Windows NT del dominio, se puede cambiar el equipo a modo nativo, lo que activa estas capacidades de agrupación. Sin embargo, una vez que se ha cambiado el modo de operación del dominio de mixto a nativo, no se puede cambiar de nuevo sin reinstalar Active Directory. Hay que asegurarse de que no se necesitaran mas los controladores de dominio Windows NT de la red antes de hacer esta modificación.


Capítulo 9

El modo mixto se refiere únicamente a los controladores de dominio en un dominio particular. Después de cambiar a modo nativo, todavía se pueden utilizar controladores de dominio Windows NT en el mismo Árbol, siempre y cuando estén ubicados en diferentes dominios.

Gestión de las relaciones de confianza entre dominios

La relación de confianza entre dominios se gestiona desde la pestaña Confía de la ventana Propiedades de un dominio. Cuando se establece una relación de confianza entre dos dominios, los usuarios de un dominio pueden acceder a recursos ubicados en otro dominio en que se confíe. Un árbol de dominios Active Directory es una colección de dominios que no sólo comparten el mismo esquema, la configuración y el espacio de nombres, sino que también están conectados por medio de relaciones de confianza.

Windows 2000 soporta dos tipos de relaciones de confianza: las confianzas explicitas y de un sentido utilizadas por Windows NT, y las confianzas transitivas y jerárquicas proporcionadas por el protocolo de seguridad Kerberos en los dominios Active Directory. Las relaciones de confianza de Windows NT sólo funcionan en un sentido. Por ejemplo, el hecho de que el dominio A confié en los usuarios del dominio B no implica que B confié en los usuarios de A automáticamente. Un administrador debe crear explícitamente las confianzas en ambos sentidos para lograr una relación mutua entre los dominios.

Active Directory crea automáticamente relaciones de confianza Kerberos en todos los dominios de un árbol; estas se aplican en ambos sentidos y son transitivas. Una relación de confianza transitiva es aquella que se propaga a

través de la jerarquía del árbol. Por ejemplo, cuando un dominio A confía en un dominio B y un dominio B confía en un dominio C, entonces el dominio A confía en el dominio C. La creación de cada nuevo dominio en un árbol incluye el establecimiento de las relaciones de confianza con el resto de dominios del árbol, lo que permite a los usuarios acceder a recursos en cualquiera de los dominios del árbol (asumiendo que tienen los permisos apropiados) sin que un administrador tenga que configurarlo manualmente.


Capítulo 9

Para proporcionar acceso al dominio a usuarios de otro árbol o para conceder acceso a otro árbol a los usuarios del dominio, se pueden establecer relaciones de confianza manualmente pulsando uno de los botones Agregar de la pestaña Confía y especificando el nombre NetBIOS de un dominio. Estas relaciones son en un solo sentido; hay que establecer una confianza para cada dominio para crear una confianza bidireccional. Dependiendo de la naturaleza del dominio que confía o en el que se confía, la relación podrá o no ser transitiva. Se puede establecer una relación de confianza transitiva con dominios Windows 2000 en otro árbol, pero las relaciones con dominios Windows NT no pueden ser transitivas.

Para establecer una relación de confianza con otro dominio, hay que especificar el nombre del dominio en el cuadro de dialogo Agregar un dominio de confianza y proporcionar una contraseña. Para completar el proceso, un administrador del otro dominio debe especificar el nombre de este dominio en el cuadro de dialogo Agregar un dominio que confía y proporcionar la misma contraseña. Ambos dominios deben dar su aprobación antes de que los sistemas puedan establecer la relación de confianza.

Especificación del administrador del dominio

La tercera pestaña de la ventana Propiedades de un dominio, identifica al individuo que es el administrador designado para el dominio. Esta pestaña proporciona información de contacto sobre el administrador derivada de la cuenta de usuario asociada en Active

Directory. Se puede cambiar el administrador pulsando el botón Cambiar y seleccionando otra cuenta de usuario desde la pantalla de Active Directory que se muestra.

Configuración de los sufijos de nombre principal de usuario en un bosque


Capítulo 9

Un UPN es un nombre simplificado que los usuarios pueden proporcionar cuando inician sesión en Active Directory. El nombre utiliza el formato estándar de direcciones de correo electrónico que consiste en un nombre de usuario prefijo y un nombre de dominio sufijo, separados por un signo @, como se define en la RFC 822 (por ejemplo, [email protected]). Los UPNs proporcionan a los usuarios de la red un formato de nombre de inicio de sesión unificado que los aísla de la jerarquía de dominios de Active Directory y de la necesidad de especificar el complejo

nombre LDAP para sus objetos usuario cuando inician sesión.

De forma predeterminada, el sufijo del UPN de los usuarios de un bosque en particular es el nombre del primer dominio creado en el primer árbol del bosque, también llamado el hombre DNS del bosque. Por medio del Administrador de Dominios y confianzas de Active Directory se pueden especificar sufijos UPN adicionales que los usuarios pueden emplear en lugar del hombre DNS del bosque cuando inicien sesión. Para hacer esto, hay que seleccionar el objeto raíz en el árbol de la consola de la pantalla principal de Dominios y confianzas de Active Directory, y escoger Propiedades en el menú Acción. En la pestaña Sufijos UPN, hay que pulsar el botón Agregar para especificar sufijos adicionales. Estos sufijos se aplican en todo el bosque y están disponibles para cualquier usuario de cualquier dominio de cualquier árbol de ese bosque.

Gestión de los dominios

El complemento Dominios y confianzas de Active Directory también proporciona acceso al complemento Usuarios y equipos de Active Directory que se utiliza para consultar y modificar los objetos de un dominio y sus propiedades. Cuando se selecciona un dominio en el árbol de la consola de la pantalla principal y se escoge Administrar en el menú Acción, la MMC abre el complemento Usuarios y equipos de Active Directory con el foco en el dominio seleccionado.

Usuarios y equipos de Active Directory


Capítulo 9

El complemento Usuarios y equipos de Active Directory es la principal herramienta de los administradores de Active Directory, y es la herramienta que se utilizara mas a menudo para el mantenimiento diario del directorio. Usuarios y equipos de Active Directory muestra todos los objetos de un dominio por medio de una pantalla con un árbol expandible al estilo del Explorador de Windows.

Los cuadros de dialogo de cada objeto proporcionan acceso a las propiedades del objeto, que se pueden modificar para actualizar la información del usuario y las restricciones de la cuenta.

También se utiliza Usuarios y equipos de Active Directory para crear nuevos objetos y modelar la jerarquía del árbol creando y poblando objetos contenedores Como unidades organizativas (OU).

Inicio de Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory, como la mayoría de las herramientas de administración de Active Directory, es un complemento de la MMC. El archivo del complemento se llama Dsa.msc, y se puede ejecutar el administrador de una de tres formas.

● Seleccionar Usuarios y equipos de Active Directory desde el grupo Herramientas administrativas en el grupo Programas del menú inicio.

● Resaltar un dominio en el árbol de la consola del complemento Dominios y confianzas de Active Directory y escoger Administrar en el menú Acción. Esto abre un nuevo cuadro de dialogo de la MMC llamado Usuarios y equipos de Active Directory dejando la ventana Dominios y confianzas de Active Directory intacta.

● Abrir el cuadro de dialogo Ejecutar desde el menú Inicio y ejecutar el archivo de complemento Dsa.msc.

Para realizar muchas de las funciones que proporciona el complemento Usuarios y equipos de Active Directory es necesario iniciar sesión en el dominio utilizando una cuenta que tenga privilegios administrativos. Se puede utilizar el Asistente para delegación de control para delegar tareas administrativas sobre objetos específicos a otros usuarios sin concederles acceso administrativo completo


Capítulo 9

al dominio.

Examen de los objetos de Active Directory

El cuadro de dialogo principal de Usuarios y equipos de Active Directory contiene muchos de los elementos estándar de las pantallas de la MMC. El árbol de la consola (a la izquierda) muestra un dominio Active Directory y los objetos contenedor dentro de una pantalla expandible. El panel de resultados (a la derecha) muestra los objetos del contenedor resaltado. El administrador incluye una barra de herramientas especializada que proporciona acceso instantáneo a las funciones más comúnmente utilizadas y una barra de descripción que proporciona información sobre el estado del administrador o sobre el objeto resaltado actualmente. El programa muestra las acciones que se pueden realizar sobre cada objeto en el menú Acción una vez que se han pulsado los objetos.

Tipos de objetos de Active Directory

Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades físicas, como equipos y usuarios, como las entidades lógicas, como grupos y unidades organizativas.

Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes.

Modo normal y modo avanzado

De forma predeterminada, la pantalla Usuarios y equipos de Active Directory opera en modo normal. El modo normal solo muestra los objetos a los que los administradores accederán con mayor probabilidad durante una sesión de mantenimiento de Active Directory típica. Esto incluye las unidades organizativas que contienen los usuarios y grupos predefinidos creados durante la instalación de Active Directory y todos los objetos creados por los administradores después de la instalación. El modo normal también oculta ciertas pestañas de la ventana Propiedades de un objeto, incluyendo la pestaña Objeto y la pestaña Seguridad que se pueden utilizar para establecer permisos para el objeto.

Dominio: Objeto raíz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que está administrando actualmente el administrador.Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lógicas de objetos equipo, usuario y grupo.Usuario: Representa un usuario de la red y funciona como un almacén de información de identificación y autenticación.Equipo: Representa un equipo de la red y proporciona la cuenta de maquina necesaria para que el sistema inicie sesión en el dominio.Contacto: Representa un usuario externo al dominio para propósitos específicos como envío de correo electrónico; no proporciona las credenciales necesarias para iniciar sesión en el dominio.


Capítulo 9

Grupo: Objeto contenedor que representa una agrupación lógica de usuarios, equipos a otros grupos (o los tres) que es independiente de la estructura del árbol de Active Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y dominios.Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un sistema Windows 2000.Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida en un sistema Windows 2000.

Sin embargo, cuando se escoge Características avanzadas en el menú Ver del administrador, la pantalla cambia para incluir todos los objetos Active Directory del sistema que representan directivas, registros DNS y otros elementos del servicio de directorio, además del contenedor LostAndFound.

Desde esta interfaz se puede consultar información sobre los objetos del sistema y controlar el acceso a ellos modificando los permisos asociados. Como el acceso a estos objetos no se requiere con frecuencia, se puede impedir que aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya que modificar los permisos de los objetos estándar como unidades organizativas, usuarios y grupos, habrá que activar las Características avanzadas para acceder a la pestaña Seguridad de la ventana Propiedades de un objeto.

Cambio de dominio

Se puede utilizar el complemento Usuarios y equipos de Active Directory para administrar cualquier dominio de la red. Para cambiar el dominio que se muestra en el administrador, hay que resaltar la raíz o el objeto dominio en el árbol de la consola y escoger Conectar con el dominio en el menú Acción. Esto muestra el cuadro de diálogo Conectar con el dominio, donde se puede introducir el nombre del dominio o buscar otro dominio.

En el menú Acción también se puede escoger Conectar con el controlador de dominio para acceder al dominio seleccionado utilizando un controlador de dominio especifico de la red. A menos que los controladores de dominio no estén sincronizados, la información debería ser la misma en todas las replicas, pero algunas veces puede ser útil seleccionar un controlador de dominio en una ubicación diferente para evitar una lenta o cara conexión WAN.


Capítulo 9

Filtros para simplificar la visualización

Cuando se empieza a poblar Active Directory con nuevos objetos, puede crecer rápidamente a un tamaño difícil de manejar. El mero número de objetos en la pantalla puede dificultar la localización del objeto especifico que se necesita. Para evitar que se muestren temporalmente los objetos que no es necesario ver, se puede aplicar un filtro al complemento Usuarios y equipos de Active Directory basándose en los tipos de objetos o basándose en el contenido de atributos de objetos específicos.

Cuando se escoge Opciones de filtro desde el menú Ver, aparece el cuadro de diálogo Opciones de filtro. Aquí se puede optar por mostrar todos los tipos de objetos, seleccionar tipos de objetos específicos a mostrar o crear un filtro personalizado basándose en los atributos de los objetos.

Cuando se selecciona la opción Crear filtro personalizado y se pulsa el botón Personalizar, se muestra un cuadro de diálogo Buscar Búsqueda personalizada. En este cuadro de diálogo se puede seleccionar un tipo de objeto, escoger un atributo de ese objeto y especificar un valor completo o parcial para ese atributo.

Por ejemplo, se pueden mostrar solo los objetos usuario que tengan el valor Ventas en el atributo Departamento (como se muestra en la figura), o se puede optar por mostrar sólo los usuarios que tienen un código de área particular en el atributo Número de teléfono. Esto permite ajustar la mira rápidamente en los objetos que se necesitan utilizar sin tener que desplazarse a lo largo de una pantalla innecesariamente abarrotada.

Búsqueda de objetos

También se pueden buscar objetos específicos en todo Active Directory sin modificar lo que muestra el administrador. Si se selecciona el objeto dominio y se escoge Buscar en el menú Acción, se muestra el. cuadro de dialogo Buscar Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto que se desea localizar, un dominio especifico o todo el directorio y el nombre y descripción del objeto.


Capítulo 9

El programa busca entonces en el CG que se creo automáticamente en el primer controlador del dominio para localizar el objeto deseado. El CG es un subconjunto de todo Active Directory que solo contiene los atributos mas comúnmente utilizados, lo que facilita la búsqueda de un objeto especifico. Sin el CG, la tarea de buscar en una instalación Active Directory que incluye controladores de dominio en ubicaciones remotas podría requerir un extenso trafico WAN que es tan lento como caro.

A pesar de que Active Directory siempre crea el CG en el primer controlador de dominio de un dominio, se puede cambiar su ubicación predeterminada modificando la configuración NTDS en el complemento Sitios y servicios de Active Directory. También se pueden especificar atributos adicionales que han de almacenarse en el CG utilizando el complemento Esquema de Active Directory.

La pestaña Opciones avanzadas del cuadro de dialogo Buscar Usuarios, contactos y grupos utiliza la misma interfaz que la característica Filtro personalizado. De la misma forma, se pueden buscar objetos basándose en sus atributos. Si un atributo que se selecciona no es parte del CG, la búsqueda procederá inspeccionando el contenido real de los controladores de dominio de la red. En algunos casos, esto puede ralentizar considerablemente el proceso de búsqueda.

Mucha de la misma funcionalidad de búsqueda de objetos de Active Directory que se encuentra en el complemento Usuarios y equipos de Active Directory también esta disponible en la característica Buscar del menú Inicio.

Objetos predeterminados de Active Directory

Un dominio Active Directory recién creado contiene objetos unidades organizativas, equipos, usuarios y grupos que crea de forma predeterminada el Asistente para instalación de Active Directory. Estos objetos proporcionan acceso al sistema a varios niveles e incluyen grupos que permiten a los administradores delegar tareas de mantenimiento de la red especificas a otros. Incluso si no se espera utilizar esos objetos en el futuro, hay que utilizarlos para crear otros objetos con los permisos apropiados para la red.


Capítulo 9

Por ejemplo, aun si no se desea tener ningún usuario único con el control completo concedido a la cuenta de administrador, hay que iniciar sesión como administrador para poder crear los nuevos objetos usuario con los derechos y permisos deseados. Con Active Directory se pueden dejar partes de la estructura del directorio «huérfanas» si se modifica, se borra o se desactiva la cuenta de administrador sin haber creado primero otros objetos usuario o haberles concedido permisos equivalentes para las distintas partes del directorio.

Los objetos predeterminados creados en un dominio Active Directory, junto con sus funciones y sus ubicaciones en la jerarquía del dominio.

Objetos creados de forma predeterminada en un dominio Active Directory

Nombre del objeto

Tipo de objeto

ubicación Función

Builtin builtinDomain Dominio raíz

Contenedor predeterminado para los grupos que proporcionan acceso a las funciones de administración del servidor.

Computers Contenedor Dominio raíz

Contenedor predeterminado para cuentas de equipo actualizadas.

Users Contenedor Dominio raíz

Contenedor predeterminado para cuentas de usuario actualizadas.

Domain controllers

Unidad organizativa

Dominio raíz

Contenedor predeterminado para los nuevos controladores de dominio Windows 2000.

Opers. de cuentas Grupo de seguridad. Integración local

Builtin Sus miembros pueden administrar las cuentas de usuario y de grupo del dominio.

Administradores Grupo de seguridad. Integración local

Builtin Sus miembros pueden administrar completamente el equipo/dominio.

Operadores de copia

Grupo de seguridad. Integración local

Builtin Sus miembros pueden saltarse la seguridad de los archivos para hacer copia de seguridad de ellos.

Invitados Grupo de seguridad. Integración local

Builtin Usuarios que tienen concedido acceso de invitado al equipo/dominio.


Capítulo 9

Opers. de impresión


Builtin Sus miembros pueden administrar las impresoras del dominio.

Duplicadores Grupo de seguridad. Integración local

Builtin Soporta la replica de archivos en un dominio.

Opers. de servidores


Builtin Sus miembros pueden administrar. servidores de dominio.

Usuarios Grupo de seguridad. Integración local

Builtin Usuarios corrientes.

Usuarios DHCP Grupo de seguridad. Dominio local

Contenedor Users

Sus miembros sólo tienen acceso de lectura al Servidor DHCP

DnsAdmins Grupo de seguridad. Dominio local

Contenedor Users

Administradores del DNS.

Servidores RAS e IAS

Grupo de seguridad. Dominio local

Contenedor Users

Servidores Ras e IAS.

Usuarios WINS Grupo de seguridad. Dominio local

Contenedor Users

Sus miembros solo tienen acceso de lectura a WINS.

Publicadores de certificados

Grupo de seguridad. Global

Contenedor Users

Agentes de certificación de la empresa y de renovación.

DnsUpdateProxy Grupo de seguridad. Global

Contenedor Users

Clientes de DNS a los que se permite realizar actualizaciones dinámicas en nombre de algunos otros clientes (como servidores DHCP).

Admins. del dominio


Contenedor Users

Administradores designados del dominio.


Capítulo 9

Equipos del dominio


Contenedor Users

Todas las estaciones de trabajo y servido res unidos al dominio.

Controladores de dominio


Contenedor Users

Todos los controladores de dominio del dominio.

Invitados del dominio


Contenedor Users

Todos los invitados del dominio.

Usuarios del dominio


Contenedor Users

Todos los usuarios del dominio.

Administración de empresas


Contenedor Users

Administradores designados de la empresa.

Administradores de esquema


Contenedor Users

Administradores designados del esquema.

Administrador Usuario Contenedor Users

Cuenta predefinida para administrar el equipo/dominio.

Invitado Usuario Contenedor Users

Cuenta predefinida para el acceso en calidad de invitado al equipo/dominio.

IUSR_xxx Usuario Contenedor Users

Cuenta predefinida para el acceso anónimo a los Servicios de Internet información Server (IIS).

IWAM_xxx Usuario Contenedor Users

Cuenta predefinida para el acceso anónimo a aplicaciones IIS sin proceso.

Krbtgt Usuario Contenedor Users

Cuenta del servicio Centro de distribución de claves.

Creación de unidades organizativas

El esquema del servicio de directorio establece qué objetos se pueden crear en un dominio Active Directory, dónde se pueden ubicar y qué atributos se permite que tengan. Usuarios y equipos de Active Directory solo permite crear objetos en las ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no se puede crear un objeto unidad organizativa (OU) subordinada a un objeto usuario, pero un objeto usuario puede subordinarse a un objeto OU.

Sin embargo, las OU se pueden subordinar unas a otras y el número de capas de OU que se pueden crear


Capítulo 9

en el dominio Active Directory es ilimitado. Para crear una OU hay que pulsar el objeto dominio u otra OU en el panel de ámbito o en el de resultados de Usuarios y equipos de Active Directory y escoger Nuevo en el menú Acción y seleccionar Unidad organizativa. también se puede pulsar el botón Crear un nuevo departamento en la barra de herramientas de Usuarios y equipos de Active Directory para conseguir el mismo efecto. después de especificar un nombre para el nuevo objeto en el cuadro de dialogo Nuevo objeto, el administrador crea un icono con el nombre apropiado y lo inserta en la pantalla de Usuarios y equipos de Active Directory.

Una vez que se ha creado una OU es posible poblarla con otros objetos, como usuarios, equipos, grupos y otras OU, o se pueden modificar sus atributos abriendo la ventana Propiedades desde el menú Acción.

Configuración de los objetos OU

La ventana Propiedades de una OU consta de tres pestañas. La pestaña General y la pestaña Administrado por permiten especificar información sobre la OU como una frase descriptiva y una dirección para la ubicación del objeto, además de la identidad de la persona responsable de administrar la OU. La información que se incluye en estas pestañas (si la hay) depende del criterio utilizado para diseñar el Active Directory. Una OU puede estar asociada a un departamento particular dentro de una organización, una ubicación física como una habitación, una planta o un edificio, o incluso una sucursal en una ciudad o país particular.

La pestaña Directiva de grupo es donde se crean y administran los vínculos a los

objetos directiva de grupo de Active Directory. Los objetos directiva de grupo son colecciones de parámetros del sistema que controlan la apariencia y la funcionalidad de los clientes de la red. Cuando se aplican directivas de grupo a OU, dominios y sitios, todos los objetos contenidos en esas entidades heredan los parámetros del sistema. Las OU se pueden enlazar a múltiples objetos directiva de grupo en esta pestaña y, se pueden controlar las prioridades con que se aplican las directivas. Cuando se utilice el botón Modificar de la pestaña directiva de grupo para modificar un objeto directiva de grupo, Usuarios y equipos de Active Directory ejecuta el complemento MMC directiva de grupo.

Cuando se activan las Características avanzadas en el menú Ver de Usuarios y equipos de Active


Capítulo 9

Directory, la ventana Propiedades de la OU también muestra la pestaña Objeto y la pestaña Seguridad. La pestaña Objeto muestra la ruta de acceso complete al objeto en la jerarquía del dominio, las fechas y horas de su creación y ultima modificación y los números de secuencia de actualización de la creación y la ultima modificación.

La pestaña Seguridad permite controlar el acceso al objeto asignando permisos a usuarios y grupos. Con la casilla de verificación Hacer posible que los permisos heredables se propaguen, también se puede controlar si el objeto hereda los permisos que han sido asignados a su objeto primario.

El botón Avanzada de la pestaña Seguridad proporciona acceso al cuadro de dialogo Configuración de control de acceso desde el que se puede controlar el acceso al objeto con un detalle mucho mayor. En el cuadro de dialogo Seguridad, se puede especificar si usuarios y grupos específicos tienen permiso para crear y eliminar objetos secundarios en la OU, pero esta pantalla permite especificar que tipos de objetos se pueden crear y eliminar.

Delegación del control de los objetos

Active Directory esta diseñado para soportar redes empresariales mucho mas grandes que la que soportan los dominios Windows NT, y las redes mas grandes requieren, naturalmente, mas atención y mantenimiento por parte de los Administradores. Active Directory permite a los administradores delegar


Capítulo 9

el control sobre objetos contenedor específicos a otros usuarios sin otorgarles acceso completo al dominio. Para hacer esto, hay que ejecutar el Asistente para delegación de control escogiendo Delegar control desde et menú Acción de un dominio o unidad organizativa.

El asistente pide primero que se especifique el objeto contenedor sobre el que se desea delegar el control y los usuarios o grupos (o ambos) a los que se desea delegar el control. Una vez que se haya

hecho esto, el asistente muestra la pantalla Tipo de objeto de Active Directory, que se puede utilizar para especificar que tipos de objetos del contenedor podrán controlar los usuarios/grupos seleccionados. Se puede, por ejemplo, conceder a un usuario o grupo especifico control sobre los objetos usuario solo en el contenedor, permitiéndoles actualizar información de usuario pero impidiéndoles la modificación de otros tipos de objetos.

En el cuadro de dialogo Permisos, se especifica el grado de control que se desea que tengan los usuarios/grupos seleccionados sobre los objetos seleccionados. El cuadro Mostrar estos permisos permite seleccionar si se desea trabajar con los permisos generales que conciernen a todo el objeto o los permisos de la propiedad que controlan el acceso a los atributos individuales del objeto. Con este tipo de permisos se puede conceder a los usuarios la capacidad de modificar algunas de las propiedades del objeto al mismo tiempo que se protegen otras. De esta forma, cabe la posibilidad de permitir a los Administradores del departamento realizar modificaciones sencillas en los objetos usuario, como cambiar las direcciones y los números de teléfono, sin poner en peligro otras propiedades del objeto.

Una vez que se le ha proporcionado al asistente la información apropiada, se configura el objeto seleccionado con los permisos adecuados. Si se comprueba la pestaña Seguridad de la ventana Propiedades del objeto (que solo es visible cuando están activas las Características avanzadas en el menú Ver de Usuarios y equipos de Active Directory), se podrán observar los permisos que ha asignado el asistente a los usuarios o grupos seleccionados.

Creación de los objetos usuario

Una instalación típica de Active Directory consiste normalmente en mas objetos usuario que de cualquier otro tipo, y la creación y gestión de los objetos usuario representa buena parte de la carga de administración de Active Directory. La tarea de crear manualmente un objeto usuario es idéntica a la de


Capítulo 9

la creación de una unidad organizativa o cualquier otro objeto. después de seleccionar el contenedor en el que residirá el objeto usuario (normalmente, una OU), hay que seleccionar el contenedor y escoger Nuevo en el menú acción y seleccionar Usuario, o pulsar el botón Crear un nuevo usuario de la barra de herramientas de Usuarios y equipos de Active Directory, lo que produce el cuadro de dialogo.

En el cuadro de dialogo Nuevo objeto, hay que especificar el nombre y apellidos del usuario y el nombre de inicio de sesión que proporcionara el usuario cuando se conecte a la red. El nombre de inicio de sesión de nivel inferior para el usuario (esto es, el nombre con el que iniciara sesión el usuario en las estaciones de trabajo Windows NT o Windows 9.x) aparece entonces automáticamente. El siguiente cuadro de dialogo proporciona un campo para la contraseña del objeto usuario y permite establecer opciones básicas para la contraseña y la cuenta para el usuario, como sigue:

● El usuario debe cambiar la contraseña en el siguiente inicio de sesión. ● El usuario no puede cambiar la contraseña. ● La contraseña nunca caduca. ● Cuenta deshabilitada.

Después de que una pantalla de resumen confirme la información introducida, Usuarios y equipos de Active Directory crea el objeto usuario en el contenedor seleccionado.

Configuración de los objetos usuario

Una vez que se ha creado un objeto usuario, se puede proceder con el proceso de configuración, en el cual se añade información sobre el usuario a la base de datos de Active Directory y se define el acceso a la red del usuario. El menú Acción que genera Usuarios y equipos de Active Directory cuando se pulsa sobre un objeto usuario contiene algunos de los comandos mas comúnmente utilizados por los administradores, además del acceso a la ventana Propiedades del usuario. Estos comandos son los siguientes:

● Agregar miembros a un grupo Genera un cuadro de dialogo desde el que se pueden seleccionar los grupos a los que pertenecerá el usuario.


Capítulo 9

● Asignaciones de nombres (Solo visible cuando están activas las Características avanzadas.) Permite a los administradores asignar certificados X.509 y nombres Kerberos al objeto usuario.

● Deshabilitar cuenta Impide que el usuario inicie sesión en la red utilizando la cuenta hasta que sea activada manualmente por un administrador.

● Restablecer contraseña Genera un cuadro de dialogo con el que se puede modificar la contraseña de inicio de sesión de la cuenta del usuario.

● Mover Permite a los administradores trasladar el objeto usuario a otro objeto contenedor (esto es, un dominio o una unidad organizativa) de Active Directory.

● Abrir la página principal Abre el navegador predeterminado del sistema y muestra el URL que aparece en el campo Página Web de la pestaña General de la ventana Propiedades del objeto usuario.

● Enviar mensaje de correo Abre el cliente de correo electrónico predeterminado del sistema y escribe la dirección de un mensaje utilizando la dirección de correo electrónico que aparece en el campo Correo electrónico de la pestaña General de la ventana Propiedades del objeto usuario.

Aunque Usuarios y equipos de Active Directory proporciona estas funciones en el menú Acción para que resulte mas cómodo, también se puede acceder a muchas de ellas a través de la ventana Propiedades del objeto usuario, que proporciona una interfaz completa para los atributos del objeto usuario.

Los atributos que aparecen en las pestañas de la ventana Propiedades son aquellos incluidos en el esquema predeterminado que utiliza Active Directory. Se puede modificar el esquema para crear atributos adicionales o cambiar los existentes utilizando el complemento Administrador del Esquema de Active Directory.

La pestaña General

La pestaña General contiene información básica sobre el usuario, incluyendo el nombre y apellidos que se especificaron al crear el objeto. Esta pestaña también posee campos para una frase descriptiva sobre el usuario, la ubicación de la oficina, el número de teléfono, la dirección de correo electrónico y el URL de la página Web del usuario. Aparte de los campos nombre, la información de esta pestaña es opcional y únicamente se utiliza como referencia. Los usuarios pueden buscar en Active Directory utilizando los valores de los atributos de esta (y otras) pestañas y la dirección de correo electrónico y el URL de la página Web del usuario se insertan automáticamente en las aplicaciones cliente apropiadas, pero estos campos no afectan al acceso a la red del usuario de ninguna forma palpable.

La pestaña dirección


Capítulo 9

En la pestaña dirección se encuentran los campos donde se puede insertar la información de la dirección de correo del usuario. Como en la pestaña General, estos son campos de referencia que no juegan un papel importante en la configuración del objeto.

La pestaña Cuenta

La pestaña Cuenta contiene el nombre de inicio de sesión de usuario que se especificó durante la creación del objeto además de su nombre de usuario de nivel inferior.

Los botones Horas de inicio de sesión a Iniciar sesión en proporcionan acceso a cuadros de dialogo que permiten restringir las horas y días de la semana a los que tiene permiso el usuario para iniciar sesión en la red y las estaciones de trabajo desde las que el usuario puede iniciar sesión en la red.

La casilla de verificación La cuenta esta bloqueada esta seleccionada si la cuenta del usuario ha sido desactivada, bien deliberadamente por un administrador o a causa de repetidos fallos al iniciar sesión. Desactivar esta casilla libera la cuenta y permite al usuario iniciar sesión de nuevo. El área Opciones de cuenta contiene numerosas opciones para la contraseña y la cuenta (algunas de las cuales están duplicadas en el cuadro de dialogo Nuevo objeto). Cuando se crean nuevas cuentas de usuario, las siguientes opciones deben ser seleccionadas o desactivadas:

● El usuario debe cambiar la contraseña en el siguiente inicio de sesión Presenta al usuario un cuadro de dialogo en el siguiente inicio de sesión requiriéndole una nueva contraseña.

● El usuario no puede cambiar la contraseña Impide que el usuario cambie su propia contraseña. ● La contraseña nunca caduca Impide que la cuenta de usuario sea objeto de las directivas s de

caducidad definidas en el cuadro La cuenta caduca. ● Cuenta deshabilitada Impide que el usuario inicie sesión utilizando esta cuenta hasta que la

casilla sea desactivada por un administrador.

La pestaña Perfil


Capítulo 9

En la pestaña Perfil se puede especificar la ubicación del perfil de usuario asociado con el objeto. De forma predeterminada, cada usuario que inicia sesión en un sistema Windows 2000 tiene un directorio de perfil creado en la carpeta Documents and Settings de la unidad de disco del sistema. Cuando se especifica una ruta de acceso al perfil en esta pestaña, el sistema almacena una copia del perfil en el directorio especificado. Si este

directorio esta localizado en una unidad de red compartida, el usuario puede acceder al perfil desde cualquier sistema de la red. El campo Archivo de comandos de inicio de sesión especifica el nombre del archivo de comandos que la estación de trabajo debería ejecutar cuando el usuario inicie sesión en la red.

Desde el cuadro Directorio principal, se puede crear un directorio personal en una unidad de red sobre el que el usuario tendrá control completo. Almacenar los archivos de datos en una unidad de red facilita su protección ante manipulaciones y los borrados accidentales. Se puede configurar la estación de trabajo para que asigne una unidad a la unidad de disco compartida automáticamente durante el proceso de inicio de sesión especificando una letra de unidad y el nombre UNC de un recurso compartido de la red en los campos Conectar. En el campo para indicar la carpeta de documentos compartidos, se puede especificar una ubicación donde los usuarios que requieren acceso a los mismos documentos pueden almacenar archivos.

La pestaña Teléfonos

La pestaña Teléfonos contiene campos para los distintos números de teléfono asociados con un usuario, incluyendo los números del localizador, del móvil, del fax y del teléfono de IP Un campo Notas de múltiples líneas proporciona un área de propósito general para notas.

La pestaña organización

La pestaña Organización proporciona campos en los que se puede especificar el titulo, el departamento y la organización del usuario. En el cuadro Administrador, se puede identificar el superior del usuario seleccionando otro objeto usuario de Active Directory. Un campo Supervisa a, de múltiples líneas permite almacenar las notas de un supervisor en el usuario.

La pestaña Miembro de


Capítulo 9

La pestaña Miembro de es donde se especifican los grupos de los que el usuario debería ser miembro. Si se pulsa el botón Agregar, se muestra una lista de objetos desde la que se pueden seleccionar los grupos apropiados. El botón Establecer grupo solo esta activo para usuarios de Macintosh. Los Servicios para Macintosh de Windows reconocen una afiliación de grupo única, normalmente el grupo con el que los usuarios de Macintosh comparten documentos en un servidor.

También se puede añadir un usuario a un grupo desde la pestaña Miembros de la ventana Propiedades de un objeto grupo.

La pestaña Marcado

En la pestaña Marcado se controla si al usuario se le permite el acceso a la red a través de una conexión telefónica del Servicio de acceso remoto (RAS, Remote Access Service). Con la opción Permitir acceso se puede seleccionar si el objeto usuario necesita devolución de llamada o el Id del que llama para la comprobación de seguridad, y se pueden especificar una dirección IP estática y rutas estáticas para la conexión.

La pestaña Certificados publicados

La pestaña Certificados publicados, que solo es visible cuando se activa la opción de presentación Características avanzadas de Usuarios y equipos de Active Directory, permite administrar los certificados X.509 vinculados al objeto usuario. Desde esta página se pueden examinar los certificados publicados para la cuenta del usuario, agregar nuevos certificados, eliminar certificados y exportar certificados a archivos.

La pestaña Objeto

La pestaña Objeto muestra la ruta de acceso completa al objeto usuario, las fechas de su creación y ultima modificación y los números de secuencia de actualización (USN, Update Sequence Number) de su creación y ultima modificación.

La pestaña Seguridad

La pestaña Seguridad (visible solo cuando están activas las Características avanzadas) permite asignar permisos que controlan el acceso al objeto usuario. La pestaña es virtualmente idéntica a la misma pestaña de las ventanas propiedades de otros tipos de objetos.

Creación de grupos

Los objetos grupo hacen posible la asignación de permisos y otros atributos de objeto a múltiples usuarios en una única operación, además de la distribución de correo electrónico a un gran número de direcciones (cuando esta instalado Microsoft Exchange Server). Cuando se asignan permisos a un objeto


Capítulo 9

de Active Directory (o a un archivo o directorio de NTFS), se pueden añadir grupos a la lista de control de acceso (ACL, Access Control List) del objeto, lo que provoca que los permisos se propaguen a todos los miembros del grupo. Los objetos grupo se crean en Usuarios y equipos de Active Directory como se haría con cualquier otro tipo de objeto, y después se seleccionan los objetos que se desea que sean miembros del grupo.

Puede haber objetos grupos en las unidades organizativas, en otros grupos (cuando el dominio esta operando en modo nativo) o directamente bajo el dominio raíz. Cuando se selecciona uno de estos objetos contenedor en Usuarios y equipos de Active Directory, se escoge Nuevo en el menú Acción y se selecciona Grupo, se muestra el cuadro de dialogo Nuevo objeto.

Como con otros objetos, primero hay que especificar un nombre (de hasta 64 caracteres) para el nuevo grupo y un nombre NetBIOS de nivel inferior equivalente (de hasta 15 caracteres). después hay que seleccionar una de las siguientes opciones de ámbito de grupo:

● Dominio local: Un grupo Local de dominio puede contener objetos usuario, otros grupos Locales de dominio del mismo dominio, grupos Globales de cualquier dominio del bosque y grupos Universales. Se pueden insertar grupos Locales de dominio en la ACL de cualquier objeto de ese dominio, pero no en objetos de otros dominios. Los grupos Locales de dominio no aparecen en el CG.

● Global: Un grupo Global puede contener objetos usuario y otros grupos Globales del mismo dominio. A diferencia de los grupos Locales de dominio, los grupos Globales se pueden insertar en la ACL de cualquier objeto del bosque. Los grupos Globales se incluyen en el CG, pero sus miembros no; la pertenencia a un grupo Global solo se replica dentro de su dominio.

● Universal: Un grupo Universal, el ámbito de grupo mas amplio, puede contener otros grupos Universales, grupos Globales y usuarios de cualquier dominio del bosque. Al igual que los grupos Globales, se pueden insertar grupos Universales en la ACL de cualquier objeto del bosque. Los grupos Universales aparecen en el CG junto con sus miembros; el use de grupos Globales como miembros de un grupo Universal disminuye el trafico de actualización al CG porque los cambios de pertenencia a grupos Globales (que no se incluyen en el catalogo) son mucho mas frecuentes que los cambios de pertenencia a grupos Universales.

El anidamiento de grupos (esto es, el almacenamiento de grupos dentro de otros grupos)


Capítulo 9

es una característica de Active Directory que sólo esta disponible cuando el dominio se ejecuta en modo nativo. Para operar el modo nativo, todos los controladores del dominio deben ejecutar Windows 2000 Server.

Después de seleccionar el ámbito del grupo hay que seleccionar uno de los tipos de grupos de la página siguiente.

● Seguridad: Los grupos de seguridad están pensados para su inclusión en las ACL de recursos de red como archivos a impresoras. también pueden servir como listas de distribución para correo electrónico.

● Distribución: Los grupos de distribución están pensados únicamente para. utilizarlos como listas de distribución de correo electrónico.

Cuando se pulsa Aceptar, el administrador crea el objeto grupo en el contenedor seleccionado

Configuración de los objetos grupo

La ventana Propiedades de un objeto grupo contiene hasta seis pestañas (dependiendo de si las Características avanzadas están activas).

La pestaña General

La pestaña General proporciona campos donde se puede insertar una descripción del objeto grupo, especifica el tipo y ámbito del grupo a incluye un campo de múltiples líneas para comentarios.

La pestaña Miembros

La pestaña Miembros es donde se especifican los objetos que van a ser los miembros del grupo. Pulsar el botón Agregar produce un cuadro de dialogo en el que se puede examinar Active Directory y seleccionar los objetos deseados.

La pestaña Miembro de

Cuando se opera en modo nativo, los objetos grupo de Active Directory pueden ser miembros de otros objetos. En la pestaña Miembro de se pueden seleccionar los grupos de los que el nuevo grupo va a ser miembro.

La pestaña Administrado por

La pestaña Administrado por permite especificar información sobre la persona responsable de administrar el objeto grupo.


Capítulo 9

La pestaña Objeto

La pestaña Objeto (que sólo aparece cuando están activas las Características avanzadas de Usuarios y equipos de Active Directory) muestra la ruta de acceso completa del objeto grupo, las fechas de su creación y ultima modificación y sus USN de su creación y ultima modificación.

La pestaña Seguridad

La pestaña Seguridad (que solo aparece cuando están activas las Características avanzadas de Usuarios y equipos de Active Directory) permite establecer los permisos que especifican a que objetos tendrá acceso el objeto grupo y cuanto acceso tendrá.

Creación de los objetos equipo

Además de objetos contenedor, objetos grupo y objetos usuario, Active Directory también tiene objetos que representan equipos. Para iniciar sesión en un dominio, un equipo Windows 2000 debe tener un objeto que lo represente en la jerarquía de Active Directory. Cuando se promueve un sistema a controlador de dominio o se inicia sesión en un dominio por primera vez, Windows 2000 crea automáticamente un objeto equipo. (En el caso de un inicio de sesión por primera vez, el sistema solicita el nombre de usuario y la contraseña de una cuenta con suficientes privilegios para crear nuevos objetos. Sin embargo, también se pueden crear objetos equipo manualmente, de igual forma que se crearía cualquier otro objeto).

Si se selecciona un contenedor, se escoge Nuevo en el menú Acción y se selecciona Equipo, se muestra un cuadro de dialogo Nuevo objeto en el que se puede suministrar el nombre del nuevo objeto equipo (que puede ser el nombre NetBIOS o el DNS del equipo). también se puede especificar el usuario o grupo particular que esta autorizado para unir el equipo al dominio.

El complemento Usuarios y equipos de Active Directory crea un objeto cada vez, pero algunas veces los administradores tienen que crear muchísimos objetos, por lo que esta herramienta deja de ser práctica.


Capítulo 9

Configuración de los objetos equipo

Una vez que Usuarios y equipos de Active Directory crea el objeto equipo, se pueden configurar sus atributos utilizando las siguientes siete propiedades: General, Sistema operativo, Miembro de, ubicación, Administrado por, Objeto y Seguridad. Casi todas las pestañas tienen el mismo propósito que las de otros objetos. Las dos que son únicas para el objeto Equipo son Sistema operativo y ubicación.

La pestaña Sistema operativo identifica el sistema operativo que se esta ejecutando en el equipo, la versión y el service pack instalado actualmente. Estos campos no son modificables; están en blanco cuando se crea manualmente un objeto equipo y se rellenan cuando el equipo se une a un dominio. La pestaña ubicación permite especificar que ubicaciones sirve el sitio en la configuración del directorio.

Administración remota de equipos

Usuarios y equipos de Active Directory proporciona acceso administrativo a equipos remotos representados por objetos en Active Directory. Cuando se pulsa un objeto equipo y se escoge Administrar en el menú Acción, el administrador abre el complemento MMC Administración de equipos con el equipo come foco. Con esta característica, se pueden leer los registros de sucesos del sistema remote, manipular sus servicios y realizar cualquiera del resto de las tareas que proporciona el complemento administración de equipos.

Publicación de carpetas compartidas

Los objetos carpeta compartida permiten publicar directorios de red compartidos en Active Directory, lo que permite a los usuarios acceder a ellos directamente explorando el Entorno de red del objeto. Esto elimina la necesidad de que los usuarios conozcan la ubicación exacta de la carpeta compartida. La creación de un objeto carpeta compartida no crea realmente el recurso compartido; hay que hacer esto manualmente en la pestaña Compartir de la ventana Propiedades de la unidad de disco o de la carpeta en la ventana del Explorador de Windows o en la ventana Mi PC. también se pueden crear objetos carpeta compartida para carpetas del Sistema de archivos distribuidos (DFS, Distributed File Sytem).

Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor en Usuarios y equipos de Active Directory, escoger Nuevo en el menú Acción y seleccionar Carpeta compartida. En el cuadro de dialogo Nuevo objeto, hay que especificar un nombre para el nuevo objeto a introducir la ruta de acceso UNC al recurso compartido. después de que el administrador cree el objeto, es posible configurarlo utilizando las pestañas de la ventana Propiedades del objeto.

Los permisos que se establecen en la pestaña Seguridad de la ventana Propiedades de la carpeta compartida no controlan el acceso a la propia carpeta compartida, solo al objeto carpeta compartida. Para acceder a la carpeta por medio de Active Directory, un usuario debe tener permiso para acceder tanto al recurso compartido como al objeto. Lo mismo es cierto para un objeto impresora.


Capítulo 9

Publicación de impresoras

La creación de objetos impresora permite a los usuarios acceder a las impresoras a través de Active Directory prácticamente de la misma forma en que acceden a las carpetas compartidas. Un objeto impresora se crea como se haría con un objeto carpeta compartida, seleccionando un contenedor y escogiendo Nuevo\Impresora en el menú Acción y especificando la ruta de acceso UNC a la impresora compartida. El administrador crea entonces el objeto, combinando el nombre del sistema anfitrión y el del recurso compartido para formar el nombre del objeto.

Traslado, cambio de nombre y eliminación de objetos

Una vez que se han creado objetos en Active Directory, se puede utilizar Usuarios y equipos de Active Directory para remodelar el árbol en cualquier momento trasladando objetos a diferentes contenedores, cambiándoles el nombre y eliminándolos. El menú Acción de casi cualquier objeto Active Directory contiene un comando Mover, que abre un cuadro de dialogo en el que se puede buscar un contenedor donde situar el objeto. También se pueden seleccionar varios objetos manteniendo presionada la tecla CTRL mientras se pulsa en ellos con el ratón y moviéndolos al mismo contenedor.

Cuando se traslada un objeto contenedor a una nueva ubicación, se trasladan automáticamente todos los objetos incluidos en el contenedor al mismo tiempo y también se modifican las referencias a esos objetos en el resto de objetos de Active Directory. Si, por ejemplo, el Usuario X es un miembro del Grupo Y y se traslada la unidad organizativa que contiene el objeto usuario de X a una nueva ubicación, X sigue siendo miembro de Y, y la lista de miembros del Grupo Y se actualiza automáticamente para mostrar a X en su nueva ubicación. De la misma forma, cuando se cambia el nombre de un objeto utilizando el comando Cambiar nombre del menú Acción o pulsando sobre el objeto una vez, todas las referencias a ese objeto a lo largo de Active Directory Cambian para reflejar el nuevo nombre. Cuando se elimina un objeto contenedor, todos los objetos incluidos en el contenedor se eliminan también.


Capítulo 10

Capítulo 10

Sitios y servicios de Active Directory

Sitios y servicios de Active Directory es un complemento de Microsoft Management Console (MMC) que utilizan los administradores para crear y administrar los sitios que constituyen una red de Microsoft Windows 2000 y para establecer vínculos entre los sitios. Un sitio, en la terminología de Active Directory, se define como un grupo de equipos de una o varias subredes de protocolo de Internet (Internet Protocol, IP) que están bien conectadas. Una subred es una red que forma parte de otra red de mayor tamaño.

Bien conectadas significa que los sistemas comparten un transporte de red que proporciona comunicaciones de bajo coste y gran velocidad entre las máquinas y, generalmente, hace referencia a sistemas de una misma ubicación que están conectados mediante LAN. Los sistemas que no están bien conectados son los que utilizan comunicaciones relativamente lentas y caras. Active Directory consta de uno o varios sitios, pero los sitios no forman parte de los espacios de nombres con los que se trabaja al crear la jerarquía de Active Directory.

Al diseñar los árboles y los bosques para la instalación de Active Directory, las fronteras entre bosques, árboles, dominios y unidades organizativas (OU) suelen estar motivadas por razones políticas. Por ejemplo, Active Directory en una gran empresa puede consistir en árboles diferentes correspondientes a divisiones de la empresa, dominios para los diferentes departamentos y OU para los grupos de trabajo. Los sitios, por otro lado, se basan siempre en ubicaciones geográficas y en los tipos de conexiones existentes entre esas ubicaciones.

A modo de ejemplo, supóngase que una empresa imaginaria tiene dos divisiones, cada una de las cuales tiene su propia LAN de Fast Ethernet LAN a 100 Mbps. Si las dos divisiones se hallan en edificios diferentes de la misma instalación, puede que tengan una conexión de fibra óptica de gran velocidad entre las dos LAN que también transmita a 100 Mbps. En este caso, dado que todos los equipos de las dos divisiones están igual de bien conectados, se puede decir que forman un único sitio. Si, por el contrario, las dos divisiones se hallaran en ciudades diferentes y estuvieran conectadas mediante un enlace T-1 a solo 1,544 Mbps, las divisiones formarían dos sitios diferentes ya que no todos los equipos de la red estarían igual de bien conectadas.

Los sitios no aparecen como objetos en el espacio de nombres de Active Directory; se hallan apartados completamente de la jerarquía de bosques, árboles y dominios. Un sitio puede contener objetos de diferentes dominios, y los objetos de un dominio pueden estar repartidos entre sitios diferentes. La razón fundamental para dividir la red de una empresa en varios sitios es aprovechar las comunicaciones


Capítulo 10

eficientes entre los sistemas bien conectados y regular el tráfico por las conexiones mas lentas y caras. Más concretamente, Active Directory utiliza los sitios durante la autenticación y la réplica.

● Autentificación: Cuando un usuario inicia una sesión en la red desde una estación de trabajo, el sistema lo autentifica siempre que sea posible con un controlador de dominio ubicado en el mismo sitio. Esto acelera el proceso de autentificación y ayuda a reducir el tráfico WAN.

● Réplica: Las actividades de réplica de los controladores de dominios que deben atravesar los limites de los sitios están sometidas a condiciones especiales debido a la necesidad de utilizar las conexiones WAN.

Los sitios de Active Directory están asociados a subredes IP concretas utilizadas por la red. Durante el proceso de autentificación, la estación de trabajo transmite información acerca de la subred en la que reside. Los controladores de dominios utilizan esta información para hallar los servidores de Active Directory de la misma subred que la estación de trabajo.

El uso de sitios durante la réplica es algo más complejo. Cuando dos controladores de dominios se hallan en el mismo sitio, la réplica se realiza con toda la velocidad de la LAN, generalmente, de 10 a 100 Mbps. Por otro lado, es probable que dos controladores de dominios situados en edificios o en ciudades diferentes estén conectados mediante tecnología WAN, que es mucho más lenta y, también, mucho más cara que la tecnología LAN. Por tanto, maximizar la eficacia de las comunicaciones entre los sitios suele ser cuestión del momento y de la frecuencia de las réplicas que utilizan los vínculos WAN.

Definición de los objetos sitio

Cuando se crea el primer controlador de dominio de Windows 2000 de la red, el Asistente para Active Directory crea el primer sitio, lo denomina Primer sitio predeterminado (se trata de su nombre verdadero) y lo asocia con el servidor que se acaba de promover. Se puede dejar este nombre o proporcionar a este sitio un nombre más descriptivo si se desea. Si todos los servidores de Active Directory de la red van a estar ubicados lo bastante cerca unos de otros como para comunicarse mediante conexiones LAN no hace falta ningún sitio más ni el complemento Sitios y servicios. A medida que se promueve cada servidor de la red a controlador de dominio, Active Directory lo añade al sitio y configura automáticamente la topología de réplica entre los servidores.

Si se van a tener servidores en ubicaciones remotas, sin embargo, se pueden crear otros sitios utilizando Sitios y servicios de Active Directory. Al crear objetos subred y asociarlos con sitios concretos, se ofrece a Active Directory la información que necesita para añadir de manera automática al sitio correspondiente a cada servidor que se promueve a controlador de dominio, de acuerdo con la subred en la que se halla la máquina. Si se desplaza un servidor a una ubicación nueva en un sitio diferente, no obstante, hay que trasladar manualmente el objeto servidor al nuevo objeto sitio. Por tanto, si se piensa instalar y configurar un controlador` de dominio en la oficina principal y luego enviarlo a una ubicación remota, hay que utilizar Sitios y servicios para desplazar el objeto al sitio correspondiente.


Capítulo 10

Para desplazar un servidor a un sitio nuevo, hay que seguir el procedimiento siguiente:

1. Hay que abrir Sitios y servicios de Active Directory. 2. Hay que pulsar el signo más (+) situado junto a Sitios para abrir la lista de los sitios disponibles. 3. Para abrir la lista de servidores, hay que pulsar el sitio en que se halla actualmente el servidor. 4. Hay que pulsar con el botón derecho del ratón el servidor que se desea desplazar y escoger

Mover en el menú de accesos directos. 5. En la ventana Mover Servidor, hay que seleccionar el nuevo sitio para el servidor y pulsar

Aceptar.

Objetos subred

Active Directory utiliza los objetos subred para definir los limites de los sitios. Los objetos subred consisten en una dirección de red y en una máscara de subred utilizada por todos los equipos del sitio o por algunos de estos. Un sitio puede asociarse con varios objetos subred para que, si la red tiene varias subredes en una misma ubicación, se puedan incluir todas en un solo sitio. En redes con dos o más sitios, el Asistente para la instalación de Active Directory necesita los objetos subred para ubicar los objetos servidor de los controladores de dominios recién promovidos en los sitios correctos. Sin los objetos subred, el Asistente puede crear el objeto servidor en el lugar equivocado. Si esto sucede, se puede desplazar de manera manual el objeto servidor hasta el sitio correspondiente.

Objetos servidor

Los objetos servidor son siempre secundarios de los objetos Sitio y los crea el Asistente para instalación siempre que promueve un servidor de Windows 2000 a controlador de dominio. No hay que confundir los objetos servidor de Active Directory con los objetos equipo que también crea el asistente durante el proceso de promoción. Los dos, aunque relacionados, son objetos completamente diferentes con propósitos distintos. Se pueden crear objetos servidor de manera manual en el complemento Sitios y servicios, pero esto no debería ser necesario.

Cuando la instalación de Active Directory incluye dos o más sitios, el Asistente para instalación utiliza las subredes asociadas con los objetos sitio para determinar el sitio apropiado para el objeto servidor. Aunque no haya ningún sitio asociado con la subred utilizada por el nuevo controlador de dominio, el asistente crea el objeto servidor. Posteriormente hay que crear el sitio al que pertenece el servidor y desplazarlo hasta el o bien habrá que crear un nuevo objeto subred y asociarlo con un sitio existente.

Introducción a la réplica de dominios

La réplica es el proceso de copia de datos de Active Directory entre los controladores de dominio para asegurarse de que todos poseen la misma información. Las posibilidades de réplicación con múltiples maestros de Windows 2000 hacen todo el proceso de réplica más complejo que en Microsoft Windows NT. En las redes de Windows NT los servidores escriben en primer lugar todas las modificaciones de los


Capítulo 10

directorios de dominio en el controlador de dominios principal, que luego propaga la información a los controladores de dominios de reserva. Este proceso es una réplicación de un sólo maestro. En Windows 2000 los administradores pueden modificar Active Directory escribiendo en cualquier controlador de dominio. Todos los controladores de dominios ejecutan eventos de réplica periódicos que copian las modificaciones en todos los demás controladores de dominios. El calendario y la topología de estos eventos de réplica varia en función de si los controladores de dominios se hallan en el mismo sitio o en sitios diferentes.

Réplica intrasitios

La réplica entre controladores de dominios ubicados en el mismo sitio se denomina réplica intrasitios y es completamente automática y autorregulada. Un módulo denominado comprobador de la consistencia del conocimiento (Knowledge Consistency Checker, KCC) crea conexiones entre los controladores de dominios del sitio y activa los eventos de réplica siempre que se modifica la información de directorio de un controlador de dominio. Como se supone que todos los controladores de dominios del sitio están bien conectados, el proceso de réplica esta diseñado para conservar la latencia (es decir, el retraso entre la escritura en el directorio y su propagación a los demás controladores de dominios) en un valor mínimo, incluso a costa de la anchura de banda de la red.

El KCC crea de manera dinámica objetos conexión en Active Directory; cuando la comunicación entre los controladores de dominios de un mismo sitio se interrumpe, el KCC crea de manera inmediata nuevas conexiones para asegurar el oportuno contacto entre los sistemas. Oportuno contacto en el interior de un sitio significa que ningún controlador de dominio se halla a más de tres conexiones (o saltos) de cualquiera de los demás. Los administradores pueden crear objetos conexión adicionales, lo que puede mejorar la comunicación entre los controladores y reducir aun más la latencia mediante la reducción del número máximo de saltos permitidos, pero este enfoque también aumenta los recursos del sistema utilizados por el proceso de réplica, incluidos los ciclos del procesador, los accesos al disco y la anchura de banda de la red. Como regla general, la topología de réplicas en el interior de un sitio no necesita mantenimiento administrativo.

Réplica entre sitios

Cuando se crean varios sitios en Active Directory, los controladores de dominios dan por supuesto que las conexiones de red entre los sitios son más lentas que las establecidas en su interior, más caras o ambas cosas. En consecuencia, los controladores de dominios utilizan la réplica entre sitios para intentar minimizar el tráfico de réplica entre los sitios y para proporcionar a los administradores una topología de réplica mucho más flexible.

Cuando hay controladores de dominios en varios sitios, Active Directory sigue creando una topología de réplica predeterminada de manera automática durante el proceso de instalación. Sin embargo, hay varias diferencias entre los modelos de réplica predeterminados de las topologías en el interior de un sitio y entre sitios. Entre esas diferencias están las siguientes:


Capítulo 10

● Número de conexiones: El KCC sigue creando de manera automática conexiones entre los controladores de dominios de los diferentes sitios, pero crea menos. Entre sitios no se tiene en cuenta la regla del máximo de tres saltos con objeto de minimizar el ancho de banda utilizado.

● Calendario de réplicas: Las actividades de réplica en el interior de un sitio se activan por cambios en la base de datos de Active Directory de los controladores de dominios. La réplica entre sitios tiene lugar a la hora y con el intervalo previstos. Los administradores pueden personalizar el calendario para aprovechar los momentos en que el tráfico es bajo y el ancho de banda resulta menos caro.

● Compresión: Los controladores de dominios transmiten los datos de réplica en el interior de los sitios sin comprimirlos, con lo que le ahorran al procesador los ciclos necesarios para descomprimirlos en destino. El tráfico entre sitios se transmite siempre comprimido para conservar el ancho de banda.

Una de las funciones principales del complemento Sitios y servicios es la configuración del modelo de réplica entre los sitios. Para ello hay que crear objetos de vínculos a sitios y puentes de vínculos a sitios que especifiquen el modo y el momento de transmisión de los datos de réplica entre los sitios.

Inicio de Sitios y servicios

La herramienta Sitios y servicios es un complemento estándar de la aplicación MMC que se inicia seleccionando Sitios y servicios de Active Directory en Herramientas Administrativas del grupo Programas del menú Inicio. El modulo del complemento se denomina Dssite.msc; también se puede iniciar Sitios y servicios ejecutando ese nombre de archivo desde la línea de comandos o desde el cuadro de dialogo Ejecutar.

Examen de los objetos de réplica

La interfaz de Sitios y servicios utiliza los mismos paneles del árbol de consola y de resultados que gran parte de las demás herramientas administrativas de Active Directory. El contenedor Sites del árbol de la consola contiene el objeto Nombre-Predeterminado-Primer-Sitio creado de manera automática por la instalación de Active Directory y otros dos contenedores denominados Inter-Site Transports y Subnets. Cuando se crean mas sitios, aparecen como objetos diferentes en el contenedor Sites. Los objetos creados


Capítulo 10

por los administradores aparecen en el contenedor bajo el epígrafe Sites, los objetos subred en el contenedor Subnets y los objetos de vínculos a sitios y de puentes de vínculos a sitios en el contenedor Inter-Site Transports.

Creación de los objetos sitio

La creación de mas objetos sitio en Active Directory sólo es cosa de pulsar el contenedor Sites con el botón derecho del ratón y escoger Nuevo Sitio en el menú de contexto. Cuando aparezca el cuadro de dialogo Nuevo objeto - Sitio hay que darle un nombre al objeto sitio y seleccionar el vínculo a sitios que debe utilizar para definir el mecanismo de transporte del sitio. El Asistente para instalación de Active Directory crea el objeto Defaultipsitelink durante el proceso de instalación, por lo que este objeto siempre está disponible si no se ha creado todavía ningún otro vínculo a sitios. Después de crear el objeto sitio, se le pueden introducir los objetos servidor y asociarlos con las subredes en que se hallan.

Examen de las propiedades de los objetos sitio: Cada objeto sitio de Active Directory tiene un contenedor Servers que guarda los objetos que representan los servidores del sitio, un objeto Licensing Site Settings y un objeto NTDS Settings. La ventana Propiedades del objeto sitio permite especificar una descripción del sitio y de su ubicación, así como contener las fichas estándar Objeto, Seguridad y Directiva de grupo que se hallan en la ventana equivalente de tantos otros objetos de Active Directory.

El objeto Licensing Site Settings especifica el equipo y el dominio que conceden la licencia al sitio. En la ventana Propiedades del objeto NTDS Settings, se puede desactivar la generación automática por KCC de una topología de réplicas en el mismo sitio, entre ese sitio y otros o de ambos modos. Si se desea configurar manualmente el comportamiento de réplica de un sitio, se pueden activar estas opciones, pero suele resultar innecesario. Se pueden crear mas conexiones para complementar las creadas por KCC y configurar el comportamiento de réplica del sitio de otra manera sin desactivar su funcionalidad primordial.


Capítulo 10

Creación de objetos servidor y conexión

Los objetos servidor se crean durante la instalación de Active Directory en cada controlador de dominio, en el sitio asociado con la subred en que se halla el servidor. Cada objeto servidor contiene un objeto NTDS Settings que, a su vez, contiene los objetos que representan las conexiones de ese servidor con otros controladores de dominios de la red. Estas conexiones deben existir para que los controladores de dominios repliquen los datos de su Active Directory. Todas las conexiones, tanto las creadas

automáticamente por KCC como las creadas manualmente por un administrador, aparecen como objetos asociados con un servidor. Un objeto conexión es un camino unidireccional hasta otro controlador de dominio de la red, bien se halle en el mismo sitio o en uno distinto. Para que el tráfico de réplica se realice en los dos sentidos debe haber objetos conexión para cada uno de los servidores.

El KCC crea de manera automática objetos conexión

que aseguran la réplica continua de los datos de Active Directory a todos los controladores de dominios en funcionamiento de cada dominio. Cuando la situación de la red se modifica como ocurre cuando cae un controlador de dominio y eso obliga a que el tráfico de réplica entre otros dos controladores de dominios cualesquiera del sitio recorra más de dos saltos-, el KCC crea nuevos objetos conexión para reducir ese recorrido del tráfico a tres saltos o a menos. Cuando el controlador de dominio que no funcionaba vuelve a estar operativo, el KCC puede eliminar los objetos conexión para devolver el tráfico de réplica a su topología recomendada.

Normalmente, la única razón por la que hay que crear manualmente objetos conexión es la personalización de la topología de réplica de la red. Si, por ejemplo, se desea que las actividades de réplica sólo tengan lugar a unas horas dadas, se puede crear un objeto conexión y configurar su calendario. también se pueden crear objetos conexión para disminuir el número de saltos entre determinados controladores de dominios.

La principal diferencia entre los objetos conexión creados manualmente y los creados por el KCC es que los objetos creados manualmente siguen en su sitio hasta que se eliminan manualmente; el KCC no los elimina independientemente de la manera en que cambie la topología de réplica. Los objetos conexión creados por el KCC, sin embargo, se eliminan de manera automática cuando se modifica la topología de


Capítulo 10

réplica.

Para crear un objeto conexión:

1. Hay que pulsar con el botón derecho del ratón el objeto NTDS Settings de un servidor en el árbol Sitios y servicios de la consola y escoger Nueva conexión de Active Directory en el menú de accesos directos. Esto hace que aparezca el cuadro de dialogo Buscar controladores de dominio.

2. Hay que seleccionar el controlador de dominio para el que se desea crear una conexión y pulsar Aceptar para abrir el cuadro de diálogo Nuevo objeto - conexión.

3. Hay que darle un nombre a la nueva conexión y pulsar Aceptar. El programa añade un objeto conexión al panel de detalles.

La ventana Propiedades de los objetos conexión contiene la conocida ficha Objeto, la ficha Seguridad y una ficha conexión de Active Directory. En esta ficha se puede escribir una expresión descriptiva de la conexión, seleccionar el modo de transporte de los mensajes de réplica (IP, RPC o SMTP) y programar los eventos de réplica.

El cuadro de dialogo que aparece cuando se pulse el botón Cambiar programación permite especificar las horas del día en que debe tener lugar la réplica y el intervalo entre los eventos de réplica (una, dos o cuatro veces por hora). Hay que tener en cuenta que esta conexión solo controla los mensajes de réplica que viajan desde el servidor bajo el que aparece el objeto hasta el servidor seleccionado como destino al crear el objeto. El tráfico en el otro sentido lo controla el objeto conexión del otro servidor (si es que existe).

Creación de objetos subred

El contenedor Subnets es el lugar en que los administradores crean los objetos que representan las subredes IP de la red y las asocian con objetos sitio concretos. Cuando se promueve el primer servidor a controlador de dominio, el Asistente para instalación de Active Directory crea un sitio y ubica el objeto servidor en ese sitio. Si se crean más sitios, se utilizan los objetos subred para asegurar que cada controlador de dominio que se instale posteriormente se situé en el sitio adecuado. Durante el proceso de promoción, el asistente identifica la subred en la que reside el servidor y busca en Active Directory el objeto subred correspondiente. Cuando el asistente halla el objeto subred, lee sus propiedades para determinar el sitio con el que esta asociada esa subred y crea en el el nuevo objeto servidor.

Los objetos subred no resultan esenciales para la topología de réplicas de Active Directory. Se pueden crear sitios y desplazar a ellos manualmente los objetos servidor. Sin embargo, si se van a instalar muchos servidores, los objetos subred automatizan la construcción de la topología de réplicas y hacen más manejable todo el proceso de implantación del sitio. Para crear un objeto subred, hay que seguir este procedimiento:


Capítulo 10

1. Hay que pulsar el contenedor Subnets con el botón derecho del ratón en el árbol de la consola del complemento Sitios y servicios y escoger Nueva subred en el menú de accesos directos.

2. En el cuadro de dialogo Nuevo objeto - Subred hay que escribir el nombre del objeto, que debe ser la dirección y la máscara de red de la subred.

3. Hay que seleccionar el sitio con el que la subred va a estar asociada y pulsar Aceptar.

A este sitio se añadirá de manera automática cualquier servidor de la subred que se promueva a controlador de dominio. Se pueden asociar varias subredes con un solo sitio para soportar una red de prácticamente cualquier tamaño.

Creación de objetos vínculo a sitios

El contenedor Inter-Site Transports es el lugar donde se crean los objetos vínculo a sitios y puente de vínculos a sitios que determinan el modo en que se transmite entre los sitios el tráfico de réplicas. Dos contenedores de Inter-Site Transports representan los dos protocolos de transporte soportados por Active Directory: IP y el protocolo sencillo de transporte de correo (Simple Mail Transport Protocol, SMTP).

Los objetos vínculo a sitios representan el mecanismo WAN utilizado para transmitir los datos entre los dos sitios, como puede ser una conexión T1 alquilada o un soporte con modo de transferencia asíncrono (Asynchronous Transfer Mode, ATM) en el caso IP, o cualquier medio por el que los sistemas envíen correo electrónico utilizando SMTP Active Directory crea un objeto vínculo a sitios predeterminado, denominado Defaultipsitelink, cuando crea el primer sitio de la red durante la promoción del primer servidor a controlador de dominio. Si todos los sitios están vinculados utilizando tecnologías con la misma velocidad, no hace falta crear mas vínculos a sitios. Cuando se tienen diferentes tecnologías en las conexiones entre los sitios, sin embargo, hay que crear varios objetos vínculo a sitios para tener diferentes programas de réplicas para cada una de ellas.

Al crear un objeto vínculo a sitios, hay que seleccionar dos o mas sitios que estén conectados por el mecanismo de transporte y especificar un valor para el coste del enlace. El valor del coste permite asignar prioridades a las diferentes conexiones WAN en función de sus velocidades relativas. Un mayor valor del coste indica que la conexión es mas caro de utilizar y el KCC programa, en consecuencia, réplicas menos frecuentes en las conexiones entre esos dos sitios. Cada incremento en el valor del coste representa quince minutos en el programa de réplicas. Un valor de coste de tres, por ejemplo, haría que la réplica tuviera lugar cada cuarenta y cinco minutos.

Para crear un objeto vínculo a sitios, hay que seguir este procedimiento:

1. Hay que pulsar con el botón derecho del ratón el transporte IP o SMTP en el árbol de la consola de Sitios y servicios y escoger Nuevo vínculo a sitios en el menú de accesos directos.

2. En el cuadro de dialogo Nuevo objeto - Vínculo de sitio, hay que especificar el nombre del objeto y seleccionar los sitios que conecta el enlace. Si el enlace va a representar una conexión punto a punto como las de tipo T1, hay que seleccionar solo dos sitios. Para tecnologías como los soportes


Capítulo 10

ATM, que pueden conectar varios sitios, hay que seleccionar más de dos objetos sitio. Cuando el objeto vínculo a sitios conecta mas de dos objetos sitio, se puede suponer que cualquiera de los sitios escogidos puede transmitir a cualquier otro.

3. Hay que pulsar el botón Aceptar y el administrador crea el objeto de vínculo.

Los objetos vínculo a sitios no pueden encaminar el tráfico de réplicas. Esto significa que, si un vínculo a sitios conecta el sitio A con el sitio B y otro enlace conecta el sitio B con el C, el sitio A no puede transmitir al C. Para que esto suceda, hay que crear un puente de vínculos a sitios.

Configuración de los vínculos a Sitios: Hay que pulsar el nuevo objeto de vínculo con el botón derecho del ratón y seleccionar Propiedades pare configurar sus propiedades. La ventana Propiedades de los objetos de vínculos a sitios contiene las fichas estándar Objeto y Seguridad, así como una ficha General, en la que se puede aportar una descripción del objeto y especificar los sitios conectados por el vínculo. Se pueden añadir nuevo sitios al enlace después de crear el objeto si es necesario.

La ficha General también contiene campos con los que especificar el coste del enlace (desde 1 hasta 32.767) y el intervalo entre los eventos de réplica (desde 15 hasta 10.080 minutos). Pulsar el botón Cambiar programación permite especificar periodos de tiempo en los que las réplicas están autorizadas o prohibidas. Si se desea limitar las actividades de réplicas a las horas de menor tráfico, por ejemplo, se puede especificar que los eventos de réplica no tengan lugar entre las 9 A.M. y las 5 P.M. El KCC observa los limites de calendario del objeto vínculo a sitios cuando crea de manera dinámica conexiones entre los controladores de dominios.

Aunque el valor del coste determina el intervalo entre los eventos de réplica, se puede ajustar la frecuencia de las réplicas utilizando el selector Réplicar cada de la ficha General de la ventana Propiedades de los vínculos a sitios. Si los clientes reciben de manera habitual información de directorio incorrecto de los controladores de dominios, hay que aumentar la frecuencia de las réplicas.

Creación de objetos de puentes de vínculos a sitios

Los objetos de puentes de vínculos a sitios actúan de manera similar a los vínculos a sitios, salvo que, en lugar de agrupar sitios, agrupan vínculos a sitios. Un objeto de puente de vínculos a sitios suele representar un enrutador de la infraestructura de la red. Se crean objetos de puentes de vínculos a sitios para permitir el encaminamiento del tráfico de réplicas entre los sitios enlazados. Cuando se crea un puente de vínculos a sitios que contiene dos enlaces que conectan el sitio A con el sitio B y el sitio B con el C, el puente permite que el sitio A transmita los datos de réplica al sitio C a través del sitio B.

El procedimiento para crear un objeto de puente de vínculos a sitios es prácticamente idéntico al de la creación de objetos de vínculos a sitios, salvo que se seleccionan dos o más vínculos a sitios en lugar de seleccionarse sitios. No hace falta especificar el coste de enrutamiento para los puentes de vínculos a


Capítulo 10

sitios porque Active Directory lo calcula de manera automática sumando los costes de enrutamiento de todos los sitios del puente. Por tanto, un objeto de puente de vínculos a sitios que contenga dos sitios con costes de enrutamiento de tres y de cuatro tendrá un coste de enrutamiento de siete.

El esquema de Active Directory

El esquema es el sello de Active Directory, lo que indica el tipo de objetos que puede haber en la base de datos y sus atributos. Para personalizar Active Directory para su uso en la red, se puede modificar el esquema para crear nuevos tipos de objetos, añadir nuevos atributos a los tipos de objetos existentes y modificar el tipo de información incluída en un atributo. Para ello hay que utilizar el complemento de MMC denominado Esquema de Active Directory.

La modificación del esquema es una tarea que, por lo general, los administradores no tienen que realizar nunca. Como mucho, se llega a modificar el esquema de manera ocasional o, quizás, solo una vez. Las modificaciones del esquema son objeto de las mismas advertencias que las modificaciones del registro del sistema de Windows 2000, salvo que a mayor escala. Igual que las modificaciones inadecuadas del registro pueden afectar negativamente a un solo sistema, las modificaciones inadecuadas del esquema pueden tener un efecto devastador en toda la red.

Examen de la seguridad del esquema

Como la modificación del esquema de Active Directory no es algo que se deba hacer a tontas y a locas, Windows 2000 utiliza varios mecanismos de seguridad para evitar que se modifique el esquema de modo accidental o sin que existan buenas razones para ello. Solo se puede modificar el esquema cuando se hayan satisfecho los requisitos de los tres mecanismos de seguridad.

Permisos de administrador del esquema

Para modificar el esquema hay que haber iniciado la sesión en un servidor o estación de trabajo de Windows 2000 utilizando una cuenta que pertenezca al grupo Administradores de esquema. Se trata de un grupo intrínseco que se crea durante la instalación de Active Directory y concede a sus componentes el permiso para escribir en el objeto esquema. La cuenta del administrador pasa a formar parte de manera automática del grupo Administradores de esquema. Los usuarios que no forman parte de este grupo también pueden modificar el esquema si algún administrador les ha concedido los permisos correspondientes para el objeto esquema.

Operaciones del esquema flexibles de un solo maestro

Active Directory utiliza un sistema de réplica de varios maestros para las modificaciones del contenido de la base de datos, pero para las modificaciones del esquema utiliza un sistema de un único maestro. Esto significa que solo un controlador de dominio puede modificar el esquema en cada momento. A diferencia de la mayoría de los modelos de réplica de maestro único, que exigen que todas las


Capítulo 10

modificaciones se escriban en un sistema determinado y que se copien con posterioridad a las demás réplicas, los administradores pueden modificar el esquema de Active Directory desde cualquier controlador de dominio. El mecanismo que hace posible esto se denomina operaciones del esquema flexibles de un solo maestro. Mientras un administrador modifica el esquema en un controlador de dominio, se deniegan las solicitudes de acceso para escritura al esquema en todos los otros controladores de dominios.

Acceso al esquema solo para lectura

Finalmente, todos los controladores de dominios se configuran de manera predeterminada durante la instalación de Active Directory para que permitan el acceso al esquema sólo para lectura. Para permitir el acceso para escritura, hay que crear una entrada nueva en el Registro. Hay que explorar esta clave utilizando uno de los editores del Registro de Windows 2000 (Regedit.exe o Regedt32.exe):

HKEY_LOCAL_MACHINE \System \Current Control ser \Services \NTDS \Parameters

Hay que crear una nueva entrada DWORD denominada Schema Update Allowed. Hay que asignar a la entrada un valor de 1 para permitir el acceso de escritura. Hay que cambiar el valor a 0 para volver a desactivar el acceso para escritura después de haber completado las modificaciones.

Inicio del Esquema de Active Directory

Debido a su uso poco frecuente y al riesgo potencial que supone, el Administrador del esquema se halla separado dos pasos del menú Herramientas administrativas Aunque al instalar Active Directory se instalan algunas Herramientas Administrativas, es posible que Esquema de Active Directory no se haya instalado). Para examinar o modificar el esquema, hay que instalar antes todas las Herramientas administrativas. Luego hay que ejecutar el complemento Esquema de Active Directory en una consola MMC.

1. Inicie la sesión como administrador.


Capítulo 10

2. Inserte el disco compacto de Windows 2000 Server en la unidad de CD-ROM y, a continuación, haga clic en Explorar este CD.

3. Haga doble clic en la carpeta I386, haga doble clic en Adminpak y, a continuación, siga las instrucciones que aparecen en el Asistente para instalación de herramientas de administración de Windows 2000.

4. Haga clic en Inicio y en Ejecutar, escriba mmc /a (en modo autor) y, a continuación, haga clic en Aceptar.

5. Hay que seleccionar Agregar o guitar complemento en el menú Consola. 6. Hay que pulsar el botón Agregar y seleccionar Esquema de Active Directory en la lista de

complementos que se proporciona. Una vez cargado el complemento, se puede guardar la pantalla de la consola en un archivo para proporcionar un acceso sencillo al complemento en un futuro. Cuando se abra el panel de vistas, se podrán ver dos contenedores en el árbol de la consola que guardan las clases y los atributos de los objetos que configuran esas clases. Al destacar cualquiera de esos dos contenedores, aparecen las clases o los atributos de Active Directory en el panel de resultados.

No obstante, antes de modificar el esquema conviene asegurarse de que el complemento esquema tiene acceso a la base de datos de Active Directory en el controlador de dominio que actúa como principal en ese momento (es decir, el controlador de dominio en el que se permite acceso para escritura). Para determinar el controlador de dominio al que se tiene acceso en un momento dado, hay que seguir el procedimiento siguiente:

1. Hay que seleccionar Esquema de Active Directory y escoger Cambiar el controlador de dominio en el menú contextual. En el cuadro de dialogo Cambiar el controlador de dominio, se puede ver el controlador de dominio vigente y se puede cambiar el foco a cualquier otro controlador de dominio o especificar uno concreto.

2. Hay que pulsar con el botón derecho del ratón el objeto Esquema de Active Directory del árbol de la consola y escoger Maestro de operaciones en el menú contextual.

3. En el cuadro de dialogo Cambiar el maestro de esquema, se puede ver el controlador de


Capítulo 10

dominio que actúa como maestro de operaciones y especificar si se puede modificar el esquema en ese sistema. Para cambiar el esquema, hay que cambiar la réplica principal al controlador de dominio que se esta utilizando o cambiar la réplica que se esta empleando al maestro.

Modificación del esquema

El proceso de modificación del esquema de Active Directory implica la creación o modificación de las clases y los tipos de atributos de los objetos que aparecen en el Administrador del esquema. Las clases son fundamentalmente conjuntos de atributos que forman un tipo de objeto de Active Directory por si mismos o contribuyen con determinados atributos a otros tipos de objetos. Este ultimo caso se conoce como clase auxiliar. Para añadir atributos a un tipo de objeto ya existente, el mejor método es crear una clase nueva que contenga los nuevos atributos y añadirla al tipo de objeto como clase auxiliar. Este método es mas manejable y menos arriesgado que la modificación de las clases que representan al propio tipo de objeto.

Puede que los productos de software de otros fabricantes proporcionen sus propias modificaciones del esquema que creen tipos de objetos completamente nuevos, pero la adición de atributos a tipos de objetos ya existentes es la forma mas frecuente de modificación del esquema llevada a cabo manualmente por los administradores -por ejemplo, la adición de atributos al tipo de objeto de usuario que permite guardar información adicional relativa al usuario en Active Directory-. Este proceso, relativamente sencillo, consta de los pasos que se describen a continuación, que se examinaran con más detalle en apartados posteriores.

● Creación de nuevos objetos atributo correspondientes a los campos de información que se desea añadir al objeto.

● Creación de un nuevo objeto clase para utilizarlo como clase auxiliar del tipo de objeto ya existente.

● adición de los atributos recién creados a la nueva clase auxiliar. ● adición de la clase auxiliar a la clase objeto ya existente.

Creación de atributos

La creación de atributos es cuestión de proporcionar un nombre mediante el cual se identificara al atributo y de especificar el tipo de datos que se va a guardar en él. Los datos pueden ser numéricos o de texto y se pueden aplicar restricciones que los limiten a una longitud o a un valor concretos. Por ejemplo, para añadir un atributo que guarde el número de la seguridad social del usuario, se especificaría que los datos del atributo deben estar en forma de número entero y limitados a nueve cifras. Para crear un objeto atributo hay que seguir este procedimiento:


Capítulo 10

1. Hay que pulsar con el botón derecho del ratón el contenedor Atributos del árbol de la consola del Administrador del esquema y escoger Crear atributo en el menú contextual. Esto hace aparecer al cuadro de dialogo Crear atributo nuevo.

2. En el cuadro Identificación, hay que especificar el nombre del nuevo objeto.

● Nombre común debe contener el nombre con el que aparecerá el atributo en los cuadros de dialogo estándar.

● Nombre LDAP para mostrar debe contener el nombre por el que se conocerá en la jerarquía de directorios LDAP (LDAP es el acrónimo de Lightweight Directory Access Protocol, Protocolo de compacto de acceso a directorios.) A menudo, los dos nombres serán iguales.

● Id. de objeto X500 único debe contener una cadena de caracteres numérica que identifique de manera univoca al objeto atributo en el espacio de nombres X.500. Los organismos de normalización, como la Unión International de Comunicaciones, emiten Id. de objeto (OID, Object ID) para asegurar que tengan valores únicos.

3. En el cuadro Sintaxis a intervalo hay que definir la naturaleza de los datos que se vayan a guardar en el atributo.

● Sintaxis ofrece mas de una docena de opciones que definen el tipo de información que puede guardarse en los atributos.

● Mínimo y Máximo permiten definir el rango de valores posibles. También se puede especificar si el atributo debe poder tomar varios valores.

4. Hay que pulsar el botón Aceptar y el administrador creara el nuevo objeto atributo.

No hay que intentar inventar OID. Aunque se ejecute Active Directory en una red aislada es muy fácil asignar un OID a un atributo o a una clase nuevos que duplique alguno de los cientos de OID ya asignados a los objetos de Active Directory.

Hay que configurar el nuevo objeto atributo (o cualquier otro) abriendo la ventana Propiedades desde el menú de contexto. Desde esta ventana se puede especificar una descripción del objeto, modificar el rango de valores posibles y activar cualquiera de las opciones siguientes:


Capítulo 10

● Mostrar los objetos de la misma clase al explorar. ● Desactivar el atributo. ● Incluir el atributo en el índice de Active Directory. ● La resolución de nombres ambiguos (Ambiguous Name resolución, ANR). ● Réplicar el atributo en el Catalogo Global (Global Catalog, GC). ● Copiar el atributo al duplicar un usuario.

Creación de clases de objetos

Los objetos atributo en si mismos son inútiles hasta que forman parte de una clase de objetos. Los objetos atributo creados se pueden añadir a una clase ya existente, pero suele resultar mas practico crear un nuevo objeto clase para ellos. Para crear un objeto clase, hay que pulsar con el botón derecho del ratón el contenedor Clases del complemento Esquema y escoger Crear clase en el menú contextual.

Al igual que ocurre con los objetos atributo, en primer lugar hay que especificar un nombre común, un nombre LDAP para mostrar y un Id. de objeto X.500 único. Luego, en el cuadro Herencia y tipo, hay que especificar la clase primaria del objeto nuevo (es decir, la clase de la que debe obtenerse el objeto nuevo) y escoger uno de los tipos de clase siguientes:

● Clase estructural: Los objetos de directorio con los que se trabaja habitualmente en programas como el Administrador de Active Directory. Un objeto de clase estructural puede tener come, objeto primario una clase abstracta a otra clase estructural.

● Clase abstracta: Son los objetos de los que se obtienen los objetos de clase estructural. también se puede especificar una clase abstracta ya existente como primario de los objetos nuevos de clase abstracta.

● Clase auxiliar: Los conjuntos de atributos que se pueden añadir tanto a los objetos de clase abstracta como a los de clase estructural para aumentar sus capacidades. Los objetos de clase auxiliar nuevos solo pueden obtenerse de una clase abstracta.

Para guardar los atributos nuevos conviene crear un tipo de clase auxiliar

Adición de atributos a las clases

Después de crear los objetos atributo y el objeto clase que los vaya a contener, hay que añadir los atributos a la clase. Esto se lleva a cabo abriendo la ventana Propiedades del objeto clase recién creado. La ventana de los objetos clase tiene cuatro fichas, incluida la ficha Seguridad estándar. En la ficha General, hay que escribir una descripción del objeto y especificar si la clase objeto debe ser visible al explorar. también se puede desactivar el objeto seleccionando la casilla de verificación Desactivar esta clase.

En la ficha Atributos, hay que añadir a la clase los objetos atributo recién creados pulsando el botón Agregar de la lista Obligatorio o el de la lista Opcional y seleccionando los objetos por su nombre.


Capítulo 10

Cuando un atributo sea obligatorio, hay que asignarle un valor al crear un objeto nuevo de esa clase. Si, por ejemplo, se crea un atributo número de la seguridad social, hay que añadirlo a la clase auxiliar como atributo obligatorio y luego añadir la clase auxiliar a la clase usuario; la próxima vez que se cree un nuevo objeto usuario, se exigirá un número de seguridad social para el usuario. No se exige ningún valor para los atributos opcionales.

Adición de clases auxiliares a las clases estructurales

Los objetos de clases auxiliares no pueden guardar información de los atributos hasta haberse añadido a un objeto de clase estructural, como puede ser un usuario o un equipo. Para ello, hay que abrir la ventana Propiedades del objeto de clase estructural y seleccionar la ficha Relación.

En esta ficha, hay que pulsar el botón Agregar de la lista Clases auxiliares y seleccionar el objeto clase que se acaba de crear. Esto hace que Active Directory añada los atributos de la clase auxiliar a la clase estructural. En la lista Superior posible, hay que especificar las otras clases de objetos que pueden contener esa clase de objetos. Por ejemplo, la clase de objetos usuario tiene en su lista Superior posible la clase de objetos unidad organizativa, lo que permite la creación de usuarios nuevos en las OU. Lo contrario no se cumple, sin embargo; no se puede crear una OU por debajo de un usuario, por lo que los objetos usuarios no son superiores posibles de los objetos OU.

Introducción a las funciones de maestros de operaciones

Los controladores de dominios deben manejar cinco funciones de maestros de operaciones en cada bosque de Active Directory. Algunas de las funciones de maestros de operaciones resultan fundamentales para la red y, si la máquina que los facilita falla, se pondrá de manifiesto inmediatamente. Otras pueden no estar disponibles durante mucho tiempo sin que ni el operador ni los usuarios se den cuenta. Las funciones son las siguientes:

● Emulador del controlador principal de dominio (PDC, Primary Domain Controller): actúa como el controlador principal de dominio de Windows NT en los dominios que tienen controladores de dominio secundarios de Windows NT o que tienen equipos sin el software cliente de Windows 2000.

● Maestro de esquema: Controla todas las actualizaciones y modificaciones del esquema. ● Maestro de nombres de dominio: Controla la adición o eliminación de dominios. ● Maestro de identificadores relativos (RID, Relative Identifier): Asigna ID relativos cada

controlador de dominio. ● Maestro de infraestructuras: Actualiza los cambios en las referencias de grupo a usuario cuando

se modifican las pertenencias a los grupos.

Generalmente no hay motivo para interferir en los maestros de operaciones. La transferencia de funciones resulta relativamente trivial. Se realiza una transferencia cuando el titular original de la función está disponible. En circunstancias graves, cuando el controlador que posee la función no esta disponible,


Capítulo 10

se puede tomar una función, pero se trata de una medida drástica y no se debe adoptar a la ligera. En todos los casos, salvo con el emulador PDC, cuando se toma una función de maestro de operaciones (en lugar de transferirla), no se debe reactivar al titular original de la función tomada sin volver a dar formato completo al disco de inicio y reinstalar Windows 2000. Los siguientes apartados explican con mas detalle las funciones de maestros de operaciones.

El emulador del controlador principal de dominio

A1 actualizar un dominio de Windows NT, solo un controlador de dominio puede crear cuentas de usuario, de grupo y de equipo -el fundamento de la seguridad-. Este controlador de dominio de Windows 2000 se configura como maestro de operaciones PDC y emula a los controladores principales de dominios de Windows NT. El emulador PDC soporta los protocolos Kerberos y NTLM, lo que permite que los controladores de dominios de Windows NT se sincronicen con los entornos de Windows 2000 que se ejecutan en modo mixto.

Cada dominio debe tener un controlador de dominio que actúe como emulador de PDC mientras ese dominio contenga clientes sin software cliente de Windows 2000 o controladores secundarios de dominios de Windows NT. Que el controlador que actúa como emulador PDC no este disponible afecta a los usuarios porque la propia red queda afectada. Por tanto, si se sabe que el controlador que actúa como emulador PDC no va a estar disponible, hay que transferir esa función.

Transferencia del emulador PDC: Para transferir la función de emulador PDC, hay que seguir el procedimiento siguiente:

1. Hay que elegir Usuarios y equipos de Active Directory en el menú Herramientas administrativas. 2. Hay que pulsar con el botón derecho del ratón el nodo del dominio y escoger Conectar con el

controlador de dominio en el menú de accesos directos. 3. Hay que seleccionar el controlador de dominio al que se desea atribuir la función de emulador

PDC y pulsar Aceptar. 4. Hay que pulsar el nodo del dominio con el botón derecho del ratón y escoger Maestro de

operaciones en el menú de accesos directos. Hay que pulsar la ficha PDC para ver el foco actual (el controlador que pasara a ser emulador PDC) y el controlador que es el maestro de operaciones actual.

5. Hay que pulsar Cambiar y Aceptar.

Toma del emulador PDC: Si el emulador PDC deja de estar disponible de manera inesperada y no se puede volver a poner en servicio rápidamente, hay que forzar a otro controlador de dominio para que tome su función. Para tomar el emulador PDC, hay que seguir el procedimiento siguiente:

Para asumir la función de maestro de nombres de dominio

1. Haga clic en Inicio y Ejecutar, y después escriba cmd.


Capítulo 10

2. En el símbolo del sistema, escriba ntdsutil. 3. En el símbolo del sistema de ntdsutil, escriba roles. 4. En el símbolo del sistema fsmo maintenance, escriba connections. 5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de

dominio completo. 6. En el símbolo del sistema server connections , escriba quit. 7. En el símbolo del sistema fsmo maintenance, escriba seize domain naming master. 8. En el símbolo del sistema fsmo maintenance , escriba quit. 9. En el símbolo del sistema de ntdsutil, escriba quit.

Asumir la función de maestro de nombres de dominio es un paso drástico que únicamente se debe considerar si el servidor de operaciones actual nunca va a volver a estar disponible.

Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y compruebe que el nuevo servidor principal de operaciones esté actualizado. Para obtener más información acerca de las operaciones con un sólo servidor principal, consulte los temas relacionados.

Cuando el emulador PDC original vuelve a estar disponible, se puede utilizar el mismo procedimiento para devolverle la función de emulador PDC.

Maestro de esquema

No puede resultar una sorpresa que el maestro de esquema maneje todas las actualizaciones del esquema. Solo existe un maestro de esquema en todo el bosque. El maestro de esquema se asigna al primer controlador de dominio del dominio y permanece allí a menos que se cambie. Como las modificaciones del esquema son poco frecuentes, el maestro de esquema puede no estar operativo durante un amplio periodo de tiempo sin que ello afecte a los usuarios.

Transferencia del maestro de esquema: Para transferir la función de maestro de esquema, hay que seguir el procedimiento siguiente:

1. Hay que abrir el complemento Esquema de Active Directory. 2. Hay que pulsar con el botón derecho del ratón en Esquema de Active Directory en la ventana de

la consola y escoger Cambiar el controlador de dominio. Hay que cambiar el foco al controlador que vaya a asumir la función de maestro de esquema.

3. Hay que pulsar con el botón derecho del ratón en Esquema de Active Directory en la ventana de la consola y escoger Maestro de operaciones en el menú de accesos directos. Hay que pulsar el botón Cambiar y Aceptar.

Toma del maestro de esquema: No hay que tomar el maestro de esquema a menos que no queden


Capítulo 10

esperanzas de volver a poner en servicio el controlador original. Antes de tomar la función de maestro de esquema, el maestro de esquema original debe estar desconectado de la red. Para tomar la función de maestro de esquema, hay que seguir el procedimiento siguiente:

1. Hay que escoger Ejecutar en el menú Inicio (o abrir una ventana de comandos), escribir ntdsutil y pulsar INTRO.

2. A cada petición, hay que facilitar la siguiente información y pulsar INTRO:• En ntdsutil, hay que escribir roles.• En fsmo maintenance, hay que escribir connections.• En server connections, hay que escribir connect to server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo schema master.• En server connections, hay que escribir quit.• En fsmo maintenance, hay que escribir seize schema master.• En ntdsutil, hay que escribir quit.

La toma de la función de maestro de esquema es una medida radical. No debe hacerse a menos que el maestro de esquema original quede definitivamente fuera de servicio. Si se volviera a reactivar el maestro de esquema original, hay que volver a dar formato a su disco de arranque y volver a instalar Windows 2000 para evitar problemas graves con la actualización del esquema.

Maestro de nombres de dominio

Sólo un servidor de la empresa adopta la función de maestro de nombres de dominio, por lo que el maestro de nombres de dominio se crea en el primer dominio y la función sigue allí independientemente del tamaño del bosque. El maestro de nombres de dominio puede no estar disponible durante algún tiempo y la red no se vera afectada hasta que se necesite establecer un dominio nuevo. Por tanto, a menos que el controlador que desempeña esta función vaya a eliminarse de la red de manera permanente, normalmente no será necesario transferir ni tomar esta función.

Transferencia del maestro de nombres de dominio: Si hace falta transferir esta función a otro controlador hay que seguir el procedimiento siguiente.

1. Hay que escoger Dominios y confianzas de Active Directory en el menú Herramientas administrativas.

2. Hay que pulsar con el botón derecho del ratón Dominios y confianzas de Active Directory y escoger Conectar con el controlador de dominio en el menú de accesos directos.

3. Hay que seleccionar el controlador de dominio al que se desea atribuir la función de maestro de hombres de dominio y pulsar Aceptar.

4. Hay que pulsar otra vez con el botón derecho del ratón Dominios y confianzas de Active Directory y seleccionar Maestro de operaciones en el menú de accesos directos. Se abrirá un cuadro de dialogo que muestra el maestro de hombres de dominio actual y el equipo que va a


Capítulo 10

pasar a ser maestro de hombres de dominio. 5. Hay que pulsar Cambiar y Aceptar.

Toma del maestro de hombres de dominio: Si el maestro de hombres de dominio debe que dar apartado de la red de manera imprevista y permanente se puede tomar la función de maestro de nombres de dominio y reasignarlo a otro controlador de dominio. Para tomar la función, hay que seguir el procedimiento siguiente:


2. A cada petición, hay que facilitar la siguiente información y pulsar INTRO:• En ntdsutil, hay que escribir roles.• En fsmo maintenance, hay que escribir connections.• En server connections, hay que escribir connect to server seguido del hombre de dominio completo del controlador que vaya a ser el nuevo maestro.• En server connections, hay que escribir quit.• En fsmo maintenance, hay que escribir seize domain naming master.• En ntdsutil, hay que escribir quit.

Antes de tomar el maestro de hombres de dominio, el controlador titular de la función de maestro de hombres de dominio debe quedar completamente desconectado de la red. La Coma de la función de maestro de hombres de dominio es una medida radical y no debe hacerse a menos que el maestro de hombres de dominio original quede fuera de servicio de manera permanente. Si se vuelve a reactivar el maestro de hombres de dominio original previamente, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.

Maestro de identificadores relativos

Cuando un controlador de dominio crea un objeto de seguridad -una cuenta de usuario, de grupo 0 de equipo-, asigna a ese objeto un identificador único (SID). El SID se compone de dos partes: el ID de seguridad del dominio, que es común para todos los objetos de seguridad del dominio, y el ID relativo, que es único para cada objeto. El maestro RID es el controlador de cada dominio que asigna y controla las secuencias de ID relativos.

Los usuarios no advierten la pédida temporal del maestro RID. Tampoco es probable que los administradores lo noten, a menos que estén creando objetos de seguridad y el dominio agote los números ID relativos. Por tanto, la transferencia de la función de maestro RID no suele ser necesaria, a menos que el maestro RID se vaya a eliminar de la red de manera permanente.

Transferencia del maestro RID :Si hay que transferir esta función a otro controlador, hay que seguir el procedimiento siguiente:


Capítulo 10

1. Hay que escoger Usuarios y equipos de Active Directory en el menú Herramientas administrativas.

2. Hay que pulsar con el botón derecho del ratón el nodo del dominio y escoger Conectar con el controlador de dominio en el menú de accesos directos.

3. Hay que seleccionar el controlador de dominio al que se le desea asignar la función de maestro RID. Hay que pulsar Aceptar.

4. Hay que pulsar el nodo del dominio con el botón derecho del ratón y escoger Maestro de operaciones en el menú de accesos directos. Se abrirá un cuadro de dialogo. En la ficha RID aparecerá el foco actual (el controlador que va a pasar a ser maestro RID) junto con el maestro de operaciones actual.

5. Hay que pulsar Cambiar y Aceptar.

Toma del maestro RID: Si el maestro RID debe quedar eliminado de la red de manera imprevista y permanente, se puede tomar la función de maestro RID y reasignárselo a otro controlador de dominio. Para tomar la función hay que seguir este procedimiento:


2. A cada petición hay que facilitar la siguiente información y pulsar INTRO:• En ntdsutil hay que escribir roles.• En fsmo maintenance hay que escribir connections.• En server connections hay que escribir connect lo server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo maestro.• En server connections hay que escribir quit.• En fsmo maintenance hay que escribir seize RID master.• En ntdsutil hay que escribir quit.

Antes de proceder a la toma, el controlador titular de la función de maestro RID debe estar completamente desconectado de la red. La toma de la función de maestro RID es una medida radical. No hay que hacerlo a menos que el maestro RID está definitivamente fuera de servicio. Si se vuelve a reactivar el maestro RID original antes, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.

Maestro de infraestructuras

El maestro de infraestructuras es responsable de tener al día los cambios en la pertenencia a los grupos y de la distribución de las actualizaciones a los otros dominios. Hay un maestro de infraestructuras en cede dominio. Si el controlador titular de la función de maestro de infraestructuras deja de estar disponible, los usuarios no se verán afectados. Ni siquiera los administradores se dan cuenta hasta que varias modificaciones en las cuentas de los usuarios no aparezcan en otros controladores de dominios. Por tanto, es mejor no transferir la función de maestro de infraestructuras a menos que el controlador no vaya a estar disponible durante un periodo de tiempo considerable.


Capítulo 10

A menos que el dominio solo tenga un controlador de dominio, no hay que asignar el rol de maestro de infraestructuras al controlador que alberga el GC. Para averiguar si hay que distribuir los cambios a otros dominios, el maestro de infraestructuras examina un GC y se actualiza con su información. Si el GC y el maestro de infraestructuras están en el mismo controlador, el maestro de infraestructuras no va a encontrar datos desactualizados, por lo que no se replicará nada a otros dominios.

Transferencia del Maestro de infraestructuras: Para transferir la función de maestro de infraestructuras a otro controlador hay que seguir el procedimiento siguiente:

1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

2. En el árbol de la consola, haga clic con el botón secundario del ratón en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de infraestructuras y, a continuación, haga clic en Conectar con el dominio.

3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista. 4. En el árbol de la consola, haga clic con el botón secundario del ratón en Usuarios y equipos de

Active Directory y, a continuación, haga clic en Maestros de operaciones. 5. En la ficha Infraestructura haga clic en Cambiar.

Toma del maestro de infraestructuras: Si el maestro de infraestructuras queda apartado de la red de manera inesperada y permanente, se puede tomar la función de maestro de infraestructuras y asignársela a otro controlador de dominio. Para tomar la función hay que seguir este procedimiento:


2. A cada petición hay que facilitar la siguiente información y pulsar INTRO:• En ntdsutil, hay que escribir roles.• En fsmo maintenance, hay que escribir connections.• En server connections, hay que escribir connect to server seguido del nombre de dominio completo del controlador que vaya a ser el nuevo maestro.• En server connections, hay que escribir quit.• En fsmo maintenance, hay que escribir seize infrastructure master.• En ntdsutil, hay que escribir quit.

Antes de proceder a la toma, el controlador titular de la función de maestro de infraestructuras debe estar completamente desconectado de la red. La toma de la función de maestro de infraestructuras es una medida radical. No hay que hacerlo a menos que el maestro de infraestructuras este definitivamente fuera de servicio. Si se vuelve a reactivar el maestro de infraestructuras original antes, hay que volver a dar formato a su disco de arranque y reinstalar Windows 2000.


Capítulo 10


Capítulo 11

Capítulo 11

Creación de cuentas de Usuario

Cada persona que tenga acceso a la red requerirá una cuenta de usuario. Una cuenta de usuario hace posible:

● Autentificar la identidad de la persona que se conecta a la red. ● Controlar el acceso a los recursos del dominio. ● Auditar las acciones realizadas utilizando la cuenta.

Windows 2000 solo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las crea un administrador y son cuentas de dominio (validas a lo largo de todo el dominio de forma predeterminada) o cuentas locales (utilizables sólo en la máquina donde se crean).

Denominación de las cuentas de usuario

En el Active Directory, cada cuenta de usuario tiene un nombre principal. El nombre consta de dos partes, el nombre principal de seguridad y el sufijo de nombre principal. Para las cuentas de usuario de Windows NT existentes, el nombre principal de seguridad es de forma predeterminada el mismo nombre utilizado para iniciar sesión en el dominio Windows NT. Para las nuevas cuentas de usuario de Windows 2000, un administrador asigna el nombre principal de seguridad. El sufijo de nombre principal predeterminado es el nombre DNS del dominio raíz en el árbol de dominios. De esta forma un usuario identificado como EduardoP en un dominio Windows NT tendría un nombre principal tal como [email protected].

Opciones de las cuentas

La planificación de las opciones de las cuentas de los usuarios simplificará el proceso de creación de cuentas. Las opciones de las cuentas a considerar incluyen las siguientes:

● Horas de inicio de sesión: De forma predeterminada, un usuario puede iniciar sesión a cualquier hora del día o de la noche. Por razones de seguridad, se podría restringir el acceso a algunos o a todos los usuarios a ciertas horas del día o a ciertos días de la semana.

● Iniciar sesión en: De forma predeterminada, los usuarios pueden iniciar sesión en todas las estaciones de trabajo. Por razones de seguridad se puede limitar el acceso para iniciar sesión a una máquina o máquinas en particular si se dispone del protocolo NetBIOS instalado en el dominio.


Capítulo 11

Sin NetBIOS, Windows 2000 es incapaz de determinar la ubicación de un inicio de sesión especifico.

● Caducidad de la cuenta: Se puede decidir si se desea establecer que las cuentas caduquen. Por razones obvias, tiene sentido establecer una fecha de caducidad para empleados temporales de forma que coincida con el fin de sus contratos.

Las tres opciones que se han enumerado aquí son las que muy posiblemente se apliquen a un gran número de usuarios.

El nombre principal de seguridad debería asignarse utilizando un convenio de denominación consistente, de forma que el administrador y sus usuarios puedan recordar los nombres de los usuarios y encontrarlos en listas. Entre algunas alternativas para nombres de usuario se incluyen las siguientes:

● Nombre de pila más la inicial del apellido Por ejemplo, MiguelG y SusanaM. En el caso de nombres de pila duplicados se pueden añadir números (MiguelG1 y MiguelG2) o letras suficientes para proporcionar identificación (IsabelMat a IsabelMur).

● Nombre de pila más un número: Por ejemplo, David 112 y David 113. Este enfoque puede ser un problema especialmente para personas cuyos nombres de pila aparecen frecuentemente entre la población. Dificulta el recordar el propio nombre de usuario y es incluso más difícil identificar los de los otros.

● Inicial del nombre de pila más el apellido: Por ejemplo, podría ser MSanchez. Si hay tanto una Lidia Sánchez como una Lucia Sánchez, se debería utilizar LiSanchez y LuSanchez o LSanchez1 y LSanchez2.

● Apellido más una inicial: Este convenio es útil en una red grande. Cuando hay múltiples usuarios con el mismo apellido, hay que añadir algunas letras como en SanchezLi o SanchezLu.

Contraseñas

Todos los usuarios deberían tener contraseñas bien escogidas y se les debería requerir que las cambiaran periódicamente. Las cuentas deberían establecerse de forma que se bloquearan cuando se introdujeran contraseñas incorrectas. (Se pueden permitir tres intentos, para dejar margen a errores tipográficos.)

Una buena contraseña tiene las siguientes características:

● No es una rotación de los caracteres de un nombre de inicio de sesión. ● Contiene al menos dos caracteres alfabéticos y uno no alfabético. ● Tiene una longitud de al menos seis caracteres. ● No es el nombre o las iniciales del usuario, las iniciales de sus hijos, otro dato

significativo o cualquiera de esos elementos combinado con otra información


Capítulo 11

personal comúnmente disponible como la fecha de nacimiento, el número de teléfono o el número de matricula.

Entre las mejores contraseñas se encuentran los acrónimos alfanuméricos de frases que tienen un significado para el usuario pero que no es probable que conozcan otros. Esto hace que la contraseña sea fácil de recordar para el usuario, mientras que al mismo tiempo sea difícil de adivinar por una persona de fuera.

Conviene educar a los usuarios sobre las contraseñas y su privacidad, pero, sobre todo, merece la pena hacer caso de los propios consejos: hay que asegurarse de que la contraseña seleccionada para administración es una buena contraseña y cambiarla frecuentemente. Hacer esto ayudara a evitar las consecuencias de que alguien se introduzca en el sistema y cause estragos. Si los usuarios se conectaran telefónicamente a la red desde casa a otros sitios remotos, debería incluirse más seguridad que la autorización por contraseña de nivel de dominio.

Los administradores deberían tener dos cuentas en el sistema: una cuenta administrativa y una cuenta de usuario normal. Se debería utilizar la cuenta de usuario normal a menos que se estén realizando tareas administrativas. A causa de los privilegios asociados a las cuentas administrativas, son un objetivo primario para los intrusos.

Creación de cuentas de usuario del dominio

Las cuentas de usuario del dominio se pueden crear en la OU Users, o se puede crear otra OU para almacenar cuentas de usuario del dominio. Para añadir una cuenta de usuario del dominio hay que seguir estos pasos:

1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.

2. Resaltar el nombre del dominio y, en el menú Acción, apuntar a Nuevo y escoger después Usuario.

● Nombre, Iniciales y Apellidos: Un nombre de usuario no puede coincidir con otro


Capítulo 11

nombre de usuario o de grupo en el equipo que está administrando. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los siguientes:" / [ ] : ; | = , + * ? < >

● Nombre completo: se rellena automáticamente. El nombre completo debe ser único en la OU donde se crea el usuario.

● Nombre de inicio de sesión de usuario: Hay que proporcionar el nombre de inicio de sesión de usuario basado en el convenio de denominación. Este nombre debe ser único en el Active Directory. El nombre de inicio de sesión anterior a Windows 2000 se rellena automáticamente. Este es el nombre utilizado para iniciar sesión desde equipos que ejecutan sistemas operativos Windows como Windows NT. Pulsar Siguiente.

3. Contraseña y Confirmar contraseña: Se puede escribir una contraseña que contenga hasta 127 caracteres. Sin embargo, si utiliza Windows 2000 en una red que también contiene equipos con Windows 95 o Windows 98, considere el uso de contraseñas con menos de 14 caracteres. Windows 95 y Windows 98 admiten contraseñas de hasta 14 caracteres. Si la contraseña es más larga, es posible que no se puedan iniciar sesiones en la red desde estos equipos.

4. Directivas de contraseñas: ● El usuario debe cambiar la contraseña en el siguiente inicio de sesión: Normalmente se

selecciona para que el usuario controle la contraseña y no la conozca el Usuario que le ha dado de alta.

● El usuario no puede cambiar la contraseña: Cuando por necesidades de seguridad la contraseña debe ser controlada por el administrador.

● La contraseña nunca caduca: Si seleccionamos esta casilla, no se aplicaran las restricciones de caducidad de contraseña a esta cuenta.

● Cuenta deshabilitada: Deshabilita cuentas que momentaneamente no se necesitan en la red. También puede seleccionarse automáticamente debido a las restricciones de seguridad impuestas por el Administrador. Pulsar Siguiente.

5. Se abre una pantalla de confirmación, mostrando los detalles de la cuenta que se va a crear. Si los detalles son correctos, hay que pulsar Finalizar. En otro caso, se puede utilizar el botón Atrás para realizar correcciones.


Capítulo 11

Creación de cuentas de usuario locales

Una cuenta local no puede acceder al dominio y, por lo tanto, solo tiene acceso a los recursos del equipo donde se crea y utiliza. Para crear una cuenta de usuario local hay que seguir estos pasos:

1. Pulsar con el botón derecho del ratón en Mi PC y escoger administrar en el menú contextual. 2. En el árbol de la consola, hay que pulsar Usuarios locales y grupos. Pulsar con el botón derecho

del ratón en Usuarios y escoger Usuario nuevo en el menú contextual. 3. En el cuadro de dialogo Usuario nuevo hay que suministrar el nombre de usuario, el nombre

completo y la descripción. 4. Proporcionar una contraseña y definir las directivas de contraseñas. Pulsar Crear. Las cuentas

locales pueden pertenecer a grupos creados localmente (en el equipo único).

Administración de las cuentas de usuario

Especialmente en una red grande y ocupada, la gestión de las cuentas de usuario es un proceso continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difíciles, pueden consumir tiempo y es necesario gestionarlas con cuidado.

Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. Abrir el contenedor que almacena la cuenta de usuario. Seleccionar el Usuario que queremos administrar y pulsar el menú Acción. Aparecerán las siguientes opciones:


Capítulo 11

1. Copiar: ❍ Escriba el nombre del usuario en

Nombre. ❍ En Apellidos, escriba los apellidos. ❍ Modifique Nombre para agregar

iniciales o invertir el orden del nombre y los apellidos.

❍ En Nombre de inicio de sesión de usuario, escriba el nombre con el que el usuario iniciará una sesión y, en la lista, haga clic en el sufijo UPN que se debe anexar al nombre de inicio de sesión de usuario, seguido del símbolo arroba (@).Si el usuario va a utilizar un nombre diferente para iniciar una sesión en equipos donde se ejecuta Windows NT, Windows 98 o Windows 95, cambie el nombre de inicio de sesión de usuario que aparece en Nombre de inicio de sesión de usuario (anterior a Windows 2000) por el otro nombre.En Contraseña y Confirmar contraseña, escriba la contraseña del usuario.

❍ Seleccione las opciones de contraseña que desee. ❍ Si se ha deshabilitado la cuenta de usuario desde la que se copió la nueva cuenta de

usuario, haga clic en Cuenta deshabilitada para habilitar la cuenta nueva. 2. Agregar miembros a un grupo: Si queremos hacer miembro de otro grupo más al usuario

deberemos pulsar esta opción y seleccionar el grupo y después Agregar. 3. Deshabilitar cuenta: Si es necesario desactivar una cuenta de usuario del dominio por algún

periodo de tiempo, pero no eliminarla permanentemente, se puede deshabilitar. Si crea cuentas deshabilitadas de usuario que pertenezcan a grupos comunes, puede utilizarlas como plantillas para simplificar la creación de cuentas de usuario. Para habilitar una cuenta previamente deshabilitada, hay que realizar los mismos pasos, escogiendo Habilitar cuenta en el menú contextual.

4. Restablecer contraseña: Para que las contraseñas sean efectivas, no deben ser obvias o fáciles de adivinar. Sin embargo, cuando las contraseñas no sean obvias o fáciles de adivinar, se olvidaran inevitablemente. Cuando un usuario olvida su contraseña, se puede restablecer. La mejor política es restablecerla a una clave sencilla y obligar al usuario a que la cambie la próxima vez que inicie sesión en la red.

❍ Hay que escribir y confirmar la contraseña.


Capítulo 11

❍ Si desea que el usuario cambie esta contraseña en el siguiente proceso de inicio de sesión, active la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión.

❍ Si se cambia la contraseña de la cuenta de usuario de un servicio, deben restablecerse todos los servicios cuya autenticación se realice con esa cuenta de usuario.

5. Mover: Si un usuario pasa a pertenecer a potro grupo o Unidad Organizativa podemos moverlo pulsando esta opción:

❍ Una vez seleccionado el usuario, abrimos el menú Acción y pulsamos mover.

❍ Pulsar con el botón derecho del ratón en la cuenta de usuario que se va a mover y escoger Mover en el menú contextual.

❍ En el cuadro de dialogo Mover, hay que resaltar el contenedor destino y pulsar Aceptar. 6. Abrir la página principal: Accederemos a la página web del usuario si se le ha especificado en

la ficha General de las propiedades de dicho usuario. 7. Enviar mensaje de correo: Si se le ha especificado una dirección de correo, se abrirá el cliente

de correo predeterminado para enviarle un correo electrónico. 8. Eliminar: Cada cuenta de usuario del dominio tiene un identificador de seguridad asociado que es

único y nunca se reutiliza, lo que significa que una cuenta eliminada se elimina completamente. Si se elimina la cuenta de Jaime y más tarde se cambia de opción, habrá que volver a crear no solo la cuenta, sino los permisos, la configuración, las pertenencias a grupos y el resto de propiedades que poseía la cuenta de usuario original. Por esta razón, si existe alguna duda sobre si una cuenta podría necesitarse en el futuro, es mejor deshabilitarla y no realizar la eliminación hasta que se este seguro de que no se necesitara de nuevo.Después de pulsar en eliminar,aparece un cuadro de dialogo Active Directory, pidiendo confirmación de la eliminación. Hay que pulsar Si y se eliminara la cuenta.

9. Cambiar el nombre: En ocasiones, es necesario cambiar el nombre de una cuenta de usuario. Por ejemplo, si se tiene una cuenta configurada con una colección de derechos, permisos y pertenencias a grupos para una posición particular y una nueva persona se hace cargo de esa posición se puede cambiar el nombre, los apellidos y el nombre de inicio de sesión de usuario para la nueva persona.Para cambiar el nombre de una cuenta de usuario existente, después de pulsar el cambiar el nombre se pulsa Aceptar. Se cambia el nombre de la cuenta y todos los permisos y el resto de la configuración permanecen intactos. Si queremos cambiar alguna información más, habrá que entrar en la ficha de Propiedades del usuario.


Capítulo 11

10. Actualizar: Produce un refresco de la pantalla 11. Propiedades: La

ventana Propiedades de un usuario del dominio puede tener hasta una docena de pestañas, dependiendo de la configuración del dominio. Toda la información introducida en la ventana Propiedades se puede utilizar como la base de una búsqueda en el Active Directory. Por ejemplo, se puede buscar el número de teléfono o el departamento de un usuario buscando por los apellidos del usuario.

Desbloqueo de cuentas de usuario

Si un usuario viola una directiva de grupo, como exceder el limite de intentos de inicio de sesión fallidos, directiva de grupo bloqueará la cuenta. Cuando una cuenta esta bloqueada, no se puede utilizar para iniciar sesión en el sistema. Para desbloquear una cuenta de usuario hay que seguir estos pesos:

1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. 2. En el árbol de la consola hay que pulsar en la OU que contiene la cuenta bloqueada. 3. Pulsar con el botón derecho del ratón en la cuenta de usuario en el panel de detalles y escoger

Propiedades en el menú contextual. 4. En la ventana Propiedades, hay que pulsar en la pestaña Cuenta. 5. Desactivar la casilla de verificación junto a La cuenta esta bloqueada. Pulsar Aceptar.

De forma predeterminada, directiva de grupo no bloquea cuentas a causa de intentos de inicio de sesión fallidos. Se debería crear esta configuración por razones de seguridad.

Propiedades del Usuario

Las pestañas de la ventana Propiedades de una cuenta de Usuario del dominio, son:

Pestaña General

Documenta el nombre, la descripción la ubicación de la oficina, el número de teléfono, la dirección de correo electrónico y la dirección de la pagina Web del usuario.

Pestaña Dirección

Documenta la dirección física del usuario.


Capítulo 11

Pestaña Cuenta

Documenta el nombre de inicio de sesión, las restricciones de inicio de sesión, las opciones de la contraseña y si la cuenta caduca.

Pestaña Perfil

Muestra la ruta de acceso al perfil del usuario, la ruta de acceso de cualquier archivo de comandos que se ejecuta en el inicio de sesión, la ruta de acceso al directorio principal y cualquier conexión automática de unidades.

● Perfil de Usuario: ❍ Ruta de acceso al perfil: Se debe especificar la ruta completa de acceso al perfil del

usuario. ❍ Archivos de comandos de inicio de Sesión: Se especifica el nombre de la secuencia de

comandos de inicio de sesión que va a utilizar esta cuenta de usuario. Las secuencias de comandos de inicio de sesión están almacenadas en el recurso compartido NETLOGON, que se encuentra en %systemroot%\SYSVOL\[nombre de dominio DNS]\scripts.

● Directorio principal: ❍ Ruta de acceso local: Se debe introducir la ruta hacia la carpeta particular a la que el

usuario puede tener acceso y que contiene archivos y programas de dicho usuario. Se puede asignar una carpeta particular de red a un usuario individual o la pueden compartir muchos usuarios. Si no se asigna aquí ninguna carpeta particular de red o local, la carpeta particular predeterminada se encuentra en la unidad donde está instalado Windows 2000 en el equipo del usuario.

❍ Conecta: Hay que especificar la letra de unidad que se le proporcionará a esa conexión. ❍ A: En este espacio hay que escribir la ruta de acceso a la red. Para especificar una ruta de

acceso de red para el directorio particular, deberá crear primero un recurso compartido y establecer los permisos que concedan acceso al usuario. Puede hacerlo utilizando carpetas compartidas en otro equipo.

Los directorios o carpetas principales son almacenes que se pueden proporcionar en un servidor de red para los documentos de los usuarios. Situar los directorios principales en un servidor de archivos de la red tiene varias ventajas:

● La copia de seguridad de los documentos de usuario esta centralizada. ● Los usuarios pueden acceder a sus directorios principales desde cualquier equipo cliente. ● Se puede acceder a los directorios principales desde clientes que ejecuten cualquier sistema

operativo de Microsoft (incluyendo MS-DOS y todas las versiones de Windows).

Los contenidos de los directorios principales no son parte de los perfiles de usuario, por lo que no afectan al trafico de la red durante el inicio de sesión. (Un directorio principal también puede estar en un equipo


Capítulo 11

cliente, pero esto esta bastante en contra de su propósito.)

Para crear un directorio principal en un servidor de archivos de la red, hay que seguir estos pasos:

1. En el servidor hay que crear una nueva carpeta para los directorios compartidos. Hay que pulsar con el botón derecho del ratón en la nueva carpeta y escoger Propiedades en el menú contextual.

2. Pulsar en la pestaña Compartir y en Compartir esta carpeta. 3. Pulsar en la pestaña Seguridad y eliminar el Control total predeterminado del grupo Todos y

asignar Control total al grupo Usuarios. (Esta configuración evitara que nadie excepto las cuentas de usuario del dominio puedan acceder a la carpeta.)

Los directorios principales se deberían almacenar en una partición con formato NTFS. Los directorios principales en una partición FAT solo se pueden asegurar asignando permisos a la carpeta compartida usuario por usuario.

Para proporcionar un directorio principal a un usuario, se debe añadir la ruta de acceso de la carpeta a las propiedades de la cuenta de usuario. Hay que seguir estos pasos para otorgar a un usuario acceso a un directorio principal:

1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas.

2. Pulsar la OU que contiene la cuenta de usuario. Pulsar con el botón derecho del ratón en el nombre del usuario y escoger Propiedades en el menú contextual.

3. Pulsar en la pestaña Perfil. 4. En el área Directorio principal hay que pulsar la opción Conectar y especificar una letra de unidad

a utilizar para conectarse al servidor de archivos.

En el cuadro A hay que especificar el nombre UNC de la conexión; por ejemplo, \\nombre_del_servidor\carpeta_compartida\nombre_de_inicio_de sesion_del_usuario. Si se utiliza la variable %username%, se le dará al directorio principal el nombre de inicio de sesión del usuario.

Pestaña Teléfonos

Enumera números de teléfono adicionales como el teléfono de un localizador, de un móvil o de Internet.


Capítulo 11

Pestaña Organización

Documenta el título, el departamento, la organización, el administrador y las supervisiones directas del usuario.

Pestaña Miembro de

Enumera las pertenencias a grupos del usuario.

Pestaña Marcado

Documenta el acceso telefónico del usuario.

Pestañas Entorno, Sesiones, Control remoto, Perfil de Servicios de Terminal Server

Documenta el perfil de Servicios de Terminal Server del usuario.

Búsqueda de cuentas de usuario

Para buscar un cuenta de usuario en particular hay que abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas y, en la barra de herramientas, pulsar el icono Encontrar.

Esto abre el cuadro de dialogo Buscar Usuarios, contactos y grupos. Sin embargo, no hay que dejarse engañar. Si se abre la lista desplegable del cuadro Buscar se observara que se puede utilizar esta herramienta para buscar equipos, impresoras, carpetas compartidas, departamentos y mucho más.

Para buscar un usuario especifico, hay que seleccionar el ámbito de la búsqueda en el cuadro En. Se puede escribir un nombre, parte de un nombre o algún otro elemento descriptivo que sea parte del perfil del usuario, y pulsar Buscar ahora. Una búsqueda con parte de un nombre devuelve todos los usuarios con ese elemento en sus nombres.


Capítulo 11

Cuanto más grande sea la red, más especifica tendrá que ser la búsqueda. En un entorno con una gran red, se puede limitar la búsqueda a una unidad organizativa especifica. Hay que abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. Hay que pulsar con el botón derecho del ratón en la OU en la que se este interesado y seleccionar Buscar en el menú contextual.

Directorios principales

Mantenimiento de perfiles de usuario

Un perfil es un entorno personalizado específicamente para un usuario. El perfil contiene la configuración del escritorio y de los programas del usuario. Cada usuario tiene un perfil, tanto si el administrador lo configura como si no, porque se crea un perfil automáticamente para cada usuario cuando inicia sesión en un equipo. Los perfiles ofrecen numerosas ventajas:

● Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de cada uno recuperada al iniciar la sesión al mismo estado en que estaba cuando cerró la sesión.

● Los cambios hechos por un usuario en el escritorio no afectan a otro usuario. ● Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios a cualquier

equipo de la red que ejecute Windows 2000 o Windows NT 4.

Desde el punto de vista de un administrador, la información del perfil puede ser una valiosa herramienta para configurar perfiles de usuario predeterminados para todos los usuarios de la red o para personalizar los perfiles predeterminados para diferentes departamentos o clasificaciones del trabajo. También se pueden configurar perfiles obligatorios que permitan a un usuario hacer cambios en el escritorio mientras esta conectado, pero no guardar ninguno de los cambios. Un perfil obligatorio siempre se muestra exactamente igual cada vez que un usuario inicia sesión. Los tipos de perfiles son los siguientes:

● Perfiles locales: Perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es especifico de un usuario, local al equipo y se almacena en el disco duro del equipo local.

● Perfiles móviles: Perfiles creados por un administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier maquina Windows 2000 o Windows NT 4 de la red.

● Perfiles obligatorios: Perfiles móviles que solo pueden ser modificados por un administrador.

Todos los perfiles comienzan como una copia del perfil Default User que esta instalado en cualquier equipo que ejecuta Windows 2000. La información del registro para Default User se encuentra en el archivo Ntuser.dat incluido en el perfil Default User. Dentro de cada perfil se encuentran las siguientes carpetas:

● Configuración local: Datos de programa, Historial y Archivos temporales. ● Cookies: Mensajes enviados a un navegador Web por un servidor Web y

almacenados localmente para registrar información y preferencias del usuario.


Capítulo 11

● Datos de programa: Configuraciones especificas de programa determinadas por el fabricante del programa además de configuración de seguridad especifica del usuario.

● Entorno de red: Accesos directos a Mis sitios de red. ● Escritorio: Archivos, carpetas, accesos directos del escritorio y su apariencia. ● Favoritos: Accesos directos a ubicaciones favoritos, en particular sitios Web. ● Impresoras: Accesos directos a elementos de la carpeta Impresoras. ● Menú Inicio: Elementos del menú Inicio del usuario. ● Mis documentos: Documentos del usuario y Mis imágenes, que contiene los

archivos gráficos del usuario. ● Plantillas: Plantillas de programas. ● Reciente: Accesos directos a las carpetas y archivos más recientemente utilizados. ● SendTo: Elementos del menú Enviar a.

De forma predeterminada, solo Cookies, Escritorio, Favoritos, menú Inicio y Mis documentos son visibles en el Explorador de Windows. Las otras carpetas están ocultas; para verlas es necesario seleccionar Opciones de carpeta, pulsar en la pestaña Ver y seleccionar Mostrar todos los archivos y carpetas ocultos.

Perfiles locales

Los perfiles locales se crean en los equipos cuando los usuarios individuales inician sesión. En un equipo actualizado desde Windows NT 4, el perfil se almacena en la carpeta Perfiles de la partición raíz del sistema. En un equipo con una nueva instalación de Windows 2000, el perfil del usuario esta en la carpeta Documents and Settings.

La primera vez que un usuario inicia sesión en un equipo, se genera una carpeta de perfil para el usuario, y los contenidos de la carpeta Default User se copian en ella. Cualquier cambio realizado por el usuario al escritorio se almacena en ese perfil de usuario cuando cierra la sesión.

Si un usuario tiene una cuenta local en el equipo además de una cuenta de dominio a inicia sesión varias veces utilizando ambas cuentas, el usuario tendrá dos carpetas de perfil en el equipo local: una para cuando el usuario inicie sesión en el dominio utilizando la cuenta de usuario del dominio y otra para cuando el usuario inicie sesión localmente en el equipo. El perfil local se mostrará con el nombre de inicio de sesión. El perfil de dominio también se mostrara con el nombre de inicio de sesión, pero llevara añadido el nombre del dominio.

Perfiles móviles

Los perfiles móviles son una gran ventaja para los usuarios que utilizan frecuentemente más de un equipo. Un perfil móvil se almacena en un servidor y, después de que el inicio de sesión del usuario sea autentificado en el servicio de directorio, se copia al equipo local. Esto permite al usuario tener el mismo


Capítulo 11

escritorio, la configuración de las aplicaciones y la configuración local en cualquier maquina que ejecute Windows 2000 o Windows NT 4.

El funcionamiento es: se asigna una ubicación de un servidor para perfiles de usuario y se crea una carpeta compartida con los usuarios que tengan perfiles móviles. Se introduce una ruta de acceso a esa carpeta en la ventana propiedades de los usuarios. La siguiente vez que el usuario inicie sesión en un equipo, el perfil del servidor se descarga al equipo local. Cuando el usuario cierra la sesión, el perfil se almacena tanto localmente como en la ubicación de la ruta de acceso al perfil del usuario. La especificación de la ruta de acceso al perfil del usuario es todo lo que hace falta para convertir un perfil local en un perfil móvil, disponible en cualquier parte del dominio.

Cuando el usuario inicia sesión de nuevo, el perfil del servidor se compara con la copia en el equipo local y se carga para el usuario la más reciente. Si el servidor no esta disponible, se utiliza la copia local. Si el servidor no esta disponible y es la primera vez que el usuario ha iniciado sesión en el equipo, se crea un perfil de usuario localmente utilizando el perfil Default User. Cuando un perfil no es descargado a un equipo local a causa de problemas con el servidor, el perfil móvil no se actualiza cuando el usuario cierra la sesión.

Hay que colocar los perfiles de usuario en un servidor miembro en lugar de en un controlador de dominio para acelerar el proceso de autentificación y para evitar utilizar la potencia de procesamiento y el ancho de banda de un controlador de dominio para la descarga de perfiles. Además, conviene situar los perfiles en un servidor del que se hagan copias de seguridad regularmente para que las copias de los perfiles móviles sean lo más recientes posible.

Configuración de los perfiles móviles

Para configurar un perfil móvil simplemente hay que asignar una ubicación en un servidor y completar los siguientes pasos:

1. Crear una carpeta compartida en el servidor para los perfiles. 2. En la pestaña Perfil de la ventana Propiedades de la cuenta de usuario hay que proporcionar una

ruta de acceso a la carpeta compartida, como \\nombre_del_servidor\carpeta_de_perfiles_compartida\%username%.

Una vez que se ha creado una carpeta de perfiles compartida en un servidor y se ha suministrado una ruta de acceso al perfil en la cuenta del usuario, se ha habilitado un perfil móvil. La configuración del usuario de su escritorio se copia y almacena en el servidor y estará disponible para el usuario desde cualquier equipo. Sin embargo, la mayor parte del tiempo no se deseará que los usuarios tengan que arreglárselas solos. La vida es más fácil para ellos y para el administrador si se asigna un perfil personalizado a los usuarios que ya este configurado con los accesos directos, conexiones de red y elementos del menú Inicio apropiados. Para esto, será necesario configurar perfiles personalizados.


Capítulo 11

Perfiles obligatorios

Si se va a realizar todo el trabajo de asignar perfiles personalizados, indudablemente se deseara hacer que esos perfiles sean obligatorios. Un perfil obligatorio se puede asignar a múltiples usuarios. Cuando se modifica un perfil obligatorio, el cambio se realiza en los entornos de todos los usuarios a los cuales se haya asignado el perfil obligatorio. Para convertir un perfil en un perfil obligatorio, se debe renombrar el archivo oculto Ntuser.dat a Ntuser.man.

Asignación de secuencias de comandos de inicio de sesión a perfiles de usuario

Se pueden asignar secuencias de comandos de inicio de sesión por medio del perfil o a través de Directiva de grupo. Para asignar una secuencia de comandos a un perfil, hay que seguir estos pasos:

1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. 2. En el árbol de la consola hay que pulsar Users. Pulsar con el botón derecho del ratón en la cuenta

de usuario y escoger Propiedades. 3. Pulsar en la pestaña Perfil a introducir el nombre de la secuencia de comandos de inicio de sesión

en el cuadro Archivo de comandos de inicio de sesión. 4. Pulsar Aceptar cuando se haya terminado.

Windows 2000 siempre busca las secuencia de comandos de inicio de sesión en el mismo lugar: en el controlador de dominio de autentificación en la ruta de acceso %SystemRoot%\SYSVOL\sysvol\nombre_del_ dominio. Las secuencias de comandos de esta carpeta se pueden introducir en la ruta de acceso Archivo de comandos de inicio de sesión solo con el nombre. Si se utilizan carpetas dentro de la carpeta Scripts, se debe mostrar la parte de la ruta de acceso en la ruta de acceso Archivo de comandos de inicio de sesión. Las secuencias de comandos de inicio de sesión también se pueden crear en VBScript y Jscript. La replica de las secuencias de comandos de inicio de sesión a todos los controladores de dominio es automática en volúmenes NTFS en servidores Windows 2000. Otros tipos de archivos, como los archivos FAT, se deben replicar manualmente.

Las variables de secuencias de comando de inicio de sesión son:

● %homedrive%: Letra de la unidad de disco que contiene el directorio principal del usuario en la estación de trabajo local del usuario.

● %homepath%: Ruta de acceso completa al directorio principal del usuario. ● %os%: Sistema operativo del usuario. ● %processor_architecture%: Tipo de procesador de la estación de trabajo del usuario. ● %processor_level%: Nivel de procesador de la estación de trabajo del usuario. ● %userdomain%: Dominio donde esta definida la cuenta del usuario. ● %username%: Nombre del usuario de la cuenta.

Configuración de recursos compartidos y permisos


Capítulo 11

Como se ha mencionado antes, el objetivo principal de una red es compartir recursos entre los usuarios. Sin embargo, compartir es también una extensión de las características de seguridad que comienzan con las cuentas de usuario y las contraseñas. El objetivo como administrador del sistema es asegurarse de que todo el mundo pueda utilizar los recursos que necesita sin comprometer la seguridad de los archivos y el resto de los recursos. Se pueden otorgar a los usuarios tres tipos de capacidades:

● Derechos: están asignados a los grupos predefinidos, pero el administrador puede extender los derechos a grupos o individuos.

● Recursos compartidos: Directorios o unidades de disco que están compartidos en la red. ● Permisos: Capacidades del sistema de archivos que se pueden conceder tanto a individuos como

a grupos.

En el curso de eventos normal, solo habrá que ocuparse de los derechos en raras ocasiones. Sin embargo, los recursos compartidos y los permisos son el corazón de las responsabilidades de un administrador.

En un volumen NTFS, Windows 2000, al igual que Windows NT Server, permite una seguridad tan granular que es prácticamente microscópica. Se pueden establecer permisos de varios tipos, incluyendo permisos en archivos individuales. Esto representa realmente una tentación para el administrador para gestionar al detalle cada recurso. El mejor consejo que se puede dar es no caer en esta tentación. Se debe comenzar con la menor restricción posible y añadir restricciones solo cuando se requieran.

Los recursos compartidos y los permisos, aunque pueden parecer muy similares, no son lo mismo y es importante comprender las diferencias. Los recursos compartidos se aplican a unidades de disco y directorios. Hasta que una unidad de disco o carpeta es compartida en la red, los usuarios no pueden verla u obtener acceso a ella. Una vez que se comparte la carpeta, todo el mundo en la red puede, de forma predeterminada, acceder a todos los archivos de la carpeta y a todas las subcarpetas de esa carpeta, etc.

En un volumen FAT, se puede compartir una unidad de disco o carpeta y añadir después restricciones adicionales en forma de permisos del recurso compartido. Estos permisos solo se aplican a nivel de unidad de disco o carpeta -no a nivel de archivo- y están limitados a permitir o denegar Control total, Leer y Modificar.

En volúmenes NTFS, los directorios tienen los mismos permisos de recurso compartido que los de un volumen FAT, pero hay disponible otra capa de permisos sobre esos. Cada carpeta tiene una ventana Propiedades de Seguridad que permite restricciones más precisas. Cada archivo también tiene una ventana Propiedades de Seguridad que permite que el acceso sea concedido o denegado para archivos individuales. Estos permisos de carpeta y permisos de archivo pueden restringir el acceso tanto a través de la red como localmente. Por ejemplo, se puede dejar el permiso de recurso compartido de una carpeta con la configuración predeterminada, permitiendo Control total a Todos, y utilizar la


Capítulo 11

ventana Propiedades de Seguridad para establecer permisos más restrictivos por grupos o individualmente, tanto a la carpeta como un todo como archivo por archivo dentro de la carpeta.

Los permisos del recurso compartido determinan el acceso máximo en la red. Esto significa que si se establecen permisos de recurso compartido que permiten Leer pero deniegan Modificar, todos los usuarios se verán restringidos a Leer cuando accedan al recurso compartido desde la red. Sin embargo, se puede conceder a un usuario acceso más amplio que estará disponible cuando el usuario inicie sesión localmente. O se puede bloquear la herencia de permisos en una subcarpeta y otorgar a un usuario Control total de la subcarpeta en la red, mientras que la carpeta primaria permanece con solo Leer.

Los recursos compartidos no tienen efecto en usuarios que inicien sesión localmente. Para los usuarios que iniciaran sesión localmente en una partición NTFS, se puede restringir el acceso utilizando permisos.

Recursos compartidos especiales

Además de los recursos compartidos creados por un usuario o un administrador, el sistema crea varios recursos compartidos especiales que se deberían modificar o eliminar. El recurso compartido especial que más probablemente se verá es el recurso compartido ADMIN$ que aparece como C$, D$, E$, etc. Estos recursos compartidos permiten a los administradores conectarse a unidades que en otro caso no estarían compartidas.

Los recursos compartidos especiales existen como parte de la instalación del sistema operativo. Dependiendo de la configuración del equipo, estarán presentes algunos o todos de los siguientes recursos compartidos especiales. Ninguno de ellos debería modificarse o eliminarse.

● ADMIN$: Se utiliza durante la administración remota de un equipo. La ruta de acceso es siempre la ubicación de la carpeta en la que Windows se instaló (esto es, la raíz del sistema). Solo los Administradores, Operadores de copia y Operadores de servidores se pueden conectar a este recurso compartido.

● letraunidad$: La carpeta raíz de la unidad especificada. Sólo los Administradores, Operadores de copia y Operadores de servidores se pueden conectar a estos recursos compartidos en un servidor Windows 2000. En un equipo Windows 2000 Professional, sólo los Administradores y Operadores de copia pueden conectarse a estos recursos compartidos.

● IPC$: Utilizado durante la administración remota y cuando se revisan los recursos compartidos. Este recurso compartido es esencial en la comunicación y no se debe cambiar, modificar o eliminar.

● NETLOGON: Lo utiliza el servicio Inicio de sesión de red de un servidor que ejecuta Windows NT Server cuando procesa los inicios de sesión en el dominio. Este recurso solo se proporciona en servidores, no en Windows NT Workstation.


Capítulo 11

● PRINT$: Un recurso que soporta impresoras compartidas. ● REPL$: Se crea en un servidor cuando un cliente de fax esta enviando un fax.

Para conectarse a una unidad de disco no compartida en otro equipo, hay que utilizar la barra de direcciones de cualquier ventana a introducir la dirección, utilizando la sintaxis:

\\nombre_equipo\[letraunidad]$

Para conectarse a la carpeta raíz del sistema (la carpeta en la cual esta instalado Windows) en otro equipo hay que utilizar la sintaxis:

\\nombre_equipo\admin$

El resto de recursos compartidos especiales como IPC$ y PRINT$ los crea y utiliza únicamente el sistema. NETLOGON es un recurso compartido especial en servidores Windows 2000 y Windows NT y se utiliza cuando se procesan peticiones de inicio de sesión en el dominio.

Unidades compartidas y permisos en NTFS frente a FAT

En particiones con formato FAT se pueden restringir los archivos solo a nivel de carpeta, sólo desde la red y sólo si la carpeta esta compartida. Para alguien que inicie sesión localmente, los recursos compartidos no tendrán efecto.

En un volumen NTFS, los directorios pueden ser compartidos y también restringidos más profundamente a causa del significado de los permisos. En un volumen NTFS, se deberían utilizar los permisos de carpetas y archivos para el control de la seguridad tanto localmente como desde la red y permitir acceso de Control total a Todos en el recurso compartido.

Carpetas compartidas

La forma más sencilla de crear carpetas compartidas es utilizar la herramienta Configurar el servidor del menú Herramientas administrativas. Para hacerlo, hay que seguir estos pasos:

1. Abrir Configurar el servidor y pulsar Servidor de archivos en la columna de la izquierda. 2. Pulsar el vinculo Iniciar el Asistente para carpetas compartidas para abrir el cuadro de dialogo

Crear carpeta compartida. 3. Introducir el nombre y ruta de acceso de la carpeta y un nombre del recurso compartido. 4. Seleccionar los permisos de recurso compartido que se desean asignar a la carpeta teniendo en

cuenta que casi siempre es mejor controlar el acceso por medio de permisos en lugar que con recursos compartidos. Pulsar Finalizar cuando se haya terminado.

Se pueden definir recursos compartidos directamente pulsando con el botón derecho del ratón en una


Capítulo 11

carpeta, escogiendo Propiedades en el menú contextual y pulsando después en la pestaña Compartir.

Si hay maquinas basadas en MS-DOS en la red (lo que incluye versiones de Windows hasta la 3.11) que accederán a una carpeta compartida, hay que seguir el convenio de denominación 8.3 en el nombre del recurso compartido. Un nombre de recurso compartido que no se ajuste al estándar de denominación 8.3 de MS-DOS no lo podrán ver usuarios con maquinas MS-DOS o Windows 3.x.

Los nombres de los archivos o directorios pueden tener hasta 255 caracteres. Los usuarios de MS-DOS que se conecten al archivo o carpeta desde la red verán el nombre en el formato 8.3. Windows NT truncara los nombres largos a un tamaño que una maquina MS-DOS pueda reconocer, pero no lo hará con los nombres de recursos compartidos. Windows 2000 convierte los nombres largos en nombres cortos utilizando las siguientes reglas:

● Los espacios se eliminan. ● Los caracteres que no se permiten en los nombres MS-DOS son reemplazados por

subrayados (_). ● El nombre se reduce a sus primeros seis caracteres restantes y después se añade

una tilde y un digito. Para el primer archivo, el digito será 1. Para un segundo archivo que utilice los mismos seis caracteres, el digito será 2. Por ejemplo, un archivo llamado Presupuestos para marzo se reducirá a PRESUP~1. Un segundo archivo, llamado Presupuestos para el segundo trimestre, se reducirá a PRESUP~2.

● Si el nombre largo tiene algún punto seguido de otros caracteres, el ultimo punto y los siguientes tres caracteres se utilizan como extensión del archivo en la versión corta del nombre del archivo. Por lo que un archivo llamado Diciembre.Ventas.Presentacion se reducirá a DICIEM~1.PRE.

Como se puede observar, los nombres largos de archivo pueden ser bastante misteriosos cuando se truncan. Si la red incluye equipos MS-DOS, puede ser útil continuar utilizando convenios de denominación MS-DOS para los primeros seis caracteres. Los archivos de presupuestos utilizados arriba como ejemplos podrían convertirse en MARPRE~Presupuestos para marzo.XLS y 2DOTR~Presupuestos para el segundo trimestre.XLS. Para el equipo MS-DOS, los archivos aparecerán como MARPRE~1.XLS y 2DOTR~1.XLS.

Creación de un nuevo recurso compartido para una carpeta compartida

Una única carpeta puede ser compartida más de una vez. Por ejemplo, un recurso compartido podría incluir Control total para Administradores y otro recurso compartido para usuarios podría ser más restrictivo. Para añadir un nuevo recurso compartido, hay que seguir estos pasos:


Capítulo 11

1. Buscar la carpeta compartida en el Explorador de Windows y pulsar con el botón derecho del ratón en ella. Hay que escoger Compartir en el menú contextual.

2. En el cuadro de dialogo que se abre, hay que pulsar el botón Nuevo recurso compartido. 3. En el cuadro de dialogo Nuevo recurso compartido hay que introducir un nuevo Nombre de

recurso compartido. (Cada recurso compartido debe tener un nombre único.) Hay que establecer un limite de usuarios, si es necesario.

4. Pulsar Permisos para restringir el acceso. De nuevo, de forma predeterminada, la carpeta compartida otorga Control total a todos los usuarios.

Desconexión de carpetas compartidas

Para que una carpeta deje de estar compartida, hay que abrir Administración de equipos desde el menú Herramientas administrativas. Hay que expandir Herramientas del sistema, después Carpetas compartidas y por ultimo Recursos compartidos. Hay que pulsar con el botón derecho del ratón en la carpeta compartida en el panel de detalles y escoger Dejar de compartir en el menú contextual.

En Windows NT, cuando los usuarios se conectan a un carpeta que va a dejar de estar compartida, se avisa con un cuadro de dialogo. Esto no ocurre en Windows 2000. Si se deja de compartir una carpeta a la que están conectados usuarios, los usuarios son expulsados de la carpeta sin avisos y pueden perder Information.

Permisos de recursos compartidos

Los permisos de recursos compartidos establecen el máximo ámbito de acceso disponible. Otras asignaciones de permisos (en un volumen NTFS) pueden ser más restrictivas, pero no pueden expandirse más allá de los limites establecidos por los permisos de recurso compartido.

Definición de los permisos de recursos compartidos

Para establecer permisos de recursos compartidos, hay que pulsar con el botón derecho del ratón en la carpeta y escoger Compartir en el menú contextual. Hay que pulsar el botón Permisos para abrir el cuadro de dialogo. El tipo de acceso se establece por medio de la lista de la parte inferior. Se pueden utilizar los botones Agregar y Quitar para cambiar quien accede. Los permisos de recursos compartidos se pueden asignar a usuarios individuales, a grupos y a las entidades especiales Todos, SYSTEM, INTERACTIVE, NETWORK y Usuarios autentificados.

Los tipos de permisos de recursos compartidos desde el menos al más restrictivo son:

● Leer: Permite ver los nombres de los archivos y subcarpetas, siempre se puede revisar y borrar el registro de seguridad.

● Modificar: Permite el acceso de Leer además de permitir agregar archivos y subdirectorios a la carpeta compartida, modificar la información de los archivos y eliminar archivos y subdirectorios.


Capítulo 11

● Control total: Permite todo el acceso de Modificar además de permitir cambiar permisos (solo en volúmenes NTFS) y tomar posesión (solo en volúmenes NTFS).

Asignación de directorios y unidades compartidos

Después de ir de acá para allá entre varias ventanas de Mis sitios de red para buscar una carpeta compartida, los usuarios pueden simplemente pulsar, dos veces con el ratón en la carpeta para abrirla y acceder a su contenido. Para facilitar el acceso, hay que pulsar con el botón derecho del ratón en la carpeta compartida y arrastrarla al escritorio. Hay que seleccionar Crear iconos de acceso directo aquí después de soltar el botón.

Si se utiliza frecuentemente, es sencillo conectarse a una carpeta o unidad de disco para que aparezca en el Explorador de Windows (o en Mi PC) como otra simple unidad de disco local.

Una conexión a unidad es incluso mejor que un acceso directo a un recurso importante: si se utilizan programas antiguos, no van a reconocer los sitios de red y no serán capaces de abrir o guardar archivos en ninguna otra parte salvo en el propio equipo. Si se crea una conexión a la unidad, el programa coopera porque la unidad del otro equipo parece (para el programa al menos) ser local.

Para configurar estas conexiones para los usuarios:

1. Abrir Mis sitios de red y buscar el recurso compartido al que se quiere conectar. 2. Pulsar con el botón derecho del ratón en el objeto y escoger Conectar a unidad de red en el

menú contextual. El cuadro de dialogo que aparece tiene tres entradas configurables: ● Unidad: Esta es la letra que se asignara a la nueva carpeta o unidad en el equipo local. ● Conectar utilizando un nombre de usuario diferente: Si la conexión es para alguien

distinto del usuario actual, hay que pulsar este vínculo y suministrar el nombre y contraseña del usuario.

● Conectar de nuevo al iniciar sesión: Se puede seleccionar este cuadro para que se realice automáticamente la conexión al iniciar sesión en el equipo donde reside físicamente este recurso.

3. Pulsar Finalizar cuando se haya terminado.

Desconexión de recursos conectados

Para deshacerse de una conexión a una unidad o carpeta se la puede resaltar y pulsar el botón derecho del ratón. Hay que escoger Desconectar en el menú contextual

Trabajo con carpetas compartidas

Se puede ver una lista de recursos compartidos, sesiones actuales y archivos abiertos abriendo


Capítulo 11

Administración de equipos desde el menú Herramientas administrativas y expandiendo después Carpetas compartidas.

Se puede expandir Recursos compartidos para ver una lista de las carpetas compartidas además de la siguiente información sobre cada carpeta:

● La ruta de acceso al recurso compartido. ● El tipo de conexión (Windows, Macintosh, NetWare). ● El número de usuarios conectados al recurso compartido. ● Una descripción del recurso compartido..

Se puede expandir Sesiones en el árbol de la consola para ver la siguiente información sobre los usuarios que están actualmente conectados:

● El nombre del usuario y el nombre del equipo del usuario. ● El tipo de conexión (Windows, Macintosh, NetWare). ● El número de archivos abiertos por el usuario en este recurso compartido. ● El tiempo transcurrido desde que se estableció la conexión. ● El tiempo desde que el usuario inicio por ultima vez una acción. ● Si el usuario esta conectado como invitado.

Se puede expandir Archivos abiertos en el árbol de la consola para obtener una lista de los archivos abiertos actualmente. En el panel de detalles se puede ver el nombre del archivo, quien lo abrió, el tipo de conexión, el número de bloqueos sobre el archivo (si los hay) y los permisos de recurso compartido que se concedieron cuando se abrió el archivo.

Si se comprueban habitualmente los recursos compartidos, puede ser más eficiente crear una MMC que contenga el complemento Carpetas compartidas. Se puede añadir un complemento Carpetas compartidas para cada servidor y cambiar entre ellos fácilmente.

Mantenimiento de los permisos para carpetas y archivos

En un volumen NTFS se pueden establecer permisos a nivel de archivo. Esto significa que cualquier archivo puede otorgar a los usuarios diferentes tipos de acceso. Aunque se pueden establecer esos permisos tan detallados, esto sería una locura.

Siempre hay que tratar de trabajar con los permisos más simples posibles. Hay que definir las menos restricciones posibles. Se deben asignar permisos a grupos, no individualmente. No hay que establecer permisos archivo a archivo a menos que sea inevitable. Gestionar las nimiedades de los permisos puede absorber fácil y rápidamente todo el tiempo.

Consideración de la herencia


Capítulo 11

Existen dos tipos de permisos, explícitos y heredados. Los permisos explícitos son los que se establecen en las carpetas que se crean. Los permisos heredados son aquellos que se derivan de un objeto primario a un objeto hijo. De forma predeterminada, cuando se crea una subcarpeta, hereda los permisos de la carpeta superior.

Si no se desea que los objetos hijo hereden los permisos del primario, se puede bloquear la herencia a nivel primario o a nivel hijo. Donde se bloquea la herencia es importante. Si se bloquea a nivel primario, ninguna subcarpeta heredará permisos. Si se bloquea selectivamente a nivel hijo, algunas carpetas heredarán permisos y otras no.

Para bloquear la herencia a nivel primario, hay que escoger Solo esta carpeta cuando se asignan permisos especiales. Para evitar que un cierto archivo o carpeta herede permisos, hay que pulsar con el botón derecho del ratón en la carpeta, seleccionar Propiedades y pulsar después en la pestaña Seguridad. Hay que desactivar la casilla de verificación hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto.

Si las casillas de verificación de los permisos aparecen sombreadas, significa que los permisos son heredados de un objeto primario. Hay tres formas de cambiar esta situación:

● Desactivar la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Una vez que este desactivada la casilla de verificación, se pueden hacer cambios en los permisos o cambiar los usuarios o grupos de la lista.

● Cambiar los permisos en la carpeta primaria. ● Seleccionar el permiso opuesto -Permitir o Denegar- para sustituir el permiso heredado.

Si ni Permitir ni Denegar esta activo, los usuarios/grupos pueden haber adquirido el permiso por medio de la pertenencia a un grupo. En otro caso, un fallo al configurar explícitamente Permitir o Denegar deniega efectivamente el permiso.

Significado de los permisos

Windows 2000 Server posee un conjunto de permisos estándar que son combinaciones de clases de acceso especificas. Los permisos individuales son Control Total, Modificar, Lectura y ejecución, Listar el contenido de la carpeta, Leer y Escribir.

Los permisos de archivo incluyen Control total, Modificar, Lectura y ejecución, Leer y Escribir. Al igual que con las carpetas, cada uno de estos permisos controla un grupo de permisos especiales.

Permisos especiales para las carpetas


Capítulo 11

Permiso especial Control total

Modificar Lectura y ejecución

Listar el contenido de la carpeta

Leer Escribir

Recorrer carpeta/Ejecutar archivo

Sí Sí Sí Sí Sí No

Listar carpeta/Leer datos


Atributos de lectura Sí Sí Sí Sí Sí No

Atributos extendidos de lectura


Crear archivos/Escribir datos

Sí Sí No No No Sí

Crear carpetas/Anexar datos


Atributos de escritura


Atributos extendidos de escritura


Eliminar subcarpetas y archivos

Sí No No No No No

Eliminar Sí Sí No No No No

Permisos de lectura Sí Sí Sí Sí Sí Sí

Cambiar permisos Sí No No No No No

Tomar posesión Sí No No No No No

Permisos especiales asociados con los permisos estándar


Capítulo 11

Permiso Especial Control Total

Modificar Lectura y Ejecución

Listar el contenido e la carpeta

Leer Escribir

Recorrer carpeta/Ejecutar archivo

Sí Sí Sí No No No

Listar carpeta/Leer datos

Sí Sí Sí Sí No No

Atributos de lectura Sí Sí Sí Sí No No

Atributos extendidos de lectura

Sí Sí Sí Sí No No

Crear archivos/Escribir datos


Crear carpetas/Anexar datos


Atributos de escritura


Atributos extendidos de escritura


Eliminar subcarpetas y archivos

Sí No No No No No

Eliminar Sí Sí No No No

Permisos de lectura Sí Sí Sí Sí Sí Sí

Cambiar permisos Sí No No No No No

Tomar posesión Sí No No No No No

Cualquier usuario o grupo que tenga asignado Control total en una carpeta puede eliminar archivos y subcarpetas independientemente de los permisos que tengan los archivos o subcarpetas individuales.

Funcionamiento de los permisos

Si no se realiza ninguna acción en absoluto, los archivos y carpetas dentro de una carpeta compartida tendrán los mismos permisos que el recurso compartido. Se pueden asignar permisos tanto para directorios como para archivos a:


Capítulo 11

● Grupos locales de dominio, grupos globales, grupos universales y usuarios individuales. ● Grupos globales, grupos universales y usuarios individuales de dominios en los que confía este

dominio. ● Identidades especiales como Todos y Usuarios autentificados.

Las reglas importantes para los permisos se pueden resumir como sigue:

● De forma predeterminada, una carpeta hereda permisos de su carpeta primaria. Los archivos heredan sus permisos de la carpeta en la que residen.

● Los usuarios pueden acceder a una carpeta o archivo si se les ha concedido permiso para hacerlo o si pertenecen a un grupo que tiene permiso concedido. Los permisos son acumulativos, pero el permiso Denegar gana al resto.

● El usuario que crea un archivo o carpeta es el propietario de ese objeto y puede establecer permisos para controlar el acceso.

● Un administrador puede tomar posesión de cualquier archivo o carpeta, pero no puede ceder la propiedad a nadie más.

Configuración de los permisos de las carpetas

Antes de compartir una carpeta en un volumen NTFS, hay que establecer todos los permisos en la carpeta. Cuando se establecen permisos de carpeta se están estableciendo también permisos en todos los archivos y subcarpetas de la carpeta.

Para asignar permisos a una carpeta, hay que pulsar con el botón derecho del ratón en la carpeta en el Explorador de Windows y escoger Propiedades. Después hay que pulsar en la pestaña Seguridad y seleccionar los Permisos.

Para eliminar un individuo o grupo de la lista, basta con resaltar el nombre y pulsar Quitar.

Para añadir a la lista de aquellos con permisos, hay que pulsar el botón Agregar. Esto abre el cuadro de dialogo Seleccionar Usuarios, Equipos y Grupos.

Hay que pulsar Aceptar cuando se haya terminado y se abrirá el cuadro Permisos de carpeta con los nuevos nombres.

Asignación de permisos a los archivos

Los permisos para archivos individuales se asignan de la misma forma que para las carpetas. Sin embargo, existen algunas consideraciones especiales:


Capítulo 11

● Hay que recordar el conceder permisos a grupos en lugar de a individuos. ● Hay que crear grupos y asignarles permisos de archivos en lugar de asignar permisos directamente

a grupos locales.

Configuración de permisos especiales

En algunas circunstancias, puede ser necesario establecer, cambiar o eliminar permisos especiales bien en un archivo o bien en una carpeta. (Los permisos especiales de una carpeta sólo afectan a la carpeta.) Para acceder a los permisos especiales, hay que seguir estos pasos:

1. En el Explorador, hay que pulsar con el botón derecho del ratón en el archivo o carpeta y escoger Propiedades en el menú contextual.

2. Pulsar en la pestaña Seguridad y pulsar después el botón Avanzada. ● Para añadir un usuario o grupo, hay que pulsar el botón Agregar. Hay que pulsar dos

veces con el ratón en el nombre del usuario o grupo para abrir el cuadro de diálogo Entrada de permiso.

● Para ver o modificar los permisos especiales existentes, hay que resaltar el nombre del usuario o grupo y pulsar el botón Ver o modificar.

● Para eliminar los permisos especiales, hay que resaltar el nombre del usuario o grupo y pulsar Quitar. Si el botón Quitar está atenuado, hay que desactivar la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto y saltar al paso 6.

3. En el cuadro de diálogo Entrada de permiso, hay que seleccionar dónde se desean aplicar los permisos en el cuadro Aplicar en. Aplicar en sólo está disponible para, carpetas.

4. En Permisos hay que pulsar Permitir o Denegar para cada permiso. 5. Para evitar que las subcarpetas y archivos hereden estos permisos hay que seleccionar Aplicar

estos permisos a objetos y/o contenedores sólo dentro de este contenedor. 6. Pulsar Aceptar para cerrar los cuadros de diálogo.

Aplicación de los permisos especiales cuando está seleccionado Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor

Selección en Aplicar en

¿Se aplica a la carpeta actual?

¿Se aplica a subcarpetas de la carpeta actual?

¿Se aplica a archivos de la carpeta actual?

¿Se aplica a las carpetas posteriores?

¿Se aplica a archivos en las carpetas posteriores?

sólo esta carpeta

Sí No No No No

Esta carpeta, subcarpeta y archivos

Sí Sí Sí No No


Capítulo 11

Esta carpeta y subcarpeta

Sí Sí No No No

Esta carpeta y archivos

Sí No Sí No No

sólo subcarpetas y archivos

No Sí Sí No No

sólo subcarpetas

No Sí No No No

sólo archivos

No No Sí No No

En el cuadro, de diálogo Entrada de permiso de las carpetas se puede escoger cómo y dónde aplicar los permisos especiales.

Aplicación de los permisos especiales cuando está seleccionado Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor

Selección en Aplicar en

¿Se aplica a la carpeta actual?

¿Se aplica a subcarpetas de la carpeta actual?

¿Se aplica a archivos de la carpeta actual?

¿Se aplica a las carpetas posteriores?

¿Se aplica a archivos en las carpe tas posteriores?

Sólo esta carpeta

Sí No No No No

Esta carpeta, subcarpeta y archivos

Sí Sí Sí Sí Sí

Esta carpeta y subcarpeta

Sí Sí No Sí No

Esta carpeta y archivos

Sí No Sí No Sí

sólo subcarpetas y archivos

No Sí Sí Sí Sí

sólo subcarpetas

No Sí No Sí No

Sólo archivos

No No Sí No Sí


Capítulo 11

La propiedad y su funcionamiento

Como se ha podido observar, los Administradores y los miembros de otros pocos grupos selectos son los únicos que pueden conceder y cambiar permisos. La excepción se produce cuando, un usuario es el propietario de la carpeta o archivo en cuestión. Todo objeto en una partición NTFS tiene un propietario y el propietario es la persona que creó el archivo o la carpeta. El propietario controla el acceso al archivo o carpeta y puede dejar fuera, a quien elija.

Para ver quién tiene permiso para acceder a su nueva carpeta, Maximiliano, pulsa con el botón derecho del ratón en la carpeta y escoge Propiedades y después pulsa en Seguridad.

Para su sorpresa aparece que todo el mundo en la red tiene acceso a su material "privado". Pero dado que Maximiliano, es el propietario de la carpeta, puede cambiar los permisos para tener la carpeta toda para él. Para hacer eso, añade explícitamente su nombre a la lista, de permisos y desactiva la opción Hacer posible que los permisos sean heredables.

Después de hacer esto, incluso el administrador verá un mensaje de Acceso denegado cuando, trate de abrir la carpeta.

Por supuesto, nada en la red puede estar completamente más allá del alcance de los administradores, por lo que el administrador puede pulsar con el botón derecho del ratón en la carpeta, y escoger Propiedades en el menú contextual. Cuando pulse en la pestaña Seguridad, se abre el cuadro informativo.

En la ventana Propiedades de Seguridad no se pueden hacer cambios. Sin embargo, si el administrador pulsa el botón Avanzada y después en la pestaña Propietario, puede cambiar el propietario de la carpeta a un administrador.

No importa cual sea el estado de la carpeta, el administrador puede adquirir su propiedad. Cuando Maximiliano inicie sesión la próxima vez, aún tendrá acceso a Material privado de Max, pero si pulsa Avanzada y después Propietario, verá que no es el propietario de la carpeta. De este modo, aún cuando los administradores pueden entrar en todas las áreas sin invitación, no pueden hacerlo sin dejar evidencias de su presencia.

El propietario de un archivo o carpeta también puede conceder el permiso especial Tomar posesión a otros, permitiendo a esos usuarios adquirir la propiedad en cualquier momento.


Capítulo 11


Capítulo 12

Capítulo 12

La tarea central de una red es asegurar que los clientes (los usuarios) tengan todo lo que necesitan y nada que no necesitan. Lo que necesitan incluye acceso a los archivos, carpetas, aplicaciones, impresoras y conexiones de Internet que requieren para hacer su trabajo. Lo que no necesitan es problemas para acceder a lo que si necesitan.

El administrador de la red tiene necesidades adicionales, como material que requiere conocimientos para protegerse de aquellos que no tienen por que tener conocimientos y proteger a los usuarios de ellos mismos. La clave de todas estas necesidades es la configuración de grupos, usuarios y directivas de grupo.

Introducción a los Grupos

Por definición, los grupos en Microsoft Windows 2000 son objetos del servicio de directorio Active Directory o del equipo local que pueden contener usuarios, contactos, equipos a otros grupos. Sin embargo, en general, un grupo es normalmente una colección de cuentas de usuario. El objetivo de los grupos es simplificar la administración permitiendo al administrador de la red asignar derechos y permisos por grupo en lugar de a usuarios individuales.

Windows 2000 permite dos tipos de grupos: de seguridad y de distribución. Los grupos de seguridad son esencialmente los únicos grupos utilizados en Windows 2000 porque son los únicos grupos por medio de los que se pueden asignar permisos. A cada grupo de seguridad se asigna también un ámbito de grupo, el cual define cómo se asignan los permisos a los miembros del grupo y los grupos de distribución que no tienen seguridad activada y a los que no se pueden asignar permisos.

Asignación de ámbitos de grupo

Cuando se crea un grupo, se le asigna un ámbito de grupo que define cómo se asignaran los permisos. Las tres posibilidades de ámbitos de grupo son: global, local de dominio y universal.

Ámbito global

A un grupo con ámbito global los permisos se pueden conceder para recursos ubicados en cualquier dominio. Sin embargo, los miembros sólo pueden proceder del dominio en el que se crea el grupo, y en ese sentido no es global. Los grupos globales son adecuados para objetos de directorio que requieren mantenimiento frecuente, como cuentas de usuario y grupo.

Pueden ser miembros de:


Capítulo 12

● Grupos universales o locales de dominio en cualquier dominio.

Pueden contener los siguientes miembros:

● Otros grupos globales en el mismo dominio. ● Cuentas individuales del mismo dominio.

Ámbito local de dominio

Un grupo local de dominio puede contener miembros de cualquier dominio, pero sus permisos solo pueden ser para recursos del dominio en el que se crea el grupo. Los miembros de un grupo local de dominio tienen una necesidad común de acceder a ciertos recursos en un dominio particular.

Pueden tener uno o más de los siguientes miembros:

● Otros grupos locales de dominio en el mismo dominio. ● Grupos globales de cualquier dominio. ● Grupos universales de cualquier dominio. ● Cuentas individuales de cualquier dominio.

Las reglas de anidamiento se aplican completamente sólo en modo nativo, es decir, cuando todos los controladores del dominio son servidores Windows 2000. En dominios en modo mixto, los grupos de seguridad con ámbitos globales solo pueden contener cuentas individuales, no otros grupos. Los grupos de seguridad con ámbito local de dominio pueden contener tantos grupos globales como cuentas.

Ámbito universal

Un grupo de seguridad universal puede tener miembros procedentes de cualquier dominio y se le pueden asignar permisos para recursos de cualquier dominio. El ámbito universal sólo esta disponible en dominios que se ejecuten en modo nativo. Los grupos universales pueden tener los siguientes miembros:

● Otros grupos universales. ● Grupos globales. ● Cuentas individuales.

Incluso en modo nativo, los grupos universales se deben utilizar con prudencia a causa del impacto negativo que pueden tener en el rendimiento de la red.

La importancia de planificar los grupos se hace más aparente cuando se considera el efecto negativo que la organización de grupos puede tener en el rendimiento de la red. Cuando un usuario inicia sesión en la red, el controlador de dominio determina los


Capítulo 12

miembros del grupo del usuario y asigna un testigo de seguridad al usuario. El testigo incluye los ID de seguridad de todos los grupos a los que pertenece el usuario, además del ID de la cuenta del usuario. A cuantos más grupos de seguridad pertenezca el usuario, más se tardará en crear el testigo y más tardará el usuario en iniciar sesión.Además, el testigo de seguridad, una vez creado, se envía a cada equipo al que accede el usuario. El equipo destino compara todos los ID de seguridad del testigo con los permisos para todos los recursos compartidos disponibles en ese equipo. Un gran numero de usuarios añadidos a un gran numero de recursos compartidos (incluyendo carpetas individuales) puede consumir bastante ancho de banda y tiempo de proceso. Una solución es limitar la pertenencia a los grupos de seguridad. Conviene utilizar los grupos de distribución para categorías de usuarios que no requieren permisos o derechos específicos.Los grupos con ámbito universal tendrán por si mismos un impacto en el rendimiento a causa de todos los grupos, junto con sus miembros, que se muestran en el Catálogo Global. Cuando hay un cambio en la pertenencia a un grupo con ámbito universal, este hecho debe ser transmitido a todos los servidores de Catálogo Global del árbol de dominios, añadiéndose al tráfico de réplica de la red. Los grupos con ámbito global o local de dominio también se muestran en el Catalogo global, pero sus miembros individuales no, por lo que la solución es limitar la pertenencia a los grupos universales antes que a los grupos globales.

Planificación de estrategias de grupo

Como en muchos otros aspectos de la administración de red, la planificación es el paso esencial. El modo del dominio determina los tipos de grupos disponibles. Un dominio en modo mixto no puede soportar grupos con ámbito universal. De este modo, mientras haya controladores de dominio de reserva con Microsoft Windows NT, se esta limitando a grupos con ámbito global y local de dominio.

Determinación de los nombres de grupo

A la hora de planificar los grupos, se debería determinar un esquema de denominación que sea apropiado para la organización. Se deberían considerar dos factores:

● Los nombres de los grupos deberían reconocerse instantáneamente: Si es así, los administradores que busquen en el Active Directory no tendrán que adivinar su significado.

● Los grupos comparables deberían tener nombres similares: En otras palabras, si hay un grupo para ingenieros en cada dominio, hay que dar a todos los grupos nombres paralelos, como Ingenieros América, Ingenieros Europa o Ingenieros Asia.

Grupos globales y locales de dominio

Será necesario desarrollar una estrategia para utilizar los diferentes grupos y hacer que los usuarios con responsabilidades laborales similares pertenezcan a un grupo global. De este modo, se añadirían cuentas


Capítulo 12

de usuario para todos los artistas gráficos a un grupo global llamado Artistas gráficos. Otros usuarios con necesidades comunes deberían asignarse a otros grupos globales. Después, se deben identificar los recursos a los cuales necesitan acceder los usuarios y crear un grupo local de dominio para cada recurso. Si, por ejemplo, hay varias impresoras y trazadores de color que se utilizan en departamentos específicos, se podría crear un grupo local de dominio llamado ImpresorasDeColor.

Lo siguiente que se debería decidir es qué grupos globales necesitan acceder a los recursos identificados. Continuando con el ejemplo, se debería añadir el grupo global Artistas gráficos al grupo local de dominio ImpresorasDeColor, junto con el resto de grupos globales que necesiten acceder a las impresoras y los trazadores. El permiso para utilizar los recursos de ImpresorasDeColor debería asignarse al grupo local de dominio ImpresorasDeColor.

No se debe olvidar que los grupos globales pueden complicar la administración en situaciones de múltiples dominios. Los grupos globales de diferentes dominios han de tener sus permisos establecidos individualmente. Además, la asignación de usuarios a grupos locales de dominio y la concesión de permisos al grupo no dará a los miembros acceso a los recursos fuera del dominio.

Hay que recordar que las reglas de anidamiento solo se aplican en modo nativo. En dominios en modo mixto, los grupos de seguridad con ámbito global solo pueden contener cuentas individuales, no otros grupos. Los grupos de seguridad con ámbito local de dominio pueden contener grupos globales y cuentas.

Grupos universales

Los Grupos Universales sólo se pueden utilizar cuando el dominio se ejecuta en modo nativo y hay que tener en cuenta las siguientes directrices:

● Evitar la adición de cuentas individuales a los grupos universales, para mantener el tráfico de réplica bajo.

● Añadir grupos globales de múltiples dominios a grupos universales para proporcionar acceso a recursos a los miembros en más de un dominio.

● Los grupos universales pueden ser miembros de grupos locales de dominio y otros grupos universales, pero no pueden ser miembros de grupos globales.

Implementación de la estrategia de grupo

Una vez que se haya planificado la estrategia y comprobado utilizando variedad de escenarios, se estará preparado para comenzar a poner en práctica la estructura.

Creación de grupos

Se puede utilizar Usuarios y equipos de Active Directory para crear y eliminar grupos. Los grupos


Capítulo 12

deberían crearse en el contenedor Users o en una unidad organizativa (OU, Organizational Unit) que se haya creado con el propósito de contener grupos.

Para crear un grupo:

1. Abrir Usuarios y equipos de Active Directory desde Herramientas Administrativas. 2. En el árbol de consola, pulsar una

OU. 3. Pulsar el menú Acción, ir a Nuevo ,

y entonces pulsar Grupo. Aparece el cuadro de dialogo Nuevo objeto - grupo.

4. Nombre del grupo: introducir un nombre representativo de la función del grupo a crear.

5. Nombre de grupo (anterior a Windows 2000): De forma predeterminada, el nombre que escriba en el campo anterior se usará también para el grupo nuevo en versiones anteriores a Windows 2000.

6. Ámbito de Grupo: ● Dominio Local: Un grupo

local de dominio se utiliza para asignar permisos para acceder a los diferentes recursos de la red. Debido a que se utiliza el grupo para asignar permisos, se hace un grupo local de dominio.

● Global: Se les pueden conceder permisos en cualquier dominio del bosque. ● Universal: El ámbito del grupo universal estará disponible cuando se estén ejecutando los

servicios de Active Directory en modo Nativo. Se les pueden conceder permisos en cualquier dominio del árbol o el bosque de dominios

7. Tipo de Grupo: ● Seguridad: Se utilizan para recopilar usuarios, equipos y otros grupos en unidades más

fáciles de administrar. Los administradores deben asignar los permisos para recursos (archivos compartidos, impresoras, etc.) a un grupo de seguridad, no a usuarios individuales. Así los permisos se asignan una vez al grupo en lugar de varias veces a cada usuario individual. Cada cuenta que se agrega al grupo recibe automáticamente los permisos y derechos definidos para ese grupo. Al trabajar con grupos en lugar de usuarios individuales se simplifica el mantenimiento y la administración de la red. Seleccionaremos el botón de radio Seguridad.

● Distribución: Los grupos de distribución sólo se pueden utilizar como listas de distribución de correo electrónico. No pueden utilizarse para filtrar configuraciones de Directiva de grupo. Los grupos de distribución no tienen ninguna función relacionada con


Capítulo 12

la seguridad.

Eliminación de grupos

Cuando ya no se necesita más un grupo hay que asegurarse de eliminarlo del sistema cuanto antes. Los grupos innecesarios son un riesgo para la seguridad porque es muy fácil garantizar permisos de forma no intencionada.

Cada grupo, como cada usuario, tiene un identificador de seguridad (SID) único. El SID se utiliza para identificar al grupo y los permisos asignados al grupo. Cuando el grupo se elimina, el SID se borra y no se utiliza de nuevo. Si se elimina un grupo y más tarde se decide volver a crearlo, habrá que configurar los usuarios y los permisos al igual que para un nuevo grupo.

Para eliminar un grupo, simplemente hay que pulsar con el botón derecho del ratón en su nombre en Usuarios y equipos de Active Directory y escoger Eliminar en el menú contextual. La eliminación de un grupo solo elimina el grupo y los permisos asociados al grupo. El único efecto en las cuentas de los usuarios es que pierden los derechos inherentes al grupo eliminado.

Cambio del ámbito de un grupo

Con el tiempo se puede descubrir que es necesario cambiar el ámbito de un grupo particular. Por ejemplo, podría ser necesario cambiar un grupo global a universal de forma que los usuarios de otro dominio puedan ser parte del grupo. Sin embargo, los tipos de cambios que se pueden hacer al ámbito de un grupo están realmente limitados, y puede ser necesario eliminar el grupo y crear uno nuevo para obtener la configuración que se necesita.


Capítulo 12

Para cambiar el ámbito de un grupo, hay que pulsar con el botón derecho del ratón en el nombre del grupo en Usuarios y equipos de Active Directory y escoger Propiedades en el menú contextual. Hay que realizar los cambios necesarios en la pestaña General y pulsar Aceptar cuando se haya terminado. Las reglas

para cambiar un ámbito de un grupo son las siguientes:

● En modo mixto, un grupo de seguridad no puede tener ámbito universal. ● Un grupo global se puede cambiar a universal si no es aun miembro de otro grupo global. ● Un grupo local de dominio se puede cambiar a universal si no contiene aun otro grupo local de

dominio. ● Un grupo universal no se puede cambiar.

Creación de grupos locales

Un grupo local es una colección de cuentas de usuario en un único equipo. Las cuentas de usuarios han de ser locales al equipo, y los miembros de grupos locales solo pueden tener asignados permisos para recursos del equipo donde se creó el grupo local.

Los grupos locales se pueden crear en cualquier equipo Windows 2000 excepto en controladores de dominio. En general, no es conveniente utilizar grupos locales en un equipo que es parte de un dominio o, al menos, es mejor hacerlo con moderación. Los grupos locales no aparecen en el Active Directory, por lo hay que administrarlos independientemente en cada equipo individual. Para crear un grupo local, hay que seguir estos pasos:

1. Pulsar con el botón derecho del ratón en el icono Mi PC del escritorio y escoger Administrar en el menú contextual.

2. En el árbol de la consola hay que expandir Herramientas del sistema y después Usuarios locales y grupos.

3. Pulsar con el botón derecho en la carpeta Grupos y seleccionar Grupo nuevo en el menú contextual.

4. En el cuadro de dialogo Grupo nuevo hay que introducir el nombre del grupo. Se puede incluir una descripción si se desea.

5. Pulsar el botón Agregar, si se desean añadir miembros al grupo se puede hacer ahora, sino, pulsar Crear y el nuevo grupo se añadirá a la lista de grupos del panel de detalles.

Gestión de grupos predefinidos y de los derechos de los usuarios

Windows 2000 crea cuatro tipos de grupos predefinidos: locales, locales de dominio, globales y de sistema. Cada tipo de grupo predefinido tiene un conjunto predeterminado de derechos de usuario. Todo


Capítulo 12

el que es asignado al grupo posee automáticamente esos derechos.

Grupos locales predefinidos

Los servidores miembro, los servidores independientes y los equipos que ejecutan Windows 2000 Profesional tienen grupos locales predefinidos que otorgan derechos para realizar tareas en una única maquina.

Si se desea que los miembros del grupo Usuarios del dominio no tengan acceso a una estación de trabajo o servidor miembro en particular, hay que eliminar Usuarios del dominio del grupo local Usuarios de ese equipo. De forma similar, si no se desea que los miembros de Admins. del dominio administren una estación de trabajo o un servidor miembro en particular, hay que eliminar Admins. del dominio del grupo local Administradores.

Grupos locales predefinidos:

● Administradores: Sus miembros pueden realizar todas las tareas administrativas en el equipo. La cuenta predefinida Administrador que se crea cuando se instala el sistema operativo es un miembro del grupo. Cuando un servidor independiente o un equipo que ejecuta Windows 2000 Profesional se une a un dominio, el grupo Admins. del dominio se hace parte de este grupo.

● Duplicadores: No se deben añadir cuentas de usuario de usuarios reales a este grupo. Si es necesario, se puede añadir una cuenta de usuario "ficticia" a este grupo para permitir iniciar sesión en los servicios Replicador de un controlador de dominio para administrar la réplica de archivos y directorios.

● Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos específicamente.

● Operadores de copia: Sus miembros pueden iniciar sesión en el equipo, hacer copia de seguridad y recuperar la información del equipo y apagar el equipo. Los miembros no pueden cambiar la configuración de seguridad. No hay miembros predeterminados en el grupo.

● Usuarios: Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un servidor miembro o una maquina Windows 2000 Profesional se une a un dominio, el grupo Usuarios del dominio se añade a este grupo.

● Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar programas en el equipo local pero no pueden ver los archivos de otros usuarios.

Grupos locales de dominio predefinidos

Los grupos locales de dominio predefinidos de Windows 2000 proporcionan a los usuarios derechos y permisos para realizar tareas en controladores de dominio y en el Active Directory. Los grupos locales de dominio tienen derechos y permisos predefinidos que están concedidos a los usuarios y a los grupos


Capítulo 12

globales que se añaden como miembros.

Grupos locales de dominio predefinidos usados más frecuentemente

● Administradores: Sus miembros tienen concedido automáticamente cualquier derecho o permiso de todos los controladores de dominio y del propio dominio. La cuenta Administrador, el grupo Administración de empresas y el grupo Admins. del dominio son miembros.

● Invitados: Sus miembros solo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros solo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos específicamente. Los grupos Usuarios invitados a Invitados de dominio son miembros de forma predeterminada.

● Operadores de copia: Sus miembros pueden hacer copia de seguridad y recuperar información en todos los controladores de dominio utilizando Copia de seguridad de Windows 2000.

● Operadores de cuentas: Sus miembros pueden crear, eliminar y gestionar cuentas y grupo de usuarios. Los miembros no pueden modificar el grupo Administradores o cualquiera de los grupos Operadores.

● Operadores de impresión: Sus miembros pueden gestionar todos los aspectos de la operación y configuración de impresoras en el dominio.

● Operadores de servidores: Sus miembros pueden realizar la mayoría de las tareas administrativas en los controladores de dominio, excepto la manipulación de las opciones de seguridad.

● Usuarios: Sus miembros pueden iniciar sesión en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. El grupo Usuarios del dominio es miembro de este grupo de forma predeterminada.

En Windows NT todos los usuarios del dominio son miembros del grupo Todos. Este grupo esta controlado por el sistema operativo y aparece en cualquier red con servidores Windows NT. En Windows 2000, el grupo equivalente se llama Usuarios autentificados. A diferencia de Todos, Usuarios autentificados no contiene usuarios o invitados anónimos. El grupo Todos sobrevive como una identidad especial. No se puede ver cuando se administran los grupos y no se puede situar en un grupo. Cuando un usuario inicia sesión en la red es añadido automáticamente a Todos. No se puede ver o cambiar la pertenencia de las identidades especiales, que también incluyen el grupo Red y el Grupo interactivo.

Grupos globales predefinidos

Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma predeterminada, estos grupos no tiene derechos heredados; un administrador debe asignar todos los derechos del grupo. Sin embargo, algunos miembros se añaden automáticamente a estos grupos, y se pueden añadir como miembros basándose en los derechos y permisos asignados a los grupos. Los derechos se pueden asignar directamente a los grupos o añadiendo los grupos globales predefinidos a grupos locales de dominio.

Grupos globales predefinidos usados más frecuentemente


Capítulo 12

● Administración de empresas: Este grupo es para usuarios que tengan derechos administrativos en toda la red. Administración de empresas es automáticamente un miembro del grupo local de dominio Administradores en el dominio en el que se creo. Será necesario añadirlo al grupo local de dominio Administradores de otros dominios.

● Admins. del dominio: Este grupo es automáticamente un miembro del grupo local de dominio Administradores, por lo que los miembros de Admins. del dominio pueden realizar tareas administrativas en cualquier equipo del dominio. La cuenta Administrador es un miembro de este grupo de forma predeterminada.

● Controladores del dominio: Todos los controladores de dominio del dominio con miembros. ● Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio. ● Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo

es automáticamente un miembro del grupo local de dominio Invitados. ● Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la

directiva de grupo del dominio. ● Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros.

El grupo Usuarios del dominio es automáticamente un miembro del grupo local de dominio usuarios.

Si se tienen usuarios que deberían tener menos derechos y/o permisos que los de un usuario típico, hay que añadir esos usuarios a Invitados de dominio y eliminarlos de Usuarios del dominio.

Derechos de usuario

Derechos son aquellas acciones que los usuarios pueden o no realizar. Los derechos se aplican generalmente al sistema entero. La capacidad de hacer copia de seguridad de archivos o de iniciar sesión en un servidor, por ejemplo, es un derecho que el administrador concede o retira. Los derechos se pueden asignar de forma individual, pero la mayoría de las veces son característicos de los grupos, y un usuario se asigna a un grupo particular en base a los derechos que necesita.

Los permisos indican el acceso que un usuario (o un grupo) tiene a objetos específicos como archivos, directorios a impresoras.

Los derechos, a su vez, están divididos en dos tipos: privilegios y derechos de inicio de sesión. Los privilegios incluyen cosas como la capacidad de ejecutar auditorias de seguridad o forzar el apagado desde un sistema remoto; obviamente cosas que no hacen la mayoría de los usuarios. Los derechos de inicio de sesión implican la capacidad de conectarse a un equipo de forma especifica. Los derechos se asignan automáticamente a usuarios individuales además de a grupos. Es preferible la asignación a grupos, por lo que, en la medida de lo posible, se deberían asignar los derechos por pertenencia a un grupo para simplificar la administración. Cuando la pertenencia de los grupos define derechos, se pueden eliminar los derechos de un usuario eliminando simplemente al usuario del grupo.


Capítulo 12

Derechos de inicio de sesión asignados de forma predeterminada a los grupos

Nombre Descripción Grupos con el derecho asignado de forma predeterminada

Iniciar sesión como servicio

Permite iniciar sesión como un servicio utilizando una cuenta de usuario y un contexto de seguridad específicos.

Ninguno

Iniciar sesión como trabajo de procesamiento por lotes

Permite iniciar sesión utilizando una cola de procesamiento por lotes.

Administradores

Iniciar sesión local Permite iniciar sesión desde el teclado del equipo.

Administradores, Operadores de copia; Operadores de cuentas, Operadores de impresión, Operadores de servidores

Tener acceso a este equipo desde la red

Permite la conexión al equipo a través de la red.

Administradores, Todos, Usuarios avanzados.

Privilegios asignados de forma predeterminada a los grupos

Privilegio Descripción Grupos con el privilegio asignado de forma predeterminada

Actuar como parte del sistema operativo

Permite a un proceso autenticarse como cualquier usuario. Un proceso que requiere este privilegio debería utilizar la cuenta LocalSystem, que ya incluye este privilegio.

Ninguno


Capítulo 12

Administrar registros de auditoria y de seguridad

Permite a un usuario especificar opciones de auditoria y ver y borrar el registro de seguridad del Visor de sucesos. Se debe activar Auditar el acceso del servicio de directorio para que se pueda realizar la auditoria de acceso a objetos. Los administradores siempre pueden ver y borrar el registro de seguridad.

Administradores

Agregar estaciones de trabajo a un dominio

Permite a un usuario añadir nuevas estaciones de trabajo a un dominio existente.

Administradores

Apagar el sistema Apaga Windows 2000. Administradores, Operadores de copia, Todos, Usuarios, Usuarios avanzados

Aumentar la prioridad de programación

Permite el uso del Administrador de tareas de programación para cambiar la prioridad de un proceso.

Administradores, Usuarios avanzados

Aumentar las cuotas Permite a un proceso con permiso de escritura acceder a otro proceso para aumentar la cuota de procesador asignada a ese proceso.

Ninguno

Bloquear paginas en la memoria

Permite a un proceso mantener información en la memoria física. Este es un privilegio obsoleto que puede tener un serio efecto negativo en el rendimiento del sistema. No se debe utilizar.

Ninguno

Cambiar la hora del sistema

Permite establecer la hora del reloj interno del equipo.

Administradores, Usuarios avanzados.


Capítulo 12

Cargar y descargar controladores de dispositivo

Instalar y desinstalar controladores de dispositivo.

Administradores

Crear objetos compartidos permanentes

Permite a un proceso crear un objeto de directorio. Lo utilizan componentes de modo de núcleo para ampliar el espacio de nombres de objetos de Windows 2000. Los componentes que se ejecutan en modo de núcleo ya tienen este privilegio.

Ninguno

Crear un archivo de paginación

Permite la creación y modificación de un archivo de paginación

Administradores

Crear un objeto identificador (token)

Permite a un proceso crear un identificador (token) que se puede utilizar para acceder a cualquier recurso local. Un proceso que requiere este privilegio debería utilizar la cuenta LocalSystem, que ya incluye este privilegio.

Ninguno

Depurar programas Permite al usuario asignar un depurador a un proceso.

Administradores

Desacoplar un equipo portátil

Permite desacoplar un portátil de una estación de acoplamiento utilizando la interfaz de Windows 2000.

Administradores, Usuarios

Forzar el apagado desde un sistema remoto

Permite apagar un equipo desde una ubicación remota de la red.

Administradores

Generar auditorias de seguridad

Permite a un proceso crear entradas en el registro de seguridad.

Ninguno


Capítulo 12

Habilitar la opción de confianza para la delegación en las cuentas de usuario y de equipo

Permite a un usuario establecer la configuración Confianza para la delegación en un objeto.

Administradores

Modificar valores del entorno del firmware

Permite la configuración de la RAM no volátil en equipos que soportan tal función.

Administradores

Omitir la comprobación de recorrido

Permite a un usuario recorrer los árboles del directorio (estructuras de carpetas) incluso si el usuario no tiene permiso para acceder a los directorios por los que pasa.

Todos

Perfilar el rendimiento del sistema

Permite observar el rendimiento del sistema.

Administradores

Perfilar un único proceso Permite observar el rendimiento de un proceso.

Administradores, Usuarios avanzados

Realizar copias de seguridad de archivos y directorios

Permite hacer copias de seguridad del sistema, ignorando los permisos específicos de archivos y carpetas.

Administradores, Operadores de copia

Reemplazar un identificador (Token) de nivel de proceso

Permite reemplazar el identificador (Token) predeterminado asociado con un subproceso.

Ninguno

Restaurar archivos y directorios

Permite restaurar archivos y carpetas en un sistema; invalida los permisos específicos de archivos y carpetas.

Administradores, Operadores de copia

Sincronizar información del servicio de directorio

Permite a un usuario iniciar una sincronización del Active Directory.

Administradores


Capítulo 12

Tomar posesión de archivos y otros objetos

Permite a un usuario tomar posesión de cualquier objeto de seguridad incluyendo archivos y carpetas, impresoras, claves de registro y procesos. Invalida los permisos específicos.

Administradores


Capítulo 13

Capítulo 13

En muchas redes de pequeño o medio tamaño, los grupos predefinidos de Windows 2000 Server pueden, con quizás algún pequeño ajuste, proporcionar perfectamente una seguridad adecuada. Sin embargo, en configuraciones grandes y configuraciones con necesidades especiales, las configuraciones de seguridad pueden ser demasiado estrictas para algunos grupos y demasiado relajadas para otros. En estas situaciones, las directivas de grupo pueden proporcionar a los administradores un grado de control que es tan granular como se podría desear. Además, las directivas de grupo pueden reducir la cantidad de productividad perdida cuando los usuarios eliminan accidentalmente archivos de configuración del sistema, "pierden" carpetas vitales o introducen un virus en la red.

Directiva de grupo es el sucesor del Editor de directivas del sistema de Windows NT. Las directivas de grupo pueden controlar todos los aspectos del entorno, ya sea grande o pequeño, y se establecen normalmente a nivel de sitio y de dominio. Con el complemento directiva de grupo, se pueden especificar configuraciones para configuraciones de directiva basadas en el registro, configuraciones de seguridad, instalación de software, secuencias de comandos y redirección de carpetas.

Terceras partes pueden ampliar directiva de grupo para alojar otras configuraciones de directiva. Toda la información generada por directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group Policy Object), que se replica en todos los controladores de dominio dentro de un único dominio.

Los directivas del sistema establecidas en Windows NT 4 no se migran a Windows 2000: Un cliente Windows NT actualizado a Windows 2000 solo tendrá directivas de grupo basadas en Active Directory; ninguna directiva de Windows NT 4 sobrevivirá a la actualización. La principal diferencia entre las directivas del sistema de Windows NT y las directivas de grupo de Windows 2000 reside en donde se escriben las directivas. Windows 2000 sólo utiliza los siguientes cuatro árboles del registro:

HKEY_LOCAL_MACHINE\Software\PoliciesHKEY_CURRENT_USER\Software\PoliciesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\PoliciesHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Cuando una directiva de grupo cambia, estos árboles son esencialmente eliminados y sus contenidos se vuelven a escribir. Aunque ninguna de las plantillas que vienen con Windows 2000 incluye valores que escriban en otros lugares del registro, es posible hacerlo. (Las directivas de Windows NT 4 pueden escribir en cualquier parte del registro.) Sin embargo, no es aconsejable emplear directivas al estilo Windows NT que escriban en otras partes del registro por las siguientes razones:


Capítulo 13

● Solo estos cuatro árboles son seguros. Las aplicaciones, el sistema operativo o los usuarios pueden modificar otras partes del registro.

● Una vez que una directiva se define en otra parte del registro, persistirá hasta que el registro sea editado o la directiva sea revertida específicamente.

● Mantenerse fiel a directiva de grupo de Active Directory proporciona considerablemente más control sobre cuándo y cómo cambiarán las directivas.

Los clientes Windows NT 4 Workstation y Server no tienen Active Directory, por lo que habrá que seguir utilizando el Editor de directivas del sistema (Poledit.exe) para definir directivas para esos clientes. Las directivas de grupo no se aplicaran a ellos. De forma similar, hay que ejecutar Poledit.exe en los clientes Windows 95 y Windows 98 y copiar el archivo resultante Config.pol a la carpeta SYSVOL del controlador de dominio Windows 2000.

Componentes de directiva de grupo

Directiva de grupo consta de varios componentes configurables. El primero son las plantillas administrativas, que establecen las directivas basadas en el registro. Se incluyen cinco plantillas administrativas en Windows 2000. Dos de ellas se instalan de forma predeterminada:

● System.adm: directivas del sistema para clientes Windows 2000. ● Inetres.adm: directivas de Internet Explorer para clientes Windows 2000.

Estas plantillas utilizan las cuatro áreas del registro reservadas para la configuración de directiva de grupo. Las tres plantillas administrativas adicionales (Winnt.ADM, Windows.ADM y Common.ADM) son para directivas de seguridad para clientes Windows NT, Windows 95 y Windows 98. Se utilizan con el Editor de directiva de seguridad (Poledit.exe) en los propios clientes y no deberían cargarse en directiva de grupo.

Los otros componentes de directiva de grupo son los siguientes:

● Configuración de seguridad: Configura la seguridad para usuarios, equipos y dominios. ● Archivos de comandos: Especifica secuencias de comandos para el inicio y el apagado del

equipo además del inicio y cierre de sesión del usuario. ● Redirección de carpetas: Sitúa carpetas especiales como Mis documentos o carpetas de

aplicaciones especificas en la red. ● Software: Asigna aplicaciones a usuarios.

Todos los componentes de directiva de grupo se pueden editar utilizando el Editor de directivas de grupo (GPE, Group Policy Editor).


Capítulo 13

Objetos de directiva de grupo

La configuración de directiva de grupo se almacena en un objeto de directiva de grupo (GPO, Group Policy Object). Se pueden aplicar uno o más GPO a un sitio, dominio u OU (SDOU, Site, Domain or OU), al igual que múltiples SDOU se pueden asociar con un único GPO. Los GPO almacenan información en dos ubicaciones: en una estructura de carpetas llamada plantilla de directiva de grupo (GPT, Group Policy Template) y en un contenedor de directiva de grupo (GPC, Group Policy Container) en el Active Directory.

El GPT se encuentra en la carpeta SYSVOL de todos los controladores de dominio. Contiene información sobre la directiva de software, implantacion de archivos y aplicaciones, secuencias de comandos y configuraciones de seguridad. Un GPC contiene propiedades de GPO, incluyendo la información de clase de Active Directory relacionada con la implantación de la aplicación. La información almacenada en un GPC rara vez cambia.

Un GPO que se aplica localmente se almacenará en la carpeta %SystemRoot%\system32\GroupPolicy del equipo local. Un equipo solo puede tener una directiva de grupo local.

Plantillas de Directiva de grupo: Cuando se crea un GPO, la estructura de carpetas de la GPT se crea automáticamente. El nombre de la carpeta para la GPT será el identificador único global (GUID, Globally Unique Identifier) del GPO. Sin embargo, para ver la carpeta de la directiva, hay que mirar en %SystemRoot%\SYSVOL\Sysvol\nombre_del_dominio\Policies.

Contenedores de directiva de grupo: Los objetos de directiva de grupo también tendrán un componente del Active Directory llamado GPC que incluye subcontenedores con información de la versión, Information del estado y una lista de las extensiones de directiva de grupo empleadas en el GPO. Los GPC no tienen relevancia directa para la administración.

Acceso a Directiva de grupo

Las directivas de grupo se crean y modifican de varias formas diferentes, dependiendo del tipo de directiva de grupo que se desea implementar y para que se apliquen hay que seguir, para cada grupo, unos pasos determinados:

● El equipo local: Hay que seleccionar Directiva de Seguridad local en el menú Herramientas administrativas. En una máquina Windows 2000 Professional hay que abrir el Panel de control, pulsar Herramientas administrativas y seleccionar directiva de seguridad local.

● Otro equipo: Abrir MMC y agregar el complemento directiva de grupo. En el cuadro de dialogo Seleccionar un objeto de directiva de grupo, hay que examinar en busca del objeto de directiva de grupo que se desee.

● Un dominio: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que


Capítulo 13

pulsar con el botón derecho del ratón en el dominio y escoger Propiedades en el menú contextual. Pulsar en la pestaña directiva de grupo.

● Una unidad organizativa: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que pulsar con el botón derecho del ratón en la OU y escoger Propiedades en el menú contextual. Pulsar en la pestaña directiva de grupo.

● Un sitio: Abrir Usuarios y equipos de Active Directory. En el árbol de la consola, hay que pulsar con el botón derecho del ratón en el sitio y escoger Propiedades en el menú contextual. Pulsar en la pestaña directiva de grupo

Gestión de las directivas de grupo

Las directivas de grupo se heredan y se acumulan. Cuando se asocia un GPO con un contenedor de Active Directory, la directiva de grupo se aplica a todas las cuentas de equipo y usuario del contenedor.

Las carpetas Users y Computers de Usuarios y equipos de Active Directory no son unidades organizativas y, por lo tanto, no pueden tener directivas de grupo aplicadas. Sin embargo, la carpeta Domain Controllers si es una OU y puede tener un GPO especifico.

Orden de herencia

Como regla, la configuración de Directiva de grupo se transmite hacia abajo de contenedores primarios a contenedores secundarios. Esta práctica implica que una directiva que se aplica a un contenedor primario se aplicará a todos los contenedores -incluyendo usuarios y equipos- que se encuentren bajo ese contenedor primario en el árbol jerárquico de Active Directory. Sin embargo, si se asigna específicamente una directiva de grupo a un contenedor secundario que contradice la directiva del contenedor primario, la directiva del contenedor secundario sustituirá a la directiva de grupo primaria.

Si las directivas no son contradictorias, se pueden implementar ambas. Por ejemplo, si una directiva de


Capítulo 13

contenedor primario provoca la existencia de un acceso directo a una aplicación en el escritorio del usuario, mientras que la directiva de un contenedor secundario sitúa otro acceso directo a la misma aplicación, aparecerán ambos. Los parámetros de la directiva que se encuentren deshabilitados se heredaran como deshabilitados. Los parámetros de la directiva que no estén configurados en el contenedor primario no se heredaran.

Sustitución de la herencia

En Windows 2000 hay disponibles dos opciones para cambiar el proceso de herencia: No reemplazar y Bloquear la herencia de directivas.

● No reemplazar: Cuando se establece esta opción, los contenedores secundarios no pueden sustituir ningún GPO de un nivel superior. Esta opción no se establece de forma predeterminada y es necesario activarla en cada GPO si se desea. Para establecer la opción No reemplazar, hay que seguir estos pasos:

1. Abrir el GPO que se desee administrar. 2. Pulsar con el botón derecho del ratón en el GPO y escoger No reemplazar en el menú

contextual. Aparece una marca de verificación junto al GPO bajo No remplazar. 3. Pulsar Aceptar.

● Bloquear la herencia de directivas: Esta opción esta disponible en una casilla de verificación en la ventana Propiedades del GPO. Cuando se selecciona esta opción, el contenedor secundario no hereda ninguna directiva de los contenedores primarios. Si hay un conflicto entre estas dos opciones, la opción No reemplazar siempre tiene preferencia.

Orden de implementación

Las directivas de grupo se procesan en el siguiente orden:

● Directiva del sistema de Windows NT 4 (si hay alguna). ● Directiva de grupo local. ● Sitio.


Capítulo 13

● Dominio. ● Unidad organizativa. ● OU secundaria.

La directiva local se procesa primero y la OU de la que es miembro el usuario o equipo se procesa al final. Hay dos excepciones a esto. La opción Bloquear la herencia de directivas se puede establecer en un SDOU, lo que implica que la directiva superior no se aplicará. Sin embargo, una directiva de grupo de un SDOU con la opción No reemplazar establecida siempre se aplica, teniendo preferencia la directiva más alta del árbol.

Implementación y directiva vigente

Como se pueden establecer directivas a varios niveles, cuando se pulsa con el ratón en un objeto de directiva, se observa tanto la directiva local como la directiva vigente en el sistema. Estas no tienen por que ser la misma si el equipo hereda la configuración de las directivas a nivel de dominio. Si se crea una configuración de directiva y no se refleja en la directiva vigente, es posible que una directiva del dominio esté reemplazando la configuración.

También es posible que la directiva no se haya actualizado desde que se hizo el cambio. Para forzar la actualización de una directiva para el equipo local, hay que abrir una ventana de comandos y escribir:

secedit /refreshpolicy machine_policy

Definición del ámbito del GPO

Un objeto de Directiva de grupo se aplica a todos los usuarios y equipos del SDOU con el que esta asociado el GPO. Inevitablemente, habrá usuarios y equipos en el SDOU que no deberían tener aplicado un GPO en particular. Además, las directivas de un GPO particular solo se aplican a los usuarios que tengan el permiso Leer para ese GPO. Para filtrar la aplicación de un GPO se pueden crear grupos de seguridad y asignar el permiso Leer sólo a los grupos a los que se aplique el GPO.


Capítulo 13

El filtrado del ámbito de un GPO involucra la utilización del Editor de Listas de control de acceso (ACL, Access Control List) para permitir o denegar el acceso al GPO para grupos particulares. Para establecer el acceso, hay que seguir estos pasos:

1. Abrir el GPO que se desea administrar.

2. En la pestaña directiva de grupo, hay que resaltar el GPO y pulsar Propiedades.

3. Pulsar en la pestaña Seguridad. En la parte inferior de la pestaña Seguridad, hay que pulsar el botón Avanzada para abrir el Editor de ACL.

4. Agregar, quitar grupos o modificar la configuración. Cuando se haya terminado, hay que pulsar Aceptar varias veces para cerrar todas las ventanas abiertas.

La ubicación del grupo de seguridad no importa a la hora de crear configuraciones. Lo que importa es la ubicación de los usuarios o equipos que son miembros del grupo. Si un usuario o equipo no es miembro del SDOU con el que esta asociado el GPO (bien directamente, bien a través de un vínculo o bien mediante herencia), ninguna combinación de permisos o pertenencias en un grupo de seguridad puede forzar que se aplique el GPO a ese usuario o equipo.

Definición de las directivas para grupos de seguridad

Resultado pretendido

Permisos necesarios Consecuencias

Esta directiva de grupo se aplicará a los miembros de este grupo

Aplicar directiva de grupos: Permitir Leer: Permitir

La directiva de grupo se aplicara a todos los miembros excepto los miembros que pertenezcan a otro grupo con Aplicar directiva de grupo o Leer establecidos como Denegar.


Capítulo 13

Esta directiva de grupo no se aplicara a los miembros de este grupo

Aplicar directiva de grupos: DenegarLeer: Denegar

La directiva de grupo no se aplicara a ningún miembro de este grupo, no importa a que otros grupos pertenezcan.

La pertenencia a este grupo no debería ser un factor relevante para la aplicación de la directiva de grupo.

Aplicar directiva de grupos: Sin establecerLeer: Sin establecer

La aplicación de esta directiva de grupo a los miembros de este grupo dependerá de si los miembros pertenecen a otros grupos de seguridad con configuración Permitir o Denegar.

Creación de objetos de directiva de grupo

Cuando se crea un dominio Active Directory, también se crea una directiva de dominio predeterminada. Se puede comprobar pulsando con el botón derecho del ratón en el dominio en Usuarios y equipos de Active Directory, escogiendo Propiedades y pulsando en la pestaña directiva de seguridad. Para configurar un GPO hay que seguir estos pasos:

1. Abrir Usuarios y equipos de Active Directory (para GPO de dominio a OU) o Sitios y servicios de Active Directory (para GPO de sitio).

2. Pulsar con el botón derecho del ratón en el objeto para el que se desea crear un GPO y escoger Propiedades en el menú contextual.

3. Pulsar en la pestaña Directiva de grupo y después pulsar el botón Nueva.

4. Escribir el nombre del nuevo GPO y escoger uno de los siguientes botones: ● Nueva: Para crear una directiva nueva


Capítulo 13

● Agregar: Para añadir un vinculo a la nueva directiva. ● Modificar: Para abrir el nuevo GPO en el Editor de directivas de grupo. ● Opciones: Para establecer No reemplazar o para deshabilitar el GPO. ● Eliminar: Para eliminar el GPO de forma permanente o para eliminarlo de la lista. Si se

escoge Quitar el vinculo de la lista, el GPO permanece en el Active Directory pero ya no se aplica a ese SDOU en particular.

● Propiedades: Para filtrar el GPO a través de los grupos de seguridad. 5. Pulsar Aceptar cuando se haya terminado.

Editor de directivas de grupo

Si se pulsa Default Domain Policy en el árbol de la consola de Directiva de grupo se observará que el Editor de directivas de grupo (GPE, Group Policy Editor) muestra dos nodos: Configuración del equipo y Configuración de usuario. Cuando se pulsan estos nodos, se descubre que cada uno muestra extensiones para Configuración de software, Configuración de Windows y Plantillas administrativas.

● Configuración del equipo: se pueden utilizar para personalizar las directivas para equipos de la red. Estas directivas entran en vigor cuando el equipo se enciende y se inicia el sistema operativo. La configuración de estas carpetas se aplica a cualquier usuario que inicie sesión en el equipo.

● Configuración de usuario: contiene la configuración para entornos personalizados o directivas de configuración para usuarios de la red. Las directivas de Configuración de usuario se aplican cuando un usuario especifico inicia sesión en la red.


Capítulo 13

Desactivación de una rama de un GPO: Si un GPO tiene un nodo completo no configurado bajo configuración de usuario o configuración del equipo, hay que deshabilitar el nodo para impedir que se procese esa configuración. Esto acelera el inicio y el inicio de sesión de todos los usuarios sujetos a ese GPO. Para deshabilitar un nodo, hay que seguir estos pasos:

1. Pulsar con el botón derecho del ratón en el objeto de Directiva de grupo, bien en una consola o en la ventana Propiedades de Directiva de grupo.

2. Escoger Propiedades en el menú contextual.

3. En la pestaña General, hay que seleccionar una de las siguientes opciones:

❍ Deshabilitar los parámetros de configuración del equipo.

❍ Deshabilitar los parámetros de configuración de usuario. 4. Pulsar Aceptar cuando se haya terminado. Los parámetros deshabilitados ya no afectarán a

ningún SDOU vinculado a este GPO.

Búsqueda de vínculos a directivas de grupo

Cuando hay numerosos GPO en una red es importante estar al corriente de los vínculos entre GPO y SDOU. Para averiguar que SDOU utilice un GPO en particular, hay que pulsar con el botón derecho del ratón en el objeto de Directiva de grupo, bien en una consola o bien en la ventana Propiedades de Directiva de grupo. Hay que escoger propiedades y después pulsar en la pestaña vínculos. Hay que pulsar el botón Buscar ahora para obtener una lista de los SDOUs que utilizan el objeto de Directiva de grupo.

Renovación de la directiva de grupo

Los cambios en una directiva son inmediatos, pero no se propagan a los clientes automáticamente. Los equipos cliente solicitan una directiva cuando:

● El equipo se inicia.


Capítulo 13

● Un usuario inicia sesión. ● Una aplicación solicita una renovación. ● Un usuario solicita una renovación. ● Hay activo un intervalo de renovación de la directiva de grupo y el tiempo ha transcurrido.

Para establecer un intervalo de renovación de la directiva de grupo, hay que seguir estos pasos:

1. Abrir el GPO. 2. En el árbol de la

consola, hay que seleccionar Configuración del equipo y después Plantillas administrativas, Sistema y, finalmente, Directiva de grupo.

3. En el panel de detalles, hay que pulsar dos veces en Intervalo de renovación de la directiva de grupo para equipos.

4. Habilitar el intervalo de renovación. Pulsar Aceptar.

No conviene utilizar un intervalo muy corto a causa de la gran cantidad de trafico de red que se genera en cada renovación. El intervalo de actualización para los controladores de dominio se establece por separado.

Directiva de grupo para el redireccionamiento de carpetas

Redireccionamiento de carpetas es una extensión de Directiva de grupo que permite situar las carpetas designadas en la red. En particular, se pueden redireccionar las carpetas Mis documentos de los usuarios a otras carpetas que podrían volverse bastante grandes con el tiempo. Con las carpetas redirigidas se aplican las siguientes condiciones:


Capítulo 13

● Un usuario puede iniciar sesión en diferentes equipos y tener aún las carpetas disponibles.

● Cuando se utilizan perfiles móviles, solo la ruta de acceso en la red a las carpetas redirigidas forma parte del perfil, no las propias carpetas. Esto hace que el inicio de sesión sea mucho más rápido.

● Se pueden hacer copias de seguridad de las carpetas en un servidor de red como parte del mantenimiento de rutina sin ninguna acción por parte del usuario.

Las carpetas se pueden redireccionar a una ubicación para todo el mundo en el SDOU afectado por el objeto de Directiva de grupo. También se pueden redireccionar a diferentes ubicaciones de forma acorde con la pertenencia a los grupos de seguridad.

Redirección a una única ubicación

La forma más común con diferencia de redirección es enviar la carpeta Mis documentos de todo el mundo a una única ubicación en un servidor de la red. Los siguientes pasos muestran como hacerlo. Se puede sustituir por cualquier otra carpeta especial de Windows en los pasos para redireccionarlas de igual forma.

1. Crear una carpeta compartida en el servidor. 2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene a los usuarios cuyas

carpetas se van a redireccionar.


Capítulo 13

3. En el árbol de la consola hay que pulsar configuración de usuario, después Configuración de Windows, Redireccionamiento de carpetas.

4. Pulsar con el botón derecho del ratón en Mis documentos y escoger Propiedades en el menú contextual.

5. En la lista desplegable hay que seleccionar Básico: redirigir la carpeta de todos a la misma ubicación. Hay que introducir la ruta de acceso de la carpeta compartida en el servidor. Se debe utilizar una ruta de acceso UNC con la variable %username%.

6. Pulsar en la pestaña Configuracion. Los siguientes parámetros están habilitados de forma predeterminada:

● Otorgar al usuario derechos exclusivos para Mis documentos El usuario y el sistema local tienen derechos exclusivos sobre la carpeta. No hay activo ningún derecho administrativo. Si este parámetro se deshabilita, los permisos que existan en la carpeta en su posición actual permanecerán.

● Mover el contenido de Mis documentos a la nueva ubicación ● Eliminación de la directiva El valor predeterminado es dejar la carpeta en la nueva

ubicación cuando se quite la directiva. ● Preferencias de Mis imágenes Mis imágenes seguirá a Mis documentos como subcarpeta.

7. Pulsar Aceptar cuando se haya terminado.

Redireccionamiento por pertenencia a un grupo

Las carpetas especiales también se pueden redireccionar a varias ubicaciones basándose en la pertenencia del usuario a los grupos de seguridad. Para hacer esto hay que seguir estos pasos:

1. Crear las carpetas compartidas en las ubicaciones a las que se redirigirán las carpetas. 2. Abrir el objeto de Directiva de grupo vinculado al SDOU que contiene los usuarios cuyas carpetas

se van a redireccionar. 3. En el árbol de la consola hay que pulsar en configuración de usuario, después en configuración de

Windows y, finalmente, en Redireccionamiento de carpetas.


Capítulo 13

4. Pulsar con el botón derecho del ratón en la carpeta especial (en este caso Mis documentos) y escoger Propiedades en el menú contextual.

5. En la lista desplegable, hay que seleccionar Avanzado: especificar ubicaciones para diversos grupos de usuarios y después pulsar el botón Agregar.

6. En el cuadro Especificar grupo y ubicación, hay que introducir el grupo de seguridad y la ubicación para las carpetas redirigidas. Hay que utilizar siempre una ruta de acceso UNC, incluso si las carpetas van a estar en el equipo local para que los usuarios móviles puedan ver sus carpetas.

7. Pulsar Aceptar. Agregar más grupos y ubicaciones si es necesario. 8. Pulsar en la pestaña Configuración. Los siguientes parámetros están habilitados de forma

predeterminada: ● Otorgar al usuario derechos exclusivos para Mis documentos: El usuario y el sistema

local tienen derechos exclusivos sobre la carpeta. No hay activo ningún derecho administrativo. Si este parámetro se deshabilita, los permisos que existan en la carpeta en su posición actual permanecerán.

● Mover el contenido de Mis documentos a la nueva ubicación.: ● Eliminación de la directiva: El valor predeterminado es dejar la carpeta en la nueva

ubicación cuando se quite la directiva. ● Preferencias de Mis imágenes: Mis imágenes seguirá a Mis documentos como

subcarpeta. 9. Pulsar Aceptar cuando se haya terminado.

Eliminación de las redirecciones

Si la directiva cambia después de haber redireccionado las carpetas, el efecto en las carpetas especiales depende de la combinación de elecciones realizada en la pestaña Configuración de la ventana propiedades de la carpeta especial.

Configuraciones y sus consecuencias cuando se elimina una redirección

Opción de eliminación de la directiva

Mover el contenido de la carpeta a la nueva ubicación

Consecuencias cuando se elimina la directiva

Devolver la carpeta a la ubicación local de perfil de usuario cuando la directiva se haya quitado.

Habilitado La carpeta vuelve a la ubicación del perfil de su usuario; el contenido de la carpeta se copia de nuevo a la ubicación original; los contenidos no se borran de la ubicación redirigida.


Capítulo 13

Devolver la carpeta a la ubicación local de perfil de usuario cuando la directiva se haya quitado

Deshabilitado La carpeta vuelve a la ubicación del perfil de su usuario; el contenido de la carpeta no se mueve ni se copia de nuevo a la ubicación original. Advertencia: esto significa que el usuario no puede acceder al contenido de la carpeta.

Cuando se quite la directiva, dejar la carpeta en la nueva la ubicación

Habilitado o deshabilitado La carpeta y su contenido permanecen en ubicación redirigida; el usuario tiene acceso al contenido en la ubicación redirigida.


Capítulo 14

Capítulo 14

El trabajo de un administrador de red consiste en una gran cantidad de detalles y, si hay que hacerles frente, es necesario buscar formas de gestionarlos y controlarlos. Microsoft Windows 2000 proporciona muchas herramientas para ello, incluyendo las que permiten delegar tareas a otros usuarios o grupos, utilizar archivos de comandos para automatizar tareas y tareas programadas para ejecutarse periódicamente. De todas formas, administrar una red es aún así un enorme proceso de planificación y organización, y en este área no hay sustituto para el poder de la mente.

Inicio de sesión secundario

La práctica administrativa recomendada dicta que un administrador sólo debe iniciar sesión con una cuenta privilegiada (una con derechos administrativos) cuando esté realizando tareas que requieran privilegios. Para el trabajo ordinario, se supone que el administrador cierra la sesión de la cuenta privilegiada e inicia otra con una cuenta ordinaria. Por supuesto, no es inusual que diez minutos más tarde surja una situación que requiera el uso de la cuenta privilegiada. Entonces es necesario cerrar la sesión de la cuenta ordinaria e iniciar sesión de nuevo en la cuenta de administrador, repitiéndose el proceso a la inversa diez minutos más tarde.

Después de que se repita esto durante varios días, incluso la persona más preocupada por la seguridad empieza a darle vueltas a la idea de iniciar sesión con la cuenta de administrador y quedarse en ella. Y, con el tiempo, muchos administradores sucumben a la tentación y permanecen en la cuenta privilegiada la mayor parte del tiempo.

Esta práctica hace que los sistemas Microsoft Windows NT sean altamente susceptibles a ataques del tipo «caballo de Troya». Simplemente ejecutar Microsoft Internet Explorer y acceder a un sitio Web sin confianza puede ser muy arriesgado si se hace desde una cuenta de administrador. Se puede descargar y ejecutar en el sistema una página Web con código caballo de Troya. La ejecución, realizada en el contexto de los privilegios administrativos, será capaz de hacer un daño considerable, incluyendo cosas como volver a dar formato al disco duro, eliminar todos los archivos o crear un nuevo usuario con acceso administrativo. Si se piensa, es como darle las llaves de la red a un completo (y malicioso) desconocido.

Este problema ya se trata en Windows 2000 por medio del servicio RunAs. Este servicio permite trabajar en una cuenta normal sin privilegios y aún así acceder a funciones administrativas sin tener que cerrar la sesión e iniciarla de nuevo. Para configurar el servicio RunAs hay que seguir estos pasos:

1. Desde una sesión con derechos administrativos, hay que escoger Servicios en el menú Herramientas administrativas.

2. En la lista de servicios, hay que pulsar dos veces en el Servicio RunAs. 3. Comprobar que el Tipo de inicio está establecido a Automático y que el Estado del servicio es Iniciado. (Si no es así,

hay que pulsar el botón Iniciar.) Pulsar Aceptar para cerrar el cuadro de diálogo.

Después de realizar estos pasos hay que crear una cuenta de usuario ordinaria para uso particular (si no se dispone ya de una). Conviene asegurarse de que la cuenta de usuario tiene el derecho de iniciar sesión localmente en la máquina que se vaya a utilizar.

Windows 2000 ve todos los controladores de dominio como casos especiales. En un controlador de dominio, por ejemplo, toda la gestión de usuarios y grupos se debe hacer por medio del complemento Usuarios y equipos de Active Directory. Además, de forma predeterminada, los usuarios no pueden iniciar sesión localmente en un controlador de dominio.


Capítulo 14

Apertura de una ventana de línea de comandos para administración

Cuando el servicio RunAs está iniciado, se puede iniciar sesión con la cuenta de usuario habitual y abrir después una ventana del intérprete de comandos para realizar tareas administrativas, como sigue:

1. Después de iniciar sesión como usuario normal, hay que abrir una ventana de comandos e introducir el comando runas /user: <dominio\nombreusuario> cmd. En este caso, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesión como usuario local, el comando es runas /user: <nombremáquina\nombreusuario> cmd.

2. Aparece una ventana con el símbolo del sistema y se solicita la contraseña de la cuenta administrativa. 3. Después de introducir la contraseña, aparece una segunda ventana en la que la barra de título indica claramente que se

está ejecutando la cuenta seleccionada.

Se puede realizar cualquier tarea de línea de comandos que se desee desde esta ventana. Por supuesto, existen algunas tareas administrativas que no se pueden llevar a cabo desde la línea de comandos o que sólo se pueden hacer con grandes dificultades. Algunas aplicaciones, como el Panel de control y la carpeta Impresoras, las ejecuta el entorno operativo (shell) en el inicio de la sesión, por lo que, si se inicia sesión como usuario ordinario, las funciones del Panel de control permanecen en ese contexto.

Para detener el entorno operativo e iniciarlo de nuevo como un administrador de forma que se puedan utilizar funciones como el Panel de control, hay que seguir estos pasos:

1. Pulsar con el botón derecho del ratón en la barra de tareas y escoger Administrador de tareas en el menú.

2. Pulsar en la pestaña Procesos. Resaltar Explorer.exe y pulsar Terminar proceso. Aparecerá un mensaje de advertencia. Hay que pulsar Sí. Todo el escritorio, excepto la ventana Administrador de tareas de Windows y cualquier aplicación activa, desaparecerá.

3. Seleccionar la pestaña Aplicaciones en el Administrador de tareas de Windows y, después, pulsar Nueva tarea. 4. En el cuadro Crear una tarea nueva hay que introducir runas /user: <dominio\nombreusuario> explorer.exe. Como

antes, nombreusuario es la cuenta con privilegios administrativos. Si se ha iniciado sesión localmente, hay que utilizar el comando runas /user: <nombremáquina\nombreusuario> explorer.exe.

5. Introducir la contraseña para el nombre del usuario. El escritorio junto con la barra de tareas vuelve a aparecer. Este escritorio se encuentra en el contexto de seguridad del nombre usuario que se especificó en el comando.

Para volver al escritorio del usuario ordinario, hay primero que cerrar sesión del administrador con lo que se quedará en la sesión del usuario por lo que tendremos que volver a utilizar el Administrador de tareas de nuevo iniciar una nueva instancia escribiendo explorer.exe (sin runas, de forma que se vuelva a iniciar Internet Explorer en el contexto de seguridad original) en el cuadro de diálogo Crear una tarea nueva.

No se debe cerrar el Administrador de tareas mientras se está trabajando en el contexto del escritorio administrativo, basta con minimizarlo en la barra de tareas. Cerrar el Administrador de tareas puede producir resultados impredecibles y puede costar más tiempo que el que posiblemente se ahorraría utilizando RunAs.

Herramientas de Administración


Capítulo 14

Muchas de las herramientas que se necesitarán para gestionar una red Windows 2000 están incluidas como parte de los paquetes Windows 2000 Server y Windows 2000 Advanced Server, pero sólo unas pocas de ellas se instalan automáticamente junto con el sistema operativo.

Las Herramientas de las que dispone Windows 2000 Server son:

● Administración de equipos: Administra discos, recursos compartidos, usuarios, grupos y servicios en el equipo local. ● Administración del servidor Telnet: Inicia, detiene y devuelve información sobre el servidor Telnet. ● Administrador de clústeres (sólo Advanced Server): Gestiona la configuración de clústeres y nodos. ● Administrador de Extensiones de servidor: Gestiona las extensiones de servidor de Front Page. ● Administrador de servicios Internet: Gestiona los Servicios de Internet Information Server (IIS). ● Administrador de Servicios de Terminal Server: Muestra los servidores de terminal de los dominios en que se

confía. ● Almacenamiento remoto: Gestiona el almacenamiento de los archivos a los que no se accede con frecuencia. ● Configuración de Servicios de Terminal Server: Configura las conexiones nuevas de los Servicios de Terminal

Server; modifica y elimina las conexiones existentes. ● Configurar el servidor: Define y configura los servicios de Windows. ● Control de admisión QoS (Calidad de servicio): Asigna ancho de banda de red a cada subred. ● Creador de cliente de Servicios de Terminal Server: Crea disquetes para instalar el software cliente de los

Servicios de Terminal Server. ● DHCP: Gestiona los servicios del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration

Protocol). ● Directiva de seguridad local: Muestra y configura los derechos de los usuarios, la directiva de auditoria y otros

parámetros de seguridad del equipo local. ● DNS: Gestiona los servicios DNS. ● Dominios y confianzas de Active Directory: Administra las confianzas de los dominios, cambia el modo del

dominio y agrega y cambia los sufijos del nombre principal de los usuarios. ● Enrutamiento y acceso remoto: Administra las conexiones telefónicas, las redes privadas virtuales y las conexiones

a Internet. ● Entidad emisora de certificados: Administra los Servicios de Certificate Server, que expide certificados para la

seguridad de clave pública. ● Kit de administración de Connection Manager: Gestiona y personaliza las conexiones locales y remotas. ● Licencia: Gestiona las licencias de los clientes. ● Monitor de red: Captura tramas de información de la red para detectar y analizar los problemas de la red. ● Orígenes de datos: Agrega, elimina y configura bases de datos y controladores de Conectividad abierta de bases de

datos (ODBC, Open Database Connectivity). ● Rendimiento: Muestra gráficos del rendimiento del sistema; configura los registros y alertas de rendimiento. ● Servicio de autenticación de Internet: Configura la seguridad y la autenticación para los usuarios que se conectan

telefónicamente. ● Servicios: Inicia, detiene y configura los servicios. ● Servicios de componentes: Configura y administra los componentes y aplicaciones del Modelo de objetos

componentes (COM, Component Object Model). ● Sistema de archivos distribuidos: Gestiona la instalación, topología y réplica del Sistema de archivos distribuido

(DFS, Distributed File System). ● Sitios y servicios de Active Directory: Establece y administra sitios, la réplica y los servicios de seguridad. ● Telefonía: Gestiona clientes y servidores telefónicos. ● Usuarios y equipos de Active Directory: Administra usuarios, equipos y grupos dentro de un dominio. ● Visor de sucesos: Muestra los registros de aplicación, de seguridad y del sistema. ● WINS: Administra WINS.

Instalación local de las herramientas de administración


Capítulo 14

Para instalar el conjunto completo de Herramientas de administración localmente hay que abrir la carpeta ¡386 del CD-ROM de Windows 2000 Server o Windows 2000 Advanced Server y, después, pulsar dos veces en el archivo Adminpak.msi. Esto inicia el Asistente para instalación de Herramientas de administración que instalará las herramientas (y más tarde las eliminará y las volverá a instalar, si se desea). Hay que pulsar Siguiente para que proceda con la instalación.

Puesta a disposición de Herramientas de administración de manera remota

Para hacer que Herramientas de administración esté disponible para otros en la red, se pueden asignar las herramientas a otros equipos o publicarlas en Active Directory.

Herramientas de soporte

Las Herramientas de soporte de Windows 2000 son inmensamente valiosas porque proporcionan funcionalidad no disponible en otro caso en el sistema operativo. Se puede obtener una lista completa escogiendo Tools Help en el menú Windows 2000 Support Tools.

Si no se encuentran las Herramientas de soporte de el menú Programas, será necesario instalarlas. Para instalar las Herramientas de soporte de Windows 2000, hay que introducir el CD-ROM de Windows 2000. Hay que abrir la carpeta Support y después la carpeta Tools. Hay que pulsar dos veces en Setup.

Las herramientas proporcionadas en el CD-ROM de Windows 2000 son un subconjunto de las que se pueden obtener adquiriendo el Kit de recursos de Microsoft Windows 2000 Server completo. El Kit de recursos es un producto independiente con su propio CD adjunto.

Network Connectivity Tester (Comprobador de la conectividad de red)

Las conexiones de red pueden fallar en un espectacular número de formas: en cualquier número de servidores y en variedad de configuraciones de cliente. Determinar el origen de un problema puede ser un proceso desalentador. Netdiag.exe puede informar sobre un número igualmente espectacular de funciones, ejecutando comprobaciones en el servidor DNS, el servidor WINS, Kerberos, los vínculos, la WAN, las relaciones de confianza, la configuración IP, la tabla de enrutamiento, IPX, NetWare, DHCP, la puerta de enlace predeterminada y más. Netdiag.exe se puede ejecutar en Windows NT y Windows 95/98 además de Windows 2000, por lo que se puede utilizar esta excelente herramienta de solución de problemas del mismo modo en servidores que en clientes.

Windows 2000 Domain Manager (Administrador de dominios de Windows 2000)

Con Netdom.exe se pueden gestionar muchas formas de administración de dominios desde la línea de comandos. Se pueden añadir, eliminar, cambiar el nombre o trasladar a otro dominio las cuentas de la máquina. Netdom.exe también recupera información sobre las confianzas y permite establecer confianzas, sincronizar el tiempo y verificar las contraseñas de los canales seguros. La sintaxis de Netdom.exe es sencilla, pero el rango de posibles parámetros es extenso.

Active Directory Replication Monitor (Monitor de réplicas de Active Directory)

Active Directory Replication Monitor (Replmon.exe) no sólo monitoriza la réplica a bajo nivel entre servidores, sino que informa sobre un amplio rango de funciones de Active Directory. Muestra la topología del sitio al tiempo que informa sobre las propiedades del servidor, indicando si es un servidor de Catálogo Global y mostrando sus asociados de réplica, su historial de réplica y los atributos replicados.

Las unidades de réplica entre controladores de dominio son particiones de directorio que deben contener la información más


Capítulo 14

reciente sobre los objetos del dominio. Si un servidor cae o la red se interrumpe, la información podría no estar completamente actualizada. Replication Monitor puede sincronizar un servidor monitorizado con un asociado de réplica específico para hacer que todo vuelva a estar en orden. También genera informes de estado de servidores del bosque para poder solucionar los errores de réplica.

Disk Probe

Disk Probe (Dskprobe.exe) es indispensable cuando un disco duro crítico va mal. Es un editor de sectores que se puede utilizar para reparar tablas de partición dañadas, reemplazar el registro de inicio principal y reparar o reemplazar los sectores de inicio de la partición. Incluso mejor, Disk Probe guardará los registros de inicio principal y los sectores de inicio de la partición como archivos que se podrán utilizar para recuperar los sectores si se dañan en el futuro. Esto puede aportar un gran beneficio porque estas estructuras de datos no son parte del sistema de archivos y no se puede hacer copia de seguridad de ellas con ningún programa de copias de seguridad.

Fundamentos de Microsoft Managenent Console

Microsoft Management Console (MMC) es un poderoso añadido al arsenal del administrador del sistema. MMC trabaja como un empaquetador de herramientas del sistema, permitiendo al administrador del sistema crear herramientas especializadas que se pueden utilizar después para delegar tareas administrativas específicas a usuarios o a grupos. Estas herramientas personalizadas, que se almacenan como archivos MMC (.MSC), se pueden enviar por correo electrónico, compartir en una carpeta de red o publicar en la Web. Mediante la configuración de la directiva del sistema también se pueden asignar a usuarios, grupos o equipos. Las herramientas son lo suficientemente flexibles como para que se puedan modificar, ampliar o reducir y darles forma con normalidad para cualquier uso que se les desee dar.

Para construir una herramienta personalizada se puede partir de una consola existente y modificarla o partir de cero. En una red desarrollada se utilizará posiblemente el primer método, tomar consolas predefinidas y añadir o quitar complementos.

Creación de una consola basada en MMC con complementos

La construcción de herramientas personales con la interfaz de usuario estándar de MMC es un proceso sencillo.

1. Pulsar el botón inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, hay que escribir MMC y después pulsar Aceptar. Se abre una ventana MMC vacía, lista para que se añadan complementos.

2. En el menú Consola, hay que seleccionar Agregar o quitar complemento. (Los comandos de menú de la barra de menú de la parte superior de la ventana MMC se aplican a toda la consola.) Se abre el cuadro de diálogo Agregar o quitar complemento. Aquí se puede escoger qué complementos estarán en el archivo de la consola además de activar las extensiones. En el cuadro Complementos agregados, a hay que aceptar el valor predeterminado Raíz de la consola.

3. Pulsar el botón Agregar. Esto abre un cuadro de diálogo que muestra los complementos instalados en el equipo. 4. Resaltar un complemento para ver una descripción de su función. Pulsar dos veces en un complemento para añadirlo a

la consola. Para este ejemplo se añadirá Administración de equipos. El cuadro de diálogo Administración de equipos pide que se seleccione el equipo a administrar.

5. Seleccionar la opción Equipo local y seleccionar la casilla de verificación Permitir cambiar el equipo seleccionado al iniciar desde la línea de comandos. Estas opciones son comunes a muchos de los complementos. Hay que pulsar Finalizar.

6. En el cuadro de diálogo Agregar un complemento independiente, hay que seleccionar Visor de sucesos y pulsar Agregar. Como antes, hay que seleccionar la opción Equipo local y seleccionar la casilla de verificación. Pulsar Finalizar y cerrar después la lista de complementos disponibles. El cuadro de diálogo Agregar o quitar complemento muestra dos complementos: Administración del equipo (local) y Visor de sucesos (local).

7. Pulsar en la pestaña Extensiones. De forma predeterminada, el cuadro con etiqueta Agregar todas las extensiones está marcado, lo que significa que cuando se abra esta consola en una máquina particular, se utilizarán todas las


Capítulo 14

extensiones que se instalen localmente. Si esta casilla no está marcada, sólo se cargarán las extensiones seleccionadas en la lista de extensiones disponibles.

8. Pulsar Aceptar para cerrar el cuadro de diálogo Agregar o quitar complemento. La ventana Raíz de la consola tiene ahora dos complementos que parten de la carpeta Raíz de la consola.

Hay que guardar la consola escogiendo Guardar en el menú Consola. Se pedirá un nombre: conviene ser tan descriptivo como sea posible. El archivo se almacena en la carpeta Herramientas administrativas de forma predeterminada. Esta carpeta forma parte del perfil, por lo que tiene el beneficio añadido de que, si se utilizan perfiles móviles, todas las herramientas creadas siguen al administrador.

Personalización del diseño de una consola

Una vez añadidos los complementos, se pueden proporcionar diferentes vistas administrativas a la consola añadiendo ventanas. Para crear una ventana para cada uno de los complementos, hay que seguir estos pasos:

1. En el panel izquierdo de la ventana de la consola, hay que pulsar con el botón derecho en la carpeta Administración del equipo y seleccionar Nueva ventana desde aquí. Esto abre una nueva ventana Administración del equipo con el complemento Administración del equipo como raíz.

2. En la ventana Raíz de la consola, hay que pulsar con el botón derecho del ratón en la carpeta Visor de sucesos y seleccionar Nueva ventana desde aquí. Hay que pulsar el botón de la barra de herramientas Muestra u oculta Árbol de consola en cada ventana para ocultar el árbol de la consola.

3. Cerrar la ventana Raíz de consola original. Desde el menú Ventana hay que escoger Mosaico horizontal.

Obsérvese que los botones y menús de cada ventana sólo se aplican a esa ventana. No se debe olvidar guardar el trabajo después de completar los cambios.

Cuando se crean consolas para administradores de grupos de trabajo u otros usuarios, se puede restringir el uso de la consola. Se pueden establecer opciones de la consola para que los usuarios sólo puedan acceder a las herramientas que permita el administrador. Para establecer las opciones de la consola, hay que seguir estos pasos:

1. Con el archivo de consola abierto, hay que pulsar en el menú Consola y escoger Opciones. Esto abre el cuadro de diálogo Opciones.

2. Pulsar en la pestaña Consola. Escoger el modo de consola: a. Modo autor: Sin restricciones. El usuario puede acceder a todas las partes del árbol de la consola además de

cambiar este archivo de consola a voluntad. b. Modo usuario: acceso completo El usuario puede acceder a todas las partes del árbol de la consola, pero no

puede hacer cambios que afecten a la funcionalidad. Los cambios estéticos, como la disposición de las ventanas, se guardan automáticamente.

c. Modo usuario: acceso delegado, ventanas múltiples El usuario sólo puede acceder a las partes de la consola que eran visibles cuando se guardó el archivo de consola.

d. Modo usuario: acceso delegado, ventana única Igual que el modo anterior, excepto por que sólo es visible una ventana.

3. En todos excepto en Modo autor, también se puede seleccionar la opción No guardar los cambios de esta consola de forma que la consola se abra siempre en la misma vista.

4. Pulsar Aceptar y guardar el archivo de consoló.

Modificación de archivos de consola

Después de haber guardado un archivo de consola en un modo distinto del modo autor, el menú Consola ya no estará visible, ni siquiera para los Administradores. Esto impide al usuario cambiar las opciones. Para modificar un archivo de consola, hay que abrir una ventana con el símbolo del sistema y escribir mmc la. El modificador /a establece al Modo autor, sustituyendo


Capítulo 14

cualquier configuración de Modo usuario, y abre la ventana de la consola desde la cual se puede abrir cualquier archivo de consola y realizar los cambios.

El administrador del sistema puede establecer perfiles de usuarios para anular el uso del modificador /a, y debería hacerlo para asegurarse de que no se realicen modificaciones inapropiadas.

Distribución y uso de consolas

Como se mencionó antes, la ubicación predeterminada para los archivos de consola que se guardan es la carpeta Herramientas administrativas. Los archivos de consola se pueden distribuir de varias formas. Se puede copiar un archivo de consola a una carpeta compartida en la red, o se puede enviar por correo electrónico a otra persona pulsando con el botón derecho del ratón, señalando Enviar a y seleccionando Destinatario de correo. Cuando se asigna una consola para su uso a una persona en particular, hay que asegurarse de que el perfil de usuario de la persona incluya el permiso para acceder a las herramientas y servicios de la consola. El usuario también tendrá que tener todos los permisos administrativos necesarios para utilizar los componentes del sistema administrados por la consola.

Si se conoce la ubicación de una consola es posible abrirla desde el Explorador de Windows pulsando sobre ella como se haría con cualquier otro archivo. También se puede abrir desde la línea de comandos. Por ejemplo, para abrir la consola Servicio de fax (que reside en una carpeta del sistema) desde la línea de comandos, hay que escribir mmc %systemroot%\systema32\faxserv.msc.

MMC para administración remota

Las herramientas basadas en MMC son admirablemente adecuadas para la administración remota. Se puede construir fácilmente una consola para administrar varios equipos o una única máquina. Esta sección describe cómo crear una consola que se pueda utilizar para administrar remotamente un controlador de dominio. La consola incluirá el complemento Servicios, que gestiona los servicios del sistema y el complemento Visor de sucesos, que permite acceder a los distintos registros de sucesos. Para crear esta consola de administración remota, hay que seguir estos pasos:

1. Pulsar el botón Inicio y seleccionar Ejecutar. En el cuadro de texto Abrir, escribir MMC y después, pulsar Aceptar. Se abre una ventana MMC vacía.

2. En el menú Consola hay que seleccionar Agregar o quitar complemento. Se abre el cuadro de diálogo Agregar o quitar complemento.

3. Pulsar Agregar para abrir el cuadro de diálogo Agregar un complemento independiente. 4. Seleccionar Servicios y, después, pulsar Agregar. 5. En el área Este componente administrará siempre, hay que seleccionar Otro equipo y después pulsar Examinar. Esto

abre el cuadro de diálogo Seleccionar Equipo. 6. Resaltar el equipo que se desea que gestione este complemento y después pulsar Aceptar. Pulsar Finalizar. 7. Repetir los pasos 4 a 6, escogiendo el complemento Visor de sucesos. Cerrar el cuadro de diálogo Agregar un

complemento independiente. Pulsar Aceptar en Agregar o quitar complemento. 8. Hay que guardarla con un nombre descriptivo. Se puede utilizar esta consola para ver sucesos en la maquina remota y

para iniciar o detener servicios.

Como se puede observar, las consolas se pueden configurar de docenas o de cientos de formas diferentes y después distribuir. Cada vez habrá más complementos disponibles para cada función imaginable tanto por parte de Microsoft como de terceros suministradores.

Automatización de tareas con las secuencias de comandos

Por necesidad, muchos administradores de red adquieren rápidamente habilidad con las secuencias de comandos. El día no


Capítulo 14

tiene suficientes horas para hacer todo manualmente, incluso aunque fuera conveniente. Además, las buenas secuencias de comandos son como cualquier programa: una vez que la información se ha introducido correctamente, no es necesario preocuparse hasta que algo externo cambie.

Por medio de ActiveX, Windows 2000 permite escribir secuencias de comandos en Visual Basic, Scripting Edition (VBScript), JScript o Perl. Anteriormente, el único lenguaje nativo para secuencias de comandos que soportaba Windows era el lenguaje de comandos MS-DOS e, indudablemente, muchos administradores continuarán utilizando secuencias de comandos MS-DOS porque son muy pequeñas y muy rápidas. ¿Por qué utilizar otra cosa si una secuencia de comando: MS-DOS puede hacer el trabajo? La respuesta es que no se debería. Sin embargo, en una gran empresa o para secuencias de comandos más complicadas, lo indicado es un lenguaje de secuencias de comandos más sofisticado.

Windows Scripting Host (WSH) está incorporado en Windows 2000 y Windows 98. Además Windows 95 y Windows NT pueden ejecutar WSH, de forma que las secuencias de comandos son transportables a lo largo de todo el espectro Windows. Las secuencias de comandos se ejecutan bajo WSH utilizando Wscript.exe y Cscript.exe. Wscript.exe se ejecuta en segundo plano y Cscript.exe se ejecuta desde el símbolo del sistema. Para ejecutar una secuencia de comandos desde la línea de comandos, la sintaxis es:

Cscript <nombresecuencia.extensión> [opciones] [argumentos]

Para ver la lista completa de opciones del host, hay que introducir Cscript /? en el símbolo del sistema. Las opciones más importantes son:

● //B Especifica el modo por lotes; los errores de secuencias de comandos y los mensajes de entrada no se muestran. ● //D Activa el depurador. ● //T:nn Indica el tiempo máximo en segundos que la secuencia de comandos puede ejecutarse.

WSH es útil para crear secuencias de comandos de inicio y cierre de sesión que se pueden asignar a usuarios -individualmente o como grupo- o a equipos. El otro uso importante de WSH es la creación de cuentas de usuario, un proceso tedioso en el mejor de los casos y, en una gran empresa, completamente imposible sin secuencias de comandos.

Auditoría de sucesos

La auditoria de ciertos equipos, usuarios y sucesos del sistema operativo es una parte necesaria de la administración de una red. Hay que escoger lo que se desea auditar y después, revisando los registros de sucesos, controlar los patrones de uso, los problemas de seguridad y las tendencias de tráfico en la red. No obstante, hay que tener cuidado con el impulso de auditarlo todo. Cuantos más sucesos se auditen, más grandes serán los registros. Revisar enormes registros de sucesos es una tarea desagradable y, al final, nadie los vuelve a mirar. Por lo tanto, resulta crítico decidir una directiva de seguridad que proteja la red sin crear una gran carga administrativa. Tampoco conviene olvidar que cada suceso auditado provoca un pequeño aumento de la sobrecarga del sistema.

De forma predeterminada, todas las categorías de auditoria están desactivadas cuando se instala Windows 2000. Las categorías de sucesos que se pueden auditar son.

● Acceso a objetos: Se activa cuando se accede a un objeto. ● Acceso a servicio de directorio: Se activa cuando se accede a un objeto Active Directory. ● Administración de cuentas: Se activa cuando una cuenta de usuario o un grupo se crea o modifica. ● Cambio de directiva: Se activa cuando se modifica una directiva que afecta a la seguridad, a los derechos de usuario

o a la auditoria. ● Seguimiento de proceso: Se activa cuando una aplicación ejecuta una acción que se está registrando.


Capítulo 14

● Sucesos de inicio de sesión: Se activa cuando un usuario inicia o cierra una sesión. ● Sucesos de inicio de sesión de cuenta: Se activa cuando un controlador de dominio recibe una petición de inicio de

sesión. ● Sucesos del sistema: Se activa cuando un equipo se reinicia o se apaga u ocurre otro suceso que afecta a la seguridad. ● Uso de privilegios: Se activa cuando se utiliza un derecho de usuario para realizar una acción.

Cada suceso auditado dice algo, pero no siempre es algo que sea necesario saber. Por ejemplo, la auditoria de inicios y cierres de sesión con éxito puede revelar el uso de una contraseña robada, pero también puede simplemente producir interminables páginas que muestran que los usuarios debidamente autorizados están iniciando y cerrando sesiones como era de esperar. Sin embargo, la auditoria de los fallos al iniciar sesión recompensará definitivamente si alguien intenta un ataque con contraseñas aleatorias.

Antes de poder auditar el acceso a los objetos de Active Directory, se debe activar la configuración Directiva de auditoria por medio de Directiva de grupo. Para hacerlo hay que seguir estos pasos:

1. Escoger Usuarios y equipos de Active Directory en el menú Herramientas administrativas.

2. Pulsar con el botón derecho del ratón en el nombre del dominio en el árbol de la consola y escoger Propiedades en el menú contextual.

3. Pulsar en la pestaña Directiva de grupo y después en el botón Modificar.

4. En el panel izquierdo de la consola Directiva de grupo, hay que pulsar a lo largo de Configuración del equipo, Configuración de Windows, Configuración de seguridad y directivas locales hasta alcanzar Directiva de auditoria.

5. Pulsar con el botón derecho del ratón en la categoría de sucesos que se desea auditar y escoger Seguridad.

6. En el cuadro de diálogo que se abre, hay que seleccionar la casilla de verificación que define la configuración y seleccionar la opción para auditar los intentos correctos y/o erróneos.

Parámetros de seguimiento de los objetos

Asumiendo que se ha activado una configuración de directiva para auditar un objeto de Active Directory, se puede crear una configuración de auditoria siguiendo estos pasos:

1. Pulsar con el botón derecho del ratón en el objeto que se desea auditar y escoger propiedades en el menú contextual. Pulsar en la pestaña Seguridad.

2. Pulsar el botón Avanzada y después en la pestaña auditoria. 3. Pulsar Agregar para configurar la auditoria para un nuevo grupo o usuario. Hay que realizar la selección y pulsar

Aceptar. 4. En el cuadro de diálogo Entrada de auditoria para Collwin, hay que seleccionar los objetos que se desean auditar en la

lista desplegable Aplicar en. Después, en la ventana Acceso, hay que seleccionar cada tipo de acceso que se desea auditar. Pulsar Aceptar cuando se haya terminado.


Capítulo 14

De forma predeterminada, los objetos secundarios heredan la configuración de auditoria. En la pestaña auditoria del cuadro Configuración de control de acceso para Collwin hay una casilla de verificación para permitir heredar los valores de auditoria. Hay que desactivar este cuadro para que la configuración de auditoria de este objeto permanezca constante, incluso si se cambia la configuración de auditoria del objeto primario. Además, la desactivación del cuadro eliminará cualquier configuración de auditoria que ya se hubiera heredado. La segunda casilla de verificación de esta pestaña reestablece la auditoria existente y permite que los valores de auditoria se hereden de nuevo desde el objeto principal.

Los sucesos del sistema de archivos que se pueden auditar son:

● Recorrer carpeta/Ejecutar archivo: Se activa cuando se recorre una carpeta (es decir, alguien pasa por la carpeta camino de una carpeta superior o inferior) o una aplicación se ejecuta.

● Listar carpeta/Leer datos: Se activa cuando se abre una carpeta o se examina la información de los archivos. ● Atributos de lectura: Se activa cuando se examinan los atributos de un archivo o carpeta. ● Atributos extendidos de lectura: Se activa cuando se examinan los atributos extendidos (definidos y creados por los

programas) de un archivo o carpeta. ● Crear archivos/Escribir datos: Se activa cuando se crea un archivo dentro de una carpeta o se modifica un archivo,

sobrescribiendo la información que contiene. ● Crear carpetas/Anexar datos: Se activa cuando se crea una carpeta dentro de la carpeta auditada o se añade

información a un archivo existente. ● Atributos de escritura: Se activa cuando se cambia un atributo de un archivo o carpeta. ● Atributos extendidos de escritura: Se activa cuando se cambian los atributos extendidos (definidos y creados por los

programas) de un archivo o carpeta. ● Eliminar subcarpetas y archivos: Se activa cuando se elimina un archivo o una subcarpeta. ● Eliminar: Se activa cuando se elimina un archivo específico. ● Permisos de lectura: Se activa cuando se examinan los permisos de un archivo o carpeta. ● Cambiar permisos: Se activa cuando se modifican los permisos de un archivo o carpeta. ● Tomar posesión: Se activa cuando se cambia la propiedad de un archivo o carpeta.

Examen de los registros de sucesos

Se deben examinar los registros de sucesos regularmente para que la auditoria tenga algún efecto. Para examinar el registro de seguridad, hay que abrir el Visor de sucesos desde el menú Herramientas administrativas y después pulsar Registro de seguridad. Se puede pulsar dos veces en cualquier entrada para obtener más información sobre ella. Se configuró la carpeta para auditar los sucesos de Listar carpeta/Leer datos correctos. Un usuario que abrió la carpeta una única vez generó todas las entradas que aparecen. Por supuesto, normalmente se aprenderá más de la auditoria de eventos incorrectos que de la auditoria de los correctos, pero esto demuestra la necesidad de escoger las batallas de auditoria con cuidado.

Búsquedas de los registros de sucesos

No importa lo selectivo que se sea, los registros de sucesos mezclarán todo tipo de información, dificultando la búsqueda de información específica. Para buscar un tipo específico de suceso, hay que resaltar el registro en el Visor de sucesos y escoger Buscar en el menú Ver. En el cuadro de diálogo Buscar, hay que seleccionar el tipo o tipos de sucesos que se desea obtener.

Archivo de los registros de sucesos

Si se van a utilizar los registros de sucesos para hacer un seguimiento de las pautas de uso del sistema, hay que guardarlos. Para almacenar un registro de sucesos, hay que abrir el Visor de sucesos desde el menú Herramientas administrativas y pulsar en el registro que se desea almacenar. Después, en el menú Acción, hay que escoger Guardar archivo de registro como. Si se guarda el archivo en el formato de los registros de sucesos (.EVT), se puede abrir de nuevo en el Visor de sucesos y toda la


Capítulo 14

información binaria de cada suceso se mantendrá. También se pueden guardar los registros como archivos .TXT o en el formato delimitado por comas (.CSV), pero en estos casos la información binaria no se guarda. Para aprender más sobre la red y ajustar su rendimiento.

Delegación del control

Obviamente, una de las formas más simples de minimizar las tareas administrativas es delegarlas. En una red Windows NT, la forma usual de conceder amplios derechos administrativos es hacer a los usuarios miembros del grupo Administradores del dominio. O se pueden repartir los derechos administrativos por medio de alguna combinación de otros grupos como Operadores de impresión y Operadores de servidores.

Estos grupos todavía están disponibles, pero Windows 2000 hace que la delegación sea incluso más simple: permite asignar la responsabilidad para administrar alguna porción del espacio de nombres a otro usuario o grupo. El destinatario de la autoridad delegada puede tener un control administrativo completo dentro del área escogida, pero no los amplios derechos administrativos inherentes al hecho de ser miembro del grupo Administradores del dominio.

Hay que asignar el control por unidades organizativas (OU) siempre que sea posible, porque la asignación de permisos a nivel de objetos se vuelve rápidamente demasiado complicada para merecer la pena. Los registros de las asignaciones de seguridad tienen una importancia fundamental, por lo que hay que estar al corriente de todas las delegaciones. Para delegar el control, hay que utilizar el Asistente para delegación de control, que siempre asigna los permisos a nivel de OU.

Para utilizar el asistente, hay que seguir estos pasos:

1. Abrir Usuarios y equipos de Active Directory desde el menú Herramientas administrativas. 2. Pulsar dos veces en el nodo del dominio y, después, pulsar con el botón derecho del ratón en el contenedor que se

desea delegar y escoger Delegar control en el menú contextual. Esto inicia el Asistente para delegación de control. Pulsar Siguiente.

3. Pulsar el botón Agregar para seleccionar el usuario o grupo al que se concederá el control. Hay que realizar la selección en la pantalla Seleccionar Usuarios, Equipos o Grupos.

4. En la pantalla Tareas para delegar, hay que seleccionar las tareas que se desean delegar. Se pueden seleccionar las tareas predefinidas o pulsar Crear una tarea personalizada. Pulsar Siguiente.

5. Si se seleccionó una tarea predefinida, esencialmente se ha terminado. Hay que revisar el resumen y pulsar Finalizar.

Si se seleccionó Crear una tarea personalizada, se permite elegir de forma más específica de qué objetos se está delegando el control y qué permisos específicos se van a conceder. Cuando se hayan hecho las elecciones se mostrará un resumen de la delegación. Pulsar Finalizar.

El programador de tareas

Aunque es cierto que se podrían -y aún se pueden- programar tareas utilizando el comando AT, el Programador de tareas proporciona una interfaz gráfica y es mucho más fácil de utilizar. Las tareas se pueden programar durante horas fuera de oficina y para que se ejecuten periódicamente. El servicio Programador de tareas se inicia en el inicio del sistema y se ejecuta


Capítulo 14

en segundo plano. Para utilizar el Programador de tareas, hay que abrir el Panel de control, pulsar dos veces en la carpeta Tareas programadas y seguir después estos pasos:

1. En la ventana Tareas programadas, hay que pulsar dos veces en la entrada Agregar tarea programada. Esto inicia el Asistente para tarea programada nueva. Pulsar Siguiente.

2. Seleccionar un programa en la pantalla o pulsar el botón Examinar para localizar otro programa. Pulsar Siguiente. 3. Suministrar un nombre para la tarea e indicar después con qué frecuencia se desea que se realice. Pulsar Siguiente. 4. Seleccionar la hora del día a la que ha de realizarse la tarea. Dependiendo de la frecuencia seleccionada, será necesario

especificar una de las siguientes opciones: ● Tarea diaria: Cada día, cada n días o sólo en días laborables. ● Tarea semanal: Cada n semanas; hay que indicar el día de la semana. ● Tarea mensual: Hay que seleccionar el día del mes y los meses.

5. Suministrar el nombre y la contraseña del usuario que realizará las tareas programadas. Pulsar Siguiente. Obsérvese que la cuenta especificada ha de tener los privilegios necesarios para realizar la tarea. Por ejemplo, si se programa una copia de seguridad, el usuario debe tener derechos de copia de seguridad.

6. Si es necesario especificar parámetros para la tarea programada, hay que seleccionar el cuadro junto a Abrir propiedades avanzadas y, después, pulsar Finalizar.

7. Hacer los cambios necesarios y pulsar Aceptar.

Para que las tareas se ejecuten como se espera, es importante que la fecha y hora del equipo sean correctas.

Muchos programas comenzarán su ejecución en el Programador de tareas y después se pararán, esperando una introducción de datos que nunca llega, o que llega mucho más tarde, cuando alguien mira la máquina para ver que está haciendo. Para asegurarse de que se dispone de todos los parámetros para que la tarea se puede ejecutar correctamente, hay que abrir una ventana con el símbolo del sistema y escribir nombre-programa /?. Después hay que pulsar en la tarea con el botón derecho del ratón en la ventana tareas programadas y escoger Propiedades. Hay que introducir los parámetros necesarios en el cuadro de texto Ejecutar y pulsar Aceptar. Se puede programar una tarea para que se ejecute inmediatamente de forma que se pueda comprobar su rendimiento. Si una tarea está programa por un usuario que no ha iniciado sesión en el momento programado, la tarea todavía se ejecuta, pero en segundo plano y de forma no visible.

Cambio de un programa

Incluso la mejor programación puede tropezar con la realidad de vez en cuando, por lo que se necesita la posibilidad de ajustar los sucesos planificados.

● Para ejecutar una tarea inmediatamente, hay que pulsar con el botón derecho del ratón en el icono de la tarea en la ventana Tareas programadas y escoger Ejecutar en el menú contextual.

● Para detener una tarea que se está ejecutando, hay que pulsar con el botón derecho del ratón en el icono de la tarea en la ventana Tareas programadas y escoger Finalizar tarea. Si la tarea programada se había configurado para iniciar otra tarea, el comando Finalizar tarea sólo detendrá la tarea programada original.

● Para detener temporalmente todas las acciones del Programador de tareas, hay que abrir el menú Avanzado de la ventana Tareas programadas y escoger Pausar Programador de tareas. Cualquier tarea que no se inicie porque el Programador de tareas esté pausado, sólo se ejecutará de nuevo en su siguiente hora programada. Para iniciar el Programador de tareas de nuevo, hay que pulsar en el mismo menú y escoger Continuar con Programador de tareas.

● Para dejar de utilizar el Programador de tareas, hay que abrir el menú Avanzado de la ventana Tareas programadas y escoger No seguir usando Programador de tareas. No se. ejecutará ninguna tarea programada y el servicio Programador de tareas ya no se iniciará automáticamente cuando se reinicie el sistema.

Seguimiento del Programador de tareas


Capítulo 14

El sistema mantiene un registro detallado de las actividades del Programador de tareas. Para examinar el registro, hay que pulsar dos veces en Tareas programadas en el Panel de control. En el menú Avanzado hay que escoger Ver registro.

Si una tarea programada no se ejecuta como se espera, hay que pulsar con el botón derecho del ratón en la tarea en la ventana del Programador de tareas y escoger propiedades en el menú contextual. Hay que comprobar que la tarea está de hecho habilitada. (La casilla de verificación Habilitada de la ventana Propiedades de la tarea debería estar seleccionada).

Examen de las tareas de equipos remotos

Un administrador de un equipo remoto que ejecuta Windows NT o Windows 2000 puede examinar y modificar la configuración del Programador de tareas de ese equipo. Hay que buscar el equipo en la ventana Mis sitios de red (en Windows 2000) o en la ventana Entorno de red (en Windows NT) y, después, pulsar dos veces en la carpeta Tareas programadas.

Para examinar y modificar las tareas programadas en equipos que ejecutan Windows 95 o posterior, el equipo remoto debe:

● Tener habilitada la administración remota. ● Especificar que la cuenta del usuario tiene acceso administrativo remoto. ● Compartir el disco duro en el que reside la carpeta Tareas programadas.

Windows 2000 incluye mejoras en las funciones de la línea de comandos, como la escritura automática de los nombres de archivos y carpetas. Para activar esta característica, hay que abrir una ventana de línea de comandos y escribir cmd /f:on. Ahora se puede evitar el escribir los nombres de archivos o carpetas largos en la línea de comandos. Por ejemplo, para navegar dentro de la carpeta Archivos de programa desde la raíz de la unidad de disco del sistema (generalmente C:\) se puede escribir c:\cd a y pulsar entonces CTRL+D. El comando se expandirá inmediatamente a c:\cd «Archivos de programa». Se puede pulsar INTRO para elegir esta ruta de acceso.

Esta característica también funciona con archivos. Digamos que estamos en C:\Archivos de programa\Windows Media Player y se desea ejecutar Mplayer.exe. En la línea de comandos hay que escribir mp y pulsar entonces CRTL.+F. La ruta de acceso se ampliará para incluir Mplayer.exe. Se puede pulsar INTRO para ejecutar realmente el archivo.

Para obtener la documentación completa, hay que abrir una ventana de comandos y escribir help cmd.

El comando AT

También se puede utilizar el comando AT para programar tareas. De forma predeterminada, el comando AT se ejecuta utilizando la cuenta LocalSystem, que requiere privilegios administrativos. Para especificar otra cuenta como usuario del comando AT, hay que seguir estos pasos:

1. Abrir el Panel de control y pulsar dos veces en Tareas programadas. 2. En la ventana Tareas programadas, hay que abrir el menú Avanzado y después escoger Cuenta de servicios AT. 3. Pulsar Esta cuenta y especificar un usuario particular y su contraseña. Pulsar Aceptar.

Sintaxis del comando AT

La estructura de comando para el comando AT es como sigue:


Capítulo 14

AT [\\nombreequipo] [id] [[/delete]I/delete [/yes]] AT [\\nombreequipo] hora [/interactive] [/every:fecha[,...] I /next :fecha [ , . . . ] | comando

Se pueden utilizar los siguientes parámetros con el comando AT. Utilizado sin parámetros, el comando AT devuelve una lista de comandos programados.

● \\nombreequipo: Especifica un equipo remoto. Sin este parámetro, se asume el equipo local. ● id: Indica el número de identificación, si se ha asignado uno. ● /delete: Cancela un comando programado. Si no se especifica un número de identificación, se cancelan todos los

comandos programados del equipo. ● /yes: Fuerza una respuesta afirmativa a todas las consultas del sistema cuando se cancelan todos los comandos. ● hora: Especifica cuándo se ejecuta el comando, expresado como horas:minutos en el formato de 24 horas. ● /interactive: Permite que la tarea interactúe con el escritorio del usuario que haya iniciado sesión en el momento de

ejecutarse el trabajo. ● /every:fecha[,...]: Ejecuta el comando en la fecha especificada. La fecha se puede especificar como uno o más días de

la semana (L, M, Mi, J, V, S, D) o como uno o más días del mes (mediante los números del 1 al 31). Hay que separar las diferentes fechas con comas. Si se omite este parámetro, se asume el día actual del mes.

● /next:fecha[,...] Ejecuta el comando la siguiente vez que se presente el día especificado. Si se omite este parámetro, se asume el día actual del mes.

● comando: Indica el programa, archivo de proceso por lotes o comando que debe ejecutarse. Si se requiere una ruta de acceso, hay que utilizar una ruta de acceso en el formato del Convenio de denominación universal (UNC, Uniform Naming Convention).

Algunas particularidades a la hora de usar el comando AT:

● El comando AT no carga Cmd, el intérprete de comandos, automáticamente, por lo que si el parámetro comando no apunta a un archivo ejecutable, se debe especificar explícitamente Cmd, seguido del modificador /c, al comienzo del comando.

● Los comandos programados utilizando AT se ejecutan como procesos en segundo plano, de forma que no muestra ninguna salida. Para redirigir la salida a un archivo, hay que utilizar el símbolo de redirección (>). El símbolo de redirección debe estar precedido por el símbolo de escape (^), así que un comando de ejemplo podría ser at recuperar:bat ^>c:\registro.txt.

● Si es necesario utilizar una letra de unidad para conectarse a un directorio compartido, hay que incluir un comando AT para desconectar la unidad cuando se haya completado la tarea. En otro caso, la letra de unidad asignada no estará disponible ni se mostrará en el símbolo del sistema.

Se puede cambiar una y otra vez entre el comando AT y el Programador de tareas, aunque existen algunas limitaciones. Por ejemplo, si se programa una tarea utilizando AT y más adelante se modifica esa misma tarea utilizando el Programador de tareas, la tarea pertenece entonces al Programador de tareas y ya no se puede acceder a ella utilizando AT


Capítulo 15

Capítulo 15

Ya desde los primeros y emocionantes días de las computadoras personales, se hablaba bastante de la "oficina sin papeles" que estaba por llegar. Lamentablemente, ese día no solo no ha llegado, sino que en muchas oficinas, la caja de papel reciclado es el receptáculo mas grande de todo el edificio! El coste de las impresoras básicas ha disminuido a lo largo de los años, pero cada vez mas, las empresas han invertido en sofisticadas impresoras de color de alta velocidad que permiten a los usuarios realizar trabajos que antes requerían una imprenta exterior. Estas resultan costosas tanto de comprar como de usar. Por lo tanto, compartir las impresoras permanece como una importante función del trabajo en red de la empresa. La configuración de múltiples usuarios para que compartan impresoras reduce el coste y puede incrementar la salida de impresión. El trabajo rutinario se puede dirigir a impresoras mas baratas, los trabajos de impresión largos se pueden planificar para que se realicen fuera de las horas de oficina y se puede limitar el acceso a las impresoras de gama alta.

La terminología de la impresión es mucho mas confusa de lo que debería a causa del uso histórico de diferentes nombres para el mismo objeto. En Microsoft Windows NT 4, dispositivo de impresión es el nombre de la impresora real e impresora designa la interfaz software. En otras palabras, impresora se utiliza para referirse a la entidad lógica. En un entorno de red NetWare u OS/2, el término cola de impresión se utiliza en lugar de impresora (refiriéndose a la impresora lógica), pero el significado neto es el mismo.

En Windows 2000, la documentación utiliza ahora impresora para referirse al dispositivo que realiza la impresión real a impresora lógica para referirse a la interfaz software.

Se puede tener una impresora lógica asociada a una única impresora, o se pueden tener varias impresoras lógicas asociadas a una única impresora. En esta segunda disposición las impresoras lógicas se pueden configurar con distintos niveles de prioridad de forma que una impresora lógica maneje la impresión normal y otra los trabajos que se han de imprimir mas tarde. Para que una impresora pueda utilizar tanto PostScript como el lenguaje de control de impresoras (PCL, Printer Control Languaje), dos impresoras permitirán a los usuarios escoger el tipo de impresión a realizar.

Una única impresora lógica se puede asociar también con múltiples impresoras físicas. Si todos los dispositivos de impresión utilizan el mismo controlador de impresora, una única impresora lógica permitirá enviar trabajos a la primera impresora física disponible. Esta disposición se denomina grupo de impresoras. La ventaja de un grupo de impresoras es que un administrador puede añadir o eliminar impresoras físicas sin afectar a las configuraciones de los usuarios porque las impresoras físicas son intercambiables.

Las impresoras de red son impresoras normales con hardware de red adicional como una tarjeta de interfaz de red y memoria adicional y, algunas veces, un disco duro para almacenar documentos grandes en la cola de


Capítulo 15

impresión. Estas impresoras trabajan con el protocolo apropiado para la red (generalmente TCP/IP o el Protocolo de intercambio de paquetes entre redes [IPX, Internetwork Packet Exchange]) y tienen su propia dirección de red única.

Las impresoras de red son el tipo mas comúnmente utilizado con los servidores de impresión pero estas impresoras también pueden funcionar por si mismas en una red sin un servidor de impresión.

Las impresoras de red son populares en muchas empresas a causa de su facilidad de configuración, velocidad de impresión y flexibilidad en emplazamientos relativos al servidor de impresión y los clientes. No se necesita hardware especializado en el servidor de impresión, lo que no siempre es el caso con servidores de impresión que imprimen en múltiples impresoras de puerto serie o paralelo. La conexión directa a la red (a 10 Mb/seg. o 100 Mb/seg.) proporciona también una interfaz mucho más rápida que el relativamente lento puerto paralelo usado a menudo por servidores de impresión autónomos.

Las impresoras de red se pueden configurar también sin un servidor de impresión, eliminando el coste de un equipo adicional. Sin embargo, dado que no hay un servidor que ponga en cola los trabajos de impresión de los clientes, cada usuario sólo ve sus propios documentos en la cola de impresión y no puede ver dónde se encuentra un documento en relación con otros documentos en espera de imprimirse. De forma similar, dado que no existe una única cola de impresión, los trabajos de impresión destinados a esta impresora no se pueden administrar de forma centralizada, y sólo el usuario con el documento que se esta imprimiendo en ese momento obtiene cualquier mensaje de error (como mensajes de atasco de papel). Finalmente, todo el procesamiento previo a la impresión se realiza en el equipo del usuario, incrementando la cantidad de tiempo que esta el equipo parcialmente o completamente no disponible para otras tareas. Por estos motivos es conveniente utilizar un servidor de impresión con impresoras de red.

Un último punto sobre las impresoras de red: muchas de las más nuevas soportan Impresión Internet por medio del Protocolo de impresión Internet (IPP, Internet Printing Protocol). La impresión Internet es una característica que permite a un usuario con permisos suficientes y Microsoft Internet Explorer 4 ó superior imprimir en una Impresión Internet, impresora activada desde cualquier parte del mundo (o desde la intranet del usuario), no desde simplemente la red local.

Introducción a los servidores de impresión

Los servidores de impresión son equipos (o algunas veces aparatos de red) que administran las comunicaciones entre las impresoras y los equipos cliente que quieren imprimir en las impresoras.

Microsoft Windows 2000 Profesional, además de las distintas versiones de Windows 2000 Server, funcionará como servidor de impresión; sin embargo, Windows 2000 Profesional puede soportar un máximo de solo 10 usuarios simultáneos y no es capaz de soportar clientes Macintosh o NetWare. Windows 2000 Server no tiene estas limitaciones.

Generalmente, existen dos enfoques a los servidores de impresión. El enfoque de Microsoft en Windows 2000 y Windows NT es tener un servidor de impresión que sea bastante "inteligente" , proporcionando a los clientes


Capítulo 15

los controladores de impresora apropiados y manteniendo la cola de impresión, además de gestionar la comunicación entre las impresoras y los equipos clientes.

En cambio, UNIX (y algunas empresas como Intel) utilizan un servidor de impresión mucho más simple. La forma mas popular de servidor de impresión no inteligente es el Demonio de impresora de líneas (LPD, Line Printer Daemon). Un servidor de impresión no inteligente actúa generalmente como una interfaz entre la red y la impresora, con cada cliente manteniendo su propia cola de impresión. El servicio LPD se ejecuta tanto en un servidor UNIX, como en un aparato de red que proporciona funcionalidad LPD y de acceso a red, o en una impresora conectada directamente a la red. Los clientes utilizan el servicio Acceso remoto a impresora de líneas (LPR, Line Printer Remote) -una parte integral de UNIX y opcional en Windows 2000 y Windows NT- para comunicarse con el servicio LPD, el cual se comunica después con la impresora.

Windows 2000 Server también puede ser un servidor LPD para mantener la compatibilidad con los clientes UNIX y otros clientes que utilicen el servicio LPR.

A causa de las limitaciones del servicio LPD, se utilizan casi siempre los servidores de impresión de Windows 2000 y Windows NT en lugar de los servidores LPD cuando la red consiste principalmente en clientes Windows. En un entorno mixto UNIX y Windows, el servicio LPD se puede instalar en un servidor de impresión Windows 2000 para proporcionar servicios de impresión a clientes UNIX. Una alternativa común para los servidores de impresión Windows es conectarlos a impresoras utilizando el servicio LPD (bien en la impresora, bien conectándose a un dispositivo que ejecute el servicio LPD) como si fueran impresoras de red normales. En este escenario, los clientes Windows tienen los beneficios de un servidor de impresión Windows estándar al mismo tiempo que se mantiene la compatibilidad con clientes UNIX, que se comunican directamente con el servicio LPD asociado a la impresora.

Las impresoras se conectan a menudo a un pequeño dispositivo de red o a un servidor UNIX que ejecuta el servicio Demonio de impresora de líneas (LPD, Line Printer Daemon). Los dispositivos o equipos que ejecutan LPD se llaman servidores de impresión, aunque no funcionan del mismo modo que los servidores de impresión de Windows 2000 o Windows NT.

El servicio LPD actúa como una puerta de enlace de red para que las impresoras se comuniquen con clientes UNIX a otros clientes que utilicen el servicio Acceso remoto a impresora de líneas (LPR, Line Printer Remote), y muchas impresoras de red vienen con un servicio LPD incorporado. Las impresoras que carecen de una interfaz de red se pueden conectar a un dispositivo o equipo que ejecute LPD, el cual actúa después como tarjeta de interfaz de red para la impresora, además de proporcionar la función usual del LPD de permitir que los clientes UNIX impriman en la impresora conectada. Solo los clientes que ejecutan el servicio LPR -una parte integral de UNIX y parte opcional de Windows y algunos otros sistemas operativos- pueden acceder a las impresoras que utilizan un servidor de impresión que ejecuta LPD.

Generalmente, si los clientes Windows necesitan acceder a una impresora que utiliza el servicio LPD, un servidor de impresión Windows 2000 o Windows NT se conecta al LPD y comparte la impresora como si estuviera conectada directamente al servidor de impresión Windows en


Capítulo 15

lugar de a través del LPD. El servidor de impresión Windows reserva la cola de impresión y envía después cada trabajo de impresión al LPD, el cual pasa el trabajo a la impresora. Alternativamente (o, en algunos casos, adicionalmente), el servidor Windows 2000 puede conectarse directamente a la impresora, utilizando tanto un puerto de impresión TCP/IP estándar como el servicio LPR, y ejecutar después el servicio LPD para proporcionar funcionalidad de impresión a clientes tanto Windows como UNIX.

Métodos de conexión de impresoras a servidores de impresión

Las impresoras se pueden conectar directamente al servidor de impresión mediante una conexión de red a una impresora de red o con una conexión a través de un puerto paralelo o serie, aunque esta ultima ha perdido aceptación a causa de la cantidad de proceso consumida en la administración de los puertos. Las impresoras USB a IEEE 1394 (Firewire o iLink) eliminan algunas de las desventajas de la conexión directa de las impresoras al servidor de impresión, pero la forma mas popular con diferencia de conectar impresoras a un servidor de impresión es por medio de una conexión de red.

Las impresoras de red incorporan tarjetas de red y normalmente memoria adicional (y algunas veces incluso discos duros). Estas impresoras ejecutan el protocolo apropiado que utiliza la red (generalmente TCP/IP o IPX) y tienen su propia dirección de red única.

Una conexión de red proporciona un ancho de banda incrementado a la impresora. Sin embargo, más importante que el incremento de ancho de banda es la potencia de procesamiento que se conserva utilizando una conexión de red en comparación con una conexión por medio de un puerto paralelo. El elevado uso de CPU de las impresoras de puerto paralelo y serie provoca bastante tensión en el servidor de impresión y es una de las principales razones de que las impresoras de red se hayan vuelto tan populares. La flexibilidad a la hora de localizar impresoras de red es otro factor que ha contribuido al éxito de las impresoras de red. Aunque un servidor de impresión puede administrar impresoras en ubicaciones ampliamente separadas, el aumento del numero de impresoras conectadas a un único equipo producirá inevitablemente inconveniencias de cableado. A menudo es mas fácil conectar impresoras a concentradores cercanos que llevar cables (que tienen limitaciones de longitud) a todas las impresoras a las que sirve el servidor de impresión.

Introducción al proceso de impresión

Cuando una aplicación Windows imprime un documento, la aplicación llama a la Interfaz de dispositivo grafico (GDI, Graphical Device Interface) de Windows, la cual llama después al controlador de impresora de la impresora apropiada. (Otros sistemas operativos utilizan componentes diferentes para esta etapa de la impresión.) La GDI y el controlador de impresora cooperan para representar el documento en el lenguaje de impresora de la impresora y suministrar después el documento a la cola de impresión del cliente.

La cola de impresión del cliente envía el trabajo al proveedor de impresión remota (RPP, Remote Print Provider), el RPP lo envía al servidor de impresión de Windows, que aloja la impresora destino, y el host servidor de impresión almacena el trabajo de impresión al final de la cola de impresión de la impresora.

Cuando se utiliza el servicio LPR para imprimir por medio del servicio LPD, cada cliente


Capítulo 15

mantiene una cola de impresión individual. LPR y LPD son los servicios predeterminados en equipos UNIX, los sistemas operativos Windows pueden utilizar también estos servicios para mantener la compatibilidad con UNIX, aunque los servicios no se instalan de forma predeterminada.

El proveedor de impresión local del servidor de impresión sondea al procesador de impresión para determinar si es necesario convertir el trabajo de impresión a un tipo de datos diferente antes de imprimirlo. Cuando el trabajo de impresión alcanza la cabeza de la cola, se mueve al Procesador de paginas de separación (SPP, Separator Page Processor) para la inserción de una pagina de separación, si es requerido. después, el trabajo es extraído de la cola de impresión y enviado al monitor de impresión, y desde aquí a la propia impresora a través del Puerto de impresión apropiado. La impresora recibe el trabajo de impresión en su totalidad, o gradualmente a medida que el monitor de impresión alimenta la impresora a la velocidad apropiada para mantener los búferes de la impresora llenos. La impresora convierte cada página al formato de mapa de bits y después imprime el documento.

Tipos de datos de la impresora

Cuando un trabajo de impresión alcanza el comienzo de la cola de impresión, el proveedor de impresión local sondea al procesador de impresión para determinar si el trabajo de impresión está en el tipo de datos adecuado para la impresora. Si el trabajo de impresión no tiene el formato adecuado, el procesador de impresión necesita convertirlo. El tipo de datos que se utiliza para representar un trabajo de impresión es importante no solo por la necesidad de correspondencia con el tipo de datos soportado por la impresora, sino también a causa de consideraciones de rendimiento. Por lo tanto, es necesario comprender las diferencias entre los dos tipos de datos principales soportados por el procesador de impresión predeterminado de Windows. (Los procesadores de impresión de terceros suministran ocasionalmente -pero no a menudo- tipos de datos adicionales.)

El tipo de dato de impresora utilizado más comúnmente soportado por Windows es el metarchivo mejorado (EMF, Enhanced Metafile). Este es el tipo de datos predeterminado para los clientes Windows 2000 o Windows NT que utilizan el popular lenguaje de descripción de paginas PCL. El tipo de datos EMF es un formato de metarchivo que permite una mejor portabilidad, trabajos de impresión mas pequeños y menos tiempo consumido en la estación de trabajo cliente para preparar un documento para su impresión. Los archivos EMF también consumen generalmente algo menos de ancho de banda de red, pero requieren mas procesamiento en el servidor de impresión que los trabajos de impresión RAW.

El segundo tipo de datos mas comúnmente utilizado es el tipo de datos RAW, que es el tipo de datos predeterminado para las impresoras PostScript y todos los clientes que no ejecutan Windows 2000 o Windows NT. Los trabajos de impresión RAW se procesan completamente en el equipo cliente y no son modificados en absoluto por el servidor de impresión.

El procesador de impresión de Windows 2000 (Winprint) soporta otros tres tipos de datos, aunque no se utilizan tan a menudo. Los tipos de datos son RAW (FF anexado), RAW (FF auto) y text.

● RAW (FF anexado) añade un carácter de avance de pagina al trabajo de impresión, el cual requieren algunas aplicaciones que de otra forma no imprimirían la última página cuando utilizan el tipo de datos


Capítulo 15

RAW con impresoras PCL. ● RAW (FF auto) comprueba automáticamente la presencia de un carácter de avance, de página y añade

uno si es necesario. ● text interpreta todo el trabajo de impresión como texto ASCII plano, después añade cualquier

especificación de impresión adicional mediante la configuración predeterminada de fábrica de la impresora. Este tipo de datos es útil para impresoras que no trabajan adecuadamente con otros tipos de datos.

Planificación de la implantación de las impresoras

Es posible que la compañía ya tenga impresoras implantadas, y es de esperar que también haya convenios de denominación y directrices para situar las nuevas impresoras. Esta característica permite a los usuarios localizar más fácilmente impresoras cercanas que tengan las características que necesitan.

Establecimiento de convenios de denominación de las impresoras

Los métodos de denominación de las impresoras efectivos llevan tanta información relevante sobre las impresoras como es posible manteniendo al mismo tiempo el nombre intuitivo y compatible con todos los clientes relevantes.

Al igual que la planificación del espacio de nombres de la red, la planificación del convenio de denominación a utilizar para las impresoras es importante para mantener un entorno de computación lógico y fácil de usar Una empresa debe asegurarse de obtener soporte administrativo para el convenio. Es deseable establecer un esquema de denominación que se pueda cumplir realmente en la empresa.

En las maquinas basadas en Windows, se trabaja con dos nombres: el nombre de la impresora y el nombre compartido. Un nombre de impresora es el nombre otorgado a una impresora en el momento de su instalación y puede tener una longitud de hasta 220 caracteres. Un nombre compartido es el nombre proporcionado a la impresora para utilizarla en la red y puede tener una longitud de hasta 80 caracteres, aunque se mantiene normalmente en 8 caracteres o menos para mantener la compatibilidad con clientes basados en MS-DOS o Windows 3.x. Los nombres de impresora se muestran en el servidor de impresión y en el campo comentarios cuando los clientes Windows examinan una impresora. El nombre compartido es el nombre que todos los clientes ven cuando examinan una impresora, utilizan el Asistente para agregar impresoras o utilizan el comando Net Use.

Algunas aplicaciones heredadas experimentan problemas con impresoras cuyo nombre de impresora completo (el nombre del equipo y el nombre compartido de la impresora combinados) excede de 31 caracteres. Este problema también puede producirse con impresoras cuyos nombres tengan menos de 31 caracteres, si el nombre predeterminado de la impresora tiene mas de 31 caracteres, además, los clientes MS-DOS no pueden acceder a impresoras con nombres compartidos mas largos de 8 caracteres seguidos de una extensión de 3 caracteres.

Normalmente el nombre de la impresora que se utiliza es el nombre real de la impresora seguido de un


Capítulo 15

numero, si existen múltiples impresoras idénticas en la misma ubicación. Algunas empresas podrían desear incluir también la ubicación de la impresora en el nombre de la impresora, por lo que una impresora láser HP LaserJet 8100 podría llamarse HP LaserJet 8100-1 o HP LaserJet 8100 Planta 10-1.

El nombre compartido necesita ser mas escueto y a menudo es una referencia genérica a las capacidades de la impresora. Por ejemplo, la impresora HP LaserJet 8100 que se acaba de mencionar podría utilizar el nombre compartido de HPLaser1. O, si se dispone de una impresora láser color, se podría utilizar ClrLaser como nombre compartido. Opcionalmente se puede usar una extensión de tres letras en el nombre compartido y mantener aun la compatibilidad con clientes MS-DOS; algunas empresas utilizan la extensión para denotar el numero de la impresora o para referirse a sus capacidades.

Se debe evitar el uso de espacios a otros caracteres especiales en los nombres compartidos a menos que se mantenga una red donde todos son Windows 2000. En otro caso, algunos clientes, como UNIX o MS-DOS, no serán capaces de reconocer los nombres.

Creación de convenios de denominación de las ubicaciones

Cuando se utiliza Active Directory de Windows 2000 para almacenar la información de la impresora, los usuarios pueden examinar o buscar impresoras basándose en los criterios que quieran, incluyendo características y ubicación de la impresora. En organizaciones pequeñas, los usuarios pueden buscar impresoras sin utilizar el seguimiento de la ubicación de impresoras. Sin embargo, si se va a activar el seguimiento de la ubicación de impresoras, el nombre de ubicación de la impresora se vuelve mas importante que el nombre de la impresora.

Los nombres de ubicación son similares en forma a los nombres de dominio y se escriben de la forma nombre/nombre/nombre/nombre. Comienzan con el nombre de ubicación mas general y se van volviendo progresivamente mas específicos.

Cada parte del nombre puede tener un máximo de 32 caracteres y puede contener cualquier carácter excepto la barra diagonal (/), que esta reservada para utilizarla como delimitador. El nombre de ubicación completo no debe ser mayor de 260 caracteres, con un máximo de 256 niveles.

Si no se utiliza Active Directory para almacenar la información de la impresora, aun se puede incluir información de la ubicación con las impresoras, aunque este enfoque tiene algunas limitaciones. Para introducir la información de la ubicación, hay que escribir el nombre de ubicación en la pestaña General de la ventana Propiedades de la impresora.

Instalación de impresoras

Para añadir una impresora al sistema en Windows 2000, al igual que en Windows NT 4 y en Windows 95/98, se utiliza el Asistente para agregar impresoras. Si se ha configurado una impresora en alguno de estos sistemas operativos, se encontrara que el proceso es similar en Windows 2000.

Para cambiar el comportamiento predeterminado del Asistente para agregar impresoras para


Capítulo 15

clientes, servidores o ambos, hay que utilizar el complemento Directiva de grupo.

Después de añadir una impresora por medio del Asistente para agregar impresoras, será necesario configurar los permisos apropiados para la impresora, configurar cualquier opción de instalación con la que este equipada la impresora y establecer los parámetros de impresión predeterminados.

Instalación de impresoras locales

Para utilizar el Asistente para agregar impresoras hay que seguir los siguientes pasos:

1. Pulsar el botón Inicio, escoger configuración y pulsar en Impresoras para abrir la carpeta Impresoras. 2. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 3. Pulsar Siguiente en la primera pantalla para comenzar a utilizar el Asistente para agregar impresoras y

aparece el cuadro de selección del tipo de instalación que vamos a realizar. ❍ Impresora local,

seleccionaremos esta opción si los drivers van a estar instalados en nuestro equipo.

■ Detectar e instalar mi impresora Plug and Play automáticamente: por defecto está seleccionada y deberemos dejarla seleccionada si nuestra impresora es Plug and Play, lo que nos permite detectar automáticamente e instalar de forma rápida muchos dispositivos de hardware, incluidas las impresoras. En la actualidad, casi todas las impresoras del mercado son Plug and Play. Sin embargo, el modo en que se detectan y el grado de intervención del usuario requerido en el proceso de la instalación difieren de una impresora a otra y dependen de cómo se conecten al equipo. Si no selecciona esta opción con una impresora Plug and Play, Windows 2000 detectara la impresora la próxima vez que se reinicie el sistema y tratara de instalar la impresora una segunda vez. Si se utiliza una conexión USB o IEEE 1394 para la impresora, Windows 2000 detectara la impresora automáticamente y la instalara en el servidor tan pronto como se conecte la impresora al servidor (aunque podrían pedirse controladores). En Windows 2000 Server, el Asistente para agregar impresoras compartirá la impresora y la publicara en Active Directory a menos que se seleccione No compartir esta impresora en la pantalla Compartir impresora. En Windows 2000 Profesional, la opción predeterminada es no compartir la impresora a menos que se


Capítulo 15

seleccione Compartir como en la pantalla Compartir impresora, en cuyo caso la impresora será compartida y publicada.

❍ Impresora de Red: deberemos seleccionar esta opción si la impresora se encuentra en un servidor de Impresión con los drivers apropiados a nuestro sistema operativo.

Pulsar Siguiente. Si hemos seleccionado la opción Detectar e instalar mi impresora Plug and Play automáticamente, se iniciará la búsqueda y Windows 2000 nos mostrará el cuadro de diálogo Nuevo hardware encontrado cuando localiza la impresora. Si Windows 2000 posee los controladores apropiados para el dispositivo, instala esos controladores automáticamente.Si la impresora no fue detectada, hay que ejecutar el Asistente para agregar impresoras de nuevo, pero esta vez se debe desactivar la casilla de verificación Detectar a instalar mi impresora Plug and Play automáticamente en la pantalla Impresora local o de red y después pulsar Siguiente.

4. Seleccionar el puerto de impresora: ❍ Usar el puerto siguiente: si el puerto ya existe, lo seleccionamos y después pulsamos

Siguiente. ❍ Crear nuevo puerto: si el puerto no existe deberemos seleccionar esta opción, y se habilitará la

casilla Tipo, donde podemos seleccionar el tipo de puerto que debemos instalar. ❍ Seleccionar el botón de opción Crear nuevo puerto, y seleccionar después Standard TCP/IP Port

en la lista desplegable con dos opciones por defecto: Local Port y Standar TCP/IP Port. ■ Local Port:

Si seleccionamos esta opción deberemos proporcionar el nombre del nuevo puerto local. Seguramente esto no será necesarios ya que Windows 2000 es capaz de encontrar la mayoría de los tipod de puertos que estén instalados en el ordenador.


Capítulo 15

■ Standard TCP/IP Port: Si la impresora está conectada directamente a la red, mediante un interfaz de REd con TCP/IP instalado deberemos seleccionar esta opción y pulsar siguiente. Windows 2000 ejecutará el Asistente para agregar puerto de impresora estándar TCP/IP. Hay que asegurarse de que la impresora esta conectada a la red y encendida para que Windows 2000 pueda establecer una conexión. Aparecerá el asistente de instalación del nuevo puerto.

■ En Nombre de impresora o dirección IP, escriba el nombre DNS (Sistema de nombres de dominio) o la dirección IP (Protocolo Internet) del host para la impresora que va a agregar.

■ El nombre de puerto TCP/IP Windows 2000 lo rellena automáticamente. Después, Windows 2000 trata de conectar con la impresora. Si Windows no puede detectar la impresora, se solicitara información adicional. Como es el tipo de tarjeta que tiene instalada la impresora. Si pulsamos siguiente aparecerá el cuadro de confirmación de configuración del puerto.

■ Pulsamos Siguiente 5. Seleccionar el fabricante y modelo de la impresora en los cuadros de dialogo Fabricantes e Impresoras,

y pulsar Siguiente. O pulsar el botón Windows Update para ver una lista de controladores actualizados y pulsar el botón Utilizar disco para proporcionar un disco con controladores.

6. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir el nombre compartido de la impresora en la red.

7. Escoger si se desea o no compartir la impresora seleccionando la opción No compartir esta impresora o bien la opción Compartir como. Si se seleccionar la opción Compartir como, hay que proporcionar un nombre compartido para la impresora.

8. Introducir la ubicación de la impresión en el cuadro Ubicación. Se pueden describir las capacidades de la impresora en el cuadro Comentario.

9. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba, y después pulsar Siguiente para mostrar un resumen de la instalación de la impresora. Para modificar las opciones de instalación, hay que pulsar Atrás; en otro caso, hay que pulsar Finalizar para completar la instalación.

Instalación de nuevos puertos para impresoras en la Red

Para compartir impresoras en una red, hay varias opciones. Se puede añadir una impresora compartida por otro equipo, añadir impresoras TCP/IP en un puerto TCP/IP, añadir impresoras en un puerto LPR o añadir un


Capítulo 15

dispositivo de impresión AppleTalk.

Adición de impresoras compartidas por otro equipo

La forma más sencilla de conectarse a una impresora, después de utilizar una conexión física directa, es utilizar una impresora compartida en la red. El equipo que comparte la impresora podría ser un servidor de impresión o simplemente una estación de trabajo con una impresora conectada. Para configurar una impresora que es compartida por un servidor o estación de trabajo en la red, hay que seguir los siguientes pasos para utilizar el Asistente para agregar impresoras para conectarse a la impresora:

1. Configurar el equipo que comparte la impresora con el protocolo apropiado; hay que asegurarse de que la impresora esta compartida en la red y de que se tienen los permisos adecuados para acceder a ella.

2. Para una impresora conectada a un servidor NetWare, hay que asegurarse de que se tienen instalados el Protocolo de transporte compatible con NWLink IPX/SPX/NetBIOS y los Servicios puerta de enlace para NetWare, activados y funcionando en el servidor de impresión Windows 2000.Pulsar el botón Inicio, escoger Configuración y pulsar después en Impresoras para abrir la carpeta Impresoras.

3. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 4. Seleccionar la opción Impresora de red. Introducir el nombre de la impresora en el cuadro de texto

Nombre, o pulsar Siguiente para buscar la impresora. Si se escoge buscar la impresora, Windows 2000 muestra la pantalla Buscar impresora.Si las impresoras están publicadas en Active Directory, se puede seleccionar el botón de opción Buscar una impresora en el directorio y pulsar Siguiente para buscar en el Active Directory por medio de la ubicación o características de la impresora.

5. Escoger la impresora de la lista de impresoras compartidas y después pulsar Siguiente. 6. Si ya se ha instalado una o más impresoras en el servidor, hay que escoger si esta impresora ha de ser

la impresora predeterminada pulsando el botón Si o el botón No y pulsando después Siguiente. después, el Asistente para agregar impresoras muestra un resumen de la instalación de la impresora.

7. Pulsar Finalizar para finalizar la instalación.

Adición de impresoras TCP/IP en un puerto de impresora TCP/IP

mas a menudo se va a configurar un servidor de impresión para que se conecte a una o más impresoras ya conectadas directamente a la red. Una de las formas mas comunes de conectarse a estas impresoras de red es configurar un puerto de impresión TCP/IP estándar que administre las comunicaciones con las impresoras basadas en TCP/IP. Para configurar una impresora basada en red a través de un puerto de impresora TCP/IP estándar -que Windows 2000 trata como puerto local- hay que seguir los siguientes pasos:

1. Pulsar el botón Inicio, escoger Configuración y después pulsar en Impresoras para abrir la carpeta Impresoras.

2. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras. 3. Pulsar Siguiente en la primera pantalla para comenzar a utilizar el Asistente para agregar impresoras.


Capítulo 15

4. Seleccionar la opción Impresora local y desactivar la casilla de verificación Detectar e instalar mi impresora Plug and play automáticamente.

5. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Pulsar Siguiente.

6. Aparecerá el asistente para la creación de un puerto estándar de impresión.

7. En la pantalla Compartir impresora, seleccionar No compartir esta impresora si no se desea que esta impresora este accesible a usuarios en la red. Seleccionar Compartir como y suministrar un nombre compartido para la impresora, si se desea que los usuarios de la red sean capaces de utilizar esta impresora. Pulsar Siguiente.

8. Introducir el nombre de ubicación para la impresora en el cuadro Ubicación. Se pueden describir las capacidades de la impresora en el cuadro Comentario.

9. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente para mostrar un resumen de la instalación de la impresora.

Adición de impresoras en un puerto de impresora LPR

Otra forma común de conectarse a una impresora de red es utilizar un puerto LPR, lo que permite al servidor de impresión comunicarse con impresoras por medio del servicio LPD, usado normalmente para soportar clientes UNIX.

Para configurar una impresora basada en red a través de un puerto LPR primero hay que asegurarse de que están instalado el Componente de Windows Servicios de impresión para UNIX dentro de Otros servicios de archivo e impresión de red:

1. Instalar los servicios de impresión para UNIX utilizando el Asistente para componentes de Windows. 2. Pulsar el botón Inicio, escoger Configuración y pulsar después en Impresoras para abrir la carpeta

Impresoras. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras.


4. Escoger la opción Crear nuevo puerto, seleccionar LPR Port en la lista desplegable y pulsar Siguiente.


Capítulo 15

5. Introducir el nombre o la dirección de la impresora o el servidor de impresión que ejecuta LPD en el primer cuadro de texto del cuadro de dialogo Agregar impresora compatible LPR.

6. En el segundo cuadro de texto hay que introducir el nombre de la impresora o cola de impresión del servidor LPD y después pulsar Aceptar. Windows añade el puerto a la lista de puertos.

7. Si Windows no detecta la impresora, escoger el modelo de impresora en la Siguiente pantalla y después pulsar Siguiente.

8. Proporcionar un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir despu6s el nombre compartido de la impresora en la red.

9. Introducir el nombre de ubicación de la impresora en el cuadro Ubicación. Se pueden describir las características de la impresora en el cuadro Comentario.

10. Para imprimir una pagina de prueba hay que pulsar Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente para mostrar un resumen de la instalación de la impresora.

Adición de dispositivos de impresión AppleTalk

En un entorno informático mixto con clientes Macintosh, podría ser necesario utilizar uno o mas dispositivos de impresión AppleTalk. Para instalar una impresora AppleTalk, primero hay que asegurarse de que están instalado el Componente de Windows Servicios de impresión para Apple Talk dentro de Otros servicios de archivo e impresión de red:

AppleTalk no soporta nombres de usuario o contraseñas en los clientes, lo que elimina la capacidad de establecer permisos para usuarios Macintosh en el servidor de impresión. Sin embargo, se pueden establecer permisos para los usuarios Macintosh como un grupo, otorgando de este modo los mismos permisos de impresión a todos los clientes Macintosh.

1. Instalar los servicios de impresión para Macintosh utilizando el Asistente para componentes de Windows.

2. Abrir la carpeta Impresoras. Pulsar dos veces en el icono Agregar impresora para iniciar el Asistente para agregar impresoras.


Capítulo 15


4. Seleccionar Crear nuevo puerto y después seleccionar Dispositivos de impresión de AppleTalk en la lista desplegable y pulsar Siguiente. Windows 2000 busca impresoras AppleTalk en la red.

5. Escoger una impresora en el cuadro de dialogo Dispositivos de impresión de AppleTalk disponibles, y pulsar Aceptar para instalar la impresora. Cuando se pregunte si se desea capturar el puerto hay que pulsar Si, Windows añade el puerto a la lista de puertos.Cuando se captura un puerto de impresión AppleTalk, la impresora es administrada exclusivamente por el servidor de impresión de Windows 2000 y no se la puede conectar simultáneamente a un servidor de impresión Macintosh. Esta limitación otorga al administrador del servidor de impresión un control completo sobre la impresora.

6. Escoger el modelo de la impresora en la siguiente pantalla, si Windows no detecta la impresora. Introducir un nombre para la impresora en el cuadro de texto Nombre de la impresora. Introducir el nombre compartido a utilizar para la impresora.

7. Introducir el nombre de ubicación de la impresora en el cuadro Ubicación. Se pueden describir las características de la impresora en el cuadro Comentario y después pulsar Siguiente.

8. Imprimir una pagina de prueba pulsando Si en la pantalla Imprimir pagina de prueba. Pulsar Siguiente para mostrar un resumen de la instalación de la impresora.

Modificación de las propiedades de las impresoras

Después de instalar impresoras en el servidor de impresión, será necesario establecer la seguridad, configurar varias opciones de las impresoras, seleccionar la impresora predeterminada y seleccionar el servidor de impresión y sus opciones.

Definición de las opciones de seguridad

Aunque algunas personas no piensan en la seguridad cuando configuran impresoras, este puede ser un importante factor a considerar. Por ejemplo, no es deseable que todo el mundo imprima a 800 pesetas la pagina en la impresora de sublimación de tinta adquirida para el departamento de publicidad. A un nivel mas básico, probablemente no se deseara que muchos usuarios modifiquen las propiedades de una impresora o


Capítulo 15

cambien las propiedades de los documentos de la cola de impresión.

La seguridad de las impresoras se gestiona estableciendo permisos para grupos (y ocasionalmente para usuarios individuales) y auditando las acciones que realizan los usuarios y los grupos, de forma parecida al acceso al equipo en general. Hay que configurar los usuarios para que pertenezcan a grupos y otorgar después a los grupos el nivel de permisos apropiados para esos usuarios. Se debe activar la auditoria para usuarios individuales o grupos de forma que el administrador o la persona responsable de la administración de los registros de auditoria puedan hacer un seguimiento de las acciones del usuario en relación con la impresora.

Se debe utilizar una cuenta con permiso Administrar impresoras para ver y cambiar la configuración de seguridad de la impresora.

Niveles de permisos de la impresora

Las impresoras son recursos de Windows 2000 y, por lo tanto, pueden ser protegidos como cualquier otro recurso mediante las características de seguridad de Windows 2000. En Windows 2000 las impresoras tienen propietarios y listas de control de accesos (ACL, Access Control Lists), que especifican los permisos que tiene cada usuario o grupo. El creador de la impresora se convierte automáticamente en su propietario, y sólo los usuarios con permisos suficientes (Administrar impresoras) pueden obtener la propiedad de la impresora del creador. Un usuario o grupo tiene tres niveles de permisos de control para una impresora: Imprimir, Administración de documentos y Administrar impresoras.

Los clientes Macintosh asumen que si un cliente puede enviar físicamente un documento a una impresora, eso implica que tiene permiso para hacerlo de esa forma. Por lo tanto, un cliente Macintosh no posee seguridad de impresión.

● Los miembros del grupo Todos tienen concedido el permiso Imprimir de forma predeterminada. Sin embargo, se debería eliminar el permiso Imprimir del grupo Todos y asignarlo en cambio al grupo incorporado Usuarios. Esto permite imprimir sólo a usuarios con cuentas de dominio. Los usuarios o grupos con permisos Imprimir pueden hacer lo siguiente: conectarse a la impresora, imprimir documentos y detener, reiniciar y borrar sus propios documentos de la cola de impresión.

● El grupo Creator/Owner tiene concedido el permiso Administración de documentos de forma predeterminada. Este nivel otorga los permisos de Imprimir además de la capacidad de cambiar la configuración de todos los documentos de la cola de impresión y detener, reiniciar y borrar cualquier documento de la cola de impresión.

● Los usuarios avanzados, operadores de impresión y operadores de servidor en un controlador de dominio y a administradores en un servidor tienen concedido el nivel de permiso Administrar impresoras que es el equivalente en Windows 2000 al Control total de Windows NT. Además de los permisos de Imprimir y Administración de documentos, el nivel de permiso Administrar impresoras añade la capacidad de configurar impresoras compartidas, modificar las propiedades de las impresoras, eliminar impresoras, cambiar los permisos de las impresoras y tomar posesión de las impresoras.

Se debería configurar una impresora teniendo en cuenta las mismas directrices que se seguirían con cualquier recurso compartido. Se debe crear un grupo local con permisos Imprimir, darle un nombre que se corresponda


Capítulo 15

con el nombre de la impresora y añadir después grupos globales al grupo local. Si la seguridad no es un problema, se puede otorgar el permiso Administración de documentos o Administrar impresoras al grupo local.

Cambio de los permisos de la impresora

Para cambiar los permisos de una impresora, hay que seguir los siguientes pasos:

1. Abrir la carpeta Impresoras localizada en el menú Inicio.

2. Pulsar con el botón derecho del ratón en la impresora a modificar y después escoger Propiedades en el menú contextual.

3. Pulsar en la pestaña Seguridad en la ventana Propiedades de la impresora.

4. Para modificar los permisos de un grupo, hay que seleccionar el grupo en la lista y seleccionar después las casillas de verificación en la sección Permisos de la ventana para escoger que permisos otorgar a cada grupo.

5. Para añadir un usuario o grupo a la lista, hay que pulsar el botón Agregar, seleccionar un usuario o grupo de la lista para añadirlo y después pulsar Agregar. Cuando se haya terminado de añadir usuarios o grupos, hay que pulsar Aceptar.

6. Para eliminar un usuario o grupo de la lista de usuarios y grupos con permiso para utilizar la impresora, hay que seleccionar el usuario o grupo y después pulsar Quitar.

7. Para ver o cambiar la configuración de forma mas detallada, hay que pulsar el botón Avanzada.


Capítulo 15

8. Se puede utilizar la pestaña Permisos del cuadro de dialogo configuración de control de acceso para ver o cambiar todos los permisos de cada usuario o grupo. (Las configuraciones adicionales son Permisos de lectura, Cambiar permisos o Tomar posesión.)

9. Para especificar si los permisos de un usuario o grupo en particular se aplican solo a la impresora, solo a los documentos o tanto a la impresora como a los documentos, hay que seleccionar el usuario o el grupo, pulsar el botón Ver o modificar y después escoger una configuración de la lista desplegable Aplicar en. Pulsar Aceptar.

Configuración de la auditoria de la impresora

Para auditar acciones sobre la impresora (registrar las ocurrencias de acciones relacionadas con la impresora con éxito o sin el realizadas por usuarios o grupos), hay que seguir los siguientes pasos:


Capítulo 15

1. En la carpeta Impresoras (localizada en el menú Inicio), pulsar con el botón derecho del ratón en la impresora a modificar y después escoger Propiedades en el menú contextual.

2. Pulsar en la pestaña Seguridad en la ventana Propiedades de la impresora y después pulsar Avanzada.

3. Pulsar en la pestaña Auditoria. Para añadir una entrada de auditoria, hay que pulsar el botón Agregar.

4. Seleccionar un grupo para auditarlo y después pulsar Aceptar.

5. En el cuadro de dialogo Entrada de auditoria, hay que seleccionar las acciones que se desearían registrar y después pulsar Aceptar.

6. Para modificar las auditorias creadas, hay que seleccionar la entrada de auditoria y pulsar el botón Ver o modificar.

Se pueden ver los resultados de la configuración de la auditoria en el registro de seguridad. Después de revisar el registro varias veces, se puede concluir que se están auditando demasiados o muy pocos eventos. Si se registran demasiadas acciones, el registro se llenara rápidamente y los eventos que son mas serios se pueden perder en la larga lista de los relativamente triviales. Si se registran muy pocos eventos, se podría perder un patrón de accesos impropios a las impresoras.

Cambio de la propiedad de la impresora

El propietario de una impresora es la persona que tiene el control sobre que niveles de permiso tienen los usuarios y grupos sobre la impresora. Para cambiar la propiedad de la impresora, hay que seguir los siguientes pasos:


Capítulo 15

1. En la carpeta Impresoras, pulsar con el botón derecho del ratón en la impresora a modificar y después escoger Propiedades en el menú contextual.

2. Pulsar en la pestaña Seguridad en la ventana Propiedades de la impresora y después pulsar Avanzada.

3. Pulsar en la pestaña Propietario para ver la propiedad actual de la impresora.

4. Seleccionar el usuario o grupo que ha de ser el nuevo propietario de la impresora y después pulsar Aceptar.

Solo los usuarios o grupos con el nivel de permiso Administrar impresoras aparecerán en la listo de usuarios o grupos disponibles para tomar posesión de la impresora.

Cambio de las opciones de las impresoras

Windows 2000 instala las nuevas impresoras con las opciones de impresión diseñadas para que sirvan a la mayoría de los usuarios, pero con frecuencia será necesario cambiarlas para que la impresora funcione de forma óptima. Entre las modificaciones de las opciones de la impresora que podrían ser necesarias se incluyen cambiar la impresora predeterminada, cambiar los controladores de la impresora del servidor de impresión, especificar perfiles de color, cambiar la disponibilidad de la impresora, determinar las prioridades de impresión del grupo y configurar las colas de impresión. Estas características podrían no estar disponibles hasta que se activen explícitamente.

Dependiendo del controlador de impresora que se utilice, los cuadros de dialogo y las opciones de la impresora que se tendrán serán probablemente distintos de los que aparecen aquí. Si se utiliza un controlador de impresora proporcionado por el fabricante de la impresora, las pestañas y opciones adicionales no estarán disponibles en los controladores de impresora estándar de Windows 2000.

Cambio de la impresora predeterminada

Las aplicaciones del equipo que comparte la impresora imprimen automáticamente en la impresora predeterminada a menos que se especifique una impresora diferente. En un servidor de impresión es mucho mas difícil determinar que impresora es la impresora predeterminada, pero es importante para los clientes.

Para cambiar la impresora predeterminada hay que seguir estos pasos:


Capítulo 15

1. En la carpeta Impresoras, pulsar con el botón derecho del ratón en la impresora que se desea modificar.

2. Escoger Establecer como impresora predeterminada en el menú contextual.

Cambio de las opciones generales a impresión de paginas de prueba

Para cambiar las opciones generales de la impresora, como el nombre de la impresora, o para imprimir una pagina de prueba, hay que seguir estos pasos:


2. Utilizar la pestaña General de la ventana Propiedades para ver o modificar el nombre de la impresora, el nombre de ubicación o el comentario, además de ver las características de la impresora.

3. Para imprimir una pagina de prueba, hay que pulsar el botón Imprimir pagina de prueba en la pestaña General.

También se puede imprimir una pagina de prueba abriendo el Bloc de notas de Windows y creando un documento sencillo. De hecho, la impresión desde el Bloc de notas es una técnica de solución de problemas sencilla utilizada para ver si la impresión básica funciona.

Impresoras compartidas y suministro de controladores a los clientes

Para cambiar el nombre compartido que utiliza la impresora en la red, para dejar de compartir la impresora o para instalar controladores que las maquinas cliente pueden utilizar para la impresora, hay que seguir estos pasos:


Capítulo 15


2. Pulsar en la pestaña Compartir. Pulsar la opción Compartida como a introducir el nombre compartido de la impresora en el cuadro de texto proporcionado.

3. Para publicar la impresora en el Active Directory, hay que seleccionar la casilla de verificación Mostrada en Directorio, si esta disponible.

4. Para añadir controladores para clientes que se descarguen a instalen automáticamente cuando un cliente Windows 2000 o Windows NT se conecta a la impresora, hay que pulsar el botón Controladores adicionales.

5. En el cuadro de dialogo Controladores adicionales, hay que seleccionar la casilla de verificación junto a cualquier controlador para cliente que ha de instalarse y después pulsar Aceptar. Para instalar controladores adicionales para clientes es necesario acceder a los archivos de instalación de Windows 2000, bien en el CD-ROM, bien a lo largo de la red.

Cuando están instalados los controladores para clientes en un servidor de impresión, muchos clientes Windows descargan automáticamente los controladores cuando se conectan inicialmente a la impresora. Los clientes Windows 2000 y Windows NT 4 comprueban automáticamente la existencia de versiones actualizadas de los controladores de la impresora en el inicio y descargan las versiones mas recientes si es necesario. Los clientes Windows NT 3.x comprueban y actualizan automáticamente sus controladores cuando imprimen en el servidor. Los clientes Windows 95 y 98 no comprueban automáticamente la existencia de controladores actualizados y deben ser actualizados manualmente.

Cambio de los controladores de impresora del servidor de impresión


Capítulo 15

Para cambiar el controlador que utiliza el servidor de impresión para una impresora, hay que seguir estos pasos:


2. Pulsar en la pestaña Avanzadas. 3. Escoger un controlador

de la lista desplegable Controlador, o pulsar la opción Controlador nuevo para iniciar el Asistente para actualizar un controlador.

Definición de las opciones de las colas de impresión y cambio del puerto

Una cola de impresión es útil para gestionar un gran volumen de impresión en una ubicación, particularmente cuando existe una mezcla de documentos grandes y pequeños. Por ejemplo, alguien con un memorando de una sola pagina no tiene por que quedarse estancado en la cola detrás de un trabajo de impresión que es la versión empresarial de la Enciclopedia de la Real Academia de la Lengua Española.

Si las impresoras comparten un único controlador, pueden aparecer ante los clientes como una sola impresora. La ventaja de utilizar una cola de impresión es que los clientes no necesitan encontrar que impresora se encuentra disponible; simplemente imprimen en la impresora lógica única (controlador de impresora) del servidor de impresión, el cual envía el trabajo de impresión a la primera impresora disponible. La administración de las impresoras se simplifica también dado que todas las impresoras se consolidan bajo un controlador. Si se modifican las propiedades de la impresora lógica única, todas las impresoras físicas de la cola de impresión utilizan la misma configuración.

Las impresoras de una cola de impresión deberían situarse unas cerca de otras para facilitar la búsqueda de un trabajo de impresión terminado.

Para configurar una cola de impresión o simplemente cambiar la configuración del puerto de una impresora, hay que seguir los siguientes pasos:


2. Pulsar en la pestaña Puertos. 3. Seleccionar la casilla de verificación Habilitar la cola de la impresora. 4. Para cambiar la configuración de reintento de la transmisión de un puerto, hay que seleccionar el

puerto y pulsar Configurar puerto. 5. Para añadir impresoras adicionales a la cola de impresión, hay que seleccionar los puertos a los que

están conectadas las impresoras.

Todas las impresoras de una cola de impresión han de ser idénticas o al menos han de poder


Capítulo 15

utilizar el mismo controlador de impresora, dado que todas ellas están configuradas con un único controlador de impresión.

Especificación de un perfil de color

Windows 2000 incluye la API Administración de color de imagen 2 (ICM, Integrated Color Management) que permite mantener la consistencia de los colores en monitores, impresoras a color y escáneres. Cuando es necesario conseguir una reproducción del color precisa, es útil configurar la impresora, además de los monitores y escáneres de los usuarios, con un perfil de color apropiado. Para hacer eso, hay que seguir estos pasos:


2. Pulsar en la pestaña Administración del color. Seleccionar la opción Automático para que Windows 2000 escoja el mejor perfil de color.

3. Para seleccionar manualmente un perfil de color, hay que escoger la opción Manual y seleccionar después un perfil de la lista o pulsar el botón Agregar para instalar un perfil de color adicional proporcionado por el fabricante del dispositivo. Pulsar Aceptar.

La administración del color en Windows ha avanzado bastante, pero muchos profesionales de los gráficos aún utilizan soluciones de concordancia de color de terceros basadas en hardware cuando la precisión del color es importante. Sin embargo, ICM proporciona una buena forma de conseguir una medida de precisión razonable para el trabajo no crítico.

Cambio de la disponibilidad de la impresora

Para configurar la impresora de forma que sólo este disponible en determinados momentos -quizás para evitar las impresiones fuera del horario de trabajo-, hay que realizar los siguientes pasos:


2. Pulsar en la pestaña Avanzadas y después pulsar la opción Disponible desde.


Capítulo 15

3. Seleccionar la hora mas temprana y mas tardía entre las que estará disponible la impresora para los usuarios y después pulsar Aceptar.

Para dedicar una impresora a grandes trabajos de impresión de alta prioridad después de las horas habituales de trabajo, hay que instalar una impresora lógica duplicada (controlador de impresora) para la impresora. Hay que hacer que una de las impresoras lógicas este disponible para todos los usuarios a las horas de trabajo. La otra ha de estar disponible después del horario de trabajo solo para unos usuarios o grupos particulares.

Determinación de las prioridades de las impresoras para grupos

Algunas veces es deseable que la impresora este disponible preferentemente para ciertos grupos de usuarios de forma que puedan saltar directamente a la cabeza de la cola de impresión. Esta característica puede ser extremadamente útil para los usuarios que se ven presionados por el tiempo y necesitan tener preferencia sobre otros usuarios a la hora de imprimir.

Para configurar grupos que tengan distintas prioridades sobre una impresora, es necesario configurar dos o mas impresoras lógicas para la impresora física. De este modo, se tendrían dos o mas controladores de impresora configurados para una única impresora, poseyendo cada controlador un nivel de prioridad diferente y un conjunto de usuarios o grupos distinto. Para hacer esto hay que seguir estos pasos:

1. En la carpeta Impresoras hay que pulsar el icono Agregar impresora para añadir una o mas impresoras lógicas duplicadas para una impresora física que ya esta instalada en el servidor de impresión.

2. Pulsar con el botón derecho en la impresora lógica cuya prioridad se desea cambiar y seleccionar después Propiedades en el menú contextual. Pulsar en la pestaña Avanzadas.

3. Cambiar la prioridad asignada a la impresora lógica y a los usuarios y grupos que utilizan este controlador de impresora introduciendo un número en el cuadro de texto Prioridad. El intervalo de prioridades varia desde 1, que es la prioridad mas baja, hasta 99, que es la prioridad mas alta.

4. Pulsar en la pestaña Seguridad y añadir los usuarios y grupos a los que se va a permitir imprimir con este nivel de prioridad. Hay que eliminar o denegar los permisos de impresión a los usuarios cuyas impresiones deberían producirse con un nivel de prioridad diferente. Esos usuarios utilizaran otra impresora con su propio nivel de prioridad.

5. Pulsar Aceptar y repetir el proceso para el resto de impresoras lógicas creadas para la impresora.

Cambio de la configuración de la cola de impresión

Utilizar una cola de impresión o, lo que es lo mismo, almacenar un trabajo de impresión en disco antes de imprimirlo, afecta a cómo perciben los clientes el rendimiento de la impresión además de a la velocidad real de la impresión. Se puede cambiar la forma en que funciona la cola de impresión para corregir problemas de impresión o para mantener los documentos impresos en la cola de impresión en caso de que un usuario necesite imprimir el documento de nuevo. Hay que seguir estos pasos para cambiar la configuración de la cola


Capítulo 15

de impresión de un impresora:


2. Pulsar en la pestaña Avanzadas para mostrar la configuración de la cola de impresión.

3. Para disminuir el tiempo que tarda en imprimirse un documento, hay que seleccionar la opción Imprimir utilizando la cola y seleccionar la opción Empezar a imprimir de inmediato para comenzar la impresión tan pronto como haya información suficiente en la cola de impresión.

4. Para asegurarse de que la impresora dispone de todo el documento antes de comenzar la impresión, hay que seleccionar la opción Iniciar la impresión cuando la ultima pagina haya entrado en la cola. Este paso podría corregir algunos problemas de impresión.

5. Si sigue habiendo problemas, se puede escoger la opción Imprimir directamente en la impresora para desactivar la cola de impresión. Activar esta opción causara una alerta de rendimiento en el servidor.

6. Seleccionar la casilla de verificación Dejar pendientes documentos no coincidentes para mantener en la cola los documentos que no coincidan con la configuración actual de la impresora. El resto de documentos de la cola de impresión no se ven afectados por los documentos pendientes.

7. Seleccionar la casilla de verificación Imprimir primero los documentos de la cola de impresión para imprimir primero el documento con mayor prioridad que ya este en la cola de impresión, por delante de los documentos con prioridad superior que todavía están entrando en la cola de impresión. Este paso acelera el rendimiento global de la impresora evitando que ésta espere a los documentos.

8. Seleccionar la casilla de verificación Conservar los documentos después de su impresión para mantener una copia de los trabajos de impresión en la cola de impresión en caso de que los usuarios necesiten imprimir el documento de nuevo. En esta circunstancia, el usuario puede reenviar el documento directamente de la cola en lugar de imprimirlo desde su aplicación una segunda vez.

9. Desactivar la casilla de verificación Habilitar características de impresión avanzadas si se experimentan problemas con la impresora. Al hacer esto se desactiva la introducción en la cola de impresión de metarchivos, lo que desactiva algunas opciones de la impresora como el orden de paginas, impresión de folletos y varias paginas por hoja (si están disponibles para la impresora).

Cambio de la configuración del procesador de impresión y especificación de una pagina de separación

El procesador de impresión determina el formato de datos utilizado para los documentos que se envían a la impresora; generalmente RAW o EMF. Para modificar el tipo de procesador de impresión que utiliza el servidor de impresión para una impresora o para especificar una pagina de separación que se inserte entre los trabajos de impresión, hay que seguir estos pasos:


Capítulo 15


2. Pulsar en la pestaña Avanzadas. Pulsar el botón Procesador de impresión para cambiar el procesador de impresión o para especificar el tipo, de datos a utilizar. Cuando se hayan terminado de configurar las opciones en el cuadro de dialogo Procesador de impresión hay que pulsar Aceptar.

3. Pulsar el botón Página de separación para seleccionar una pagina que se inserte entre los documentos impresos para facilitar la separación de los trabajos de impresión. Pulsar Aceptar.

Configuración de una impresora para que utilice tanto PostScript como PCL

Si se dispone de una impresora que soporta la impresión en dos lenguajes de impresión (normalmente PostScript y PCL), se puede configurar la impresora para que soporte simultáneamente ambos lenguajes. Para hacer esto, hay que configurar las impresoras lógicas (controladores de impresora) para la impresora: una para cada tipo de datos. Los clientes con documentos PostScript utilizaran entonces la impresora lógica con PostScript activado, mientras que los usuarios con documentos PCL utilizaran la impresora lógica PCL.

Hay que abrir la carpeta Impresoras y pulsar Agregar impresora para crear una impresora lógica que soporte el primer tipo de datos (bien PostScript o bien PCL). después hay que utilizar Agregar impresora una segunda vez para crear una impresora lógica que soporte el segundo tipo de datos.

Definición de las opciones instalables y configuración del dispositivo de impresión

Cada impresora viene con varias opciones de dispositivo configurables, como desde que bandeja de papel imprimir, si se ha instalado un duplex y cómo gestionar las fuentes descargables. Aunque las opciones que se pueden configurar varían según el modelo de la impresora, se puede utilizar el siguiente procedimiento para cambiar la configuración de dispositivo de cualquier impresora:


Capítulo 15


2. Pulsar en la pestaña configuración de dispositivo y pulsar después las palabras subrayadas para mostrar una lista desplegable que se puede utilizar para configurar cada opción.

Si la impresora posee múltiples bandejas con diferentes formatos, hay que hacer coincidir el formato con la bandeja de forma que los documentos que utilicen ese formato se impriman siempre correctamente. Bajo el titulo Formato a asignación de bandeja hay que seleccionar cada bandeja y escoger el formato que permite la bandeja. Si la impresora soporta Protección de pagina y dispone de 1 Mb o mas de memoria opcional, se puede ir a la pestaña configuración de dispositivo y activar esta opción para asegurarse de que las paginas complejas se impriman adecuadamente. Cuando se activa esta opción, la impresora crea cada página en memoria antes de empezar a imprimir.

Cambio de los valores de impresión predeterminados

Después de configurar las opciones de la impresora para la impresora instalada, se deberían establecer los valores de impresión predeterminados que utilizan los clientes. Cuando se configuran los valores de impresión predeterminados que utiliza la impresora lógica en el servidor de impresión, se establece un conjunto de valores predeterminados que utilizaran todos los clientes que se conecten a la impresora.

Definición de los valores de presentación predeterminados

La presentación involucra opciones tales como la orientación de los documentos y el papel, el orden en que se imprimen las paginas y el numero de paginas por hoja de papel que se imprimen. Para cambiar esos parámetros, hay que seguir los siguientes pasos:


Capítulo 15


2. Pulsar en la pestaña General y después pulsar el botón Preferencias de impresión.

3. Para cambiar la orientación del papel, hay que pulsar el botón Vertical, el botón Horizontal o el botón Girado. Hay que observar que la vista previa cambia dependiendo de la selección escogida.

4. Para especificar si la impresora debería comenzar por la ultima pagina de un documento o por la primera, hay que seleccionar bien la opción Ascendente, que es buena para una impresión cara abajo, o bien la opción Descendente, que es mejor para impresoras con las paginas hacia arriba.

5. Para imprimir múltiples paginas por hoja de papel, hay que seleccionar el numero de paginas a imprimir en una hoja en la lista desplegable Paginas por hoja.

La orientación Girado, si esta disponible, imprime una pagina en forma horizontal, pero rotada 90 grados en sentido contrario a las agujas del reloj.

Definición del papel y calidad predeterminados

Las opciones de papel y calidad son importantes valores predeterminados porque generalmente muchos usuarios imprimen en un cierto tamaño de papel de una bandeja de papel particular y con cierta configuración de calidad. Muchos usuarios cambian las opciones predeterminadas solo si sus documentos no se imprimen como quieren, causando potencialmente bastantes desechos si los valores predeterminados no son apropiados y los usuarios no los corrigen hasta que han impreso una copia (o mas). Configurar estos valores predeterminados con un tamaño de papel estándar (muy probablemente tamaño A4) y con la calidad mas apropiada para los usuarios ahorrara a la empresa mucho dinero a lo largo del tiempo. Para especificar configuración de las opciones de papel y calidad, hay que seguir estos pasos:


Capítulo 15


2. Pulsar el botón Preferencias de impresión en la pestaña General. Pulsar la pestaña Papel/Calidad.

3. Utilizar la lista desplegable Origen del papel para que bandeja (u otro origen de papel) han de utilizar los usuarios para imprimir de forma predeterminada.

4. Seleccionar el tipo de papel con el que se suele abastecer a la impresora en la lista desplegable Medio.

5. Si el controlador de la impresora tiene una sección configuración de calidad, se puede utilizar esta parte del cuadro de dialogo para escoger la resolución o tipo de calidad a utilizar con los documentos de forma predeterminada. En general, conviene utilizar la configuración de calidad mas baja que sea aceptable para los usuarios para incrementar la velocidad de impresión, reducir desechos y disminuir costes.

6. Si se dispone de una impresora de color, se puede escoger si los usuarios deberían imprimir en blanco y negro de forma predeterminada.

7. Si el controlador de impresora no dispone de opciones de Calidad en la pestaña Papel/Calidad, se puede pulsar el botón Avanzadas y utilizar el cuadro de dialogo Opciones avanzadas para configurar las opciones de presentación, calidad o papel que estén disponibles para la impresora.

Para configurar la impresión a doble cara, el uso de grapas y otras opciones avanzadas de la impresora, hay que utilizar el botón Avanzadas -esos parámetros no estarán disponibles en ninguna otra parte- dependiendo del controlador de la impresora y de si se han activado esas opciones instalables.

Definición de las opciones de los servidores de impresión

Aunque la mayor parte de la configuración de la impresora se realiza en el controlador de impresora de una impresora particular, se pueden configurar algunas de las opciones propias del servidor de impresión. Esta configuración afecta a todas las impresoras alojadas en el servidor de impresión; incluye determinar que formatos se encuentran disponibles para imprimir y que puertos y controladores de impresora están disponibles para su uso, además de algunos parámetros de la cola de impresión.

Modificación de los formularios disponibles en el servidor de impresión

Los formularios son el material al que una impresora puede transferir tinta o tóner láser en la forma de letras,


Capítulo 15

caracteres o gráficos. Los formularios pueden ser papel de varios tamaños, cualquier clase de sobre a otros tipos de medios como película. Los servidores de impresión están configurados de forma predeterminada para gestionar una gran variedad de formularios estándar, pero ocasionalmente puede ser útil configurar formularios adicionales que puedan utilizar las impresoras, quizás porque se utilicen formularios empresariales especiales. O quizás se desee modificar o eliminar un formulario existente. Para hacer eso hay que seguir estos pasos:

1. En la carpeta Impresoras hay que escoger el comando Propiedades del servidor en el menú Archivo para abrir la ventana Propiedades de Servidor de impresión.

2. Para modificar un formulario hay que seleccionarlo y utilizar después los cuadros Medidas para alterarlo.

3. Para crear un nuevo formulario hay que seleccionar la casilla de verificación Crear un nuevo formulario, introducir un nombre para el formulario en el cuadro Descripción de formulario, utilizar los cuadros Medidas para definir el formulario y pulsar después Guardar formulario.

Configuración de puertos y controladores

Se pueden utilizar las pestañas Puertos y Controladores de la ventana Propiedades de Servidor de impresión para configurar el puerto y los controladores de impresora que estén disponibles en el servidor de impresión. Se pueden añadir nuevos puertos para las impresoras o configurar los controladores de impresora que se deseen que estén disponibles para que los descarguen los clientes cuando se conecten al servidor de impresión. Para hacerlo hay que seguir estos pasos:

1. En la carpeta Impresoras, hay que escoger Propiedades del servidor en el menú Archivo.

2. Para ver los puertos disponibles en el servidor de impresión, hay que pulsar la pestaña Puertos.

3. Seleccionar un puerto y pulsar Configurar puerto para modificar la configuración del puerto, o pulsar Agregar puerto o Eliminar puerto para añadir o eliminar un puerto del sistema.

4. Pulsar la pestaña Controladores para ver una lista de los controladores instalados actualmente en el servidor de impresión.

5. Para ver los detalles del controlador de un controlador de impresora hay que seleccionarlo y pulsar después el botón Propiedades para mostrar la ventana Propiedades del controlador. Se puede utilizar este cuadro de dialogo para ver las propiedades de cada archivo que compone el controlador de impresión.


Capítulo 15

6. Para actualizar un controlador de impresora, hay que seleccionarlo y pulsar Actualizar.

7. Para añadir un controlador de impresora que se quiera dejar disponible para que lo descarguen los clientes, hay que pulsar el botón Agregar para ejecutar el Asistente para agregar controladores de impresora, que hará de guía durante el proceso de instalación del controlador.

8. Para eliminar un controlador de impresora, hay que seleccionarlo y pulsar el botón Quitar.

Configuración de las opciones avanzadas del servidor de impresión

La pestaña Avanzado del cuadro de dialogo Propiedades de Servidor de impresión es extremadamente útil para configurar el servidor de impresión para un óptimo rendimiento y facilidad de uso. Se puede y se debería especificar dónde se almacena la cola de impresión, y también se puede controlar como gestiona el servidor de impresión los eventos de impresión. Para configurar estas opciones, hay que seguir estos pasos:

1. En la carpeta Impresoras hay que escoger Propiedades del servidor en el menú Archivo.

2. Pulsar en la pestaña Avanzado. En el cuadro de texto Carpeta de la cola de impresión hay que introducir la ubicación donde se desea almacenar la carpeta de la cola de impresión.Para un optimo rendimiento, conviene situar la carpeta de la cola de impresión en una unidad de disco independiente de Windows 2000, sus aplicaciones y especialmente su archivo de intercambio. También conviene asegurarse de que la unidad es lo suficientemente grande para contener todos los documentos de la cola de impresión. Si se escoge la opción de conservar los documentos impresos, la unidad necesitara ser incluso mas grande.


Capítulo 15

3. Seleccionar las casillas de verificación situadas junto a los elementos que han de ser registrados.

Para que se notifiquen los errores producidos mientras se imprimen documentos remotos, hay que seleccionar Emitir sonido al ocurrir errores en documentos remotos. Para enviar un mensaje al usuario cuando el documento termine de imprimirse, hay que seleccionar Enviar notificación al terminar de imprimirse los documentos remotos. Para mostrar un mensaje informativo en la computadora desde donde se imprimid el documento (incluso si el usuario que lo imprimió esta conectado actualmente en otra parte), hay que seleccionar Notificar al equipo, no al usuario, cuando se impriman documentos remotos.

La característica Enviar notificación al terminar de imprimirse los documentos remotos puede ser útil con servidores de impresión ocupados cuando podría producirse un retraso significativo desde el momento en que un cliente envía un documento a el momento en que el documento alcanza la cabeza de la cola y se imprime realmente. Sin embargo, en servidores de impresión poco ocupados o para usuarios que necesiten imprimir con frecuencia, esta característica puede resultar molesta. Si se produce esta situación con los usuarios, se puede desactivar la opción para eliminar el problema.

Búsqueda de Impresoras

Encontrar una impresora en una empresa grande puede ser peliagudo. Windows 2000 y Active Directory proporcionan una útil alternativa a dar vueltas por los pasillos: el seguimiento de la ubicación de impresoras. El seguimiento de la ubicación de impresoras utiliza Active Directory para almacenar la ubicación de la impresora, permitiendo a los usuarios buscar impresoras basándose en sus nombres, ubicaciones y una larga lista de características. Sin embargo, incluso sin el seguimiento de la ubicación de impresoras, con Windows 2000 se puede buscar y localizar una impresora fácilmente.

Active Directory

Para encontrar una impresora por medio de Active Directory, hay que dirigirse a Buscar en el menú Inicio y escoger Impresoras. Con el seguimiento de la ubicación de impresoras activo, cuando se abre el formulario de consulta, el sistema determina la ubicación del equipo desde el que se esta ejecutando la consulta y rellena el cuadro ubicación. Se puede pulsar el botón Examinar para cambiar la ubicación. después, se puede utilizar la pestaña características para especificar las características particulares que se necesitan, o pulsar la pestaña Opciones avanzadas para afinar la búsqueda con variedad de valores.


Capítulo 15

Cuando el seguimiento de la ubicación de impresoras esta activo, se puede utilizar el complemento Directiva de grupo para definir ubicaciones que no dependan de las ubicaciones geográficas reales.

Seguimiento de la ubicación de impresoras

Para utilizar el seguimiento de la ubicación de impresoras, es necesario publicar las impresoras en Active Directory con el campo ubicación y otros campos relevantes rellenos. Entonces los usuarios pueden buscar impresoras en Active Directory basándose en la ubicación, las características de color y la impresión a doble cara.

Reunión de los requisitos para el seguimiento de la ubicación de impresoras

El seguimiento de la ubicación de impresoras requiere unas pocas condiciones para funcionar correctamente. Para utilizar el seguimiento de la ubicación de impresoras, se deben dar las siguientes condiciones:

● Se debe instalar Active Directory en la red y debe contener mas de un sitio con mas de una subred IP ● La red debe tener un esquema de direcciones IP que se corresponda con el diseño físico de la red

razonablemente bien. ● Los equipos cliente deben ser capaces de consultar Active Directory. (Deben soportar LDAP 2 o

superior.) ● Cada sitio debería estar en una subred separada. ● Cada subred a la que necesiten acceder los clientes debería tener su propio objeto subred en Active

Directory.

El seguimiento de la ubicación de impresoras no resulta particularmente útil a menos que una empresa sea bastante grande. Sin embargo, se debería utilizar un convenio de denominación compatible para que se pueda activar el seguimiento de la ubicación de impresoras en el futuro.

Activación del seguimiento de la ubicación de impresoras

Una vez que se haya preparado la red, hay que seguir estos pasos para configurar el seguimiento de la ubicación de impresoras:


Capítulo 15

1. Abrir Sitios y servicios de Active Directory desde el menú Herramientas administrativas.

2. En la carpeta Sitios, pulsar con el botón derecho del ratón en el primer sitio y escoger Propiedades en el menú contextual.

3. Pulsar en la pestaña Ubicación a introducir el nombre de ubicación del sitio, o pulsar el botón Examinar para seleccionar la ubicación en el árbol de ubicaciones de la empresa.

4. Pulsar Aceptar y repetir los pasos 2 y 3 para cada sitio de la subred de la empresa.

5. Abrir el complemento Usuarios y equipos de Active Directory, pulsar con el botón derecho del ratón en el dominio para el que se desea activar el seguimiento de la ubicación de impresoras, escoger Propiedades en el menú contextual y pulsar en la pestaña Directiva de grupo.

6. Seleccionar la directiva a modificar y después pulsar el botón Modificar para abrir el complemento Directiva de grupo.

7. Abrir la carpeta configuración del equipo, abrir la carpeta Plantillas administrativas y, finalmente, abrir la carpeta Impresoras.

8. Pulsar dos veces en la directiva Preparar el texto de ubicación de búsqueda de la impresora, seleccionar Habilitada y pulsar Aceptar. Cerrar la ventana Directiva de grupo y cerrar después la ventana Propiedades del dominio.

9. Pulsar con el botón derecho del ratón en la primera impresora de la carpeta del impresoras del servidor de impresión y escoger Propiedades en el menú contextual.

10. Rellenar el cuadro de texto para la ubicación o pulsar Examinar para seleccionar la ubicación en el árbol de ubicaciones de la empresa.

11. Repetir los pasos 9 y 10 para todas las impresoras del servidor de impresión. 12. Probar el seguimiento de la ubicación de impresoras buscando maquinas clientes para asegurarse de

que todo está configurado adecuadamente.

Muchas empresas no tienen todas sus impresoras alojadas en servidores de impresión Windows 2000, pero, de forma ideal, todas las impresoras que estén disponibles para los clientes deberían mostrarse en Active Directory. Para que esto ocurra, será necesario publicar específicamente las impresoras que no hayan sido alojadas en Active Directory por medio de un servidor de impresión Windows 2000. Hay que abrir Usuarios y equipos de Active Directory (desde el menú Herramientas administrativas), pulsar con el botón derecho del ratón en el dominio, la subred o la unidad organizativa donde se quiera publicar la impresora y escoger Nuevo-Impresora en el menú contextual. Hay que introducir la ruta de la impresora que ha de


Capítulo 15

ser publicada en el cuadro Ruta de acceso de red del recurso compartido de impresión anterior a Windows 2000 y después pulsar Aceptar.

Gestión de impresoras y de servidores de impresión

Una vez que están configuradas las impresoras y el servidor de impresión, resulta tentador considerar que el trabajo esta acabado, pero, en realidad, la gestión de impresoras y de servidores de impresión es un proceso continuo. Afortunadamente, Windows 2000 hace que el trabajo de gestionar impresoras y servidores de impresión sea bastante fácil y flexible. Un servidor de impresión de Windows 2000 o una impresora alojada puede ser gestionado por cualquier maquina Windows 2000 0, incluso, por cualquier sistema que utilice un navegador Web siempre que estén instalados los Servicios de Internet Information Server (IIS) o los Servicios Web Personales y la impresión basada en el Web no haya sido deshabilitada por medio del complemento Directiva de grupo.

Esta sección se centra en algunas tareas de administración comunes, como conectarse a una impresora y ver los trabajos de impresión, gestionar los trabajos de impresión en la cola y transferir trabajos de impresión de una impresora a otra, todo tanto desde una maquina Windows 2000 como desde un navegador Web.

Gestión de impresoras desde Windows 2000

Se puede utilizar cualquier maquina que ejecute Windows 2000 para gestionar impresoras compartidas por un servidor de impresión Windows 2000 o Windows NT. De hecho, probablemente se administraran las impresoras desde una maquina remota en lugar de desde el servidor de impresión. La gestión de impresoras en Windows 2000 es similar al proceso en Windows NT 4, por lo que, si se esta familiarizado con la administración de impresoras en NT, se podrá saltar esta información básica.

Comprobación del estado de una impresora

Para comprobar el estado de una impresora y los trabajos en la cola de la impresora, hay que seguir estos pasos:

1. Abrir la carpeta Impresoras en el servidor de impresión o realizar una búsqueda para localizar la impresora a administrar.

2. Pulsar dos veces en la impresora para abrir una ventana de seguimiento que se puede utilizar para ver y gestionar la cola de la impresora.

Se podría desear crear una carpeta con accesos directos a todos los servidores de impresión que se administran. Para hacer esto, hay que crear una carpeta donde sea conveniente y arrastrar después las carpetas Impresoras de cada servidor de impresión a la recién creada carpeta.

Pausa, cancelación y reinicio de trabajos de impresión

Se puede utilizar la ventana Monitor de impresión para detener, cancelar o reiniciar cualquier documento que


Capítulo 15

espera a imprimirse, si se tienen los permisos Administrar impresoras.

Para hacer esto, hay que seguir estos pasos:

1. Seleccionar el documento o documentos con los que se desea trabajar en la cola de impresión.

2. Pulsar con el botón derecho del ratón en el documento y seleccionar Pausa en el menú contextual para detener temporalmente la impresión del documento. Pulsar con el botón derecho del ratón en el documento y seleccionar Reanudar para continuar imprimiendo.

3. Para cancelar un trabajo de impresión, hay que pulsar con el botón derecho del ratón en el documento y escoger Cancelar en el menú contextual. También se pueden cancelar trabajos de impresión seleccionándolos y presionando la tecla SUPR.

4. Para reiniciar un trabajo de impresión (forzar a que se imprima el documento desde el principio de nuevo), hay que pulsar con el botón derecho del ratón en el documento y escoger Reiniciar en el menú contextual.

5. Para detener la impresora, provocando que todos los documentos se conserven, hay que escoger Pausar la impresión en el menú Impresora. Hay que seleccionar de nuevo el comando para reanudar la impresión.

6. Para cancelar todos los trabajos de impresión de la cola de impresión, hay que ir al menú Impresora y escoger Cancelar todos los documentos.

Algunas veces un trabajo de impresión aparecerá estancado en la cola y rechazara el ser borrado. En este caso, se puede intentar apagar la impresora y encenderla de nuevo. O se puede detener y reiniciar el servicio Cola de impresión en el servidor de impresión.

Modificación de las propiedades de un trabajo de impresión

Además de iniciar o detener trabajos de impresión en la cola de la impresora, también se puede cambiar la prioridad y programación de trabajos de impresión individuales, además de la persona a la que hay que notificar cuando el documento termina de imprimirse.

Para cambiar la prioridad y la programación de los trabajos de impresión, hay que seguir estos pasos:


Capítulo 15

1. Pulsar con el botón derecho del ratón en el trabajo de impresión que se va a modificar y escoger Propiedades en el menú contextual.

2. Para cambiar la persona que es notificada cuando el documento termina de imprimirse, hay que introducir el nombre del usuario en el cuadro Notificar.

3. Se puede utilizar el control deslizante Prioridad para ajustar la prioridad del documento, siendo 1 la menor prioridad y 99 la mayor.

4. Para especificar que el documento debería imprimirse sólo durante un cierto período, hay que seleccionar la opción Sólo de y escoger el intervalo de tiempo durante el que se permite imprimir el documento. Pulsar Aceptar.

Se puede utilizar la característica Programación para establecer que un documento grande se imprima solo en momentos en los que se espera que este libre la impresora.

Traslado de documentos de una impresora a otra

Cuando un impresora emite crujidos y se queja a cualquiera que la toca, es el momento de llamar al técnico y de trasladar todos los trabajos de impresión a otra impresora que pueda utilizar el mismo controlador. Para trasladar todos los documentos de una impresora (normalmente porque esta presenta problemas) a otra impresora, hay que seguir estos pasos:

1. Pulsar dos veces en la impresora desde la que se desea trasladar documentos en la carpeta Impresoras del servidor de impresión.

2. Escoger Propiedades en el menú Impresora y pulsar después la pestaña Puertos. 3. Si la impresora a la que se desean trasladar documentos se encuentra en el mismo servidor de

impresión, hay que seleccionar el puerto al que esta conectada la segunda impresora y pulsar Aceptar. 4. Si la impresora esta en cualquier otra parte de la red, hay que pulsar el botón Agregar Puerto y añadir

después el Puerto apropiado para la segunda impresora.

Gestión de impresoras desde navegadores Web

Windows 2000 permite gestionar las impresoras desde cualquier navegador, siempre y cuando se tenga instalado IIS en el servidor de impresión y se posean privilegios suficientes, o funcionen los Servicios Web personales si se utiliza Windows 2000 Profesional como servidor de impresión. (En cualquier caso, se solicitara el nombre de usuario y la contraseña.) Esta característica puede ser extremadamente útil,


Capítulo 15

proporcionando la posibilidad de administrar impresoras desde ubicaciones remotas.

También se puede imprimir a través de la red o Internet desde un navegador Web, pero para utilizar esta característica es necesario utilizar Microsoft Internet Explorer 4 o superior. Se puede imprimir en una impresora con la "Impresión desde Internet" activada abriendo la impresora en el navegador Web y pulsando el hipervínculo Conectar para descargar a instalar los controladores apropiados para la impresora en el equipo. Entonces se pueden utilizar los controladores de impresora recién descargados para imprimir documentos.

Comprobación del estado de una impresora

Para comprobar el estado de una impresora y los trabajos en la cola de la impresora, hay que seguir estos pasos:

1. Introducir el URL del servidor de impresión seguido de /printers en la ventana Dirección del navegador.

2. Para mostrar la cola de la impresora hay que pulsar en el hipervínculo de la impresora que se desea gestionar.

Se pueden añadir servidores de impresión o impresoras a la carpeta Favoritos o añadir un marcador tal y como se puede hacer con una pagina Web.

Pausa, cancelación y reinicio de trabajos de impresión

Se puede utilizar la pagina Lista de documentos para detener, cancelar o reiniciar alguno o todos los documentos que esperan a imprimirse. Para hacerlo hay que seguir estos pasos:

1. Pulsar un hipervínculo bajo el titulo Acciones de la impresora para pausar, reanudar o cancelar la impresión de todos los documentos de la cola de impresión.

2. Para detener o cancelar un trabajo de impresión especifico, hay que seleccionar el botón de opción situado a la izquierda del documento y después pulsar el hipervínculo Pausar o el hipervínculo


Capítulo 15

Cancelar bajo el titulo Acciones de documento. 3. Para ver las propiedades de la impresora, hay que pulsar el hipervínculo Propiedades bajo el titulo Ver.

Se observara que sólo se pueden ver las propiedades en el navegador; para cambiarlas, hay que utilizar una maquina Windows 2000.

Resolución de problemas de impresión

El objetivo a la hora de resolver problemas de impresión, como en la resolución de cualquier tipo de problema es, primero, aislar a identificar el problema y después determinar el curso de acción para arreglarlo. Esta sección ayudara a diagnosticar los problemas de la impresora, localizar el subsistema de impresión donde se encuentra el error y proporcionar algunas sugerencias especificas para resolver los problemas. El problema mas probable que se encontrara es que un usuario no pueda imprimir, por lo que se presentan los procedimientos para solucionar problemas centrados en esa tarea.

En realidad, a menudo se realizara la resolución de problemas básica en el cliente antes de pasar a comprobar si el servidor de impresión esta funcionando, y sólo se utilizaran las tareas de solución de problemas mas avanzadas después de establecer con seguridad donde se encuentra el problema.

Como no existe una técnica establecida para identificar donde se encuentra un problema, la dificultad real a la hora de resolver problemas es determinar la causa del problema. Para ser capaz de hacer esto, se deben comprender los distintos componentes involucrados en la impresión. Una pequeña intuición tampoco hace daño.

Los problemas de impresión se suelen englobar en las siguientes categorías:

● Problemas físicos: Que incluyen problemas con la impresora y los medios de transmisión. ● Problemas del servidor de impresión: Que incluyen problemas con los controladores de impresora,

los niveles de permiso y el estado del software. ● Problemas de conectividad de la red: Que incluyen la ausencia de comunicación entre el servidor y

los clientes a causa de protocolos incorrectos, la configuración de la red o fallo del hardware. (Estos problemas se pueden gestionar tanto en el cliente como en el servidor, dependiendo de que experimenta el problema de conectividad.)

● Problemas del cliente: Que incluyen problemas con los controladores de impresión, los permisos y las aplicaciones.

Hay que tratar de determinar en que categoría se encuentra el problema antes de obtener los detalles. Un proceso de eliminación funciona normalmente. Se puede intentar imprimir desde un par de maquinas cliente. Si sólo una no funciona, se habrá reducido el problema a esa maquina cliente. Si todos los clientes fallan, se puede intentar imprimir desde el servidor de impresión. Si esto funciona, se sabrá que el problema se encuentra en la configuración del servidor de impresión o en la conectividad de la red. Hay que seguir probando alternativas hasta que se haya aislado el problema de forma tan precisa como se pueda, y empezar después a aplicar las reparaciones mas comunes hasta que se resuelva el problema.

Si ya se ha aislado parcialmente el problema, se puede saltar hasta el título de esta sección que se aplique y


Capítulo 15

continuar. Si no se puede solucionar el problema siguiendo las directrices proporcionadas aquí, se debería al menos ser capaz de aislar el problema en mayor grado.

Impresión desde la maquina cliente que sufre el problema

Tratar de imprimir desde la maquina cliente permitirá ver cualquier mensaje de error generado durante la impresión. Estos mensajes dicen a menudo la causa del problema o indican al menos algunas posibilidades.

Si el documento se imprime correctamente probablemente será un error de usuario, en cuyo caso podría ser necesario enseñar a los usuarios el procedimiento de impresión apropiado. En otro caso, se podría tratar de un problema con un programa en particular o el controlador de impresora podría no estar configurado de forma apropiada para los usuarios.

Muchos administradores realizan este paso mas adelante en el proceso de solución de problemas para minimizar el numero de veces que necesitan visitar los sistemas del cliente. Para comprender si el problema afecta solo al cliente o clientes que comunican el problema o si es mas generalizado, comienzan por verificar el servidor de impresión o la impresión desde otro equipo cliente como el que están utilizando ellos actualmente.

Documentos que se imprimen incorrectamente

Cuando un documento se imprime pero resulta incomprensible o tiene algún otro defecto, existe un problema de compatibilidad entre el cliente, el controlador de impresora y la impresora. Hay que asegurarse de que el cliente esta utilizando el controlador de impresora cliente apropiado y de que el servidor también utiliza el controlador de impresora apropiado.

Se podría tratar de instalar una impresora lógica duplicada para comprobar si el controlador de impresora se ha corrompido. Si este no es el problema, se puede intentar cambiar la configuración de la cola de impresión del controlador del cliente (o, si múltiples clientes experimentan el mismo problema, el controlador de impresora del servidor). Se puede probar a modificar específicamente las siguientes opciones de la pestaña Avanzadas de la ventana Propiedades de la impresora.

● Para asegurarse de que todo el documento esta disponible para la impresora cuando comienza la impresión, hay que seleccionar la opción Iniciar la impresión cuando la última pagina haya entrado en la cola.

● Si se siguen teniendo problemas de impresión, hay que escoger la opción Imprimir directamente en la impresora para desactivar la cola de impresión. Esta acción causara una alerta de rendimiento en el servidor.

● Desactivar la casilla de verificación Habilitar características de impresión avanzadas en el servidor de impresión para desactivar la cola de impresión de metarchivos, lo que desactiva algunas opciones como el orden de paginas, la impresión de folletos y la impresión de varias paginas por hoja (si están disponibles en la impresora).

Documentos que no se imprimen


Capítulo 15

Si el documento no se imprime adecuadamente, aparecerán con frecuencia mensajes de error que podrían ayudar a identificar el problema. A continuación hay algunas soluciones que se pueden probar:

● Si se recibe un error afirmando que no esta disponible el controlador de impresora apropiado para su descarga, es necesario instalar los controladores cliente apropiados en el servidor de impresión.

● Si se recibe un error afirmando que no esta disponible el dispositivo de impresión, podría haber un problema de conectividad de la red o el cliente podría carecer de permisos suficientes. Si se escucha mucho acceso a disco y el documento no se imprime, hay que comprobar que la unidad que almacena la carpeta de la cola de impresión del cliente contiene suficiente espacio libre de disco para contener el documento.

● Determinar si se puede ver y es posible conectarse al servidor de impresión a través de la red. Se puede intentar copiar un archivo al servidor de impresión para ver si se puede acceder a e1. (Normalmente, si no se puede acceder al servidor de impresión, no se puede acceder a ninguna de las impresoras que tiene conectadas.)

● Intentar la creación de una nueva impresora local con el hombre compartido \\nombreservidor\nombreimpresora de la impresora como nombre de puerto. Esto permitirá comprobar si se pueden copiar archivos al servidor de impresión.

● Imprimir un documento de prueba desde el Bloc de notas. Si se puede imprimir con el Bloc de notas pero no con la aplicación del usuario, los controladores de impresora están perfectamente y la aplicación es probablemente el problema.

● Si no se puede imprimir con el Bloc de notas, se puede intentar imprimir desde la línea de comandos escribiendo el siguiente comando: dir: [el hombre del puerto de la impresora], sustituyendo el hombre del puerto de la impresora con el hombre compartido de la impresora de red.

La impresión no funciona desde algunas aplicaciones

Algunas aplicaciones experimentan problemas cuando imprimen en Windows 2000. Algunos de los aspectos que se pueden encontrar se muestran a continuación:

● La impresión desde Microsoft Outlook en un sistema con múltiples idiomas es lenta: Se produce si hay instalados idiomas en el cliente que no están disponibles en el servidor. Para remediar esto, hay que copiar las fuentes a la carpeta %SystemRoot%\Fonts del servidor de impresión y abrir la carpeta Fuentes (o reiniciar el servidor).

● Se produce un mensaje de error Acceso denegado cuando se configura una impresora dentro de una aplicación: Se produce cuando no se poseen los suficientes privilegios para cambiar la configuración de la impresora. Para configurar una impresora es necesario tener los permisos Administrar impresoras.

● Se produce un mensaje de error Sin memoria en una aplicación cargada en un cliente Windows 3.x: Se puede producir si no se ha seleccionado una impresora predeterminada. Hay que instalar una impresora y configurarla como la impresora predeterminada.

● Un programa MS-DOS no imprime en Windows 2000 o Windows NT: Se puede producir si se esta utilizando un programa basado en MS-DOS que no imprime hasta que no finaliza. Se puede intentar salir del programa. además, cuando se configura un controlador de impresora por medio del Asistente para agregar impresoras, hay que escoger Si cuando se pregunte si se desea imprimir desde programas


Capítulo 15

MS-DOS.

Comprobación de la situación del servidor de impresión

Los administradores comprueban a menudo la situación del servidor de impresión antes de ir realmente a la maquina cliente porque pueden hacerlo de forma remota. Aquí hay algunas cuestiones a comprobar:

● El monitor de impresión podría mostrar los documentos bloqueados o mensajes de error. Si la impresora no tiene papel o toner o si hay un atasco de papel, con frecuencia aparecerá un mensaje de error aquí.

● Comprobar que hay suficiente espacio de disco libre en la unidad que almacena la cola de impresión. ● Si los documentos se imprimen de forma ilegible, la impresora podría estar utilizando el tipo de datos

equivocado (EMF o RAW). Se puede intentar utilizar el tipo de datos RAW para ver si esto corrige el problema. También se podría desactivar la casilla de verificación Habilitar características de impresión avanzada en la pestaña Avanzadas de la ventana Propiedades de la impresora.

● Comprobar si los documentos se están imprimiendo. Si no hay documentos que observar en la cola de impresión, se puede imprimir una pagina de prueba o un documento desde el servidor de impresión para verificar que el servidor de impresión imprime correctamente.

● Si algunos documentos de la cola de impresión no se imprimen y no se pueden borrar, la cola de impresión podría estar bloqueada. Hay que reiniciar el servicio Cola de impresión para ver si esto corrige el problema. También se podría añadir otra impresora lógica (controlador de impresión) para la impresora para tratar de descartar la posibilidad de un controlador de impresora corrompido.

● Comprobar que están instalados a iniciados los servicios apropiados para cualquier cliente no Microsoft de la red. Por ejemplo, si un cliente Macintosh esta teniendo problemas de impresión, hay que asegurarse de que los servicios de impresión para Macintosh están instalados y en ejecución.

Para impedir que documentos con determinados idiomas se impriman lentamente, hay que instalar en los servidores de impresión las fuentes de todos los idiomas que utilizaran los clientes para imprimir. Para hacer esto, hay que copiar las fuentes a la carpeta %SystemRoot% (Fonts del servidor de impresión y abrir la carpeta Fuentes (o reiniciar el servidor).

Impresión desde otra máquina cliente

Tratar de imprimir desde otra maquina cliente ayuda a determinar si el problema se encuentra en el servidor o en la maquina cliente original. Se puede imprimir un documento de prueba desde el sistema cliente y utilizar después estas directrices para tratar los resultados del intento de impresión.

● El segundo cliente imprime: Si el segundo cliente desde el que se intenta imprimir imprime correctamente, es necesario volver al cliente original y realizar una resolución de problemas con mas profundidad como reinstalar los controladores de impresora y comprobar el subsistema de impresión.

● El segundo cliente no imprime: Si el segundo cliente no puede imprimir en la impresora especificada, probablemente se tendrá un problema en el servidor de impresión o en la impresora. Si el servidor de impresión no muestra problemas, hay que comprobar la impresora.


Capítulo 15

Comprobación de la impresora

Si se han descartado los clientes y el servidor como fuente del problema, pero todavía no se puede imprimir ningún documento en la impresora, es necesario echar un vistazo mas de cerca a la impresora. Hay que detener la cola de impresión y comprobar la impresora real. ¿La impresora informa de algún error? Si hay algún atasco de papel o si la impresora esta baja de toner o necesita una revisión, la impresora mostrara normalmente un mensaje de error. Hay que asegurarse de que la luz preparada (ready) o en línea (online) este iluminada y de que el cable de la impresora este firmemente conectado o de que el cable de red este enchufado adecuadamente y la luz cercana al puerto de red este iluminada (si hay una).

Si todavía no se puede imprimir en la impresora, hay que tratar de imprimir una pagina de prueba directamente desde la impresora. La mayoría de las impresoras soportan esta característica. Si esto funciona, hay que tratar de configurar un servidor de impresión diferente con la impresora. Si se puede imprimir desde un servidor de impresión diferente, se tendrá un problema con el servidor de impresión original. Si esto no funciona, hay que tratar de contactar con la impresora para ver si es posible comunicarse con ella.

El servicio Cola de impresión esta bloqueado

Si no se pueden borrar los documentos de la cola de impresión o si un documento no se imprime, la cola de impresión podría estar bloqueada. Esto afectara también a cualquier servicio de fax que se este ejecutando en el servidor. Para reiniciar el servicio Cola de impresión hay que seguir estos pasos:

1. Abrir el complemento Administración de equipos desde la carpeta Herramientas administrativas, expandir Servicios y aplicaciones y después seleccionar Servicios.

2. Pulsar dos veces en el servicio Cola de impresión en el panel de la derecha para abrir la ventana Cola de impresión Propiedades.

3. Pulsar el botón Detener para detener el servicio y después pulsar el botón Iniciar para reiniciar el servicio.

4. Para ver los servicios (como Llamada a procedimiento remoto) de los que depende la cola de impresión, hay que pulsar la pestaña Dependencias. También se puede utilizar esta pestaña para ver los servicios que dependen de la cola de impresión para funcionar correctamente.

5. Para configurar un proceso de recuperación que debería tener lugar si el servicio Cola de impresión falla, hay que pulsar la pestaña Recuperación y especificar después si se desea reiniciar el servicio, reiniciar la computadora o ejecutar un programa después de cada fallo de la cola de impresión.

Reiniciar el servicio es normalmente una buena opción: ahorrara tiempo. Reiniciar el equipo automáticamente es la ultima opción porque el resto de procesos podrían ser interrumpidos o detenidos si se reinicia.

Resolución de problemas del seguimiento de la ubicación de impresoras

El seguimiento de la ubicación de impresoras puede tener su propio conjunto de problemas, aunque suelen estar relacionados normalmente con la forma en que estén configuradas las impresoras y la red. El resto de esta sección trata algunos problemas que se podrían encontrar cuando se utilice el seguimiento de la ubicación de impresoras y se sugieren algunos cursos de acción.


Capítulo 15

Los clientes no pueden localizar algunas impresoras en el Active Directory

Este problema se produce normalmente cuando el nombre de una impresora no se corresponde con el convenio de denominación de la ubicación de las impresoras que decidió implementar la empresa. Cuando esta activo el seguimiento de la ubicación de impresoras, los clientes solo pueden localizar impresoras con atributos ubicación que se correspondan con el convenio de denominación de forma predeterminada. Para corregir el problema, hay que introducir el nombre de ubicación correcto en el campo Ubicación que falta en la impresora.

Es necesario modificar el esquema de denominación

Si a empresa cambia su estructura organizativa o si se descubre que hay que cambiar el esquema de denominación de ubicaciones actual, hay que utilizar el siguiente procedimiento. (Windows 2000 no incluye ninguna herramienta para editar objetos de Active Directory en grandes cantidades.)

Hay que utilizar Sitios y servicios de Active Directory para actualizar los nombres de los sitios y las subredes. Hay que introducir los nuevos nombres de ubicación en el campo ubicación de cada impresora que se vea afectada por la reestructuración del nombre de ubicación. También se puede hacer esto con el guión Interfaces del servicio Active Directory (ADSI, Active Directory Services Interface).


Capítulo 16

Capítulo 16

Con Microsoft Windows 2000 el tema del almacenamiento local y de red se ha simplificado para el usuario. Windows 2000 Server proporciona soporte tanto para almacenamiento remoto como para almacenamiento local y en medios extraíbles -todo de forma completamente transparente al usuario-. A la larga, el usuario no tiene que preocuparse de si un programa o archivo se almacena en disco, en cinta o en cualquier parte de Internet, sólo de que esté disponible cuando sea necesario.

Terminología

Antes de adentrarnos en los detalles de la administración de discos y el almacenamiento, revisemos algunas definiciones.

● Unidad física: El propio disco duro, incluyendo carcasa, electrónica, fuente y todos los accesorios.

● Partición: Parte del disco duro. En muchos casos puede ser el espacio completo del disco duro. ● Unidad de asignación: La parte más pequeña de espacio de disco administrado en un disco duro

o unidad lógica. También llamada agrupación. ● Partición primaria: Parte del disco duro que está marcada como unidad lógica potencialmente de

inicio para un sistema operativo. MS-DOS puede admitir sólo una única partición primaria, pero Microsoft Windows NT y Windows 2000 pueden admitir cuatro particiones primarias por disco duro.

● Partición extendida: Partición no de inicio del disco duro que se puede dividir en unidades lógicas. Sólo puede haber una única partición extendida por disco duro, pero se puede dividir en múltiples unidades lógicas.

● Volumen extendido: Parecido a, y algunas veces sinónimo de, un volumen distribuido, que es cualquier volumen dinámico que se puede ampliar para que ocupe todo su tamaño inicial. Cuando usa partes de más de un disco físico, es más correcto denominarlo volumen distribuido.

● Unidad lógica: Sección o partición de un disco duro que actúa como una única unidad. Las particiones extendidas se pueden dividir, por ejemplo, en múltiples unidades lógicas.

● Volumen lógico: Otro nombre para las unidades lógicas. ● Disco básico: Un disco duro tradicional se divide en una o más particiones, con una unidad lógica

en la partición primaria, si la hay, y una o más unidades lógicas en las particiones extendidas. Los discos básicos no admiten las funciones más avanzadas del Administrador de discos, pero en la mayoría de los casos se pueden convertir en discos dinámicos.

● Discos dinámicos: Disco duro administrado con el Administrador de discos que se puede utilizar para crear diversos volúmenes.

● Volumen: Unidad de espacio de disco compuesta por una o más secciones de uno o más discos dinámicos.


Capítulo 16

● Volumen simple: El equivalente del Administrador de discos a las particiones. A una parte de un único disco dinámico se le puede asignar bien una única letra de unidad o no asignar letra, y se puede adjuntar (montar) en cero o más puntos de montaje.

● RAID (array redundante de discos independientes -antiguamente «de bajo coste»-): Uso de varios discos duros en un array para formar un volumen de mayor tamaño, tolerante a fallos y mejor rendimiento. Los RAID vienen en distintos niveles, como RAID-0, RAID-1, RAID-5 y demás.

● Volumen distribuido: Colección de partes de discos duros combinadas en una única unidad direccionable. A un volumen distribuido se le da formato como una unidad simple y puede tener asignada una letra de unidad, pero se expande a través de múltiples unidades físicas. Un volumen distribuido -a veces llamado volumen extendido- no proporciona tolerancia a fallos e incrementa la exposición a problemas, aunque permite realizar un uso más eficiente del espacio disponible en el disco duro.

● Volumen seccionado: Al igual que un volumen distribuido, un volumen seccionado combina partes de múltiples discos duros en una única entidad. Sin embargo, un volumen seccionado utiliza un formato especial para escribir de igual forma en cada una de las partes de la sección, incrementando el rendimiento. Los volúmenes seccionados no proporcionan tolerancia a fallos y, de hecho, aumenta la posibilidad de fallos, pero es más rápido que los volúmenes distribuidos o las unidades simples. Los conjuntos de secciones suelen denominarse RAID-0, aunque es un término inapropiado, ya que las secciones básicas no incluyen información redundante.

● Volumen espejo: Un par de volúmenes dinámicos que contienen datos idénticos y que aparecen en el mundo como una única entidad. Al hacer espejos de discos se pueden usar dos unidades del mismo controlador de disco duro o usar dos controladores por separado, en cuyo caso a veces se denomina duplexado. En caso de errores en la parte de una unidad, el otro disco duro se puede desdoblar para que se continúe proporcionando acceso completo a los datos almacenados en la unidad, dando un alto nivel de tolerancia a fallos. Esta técnica se denomina RAID-1.

● Volumen RAID-5: Al igual que el volumen seccionado, combina partes de múltiples discos duros en una única entidad con datos escritos por igual a través de las múltiples partes. Sin embargo, también se escribe información de paridad para cada sección dentro de las distintas partes, proporcionando la posibilidad de recuperación en caso de fallo en una unidad simple. Un volumen RAID-5 proporciona un excelente rendimiento en las operaciones de lectura, pero es sustancialmente más lento que las restantes opciones disponibles para las operaciones de escritura.

● SLED (disco único extenso y de alto coste): Apenas usado en la actualidad, esta estrategia es la contraria a la estrategia RAID. En lugar de utilizar diversos discos duros de bajo coste y proporcionar la tolerancia a fallos mediante información redundante, se compra el mejor disco duro que se pueda y se apuesta por completo en él.

Administración de Discos

El almacenamiento en un disco duro ha sido desde hace mucho tiempo el método normal de almacenamiento para las computadoras modernas, desde las computadoras centrales a los equipos de escritorio, y es poco probable que cambie, considerando incluso las opciones de almacenamiento más ricas que se han añadido en Windows 2000.


Capítulo 16

RAID (Array redundante de discos independientes) es un término usado para describir una técnica que ha aparecido como una solución final exotérica para una suposición normal en la mayoría de los servidores. Hace siete u ocho años, RAID no era un término demasiado conocido, aunque el artículo original en el que se definía RAID se escribió en 1988. Hasta hace poco, la mayoría de los sistemas de servidor dependían de discos duros caros y de gran calidad, con una frecuente copia de seguridad. Las copias de seguridad todavía son críticas, pero ahora se puede utilizar uno u otro formato de RAID para proporcionar una protección sustancial frente a fallos de disco duro. Aún más, esta protección cuesta mucho menos de lo que costaban aquellos enormes discos de servidor. RAID se puede implementar a nivel de software o de hardware. Cuando se implementa a nivel de hardware, el vendedor del hardware proporciona una interfaz de administración para los arrays y las unidades para admitir que pueda trabajar con los diversos sistemas operativos.Windows 2000 implementa los niveles 0, 1 y 5 de RAID en software.

Mejoras de la administración de discos

La tarea de la administración de discos en Windows 2000 no sólo brinda un nuevo formato de interfaz, basada en la Consola de administración de Microsoft (MMC), sino también un conjunto completamente nuevo de posibilidades.

El complemento Administración de discos de la MMC para administrar los discos físicos está dividido en dos paneles. Por defecto, el panel superior muestra las letras de unidad (volúmenes) asociadas con los discos locales y sus propiedades y estado, mientras que el panel inferior muestra una representación gráfica organizada por unidades físicas. Se puede usar como una pantalla independiente o como parte de la consola Administración de equipos.

● Administración remota: La nueva pantalla Administración de discos de Windows 2000 Server


Capítulo 16

permite administrar no sólo los discos duros locales, sino también unidades en otras computadoras que ejecuten Windows 2000, permitiendo que el administrador realice tareas de administración de discos y de ubicación de espacio desde una estación de trabajo sin tener que sentarse en la máquina que está siendo administrada. Esta característica es un beneficio para la administración remota de sitios y -utilizando MMC- facilita la delegación de autoridad y de responsabilidades administrativas de un grupo de computadoras a otras sin tener que darles privilegios administrativos totales.

● Discos dinámicos: La otra característica fundamental que Administración de discos añade a Windows 2000 es el concepto de discos dinámicos. Convirtiendo un disco a disco dinámico, se da a Administración de discos la posibilidad de administrarlo de una nueva forma, sin la necesidad de reiniciar en la mayoría de las ocasiones. Se puede ampliar un volumen de disco, extender un volumen entre múltiples discos duros, realizar secciones de un volumen para mejorar su rendimiento, hacer un espejo o añadirlo a un array RAID-5 -todo desde MMC y sin tener que reiniciar, una vez que el disco se ha convertido en disco dinámico-.La creación o conversión inicial de un disco básico a disco dinámico necesitará que se reinicie. Cuando se combina con la nueva funcionalidad de administración remota, los discos dinámicos dan potentes herramientas al administrador de sistema para administrar el tipo y la configuración del almacenamiento en discos duros entre diversas empresas.

Tareas de Administración de Discos

Al igual que todas las pantallas de MMC, el complemento Administración- de discos se puede abrir de muy diversas formas. Una de las formas más directas es pulsar el botón derecho sobre el icono Mi PC en la esquina superior izquierda del escritorio y escoger Administrar en el menú. Esto abre la versión local de la pantalla Administración de equipos, que contiene las pantallas Herramientas del sistema, Almacenamiento y Servicios y aplicaciones. Hay que pulsar Almacenamiento para acceder a Medios de almacenamiento extraíbles (si hay instaladas unidades extraíbles), Desfragmentador de disco, Unidades lógicas y Administración de discos, y después pulsar Administración de discos para acceder a la ventana de Administración de discos. Para abrir sólo la pantalla de Administración de discos, hay que pulsar dos veces sobre el archivo Diskmgmt.msc de la carpeta %RaízDeWindows%\System32.

Cuando se abre la pantalla de Administración de equipos, se tiene la posibilidad de administrar sólo los recursos de la computadora local, pero también aquéllos de computadoras remotas. Esto facilita la administración de discos en computadoras remotas. Si se ejecuta sólo Administración de discos, se está limitado a administrar los discos de la computadora local, a menos que se cree una MMC personalizada.

Añadir una partición o volumen

Añadir una nueva unidad o partición a un servidor Windows 2000 es inmediato. Primero, obviamente, es necesario instalar y conectar físicamente la unidad. Si se posee un panel o array de intercambio en caliente de unidades, ni siquiera es necesario apagar el sistema para realizar esta tarea. Si se utilizan unidades convencionales, sin embargo, habrá que apagar y desenchufar el sistema.


Capítulo 16

Una vez instalada la unidad y encendido de nuevo el sistema, Windows 2000 reconocerá automáticamente el nuevo hardware y lo pondrá disponible. Si el disco ya está particionado y dado formato, se podrá utilizar de inmediato. Si el nuevo disco no está marcado, será necesario prepararlo primero. Incluso si es un disco que se ha utilizado y dado formato pero no contiene datos críticos, se recomienda que se actualice a disco dinámico.

Cómo añadir un nuevo disco usando el Asistente para actualización y firma de discos

Para usar el Asistente para actualización y firma de discos para añadir un nuevo disco una vez iniciada la sesión, hay que seguir estos pasos:

1. Se abre la consola Administración de equipos pulsando el botón derecho sobre el icono Mi PC del escritorio y se selecciona Administrar en el menú de contexto.

2. En el menú Almacenamiento, se elige Administración de discos. Si el disco es nuevo, se verá la primera pantalla del Asistente para actualización y firma de discos. Este asistente permite actualizar el nuevo disco a disco dinámico. Se pulsa Siguiente. .

3. Aparecerá una confirmación del disco (o discos, si se ha añadido más de uno) que se puede seleccionar para la actualización.

4. Hay que asegurarse de que existe una marca a la izquierda del disco o discos a actualizar y después se pulsa Siguiente. Aparecerá un mensaje de confirmación. Si todas las opciones son correctas, hay que pulsar Finalizar y el disco se actualizará a disco dinámico.

5. Una vez finalizado el asistente, nos encontraremos ante la consola de Administración de discos. Nótese que el disco todavía no tendrá formato asignado y estará resaltado en negro (si no se han cambiado las opciones de colores por defecto de Administración de discos).

Creación de un volumen

Para crear un volumen nuevo (el equivalente en discos dinámicos a una partición), hay que completar estos pasos:

1. En la consola Administración de discos, se pulsa el botón derecho sobre el disco no asignado y se escoge Crear volumen del menú de contexto. Esto abrirá el Asistente para crear volúmenes, que guiará a través del proceso de crear un nuevo volumen en el disco dinámico. Se pulsa Siguiente.

2. Se selecciona el tipo de volumen que se va a crear. Dependiendo del número de volúmenes no asignados disponibles, se verán unas u otras opciones para el tipo de volumen. Estas opciones incluyen Simple, Distribuido (la opción de Windows NT 4), Seccionado (RAID-0), Reflejado (RAID-1) y RAID-5. Se pulsa Siguiente.

3. Se seleccionan los discos dinámicos a usar para el nuevo volumen. Las opciones disponibles y las selecciones que hay que hacer dependen del número de discos no asignados disponible.

4. En la misma pantalla, hay que ajustar el tamaño del nuevo volumen. Por defecto, el nuevo volumen utilizará el máximo espacio disponible de cada uno de los discos seleccionados. Para volúmenes distribuidos, éste será la suma de los espacios libres de los discos seleccionados; para


Capítulo 16

el resto de los volúmenes, será el número de veces que aparezca en los discos el espacio disponible de la parte más pequeña de los discos seleccionados.

5. Se selecciona una letra de unidad o un punto de montaje para el nuevo volumen, o bien se opta por no asignar una letra de unidad o camino en este momento. Con Windows 2000, se puede "montar" un volumen sobre un subdirectorio vacío, minimizando el número de letras de unidad y reduciendo la complejidad del almacenamiento que se muestra al usuario. Si se desea sacar partido de esta característica, hay que utilizar el botón Explorar para localizar el directorio en el que se desea montar el nuevo volumen. Se pulsa Siguiente.

6. Se seleccionan las opciones de formato que se desean. Incluso cuando se monta un volumen en lugar de crear una nueva unidad, hay que escoger el tipo de formato sin preocuparse del formato subyacente al punto de montaje. Se pulsa Siguiente.

7. Aparecerá una pantalla de confirmación. Si todas las opciones son correctas, se pulsa Finalizar para crear y dar formato al volumen. De nuevo se mostrará la consola de Administración de discos, en la que se verá el nuevo volumen.

Windows 2000 ha tomado prestado un concepto del mundo UNIX añadiendo la posibilidad de montar un volumen o partición en una subcarpeta de una letra de unidad existente. Un volumen montado también puede ser una letra de unidad asociada con la misma, aunque no necesariamente, y se puede montar en más de un punto, dando la posibilidad de múltiples puntos de entrada para el mismo medio de almacenamiento.

Los volúmenes hay que montarlos en una subcarpeta vacía de un volumen o unidad NTFS existente. Las unidades FAT o FAT32 no admiten volúmenes montados. Sin embargo, se puede montar un volumen FAT o FAT32 en cualquier punto de montaje. Se puede montar sólo un único volumen en un determinado punto de montaje, pero después se pueden montar más volúmenes en la parte superior del volumen montado, con las mismas reglas y restricciones que cualquier otro montaje. Las propiedades de una unidad no mostrarán todo el espacio disponible de esa unidad, ya que no reflejarán ningún volumen montado en la unidad.

Los volúmenes montados se pueden utilizar para proporcionar una mezcla de almacenamiento redundante y no redundante en una estructura lógica que cumpla con las necesidades del negocio de la empresa, a la vez que oculta a los usuarios las complejidades de la estructura física.

Creación de una partición

Sólo se pueden crear particiones para los discos básicos, no para discos dinámicos. Para crear una nueva partición, hay que seguir estos pasos:

1. En la consola de Administración de discos, hay que pulsar el botón derecho sobre un disco básico no asignado y seleccionar Crear partición. El Asistente para crear partición, se abrirá para guiar en el proceso de creación de una nueva partición en el disco básico. Se pulsa Siguiente.

2. Se selecciona el tipo de partición que se va a crear. Si es un medio extraíble, se verá sólo una


Capítulo 16

opción para la partición primaria, pero si es un disco no extraible se podrá escoger entre partición primaria o partición extendida. Los discos básicos pueden alojar hasta cuatro particiones primarias o tres particiones primarias y una extendida. Se pulsa Siguiente.

3. Se especifica qué parte del espacio disponible del disco se desea utilizar para esta partición. Se pulsa Siguiente.

4. Si se está creando una partición extendida, hay que ir al paso 6. Si se está creando una partición primaria, hay que seleccionar una letra de unidad, o un punto de montaje para la nueva partición. También se puede escoger aplazar la elección de dar a la nueva partición un punto de montaje o una letra de unidad. Sin embargo, no estará disponible a los usuarios hasta que se haga. Se pulsa Siguiente.

5. Se seleccionan las opciones de formato deseadas o se opta por aplazar el formato para más tarde. Se pulsa siguiente.

6. Aparecerá una pantalla de confirmación. Si todas las opciones son correctas, hay que pulsar Finalizar para crear la partición. Si es una partición primaria, estará formateada y tendrá asignada una letra de unidad o un punto de montaje.

Windows 2000 admite tres formatos distintos de sistema de archivo: FAT, FAT32 y NTFS. Antes de que se pueda usar cualquier disco o volumen, debe dársele formato. Para discos mayores de 510 Mb, FAT32 o NTFS usan el espacio de forma más eficiente. Sin embargo, sólo NTFS admite las características más avanzadas de Windows 2000.

Se puede escoger entre dar formato rápido a una unidad para ponerla disponible de la forma más rápida posible, pero esta opción sólo elimina las entradas de archivos del disco y no comprueba si hay sectores defectuosos. Esta opción se debe escoger cuando se recicla un disco que ya tiene formato y cuando se está seguro de que no está dañado.

En un volumen o partición NTFS, se puede especificar el tamaño de la unidad de asignación. Esta opción permite que se ajuste el disco a los propósitos particulares, dependiendo del tamaño del disco y de la función pretendida. Un volumen de almacenamiento de base de datos contendrá extensos archivos de la base de datos que administrará mejor el programa de base de datos si se le permiten unidades grandes de asignación (también llamadas agrupaciones), mientras que un disco que tenga que mantener pequeños archivos es candidato a agrupaciones menores. Los tamaños por defecto son un compromiso aceptable para la mayoría de las situaciones.

También se puede elegir la activación de la compresión de discos y de carpetas en volúmenes y particiones NTFS. Esto ocasiona que se compriman todos los archivos y carpetas del volumen, en contraposición a los archivos y carpetas individuales que se seleccionen. La compresión puede minimizar la cantidad de espacio del disco duro que utilizan los archivos, pero tiene un impacto negativo en el rendimiento.

Creación de unidades lógicas en una partición extendida


Capítulo 16

Si se ha creado una nueva partición extendida, el siguiente paso es crear unidades lógicas en la partición. Se pueden asignar una o más unidades lógicas en una partición extendida, y a cada una de estas unidades lógicas se puede asignar una letra de unidad y/o uno o más puntos de montaje. A cada una de las unidades lógicas se puede dar formato con cualquiera de los sistemas de archivos admitidos, independientemente del formato de las otras unidades lógicas. Para crear una unidad lógica, hay que seguir estos pasos:

1. En la consola de Administración de discos, se pulsa el botón derecho en la parte Espacio libre de la partición extendida y se selecciona Crear unidad lógica en el menú, para abrir el Asistente para crear partición. Se pulsa Siguiente.

2. Aparecerá la pantalla Seleccionar tipo de partición, con la opción Unidad lógica seleccionada y como única opción posible. Se pulsa Siguiente y se especifica el tamaño de la unidad lógica que se va a crear. Se puede especificar la partición completa a una única unidad o se puede dividir la partición en múltiples unidades lógicas. Se pulsa Siguiente.

3. Se selecciona la letra de unidad o punto de montaje para la nueva unidad lógica. También puede no asignarse una letra o punto de montaje por el momento. Se pulsa Siguiente.

4. Se seleccionan las opciones de formato deseadas. Se pulsa de nuevo Siguiente y se verá la pantalla final de confirmación. Si todas las opciones son correctas, se pulsa Finalizar para crear y dar formato a la nueva unidad lógica. Si es necesario crear unidades lógicas adicionales en la partición, se pueden repetir estos pasos tantas veces como sea necesario para crear el número de unidades lógicas deseado.

Cómo eliminar una partición, volumen o unidad lógica

Eliminar una partición, eliminar una unidad lógica y eliminar un volumen son básicamente la misma tarea, con una excepción importante. Cuando se elimina una unidad lógica, se termina con espacio libre en la partición, pero el resto de las unidades lógicas de la partición permanecen intactas. Cuando se elimina una partición o volumen, se elimina por completo el volumen o la partición. Sin embargo, no se puede eliminar una partición extendida hasta que se hayan eliminado primero todas las unidades lógicas. Se puede eliminar directamente una partición o un volumen.

En todos los casos, cuando se elimina un volumen, unidad lógica o partición, se termina con espacio libre y no asignado y sin datos en el volumen, unidad o partición una vez hecho, por lo que hay que asegurarse de tener una buena copia de seguridad si existe la posibilidad de que se necesiten después cualesquiera de esos datos. Para eliminar una partición, unidad lógica o volumen, hay que seguir estos pasos:

1. Se pulsar el botón derecho sobre la partición, unidad lógica o volumen y se escoge Eliminar partición, Eliminar unidad lógica o Eliminar volumen.

2. Si se está eliminando un volumen o partición, aparecerá un mensaje de aviso. La eliminación de particiones extendidas conlleva pasos extra, ya que primero hay que eliminar las unidades lógicas de la partición antes de poder eliminar la propia partición.


Capítulo 16

Una vez que el volumen o partición se ha eliminado completamente, el espacio que ocupa no estará asignado. El espacio que no está asignado en los discos dinámicos se puede utilizar para crear espejos, ampliar volúmenes existentes, crear un array RAID o cualquier otra administración de almacenamiento del servidor. El espacio que no está asignado en un disco básico se puede particionar.

Cómo convertir un disco a disco dinámico

Las ventajas de los discos dinámicos son sustanciales. Incluso utilizando controladores hardware de RAID y discos de intercambio en caliente para administrar los discos duros, probablemente sea una buena idea el uso de discos dinámicos. No obstante, existe un inconveniente. Debido a que no se puede arrancar desde o incluso ver un disco dinámico desde otro sistema operativo, habrá que considerar dejar al menos el disco de inicio como unidad básica, ya que haciendo esto facilitaremos el trabajo con el mismo. Si es necesario proporcionar redundancia en esa unidad y si el RAID hardware es una posibilidad, hay que usar el nivel 1 de RAID para poder recuperar a partir de un disco fallido u otro desastre, de manera que sea lo menos perjudicial posible. Para convertir un disco básico en disco dinámico, hay que seguir estos pasos:

1. Se pulsa el botón derecho del ratón sobre el icono del disco de la parte izquierda de la consola Administración de discos y se elige Actualizar a disco dinámico en el menú de contexto.

2. Aparecerá un cuadro de diálogo listando los discos básicos disponibles en la máquina. El disco sobre el que se ha pulsado aparecerá marcado y se podrán seleccionar otros discos a actualizar al mismo tiempo. Se pulsa Aceptar para continuar con la actualización.

3. Aparecerá un mensaje de aviso planteando que no se podrá utilizar otra versión de Windows en estos discos. Se pulsa Siguiente.

4. Si no hay sistemas de archivos en el disco seleccionado para actualizar, esto es todo. Sin embargo, si existen sistemas de archivos en cualquiera de los discos, aparecerá un mensaje de aviso diciendo que el sistema de archivos será forzado a desmontarse. Hay que pulsar Sí y la actualización procederá. Ahora se pueden administrar los discos de forma dinámica y pueden formar parte de espejos, arrays RAID-5 u otras configuraciones mejoradas de disco que no admiten los discos básicos.

Si hay archivos abiertos en el disco a actualizar, se pueden experimentar pérdidas de datos. Sólo se deben realizar actualizaciones de discos durante tiempos de inactividad en los que no haya usuarios con sesiones iniciadas o usando el servidor.

Cómo extender un volumen

Se puede añadir espacio a un volumen sin tener que hacer una copia de seguridad, reiniciar y restaurar los archivos en el volumen, si el volumen está en un disco dinámico y si es un volumen simple o un volumen distribuido. Esto se hace convirtiendo el volumen a volumen distribuido o extendido que incorpore espacio no asignado en cualquier disco dinámico. Desafortunadamente, no se puede incrementar el tamaño de un volumen RAID-5 o RAID-0 (seccionado) añadiendo solamente discos al


Capítulo 16

array, a menos que se utilice una versión del RAID hardware que admita esta funcionalidad. Para extender un volumen, hay que seguir estos pasos:

1. En la consola de Administración de discos, hay que pulsar el botón derecho sobre el volumen que se desea extender. Hay que elegir Extender volumen en el menú para abrir el Asistente para extender volumen. Se pulsa Siguiente.

2. Se resalta uno o más discos de la lista de discos dinámicos que están disponibles y tienen espacio no asignado. Se pulsa Agregar para añadir el disco o discos seleccionados y se indica la cantidad de espacio que se desea añadir. Se pulsa Siguiente.

3. El Asistente para extender volúmenes muestra una pantalla final de confirmación antes de extender el volumen. Hay que pulsar Finalizar para extender el volumen, o pulsar Cancelar si se cambia de opinión.

Es importante recordar que un volumen distribuido (extendido) en realidades menos fiable que un disco simple. A diferencia de un volumen espejo o RAID-5, en los cuales está integrada'la redundancia, un volumen distribuido o seccionado se perderá si falla cualquier disco del volumen.

La mayoría de los administradores ha deseado en algún momento que se pudiese incrementar de forma sencilla el espacio del directorio raíz de usuario sobre la marcha sin tener que dejar fuera de línea el sistema varias horas, mientras se hace la copia de seguridad del volumen completo y se vuelve a dar formato para añadir los discos duros adicionales, se restaura la copia de seguridad y se vuelven a crear los puntos compartidos. ¿Divertido? ¿Duro? ¿Arriesgado? Por supuesto. Y definitivamente un trabajo que debe llevarse a cabo un fin de semana o quedarse hasta tarde; en otras palabras, algo que hay que evitar por todos los medios.Todo esto hace que la posibilidad de Windows 2000 de crear espacio adicional en un volumen sin la necesidad de hacer una copia de seguridad del volumen, volver a dar formato al disco y volver a crear el volumen, sea una característica seductora. Sin embargo, si se usan discos duros convencionales sin RAID hardware, puede que haya que pensárselo dos veces antes de decidir aprovecharse de esta característica. Para permitir que un volumen se extienda sobre la marcha, es necesario utilizar sólo volúmenes simples o distribuidos. Ninguno es redundante, exponiendo a los usuarios al riesgo de que la unidad falle. Sí, hay una copia de seguridad, pero aún en el mejor de los casos, se perderán algunos datos si es necesario restaurar la copia de seguridad. Más aún, en realidad, el uso de volúmenes distribuidos aumenta las posibilidades de fallo en el disco duro. Si cualquier disco usado como parte del volumen distribuido falla, el volumen completo se quema y será necesario restaurarlo desde una copia de seguridad. ¿Por qué, entonces, usaría nadie la expansión? Porque tienen RAID hardware para proporcionar la redundancia. Esta combinación ofrece lo mejor de ambos mundos: la información redundante proporcionada por el controlador hardware de RAID y la flexibilidad para ampliar volúmenes según las necesidades, usando la administración de discos de Windows 2000.

Windows 2000 utiliza los términos «extendido» y «distribuido» de forma bastante indistinta cuando describe volúmenes. Técnicamente, sin embargo, un volumen distribuido tiene que incluir más de un disco físico, mientras que un volumen extendido también puede hacer referencia a un volumen que tiene espacio adicional añadido en el volumen simple original del mismo disco.


Capítulo 16

Cómo añadir un espejo

Cuando los datos son cruciales y se desea tener la seguridad de que ocurra lo que le ocurra a uno de los discos duros los datos están protegidos y siempre disponibles, hay que considerar hacer un espejo de los datos en una segunda unidad. Windows 2000 puede hacer espejo de un disco dinámico en un segundo disco dinámico para que el fallo de cualquier disco no ocasione una pérdida de datos. Para hacer un espejo de un volumen, se puede seleccionar el volumen a hacer el espejo cuando se crea el volumen o se puede añadir un espejo a un volumen existente. Para añadir un espejo a un volumen existente, hay que seguir estos pasos:

1. En la consola de Administración de discos, se pulsa el botón derecho sobre el volumen al que se desea hacer un espejo. Si existe la posibilidad de hacer espejo, el menú de contexto mostrará la orden Agregar espejo.

2. Se escoge Agregar espejo para mostrar el cuadro de diálogo Agregar espejo, en el que se puede seleccionar el disco a utilizar como espejo.

3. Se resalta el disco que será el espejo y se pulsa Agregar espejo. El espejo se creará de inmediato y empezará a duplicar los datos del disco original a la segunda mitad del espejo. Este proceso se llama regeneración. (El proceso de regeneración también se utiliza para distribuir datos a través de discos cuando se crea un volumen RAID-5.)

La regeneración es intensiva en CPU y disco. Cuando sea posible, hay que crear los espejos durante periodos de inactividad o durante el tiempo de poca carga planificado normalmente. Este objetivo debe sopesarse, no obstante, con el objetivo de igual importancia que es proporcionar redundancia y protección a fallos de la forma más expeditiva posible.

Para mejorarla seguridad y fiabilidad total de los datos, se debe hacer un espejo de los volúmenes en discos que usen controladores distintos, siempre que sea posible. Este proceso se conoce como duplexación y elimina el controlador de disco como único punto de fallo para el espejo a la vez que aumenta la velocidad tanto para lectura como para escritura del espejo, ya que el controlador y el bus ya no serán potenciales cuellos de botella.

Fallo de disco en un volumen espejo

Si falla uno de los discos de un volumen espejo, se continuará teniendo acceso pleno a los datos sin pérdida alguna. Windows 2000 enviará una alerta a la consola, marcará el disco fallido como perdido y lo dejará fuera de línea, pero continuará leyendo y escribiendo desde la otra mitad del volumen espejo como si nada hubiese ocurrido. Sin embargo, avisará. Ya no se dispondrá de tolerancia a fallos en ese volumen y cualquier fallo adicional se convertirá en una catastrófica pérdida de datos.


Capítulo 16

Una vez reemplazado el disco fallido o corregido el problema y activado de nuevo, el espejo comenzará automáticamente la regeneración. Si el problema se puede solucionar sin apagar el sistema, se puede regenerar el espejo sobre la marcha. Para activar de nuevo el disco fallido, hay que seguir estos pasos:

1. Se pulsa el botón derecho sobre el icono del disco fallido en la parte derecha de la consola de Administración de discos.

2. Se elige Reactivar disco y Windows 2000 muestra el disco en segundo plano e inicia la regeneración del espejo fallido. Una vez regenerado el espejo, el estado del disco cambia de Regenerando a Correcto.

Cómo quitar un espejo

Si es necesario habilitar espacio adicional en disco en el sistema y no se tienen discos adicionales disponibles, se puede eliminar el espejo de un volumen espejo. Cuando se elimina un espejo, los datos de uno de los discos permanecen intactos, pero el otro disco se convierte en espacio no asignado. Por supuesto, se pierde toda la redundancia y protección de los datos, por lo que será necesario seguir los pasos para restaurar el espejo tan pronto como sea posible, y hasta entonces será necesario modificar la agenda de las copias de seguridad para el disco restante. Para eliminar un espejo, hay que seguir estos pasos: a

1. En la consola Administración de discos, se pulsa el botón derecho sobre cualquier mitad del espejo. Se elige Quitar espejo en el menú y se abrirá el cuadro de diálogo Quitar espejo.

2. Se resalta el disco que se desea eliminar del espejo. Se pulsa Eliminar espejo. Se tendrá una última oportunidad para cambiar de opinión. Se pulsa Aceptar y el disco que esté resaltado se, convertirá en espacio no asignado.

Cómo romper un espejo

Si un disco falla y se reemplaza con uno idéntico, se debe dividir el espejo antes de que el reemplazo esté disponible. La división de un espejo sirve para la conexión entre los dos discos, permitiendo al disco presente continuar funcionando con normalidad hasta que esté disponible el reemplazo de disco. También puede resultar de utilidad la división del espejo aun cuando ambos discos todavía estén funcionando, ya que después se termina teniendo dos copias idénticas de los mismos datos. Una de las mitades del espejo dividido continúa teniendo la misma letra de unidad y/o el mismo punto de montaje, mientras que a la segunda mitad del espejo dividido se le asigna la siguiente letra de unidad disponible. Para dividir un espejo, hay que seguir estos pasos:

1. En la consola Administración de discos, se pulsa el botón derecho sobre cualquiera de los discos del volumen espejo.

2. Se elige Romper espejo en el menú de contexto. Se pedirá que se confirme que realmente se desea dividir el espejo.

3. Se pulsa Sí y el espejo se dividirá. Habrá dos discos: uno que mantendrá la letra de unidad o punto


Capítulo 16

de montaje del espejo original y otro al que se asignará la siguiente letra de unidad disponible. Ambos contendrán duplicados exactos de los datos en el instante de la división, pero comenzarán de inmediato a diverger según se modifiquen.

Una de las tareas más complicadas a la que se enfrentan los administradores de sistemas es obtener una copia de seguridad fiable y segura de un archivo que está constantemente en uso activo, como puede ser un archivo de datos para una base de datos, como SQL Server y Oracle. La orden Dividir espejo se puede usar para evitar este problema. Se puede detener momentáneamente la base de datos, dividir el espejo y reiniciar la base de datos. Ahora hay una copia del archivo de datos que no volverá a estar en uso activo y al que se puede realizar una copia de seguridad segura y efectiva. Una vez terminada la copia de seguridad, se puede eliminar el volumen dividido y volver a crear el espejo.

Cómo convertir un volumen o partición de FAT a NTFS

Se puede convertir un volumen o partición del sistema de archivos FAT o FAT32 al sistema de archivos NTFS sin perder datos o interrumpir la disponibilidad del resto del servidor. Sin embargo, Windows 2000 no ofrece una forma gráfica de hacerlo: hay que ejecutar una utilidad de la línea de órdenes. Para convertir un volumen o partición, hay que abrir la ventana de órdenes y escribir

convert <nombrevolumen | puntomontaje | letraunidad:> /fs:ntfs [/v]

Esta orden convierte el volumen o unidad de FAT o FAT32 a NTFS. Si se usa el modificador de línea de órdenes /v, la conversión mostrará el nombre de cada archivo y directorio que se convierte. Si alguien tiene un archivo abierto en el volumen y el programa no puede obtener acceso exclusivo a él, se ofrecerá la oportunidad de planificar la conversión para la próxima vez que se reinicie el sistema.

Si se planifica una conversión a NTFS para la próxima vez que se reinicie el servidor y el servidor se reinicia de forma inesperada, sólo habrá que esperar mientras se realiza la conversión. No existe ninguna forma de evitar la conversión una vez que nos hemos comprometido a ella.

Cómo dar formato a una partición o volumen

Antes de que se pueda usar una partición, unidad lógica o volumen, ha de estar formateada. El formato impone la estructura necesaria para admitir el sistema de archivos que se elija para el volumen. Hay que dar formato a un volumen o unidad cuando se crea por primera vez, y después siempre que se desee limpiarlo. También se puede usar el formato para cambiar el tipo de sistema de archivos de una unidad, partición o volumen, pero todos los datos del destino se destruirán durante el formato. (La línea de órdenes convert preserva cualquier dato del destino.) Los sistemas de archivos admitidos en Windows 2000 son FAT, FAT32 y NTFS.


Capítulo 16

En general, se recomienda utilizar NTFS, a menos que haya una razón de peso para no hacerlo. Un caso en el que no se usaría NTFS es cuando los archivos de registro residen en ese volumen o partición. Un volumen FAT o FAT32 tiende a ser más rápido y más apropiado para archivos grandes que crecen constantemente a pequeños intervalos, como hacen los archivos de registro. Sin embargo, aun con los archivos de registro, se deben usar los sistemas de archivo FAT y FAT32 sólo cuando la seguridad o las cuotas no son un problema, ya que estos sistemas de archivos no admiten cuotas o las características de seguridad de NTFS.

Otra razón para utilizar FAT o FAT32 es permitir que la computadora admita arranque dual con otros sistemas operativos. NTFS no es visible o accesible para otros sistemas operativos, mientras que FAT lo pueden utilizar diversos sistemas operativos, y FAT32 lo puede utilizar Microsoft Windows 95 y Microsoft Windows 98. Para dar formato a una unidad lógica, partición o volumen, hay que seguir estos pasos:

1. En la consola Administración de discos, se pulsa el botón derecho sobre la unidad lógica, partición o volumen que se desea dar formato y se escoge Formato en el menú. Aparecerá el cuadro de diálogo donde podemos seleccionar el sistema de archivos que se desea utilizar: FAT, FAT32 o NTFS.

2. Se selecciona el tamaño de la unidad de asignación (también llamado tamaño de agrupación). Normalmente, sólo hay que aceptar el valor por defecto.

3. Se escribe un nombre para el volumen, unidad lógica o partición. El valor por defecto es Nuevo volumen.Se marca el cuadro Formato rápido si se desea dar formato a la unidad de forma rápida. Sin embargo, se recomienda que no se haga esto a menos que sea estrictamente necesario para poner el volumen disponible de inmediato. La versión larga y completa del formato busca defectos en toda la unidad. Esto puede llevar un rato en una unidad grande, y la sobrecarga del rendimiento del sistema sufrirá mientras se realiza el formato, pero el mayor sentido de confianza en el volumen bien merece la espera.

4. Si se va a comprimir la unidad completa, hay que marcar Permitir compresión de archivos y carpetas. Nótese, no obstante, que se puede elegir la compresión de carpetas individuales e incluso de archivos individuales independientemente de si se ha marcado ahora esta opción. Y con el tamaño y el coste de las unidades en estos días, creo que esta opción es mucho menos útil de lo que nunca fue.

5. Se pulsa Aceptar y comienza el formato. Windows 2000 sólo puede tratar un formato al mismo tiempo, por lo que no se puede dar formato a otra partición o volumen hasta que éste termine.

Cómo cambiar la letra de unidad

Se puede cambiar la letra de unidad de un volumen o partición en cualquier momento y se puede incluso tener múltiples rutas de acceso para una letra dada. Además, a diferencia de Windows NT, Windows 2000 permite cambiar la letra de unidad de un medio extraible, como una unidad Jazz o Zip. Para cambiar una letra de unidad, hay que seguir estos pasos:


Capítulo 16

1. Se pulsa el botón derecho sobre la unidad en la consola Administración de discos y se escoge Modificar la ruta de acceso o la letra de unidad.

2. Aparece un cuadro de diálogo mostrando la letra de unidad actual y cualquier ruta de acceso a un punto de montaje para el disco. Se resalta la letra de unidad mostrada y se pulsa Modificar. Hay que seleccionar la nueva letra de unidad de la lista desplegable. Se pulsa Aceptar.

3. Se verá un mensaje de confirmación avisando de que el cambio podría afectar a la posibilidad de que se presenten algunos programas. Se pulsa Sí y la letra de unidad se cambiará de inmediato, a menos que existan archivos abiertos en la unidad. Si existen archivos abiertos en la unidad, la unidad tendrá dos letras de unidad temporalmente, la antigua y la nueva. Se pulsa Sí para confirmar el cambio.

Cómo montar un volumen

Windows 2000 añade una nueva característica al proceso de administración de disco y almacenamiento. Se puede montar un volumen dinámico -o cualquier partición o unidad lógica de una partición extendida- en cualquier directorio vacío que resida en una unidad que tenga formato NTFS y no sea extraíble. El volumen montado se puede dar formato como FAT, FAT32 o NTFS y aparece a los usuarios como un directorio normal. Esta característica hace posible crear grandes sistemas de archivos que usen múltiples discos duros sin heredar los riesgos de los volúmenes distribuidos, ya que el fallo de cualquiera de los volúmenes montados afecta sólo a los directorios que formaban parte de ese volumen. También se pueden admitir de forma sencilla múltiples formatos en una única letra de unidad. Para montar un volumen, hay que seguir estos pasos:

1. En la consola Administración de discos, se pulsa el botón derecho sobre el volumen o partición.Se elige Modificar la ruta de acceso o la letra de unidad en el menú. Se abrirá el cuadro de diálogo Modificar la ruta de acceso o la letra de unidad.

2. Se pulsa el botón Agregar; se abre el cuadro de diálogo Agregar nueva letra o ruta de acceso de unidad.

3. Se puede escribir el punto de montaje o usar el botón Examinar para seleccionar o crear un punto de montaje. Cualquier directorio vacío que resida en un volumen o unidad NTFS no extraíble puede ser un punto de montaje.

4. Una vez seleccionado o escrito el punto de montaje, se pulsa Aceptar y el volumen o partición se monta.

En realidades sencillo buscarse problemas con esta nueva característica. Administración de discos permitirá realizar múltiples niveles de volúmenes montados, incluyendo los recursivos. Creemos que es bueno aconsejarle que sólo monte volúmenes al nivel raíz de las unidades. Intentar montar por debajo de este punto puede ocasionar confusión y complicar la administración y documentación.

NTFS versión 5


Capítulo 16

El formato de sistema de archivos NTFS se ha mantenido, en principio sin cambios, desde la versión original de Windows NT. Con Windows 2000, Microsoft ha realizado cambios sustanciales en NTFS para admitir nuevas características que los administradores y los usuarios pedían. Estas nuevas características incluyen cuotas de disco -finalmente- y la posibilidad de cifrar archivos y sistemas de archivos completos a nivel de disco físico.

La nueva versión de NTFS, conocida como NTFS versión 5, es una extensión lógica de NTFS original, pero no es totalmente compatible con él. Si se va a utilizar NTFS en una configuración dual con Windows NT 4 en la misma máquina que Windows 2000, será necesario instalar Service Pack 4 de Windows NT 4 o posterior, para permitir que las particiones NTFS de Windows 2000 sean vistas cuando se arranque en Windows NT 4. También hay que recordar que las cuotas y el cifrado disponible en la versión 5 de NTFS no están admitidas en Windows NT 4 y no se le puede forzar o poner accesibles a él.

Cuotas de disco

Probablemente la incógnita perdida más molesta de la ecuación de administración de disco para la mayoría de los administradores de Windows NT haya sido la imposibilidad de administrar y limitar los recursos de disco de sus usuarios sin comprar productos complementarios. Windows 2000 por fin plantea esto en lugar de manifestar su omisión y proporciona cuotas por consulta o absolutas en los discos usados por usuarios o grupos. Sin embargo, cada volumen o partición se trata como una entidad por separado, es decir, no hay forma de limitar a un usuario o grupo de usuarios la cantidad total de uso del disco a través del servidor completo o de la empresa. (Suena como una oportunidad para soluciones de terceros, ¿no?)

Cómo activar las cuotas de disco

Por defecto, las cuotas de disco están desactivadas para todas las particiones o volúmenes. Es necesario


Capítulo 16

activarlas para cada volumen en el que se desee utilizar cuotas. Las cuotas están disponibles sólo para volúmenes con letra de unidad asignada. Se pueden asignar distintas cuotas para usuarios individuales o para grupos de usuario o se puede asignar la misma a todos los usuarios. Hay que seguir estos pasos para activar las cuotas para cada volumen que se desee:

1. Se pulsa el botón derecho sobre la letra de unidad en el Explorador de Windows y se escoge Propiedades.

2. Se pulsa sobre la ficha Cuota.

3. Se selecciona la opción Habilitar la administración de cuota. 4. Se definen los límites de uso de disco para esta letra de unidad. Las opciones disponibles son:

● Denegar espacio de disco a usuarios que excedan el límite de cuota Cuando se selecciona esta opción, se hacen cumplir las cuotas en todo uso del disco. Cuando se desactiva, los límites son sólo consejos.

● Limitar espacio de disco a Aquí se pueden especificar los límites de uso de espacio de disco para los nuevos usuarios del volumen.

● Establecer el nivel de advertencia en Esta opción indica el límite en el cual los usuarios recibirán un mensaje de aviso.

● Opciones de registro Se puede elegir registrar cuando los usuarios excedan su límite de aviso o su límite de uso, o se puede dejar ésta opción en blanco para indicar que no se desea registro.

5. Se verá un mensaje de confirmación. Si todo es correcto, se pulsa Aceptar para escanear la unidad y activar las cuotas.

Cómo asignar entradas de cuota a usuarios


Capítulo 16

Hay un aspecto interesante con las cuotas activadas como se describía en el procedimiento anterior: se aplican sólo a los usuarios. Los administradores no tendrán que seguir las cuotas a menos que se especifique explícitamente en una entrada de cuota por separado. Para fijar cuotas sobre los administradores o modificar las cuotas de usuarios individuales, es necesario realizar estos pasos adicionales:

1. En el Explorador de Windows, se pulsa el botón derecho sobre la unidad a la que se desea asignar entradas de cuota y se pulsa Propiedades. Se pulsa la ficha Cuota.

2. Se pulsa el botón Valores de cuota para mostrar las entradas de cuota del volumen. Aparecerá una ventana que contiene entradas para todo aquel que haya tenido archivos en el volumen, a menos que se haya eliminado explícitamente la entrada para los usuarios que no vayan a tener archivos allí.,

3. Se pueden cambiar las propiedades de cualquier entrada pulsando dos veces sobre la entrada.La ventana Entrada de cuota permite ordenar por cualquiera de las columnas para facilitar una identificación rápida de zonas de problemas o localizar una determinada entrada. También se puede usar la función Buscar para localizar una determinada entrada.

Hay que resistirse a la tentación de aforar en las cuotas de disco para cada individuo. Hacerlo se puede convertir en una pesadilla administrativa, especialmente debido a que no se pueden administrar cuotas para toda la audiencia de usuario, sólo para usuarios individuales. Hay que realizar cambios en la cuota de un individuo sólo cuando existe una razón convincente para hacerlo, y después mantener cuidadosos registros para que todos los administradores tengan un claro acceso a la información.

Cómo exportar e importar cuotas

Si se ha configurado un complicado sistema de cuotas para que algunos usuarios tengan más espacio que otros, implementar el sistema en un nuevo volumen puede ser tedioso. Pero Windows 2000 permite exportar cuotas de un volumen a otro. Si todavía no existe una entrada para un usuario en el nuevo volumen, ésta se creará. Si un usuario ya tiene entrada de cuota, se preguntará si se desea sobrescribirla con la entrada de cuota importada para ese usuario. Se debe evitar importar configuraciones de cuotas en una unidad existente a menos que se estén cambiando las cuotas generales a través de todo el servidor. Cualquier personalización realizada en la unidad actual se perderá y tener el conocimiento de cada cambio que afecta a un usuario existente se presta a errores.


Capítulo 16

Además, cualquier límite especial asignado para un determinado usuario en el volumen origen se aplicará al volumen destino.

Existen dos formas de importar cuotas de un volumen a otro. Se puede abrir la ventana Entradas de cuota para el volumen origen, pulsar Cuota y escoger Exportar, para guardar las entradas en un archivo, y después abrir la ventana Entrada de cuota para el volumen destino y escoger Importar en el menú Cuota. O simplemente se pueden abrir ambas ventanas Entradas de cuota y arrastrar las entradas que se desean importar desde la ventana origen a la de destino.

Creación de informes de cuotas

Su puede usar la ventana Entrada de cuota para crear informes sobre el uso del disco. Se seleccionan las cuentas que se desean incluir en el informe y se arrastran dentro de la herramienta de informes que se esté utilizando. Los formatos admitidos comprenden Formato de texto enriquecido, Valores separados por comas, CF_UNICODETEXT y CF_TEXT. Si se arrastran las entradas a Microsoft Excel, por ejemplo, no sólo se obtendrán las entradas, sino que también se obtendrán las cabeceras. Esto convierte los informes de utilización de disco en algo bastante trivial.

Cifrado a nivel de sistema de archivos

La versión 5 de NTFS añade la posibilidad de cifrado de archivos individuales o de subdirectorios completos de forma totalmente transparente. Para su creador, los archivos cifrados parecen exactamente iguales que los archivos regulares -sin cambios en las aplicaciones para usarlos-. Sin embargo, para cualquiera, excepto el creador/cifrador, los archivos no están disponibles, e incluso si alguien consigue acceso a ellos no podrán leer la información ya que se almacenan de forma cifrada.

El cifrado sólo es un atributo avanzado del archivo, al igual que la compresión. Sin embargo, un archivo no puede estar comprimido y cifrado al mismo tiempo -los atributos son mutuamente excluyentes-. Los archivos cifrados están disponibles sólo para el cifrador, pero los puede recuperar el agente de recuperación del dominio o de la máquina, si es necesario. A los archivos cifrados se les puede realizar una copia de seguridad mediante procedimientos normales de copia de seguridad si el programa de copia de seguridad es compatible con Windows 2000. Los archivos permanecen cifrados cuando se realiza la copia de seguridad, y los archivos restaurados mantienen su cifrado.

Bajo circunstancias normales, ningún usuario excepto el verdadero creador de un archivo cifrado tiene acceso al archivo. Incluso si se cambia el propietario no se eliminará el cifrado. Esto impide que usuarios no válidos consigan acceder a datos sensibles, como las nóminas, los informes anuales y demás, incluso teniendo derechos administrativos.

El cifrado sólo está disponible en el sistema de archivos NTFS versión 5. Si se copia el archivo a un disquete o a un sistema de archivos distinto de NTFS versión 5, el archivo ya no estará cifrado.Esto es cierto incluso para el sistema de archivos NTFS de versiones anteriores de Windows NT


Capítulo 16

Cuando se cifra una carpeta, todos los archivos creados en esa carpeta se cifran a partir de ese momento. También se puede optar por cifrar los contenidos actuales cuando se realiza el cifrado. No obstante, hay que avisarlo: si se elige cifrar los contenidos de una carpeta cuando ésta ya contiene archivos y subcarpetas, esos archivos y subcarpetas se cifrarán sólo para el usuario que realiza el cifrado. Esto significa que se cifraran aún cuando los archivos sean propiedad de otros usuarios y sólo estarán disponibles para su uso.

Cuando se crean nuevos archivos en la carpeta cifrada, los archivos se cifran para su uso por el creador del archivo, no para el usuario que activó el cifrado de la carpeta. Los archivos no cifrados en una carpeta cifrada pueden usarlos todos los usuarios que tengan derechos de seguridad para usar los archivos de esa carpeta; el estado de cifrado del archivo no cambiará a menos que se cambie el nombre del propio archivo. Los usuarios pueden leer, modificar y guardar el archivo sin convertirlo en archivo cifrado, pero cualquier cambio en el nombre del archivo disparará el cifrado, y el cifrado hará que el archivo sólo esté disponible para la persona que disparó el cifrado. Para cifrar un archivo o carpeta, hay que seguir estos pasos:

1. En el Explorador de Windows, se pulsa el botón derecho sobre la carpeta o archivos que se desea cifrar y se elige Propiedades en el menú emergente.

2. Se pulsa el botón Avanzadas de la ficha General para abrir el cuadro de diálogo Atributos avanzados.

3. Se selecciona la opción Cifrar contenidos para proteger datos y se pulsa Aceptar para volver a la ventana principal Propiedades del archivo o carpeta. Se pulsa Aceptar o Aplicar para activar el cifrado. Si ya existe cualquier archivo o subcarpeta en la carpeta, se presentará un cuadro de diálogo.

4. Si se elige Aplicar cambios sólo a esta carpeta, todos los archivos y subcarpetas de la carpeta permanecerán no cifrados, pero cualquier nuevo archivo o carpeta se cifrará por el creador en el momento de crearlo. Si se elige Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos, todos los archivos y carpetas por debajo de esta carpeta se cifrarán paraque sólo los pueda usar el cifrador, independientemente del creador o propietario del archivo.

5. Se pulsa Aceptar para aplicar el cifrado.


Capítulo 17

Capítulo 17

En la esfera de la seguridad de computadoras, uno de los errores cruciales más frecuentes que cometen los administradores es confundir la presencia de características de seguridad con un sistema seguro. No es suficiente mezclar protocolos, métodos y algoritmos en un collage de seguridad. En tales entornos, el vínculo más débil no suele verse hasta que es demasiado tarde. Para ser efectiva, la seguridad del sistema tiene que aplicarse como un conjunto y necesita que esté bien diseñada, ser completa y fácil de mantener.

Los sistemas bien diseñados van acompañados de directivas que indican cómo, cuándo y a qué nivel se aplica la seguridad. Los sistemas completos proporcionan seguridad multinivel que suena y es trasparente al usuario en la medida de lo posible. Los sistemas de fácil mantenimiento permiten a los administradores administrar de forma centralizada la seguridad y mantener un seguimiento de los sucesos críticos.

Con características como las plantillas de seguridad, el cifrado de clave pública, el Protocolo de Intemet Seguro (IPSec) y un amplio rango de procedimientos de auditoría, Microsoft Windows 2000 facilita la aplicación de las directivas de seguridad a equipos individuales o escalarlas a dominios o empresas completas.

Plantillas para implantar directivas de seguridad

Windows 2000, como ya sabemos o pronto aprenderemos, posee una rica y diversa gama de características de seguridad. Con estas características, no obstante, vienen múltiples opciones de directivas y atributos de seguridad que hay que configurar. Configurar el sistema con directivas consistentes a las necesidades de seguridad de la compañía, en sí misma, no es una tarea pequeña. Multiplíquese eso por todos los equipos del sitio o de la organización y se obtendrá bastante faena. Y esto no incluye el tiempo de mantenimiento necesario si las directivas de la compañía se van a volver a evaluar.

Hay que introducir plantillas de seguridad. Una plantilla de seguridad, de forma sencilla, es un archivo de configuración para todos los atributos de seguridad del sistema. Las plantillas de seguridad son potentes y ayudan a rebajar el esfuerzo de administración. Usando una interfaz única, un administrador puede generar una plantilla de seguridad que refleje las necesidades de seguridad de la compañía y aplicarla después a un equipo local o importarla a un objeto Directiva de grupo de Active Directory. Cuando se incorpora la plantilla al objeto Directiva de grupo, todos los equipos afectados por el objeto recibirán las opciones de la plantilla.

Ejecución del complemento Plantillas de seguridad


Capítulo 17

Las plantillas de seguridad se pueden crear o modificar con el complemento Plantillas de seguridad de la Consola de administración de Microsoft (MMC). Para añadir el complemento a la MMC, hay que ejecutar mmc.exe desde el cuadro de diálogo Ejecutar, al cual se accede desde el menú Inicio. Desde el menú Consola, se elige Agregar o eliminar complemento. Se pulsa el botón Agregar de la ficha Independiente y se selecciona Plantillas de seguridad en la lista de complementos proporcionada. Se pulsa Agregar en el cuadro de diálogo Agregar un complemento independiente, para agregar la entrada Plantillas de seguridad al cuadro de diálogo Agregar o eliminar complementos y después se pulsa Cerrar. Hay que pulsar Aceptar en el cuadro de diálogo Agregar o quitar complementos y el complemento Plantillas de seguridad se habrá añadido a la Raíz de la consola, en el árbol de la consola.

En el árbol de consola, hay que expandir Plantillas de seguridad y la carpeta Security\Templates para mostrar una lista inicial de las plantillas. Existen plantillas predefinidas que se pueden ajustar a las necesidades específicas de la compañía. Cuando se crea una nueva plantilla o se copia una existente, ésta se añade a la lista. Si se selecciona cualquiera de las directivas ya cargadas, el panel derecho de la consola muestra todas las áreas de seguridad disponibles para su configuración.

Esencialmente, cada plantilla de la lista representa un único archivo legible .INF. El complemento sólo es una interfaz para modificar estos archivos de plantilla de seguridad. Los archivos se pueden encontrar en la raíz del sistema en %RaízDeSistema%\Security\Templates.

El siguiente es un pequeño extracto de la plantilla securews /(Securews.inf), mostrando el área de Directivas de cuenta:

[System Access];-------------------------------------------;Account Policies - Password Policy;-------------------------------------------MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 RequireLogonToChangePassword = 0 ClearTextPassword = 0

Cómo examinar las directivas de plantilla

Cada plantilla contiene opciones de atributo para siete áreas de seguridad configurables en Windows 2000. Hay que pulsar dos veces sobre el área de seguridad en el panel derecho de la consola o expandir el árbol de consola en el panel izquierdo, para mostrar las secciones específicas.

Directivas de cuenta


Capítulo 17

El área Directivas de cuenta incluye directivas pertenecientes a las cuentas de usuario. Contiene Directiva de contraseñas, Directiva de bloqueo de cuentas y Directiva Kerberos.

● Directivas locales: El área Directivas locales incluye directivas pertenecientes a quién tiene acceso local o de red al equipo y cómo se hace la auditoría de los sucesos. Esta área contiene Directiva de auditoría, Asignación de derechos de usuario y Opciones de seguridad.

● Registro de sucesos: El área Registro de sucesos contiene atributos que determinan cómo se comportan los registros de aplicación, seguridad y sistema. Los atributos de registro incluyen tamaño máximo y restricciones de acceso. Los registros de sucesos se pueden ver en el Visor de sucesos.

● Grupos restringidos: La opción de seguridad Grupos restringidos es para agregar miembros a los grupos de usuarios predefinidos, los cuales tienen características predefinidas o a otros grupos definidos por el administrador que pueden tener privilegios. Los grupos de usuarios predefinidos comprenden Administradores, Superusuarios y Operadores de copia de seguridad.

● Servicios de sistema: El área Servicios de sistema incluye atributos de seguridad para todos los servicios de sistema del equipo local. Los servicios de sistema comprenden servicios de archivos, servicios de impresión, servicios de red y servicios de telefonía.

● Registro: El área Registro contiene atributos de seguridad para las claves del registro existente, incluyendo la información de auditoría y los permisos de acceso.

● Sistema de archivos: El área Sistema de archivos permite la configuración de los permisos de acceso y de auditoría de directorios y archivos específicos del sistema local.

Plantillas predefinidas

Las plantillas predefinidas proporcionadas por Windows 2000 se pueden usar tal cual o se pueden personalizar para que cumplan requisitos de seguridad más rigurosos. Estas plantillan cubren una serie de niveles y representan escenarios típicos de seguridad para distintos tipos de equipos encontrados en un sistema -léase estaciones de trabajo, servidores o controladores de dominio-. La Tabla 18.1 muestra algunas de las plantillas de seguridad predefinidas organizadas por nivel de seguridad.

Algunas plantillas de seguridad predefinidas

Nivel de seguridad Nombre de plantilla Descripción

Predeterminado basicwk Plantilla para estación de trabajo predeterminada.

basicsv Plantilla para servidor predeterminado.

basicdc Plantilla para controlador de dominio predeterminado.


Capítulo 17

Seguro securews Plantilla para estación de trabajo o servidor seguro.

securedc Plantilla para controlador de dominio seguro.

Muy seguro hisecws Plantilla para estación de trabajo o servidor muy seguro.

hisecdc Plantilla para controlador de dominio muy seguro.

Compatible compatws Plantilla para estación de trabajo o servidor compatible.

Tras instalación Instalación de seguridad Plantilla para las opciones por defecto tras la instalación.

Seguridad DC Plantilla para las opciones de un controlador de dominio tras la instalación.

Plantillas de seguridad predeterminada

Las plantillas de seguridad básicas para estaciones de trabajo, servidores y controladores de dominio contienen opciones por defecto de Windows 2000 para directivas de cuentas y locales, así como valores típicos para el mantenimiento del registro de sucesos y de los permisos básicos para los servicios del sistema. Además, estas plantillas básicas incluyen permisos de acceso por defecto al sistema de archivos, directorios y claves del registro que, una vez aplicados, sobrescriben las opciones de seguridad existentes para esos objetos y para sus hijos. Estas plantillas básicas, no obstante, omiten de forma intencionada la asignación de derechos de usuario para que no se sobrescriba ninguna asignación hecha por los programas de instalación de aplicaciones. Esta omisión significa que las plantillas de seguridad básica se pueden aplicar a una máquina para poner a cero la configuración de seguridad de ese sistema. .

Una mirada más de cerca de las tres plantillas básicas revela diferencias menores entre ellas. Mientras que la plantilla básica para estaciones de trabajo incluye las configuraciones por defecto necesarias para los servicios del sistema, la plantilla básica de servidor añade configuraciones por defecto para el inicio automático de los servicios sólo de servidor, como el Servicio SMTP de Microsoft y Registro de licencias. La plantilla básica para controlador principal de dominio omite toda la configuración de servicios de sistema. La plantilla básica de controlador principal de dominio está más ajustada para un controlador de dominio que da servicios a usuarios.

Plantillas de seguridad seguras

Se proporcionan dos plantillas seguras: una para controlador de dominio y una plantilla combinación para estación de trabajo y servidor. Con contraseñas y directivas de bloqueo más estrictas y con registros


Capítulo 17

de auditoría que restringen el acceso de invitado y manteniendo hasta cinco veces la información de auditoría de las plantillas básicas (diez veces para el controlador de dominio), las plantillas seguras proporcionan un nivel medio de seguridad.

Las plantillas seguras también activan más características de auditoría que las plantillas básicas. Los sucesos de inicio de sesión sin éxito y de uso de privilegios, así como la administración de cuentas con o sin éxito y de cambios de directivas, se configuran para hacer auditoría. Además, la plantilla de controlador de dominio seguro proporciona auditoría de acceso a objetos y al servicio de directorios. Las directivas de cuentas y locales también aparecen en la plantilla de controlador de dominio seguro, pero están ausentes para la plantilla de controlador de dominio básico. Debido a que los permisos de archivos, directorios y claves de registro se configuran de forma segura por defecto, estas áreas de seguridad se omiten en este tipo de plantilla.

Plantillas de seguridad muy seguras

Las plantillas muy seguras en realidad son bastante flojas y se concentran en la seguridad de las comunicaciones de entornos en modo nativo (Windows 2000). En breve, los atributos de seguridad se asignarán para comunicaciones del lado del cliente y del lado del servidor firmadas digitalmente y para firmar y cifrar datos de canales seguros. Debido a que se fija el protocolo de máxima protección, no obstante, los sistemas a los que se apliquen estas plantillas no podrán comunicarse con máquinas que ejecuten Microsoft Windows 95, Microsoft Windows 98 o Microsoft Windows NT. Aparte de que no existen los grupos restringidos Usuarios autenticados y Supersusuarios en la plantilla muy segura de estación de trabajo/servidor (hisecws), las plantillas muy seguras de estación de trabajo/servidor y de controlador de dominio son prácticamente la misma.

Plantilla de seguridad compatible

En la plantilla básica de estación de trabajo, los Usuarios autenticados con, por defecto, Superusuarios. Las plantillas seguras y muy seguras de estaciones de trabajo eliminan a los Usuarios autenticados del grupo Superusuarios. Debido a que el objetivo de la plantilla de seguridad compatible es permitir que se ejecuten de forma satisfactoria la mayoría de las aplicaciones, pero sin el coste de comprometer los niveles de seguridad de los Superusuarios, esta plantilla también elimina a los Usuarios autenticados del grupo Superusuarios. Con el grupo Usuarios autenticados degradado, la plantilla facilita la compatibilidad disminuyendo la seguridad en carpetas, archivos y claves de registro a las que suelen acceder las aplicaciones.

Plantillas de seguridad tras instalación

La plantilla de seguridad segura contiene opciones de seguridad tras instalación para estaciones de trabajo y servidores. La plantilla de seguridad para controladores de dominio se basa en la plantilla de seguridad de la instalación, añadiendo las opciones por defecto para controladores de dominio.

Cómo modificar una plantilla predefinida


Capítulo 17

Se puede usar una plantilla predefinida como punto de partida para el esquema propio de seguridad. Primero hay que hacer una copia de la plantilla pulsando el botón derecho sobre el nombre de la plantilla y eligiendo Guardar como. Después se especifica el nombre del archivo, asegurándose de que mantiene la extensión .INF. Se pueden modificar los atributos de cualquiera de las áreas de seguridad en la nueva plantilla expandiendo completamente el árbol de plantilla sobre esa área. Para los atributos, se pulsa el botón derecho sobre el nombre de atributo y se elige Seguridad en el menú de contexto, para abrir el cuadro de diálogo Configuración de la directiva de seguridad de la plantilla. Para las carpetas Grupos restringidos, Registro y Sistema de archivos, hay que pulsar el botón derecho sobre la carpeta y elegir Agregar grupo, Agregar clave o Agregar archivo, respectivamente.

Cómo definir nuevas plantillas

También se puede optar por generar una plantilla de seguridad completa a partir de cero. En el árbol de consola del complemento Plantillas de seguridad, hay que pulsar el botón derecho sobre la carpeta por defecto de la plantilla padre (%RaízDeSistema%\Seguridad\Plantilla) y elegir Nueva plantilla. En el cuadro de diálogo que aparece, se escribe el nombre de plantilla y la descripción del propósito de la plantilla. La nueva plantilla se guarda como archivo .INF en la carpeta Plantillas y se añade a la lista de plantillas disponibles.

En este punto, el nuevo archivo de plantilla está vacío, excepto por algo de información sobre la versión y la descripción. Visualizar cualquier atributo de la nueva plantilla listará los atributos como No definido. Las carpetas Grupos restringidos, Registro y Sistema de archivos simplemente no contendrán entradas.

Para cada área de seguridad, se puede configurar parte o todos los atributos de seguridad o se puede optar por dejar el área no configurada. Para modificar la configuración de un atributo, hay que pulsar el botón derecho sobre el atributo en el panel derecho y elegir Seguridad. Aparece el cuadro de diálogo Configuración de la directiva de seguridad de la plantilla. Para activar la configuración y asignar el atributo hay que seleccionar el cuadro de verificación Definir esta configuración de directiva. Las configuraciones guardadas en los diversos atributos representan una serie de tipos de datos, incluyendo Booleano (activado, desactivado), enteros (tamaño máximo de archivo) y fechas y horas.

Es tan sencillo como configurar aquellas áreas de seguridad que contengan una lista de elementos en lugar de atributos individuales. Se pulsa el botón derecho sobre Grupos restringidos, Registro o Sistema de archivos y se selecciona Agregar grupo, Agregar clave o Agregar archivo, respectivamente. Después se pueden explorar los objetos para agregar y escoger permisos de acceso, propietario e información de auditoría, en el cuadro de diálogo Control de acceso.

Una vez completada la plantilla de seguridad, se guarda pulsando el botón derecho sobre el nombre de la plantilla y eligiendo Guardar. Entonces está preparada para aplicarse a la computadora local o al objeto Directiva de grupo.

Cuando se crean nuevas plantillas de seguridad para la arquitectura del sistema, hay que


Capítulo 17

recordar que la seguridad se aplica mediante capas de plantillas. La base de datos de configuración permite que se importen plantillas una tras otra, por lo que las directivas de seguridad de las distintas plantillas tienen un efecto de máscara. Los conflictos sobre atributos específicos se resuelven dando mayor prioridad ala plantilla cargada de forma más reciente. Esto significa que las plantillas con grados variados de seguridad no necesitan contener datos redundantes. En cambio, los atributos básicos de seguridad se pueden aplicar con una plantilla de seguridad estándar que se cargue primero. Las plantillas de seguridad con mayor nivel necesitan, por tanto, contener sólo las diferencias de seguridad entre los dos niveles.

Cómo aplicar plantillas

Una plantilla de seguridad que contiene las configuraciones de seguridad del sistema se puede aplicar a la computadora local o bien se puede poner a un grupo de equipos importándola al objeto Directiva de grupo. Aplicar la plantilla al equipo local se realiza mediante el complemento Configuración y análisis de seguridad.

Para importar la plantilla de seguridad al objeto Directiva de grupo, hay que escoger el objeto destino Directiva de grupo en la MMC. Se expande el objeto y después se expande Configuración del equipo y Configuración de Windows para mostrar Configuración de seguridad. Se pulsa el botón derecho sobre Configuración de seguridad y se elige Importar directiva. Aparece una lista de plantillas de seguridad, siendo cada plantilla un archivo .INF. Se elige la plantilla deseada.

Hay que reducir las molestias administrativas de configurar grandes vectores de atributos de seguridad, modificando las plantillas predefinidas siempre que sea posible.

Configuración y análisis de seguridad

Configuración y análisis de seguridad es un complemento de MMC que permite a los administradores comprobar el estado de la seguridad del sistema frente a una o más plantillas de seguridad y realizar las modificaciones correspondientes. Útil como herramienta de configuración y como herramienta de mantenimiento, el complemento permite importar plantillas de seguridad predefinidas o modificadas, analizar todas las áreas de seguridad frente a esas plantillas con sencillas órdenes y visualizar resultados concretos. Después se puede sincronizar la seguridad del sistema con la plantilla de una vez o resolver las discrepancias en base atributo a atributo.

Esta herramienta, junto con la plantilla de seguridad apropiada, es inestimable para la instalación de la configuración inicial de seguridad de una máquina en la que se han definido muchos atributos de seguridad y permisos de archivo, directorio y clave de registro. Las directivas de seguridad de computadoras de una empresa o una división completa se pueden traducir a una única plantilla e importarla para configurar con rapidez una o más máquinas. Además, el complemento es muy útil para mantener el nivel de seguridad de un sistema. Sin excepciones, en caso de resolver problemas temporales


Capítulo 17

de red o administración, los atributos de seguridad se vuelven no disponibles y los permisos de los objetos se fijan a control total. Analizar de forma periódica la seguridad del sistema frente a las plantillas que lo definen permite localizar y solucionar de forma sencilla defectos de seguridad.

Finalmente, la herramienta permite exportar plantillas de seguridad que se hayan modificado durante la configuración de una máquina para volver a evaluar tales plantillas en el complemento Plantillas de seguridad. Si se han importado una o más plantillas, se puede guardar una única plantilla compuesta que es la suma de todas las opciones de plantilla.

Cómo abrir la base de datos de seguridad

Al igual que los otros complementos de la MMC, Configuración y análisis de seguridad se añade a la MMC eligiendo Agregar o quitar complemento en el menú Consola. Se pulsa el botón Agregar y se selecciona Configuración y análisis de seguridad en la lista proporcionada de complementos.

Las plantillas de seguridad se importan a la base de datos, la cual se usa para realizar el análisis y la configuración. El archivo de base de datos de seguridad usa una extensión .SDB. Para crear una nueva base de datos o abrir una existente, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir Abrir base de datos. En el cuadro de diálogo Abrir base de datos, se selecciona el archivo .SDB a abrir o se escribe un nuevo nombre de archivo para crear una base de datos. Cuando se escribe un nuevo nombre de base de datos, aparece un segundo cuadro de diálogo permitiendo importar una plantilla de seguridad base. Se elige una plantilla predefinida o una plantilla modificada con el complemento Plantillas de seguridad. La lista de plantillas predefinidas está en la carpeta %RaízDeSistema%\Security\Templates.

Cómo importar y exportar plantillas

Una vez abierta la base de datos de seguridad, se pueden importar plantillas adicionales de seguridad en ella. Para hacerlo, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir importar plantilla. Hay que seleccionar el archivo de plantilla .INF que se desea importar. Esta plantilla complementa la plantilla o plantillas de la base de datos actual; no las reemplaza.

En el proceso de análisis y configuración de la seguridad de un sistema con una plantilla de base de datos, puede que sea necesario definir una directiva más precisa y por lo tanto modificar la plantilla. La modificación no se guarda en la plantilla original importada; en su lugar, se guarda como copia de la base de datos. Para usar la plantilla modificada en otra máquina, será necesario exportarla. También se pueden combinar varias plantillas exportadas en una única plantilla combinada que se puede exportar después. Para exportar una plantilla, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir Exportar plantilla. En el cuadro de diálogo resultante, se escoge un nombre de archivo para la plantilla usando la extensión .INF.

Análisis de la seguridad y visualización de resultados


Capítulo 17

Una vez importadas las plantillas necesarias a la base de datos, se puede analizar el sistema. Para analizar la seguridad del sistema, se pulsa el botón derecho sobre Configuración y análisis de seguridad y se elige Analizar el equipo ahora. En el cuadro de diálogo Realizar análisis, se selecciona el camino y el nombre de archivo destino para los resultados del análisis. Se pulsa Aceptar y aparece la ventana de progreso Analizando la seguridad del sistema.

El análisis genera dos tipos de resultados. Primero, el éxito o fallo de cada componente analizado se escribe en un registro de errores. Segundo, las áreas de seguridad se listan bajo Configuración y análisis de seguridad en el árbol de consola. Cada área da los resultados del análisis en una comparación atributo a atributo. Cuando se completa el análisis, se puede ver el registro de errores pulsando el botón derecho sobre Configuración y análisis de seguridad y eligiendo Ver el archivo de registro. El registro aparece en el panel derecho con un sello de fecha y hora; éste informa sobre la completitud de cada área analizada. El siguiente código pertenece a un pequeño extracto de un típico archivo de registro:

Ver el archivo de registro- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -04/23/2000 09:27:23 - - - - Se ha inicializado correctamente el motor de análisis. - - -- - - - Leyendo información de configuración...

- - - - Analizar la directiva de seguridad... Analizar la información sobre contraseñas. Analizar la información sobre bloqueo de cuentas. Analizar otra configuración de directiva.

Se ha completado correctamente el análisis de acceso al sistema. Analizar la configuración del registro. Analizar la configuración de la auditoría de sucesos.

Se ha completado correctamente el análisis de auditoría y el registro.

Se ha completado correctamente el análisis de los valores del Registro.

Este archivo de registro no muestra discrepancias entre atributos individuales sino errores de integridad en el análisis. Para visualizar los verdaderos resultados del análisis, hay que expandir Configuración y análisis de seguridad en el árbol de la consola. Aparecen las siete áreas familiares de la seguridad del sistema: Directivas de cuentas, Directivas locales, Registro de sucesos, Grupos restringidos, Servicios de sistema, Registro y Sistema de archivos.

Para visualizar los resultados de análisis de cualquiera de estas áreas, hay que expandir el área y


Capítulo 17

seleccionar una subcategoría. Grupos restringidos y Servicios de sistema no son jerárquicas y sólo hace falta seleccionarlas.

En el panel derecho de la consola, cada atributo va seguido por dos opciones: la plantilla guardada (base de datos) y la configuración de sistema (equipo) analizada. El icono para el atributo en el que la opción está acorde contiene una marca verde. Si la base de datos y la configuración del equipo difieren, una «X» roja puntúa el icono del atributo. Los atributos no configurados en la plantilla no se analizan y no aparecen con marca en el icono.

Configuración de la seguridad

Después de haber analizado satisfactoriamente el sistema y encontrado discrepancias entre la base de datos y la configuración del equipo, hay unas pocas alternativas. Dependiendo de la evaluación de los resultados, se puede decidir que la plantilla actual de seguridad no es la apropiada para este equipo. Pudiera hacer falta una plantilla más estricta o relajada o puede que aparezcan como no configurados atributos vitales y áreas de seguridad adicionales que es necesario plantear. La solución es importar una plantilla que se ajuste mejor a los requisitos específicos del sistema. Las plantillas se pueden añadir en orden ascendente de importancia. Las nuevas plantillas que se mezclan en la base de datos sobrescriben todos los conflictos de atributos o permisos.

Por otra parte, puede decidirse que la plantilla correcta era la que se usó, pero que la configuración del equipo en realidad no es la apropiada. En este caso, habrá que cambiar la plantilla de la base de datos para que los posteriores análisis no muestren estas discrepancias. Para hacerlo, se pulsa el botón derecho sobre el atributo en cuestión y se elige Seguridad para abrir un cuadro de diálogo en el que se puede cambiar la plantilla de la base de datos. Se puede cambiar la configuración de la plantilla para que se ajuste a la configuración del equipo o se puede quitar el cuadro de verificación Definir esta directiva en la base de datos para especificar que la configuración no debería volver a considerarse durante el análisis.

Finalmente, puede determinarse que la plantilla de seguridad es la correcta y que el sistema está violando las directivas y necesidades de seguridad a seguir. Una vez liberados todos los errores de la plantilla y manteniendo sólo las discrepancias válidas, habrá que configurar el sistema. Para hacerlo, hay que pulsar el botón derecho sobre Configuración y análisis de seguridad y elegir Configurar el equipo ahora.

Cómo activar la autentificación

Junto con muchas otras tareas, el controlador de dominio autentica a los usuarios de la red usando las directivas de seguridad y la información de autenticación de usuario almacenada en el servicio de directorio Active Directory. Durante un inicio de sesión interactivo, un usuario inicia una sesión en una cuenta de dominio con una contraseña o una tarjeta inteligente. El controlador de dominio confirma la identidad del usuario con la información almacenada en Active Directory. Una vez que ha tenido lugar el inicio de sesión interactivo en el controlador de dominio, se realiza una autenticación de red del usuario sin ningún esfuerzo por parte del usuario. El usuario puede acceder a los recursos de la red sin tener que


Capítulo 17

volver a introducir una contraseña o el número de identificación personal (PIN) de la tarjeta inteligente. Un inicio de sesión interactivo también puede autenticar al usuario en un equipo local en lugar de en un controlador de dominio. Con un inicio de sesión interactivo local, la autenticación de red requiere que se vuelva a introducir una contraseña cada vez que el usuario necesite acceder a un recurso.

El protocolo de autenticación Kerberos versión 5 se usa para inicios de sesión interactivos y también es el protocolo predeterminado para la autenticación de red. Cada controlador de dominio incluye Kerberos versión 5. Tanto el centro de distribución de claves como el servicio de concesión de tickets son componentes de Kerberos y se convierten en partes fundamentales del controlador de dominio. El centro de distribución de claves se ejecuta como parte de Active Directory, el cual guarda las contraseñas y la información de cuentas de usuario para la autenticación. Un cliente Kerberos está instalado en todas las estaciones de trabajo y servidores Windows 2000.

Los clientes de acceso remoto, además de iniciar sesiones en la red, tienen que autenticarse ante el servidor de acceso remoto antes de que puedan acceder a la red. Las tarjetas inteligentes y los certificados, así como los protocolos basados en contraseñas, se usan para el acceso telefónico a redes.

Cómo obtener tarjetas inteligentes y certificados

Las tarjetas inteligentes combinan la seguridad del cifrado de clave pública con la portabilidad de las contraseñas. Antes de poder usar una tarjeta inteligente para la autenticación, es necesario programar un certificado de inicio de sesión en la tarjeta. Esto lo hace el administrador, quien solicita un certificado de tarjeta inteligente a la Autoridad de certificados (CA) mediante una estación de inscripción de comportamiento.

Instalación de un agente de inscripción

Para solicitar certificados a tarjeta inteligente a una CA, el administrador necesita un certificado especial para firmar la solicitud. Este certificado, conocido como certificado de agente de inscripción, tiene que solicitarse con una sesión iniciada como administrador del dominio desde la máquina dedicada que se utilizará para programar las tarjetas inteligentes. El certificado de agente de inscripción es un certificado software y una clave privada que se pueden solicitar mediante el complemento Certificados de la MMC. Hay que asegurarse de usar la plantilla de certificado de agente de inscripción, ya que es lo que autoriza al administrador a realizar solicitudes de certificado de tarjeta inteligente.

Es posible, aunque muy poco recomendable, permitir que los usuarios programen sus propias tarjetas inteligentes, dándoles derechos de acceso a la plantilla de certificado de agente de inscripción. La programación y distribución de forma administrativa de las tarjetas inteligentes proporciona una mayor responsabilidad.

Programación de tarjetas inteligentes


Capítulo 17

Una vez que el administrador ha instalado el lector de tarjetas inteligentes en el sistema y que ha obtenido el certificado de agente de inscripción, el sistema está preparado para programar tarjetas inteligentes. La instalación de tarjetas inteligentes añade un proveedor de servicio de cifrado (CSP) al sistema que se selecciona durante el proceso de programación de la tarjeta inteligente.

El proceso de solicitud basado en Web primero genera un par de claves pública/privada en la tarjeta inteligente. Usando la clave pública y el nombre de usuario, la autoridad de certificado expide y firma un certificado. Finalmente, el certificado se añade a la tarjeta inteligente. Para programar una tarjeta inteligente, hay que seguir estos pasos:

1. Con el administrador de dominio como usuario actual, se abre Microsoft Internet Explorer y se especifica el URL del servidor de certificado. El URL será el nombre del servidor seguido por \Certsrv.

2. Se selecciona Solicitar un certificado y después Siguiente. 3. Se selecciona Solicitud avanzada y después Siguiente. 4. Se elige la opción Solicitar un certificado para una tarjeta inteligente sobre el comportamiento de

otro usuario que usa la estación de inscripción de tarjetas inteligentes. Se pulsa Siguiente. 5. Aparece la página Web Estación de inscripción de tarjetas inteligentes. Se fijan los campos con

los valores siguientes ● Plantilla de certificado: Inicio de sesión de la tarjeta inteligente. ● Autoridad de certificado: CA para expedir el certificado. ● Proveedor de servicio de cifrado: CSP del fabricante de la tarjeta inteligente. ● Certificado de firma de administrador: Certificado del agente de inscripción. ● Usuario a inscribir: Nombre del usuario final de la tarjeta inteligente.

6. Se pulsa Enviar solicitud de certificado. 7. Una vez rellenada la solicitud por la autoridad de certificado, se pide que se inserte la tarjeta y que

se introduzca el PIN de la tarjeta inteligente. Esto carga el certificado en la tarjeta.

Los certificados de tarjeta inteligente para los usuarios que requieren distintas funcionalidades (como el cifrado) se pueden programar de forma similar especificando una plantilla de certificado distinta.

Cómo obtener certificados basados en software

La autenticación también se puede llevar a cabo con las claves privadas y los certificados que residen en el equipo local.

Inicio de sesión con tarjetas inteligentes

Una vez instalado el lector de tarjetas inteligentes en el sistema destino y que el usuario haya obtenido una tarjeta inteligente correctamente programada por el administrador, el usuario puede usar la tarjeta inteligente para iniciar sesiones en el equipo. Para hacerlo, el usuario sólo tiene que insertar la tarjeta


Capítulo 17

inteligente en el lector e introducir un PIN cuando se le pida. Este proceso tiene lugar pulsando CTRL+ALT+SUPR e introduciendo un nombre de usuario y contraseña.

Para impedir que ladrones accedan al sistema usando una tarjeta robada, el sistema cuenta los intentos incorrectos de inicio de sesión. Después de tres fallos consecutivos, la tarjeta se bloquea para el sistema.

Cómo activar certificados remotos o autenticación de tarjeta inteligente

Como ya mencionamos anteriormente, el certificado de clave pública del usuario usado para la autenticación se puede programar en una tarjeta inteligente o se puede guardar localmente en el equipo. Para activar la autenticación de acceso telefónico en cada escenario, hay que seguir los pasos de las dos secciones siguientes.

Autenticación con certificado de tarjeta inteligente

1. En el menú Inicio de la máquina remota, se abre el Panel de control y se pulsa dos veces sobre Conexiones de red y de acceso telefónico.

2. Se pulsa dos veces sobre la conexión de red o de acceso telefónico para la que se desea activar la autenticación y se elige Propiedades. En la ventana Propiedades de la conexión de acceso telefónico, se pulsa sobre la ficha Seguridad.

3. Hay que asegurarse de que está seleccionado Típica y de que el cuadro de lista Validar mi identidad como sigue tiene asignada Usar tarjeta inteligente. Se puede seleccionar el cuadro de verificación Requerir cifrado de datos para seguridad adicional.

Autenticación con certificado guardados en la computadora local

1. En el menú Inicio de la máquina remota, se abre el Panel de control y se pulsa dos veces en Conexiones de red y de acceso telefónico.

2. Se pulsa el botón derecho sobre la conexión de red o de acceso telefónico para la que se desea activar la autenticación y se pulsa Propiedades. En la ventana Propiedades de la conexión de acceso telefónico a redes, se pulsa sobre la ficha Seguridad.

3. Se selecciona la opción Avanzada en la ventana Propiedades de la conexión de acceso telefónico y se pulsa el botón Configuración. En el cuadro de diálogo Propiedades de seguridad avanzada hay que seleccionar Usar el protocolo de autenticación extensible (EAP) y hay que asegurarse de que el cuadro de lista muestra Tarjeta inteligente u otro certificado (cifrado habilitado).

4. Se pulsa el botón Propiedades para mostrar la ventana Propiedades de tarjeta inteligente u otros certificados. Para configurar la autenticación de certificados residentes en el almacén local de certificados, hay que seleccionar Usar un certificado en este equipo.El cuadro de diálogo Configuración de seguridad avanzada también se utiliza para fijar proto colos de autenticación alternativos para la conexión. Estos protocolos, listados bajo Permitir estos pro tocolos, cubren desde el Contraseña no cifrada (PAP) a la versión 2 del Protocolo de


Capítulo 17

autenticación por desafío mutuo (MS-CHAP v2). Se pueden seleccionar uno o más de estos protocolos permitidos.

5. En esta ventana aparecen dos opciones específicas a los certificados. Primero se pueden restringir las conexiones a determinados servidores. Para hacer esto, se selecciona la opción Validar un certificado de servidor y se activa uno de los métodos de validación:

● Conectar siempre que el nombre del equipo termine con: Esta opción requiere que el servidor esté en un determinado dominio. Por ejemplo, se introduce netsolvers.corn en este cuadro para conectar sólo con los servidores del dominio de Netsolvers.

● Entidad emisora raíz de confianza: Esta opción permite elegir la jerarquía de certificados a la que pertenece el servidor.

La segunda opción, Use un nombre de usuario distinto para la conexión, impide que el proceso de autenticación use el sujeto del certificado como nombre de usuario. Esto permite especificar un nombre alternativo.

6. Se pulsa Aceptar para cerrar la ventana.

Tanto si se usa autenticación basada en tarjetas inteligentes, como autenticación basada en contraseñas o una mezcla de las dos, hay que asegurarse de que los clientes de acceso remoto y los servidores de acceso remoto admiten al menos un método común de autenticación.

Cómo configurar la autenticación para un servidor de acceso remoto

Además de configurar el cliente de acceso remoto, también será necesario configurar el servidor de acceso remoto para que permita inicio de sesión basado en tarjeta inteligente o basado en certificados. Para hacerlo hay que seguir estos pasos:

1. Se elige Enrutamiento y acceso remoto en la carpeta Herramientas administrativas del menú Programas.

2. Se pulsa el botón derecho sobre el nombre del servidor de acceso remoto y se elige Propiedades. En la ficha Seguridad, se pulsa Métodos de autenticación, asegurándose de que está seleccionado el cuadro de verificación Protocolo de autenticación extensible (EAP) y después, se pulsa dos veces Aceptar.

3. De nuevo en el cuadro de diálogo Enrutamiento y acceso remoto, se expande el servidor de acceso remoto y se pulsa sobre Directivas de acceso remoto. Se pulsa con el botón derecho sobre la directiva que se usará cuando los clientes de tarjeta inteligente inicien la sesión y se elige Propiedades. Se pulsa el botón Modificar perfil y en el cuadro de diálogo Modificar perfil de marcado, se pulsa sobre la ficha Autenticación. Se selecciona el cuadro de verificación Protocolo de autenticación extensible. Esto también activará el tipo EAP; hay que asegurarse de que está seleccionado Tarjeta inteligente u otro certificado. Se pulsa el botón Configurar y se selecciona el certificado de máquina para usar en la autenticación.


Capítulo 17

Si al pulsar el botón Configurar aparece un error diciendo que no se puede encontrar el certificado, es necesario instalar una máquina de certificados. Esto se puede hacer asegurando que la CA de la empresa está configurada para inscripción automática, lo que localiza automáticamente los certificados de equipo para los miembros del dominio. Una vez configurado, se ejecuta secedit /refreshpolicy máquina de_directivas desde la línea de órdenes de Windows 2000 en el servidor de acceso remoto, para crear un certificado de equipo.

Implantación del control de acceso

En el mundo real, la autorización está dictada por las directivas. Cuando viene del uso de recursos, lectura de documentos o habitaciones de acceso, personas distintas tienen distintos derechos. La implantación de estas directivas pueden ser cajas fuertes o placas de acceso. En el entorno de Windows 2000, la autorización también se basa en directivas. Distintas personas o grupos de personas tienen distintos derechos. Las directivas aquí se implantan mediante control de acceso. Bastante sencillo, el control de acceso determina qué usuarios pueden acceder a qué recursos. Los recursos en Windows 2000 son:

● Archivos y carpetas, a los que se puede acceder mediante el Explorador de Windows. ● Volúmenes, carpetas y archivos compartidos, a los que se permiten permisos en los sistemas de

archivos NTFS y FAT. ● Objetos de Active Directory, que son administrador con el complemento Usuarios y equipos de

Active Directory. ● Claves del registro, que se administran con el Editor del Registro. ● Servicios, que se administran con el Conjunto de herramientas de configuración de seguridad. ● Impresoras, que se configuran mediante Configuración en el menú Inicio.

Cada recurso posee un descriptor de seguridad asociado a él que define el propietario del objeto, los permisos de acceso del objeto y la información de auditoría del objeto.

Para los objetos de Active Directory, la responsabilidad administrativa se puede delegar en el grupo Administradores. La delegación permite que los permisos de objeto se administren como una unidad organizativa del dominio, sin tener que necesitar varios administradores para el dominio completo.

Cómo establecer la propiedad

El propietario de un objeto controla quién puede acceder al objeto asignando los permisos de objeto. Por defecto, el propietario del objeto es el administrador. Normalmente, los administradores crean la mayoría de los objetos de red y son los responsables de la asignación de los permisos de objeto.

Uno de los permisos estándar asociado a todos los objetos es el permiso Toma de posesión. Concediendo


Capítulo 17

este permiso, el propietario permite que un usuario (o un miembro de un grupo) asuma la propiedad del objeto. La toma de posesión se puede realizar mediante la herramienta que administra el tipo específico de objeto. Por ejemplo, las impresoras se administran mediante la interfaz encontrada en Configuración en el menú Inicio. La ficha Seguridad de la ventana Propiedades de la impresora muestra los grupos y los usuarios que tienen permisos asignados. Pulsando el botón Avanzada se abre el cuadro de diálogo Configuración de control de acceso. Con los permisos correctos, el propietario puede modificar la ficha Propietario. Los administradores pueden asumir el control de todo objeto que esté bajo jurisdicción administrativa, independientemente de que tengan asignado el permiso Tomar posesión para ese objeto.

Asignación de permisos

Los permisos de objeto se dividen en acciones específicas que se pueden realizar sobre el objeto en particular. Para las claves del registro, incluyen la posibilidad de crear subclaves y valores. Para objetos de Active Directory, los permisos incluyen la posibilidad de crear y eliminar hijos.

Los permisos se fijan para los usuarios o grupos específicos que realizan las acciones sobre los objetos particulares. Para una determinada carpeta, un grupo puede tener permisos para crear y eliminar archivos dentro de la carpeta. Otro grupo puede tener permitido sólo listar los contenidos de la carpeta.

Para mostrar los permisos de un usuario o grupo, hay que elegir la entrada en el cuadro de diálogo Configuración de control de acceso y pulsar el botón Ver o modificar. El propietario del objeto o el usuario o grupo con permiso Cambiar permisos, puede usar este cuadro de diálogo para modificar los permisos de usuario o grupo. Para agregar usuarios o grupos a la lista de control de acceso, hay que pulsar el botón Agregar y seleccionar el usuario o grupo a agregar. Recuerde que hay que asignar los permisos apropiados.

La carga de administración de un dominio de derechos y permisos de usuario puede rebajarse usando una pocas líneas guía. Primero, delegar administración en las autoridades locales siempre que tenga sentido la administración más cercana de usuarios y servicios. Segundo, asignar permisos en base a grupos, mejor que en base a usuarios. Tercero, asignar permisos a puntos de nodo común de Active Directory y permitir que se propague hacia abajo en el árbol a los nodos inferiores.

Administración de certificados

Los certificados de clave pública sirven como medio de seguridad para muchos de los protocolos y mecanismos de Windows 2000. Autenticación de red, IPSec, Sistema de archivos cifrado (EFS), Capa de conectores seguros (SSL) y Extensión multipropósito de correo de Internet seguro (S/MIME), todos usan certificados. MMC proporciona el complemento Certificados con el único propósito de administrar certificados de usuario, equipo y servicio.

Para agregar el complemento Certificados a la MMC, hay que ejecutar mmc.exe desde el menú Inicio.


Capítulo 17

Desde el menú Consola, se selecciona Agregar o quitar complemento. Se pulsa el botón Agregar y se selecciona Certificados en la lista de complementos proporcionada. Se dará la opción de elegir sobre qué cuenta administrar los certificados: Mi cuenta de usuario, Cuenta de servicio o Cuenta de equipo. Para las cuentas de servicio y equipo, se puede seleccionar a qué equipo administrará el complemento. Para la cuenta de servicio, también será necesario especificar qué servicio administrar.

Los usuarios sólo pueden administrar sus certificados personales. Los certificados para equipos y servicios los administran los administradores.

El almacén de certificados está formado por cinco categorías: Personal, Entidad emisora raíz de confianza, Confianza de empresa, Entidades emisoras de certificados intermedias y Objeto de usuario de Active Directory. Los certificados de las CA Raíz de confianza e Intermedias están cargados previamente. Para visualizar los detalles de cualquier certificado, hay que pulsar dos veces sobre el certificado.

Cómo exportar certificados y claves públicas

La orden Exportar del complemento Certificados en realidad proporciona dos funciones distintas. Primero, permite que se exporte un certificado o cadena de certificados con el propósito de compartirlo con usuarios o equipos que no tienen conciencia del directorio de certificados. Segundo, permite exportar un certificado o cadena de certificados junto con la clave pública asociada para su uso de cifrado en otra máquina.

Nota: De forma predeterminada, sólo las claves privadas para agentes de recuperación EFS básicos y EFS se marcan como disponibles para exportar. Esto permite que todas las demás claves privadas sean expuestas innecesariamente. Los certificados y claves que se mencionan a propósito para ser exportadas pueden marcarse durante la solicitud de certificado.

Se puede exportar cualquier tipo de certificado, incluyendo aquellos de las CA. Naturalmente, sólo los certificados con clave pública disponible (es decir, los certificados personales) que estén marcados para exportarse, podrán ser exportados. Para exportar un certificado, hay que seguir estos pasos:

1. Se busca el certificado en el complemento Certificados y se pulsa el botón derecho sobre la entrada.

2. Se señala Todas las tareas y se elige Exportar. Aparecerá la bienvenida al Asistente para exportación de certificados.

3. Se realiza el camino del asistente, eligiendo si se exporta la clave privada (si está disponible). 4. Se elige la forma para guardar el certificado. Codificado binario DER y Codificado base-64 son

los formatos de certificado único. Con el formato PKCS #7, se puede incluir una cadena completa de certificados. Las combinaciones de clave privada se guardan en un archivo PKCS #12 y están protegidos con contraseña; será necesario especificar una contraseña para el archivo.

5. Se introduce el camino y nombre de archivo destino para el certificado exportado.


Capítulo 17

Cómo importar certificados

Los usuarios pueden importar certificados a cualquiera de las categorías de certificados que se encuentran en el almacén de certificados. En el complemento Certificados, hay que pulsar el botón derecho sobre la categoría de certificados en la que se desea importar el certificado, señalar Todas las tareas y elegir Importar. Se introduce el nombre de archivo del certificado, el cual debe tener una extensión estándar de formato de certificado (.PFX, .P12, CER, CRT, P713, STL, SPC, CRL o .SST). Para los archivos PKCS #12, los cuales contienen claves privadas y certificados, será necesario introducir la contraseña usada para proteger el archivo.

Los certificados raíz son la base de la confianza para la verificación de certificados. Hay que ser extremadamente cuidadoso cuando se importe un certificado raíz. Hay que asegurarse de que el certificado se recibió de una fuente de confianza y que el sello del certificado coincide con la publicación de confianza.

Cómo solicitar certificados

Antes de usar cualquier aplicación que dependa de la infraestructura de clave pública, hará falta un certificado. Los servidores de certificados que se configuren usando CA pueden solicitar certificado usando el complemento Certificados.

Usando la versión 3 o posterior de Internet Explorer, se pueden solicitar certificados de Servicios de certificado de Microsoft, ejecutándose bien en modo Independiente o bien en modo Enterprise, mediante una interfaz Web.

El proceso de solicitud de certificados implica generar un par de claves que está formado por una clave pública y una clave privada. La clave privada se almacena y protege en el equipo local. La clave pública, junto con la información de identificación del usuario, se envía a la CA como solicitud de certificado. Si la CA determina que el usuario, dispositivo o servicio está autorizado para el certificado que solicita, la CA genera y firma el certificado. El certificado se puede recuperar después con el complemento Certificados y situarlo en el almacén local de certificados.

Para solicitar un certificado, hay que pulsar el botón derecho sobre la carpeta Certificados del almacén de certificados Personal. Se apunta Todas las tareas y se elige Solicitar un nuevo certificado y se siguen las instrucciones del Asistente para solicitar certificado. Será necesario escoger un tipo de certificado (propósito para el que se usará el certificado), un nombre amigable para el certificado y la CA que se usará para el certificado, si hay más de una disponibles. Para permitir la descarga del certificado una vez lo emita la CA, el Asistente para solicitar certificado proporciona la opción Instalar certificado.

Las opciones avanzadas del Asistente para solicitar certificado permitirán que se exporten claves privadas. Hay que ser extremadamente juicioso cuando se seleccione esta opción.


Capítulo 17

Las claves privadas exportadas pueden permitir a otros usuarios leer datos cifrados.

Cómo habilitar certificados para propósitos específicos

Los certificados se pueden emitir para determinados tipos de uso. Estos usos se programan directamente en el certificado, usando un campo de extensión del certificado. Por ejemplo, la extensión de certificado Uso clave dice que el certificado se puede usar para la firma de datos, firma de certificados, no incumplimiento u otros usos. La extensión Uso de clave ampliada extiende esta propiedad a otros usos, como el sello temporal o la recuperación de archivos.

Los certificados también se pueden habilitar para propósitos específicos en función de la cuenta. Es decir, un usuario o un administrador puede decidir qué certificados permitir o no permitir para determinados usos. Mientras que el verdadero certificado no se modifica, los atributos en el almacén se pueden configurar. Por ejemplo, un cierto certificado puede no tener restricciones en su uso interno de clave. Sin embargo, un usuario puede que desee habilitar ese certificado sólo para la firma de código y para el correo electrónico.

Para asignar propósitos a certificados, hay que pulsar el botón derecho sobre el certificado y elegir Propiedades. Las tres opciones para los propósitos de certificado son Habilitar todos los propósitos para este certificado, Deshabilitar todos los propósitos para este certificado y Sólo habilitar los siguientes propósitos. Se elige la tercera opción y se seleccionan los propósitos para los que se desea usar el certificado. Recuérdese que sólo aparecerán en la lista los propósitos permitidos por el verdadero certificado o por el camino del certificado.

Directivas de seguridad del protocolo de Internet

IPSec proporciona seguridad extremo a extremo en las comunicaciones de red -en forma de confidencialidad, integridad y autenticación- usando la tecnología de clave pública para proteger los paquetes IP uno a uno.

Para agregar el complemento Administración de las directivas de seguridad de IP a la MMC, hay que seleccionar Agregar o quitar complementos en el menú Consola. Se pulsa Agregar y se selecciona Administración de las directivas de seguridad de IP en la lista de complementos disponibles. El cuadro de diálogo que aparece permite seleccionar el rango de administración: equipo local, dominio del equipo local u otro equipo.

Definición de directivas de IPSec

Las directivas de IP se pasan del agente de directivas al conductor de IPSec y definen los procedimientos correctos para todas las facetas del protocolo, desde cuándo y cómo asegurar los datos a qué métodos usar. Las directivas pueden llegar a ser un poco complicadas. Antes de saltar a la configuración real, veamos algo de terminología mediante la definición de los componentes de una directiva de IPSec.


Capítulo 17

● Filtro IP Un subconjunto del tráfico de red basado en direcciones IP, puertos y protocolos de transporte. Dice al conductor de IPSec qué tráfico entrante o saliente debe ser seguro.

● Lista de filtros IP Concatenación de uno o más filtros IP, definiendo un rango del tráfico de red. ● Acción de filtrado Cómo debe asegurar el tráfico de red el conductor de IPSec. ● Método de seguridad Algoritmos y tipos de seguridad usados para la autenticación y el

intercambio de claves. ● Configuración del túnel Direcciones IP o nombre de DNS del final del túnel (si se usa IPSec con

túnel para proteger el destino del paquete). ● Tipo de conexión El tipo de conexión afectada por la directiva de IPSec: acceso remoto, LAN o

todas las conexiones de red. ● Regla Una composición de componentes: un filtro IP, una acción de filtrado, los métodos de

seguridad, una configuración de túnel y un tipo de conexión. Una directiva IPSec puede tener varias reglas para proteger de forma distinta cada subconjunto de tráfico de red.

Directivas predefinidas de IPSec

Hay disponibles tres directivas básicas predefinidas para su uso inmediato o como punto de partida para directivas de IPSec más complicadas.

La directiva Cliente (sólo responder) debe usarse en equipos que no suelen enviar datos seguros. Esta directiva no iniciará las comunicaciones seguras. Si el servidor solicita la seguridad, el cliente responderá, asegurando sólo el protocolo de respuesta y el tráfico de puerto con ese servidor.

La directiva Servidor (pedir seguridad) puede usarse en cualquier equipo -cliente o servidorque necesite iniciar las comunicaciones seguras. A diferencia de la directiva Cliente, la directiva Servidor intenta proteger todas las transmisiones salientes. Las transmisiones no seguras entrantes se aceptarán, pero no se resolverán hasta que IPSec solicite la seguridad del emisor para todas las transmisiones posteriores. Siendo la directiva más estricta de las predefinidas, la directiva Servidor seguro (requiere seguridad) ni enviará ni aceptará transmisiones no seguras. Los clientes que intenten comunicarse con un servidor seguro tienen que usar al menos la directiva Servidor predefinida o equivalente.

Esta directiva tiene tres reglas, todas activadas, según indican las marcas de verificación. La primera regla tiene un filtro IP de Todo el tráfico IP, una acción de filtrado Requiere seguridad, un método de autenticación Kerberos, una configuración de túnel con Ninguna y un tipo de conexión Todas. Se pueden agregar o eliminar reglas a la lista con los botones correspondientes. Pulsando el botón Modificar se abre el cuadro de diálogo Propiedades de Modificar regla, con cinco fichas, una para la configuración de cada campo de la regla.

De nuevo en la ventana Propiedades de Servidor seguro (requiere seguridad), se pueden visualizar las propiedades generales de la directiva -incluyendo una descripción de la directiva y los intervalos en minutos en los que se comprobarán cambios en la misma- pulsando sobre la ficha General.


Capítulo 17

Pulsando sobre el botón Avanzadas de la ficha General aparece el cuadro de diálogo Configuración del intercambio de claves. Este cuadro de diálogo permite especificar la vida de las claves en minutos o sesiones. Usar un tiempo de vida de clave corto hace las transmisiones más seguras incrementando el número de claves que los piratas informáticos tienen que romper, pero añade sobrecarga al tiempo de transmisión. Seleccionar el cuadro de verificación Clave maestra Confidencialidad directa perfecta, asegura que las claves existentes no se pueden reutilizar para generar claves adicionales. Esta opción debe usarse con cuidado, ya que añade una sobrecarga significativa. Pulsar el botón Métodos permite seleccionar los métodos de seguridad y el orden de preferencia. Un método de seguridad incluye cifrado y una algoritmo de integridad, junto con un grupo de Diffie-Hellman, el cual afecta a la generación de claves.

Cómo crear una directiva de IPSec

Además de usar las directivas predefinidas de IPSec como plantillas, los administradores pueden generar directivas partiendo de cero con el elemento Directivas de seguridad IP en la MMC. Una directiva personal puede ser restrictiva o permisiva, simple o potente, dependiendo de la función de la máquina, el entorno en el que opera y los tipos de sistemas con los que se comunica.

Para agregar una directiva de IPSec, hay que pulsar el botón derecho sobre el elemento Directivas de seguridad IP en la MMC y seleccionar Crear directiva de seguridad IR Se presentará el Asistente para directivas de seguridad IR Los siguientes pasos guían a través de este asistente:

1. Se pulsa Siguiente en la pantalla de bienvenida. 2. En la pantalla siguiente, se introduce un nombre de directiva significativo, una descripción y se

pulsa Siguiente. 3. Se selecciona o se quita la selección del cuadro de verificación Activar la regla de respuesta

predeterminada, basándose en si se permite la negociación con equipos que soliciten IPSec. Desmarcar este cuadro de verificación añadirá una regla de respuesta desactivada a la directiva. Se pulsa Siguiente.

4. Si se seleccionó el cuadro de verificación Activar la regla de respuesta predeterminada en el paso anterior. Kerberos versión 5 es el protocolo por defecto de Windows 2000 pero sólo está permitido en máquinas que sean miembros de un dominio. La segunda opción, Use un certificado de esta autoridad de certificados (CA), asciende la autenticación de clave pública. Será necesario elegir una autoridad de certificado que sea apropiada para el certificado a usar. La tercera y última opción permite escribir una clave predefinida para usarla en el intercambio. Esta cadena tiene que conocerla también el equipo demandante para que el intercambio tenga éxito. Se pulsa Siguiente cuando se haya realizado la elección.

5. Se selecciona el cuadro de verificación Modificar propiedades si se desea que aparezca la ventana Propiedades de directiva. También se puede hacer que aparezca esta ventana pulsando el botón derecho sobre una directiva que esté en la lista y eligiendo Propiedades.

Cómo modificar una directiva de IPSec


Capítulo 17

Una directiva recién creada contendrá sólo una regla de respuesta por defecto, la cual estará activada --o no- dependiendo de las elecciones realizadas durante el asistente de creación de la directiva.

La funcionalidad se añade a una directiva de IPSec creando reglas que gobiernen cuándo y cómo se debe proporcionar la seguridad. Cada combinación de una lista de filtros, acción de filtrado, método de autenticación, configuración de túnel y tipo de conexión es una regla por separado.

Las reglas se pueden añadir manualmente o con el Asistente para agregar; ambas consiguen la misma cosa, pero el asistente es un poco más amigable. El Asistente para agregar se desactiva desmarcando el cuadro de verificación Usar Asistente para agregar en la esquina inferior derecha de la ventana Propiedades de la directiva. Haciendo esto se permitirá la exploración de cada faceta de la regla en su cuadro de diálogo nativo. La edición de reglas una vez creadas se realiza también mediante esta interfaz.

Con el Asistente para agregar desactivado, se pulsa el botón Agregar. Se presenta el cuadro de diálogo Propiedades de nueva regla, el cual, exceptuando el título, es el mismo que el cuadro de diálogo Propiedades de Modificar regla. El cuadro de diálogo tiene cinco fichas, una para cada elemento de la regla. Veremos cada una de estas fichas por turnos.

Lista de filtros IP: La lista de filtros IP está formada por uno o más filtros que especifican sobre qué tráfico de red actuar. Las listas Todo el tráfico IP y Todo el tráfico ICMP se añaden por defecto, pero no se activan. En la figura se ha añadido una tercera lista de filtros y se ha activado pulsando el botón de opción.

Pulsando el botón Agregar se abre el cuadro de diálogo Lista de filtros IP, el cual permite especificar filtros a incluir en la lista personalizada de filtros. Aquí, si se pulsa el botón Agregar con la opción activada Usar Asistente para agregar, se iniciará el Asistente para filtros IP, el cual permite construir un nuevo filtro basándose en las siguientes categorías:

● Direcciones: Filtra las direcciones origen y destino especificadas por direcciones IP (Mi dirección IP, Cualquier dirección IP, Dirección IP específica, Subred IP específica) o un nombre específico de DNS.

● Protocolo: Filtra por tipo de protocolo, como TCP y puertos de origen y destino.

Acción de filtrado: La acción de filtrado determina cómo responde el conductor de IPSec a los equipos representados en las entradas de la lista de filtros y qué métodos de seguridad usar. Se puede elegir una de las acciones proporcionadas seleccionándola o se pueden añadir acciones propias.

La acción Requiere seguridad ocasiona que el conductor intente establecer comunicaciones seguras con los clientes, pero si no se logra, se comunicará sin seguridad. La acción Requiere seguridad necesita que los clientes establezcan métodos de confianza y de seguridad. La acción Permitir habilita que se pasen paquetes IP no seguros.


Capítulo 17

Agregar una acción implica elegir un nombre de filtro, una descripción y un comportamiento general que permite las comunicaciones, las comunicaciones de bloques o la seguridad de negociación. Si se elige la seguridad de negociación, será necesario configurar otras dos áreas. Bajo Comunicación con equipos que no son compatibles con IPSec, hay que elegir entre no comunicarse con los equipos que no admitan IPSec o permitir las comunicaciones no seguras.

También se puede seleccionar un Método de seguridad: alta (cifrada, autenticada y no modificada), media (autenticada y no modificada) o personalizada. Para el método de seguridad personalizada, hay que elegir los algoritmos de cifrado e integridad y especificar configuraciones de clave de sesión, como la frecuencia de generación de nuevas claves.

Métodos de autenticación: El método de autenticación especifica cómo se establecerá la relación de confianza con el equipo remoto. Se pueden especificar uno o más métodos a usar cuando se soliciten comunicaciones seguras o cuando sea solicitada una comunicación segura. Hay tres métodos permitidos de autenticación, listados en orden de preferencia. La prioridad de un método se cambia con los botones Subir y Bajar. El botón Agregar proporciona tres opciones para el nuevo método. Estas opciones son:

● Valor predeterminado de Windows 2000 (protocolo Kerberos V5). ● Use un certificado: Esta opción usa certificados de clave pública para la autenticación. Será

necesario especificar la autoridad de certificados de los usuarios o las entidades a autenticar. Para permitir la autenticación de usuario bajo CA distintos, hay que añadir un método de autenticación por separado para cada uno.

● Usar esta cadena para proteger el intercambio de claves: Esta opción usa una clave compartida que se especifica en el cuadro proporcionado. Se pueden usar varias claves compartidas añadiendo métodos adicionales de autenticación.

Configuración del túnel: La ficha Configuración del túnel permite especificar un punto final para el túnel si se elige llamar a IPSec con túnel. El punto final se puede especificar como nombre de DNS si se está ejecutando el servicio de DNS en la red o se puede introducir en forma de dirección IP.

Tipo de conexión: Finalmente, la ficha Tipo de conexión permite refinar aún más la regla basándose en el tipo de conexión. La opción Todas las conexiones de red está asignada como valor por defecto; en su lugar se puede seleccionar bien Red de área local, bien Acceso remoto, para crear una regla más estricta.

Cómo asignar directivas de IPSec

Una vez establecida la directiva de IPSec en el elemento Directivas de seguridad IP de MMC, se puede aplicar a un único equipo o a un conjunto de equipos gobemados por un objeto Directiva de grupo. Para asignar una directiva de IPSec a una máquina local, hay que pulsar el botón derecho sobre el nombre de la directiva y elegir Asignar. El icono de la directiva activa incluirá un punto verde. Si ya se ha asignado otra directiva, esta acción devolverá a cero esa directiva para este equipo. Las directivas de IPSec se asignan a grupos seleccionando el objeto destino Directiva de grupo en la MMC. Bajo este objeto, hay


Capítulo 17

que expandir Configuración del equipo, Configuración de Windows y después Configuración de seguridad. Se selecciona Directivas de seguridad IP, se pulsa el botón derecho sobre la directiva deseada y se elige Asignar.

Seguridad de los datos locales

El cifrado de los archivos almacenados en Windows 2000 se lleva a cabo mediante el uso del Sistema de archivos de cifrado (EFS). Usando el cifrado de clave pública, EFS permite que los archivos y directorios almacenados en particiones NTFS se cifren y descifren de forma transparente. EFS accede a las claves pública y privada del usuario para realizar el propio cifrado. Por lo tanto, los archivos cifrados con EFS no se pueden compartir con (es decir, cifrar a) otros usuarios. Hay que usar otro método de cifrado, como S/MIME, para asegurar los archivos compartidos con otros usuarios. Además, si se guardan los archivos cifrados con EFS en otra máquina, hay que importar la información de clave del usuario a esa máquina para que se pueda dar el descifrado.

Los archivos se cifran automáticamente para un tercero, llamado agente de recuperación. En el caso de pérdida de la clave, el agente de recuperación puede descifrar los archivos. EFS cifra el grueso del archivo con una única clave simétrica. La clave simétrica se cifra después dos veces: una con la clave pública EFS del usuario para permitir el descifrado y otra con la clave pública del agente de recuperación para permitir la recuperación de los datos.

Cifrado de archivos y carpetas

Cifrar archivos con EFS es tan sencillo como asignar cualquier otro atributo de archivo, como Oculto o Sólo lectura. Para cifrar un archivo en el Explorador de Windows, hay que seguir estos pasos:

1. Se pulsa el botón derecho sobre el archivo y se elige Propiedades. 2. En la ficha General, se pulsa Avanzadas. 3. Se selecciona el cuadro de verificación Cifrar el contenido para asegurar los datos y después se

pulsa dos veces Aceptar. 4. En el cuadro de diálogo que aparece, hay que decidir si se desea cifrar la carpeta padre. Si se cifra

esta carpeta, los archivos que se añadan posteriormente a esta carpeta y sus subcarpetas se cifrarán.

Recuerde que los archivos de sistema, los archivos comprimidos y los archivos de otras particiones de NTFS no pueden ser cifrados usando EFS. Además, una carpeta de raíz de unidad tampoco puede ser cifrada con EFS.

Al igual que los archivos normales, los archivos cifrados se pueden eliminar y copiar por medio de las órdenes Cortar, Copiar y Pegar del menú Edición. Los archivos movidos o copiados usando arrastrar y soltar no necesariamente mantendrán su cifrado. También se pueden renombrar los archivos cifrados como con cualquier otro archivo.


Capítulo 17

Los archivos y directorios cifrados no son inmunes a la eliminación. Cualquier usuario con los permisos adecuados puede eliminar un archivo cifrado.

Para cifrar una carpeta, hay que pulsar el botón derecho sobre la carpeta y elegir Propiedades. En la ficha general de la ventana Propiedades, se pulsa Avanzadas y se selecciona Cifrar contenidos para asegurar los datos. Se pulsa Aceptar dos veces y se preguntará si se desea que todos los archivos y subcarpetas de la carpeta destino se cifren también. Es importante mencionar que la propia carpeta no se cifra, sólo los archivos dentro de la carpeta. La carpeta sólo se marca como que tiene archivos cifrados en ella.

Para asegurar la seguridad de los archivos temporales que hayan creado las aplicaciones, hay que marcar la carpeta de sistema Temp. para cifrado.

Descifrado de archivos y carpetas

EFS permite que el usuario invierta el proceso de cifrado. Sin embargo, describirlo como una mera operación de descifrado es un poco engañoso. En realidad, eliminar el cifrado de datos de un archivo ocasiona que se descifre el archivo, pero cualquier archivo cifrado también se descifra cada vez que un usuario o aplicación accede a él. De lo que estamos hablando es de un descifrado permanente para que se puedan compartir fácilmente los archivos con otros usuarios.

Para indicar que el archivo no se tiene que volver a cifrar o que no se deben volver a cifrar los archivos de una carpeta, hay que seguir estos pasos:

1. Se pulsa el botón derecho sobre el archivo o carpeta en el Explorador dé Windows y se elige Propiedades.

2. Se selecciona la ficha General y se pulsa Avanzadas. 3. Se quita la marca del cuadro de verificación Cifrar los contenidos para asegurar los datos.

Recuperación de archivos

Naturalmente, cuando se cifran archivos para protegerlos de ojos fisgones, se corre el riesgo de la protección de los nuestros y, por consiguiente, de la pérdida de datos. EFS requiere la clave privada del usuario (asociada con el certificado de clave pública EFS del usuario) para descifrar archivos. Mientras esta clave esté accesible, se puede acceder a los archivos protegidos por EFS. En caso de pérdida de la clave, hace falta un medio secundario para recuperar los datos. Considérese también que pudiera perderse una clave debido a la partida voluntaria o involuntaria del usuario; por ejemplo, un usuario que cifra archivos de la compañía puede dejar la compañía.

La posibilidad de recuperar archivos empieza cuando un usuario individual hace una copia de seguridad de su certificado de clave pública de EFS y de la clave privada asociada. Para hacer la copia de seguridad de esta información, el usuario tienen que exportar el certificado y la clave mediante el complemento


Capítulo 17

Certificados de la MMC. Si la clave privada aún está perdida, el usuario puede importar la clave privada de EFS y el certificado guardados y salvar los datos.

Nota: Las claves y los certificados exportados se almacenan en formato PKCS #12 (también conocido como Intercambio de información personal o PFX). Este formato comprende una serie de aplicaciones de seguridad ampliada, permitiendo el intercambio de claves entre equipos o aplicaciones independientes.

Si un usuario no puede descifrar los datos perdidos, un administrador puede recuperar los datos usando un certificado de agente de recuperación. Además de obtener un certificado de agente de recuperación, el administrador necesitará añadir ese certificado a una directiva de recuperación en Active Directory, usando el Asistente para agregar agente de recuperación del complemento Directivas de grupo.

Los certificados de agente de recuperación se deben guardar en una característica de almacenamiento segura para impedir posibles compromisos de los datos. Tras recibir el certificado de agente de recuperación, el agente de recuperación podría exportarse a un disquete u otro dispositivo que se puede proteger y eliminarlo de la máquina. Cuando sea necesaria la recuperación, el certificado y la clave privada asociada se pueden importar. Una vez que se hayan recuperado los datos, el certificado debe eliminarse de nuevo.

Auditoría

Siendo una herramienta de seguridad tanto proactiva como reactiva, las auditorías informan a los administradores de los sucesos que pueden ser potencialmente peligrosos y dejan un rastro de seguimiento si ocurre una infracción de seguridad. Auditar los intentos de inicio de sesión sin éxito, por ejemplo, puede avisar de usuarios pícaros intentando lograr acceso no autorizado al sistema. Además de auditar los sucesos normales de sistema, se puede auditar la modificación de directivas para mantener un seguimiento de cuándo se desactivó la auditoría de un determinado suceso y por quién.

Por defecto, está desactivada la auditoría de todas las categorías de seguridad. El administrador establece una directiva de auditoría determinando qué tipos de sucesos de seguridad auditar. Basándose en las necesidades de seguridad de la organización, el administrador puede elegir también auditar el acceso a objetos individuales.

Cómo establecer una directiva de auditoría

El primer paso para establecer una directiva de auditoría es determinar qué categorías de sucesos deben auditarse. Las siguientes categorías de sucesos están disponibles para auditarse.

● Sucesos de inicio de sesión de cuentas. ● Administración de cuentas. ● Acceso al servicio de directorio. ● Sucesos de inicio de sesión.


Capítulo 17

● Acceso a objetos. ● Cambio de directivas. ● Uso de privilegios. ● Seguimiento de procesos. ● Sucesos de sistema.

Para seleccionar una categoría de sucesos a auditar, primero hay que determinar si el equipo es un controlador de dominio. Si no lo es, hay que elegir Administración de equipos en la carpeta Herramientas administrativas. En el árbol de consola de Administración de equipos, se expande Herramientas de sistema, Directiva de grupo, Configuración del equipo, Configuración de Windows, Configuración de seguridad y Directivas locales, para llegar a Directiva de auditoría.

Si el equipo es un controlador de dominio, hay que abrir el complemento Usuarios y equipos de Active Directory, expandir la entrada del dominio y pulsar Acción y después pulsar Propiedades. En la ficha Directiva de grupo, se selecciona la directiva y se pulsa Modificar. Después se expande Configuración de equipo, Configuración de Windows, Configuración de seguridad y Directivas locales y después se selecciona Directiva de auditoría.

Usando cualquier técnica, seleccionar Directiva de auditoría muestra las categorías de sucesos en el panel derecho. Para modificar la directiva de una categoría de suceso, hay que pulsar el botón derecho sobre el suceso y elegir Seguridad. Hay que seleccionar el cuadro de verificación para auditar los sucesos con éxito y/o auditar sucesos fallidos.

Auditoría de acceso a objetos

Una vez habilitada la categoría Auditar el acceso a objetos en el elemento Directiva de auditoría, los miembros del grupo Administradores pueden especificar criterios de auditoría para archivos, carpetas, impresoras de red y otros objetos. El criterio de auditoría para un objeto incluye

● Quién se audita para este objeto. ● Si tiene éxito o no el acceso al objeto. ● Qué tipo de acceso a objeto se audita.

Ejemplos de tipos de acceso incluyen la visualización de permisos de carpeta, la ejecución de un archivo y la eliminación de un objeto. Para seleccionar un objeto a auditar, hay que seguir estos pasos:

1. Se pulsa el botón derecho sobre el objeto en el Explorador de Windows y se elige Propiedades. 2. En la ficha Seguridad, se pulsa Avanzadas. 3. En la ficha Auditoría, se pulsa Agregar. 4. En el cuadro Nombre, se introduce el nombre de usuario o grupo a auditar o se selecciona de la

lista Nombre. 5. Se pulsa Aceptar para mostrar el cuadro de diálogo Entrada de auditoría. Hay que usar la lista


Capítulo 17

Acceso para selección si se audita el acceso con éxito, sin éxito o ambos. 6. Para carpetas, hay que usar la lista desplegable Aplicar en, para indicar dónde debe tener lugar la

auditoria. 7. Hay que seleccionar o quitar la marca del cuadro de verificación Aplicar estas entradas de

auditoría sólo a objeto y/o contenedores dentro de este contenedor para llamar o impedir la herencia, respectivamente.

Visualización del registro de seguridad

El registro de seguridad detalla la información de auditoría de los sucesos especificados en la directiva de auditoria. Cada vez que ocurre un suceso auditable, éste se añade al archivo de registro en el que se puede filtrar, guardar, buscar y exportar. El registro de seguridad, junto con el registro de aplicación y el de sistema, se ubica en el Visor de sucesos y se puede encontrar en el árbol de consola Administración de equipos expandiendo Herramientas administrativas, Visor de sucesos y Seguridad.

Cada entrada del registro contiene información crucial sobre el evento auditado, incluyendo si el intento fue fallido o fue con éxito, la fecha y la hora del suceso, la categoría del suceso y el ID, y el usuario y equipo auditado. Se puede obtener información adicional para cada entrada pulsando el botón derecho sobre la entrada y eligiendo Propiedades.

Cómo manipular el registro de seguridad

El registro de seguridad se puede ordenar por cualquiera de los campos listados en la pantalla, tales como el usuario o la fecha del suceso. Sólo pulsar la cabecera del campo en la parte superior ocasionará que los sucesos del registro se ordenen de forma ascendente por ese campo. Pulsar de nuevo la cabecera del campo los ordenará de forma descendente. Para aún más eficiencia, se pueden filtrar los registros para mostrar sólo aquellos sucesos que interesen -por ejemplo, sólo las auditorías de fallo-. En el menú Ver, hay que pulsar Filtro. En la ficha Filtro de la ventana Propiedades de Seguridad que aparece, hay que seleccionar con qué criterio de sucesos visualizar y pulsar Aceptar.

Consejo: Hay que escoger Buscar en el menú Ver para buscar en las listas mostradas determinados sucesos, como todos los sucesos con un determinado ID de suceso.

Mantenimiento del registro de seguridad

El registro de seguridad posee un tamaño máximo definido. Para fijar este tamaño, hay que pulsar el botón derecho sobre Seguridad en el Visor de sucesos y elegir Propiedades. Se edita el campo Máximo tamaño de registro especificando un tamaño en kilobytes. Las opciones por debajo de este campo especifican cómo sobrescribir los sucesos:

● Sobrescribir cuando sea necesario. ● Sobrescribir sucesos de hace más de X días.


Capítulo 17

● No sobrescribir sucesos.

Es de suponer que todas las categorías de sucesos especificadas en la directiva de sucesos son relevantes. Hay que tener cuidado que el envoltorio automático de los sucesos no sobrescriba sucesos con mayor frecuencia que el archivado de registros o la lectura de registros manual.

Para archivar el registro de sucesos, hay que pulsar el botón derecho sobre Seguridad en el Visor de sucesos y elegir Guardar archivo de registro como. Se elige el camino y el nombre de archivo para el archivo. Si se guarda como archivo de registro de sucesos (con la extensión .EVT), el archivo se puede abrir posteriormente con el Visor de sucesos.


Capítulo 18

Capítulo 18

Interoperatividad con Novel NetWare

Muchas redes de empresa son una mezcolanza de varios sistemas operativos, de hardware nuevo y antiguo y de gran diversidad de software. Microsoft Windows 2000 Server proporciona varios servicios que permiten a los servidores y clientes de Novell NetWare interactuar con computadoras Windows de todo tipo. Entre estos servicios se hallan los siguientes:

● El protocolo de transporte compatible NWLinkIPX/SPX/NetBIOS (NWLink): La implementación por Windows 2000 del protocolo IPX/SPX: el protocolo de comunicaciones heredado de NetWare. NWLink permite la conexión entre computadoras que ejecutan Windows 2000, computadoras que ejecutan NetWare y sistemas compatibles con NetWare.

● El servicio de puerta de enlace para NetWare (GSNW): Permite que una computadora que ejecute Windows 2000 se conecte con los servidores de NetWare, incluidos los servidores de NetWare 4.x o posterior, tanto si ejecutan los Servicios de Directorio Novell (Novell Directory Services, NDS) como si ejecutan la emulación de vinculación (bindery). También se incluye el soporte de las secuencias de comandos para el inicio de la sesión. Se puede utilizar GSNW para crear puertas de enlace con los recursos de NetWare. La creación de puertas de enlace permite a las computadoras que sólo ejecutan software cliente de Microsoft tener acceso a los recursos NetWare.

● Servicios de archivo a impresión para NetWare (File and Print Services for NetWare, FPNW): Permite a las computadoras que ejecutan Windows 2000 Server proporcionar directamente servicios de impresión y de archivos a las computadoras clientes NetWare y compatibles con NetWare. El servidor tiene el mismo aspecto para los clientes NetWare que en cualquier servidor de NetWare y los clientes pueden tener acceso a los volúmenes, a los archivos y a las impresoras del servidor.

Instalación de los Servicios de NetWare de Windows 2000

Tanto Novell como Microsoft proporcionan varios modos de que los clientes tengan acceso a los recursos de NetWare y de Windows 2000 Server. Novell proporciona software cliente para MS-DOS, Microsoft Windows 3.x, Microsoft Windows 95/98, Microsoft Windows NT 4 Workstation y Microsoft Windows 2000 Professional. Microsoft tiene software cliente para NetWare para Windows 95/98, Windows NT 4 Workstation y Windows 2000 Professional. Con la instalación de cualquiera de estos clientes, una computadora puede ser simultáneamente cliente de Windows 2000 Server y de NetWare. Windows 2000 también proporciona la posibilidad de tener acceso a los recursos de NetWare sin tener que instalar software cliente mediante el uso de GSNW.

Clientes de Novell


Capítulo 18

El software cliente de Novell para Windows 3.x, Windows 95/98, Windows NT 4 Workstation y Windows 2000 Professional proporciona compatibilidad plena con NetWare, con sus utilidades y con aplicaciones de otros fabricantes escritas utilizando la interfaz de programación de aplicaciones de NetWare (API). A diferencia de versiones anteriores de los clientes de NetWare para entornos basados en Windows, Novell proporciona actualmente soporte completo al cliente de 32 bits.

Clientes de Microsoft

Microsoft proporciona sus propios clientes para el acceso a NetWare. Windows 95 y Windows NT 4 Workstation proporcionan un cliente de NetWare que puede utilizarse para tener acceso a servidores NetWare 3.x heredados basados en vinculación. Microsoft Windows 2000 Professional, Windows NT 4 Workstation, Windows 95 y Windows 98 proporcionan software para permitir a los clientes que inicien una sesión en servidores basados en NDS (como NetWare 4.x y 5.x). Estos clientes proporcionan mejor integración con las redes basadas en Windows, necesitan menos sobrecarga de memoria (debido a las bibliotecas compartidas) y son aplicaciones totalmente de 32 bits. Los clientes NetWare de Microsoft prácticamente proporcionan soporte completo de las APIs de NetWare, aunque no todas las aplicaciones de otros fabricantes funcionan si utilizan llamadas a la API de NetWare más antiguas o infrecuentes.

Servicio de puerta de enlace para NetWare

Instalar y configurar cada computadora con un cliente de NetWare puede llevar mucho tiempo en empresas grandes. Afortunadamente, hay un modo de proporcionar conectividad con los servidores de NetWare sin necesidad de instalar software nuevo en cada cliente. Con GSNW se pueden crear pasarelas a través de las cuales las computadoras clientes de Microsoft -sin software cliente de Novell NetWare- pueden utilizar los recursos de impresión y de archivos de NetWare. Se pueden crear pasarelas para los recursos ubicados en árboles NDS y para recursos de servidores que ejecuten NetWare 2.x o posterior con seguridad de vinculación. Estos recursos incluyen los volúmenes, directorios, objetos de los mapas de directorio, impresoras y colas de impresión.

GSNW depende de otra característica de compatibilidad con NetWare de Windows Server: el protocolo de transporte compatible IPX/SPX/NetBIOS (abreviado como NWLink). NWLink es una implementación de los protocolos de transporte de Intercambio de paquetes entre redes (Internetwork Packet Exchange, IPX), de Intercambio secuencial de paquetes (Sequenced Packet Exchange, SPX) y NetBIOS utilizados por las redes de NetWare. Las implementaciones de estos protocolos por Microsoft pueden coexistir sin problemas con otros protocolos en el mismo adaptador de red.

El principal inconveniente de utilizar GSNW es que resulta más difícil personalizar la seguridad para cada usuario en los recursos de NetWare. Cada perfil de usuario debe utilizar una unidad compartida diferente de la puerta de enlace y, en consecuencia, una letra de unidad diferente, lo que limita el número de unidades compartidas que pueden crearse. Además, dado que Windows 2000 Server debe traducir cada bloque de mensajes del servidor (Server Message Bloclr, SMB) al Protocolo del núcleo de NetWare (NetWare Core Protocol, NCP), y viceversa, el uso de GSNW puede resultar realmente más lento que hacer que se instale


Capítulo 18

el software en cada uno de los clientes.

La sobrecarga por la traducción se reduce enormemente al comunicarse mediante TCP/IP con los servidores basados en NetWare 5.

Instalación y configuración del protocolo NWLink

Para instalar el protocolo NWLink, hay que seguir el procedimiento siguiente:

1. Pulsar con el botón derecho del ratón Mis sitios de red y escoger Propiedades. Se abrirá la ventana Conexiones de red y de acceso telefónico.

2. Hay que pulsar con el botón derecho del ratón el icono Conexión de área local y escoger Propiedades en el menú de accesos directos para que aparezca la ventana Propiedades de Conexión de área local.

3. Hay que pulsar Instalar para que aparezca el cuadro de diálogo Seleccionar tipo de componente de red.

4. Hay que seleccionar Protocolo en el cuadro de lista de componentes de la red y pulsar Agregar para abrir el cuadro de diálogo Seleccione el protocolo de red.

5. Hay que seleccionar Protocolo de transporte compatible con NWLink IPX/SPX/NetBIOS y pulsar Aceptar para agregar el protocolo al sistema. Puede que sea necesario introducir el CD-ROM de Windows 2000 Server para completar el proceso de instalación.

6. Hay que pulsar Aceptar para guardar la nueva configuración de la red.

Una vez instalado el protocolo NWLink el servidor de Windows 2000 podrá comunicarse con los servidores de NetWare. Se puede pasar a la siguiente fase, que es la instalación y configuración de GSNW

Aunque las primeras versiones de Novell NetWare soportaban TCP/IP, las implementaciones de Microsoft y de Novell de este protocolo no fueron compatibles hasta NetWare 5. En consecuencia, Windows 2000 Server necesita NWLink para comunicarse con los servidores de NetWare 4.x y de versiones anteriores. Si se establece comunicación con servidores de NetWare 5, no hace falta instalar el protocolo NWLink antes de instalar GSNW

Instalación de GSNW

Para instalar y configurar GSNW hay que seguir el siguiente procedimiento:

1. Hay que pulsar con el botón derecho del ratón Mis sitios de red y escoger Propiedades. 2. Hay que pulsar con el botón derecho del ratón el icono Conexión de área local y escoger

Propiedades en el menú de accesos directos. Se abrirá la ventana Propiedades de Conexión de área local.

3. Hay que pulsar Instalar para mostrar el cuadro de diálogo Seleccionar tipo de componente de red. Hay que seleccionar Cliente en el cuadro de lista de componentes de la red y pulsar Agregar. Se abrirá el cuadro de diálogo Seleccione el cliente de red.


Capítulo 18

4. Hay que seleccionar Servicios puerta de enlace (y cliente) para NetWare y pulsar Aceptar. Puede que haga falta introducir el CD-ROM de Windows 2000 Server para completar el proceso de instalación.

5. Aparecerá el cuadro de diálogo Seleccionar el inicio de sesión de NetWare. Hay que especificar el nombre de usuario, el árbol y el contexto que utilizarála pasarela al iniciar una sesión en el servidor de NetWare.

● Si la pasarela va a iniciar la sesión en un servidor de NetWare basado en vinculación, hay que seleccionar la opción Servidor preferido y luego el servidor adecuado en el cuadro de lista Servidor preferido.

● Si la pasarela va a iniciar la sesión en un árbol de directorios basado en NDS, hay que seleccionar la opción Árbol y contexto predeterminados y luego proporcionar los nombres del árbol y del contexto que haya que utilizar al iniciar la sesión.

● Para ejecutar la secuencia de comandos de inicio de sesión cuando la pasarela se conecte por primera vez con el servidor de NetWare, hay que pulsar la casilla de verificación Ejecutar archivo de comandos de inicio de sesión.

6. Hay que pulsar Aceptar para guardar la información del inicio de sesión.

Configuración de GSNW

Una vez instalado GSNW, se puede modificar su configuración pulsando el icono GSNW en el Panel de Control para que aparezca el cuadro de diálogo Servicio de puerta de enlace para NetWare donde podemos definir las siguientes opciones:

● Al iniciar la sesión en un servidor de NetWare basado en vinculación, hay que seleccionar la opción Servidor preferido y escoger el servidor correspondiente en el cuadro de lista Servidor preferido.

● Para iniciar la sesión en un árbol de directorios basado en NDS, hay que seleccionar la opción Árbol y contexto predeterminados y proporcionar los nombres del árbol y del contexto necesarios para iniciar la sesión en el servidor de NetWare. En el grupo Opciones de impresión, hay que seleccionar las opciones de impresión que se deseen utilizar al imprimir en impresoras basadas en NetWare. Para ejecutar la secuencia de comandos de inicio de sesión de NetWare cuando la pasarela se conecte por primera vez al servidor de NetWare, hay que seleccionar la casilla de verificación Ejecutar archivo de comandos de inicio de sesión.

Activación de la puerta de enlace

Para activar la pasarela, hay que pulsar Puerta de enlace en el cuadro de diálogo Servicio de puerta de enlace para NetWare para que aparezca el cuadro de diálogo Configuración de puerta de enlace. Hay que seleccionar la casilla de verificación Habilitar puerta de enlace y especificar el nombre de usuario y la contraseña exigidos por GSNW para conectar con el servidor de NetWare.

También se pueden establecer en el servidor de NetWare una o varias unidades compartidas para que las utilicen los clientes de Windows 2000. Hay que pulsar Agregar en el cuadro de diálogo Configurar puerta de enlace para que aparezca el cuadro de diálogo Nuevo recurso compartido.


Capítulo 18

Una vez creada la nueva unidad compartida, hay que pulsar el botón Permisos para especificar los usuarios y grupos de Windows 2000 que tienen acceso al recurso y sus derechos en el mismo. Hay que establecer estos mismos derechos en cualquier unidad compartida de Windows 2000 Server.

Configuración del servidor de NetWare

Para acabar de configurar GSNW el administrador del sistema NetWare debe ubicar la cuenta de usuario especificada en la configuración de GSNW en un grupo denominado Ntgateway y concederle acceso a los recursos de NetWare que se deseen compartir en el servidor de Windows 2000. En primer lugar, hay que crear en el servidor de NetWare un grupo denominado Ntgateway. Hay que asegurarse de que el usuario especificado por GSNW se cree en el servidor de NetWare y forme parte del grupo Ntgateway. Luego hay que crear una unidad compartida para el recurso de NetWare y concederle al usuario de Windows 2000 acceso al recurso compartido.

Ejecución de las utilidades de NetWare

Con Windows 2000 Server y GSNW se pueden ejecutar muchas de las utilidades estándar de NetWare, así como muchas aplicaciones que funcionen con NetWare, desde la línea de comandos. GSNW no soporta utilidades para NetWare 4.x y anteriores. Además, para algunas funciones administrativas, hay que utilizar herramientas de gestión basadas en Windows 2000 Server.

Para ejecutar utilidades administrativas NDS en Windows 2000 Professional, hay que utilizar el software cliente de NetWare.

Windows 2000 Server soporta muchas utilidades de NetWare que se pueden utilizar para gestionar la red de NetWare desde una computadora que ejecute Windows 2000 Workstation o Windows 2000 Server. (Puede que algunas de las utilidades necesiten archivos adicionales que se proporcionan con Windows 2000 Server o con NetWare, como se estudia en el apartado siguiente).

Las siguientes utilidades basadas en MS-DOS trabajan con Windows 2000:

Chkvol Help Rconsole Settts

Colorpal Listdir Remove slist

Dspace Map Revoke syscon

Fconsole Ncopy Rights Tlist

Filer Ndir Security Userlist

Flag Pconsole Send Volinfo

Flagdir Psc Session Whoami

Grant Pstat Setpass


Capítulo 18

La orden Net Use de Windows 2000 Server o el Explorador de Microsoft Windows realizan las mismas funciones que las órdenes de NetWare Attach, Login y Logout. La orden Net Use también es parecida a la orden Capture para impresión cuando las aplicaciones basadas en MSDOS y en Windows deben imprimir en un puerto concreto. Además, se puede utilizar el Asistente para agregar impresoras para conectarse a las colas de impresión de NetWare. La orden Net Use también se puede utilizar para conectarse a volúmenes a impresoras de árboles NDS o de servidores de NetWare basados en vinculación. La orden Net View de Windows 2000 Server realiza las mismas funciones que la utilidad Slist de NetWare.

Aplicaciones que funcionan con NetWare

Muchas aplicaciones que funcionan con NetWare se ejecutarán en Windows 2000 Server mediante GSNW igual que si se estuvieran ejecutando en una computadora cliente de NetWare. No obstante, no están soportadas todas las aplicaciones que funcionan con NetWare. Muchas aplicaciones necesitan archivos especiales que se proporcionan con NetWare o con Windows 2000 Server.

Nwipxspx.dll

Muchas aplicaciones antiguas de 16 bits que funcionan con NetWare necesitan el archivo Nwipxspx.dll proporcionado por Novell¡. El archivo forma parte de la instalación cliente estándar de Novell¡. Hay que buscarlo y copiarlo en la carpeta \SystemRoot\System32 de la máquina en la que se vayan a utilizar las aplicaciones de NetWare.

Netware.drv, Nwnetapi.dll y Nwcalls.dll

Puede que las aplicaciones que funcionan con NetWare que utilizan la API de NetWare para enviar y recibir paquetes del Protocolo del núcleo de NetWare (NetWare Core Protocol, NCP) necesiten Netware.drv y Nwnetapi.dll o, para versiones de NetWare más recientes, Nwcalls.dll. Netware.drv debería instalarse en la carpeta\SystemRoot\System32 al instalar GSNW Si se copia alguno de estos archivos en la computadora que ejecuta Windows 2000 Server o se modifica el camino de búsqueda durante la sesión de trabajo de Windows 2000 Server abierta, hay que cerrar la sesión y volver a abrirla para que las modificaciones tengan efecto.

Para obtener los archivos de NetWare necesarios, hay que comprobar con el administrador de la red de NetWare o con el representante local de Novell si se hallan disponibles de modo local los últimos archivos clientes. O bien se pueden obtener en Internet en ftp.novell.com. Novell también envía revisiones de su software cliente de NetWare y de los controladores en CompuServe en http://www.compuserve.com/computing/subs/Novelldown.asp.

Recursos compartidos de Windows 2000 con clientes NetWare

Una vez que se conoce todo lo necesario sobre el acceso a los recursos de Novell NetWare desde un entorno y una red basados en Windows 2000, hay que averiguar la otra parte de la historia: el modo de tener acceso a los recursos de Windows 2000 Server desde los clientes y servidores de NetWare. Microsoft


http://www.compuserve.com/computing/subs/Novelldown.asp

Capítulo 18

proporciona un paquete de complementos independiente denominado Microsoft Services for NetWare (servicios de Microsoft para NetWare), que consiste en Servicios de archivo a impresión para NetWare (File and Print Services for NetWare, FPNW) y Gestor de servicios de directorio para NetWare (Directory Service Manager for NetWare, DSMN).

FPNW permite a los administradores de NetWare 4.x y anteriores (exclusivamente en modo de emulación de vinculación) integrar Windows 2000 Server en su red de NetWare. Emula un servidor de NetWare, lo que permite al servidor de Windows 2000 que ejecute este servicio integrarse en la red basada en NetWare existente sin modificaciones en los clientes de NetWare. Los clientes de NetWare no saben que están teniendo acceso a un servidor de Windows 2000 habilitado para FPNW

Los administradores que trabajen con redes mediante la vinculación de NetWare (versión 4.x y anteriores) pueden tener problemas, ya que tienen que gestionar cada servidor y sus usuarios independientemente del resto de los servidores. Pero, mediante el uso de Windows 2000 y de DSMN, pueden gestionar varios entornos mientras sólo mantienen una única cuenta de usuario y su contraseña asociada por cada usuario final de la red.Los administradores simplifican la labor del control de los entornos mixtos de Windows 2000 y de NetWare utilizando el Active Directory de Windows 2000. DSMN copia las cuentas de usuario de NetWare en el Active Directory y propaga cualquier cambio hacia el servidor de NetWare, todo ello sin necesidad de instalar ningún tipo de software en los servidores de NetWare.

Selección del servicio de clientes adecuado

Una vez configurados Windows 2000 Server y la red para tener acceso a los recursos basados en NetWare, la decisión más importante que hay que tomar es la elección de los servicios clientes. Se puede escoger instalar servicios clientes para cada cliente de la red o simplificar las cosas instalando GSNW. Las tablas muestran algunas condiciones que puede tener la red y la mejor opción de servicio o de cliente en cada caso. La realidad es que indudablemente habrá que escoger una opción menos que perfecta, pero estas tablas pueden proporcionar un punto de partida.

Elección entre servicios clientes y servicios de pasarela

Situación Servicio de pasarela Servicio cliente

Los directorios raíz de los usuarios se hallan en el servidor de NetWare.

X

Los directorios raíz de los usuarios se hallan en el servidor de Windows 2000.

X

Las aplicaciones se hallan en el servidor de Windows 2000.

X

Las aplicaciones se hallan en un servidor de NetWare y las utilizan todos los usuarios.

X


Capítulo 18

Las aplicaciones se hallan en un servidor de NetWare, pero su acceso está restringido a determinados grupos.

X

Los usuarios sólo necesitan acceso a las impresoras basadas en NetWare.

X

Los usuarios necesitan acceso a archivos del servidor NetWare compartidos entre gran número de usuarios.

X

Los usuarios necesitan acceso a archivos del servidor de NetWare restringidos a un usuario o grupo.

X

Los usuarios se hallan más cómodos utilizando utilidades y comandos de NetWare que de Windows 2000 Server.

X

Los usuarios están más acostumbrados con las utilidades y los comandos de Windows 2000 Server que con los de NetWare.

X

Elección entre clientes Novell y Microsoft

Situación Cliente de Novell Cliente de Microsoft

El cliente se ejecuta en una plataforma que no es Intel (por ejemplo, Alpha).

X

Se necesitan las aplicaciones basadas en NetWare heredadas.

X

En la red se utilizan los servicios de Windows 95/98 igualitarios para compartir en la red.

X

En la red se utiliza Microsoft FPNW X

El cliente tiene recursos limitados (por ejemplo, espacio de disco duro y memoria).

X

Comparación entre los atributos de archivo de Windows y de NetWare

Atributos de los archivos de Windows Atributos de los archivos de NetWare

A (Archivo) A

S (Sistema) Sy

H (Oculto) H

R (Sólo lectura) Ro, Di (Inhibir borrado), Ri (Inhibir cambio de nombre)


Capítulo 18

Introducción a los permisos y a los conceptos de seguridad

Al utilizar GSNW los atributos de los archivos de NetWare no son exactamente iguales que los de Windows 2000 Server. GSNW no soporta los siguientes atributos de archivo de NetWare:

● Rw (Lectura/escritura) ● S (Compartible) ● T (Transaccional) ● P (Eliminación) ● Ra (Auditoria de lectura) ● Wa (Auditoria de escritura) ● Ci (Inhibir copia)

Cuando se copia un archivo desde un cliente de red de Microsoft al servidor de archivos de NetWare mediante GSNW, se conservan los atributos de archivo Ro, A, Sy y H.

Cuando se utiliza un servidor de Windows 2000 que ejecuta GSNW para obtener acceso directo a los servidores de NetWare, se pueden utilizar las utilidades de NetWare, como Filer y Rights, para definir los atributos no soportados por GSNW.

Interoperatividad con UNIX

La informática empresarial implica inevitablemente trabajar a interconectarse con gran variedad de entornos y de sistemas operativos. Uno de los sistemas operativos alternativos más extendidos con el trabajan los usuarios de Microsoft Windows 2000 es UNIX -en todas sus diversas formas-. Por sí mismo Windows 2000 tienen herramientas básicas de conectividad que le permiten funcionar en la misma red con los servidores de UNIX. Otros complementos de Microsoft y de otros fabricantes ayudan a UNIX y a Windows 2000 a trabajar juntos prácticamente sin problemas, de modo que los administradores de sistemas de ambos entornos puedan proporcionar a sus usuarios un acceso completo a los recursos del otro entorno de manera casi transparente.

Permisos y conceptos de seguridad

Una de las diferencias más importantes y generalizadas entre Windows 2000 y UNIX es el modo en que tratan los permisos y la seguridad. Estas diferencias son sutiles y suelen llevar al usuario incauto a realizar suposiciones falsas.

Listado de archivos UNIX


Capítulo 18

Un listado de archivos UNIX puede tener el siguiente aspecto:

-rwxr-x-x 2 charlie dba 2579 Aug 30 15:49 resize

Este listado indica prácticamente todo lo que hace falta saber acerca de la seguridad y de los permisos del archivo examinado. Se empezará por el extremo izquierdo de la línea y se avanzará para ver lo que hay, lo que significa y su comparación con Windows 2000.

El primer guión (-) indica que este listado no es un directorio. Si lo fuera, aparecería una «d» en su lugar. UNIX trata los directorios meramente como otros archivos, aunque especiales, y los permisos tienen un significado ligeramente diferente cuando hacen referencia a un directorio y a un archivo. En breve se tratarán los permisos para los directorios, pero de momento se seguirá con los archivos normales.

Los tres caracteres siguientes corresponden a los permisos del propietario del archivo, que puede ser distinto de su creador original, ya que UNIX permite a los usuarios « dar» archivos a otros usuarios. La « r» indica que el propietario tiene derecho a leer el archivo; la « w» significa que puede escribir en él, borrarlo o modificarlo de cualquier otra manera; y la « x» permite al propietario del archivo ejecutar el programa.

En Windows 2000 el sistema operativo decide si un programa es ejecutable basándose en el nombre del archivo. Si el nombre del archivo tiene una extensión .COM, .EXE, .BAT o .CMD, puede ejecutarse siempre que el usuario tenga los permisos correspondientes. En UNIX no hay ninguna asociación entre la extensión y la ejecutabilidad del archivo (de hecho, la mayor parte de los archivos UNIX no tiene ninguna extensión). Lo único que determina si un archivo es ejecutable es su permiso. Por tanto, aunque la convención en un sistema dado pueda ser denominar siempre a las secuencias de comandos de la interfaz de comandos (el equivalente UNIX de los archivos por lotes) con un nombre que acabe en .sh o .ksh, esto no tiene significado real. El archivo debe recibir el permiso de ejecución para poder ejecutarlo.

Los caracteres quinto, sexto y séptimo corresponden a los permisos de los miembros del mismo grupo del propietario del archivo. La < r> significa que los miembros del grupo pueden leer el archivo (o llevar a cabo acciones que lo dejen intacto, como copiarlo); el guión indica que no tienen permiso para escribir en él, borrarlo ni modificarlo de ninguna otra manera; la < x> les concede la capacidad de ejecutar el programa.

Finalmente, los últimos tres caracteres del primer grupo corresponden a los permisos del resto de usuarios. El guión inicial indica que esos usuarios no tienen derecho a leer el archivo ni a examinar su contenido de ninguna manera, ni tampoco tienen permiso para copiar el archivo. El segundo guión indica que no tienen permiso para cambiar, modificar, ni borrar el archivo y, finalmente, la última <x> indica que pueden ejecutar el archivo, si ello no exige leerlo.

UNIX sólo tiene tres permisos básicos: lectura, escritura y ejecución.


Capítulo 18

● Lectura El derecho a leer un archivo o mostrar su contenido. El derecho a hacer una copia del archivo. Para los directorios, el derecho a mostrar el contenido del directorio.

● Escritura El derecho a alterar el contenido de un archivo. Para los directorios, el derecho a crear archivos y subdirectorios. Si se tiene permiso de escritura para un directorio, se tiene el derecho a borrar archivos del directorio aunque se carezca del permiso de escritura para el archivo, si también se tiene permiso de lectura o de ejecución para el directorio.

● Ejecución El derecho a ejecutar el archivo. Incluso el propietario del archivo necesita este permiso para ejecutarlo. Para los directorios, el derecho a modificarlos o a ejecutar archivos del directorio. La posesión de este permiso para un directorio, sin embargo, no concede permiso para mostrar su contenido, por lo que puede que se sea capaz de ejecutar un archivo sin poder ver que se halla ahí.

El siguiente carácter, el número < 2> , indica que hay dos vínculos duros con el archivo. Un vínculo duro concede otro nombre al mismo archivo. Sigue habiendo un único archivo real guardado en el disco duro, pero hay dos entradas de directorio que apuntan a ese archivo. No hay límites prácticos al número de vínculos duros que puede haber con un mismo archivo, pero todos los vínculos con el archivo deben estar en el mismo sistema de archivos.

Los dos grupos siguientes del listado son el propietario, « charlie» , y el grupo del archivo, « dba». Aunque suelen ser los nombres del usuario y del grupo, también podrían ser un número si el usuario o el grupo del archivo no tuvieran una cuenta en el sistema.

A continuación aparece el tamaño del archivo (2579 bytes, en este caso), la fecha y la hora en que se creó el archivo o se modificó por última vez y el nombre del archivo: realmente, la entrada de directorio del archivo que se corresponde con este vínculo duro con el archivo. Obsérvese que ningún vínculo tiene preferencia sobre los demás. No hay nada significativo en cuanto al nombre que aparezca primero; todos se tratan por igual. Y el borrado de un vínculo no borra el archivo, sólo esa referencia al mismo. El resto de las versiones del archivo siguen existiendo.

Vínculos simbólicos

UNIX soporta tanto vínculos duros como vínculos simbólicos. Los vínculos simbólicos son similares a los accesos directos de Windows 2000, pero con algunas diferencias. La diferencia más importante es que en UNIX, cuando se tiene acceso al vínculo simbólico, en realidad se tiene acceso al archivo al que apunta, no al propio vínculo. Por ejemplo, si se edita un vínculo simbólico con un archivo de texto, en realidad se está editando el archivo de texto original. Con los accesos directos de Windows 2000 sólo se puede utilizar un vínculo para iniciar un archivo ejecutable o para abrir una carpeta.

Los vínculos simbólicos se diferencian de los vínculos duros en que el archivo real tiene preferencia sobre sus vínculos simbólicos. De hecho, el listado de un vínculo con el archivo resize deja claro que se trata de un vínculo simbólico, no de un vínculo duro:


Capítulo 18

lrwxrwxrwx 1 charlie dba 2579 Aug 30 15:49 resize -> /u/cpr/resize

Como puede verse, el listado no sólo comienza con la letra «l» en primer lugar, sino que muestra realmente el lugar al que apunta el vínculo. Se puede observar que los dos nombres de archivo son idénticos. Aunque esto no es imprescindible, se trata del uso más frecuente de los vínculos simbólicos: hacer que parezca que un archivo está en un lugar cuando realmente se halla en otro.

Otra característica de los vínculos simbólicos que los distingue de los vínculos duros es que pueden apuntar a otros sistemas de archivos a incluso máquinas. Se puede tener un vínculo simbólico que apunte a un archivo que resida en una computadora completamente diferente.

Si se copia un archivo sobre un vínculo simbólico, se romperá el vínculo. El nuevo archivo sustituirá al vínculo con el archivo. No obstante, el archivo original seguirá existiendo, lo que, como mínimo, hace que la duplicación de archivos resulte confusa.

Niveles de privilegios

Tradicionalmente UNIX divide el mundo únicamente en tres tipos de usuarios: el propietario del archivo, los miembros del grupo del propietario y el resto del mundo. Estos tres niveles de privilegios se conocen como propietario, grupo y otros. La mayor diferencia con Windows 2000 estriba en el segundo nivel de privilegios: el grupo.

En los sistemas UNIX con seguridad tradicional, cada usuario sólo está activo simultáneamente en un grupo. Cuando ese usuario crea un archivo, éste se crea con permisos para grupo basados estrictamente en el grupo actual del creador del archivo. Esta situación puede suponer complicaciones interesantes y sutiles al compararla con la metodología de Windows 2000. Si el inicio de sesión principal de un usuario es con uno de los grupos estándar, las cosas suelen transcurrir como se espera. Sin embargo, cuando un usuario pertenece a un grupo especializado con pertenencia restringida y crea archivos mientras ese grupo es el grupo activo, la capacidad de los usuarios ajenos al grupo para tener acceso al archivo puede quedar restringida.

Los usuarios que no son miembros activos del grupo que posee el archivo y que no son su propietario se hallan en el otro nivel de privilegios. Esta disposición es esencialmente igual que el grupo de Windows 2000 denominado Todos. Un usuario de la otra categoría no tiene más permiso para el acceso al archivo que el que tienen el resto de los usuarios.

En los estudios sobre seguridad de UNIX, hay que recordar un principio supremo: el usuario root (a veces denominado superusuario) tienen acceso a todo. En el mundo de Windows 2000 se puede definir fácilmente un archivo o un directorio de modo que ni siquiera los usuarios con privilegios administrativos tengan acceso a él sin cambiar su propiedad, pero en el mundo de UNIX esa restricción no existe. No sólo eso, sino que el superusuario puede incluso cambiar su identidad para tener la misma que un usuario dado.


Capítulo 18

Conectividad básica

Ahora que se comprenden las diferencias entre los modelos de seguridad de Windows 2000 y de UNIX, se examinará la manera en que son compatibles. Por un motivo, sin complementos adicionales, Windows 2000 coexiste razonablemente bien con los servidores de UNIX. El protocolo de red predeterminado para ambos sistemas operativos es ahora el mismo -TCP/IP-. Pueden compartir fácilmente DNS, DHCP y otros servicios. Y la mera conectividad entre Windows 2000 y UNIX puede tratarse mediante los clientes de FTP y de Telnet en las máquinas de Windows 2000.

Protocolo para transferencia de archivos

Todas las versiones de Windows 2000 incluyen un cliente FTP sencillo de línea de comandos y pueden tratar FTP desde el Explorador de Microsoft Windows hasta cierto límite. El cliente de modo texto no proporciona ningún extra, pero debe resultar bastante cómodo para los usuarios de UNIX y funciona sin complicaciones. Quienes deseen un cliente FTP más gráfico y amistoso tienen una amplia variedad en la que elegir, incluidos algunos que son puro software gratuito o software de libre distribución. El preferido de los autores es WS FTP Pro de Ipswitch (http://www.ipswitch.com). Windows 2000 también incluye un servidor FTP completo como parte de la familia Internet Information Services (IIS). Con un cliente y un servidor FTP disponibles de origen resulta sencillo copiar archivos entre las máquinas UNIX y de Windows 2000 de la red.

Telnet

Todas las versiones de Windows 2000 vienen con el nuevo cliente de Telnet de modo texto que se estrenó en SFU. El cliente de telnet semigráfico francamente horrible que se ha proporcionado desde Microsoft Windows 3 desaparece por fin. El nuevo cliente es más rápido, tiene mejores emulaciones de terminales y es realmente bastante bueno para la mayor parte de sus fines. Soporta ANSI (American National Standards Institute), incluido el color, VT52, VT100 y VTNT, una emulación especial que puede resultar útil al ejecutar aplicaciones de Windows 2000 de modo texto como Edit. Si ninguno de estos modos satisface las necesidades de emulación de terminales, hay disponibles excelentes clientes de telnet comerciales de otros fabricantes.

Sistemas de Archivos

El modo de compartir archivos de red de Windows 2000 se basa en el mecanismo tradicional de Microsoft de los bloques de mensajes del servidor (Server Message Blocks, SMB). Los sistemas UNIX, por su parte, utilizan el Sistema de archivos de red (Network File System, NFS) -desarrollado originalmente por Sun Microsystems- para compartir los sistemas de archivos por la red.

Hasta la publicación de SFU solo se disponía de soluciones NFS de otros fabricantes para los sistemas Windows que necesitaban compartir recursos de archivos con los sistemas UNIX. La mayor parte de estas soluciones de otros fabricantes resultaban caras y problemáticas. El principal problema era su incapacidad


Capítulo 18

para mantenerse al nivel de los service packs de Windows NT, que casi siempre parecían descomponer estas soluciones NFS. Además, estas soluciones tenían frecuentemente problemas significativos de rendimiento.

No obstante, varias soluciones UNIX potentes basadas en SMB abordan el problema del modo de compartir recursos de archivos entre Windows NT y UNIX. Estas soluciones SMB varían en coste desde la gratuidad hasta las más caras y soportan las redes nativas de Windows al nivel de grupo de trabajo o de dominio. Con la publicación de Windows 2000 sólo el tiempo podrá decir el modo en que estas soluciones logran mantenerse al nivel de los cambios en el modelo de seguridad de Windows 2000 respecto del modelo de Windows NT.

Sistema de archivos de red

NFS se diseñó para ejecutarse como protocolo de difusión mediante el protocolo de datagramas de usuario (User Datagram Protocol, UDP). Este protocolo creaba problemas importantes de rendimiento y de tráfico de red para quienes pretendían implementar grandes cantidades de red NFS y hacía difícil compartir sistemas de archivos más allá de los límites de los enrutadores. Finalmente, el estándar del NFS se modificó para que soportara TCP para la red NFS y muchos clientes y servidores modernos soportan este mecanismo. No obstante, muchas implementaciones antiguas de NFS todavía en funcionamiento no soportan TCP, por lo que el mecanismo predeterminado para SFU y otras implementaciones de NFS en Windows 2000 es UDP

En conjunto, el rendimiento de las transferencias de archivos NFS hacia y desde el servidor de Windows 2000 es sustancialmente más baja que la de la mayor parte de las implementaciones SMB. Para entonos en los que se deben copiar habitualmente archivos grandes entre sistemas Windows 2000 y UNIX, es probable que NFS no sea una solución satisfactoria. No obstante, si las necesidades son principalmente de acceso transparente a los recursos UNIX residentes en servidores UNIX, NFS es la mejor opción. Proporciona un entorno completamente integrado para los usuarios de Windows 2000.

Bloque de mensajes del servidor

El principal problema que tienen los usuarios de SMB sobre UNIX es el modelo cambiante de seguridad de Windows 2000. Se utilizan dos mecanismos para tratar la seguridad con las soluciones de SMB sobre UNIX: la seguridad de nivel de grupo de trabajo y la seguridad de nivel de dominio de Windows NT 4.

La seguridad de grupo de trabajo sufre los mismos problemas que los grupos de trabajo en el entorno empresarial: resulta más difícil gestionar a medida que aumenta el número de usuarios y de máquinas, y tiene opciones limitadas para una verdadera gestión de la seguridad. No obstante, la seguridad de grupo de trabajo tiene realmente sentido en entonos más reducidos, donde resulta fácil de comprender y sencilla de configurar. Además, hay una buena ventaja de costes: en casi todas las plataformas de UNIX se dispone de un servidor SMB de software gratuito fácil de encontrar y bien implementado, denominado Samba. También se dispone de otros servidores SMB para grupos de trabajo que se pueden ejecutar en gran variedad de plataformas. Tienden a ser más parecidos a Windows y más sencillos de configurar y de


Capítulo 18

administrar que Samba, que muestra su procedencia de código abierto.

También se pueden obtener servidores SMB de dominios Windows NT 4 de varios fabricantes de UNIX. Todos ellos se basan en el puerto inicial de AT&T para UNIX de la tecnología de servidores avanzados de Microsoft. Cada uno de ellos está limitado a ejecutarse en la plataforma para la que fue diseñado, y todos tienen pequeñas diferencias debido a que el puerto de AT&T necesitaba configurarse en la mayor parte de los casos. Todos los servidores SMB pueden ser tanto controladores del dominio principal como controladores del dominio de reserva en los dominios de Windows NT, pero todos ellos tienen problemas al trabajar con el nuevo modelo de seguridad de Windows 2000. Estos servidores, basados en el modelo de seguridad de Windows NT 4, por desgracia, obligan a permanecer en el modo mixto.

Los servidores de dominio SMB presentan una ventaja importante respecto de los servidores SMB de grupos de trabajo: para los usuarios y para los administradores de la red de Windows, todos tienen el mismo aspecto y comportamiento que los servidores auténticos de Windows NT 4. Para gestionarlos se utilizan las herramientas de administración usuales de Windows NT Server, y los servidores y las unidades compartidas tienen el mismo aspecto para los usuarios que los servidores de Windows NT, lo que elimina problemas de formación y de interfaces de usuario. Además, todos los servidores SMB tienen una ventaja respecto de las soluciones NFS: suelen ser significativamente más rápidos en las transferencias de archivos, especialmente al tratar archivos grandes.

Visión general de los servicios para UNIX

Para simplificar la conexión y el trabajo con los sistemas UNIX, Microsoft publicó el paquete SFU que contiene todas las herramientas básicas para la interoperatividad entre Windows 2000 y UNIX. Estos productos incluyen NFS, telnet, la interfaz de comandos Korn de UNIX y utilidades, así como un demonio para sincronización de contraseñas. Antes de instalar SFU hace falta algo de formación respecto a la sincronización de las contraseñas. Luego se examinarán con mayor detalle los demás productos SFU.

Introducción a la sincronización de contraseñas

La sincronización de contraseñas es una utilidad de sincronización de un solo sentido que permite administrar las contraseñas de los usuarios para Windows 2000 y para UNIX desde el servidor de Windows 2000. SFU incluye demonios precompilados para la sincronización de contraseñas (denominados en UNIX como demonios de contrato (sign-on) o SSOD) para tres de las principales versiones de UNIX: HP-UX, Sun OS y Digital UNIX. También incluye código fuente que, en teoría, permite compilarlo en cualquier otro sistema UNIX que pudiera hacer falta soportar. En realidad, sin embargo, si no se tiene alguno de los tres puertos proporcionados del demonio seguro, es probable que se descubra que la única opción viable es el método inseguro de la sincronización de contraseñas mediante rlogin.

Obviamente, el uso de rlogin tiene problemas de seguridad inherentes, ya que implica la transferencia por la red de contraseñas en texto claro, pero resulta relativamente sencillo de configurar y puede resultar suficiente en redes pequeñas adecuadamente protegidas de las influencias externas. Tampoco necesita software ni configuración adicionales y es básicamente independiente de las plataformas.


Capítulo 18

Administración de vainas de UNIX

Los hosts de UNIX se organizan en vainas, con el método de sincronización de contraseñas gestionado vaina a vaina. Se pueden crear vainas nuevas, añadir hosts a las existentes o modificar el método de sincronización de una vaina mediante el Administrador del servicio de sincronización de contraseñas (Password Synchronization Service Administrator, psadmin.exe).

Cuando se crea una nueva vaina, se piden los hosts miembros de la vaina y la metodología de sincronización de las contraseñas que se utilizará en la vaina. Esto se puede cambiar más adelante. También se dispone de la opción de activar el inicio de sesión en modo informativo. De manera predeterminada sólo se registran los fallos, pero cuando se activa el activar el inicio de sesión en modo informativo, todas las acciones de sincronización se registran en el Visor de sucesos.

Rlogin para sincronizar las contraseñas

Aunque algunos entornos de UNIX no permiten el uso de rlogin, allí donde es una opción viable proporciona un mecanismo sencillo y fácil de configurar. Cuando la red se halla completamente aislada del mundo exterior por un cortafuego muy seguro (o cuando no hay conexión con el mundo exterior), se puede utilizar rlogin para gestionar la sincronización entre las máquinas de Windows 2000 y las de UNIX. Esta opción tiene la ventaja de no necesitar software adicional en los hosts de UNIX, ya que la mayor parte de las versiones de UNIX soportan rlogin.

Para configurar la sincronización de contraseñas mediante rlogin, hay que configurar antes los hosts remotos de UNIX para que soporten correctamente rlogin para la cuenta raíz: Esto exige la creación en el servidor de un archivo .rhosts. Este archivo .rhosts debe tener los permisos de modo que sólo root (o la cuenta autorizada a cambiar las contraseñas) pueda escribir en él, debe poseerlo root (o la cuenta alternativa mencionada) y residir en el directorio raíz de la cuenta root o de la cuenta alternativa. Debe contener un listado de la máquina en que se llevará a cabo el cambio de contraseñas -generalmente, un controlador del dominio-. El listado sólo debe tener el nombre abreviado de la máquina, no el nombre de dominio completo.

La configuración predeterminada para la sincronización mediante rlogin utiliza la cuenta root, espera un indicativo «#» y supone que la orden para cambiar las contraseñas es passwd. Si el entorno es diferente de éste se pueden modificar estos valores predeterminados mediante el Administrador del servicio de sincronización de contraseñas (Password Synchronization Service Administrator).

A diferencia de las cuentas de Windows 2000 y de Windows NT, que no diferencian entre mayúsculas y minúsculas, las cuentas de usuario de los sistemas UNIX sí lo hacen. Si ya se tienen cuentas de Windows 2000 que mezclan mayúsculas y minúsculas, es probable que se descubra que se emplea más tiempo y esfuerzo en alinear las cuentas que el que se ahorra a la larga. Pero si sólo se trata de añadir Windows 2000 a un entorno UNIX existente, se puede hacer que la sincronización de las cuentas y de las contraseñas sea sencilla y directa


Capítulo 18

creando las cuentas de Windows 2000 correspondientes sólo en minúsculas desde el primer momento. Los nombres de visualización asociados con las cuentas pueden seguir mezclando mayúsculas y minúsculas; sólo tiene que estar completamente en minúsculas el nombre de la cuenta subyacente.

Sincronización segura de contraseñas

SFU facilita la sincronización segura de contraseñas mediante archivos binarios precompilados que se ejecutan como demonios en el servidor de UNIX, lo que le permite recibir las contraseñas cifradas enviadas por Windows 2000 y luego modificar la contraseña UNIX de la misma cuenta. No obstante, las advertencias sobre la distinción entre mayúsculas y minúsculas relativas a la sincronización mediante rlogin son igualmente aplicables a la sincronización segura.

Instalación en UNIX del demonio de sincronización de contraseñas

Para instalar el demonio de sincronización de contraseñas, hay que copiar los archivos SSOD y ssod.config de la versión correspondiente del demonio seguro en la máquina UNIX que será objeto de la sincronización de contraseñas. Una ubicación de destino típica para estos archivos es /usr/local/etc, pero esto varía de sistema a sistema y no resulta fundamental. Si se utiliza FTP para copiar los archivos, hay que asegurarse de que se utiliza una transferencia binaria para evitar la corrupción de los archivos.

Una vez copiados los archivos en la máquina UNIX, hay que utilizar el mecanismo adecuado para instalarlos. Esto varía según la plataforma, pero puede incluir pkgadd a otros mecanismos de instalación. Hay que editar el archivo ssod.config facilitado para que refleje las ubicaciones de los archivos en el sistema y el tipo de sincronización correspondiente. Se soportan tanto NIS (Network Information Service, servicio de información de red) como /etc/passwd, al igual que la sombra de contraseñas.

El archivo ssod.config debe residir en el mismo directorio que el demonio. Una vez configurado, el demonio se puede iniciar manualmente o añadirlo al archivo de inicio correspondiente. Los mecanismos de inicio varían de plataforma a plataforma, pero pueden incluir /etc/rc.local y envoltura de la interfaz de comandos en un directorio /etc/rc2.d.

Cuando se crea la vaina UNIX y se selecciona Usar cifrado (Use Encryption), se abre el cuadro de diálogo Configuración de propagación segura (Secure Propagation Settings). Hay que abrir el número del puerto que se ha configurado en la parte UNIX y la clave secreta de cifrado seleccionada en el archivo ssod.config. Esta clave se utilizará para cifrar la contraseña antes de pasarla por la red.

Instalación de servicios para UNIX

Ahora ya se está preparado para instalar SFU. Para ello hay que seguir este procedimiento:

1. Introducir el CD-ROM de SFU en su unidad; aparecerá la primera pantalla del Services for UNIX Add-On Pack Setup Wizard (Asistente para la configuración del paquete de complementos para


Capítulo 18

servicios para UNIX de Windows NT). 2. Hay que pulsar Siguiente, aceptar el acuerdo de licencia y pulsar otra vez Siguiente. 3. Hay que escribir los veinticinco caracteres del nuevo mecanismo de licencia. La buena nueva es que

en estos caracteres no se distingue entre mayúsculas y minúsculas. La mala es que resulta tremendamente fácil escribir mal la cadena de caracteres, y no se puede cortar y pegar desde otro lugar. Hay que pulsar Siguiente.

4. Hay que seleccionar el tipo de instalación. Como siempre, se recomienda seleccionar una instalación personalizada -si es que sólo así se sabe lo que se está haciendo..

5. Sólo hay que seleccionar la opción Server for NFS (Servidor para NFS) si se va a compartir el sistema de archivos de Windows 2000 con UNIX.

6. De manera predeterminada no se selecciona la opción Windows NT lo UNIX Password Synchronization (sincronización de las contraseñas de Windows NT con UNIX). Generalmente sólo hay que seleccionar esta característica en entornos de gran tamaño bajo estas condiciones:

● Gran número de usuarios trabaja regularmente tanto con Windows 2000 como con UNIX. ● Se ejecuta NIS en todos los sistemas UNIX. ● El servidor NIS es una de las plataformas soportadas y proporcionadas SSOD (Sun OS, HP-

UX y Digital UNIX).De manera alternativa, si sólo se dispone de unos cuantos sistemas UNIX y no hay preocupaciones por la seguridad, se puede utilizar el método de sincronización de contraseñas no seguro estudiado anteriormente -rlogin-. Tiene la ventaja de ser sencillo y fácil de gestionar, pero permite a las personas sin escrúpulos pero con acceso físico a la red leer en eila las contraseñas en texto claro.

7. Una vez hechas las elecciones correspondientes hay que pulsar Siguiente y Finalizar, con lo que la instalación comenzará. En la mayor parte de los casos habrá que reiniciar el sistema al final de la instalación, dependiendo de las opciones seleccionadas.

Configuración de servicios para UNIX

Una vez instalado SFU se puede examinar su configuración. SFU eran inicialmente varios productos diferentes de procedencias distintas unidos en un único paquete. Cada producto tiene una interfaz y un mecanismo de configuración diferentes y, en consecuencia, no tiene un aspecto coherente. Aun así, la funcionalidad se halla en cada componente y, generalmente, no depende de los otros integrantes del paquete. Los componentes básicos del producto (la mayor parte de los cuales ya se ha examinado brevemente) pueden clasificarse en alguna de las tres categorías siguientes:

● Servicios de conectividad: Incluye un servidor y un cliente mejorado basado en texto (modo texto), además de un demonio para la sincronización de contraseñas. El cliente telnet suponía tal avance que Microsoft lo ha incluido como parte del producto Windows 2000 estándar.

● Servicios de archivos: Incluye el soporte para el cliente y el servidor NFS. ● Servicios de uso: Proporciona un conjunto de utilidades UNIX y una interfaz de comandos Korn.

Servicios de conectividad


Capítulo 18

El cliente y el servidor telnet proporcionan un excelente método para comunicarse entre las máquinas de Windows 2000 y las de UNIX. Pero los servicios de telnet también pueden ofrecer importantes ventajas en la administración diaria de las propias máquinas de Windows 2000. Al añadir un servicio telnet a los servidores de Windows 2000 se proporciona a los servidores una interfaz de línea de comandos sencilla y que sobrecarga poco el sistema que permite gestionar gran variedad de tareas administrativas desde un único sistema de escritorio e, incluso, mediante una línea telefónica lenta.

El servidor de telnet

Tal y como se instala, el servidor de telnet funciona de manera óptima en la mayor parte de las instalaciones. Proporciona acceso desde cualquier servidor o estación de trabajo que tenga instalado un cliente de telnet y ofrece una interoperatividad mejorada en el ámbito de la empresa y una mejora en las posibilidades de gestión, incluso en entornos Windows 2000 puros. Acepta inicios de sesión de una gran variedad de clientes, incluidos el cliente telnet gráfico incluido con Windows NT y con Microsoft Windows 95/98 y gran variedad de clientes de terminal en modo texto de prácticamente todos los sistemas operativos. Además, puede cumplir los requisitos específicos del sitio para mejorar la seguridad, simplificar los inicios de sesión, etc.

NT LAN Manager: El servidor telnet de SFU soporta NT LAN Manager (NTLM) para la autenticación de los inicios de sesión de los clientes. NTLM autentica automáticamente al usuario con base en su inicio de sesión de Windows 2000, lo que proporciona una conexión transparente con el host mientras asegura que no se transfieran por la red contraseñas en texto claro. NTLM debe estar soportado tanto en el cliente como en el servidor, sin embargo, lo que hace que esta opción sólo sea viable entre máquinas de Windows, y no directamente con máquinas UNIX.

Al utilizar el inicio de sesión NTLM los usuarios quedan restringidos a las unidades locales de la máquina en la que han iniciado la sesión. Si necesitan asignar recursos de la red pueden hacerlo asignándolos directamente con su denominación completa. Por ejemplo:

net use g:\\servidor\unidad compartida\usuario:dominio\nombre de usuario

Administración: El servidor de telnet se administra mediante el programa tlntdmn.exe, que se instala de manera predeterminada en <SFU Root>\telnet y proporciona un menú de texto sencillo que se puede ejecutar prácticamente desde cualquier ventana de texto, incluido un inicio de sesión telnet remoto. Con el programa tlntadmn.exe se pueden mostrar los usuarios actuales, terminar un grupo de usuarios, mostrar (y modificar) los valores del registro para el servidor a iniciar y concluir el servicio. Entre los valores del registro que se pueden modificar están los siguientes:

● Permiso para el inicio de sesión desde dominios de confianza: El valor predeterminado es activado (on).

● Asignación predeterminada que simula la tecla ALT en las sesiones telnet ● Dominio de inicio de sesión predeterminado, definido inicialmente como <.>: Al modificar este

valor se puede facilitar el inicio de sesión de los usuarios. Si se define como el nombre del dominio


Capítulo 18

habitual de Windows 2000, el sistema no exigirá un inicio de sesión con el formato DOMINIO\nombredeusuario, sino que aceptará un mero nombre de usuario.

● La interfaz de comandos predeterminada: El usuario recibe esta interfaz de comandos al iniciar la sesión. El valor predeterminado es %SystemRoot%\system32\cmd.exe/q/k. No hay que modificarlo. Los usuarios pueden modificar fácilmente su interfaz de comandos una vez iniciada la sesión, y dejar el predeterminado reducirá la confusión y los problemas.

● Secuencia de comandos de inicio de sesión que se ejecuta cuando el usuario inicia la sesión: El valor predeterminado es <SFU Root>\Telnet\login.cmd. Hay que utilizar esta secuencia de comandos para personalizar los valores para los usuarios y hacer de manera automática las asignaciones de unidades que sean necesarias. La secuencia de comandos de inicio de sesión predeterminada de Windows 2000 no se ejecuta en las sesiones de telnet.

● Número máximo de conexiones permitidas al servidor: El valor predeterminado (y máximo) es 63. No obstante, el número real puede ser mucho menor si se dispone de menos conexiones con licencia para la máquina de Windows 2000.

● Número máximo permitido de inicios de sesión fallidos antes de que la sesión devuelva un mensaje de error: El valor predeterminado es 3, lo cual parece razonable.

● Opción de uso de NTLM para autenticación: Los valores permitidos son los siguientes: ❍ 0: No se utiliza NTLM. ❍ 1: NTLM se utiliza si está disponible; en caso contrario se presenta un indicativo de inicio de

sesión. ❍ 2: Sólo se permite NTLM. No se presenta ningún indicativo de inicio de sesión. ❍ Número del Puerto TCP/IP predeterminado utilizado para telnet: El valor

predeterminado es 23.

Valores del registro: Se puede utilizar el programa de administración de telnet facilitado para editar los valores del registro para el servidor de telnet, o también se pueden editar manualmente utilizando regedit o regedt32. La subclave para el servidor de telnet es HKEY_ LOCAL MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0.

Valores del registro para el servidor de telnet

Clave del registro Tipo Valor predeterminado

AllowTrustedDomain REG_DWORD 0x00000001

AltKeyMapping REG_EXPAND_SZ

DefaultDomain REG_EXPAND_SZ

DefaultShell REG_ EXPAND_ SZ

%SystemRoot%\system32\,cmd.exe/q/k

LoginScript REG_ EXPAND_ SZ

%SystemRoot%\system32Vogin.cmd

MaxConnections REG_ DWORD 0x0000003f (63)

MaxFailedLogins REG_ DWORD 0x00000003


Capítulo 18

NTLM REG_ DWORD 0x00000002 (sólo NTLM)

TelnetPort REG_ DWORD 0x00000017 (23)

Termcap REG_ DWORD %SystemRoot%\system32\termcap

Además, hay una subclave específica para el ajuste del rendimiento:

HKEY_LOCAL_MACHINE \SOFTWARE \MICROSOFT \TelnetServer \1.0 \Performance \NumThreadsPerProcessor

El valor mínimo de este parámetro es 2 y el valor predeterminado es 10 (Ox0000000a). En la mayor parte de los entornos el valor predeterminado optimiza el rendimiento.

El cliente de telnet

Aunque Windows 2000 viene con un típico cliente de telnet de modo gráfico, también incluye el nuevo cliente de telnet SFU de modo texto que proporciona barras de desplazamiento muy mejoradas y la posibilidad de autentificar el uso de contraseñas cifradas al conectarse a los servidores de telnet que soportan autenticación NTLM. Resulta a la vez más rápido y de mejor funcionamiento que el cliente de modo gráfico al que sustituye.

Además, el cliente de telnet proporciona emulaciones de terminales, incluyendo una emulación ANSI que soporta correctamente los colores al conectarse con servidores que también los soporten, como los que ejecutan la variante de UNIX de Santa Cruz Operation (SCO). También hay una nueva emulación VTNT que soporta características mejoradas en la conexión entre máquinas de Windows NT y de Windows 2000, incluida la posibilidad de ejecutar aplicaciones complejas de modo texto como edit.exe que no funcionan en emulaciones estándar de terminales.

La configuración de telnet se realiza desde el interior de una sesión de telnet "escapando" al indicativo de telnet. Hay que pulsar CTRL + el corchete derecho (]) para obtener el indicativo de telnet una vez iniciada una sesión. A partir de ese momento se pueden utilizar las opciones siguientes:

● ? Para obtener ayuda. ● close Para cerrar la conexión vigente. ● display Para mostrar los parámetros operativos vigentes. ● open <nombredelamáquina> Para abrir una conexión con una máquina. (También se puede utilizar

una dirección IP )


Capítulo 18

● quit Para salir completamente del cliente de telnet. ● set Para definir un parámetro operativo. Las opciones son:

❍ set ? Muestra ayuda sobre otras opciones de set. ❍ set NTLM Activa la autenticación NTLM. ❍ set LOCAL_ECHO ❍ set TERM <valor> Define la emulación de terminal solicitada. (Las opciones son ANSI,

VT52, VT100 y VTNT.) ● status Para imprimir el estado actual. ● unset Para borrar las opciones seleccionadas con el comando Set.

Si se conecta principalmente con sistemas UNIX, hay que definir TERM como ANSI y definir NTLM como desactivado (off), pero, si se conecta frecuentemente tanto con sistemas Windows NT como con sistemas UNIX, o si lo hace principalmente con sistemas Windows NT, se descubrirá que la emulación VTNT es una opción más adecuada y se seguirá utilizando ANSI al conectar con sistemas que no soporten VTNT.

Servicios de archivos

SFU proporciona conectividad adicional de servicios de archivos además del cliente y del servidor FTP nativos de Windows 2000. La adición del cliente y del servidor NFS permite la conectividad nativa de modo que parezca natural tanto a los usuarios de UNIX como a los de Windows 2000.

Al utilizar el cliente de NFS integrado naturalmente se pueden asignar sistemas de archivos exportados de los servidores UNIX como si fueran unidades compartidas nativas de Windows 2000, usando el formato UNIX servidorIrecursoexportado o el formato Windows. Y el servidor NFS permite compartir los recursos de archivos con los sistemas UNIX o con otros clientes NFS, incluidos los clientes de Windows 2000. En primer lugar se examinará el cliente NFS.

El cliente NFS

Al instalar el cliente NFS, se añade un applet al Panel de Control para administrar los parámetros del cliente NFS. Hay que abrir el Panel de Control y pulsar dos veces Client for NFS (Cliente para NFS) para abrir la ventana Propiedades de Client for NFS. Los apartados siguientes detallan las opciones que se pueden seleccionar al administrar los parámetros del cliente NFS.

Authentication (Autentificación) Define las opciones de autenticación en función del tipo de sistema y de entorno UNIX con el que se está conectado. A continuación figuran varias opciones de la ficha Authentication (Autentificación):

● NIS: Adecuado en empresas grandes en que ya está instalado NIS. ● PCNFSD: Adecuado para el resto de entonos. El servidor del demonio PC NFS puede hallarse en

uno de los servidores UNIX o en un servidor NFS de Windows 2000.


Capítulo 18

También se dispone de estos otros parámetros:

● Authenticate At System Logon (autenticar en el inicio de sesión en el sistema): Comprueba automáticamente la contraseña y el nombre de usuario para las conexiones NFS en el primer inicio de sesión. De manera predeterminada se halla desactivada; esta opción puede ralentizar el inicio de sesión si se producen problemas de conexión, pero ofrece a los usuarios un entorno más transparente.

● Display This Dialog On Connect (mostrar este cuadro de diálogo al conectar): Cuando se selecciona, se solicitan a los usuarios las credenciales de inicio de sesión para la conexión con el servidor NFS. Esta solicitud se repite en cada conexión, lo que les da la opción de seleccionar autenticaciones alternativas. Aunque normalmente suponga una molestia, es un parámetro útil si se ha caído el autenticador predeterminado.

● Display Confirmation (mostrar confirmación): Cada conexión muestra un cuadro de diálogo de confirmación antes de establecerse realmente. Suele resultar una molestia, salvo cuando se está depurando un problema.

Mount Options (opciones de montaje): La ventana Propiedades de Client for NFS permite especificar el tamaño de los búferes de lectura y de escritura (el valor predeterminado es 64 K), el intervalo de espera inicial, el número de intentos y si se deben utilizar montajes duros (hard) o en caliente (soft). A menos que se disponga de una buena razón para modificar estos valores, se deben dejar tal y como están. Resultan óptimos para las conexiones que los soportarán y, en caso necesario, retrocederán automáticamente.

En la ventana Propiedades de Client For NFS hay otros tres parámetros de montaje:

● Enable Version 3 Remote Write Caching (habilitar escritura remota en la caché de versión 3): Al seleccionarlo, las solicitudes de escritura se escriben en la caché del servidor remoto en vez de obligar al sistema de archivos a escribirla inmediatamente. Esto puede acelerar enormemente el rendimiento, pero supone las habituales advertencias y sólo debe activarse cuando lo soporte el servidor y éste se halle adecuadamente protegido por un sistema de alimentación ininterrumpida (SAI).

● Enable Locking (habilitar bloqueos): Al seleccionarlo, y cuando se halla soportado por el servidor remoto, los archivos abiertos por el cliente se bloquean hasta que se cierren.

● Enable Caching (habilitar escritura en la caché): Al seleccionarlo, las solicitudes de lectura se albergan en la caché local, lo que reduce el número de llamadas al disco duro remoto.

Permisos de acceso a archivo: Los permisos de acceso a los archivos para el cliente NFS ión para el usuario (propietario) del archivo, pero sólo Lectura y Ejecución para el grupo propietario y para los demás usuarios (lo que equivale a una umask de 022).

Filename Mapping (asignaciòn de nombres de archivo): Se puede asignar la manera en que se crean los nombres de archivo y el modo en que se asignan los nombres de archivo existentes entre el servidor NFS remoto y el cliente NFS. Las opciones de nombres de archivo que se crean desde el cliente son las siguientes:


Capítulo 18

● Preserve Case (No Conversión) [conservar mayúsculas y minúsculas (sin conversión)]: Sólo resulta adecuado si se usa NFS principalmente como recurso de almacenamiento de red pero no se van a utilizar los archivos creados en el entorno UNIX, donde los hombres de archivos que combinan mayúsculas y minúsculas pueden resultar una molestia.

● Convert lo Lower Case (cambiar a minúsculas): La opción preferida si se van a utilizar tanto los archivos de los clientes de Windows 2000 como los de los clientes de UNIX.

● Convert lo Upper Case (cambiar a mayúsculas): La opción preferida si el servidor NFS remoto se halla en un sistema operativo que prefiere o exige nombres de archivo en mayúsculas.

Las opciones para la asignación de los nombres de archivo existentes son las siguientes:

● Generate Unique Names For Existing Files With Mixed Case Filenames (generar nombres únicos para los archivos existentes con nombres que contienen mayúsculas y minúsculas): Resulta adecuada si puede haber guardados en el servidor nombres de archivo que combinen mayúsculas y minúsculas. UNIX distingue completamente las mayúsculas de las minúsculas.

● Match Filenames Exactly (los nombres de archivo deben coincidir exactamente): Busca los nombres de archivo distinguiendo entre mayúsculas y minúsculas. Resulta adecuada si puede haber nombres de archivo que combinen ambos tipos de letra y si puede haber archivos con nombres idénticos salvo por las mayúsculas y minúsculas.

● Match Filenames Ignoring Case (no hace falta que coincidan las mayúsculas y las minúsculas de los nombres de archivo): Busca los nombres de archivo ignorando la caja de la letra. Resulta adecuada y útil si se puede haber creado el archivo combinando mayúsculas y minúsculas o si el programa que lo busca puede esperar una caja de letra concreta.

● Provide Unique 8.3 Format Names (proporcionar nombres únicos con formato 8.3): Resulta útil si puede hacer falta tener acceso a los archivos desde una aplicación antigua de 16 bits que no comprenda los nombres de archivo largos. Se aplica tanto a los archivos nuevos como a los ya existentes.

En entonos mixtos en que los usuarios tengan acceso tanto a archivos de Windows como a archivos de UNIX, se descubrirá que definir la asignación de nombres de archivo de modo que los convierta automáticamente a minúsculas, pero que los compare ignorando el tipo de letra, causa el mínimo de molestias a ambas comunidades de usuarios.

Configuración de las LAN de NFS: Antes de que el cliente NFS pueda explorar la red de manera efectiva en búsqueda de sistemas de archivos exportados (compartidos), hay que configurar la LAN de NFS. Hay dos opciones para la configuración de la LAN de NFS: FavoriteLAN y LAN de difusión identificada. Se debe utilizar LAN de difusión para dividir la red en segmentos lógicos, limitar las difusiones únicamente a una parte concreta de la red y reducir el tráfico de red.

Se puede crear una única FavoriteLAN que incluya a los servidores NFS con los que se establezca conexión con mayor frecuencia. Estos servidores se identifican por su nombre o por su dirección IP, independientemente del segmento en que se encuentren. Utilizando una FavoriteLAN se limita la cantidad de tráfico de red de difusión y se acelera la conexión a los recursos preferidos. Para crear una FavoriteLAN


Capítulo 18

y añadirle un servidor, hay que seguir el procedimiento siguiente:

1. Abrir la ventana Client for NFS y pulsar la ficha Configured NFS LANs (LANs configuradas con NFS) para mostrarla.

2. Pulsar el botón Agregar para abrir el cuadro de diálogo Add LAN (Agregar LAN). 3. Pulsar el botón de opción Add Server lo Favorite LAN (Agregar servidor a la LAN favorita) y luego

pulsar Aceptar para abrir el cuadro de diálogo NFS Hosts (Hosts NFS). 4. Pulsar el botón Agregar para abrir el cuadro de diálogo Add Host (Agregar host). Esto permite

identificar un host NFS por su nombre o por su dirección IP. 5. Hay que escribir el nombre o la dirección IP del servidor. El otro valor se rellenará de manera

automática. 6. Hay que pulsar Aceptar para volver al cuadro de diálogo NFS Hosts (Hosts NFS). Se pueden añadir

otros hosts en este mismo momento o pulsar Aceptar varias veces para añadir el hosts NFS a iniciar la sesión en él.

La creación y uso de una LAN de difusión identificada es un proceso muy parecido al uso de FavoriteLAN, salvo en que hay que tener cierta información sobre el segmento de red en que reside la LAN de difusión. Para crear una LAN de difusión hay que seguir el siguiente procedimiento:

1. Abrir la ventana Client for NFS y pulsar la ficha Configured NFS LANs para que aparezca. Hay que pulsar el botón Agregar para abrir el cuadro de diálogo Add LAN.

2. Escribir el nombre del segmento de LAN que se vaya a añadir y seleccionar el botón de opción Specify LAN lo Browse (Especificar la red de área local que hay que examinar) para abrir el cuadro de diálogo Broadcasting (Difusión).

3. Especificar la dirección y la máscara de subred de la LAN, o escribir directamente la dirección de difusión. Los cuadros LAN Address y LAN Subnet Mask se quedarán en blanco en cuanto se rellene el cuadro Broadcast Address. Esto es normal.

4. Seleccionar los parámetros de difusión, intervalos de espera, etc. Los valores predeterminados constituyen un buen punto de partida, y sólo se deben modificar si se conoce el motivo de hacerlo y sus consecuencias.

5. Una vez definidas las opciones, hay que pulsar Aceptar y el segmento de LAN se añadirá a las LAN NFS.

6. Hay que definir el intervalo de refresco con un valor adecuado para el entorno. El valor predeterminado es de cinco minutos, lo que resulta razonable en redes de gran tamaño en que los hosts disponibles pueden variar con frecuencia. En redes de menor tamaño, o estáticas, puede resultar conveniente incrementar el intervalo de manera sustancial para reducir el tráfico de difusión por la red.

7. Una vez añadidos todos los segmentos LAN deseados, hay que pulsar Aceptar. Se puede recibir un mensaje de inicio de sesión con éxito o uno de inicio de sesión fallido y se solicitará que se reinicie la computadora. Hay que guardar los cambios para realizarlos todos al tiempo, ya que hay que reiniciar la computadora antes de que tengan efecto.

Vínculos simbólicos: Los vínculos simbólicos son un modo de que un archivo o directorio exista en una dirección física pero se pueda ver como existente en una o varias direcciones diferentes. Cuando un vínculo


Capítulo 18

simbólico hace referencia a un archivo o a un directorio que es local en la máquina en que se ubica el vínculo, el cliente para NFS no necesita realizar ninguna actividad especial para seguirlo. Pero también se pueden crear vínculos simbólicos en servidores NFS que apunten a archivos o directorios que se hallen realmente en máquinas remotas.

Para resolver estos vínculos, el cliente para NFS debe tener un archivo de asignaciones que identifique la máquina real a la que apunta el vínculo. El archivo de asignaciones debe residir en la máquina cliente local, o estar ubicado de manera central en la red para su mejor administración. El archivo de asignaciones es un archivo de texto ASCII y tiene el formato siguiente:

# Las líneas que comienzan por un signo # son comentarios y se ignoranmnt \máquina\export

Hay que utilizar la ficha Symbolic Links (vínculos simbólicos) para definir las opciones.

De manera predeterminada, el cliente para NFS no resuelve ni muestra vínculos no resueltos. Tampoco permite la redenominación ni la eliminación de vínculos simbólicos. Sólo se deben activar las opciones Rename o Delete de los vínculos simbólicos si se comprenden plenamente las consecuencias de su redenominación y de su eliminación y se conoce el mecanismo o programa que las vaya a realizar. Si se elimina un vínculo simbólico y se sustituye por un archivo con el mismo nombre, dejará de ser un vínculo simbólico. Habrá dos archivos en el servidor NFS: el archivo original en su ubicación primitiva y el archivo sustituto en la ubicación del vínculo.

Conexión con una exportación NFS La conexión con una exportación NFS es igual que la conexión con cualquier recurso de sistemas de archivos compartidos de la red. Mediante el Explorador de Microsoft Windows se pueden hallar redes NFS además de las redes de Microsoft Windows y de cualesquiera otras redes que se hayan configurado en Mis sitios de red.

Si se desea conectar con un sistema de archivos NFS exportado, se puede utilizar la sintaxis estándar de Windows (\\servidor\recursocompartido) o la sintaxis estándar de UNIX (servidor:/recursocompartido). El uso de la sintaxis UNIX estándar resulta algo más rápido, ya que resuelve inmediatamente la sintaxis NFS nativa y evita la necesidad de buscar una unidad compartida convencional de Windows que tenga el mismo nombre.

También se pueden utilizar las órdenes Net Use de la línea de comandos pare conectar directamente con un recurso concreto si se conoce su ubicación. Por ejemplo, pare asignar la siguiente letra de unidad disponible al sistema de archivos exportado /home en served del servidor NFS, se puede utilizar cualquiera de las órdenes siguientes:

net use * server1:/home net use * \\server1\home


Capítulo 18

El servidor NFS

Se puede utilizar el servidor SFU NFS robusto pare proporcionar recursos de las máquinas de Windows 2000 a cualquier máquina de la red que soporte NFS. Incluso se podría utilizar pare exportar sistemas de archivos a otras máquinas de Windows 2000 que ejecuten el cliente SFU NFS, aunque se recomienda, en general, utilizar pare ello la red nativa de Windows 2000. Los apartados siguientes describen las opciones disponibles pare la configuración de NFS.

Unidades compartidas: Las unidades compartidas se crean mediante Server for NFS Configuration (Configuración del servidor pare NFS) del Panel de control. Se pueden compartir directorios individuales o toda una unidad. No se pueden compartir subdirectorios de recursos ya compartidos, dado que NFS no lo soporta, por lo que se deberán planificar las unidades compartidas pare asegurarse de que se comparte desde la altura del árbol que resulte necesaria. Cada letra de unidad se comparte como la parte superior de un sistema de archivos.

En el entorno UNIX todos los sistemas de archivos se ven como subdirectorios del sistema raíz. Como Windows 2000 carece de este concepto de sistema de archivos de raíz única, cada letra de unidad de disco se comparte como un sistema de archivos diferente. Las Letras de unidad de la forma "D:" se convierten a la sintaxis < /D/». Por tanto, la unidad compartida de la carpeta F:\UserHome es vista por los clientes NFS de la red como: /F/UserHome. Pare crear una unidad compartida NFS, hay que seguir el siguiente procedimiento:

1. Hay que abrir Server for NFS Configuration del Panel de control. 2. Hay que escribir la unidad y la carpeta que se desean compartir (exportación, en lenguaje NFS) en la

que se añade una unidad compartida de la unidad D:. No se pueden añadir alias hasta que la unidad compartida se haya creado.

3. Hay que seleccionar la opción Allow Anonymous UID (permitir Id usuario anónimo) si se desea soportar los montajes anónimos de esta unidad compartida. No hay que seleccionar Symbolic Links Supported (vínculos simbólicos soportados) a menos que se necesite realmente este soporte, ya que impone una disminución significativa del rendimiento.

4. Hay que pulsar Share (unidad compartida) y se solicitarán los permisos de esta unidad compartida. 5. Hay que aceptar los permisos predeterminados a menos que se conozca la necesidad de limitar el

acceso a este punto compartido. Por lo general, se recomienda utilizar los permisos del sistema de archivos subyacente para gestionar la seguridad, dejando abiertos de par en par los permisos de las unidades compartidas.

6. Hay que pulsar Aceptar para volver a la ficha Share Options (opciones de la unidad compartida). Aquí hay que hacer todos los demás cambios en los parámetros que se necesiten.

7. Hay que pulsar Advanced Options (opciones avanzadas) para ver las opciones avanzadas disponibles. Los valores predeterminados resultan adecuados para casi todas las situaciones. Si se Babe que se necesita definir explícitamente determinados parámetros para el entorno utilizado y se conoce el significado de todos los parámetros, se pueden modificar; en caso contrario, es mejor dejarlos como están. Hay que pulsar Aceptar para cerrar el cuadro de diálogo Advanced Export Options (opciones avanzadas de exportación).

8. Hay que pulsar Aceptar para crear la unidad compartida y ponerla a la disposición de los demás


Capítulo 18

sistemas.

Alias de las unidades NFS compartidas: Se pueden crear alias para las unidades NFS compartidas para hacer que las unidades NFS compartidas de Windows 2000 tengan un aspecto más parecido al que pueden esperar los usuarios de UNIX. Hay que tener en cuenta que los alias NFS necesitan un reinicio de la computadora para tener efecto, por lo que hay que crear primero todos los puntos compartidos y luego añadir todos los alias para reducir el número de reinicios necesarios. Para crear un alias, hay que seguir el procedimiento siguiente:

1. Hay que abrir Server for NFS Configuration (configuración del servidor para NFS) en el Panel de control.

2. Hay que seleccionar la unidad compartida para la que se desea crear el alias en la lista desplegable Share Name (nombres de unidades compartidas).

3. Hay que escribir un alias en el cuadro de texto Alias (alias). No hace falta que comience por una barra (n, ya que ésta se añade de manera automática cuando el alias está disponible.

4. Hay que pulsar la ficha Server Options (opciones del servidor) y asegurarse de que se selecciona la casilla Return Alias Name (devolver alias). Esto asegura que las consultas de difusión de exportaciones disponibles al servidor NFS devuelven el alias, no el nombre completo de la unidad compartida.

5. Hay que pulsar Aplicar y se creará el alias. Se recibirá un mensaje de advertencia que recuerda que es necesario reiniciar la máquina antes de que el alias tenga efecto. Si se tienen que crear otros alias, hay que pulsar Aceptar en el cuadro de mensajes y continuar. Si se ha terminado de crear alias, hay que pulsar Aceptar en el cuadro del mensaje y en el cuadro de idiálogo para abandonar Server for NFS Configuration (configuración del servidor para NFS).

Grupos de Clientes: El servidor para NFS proporciona un mecanismo para la gestión de los permisos y las unidades compartidas por grupos de computadoras, conocido como grupos de clientes. Al crear grupos de clientes se pueden exportar (compartir) recursos de sistemas de archivos a grupos concretos de computadoras sin necesidad de especificar cada vez cada computadora por se parado. Esta capacidad también mejora la gestión y la administración al permitir la gestión de los miembros de cada grupo desde una misma ubicación.

Los cambios en la pertenencia a los grupos (y, por tanto, los permisos) se modifican de manera automática en cada recurso NFS que hace referencia a ese grupo de clientes. Para crear grupos de clientes, hay que seguir el procedimiento siguiente:

1. Hay que abrir Server for NFS Configuration (configuración del servidor para NFS). Hay que pulsar la ficha NFS Client Groups (grupos de clientes NFS) para poder verla.

2. Hay que pulsar el botón Add Group (agregar grupo) para añadir grupos nuevos. Esto abre el cuadro de diálogo New Group (grupo nuevo). Hay que escribir el nombre de grupo que describa al grupo de computadoras y pulsar Aceptar.

3. Hay que añadir los miembros del grupo pulsando el botón Add Member (agregar miembro) para abrir el cuadro de diálogo New Member (miembro nuevo). Hay que escribir la dirección IP o el


Capítulo 18

nombre de la computadora cliente que se vaya a añadir al grupo y pulsar Aceptar. 4. Hay que continuar añadiendo miembros al grupo hasta que se hayan añadido todos. Luego hay que

pulsar Aplicar para hacer que el grupo quede inmediatamente disponible y continuar trabajando en Server for NFS Configuration o pulsar Aceptar para hacer que el grupo quede disponible.

Bloqueo de archivos: Se puede activar el bloqueo de archivos para los clientes de NFS y para todo el sistema, con propagación local y por la red. De manera predeterminada, el bloqueo está desactivado, pero si se espera utilizar aplicaciones en montajes NFS que necesiten el bloqueo de archivos, puede que se desee activarlo. Todos los cambios en el bloqueo de archivos necesitan un reinicio de la máquina, por lo que hay que tenerlo en cuenta a la hora de la planificación.

Seguridad: Server for NFS Configuration utiliza entradas de control de acceso para simular los permisos típicos de los mundos UNIX y NFS. Sin embargo, se pueden inhibir ciertos comportamientos que suelen ser posibles en el conjunto de permisos de UNIX pero que no se aplican normalmente en Windows 2000 o Windows NT. Concretamente, se puede inhibir la posibilidad de los clientes NFS de denegar el acceso al propietario y al grupo poseedor de un archivo. También se pueden definir permisos para objetos para que coincidan más estrechamente con la manera en que Windows 2000 los gestiona seleccionando la opción Implicit Permissions (permisos implícitos) y escogiendo FULL Control (Group) [control completo (grupo)] y FULL Control (World) [control completo (todos)].

Los modelos de seguridad de UNIX y de Windows 2000 tienen conjuntos de permisos intrínsecamente diferentes. Cualquier intento de correlacionarlos constituye una mera aproximación.

Servicios de uso

Los usuarios de UNIX esperan una gran cantidad de utilidades de la línea de comandos que no existen en el mundo de Windows 2000. No obstante, SFU incluye un conjunto reducido de las utilidades UNIX más comunes basado en el Kit de herramientas de Mortice Kern Systems (MKS), incluida la interfaz de comandos Korn MKS para facilitar la posibilidad de compartir las secuencias de comandos. Si se necesita un conjunto completo de utilidades UNIX, un complemento de MKS (MKS Toolkit Services for UNIX Update Edition) proporciona el resto. del kit de herramientas de MKS y más de 200 utilidades UNIX.

Las utilidades SFU se agrupan en cuatro categorías principales: utilidades para archivos y directorios, utilidades de texto, utilidades de programación y utilidades relacionadas con la seguridad. En cada caso están disponibles las más importantes, pero, si se espera poder utilizar las secuencias de comandos del mundo UNIX en Windows 2000, puede que se considere que esta lista resulta insuficiente para cubrir las necesidades, a menos que se sea cuidadoso al elaborar la secuencia de comandos o que se aproveche la utilidad de programación Perl incluida para superar los límites de la interfaz de comandos Korn.

Utilidades para archivos y directorios Las utilidades del sistema de archivos incluidas en SFU son las siguientes:


Capítulo 18

● mkdir: Crea directorios. Con la opción p crea los directorios que faltan si resultan necesarios para crear el directorio de destino.

● mv: Mueve archivos y directorios. ● cp: Copia archivos y directorios. ● rm: Elimina (borra) archivos y directorios. ● rmdir: Elimina directorios si están vacíos. ● is: Muestra una lista los archivos y directorios. ● touch: Modifica varias fechas y horas asociadas con uno o varios archivos. ● in: Crea vínculos con uno o varios archivos. ● find: La orden de búsqueda de UNIX completa. ● tee: Envía una copia de la salida estándar de un programa a uno o varios archivos.

Utilidades de texto: Las utilidades de texto incluidas en SFU son las siguientes:

● vi: Proporciona una emulación completa de la utilidad UNIX de edición de archivos. ● wc (word count, recuento de palabras): Cuenta el número de palabras, bytes, caracteres o líneas

de un archivo o de una entrada de datos estándar. ● sort: Ordena y fusiona archivos o entradas de datos estándar de acuerdo con un variado conjunto de

criterios. ● tail: Muestra las n últimas líneas de un archivo (10 líneas como valor predeterminado). ● head: Muestra las n primeras líneas de un archivo (10 líneas como valor predeterminado). Es la

inversa de tail. ● more: Muestra un archivo página a página. (En realidad, se parece más a la utilidad UNIX «less»,

que soporta el movimiento en ambos sentidos). ● sed: El editor de corrientes. ● cat: Concatena. ● grep: Obtiene expresiones regulares. La implementación de SFU también soporta egrep (extended

grep, grep extendido) y fgrep (fast grep, grep rápido).

Utilidades de programación Las utilidades de programación incluidas en SFU son las si-guientes:

● sh: La interfaz de comandos Korn. ● Perl: Lenguaje de extracción práctica a informes (Practical Extraction and Reporting Language).

Versión 5.004 04 de Perl.

Utilidades relacionadas con la Segurid8d Las utilidades de seguridad incluidas en SFU sonlas siguientes:

● chmod: Cambia los permisos de acceso de los archivos o directorios especificados. Cambia el modo (change mode).

● chown: Cambia el propietario (y, opcionalmente, el grupo) de los archivos o directorios especificados. Cambia el propietario (change owner).


Capítulo 18

Tanto el kit de herramientas completo de MKS como el subsistema Interix incluyen un grupo de utilidades mucho más numeroso que las que se proporcionan con SFU. Interix también incluye su propia implementación de telnet (que, por desgracia, tiene licencias por usuario, lo que incrementa notablemente su coste). El kit de herramientas de MKS incluye varias utilidades gráficas, incluida una versión gráfica bastante buena de vi y otras varias utilidades que se prestan bastante bien a la implementación gráfica. Tanto MKS como Interix incluyen versiones que escriben en cinta o en disquete, como podría esperar cualquier administrador de UNIX.

Interfaces de comandos y Posix

Ningún estudio sobre la interoperatividad entre Windows y UNIX estaría completo sin abordar las diferencias entre sus interfaces de comandos. Resulta interesante que todavía nadie haya aportado una emulación de la interfaz de comandos cmd.exe de Windows NT/2000 a UNIX. Pero hay gran variedad de emulaciones y puertos de las interfaces de comandos de UNIX a Windows 2000, lo que está bien, ya que el usuario típico de UNIX no desea abandonar la interfaz de comandos completa Korn o POSIX para trabajar con las limitaciones de la interfaz de comandos de comandos de Windows.

La interfaz de comandos Korn

Como ya se conoce, SFU proporciona una implementación excelente de la interfaz de comandos Korn de UNIX en Windows 2000. Se basa en la implementación de la interfaz de comandos Korn de MKS con las peculiaridades propias de esa implementación.

La interfaz de comandos Korn de MKS, tanto en SFU como directamente en MKS, obtiene la máxima acomodación al mundo de Windows 2000. No distingue entre mayúsculas y minúsculas e ignora totalmente la caja de la letra al comparar nombres de archivo, aunque al igual que NTFS lo conserva. Tampoco transforma la sintaxis de las letras de unidad de Windows 2000 en sistemas de archivos con raíz única, más propios de UNIX. Esto hace que resulte bastante cómodo para los usuarios de Windows 2000 que también, a veces, pasen algún tiempo en el entorno UNIX, pero lo hace algo menos cómodo para los usuarios de UNIX que tengan que pasar algún tiempo de manera ocasional en el indicativo de comandos de Windows 2000.

Las secuencias de comandos escritas para UNIX pueden pasarse con bastante facilidad a la interfaz de comandos Kom de MKS. Las funciones están soportadas, a incluso la comparación mediante corchetes dobles ([[]]) funciona como es de esperar. El mayor problema es el tratamiento de las letras de unidad y la confusión sintáctica resultante. Las entradas PATH se separan mediante punto y coma, en lugar de por dos puntos, para atenerse al requisito del uso de dos puntos detrás de las letras de unidad; en consecuencia, hay que reescribir las secuencias de comandos que pretenden dividir la instrucción PATH utilizando los dos puntos como separador de campos. Y las secuencias de comandos que deban trabajar tanto en sistemas UNIX como en sistemas de Windows 2000 deben escribirse con esta consideración presente (no resulta difícil, sólo es algo con lo que el usuario típico de UNIX no espera tener que trabajar).


Capítulo 18

Otro problema que tienen que abordar las secuencias de comandos es la carencia de un sistema de archivos con raíz común. Esto se enmascara mejor utilizando nombres de archivos y caminos completos en las variables y haciendo referencia a los caminos en función de las variables, en vez de hacerlo de modo explícito. Esto no supone un gran problema y tiende, en todo caso, a promover buenas prácticas de programación.

Interfaces de comandos POSIX y subsistemas

Aunque la interfaz de comandos Korn SFU (y el de MKS) no es más que otra interfaz de comandos que se ejecuta sobre el núcleo nativo de Windows 2000, algunos subsistemas POSIX completos también soportan UNIX en el nivel del núcleo. El mejor de ellos es, sin duda alguna, la implementación POSIX de Interix de Softway Systems, un subsistema que cumple completamente POSIX y se integra directamente en el núcleo de Windows 2000.

La interfaz de comandos POSIX de Interix utiliza el enfoque opuesto al utilizado por la interfaz de comandos Korn de MKS/SFU -no hace prácticamente ninguna concesión al mundo de Windows 2000 y, por el contrario, implementa en Windows 2000 un sistema de archivos con raíz que diferencia completamente entre mayúsculas y minúsculas-. En consecuencia, las secuencias de comandos escritas para UNIX se ejecutan exactamente de la manera esperada sin necesidad de cambios adicionales, al menos en teoría. No obstante, la distinción total entre mayúsculas y minúsculas causa un sinnúmero de problemas, y la ausencia de concesiones a la sintaxis de Windows 2000 implica que hay que recordar que los programas nativos de Windows 2000 tienen nombres como notepad.exe, no notepad.

Se pueden hallar soluciones a estos problemas, incluido el uso de un conjunto de utilidades cuya única misión es convertir los caminos y los tipos de letra de Windows 2000 a POSIX, y viceversa. No obstante, los problemas con el uso de secuencias de comandos de UNIX en ambos entornos son similares a los de la implementación MKS/SFU: hay que recordar las diferencias entre ambos entornos y escribir las secuencias de comandos de manera que puedan superarlas.


Capítulo 19

Capítulo 19

Previendo que Windows NT y Windows 2000 se adoptarían de manera generalizada como servidores para departamentos y grupos de trabajo, Microsoft incluyó en ellos dos servicios que permiten a los usuarios de Macintosh compartir archivos a impresoras con los usuarios de Windows, de OS/2 e, incluso, de MS-DOS. El servicio Servidor de archivos para Macintosh (FSM) aborda la publicación de los archivos compartidos, y el servicio Servidor de impresión para Macintosh (PSM) permite a los usuarios de Macintosh y de Windows compartir recíprocamente las impresoras. Además, Windows 2000 incluye una implementación del protocolo de red AppleTalk. El mecanismo que utilizan estos servicios es sencillo: se comparten las carpetas y los archivos y luego se activa el compartimiento de archivos Macintosh en la unidad compartida. Los clientes de Windows pueden utilizar normalmente la unidad compartida, mientras que los usuarios de Macintosh utilizan el software para compartir archivos de Apple para conectarse con el servidor de Windows 2000 y obtener los archivos.

Introducción a los servicios para Macintosh

Cada uno de los tres componentes que proporcionan conjuntamente el soporte para Macintosh en Windows 2000 time sus propias responsabilidades.

● La pila AppleTalk controla las comunicaciones de red con los clientes Macintosh y el encaminamiento AppleTalk. Se puede instalar y utilizar el protocolo AppleTalk sin los servicios para archivos o para impresión; ello permite encaminar el tráfico de AppleTalk o aceptar llamadas mediante los Servicios de acceso remoto (Remote Access Service, RAS) de los usuarios remotos de Macintosh.

● FSM controla la publicación de archivos de un MAV en los clientes Macintosh. Como parte de esa labor, convierte sobre la marcha las bifurcaciones de archivos de Macintosh a corrientes NTFS, y viceversa; también gestiona los datos de creador, tipo a icono necesarios para Finder de Mac OS. Cuando los clientes de Windows utilizan archivos de la unidad compartida subyacente a un MAV, tienen acceso a archivos mediante el servicio estándar de servidor, encima del cual se halla situado FSM.

● PSM permite ofrecer a los clientes Macintosh el mismo conjunto de impresoras compartidas que se ofrecen a los clientes de Windows. Convierte las salidas PostScript de los clientes Macintosh en archivos de mapas de bits independientes de los dispositivos (device-independent bit-map, DIB) que pueden manejar las impresoras de Windows 2000. Además, PSM permite crear grupos de impresoras y asignar prioridades a los trabajos de impresión, dos características ausentes en Mac OS. Sin embargo, esto exige que se capturen las impresoras que se deseen utilizar. Las impresoras capturadas no pueden utilizarlas directamente los clientes AppleTalk; en vez de eso, deben enviar las solicitudes de impresión al servidor de Windows 2000, que, a su vez, las entrega a las impresoras. Si se deja sin capturar la impresora, los clientes AppleTalk pueden imprimir en


Capítulo 19

ellas, pero no se puede seguir ni controlar la impresión ni establecer prioridades entre los trabajos desde el servidor de Windows 2000, lo que constituye el compromiso inherente. Como mejora adicional, PSM permite a los usuarios de Windows imprimir en las impresoras de la red AppleTalk.

Instalación y configuración de AppleTalk

El primer paso para poner el servidor de Windows 2000 a disposición de los usuarios de Macintosh es instalar la pila de red AppleTalk. La instalación de FSM o de PSM antes que AppleTalk hace que AppleTalk se instale, pero resulta más sencillo resolver los problemas relacionados con Macintosh si se está seguro de que funciona el protocolo subyacente antes de instalar los componentes de servicios.

Instalación de AppleTalk

Dado que AppleTalk es un protocolo de red, se instala desde el cuadro de diálogo Conexiones de red y de acceso telefónico. Antes de intentar instalar AppleTalk, hay que asegurarse de que se tiene acceso al CD-ROM de Windows 2000 o a un punto de instalación de red. Para instalar AppleTalk, hay que seguir el siguiente procedimiento:

1. En el menú Inicio, hay que apuntar a Configuración y escoger Conexiones de red y de acceso telefónico.

2. Hay que pulsar con el botón derecho del ratón Conexión de área local. Aparecerá la ventana Propiedades de Conexión de área local.

3. Hay que pulsar el botón Instalar. Cuando aparezca el cuadro de diálogo Seleccionar tipo de componente de red, hay que seleccionar el icono Protocolo y pulsar Agregar.

4. En el cuadro de diálogo Seleccione el protocolo de red, hay que seleccionar Protocolo AppleTalk en la lista y pulsar Aceptar. Si se solicita, hay que facilitar la ubicación de la distribución de Windows 2000.

Este procedimiento instalará AppleTalk y lo enlazará con todas las tarjetas de interfaz de red (Network Interface Cards, NIC) de la computadora. Si se desea eliminar AppleTalk de alguna NIC concreta, hay que abrir su ventana Propiedades y desactivar la casilla de verificación de AppleTalk.

Configuración del encaminamiento para AppleTalk

Antes de configurar el propio protocolo AppleTalk, hay que configurar el encaminamiento para AppleTalk si se piensa utilizar. Esto asegura que la máquina de Windows 2000 tenga una lista de zona actual y la información de red antes de que el proceso de configuración de AppleTalk lo necesite. El encaminamiento para AppleTalk se maneja desde la consola Enrutamiento y acceso remoto. Para activar y configurar el encaminamiento, hay que seguir el procedimiento siguiente:


Capítulo 19

1. En el menú Inicio, hay que apuntar a Programas, Herramientas administrativas y escoger Enrutamiento y acceso remoto.

2. Hay que pulsar dos veces el servidor que se desea configurar. El icono se amplía para mostrar una lista de los protocolos de encaminamiento instalados en ese servidor. Como mínimo se verá AppleTalk; en función de la configuración de Enrutamiento y acceso remoto puede que también se vean otros elementos.

3. Hay que pulsar con el botón derecho del ratón Enrutamiento AppleTalk y escoger Habilitar enrutamiento AppleTalk.

4. En el panel derecho de la consola cambiarán los adaptadores a los que esté enlazado AppleTalk para mostrar el estado de Enrutamiento (predeterminado), que indica que el encaminador se ha iniciado y está disponible para el tráfico de encaminamiento en esas interfaces, pero que no está alimentando a la red.

Establecimiento de un encaminador raíz

Es mucho más eficiente utilizar un encaminador raíz AppleTalk hardware que una computadora Windows 2000, pero si no se dispone de encaminadores hardware, no obstante, se puede utilizar Windows 2000 como encaminador raíz para la red AppleTalk. Una vez instalada la pila AppleTalk, hay que seguir este procedimiento adicional:

1. En la consola Enrutamiento y acceso remoto, hay que expandir el servidor que se está configurando y seleccionar Enrutamiento AppleTalk.

2. Hay que pulsar en la ventana de la consola Conexión de área local con el botón derecho del ratón y escoger Propiedades. Aparecerá una ventana Propiedades de Conexión de área local.

3. Hay que seleccionar la casilla de verificación Habilitar el enrutamiento raíz en esta red. Esto activa los controles de las áreas Intervalo de red y Zonas.

4. Hay que escoger el rango de números de red que se desea que tenga este encaminador raíz rellenando las casillas Desde y Hasta del área Intervalo de red. Se pueden escoger números de red de manera arbitraria, pero no pueden solaparse y deben ser únicos. Cada red puede soportar 253 nodos, por lo que se debe asignar un rango que sea suficientemente grande para el número de nodos de la red. Las redes AppleTalk suelen agrupar las redes en zonas, lo que es el motivo de que se pueda especificar un rango de redes para servir en lugar de sólo una.

5. Hay que crear la lista de zonas que se deseen conectar a la red de la manera siguiente: ● Hay que comenzar pulsando el botón Obtener zonas; esto hace que Windows 2000 busque

en la red zonas disponibles igual que haría un cliente. El resultado aparece en la lista de zonas.

● Hay que utilizar el botón Nueva zona para añadir las zonas nuevas que se desee dejar disponibles. Los nombres de las zonas pueden contener cualquier carácter ASCII imprimible, salvo * : = y @, y deben tener menos de 32 caracteres. (Obsérvese que no hay modo de cambiar el nombre de una zona una vez creada; hay que eliminarla y volver a crearla.) Las zonas no deseadas se pueden eliminar con el botón Eliminar.

● En el cuadro Zona predeterminada, hay que especificar una zona predeterminada para los nodos de la red. La zona predeterminada contiene a todos los nodos cuyo propietario no los


Capítulo 19

haya asignado a ninguna otra zona; el encaminador asigna de manera automática los dispositivos sin zona predeterminada, por lo que es ahí donde los verán los usuarios de Macintosh.

Hay que asegurarse de configurar los encaminadores raíz antes de configurar (o de iniciar) otros encaminadores de la red.

Configuración del protocolo AppleTalk

AppleTalk se diseñó para ser un protocolo con poca sobrecarga y de bajo mantenimiento, por lo que su configuración resulta bastante sencilla. De hecho, prácticamente no necesita configuración; basta con indicar si el adaptador acepta conexiones AppleTalk entrantes y la zona en que aparecerá el servidor. A continuación se indica la manera de configurar estos parámetros:

1. En el menú Inicio, hay que apuntar a Configuración y escoger Conexiones de red y de acceso telefónico. Hay que pulsar con el botón derecho del ratón el adaptador que se desee configurar. (Hay que utilizar el elemento Conexión de área local si sólo se dispone de una tarjeta de red.) Aparecerá la ventana Propiedades correspondiente.

2. Hay que seleccionar el elemento Protocolo AppleTalk y pulsar Propiedades. 3. Aparecerá la ventana Propiedades de Protocolo AppleTalk. Si se está configurando el único

adaptador de red del sistema, estará seleccionada y atenuada la casilla de verificación Aceptar conexiones entrantes en este adaptador, dado que, como mínimo, hay que aceptar las conexiones entrantes en un adaptador. El cuadro El sistema aparecerá en la zona, permite controlar la zona en que aparece el servidor; se puede utilizar la zona predeterminada o asignarlo a una zona concreta de manera explícita.

4. Hay que pulsar Aceptar y volver a pulsar Aceptar en la ventana Propiedades del adaptador

El objeto rendimiento de AppleTalk encapsula alrededor de dos docenas de parámetros específicos del protocolo (incluidos los contadores que registran todo el tráfico AppleTalk entrante y saliente y el número de paquetes encaminados).

Configuración de los servicios de archivo e impresión

Una vez instalado y configurado el protocolo AppleTalk, se está preparado para instalar y configurar los propios servicios Macintosh. FSM y PSM son dos paquetes independientes con procesos de instalación similares. No importa el orden en que se instalen estos componentes.

Requisitos para la instalación de los servicios para Macintosh

Antes de instalar los componentes de los servicios para Macintosh hay que cumplir varios requisitos. En primer lugar, si se va a instalar FSM, hay que tener en el servidor, al menos, una partición NTFS. Esto se debe a que sólo se pueden crear volúmenes con acceso a Macintosh en particiones NTFS o del sistema de


Capítulo 19

archivos de CD-ROM (CD-ROM File System, CDFS); a incluso, si sólo se desea crear volúmenes con acceso a Macintosh en particiones CDFS, hace falta una partición NTFS o no se podrá instalar FSM.

En segundo lugar, conviene tener ya instalados y configurados los adaptadores de red que se piense conectar a las redes AppleTalk y haber comprobado que funcionan. Finalmente, hay que tener instalado y configurado AppleTalk y haber probado la instalación para asegurarse de que los clientes de red existentes pueden ver el nuevo servidor como nodo AppleTalk. Puede que para ello se necesite una herramienta como EtherPeek o InterNetMapper de Dartmouth.

Si se desea que los usuarios de Macintosh tengan acceso a los archivos que se hallan en unidades compartidas normales (no en volúmenes con acceso a Macintosh), se puede utilizar una utilidad de otro fabricante como DAVE de Thursby Software (http://www.thursby.com), que permite a las computadoras Macintosh iniciar una sesión en dominios de Windows NT o de Windows 2000 y utilizar archivos a impresoras compartidas utilizando los protocolos de red nativos de Microsoft.

Aunque la instalación y la gestión de FSM es bastante sencilla, hay algunos números de los que se debe tener conocimiento. Estos números (o más exactamente límites) limitan algunas de las cosas que pueden hacerse con FSM:

● Los volúmenes de Macintosh sólo pueden soportar nombres de archivo con una longitud máxima de 31 caracteres, mientras que los de NTFS soportan nombres de archivo con longitudes de hasta 256 caracteres. Los archivos de Macintosh aparecen con sus nombres correctos en los sistemas de Windows que soportan nombres de archivo largos, pero tienen nombres truncados con formato 8.3 en los sistemas que no los soportan. FSM trunca los nombres de archivos de NTFS que superen el límite de 31 caracteres, por lo que los clientes de Macintosh sólo ven los primeros 31 caracteres.

● NTFS permite una longitud de camino máxima de 255 caracteres, igual que hace Mac OS. Sin embargo, en ciertas circunstancias puede que FSM no envíe la información de archivo o de carpeta de Macintosh de elementos cuyas longitudes de camino combinadas superen los 260 caracteres.

● Al igual que NTFS, los sistemas de archivos de Macintosh no distinguen entre mayúsculas y minúsculas. Si se tiene activado el subsistema POSIX, no se deben utilizar nombres de archivo POSIX, o los clientes de Macintosh se confundirán.

● Los nombres de volumen con acceso a Macintosh pueden tener hasta 27 caracteres de longitud, pero las herramientas de FSM sólo pueden crear nombres de 12 caracteres (aunque se utilice la utilidad Macfile para superarlo).

● AppleTalk necesita que los nombres de todas las unidades compartidas servidas por una misma máquina quepan en un único paquete de anuncio. El tamaño de este paquete no puede superar los 4760 bytes, lo que significa que hay un límite superior de alrededor de 175 nombres de volúmenes con acceso a Macintosh (de 27 caracteres cada uno) por servidor.


Capítulo 19

Creación de cuentas para usuarios de Macintosh

FSM y PSM obtienen información de las cuentas del servicio de directorio de Active Directory de Microsoft Windows 2000. Esto significa que los clientes de Macintosh no pueden iniciar una sesión en los servidores FSM o PSM a menos que tengan una cuenta válida en el directorio o se les permite acceso como invitados a los servidores. Resulta conveniente configurar las cuentas que se vayan a necesitar para los usuarios de Macintosh como parte de la instalación y configuración en el servidor del soporte para Macintosh; así, en cuanto se obtengan los volúmenes con acceso a Macintosh y las impresoras compartidas estén creadas, los usuarios podrán comenzar a conectarse con el servidor.

PSM debe dotarse de un conjunto de credenciales de cuentas de usuario para que pueda imprimir los trabajos en el Administrador de impresión estándar de Windows 2000. Utiliza de manera predeterminada la cuenta del sistema, pero, por motivos de seguridad, resulta más conveniente crear una cuenta diferente para utilizarla sólo con PSM.

Instalación de los componentes

Para instalar tanto PSM como FSM se utiliza el Asistente para componentes de Windows. El proceso real es muy sencillo:

1. En el menú Inicio, hay que apuntar a Configuración, a Panel de control y escoger Agregar o quitar programas. Cuando aparece la ventana de Agregar o guitar programas, hay que pulsar el icono Agregar o guitar componentes de Windows para iniciar el Asistente.

2. En la primera pantalla del Asistente, hay que pulsar Siguiente. Aparece la pantalla de Componentes de Windows; hay que desplazarse por la lista de componentes hasta hallar Otros servicios de archivo y de impresión de red. Hay que seleccionarlo y pulsar Detalles.

3. Aparecerá el cuadro de diálogo Otros servicios de archivo y de impresión de red. Hay que seleccionar los servicios para Macintosh que se desee instalar y pulsar Aceptar. Cuando se vuelve al Asistente, hay que pulsar Siguiente.

4. Hay que pulsar Finalizar para concluir la instalación.

Una vez instalados los componentes de FSM y de PSM hay que configurarlos para que resulten de utilidad. El único volumen con acceso a Macintosh que ofrece a sus clientes un servidor FSM recién instalado es el que contiene el módulo de autenticación de conexiones de Microsoft.

Instalación del módulo de autenticación de Microsoft en el Macintosh

Cuando un cliente Mac OS se conecta con un servidor Windows 2000 FSM, el cliente tieneque enviar sus credenciales de nombre de usuario y contraseña como texto claro no cifrado. Esto no resulta seguro, ya que un atacante con un analizador de la red puede obtener fácilmente de la red las credenciales y utilizarlas para abrir una sesión directamente en el servidor de Windows 2000.


Capítulo 19

Mac OS soporta la autenticación cifrada al comunicarse con los servidores de AppleShare, pero para añadir el mismo nivel de seguridad a las conexiones entre Mac OS y FSM hay que elegir entre dos opciones. Una es configurar el servidor para que acepte autenticación cifrada de Apple y la otra es instalar un módulo adicional para autenticación de usuarios (User Authentication Module, UAM) en la parte Macintosh. El UAM de Microsoft permite al cliente Mac OS cifrar sus credenciales utilizando el mismo esquema que utilizan los clientes Windows al comunicarse con servidores de Windows 2000. También ofrece otras dos ventajas útiles: permite utilizar contraseñas de mayor longitud (14 caracteres en lugar del límite de 7 caracteres impuesto por AppleShare) y permite a los clientes saber si ha caducado su contraseña para Windows 2000.

El UAM de Microsoft se guarda en un volumen con acceso a Macintosh especial denominado volumen UAM de Microsoft (Microsoft UAM Volume). Este volumen con acceso a Macintosh siempre se halla disponible para los clientes Macintosh en un servidor FSM; no cabe la posibilidad de eliminarlo o cambiarlo de nombre y se halla disponible en cuanto se inicia el servicio FSM. El volumen UAM contiene cuatro elementos: un archivo de texto (Readme.uam) que explica lo que hace el UAM y la manera de instalarlo; una aplicación que instala de manera automática el UAM adecuado para una configuración Mac OS dada; y las versiones del UAM para las versiones 3.8 (presente en Mac OS 7.5 y posteriores) y 3.6 (para versiones anteriores de Mac OS) de AppleShare. Para instalar el UAM de Microsoft en un cliente Mac OS hay, que seguir el procedimiento siguiente:

1. En la computadora Macintosh, hay que abrir el Selector en el menú Apple. 2. Hay que seleccionar el icono AppleShare en el Selector. Si se tienen varias zonas AppleTalk en la

red, hay que seleccionar la zona en que se halle el servidor FSM en la lista de Zonas AppleTalk. 3. Hay que seleccionar el servidor FSM al que se desee conectar. Hay que pulsar OK para intentar la

conexión. 4. Aparecerá el cuadro de diálogo de inicio de sesión de AppleShare. Hay que iniciar la sesión en el

servidor FSM, bien como invitado (hay que pulsar el botón Invitado), bien como usuario con credenciales en el servidor (hay que pulsar el botón Usuario registrado y escribir el nombre de usuario y la contraseña). Hay que pulsar OK cuando se haya terminado.

5. El icono Volumen UAM de Microsoft aparecerá en el escritorio del Macintosh. Hay que abrirlo a iniciar la aplicación Instalador de MS UAM; instalará la versión del UAM adecuada para el cliente en cuestión.

Si se desea instalar el UAM en varias máquinas, puede resultar más sencillo copiar el UAM adecuado en las máquinas de destino en lugar de iniciar una sesión desde cada estación de trabajo. Este proceso es un poco distinto del que se acaba de describir:

1. Hay que averiguar la versión del cliente AppleShare que tiene la máquina de destino. Hay que abrir la carpeta del Sistema, ir a la subcarpeta Extensiones, seleccionar la extensión AppleShare y escoger Obtener información del menú Archivo en el Finder para obtener su versión.

2. Hay que hallar la carpeta correspondiente en el Volumen UAM de Microsoft: bien MS UAM para AppleShare 3.8, bien MS UAM para AppleShare 3.6. Al abrirla se hallará una subcarpeta


Capítulo 19

denominada Carpeta AppleShare. 3. Hay que examinar la carpeta del Sistema de la máquina de destino. Si no hay allí ningún

AppleShare, hay que arrastrar la carpeta AppleShare hallada en el Volumen UAM de Microsoft en el paso 2 hasta la carpeta del Sistema. Si la carpeta se halla a11í, hay que abrir la carpeta AppleShare del Volumen UAM de Microsoft y arrastrar la extensión MS UAM 5.0 a la carpeta AppleShare del sistema de destino.

Una vez instalado el UAM de Microsoft, el proceso de inicio de sesión para los clientes Mac OS será ligeramente diferente del habitual. El proceso normal es el siguiente: el usuario escoge una zona y un servidor en el Selector, pulsa Aceptar y rellena el cuadro de diálogo de inicio de sesión de AppleShare. Cuando hay instalados varios UAM -como ocurre una vez completado el procedimiento anterior-, la pulsación de OK en el Selector genera un cuadro de diálogo que muestra los UAMs disponibles. Hay que enseñar a los usuarios a utilizar el UAM Microsoft Authentication 5.0.

Configuración de las opciones FSM

Aparte de sus usos evidentes, el complemento Carpetas compartidas también permite configurar algunos parámetros FSM útiles, incluidos el mensaje que ven los usuarios cuando inician una sesión, los tipos de autenticación que acepta el servidor y el número de usuarios que pueden conectarse de manera simultánea. Para llegar a estas opciones, hay que abrir el complemento Carpetas Compartidas, pulsar Carpetas compartidas con el botón derecho del ratón y escoger Configurar servidor de archivos para Macintosh. Se podrá ver la ficha Configuración de la ventana Propiedades de Servidor de archivos para Macintosh. Con esta ficha se pueden llevar a cabo cuatro tareas útiles:

● Cambiar el nombre que presenta el servidor FSM a los clientes AppleTalk proporcionando un nombre para el campo Nombre del servidor para estaciones de trabajo con AppleTalk. Esto no tiene ningún efecto sobre el modo en que la computadora aparece en Active Directory, pero puede presentar un nombre agradable a los usuarios de Macintosh si se utilizan nombres generados por las máquinas.

● Proporcionar un mensaje de inicio de sesión que se les aparezca a los usuarios de Macintosh cuando inicien una sesión. Puede tratarse de un mensaje de advertencia, de un anuncio sobre tareas de mantenimiento futuras o lo que quiera que se desee presentar a los usuarios.

● Controlar algunos aspectos de seguridad del modo en que los clientes se comunican con el servidor:

❍ La casilla de verificación Permitir guardar contraseñas a estaciones de trabajo determina si los usuarios pueden indicarles a sus computadoras que guarden las credenciales de las cuentas. Permitirlo hace que las cosas resulten más sencillas para los usuarios finales, pero menos seguras:

❍ El cuadro de lista Habilitar autenticación permite escoger los tipos de autenticación que se desea que acepte el servidor. El valor predeterminado es permitir autenticación de texto claro de Apple o cifrada de Microsoft; también se puede escoger aceptar únicamente autenticación de Microsoft, sólo texto claro de Apple o autenticación cifrada de Apple, o únicamente autenticación cifrada de Apple y de Microsoft. Se recomienda esta última


Capítulo 19

opción, ya que permite a los clientes Mac OS modernos iniciar una sesión de manera segura tanto si utilizan Microsoft UAM como si no.

● Definir el número de usuarios que pueden conectarse al servidor FSM de manera concurrente. Normalmente, FSM permite un número ilimitado de conexiones AppleTalk a los volúmenes con acceso a Macintosh, pero se puede reducir esa cifra seleccionando Limitado a y escribiendo en el cuadro un límite de conexiones.

Archivos compartidos con FSM

Una vez instalado y configurado FSM, no se puede hacer nada con él hasta que se haya creado algún volumen con acceso a Macintosh. El proceso general que hay que seguir viene a ser el siguiente:

● Crear el volumen con acceso a Macintosh al que se desea que los usuarios tengan acceso. ● Dar al volumen con acceso a Macintosh y a los elementos que contiene los permisos

correspondientes (teniendo en cuenta que los permisos para Macintosh y para Windows 2000 son muy distintos entre sí).

Creación de volúmenes con acceso a Macintosh

Windows 2000 ofrece dos maneras diferentes de crear volúmenes con acceso a Macintosh nuevos. La primera: se puede utilizar el Asistente para crear carpetas compartidas para crear una nueva unidad compartida de Windows, lo que la hace visible a los clientes de Macintosh (o de NetWare) al crearla. De manera alternativa, se puede crear un volumen con acceso a Macintosh para una unidad compartida de Windows ya existente utilizando el asistente para crear una nueva unidad compartida exclusiva de Macintosh que apunte al mismo elemento.

Para iniciar el Asistente para crear carpeta compartida, hay que abrir el complemento Carpetas compartidas, pulsar Recursos compartidos con el botón derecho del ratón en el árbol Carpetas compartidas y escoger Nuevo recurso compartido de archivo. Obsérvese que la casilla de verificación Apple Macintosh ya no se halla atenuada; para crear un nuevo volumen con acceso a Macintosh sobre la nueva unidad compartida, basta con seleccionar esa casilla. De manera opcional, se puede editar el nombre de la unidad compartida visible para Macintosh del campo Nombre del recurso de Macintosh, pero el Asistente proporcionará un nombre predeterminado razonable.

Existe un problema con este proceso. No se puede crear un volumen con acceso a Macintosh dentro de otro. Por ejemplo, supóngase que se crean una unidad compartida y un volumen con acceso a Macintosh en la raíz de un volumen NTFS de la unidad F. Se puede crear una unidad compartida de Windows en F:\Descargas, pero no se puede crear a11í ningún volumen con acceso a Macintosh, ya que no pueden anidarse. Por este motivo, Microsoft recomienda no crear volúmenes con acceso a Macintosh en el nivel raíz de las unidades; en lugar de eso, hay que crearlos en la carpeta situada a un nivel más profundo de las que engloban todos los elementos a los que se desea tener acceso.


Capítulo 19

A1 pulsar Siguiente en el Asistente se puede ver la ventana estándar para la selección de los permisos de las unidades compartidas. Los permisos predeterminados de las unidades compartidas nuevas resultan algo intranquilizadores: si se crea una unidad compartida combinada de volumen con acceso a Macintosh y de Windows, el grupo Todos obtiene un control completo sobre ella, y, si se crea una unidad compartida exclusiva para volumen con acceso a Macintosh, todos los usuarios de Mac OS obtienen el equivalente para Macintosh. Lo normal es desear restringir un poco más las cosas.

Asignación de seguridad y de permisos

Lo primero que hay que comprender del tratamiento de los permisos por FSM es esto: Mac OS sólo soporta controles de acceso en las carpetas, no en los archivos. FSM realiza una buena labor general de traducción entre los permisos de Windows 2000 y los de Mac OS, pero no puede hacer nada para superar esta limitación. En su lugar, FSM aplica de manera automática los permisos de la carpeta padre a sus archivos hijo y subcarpetas.

Los usuarios pueden asignar permisos a cada uno de los archivos de una carpeta, pero Mac OS no los respetará. Esto echa por tierra todos los objetivos de la seguridad en el nivel de archivos, por lo que FSM la sustituye mediante un truco sutil y poco elegante pero útil. Los permisos en el nivel de los archivos sólo se aplican si resultan más restrictivos que los de la carpeta que los alberga. Por ejemplo, supóngase que se asignan derechos de control total al grupo Todos para un volumen con acceso a Macintosh denominado Contratos. Posteriormente se cambian los permisos para un archivo, Trato-grande.doc, de modo que Todos tenga los permisos Denegar: escribir y Permitir: leer sobre ese archivo. Un usuarios de Macintosh que monte ese volumen con acceso a Macintosh podrá abrir la carpeta y el archivo. En lo relativo a Mac OS, el usuario tendrá acceso pleno al archivo, pero el servidor no atenderá ninguna solicitud de escritura: si se abre el archivo, se edita en Microsoft Word y se intenta guardar, se recibirá un mensaje de error (el servidor no permite tener acceso de escritura al archivo).

Lo siguiente que hay que comprender es quién tiene acceso de manera predeterminada. Como ya se ha mencionado, al crear un nuevo volumen con acceso a Macintosh el valor predeterminado es dar al grupo Todos permiso de control total para todo el volumen. Los miembros de los grupos Administradores y Operadores del servidor pueden administrar el propio servicio FSM, y los usuarios con privilegios de administrador para el servidor siempre tienen control total de todos los archivos de los volúmenes con acceso a Macintosh de ese servidor.

Permisos de Macintosh y de NTFS

El esquema de permisos de Apple agrupa los datos de los usuarios en tres categorías: datos privados (sólo puede utilizarlos su propietario), datos del grupo (sólo pueden utilizarlos los miembros del mismo grupo) y datos públicos (pueden utilizarlos todo el mundo). Aunque esto resulte conceptualmente más sencillo de comprender que el esquema de permisos de Windows 2000, también es mucho menos flexible. En Mac OS sólo se pueden asignar permisos para los objetos utilizando estas tres categorías; no cabe la posibilidad de hacer cosas como asignar acceso a un solo archivo de una carpeta a varios grupos


Capítulo 19

de trabajo. Una característica positiva de este enfoque es que no hace falta que el propietario sea miembro del grupo que tiene los permisos para la carpeta.

Otra diferencia es que Windows 2000 asigna de manera automática los permisos por herencia (al menos cuando se ha seleccionado la casilla de verificación Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto, lo que es el valor predeterminado); Mac OS permite a las carpetas heredar los permisos en función de la voluntad del propietario. Cada carpeta de una jerarquía puede tener permisos diferentes. Por ejemplo, resulta frecuente conceder a los usuarios acceso sólo de lectura a la raíz de un disco compartido y concederles permiso de lectura y escritura para las carpetas a las que necesitan tener acceso.

La tercera diferencia principal entre los dos sistemas, y quizá la más importante, es el modo en que se comparta el grupo Todos. En Windows 2000 los permisos concedidos al grupo Todos no anulan los permisos asignados a individuos o a grupos concretos, pero en Mac OS sí lo hacen. Esto significa que hay que ser muy cuidadoso con la asignación de permisos al grupo Todos en la parte de Mac OS, ya que puede que no se comporten como se espera.

Los propios permisos Macintosh son también ligeramente diferentes de los de Windows 2000. Los usuarios de Mac OS pueden asignar un total de cinco permisos a las carpetas que poseen:

● El permiso No cambiar de nombre, mover o eliminar este elemento se aplica a una carpeta; cuando este permiso es efectivo, los usuarios no pueden emprender esas acciones con la carpeta, aunque puedan modificar los archivos o las subcarpetas que contenga.

● El permiso Ninguno impide que los usuarios hagan algo con una carpeta. ● El permiso Leer y escribir concede a los usuarios el equivalente del permiso Control total de

Windows 2000; pueden mover, eliminar, crear, abrir o cambiar el nombre de los archivos de la carpeta.

● El permiso Sólo leer permite a los usuarios ver y abrir las carpetas y los archivos de la carpeta, pero no pueden realizar ningún cambio.

● El permiso Sólo escribir permite a los usuarios crear elementos nuevos en una carpeta, pero no abrir la carpeta o elementos de su interior. Apple también denomina a este permiso « permiso papelera> .

Hay que establecer la relación entre estos permisos y los de Windows 2000. El permiso Leer de Windows 2000 equivale a los permisos Ver archivos y Ver carpetas de la parte Macintosh. Los permisos Escribir y Eliminar de Windows 2000 son equivalentes al permiso Hacer cambios de Macintosh. Estas equivalencias son bidireccionales; si un usuario de Macintosh concede al grupo Todos los permisos Ver archivos y Ver carpetas para un volumen con acceso a Macintosh, equivale a conceder al grupo Todos de Windows 2000 el permiso Leer.

Grupos primarios


Capítulo 19

En Windows 2000 se pueden conceder permisos a un número arbitrario de grupos; cualquier objeto puede tener asignado un número virtualmente ilimitado de permisos diferentes. En la parte Macintosh, sin embargo, cada objeto sólo puede tener asignado un conjunto de grupos. FSM salva este foso conceptual designando un grupo de Windows 2000 como grupo primario del objeto. Aunque puede que otros grupos tengan permisos que puedan utilizar desde los clientes Windows, sólo el grupo primario tiene derechos de acceso en la parte Macintosh, utilizando el permiso Usuario/Grupo que utiliza Mac OS. El grupo primario se establece definiendo el grupo que tiene permisos para la carpeta en el servidor de Windows 2000.

Autorización de acceso al servidor como invitado

Aunque el acceso anónimo constituye la norma en los servidores web, no siempre resulta deseable en los servidores de archivos, de impresión o de aplicaciones. Hablando con rigor, la cuenta Invitado no es anónima, pero a efectos prácticos no ofrece los mismos lazos entre un nombre de cuenta conocido y una persona que suelen ofrecer las cuentas normales.

Si se desea permitir a los invitados el acceso a los volúmenes FSM, se puede hacer de dos maneras: obligando a los clientes Mac OS a utilizar la cuenta Invitado de Windows 2000 a obligándolos a utilizar la cuenta Invitado de Mac OS, que utiliza la cuenta Invitado de Windows 2000 del servidor. ¿Qué enfoque es mejor? La característica Invitado de Mac OS permite a los usuarios pulsar el botón Invitado del Selector a iniciar una sesión sin proporcionar un nombre de cuenta ni una contraseña, mientras que la cuenta de Windows 2000 exige que se difunda la contraseña de la cuenta Invitado. Dado que no es probable que se desee que nadie más que los usuarios de Mac OS utilice la cuenta Invitado de Windows 2000, la cuenta Invitado de Mac OS es la mejor solución para la mayor parte de las aplicaciones. Independientemente del enfoque adoptado, hay que asegurarse de definir los permisos adecuados para los volúmenes con acceso a Macintosh, de modo que los invitados sólo puedan ver y modificar lo que así se desee.

Independientemente de si se escoge la cuenta Invitado de Macintosh o la de Windows 2000, hay que llevar a cabo algunas labores previas para hacer que funcione el acceso para invitados:

1. Hay que definir los permisos adecuados para los archivos y carpetas del volumen con acceso a Macintosh. En concreto, hay que asegurarse de que se le deniega a la cuenta Invitado de Windows 2000 el acceso a cualquier archivo o carpeta al que no se desee que los invitados tengan acceso. Se recomienda hacer esto en primer lugar para poder comprobar que los permisos son correctos antes de abrir el servidor a los usuarios.

2. Hay que activar la cuenta Invitado de Windows 2000. La cuenta activada dependerá de los invitados a los que se les desee conceder el acceso; se puede activar una cuenta de invitados para el dominio o utilizar la cuenta intrínseca del propio servidor FSM si no es un controlador de dominio. Se recomienda activar la cuenta de invitados intrínseca del servidor y limitar su acceso a otros recursos del sistema mediante un complemento.


Capítulo 19

Si se utiliza la cuenta Invitado de Mac OS, hay que abrir la ventana Propiedades del volumen con acceso a Macintosh al que se desee que tengan acceso los invitados y asegurarse de que se ha seleccionado la casilla de verificación Los invitados pueden usar este volumen. Este valor no tiene ningún efecto si se obliga a los usuarios a iniciar la sesión con la cuenta Invitado de Windows 2000.

Se pueden crear volúmenes que no pueda ver nadie salvo su propietario. Se trata de una buena manera de permitir a los usuarios que configuren unidades compartidas, de modo que puedan tener acceso a sus archivos desde las máquinas Macintosh o Windows sin permitir el acceso de nadie más. Resulta especialmente práctico para los administradores, dado que pueden utilizar esta característica para configurar una unidad compartida de herramientas útiles o material de referencia que sea accesible -para ellos- desde cualquier punto de la red.

Para crear un volumen privado, hay que definir los permisos para Macintosh de modo que sólo tenga acceso el propietario; hay que definir los permisos Usuario/Grupo y Todos como Ninguno. Los usuarios verán el volumen con acceso a Macintosh en la lista de unidades compartidas disponibles, pero el volumen privado estará atenuado y los usuarios no podrán montarlo a menos que tengan el nombre y la contraseña del usuario.

Control de las características de seguridad exclusivas de Mac OS

El protocolo AppleShare proporciona algunas características de seguridad adicionales que pueden definirse por unidad compartida. Se tiene acceso a todas estas características mediante la ventana Propiedades de cualquier volumen con acceso a Macintosh. Para mostrar esta ventana hay que pulsar el volumen en cuestión con el botón derecho del ratón en el complemento Carpetas compartidas y escoger Propiedades. La zona interesante es el área Seguridad de volumen SFM (Services for Macintosh, Servicios para Macintosh), que no se halla presente en la ventana Propiedades de las unidades compartidas con formato Windows.

Contraseñas de los volúmenes: El campo Contraseña del área Seguridad de volumen SFM permite asignar una contraseña que distinga entre mayúsculas y minúsculas a un volumen dado. Los usuarios de Mac OS tienen que proporcionar esa contraseña y tener permisos de acceso para los elementos que deseen utilizar; los usuarios de Windows no necesitan la contraseña del volumen. La contraseña del volumen proporciona un nivel extra de seguridad, porque los usuarios que no tengan la contraseña no podrán conectarse con el volumen. Si no está definida la contraseña de volumen, los usuarios pueden conectarse con el servidor y ver los elementos para los que disponen de los permisos Ver carpetas y Ver archivos, aunque no puedan abrirlos ni modificarlos.

Algunas versiones anteriores de Mac OS no permiten a los usuarios guardar las contraseñas de volumen para que los volúmenes puedan montarse de manera automática; no obstante, todas las versiones de Mac OS desde la versión 8 (hacia 1996) lo permiten, por lo que se puede confiar en las contraseñas de volumen para añadir mucha seguridad a


Capítulo 19

los usuarios que las graben.

Volúmenes de sólo lectura: Al montar un CD-ROM estándar en el sistema sigue siendo de sólo lectura, independientemente de los permisos que se asignen a los archivos y carpetas que contenga. FSM ofrece una opción parecida: al seleccionar la casilla de verificación Este volumen es de sólo lectura en el área Seguridad de volumen SFM se puede marcar un volumen como de sólo lectura. Este valor anula todos los permisos que pueda tener un usuario de Mac OS. Cuando este valor tiene efecto, Mac OS trata todo el volumen básicamente como si estuviera bloqueado.

Autorización de los invitados en Macintosh OS: Como ya se ha mencionado, la cuenta Invitado de Mac OS y la cuenta Invitado intrínseca de Windows 2000 son dos entidades muy diferentes. Independientemente de los permisos concedidos (si es que hay alguno) a la cuenta Invitado de Windows 2000, se puede seguir decidiendo poner los MAV a disposición de los invitados de Mac OS seleccionando la casilla de verificación Los invitados pueden usar este volumen, en el área Seguridad de volumen SFM de la ventana Propiedades del volumen con acceso a Macintosh. No obstante, si se desactiva la cuenta Invitado de Windows 2000, la selección de esta casilla de verificación no tiene ningún efecto, ya que, cuando un usuario de Mac OS decide iniciar una sesión como invitado de Mac OS, FSM asigna esa solicitud a la cuenta Invitado de Windows 2000. Dado que la cuenta Invitado está desactivada de manera predeterminada en Windows 2000 Server, Advanced Server y Datacenter Server, los invitados de Mac OS no pueden montar los volúmenes con acceso a Macintosh a menos que se emprenda alguna acción para reactivar la cuenta Invitado.

Gestión de los códigos tipo y creador

FSM se encarga de la traducción de las extensiones tipo Windows 2000 y los códigos tipo y creador de Mac OS. Esto lo hace utilizando un conjunto de valores del registro (que se guardan en HKLM\System\CurrentControlSet\Services\MacFile\ parameters\Type Creators) que contiene los códigos tipo y creador que se hayan definido, y una lista distinta (en HKLM\System\CurrentControlSet\Services\MacFile\Parameters\Extensions) que vincula las extensiones con las entradas de la lista tipo y creador. FSM utiliza estas asignaciones para establecer los códigos tipo y creador de los archivos, de modo que los clientes Mac OS puedan ver los iconos adecuados y obtener el comportamiento esperado cuando trabajan con los archivos de los volúmenes con acceso a Macintosh. Los archivos con extensiones que no están asignadas en estas bases de datos a pares tipo-creador reciben un icono y un creador genéricos que indican a Mac OS que son archivos de texto sencillo. Puede que no sea esto lo que se desea para la mayor parte de los archivos.

FSM incluye un amplio conjunto de asignaciones, pero hay tres circunstancias en las que puede que haga falta modificarlas. La primera es que alguna de las asignaciones sea antigua -Microsoft incluye asignaciones para programas como MORE de Symantec y Lotus 1-2-3 que no se han vendido para Macintosh desde hace unos cinco años- y puede que haga falta actualizarlas. Puede que se halle también que no se está de acuerdo con la asignación predeterminada para un tipo de archivo en concreto. Por ejemplo, Stufflt (el equivalente para Mac OS de WinZip) tiene dos versiones: una completa y una versión


Capítulo 19

que sólo descomprime denominada Stufflt Expander. La asignación predeterminada de FSM vincula los archivos de StuffIt con la versión completa, de la que no dispone la mayor parte de los usuarios, por lo que parece más lógico vincular esa extensión con Stufflt Expander. La última situación en la que puede que haga falta editar estas asignaciones es que haga falta añadir un tipo de archivo del que FSM no tenga noticia. Dado que la versión que se distribuye no conoce varias extensiones de use muy frecuente (entre ellas .BMP, .GIF, .JPG, .PNG, .HTM y .JS), puede que éste sea el problema que surja con mayor frecuencia.

Para editar estas asociaciones hay que utilizar la ficha Asociación de archivos de la ventana Propiedades de Servidor de archivos para Macintosh. La disposición de esta ficha resulta ligeramente confusa hasta que se comprende el modo en que trabaja. La parte superior de la ficha (incluidos el cuadro Archivos con extensión de MS-DOS y el botón Asociar) es donde se escoge la extensión para la que se desea crear la asociación. El área Con el creador y tipo de documentos de Macintosh, permite ver y editar los tipos y creadores de Mac OS disponibles para la creación de asociaciones.

El proceso completo resulta sencillo, pero hay algunas variaciones en el mismo en función del motivo de la edición de las asociaciones. El primer paso es añadir un nuevo par tipo-creador; hay que hacerlo al añadir una extensión nueva o al asignar o revisar una existente (dado que no hay manera de editar los pares tipo-creador una vez introducidos en la base de datos). Para añadir un par nuevo, hay que pulsar el botón Agregar y proporcionar el creador, el tipo de archivo y la descripción que se desee utilizar. Se puede seleccionar un creador o tipo de archivo o introducir uno nuevo. Si hay que buscar el tipo o el creador de un archivo, hay que hacerlo en la parte Macintosh, utilizando una utilidad como ResEdit o para obtener más información del archivo. Una vez introducida la información, el nuevo par tipo-creador aparecerá en la lista.

Una vez añadido el nuevo par tipo-creador se puede vincular a una extensión existente o añadir una nueva extensión y vincularle la información de Mac OS. Para vincular una extensión existente con un par tipo-creador, hay que seleccionar el par de la lista y luego seleccionar la extensión correspondiente en la lista Archivos con extensión de MS-DOS y pulsar el botón Asociar. Para añadir una extensión nueva, hay que escribirla en el cuadro Archivos con extensión de MS-DOS y pulsar Asociar para crearla y vincularla con la combinación tipo-creador seleccionada.

Los usuarios de Mac OS conectados a un volumen con acceso a Macintosh no verán la información de asociación actualizada hasta que cierren la sesión y vuelvan a montar el volumen.

Para eliminar una asociación, hay que seleccionar el elemento tipo-creador de la lista y pulsar el botón Eliminar. FSM pedirá la confirmación de la orden, dado que la eliminación de un par tipo-creador elimina del registro el par y todas las extensiones asociadas.

Envío de mensajes a los usuarios


Capítulo 19

A veces hay que enviar un mensaje a los usuarios para comunicarles algo importante, tanto que no se desea esperar a que salga por correo electrónico. Puede que se les comunique que algo está cerrado (o se va a cerrar) para mantenimiento, que el edificio se halla en llamas o que Michael Jordan vuelve de su retiro. En Windows 2000 se utiliza el Administrador de servicios de Terminal Server para enviar mensajes a los usuarios conectados a un servidor; para los clientes Mac OS, se utiliza la ficha Sesiones de la ventana Propiedades de Servidor de archivos para Macintosh. Enviar un mensaje es algo sencillísimo: se escribe en el cuadro Mensaje y se pulsa el botón Enviar. Todos los usuarios de Mac OS que tienen abierta una sesión en el servidor cuando se envía un mensaje ven una ventana desplegable con el mensaje en su interior.

La utilidad MacFile

Si se prefiere utilizar una utilidad de línea de comandos para gestionar los servidores, Windows 2000 dispone de una versión actualizada de la utilidad Macfile incluida con Windows NT 4. Macfile proporciona una interfaz de línea de comandos que permite gestionar los servidores FSM, los volúmenes con acceso a Macintosh, los usuarios y los archivos desde una interfaz de comandos de Windows 2000. Al igual que el venerable comando Net User, Macfile se hace querer una vez que uno se acostumbra a él, ya que aligera el trabajo de muchas tareas administrativas frecuentes. Macfile tienerealmente cuatro funciones diferentes:

● Macfile Server permite gestionar parámetros relacionados con los servidores, incluido el número de sesiones que soportará el servidor, si se permite a los invitados iniciar una sesión y el mensaje que se les aparece a los usuarios al iniciar una sesión.

● Macfile Volume permite crear y eliminar volúmenes con acceso a Macintosh y definir las propiedades de los ya existentes en el servidor.

● MacFile Directory permite definir los permisos en el volumen con acceso a Macintosh para los propietarios, los usuarios y los grupos utilizando especificadores de tipo Macintosh.

● MacFile Forkize es lo diferente: se utiliza para manipular las bifurcaciones de datos y de recursos de los archivos Macintosh de los volúmenes con acceso a Macintosh. También tienealgunos otros modificadores que permiten cambiar el tipo y el creador de un archivo o de un grupo de archivos.

Macfile Server

La orden Macfile Server permite trabajar con los mismos parámetros que la ficha Configuración de la ventana Propiedades de Servidor de archivos para Macintosh. A continuación se muestra la versión completa de este comando:

MACFILE SERVER [/SERVER:\\nombre de la computadora] [/MAXSESSIONS:número | UNLIMITED] [/LOGINMESSAGE:mensaje] [/GUESTSALLOWED: TRUE | FALSE)


Capítulo 19

● El indicador /SERVER permite especificar el servidor al que se aplican los cambios. Si se deja desactivado, FSM da por supuesto que se modifican las opciones del servidor local.

● El modificador /MAXSESSIONS permite especificar un límite para el número de sesiones simultáneas que se desea que soporte el servidor.

● El modificador /LOGINMESSAGE permite modificar el mensaje de inicio de sesión que se muestra a los usuarios. Hay que escribir el mensaje entre comillas dobles y limitarlo a menos de 255 caracteres.

● El modificador /GUESTSALLOWED permite especificar si el servidor acepta conexiones de invitados.

Macfile Volume

Si se desea añadir, eliminar o reconfigurar volúmenes con acceso a Macintosh, el comando Macfile Volume es la herramienta que hay que utilizar. Este comando tiene, en realidad, tres modos diferentes, cada uno de los cuales se activa por su propio modificador del comando.

El comando Macfile Volume /Remove

La variante menos compleja de Macfile Volume es la que permite eliminar los volúmenes con acceso a Macintosh existentes. Esto no resulta sorprendente, ya que la eliminación de un volumen sólo necesita que se especifique el volumen con acceso a Macintosh que se desea eliminar (y de manera opcional el servidor que lo alberga). A continuación se muestra el aspecto del comando:

MACFILE VOLUME /REMOVE [/SERVER:\\nombre de la computadora] /NAME : nombre del volumen

● El modificador /SERVER permite proporcionar el nombre del servidor FSM que alberga el volumen que se desea eliminar. Si no se especifica ningún nombre, el comando da por supuesto que se eliminará un volumen con acceso a Macintosh del servidor local.

● El modificador /NAME es la manera de especificar el volumen con acceso a Macintosh que se desea eliminar. Para eliminar un volumen cuyo nombre contenga signos de puntuación o espacios, hay que encerrarlo entre comillas dobles.

El comando Macfile Volume /Add

Añadir un nuevo volumen resulta bastante sencillo. Cuando se crea un volumen con acceso a Macintosh nuevo utilizando el Asistente para carpeta compartida los únicos parámetros exigidos son el nombre que se desea que tenga el volumen y el camino a la carpeta en la que se ubica (y pasa lo mismo con Macfile Volume /Add). La versión completa de la orden se muestra a continuación. (Obsérvese que los modificadores /SERVER y /NAME trabajan igual que con Macfile Volume /Remove.)


Capítulo 19

MACFILE VOLUME /ADD [/SERVER:\\nombre de la computadora] /NAME:nombre del volumen /PATH:camino hasta el archivo [/READONLY:TRUE|FALSE] [/GUESTSALLOWED:TRUE|FALSE] [/ PASSWORD: contraseña] [/MAXUSERS:número|UNLIMITED]

● /PATH especifica todo el camino, incluida la letra de la unidad, hasta la carpeta que se desea compartir como volumen con acceso a Macintosh. Esta carpeta no puede hallarse en el interior de una carpeta o de un volumen que ya se comparta como volumen con acceso a Macintosh.

● /READONLY controla si FSM trata este volumen como de sólo lectura. Esto tiene el mismo efecto que la casilla de verificación Este volumen es de sólo lectura de la ventana Propiedades del volumen con acceso a Macintosh; al igual que ocurre con esa casilla de verificación, el valor predeterminado de este modificador es FALSE.

● /GUESTSALLOWED controla si los invitados pueden iniciar una sesión en el volumen con acceso a Macintosh. Es idéntico a la casilla de verificación Los invitados pueden usar este volumen; su valor predeterminado es TRUE.

● /PASSWORD especifica una contraseña para el volumen. De manera predeterminada no se asigna ninguna contraseña al crear un volumen.

● /MAXUSERS determina el número máximo de usuarios a los que se les permite utilizar el volumen con acceso a Macintosh simultáneamente. El valor predeterminado no impone ningún límite (al igual que ocurre con la opción Máximo permitido de la ventana Propiedades del volumen con acceso a Macintosh), pero aquí se puede especificar un límite numérico.

El comando Macfile Volume/Set

El comando /Set de Macfile Volume permite modificar los valores proporcionados al crear el volumen con acceso a Macintosh; se puede cambiar su condición de sólo lectura, especificar si los invitados pueden utilizarlo, definir una contraseña para el volumen a indicar el número de usuarios que lo pueden utilizar. Su sintaxis es muy parecida a la utilizada por el modificador /Add:

MACFILE VOLUME /SET [/SERVER:\\nombre de la computadora] /NAME:nombre del volumen [/READONLY:TRUE|FALSE] [/GUESTSALLOWED:TRUEIFALSE] [/ PASSWORD: contraseña] [/MAXUSERS:número|UNLIMITED]

Macfile Directory


Capítulo 19

El nombre Macfile Directory puede inducir a error; puede que hubiera sido más acertado denominarlo Macfile Permissions (Permisos Macfile), dado que este comando se utiliza para asignar permisos a los directorios de los volúmenes con acceso a Macintosh (o a los directorios que los contienen). Se puede asignar de manera individualizada un propietario o un grupo o definir los permisos para el propietario o para el grupo. El comando se muestra a continuación. (Los modificadores /SERVER y /PATH se comportan como ya se ha estudiado.)

MACFILE DIRECTORY [/SERVER:\\nombre de la computadora] /PATH:camino hasta el directorio [/OWNER:nombre del propietario] [/GROUP:nombre del grupo] [/PERMISSIONS:máscara de permisos]

● El modificador /OWNER especifica la cuenta de Windows 2000 que posee el volumen con acceso a Macintosh. Este cambio se aplica al directorio actual del volumen y se refleja también en el apartado para compartir de la ventana de información del sistema operativo Mac OS del volumen (tanto el cliente Mac OS como el servidor FSM ven el cambio de propiedad).

● El modificador /GROUP cambia el grupo principal que tiene los permisos de Mac OS para el volumen con acceso a Macintosh. Dado que los clientes de Mac OS sólo pueden resolver los permisos para una entrada de grupo, hay que escoger el permiso de grupo de Windows 2000 que vaya a ser el principal. Nombre del grupo puede ser el nombre de cualquier grupo válido de Windows 2000, tanto local como guardado en el directorio de dominio.

● El modificador /PERMISSIONS acepta como argumento una máscara de bits de once cifras que especifica, bit a bit, los permisos que se desea aplicar al volumen con acceso a Macintosh en cuestión.

Con una sola excepción (la activación del bit 11 de la máscara del modificador /PERMISSIONS), ninguno de estos cambios se aplica de manera recursiva.

Macfile Forkize

El comando restante, Macfile Forkize, se asemeja a una navaja suiza: tiene varias funciones útiles que no suelen hacer falta, pero que a veces resultan realmente prácticas. Macfile Forkize se utiliza para dos cosas: cambiar el código tipo o creador de un archivo o combinar las bifurcaciones de recursos y de datos de un archivo. A continuación se muestra la sintaxis del comando:

MACFILE FORKIZE /TARGETFILE:camino hasta el archivo [/SERVER:\\nombre de la computadora] [/TYPE: código tipo] [/CREATOR:código creador]


Capítulo 19

[/DATAFORK:camino hasta el archivo] [/RESOURCEFORK:camino hasta el archivo]

● El modificador /TARGETFILE designa el camino completo hasta el archivo al que se desea aplicar forkize. Si se combinan una bifurcación de datos y una de recursos, /TARGETFILE especifica el lugar al que va el archivo resultante. Si se cambia el tipo o el creador, especifica el lugar en que se halla el archivo que se va a modificar. Como siempre, los caminos que contienen caracteres especiales o espacios deben escribirse entre comillas dobles.

● Los modificadores /TYPE y /CREATOR permiten especificar los códigos tipo y creador de cuatro caracteres de un archivo concreto. Por ejemplo, para modificar un solo archivo de modo que su tipo sea TEXT y su código creador coincida con el de Macromedia Dreamweaver, hay que utilizar este comando:macfile forkize /targetfile:f:\compartida\html\bienvenida.htm / type:TEXT /creator:DmWrSe trata de una manera rápida de componer los tipos y creadores de los archivos existentes después de haber cambiado las asociaciones.

● Los modificadores /DATAFORK y /RESOURCEFORK especifican las ubicaciones de los archivos cuyas bifurcaciones se desea unir. FSM no realiza ninguna comprobación relativa a la racionalidad de la solicitud, por lo que no hay nada que impida unir la bifurcación de recursos de Microsoft Word 98 para Macintosh con la de datos de un documento (por ejemplo).

Impresoras compartidas con PSM

PSM funciona de dos modos diferentes pero relacionados. En primer lugar, permite a los usuarios de Mac OS imprimir en cualquier impresora compartida por el servidor de Windows 2000 PSM. En lo relativo a los usuarios de Macintosh, cualquier impresora (independientemente de sus posibilidades intrínsecas) compartida por el servidor PSM aparece como una impresora PostScript nivel 1 de 300 puntos por pulgada. Afortunadamente, el servicio PSM también funciona al revés: permite capturar impresoras de red AppleTalk para que los usuarios de Windows puedan imprimir en colas de Windows 2000 Server y hacer que sus trabajos vayan a las impresoras AppleTalk, sin instalar AppleTalk en los propios clientes.

Antes de instalar PSM

Como ya se ha mencionado en el apartado «Configuración de los servicios de archivos y de impresión», el mejor modo de instalar PSM es instalar, configurar y probar en primer lugar el protocolo AppleTalk. Una vez seguros de que funciona correctamente, el paso siguiente es crear una cuenta de usuario para el servicio PSM. FSM no necesita una cuenta propia, dado que los permisos ya están definidos en los archivos y en las carpetas que pone a disposición de los usuarios de Macintosh. Sin embargo, para controlar la impresión hace falta tener una cuenta diferente a la que se le puedan asignar permisos. Hay que crear un nuevo usuario que se empleará exclusivamente con PSM, y luego hay que seguir el procedimiento siguiente para configurar el servicio con PSM para utilizar esta cuenta en lugar de las


Capítulo 19

credenciales LocalSystem predeterminadas.

1. Hay que abrir el complemento Administración de equipos desde una consola MMC. 2. Hay que pasar a la vista Servicios. 3. Hay que hallar el servicio Servidor de impresión para Macintosh, pulsarlo con el botón derecho

del ratón y escoger Propiedades. 4. En la ventana Propiedades del Servidor de impresión para Macintosh, hay que pulsar la ficha

Iniciar sesión y la opción Esta cuenta. Se activan los controles de la cuenta y de la contraseña. Hay que seleccionar la cuenta PSM creada, escribir su contraseña en el campo correspondiente y pulsar Aceptar.

Impresoras compartidas con usuarios de Macintosh

El primer paso para crear una impresora en la que puedan imprimir los usuarios de Mac OS es crear una impresora compartida, bien creando desde el principio una impresora nueva utilizando el Asistente para agregar impresoras, bien compartiendo una impresora ya existente.

Si se desea compartir una impresora existente que ya está conectada al servidor de Windows 2000, basta con ir a la ficha Compartir de su ventana Propiedades, seleccionar la opción Compartido como y asignarle un nombre a la impresora compartida. Si se crea una impresora nueva, el proceso resulta ligeramente más complicado.

1. Hay que iniciar el Asistente para agregar impresoras pulsando dos veces en el icono Agregar impresora de la carpeta Impresoras. Cuando aparece el asistente, hay que pulsar Siguiente para pasar a la página siguiente.

2. En la siguiente pantalla del asistente, hay que seleccionar la opción Impresora local y, si resulta adecuado, la casilla de verificación Detectar a instalar mi impresora Plug And Play automáticamente. Hay que pulsar Siguiente.

3. En la pantalla Seleccionar el puerto de impresora del Asistente, hay que seleccionar la opción Crear nuevo puerto y, en la lista tipo, Dispositivos de impresión de AppleTalk. Hay que pulsar Siguiente.

4. El asistente despliega un explorador de AppleTalk que funciona de manera muy parecida al explorador estándar Mi Pc al que están habituados todos los usuarios de Windows. Hay que buscar en las zonas de AppleTalk de la red hasta hallar la impresora que se desea utilizar, seleccionarla y pulsar Aceptar en el explorador.

5. Hay que completar el Asistente para agregar impresoras poniéndole nombre a la impresora nueva (utilizando un nombre de menos de 32 caracteres de longitud) y asegurándose de compartir la impresora cuando se pregunte si se desea hacerlo.

Como parte del proceso de configuración, se pueden imponer restricciones en cuanto a las personas autorizadas a utilizar la impresora (con la ficha Seguridad de la ventana Propiedades de la impresora) o en cuanto al momento y el modo de emplearla (con la


Capítulo 19

ficha Avanzadas).

Una vez concluido este proceso, la impresora compartida recién creada queda a disposición de los usuarios de Macintosh en cuanto se interrumpe y reinicia el servicio PSM.

Captura de las impresoras AppleTalk existentes

La captura de una impresora AppleTalk tienedos efectos secundarios. El primero es que los usuarios de Mac OS ya no pueden imprimir directamente en el dispositivo capturado, lo cual es el resultado de la captura. El segundo es que cualquier usuario, de Mac OS o de Windows, del servidor PSM puede imprimir en el dispositivo capturado, siempre que se haya compartido. Para capturar una impresora AppleTalk ya existente, hay que crear antes una impresora compartida para representarla en el servidor de Windows 2000 mediante el procedimiento siguiente:

1. Hay que crear una nueva impresora compartida mediante el Asistente para agregar impresoras. Hay que indicar al asistente que la impresora está conectada localmente.

2. Hay que ir a la ficha Puertos de la ventana Propiedades de la impresora y pulsar el botón Agregar puerto.

3. Cuando aparece el cuadro de diálogo Puertos de impresora, hay que escoger Dispositivos de impresión AppleTalk en la lista Tipos de puerto disponibles y pulsar el botón Puerto nuevo.

4. Aparece el explorador de dispositivos de impresión AppleTalk. Hay que escoger la zona AppleTalk que contiene la impresora que se desea capturar y pulsar Aceptar.

Si se desea liberar una impresora capturada o volver a capturar una que se haya liberado, se puede utilizar la ficha Puertos de la ventana Propiedades de la impresora. Para ello hay que seguir el procedimiento siguiente:

1. Hay que seleccionar la impresora deseada, abrir su ventana Propiedades a ir a la ficha Puertos. 2. En la ficha Puertos hay que pulsar el botón Configurar puerto. 3. Hay que seleccionar o deseleccionar la casilla de verificación Reservar este dispositivo de

impresión AppleTalk. 4. Hay que interrumpir y reanudar el servicio PSM.

Hay que recordar que los dispositivos capturados sólo están disponibles para los usuarios de Windows y de Mac OS que imprimen en la cola correspondiente de Windows 2000 PSM Server; las impresoras AppleTalk no capturadas o liberadas sólo están disponibles para los clientes que utilizan AppleTalk.


Capítulo 19


Capítulo 20

Capítulo 20

Servicios de Terminal Server de Windows se introdujo para Microsoft Windows NT 4 Server con la edición independiente Terminal Server Edition, pero en Microsoft Windows 2000 es un componente integrado en todos los servidores de Windows 2000: tan sólo otro servicio instalable. Servicios de Terminal Server de Windows se puede utilizar como mecanismo para la gestión y el control de los servidores desde cualquier parte de la empresa o aprovechar su capacidad como servidor de aplicaciones para simplificar enormemente la implantación y el mantenimiento de un amplio rango de aplicaciones para una población de usuarios heterogénea.

Conceptos

Servicios de Terminal Server de Windows es un concepto nuevo para muchos administradores de sistemas que esperan que los sistemas sean, básicamente, de un solo usuario. Aporta a Windows capacidad multiusuario verdadera. Los sistemas UNIX han sido, de manera tradicional, principalmente sistemas multiusuario, con un único servidor de gran tamaño que atiende a muchas terminales.

Cada usuario que se conecta a un servidor de Windows 2000 mediante Servicios de Terminal Server de Windows utiliza en realidad los recursos del propio servidor, no los de la estación de trabajo concreta en la que se halla sentado. El usuario no depende de la velocidad de la estación de trabajo, sino que, en realidad, comparte el procesador, la RAM y los discos duros del propio servidor.

Cada usuario obtiene su propia sesión de Servicios de Terminal Server de Windows, y cada sesión está completamente aislada de las demás sesiones del mismo servidor. Un programa que falle en una sesión puede hacer que el usuario de esa sesión tenga un problema, pero ello no afecta a los demás usuarios.

Cada usuario que se conecta a un servidor de Windows 2000 mediante Servicios de Terminal Server de Windows actúa realmente como un terminal de ese servidor. Servicios de Terminal Server de Windows soporta como terminales una amplia variedad de máquinas: desde estaciones con pantalla pero sin disco que ejecutan Microsoft Windows CE completamente en la memoria hasta estaciones de trabajo de Microsoft Windows 95/98 o servidores de Windows 2000. El terminal sólo es responsable de las funciones de la consola: es decir, el teclado, el ratón y la pantalla real. Todo lo demás reside en el servidor y es parte del mismo.

Acceso remoto

Servicios de Terminal Server ofrece la solución ideal para el usuario móvil que necesita poder ejecutar aplicaciones que hacen un uso intensivo de la red o del procesador incluso a través de conexiones de acceso telefónico. Como la máquina local sólo es responsable de la consola real, los requisitos de


Capítulo 20

respuesta y de ancho de banda son sustancialmente menores que a la hora de intentar ejecutar las aplicaciones a través de la línea telefónica.

Gestión centralizada

Como todas las aplicaciones de una sesión de Servicios de Terminal Server de Windows se ejecutan en el servidor, la gestión de las sesiones y de las aplicaciones se simplifica enormemente. Sólo hay que llevar a cabo una vez los cambios en las aplicaciones o en las configuraciones, y todas las sesiones de Servicios de Terminal Server de Windows los ven.

Además, Servicios de Terminal Server de Windows permite a los administradores ver lo que sucede en las sesiones de los usuarios o, incluso, controlarlas directamente. El personal de los servicios de atención al usuario puede ver realmente lo que ve el usuario sin necesidad de desplazarse. Si el usuario está configurado consecuentemente, el personal del servicio de atención al usuario puede compartir el control de la sesión y guiar al usuario en la resolución de problemas complejos.

Al configurarse en el modo de administración remota, Servicios de Terminal Server de Windows puede utilizarse también como herramienta de gestión. Al activarse en este modo los administradores pueden iniciar directamente una sesión en la máquina desde sus computadoras de sobremesa para llevar a cabo el mantenimiento normal del sistema sin tener que desplazarse hasta la consola del servidor. Esto supone un potente añadido al repertorio de los administradores, la activación del control directo de todos los servidores sin necesidad de abandonar la computadora de sobremesa. Puede que cada administrador de sistema active el modo de administración remota de todos sus servidores. La sobrecarga del servidor es mínima en comparación con las ventajas.

Requisitos

Servicios de Terminal Server de Windows puede instalarse en cualquier máquina que soporte Windows 2000 Server. Necesita aproximadamente 14 Mb de espacio adicional de disco duro para albergar los archivos de instalación del cliente, pero no necesita ningún espacio adicional para el sistema operativo. No obstante, los requisitos reales son sustancialmente más elevados para las máquinas que se vayan a utilizar con Servicios de Terminal Server de Windows en modo servidor de aplicaciones. Dado que cada usuario ejecutará sus programas en el propio servidor, hay que determinar exactamente el modo en que trabajarán los usuarios y sus necesidades reales. Cada instalación será diferente, pero se pueden facilitar algunas directrices para ayudar a dimensionar adecuadamente el servidor.

RAM

Cada sesión del servidor de Servicios de Terminal Server de Windows utiliza un mínimo de unos 20 Mb de RAM sólo para el inicio de sesión. A esto hay que añadirle la RAM necesaria para ejecutar los programas que cada sesión inicie. Un usuario normal que utilice Microsoft Outlook, Microsoft Word y Microsoft Excel mientras se conecta a Internet utilizará aproximadamente 40 Mb de RAM, es decir, unos


Capítulo 20

20 Mb más de lo que necesita la propia sesión. Sin embargo, los usuarios avanzados pueden llegar a utilizar fácilmente el doble de memoria, mientras que los desarrolladores y otros usuarios extremos pueden necesitar todavía más.

CPU

La predicción exacta de la potencia de CPU que se necesitará por usuario es difícil, dado que cada usuario tiene un conjunto de aplicaciones diferente. Pero un procesador Pentium II a 400 MHz debería poder soportar entre quince y treinta usuarios, en función del tipo de usuario y suponiendo que se dispone de suficiente RAM como para evitar un exceso de paginación.

La red

El use típico de la red depende del tipo de cliente y de la cantidad de gráficos que se transmitan (hace falta mucha menos anchura de banda para soportar una conexión de 800x600 que para soportar una conexión de 1280x1024), pero la anchura de banda promedio por usuario debe hallarse entre los 2 y los 6 Kbps.

Planificación de la capacidad

Las cifras recién mencionadas deberían ofrecer un punto de partida para la planificación de la implementación de Servicios de Terminal Server, pero la capacidad final que requiere la implementación depende de la situación concreta. Estas cifras sólo deben utilizarse como punto de partida para la planificación. Se debe crear un entorno de prueba que simule la implementación definitiva a menor escala con usuarios y aplicaciones reales para obtener los datos necesarios. Algunos de los factores que desempeñan un papel más importante en los requisitos de la implementación de Servicios de Terminal Server son los siguientes:

● Las aplicaciones que vayan a ejecutar los usuarios, es decir, si utilizan una única aplicación dedicada o una amplia variedad de aplicaciones básicamente estándar.

● Si los usuarios realizan principalmente una única tarea rutinaria o son trabajadores que utilizan las computadoras como herramienta principal.

● Si los usuarios están conectados mediante LAN o constituyen una mezcla de usuarios de WAN, LAN y computadoras portátiles.

Instalación

Para instalar Servicios de Terminal Server de Windows hay que seleccionar la opción Servicios de Terminal Server en el cuadro de diálogo Instalación de Windows 2000 Server durante la instalación inicial de Windows 2000 Server, o de añadir el servicio después de que la instalación de Windows 2000 Server esté completa, utilizando el Asistente para componentes de Windows. Si se decide añadir Servicios de Terminal Server después de la instalación inicial, no obstante, debe hacerse antes de instalar


Capítulo 20

ninguna aplicación en el servidor si se piensa utilizar el servidor como servidor de aplicaciones. Si sólo se instala Servicios de Terminal Server en modo administrativo, el momento de la instalación es menos importante, pero sigue siendo más conveniente añadir Servicios de Terminal Server cuanto antes después de la instalación inicial.

Instalación de Servicios de Terminal Server

Para instalar Servicios de Terminal Server de Windows durante la instalación inicial de Windows 2000 Server, hay que realizar una instalación que no suponga una actualización, a menos que se actualice una instalación de Windows NT 4 Terminal Server Edition. Si se realiza una instalación nueva se tiene la posibilidad de cambiar los componentes de Windows que se instalarán nada más asignarle a la máquina su nombre y su contraseña inicial de Administrador. Hay que seleccionar Servicios de Terminal Server en la lista de componentes. Si la máquina en la que se va a instalar Servicios de Terminal Server va a ser también controladora del dominio también se puede instalar Licencias de Servicios de Terminal Server.

El componente Servicios de Terminal Server de Windows 2000 Server necesita aproximadamente 14 Mb de espacio en el disco duro, pero esto es sólo para los archivos creadores de la instalación cliente. Servicios de Terminal Server en sí no necesita espacio adicional para el sistema operativo. Sin embargo, cada usuario que se conecte mediante Servicios de Terminal Server necesitará un mínimo de 400 Kb de espacio en el disco para su perfil (y muchos de los usuarios necesitarán mucho más espacio) y el espacio de almacenamiento que utilice en el servidor.

Servicios de Terminal Server de Windows puede agregarse después de la instalación inicial de Windows 2000 Server. Se puede utilizar el Asistente para configurar el servidor si se desea o, sencillamente, abrir Agregar o quitar programas en el Panel de control. En cualquier caso, se debe instalar Servicios de Terminal Server de Windows en cuanto resulte práctico tras la instalación de Windows 2000. Para instalar Servicios de Terminal Server utilizando el Panel de control:


Capítulo 20

1. Abrir Agregar o quitar programas en el Panel de control.

2. Pulsar Agregar o quitar componentes de Windows en el panel izquierdo del cuadro de diálogo para abrir el Asistente para componentes de Windows.

3. Seleccionar Servicios de Terminal Server en la lista de componentes de Windows disponibles. No hay que realizar ningún cambio en los demás parámetros de este asistente a menos que se vayan a agregar o quitar otros componentes.

4. También se puede seleccionar Licencias de servicios de Terminal Server, si esta máquina está destinada a ser controladora de dominio. Una vez realizadas las selecciones correspondientes, hay que pulsar Siguiente para seleccionar el modo apropiado de Servicios de Terminal Server: bien Modo de administración remota, bien Modo de servidor de aplicaciones. (Si se optó por instalar Licencias de Servicios de Terminal Server, hay que pulsar Siguiente para mostrar la pantalla Configuración de Licencias de Servicios de Terminal Server; hay que hacer aquí los cambios que se consideren necesarios.) Hay que pulsar Siguiente y Windows 2000 comenzará el proceso de configuración.

5. Se solicitará la inserción del CD-ROM original de Windows 2000 Server. Si los archivos necesarios se hallan en una ubicación diferente, hay que seguir adelante y pulsar Aceptar de todos modos. Se tendrá oportunidad de escoger una ubicación diferente de la predeterminada más adelante.

6. Hay que pulsar el botón Finalizar una vez cargados los archivos adicionales. Luego se solicitará un reinicio de la máquina. Las modificaciones realizadas no se harán efectivas hasta después de ese reinicio.

Instalación de los programas

La instalación de programas en los servidores de Windows 2000 con Servicios de Terminal Server instalado en modo de administración remota no se diferencia de la instalación en servidores sin Servicios de Terminal Server. No se necesitan procedimientos especiales, modificaciones en el proceso de instalación ni secuencias de comandos especiales para compatibilidad . Si la aplicación se va a instalar y a ejecutar en Windows 2000 Server, se debe instalar y ejecutar con Servicios de Terminal Server


Capítulo 20

instalado en modo de administración remota.

Por otra parte, la instalación de programas en servidores de Windows 2000 con Servicios de Terminal Server instalado en modo de servidor de aplicaciones es un asunto distinto. Cuando se activa el modo servidor de aplicaciones, Windows 2000 sabe que debe prepararse para tratar con varios usuarios que tendrán acceso a la misma aplicación que se ejecutará simultáneamente en espacios de memoria diferentes sin interferencias ni cruces. Hay que seguir con precaución el procedimiento necesario para asegurar que la aplicación se instale correctamente y que funcione adecuadamente como aplicación multiusuario.

No todas las aplicaciones se instalan con éxito y, de entre las aplicaciones soportadas y que se instalan con éxito, algunas necesitan procedimientos especiales o la ejecución de secuencias de comandos de compatibilidad. Hay que consultar la documentación de cada aplicación. Puede que se desee examinar el sitio que VeriTest mantiene en http://www.veritest.com, que muestra las aplicaciones que se han probado para su uso en el entorno de Servicios de Terminal Server.

Los modos Install y Execute

Windows 2000 Server, cuando se configura como Servidor de aplicaciones de Servicios de Terminal Server, tiene dos modos de operación distintos, el modo de instalación y el modo de ejecución. Para instalar una aplicación en un servidor hay que estar en modo instalación o la aplicación no se instalará correctamente.

Windows 2000 suele ser lo suficientemente inteligente como para reconocer si se está ejecutando un programa de instalación y se negará a permitir su instalación mientras el servidor esté en modo de ejecución.

Por desgracia, este mecanismo de protección no funciona siempre cuando se introduce un CD en la unidad de CD-ROM; a menudo, el programa de instalación se inicia de manera automática. Permitir la ejecución automática de un CD elude a veces el algoritmo de reconocimiento y se intenta la instalación del programa, generalmente en aquellos CD que tienen menús de entrada con un nombre diferente de Setup.exe.

Se puede pasar al modo de instalación de dos maneras: utilizando el comando Change de la línea de comandos o Agregar o quitar programas del Panel de control. En general es mejor utilizar Agregar o quitar programas, pero cuando hay que secuenciar una instalación se debe utilizar la versión de la línea de comandos.

Agregar o quitar programas para instalar aplicaciones: Generalmente, la instalación de aplicaciones nuevas desde la consola del servidor resulta más conveniente, aunque no sea imprescindible en la mayor parte de los casos. Cuando se ejecuta la instalación desde allí, sin embargo, hay que asegurarse de que todos los usuarios han cerrado sus sesiones en el servidor del terminal antes de comenzar la instalación.


Capítulo 20

Para instalar un programa utilizando Agregar o quitar programas, hay que seguir el procedimiento siguiente:

1. Abrir Agregar o quitar programas en el Panel de control. 2. Pulsar Agregar nuevos programas y CD o disco de 3"1/2 para que aparezca el cuadro de diálogo

Instalar programa desde disco o CD-ROM. Pulsar Siguiente. 3. Se abrirá el cuadro de diálogo Ejecutar programa de instalación. Si Windows 2000 puede hallar el

programa de instalación, éste aparecerá destacado en el cuadro Abrir. Pero si se realiza la instalación desde una unidad de red o Windows 2000 no puede hallarlo por algún otro motivo, hay que utilizar el botón Examinar para encontrar el programa de instalación de la aplicación que se vaya a instalar.

4. Cuando se ha destacado en el cuadro el programa de instalación correspondiente, hay que pulsar Siguiente para comenzar la instalación. Mientras transcurre la instalación permanecerá abierto en segundo plano el cuadro de diálogo Después de la instalación.

5. Una vez completada la instalación, con éxito o sin él, no hay que aceptar el reinicio automático de la máquina si hay varias alternativas y la máquina pide una. Hay que concluir la instalación y volver al cuadro de diálogo Después de la instalación. Hay que pulsar Siguiente para pasar al último cuadro de diálogo y pulsar Finalizar. Si la aplicación necesita un reinicio, se puede realizar ahora.

El comando Change

El comando Change se introdujo en Windows NT 4 Terminal Server Edition y sólo está disponible en Windows 2000 Server si se ha instalado Servicios de Terminal Server. El comando Change permite pasar de un modo de usuario a otro (instalación y ejecución), cambiar las asignaciones de los puertos para las sesiones de Servicios de Terminal Server y activar o desactivar los inicios de sesión en Servicios de Terminal Server. Los tres comandos básicos, y sus opciones para el comando Change, son las siguientes:

1. Change User: Inicia el cambio entre los modos de instalación o de ejecución cuando se ejecuta como servidor de aplicaciones. Sus opciones son:

● /Install: Instala las aplicaciones nuevas en el servidor para el acceso multiusuario. ● /Execute: Permite que los programas se ejecuten en modo multiusuario (el valor

predeterminado al inicio). ● /Query: Muestra el modo de usuario actual.

2. Change Port: Cambia las asignaciones de puertos de las asignaciones de los puertos COM para compatibilidad con MS-DOS. Sus opciones son:

● portx=porty: Asigna el puerto X al puerto Y ● /D portx: Elimina la asignación actual para el puerto X. ● /Query: Muestra las asignaciones de puertos actuales.

3. Change Logon: Activa o desactiva los inicios de sesión. Sus opciones son: ● /Enable: Permite a los usuarios iniciar una sesión desde las sesiones de Servicios de

Terminal Server. ● /Disable: Impide a los usuarios el inicio de sesión. (No se desconectan ni concluyen las


Capítulo 20

sesiones abiertas.) ● /Query: Muestra el estado actual de los inicios de sesión.

Comando Change para instalar aplicaciones: También se pueden instalar aplicaciones nuevas en Servicios de Terminal Server de Windows utilizando el comando Change. Esto resulta especialmente útil para secuenciar instalaciones que se instalarán en varios servidores de terminales con una configuración idéntica. Para instalar una aplicación nueva utilizando el comando Change, hay que seguir el procedimiento siguiente:

1. Desactivar los nuevos inicios de sesión en el servidor escribiendo change logon /disable. 2. Averiguar los usuarios que se tienen una sesión abierta en el servidor y los IDs de sus sesiones

escribiendo query session. 3. Advertir a los usuarios de que deben cerrar sus sesiones escribiendo net send * «mensaje». 4. Restablecer las sesiones de los usuarios con una sesión abierta en el servidor con el comando reset

session <Iddesesión>. 5. Pasar al modo de instalación con el comando change user /install. 6. Ejecutar el programa de configuración o de instalación de la aplicación. 7. Volver al modo de ejecución escribiendo change user /execute. 8. Reactivar los inicios de sesión en el servidor con change logon /enable.

El uso del comando Change junto con otras utilidades de la línea de comandos incluidas con Windows 2000 permite secuenciar fácilmente la instalación de programas en Servicios de Terminal Server de Windows. En organizaciones grandes en que se utilizan varios servidores para dar soporte a grandes poblaciones de usuarios, el uso de utilidades de la línea de comandos asegura que las aplicaciones se instalen de manera uniforme en toda la empresa, lo que simplifica el soporte y la formación.

Instalación de Office 2000

La instalación de Microsoft Office 2000 en servidores de Windows 2000 que trabajen en modo servidor de aplicaciones necesita consideraciones especiales. Al igual que muchas aplicaciones que están diseñadas principalmente como aplicaciones monousuario, hay que ajustar los valores de configuración para evitar el deterioro de datos específicos de cada usuario cuando la aplicación se ejecuta en entornos multiusuario.

Hace falta una parte del Kit de recursos de Office 2000 para instalar Office 2000 para su uso en un servidor de Servicios de Terminal Server de Windows 2000. Hay que instalar la parte de herramientas básicas del kit, que se puede descargar de http://www.microsoft.com/office/ork/2000/appndx/toolhox.htm. Una vez instalada, hay que ejecutar Agregar o quitar programas para instalar Office 2000 de la manera siguiente:

1. Iniciar una sesión en la consola del servidor con una cuenta que tenga privilegios administrativos. La instalación no se ejecutará desde el interior de una sesión de Servicios de Terminal Server.


Capítulo 20

2. Abrir Agregar o quitar programas en el Panel de control. Hay que pulsar Agregar programas nuevos y pulsar el botón CD o disco de 3 1/2.

3. Si el programa de instalación para Office 2000 no se halla de manera automática, hay que utilizar el botón Examinar para hallarlo. Una vez aparezca el programa de instalación.

4. Modificar la línea de comandos que aparece para añadir TRANSFORMS=«<RUTA>\ termsrvnmst» al final. Hay que sustituir la parte <RUTA> por el camino hasta la instalación de Herramientas de Servicios de Terminal Server desde el Kit de recursos de Office 2000. La ubicación predeterminada de este archivo es C:\Archivos de programa\ORKTools\ ToolBox\Tools\Terminal Server Tools\termsrvr.mst, pero no hay ningún inconveniente en cambiarla por una ubicación más sencilla de escribir. Hay que pulsar Siguiente para comenzar la instalación.

5. Cuando haya concluido la instalación, hay que cerrar el cuadro de diálogo Después de la instalación pulsando Siguiente y después Finalizar.

La instalación especial de Office 2000 es un ejemplo de las secuencias de comandos para compatibilidad que necesitan muchas aplicaciones para ejecutarse de manera correcta en Servicios de Terminal Server.

Administración

Servicios de Terminal Server de Windows puede administrarse de manera centralizada y configurarse en el dominio desde una sola consola. Se utilizan cuatro aplicaciones principales para administrar los servidores y los clientes de Servicios de Terminal Server:

● Administrador de Servicios de Terminal Server: Muestra y controla las conexiones de todos los servidores de Servicios de Terminal Server de la red

● Configuración de Servicios de Terminal Server: Sólo se ejecuta de manera local en cada servidor de terminales; es un complemento de Microsoft Management Console (MMC) que permite modificar la configuración del servidor local de Servicios de Terminal Server.

● Creador de clientes de Terminal Server: Crea discos de Cliente de Terminal Server ● Licencias de Servicios de Terminal Server: Gestiona las licencias de acceso cliente para

Servicios de Terminal Server en el dominio o en el grupo de trabajo.

Administrador de Servicios de Terminal Server

Administrador de Servicios de Terminal Server (Tsadmin.exe) es el principal mecanismo para la gestión de las diferentes conexiones con los servidores. Desde el Administrador no sólo pueden verse los servidores de terminales disponibles en la red, sino también los usuarios conectados a ellos, las sesiones que están activas, los protocolos que se están utilizando, etc.

Visión general

Administrador de Servicios de Terminal Server muestra todos los servidores del dominio. De manera


Capítulo 20

predeterminada sólo se conecta a un servidor a la vez, aunque se puede optar por conectarse con todos los servidores disponibles de manera simultánea. Los iconos para la conexión activa actual, el servidor y el dominio se muestran en un color diferente (de manera predeterminada, verde). Con Administrador de Servicios de Terminal Server se pueden ver y gestionar los usuarios, las sesiones y los procesos agrupados por red, dominio, servidor o conexión, lo que ofrece una visión global de la información crítica para la implantación de Servicios de Terminal Server.

Búsqueda de servidores

Se puede utilizar Administrador de Servicios de Terminal Server para identificar todos los servidores de la red que se hallan activos o todos los servidores de un dominio concreto. Para hallar todos los servidores de un dominio, hay que pulsar con el botón derecho del ratón el nombre del dominio en el panel izquierdo de Administrador de Servicios de Terminal Server y seleccionar Buscar servidores en el dominio. Para hallar todos los servidores de la red, hay que pulsar con el botón derecho del ratón Todos los servidores listados y escoger Buscar servidores en todos los dominios.

El uso de cualquiera de los comandos Buscar servidores genera una serie de mensajes de difusión de ámbito de dominio o de red, por lo que debe utilizarse con precaución.

Establecimiento de conexiones

Para gestionar los procesos, las sesiones y los usuarios conectados a un servidor dado hay que conectar en primer lugar con ese servidor mediante Administrador de Servicios de Terminal Server. Para conectar con un servidor, hay que pulsar su icono con el botón derecho del ratón en el panel izquierdo de Administrador de Servicios de Terminal Server y escoger Conectar. Para conectar con todos los servidores de un dominio, hay que pulsar el nombre del dominio con el botón derecho del ratón en el panel izquierdo de Administrador de Servicios de Terminal Server y escoger Conectar a todos los servidores del dominio. Para conectar con todos los servidores de la red, hay que pulsar el icono Todos los servidores listados con el botón derecho del ratón y escoger Conectar a todos los servidores.

Conectar con todos los servidores de un dominio o de la red es un proceso de red intensivo y puede deteriorar gravemente el rendimiento de la red. En circunstancias


Capítulo 20

normales sólo hay que conectar con un único servidor

Gestión de las conexiones

Administrador de Servicios de Terminal Server permite examinar y gestionar cada una de las conexiones con los servidores de terminales, incluidas las conexiones con inicio de sesión local que aparecen como sesiones de consola. Desde cualquier sesión, que no sea de consola, que tenga los permisos suficientes se puede obligar a desconectar una sesión, restablecer completamente una sesión, cerrar una sesión, ver el estado de la conexión, gestionar las sesiones de los usuarios, enviar mensajes a la pantalla de la conexión, utilizar el control remoto para asumir el control de una sesión en la conexión y conectar con cualquier otra sesión. También se puede utilizar Administrador de Servicios de Terminal Server para ver diversa información sobre los procesos y sobre el estado de las conexiones con un servidor e, incluso, finalizar un proceso bloqueado.

Desde el interior de las sesiones de las consolas, la única característica disponible es Enviar mensaje. Esto hace difícil la gestión de los servidores desde una de las consolas. Si la estación de trabajo habitual es, en realidad, la consola de uno de los servidores, hay que abrir una sesión de terminal con el servidor y trabajar desde ella; se tendrá plena capacidad para gestionar y controlar desde allí el entorno de Servicios de Terminal Server.

Desconexión de las sesiones: Cuando se desconecta una sesión continúan ejecutándose todos los programas de esa sesión, pero se dejan de transmitir a la terminal remota las entradas y salidas de datos de la sesión. La desconexión de una sesión deja en su estado normal los programas y los datos del usuario, lo que los protege de la pérdida de datos. La desconexión de una sesión no libera memoria ni otros recursos del servidor, y la sesión sigue contabilizándose como sesión con licencia.

Cualquier usuario puede desconectar su propia sesión, y los administradores con el privilegio de control total pueden desconectar cualquier sesión. Para desconectar una sesión utilizando Administrador de Servicios de Terminal Server, hay que pulsar la sesión con el botón derecho del ratón en cualquiera de los paneles de Administrador de Servicios de Terminal Server y escoger Desconectar en el menú de accesos directos. Se solicitará confirmación. Hay que pulsar Aceptar y se desconectará la sesión.

Se pueden desconectar también varias sesiones de diversos servidores. Basta con destacar las sesiones en el panel derecho de Administrador de Servicios de Terminal Server y pulsarlas con el botón derecho del ratón. Hay que escoger Desconectar en el menú, pulsar Aceptar y la sesión se desconecta. La consola en que aparecían las sesiones recibirá un mensaje. Cuando se pulsa Cerrar en el mensaje, desaparece el cuadro de mensaje.

La desconexión de una sesión de Servicios de Terminal Server tiene muchas ventajas para los usuarios de computadoras portátiles que puede que necesiten conectarse desde ubicaciones diferentes o que deseen trabajar en intervalos relativamente cortos cuando


Capítulo 20

disponen de tiempo. Cuando uno se desconecta de una sesión, todo sigue ejecutándose, igual que si se estuviera conectado. Por tanto, cuando se vuelve a establecer la conexión con el mismo servidor, la sesión se restaura exactamente igual que se dejó. Se puede volver fácilmente a un proyecto o a un documento exactamente en el punto en que se abandonó.

Restablecimiento de sesiones: Se puede restablecer una sesión si es la propia o se dispone del privilegio de control total para las sesiones. Cuando se restablece una sesión, se pierde todo el trabajo de esa sesión, los programas dejan de ejecutarse y se libera la memoria. Para restablecer una sesión, hay que pulsarla con el botón derecho del ratón y escoger Restablecer en el menú. Se recibirá un mensaje de advertencia. Hay que pulsar Aceptar y la sesión se restablecerá.

Se pueden restablecer varias sesiones destacándolas en el panel derecho de Administrador de Servicios de Terminal Server, pulsándolas con el botón derecho del ratón y seleccionando Restablecer. Hay que tener el privilegio de control total para cada una de las sesiones, o deben ser sesiones propias.

El restablecimiento de una sesión puede dar lugar a pérdida de datos para el usuario de esa sesión. Sólo se debe restablecer una sesión cuando haya dejado de responder o haya dado problemas de otro tipo.

Cierre de sesiones: Se puede cerrar la sesión propia o la de otro usuario si se dispone del privilegio de control total. Hay que pulsar la sesión con el botón derecho del ratón en el panel derecho de Administrador de Servicios de Terminal Server y seleccionar Desconectar en el menú de accesos directos. Se recibirá un mensaje de advertencia sobre el cierre de la sesión del usuario. Si se pulsa Aceptar, la sesión se cerrará. El cierre de una sesión libera los recursos que utilizaba y los devuelve para su use por otras conexiones.

El cierre de una sesión puede dar lugar a pérdida de datos para los usuarios de esa sesión. Siempre se debe advertir a los usuarios enviándoles un mensaje antes de cerrar la sesión.

Examen de los procesos y de otra información relativa a las sesiones: Se pueden examinar los procesos activos de una sesión y mucha otra información relativa a la sesión, incluido el cliente del que


Capítulo 20

procede la sesión, el nivel de seguridad, la resolución de la sesión, etc. Para ver los procesos activos de una sesión, hay que destacar la sesión en el panel izquierdo de Administrador de Servicios de Terminal Server y pulsar la ficha Procesos del panel derecho. Para ver la información relativa a la misma sesión, hay que pulsar la ficha Información del panel derecho.

También se puede utilizar Administrador de Servicios de Terminal Server para mostrar todos los procesos, los usuarios y las sesiones de un servidor determinado, de todo el dominio o de toda la red. Los procesos pueden clasificarse por usuario, por sesión o por servidor. Si se dispone del privilegio de control total se puede, incluso, matar desde allí un proceso, aunque hay que tener en cuenta las precauciones generales relativas a matar procesos.

Gestión de las sesiones de usuario: Se puede utilizar Administrador de Servicios de Terminal Server para examinar y gestionar las sesiones de usuario de un servidor determinado, de todo el dominio o de toda la red. Para ver todos los usuarios del dominio, hay que destacar el nombre del dominio en el panel izquierdo de Administrador de Servicios de Terminal Server y pulsar la ficha Usuarios del panel derecho. En el panel izquierdo se verá una lista de los servidores del dominio y los usuarios conectados aparecerán en el panel derecho. Se puede seleccionar cualquier entrada del panel derecho y enviar un mensaje a la sesión de usuario, desconectarla o tomar el control de la sesión de usuario para resolver problemas o con fines formativos.

Envío de mensajes a las sesiones: Se puede utilizar Administrador de Servicios de Terminal Server pare enviar mensajes a sesiones determinadas. Para enviar un mensaje a todas las sesiones de un servidor concreto, sin embargo, hay que utilizar el programa Msg de la línea de comandos. Para enviar un mensaje a una sesión o usuario dados, hay que seguir el procedimiento siguiente:


Capítulo 20

1. Pulsar la sesión o el usuario con el botón derecho del ratón en el panel derecho de Administrador de Servicios de Terminal Server.

2. Escoger Enviar mensaje pare abrir el cuadro de diálogo .

3. Escribir el mensaje que se desee enviar. Hay que pulsar CTRL+INTRO para iniciar una nueva línea.

4. Pulsar Aceptar para enviar el mensaje.

También se puede utilizar el comando Msg de la línea de comandos para enviar mensajes a una sesión concreta o a todos los usuarios de un servidor dado. El comando Msg tiene más opciones y funcionalidad que la mensajería gráfica de Administrador de Servicios de Terminal Server. La sintaxis del comando Msg es la siguiente:

msg {nombreUsuario | nombreSesión | Id.Sesión | @nombreArchivo | *} [/server:nombreServidor] [/time:segundos] [/v] [/w] [mensaje]

Las opciones del comando Msg son las siguientes:

● nombreUsuario Envía el mensaje a un usuario concreto del servidor. ● nombreSesión Envía el mensaje a una sesión determinada, identificada por su nombre de sesión. ● Id.Sesión Envía un mensaje a una sesión dada identificada por su identificador de sesión. ● @nombreArchivo Envía un mensaje a una lista de nombres de usuario, de sesión o de

identificadores de sesión contenida en el archivo. ● * Envía un mensaje a todos los usuarios conectados al servidor. ● /SERVER:nombreServidor Especifica el servidor al que están conectados la sesión o el usuario.

El valor predeterminado es el servidor actual. ● /TIME:segundos Especifica el número de segundos que hay que esperar para que los

destinatarios acusen recibo del mensaje. Si no se acusa recibo del mensaje en el tiempo especificado, caduca. El tiempo predeterminado son 60 segundos si ninguna opción /TIME lo anula.

● /V Devuelve información a la línea de comandos sobre las acciones que se llevan a cabo en el servidor.

● /W Espera respuesta del usuario antes de devolver el control a la línea de comandos. Si no se recibe ninguna respuesta antes de que caduque el mensaje, el control se devuelve a la línea de comandos

● mensaje Especifica el mensaje que hay que enviar. Si no se especifica ninguno, se acepta el texto desde la entrada estándar (STDIN) o se solicita uno.


Capítulo 20

Control de las sesiones: Si se dispone de los permisos apropiados (de control total), se puede conectar con la sesión de otro usuario y controlarla de manera remota. El teclado, el ratón y la pantalla serán iguales para la sesión propia y la del usuario. Esto ofrece la posibilidad de resolver fácilmente los problemas de la sesión de un usuario o de formar al usuario acompañándolo en la realización de una tarea concreta. Los datos de entrada de la sesión provienen tanto de la sesión propia como de la del usuario. Si los valores de configuración del usuario o del protocolo están definidos sólo para ver la sesión, no para controlarla directamente, sólo se verá lo que haga el usuario en su pantalla, pero no se podrá interactuar con él utilizando el ratón ni el teclado.

De manera predeterminada, cuando se conecta con la sesión de un usuario utilizando el control remoto, se comunica al usuario que se establece la conexión y se le solicita que confirme su autorización. Esta notificación puede desactivarse usuario a usuario modificando las cuentas en Active Directory. También se puede configurar esta notificación protocolo a protocolo para un servidor dado utilizando Configuración de Servicios de Terminal Server (explicada brevemente). Para tomar el control de la sesión de un usuario, hay que seguir el procedimiento siguiente:

1. Pulsar con el botón derecho del ratón la sesión o el usuario en el panel derecho de Administrador de Servicios de Terminal Server.

2. Escoger Control Remoto para abrir el cuadro de diálogo. Hay que seleccionar una combinación de teclas adecuada para concluir la sesión remota. El valor predeterminado es CTRL+*, donde el asterisco (*) es el del teclado numérico.

3. Un cuadro de diálogo se le aparecerá al usuario para solicitarle permiso para autorizar la conexión, mientras que en la sesión propia se abrirá un cuadro de diálogo para comunicar que la sesión espera asumir el control. Si no se necesita permiso para un protocolo o usuario concretos, el usuario no recibirá ningún mensaje.

Hasta que el usuario confirme el permiso para conectar con su sesión, la sesión propia aparentará estar congelada.

También se puede utilizar el comando Shadow para asumir el control de la sesión de un usuario. El comando Shadow tiene la sintaxis siguiente:

shadow {nombreSesión | Id.Sesión} [/server:nombreServidor] [/v]

donde nombredesesión e Id.sesión identifican la sesión concreta de la que se desea tomar el control, y el servidor toma como valor predeterminado el servidor actual, si no se especifica /SERVER. La opción /V (verbose, informativa) ofrece información adicional sobre las acciones que se llevan a cabo.

Conexión con una sesión: Se puede conectar con otra sesión del servidor en el que se está si se dispone de los permisos adecuados y la otra sesión está en un estado activo o desconectado. Siempre se puede conectar con una sesión abierta con la misma cuenta de usuario que el inicio de sesión actual, o con la sesión de otro usuario si se dispone de acceso de control total o de acceso de usuario. Se solicitará la


Capítulo 20

contraseña de usuario.

Esta capacidad de conectar con otra sesión puede ser una herramienta útil tanto para los administradores como para los usuarios. Si al volver a casa uno se da cuenta de que ha olvidado concluir un informe importante, se puede abrir una sesión de manera remota, conectar con la sesión de trabajo de la oficina y continuar donde se había dejado. Para conectar con una sesión, hay que seguir el procedimiento siguiente:

1. Pulsar la sesión o el usuario con el botón derecho del ratón en el panel derecho de Administrador de Servicios de Terminal Server.

2. Escoger Conectar para conectarse con la sesión. Si la sesión es de un usuario diferente que el actual, se solicitará la contraseña de la sesión de usuario de destino. Si la sesión es propia, se cambiará de sesión y la actual se desconectará.

Sólo se puede conectar con otra sesión desde una sesión de Servicios de Terminal Server. No se puede conectar con una sesión de consola ni desde ella.

Configuración de Servicios de Terminal Server

Se puede utilizar MMC Configuración de Servicios de Terminal Server para cambiar los valores de configuración de todas las conexiones de un servidor concreto. Desde aquí se puede cambiar cualquiera de los valores siguientes:

● Modo de Terminal Server: Muestra si Servicios de Terminal Server se ejecuta en modo de servidor de aplicaciones o en modo de administración remota. Los cambios de modo de Servicios de Terminal Server no se realizan desde aquí, sino desde Agregar y quitar programas del Panel de control. (Esto puede resultar desconcertante al principio. Para hacer que aparezca la ventana Configuración de Servicios de Terminal Server, hay que pulsar Agregar o quitar componentes de Windows. Luego, en el cuadro de diálogo Componentes de Windows, no hay que hacer ninguna selección, pero sí pulsar Siguiente. Luego se puede seleccionar el modo de Servicios de Terminal Server que se desee.)


Capítulo 20

● Eliminar las carpetas temporales al salir: Cuando está Habilitado, elimina de manera automática las carpetas temporales creadas en el servidor cuando el usuario cierra la sesión. El valor predeterminado es Habilitado (Sí).

● Usar carpetas temporales por sesión: Cuando está Habilitado, cada sesión time su propio conjunto de carpetas temporales. El valor predeterminado es Habilitado (Sí).

● Licencia de conector de Internet: Cuando está Habilitado, el conector de Internet permite hasta doscientas conexiones anónimas simultáneas a Internet. Ninguno de los usuarios que se conectan mediante el conector de Internet puede ser empleado. Este valor sólo está disponible cuando se trabaja en modo de servidor de aplicaciones. El valor predeterminado es falso (Deshabilitado). Téngase en cuenta que hay que instalar una licencia de conector de Internet comprada de manera independiente antes de poder activar esta opción.

● Active Desktop: Cuando se activa, se permite a las conexiones de los usuarios que utilicen el Active Desktop. Hay que definir esta opción como desactivada para reducir los recursos y el ancho de banda necesarios para las sesiones de Servicios de Terminal Server.

Propiedades de las conexiones

Se pueden cambiar las propiedades de las conexiones desde Configuración de Servicios de Terminal Server. De manera predeterminada, el único protocolo de conexión instalado es el protocolo de Microsoft para datos remotos 5 (Microsoft Remote Data Protocol, RDP). Hay disponibles protocolos de otros fabricantes, incluido el protocolo para arquitectura de computación independiente (Independent Computing Architecture, ICA) utilizado por Citrix MetaFrame. Todos los protocolos pueden configurarse desde aquí.

RDP permite configurar una amplia variedad de parámetros para cada servidor. La mayor parte de estos parámetros los controla normalmente el cliente, o bien se puede definir e1 servidor para que anule los valores del cliente. Para definir las propiedades de las conexiones RDP, hay que pulsar dos veces la entrada RDP-Tcp de Conexión para abrir el cuadro de diálogo Propiedades de RDP-Tcp.


Capítulo 20

Ficha General

● Nivel de cifrado: ❍ Bajo: Los datos que van del

cliente al servidor se cifran con la clave de cifrado estándar.

❍ Medio: Los datos se cifran en ambas direcciones con la clave de cifrado estándar.

❍ Alto: Los datos se cifran en ambas direcciones con la longitud de clave máxima soportada

● Usar autenticación estándar de Windows: Utiliza el paquete alternativo de autenticación si está instalado.

Ficha Configuración del inicio de sesión

● Usar la información de inicio de sesión proporcionada por el usuario: El cliente determina el usuario de seguridad del inicio de sesión.

● Usar siempre la siguiente información de inicio de sesión: La información de inicio de sesión


Capítulo 20

de todos los clientes es la misma. ● Siempre solicitar contraseña: Los

clientes pueden utilizar contraseñas incrustadas.

Ficha Sesiones

● Suplantar la configuración del usuario (sesiones desconectadas, activas a inactivas):

❍ Deshabilitado: Los parámetros del usuario controlan la terminación de las sesiones desconectadas, el límite de las sesiones activas y el de las sesiones inactivas.

❍ Habilitado: Los límites de sesiones las controla el servidor. ● Suplantar la configuración del usuario (acción para límites de Sesión):


Capítulo 20

❍ Deshabilitado: Los valores del usuario controlan el comportamiento del límite de sesiones.

❍ Habilitado: Los valores del servidor controlan el comportamiento del límite de sesiones: desconexión o finalización de la sesión.

● Suplantar la configuración del usuario (reconexión):

❍ Deshabilitado: Los valores del usuario controlan la reconexión.

❍ Habilitado: Los valores del servidor controlan la reconexión.

Ficha Entorno

● Programa inicial: Suplantar la configuración del perfil de usuario y el Asistente para Coneccion Manager de cliente


Capítulo 20

❍ Deshabilitado: El cliente especifica el programa inicial.

❍ Habilitado: Se obliga a todos los clientes a ejecutar el programa indicado.

● Papel tapiz del cliente: ❍ Deshabilitado: Prohíbe el papel

tapiz en el escritorio del usuario. ❍ Habilitado: El usuario puede

mostrar el papel tapiz en su escritorio.

Ficha Control remoto

● Usar control remoto con la configuración de usuario predeterminada: Los valores de control remoto se definen como parte de los datos de cuenta del usuario.

● No permitir el control remoto: Se desactiva totalmente el control remoto de las sesiones en el servidor.

● Usar control remoto con la siguiente configuración: Cuando toma el valor Habilitado se anulan


Capítulo 20

los valores de control remoto de todos los usuarios conectados al servidor.

Ficha Configuración de cliente

● Conexión: ❍ Usar configuración de conexión

de la configuración del usuario: Las conexiones con impresoras y con unidades se especifican como parte de los valores de la cuenta del usuario.

■ Conectar las unidades del cliente al iniciar la sesión

■ Conectar las impresoras del cliente al iniciar la sesión

■ Establecer impresora principal de cliente como predeterminada

● Asignación de unidades: No se permite a los usuarios que asignen unidades (Necesita el


Capítulo 20

protocolo ICA). ● Asignación de impresoras de

Windows: Los clientes pueden asignar impreso ras de Windows y se conservan las asignaciones.

● Asignación de puertos LPT: Se desactiva la asignación automática de los puertos clientes LPT.

● Asignación de puertos COM: Los clientes no pueden asignar impresoras a los puertos COM.

● Asignación del portapapeles: Los clientes pueden asignar el portapapeles.

● Asignación de audio: Los clientes no pueden asignar sonido (Necesita el protocolo ICA).

Ficha Adaptador de red

● Adaptador de red: ❍ Todos: Se configuran todos los adaptadores de red disponibles para utilizarlos con este

protocolo. ❍ Conexiones:


Capítulo 20

■ Conexiones sin límite: No se establece ningún límite al número de conexiones permitidas.

■ Nº máximo de conexiones: Establece el número máximo de conexiones permitidas por este adaptador.

Ficha Permisos

● Control total: Los administradores y SYSTEM tienen privilegio de control total.

● Acceso de usuario: Se establecen para los usuarios privilegios de búsqueda, inicio de sesión, mensajes y conexión.

● Acceso de invitado: Se establecen para el invitado sólo privilegios de inicio de sesión.

Creador de clientes de Servicios de Terminal Server

Se pueden crear discos clientes para Windows 2000, Windows NT (x86 y Alpha), Windows 95/98 o Microsoft Windows para trabajo en grupo 3.11. Los demás clientes necesitan el protocolo ICA y hace falta tener Citrix MetaFrame para crear discos clientes para ellos.

Los clientes de 32 bits necesitan dos disquetes de 3" 1/2 y 1,44 Mb, mientras que los clientes de Windows para trabajo en grupo necesitan cuatro. Se pueden utilizar disquetes que ya tengan formato o dejar que el programa creador de clientes les dé formato. Para crear disquetes de Cliente de Servicios de Terminal Server, hay que seguir el procedimiento siguiente:


Capítulo 20

1. Escoger el programa Creador de Clientes de Servicios de Terminal Server en la carpeta Herramientas administrativas del menú Programas. Esto abre el cuadro de diálogo Crear discos de instalación.

2. Seleccionar el tipo de disco que se va a crear y la unidad de destino. Si se desea que los discos reciban formato como parte del proceso de creación hay que seleccionar el cuadro Formatear discos. Hay que pulsar Aceptar y se solicitará la inserción de los discos en la unidad designada.

3. Si se decide aplicar formato a los disquetes se recibirá el mensaje de confirmación habitual que advierte de que se eliminará todo lo que haya en el disquete. Si se decide no aplicarles formato y el disco insertado no está vacío, se recibirá un mensaje de error y se solicitará la inserción de un disquete vacío con formato.

El Cliente de Servicios de Terminal Server

Se puede instalar y ejecutar el Cliente de Servicios de Terminal Server en cualquier computadora que ejecute Windows 2000, Windows NT 4, Windows 95/98 o Windows para trabajo en grupo 3.11. También se dispone de clientes especiales para otros sistemas operativos, incluidos Windows CE y MS-DOS, así como para cualquier cliente que pueda ejecutar Java. Algunos de estos clientes, no obstante, necesitan el uso del protocolo ICA de Citrix MetaFrame. Hay disponibles clientes reducidos especiales basados en Windows CE de varios fabricantes que permiten conectarse con servidores de Servicios de Terminal Server de Windows 2000 sin necesidad de disco duro: el sistema operativo base y el Cliente de Servicios de Terminal Server se cargan en ROM.

Instalación del Cliente de Servicios de Terminal Server

Para poder instalar el Cliente de Servicios de Terminal Server en una estación de trabajo, hay que tener disponible una unidad de disquetes o una conexión de red para ejecutar la instalación a través de la red. En cualquier caso, el procedimiento es básicamente el mismo. Para instalar el Cliente de Servicios de Terminal Server mediante disquetes, hay que seguir el procedimiento siguiente:

1. Introducir el disco de instalación cliente 1 en la unidad de disquetes y ejecutar Instalar desde el disquete. Se solicitará la lectura del acuerdo de licencia y se recordará la necesidad de cerrar los programas que estén abiertos. Hay que pulsar Continuar.

2. Rellenar la información de registro, pulsar Aceptar y volver a pulsar Aceptar para confirmarla. La información quedará escrita en el disquete. Se solicitará el asentimiento al acuerdo de licencia.

3. Pulsar el botón Aceptar para continuar con el programa de instalación. 4. Se puede cambiar la ubicación de instalación pulsando el botón Cambiar carpeta. Cuando la


Capítulo 20

ubicación sea la deseada, hay que pulsar el botón grande para comenzar la instalación. 5. Escoger el grupo de programas en el que se desea incluir los programas del Cliente de Servicios

de Terminal Server y pulsar Continuar. El grupo de programas predeterminado es Cliente de Terminal Server. Se solicitarán los demás discos a medida que sea necesario.

6. Una vez completada la instalación se mostrará un último mensaje. Hay que pulsar Aceptar. No hace falta reiniciar la máquina.

Connection Manager de cliente

El Connection Manager de cliente permite crear conexiones con los servidores de Servicios de Terminal Server y guardar las propiedades de las mismas.

Creación de conexiones Para crear una conexión con el Connection Manager de cliente, hay que seguir el procedimiento siguiente:

1. En la máquina cliente hay que abrir el submenú Programas del menú Inicio. Hay que apuntar a Cliente de Terminal Server y seleccionar Connection Manager de cliente para abrir la ventana del Connection Manager de cliente.

2. Escoger Conexión nueva en el menú Archivo para abrir el Asistente para Connection Manager de cliente.

3. Pulsar Siguiente para abrir la pantalla Crear una conexión. 4. Escribir el nombre de la conexión. Luego hay que escribir el nombre o la dirección IP del servidor

o utilizar el botón Examinar para hallar uno. Hay que pulsar Siguiente para mostrar la pantalla Inicio de sesión automático.

5. Si se desea que la conexión inicie de forma automática una sesión en el servidor remoto como un usuario determinado, hay que seleccionar la casilla de verificación Iniciar la sesión automáticamente con esta información y escribir el nombre de usuario, la contraseña y el nombre del dominio. Hay que pulsar Siguiente.Los inicios de sesión automáticos pueden parecer una buena idea, pero, si se tiene activada en la red la caducidad de las contraseñas, pueden convertirse en un problema grave. Se recomienda dejar esta opción desactivada a menos que no se exija a los usuarios el cambio de las contraseñas de manera periódica.

6. Seleccionar la resolución de pantalla que vaya a utilizar la conexión. Las opciones disponibles en este caso dependen de la tarjeta de vídeo. De manera predeterminada la conexión utilizará una ventana del escritorio. Si se desea que la conexión aparezca a pantalla completa, hay que seleccionar la casilla de verificación Pantalla completa. Hay que pulsar Siguiente.

7. Definir las propiedades de la conexión. Las opciones son: ● Habilitar compresión de datos Cuando se selecciona, los datos se comprimen antes de

transferirlos al cliente y éste debe expandirlos antes de mostrarlos. Cuando se utiliza una velocidad de conexión baja, como con los módems o con WAN lentas, esto puede mejorar el rendimiento.

● Almacenar mapas de bits Cuando se selecciona, los mapas de bits utilizados frecuentemente se guardan en un archivo del disco local, lo que acelera su exhibición. Hay


Capítulo 20

que pulsar Siguiente. 8. Especificar el programa que se desea ejecutar en esta conexión. El valor predeterminado es iniciar

sólo el Escritorio de Windows. Si se desea ejecutar un programa determinado, hay que seleccionar la casilla de verificación Iniciar el programa siguiente y escribir los detalles del programa. Hay que pulsar Siguiente.

9. Escoger un icono para la conexión. Las opciones están bastante limitadas, pero se puede utilizar cualquier otra fuente de iconos. También se puede escoger el grupo de programas para la conexión. El valor predeterminado es el mismo grupo de programas del Connection Manager de cliente. Hay que pulsar Siguiente.

10. Si todo está correcto, hay que pulsar Finalizar en la pantalla final de confirmación para crear la conexión. O pulsar Atrás para realizar los cambios necesarios. Si se pulsa Cancelar, se cancela el proceso.

Configuración de las Conexiones: El único modo de modificar una conexión existente es utilizar el Connection Manager de cliente. Para modificar una conexión, hay que seguir el procedimiento siguiente:

1. Abrir el Connection Manager de cliente y pulsar la conexión que se desee modificar con el botón derecho del ratón.

2. Seleccionar Propiedades para abrir el cuadro de diálogo.

En la ficha General se pueden modificar los parámetros siguientes:

● Nombre de conexión: Cambia el nombre utilizado para hacer referencia a la conexión. ● Nombre de servidor o dirección IP: Cambia el servidor con el que se conecta el cliente. ● Información de inicio de sesión: Cambia la contraseña incrustada si ha cambiado la contraseña o

si se desea cambiar de inicio de sesión automático a manual.

En la ficha Opciones de conexión se pueden modificar estos parámetros:

● Área de pantalla: Cambia la resolución utilizada para la conexión. ● Inicio de la conexión: Cambia la opción de utilizar toda la pantalla para la conexión o ejecutarla

en una ventana. ● Red: Activa o desactiva la compresión de los datos. ● Almacenando mapas de bits en caché: Activa o desactiva el almacenamiento local de los mapas

de bits más frecuentes.

En la ficha Programa se pueden modificar estos parámetros:

● Iniciar el programa siguiente: Si se activa, se puede especificar el programa que se ejecutará al iniciar la sesión; se puede especificar el directorio de inicio. Si se desactiva, se iniciará el Escritorio de Windows.

● Icono de programa: Cambia el icono del programa.


Capítulo 20

● Grupo de programas: Cambia el grupo del menú Inicio desde el que se puede iniciar el programa.

Exportación a importación de conexiones: Las conexiones que se crean en el Connection Manager de cliente no están disponibles, de manera predeterminada, como archivos de texto, sino que se guardan en el registro de cada máquina en HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\<nombre de la conexión>. Los valores creados para una conexión dada o para todas las conexiones pueden exportarse a un archivo de texto que permita pasarlas a otro usuario o, incluso, a otra máquina. Esto puede simplificar enormemente la implantación de Servicios de Terminal Server en organizaciones de gran tamaño. Por desgracia, no hay una manera de hacerlo desde la línea de comandos, por lo que habrá que trabajar en cada máquina. Pero, al menos, se puede estar seguro de utilizar una configuración consistente en todos los clientes. Para exportar una sola conexión, hay que seguir el procedimiento siguiente:

1. Destacar en el Connection Manager de cliente la conexión que se desea exportar y escoger Exportar en el menú Archivo.

2. Seleccionar la ubicación y el nombre de archivo adonde se va a exportar el archivo utilizando el cuadro de diálogo Exportar como. Los archivos reciben la extensión .CNS. Si la conexión incluye información completa sobre el inicio de sesión, se solicitará la confirmación de que se desea guardar la contraseña al exportarla.

Cuando se exporta la contraseña como parte de una conexión, se cifra en el archivo .CNS, pero cualquiera que tenga acceso al archivo puede crear una conexión con esa cuenta. Si se exporta la contraseña hay que adoptar las precauciones adecuadas contra el acceso físico al archivo.

Para exportar todas las conexiones del Connection Manager de cliente, hay que seguir este procedimiento:

1. Escoger Exportar todo en el menú Archivo del Connection Manager de cliente. 2. Seleccionar la ubicación y el nombre de archivo adonde se van a exportar las conexiones

utilizando el cuadro de diálogo Exportar como. Todas las conexiones se guardarán en un único archivo .CNS. Si alguna de las conexiones incluye información completa sobre el inicio de sesión, se solicitará la confirmación de que se desea guardar la contraseña al exportarla.

Para importar una o varias conexiones al Connection Manager de cliente, hay que utilizar este procedimiento:

1. Escoger Importar en el menú Archivo del Connection Manager de cliente. 2. Seleccionar el archivo que se desea importar mediante el cuadro de diálogo Importar desde.

Si ya se ha creado alguna conexión utilizando el Connection Manager de cliente, se solicitará la


Capítulo 20

autorización para sobrescribir la conexión predeterminada. Si se pulsa Sí, se solicitará la autorización para la sustitución automática de todas las conexiones que estén duplicadas. Si se pulsa No, se solicitará la conservación de las conexiones existentes que estén duplicadas. Si no se permite la sustitución automática, se solicitará la autorización para cada una de las conexiones.

Conexiones con el Cliente de Terminal Server

El Connection Manager de cliente es una herramienta útil para la creación de conexiones permanentes con uno o varios servidores, pero si sólo se desea conectarse de manera rápida con un servidor pero no hace falta conservar la información en una conexión permanente, se puede utilizar el Cliente de Terminal Server (Mstsc.exe). Para utilizar el Cliente de Terminal Server, hay que seguir el procedimiento siguiente:

1. Seleccionar Cliente de Terminal Server en el grupo de programas de Cliente de Terminal Server para abrir el cuadro de diálogo Cliente de Terminal Server.

2. Definir las propiedades de la conexión y pulsar Conectar. Las propiedades que se pueden definir aquí son las siguientes:

● Servidor Contiene una lista de las conexiones más recientes. Se puede escribir el nombre o la dirección IP de un servidor de Servicios de Terminal Server que no aparezca.

● Área de pantalla Muestra las resoluciones soportadas por la pantalla actual. ● Servidores disponibles Muestra todos los servidores disponibles en la red. ● Expandir de forma predeterminada. Expande los dominios para mostrar todos los

servidores disponibles en cada uno de ellos. ● Habilitar compresión de datos Comprime la información de vídeo antes de pasársela al

cliente. ● Almacenar mapas de bits en caché de disco Guarda localmente los mapas de bits utilizados

frecuentemente para mejorar el rendimiento.

Cuando se utiliza el Cliente de Servicios de Terminal Server siempre se solicita el inicio de sesionen el servidor con el que se realiza la conexión. También se inicia siempre la conexión en el Escritorio de Windows. Si se desea crear una conexión permanente, o bien una que sólo ejecute un programa concreto, hay que utilizar el Connection Manager de cliente para crearla.


Capítulo 21

Capítulo 21

El proceso por el cual se identifican los cuellos de botella que pueden ralentizar la ejecución de Windows 2000 Server o la red en la que éste se ejecuta se denomina ajuste de rendimiento. Para maximizar el rendimiento de un sistema que se ejecute bajo Windows 2000, se debe reconocer cualquier cuello de botella que pueda existir y tomar acciones para eliminarlo. Las herramientas de red y sistema que ofrece Windows 2000 para detectar cuellos de botella y ajustar el sistema a su nivel de rendimiento óptimo son: el Visor de sucesos, el monitor de sistema y el monitor de red.

Cuellos de botella

Un cuello de botella es simplemente una condición por la que un proceso impide a otro funcionar a su máximo rendimiento. Por ejemplo, cuando una aplicación monopoliza el procesador del sistema excluyendo todas las operaciones ajenas a él, entonces se produce un cuello de botella en el procesador. Los cuellos de botella pueden ocurrir en prácticamente cualquier subsistema de Windows 2000, así como en cualquier elemento de la red.

Los cuellos de botella pueden ocurrir por cualquiera de las siguientes razones:

● Cargas de trabajo que no se reparten equitativamente entre los recursos. ● Un sistema con insuficientes recursos. ● Parámetros configurados incorrectamente. ● Recursos que funcionan incorrectamente. ● Programas que monopolizan recursos concretos.

El Visor de Sucesos


Capítulo 21

El Visor de sucesos es una utilidad diseñada para hacer un seguimiento de los sucesos grabados en la aplicación, la seguridad y los registros históricos. Permite recopilar información sobre software, hardware y problemas del sistema, así como hacer un seguimiento de los sucesos de seguridad de Windows 2000. Cuando se inicia Windows 2000, el servicio de registros históricos de sucesos se inicia automáticamente. El Visor de sucesos toma la forma de una consola de administración Microsoft (Microsoft Management Console, MMC). Se denomina Eventvwr.msc y se puede encontrar en la carpeta %SystemRoot%\System32. Cuando se inicia el Visor de sucesos desde la carpeta de Herramientas administrativas del menú de programas, se ve la consola del Visor de sucesos.

Archivos de registros de sucesos

Windows 2000 graba los sucesos en tres tipos de registros:

● Registro de aplicación: Contiene sucesos registrados por programas o aplicaciones. Por ejemplo, un programa de base de datos podría registrar un error de archivo en el registro de programa. Los desarrolladores de aplicaciones y programas determinan los sucesos que se registran. Todos los usuarios pueden visualizar este registro.

● Registro de seguridad: Registra sucesos de seguridad, como por ejemplo, inicios de sesión válidos o no válidos, así como sucesos relacionados con el consumo de recursos, como por ejemplo, crear, abrir o eliminar archivos. El registro de seguridad está inactivo de manera predeterminada. El administrador puede activarlo para hacer registros de sucesos a través de la configuración de las Directivas de auditoria o sucesos a través de la función de Windows 2000 de Directiva de grupo. Por ejemplo, si se han habilitado las Directivas de auditoria para iniciar la sesión, todos los intentos para iniciar una sesión se graban en el registro de seguimiento de seguridad. El Registro de directivas de auditoria también se puede activar para hacer que el sistema se interrumpa cuando el registro de seguridad se llene. Sólo los administradores pueden visualizar este registro de seguimiento.

● Registro del sistema: Contiene los registros de seguimiento de los componentes del sistema de Windows 2000. Por ejemplo, el registro almacenará el fallo en la carga de un componente de sistema que se produzca durante el inicio. Los tipos de registros de suceso están predeterminados por Windows 2000. Todos los usuarios pueden visualizar este registro.

Configuración del tamaño de los registros de sucesos


Capítulo 21

Cuando un registro de sucesos está lleno se muestra un cuadro de diálogo que lo notifica. Si esto pasa a menudo, se puede reducir el número de elementos sobre los que se informa o incrementar el tamaño del registro. Para definir las opciones del registro de sucesos, hay que seguir estos pasos:

1. Escoger Visor de sucesos en el menú Herramientas administrativas.

2. Pulsar con el botón derecho del ratón en el registro que se desea configurar y escoger Propiedades.

3. En la pestaña General hay que establecer las opciones deseadas. En Cuando se alcance el tamaño máximo del registro existen tres opciones:

● Si no se almacena el registro, hay que escoger Sobrescribir sucesos cuando sea necesario.

● Si se almacena el registro a intervalos regulares, se puede seleccionar la opción Sobrescribir sucesos de hace más de. Hay que rellenar con el número apropiado de días.

● No sobrescribir sucesos, la última opción, implica que el registro ha de ser borrado manualmente. Cuando se alcanza el tamaño máximo del registro, simplemente no se registrarán los nuevos sucesos.

4. Pulsar Aceptar cuando se haya terminado.

Es posible que alguien se preocupe tanto por la seguridad que ninguna de las opciones del registro de eventos le parezca aceptable. Si absoluta y definitivamente no se debe perder ni un solo suceso de seguridad, se puede configurar el equipo para que se detenga cuando el registro de seguridad esté lleno. Es necesario hacer un cambio en el registro para que esto ocurra. Primero hay que establecer Cuando se alcance el tamaño máximo del registro como No sobrescribir sucesos o bien cómo Sobrescribir sucesos de hace más de n días. Después hay que iniciar Regedit.exe y buscarHKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Control


Capítulo 21

\Lsa \CrashOnAuditFail y cambiar el valor a 1.Este parámetro tendrá efecto después de reiniciar y entonces; cuando el registro esté lleno, el sistema simplemente se parará. Después de reiniciar, sólo los administradores podrán iniciar sesión hasta que se vacíe el registro de seguridad. Ésta es una medida drástica, pero es necesaria en algunos casos.

Los componentes de un suceso

Los dos componentes clave en la interpretación de un suceso son la cabecera de suceso y la descripción de suceso. La descripción de suceso es la pieza de información más útil, dado que indica la importancia del suceso.

Cabeceras de suceso

Las cabeceras de suceso se visualizan en columnas en la consola Visor de sucesos y se divide en los siguientes componentes:

● Tipo: Muestra la severidad del suceso. Los sucesos en la aplicación y los registros de sistema se clasifican como Información, Aviso o Error. Los sucesos en el registro de seguridad se clasifican como Acceso correcto auditado o Acceso erróneo auditado. El Visor de sucesos representa estas clasificaciones como símbolos en su lista normal de visualización. Estos símbolos son:

❍ Información: Suceso que describe el funcionamiento correcto de un servicio, controlador o aplicación. Por ejemplo, cuando el servicio de registro de sucesos se inicia con éxito, se graba como un suceso de tipo información.

❍ Advertencia: Indica sucesos que, aunque no sean necesariamente significativos, conlleven a futuros problemas. Por ejemplo, cuando el disco duro se encuentre cerca de su capacidad máxima, se recomendará borrar algunos archivos.

❍ Error: Indica que algún problema significativo ha ocurrido, como una pérdida de funcionalidad o de datos. Por ejemplo, si no se puede cargar un servicio durante el inicio, se registrará en el Visor de sucesos como un error.

❍ Acceso erróneo auditado: Un intento de acceso de seguridad auditado erróneo. Por ejemplo, si un usuario intenta tener acceso a una unidad de red y no lo consigue, el intento se registrará como un Acceso erróneo auditado.

❍ Acceso correcto auditado: Informa de un intento desarrollado con éxito para realizar un suceso de seguridad. Por ejemplo, un intento satisfactorio de inicio de sesión en el sistema


Capítulo 21

de un usuario se registrará como un suceso de tipo Acceso correcto auditado. ● Fecha: Indica el día en que ocurrió el suceso. ● Hora: Indica la hora (local) en que ocurrió el suceso. ● Origen: Indica qué software registró el suceso. Este software puede ser el nombre del programa,

un componente del sistema o un componente de algún programa grande, como por ejemplo, el nombre del controlador.

● Categoría: Muestra la forma en que la fuente del suceso clasifica el suceso. Principalmente utilizada en el registro de seguridad. Las intervenciones en seguridad son uno de los tipos de sucesos que se clasifican aquí.

● Suceso: Muestra el número de suceso que identifica algún tipo de suceso en particular. El nombre del tipo de suceso aparece normalmente en la primera línea de su descripción asociada.

● Usuario: Indica el nombre del usuario para el que ocurrió el suceso. Si el suceso se produjo por un proceso del servidor, el nombre de usuario es el ID del cliente.

● Equipo: Especifica el nombre de la computadora donde se produjo el suceso.

La descripción de sucesos

Al pulsar dos veces sobre un suceso específico en el Visor de sucesos, se muestra un texto descriptivo en la ficha de Detalles de suceso de la ventana Propiedades que a menudo es muy útil en el análisis de un suceso. Para algunos sucesos, también se generan datos en binario muy útiles, dado que son generados por el programa que originó el registro de suceso. Si se desea mantener las descripciones de suceso, hay que guardarlas como un archivo de datos binario. No se deben guardar las descripciones de suceso en formato de texto o formato de texto delimitado por comas, dado que estos formatos descartan los datos binarios.

Filtrado de los registros de sucesos

Si no se dispone de suficiente información específica para localizar lo que se necesita, se puede filtrar un registro de sucesos para ciertos tipos de información. Para utilizar el filtrado del registro de sucesos, hay que seguir estos pasos:


Capítulo 21

1. Escoger Visor de sucesos en el menú Herramientas administrativas. 2. Pulsar con el botón derecho del ratón en el registro en el que se desea buscar y escoger

Propiedades en el menú contextual. 3. Pulsar en la pestaña Filtro. Pulsar Aceptar cuando se esté preparado para iniciar el filtrado. 4. Aparece el registro, filtrado según las peticiones. Para ver de nuevo el registro completo, sin

filtrar, hay que volver a la pestaña Filtro y pulsar Restaurar predeterminados.

Las opciones para filtrar registros de sucesos son:

● Información: Si queremos buscar o filtrar por notificación de que se ha realizado correctamente alguna operación muy importante.

● Advertencia: Si queremos buscar o filtrar por notificación sobre algún problema o problema potencial. Las advertencias pueden ser o no significativas. Por ejemplo, una réplica realizada tras repetidos intentos generará una advertencia.

● Error: Si queremos buscar o filtrar por notificación de un suceso importante. Los errores significan una pérdida de información o de funcionalidad. Por ejemplo, un fallo al iniciar un servicio durante el inicio generará un error.

● auditoria de aciertos: Si queremos buscar o filtrar por sucesos correctos auditados. ● auditoria de errores: Si queremos buscar o filtrar por sucesos erróneos auditados. ● Origen del suceso: Si queremos buscar o filtrar por origen de un evento, como un componente

del sistema o un programa. ● Categoría: Si queremos buscar o filtrar por sucesos por categoría, como inicio/cierre de sesión,

cambio en la directiva o seguimiento de un proceso. ● Id. del suceso: Si queremos buscar o filtrar por el número de identificación específico asignado a

cada suceso registrado. ● Usuario: Si queremos buscar o filtrar por un usuario específico. ● Equipo: Si queremos buscar o filtrar por un equipo específico. ● De: Si queremos buscar o filtrar por sucesos posteriores a una fecha específica. El valor

predeterminado es la primera fecha del registro. Se puede pulsar el cuadro desplegable para seleccionar sucesos de una fecha específica.

● A: Si queremos buscar o filtrar por sucesos posteriores a una fecha específica. El valor predeterminado es la última fecha del archivo.

Almacenamiento de un registro de suceso

Pulsando con el botón derecho del ratón sobre el nombre de registro en el Visor de sucesos se puede guardar un registro de suceso a un archivo. Se pueden archivar los registros de suceso en alguno de los tres siguientes formatos:

● Formato de registro: Permite visualizar el registro en el Visor de sucesos. Su extensión es .EVT.


Capítulo 21

● Formato de texto: Permite utilizar los detalles contenidos en este archivo en algún programa como Microsoft Word. Su extensión es .TXT.

● Formato delimitado por comas: Permite utilizar los datos en una hoja de cálculo o un archivo plano de base de datos. Su extensión es .CSV

Los registros archivados graban la descripción del suceso en el siguiente orden: fecha, hora, fuente, tipo, categoría, suceso, usuario, computadora y descripción. El registro de suceso se graba completamente, a pesar de las opciones de filtro que se hayan podido activar. La información se graba de forma secuencial, incluso si se ha establecido un orden para los sucesos.

Se puede abrir un archivo de registro en el menú Acción apuntando a Nuevo y después eligiendo Nueva vista de registro. En el cuadro de diálogo Añadir nueva vista de registro, hay que seleccionar Almacenados (Abre un registro grabado previamente), pulsar en el botón Examinar para buscar el nombre del registro en el cuadro de diálogo Abrir. Solo puede abrir archivos con la extensión .EVT en el Visor de sucesos. (Los archivos de registro grabados con las extensiones .TXT y .CSV se pueden abrir en cualquier procesador de textos). La información visualizada en un registro archivado no se puede actualizar por refresco.

Visualización de un registro de suceso en otra computadora

Es posible la conexión con otra computadora para visualizar sus registros de sucesos pulsando con el botón derecho del ratón en el Visor de sucesos (local) al situarse en la parte superior del árbol y elegir Conectar con otro equipo. En el cuadro de diálogo Seleccionar equipo, se puede explorar o entrar el nombre de la computadora cuyo registro de sucesos se pretende visualizar.

El Visor de sucesos permite visualizar máquinas que ejecuten Microsoft Windows NT Workstation o Windows 2000 Professional, un servidor o un controlador de dominios que ejecuten Windows NT Server o Windows 2000 Server, así como un servidor que ejecute LAN Manager 2.x. Se puede configurar una conexión de baja velocidad para la máquina remota que se quiere visualizar. Para hacer esto, hay que seleccionar el registro que se desea visualizar desde el árbol de la consola, elegir Propiedades en el Menú acción y a continuación seleccionar la opción Utilizar conexión a baja velocidad


Capítulo 21

Monitor de Sistema

El Monitor de sistema es una utilidad diseñada para rastrear varios procesos en tiempo real usando una visualización gráfica en un sistema Windows 2000. Se puede utilizar la información del Monitor de sistema para seleccionar procesos y componentes que necesitan optimizarse, observar los resultados de ajuste de rendimiento y esfuerzos de configuración, comprender y observar tendencias en las cantidades de trabajo y sus efectos en el uso de los recursos, así como realizar una asistencia con tareas, como por ejemplo, planificaciones para actualizaciones. El Monitor de sistema toma la forma de una consola de administración Microsoft MMC. Se denomina Perfmon.msc y puede encontrarse en la carpeta %SystemRoot%\system32\..

Ejecución del Monitor de sistema

Para iniciar el Monitor de sistema hay que pulsar en Rendimiento desde la carpeta de herramientas administrativas en el menú Programas. El árbol de consola en el panel izquierdo muestra las MMC complementos asociadas al Monitor de sistema, y el panel de detalles se reserva para la visualización gráfica de los contadores que se desee visualizar.

El Monitor de sistema utiliza tres tipos de elementos para hacer un seguimiento del sistema: objetos, contadores e instancias.

● Objetos: Son una colección de contadores asociados con un recurso o servicio que genera información susceptible de evaluación. Cada vez que un objeto realiza una función, sus contadores correspondientes se actualizan. En el sistema operativo se encuentran incorporados un rango de objetos normalmente asociados a la mayoría de los componentes hardware. Otros componentes y sus correspondientes objetos son añadidos por los programas que se instalan en la máquina. Los objetos que se utilizarán más frecuentemente son:


Capítulo 21

❍ Explorador: Rastrea el servicio de exploración para un dominio o grupo de trabajo. ❍ Caché: Rastrea el uso de la memoria caché de disco. ❍ Memoria: Rastrea el rendimiento de la memoria física y virtual. ❍ Objetos: Rastrea el número de sucesos, exclusiones mutuas, procesos, secciones,

semáforos y hebras en la computadora en el momento de la colección de datos. ❍ Archivo de página: Rastrea el uso de archivos de página. ❍ Disco físico: Rastrea discos con una o más particiones. ❍ Proceso: Rastrea todos los procesos que se ejecutan en la máquina. ❍ Procesador: Rastrea cada procesador existente en el sistema. ❍ Servidor: Rastrea bytes, sesiones, ciertos errores de sistema, y uso no paginado y

paginado de fondo. ❍ Sistema: Rastrea todos los contadores que afectan a todo el hardware y software instalado

en el sistema. ❍ Hebras: Rastrea todas las hebras que se ejecutan en el sistema.

● Contador: Es un componente dentro de un objeto que representa información para algún aspecto específico del sistema o servicio.

● Instancia: Se trata de una única ocurrencia de varios objetos de rendimiento del mismo tipo en la máquina. Si un objeto en particular tiene múltiples instancias, se puede hacer un seguimiento de las estadísticas para cada instancia añadiendo un nuevo contador para cada una. También se puede añadir un contador para hacer un seguimiento de todas las instancias a la vez. Éste visualiza la cuenta más reciente del número de hebras para un proceso en particular. Una instancia puede ser también una media de los dos últimos valores para un proceso durante un intervalo entre las muestras.

Adición de contadores

El Monitor de sistema muestra por defecto la utilización actual del procesador del sistema como una línea gráfica. Se pueden añadir más contadores pulsando sobre el botón Añadir contadores para visualizar el cuadro de diálogo Agregar contadores o pulsando en la pestaña Datos en la ventana Propiedades. El Monitor de sistema comprimirá los datos para que se ajusten al panel de detalle según sea necesario, pudiéndose visualizar docenas de contadores al mismo tiempo, más incluso de los que se pueden visualizar confortablemente en una única ventana.


Capítulo 21

Selección de contadores

En el cuadro de diálogo Agregar contadores, se puede seleccionar la opción Usar contadores del equipo local o la opción Seleccionar contadores del equipo. Si se está haciendo un seguimiento de la computadora en la que Monitor de sistema se está ejecutando, se deseará seleccionar Usar contadores del equipo local. Si se desea hacer un seguimiento de un computadora diferente, hay que seleccionar la opción Seleccionar contadores del equipo y después elegir el nombre en el cuadro de lista de la computadora de la que se desee hacer un seguimiento.

En el cuadro de lista de Objeto de rendimiento, hay que especificar el objeto a observar. El objeto Procesador está seleccionado de manera predeterminada. Para cada objeto se puede elegir observar todos los contadores disponibles o sólo los que se especifiquen. Para hacer un seguimiento de todos los contadores disponibles para un objeto en particular, hay que seleccionar la opción Todos los contadores. Para observar sólo los contadores que se especifiquen, hay que seleccionar la opción Seleccionar contadores de la lista. Cuando se elija seleccionar contadores específicos, se puede obtener una descripción de cualquier contador pulsando sobre el nombre del contador y después sobre el botón Explicar.

Si se selecciona un contador que tenga varias instancias, hay que elegir Todas las instancias para observar todas las instancias del contador seleccionado, o seleccionar Seleccionar instancias de la lista para especificar las instancias que quiera observar. Si se hace un seguimiento de varias instancias de la misma computadora, hay que observar que el número de índice de instancia para una instancia en particular podría cambiar a lo largo del tiempo. Este posible cambio es consecuencia del inicio y parada de la instancia, así como de su asignación dentro de un proceso a un índice diferente.

Ajuste de contadores a gráficos de líneas

Se puede determinar el contador que se asigne a una línea en el gráfico de dos formas. La primera es asignando un color y un grosor de gráfica a cada contador a través de la leyenda. Si no se está haciendo un seguimiento de muchos contadores, se puede asignar fácilmente un color al contador. La segunda es pulsar dos veces sobre una línea en el gráfico; selecciona el correspondiente contador, y su leyenda se localiza bajo la gráfica. Si las líneas del diagrama se encuentran cerca una de la otra, hay que intentar localizar una posición en la gráfica donde diverjan; si no, el Monitor de sistema tendrá dificultades para indicar con precisión la línea de interés.

También se puede resaltar una línea del diagrama pulsando sobre el contador que se desee resaltar y después presionando CTRL+H.

Borrado de contadores

Cuando se quiera dejar de hacer un seguimiento de uno o más contadores, hay dos opciones: borrar sólo algunos contadores específicos o borrar todos los contadores. Para parar de observar unos contadores específicos, hay que abrir el Monitor de sistema, pulsar sobre el nombre de algún contador en la leyenda


Capítulo 21

del panel de Detalles del Monitor de sistema, y pulsar sobre el botón Eliminar en la barra de herramientas. Para borrar todos los contadores que se muestran actualmente, hay que seleccionar el botón Nuevo conjunto de contadores en la barra de herramientas. Esto se haría en caso de querer hacer un seguimiento de un conjunto de contadores nuevos.

Modificación de la presentación en pantalla

Se puede modificar la forma en que el Monitor de sistema visualiza la información usando la ventana Propiedades del Monitor de sistema. Para acceder a esta ventana, se puede pulsar sobre el botón Propiedades en la barra de herramientas o pulsar sobre el botón derecho del ratón en el panel de Detalle y seleccionar Propiedades del menú de contexto. En la ficha General se puede elegir visualizar la información como una gráfica, un histograma o un informe. Dependiendo de cómo se elija visualizar la información, pueden estar disponibles las siguientes opciones en el área de Mostrar elementos:

● Leyenda: Muestra una leyenda en la parte inferior del panel de detalles que muestra la escala de datos utilizada por cada contador, el nombre del contador, la instancia, el objeto padre (si es posible), el objeto al que pertenece el contador, la computadora de la cual se está haciendo el seguimiento, así como el color utilizado para dibujar la línea para el contador. La leyenda está disponible para las visualizaciones de gráficos a histogramas. Se necesita mostrar la leyenda para ver el nombre del contador asociado con cada línea de datos.

● Barra de valores: Muestra una barra de valores en la parte inferior del panel de Detalles, permitiendo resaltar los valores de un contador concreto. Cuando se pulsa sobre un valor en particular en la leyenda, o si se pulsa directamente en la línea de datos, se visualizarán unas estadísticas para los valores último, promedio, mínimos y máximos grabados. El tiempo de duración también se muestra aquí. Los valores se calculan a partir del número de muestras y el periodo de tiempo mostrado en la gráfica. El valor del tiempo se refleja por el valor de la duración, en vez del tiempo transcurrido desde que se lanzó el seguimiento. El valor de la duración se basa en la actualización del intervalo de tiempo y se calcula para mostrar el tiempo total transcurrido en la gráfica. Este elemento de visualización está disponible para gráficas e histogramas y resulta útil para hacer el seguimiento de un valor específico al que se quiere seguir muy de cerca.

● Barra de Herramientas: Muestra las funciones de la barra de herramientas situadas en la parte superior del panel de Detalles. Se recomienda tener esta opción habilitada, porque es la única forma de realizar ciertas operaciones.

Vista gráfica


Capítulo 21

La vista gráfica presenta la información en un formato gráfico tradicional de línea. Cada uno de los contadores a instancias se muestran con un color y un grosor diferente. Ésta es la vista predeterminada y ofrece la mayor variedad de opciones. Por ejemplo, permite resaltar un contador particular pulsando sobre el nombre del contador en la leyenda, o pulsando dos veces en la línea de datos en la gráfica y entonces pulsando el botón Resaltar en la barra de herramientas. La línea de datos a color se sustituye por una línea negra si el color de fondo de la gráfica es blanco o de un color suave; para el resto de colores de fondo, la línea es Blanca. Si quisiese resaltar otra línea en su lugar, simplemente pulse dos veces sobre la línea. Tan pronto como se deje de pulsar el botón Resaltar, cualquier línea que seleccione se resaltará en la pantalla.

Vista de histograma


Capítulo 21

Aunque la vista gráfica es la más versátil, resulta más útil usar la vista de Histograma o la de Presentación de informes para hacer un seguimiento de un gran número de contadores, dado que las líneas gráficas se van visualizando peor conforme se aumenta el número de contadores que se están monitorizando.

La vista de histograma presenta la información en un formato de barras gráficas. Al igual que en la vista gráfica, cada contador a instancia se presenta en un color diferente. Se puede hacer un seguimiento fácil de hasta cien contadores utilizando esta vista, dado que el Monitor de sistema ajusta automáticamente las barras para que se ajusten a la pantalla.

Vista de presentación de informes

La vista de presentación de informes presenta la información de los contadores con un formato de lista de informes. Los objetos se muestran en orden alfabético al igual que los contadores seleccionados para cada objeto. Los datos se muestran con formato numérico. cada objeto muestra el porcentaje total de consumo de tiempo del procesador en uso para los contadores seleccionados. Ésta es la mejor vista para hacer un seguimiento de un gran número de contadores.

Elección del Intervalo de tiempo de monitorización

Para las tres vistas, se puede hacer un muestreo de los datos con un intervalo periódico regular. Para seleccionar esta opción, abrir la ventana Propiedades del Monitor de sistema (pulsando el botón Propiedades) y, en la ficha General, seleccionar Actualizar automáticamente cada n segundos. El intervalo predeterminado es 1 segundo, pero este valor podría cambiarse para evitar una sobrecarga de la máquina. Hay que elegir el intervalo más apropiado para capturar el tipo de actividad que se quiera visualizar.

Selección de propiedades adicionales


Capítulo 21

Se pueden añadir líneas de rejilla verticales y horizontales a la vista gráfica y de histograma pulsando sobre sus respectivos cuadros de Rejilla Vertical y Horizontal en la pestaña Gráfico de la ventana Propiedades del Monitor de sistema. Estos elementos son muy útiles para determinar rápidamente el valor asociado a un contador.

También se puede cambiar el valor máximo y mínimo de la escala vertical en la pestaña de Gráfico; los valores predeterminados son 100 para el Máximo y 0 para el Mínimo. El máximo valor que se puede especificar es 999999999, y el menor es 0. Ambos valores deben ser enteros positivos. Es necesario determinar el rango de la escala vertical en función de los contadores que se estén visualizando.

Es posible ajustar los parámetros de configuración de escala de un contador específico para mejorar la visibilidad de sus datos dentro de la gráfica. Los parámetros de configuración de escala para contadores se ajustan en la ficha Datos de la ventana Propiedades del Monitor de sistema. Los valores de escala del contador oscilan exponencialmente entre 0.0000001 y 1000000.0. El ajuste de la escala no afecta a las estadísticas mostradas en la barra de valores.

Seguimiento de una computadora diferente

El Monitor de sistema muestra de manera predeterminada información del sistema local, pero también se puede configurar para hacer un seguimiento de otra computadora de la red. También es posible hacer un seguimiento de más de una computadora a la vez en el Monitor de sistema. Para esto, pulsar sobre el botón Agregar contadores, seleccionar la opción Seleccionar contadores del equipo, y a continuación teclear el nombre de la computadora que se quiera monitorizar en el cuadro de texto. Pueden seleccionarse y eliminarse contadores, así como modificar su visualización, de la misma forma descrita en las secciones anteriores.

Para poder hacer un seguimiento de un equipo remoto a través del Monitor de sistema, es necesario disponer de permisos de administración en dicho equipo. Si no se dispone de permisos de administración, se generará un mensaje de error. El contador aparecerá en la visualización, pero ningún dato o gráfico se asociarán a él. Si se pretende monitorizar un contador concreto y éste no aparece en la lista de


Capítulo 21

contadores, es probable que el servicio o la función que proporciona el contador no haya sido instalada o habilitada en la computadora.

Registros y Alertas de rendimiento

Los Registros y alertas de rendimiento aumentan las capacidades de seguimiento del Monitor de sistema incluyendo funciones para almacenar información de registro y traza, así como generar alertas. El uso de las capacidades de los Registros y alertas de rendimiento tiene ciertas ventajas. La información de registros históricos puede exportarse a hojas de cálculo y bases de datos para analizar sé y generar informes. La información puede almacenarse en tres formatos: formato separado por comas, formato separado por tabuladores o formato de archivo de registro binario para las conexiones circulares o para las instancias de conexión que puedan iniciarse. En la conexión circular, los datos se introducen en un único archivo, sustituyéndose los datos antiguos por los nuevos.

El archivo de registros de rendimiento se ejecuta como un servicio. Como resultado, un usuario no tiene que estar conectado a la computadora a la que se está haciendo un seguimiento para que se produzca la colección de los datos. Se pueden administrar varias sesiones de seguimiento desde la misma ventana de consola y visualizar los datos según son recogidos, así como una vez que la colección de los datos haya acabado. La generación automática de archivos permite definir parámetros como nombre de archivo, tamaño de archivo, y tiempo de comienzo y tiempo de fin. Se puede asociar una alerta a un contador para forzar el inicio de una acción específica, como por ejemplo, iniciar un programa concreto, enviar un mensaje de notificación o comenzar un registro histórico cuando el valor de un contador concreto caiga por debajo o supere un valor especificado.

Registros de contadores

Un registro de contador recoge información en un intervalo predefinido. Los registros de contadores son útiles para el almacenamiento de información sobre actividades de servicios del sistema y uso de los recursos hardware procedentes de una máquina local o remota. Se pueden almacenar datos manualmente según se necesiten o planificar el comienzo y la recogida de la información automáticamente. El sistema puede también realizar un registro histórico continuo, según el tamaño de archivo y los límites de duración que se definan. La información de registros históricos almacenada puede visualizarse con el Monitor de sistema o puede exportarse a hojas de cálculo y bases de datos.

También es posible visualizar dinámicamente los contadores configurados en el registro histórico de contadores a través del Monitor de sistema guardando la configuración de los registros históricos como una página HTML. La página resultante soporta el control del Monitor de sistema a través de un control ActiveX que aporta la interfaz para el usuario que se encuentre haciendo un seguimiento.

Registros de seguimiento

En lugar de hacer un muestreo en un intervalo predefinido, como hacen los registros de contadores, un


Capítulo 21

registro de seguimiento monitoriza los datos de forma continua y espera a que se produzcan determinados sucesos, como por ejemplo, un fallo de página. Esta información se graba en un archivo de registros históricos. Para interpretar la salida de registros de seguimiento, se necesita una herramienta de análisis.

Creación de registros de contador y de seguimiento

Para crear un registro de contador o un registro de seguimiento, hay que realizar los siguientes pasos:

1. Abrir el Monitor de sistema y pulsar dos veces sobre Registros y alertas de rendimiento. 2. Elegir Registros de contador

para crear un nuevo registro de contador, o Registros de seguimiento para crear un registro de seguimiento.

3. Pulsar el botón derecho del ratón en un área en blanco del panel de detalles y elegir Nueva configuración de registro. En Nombre, hay que escribir el nombre del registro de contador o registro de seguimiento y a continuación presionar sobre Aceptar. Esto hace que se muestre una ventana Propiedades para configurar el contador de registro o el contador de seguimiento que está creando.

4. Configurar el registro de seguimiento o el registro de contador para hacer un seguimiento de la máquina local o remota seleccionando los contadores apropiados para los recursos que se desea monitorizar, seleccionando las propiedades del archivo de registro y las opciones de planificación deseadas. Todos los registros que ya existan se muestran en el panel de detalles. Un icono rojo indica un registro que no se está ejecutando o que ha sido parado; un icono verde indica un registro que se está ejecutando.

El intervalo de toma de datos para los registros se selecciona en la ficha General de la ventana Propiedades para el registro.

Adición de contadores a los registros de contador


Capítulo 21

Los contadores se añaden en la ficha General de la ventana Propiedades del registro. Cuando se crea un archivo de registro de contador, la ventana Propiedades se muestra automáticamente. Si se necesita añadir contadores más tarde, se puede visualizar la ventana Propiedades pulsando el botón derecho del ratón sobre el nombre del archivo del registro, eligiendo Propiedades en el menú de acceso directo, presionando el botón Añadir en la pestaña General y a continuación eligiendo los contadores deseados. El procedimiento para seleccionar contadores es idéntico al descrito anteriormente en la sección «Selección de contadores».

Guardar la configuración de un archivo de registro o alerta

Para guardar la configuración de un archivo de registro o alerta, hay que pulsar con el botón derecho del ratón en el nombre de registro o alerta en el panel de detalles y, a continuación, elegir Guardar configuración como en el menú rápido. Hay que escribir el nombre del archivo de registro o alerta y grabarlo como un archivo .HTM. La configuración guardada puede utilizarse para un nuevo registro o alerta pulsando sobre el botón derecho del ratón en el panel de detalles, seleccionando Nueva configuración de registro de, y a continuación seleccionando el archivo .HTM que contenga la configuración que se quiera reutilizar.

Selección de proveedores de sistema y no sistema para registros de seguimiento

Los sucesos en los registros de seguimiento no se monitorizan a través de registros, sino de proveedores. El proveedor de sistema predeterminado, el Proveedor de seguimiento del núcleo de Windows, monitoriza hebras, procesos, entrada/salida de disco, redes TCP/IP, fallos de página y detalles de archivo. El proveedor de sistema utiliza la mayor sobrecarga posible para monitorizar los sucesos. Sólo se puede ejecutar un único registro de seguimiento al mismo tiempo. Si se intenta ejecutar más de uno a la vez, se muestra un mensaje de error.

Los proveedores de sistema y no sistema se eligen en la ficha General de la ventana Propiedades del registro de seguimiento. Para ver esta ventana, hay que pulsar con el botón derecho del ratón el archivo de registro de seguimiento y elegir Propiedades en el menú rápido. A continuación, en la ficha General, debe escogerse bien la opción Sucesos registrados por el proveedor del sistema y a continuación elegir


Capítulo 21

los sucesos que se quieren monitorizar, o bien seleccionar la opción Proveedores que no son de sistema y a continuación añadir los proveedores que se quiera seleccionar pulsando sobre el botón Agregar.

Es importante recordar que el registro de seguimiento de los fallos de página y los detalles de archivo genera una cantidad de datos enorme. Microsoft recomienda limitar el registro de seguimiento de estas opciones a un máximo de dos horas; de otro modo, puede quedarse sin espacio de disco en su máquina.

La elección de proveedores que no son de sistema produce una sobrecarga menor. Con proveedores que no son de sistema, pueden seleccionarse los proveedores de información que se desee. No pueden ejecutarse de forma concurrente múltiples registros de seguimiento utilizando el mismo proveedor de no sistema, pero sí usando diferentes proveedores de no sistema. Los proveedores que no son de sistema disponibles en Windows 2000 son Active Directory: Kerberos, Active Directory: Net Logon, Active Directory: SAM, Local System Authority (LSA), y Windows NT Active Directory Service.

Configuración de los parámetros de archivo para registros de seguimiento y contador

Para configurar los parámetros de archivo de los registros de seguimiento y contador, hay que proceder de la siguiente forma:

1. Pulsar dos veces sobre Registros y alertas de rendimiento en el Monitor de sistema. 2. Pulsar en Registros de contador para configurar los parámetros de archivo de los registros de

contadores, o pulsar en Registros de seguimiento para configurar los parámetros de archivo de los registros de seguimiento.

3. Pulsar dos veces sobre el nombre del registro que quiere configurar sus parámetros de archivo. Aparecerá una ventana mostrando las propiedades del registro.

4. Pulsar en la pestaña Archivos de registro y configurar los parámetros deseados para el archivo del registro.

Parámetros de Archivo de registro

La ficha Archivo de registro de la ventana Propiedades de un registro de contador o seguimiento permite configurar un número de parámetros de archivo. Se puede especificar una carpeta distinta de la carpeta predeterminada de Windows 2000 en el cuadro Ubicación. La ubicación predeterminada es la carpeta PerfLogs del directorio raíz. También se ofrece la posibilidad de terminar el nombre del archivo con un conjunto de números secuenciales o una fecha para hacer un seguimiento de varios archivos de registro. Esto resulta muy útil para archivos de registro que se generan automáticamente con el mismo nombre de archivo.


Capítulo 21

Se dispone de una opción de Tamaño de archivo con la que se puede permitir que el archivo de registro pueda ser tan grande como las cuotas de disco o como el sistema operativo lo permita, o limitar el tamaño a un tamaño específico de kilobytes. Es necesario limitar el tamaño del archivo de registro si se quiere utilizar alguna de las opciones de conexión circular. De forma conjunta con el tamaño de un archivo de registro se puede utilizar la opción Cuando el archivo de registro esté lleno en la ficha Programación para ejecutar un comando si se desea que una acción particular ocurra cuando el archivo de registro se llene. Se puede elegir entre cuatro tipos de archivos para un registro de contador: í

● Archivo de texto (CSV): Este formato se usa para exportar datos a un programa de hoja de cálculo. Los datos se almacenan como un archivo de registro delimitado por comas que usa la extensión de archivo .CSV.

● Archivo de texto (TSV): Este formato también se puede utilizar para exportar datos a un programa de hoja de cálculo. Los datos se guardan como un archivo de registro delimitado por tabuladores que usa la extensión de archivo .TSV

● Archivo binario: Este formato se usa para instancias intermitentes (instancias que se paran y se arrancan después de que el registro se haya arrancado). Los datos se almacenan como un archivo de registro secuencial con formato binario que usa la extensión de archivo .BLG.

● Archivo cíclico binario: Este formato se utiliza para guardar datos continuamente al mismo archivo de registro, donde las nuevas grabaciones se sobrescriben sobre las anteriores. Los datos se guardan como un archivo cíclico con formato binario que usa la extensión de archivo .BLG.

Los registros de seguimiento pueden ser de alguno de los dos tipos de archivo siguientes:

● Archivo de seguimiento cíclico: Este formato se utiliza para guardar datos de forma continua al mismo archivo de registro, donde los nuevos datos se sobrescriben sobre los anteriores. Los datos se almacenan en un archivo cíclico que usa la extensión .ETL.

● Archivo de seguimiento secuencial: Este formato se usa para recopilar datos hasta que se alcance un límite establecido por el usuario. Cuando se alcanza el límite, el archivo actual se cierra y se inicia uno nuevo. Los datos se almacenan como un archivo secuencial que usa la


Capítulo 21

extensión de archivo .ETL.

El tipo de archivo predeterminado para los registros de contador es el Archivo binario (con la extensión .BLG), y el tipo de archivo predeterminado para los registros de seguimiento es el Archivo de seguimiento secuencial (con la extensión .ETL).

Alertas

Cuando el valor de un contador predefinido alcanza, cae por debajo o supera un valor umbral concreto, se envía al usuario una notificación de alerta a través del servicio Mensajería. El servicio Mensajería debe estar ejecutándose para que una notificación de alerta pueda enviarse al usuario.

Creación de una alerta

Para crear una alerta, hay que seguir los pasos siguientes:

1. Abrir el Monitor de sistema y pulsar dos veces en Registros y alertas de rendimiento.

2. Pulsar en Alertas. 3. Pulsar el botón derecho en el

área blanca del panel de Detalles y elegir Nueva alerta. Introducir en la etiqueta Nombre el nombre de la alerta que se está creando y presionar el botón Aceptar. Aparecerá entonces una ventana Propiedades para configurar la alerta que se está creando.

4. A continuación se debe configurar la alerta especificando si se quiere hacer un seguimiento de una máquina local o remota, eligiendo uno o más contadores, estableciendo los valores umbrales para los contadores, seleccionando qué acción se quiere realizar cuando la alerta se dispare, así como eligiendo las opciones de programación deseadas.

Configuración de una alerta


Capítulo 21

Deben seleccionarse valores umbrales para cada contador sobre el que se pretende poner una alerta. Esto se realiza en la ficha General de la ventana Propiedades de la alerta. Cuando se crea una alerta, la ventana Propiedades se muestra automáticamente. Si se necesita añadir contadores en una fecha posterior, es posible acceder a la ventana Propiedades pulsando el botón derecho del ratón sobre el nombre del archivo de la alerta, eligiendo Propiedades en el menú rápido y pulsando sobre el botón Agregar de la pestaña General.

Así mismo es necesario configurar los valores umbrales para que disparen una alerta cuando caigan por encima o por debajo de ciertos valores base establecidos por la corporación. Para establecer estos valores base, se deberá determinar qué nivel de rendimiento del sistema se considera aceptable cuando el sistema experimenta una carga de trabajo típica y se encuentra ejecutando todos los servicios requeridos. Esto se realiza revisando los datos mostrados en las gráficas de los registros en el Monitor de sistema o exportando los datos para generar informes susceptibles de análisis.

Es posible especificar acciones que deban producirse cuando se supere algún valor umbral en la ficha Acción de la ventana Propiedades. Se dispone de cuatro opciones:

● Registrar una entrada en el registro de sucesos de aplicación: Hace que la alerta registre una entrada visible al usuario en el Visor de sucesos.

● Enviar un mensaje de red a: Dispara el servicio de Mensajería para enviar un mensaje de alerta a una computadora concreta.

● Iniciar registro de datos de rendimiento: Ejecuta un registro de contadores existente. ● Ejecutar este programa: Especifica un archivo de comando y unos argumentos de línea de

comando que se ejecutan cuando se dispara una alerta.

Permisos para registros de contador, registros de seguimiento y alertas

Para crear o modificar un registro o una alerta, es necesario disponer de permisos de Control total (Full


Capítulo 21

control) para la entrada del registro HKEY_LOCAL_MACHINE\,SYSTEM\CurrentControlSet\Services\SysmonLog\LogQueries. A los administradores se les concede este permiso de manera predeterminada, y pueden otorgar este permiso a los usuarios en Regedt32.exe a través del menú Seguridad.

Para ejecutar el servicio de Registros y alertas de rendimiento, se debe tener permiso para configurar o iniciar servicios en el sistema. A los administradores se les asigna normalmente este permiso de manera predeterminada, y pueden conceder este permiso a usuarios a través de la consola de las políticas de grupo. Más aún, para registrar datos en una computadora remota, se requiere que el servicio de Registros y alertas de rendimiento se ejecute bajo una cuenta que tiene acceso al sistema remoto. El servicio se ejecuta en segundo plano una vez que el servicio o alerta se ha configurado y se encuentra ejecutándose.

Antes de iniciar el Monitor de sistema o Registros y alertas de rendimiento en la computadora que pretende observarse, hay que realizar lo siguiente:

● Aumentar el archivo de paginación del tamaño de la memoria física hasta 100 Mb. ● Deshabilitar cualquier programa protector de pantalla. ● Cerrar los servicios que no son relevantes o esenciales para la observación del

sistema.

Conviene tener en mente las prácticas siguientes cuando hay que prepararse para ajustar el sistema:

● Configurar los Registros y alertas de rendimiento para que observen a informen sobre datos de los contadores dentro de un intervalo regular, como por ejemplo, cada 10 ó 15 minutos. Es una buena práctica conservar los registros por un periodo de tiempo extenso. Es posible almacenar la información en una base de datos y utilizarla para el análisis de tendencias, valoración de rendimiento y capacidad de planificación.

● Realizar sólo un cambio cada vez. Los cuellos de botella pueden ser el problema de varios componentes. No se debe confundir el asunto haciendo demasiados cambios al mismo tiempo, ya que entonces será imposible valorar el impacto que cada cambio tiene sobre el sistema.

● Guardar un registro de cada cambio que se realice y repetir el proceso de observación después de cada cambio. Esta práctica es importante, ya que los cambios en los ajustes pueden afectar a otros recursos, y los registros mencionados ayudarán a determinar los efectos de cada cambio y valorar si son necesarios cambios adicionales.

● Realizar una comparación entre los programas que se ejecutan en la red y aquellos que se ejecutan localmente. Esto permitirá discernir si los componentes de la red pueden estar asociados en parte a los problemas de rendimiento.

● Prestar atención a los registros de sucesos; algunos problemas de rendimiento generan una salida que puede visualizarse en el Visor de sucesos.

● Bajo ciertas condiciones, las herramientas de rendimiento aumentarán la carga del sistema. Si se observa que éste es el problema, puede reducirse de la siguiente forma:

❍ Siendo selectivo con los objetos y contadores que se pretenda observar. Cuantos más se


Capítulo 21

usen, mayor será la sobrecarga. ❍ No ejecutando el Monitor de sistema con la vista gráfica. Esta vista produce la mayor

sobrecarga. ❍ Especificando intervalos de muestreo de 3 o más segundos; cualquier intervalo menor que

3 segundos es demasiado frecuente. ❍ Ejecutando Registros y alertas de rendimiento en lugar de la gráfica del Monitor de

sistema. - Reduciendo la cantidad de espacio de disco usada por los archivos de registro, ampliando el intervalo de actualización y guardando el registro histórico en un disco distinto del que se está observando.

● Cuando se encuentre haciendo un registro histórico a través de Registros y alertas de rendimiento, deben excluirse los tiempos de arranque de los sucesos. Los tiempos de arranque de los sucesos tienden a sesgar los resultados de rendimiento generales, dado que producen de forma temporal valores elevados.

● Cuando se guarde la configuración de las herramientas de rendimiento en un archivo justo después de completar la configuración, hay que guardar el archivo con un nombre distinto de Perfmon.msc. Si no, se estará cambiando permanentemente la configuración de las herramientas de rendimiento de la computadora.

Selección de un método de observación

Si se necesita observar un suceso del sistema cuando éste se está produciendo, se puede utilizar la gráfica del Monitor de sistema. Las gráficas son muy útiles para observaciones en tiempo real a corto plazo de una computadora remota o local. Hay que elegir el intervalo de actualización que mejor capture la información del tipo de actividad que se esté observando. Los registros de rendimiento están orientados al almacenamiento de información y la observación a largo plazo. Puede exportarse información de registros históricos y usarse para generar informes, y también puede visualizarse la información como gráficas o histogramas en el Monitor de sistema. Hacer un registro histórico de esta forma resulta más práctico cuando se necesita observar varias computadoras a la vez.

Determinación del tiempo de observación

Para registros históricos rutinarios de registros de datos, puede comenzarse poniendo a 15 minutos el valor en Tomar datos de muestra cada. Para visualizar esta opción, hay que visualizar la ventana Propiedades del registro de contador específico. Este intervalo puede ajustarse al tipo de información al que quiere hacer un seguimiento. Si la memoria queda mermada, por ejemplo, puede utilizarse un intervalo de tiempo superior. Otra consideración es la duración media de tiempo que se observa un sistema. Si se realizan observaciones durante menos de 4 horas, un intervalo de 15 minutos es aceptable. Si se realizan observaciones durante 8 horas o más, no debe introducirse un intervalo de tiempo menor de 5 minutos (300 segundos). La observación a una velocidad frecuente hará que el sistema genere una gran cantidad de información, lo que producirá archivos de registro muy grandes. Esto también aumentará la sobrecarga tremendamente.

Observación del uso de la memoria


Capítulo 21

Si se sufren problemas de rendimiento, el primer paso para estudiar el problema es observar el uso que se hace de la memoria, ya que éste es el factor más importante en el rendimiento del sistema. Si el sistema se encuentra paginando frecuentemente, puede disponer de poca memoria en la máquina. Algo de paginación es bueno, puesto que ayuda a expandir la memoria de algún modo, pero un exceso de paginación es una carga para el rendimiento del sistema.

La paginación se utiliza para liberar memoria para otros usos moviendo bloques de datos y código de un tamaño fijo desde la RAM hasta el disco en unidades denominadas páginas.

Antes de empezar a observar el uso que se hace de la memoria, deben comprobarse algunas cosas. Por ejemplo, que el sistema tiene la cantidad de memoria recomendada para poder ejecutar el sistema operativo, así como otras aplicaciones y servicios. Si no se conoce cuáles son los requisitos de memoria para un proceso, podría averiguarse su conjunto de trabajo dentro del Monitor de sistema, cerrar el proceso y observar el efecto en la actividad de paginación. La cantidad de memoria que se libera cuando se cierra un proceso coincide con la cantidad de memoria que el proceso estaba usando.

El conjunto de trabajo es la porción de memoria física asignada a cada programa que se ejecuta en la computadora.

Se puede producir un exceso de paginación cuando la instalación de Windows 2000 configura el sistema con los parámetros que optimizan el compartimiento de archivos. En algunos casos, esto puede incrementar significativamente la paginación, porque hace que el sistema mantenga un conjunto de trabajo caché del sistema. Si no se utiliza el servidor para el compartimiento de archivos, puede reducirse la cantidad de paginación en el servidor deshabilitando los parámetros de compartimiento de archivos. Para ello, hay que seguir los pasos siguientes:

1. En el menú de Inicio, marcar Configuración y a continuación elegir Conexiones de red y Acceso telefónico.

2. Pulsar con el botón derecho del ratón sobre el área de conexión local y seleccionar Propiedades del menú rápido.

3. En los componentes de red marcados para esta conexión, resaltar Compartir impresoras y archivos para redes Microsoft y presionar sobre el botón Propiedades.

4. En el área de Optimización del servidor, la opción Maximizar el rendimiento para compartir archivos se encuentra seleccionada de manera predeterminada. Seleccionar en su lugar Maximizar el rendimiento para aplicaciones de red. Esta acción reducirá la actividad de paginación del sistema.

Contadores recomendados

Para condiciones en las que haya poca memoria, conviene realizar el seguimiento con los contadores de


Capítulo 21

memoria. Para buscar posibles caídas de memoria o cuellos de botella, debe hacerse uso de estos contadores:

● Memoria\Páginas/s: Muestra el número de páginas leídas o escritas en disco para resolver fallos de paginación graves. Un fallo de paginación grave ocurre cuando un proceso requiere código o datos que deben ser recuperados desde el disco en vez de desde su conjunto de trabajo o desde algún sitio de memoria. Si el valor es superior a 20, deberán investigarse las actividades de paginación y hacer ajustes si fuera necesario. Un valor alto para este contador podría indicar más un problema de paginación que un problema de memoria.

● Memoria\Bytes comprometidos: Muestra la cantidad de bytes comprometidos de la memoria virtual del sistema y es una cuenta instantánea. Si se sospecha que existe una merma en la memoria, conviene observar durante un periodo de tiempo este contador, conjuntamente con el de Memoria\Bytes disponibles.

● Memoria\Bytes de memoria no paginables: Muestra el número de bytes asignados a la memoria no paginable para objetos que no pueden ser escritos en disco, pero que deben permanecer siempre en la memoria principal desde su asignación Si este valor es alto, el sistema necesitará memoria adicional. Si se sospecha que un proceso que se ejecuta en modo Kernel es la causa de la merma de memoria, debe utilizarse este contador conjuntamente con Memoria\ Asignaciones de memoria no paginable.

● Memoria\Asignaciones de memoria no paginable: Muestra el número de llamadas para asignar espacio en la memoria no paginable del sistema. Este contador se utiliza conjuntamente con Memoria\Bytes de memoria no paginables para determinar si se tiene una merma de memoria.

● Servidor\Bytes recibidos/s: Muestra el número de bytes que la máquina ha recibido o enviado a través de la red. Indica el grado de ocupación del servidor. Si se observa un incremento dramático y sostenido de este valor, se necesitará aumentar la memoria.

● Servidor\Bytes de memoria paginable: Muestra el número de bytes de memoria paginable del equipo que está utilizando actualmente el servidor. Esta información puede utilizarse para determinar los valores idóneos para el parámetro del registro de Windows 2000 MaxPagedMemoryUsage.

● Servidor\Bytes de memoria no paginable: Muestra el número de bytes de memoria no paginable del equipo que está utilizando actualmente el servidor. Esta información puede utilizarse para determinar los valores idóneos para el parámetro del registro de Windows 2000 MaxNonpagedMemoryUsage.

Para observar una condición de memoria baja, se hace uso de estos contadores:

● Memoria\Bytes disponibles: Windows 2000 utiliza los bytes libres para satisfacer los requerimientos de memoria de los programas. Cuando los bytes libres escasean, la escasez se suple cogiendo memoria de los conjuntos de trabajo de los programas menos activos. A continuación, se notará un incremento en el conjunto de trabajo de un programa y un ligero descenso en los valores de otros programas. El resultado es un incremento en la paginación que penaliza el rendimiento. Para resolver este problema, se necesitará incrementar la memoria de la máquina.


Capítulo 21

● Memoria\Bytes de caché: Muestra el número de bytes que se usa por el archivo de la caché del sistema. Este contador se utiliza conjuntamente con Memoria\Bytes disponibles. Si el valor para Memoria\Bytes de caché se sitúa por encima de los 4Mb, se necesitará añadir más memoria a la máquina

● Disco físico\% Tiempo de disco y Disco Físico\Long. Media de la cola de disco: Estos contadores pueden indicar un déficit de memoria cuando se usan conjuntamente con Memoria\Páginas/s. Si un incremento en la longitud de la cola no se ve acompañado por un decremento en el valor de Memoria\Páginas/s, entonces no existe tal déficit.

Para comprobar si existe una paginación excesiva, hay que observar los siguientes contadores:

● Archivo de paginación\% Uso (todas las instancias): Los archivos de paginación se comparten por cada proceso y se utilizan para almacenar páginas de memoria en el sistema. Si se sospecha que la paginación es la culpable del cuello de botella, resulta útil revisar este dato conjuntamente con Memoria\Bytes disponibles y Memoria\Páginas/s. El valor umbral aceptable para este valor es 99%. Es necesario aumentar Pagefile.sys si el valor se incrementa al 100%.

● Archivo de paginación\% Uso máximo: Si el valor para este contador se aproxima al máximo parámetro de configuración del archivo de paginación, se deberá aumentar Pagefile.sys.

● Disco físico\Media en segundos/Transferencia y Memoria\Páginas/s: El contador DiscoFísico\Media en segundos/Transferencia muestra la media de transferencias a disco en segundos. El contador MemoriaPáginas/s muestra el número de páginas escritas o leídas desde el disco cuando un proceso requiere información que ya no se encuentra en su conjunto de trabajo y debe ser recuperada desde el disco. Para ayudar a determinar si el sistema está paginando en exceso, hay que multiplicar el valor de estos dos contadores. Si el resultado excede de 0,1, la paginación está ocupando más del 10 por 100 del tiempo de los accesos a disco. Si esta situación persiste durante un largo periodo de tiempo, se necesitará memoria adicional.

Sugerencias para el ajuste y progresión del componente de memoria

Si se están sufriendo problemas con la memoria, deben comprobarse las siguientes posibilidades:

● Archivo de paginación: Hay que asegurarse de que el archivo de paginación tiene el tamaño correcto, así como de crear múltiples archivos de paginación para reducir la paginación excesiva. También puede dividirse el archivo de paginación entre varios discos de velocidades parecidas para incrementar el tiempo de acceso.Cuando el archivo de paginación alcanza el límite máximo que tiene asociado, se visualiza un aviso y se puede detener el sistema.

● Memoria física: Es necesario aumentar la memoria física por encima del mínimo requerido. ● Parámetros de configuración de memoria: Debe comprobarse que los parámetros de

configuración de la memoria están configurados correctamente. ● Programas de memoria intensivos: Los programas que hacen un uso intensivo de la memoria

deben ejecutarse cuando la carga del sistema sea pequeña o en computadoras de alto rendimiento.


Capítulo 21

Observación de la actividad del procesador

Cuando se haga un seguimiento del uso del procesador, habrá que considerar el rol de la computadora y el trabajo que se encuentra realizando. Los valores de procesador altos pueden significar que la máquina se está encargando de manejar la sobrecarga del sistema de una manera eficiente o que, al contrario, ésta está luchando para continuar.

Cuando se produce un cuello de botella porque las hebras de un proceso necesitan más ciclos de procesador de los que hay disponibles, se forman grandes colas de petición de uso del procesador, haciendo que el sistema sufra para responder. Las dos causas más comunes de un cuello de botella en el procesador son el exceso de demanda de uso del procesador por parte de los programas ligados a la CPU y el exceso de interrupciones generadas por los controladores o los componentes del subsistema, como por ejemplo, un disco o los componentes de red.

Contadores mínimos recomendados

La siguiente lista muestra los contadores mínimos recomendados que se deberían utilizar para hacer un seguimiento de los posibles cuellos de botella del procesador del servidor:

● Sistema\Longitud de la cola del procesador (todas las instancias) Una longitud continuada superior a dos generalmente indica una congestión del procesador. Dado que éste es un contador instantáneo, la única forma de conseguir un análisis preciso es observando este valor durante varios intervalos.

● Colas de trabajo del servidor\Longitud de cola Una longitud de cola sostenida mayor de cuatro puede indicar congestión del procesador.

● Procesador\Interrupciones/s Este contador puede utilizarse para averiguar si la actividad de las interrupciones está causando un cuello de botella. Si se observa un incremento dramático de este contador sin un incremento correspondiente en la actividad del sistema, probablemente se trate de un problema de hardware. Para resolver el problema, se necesitará encontrar el adaptador de redes a otro dispositivo que esté causando las interrupciones. Es necesario remitirse a las especificaciones del fabricante para averiguar el valor umbral del procesador que se considere aceptable.

● Procesador\% de tiempo de interrupción Este contador visualiza el porcentaje de tiempo que el procesador pasa enviando y atendiendo interrupciones hardware durante el intervalo de muestreo. Este valor da una indicación general de las actividades de los dispositivos que generan las interrupciones, como por ejemplo, unidades de disco, adaptadores de redes y otros dispositivos periféricos. Estos dispositivos interrumpen al procesador cuando requieren su atención o completan una tarea. Debe observarse si se producen incrementos dramáticos en el valor sin que se produzca un incremento correspondiente en la actividad del sistema.

Para hacer un seguimiento de los posibles problemas de uso, deben utilizarse los contadores:


Capítulo 21

● Procesador\% tiempo de procesador (todas las instancias) Este contador se utiliza para descubrir algún proceso que utilice más del 85 por 100 del tiempo del procesador Puede sugerir la instalación de un procesador adicional o la actualización a uno más rápido.

● Procesador\% tiempo de usuario Realiza un seguimiento del porcentaje de tiempo de procesador empleado en modo usuario con subprocesos activos. Un porcentaje alto podría indicar la necesidad de actualizarse o añadir procesadores adicionales. Este contador debe utilizarse conjuntamente con Procesador\% tiempo de procesador (todas las instancias).

● Procesador\% tiempo privilegiado Hace un seguimiento del porcentaje de tiempo de procesador designado para los controladores de manipulación hardware y los componentes del sistema operativo con subprocesos activos. Un porcentaje elevado podría atribuirse a un gran número de interrupciones generadas por un dispositivo que está fallando. Este contador debe utilizarse conjuntamente con el contador Proceso/% tiempo de procesador (todas las instancias).

Sugerencias para el ajuste y progresión del componente procesador

Para resolver problemas que se estén experimentado con el procesador, pueden intentarse las siguientes recomendaciones:

● Actualización del procesador: Hay que actualizarse a un procesador más rápido, sustituir un procesador que falle o añadir otro procesador a la máquina, especialmente si se están ejecutando programas multihebrados.

● Ajuste de la carga del sistema: Hay que distribuir los programas de forma más eficiente entre los servidores, o programar los programas para que se ejecuten a horas en las que el sistema no esté tan sobrecargado.

● Gestión de la afinidad de procesador en las computadoras multiprocesador: La gestión de la afinidad de los procesadores con respecto a las interrupciones y las hebras de los procesos puede suponer una mejora en el rendimiento, ya que reduce el número de volcados de la memoria caché del procesador durante el movimiento de hebras de un procesador a otro.

Se selecciona afinidad para un determinado proceso o programa cuando se asigna a un único procesador para mejorar su rendimiento, a costa de los otros procesadores. Hay que tener en cuenta que cuando se dedica un proceso o programa a un procesador, a los otros hilos de programa pueden que no se les permita migrar al procesador menos ocupado. La afinidad puede configurarse en la Barra de tareas y sólo se encuentra disponible en sistemas multiprocesador.

Observación de la actividad de disco

La observación del uso de disco ayuda a equilibrar la carga de los servidores de red. Cuando se realiza un seguimiento del rendimiento de un disco, conviene hacer un registro histórico de los datos de rendimiento a otro disco o computadora para evitar sesgar los datos del disco que se están observando.


Capítulo 21

El sistema operativo toma los datos del contador de Disco físico usando de manera predeterminada el comando Diskperf-yd. Esto no se aplica a los datos del contador de Disco lógico. Para obtener datos del contador de rendimiento de las unidades lógicas, debe teclear Diskperf-yv en el indicativo de órdenes. Este comando hace que el controlador que recoge datos sobre el rendimiento de disco se encargue de mostrar datos sobre las unidades lógicas. Para obtener información adicional sobre el comando Diskperf, hay que escribir diskperf-? en el inductor de comandos.


La lista siguiente muestra el número de contadores mínimos que deberían usarse para hacer un seguimiento del rendimiento de disco del servidor en busca de posibles cuellos de botella:

● Disco físico\Longitud actual de la cola de disco (todas las instancias): Muestra el número de peticiones que se encuentran esperando para acceder al disco. Este número debería oscilar más o menos entre no más de 1,5 ó 2 veces del número de ejes que constituyen el disco físico. La mayoría de los discos tienen un único eje. La excepción son los dispositivos de disposición redundante de discos independientes (RAID), que normalmente tienen más de un eje. Es necesario observar este valor durante varios intervalos, dado que se trata de un valor instantáneo.

● Disco físico\% tiempo de disco: Indica cómo de ocupadas se encuentran las unidades de disco del servidor mostrando el porcentaje de tiempo que una unidad está activa. Si el valor de este contador se eleva por encima del 90 por 100 o si se encuentra utilizando un dispositivo RAID, debe comprobarse el registro Disco físico\Longitud actual de la cola de disco para ver cuántas peticiones se encuentran pugnando por el acceso a disco.

● Disco físico\Media en segundos/Transferencia: Muestra la cantidad de tiempo que le lleva a un disco completar una petición. Un valor alto podría indicar que el controlador de disco se encuentra continuamente intentando acceder al disco como consecuencia de los errores. Para la mayoría de los sistemas, un valor de 0,3 segundos o superior indica una media de tiempo de transferencia de disco alta.

Para observar posibles problemas de uso, deben utilizarse los contadores:

● Disco físico\Media de bytes/Transferencia: Muestra la media del número de bytes que se transfieren desde o hasta el disco durante las operaciones de lectura/escritura.

● Disco físico\Lecturas/s y Escrituras/s: Estos contadores pueden ayudar a equilibrar la cantidad de trabajo de los servidores de red. Hay que asegurarse de que la tasa de transferencia del disco no supere las especificaciones recomendadas por el fabricante.

Sugerencias para el ajuste y progresión de la actividad de disco

Si se sufre problemas con respecto al rendimiento del disco, hay que intentar las siguientes soluciones:


Capítulo 21

● Instalar el último controlador software para los adaptadores de red para mejorar la eficiencia de acceso al disco.

● Instalar discos adicionales o actualizar el disco duro a uno más rápido. Hay que actualizar también al mismo tiempo el controlador de disco y el bus.

● En servidores, crear volúmenes repartidos en varios discos físicos para incrementar la productividad.

● Distribuir las aplicaciones entre varios servidores para equilibrar la carga de trabajo. ● Optimizar el espacio de disco ejecutando el Desfragmentador de disco. ● Aislar las tareas que requieran un uso intensivo de Entrada/Salida para separar los controladores

de disco o discos físicos para poder equilibrar la carga de trabajo del servidor.

Seguimiento de la actividad de red

El seguimiento de la red consiste en observar el uso de los recursos del servidor y medir el tráfico de red en general. Aunque se puede seguir con el Monitor de sistema, el Monitor de red, aporta un análisis del tráfico más detallado.

Hay que comenzar a observar el sistema haciendo un seguimiento de los contadores mínimos recomendados. Se debe observar el uso de los recursos en su sistema. Hay que utilizar los contadores correspondientes a las distintas capas de la configuración de la red para concentrarse en el uso de los recursos relativos de las capas de red. Los valores de los contadores de red anormales posiblemente indiquen problemas con el procesador, memoria o discos duros del servidor. Recomendamos que se observen los contadores de red conjuntamente con Memoria\Páginas/s, Procesador\% Tiempo de procesador y Disco Físico\% Tiempo de disco. Por ejemplo, si Memoria\Páginas/s se incrementa dramáticamente y viene acompañado de un decremento de Memoria\Bytes recibidos/s controlados por el servidor, el sistema se encuentre probablemente bajo de memoria física para las operaciones de red.


La siguiente lista muestra los contadores mínimos recomendados para hacer un seguimiento del rendimiento de la red para detectar posibles cuellos de botella:

● Servidor\Uso máximo de la memoria paginable Indica la cantidad de memoria física y del máximo archivo de paginación. El umbral aceptable es la cantidad de memoria RAM.

Para observar posibles problemas de uso, hay que utilizar los siguientes contadores:

● Servidor\Total de bytes/s Indica el número de bytes que el servidor ha enviado y recibido de la red. Este valor resulta útil cuando se quiere saber cómo de ocupado se encuentra el servidor. Puede que se necesite segmentar la red si la suma de todos los servidores de Total de bytes/s se acerca a la máxima tasa de transferencia de la red.

● Servidor\Carencias de elementos de trabajo Indica el número de veces que no hay disponibles


Capítulo 21

elementos de trabajo para las peticiones de servicio entrantes. Considera el ajuste de InitWorkItems o MaxWorkItems en la clave de registro HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer si el valor del contador alcanza o supera el umbral de 3.

Sugerencias para el ajuste y progresión de la actividad de red

Hay que probar las siguientes soluciones si se están experimentando problemas con el rendimiento de la red:

● Para aumentar significativamente el rendimiento, hay que desenlazar los adaptadores de red que no se usen frecuentemente y actualizar cada adaptador de red a uno de alto rendimiento.

● Cuando se configura la red, hay que asegurarse de que los sistemas compartidos por el mismo grupo de usuarios se encuentran en la misma subred.

● Instalar múltiples adaptadores de red para incrementar la productividad del sistema compartido de archivos.

● Ejecutar la orden con la que la estación de trabajo y el software NetBIOS se enlazan a cada protocolo cuando se esté usando más de un protocolo. El tiempo de conexión promedio se reduce cuando el protocolo que se utiliza más frecuentemente se coloca primero en la lista de enlace.

El Monitor de Red

El Monitor de red se utiliza para capturar y visualizar estadísticas sobre las tramas que el servidor recibe de la LAN. El Monitor de red resuelve problemas de red y ayuda a analizar el tráfico de red. Sólo se puede instalar el Monitor de Red en el servidor.

El Monitor de red está formado por dos componentes: el propio Monitor de red y el controlador del Monitor de red; ambos se deben instalar en el servidor que se encuentre ejecutando el Monitor de red para que pueda capturar tramas. El controlador del Monitor de red permite al Monitor de red recibir tramas procedentes del adaptador de red. El controlador sólo se puede instalar en máquinas que corran bajo Windows 2000 Server o Windows 2000 Professional.

Systems Management Server (SMS) del Monitor de red 2 pone el adaptador de red en modo promiscuo, lo cual significa que el adaptador lee todas las tramas (paquetes) que recibe de la red, en lugar de sólo las que van dirigidas a él.


Capítulo 21

El Monitor de red y el Controlador del monitor de red pueden instalarse de dos formas. Ambos se pueden instalar cuando se instala el sistema operativo Windows 2000 Server. O si se prefiere instalarlos después, se puede instalar el Monitor de red abriendo Agregar o quitar programas en el Panel de control y seleccionando Agregar/quitar componentes de Windows. Posteriormente, y de forma separada, tendrá que instalarse el controlador del Monitor de red situándose en el menú Configuración de Conexiones de red y acceso telefónico y eligiendo Propiedades de la conexión de área local.

Una trama (frame) es una porción de información del flujo de datos de la red que ha sido dividido en pequeños trozos por el software de red y se envía a través del cable. El Monitor de red permite capturar tramas directamente desde la red. Permite visualizar, filtrar, guardar a imprimir las tramas capturadas para ayudar a identificar los patrones del tráfico de red y los problemas de la red. Una trama se compone de los elementos siguientes:

● La dirección de origen de la máquina que envió la trama. La dirección de origen es un número hexadecimal único que identifica a la máquina emisora.

● La dirección de destino de la máquina que recibió la trama. La dirección de destino es un número hexadecimal único que identifica a la máquina receptora.

● La dirección de cabecera para el protocolo que envió la trama. ● La información real que se envió a la máquina receptora.

El Monitor de red de Windows 2000 almacena la información capturada en un archivo de captura temporal. Cuando guarda el archivo de captura, se le otorga la extensión .CAP, pudiéndose visualizar los archivos capturados con el Monitor de red.

Para aislar un subconjunto de tramas, es necesario diseñar un filtro de captura. Los filtros de captura se comportan como las consultas de base de datos que se usan para aislar determinada información. Las tramas se pueden filtrar atendiendo a varias opciones como protocolos, propiedades del protocolo y direcciones de origen y destino. También puede configurarse una captura para que responda a ciertas condiciones diseñando un desencadenador de captura que sea detectado por el Monitor de red.


Capítulo 21

Visualización de la ventana Visor de tramas

Antes de empezar a capturar tramas, debe elegirse la interfaz de red correcta. Es importante darse cuenta de que todas las interfaces de red, incluidos los módems, se encuentran incluidas en la lista de interfaces de red. Para especificar la interfaz de red, hay que ir a Redes en el menú Capturar en la ventana de captura.

Para capturar tramas desde la ventana de captura, existen tres opciones: puede pulsarse sobre el botón Iniciar captura de la barra de herramientas, elegir Iniciar desde el menú de Captura, o presionar la tecla F10. Para examinar las tramas, se necesitará parar la captura de la sesión actual de alguno de los siguientes modos: seleccionando Detener y Ver desde el menú Capturar, pulsando sobre el botón Detener captura de la barra de herramientas, o presionando la tecla de función F1 1. Si no se selecciona Detener y Ver, puede verse la ventana Visor de tramas presionando la tecla de función F12.

La ventana Visor de tramas se usa para visualizar los contenidos de las tramas capturadas. La información capturada puede visualizarse eligiendo Detener y Ver en el menú Capturar durante la captura de datos. Es posible hacer un zoom sobre un panel específico de la ventana Visor de tramas seleccionando el panel y eligiendo Panel de zoom en el menú Ventana. Esto hace aparecer una marca próxima a la opción Zoom del menú Ventana. La ventana Visor de tramas tiene tres paneles:

● El panel de sumario muestra información general sobre las tramas en el orden en que fueron capturadas.

● El panel de detalle muestra los contenidos de las tramas, incluyendo los protocolos utilizados para enviarlas.

● El panel de hexadecimal muestra la representación ASCII y hexadecimal de la información que se captura.

Visualización de la ventana de captura

Las estadísticas de las tramas capturadas se muestran en la ventana de captura. La ventana de captura tiene cuatro paneles que muestran estadísticas de las tramas:


Capítulo 21

● El panel gráfico muestra gráficamente estadísticas de captura totales de la actividad de red actual, como el porcentaje de recursos de red disponibles en uso por la captura actual y el número de tramas, bytes, difusiones y multidifusiones que la red transmite por segundo. Este panel se visualiza en la parte superior izquierda de manera predeterminada.

● El panel de estadísticas de la sesión (el panel central situado a la izquierda en la figura) muestra las estadísticas correspondientes a las sesiones de red individuales. Se identifica a los participantes de la sesión y se muestra la cantidad de información que se pasan en ambas direcciones. El panel de estadísticas de la sesión incluye información como la dirección de red del primer participante, visualizada como Dirección de red l; la dirección de red del segundo participante, mostrada como Dirección de red 2; el número de tramas enviadas desde la dirección visualizada como Dirección de red 1 a la dirección visualizada como Dirección de red 2, mostrada como 1-->2; y el número de tramas enviadas desde la dirección visualizada como Dirección de red 2 a la dirección visualizada como Dirección de red 1, mostrada como 1<--2;

● El panel de las estadísticas de estación (en la parte de abajo en la figura) muestra estadísticas sobre las actividades que ocurren desde o hasta la máquina local mientras se ejecuta el Monitor de red. Este panel se visualiza en la parte inferior de la pantalla de manera predeterminada a incluye la dirección de red desde la que se capturaron las tramas, el número de tramas y bytes enviados por la dirección de red, el número de tramas y de bytes recibidos por la dirección de red, y el número de tramas, direcciones múltiples y difusiones enviadas por la dirección de red a otras computadoras de la red. Al igual que en el panel de estadísticas de la sesión, en este panel sólo se reflejan las primeras 128 direcciones únicas.

● El panel de estadísticas totales (el panel derecho en la figura) resume la actividad de red detectada en general desde el momento en que comenzó el proceso de captura. No todos los adaptadores de red soportan todas las estadísticas que se muestran en este panel. Si esto ocurre, la etiqueta de la estadística se reemplazará por < No soportado». Este panel se muestra en la esquina superior derecha de la ventana de captura de manera predeterminada. El panel de estadísticas totales se compone de cinco paneles:

❍ Las estadísticas de red muestran estadísticas sobre la cantidad total de tráfico generado desde que comenzó la captura actual en el Monitor de red. Estas estadísticas incluyen el número total de tramas descartadas, así como el número total de tramas, difusiones, multidifusiones y bytes enviados a la red. También se muestra el Estado de la red. En una


Capítulo 21

red Ethernet, el estado siempre será normal, y en una Token-Ring reflejará el estado del anillo.

❍ Las estadísticas capturadas muestran estadísticas de la captura que se está llevando a cabo actualmente. Estas estadísticas incluyen el número total de tramas y bytes capturados, el número total de tramas y bytes en el archivo de captura temporal, el porcentaje del búfer asignado que se está utilizando, el número de tramas descartadas por el Monitor de red, así como cuándo se supera el espacio del búfer asignado.

❍ Las estadísticas por segundo reflejan medias de la actividad en curso y se actualiza constantemente para reflejar la actividad por segundo. Todas las tramas, incluso las excluidas por un filtro, se incluyen en estas estadísticas. Las estadísticas mostradas en este panel incluyen el porcentaje medio de utilización de la red y la media por segundo de tramas, bytes, número de difusiones y número de difusiones múltiples que se detectan desde que comenzó el proceso de captura.

❍ Las estadísticas de tarjeta de red (MAC) reflejan la actividad media reflejada por el adaptador de red desde que comenzó la sesión actual de captura. Estas estadísticas incluyen el número total de tramas, número de difusiones, difusiones múltiples y bytes detectados por la tarjeta adaptadora de red.

❍ Las estadísticas de error de la tarjeta de red (MAC) muestran los errores de la tarjeta adaptadora de red ocurridos desde el comienzo de la actual sesión de captura. Estas estadísticas incluyen el número de errores que se produjeron porque los bytes recibidos no se ajustaron a la comprobación de redundancia cíclica (Cyclical Redundancy Check, CRC) y al número de tramas que se detectaron pero que se descartaron por la tarjeta adaptadora de red, bien por la falta de espacio suficiente en el búfer del Monitor de red, o bien como consecuencia de las restricciones del hardware.

Configuración y personalización del Monitor de red

Para poder ejecutar el Monitor de red, debe haberse iniciado una sesión como usuario con derechos de administración. El Monitor de red, tal y como se describe en esta sección, se puede personalizar de muchas formas para ajustarse a cada necesidad.

Modificación del búfer de captura

Para ajustar el tamaño del búfer de captura en el Monitor de red, hay que elegir Configuración de búfer en el menú Capturar. Se pueden ajustar las opciones Tamaño del búfer (MB) o Tamaño de la trama (bytes) en el cuadro de diálogo Capturar configuración del búfer. El tamaño del búfer y el tamaño de la trama se pueden reducir si los recursos del sistema disminuyen mientras se encuentra capturando información a través del Monitor de red. Hay que asegurarse de que la configuración del búfer no exceda la cantidad de memoria física disponible en el sistema, ya que el


Capítulo 21

intercambio de memoria puede causar el descarte de tramas.

Visualización de nombres de direcciones

Para visualizar en el Monitor de red nombres de direcciones en lugar de direcciones de red hexadecimales, hay que elegir Nombres de direcciones en el menú de Opciones. Cuando esta opción está activa, aparece una marca junto a Mostrar nombres de direcciones. Esta opción resulta muy útil para el Administrador, ya que hace que el Monitor de red sustituya las direcciones hexadecimales de las computadoras desde las que se están recibiendo tramas por los nombres de las máquinas designadas por los usuarios.

Creación de una base de datos de direcciones

A menudo se tendrán que capturar tramas que se originaron o se enviaron a computadoras específicas. Para esto, habrá que conocer las direcciones de las computadoras de la red. La dirección IP de una computadora se puede encontrar de dos formas: usando el comando Ping o usando el mecanismo que ofrece el Monitor de red para asociar las direcciones de las computadoras de red con sus nombres definidos por los usuarios. Si se utiliza el mecanismo que ofrece el Monitor de red, se puede, una vez que se realice la asociación, guardar la información en una base de datos de direcciones y posteriormente usarla para diseñar, visualizar o capturar filtros.

Para crear una base de datos de direcciones, hay que ir a Encontrar todos los nombres en el menú Visualizar en la ventana Visor de tramas. El sistema puede tardar unos minutos en procesar la información de las tramas actuales. Para visualizar las direcciones, hay que elegir Direcciones en el menú Visualizar en la ventana Visor de tramas. Hay que guardar la base de datos en un archivo si se desea utilizar las direcciones para diseñar filtros en el futuro.

Visualización del nombre del vendedor de la tarjeta de red

Para reemplazar las direcciones hexadecimales de la computadora por los nombres de los proveedores de las tarjetas adaptadoras de red en las computadoras en las que se han capturado tramas, en Monitor de red, hay que elegir Mostrar nombres de proveedores en el menú Opciones. Cuando esta opción se encuentra activada, aparece una marca a su lado.

Adición de un analizador de protocolo

El Monitor de red utiliza programas denominados analizadores de protocolo para separar la información de protocolo en partes más pequeñas y poder así actuar en base a esta información. Cada analizador puede analizar un protocolo o una familia de protocolos. Se pueden añadir las DLL de analizadores del Monitor de red 1.2 al Monitor de red 2. Para añadir un analizador de protocolo, hay que seguir los pasos siguientes:


Capítulo 21

1. Copiar el archivo del analizador a la carpeta %SystemRoot%\System32\Netmon\Parsers cuando no se esté ejecutando el Monitor de red. El archivo del analizador debe tener una extensión .DLL

2. Buscar y abrir Parser.ini en la carpeta %SystemRoot%\System32\Netmon. A continuación, introducir en este archivo la información sobre el analizador que se pretenda añadir.

3. Iniciar el Monitor de red, cerrar todas las ventanas de visualización de tramas y elegir Analizadores predeterminados en el menú de Opciones.

4. Aparece una ventana de advertencia sobre la deshabilitación de protocolos a través de esta opción. Presionar Sí.

5. La lista de protocolos habilitados aparece bajo Analizadores de protocolos habilitados en el cuadro de diálogo Analizadores de protocolo (Figura 32.21 de la página siguiente). Todos los analizadores que se encuentren bajo la subcarpeta %SystemRoot%\System32\Netmon\Parsers se activan de manera predeterminada.

6. El nombre del Analizador que acaba de añadirse a la carpeta %SystemRoot%\ System32\Netmon\Parsers aparece bajo Analizadores de protocolo deshabilitados. Hacer clic sobre el nombre y sobre Habilitar. El nombre del protocolo debería moverse al cuadro Analizadores de protocolo habilitados.

7. Si se quiere que el nuevo analizador se incluya en la configuración predeterminada, hay que seleccionar la opción Guardar como predeterminado.

Es importante verificar que el analizador funciona correctamente. Si el analizador está tratando las tramas apropiadamente, el protocolo aparecerá en la columna de protocolo del panel de sumario en la ventana Visor de tramas.

Adición de una trama de comentario a una captura

Las trama de comentario son una herramienta muy útil para añadir comentarios o información a un archivo de captura dentro del Visor de tramas del Visor de red. Por ejemplo, se pueden utilizar tramas de comentario para marcar los puntos de inicio y de fin de un grupo de paquetes. El protocolo Trail está contenido en la trama de comentario a incluye información como el ancho de banda y el número de tramas consumidas.

Para añadir una trama de comentario, hay que elegir Añadir trama de comentario en el menú de herramientas, o pulsar en el botón derecho del ratón sobre la posición de la columna de trama donde se quiera insertar la trama de comentario y a continuación elegir Insertar comentario en el menú contextual. Aparece el cuadro de diálogo Insertar comentario de trama. Las opciones de este cuadro de diálogo son:

● Número de trama La posición de la trama donde el Visor de red coloca la trama de comentario dentro de la captura. El número de trama predeterminada es el de la posición actual.

● Tipo de trama que se inserta Se ejecuta el analizador de protocolo de Comentario o Marcador (Bookmark) que se usa para procesar la trama de comentario después de ejecutar el protocolo Trail.

● Sin estadísticas Deshabilita la generación de estadísticas para la trama con el comentario. Esta opción aparece seleccionada de manera predeterminada.


Capítulo 21

● Aplicar el filtro actual a las estadísticas Utiliza el filtro de presentación actual para calcular estadísticas. Esta opción aparece seleccionada de manera predeterminada.

● Escriba un comentario para la trama nueva El texto que se adjunta a la trama mediante el protocolo especificado en Tipo de trama que se inserta.

Impresión de las tramas capturadas

Para imprimir las tramas capturadas, hay que seleccionar Imprimir en el menú Archivo de la ventana Visor de tramas. Seguidamente deben seleccionarse las opciones de salida deseadas en la ficha Netmon del cuadro de diálogo Imprimir. El área de detalles de salida permite especificar la cantidad de detalles que se quieren imprimir para cada una de las tramas. Las opciones que se presentan incluyen Imprimir líneas de resumen de la trama, Imprimir detalles de protocolo a Imprimir datos hexadecimales. Se pueden también aplicar filtros y saltos de página a la salida.

Captura de información de la red

Para comenzar el proceso de captura de tramas, hay que abrir la ventana de captura del Monitor de red y seleccionar Iniciar dentro del menú Capturar. El Monitor de red comienza entonces a capturar las tramas enviadas desde la máquina local o enviadas a la máquina local a través del flujo de red y las copia en un archivo de captura temporal. Para detener la captura de información temporalmente, debe seleccionarse Pausa en el menú Capturar. Para parar la captura y visualizar las tramas, hay que seleccionar Detener y Ver en el menú Capturar. Se mostrarán los contenidos de las tramas capturadas para su examen en la ventana Visor de tramas. El Monitor de red muestra las estadísticas de sesión únicamente para las cien primeras sesiones de red. Para visualizar la información de las siguientes cien sesiones de red, hay que seleccionar Borrar estadísticas en el menú Capturar.

Diseño de un filtro de captura

Los filtros de captura deben diseñarse cuando el Monitor de red no esté ejecutándose y no existan tramas capturadas. Para identificar las tramas de la red que se desea capturar, es necesario especificar un criterio de captura. Para diseñar un filtro de captura, hay que seleccionar Filtro en el menú Capturar de la ventana de captura. A continuación hay que seleccionar el criterio a emplear en el diseño de la expresión del filtro de captura a través de los protocolos de filtros de captura, pares de direcciones y coincidencias de patrón.

Especificación de protocolos de filtros de captura

Los protocolos de filtro se usan cuando se quiere capturar tramas enviadas utilizando un protocolo específico. Para diseñar protocolos de filtro, hay que seleccionar Filtros en el menú Capturar en la ventana de captura. Pulse dos veces en la línea predeterminada SAP/ETYPE = Cualquier SAP o Cualquier ETYPE del árbol de decisión. Cuando se deshabilite el protocolo, la información de esta línea cambiará para reflejar dichos cambios. Por ejemplo, si se deshabilita el protocolo AppleTalk Address Resolution Protocol (ARP), la línea cambiará a SAP/ETYPE = Cualquier SAPs o Cualquier ETYPEs o


Capítulo 21

NOT AppleTalk ARP. Puede habilitarse o deshabilitarse para su uso Filtros de Captura SAP y ETYPE en el filtro de captura en el cuadro de diálogo. La configuración predeterminada habilita todos los protocolos.

Especificación de pares de direcciones

Para capturar únicamente el tráfico enviado o recibido por algunas computadoras específicas, así como para excluir el tráfico entre unas computadoras concretas, hay que seleccionar pares de direcciones. Pueden especificarse hasta tres pares de direcciones.

Para designar los pares de direcciones, hay que seleccionar Filtro desde el menú Capturar en la ventana de captura. Hay que pulsar dos veces sobre la Y (Pares de direcciones) en el árbol de decisión, y especificar las propiedades de los pares de direcciones en el cuadro de diálogo expresión de dirección. Cuando se añade un par de dirección, se muestra bajo la Y (Pares de direcciones) del árbol de decisión. Un par de dirección puede editarse o borrarse en cualquier momento pulsando sobre el nombre del par de dirección y después seleccionando Editar o Eliminar del cuadro de diálogo Filtro de captura. Las propiedades de los pares de dirección se especifican de la siguiente forma:

1. Elegir entre excluir o incluir la información de captura que viaja entre los miembros de los pares de direcciones que quiere crear.

2. Elegir la primera dirección del cuadro de lista de la Estación 1 y la segunda del cuadro de lista de la Estación 2. La dirección que se convierte en la dirección origen y la dirección que se convierte en la dirección destino depende de la flecha que se seleccione en el cuadro de lista Dirección.

3. Elegir una de las tres flechas en el cuadro de lista Dirección para indicar la dirección del tráfico entre las dos direcciones.

● <--> Esta flecha captura las tramas que viajan en cualquier dirección entre las computadoras de la Estación 1 y la Estación 2. Ésta es la flecha predeterminada.

● --> Esta flecha captura las tramas que viajan de la Estación 1 a la Estación 2. ● <-- Esta flecha captura las tramas que viajan de la Estación 2 a la Estación 1.

4. Puede modificarse la base de datos de direcciones existente pulsando sobre el botón Modificar direcciones y después añadiendo, editando o eliminando información.

Difusión y Multidifusión son siempre direcciones destino.

Definición de coincidencias de patrón

Las coincidencias de patrón permiten capturar tramas que constan de un patrón específico en un determinado desplazamiento. Pueden definirse hasta cuatro coincidencias de patrón.

Para especificar coincidencias de patrones de datos, hay que seleccionar Filtro en el menú Capturar de la ventana de captura. Hay que pulsar dos veces sobre la línea Y (Coincidencias de patrón) del árbol de decisión y especificar las propiedades de la coincidencias de los patrones de datos en el cuadro de


Capítulo 21

diálogo Coincidencia de modelo. Cuando se añade una coincidencia de patrón, ésta se visualiza bajo la línea Y (Coincidencias de patrón) en el árbol de decisión. Las coincidencias de patrón pueden editarse o eliminarse en cualquier momento pulsando sobre el nombre de la coincidencia de patrón de datos y seleccionando entonces Modificar o Eliminar en el cuadro de diálogo filtro de captura.

Para definir coincidencias de patrón, hay que introducir el patrón de datos hexadecimal o ASCII que se quiere hacer coincidir con las tramas capturadas. Entonces, en el cuadro de desplazamiento se introduce el número hexadecimal que indica el byte donde comienza el patrón. El Monitor de red interpretará el dato en función de la opción que se especifique en Desde el comienzo de la trama o Desde el final del encabezado de la topología. El encabezado de la topología es la sección de la trama que se añade a la topología de la red para identificar el tipo de red. La información, como por ejemplo la dirección origen y destino de la trama, se incluye en el encabezado de la topología. Por ejemplo, en una red Ethernet se añaden 14 bytes a la trama en la capa Ethernet. El número de bytes existente en los encabezados de topología varía en una red en anillo con paso de testigo (Token Ring).

Configuración del desencadenador de capturas

El desencadenador de capturas se utiliza bajo ciertas condiciones para, cuando proceda, iniciar una acción. Por ejemplo, puede utilizarse un desencadenador para detener la captura de datos y hacer que se ejecute un programa o comando cuando se cumplan ciertos criterios. Para configurar un desencadenante, hay que seguir los siguientes pasos:

1. Abrir el Monitor de red desde las Herramientas de administración y escoger el área a la que se quiere hacer un seguimiento.

2. Elegir Desencadenador en el menú Capturar para abrir el cuadro de diálogo Desencadenador de capturas.

3. 3. Elegir las opciones del Desencadenador: ● Coincidencia de patrón: Cuando se produce una coincidencia de un patrón ASCII o

hexadecimal específico, se activa el desencadenador. ● Espacio en búfer: Activa el desencadenador cuando una captura llena un porcentaje

específico del búfer de captura. ● Coincidencia de patrón y luego espacio en búfer: Hace que el Monitor de red supervise

el espacio del búfer después de encontrar el modelo especificado y desencadene la acción si se cumplen ambas condiciones.

● Espacio en búfer y luego coincidencia de patrón: Hace que el Monitor de red detecte cuándo una captura ha llenado un porcentaje especificado del búfer de captura y después desencadena la acción cuando se cumplen ambas condiciones.

4. Si se selecciona la opción Coincidencia de patrón y luego espacio en búfer y se establece Espacio en búfer a 100%, el Monitor de red sobrescribirá la trama que contenga el modelo buscado porque no empieza a contar el espacio del búfer hasta que se cumple la condición de búsqueda del modelo.

5. 4. Especificar la acción que se desea realizar en el área de Acción de desencadenador cuando se cumplan los criterios del desencadenador:


Capítulo 21

● Sólo señal audible: El equipo emite un pitido cuando se cumple la condición del desencadenador y el proceso de captura prosigue sin interrupción. Ésta es la opción predeterminada.

● Detener captura: El proceso de captura se detiene cuando se cumplen las condiciones del desencadenador.

● Ejecutar línea de comandos: Hace que se ejecute una línea de comando o que se abra un archivo cuando se cumplen las condiciones del desencadenador. En la línea de comandos se pueden utilizar hasta 259 caracteres.

6. 5. Pulsar Aceptar cuando se haya acabado.

Diseño de un filtro de presentación

Los filtros de presentación actúan sobre la información que ya se ha capturado y funcionan en gran medida como las consultas de bases de datos, porque se usan para especificar los tipos de datos capturados que se vayan a examinar. Se puede indicar qué cantidad de la información capturada se desea visualizar en la ventana Visor de tramas o qué tipo de información se desea almacenar en un archivo, como por ejemplo, protocolos o direcciones de computadoras.

El cuadro de diálogo Filtro de presentación

El cuadro de diálogo Filtro de presentación permite modificar el árbol de decisión del filtro de presentación en la ventana Visor de tramas. La opción de expresión se agrega al árbol de decisión del filtro de presentación cuando se presiona Aceptar. Existen dos tipos de ramas en el árbol de decisión: la rama de Protocolo, que muestra los protocolos que desea visualizar, y la rama de Pares de direcciones, que muestra los pares de direcciones de la computadora que desea visualizar. Las secciones siguientes describen las distintas opciones disponibles en el cuadro de diálogo Filtro de presentación.

Añadir una expresión: La opción Expresión se encuentra en el grupo Agregar del cuadro de diálogo Filtro de presentación y se usa para escribir o editar una expresión para especificar protocolos, propiedades de protocolo, así como los pares de direcciones de computadora que se desea visualizar. Si se pulsa sobre la pestaña Protocolo o la pestaña Propiedad antes de guardar la expresión concreta en el árbol de decisión pulsando sobre Aceptar, se perderá la expresión. Pueden especificarse opciones para tres tipos de categoría, cada una de las cuales es representada por una ficha:

● Ficha Dirección: La ficha Dirección se usa para especificar una dirección que pretende buscar o para añadir o editar una expresión de dirección dentro del árbol de decisión del filtro de presentación. También puede visualizarse esta pestaña pulsando dos veces sobre la línea ANY en el árbol de decisión.Sólo debe especificarse Difusión, Multidifusión y Funcional como direcciones de destino. Si se construye una instrucción en la que la dirección de origen es de difusión o multidifusión, se filtran todas las tramas, ya que son siempre direcciones de destino.

● Ficha Protocolo: Esta ficha se usa para especificar los protocolos que quiera visualizar en el


Capítulo 21

Visor de tramas o para especificar los protocolos en el árbol de decisión del filtro de presentación. Los cuadros de lista Protocolos habilitados y protocolos deshabilitados muestran el nombre de los protocolos. Hay que elegir los protocolos que se desea visualizar pulsando sobre los botones de Habilitar, Deshabilitar, Habilitar todo y Deshabilitar todo. Esta ficha también se puede ver pulsando dos veces sobre la línea de protocolo del árbol de decisión. La opción predeterminada es habilitar todos los protocolos.

● Ficha Propiedad: Esta ficha especifica las propiedades de protocolo que se desean buscar o permite añadir o editar una expresión de propiedad de protocolo al árbol de decisión del filtro de presentación. Para diseñar propiedades de protocolo, hay que seguir los pasos siguientes:

1. Elegir las propiedades deseadas del cuadro Protocolo:Propiedad. Si aparece un símbolo de adición al lado del nombre de protocolo, puede expandirse el protocolo para seleccionar una propiedad de su lista.

2. Seleccionar un operador relacional del cuadro de lista Relación. Se utiliza un operador relacional para especificar la conexión entre la propiedad de protocolo y sus posibles valores.

3. Escribir en el cuadro Valor el valor de comparación que quiere utilizarse para la propiedad resaltada.

Para ciertas propiedades, aparece el cuadro de diálogo Desplazamiento hex. Este cuadro se utiliza para especificar cuántos dígitos hexadecimales hay desde el comienzo de la trama hasta donde se va a buscar la propiedad especificada.

Inserción de operadores: El cuadro de grupo Insertar define operadores lógicos para el árbol de decisión. Los operadores disponibles son Y, O y NO. Utilizándolos, pueden especificarse hasta 4.000 operadores de árbol de decisión.

Modificar expresión/Cambiar operador: Modificar expresión se utiliza para editar una expresión con operadores que aparece en el árbol de decisión. No está pensada para editar pares de direcciones, protocolos o expresiones de propiedad de protocolo que se definen con la opción

Agregar expresión: Si se tiene un operador seleccionado en el árbol de decisión, el botón Modificar expresión cambia a Cambiar operador. Esta opción permite pues conmutar a través de los valores del operador.

Eliminar criterios: El cuadro de grupo Eliminar elimina criterios de decisión del árbol de decisión. Las opciones de que se dispone son eliminar una línea específica, una rama específica o todo el árbol de decisión.


Capítulo 21


Capítulo 22

Capítulo 22

Realizar copias de seguridad en la red es esencial y Microsoft Windows 2000 añade a este proceso, ya de por sí complicado, una dificultad adicional al necesitar hacer una copia de seguridad del servicio Active Directory. Afortunadamente, el sistema operativo incluye la utilidad desarrollada por Veritas Software Copia de seguridad de Windows 2000 que, si bien no incluye lo última tecnología desarrollada para productos de copias de seguridad de red de otros fabricantes, sí resuelve de una manera razonablemente eficiente la tarea. Se puede utilizar Copia de seguridad de Windows 2000 para proteger el sistema de Windows 2000 en el que éste se ejecuta así como para hacer copias de seguridad de otros sistemas accesibles a través de la red.

Selección del medio para las Copias de Seguridad

La primera decisión a tomar cuando se planea una estrategia de copia de seguridad estriba en decidir dónde se pretenden almacenar los datos. El programa Copia de seguridad de Windows 2000 soporta cintas magnéticas, el soporte tradicional para copias de seguridad, pero también permite archivar los datos en un archivo de copia de seguridad existente en cualquier dispositivo direccionable por los sistemas de archivos de Windows 2000, incluyendo discos compactos (como las unidades de Iomega Zip y Jazz), discos a incluso grabadoras de CD-ROM. Para grabaciones de gran tamaño, Copia de seguridad de Windows 2000 también soporta el use de conjuntos de medios, es decir, librerías de discos o cintas a las que se accede a través de un cambiador automático (jukebox). El soporte que se elija dependerá del presupuesto, la cantidad de datos que se deseen grabar, así como del tiempo de que se disponga para crear las copias de seguridad.

La estimación del coste de un soporte de almacenamiento para las copias de seguridad no se basa simplemente en el precio de las unidades de cinta o de disco. El coste de la unidad de grabación es también muy importante. Por ejemplo, una unidad magneto-óptica como la Jazz, capaz de almacenar 2 Gb, puede parecer una ganga, pero el cartucho que utiliza cuesta 200 euros, o 10 céntimos por megabyte. Sin embargo, se pueden encontrar CD-ROM grabables por menos de un euro, esto es, con un coste por megabyte de 15 centésimas de céntimo. Los precios de los soportes de cinta se encuentran más o menos entre estos dos extremos. Hay que recordar también que los CD-ROM o las unidades de cartucho resultan útiles para otro tipo de grabaciones aparte de las copias de seguridad mientras que una unidad de cinta no se puede utilizar para otra cosa.

Almacenamientos extraíbles

Cuando se instala una cinta, un CD-ROM, un disco compacto o un cambiador automático en Windows 2000 utilizando el Asistente para agregar Hardware, la unidad queda bajo el control del servicio de Almacenamiento extraíble. La utilidad Copia de seguridad de Windows 2000 se apoya en este servicio


Capítulo 22

para suministrar funciones básicas para la manipulación de medios de almacenamiento. Cuando se monta, desmonta o expulsa un disco o cinta, el servicio de Almacenamiento extraíble y no Copia de seguridad de Windows 2000, se encarga de manipular el dispositivo.

El servicio de Almacenamiento extraíble dispone una interfaz propia separada de Copia de seguridad de Windows 2000 en el engranaje Consola de la Microsoft Management Console (MMC). Esta herramienta se utiliza cuando se necesita enviar comandos directamente a una unidad de cinta a otro dispositivo como, por ejemplo, cuando se quiere extraer, dar formato o dar tensión a una cinta.

Copias de seguridad a archivos

Como alternativa a hacer copias de seguridad utilizando dispositivos registrados en el servicio de Medios de almacenamiento extraíbles, se pueden realizar copias de seguridad de datos del sistema a un archivo. Copia de seguridad de Windows 2000 puede crear el archivo en cualquier dispositivo de almacenamiento accesible a través de la letra de unidad estándar, como, por ejemplo, un disco duro, un disco compacto o una unidad de disco.

CD-ROM

Debido a su precio extremadamente reducido, los CD-ROM grabables pueden ser un medio de almacenamiento excelente para una copia de seguridad del sistema. Existen dos tipos de CD-ROM grabables actualmente muy utilizados: los CD-R, que son dispositivos tipo WORM (Write Once, Read Many, Una sola escritura y múltiples lecturas), y los CD-RW en los que se puede escribir muchas veces. El uso de unidades CD-R para realizar copias de seguridad puede resultar costoso, ya que sólo se pueden escribir una vez; sin embargo, los discos en blanco son los suficientemente baratos para hacer esto factible. Como beneficio añadido, de esta forma acumula un archivo permanente del sistema, eliminando la necesidad de desarrollar un sistema de rotación de medios y de estar al tanto del número de veces que se ha utilizado una cinta o cartucho en particular.

Copia de seguridad de Windows 2000 no suministra un soporte directo para dispositivos WORM como las grabadoras de CD-ROM. Se debe utilizar software de terceros para hacer que estos dispositivos sean accesibles directamente a través de la aplicación Copia de seguridad de Windows 2000.

Desarrollo de una estrategia para la Copia de Seguridad

La realización de una copia de seguridad de una red de manera efectiva es una tarea compleja que se debe planear mediante una aproximación. Para realizar una copia de seguridad de una red no basta con poner simplemente una cinta en la unidad y ejecutar el software. Una estrategia para la copia de seguridad debe tener en cuenta las siguientes preguntas:

● ¿Cuánta información se debe copiar?


Capítulo 22

● ¿De cuánto tiempo se dispone para realizar la copia de seguridad? ● ¿Cada cuánto tiempo se debe realizar una copia de seguridad de la información? ● ¿Quién se encarga de verificar el acabado de las copias de seguridad? ● ¿Cuántas cintas (u otros medios) se planea utilizar? ● ¿Cada cuánto tiempo se rescribirán las cintas?

La ventana de la copia de seguridad

El fin de la ventana de la copia de seguridad es determinar qué dispositivos se compran para realizar la copia de seguridad de la red y qué tipo de copias de seguridad se realizarán. La ventana de copia de seguridad representa la cantidad de tiempo de que se dispone para realizar las copias de seguridad de la información. Se debe comparar la longitud de la ventana de la copia de seguridad con la cantidad de información que se pretende copiar para determinar la tasa óptima de copia de la red. Si por ejemplo, la organización trabaja a través de intervalos de carga de trabajo libres, permitiendo que las copias de seguridad se realicen sólo durante unas pocas horas, se debería plantear, si se pretende hacer una copia de seguridad en el tiempo restringido, la compra de dispositivos más rápidos o la ejecución de varios dispositivos en paralelo:

Tipos de copia de seguridad

Una parte de la creación de la estrategia que se adapta a la ventana de copia de seguridad abarca la selección del tipo de copia de seguridad que se pretende realizar. Copia de seguridad de Windows 2000 soporta cinco tipos de tareas de copia de seguridad que especifican cuánta información se copia durante cada tarea. Si se selecciona el tipo de tarea apropiado, se puede minimizar el número de cintas (u otros medios), así como la cantidad de tiempo requerida para realizar las copias de seguridad sin comprometer la seguridad de la información.

La mayoría de los tipos de copia de seguridad se basan en el atributo de archivo para determinar cuándo han cambiado los archivos de un disco concreto y deben ser copiados de nuevo. El atributo de archivo en Windows 2000 es el mismo que el de MS-DOS, independientemente del sistema de archivos que se utilice. El atributo es un único bit que se incluye en el directorio de entrada para cada archivo que el software de copia de seguridad se encarga de marcar o borrar cuando se necesita.

Normalmente, el programa de copia de seguridad pondrá a cero los atributos de archivo de todos los archivos que se copien durante una tarea particular. Si se modifica un archivo posteriormente, el sistema marca automáticamente el atributo cuando escribe a disco. Esto permite que el software de copia de seguridad examine los atributos de archivo durante la siguiente tarea y realice una copia sólo de aquellos archivos cuyo atributo se encuentre marcado, esto es, de los archivos que han cambiado desde la copia de seguridad anterior. Los tipos de copia de seguridad descritos en las siguientes secciones son variantes de este tipo de técnica.

Copia de seguridad normal


Capítulo 22

Una copia de seguridad normal, en el lenguaje de Windows 2000, es una copia de seguridad total de todos los archivos y directorios seleccionados en el software de Copia de seguridad de Windows 2000. Como parte de la tarea, el programa borra el bit de modificado de cada archivo. Este tipo de copia de seguridad es la base para futuras tareas que sólo realizan copias de seguridad de los archivos modificados.

Copia de seguridad incremental

Durante una copia de seguridad incremental, el programa examina el bit de modificado y hace una copia de seguridad sólo de los archivos que han cambiado desde la última copia de seguridad incremental o normal. Al igual que con la copia de seguridad normal, esta tarea borra el bit de modificado de cada archivo que copia. Las copias de seguridad incremental utilizan la mínima cantidad de cinta y además ahorran tiempo puesto que no copian todos los archivos que no han cambiado durante la tarea. Sin embargo, realizar una restauración es un inconveniente.

Por ejemplo, si se realiza una copia de seguridad normal el lunes y copias de seguridad incrementales desde el martes al viernes, para asegurarse de que se dispone de la versión más actual de cada archivo, se deberán restaurar estas cinco cintas en el orden en que se escribieron. Si un archivo en concreto se actualiza diariamente, Copia de seguridad de Windows 2000 lo sobreescribirá con la versión más actual durante la restauración de cada cinta. Sin embargo, si sólo se restauran las cintas del lunes y el viernes dado que representan la última copia de seguridad normal y la más reciente copia de seguridad incremental, se perderán las versiones más actuales de los archivos que se grabaron del martes al jueves, pero no el viernes.

Copia de seguridad diferencial

Una copia de seguridad diferencial es lo mismo que una copia de seguridad incremental exceptuando que el programa no elimina el bit de modificación de los archivos que copia a la cinta. Esto significa que durante una copia de seguridad diferencial se copian todos los archivos que han cambiado desde la última copia de seguridad normal o incremental. De esta forma, después de una copia de seguridad en lunes, una copia de seguridad diferencial en martes copiará todos los archivos que han cambiado (al igual que una tarea incremental). Sin embargo, las copias de seguridad realizadas entre el miércoles y el viernes copiarán todos los archivos modificados desde la copia de seguridad normal del lunes. En otras palabras, esta tarea produce cierta redundancia de datos ya que un archivo modificado una única vez el martes se copiará durante todos los días de las copias de seguridad diferenciales.

Este tipo de tarea requiere más espacio en cinta que el utilizado en las tareas incrementales así como más tiempo, pero su ventaja radica en que cuando se realiza una restauración, se necesitan sólo las cintas que contengan la copia de seguridad normal y la más reciente copia de seguridad diferencial. De esta forma, si se debe restaurar un sistema el sábado, se necesita restaurar únicamente la copia de seguridad normal del lunes previo y la copia de seguridad diferencial más reciente del viernes.

Una estrategia de copia de seguridad de red utilizará normalmente, además de tareas de copia normal, copias de seguridad incrementales o diferenciales, pero no ambas. Si es preciso enfrentarse con mucha


Capítulo 22

información para copiar dentro de una ventana de copia de seguridad limitada, las copias incrementales son más rápidas y económicas. Sin embargo, si debe realizar restauraciones frecuentemente, las copias diferenciales hacen el proceso mucho más sencillo.

Copia de seguridad diaria

Una copia de seguridad diaria copia sólo los archivos que han sido modificados en el día en que se ejecuta la tarea de copia de seguridad sin tener en cuenta el estado actual del bit de modificación.

Este tipo de tarea tampoco borra el bit de modificación de los archivos que copia mientras se ejecuta. Las tareas de copia diaria resultan útiles cuando se quiere realizar una copia de seguridad extra en un día determinado, sin afectar a la estrategia de copia de seguridad establecida, alterando el atributo de modificado de los archivos.

Copia de seguridad copia

Una copia de seguridad intermedia es equivalente a una copia de seguridad normal, excepto que el programa no desactiva el atributo de modificado de los archivos que escribe en la cinta o en el otro medio de copia de seguridad. La copia de seguridad intermedia se utiliza para realizar una copia de seguridad extra sin afectar a los atributos de modificado usados por una estrategia de copia de seguridad ya establecida.

Rotación de medios

Un esquema de rotación de medios dicta cuántas cintas (u otro tipo de medios) se usan para realizar las copias de seguridad. La mayor parte de las veces se querrán guardar copias de las copias de seguridad por si se quisiera realizar una recuperación de datos con ellas, pero eventualmente se volverán obsoletas y se podrán reutilizar. Por ejemplo, una pequeña red podría utilizar un total de cinco cintas para realizar copias de seguridad integrales a lo largo de la semana y reutilizar las mismas cintas cada semana. Sin embargo, una corporación de gran tamaño preocupada por la seguridad podría utilizar cintas nuevas para cada copia de seguridad y archivar de forma permanente todas las cintas usadas. La mayor parte de los esquemas de rotación de medios se sitúan entre estos dos extremos.

Un esquema de rotación popular se conoce como el método del abuelo-padre-hijo ya que utiliza tres "generaciones" de cintas que representan respectivamente copias de seguridad mensuales, semanales y diarias. En este esquema de rotación se realiza una copia de seguridad completa cada mes y se guarda la cinta durante un año (preferentemente en algún sitio seguro ajeno a la empresa); ésta es el "abuelo". Además se realiza una copia de seguridad completa semanalmente que se guarda durante un mes; ésta es el "padre". Las copias de seguridad que representan el "hijo" se realizan diariamente y se guardan durante una semana. Las tareas diarias pueden ser copias de seguridad completas, incrementales o diferenciales.

La finalidad de un esquema de rotación de medios es asegurar la tenencia permanente de una copia de los datos en cinta, así como la reutilización de las cintas de una manera organizada. Hay que asegurarse de


Capítulo 22

nombrar bien las cintas y de guardarlas en un lugar seguro alejado de campos magnéticos y otros entornos adversos. También se recomienda guardar las copias de seguridad en un lugar alejado, como, por ejemplo, una caja de seguridad o cualquier otro sitio asegurado contra incendios, para que, en caso de que se produzca algún desastre como un incendio, los datos se encuentren protegidos.

Algunos productos de copia de seguridad de otros fabricantes pueden implementar un esquema de rotación configurable que realiza un seguimiento de las cintas, del número de veces que se utilizan y el nombre que se debe poner en las etiquetas. Estos programas indican también qué cintas se deben introducir en la unidad cada día, así como cuáles se deben utilizar para hacer una recuperación de ciertos archivos. Desafortunadamente, Copia de seguridad de Windows 2000 carece de esta característica.

Copias de Seguridad de los Datos

El programa Copia de seguridad de Windows 2000 dispone de varios métodos para crear y ejecutar tareas de copia de seguridad. Cuando se inicia Windows 2000 por primera vez -pulsando Inicio, yendo a Programas, eligiendo Accesorios, eligiendo Herramientas de sistema y seleccionando Copia de seguridad- se muestra la ficha de Bienvenida desde la que se puede seleccionar un asistente para crear una copia de seguridad o restaurar un trabajo. Para evitar el acompañamiento del asistente, se puede crear un trabajo de copia de seguridad pulsando la pestaña de Copia de seguridad del cuadro de diálogo y accediendo directamente al interfaz de copia de seguridad.

No sólo se pueden crear trabajos de Copia de seguridad de Windows 2000 con los asistentes y la GUI, sino también ejecutando con los parámetros apropiados el programa Ntbackup.exe.

Independientemente del método que se implemente, la creación de un trabajo de copia de seguridad implica los siguientes pasos básicos:


Capítulo 22

● Seleccionar las unidades, directorios y archivos de los que se quiera hacer una copia de seguridad. ● Especificar el medio de almacenamiento destino de la copia de seguridad. ● Configurar las opciones de copia de seguridad como tipo de copia de seguridad, registro y

exclusión de archivos. ● Especificar cuándo se producirá la copia de seguridad.

Ficha de Copia de Seguridad

La ficha Copia de seguridad del programa Copia de seguridad de Windows 2000 es el lugar donde se seleccionan los archivos y directorios que se pretenden copiar, así como su destino. Se utiliza un Explorador de Microsoft Windows -una visualización jerárquica con la que se exploran unidades locales y de red, y se marcan selecciones a través de las casillas de verificación-. Para la realización de la copia de seguridad, se pueden seleccionar unidades completas o archivos individuales. El elemento Estado del sistema se encarga de realizar una copia de seguridad del Registro, de la Base de datos de registro de la máquina local, así como de otros elementos del sistema requeridos en una restauración desastre.

Creación de secuencias de comandos de selección

Una vez que se han seleccionado los archivos y directorios de los que se quiere hacer una copia de seguridad, se puede crear una secuencia de comandos de selección que contenga la configuración del trabajo que se ha creado. Después de seleccionar Guardar selecciones en el menú Trabajo, se especifica un nombre de archivo con extensión .BKS para la secuencia de comandos de selección y se especifica el directorio donde se pretende crearlo. De esta forma, a partir de una secuencia de comandos de selección, se pueden crear trabajos de copia de seguridad idénticos en sesiones sucesivas, simplemente cargando la


Capítulo 22

secuencia de comandos de selección desde el menú Trabajo. Cuando se hace esto, los mismos elementos de sistema que se seleccionaron antes de crear la secuencia de comandos se seleccionan de nuevo. A partir de aquí, se puede ejecutar el trabajo como tal o realizar selecciones adicionales. También se puede utilizar la secuencia de comandos para ejecutar el trabajo desde la línea de comandos con Ntbackup.exe.

Acceso a archivos y carpetas para la copia de seguridad

Para realizar una copia de seguridad de los archivos y carpetas, la cuenta utilizada para ejecutar el trabajo debe tener los privilegios de permisos de acceso apropiados para acceder a dichos archivos y carpetas. Los usuarios miembros del grupo de Operadores de Copia de seguridad local así como del grupo de Administradores gozan automáticamente de los permisos necesarios para realizar copias de seguridad de todos los archivos y carpetas de la máquina local. Los miembros del Grupo de operadores de copia de seguridad del dominio pueden realizar copias de seguridad de todos los archivos y carpetas de cualquier computadora del dominio, así como de las computadoras con las que existe una relación de confianza bidireccional.

Los usuarios que no sean miembros de estos grupos deberán ser bien los propietarios o tener alguno de los permisos de Lectura, Lectura y Escritura, Modificación o Control total para cada uno de los archivos o carpetas de los que se quiera realizar una copia de seguridad. Las restricciones de cuota de disco pueden limitar también la habilidad de los usuarios para realizar copias de seguridad de los sistemas.

Selección del medio de almacenamiento

Después de especificar de qué se quiere hacer una copia de seguridad, hay que indicar al programa dónde se pretende copiar los datos. Copia de seguridad de Windows 2000 muestra en Destino de la copia de seguridad la opción Archivo de manera predeterminada. Si se ha instalado una unidad de cinta a otro dispositivo gestionado por el servicio de Almacenamiento extraíble, éste también se muestra como otra opción de destino. Después de realizar la selección, se utiliza el campo Hacer copia de seguridad del medio o del Archivo para especificar un nombre de cinta o disco, o el camino y el nombre de archivo que el programa debe utilizar para crear el archivo de copia de seguridad.

Cuando se selecciona una cinta o cualquier otro tipo de unidad de almacenamiento extraíble, el campo Hacer copia de seguridad del medio permite seleccionarla por el nombre con el que ha sido creada en Windows 2000 o bien seleccionar Nuevos medios, que permite especificar un nombre para un nuevo dispositivo vacío.

Configuración de las opciones de Copia de seguridad

Desde aquí, se puede pulsar el botón Iniciar para iniciar el trabajo de copia de seguridad usando los parámetros especificados en la ficha Copia de seguridad de la ventana Copia de seguridad, o se puede continuar configurando el trabajo seleccionando Opciones en el menú Herramientas. En la pestaña General


Capítulo 22

del cuadro de diálogo Opciones, se puede especificar si el programa debe utilizar ciertas características de manipulación del medio y, lo más importante, seleccionar si se quiere que el programa compruebe los datos en la cinta antes de dar el trabajo de copia de seguridad por terminado. Un ciclo de verificación compara los datos que se han escrito en la cinta a otro medio con la copia original de los discos duros para asegurarse de que los datos se han escrito correctamente. Aunque el proceso de verificación alarga considerablemente el tiempo requerido para la realización del trabajo, resulta una buena precaución a tomar, especialmente cuando se está trabajando con una unidad recién instalada.

A pesar de que verificar la copia de los datos escritos en cinta resulta una buena precaución a tomar, no es segura al cien por cien. Muchas veces, un trabajo de copia de seguridad puede parecer que se ha completado correctamente a incluso habiendo sido verificado, pero, sin embargo, por una a otra razón, los datos no pueden restaurarse. El único método absolutamente fiable para asegurarse de que los datos que se han copiado se han escrito realmente a la cinta es realizar restauraciones de test.

En la ficha Tipo de copia de seguridad del cuadro de diálogo Opciones, se selecciona el tipo de trabajo que se quiere ejecutar (normal, incremental, diferencial, copia o diario). El tipo de copia de seguridad que aparece como predeterminado es normal, el cual resulta inapropiado para realizar una secuencia de copia de seguridad basada en los atributos de archivo para seleccionar los archivos que el programa debe guardar en la cinta.

Cuando se ejecute un trabajo de copia de seguridad utilizando el botón Iniciar copia de seguridad o el asistente de Copia de seguridad de Windows 2000 se indicará que se especifiquen valores para las opciones de copia de seguridad. Los parámetros que se especifiquen entonces para estas opciones se convertirán en los valores predeterminados de las solicitudes que se generen más adelante.

Registro de copia de seguridad


Capítulo 22

En la ficha Registro de la copia de seguridad del cuadro de diálogo Opciones, se puede especificar si se quiere que el programa mantenga un registro de las actividades que ocurran durante el trabajo, así como el nivel de detalle del registro. Dado que el registro de la copia de seguridad detallada muestra todos los archivos y carpetas copiados durante el trabajo, el archivo resultante puede ser bastante grande. Si lo que se quiere es revisar el trabajo para comprobar que todos los procedimientos se completaron con éxito, es mejor seleccionar la opción Resumen.

Los registros de copia de seguridad se graban como archivos ASCII con extensión .LOG en la subcarpeta denominada Local Settings\Application Data\Microsoft\ Windows NT\NTBackup\Data. Este camino se encuentra en la carpeta Documents And Settings asignada al usuario registrado mientras se realiza la copia de seguridad. Los registros se pueden visualizar con cualquier editor de texto, pero desafortunadamente la copia de Seguridad de Windows 2000 otorga a los archivos nombres incrementales como Backup01.log y Backup02.log, dificultando la localización de un determinado trabajo. Para visualizar un registro por el nombre del trabajo, hay que seleccionar Informe en el menú Herramientas, resaltar un trabajo en particular y pulsar el botón Ver o Imprimir. Esto visualiza o imprime el archivo del registro utilizando el Bloc de notas.

Exclusión de archivos


Capítulo 22

En la ficha Excluir archivos se pueden especificar los archivos y directorios que el programa debe excluir durante el proceso de copia de seguridad. La lista contiene de manera predeterminada los archivos de los que no se necesita realizar una copia de seguridad como, por ejemplo, el archivo de paginación de memoria de Windows 2000 (Pagefile.sys). Se pueden añadir otros archivos a la lista. La ventaja de utilizar la lista de Archivos excluidos para todos los usuarios, en lugar de simplemente eliminarlos en la ficha Copia de seguridad, radica en la posibilidad de utilizar comodines para excluir archivos situados en cualquier sitio del trabajo. Por ejemplo, se puede añadir a la lista la máscara de archivo Backup*.wbk para excluir todos los documentos creados de copia de seguridad de Microsoft Word donde aparezcan en las unidades y directorios seleccionados.

La ficha Excluir archivos contiene dos listas: una para excluir los archivos propiedad de todos

los usuarios del sistema y otra para excluir sólo los archivos cuyo propietario es el usuario que se encuentra actualmente registrado. Con esta opción, se puede añadir la máscara de archivo Backup*.wbk a la lista Usuario administrador, para omitir las copias de seguridad propias de documentos Word, evitando así molestar a otros usuarios.

Para añadir archivos a cualquiera de las listas, se pulsa sobre el botón apropiado de Agregar nuevo y se selecciona bien un tipo de archivo registrado o bien se especifica una máscara de archivo personalizada en el cuadro de diálogo Agregar archivos excluidos. También se puede especificar una ruta particular en la que los archivos -seleccionados bien por tipo de archivo o bien por máscara de archivo- se excluyan. De manera predeterminada, el programa excluirá los archivos seleccionados en la carpeta escogida y todas sus subcarpetas, pero se puede eliminar la exclusión únicamente a la carpeta seleccionada desactivando el recuadro de control Se aplica a todas las subcarpetas.

Ejecución de un trabajo


Capítulo 22

Después de configurar las opciones para el trabajo, éste se inicia pulsando el botón Iniciar en la ficha Copia de seguridad, mostrándose el cuadro de diálogo Información sobre el trabajo de copia de seguridad. El programa indica que se especifique un nombre descriptivo para el conjunto de la copia de seguridad, así como que se indique si el trabajo se debe añadir a la cinta seleccionada (u otro medio) o, por el contrario, debe sobrescribir cualquier tipo de información existente. Si se pretende sobrescribir la cinta, se debe escribir un nuevo nombre

para ella. Si se elige sobrescribir la cinta, es posible controlar el acceso a los datos volcados en la cinta seleccionando la casilla que permite que sólo el propietario y los miembros del grupo de administradores puedan restaurar los archivos.

Cuando se pulsa sobre el botón Avanzadas del cuadro de diálogo Información sobre el trabajo de copia de seguridad, el programa insta al usuario a introducir un tipo de copia de seguridad (mostrando de manera predeterminada el valor seleccionado en la ficha Tipo de copia de seguridad del cuadro de diálogo opciones) y éste debe decidir si activar o no las siguientes opciones:

● Hacer copia de seguridad de los datos en almacenamiento remoto: Cuando se selecciona, hace que el programa realice una copia de seguridad del contenedor de archivos que hace referencia a datos que hayan sido migrados a un almacenamiento remoto.

● Comprobar datos después de la copia de seguridad: Cuando se selecciona, hace que el programa compare los datos escritos en la cinta con los datos originales. El valor predeterminado se obtiene del elemento equivalente en la ficha General del cuadro de diálogo Opciones.

● Comprimir los datos de copia de seguridad para ahorrar espacio si es posible: Cuando se selecciona, activa las funciones de compresión de datos implementadas en la unidad de cinta seleccionada a otro dispositivo. La Copia de seguridad de Windows 2000 no incluye capacidad de compresión basada en software; sólo facilita el uso de las funcionalidades de compresión basada en hardware del dispositivo de almacenamiento. Esta opción se activa de manera predeterminada, si el


Capítulo 22

dispositivo elegido dispone de capacidades de compresión hardware y se desactiva, si no dispone de ellas.

● Hacer copia de seguridad automática de archivos de sistema protegidos con estado de sistema: Esta opción se activa sólo si el objeto Estado del Sistema ha sido seleccionado para la copia de seguridad. Cuando esta opción se encuentra seleccionada, todos los archivos de sistema de la carpeta %SysDir% así como sus subcarpetas se copian junto con los archivos que normalmente se copian cuando se hace una copia de seguridad del estado del sistema.

Planificación de trabajos

A partir de aquí, se puede iniciar el trabajo de copia de seguridad de manera inmediata pulsando el botón Iniciar del cuadro de diálogo Información sobre el trabajo de la copia de seguridad; sin embargo, para establecer una estrategia organizada de copia de seguridad, se deben programar los intervalos específicos de ejecución de los trabajos. Cuando se pulsa sobre el botón Programación del cuadro de diálogo

Información sobre el trabajo de copia de seguridad, si no se han guardado las selecciones de la copia de seguridad, se pedirá al usuario que las guarde antes de proseguir con la programación de la copia de seguridad.

De otro modo, el programa indica que se especifique el nombre de usuario y la contraseña de la cuenta que el sistema utilizará cuando se ejecute el trabajo. A continuación, el programa indica que se introduzca el nombre de la tarea y

muestra la fecha y hora actuales para la Fecha de inicio. Para ejecutar el trabajo más tarde, hay que pulsar el botón Propiedades para visualizar el cuadro de diálogo Programar trabajo.

Aquí se especifica si se quiere que el trabajo se ejecute una vez a una hora determinada o si se prefiere que se repita durante intervalos regulares. Las opciones disponibles en el selector de Programar tarea son las siguientes:


Capítulo 22

● Sólo una vez: Ejecuta el trabajo una sola vez en un tiempo y fecha específico.

● Diariamente: Ejecuta el trabajo a una cierta hora cada día o, si se modifica el valor de Programar la tarea diariamente, cada cierto número de días especificado.

● Semanalmente: Ejecuta el trabajo a la hora especificada en cada uno de los días de la semana seleccionados o, si se modifica el valor de Programar la tarea semanalmente, cada número de semanas especificado.

● Mensualmente: Ejecuta el trabajo a la hora especificada una vez cada mes, basándose bien en una fecha seleccionada (como el primero de cada mes), o bien en un día de la semana (como el primer lunes de cada mes). Pulsando el botón Seleccionar meses, se especifican los meses en los que el trabajo se debe realizar.

● Al inicio del sistema: Ejecuta el trabajo la siguiente vez que se inicia el sistema. ● Al inicio de sesión: Ejecuta el trabajo la siguiente vez que el propietario del trabajo inicia una

sesión. ● Cuando esté inactivo: Ejecuta el trabajo cuando el sistema permanece inactivo por un número

específico de minutos.

Las capacidades de programación de Copia de seguridad de Windows 2000 son bastante amplias aunque no siempre intuitivas. Por ejemplo, se debe seleccionar Semanalmente para ejecutar un trabajo sólo durante los días de la semana, y entonces seleccionar todos los días exceptuando sábado y domingo.


Capítulo 22

Si se selecciona el cuadro Mostrar todas las programaciones, la cabecera de la pestaña de Programación se cambia por un selector en el que se pueden crear y administrar distintas programaciones para el mismo trabajo. Se puede, por ejemplo, programar un trabajo de copia de seguridad normal para que se ejecute cada día de la semana y crear un suceso separado para que ejecute el mismo trabajo el último domingo de cada mes para crear un copia extra para su almacenamiento en un lugar seguro.

Cuando se selecciona Sólo una vez, Diariamente, Semanalmente o Mensualmente de la lista Programar tarea, se activa el botón Avanzadas. Al pulsar este botón se abre el cuadro de diálogo de Opciones de programación Avanzadas. En este cuadro de diálogo se

puede especificar una fecha a partir de la cual un trabajo repetitivo dejaría de reprogramarse, así como configurar un trabajo para que se repita continuamente después de que transcurra un intervalo específico. Esta característica puede utilizarse para copiar datos volátiles a importantes a un archivo de copia de seguridad cada cierto número de minutos como medida de precaución contra la pérdida de datos.

En la ficha Configuración del cuadro de diálogo Programar trabajo, se pueden especificar condiciones bajo las que se insta al sistema a que no ejecute el trabajo, como, por ejemplo, si el sistema no ha estado inactivo durante un cierto período de tiempo o cuando el equipo funciona con baterías. También se puede configurar el trabajo para que detenerse si no termina dentro de un período de tiempo determinado.

Una vez que se haya programado un trabajo para su ejecución posterior, éste se representará con un icono en la ficha Trabajos programados del programa de copia de seguridad. Los parámetros de cada trabajo programado se pueden modificar pulsando sobre el icono para acceder al cuadro de diálogo Opciones de trabajos programados.

Asistente para Copia de seguridad de Windows 2000

Copia de seguridad de Windows 2000 dispone de un asistente que guía a través del proceso de configuración y creación de un trabajo de copia de seguridad. Se puede iniciar el asistente desde la ficha Bienvenido del programa de Copia de seguridad, pulsando dos veces sobre un día concreto del calendario en la ficha Trabajos programados o bien pulsando el botón Agregar tarea en la ficha Trabajos


Capítulo 22

programados. Si se han seleccionado ya las unidades, las carpetas o los archivos de los que se pretende hacer una copia de seguridad en la ficha Copia de seguridad, el programa ofrece usar dichas selecciones en el asistente cuando se selecciona una fecha.

Las indicaciones que presenta el asistente se corresponden con las opciones disponibles en los cuadros de diálogo regulares GUI del programa, y ayudan por tanto a los usuarios a recordar las capacidades del programa previniéndoles así de omitir de forma inadvertida algunas opciones importantes.

Ejecución de trabajos desde la línea de comandos

Además de crear trabajos de copia de seguridad utilizando el asistente y la GUI, también se pueden ejecutar trabajos desde la línea de comandos. De hecho, cuando se programa un trabajo con la GUI o el Asistente de copia de seguridad para una ejecución posterior, el programa realmente utiliza el Programador de tareas de Windows 2000 para activar el trabajo utilizando los comandos en línea equivalentes a las opciones que se han elegido. Cuando se abre la aplicación Tareas programadas en el Panel de control y se pulsa dos veces sobre el nombre con el que se guardó el trabajo, se puede observar la línea de comando para el trabajo en la ficha Tarea del cuadro de diálogo.

El archivo ejecutable para el programa de copia de seguridad de Windows 2000 continúa llamándose Ntbackup.exe y se localiza en la carpeta \%SysDir%\System32. La mejor utilidad para esta funcionalidad de comando en línea es la ejecución de secuencias de comandos de selección que hayan sido creadas previamente con el interfaz GUI del programa de copia de seguridad desde archivos de procesamiento por lotes a otras secuencias de comandos. La sintaxis para ejecutar Ntbackup.exe desde la línea de comandos es la siguiente:

Ntbackup backup [systemstate] bksfilename|foldername /J jobname" [/P poolname"] [/G guidname"] [/T tapename"] [/N medianame"] [/F backupfilename"] [/D setdescription"] [/DS servername"] [/IS servername"] [/A] [/V: {yes|no}] [/R: {yes|no}] [/L:{f|s|n}] [/M backuptype] [/RS:{yes|no}] [/HC:{on|off}]

● backup: Especifica que el programa realizará una operación de copia de seguridad (a pesar de que restore no es un parámetro válido de la línea de comandos).

● systemstate: Especifica que el programa copiará adicionalmente el estado del sistema junto con los archivos y carpetas especificados en la línea de comandos de la computadora local o en la secuencia de comandos de selección.

● bksfilenamelfoldername: Especifica el nombre del archivo del secuencia de comandos de selección o el nombre de la carpeta de la que el programa se encargará de hacer la copia de seguridad (conjuntamente con sus subcarpetas).

● /J "jobname" : Especifica el nombre para el trabajo de copia de seguridad con el que el programa lo identificará en el archivo de registro.

● /P "poolname": Especifica el nombre del medio desde donde el programa toma la cinta (u otro medio) para realizar la copia de seguridad. Esta opción no debe utilizarse con los conmutadores /A,


Capítulo 22

/G, /F o /T. ● /G "guidname": Especifica que el programa realiza una copia de seguridad a la cinta (o a otro

medio) identificada con la variable guidname. Esta opción no puede utilizarse conjuntamente con el conmutador /P.

● /T "tapename": Especifica que el programa realiza una copia de seguridad a la cinta (o a otro medio) identificada con la variable tapename. Esta opción no puede utilizarse conjuntamente con el conmutador /P

● /N "medianame": Especifica el nuevo nombre para una cinta (o medio) sobre la que el trabajo de copia de seguridad se encuentra sobreescribiendo. Esta opción no puede usarse conjuntamente con el conmutador /A.

● /F "backupfilename": Especifica el nombre del archivo .BKF sobre el que el programa copia los archivos y carpetas seleccionados. Esta opción no puede utilizarse conjuntamente con los conmutadores /P, /G o /T.

● /D "setdescription": Especifica la etiqueta descriptiva que se asocia al conjunto de copias de seguridad.

● /DS "servername": Hace que el programa realice una copia de seguridad del archivo de servicio de directorios de un servidor específico de Microsoft Exchange.

● /IS "servername": Hace que el programa realice una copia de seguridad del archivo de almacenamiento de información de un servidor específico de Microsoft Exchange.

● /A: Hace que el programa añada el trabajo de copia de seguridad a la cinta o medio especificado por el conmutador /G o /T. Esta opción no puede utilizarse conjuntamente con el conmutador /P

● /V:{yes|no}: Especifica si el programa debe o no verificar los datos una vez que se ha completado la copia de seguridad.

● /R:{yes|no}: Especifica si el acceso a los datos en la cinta o medio se debe restringir al propietario del trabajo y a los miembros del Grupo de administradores.

● /L:{f|s|n}: Especifica el tipo de registro que se mantiene mientras se realiza la copia de seguridad, donde f = detallada, s = resumen y n = ninguna.

● /M backuptype: Especifica el tipo de copia de seguridad a realizar, donde backuptype se sustituye por uno de los siguientes valores: normal, incremental, diferencial, copia o diaria.

● /RS:{yes|no}: Especifica si se debe o no realizar una copia de seguridad de la base de datos de medios de almacenamiento extraiibles.

● /HC:{on|off}: Especifica si el programa debe o no activar las capacidades de compresión hardware de la unidad de cinta.

Los valores predeterminados de los conmutadores /V, /R, /L, /M, /RS y /HC se corresponden con las configuraciones actuales de las correspondientes opciones de los cuadro de diálogo GUI del programa de copia de seguridad.

Recuperación de Datos

Naturalmente, las copias de seguridad serían inútiles si no se pudiesen restaurar los archivos que contienen, y Windows 2000 permite la recuperación de archivos y directorios individuales o la recuperación total del conjunto de archivos de la copia de seguridad a su emplazamiento original. Al igual


Capítulo 22

que con las funciones de copia de seguridad del programa, se pueden crear trabajos de recuperación usando las pantallas GUI o un asistente.

Selección de los archivos que hay que recuperar

Cuando se visualiza la ficha Restaurar del programa de copia de seguridad de Windows 2000, se observa una lista de los medios en el conjunto de medios de la copia de seguridad así como los archivos de copia de seguridad que se han creado. Como parte de cada operación de copia de seguridad, la copia de seguridad de Windows 2000 crea un catálogo del conjunto de copia de seguridad y lo graba en la cinta o en otro medio (si un trabajo de copia de seguridad ocupa dos o más cintas, el catálogo del conjunto de copia de seguridad se graba en la última cinta). El programa accede a este catálogo cada vez que se selecciona una cinta de la lista para restauración.

Cuando se inserta la cinta apropiada en la unidad, el programa lee el catálogo y muestra los contenidos de la cinta de forma jerárquica al igual que en la ficha de copia de seguridad. Las unidades, archivos y carpetas que se pretende recuperar se seleccionan de la misma forma que cuando se seleccionaron para ser copiadas.

Selección de los destinos para los archivos recuperados

En una situación de recuperación de un desastre, probablemente se querrá hacer una recuperación total del conjunto de la copia de seguridad a su destino original, pero la mayoría de las veces, los administradores de red realizan recuperaciones para restaurar una copia de un archivo o carpeta que un usuario ha borrado accidentalmente o que se ha dañado de algún modo. Cuando sucede esto, podría desearse no recuperar los archivos en sus emplazamientos originales y por eso la copia de seguridad de Windows 2000 suministra opciones que permiten especificar otros emplazamientos. El selector Restaurar archivos en de la ficha


Capítulo 22

Restaurar suministra las siguientes opciones:

● Ubicación original: Recupera todas las carpetas y archivos seleccionados a sus emplazamientos originales en local o en las unidades de red, preservando la estructura original de los directorios.

● Ubicación alternativa: Recupera todas las carpetas y archivos seleccionados en una carpeta específica, manteniendo la estructura de directorios del material recuperado.

● Carpeta única: Recupera todas las carpetas y archivos seleccionados en una carpeta única específica, sin tener en cuenta la estructura de directorios original.

Si cuando se realiza una recuperación, se elige usar la opción de Carpeta única y existen archivos con nombres idénticos en los directorios seleccionados, el programa utilizará los parámetros de la ficha Restaurar del cuadro de diálogo Opciones para determinar si se deben sobreescribir los primeros archivos con los subsiguientes archivos con nombres idénticos.

Definición de las opciones de recuperación


Capítulo 22

En la ficha Restaurar del cuadro de diálogo opciones se especifica el comportamiento del programa de copia de seguridad cuando éste se encuentra con archivos existentes con los mismos nombres durante una operación de recuperación. Las opciones disponibles son las siguientes:

● No reemplazar este archivo en mi equipo: Recupera únicamente los archivos que no existen en el disco destino.

● Reemplazar este archivo en mi disco sólo si el archivo en el disco es más antiguo: Compara las fechas de los archivos con nombres idénticos y sobreescribe los archivos existentes en el disco destino sólo si la versión de copia de seguridad es más reciente.

● Reemplazar siempre el archivo en mi equipo: Recupera todos los archivos seleccionados al disco destino, sobrescribiendo cualquier archivo con idéntico nombre.

Cuando se pulsa el botón Iniciar, el cuadro de diálogo Confirmar restauración ofrece la oportunidad de pulsar el botón Avanzadas para configurar las opciones de recuperación avanzadas siguientes antes de comenzar el proceso de recuperación:

● Restaurar seguridad: Especifica si el programa debe recuperar todos los parámetros de seguridad de cada archivo o carpeta, incluyendo propietario, permisos y entradas de auditorias. Para recuperar los parámetros de seguridad, el destino del trabajo de restauración debe ser una unidad NTFS (y los archivos y carpetas deben de haberse copiado desde una unidad NTFS).

● Restaurar la base de datos de medios de almacenamiento extraíbles: Especifica si el programa debe restaurar la Base de datos de medios de almacenamiento extraíbles a la carpeta \%SysDir%\System32\Ntmsdata, sobreescribiendo cualquier base de datos de medios de almacenamiento extraíbles en esa ubicación.


Capítulo 22

● Restaurar los puntos de unión y restaurar en su ubicación original los datos de archivos y carpetas que se encuentren bajo puntos de la ubicación original: Especifica si el programa debe restaurar los puntos de unión creados con unidades montadas, así como los datos a los que señalan los puntos de unión. Cuando esta casilla de verificación se desactiva, la Copia de seguridad de Windows 2000 restaura los puntos de unión, pero no necesariamente los datos a los que hacen referencia.

● Al restaurar conjuntos de datos replicados, marcar los datos restaurados como los datos principales para todas las réplicas: Especifica si el programa debe restaurar los datos del Servicio de réplica de archivos (File Replication Service, FRS) de forma que éstos sean duplicados en otros servidores. Cuando esta funcionalidad permanece desactivada, la Copia de seguridad de Windows 2000 restaura los datos del FRS, pero debido a su antigüedad, es probable que se sobreescriban más tarde por los datos de réplicas de otros servidores.

La Copia de seguridad de Windows 2000 sólo puede ejecutar trabajos de recuperación de manera inmediata. El programa no puede programar recuperaciones para su ejecución.

Planificación ante los desastres

La peor pesadilla de cualquier administrador de red es el fallo catastrófico de un disco duro del servidor, y muchos otros desastres pueden acabar en la destrucción de discos a incluso de sistemas completos. Asegurarse de tener las copias de seguridad actuales de los discos es una parte esencial a la hora de ejecutar cualquier plan de recuperación ante el desastre, pero, además, otros elementos del sistema de Windows 2000 se deben proteger. La Copia de seguridad de Windows 2000 incluye funcionalidades adicionales que permiten proteger la configuración completa del sistema para simplificar el proceso de restauración de la computadora a su estado original.

Copias de seguridad del estado del sistema

Una entrada adicional denominada Estado del sistema aparece junto con las letras de las unidades locales bajo la cabecera Mi Pc en la ficha Copia de seguridad de la Copia de seguridad de Windows 2000. La selección de esta entrada hace que el programa realice una copia de seguridad de los componentes de la configuración del sistema local que no son accesibles directamente a través del sistema de archivos. Estos componentes incluyen los siguientes:


Capítulo 22

● Registro (en ambos, servidores y estaciones de trabajo).

● Base de datos de registro de clases (en ambos, servidores y estaciones de trabajo).

● Archivos de inicio del sistema (en ambos, servidores y estaciones de trabajo).

● Base de datos de servicios de certificados (sólo en controladores de dominio).

● Servicios de directorio Active Directory (sólo en controladores de dominio). Directorio SYSVOL (sólo en controladores de dominio).

La realización de una copia de seguridad de estos componentes hace posible la restauración completa de un sistema a un disco nuevo sin perder ningún dominio, ninguna cuenta local de usuario, así como ninguno de los derechos y permisos asociados con ella. Sólo se puede hacer una copia de seguridad del estado del sistema de la máquina local, lo que significa que, si existen múltiples sistemas de Windows 2000 en la red, el programa de copia de seguridad se tendrá que ejecutar en cada computadora para protegerlas íntegramente. Sin embargo, la mayor parte de las veces, sólo los servidores de Windows 2000 contendrán información irremplazable sobre el estado del sistema.

Como consecuencia de las dependencias existentes entre los distintos elementos del estado del sistema, éstos no se pueden ni copiar ni restaurar individualmente; se deben tratar como un elemento unificado. Sin embargo, el estado del sistema sí puede recuperarse en una ubicación alternativa, en cuyo caso, el programa sólo restaura el registro, SYSVOL y los archivos de inicio del sistema.

A pesar de que no se pueda hacer una copia de seguridad del estado del sistema de sistemas remotos, sí se puede hacer copia de los discos a través de la red. Se pueden proteger todos los sistemas ejecutando primero un trabajo de copia de seguridad en cada computadora de Windows 2000; este trabajo guarda sólo el estado del sistema en un archivo en la


Capítulo 22

computadora que dispone de la unidad de cinta (u otro medio de copia de seguridad). Así, haciendo una copia de seguridad de la máquina completa, conjuntamente con los discos situados en sistemas remotos, se estarán protegiendo todos los discos así como el estado del sistema de cada máquina.

Tratamiento de los problemas de la Copia de Seguridad y de las Restauraciones

La copia y restauración de datos en un sistema de red es un proceso que siempre ha estado supeditado a ciertos problemas y consideraciones. Copia de seguridad de Windows 2000 hace referencia a alguno de estos problemas, tal y como se explica en las siguientes secciones.

Copias de seguridad de los servidores Exchange

Debido a su constante uso, los servidores de correo como Microsoft Exchange presentan algunos problemas complejos de copia de seguridad. Copia de seguridad de Windows 2000 presenta una funcionalidad específica diseñada para realizar copias de seguridad de los servidores Exchange, y que aparece sólo cuando el programa detecta en el sistema local el módulo de Exchange Edbbcli.dll. Cuando este módulo está presente, un elemento de Microsoft Exchange aparece en el menú Herramientas del programa de copia de seguridad, permitiendo especificar el nombre del servidor Exchange al que se quiere que acceda el programa a través del convenio universal de denominaciones (Uniform Naming Convention, UNC). También, la lista expandible de la ficha Copia de seguridad incluye un icono de Microsoft Exchange que puede seleccionarse para hacer una copia de seguridad del servidor de correo.

Copias de seguridad de los archivos cifrados

Los sistemas de archivos de Windows 2000 guardan los archivos cifrados de la misma forma que los archivos no cifrados; sólo se diferencian en el formato de datos. De esta forma, la realización de copias de seguridad de archivos cifrados no compromete de ninguna forma su nivel de seguridad. Los archivos se guardan en una cinta a otro medio con su formato cifrado y se restauran de la misma forma. El personal encargado de realizar las copias de seguridad de estos archivos no necesita de esta forma acceso a los códigos de cifrado, ni el acceso directo a la cinta presenta ningún riesgo.

Restauración del estado del sistema

Realizar una copia de seguridad del estado del sistema es tan simple como seleccionar el cuadro apropiado en la pestaña de Copia de seguridad, pero su restauración resulta un poco más complicada. El proceso de restauración no debe sólo sobrescribir los datos vitales del sistema actualmente en uso, como por ejemplo el registro, sino que debe también (en el caso de controladores de dominio) restaurar la base de datos Active Directory. Este problema resulta un tanto difícil porque en un dominio con múltiples controladores de dominio, el sistema de réplica puede sobreescribir los nuevos datos restaurados debido a sus anticuados números de secuencia de actualización.


Capítulo 22

Por ello, para restaurar de forma efectiva el estado del sistema con un controlador de dominio, se deben realizar dos procedimientos especiales durante el proceso de restauración: iniciar la computadora en el modo de restauración de servicios de directorio y realizar una restauración autoritaria de la base de datos Active Directory.

Sólo es posible restaurar el estado del sistema en el sistema local. El programa Copia de seguridad de Windows 2000 determina automáticamente la ubicación correcta de los datos restaurados, basándose en la ubicación del directorio raíz del sistema (normalmente C:\Winnt), y sobrescribe los datos del estado del sistema actual en la computadora.

Modo de restauración de servicios de directorio

Para restaurar Active Directory y el volumen SYSVOL en el controlador de dominio de Windows 2000, se debe reiniciar el sistema en modo de restauración de servicios de directorio, un modo de seguridad que asegura que el sistema se encuentra preparado para sobrescribir su base de datos Active Directory. Para hacer esto, hay que reiniciar el sistema y cuando se observe el mensaje Por favor seleccione el sistema operativo para comenzar, se debe presionar la tecla F8. Desde el menú de inicio, hay que seleccionar el modo de restauración de servicios de directorio. Después de comprobar la integridad de las unidades de disco, Windows 2000 carga el sistema operativo con una configuración de servidor independiente y con un conjunto de controladores genéricos que permiten un modo de acceso seguro al sistema operativo.

Dado que el sistema de controlador de dominio no se encuentra funcionando en este momento como un controlador de dominios, se podrán ver mensajes de error que indiquen que los servicios dependientes del Active Directory no se han cargado. Esto es previsible. Dado que la máquina no se encuentra funcionando como un controlador de dominio, no está utilizando los objetos de grupos y usuarios asociados con el dominio. En su lugar, el sistema se encuentra utilizando un pequeño conjunto de cuentas de grupo y usuario almacenadas en el registro en lugar del Active Directory. A partir de aquí, se puede ejecutar la copia de seguridad de Windows 2000 y restaurar el estado del sistema.

Restauración autoritaria

Cuando se recupera el estado del sistema en un controlador de dominio, los objetos restaurados de Active Directory tienen los mismos números de secuencia de actualización que cuando se les aplicó la copia de seguridad. Estos números son necesariamente más antiguos que aquellos que se encuentran actualmente en uso en el Active Directory y por ello se les considerará anticuados y se sobrescribirán durante el siguiente ciclo de réplica. Para evitar que esto ocurra, se debe realizar una Restauración autoritaria de los datos del Active Directory almacenados como parte del estado del sistema en el medio donde se ha realizado la copia de seguridad. Una restauración autoritaria es aquélla que indica los objetos restaurados del Active Directory como autoritarios, lo cual significa que durante el siguiente suceso de réplica, éstos sobrescribirán los objetos equivalentes de los controladores de dominio que contienen las réplicas.

Para realizar una restauración autoritaria, se debe ejecutar después de restaurar el estado del sistema y antes de reiniciar la computadora el programa de Windows 2000 Ntdsutil.exe, el cual modificará los


Capítulo 22

números de secuencia de actualización de los objetos restaurados para que hagan parecer a las réplicas que contienen los últimos datos disponibles.

Ntdsutil

El programa Ntdsutil.exe es una utilidad interactiva de línea de comandos que se copia de manera predeterminada durante la instalación del sistema operativo en la carpeta \%SysDir\System32. Cuando se inicia el archivo ejecutable desde la línea de comandos se observa un indicador etiquetado como ntdsutil El programa utiliza una serie de menús para navegar a través de sus funciones. Para obtener una lista de los comandos y submenús disponibles cuando aparezca cualquier indicador, hay que introducir un signo de interrogación (?) o help. Para realizar una restauración autoritaria, hay que escribir authoritative restore en el indicador ntdsutil y, a continuación, introducir help para visualizar los siguientes comandos disponibles:

● Restore Database: Modifica los números de secuencia de actualización de todos los objetos del Active Directory, haciendo que se conviertan en autoritarios para todo el dominio.

● Restore Database Verinc %d: Restaura de manera autoritaria la base de datos entera especificada por la variable %d a ignora el incremento de versión.

● Restore Subtree %s: Modifica los números de secuencia de actualización de los objetos del Active Directory en el subárbol especificado por la variable %s, convirtiéndolos en autoritarios para todo el dominio.

● Restore Subtree %s Verinc %d: Restaura de manera autoritaria el subárbol especificado por la variable %s a ignora el incremento de versión.

De esta forma, para usar la base de datos completa del Active Directory restaurada con el estado del sistema como información autoritaria, se utiliza el comando Restore Database en el indicador authoritative restore: del comando Ntdsutil.exe. El programa abre la base de datos a incrementa el número de versión de todos los objetos del Active Directory en 100.000. Una vez completado el proceso, se puede salir del programa introduciendo quit dos veces y reiniciando el sistema en modo normal. Cuando la computadora se encuentre funcionando como un controlador de dominios de nuevo, replicará su base de datos Active Directory al resto de los controladores del dominio y, dado que los números de versiones de sus objetos serán sustancialmente superiores que los de sus .réplicas, el sistema copiará los datos restaurados a todas las réplicas del dominio.

Conservación de los permisos NTFS

Los permisos del sistema de archivos son un elemento esencial de cualquier estrategia de almacenamiento en red, y para que un programa de copia de seguridad funcione dentro de un entorno de red, éste debe ser capaz de guardar los permisos conjuntamente con los archivos así como de restaurarlos ya sea en su ubicación original o en otra distinta. Sin embargo, la variedad de sistemas de archivo que soporta Windows 2000 complica el proceso considerablemente. Los sistemas de archivo FAT no soportan permisos y, si se restaura una copia de seguridad de una unidad NTFS a una unidad FAT, estos permisos se pierden.


Capítulo 22

La introducción de NTFS 5 en Windows 2000 presenta otra incompatibilidad importante, que es la de unidades NTFS creadas con Microsoft Windows NT 4. Cuando se restaura una copia de seguridad de una unidad NTFS 5 a otra unidad Windows NT4 NTFS, se pierden los siguientes elementos:

● Permisos. ● Parámetros de configuración del Sistema de cifrado de archivos (Encrypting File System, EFS). ● Información de la cuota de disco. ● Información sobre unidades montadas. ● Información sobre almacenamiento remoto.

La pérdida de estos elementos puede comprometer la seguridad de la red y hacer imposible el acceso a datos que se encuentran cifrados o almacenados en otra unidad o medio. La restauración de archivos de datos de NTFS 5 a otro sistema de archivos puede causar la pérdida de datos de documentos incrustados o vinculados, así como de formatos de almacenamiento de datos alternativos como, por ejemplo, los usados por los servicios de Macintosh, archivos de imágenes de disco y ciertos tipos de archivos personalizados por ciertas aplicaciones de otros fabricantes. Antes de realizar una restauración NTFS, se debe tener en cuenta el sistema de archivos utilizado en la unidad de destino.


Capítulo 23

Capítulo 23

El Registro suscita miedo a muchos administradores de sistemas porque es el almacén central de los parámetros de configuración del sistema. Cometer errores mientras se edita el Registro puede tener consecuencias indeseables, pero su uso no difiere mucho del de un automóvil o máquina de coser. Todas las herramientas potentes producen consecuencias negativas si no se usan adecuadamente. Si se sabe lo que se está haciendo y se toman algunas precauciones simples, se puede sacar un gran provecho de una herramienta potente -como el Registro- sin miedo.

Introducción al Registro

El Registro es una base de datos binaria que organiza jerárquicamente todos los parámetros de configuración del sistema. Las aplicaciones, los componentes del sistema, los controladores de dispositivos e incluso el núcleo de Microsoft Windows 2000 utilizan el Registro para almacenar sus preferencias, leerlas de nuevo y obtener información acerca de la configuración hardware del sistema, las preferencias de usuario actuales y las configuraciones predeterminadas que deben usarse cuando no existen parámetros predefinidos (como por ejemplo, cuando un usuario nuevo inicia una sesión en el sistema por primera vez).

Orígenes del Registro

Anteriormente, en los años de Microsoft Windows 3.1, tanto las aplicaciones como Windows almacenaban la información de sus configuraciones en archivos .INI. Estos archivos eran fáciles de editar, lo cual era una bendición y una maldición -los usuarios podían realizar cambios fácilmente cuando era necesario, pero también podían efectuar cambios cuando éstos no eran necesarios-. La proliferación de aplicaciones Windows supuso el esparcimiento por las computadoras de docenas de archivos .INI, cada uno de ellos con su propia combinación de parámetros (sin que la mayoría de éstos pudiera ser documentado o incluso comprendido por personas que no fueran los propios programadores de la aplicación).

Windows NT 3.1 casi eliminó por completo los archivos .INI introduciendo el predecesor de lo que hoy se conoce como Registro de Windows 2000. El Registro de Windows NT 3.1 tenía algunas características de importancia que han continuado, o más o menos no han sufrido alteraciones, hasta Windows 2000.

● La información del Registro se organiza por categorías, de forma que los parámetros que pertenecen a un usuario concreto (como la elección del papel del tapiz) se guardan separadamente de los parámetros de otros usuarios o los propios parámetros internos del sistema. Cada parámetro se guarda como una pieza de información independiente.

● La información del Registro se almacena en archivos de base de datos binarios en disco; la única forma de visualizar o editar estos archivos es utilizando herramientas especiales destinadas a este propósito que se llaman a través de las rutinas de acceso al Registro de la Win32 API.

● Cada elemento de datos en el Registro tiene un tipo de datos, como REG_DWORD (un entero largo) o REG_SZ (una cadena ASCII). Los editores del Registro del sistema vigilan el cumplimiento de estos tipos de datos, por eso no puede ponerse una cadena donde habría que poner un número. Esta restricción permite eliminar un tipo de errores (los intentos bien intencionados pero desinformados de poner una clavija redonda en un taco cuadrado).

● Al igual que cualquier objeto del sistema, cada elemento del Registro tiene un propietario, pudiendo tener su propio conjunto de listas de control de acceso Access Control Lists, ACL) y controles de auditoria.

● Con los permisos apropiados, los administradores o programas de una computadora pueden conectarse, leer y modificar los registros de computadoras remotas.


Capítulo 23

Algunas de estas características también existen en Windows 95/98, que comparten los principios de organización del Registro de Windows NT sin sus características de seguridad y acceso remoto. Las dos familias de sistemas operativos (SO) utilizan formatos internos diferentes para sus bases de datos del Registro a pesar de que sus registros parecen similares para las herramientas de edición del Registro; sus archivos no son intercambiables ni interoperativos.

Quizás el aspecto más destacable del Registro de Windows 2000 es lo poco que ha cambiado con respecto a su versión anterior en Windows NT 4. Las estructuras binarias para almacenar los datos son las mismas.

Datos del Registro

La información del Registro se utiliza en seis áreas diferentes:

● La información del Registro se utiliza durante la puesta en marcha, instalación, configuración y eliminación del propio SO, de componentes del SO como los servicios de Internet Information Server (IIS) o Certificate Server, así como de dispositivos hardware. Cada vez que se ve un «Agregar/eliminar algo a otro Asistente» se utiliza la información del Registro.

● Durante el tiempo de inicio del sistema, el reconocedor de Windows 2000 (Ntdetect.com) y algún código asociado en el núcleo de Windows 2000 busca los dispositivos hardware y almacena lo que encuentra en una porción de memoria del Registro.

● El núcleo de Windows 2000 utiliza la información recogida durante el inicio del sistema para decidir qué controladores de dispositivo cargar y en qué orden; también almacena la información que necesitan dichos controladores en el Registro.

● Los controladores de dispositivo utilizan la información escrita por el reconocedor y el núcleo para autoconfigurarse en función del hardware físico que se encuentre en la máquina.

● Las herramientas del sistema y las aplicaciones, como los paneles de control y algunos complementos MMC, leen y escriben información de configuración en el Registro.

● Las aplicaciones pueden almacenar sus propios parámetros en el Registro; es más, pueden incluso leer (y posiblemente escribir) la información reunida por otro software que utiliza el Registro.

Hay que tener en cuenta que durante las fases de inicio, del núcleo o del controlador de dispositivos, el sistema no puede utilizar el disco --el sistema no puede « hablar» al disco hasta que se cargan los controladores de dispositivo-.

Microsoft advierte constantemente de que la edición del Registro es peligrosa; ¿es así realmente o simplemente se están cubriendo las espaldas? La respuesta se encuentra más o menos entre los dos extremos. Dado que el Registro se utiliza por casi cualquier parte de Windows 2000, y dado también que los programadores son perezosos a la hora de escribir código que compruebe los valores que provienen del Registro, cualquier cambio inadecuado o poco contrastado que se haga al Registro, puede provocar un gran daño a la máquina. Dicho esto, sin embargo, si se tiene cuidado y se presta atención, no hay razón alguna para temer al Registro. Algunas reglas simples ayudan a evitar los problemas bastante:

● No editar ninguna parte del Registro por diversión. Si no se sabe cómo puede afectar al sistema un cambio puntual, es mejor no hacerlo a menos que uno sepa cargar con las consecuencias.

● Hay que ser cuidadoso a la hora de añadir nuevos valores o claves. El software sólo prestará atención a las claves que contengan nombres que pueda comprender. El añadir una nueva clave o valor esperando que algún componente la reconozca y cambie su comportamiento es como añadir un nuevo botón denominado < Propulsión a chorro> en el salpicadero del coche y esperar que éste incremente su velocidad. La excepción a esta regla es que Microsoft utiliza a menudo código capaz de reconocer claves ocultas (o al menos poco documentadas) y


Capítulo 23

cambiar su comportamiento apropiadamente. ● Mantener una copia de seguridad actual del estado del sistema.

Estructura del Registro

En un sistema de archivos, los objetos raíz son discos que contienen carpetas o archivos. Una carpeta concreta puede contener un número arbitrario de otras carpetas y archivos; cada carpeta o archivo tiene un nombre. Combinando los nombres de las carpetas que incluyen un archivo, se puede construir un camino capaz de nombrar sin ambigüedad un único archivo del disco, de forma que, por ejemplo, C:\Windows\Mapi32.dll y C:\Winnt\Mapi32.dll sean dos archivos completamente distintos.

El Registro de Windows 2000 se encuentra organizado en gran parte como un sistema de archivos, si bien el vocabulario necesario para su descripción es algo diferente. En la raíz de la estructura del Registro se encuentran las claves predefinidas (comparables con los discos en el sistema de archivos). Cada clave predefinida contiene varias subclaves (carpetas); continuando, estas subclaves contienen otras subclaves y valores (las que equivalen en el Registro a los archivos). Al igual que pasa con los archivos, cada valor tiene un nombre que debe ser único en la subclave o carpeta que lo contiene; cada valor tiene un tipo de datos asociado que rige el tipo de datos que puede soportar.

Cualquier valor del Registro puede identificarse especificando su camino completo comenzando desde la raíz. Por ejemplo, el camino HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Exchange \Security \ObscureWireDataFormat especifica un valor concreto en la subclave de Security perteneciente a Microsoft Exchange Server.

Las claves predefinidas

Cuando se abre el icono Mi PC en el escritorio, siempre se ven ciertos elementos, como los iconos que representan los volúmenes de disco lógicos de la computadora. Lo mismo se aplica al Registro. Cuando éste se abre con un Editor del Registro, siempre se observa el mismo conjunto de claves predefinidas.


Capítulo 23

Cada

clave predefinida tiene un propósito diferente:

● HKEY_LOCAL_MACHINE almacena todos los parámetros pertenecientes a la máquina local. Por ejemplo,. la subclave HARDWARE de HKEY_LOCAL_MACHINE es donde el sistema y sus controladores de dispositivo almacenan y comparten la información de los dispositivos hardware que el sistema encuentra durante el inicio (al igual que otros dispositivos Plug-and-Play que se pueden añadir una vez que el sistema se ha iniciado). Las aplicaciones sólo deben guardar información aquí si ésta pertenece a todo el mundo que utiliza la máquina; por ejemplo, un controlador de impresora podría guardar aquí un conjunto de parámetros predeterminados de impresión y copiarlos a cada perfil de usuario nuevo cuando éste o ésta inician una sesión.

● HKEY_USERS contiene una entrada para cada usuario que haya iniciado una sesión previamente en la computadora. Cada entrada de usuario pertenece a la cuenta del mismo usuario, y contiene los parámetros del perfil habilitado para ese usuario. Cuando se utilizan directivas de grupo, los parámetros de directiva especificados se aplican al perfil de cada usuario concreto aquí.

● HKEY_CURRENT_CONFIG guarda la información relativa a la configuración actual del inicio del sistema. En particular, contiene información sobre el conjunto actual de servicios del sistema, así como sobre los dispositivos presentes durante el tiempo de inicio. Esta clave predefinida es realmente un puntero a secciones dentro de HKEY_LOCAL_MACHINE.

● HKEY_CURRENT_USER apunta al perfil del usuario que haya iniciado la sesión actual dentro de HKEY_USERS. Microsoft requiere que las aplicaciones de Windows 2000 guarden las preferencias específicas de los usuarios en las subclaves que se encuentran por debajo de HKEY_CURRENT_USER; por ejemplo, HKEY_CURRENT_USER\SOFTWARE\Binary Research\GhostSrv\Settings almacena las preferencias de usuario personales del producto Symantec's Ghost. Otro tipo de configuración de usuario para el mismo producto se encontraría disponible en la misma clave sólo cuando el usuario se encuentre con una sesión abierta.

● HKEY_CLASSES_ROOT enlaza las extensiones de archivo y los identificadores de clases OLE; realmente apunta a HKEY_LOCAL_MACHINE\SOFTWARE\Classes. Los componentes del sistema como el explorador de Windows (y Microsoft Internet Explorer)


Capítulo 23

utilizan estas asociaciones para determinar qué componentes o aplicaciones usar cuando se abre o se crea un tipo particular de archivo a objeto de datos. Dado que Windows 2000 se basa profundamente en el Modelo de objetos de componentes (Component Object Model, COM), quien a su vez se basa en los identificadores de objeto que se encuentran en HKEY_CLASSES_ROOT, esta clave y sus subclaves son más importantes de lo que pudiera parecer en un principio.

En la documentación de Windows 2000, Microsoft identifica únicamente dos claves predefinidas: HKEY_LOCAL_MACHINE y HKEY_USERS. Dado que HKEY_CURRENT_USER, HKEY_CURRENT_CONFIG y HKEY_CLASSES_ROOT son realmente punteros a subclaves de HKEY_LOCAL_MACHINE y HKEY_USERS, esto es técnicamente correcto, pero uno podría confundirse si se adhiere a la idea de la existencia de cinco clases predefinidas separadas. Para evitar dicha confusión, se utilizará la notación antigua.

Un cambio importante en el Registro de Windows 2000 implica a HKEY_CLASSES_ROOT. En Windows NT 4 y sus versiones anteriores, la información en HKEY_CLASSES_ROOT es la misma para todos los usuarios. De alguna forma, ésta fue una decisión de diseño razonable que toma Microsoft (todos los usuarios de una máquina tienen acceso al mismo conjunto de componentes OLE instalados y a la misma correspondencia de archivos).

Sin embargo, una de las quejas más comunes expresadas por los administradores cuyos usuarios debían compartir máquinas era que las asociaciones predeterminadas de dos usuarios podían diferir bastante. Si un usuario elige Netscape Navigator como navegador Web predeterminado, ello modifica el HKEY_CLASSES_ROOT; si un usuario selecciona posteriormente Internet Explorer como navegador predeterminado para la misma máquina, esto elimina la elección original. Y lo que es más importante, la habilidad de los usuarios para cambiar estos valores reduce la seguridad del sistema de dos formas: permite que los usuarios puedan cambiar las asociaciones de otros usuarios (incrementando el riesgo de introducir código malicioso) y fuerza a los administradores a quitar permisos de HKEY_LOCAL_MACHINE\SOFTWARE\Classes, dado que todos los usuarios necesitan acceder a él.

Microsoft ha modificado este comportamiento en Windows 2000 de tal forma que el HKEY_CLASSES_ROOT contiene información procedente de dos fuentes: el perfil de usuario (donde se guardan las personalizaciones específicas del usuario) y HKEY_LOCAL_MACHINE\,SOFTWARE\Classes, donde residen los parámetros globales del sistema. Los usuarios pueden registrar y eliminar componentes COM, cambiar la asociación de archivos, etc., sin que esto afecte a otros usuarios. Los administradores pueden ajustar los permisos en HKEY_LOCAL_MACHINE\SOFTWARE\Classes de tal forma que los usuarios no puedan entrometerse con los parámetros globales de sistema que se quiere que tengan.

Subclaves principales

Dentro de las claves predefinidas, existen varias subclases cuya notación es importante. Como cada clave predefinida tiene tanta información por debajo, es normal referirse a estas subclases individuales directamente -después de todo, HKEY_LOCAL_MACHINE\HARDWARE y HKEY_LOCAL_MACHINE\SOFTWARE no tienen mucho en común, exceptuando su clave predefinida.

HKEY_LOCAL_MACHINE\HARDWARE

La subclave HKEY_LOCAL_MACHINE\HARDWARE almacena la información del hardware que se encuentra en el sistema. Todos los valores que se almacenan aquí se mantienen sólo en la RAM, no en el disco, debido al ordenamiento del controlador de dispositivos mencionado anteriormente. Cuando el reconocedor de hardware se ejecuta, enumera todos los dispositivos que encuentra al explorar los buses del sistema y buscar clases específicas de dispositivos,


Capítulo 23

como puertos paralelos o teclados. Por debajo de HKEY_LOCAL_MACHINE\HARDWARE subyacen tres subclases importantes:

● La subclave DESCRIPTION contiene descripciones de las CPU, procesadores en coma flotante y dispositivos multifunción del sistema. La información almacenada aquí se ha incrementado considerablemente en comparación con lo que se encuentra disponible en Windows NT 4; por ejemplo, la subclase CentralProcessor hace un seguimiento de un cierto número de parámetros que no se encuentran disponibles en Windows NT 4. Para computadoras que usan placas base multipropósito, como la serie Intel BX, uno de los dispositivos multifunción reflejado en esta subclase refleja los controladores integrados de la placa base, con entradas separadas para los controladores de disco, teclado, puntero, paralelo y serie.

● La subclave DEVICEMAP vincula un dispositivo específico a un controlador específico. Por ejemplo, DEVICEMAP\Video contiene un valor denominado \Device\Video 1 que contiene una cadena \REGISTRY\Machine\SYSTEM\ControlSet001\Services\mnmdd\Device0, que es un puntero al lugar donde el controlador para esa controladora de vídeo almacena sus parámetros.

● La subclave RESOURCEMAP existe en Windows NT 4, pero se ha reorganizado completamente en Windows 2000. Ahora contiene tres subclaves primarias: una para la capa de abstracción de hardware (Hardware Abstraction Layer, HAL) que se utiliza cuando se hace un seguimiento de los dispositivos que encuentra, otra para el administrador Plug-and-Play para registrar los dispositivos que sabe manejar y otra que refleja la cantidad de recursos del sistema (Microsoft-speak para la RAM) disponibles en la máquina.

Dependiendo de la configuración de la máquina, es posible que existan otras subclaves adicionales. Por ejemplo, los sistemas que soportan Advanced Configuration Power Interface (ACPI) disponen de una subclase ACPI que contiene información sobre las subclases ACPI concretas que la computadora soporta.

HKEY_LOCAL_MACHINE\SAM

El hecho de que Windows 2000 incluya el servicio de directorio Active Directory no implica que no queden vestigios de Security Accounts Manager (SAM). Cuando se crean cuentas locales o grupos en Windows 2000, éstos se almacenan en HKEY_LOCAL_MACHINE\SAM al igual que se hace en Windows NT. Sin embargo, aunque no es posible editar o visualizar la información de esta subclave, sí resulta muy útil para la compatibilidad con código de versiones antiguas de NT que da por hecho la existencia de SAM. Las rutinas de programación que acceden a la información de SAM se han reconstruido para que utilicen Active Directory cuando éste exista, o SAM si no existe un servidor Active Directory.

HKEY_LOCAL_MACHINE\SECURITY

Tal y como uno espera, HKEY_LOCAL_MACHINE\SECURITY contiene gran cantidad de información sobre seguridad. Su formato no está documentado y no es posible realizar nada en la subclave. Sin embargo, las credenciales caché de inicio de sesión del sistema, las políticas de configuración y los secretos sobre servidores compartidos residen en esta subclave. La subclave SECURITY\SAM contiene una copia de casi toda la información de HKEY_LOCAL_MACHINE\SAM.

Si uno siente curiosidad por saber lo que hay en HKEY_LOCAL_MACHINE\SAM y HKEY_LOCAL_MACHINE\SECURITY, es posible abrir estas dos claves ejecutando Regedt32 en el contexto de seguridad LocalSystem. La forma más fácil de realizar esto es utilizando el comando At para programar que Regedt32 se ejecute en una sesión interactiva. Basta con programarlo para que se ejecute más o menos durante un minuto en el futuro de la siguiente forma:

at 12:34 /interactive regedt32.exe

El comando advierte al sistema para que programe la ejecución de Regedt32 en un minuto a partir de ese momento (esto se escribe a las 12:33); file:///D|/downloads/W2000%20server/capitulo23.htm (6 of 22) [27/12/2002 20:57:11]

Capítulo 23

cuando se ejecuta, el servicio de programación del sistema inicia la aplicación de forma que se ejecute en el contexto LocalSystem en lugar del contexto en el que uno tenga actualmente abierta la sesión. A pesar de que ésta es una forma interesante de ver lo que hay en estas subclaves, hay que estar prevenido de dos cosas. La primera es que los valores que se encuentran en estas subclaves no tendrán mucho sentido para el usuario, puesto que han sido intencionadamente ocultados. La segunda, y más importante, es que no hay que olvidar que el cambio de uno de estos valores provocará casi con toda seguridad consecuencias indeseables no intencionadas. En otras palabras, se mira, pero no se toca.

HKEY_LOCAL_MACHINE\SOFTWARE

La subclave HKEY_LOCAL_MACHINE\SOFTWARE se utiliza como ubicación raíz para el almacenamiento de las configuraciones generales de las aplicaciones y componentes del sistema. Por ejemplo, HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\EnterpriseCertificates contiene claves que almacenan las Listas de confianza de certificados (Certificate Trust List, CTL) y los certificados de confianza CCA de la máquina -los certificados CCA y CTL de usuarios particulares se almacenan en otro sitio-. Los programas individuales, los paneles de control y similares pueden crear sus propias subclaves bajo HKEY_LOCAL_MACHINE\SOFTWARE; el estándar predeterminado es que cada fabricante cree su propia clave en el nivel superior (por ejemplo, HKEY_LOCAL_MACHINE\SOFTWARE\Intel) para después crear subentradas por debajo de dicha clave.

Las partes más interesantes de esta subclave son HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion (que almacena la mayor parte de la información preferente de la GUI; su nombre es el mismo que el de la correspondiente clave de Windows 95/98) y HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\CurrentVersion. Esta última subclave se ha expandido considerablemente en Windows 2000; por ejemplo, existen nuevas claves para el manejo de la recuperación automática del servidor, el Sistema de archivos de cifrado, el Editor de configuración de seguridad, Terminal Services y otras nuevas características.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

Cuando se inicia Windows 2000, la última acción que se realiza en la fase de inicio es la actualización del Registro para que refleje el conjunto de controles y servicios que se usaron por última vez para iniciar la máquina con éxito. CurrentControlSet siempre apunta al conjunto de controles que se encuentra actualmente en uso en el sistema. Si se mira en HKEY_LOCAL_MACHINE\SYSTEM, se observan principalmente claves del tipo ControlSetXXX. Cada subclave ControlSetXXX representa un conjunto de control que existió alguna vez, sin importar si se ha utilizado con éxito para iniciar la máquina. CurrentControlSet no es más que un puntero al conjunto de inicio con éxito más reciente, pero dado que no es fácil determinar qué conjunto era ése, el sistema operativo y las aplicaciones utilizan CurrentControlSet en su lugar.

Por debajo de este conjunto existen cuatro claves que heredan sus nombres de versiones anteriores de Windows NT, si bien sus entresijos difieren bastante en comparación con Windows 2000:

● Control: Contiene información de control de servicios y herramientas del sistema. Por ejemplo, Control\BackupRestore\KeysNotToRestore contiene una lista de claves que la Copia de seguridad de Windows 2000 no debe restaurar (incluyendo los contenidos de la subclave Plug-and-Play) cuando recupera el Registro.

● Enum: Contiene una entrada para cada dispositivo o pseudodispositivo físico que detecta el sistema. Por ejemplo, Enum\USB\Vid 0461&Pid 4d03\Inst 0 contiene información sobre el ratón USB que se conecta en un portátil. Dado que se encuentra presente durante el tiempo de inicio, se incluye en la lista de enumeración.

● Hardware Profiles: Contiene una entrada para cada perfil hardware definido en la máquina. A1 igual que HKEY_LOCAL_MACHINE\SYSTEM, cada perfil tiene un número de serie, comenzando siempre con 0001. HKEY_LOCAL_MACHINE\SYSTEM\Hardware Profiles\Current siempre apunta al


Capítulo 23

perfil que se selecciona durante el tiempo de inicio. ● Services: Contiene una subclave para cada servicio instalado. De hecho, estas subclaves guardan toda la información de configuración que un servicio

necesita. El conjunto exacto de claves de dos máquinas será diferente si éstas tienen diferentes servicios cargados.

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Los volúmenes de discos dinámicos de Windows 2000 son un gran logro técnico y un regalo para los administradores, pero su funcionamiento se basa en tener una configuración actual de los volúmenes lógicos en disco. Las aplicaciones (y complementos, como el complemento de Administración de archivos) toman esta información del servicio de Administración de volúmenes lógicos; de hecho, este servicio almacena su lista de dispositivos montados y disponibles en la subclave MountedDevices.

Almacenamiento de datos

A pesar de que los programas y servicios que utilizan el Registro no tienen por qué comprender cómo se almacena la información del Registro, los administradores sí deben saberlo -de esta forma es posible saber dónde se almacenan los datos, cómo utiliza el Registro los diferentes tipos de datos, así como qué archivos deben ser salvaguardados como parte de las copias de seguridad-. No es necesario conocer los formatos internos que utilizan las herramientas del Registro, pero sí los tipos de datos básicos y las ubicaciones de almacenamiento.

Cada valor del Registro (al cual Microsoft denomina entradas de valor) tiene tres partes: un nombre, un tipo de datos y un valor actual. Por ejemplo, si se mira un artículo de Microsoft Knowledge Base que hable sobre cierta clave -REG_SZ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Replicator\Parameters\GuardTime, por ejemplo-, es posible observar una definición completa de una entrada de valor (aunque siempre esté bien ver un camino completo para los valores para saber dónde añadirlos o eliminarlos).

Tipos de datos útiles

Para almacenar datos en el Registro, es posible utilizar siete tipos de datos. Realmente sólo se suelen utilizar dos tipos para almacenar la mayor parte de la información del Registro: REG_DWORD y REG_SZ. Los siete tipos son:

● REG_BINARY almacena datos binarios arbitrarios en un formato no procesado, sin ningún tipo de reformato o análisis. Es posible ver los datos binarios en formato binario o hexadecimal utilizando uno de los editores del Registro de Windows 2000.

● REG_DWORD guarda un valor de entero largo de 8 bits (o palabra doble). Este tipo se utiliza normalmente cuando una entrada indica una cuenta o intervalo, aunque también es común ver indicadores REG_DWORD (0 significa que el indicador está desactivado y 1 que está activado).

● REG_SZ es una cadena ordinaria de tipo Unicode. Estas cadenas pueden tener cualquier longitud; este tipo se utiliza normalmente para guardar caminos, mensajes legibles para los humanos, nombres de dispositivos, etc.

● REG_EXPAND_SZ es un REG_SZ con un variación -las aplicaciones pueden contener caracteres especiales en la cadena y después traducir esos caractéres cuando se lee el valor desde el Registro-. Por ejemplo, Algo es un REG_EXPAND_SZ cuyo valor normal es %SystemRoot%\System32\Algo. Cuando Windows 2000 lee la cadena, expande %SystemRoot% al camino completo donde está instalado el sistema operativo.

● REG_MULTI_SZ es una colección de un número arbitrario de valores REG_SZ. Por ejemplo, la lista de servidores DNS especificados en el cuadro de diálogo Propiedades TCP/IP se almacena en un valor REG_MULTI_SZ. Las aplicaciones deben saber cómo dividir un único REG_MULTI_SZ en sus partes correspondientes.

● REG_FULL_RESOURCE_DESCRIPTOR es un tipo raro; se utiliza para codificar información sobre los recursos de sistema requeridos por un


Capítulo 23

dispositivo concreto. Nunca lo hemos visto aparecer fuera de las subclaves de HKEY_LOCAL_MACHINE\HARDWARE. ● REG_NONE es sólo un contenedor. Se utiliza para indicar la existencia de un valor de registro que actualmente no contenga ninguna información.

Algunos componentes comprueban la presencia o ausencia de una clave o valor específico para controlar su funcionamiento en tiempo de ejecución; es normal que estos componentes busquen un elemento de tipo REG_NONE; dado que este tipo no contiene ninguna información, es posible que los usuarios jueguen con estos valores.

En la administración rutinaria, bastará con saber la diferencia existente entre los valores REG_DWORD y REG_SZ. Un valor REG_DWORD cuyo contenido sea 0 (el valor numérico 0) es distinto de un valor REG_SZ cuyo contenido sea « 0» (el carácter "0"). Si es necesario añadir un nuevo valor de Registro (quizás porque un artículo de Microsoft Knowledge Base recomiende hacerlo), habrá que asegurarse de utilizar el tipo correcto si no se quiere tener problemas con los componentes que utilicen dicho valor.

Claves volátiles

Algunas claves y valores de registro son volátiles en el sentido original de la palabra -es decir, no son persistentes y pueden evaporarse en cualquier momento-. Como ejemplo, ninguna de la información en HKEY_LOCAL_MACHINE\HARDWARE existe en ninguna parte del disco; la subclave completa y todos sus contenidos residen completamente en memoria. Cada vez que se inicia una máquina con Windows 2000 se crea una nueva subclave, y cuando se cierra el sistema sus contenidos desaparecen.

Claves basadas en disco

Las claves volátiles son útiles para guardar la información que no necesita permanecer entre los distintos reinicios de la máquina, pero la mayor parte de los datos almacenados en el Registro no servirían de mucho si no fueran persistentes. Basta con imaginarse el tener que reconfigurar todas las preferencias y configuraciones siempre que se reinicia la máquina, lo que la haría caducar pronto. La mayor parte de las claves de registro están basadas en disco, lo cual significa que sus contenidos se guardan en las estructuras del disco. Siempre que se actualiza el contenido de alguna clave, la versión de disco hace lo propio.

A pesar de que las claves basadas en disco se guardan eventualmente en el disco, Windows 2000 las hace corresponder con un conjunto de memoria paginado (un área de la memoria cuyos contenidos pueden escribirse al archivo de página cuando éste no se esté usando) para conseguir un acceso más eficiente. El límite de tamaño del Registro, regula la cantidad de información que puede almacenarse en el conjunto paginado.

Situación de la información en el disco

Microsoft utiliza el término «sección» para referirse a un grupo de claves y valores que deben permanecer juntos. Una sección puede ser una clave raíz o una subclave; por ejemplo, HKEY_CURRENT_CONFIG es una sección (a pesar de que sea sólo un puntero a una parte de HKEY_LOCAL_MACHINE), al igual que pasa con HKEY_LOCAL_MACHINE\SAM. El concepto importante que hay que recordar sobre las secciones es que una sección es una unidad independiente que puede cargarse y descargarse independientemente de otras secciones.

Windows 2000 utiliza seis secciones:

● DEFAULT (que corresponde a HKEY_USERS\.DEFAULT) ● SAM (HKEY_LOCAL_MACHINE\SAM) ● SECURITY (HKEY_LOCAL_MACHINE\SECURITY)


Capítulo 23

● SOFTWARE (HKEY_LOCAL_MACHINE\SOFTWARE) ● SYSTEM (HKEY_LOCAL_MACHINE\SYSTEM). ● La sexta sección, que se corresponde con los contenidos de HKEY_CURRENT_USER, es más conocida como perfil de usuario (un perfil de usuario es

realmente una sección que se carga en el Registro cuando un usuario inicia una sesión y se descarga cuando se sale del sistema).

Cada sección se almacena en su propio archivo en el disco (los archivos tienen los mismos nombres que las secciones), conjuntamente con un archivo de registro separado que se comporta como un diario que informa sobre todos los cambios que ha sufrido la sección. Los archivos de sección no tienen extensiones y el sistema los mantiene abiertos todo el tiempo; por ello, es necesario utilizar una herramienta especial de copia de seguridad o ARCServe para copiarlos.

Entonces, ¿dónde residen estos archivos de sección? A1 igual que sucede con otras cuestiones relativas a Windows 2000, la respuesta es un «depende». En este caso, la respuesta depende de los archivos de sección de los que se esté hablando. Los cinco grandes (DEFAULT, SAM, SECURITY, SOFTWARE y SYSTEM), al igual que sus archivos .LOG, se guardan en la subcarpeta System32\Config de la carpeta Install de Windows 2000.

La ubicación de los archivos de perfil de usuario (Ntuser.dat y Ntuser.dat.log para el usuario que se encuentre actualmente conectado, y Default y Default.log para el usuario predeterminado) depende del sistema operativo que existía en la máquina antes de instalar Windows 2000. Las máquinas que se actualizaron desde Windows NT 4, o aquellas en las que se instaló Windows 2000 limpiamente, guardan estos perfiles en la subcarpeta Profiles\Username de la carpeta raíz del sistema. (Cada usuario tiene su propia subcarpeta.) Para las máquinas en las que se actualizó desde Windows 95 o Windows 98, los perfiles se guardan en una carpeta definida por el usuario en la carpeta Documents and Settings.

Editores del registro

Cuando se necesite cambiar algún valor en el Registro, habrá que utilizar algún tipo de editor del Registro. Muchos de los parámetros que se cambian en los paneles de control, objetos de Políticas de grupo o complementos MMC se guardan realmente en el Registro, por eso estas utilidades pueden verse como un tipo de editor del Registro. Otro tipo es un guión escrito a medida que se utiliza para hacer un cambio específico, quizás como una parte del guión de inicio o un archivo que se distribuye a los usuarios. Sin embargo, la mayor parte de las veces que se quiera realizar un cambio directamente en el Registro, se utilizará una de las dos herramientas que Microsoft incluye con Windows 2000: Regedt32.exe o Regedit.exe.

¿Por qué hay dos editores del Registro en Windows 2000? Por culpa de Windows NT 4. Las distribuciones de Windows NT 3.1, 3.5 y 3.51 incluían un editor del Registro denominado Regedt32. Esta herramienta se construyó para manipular las claves y valores del Registro de Windows NT y refleja los estándares para el diseño de interfaces de Microsoft de la época en la que fueron escritos (1992 más o menos).

Cuando se desarrollaba Windows 95, Microsoft se percató de que Regedt32 no era una apuesta acertada para la interfaz de Windows 95 o para las diferencias estructurales subyacentes entre los registros de los dos sistemas. Dado que Windows 95 necesitaba un editor del Registro también, Microsoft desarrolló una herramienta de acompañamiento, Regedit, y la distribuyó con Windows 95.

Para complicar más aún las cosas, Microsoft incluye ambas, Regedt32 y Regedit con Windows NT 4. A pesar de que esto pudiera parecer innecesariamente redundante, es realmente una ventaja, dado que los dos programas poseen habilidades distintas que se complementan. Microsoft continuó distribuyendo ambas herramientas como parte de Windows 2000; exceptuando algunos pequeños maquillajes y el arreglo de algunos fallos relacionados con sus tripas, las versiones de Windows 2000 son idénticas a sus predecesoras.


Capítulo 23

Regedit y Regedt32

Con dos editores donde poder elegir, ¿cómo saber cuál utilizar en una determinada circunstancia? Ambas herramientas poseen las mismas capacidades fundamentales. Permiten:

● Explorar una estructura gráfica que representa la jerarquía del Registro. ● Visualizar y modificar claves, subclaves, valores y entradas, dependiendo siempre de los privilegios de seguridad que se tengan. ● Conectarse a una computadora remota para la que se tienen privilegios a inspeccionar, o incluso cambiar, las entradas de su Registro.

Sin embargo, sí hay algunas diferencias significativas que se enmarcan en la existencia de ciertas funcionalidades en un editor pero no en el otro. Comencemos con Regedt32. Dado que se diseñó específicamente para Windows NT, presenta algunas funcionalidades muy útiles que se han extendido a Windows 2000:

● Permite la visualización y el cambio de ACL de seguridad en las claves del Registro. ● Permite activar la auditoria en las claves de tal forma que uno pueda averiguar quién ha intentado -o ha conseguido- eliminar, añadir o editar las claves o

sus entradas. ● Soporta todos los tipos de datos de registro descritos anteriormente en el capítulo; es más, permite editar el valor de un tipo utilizando otro editor de tipos

(muy útil cuando se editan valores REG_BINARY). ● Posee un modo de sólo lectura que permite inspeccionar el Registro sin realizar cambios. ● Puede cargar o guardar archivos de sección o claves individuales. ● Utiliza el paradigma de la interfaz de documentos múltiples (Múltiple Document Interface, MDI), en el que cada clave raíz tiene su propia ventana.

En cambio, está Regedit, que fue diseñado para hacer uso de la interfaz del estilo Windows 95, por lo que se diferencia un poco de Regedt32. También posee una funcionalidad diferente:

● Para una cadena específica, busca claves, nombres de valores y entradas. Esta funcionalidad no tiene precio y es la primera razón para utilizar Regedit. ● Utiliza el familiar interfaz de dos paneles del Explorador de Windows, facilitando la comparación de las ubicaciones de dos claves o valores. También

incluye otras características típicas del Explorador de Windows, como menús contextuales, edición in situ y el también familiar control en árbol. ● Importa y exporta claves seleccionadas (y sus elementos subordinados) en un archivo de texto legible para los humanos, en lugar de importar y exportar

las claves del Registro en un formato binario. ● Incluye un menú de favoritos (en la versión de Windows 2000), al que se pueden añadir las claves que se editen repetidamente.

¿Cómo saber qué herramienta utilizar? La mayor parte de las veces las preferencias personales de cada uno dictarán la elección. A algunas personas les gusta la forma en que trabaja Regedit, mientras que otras prefieren la interfaz de la vieja escuela de Regedt32. Si se busca la clave que contiene un determinado valor, es mejor utilizar Regedit; por otra parte, si lo que se pretende es asignar permisos de seguridad a una clave, se tendrá que utilizar Regedt32.

Regedit

Cualquier usuario del Explorador de Windows (o de cualquier versión de Windows) conoce el 85 por 100 de lo que se necesita para utilizar Regedit. Esta familiaridad se traduce enteramente a través del diseño -Microsoft ha intentado que sea una herramienta fácil de usar y por eso ha copiado la interfaz con la que los usuarios ya están familiarizados.


Capítulo 23

Las partes importantes de la interfaz son claramente fáciles de entender. Resaltaremos las siguientes características:

● El árbol en el panel izquierdo de la ventana Editor del Registro muestra todas las claves y subclaves raíz; lo que aquí se visualiza depende de las claves y subclaves que se hayan expandido.

● El panel derecho muestra los valores asociados a la clave seleccionada en el panel izquierdo. Cada valor se muestra con tres elementos: el nombre del valor (el nombre -Predeterminado- se usa para el valor predeterminado sin nombrar qué tiene cada clave), el tipo del valor y las entradas o información del valor.

● La barra de estado en la parte inferior de la ventana muestra el camino completo de la clave que se encuentre actualmente seleccionada (Regedit puede también copiar el camino de la clave al portapapeles utilizando el comando Copiar nombre de clave en el menú Edición).

Dado que estas características de interfaz están escritas con los controles estándar de Windows, toda la navegación con el teclado y la combinación de teclas de control que uno está acostumbrado a utilizar en el Explorador de Windows funcionan aquí también. Por ejemplo, es posible saltar a una clave particular pulsando en algún sitio del panel izquierdo y escribiendo las primeras letras del nombre de la clave. Y también se pueden utilizar los cursores para moverse por cualquier panel de la ventana Regedit.

Búsqueda de claves y valores

El comando Buscar en el menú Edición en Regedit vale su peso en oro cuando se necesita buscar qué clave o valor tiene un nombre o entrada específica. La interfaz de esta función no es complicada. A pesar de la sencillez de la interfaz, esta herramienta es extremadamente útil. pues permite buscar un valor determinado por todo el Registro. La forma de conseguir lo que uno busca a través del cuadro de diálogo Buscar es la siguiente:

● Escribir el patrón de lo que se quiere buscar en el cuadro Buscar. Sólo se puede buscar texto ASCII sin formato -los comodines no están permitidos-. Si lo que se busca son valores, Regedit examina sólo los valores de cadena (REG_SZ, REG_EXPAND_SZ y REG_MULTI_SZ) para buscar el patrón deseado.

● Utilizar las opciones del cuadro Buscar en para controlar los sitios en los que Regedit busca el valor especificado. De manera predeterminada se busca en los nombres de las claves (casilla Claves), los nombres de valor (casilla Valores) y las entradas de valor (casilla Datos), pero esto se puede configurar.

● La casilla de Sólo cadenas completas indica a Regedit que encuentre la cadena de búsqueda completa, no sólo una porción de ella. Por ejemplo, si se hace una búsqueda de «Windows» con esta casilla seleccionada, en la búsqueda se ignorará HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT.

Cuando se hayan realizado las selecciones en el cuadro de diálogo Buscar, hay que presionar Buscar siguiente para que Regedit comience la búsqueda. Eventualmente ocurrirá alguna de estas dos cosas: o bien Regedit alcanzará el final del Registro (en cuyo caso comunicará que no se encontró ninguna


Capítulo 23

coincidencia), o bien encontrará una coincidencia. En el último caso, se resaltará dicha coincidencia; si la coincidencia no es exactamente lo que se andaba buscando, el comando Buscar siguiente en el menú Edición (o F3, su acelerador) continuará la búsqueda.

Cada vez que se realiza una búsqueda, Regedit comienza al principio de HKEY_CLASSES_ROOT y se abre camino hasta el final de HKEY_CURRENT_CONFIG. No es posible cambiar este orden de búsqueda, por lo que es mejor acostumbrarse a él.

Edición de las entradas de valor

El comando Modificar del menú Edición permite cambiar los contenidos de la entrada de valor seleccionada (también es posible editar un valor seleccionándolo y presionando INTRO). Lo que se ve después depende del tipo de valor que se esté editando; existen cuadros de diálogo de edición diferentes para los valores de cadena, los valores DWORD y los valores binarios. Regedit permite la edición de tipos de datos que no soporta, como por ejemplo, REG_FULL_RESOURCE_DESCRIPTOR o REG_MULTI_SZ; para estos tipos, Regedit abre el cuadro de diálogo del editor binario. Los cuadros de diálogo de edición son directos, esto es, cada uno presenta el valor actual y permite su edición. Las combinaciones de teclas para los comandos Cortar, Copiar y Pegar también funcionan en los cuadros de diálogo de edición.

Adición y eliminación de claves y valores

Regedit permite también la adición y eliminación de claves, subclaves y valores individuales. Ahora es un buen momento para reiterar el frecuente aviso de Microsoft: la realización de cambios innecesarios en el Registro puede dañar la computadora. Hay que ser cuidadoso a la hora de añadir información y doblemente cuidadoso a la hora de eliminarla. Para agregar una nueva clave como hijo de una clave seleccionada, hay que abrir el menú Edición, apuntar a Nuevo y elegir Clave. Regedit creará una nueva clave y seleccionará su nombre para que se pueda configurar correctamente (el valor predeterminado es Clave nueva #1).

La nueva clave tendrá automáticamente un valor asociado no establecido. Es posible añadir nuevos valores utilizando alguno de los tres comandos restantes en el submenú Nuevo: valor alfanumérico, valor binario y valor DWORD. No hay que olvidar que Regedit no puede crear ningún otro tipo de datos, y si se crea un valor binario, los componentes lo interpretarán como un dato no procesado de tipo REG_BINARY Cuando se crea un nuevo valor, éste se añade como un hijo de la clave seleccionada y se le asigna un nombre predeterminado (Valor nuevo #1, Valor nuevo #2, etc.), el cual puede ser inmediatamente cambiado. Una vez que se ha terminado de añadir y nombrar los nuevos valores, se pueden utilizar los cuadros de diálogo de edición estándar para cambiar sus contenidos por los valores apropiados.

La eliminación de valores y claves es sencilla. Basta con seleccionar el objeto que se desea eliminar y seleccionar Eliminar en el menú Edición o simplemente pulsar la tecla SUPR. Regedit pedirá entonces una confirmación para ejecutar el comando; una vez confirmada, la clave o valor se eliminará inmediatamente.

Importación y exportación de información del Registro

Es posible importar y exportar información del Registro desde Regedit. Los archivos de texto resultantes son fáciles de leer, y es posible moverlos de manera segura de una máquina a otra. De hecho, la asociación predeterminada para los archivos .REG inicia automáticamente Regedit y carga el contenido del archivo cuando se pulsa dos veces sobre éste. El comando Exportar archivo del Registro en el menú Registro permite guardar la clave seleccionada en un archivo, y el


Capítulo 23

comando Importar archivo del Registro hace lo inverso. La importación de archivos del Registro desde Regedit sucede inmediatamente, es decir, aparece un cuadro de diálogo de confirmación para indicar si la importación ha culminado con éxito o no, pero no es posible pararla. Sin embargo, si se inicia un archivo .REG pulsando sobre él, sí se muestra un cuadro de diálogo de confirmación.

Conexión al Registro de una máquina remota

Si se ha iniciado una sesión con los permisos adecuados, se puede utilizar Regedit para conectarse al Registro de otra computadora para inspeccionarlo o editarlo. Para conseguirlo es necesario disponer de privilegios de administración en ambas máquinas, la máquina donde se ha iniciado una sesión y la otra máquina cuyo Registro se quiere inspeccionar/editan Es más, la Directiva de grupos puede impedir este acceso. Asumiendo que las credenciales se encuentran en orden, la conexión a la máquina remota se realiza realmente seleccionando Conectarse al Registro de red en el menú Registro. Este comando permite explorar la red para encontrar la máquina a la que desea conectarse; una vez que se haya realizado la conexión con éxito, aparece el nombre de la computadora en el panel izquierdo al mismo nivel que Mi PC. A partir de aquí es posible expandir su clave raíz, fisgar en las subclaves, buscar y modificar los datos. Cuando se termine, hay que elegir Desconectar del Registro de configuraciones de red en el menú Registro para seleccionar la computadora de la que quiere desconectarse.

Cambiar nombres de claves y valores

Es posible cambiar el nombre de una clave o valor seleccionando Cambiar nombre en el menú Edición. En la mayoría de los casos, no se querrá ni se necesitará hacer esto. Dado que el software busca valores de nombre específicos, cambiar el nombre de uno de ellos no es una buena idea. Sin embargo, cuando se añaden claves o valores basándose en las recomendaciones de los artículos de Microsoft Knowledge Base, es posible que se deletree mal el nombre (o incluso peor, teclearlo correctamente pero descubrir que el nombre en el artículo de Knowledge Base es ¡erróneo!), y el comando Cambiar nombre se convierte entonces en la única alternativa posible para borrar y reproducir la clave.

Regedt32

Regedt32 es una herramienta más sofisticada y potente que Regedit, pero un poco más compleja de utilizar. Se puede observar que el interfaz de usuario no se asemeja al Explorador de Windows. Esto se debe a que Regedt32 utiliza el interfaz MDI antiguo donde cada clave raíz tiene su propia ventana hija. Esta


Capítulo 23

composición es realmente una ventaja, ya que permite hacer iconos de las ventanas que no se estén utilizando (especialmente cuando se conecta con una máquina remota).

Edición de entradas de valor

Para editar un valor, basta con pulsar sobre él dos veces. Esto hace que el cuadro de diálogo del editor apropiado se abra. Esto es bastante fácil y los editores son fáciles de comprender -exceptuando el editor de REG_FULL_RESOURCE_DESCRIPTOR-. Pero no importa, ya que no se deben editar elementos en HKEY_LOCAL_MACHINE\HARDWARE de todas formas, especialmente dado que las modificaciones no se guardan.

Regedt32 también permite editar un elemento como si fuera de un tipo diferente. Por ejemplo, es posible editar un REG_SZ como información binaria o un REG_DWORD como una cadena. La mayor parte de las veces esto no resultará de gran utilidad, pero quizás algún día se pueda aprovechar esta funcionalidad para hacer algo, como editar una máscara de bits guardada como un REG_DWORD. Para editar se deben usar los cuatro comandos del menú Edición: hay uno por cada tipo de dato (Binario, Cadena, DWORD y Cadena múltiple).

Cuando se utilicen estos editores de tipos de datos, no conviene olvidar que:

● En el Editor binario se pueden visualizar los elementos en binario o hexadecimal. El editor marca los desplazamientos en la información mostrando una acotación del desplazamiento de 32 bytes en la izquierda y una escala de 0 a 31 en la parte superior. Esto facilita la localización de bytes con un desplazamiento específico si es necesario.

● El Editor de cadenas múltiples permite introducir una cadena por línea utilizando las teclas RETORNO DE CARRO a INTRO para saltar a la siguiente línea.

● El Editor de DWORD permite la entrada de valores en binario, hexadecimal y decimal. El cuadro de diálogo de este editor ignora las pulsaciones de teclas ilegales (como la del 2 cuando se edita un valor binario)

Al igual que ocurre con Regedit, Regedt32 no comprueba la legalidad de los valores que se introducen; por eso el usuario debe asegurarse de que éstos son correctos.

Adición de claves y valores

Para añadir una clave, se selecciona la clave por debajo de la cual se quiere que aparezca. Por ejemplo, para añadir una subclave a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ESENT, se tendría que seleccionar la clave y después elegir Agregar clave en el menú Edición. Esto abre un cuadro de diálogo donde se puede introducir el nombre de la nueva clave. Una vez que ésta haya sido nombrada, la nueva clave aparece inmediatamente.


Capítulo 23

Al contrario que Regedit, Regedt32 no añade automáticamente un valor sin nombrar a la nueva clave, por lo que si se necesita el valor predeterminado por alguna razón, se tendrá que añadir manualmente. Para añadir un valor, se utiliza el comando Agregar valor en el menú Edición. Para añadir un valor, hay que realizar los siguientes pasos:

1. Seleccionar la clave a la que se quiere agregar el valor y después utilizar el comando Agregar valor. Esto hace que se muestre el cuadro de diálogo Agregar valor.

2. Introducir el nombre del nuevo valor en el cuadro de texto Nombre de valor. (Dejarlo en blanco si se quiere añadir el valor predeterminado <No Name>.)

3. Utilizar el cuadro de lista Tipo de datos para seleccionar el tipo del nuevo valor. Presionar el botón Aceptar. El cuadro de diálogo del editor de tipos apropiado aparece; el tipo de editor que se muestre depende del tipo especificado en el campo Nombre de valor.

4. Introducir el dato que se quiera almacenar en el valor y a continuación presionar Aceptar para guardar el nuevo valor, o Cancelar para dejar el Registro intacto.

Eliminación de claves y valores

Regedt32 permite eliminar claves (y todos sus elementos subordinados) o un simple valor -basta con seleccionar el elemento a eliminar y a continuación presionar la tecla SUPR (o seleccionar Eliminar en el menú Edición)-. Regedt32 pide una confirmación de lo que se está realizando de manera predeterminada; si se prefiere, es posible ahorrarse este paso deshabilitando el comando Confirmar eliminación en el menú Opciones (aunque se recomienda encarecidamente que se deje habilitado).

Carga, descarga e importación de datos del Registro

Regedt32 ofrece dos formas de intercambiar información entre el Registro y un archivo de disco externo. La primera es cargando y guardando conjuntos individuales de claves con los comandos del Registro Guardar clave y Restaurar, y la segunda es cargando y descargando archivos de sección enteros con los comandos Cargar sección y Descargar sección (en el menú Registro).

¿Cuál es la diferencia? Hay que recordar que los archivos de sección son entidades autónomas que contienen un conjunto particular de claves. Cuando se guarda una clave con el comando Guardar clave, realmente se está creando un nuevo archivo de sección que coexiste con las secciones predefinidas al mismo nivel expuestas anteriormente en el capítulo. Posteriormente, la sección puede recomponerse de dos formas: creando una nueva clave dentro de la sección existente (esto es lo que hace el comando Cargar sección) o sobrescribir una clave con los contenidos de la sección guardada tal y como hace Restaurar.

Crear una nueva sección con un conjunto de claves guardadas es fácil: basta con seleccionar la clave que se quiera guardar y a continuación elegir el comando Guardar clave en el menú Registro. Cuando se indique, se introduce el nombre del nuevo archivo de sección y Regedt32 se encarga de guardarlo. La sección no podrá guardarse si no se dispone de los permisos adecuados para todas las subclaves de la clave seleccionada; por ejemplo, incluso cuando se inicia una sesión como administrador, no es posible guardar HKEY_LOCAL_MACHINE\HARDWARE a una sección.

Una vez que se ha guardado el archivo de sección, es posible cargarlo dentro de una nueva clave o por encima de una clave que ya existe. Para cargar el archivo de sección en una nueva clave, hay que seleccionar la clave raíz HKEY_LOCAL_MACHINE o HKEY_USERS y a continuación elegir Cargar sección en el menú Registro. (El resto del tiempo esta opción se encuentra deshabilitada.) Cuando se indica, se escoge el archivo de sección que se quiere cargar y el nombre de la nueva clave donde éste se va a cargar.


Capítulo 23

Para cargar un archivo de sección por encima de una clave existente, hay que seleccionar la clave que se quiera sobrescribir y a continuación elegir Restaurar en el menú Registro; una vez que se haya elegido el archivo y se haya confirmado que se está preparado para eliminar la clave seleccionada, Regedt32 cargará la sección y reemplazará todos los contenidos que existen en las claves con los contenidos de la sección (siempre, naturalmente, que se disponga de los permisos para poder realizar esto).

Por ejemplo, pongamos que se guardan los contenidos de HKEY_LOCAL_MACHINE\SOFTWARE\AOL en un archivo de sección. Si se selecciona HKEY_LOCAL_MACHINE y se utiliza el comando Cargar sección, se puede crear una nueva clave (denominada, quizás, AOL) donde se guardan los contenidos originales. Si se selecciona la copia existente de HKEY_LOCAL_MACHINE\SOFTWARE\AOL y se utiliza el comando Restaurar, entonces todo lo que haya en la clave antes de restaurar el archivo se pierde.

Conexión al Registro de una máquina remota

Para conectarse a una máquina remota utilizando Regedt32, hay que elegir Seleccionar equipo en el menú Registro. El cuadro de diálogo Seleccionar equipo se abre para que se pueda seleccionar el dominio o grupo de trabajo deseado y el Registro de la máquina que se quiera administrar. Una vez hecho esto, si se dispone de acceso administrativo a la máquina, se estará conectado; es posible que se visualice un cuadro de diálogo en el que se advierte de que las claves del Registro de la máquina remota no se cambiarán automáticamente. Cuando se cierra este mensaje de confirmación, aparecen otras dos ventanas MDI: una para HKEY_LOCAL_MACHINE y otra para HKEY_USERS. Cada título de cada ventana incluye el nombre de la máquina remota (por ejemplo, HKEY_LOCAL_MACHINE en FALCON) para que se pueda identificar qué tipo de información se encuentra en cada una de ellas.

Una vez que se hayan abierto estas ventanas, se puede navegar y editar de la misma forma que en la máquina local (condicionado, naturalmente, a que se disponga de los permisos de edición de las claves). Cuando se establece una conexión con una máquina remota, se está efectuando realmente una conexión de tipo llamada a un procedimiento remoto (Remote Procedure Call, RPC), que se mantiene abierta hasta que se utiliza el comando Cerrar para cerrar la última ventana que muestra información de ese servidor.

Administración de la seguridad en las claves del Registro

Regedt32 permite fijar la seguridad de las claves del Registro seleccionando una clave y eligiendo el comando Permisos del menú Seguridad. Todo lo aprendido sobre configuración de permisos de archivos es válido aquí también, y las operaciones básicas funcionan del mismo modo: se selecciona un objeto y a continuación se conceden o deniegan privilegios específicos a usuarios y grupos concretos. En el cuadro de diálogo Permisos, se muestran cinco principios de seguridad: Administradores, Usuarios, CREATOR OWNER, Usuarios avanzados y SYSTEM. Los contenidos exactos que se visualizan en la computadora varían dependiendo de la plantilla de seguridad que se haya aplicado; las plantillas más restrictivas podrían cambiar estos permisos significantemente.

El cuadro de diálogo Permisos permite conceder y denegar permisos de Lectura y Control total a las claves. Sin embargo, en general, no deberá hacerse uso de esto en las claves que sean propiedad del sistema; es por ello que Windows incluye las plantillas de seguridad. Resulta sumamente sencillo configurar un permiso accidentalmente de forma tan restrictiva que se consiga que el software que necesita acceso al Registro no pueda tenerlo, y al contrario, es posible que se configuren permisos que son innecesariamente relajados.


Capítulo 23

Cuando se configuran los permisos utilizando el cuadro de diálogo Permisos, hay que fijarse en si se habilita o no la opción de Hacer posible que los permisos heredables de un objeto primario se propaguen a este objeto. Esta opción se encuentra habilitada de manera predeterminada, de forma que cuando se aplican nuevos permisos, se propagan automáticamente a todas las subclaves de la clave seleccionada. Dependiendo del nivel en el que se apliquen estos permisos, la herencia puede tener consecuencias no deseadas -si se relajan los permisos de una clave, podrían relajarse accidentalmente los permisos de una subclave que deba mantenerse segura-. Antes de cambiar los permisos de cualquier clave, hay que asegurarse de hacer una copia de seguridad correcta del Registro, así como de anotar los cambios que se han realizado para poder deshacerlos más tarde.

Las configuraciones pertenecientes a las aplicaciones son, naturalmente, otra historia. En Windows NT 4 la única forma para determinar los permisos adecuados de la mayoría de las claves de las aplicaciones es expandirlas todo lo posible para a partir de ahí comenzar a relajar los controles gradualmente de abajo arriba hasta que la aplicación funcione correctamente. Desafortunadamente, este enfoque se requiere también en Windows 2000.

Cuando se pulsa sobre el botón Avanzada del cuadro de diálogo Permisos, se muestra el cuadro de diálogo Configuración de control de acceso que aglutina a tres fichas. Cada ficha tiene un significado especial para las claves del Registro:

● El botón Ver o modificar de la ficha Permisos permite asignar a usuarios particulares más permisos granulares. Por ejemplo, es posible ajustar quién puede crear nuevos valores en una clave modificando el parámetro de permiso Establecer valor. Es posible que no se puedan realizar cambios aquí sin deshabilitar la herencia, dado que la mayor parte de los registros obtiene sus permisos de esta forma.


Capítulo 23

❍ Consultar valor: Permite al usuario consultar el Registro para un valor específico dando el camino completo a ese valor.

❍ Establecer valor: Permite al usuario crear nuevos valores por debajo de una clave o sobrescribir un valor existente.

❍ Crear subclave: Permite al usuario crear una nueva subclave por debajo de la clave especificada.

❍ Enumerar subclaves: Permite al usuario obtener una lista de todas las subclaves de una clave particular; similar a un recorrido de directorios de un volumen NTFS.

❍ Notificar: Permite al usuario registrar una función de respuesta que se dispara cuando el valor seleccionado cambia. ❍ Crear vínculo: Permite al usuario crear un vínculo a una clave específica (de la misma forma que HKEY_CLASSES_ROOT se vincula a

HKEY_LOCAL_MACHINE\Classes). ❍ Eliminar: Permite al usuario eliminar una clave o valor individual. ❍ Escribir DAC Permite al usuario rescribir los controles de acceso de una clave específica. ❍ Escribir propietario: Permite al usuario convertirse en el propietario de la clave seleccionada. ❍ Controles de lectura: Permite al usuario leer la lista de control de acceso discrecional (Discretionary Access Control List, DACL) para un valor

específico. ❍ La ficha auditoria permite establecer permisos de auditoria para la clave seleccionada. Primero, se especifican los usuarios y grupos cuyas acciones

se pretende auditar; entonces se especifica qué acciones particulares se quieren guardar. Es posible auditar los intentos fallidos y exitosos del ejercicio de estos permisos.

● La ficha auditoria permite establecer permisos de auditoria para la clave seleccionada. Primero, se especifican los usuarios y grupos cuyas acciones se pretende auditar; entonces se especifica qué acciones particulares se quieren guardar. Es posible auditar los intentos fallidos y exitosos del ejercicio de


Capítulo 23

estos permisos. ● La ficha Propietario permite reasignar al propietario de la clave seleccionada, con o sin propagar los cambios a todos los subelementos por debajo de ella.

Un cambio de propietario puede desencadenar la generación de una huella de auditoria dependiendo de los parámetros de configuración de seguridad.

Algunos trucos útiles

Existen cuatro comandos muy útiles de Regedt32 que no se ajustan a ningún punto de esta exposición:

● Regedt32 no puede buscar valores, pero sí buscar una clave con un nombre especificado. El comando Buscar clave en el menú Ver permite buscar en el Registro el nombre de una clave en particular (comenzando con la clave seleccionada y procediendo hacia arriba o abajo). Las búsquedas pueden distinguir entre mayúsculas y minúsculas o no, y se puede elegir entre buscar el texto suministrado completo o como parte de otro nombre.

● Ya hemos trabajado tímidamente con el comando Confirmar eliminación del menú Opciones. Cuando se selecciona (tal y como está de manera predeterminada), Regedt32 pide que se confirme la intención de eliminar una clave.

● El comando Sólo lectura del menú Opciones conmuta Regedt32 entre el modo de sólo lectura y el normal. El modo de sólo lectura es una gran bendición, ya que evita que se causen daños al Registro cuando se encuentra habilitado. Posibilita que se pueda aprender explorando sin que se corran riesgos de causar daños accidentales.

● El comando Actualización automática del menú Opciones controla la posibilidad de que Regedt32 actualice automáticamente las ventanas de las claves raíces periódicamente. Esta opción se encuentra habilitada de manera predeterminada, por lo que Regedt32 actualiza por sí mismo las ventanas locales. En las máquinas donde se produzcan muchos cambios en los registros, podría considerarse la posibilidad de deshabilitar las actualizaciones automáticas y utilizar los comandos Actualizar todo y Actualizar la activa del menú Ver para disparar las actualizaciones sólo cuando se necesiten.

Copia de Seguridad y Recuperación del Registro

Copia de seguridad de Windows 2000 para copiar y restaurar el estado general del sistema difiere un poco de Windows NT, donde se puede hacer fácilmente una copia de seguridad del Registro creando un disco de reparaciones ante emergencias (Emergency Repair Disk, ERD) o ejecutando Ntbackup y habilitando la opción de Incluir Registro local.

Estas diferencias se deben al Active Directory. En Windows NT, una copia de seguridad del Registro contiene una copia de la base de datos SAM de la máquina local (al igual que una copia del dominio SAM cuando se realiza una copia de seguridad del controlador de dominios). En una red que utilice Active Directory, el directorio contiene la mayor parte de la información existente formalmente en el SAM, que es la razón por la que para los controladores de dominio se tenga que realizar un proceso de recuperación en dos fases.

Como consecuencia de la forma en que estos cambios se han implementado, el disco de reparación ante emergencias ya no contiene la información del Registro -la única copia de seguridad propia de la computadora está en la carpeta %SystemRoot%\Repair-. Dado que ya no es posible guardarse las espaldas con los ERD, es extremadamente importante la realización de copias de seguridad regulares y útiles.

Selección de un método de copia de seguridad

Dado que el Registro es algo más que un archivo ordinario, tiene sentido otorgar a los procedimientos de copia de seguridad y restauración una dedicación en tiempo superior a la normal. Es posible hacer copias de seguridad y restauración del Registro de otras formas aparte de haciendo copias de seguridad completas


Capítulo 23

del estado del sistema entero. Naturalmente, esto no excluye el seguir haciendo copias de seguridad regulares de los datos personales, así como de los estados del sistema de cada computadora que se administre. La copia de seguridad del Registro por sí sola es muy útil, dado que es en éste donde la mayor parte de las aplicaciones y los componentes del sistema guardan sus preferencias y parámetros de configuración.

Copia de seguridad de Windows 2000

Cuando se utiliza la Copia de seguridad de Windows 2000 para hacer una copia del estado del sistema, ésta incluye una copia completa del Registro de la máquina. También incluye copias del volumen del sistema (en controladores de dominio), datos de certificación, información de Registro de las clases COM+, así como otra información ajena a lo que es el Registro. Por otro lado, la Copia de seguridad de Windows 2000 automatiza el proceso de realizar una copia de seguridad del Registro, de forma que sea fácil de utilizar y comprender. Además, el guardar la información del Registro con el resto de la información del servidor permite restaurar todo sin tener que recurrir a CD de otros fabricantes, controladores y otras cosas relativas.

El Disco de reparación ante emergencias

El Disco de reparación ante emergencias (Emergency Repair Disk, ERD) de la Copia de seguridad de Windows 2000 permite también hacer una copia de seguridad del Registro; la mayoría de los administradores de Windows NT utilizan esto como primera línea de defensa contra los fallos, dado que las herramientas de reparación incluidas en Windows NT 4 pueden restaurar la información del Registro desde un ERD. Windows 2000 utiliza los ERD también, pero no incluyen la información del Registro. Cuando se utiliza la Copia de seguridad de Windows 2000 para crear un ERD, debe especificarse que se desea hacer una copia de seguridad del Registro y esta información no se almacena directamente en el disco del ERD (hace falta guardar manualmente una copia y entonces reemplazar durante la restauración los archivos de Registro copiándolos empleando la consola de recuperación).

Copias de seguridad manuales

Dado que Regedt32 permite cargar y descargar archivos de sección y claves, es posible aproximarse a lo que hace la Copia de seguridad de Windows 2000 guardando manualmente en un archivo de sección las claves en las que se está más interesado, copiando los archivos resultado en algún lugar seguro y cargándolos de nuevo si se necesitan. Esta aproximación es correcta, pero requiere mucho trabajo dado que al no ser posible informar a Regedt32 de las claves que se quieren guardar, no hay forma de automatizar el proceso.

Copia de seguridad del Registro

El proceso de copia de seguridad de Windows 2000 es terriblemente sencillo (es una gran mejora respecto a Windows NT 4).

Copia de seguridad de Windows 2000

El Capítulo 4 trataba los mecanismos necesarios para realizar una copia de seguridad y restauración del estado del sistema, del cual el Registro es una parte pequeña pero crítica. Quien se encuentre confortable con el proceso de realización y restauración de la copia de seguridad del estado del sistema con la Copia de seguridad de Windows 2000 se encuentra en buena en forma. Sin embargo, podría ordenarse un resumen rápido.

1. Ejecutar la aplicación de Copia de seguridad de Windows 2000; cuando aparezca, pulsar la pestaña de Copia de seguridad. 2. Especificar el dispositivo de copia de seguridad o la ubicación que se quiera emplear con las opciones de Destino de la copia de seguridad o Hacer copia


Capítulo 23

de seguridad del medio o del archivo. 3. Si es necesario, expandir el icono de Mi PC. 4. Seleccionar la opción de Estado del sistema (hay que recordar que los elementos del estado del sistema están relacionados entre sí y no pueden copiarse

por separado). 5. Pulsar el botón Iniciar. Cuando el sistema copia la información del estado del sistema, se incluyen los archivos del Registro permitiendo su recuperación

posterior.

Grabación de una copia del Registro

Cuando se crea un ERD, la Copia de seguridad de Windows 2000 ofrece la posibilidad de copiar el Registro. Cuando se selecciona esta opción, una copia extra de los archivos de sección del Registro se almacena en la carpeta %SystemRoot%\Repair\REGBACK. Además de los archivos de sección estándar (SECURITY, SAM, SYSTEM, SOFTWARE, DEFAULT, Ntuser.dat y Usrclass.dat), se pueden observar los archivos representativos de las secciones que se hayan cargado manualmente en el Registro.

Cuando la Copia de seguridad de Windows 2000 termina de copiar estos archivos, éstos quedan a disposición del usuario -el usuario puede moverlos, copiarlos, hacer una copia de seguridad de ellos o cualquier otra cosa que se quiera-. En particular, se pueden comprimir y guardar en un disquete, así como mover a cualquier medio extraíble que se tenga a mano.

Si las copias de seguridad se guardan en formato comprimido o en un medio que requiera un dispositivo especial, hay que asegurarse de que sea posible acceder a estos archivos cuando se esté recuperando la máquina.

Recuperación del Registro

Si se dispone de una copia de seguridad en la carpeta %SystemRoot%\Repair\REGBACK, la Consola de recuperación puede utilizarse para restaurar la copia de seguridad del Registro. Cuando se ejecuta la Consola de recuperación, se pueden copiar los archivos de Registro necesarios para restaurarlos en su ubicación normal en disco y a continuación reiniciar la máquina. No hay que olvidar que al hacer esto se eliminan todos los cambios que se hayan realizado desde el momento en que se creó la copia de seguridad.


Capítulo 24

Capítulo 24

Una de las más usadas y nuevas funcionalidades para la recuperación de Windows 2000 es la Consola de Recuperación. Ésta es básicamente una mejora, preparada para NTFS e indicador de comandos seguro que pude utilizarse para copiar archivos, iniciar y detener servicios, así como para realizar otras acciones de recuperación si no se puede iniciar el sistema utilizando el nuevo modo seguro de Windows 2000. La consola de recuperación puede usarse siempre desde los cuatro discos de configuraciones o el CD-ROM: sin embargo, también puede instalarse como una opción más en el menú de inicio, para que se pueda utilizar aquellas veces en las que no se pueda iniciar Windows 2000 en el modo seguro.

Para instalar la Consola de recuperación:

1. Desde Windows 2000, Windows NT o Windows 95/98 insertar el CD de Windows 2000. 2. Cerrar el cuadro de autoarranque 3. Pulsar inicio y después ejecutar, teclear: d:\i386\winnt32 /cmdcons, donde d: es la unidad donde

se encuentra el CD-ROM de Windows 2000 4. Presionar Aceptar.

Consola de recuperación

Para iniciar la Consola de recuperación, se puede utilizar cualquiera de los métodos siguientes:

● Encender el equipo con los discos de instalación de Windows 2000 o con el CD-ROM de Windows 2000. En la pantalla de bienvenida a la instalación, hay que pulsar F10 o pulsar R para reparar y, a continuación, C para iniciar la Consola de recuperación.

● Añadir la Consola de recuperación a la carpeta Inicio utilizando Winnt32.exe con la opción « /cmdcons» . Esto necesita aproximadamente 7 Mb de espacio de disco en la partición del sistema para almacenar el archivo cmdcons y sus archivos. Si se está usando réplica software, véase el artículo siguiente en la Base de conocimientos de Microsoft:Q229077 Mirroring prevents pre-installing the Recovery Console

● Seguir las instrucciones del siguiente artículo de la Base de conocimientos de Microsoft:Q222478 Template lo Run Recovery Console Using a Remote Install Server

Utilización del intérprete de comandos

Tras iniciar la Consola de recuperación, se recibirá el siguiente mensaje:

Consola de recuperación de Microsoft Windows 2000(TM).


Capítulo 24

La consola de recuperación ofrece funcionalidad para Recuperación y reparación del sistema.

Escriba EXIT para salir de la consola de recuperación y reiniciar el equipo.

1: C:\WINNT

¿En qué instalación de Windows 2000 desea iniciar sesión (para cancelar, presione INTRO)?

Tras introducir el número de la instalación de Windows 2000 apropiada, introducir la contraseña de la cuenta Administrador Nótese que si se usa una contraseña incorrecta tres veces, la Consola de recuperación termina. También, si la base de datos SAM se ha perdido o está dañada, no se podrá usar la Consola de recuperación porque no se puede autenticar correctamente. Después de que se introduzca la contraseña y se inicie la Consola de recuperación, al introducir «exit» el equipo se reinicia.

Restricciones y limitaciones de la Consola de recuperación

Desde la Consola de recuperación sólo pueden usarse las siguientes carpetas:

● La carpeta raíz. ● La carpeta %SystemRoot% y las subcarpetas de la instalación de Windows 2000 de la que se

tiene sesión iniciada actualmente. ● La carpeta Cmdcons. ● Unidades de medios extraíbles como unidades CD-ROM.

Si se intenta obtener acceso a otras carpetas, se obtiene un mensaje de error «Acceso denegado». Además, mientras se está en la Consola de recuperación, no se puede copiar un archivo del disco duro local a un disquete. Se puede copiar un archivo de un disquete o CD-ROM a un disco duro y de un disco duro a otro disco duro.

Comandos disponibles

HELP

HELP lista todos los siguientes comandos soportados:

ATTRIB DEL EXPAND MAP RMDIR

BATCH DELETE FIXBOOT MD SYSTEMROOT


Capítulo 24

CD DIR FIXMBR MKDIR TYPE

CHDIR DISABLE FORMAT MORE

CHKDSK DISKPART HELP RD

CLS ENABLE LISTSVC REN

COPY EXIT LOGON RENAME

ATTRIB

El comando ATTRIB junto a cualquiera de los siguientes parámetros puede cambiar atributos de un archivo o carpeta:

● -R ● +R -S ● +S -H ● +H -C ● +C +Activa un atributo ● -Desactiva un atributo R Atributo de sólo lectura ● S Atributo de archivo de sistema H Atributo de archivo oculto C Atributo de archivo comprimido

BATCH

BATCH archivo de entrada [archivo de salida]

Ejecuta comandos especificados en un archivo de texto.

● archivo de entrada: Especifica el archivo de texto que contiene la lista de comandos a ejecutar. ● archivo de salida: Si se especifica, contiene la salida de los comandos especificados. Si no se

especifica, la salida se muestra en la pantalla.

CD y CHDIR

CD y CHDIR [unidad:] [...] [camino]

Los comandos CD y CHDIR cambian la carpeta. CD .. especifica que se quiere cambiar a la carpeta padre. Introducir CD unidad: para mostrar la carpeta actual en la unidad especificada. Escribir CD sin parámetros para mostrar la unidad y carpeta actuales. Los comandos CD y CHDIR tratan los espacios como delimitadores. Por eso se deben poner entre comillas los nombres de subcarpetas que contengan espacios. Por ejemplo: CD < \winnt\profiles\usuario\menú inicio>

El comando CHDIR sólo opera en las carpetas de sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación


Capítulo 24

locales.

CHKDSK

CHKDSK [unidad: ] [lP] [lR]

Verifica y, si es necesario, repara o recupera una unidad. También marca sectores en mal estado y recupera información legible. unidad: Especifica la unidad a verificar. La opción /P ordena a CHKDSK que haga una verificación exhaustiva de la unidad incluso aunque a la unidad no se le haya marcado con problemas y que corrija cualquier error que encuentre. La opción /R encuentra sectores en mal estado y recupera la información legible. Adviértase que especificar la opción /R supone la opción /P. CHKDSK puede usarse sin argumentos, en cuyo caso se supone la unidad actual sin opciones. Opcionalmente, se aceptan las opciones listadas. El comando CHKDSK requiere el archivo Autochk.exe. CHKDSK localiza este archivo automáticamente en la carpeta de inicio. Ésta sería típicamente la carpeta Cmdcons si la Consola de recuperación se hallara preinstalada. Si no se puede encontrar en la carpeta de inicio, CHKDSK trata de localizar el soporte de instalación CD-ROM de Windows 2000. Si no se puede encontrar el soporte de instalación, CHKDSK pregunta al usuario por la ubicación del archivo Autochk.exe.

CLS

Borra la pantalla.

COPY

COPY [origen] [destino]

Copia un archivo.

● origen: Especifica el archivo a copiar. No se permiten comodines ni copias de carpetas. Un archivo comprimido del CD-ROM de Windows 2000 se descomprime automáticamente al copiarse.

● destino: Especifica la carpeta o nombre de archivo para el nuevo archivo. Si no se especifica, se toma de manera predeterminada la carpeta actual. Si el archivo ya existe, se pregunta si se sobrescribe.

DEL y DELETE

DEL [unidad:] [camino] [nombre de archivo] DELETE [unidad: ] [camino] [nombre de archivo]

Borra un archivo.


Capítulo 24

● unidad: camino nombre de archivo: Especifica el archivo a borrar.

El comando DELETE sólo opera en las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación locales. El comando DELETE no acepta caracteres comodín (*).

DIR

DIR [unidad: ] [camino] [nombre de archivo]

Muestra una lista de los archivos y subcarpetas de una carpeta.

● unidad: camino nombre de archivo Especifica la unidad, carpeta y/o archivos a mostrar. El comando DIR lista todos los archivos incluyendo los ocultos y de sistema. Los archivos pueden tener los siguientes atributos:

❍ D - Directorio ❍ R - Archivo de sólo lectura ❍ H - Archivo oculto ❍ A - Archivos listos para archivar ❍ S - Archivo de sistema ❍ C - Comprimido ❍ E - Cifrado ❍ P - Punto de reanálisis

El comando DIR sólo opera en las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación locales.

DISABLE

DISABLE nombre de servicio

El comando DISABLE desactiva un servicio de sistema o controlador de Windows 2000.

nombre_de_servicio El nombre del servicio o controlador a desactivar. Hay que usar el comando LISTSVC para mostrar todos los servicios o controladores que cumplen los requisitos para ser desactivados. DISABLE muestra el antiguo tipo_inicio del servicio antes de ponerlo en SERVICE DISABLED. Así, se debería registrar el tipo inicio antiguo, por si es necesario reactivar elservicio.

Los valores de tipo_inicio que el comando DISABLE muestra:

● SERVICE_DISABLED


Capítulo 24

● SERVICE_BOOT_START ● SERVICE_SYSTEM_START ● SERVICE_AUTO_START ● SERVICE_DEMAND_START

DISKPART

DISKPART [/add] [/delete] [nombre de dispositivo I nombre de unidad I nombre de partición] [tamaño]

Hay que usar el comando DISKPART para administrar las particiones de los discos duros.

● /add: Crear una partición nueva. ● /delete: Borrar una partición existente. nombre de dispositivo ● Nombre del dispositivo: para crear una partición nueva. El nombre puede obtenerse de la salida

del comando MAP Por ejemplo: \Device\HardDisk0 ● nombre de unidad: Esto es un nombre basado en una letra de unidad para el borrado de una

partición existente. Por ejemplo: D: ● nombre de partición: Esto es un nombre de partición para el borrado de una partición existente y

se puede usar en lugar del argumento nombre de unidad. Por ejemplo: \Device\Hard\Disk0\Partition1

● tamaño: Tamaño de la partición nueva en megabytes.

Si no se usan argumentos, aparece una interfaz de usuario para administrar las particiones.

ENABLE

ENABLE nombre de servicio [tipo_inicio]

Se puede usar el comando ENABLE para activar un servicio del sistema o controlador de Windows 2000. nombre de servicio El nombre del servicio o controlador a activar. Hay que usar el comando LISTSVC para mostrar todos los servicios o controladores que cumplen los requisitos para ser activados. El comando ENABLE muestra el antiguo tipo inicio del servicio antes de ponerlo en su nuevo valor. Así, se debería registrar el tipo inicio antiguo, por si es necesario restaurar el tipo inicio del servicio. Son valores de tipo_inicio válidos:

● SERVICE_BOOT_START ● SERVICE_SYSTEM_START ● SERVICE_AUTO_START ● SERVICE DEMAND START


Capítulo 24

Si no se especifica un tipó inicio nuevo, ENABLE muestra el tipó inicio antiguo.

EXIT

Se puede usar el comando EXIT para salir de la Consola de recuperación y reiniciar el equipo.

EXPAND

EXPAND origen [/F: especifacación de archivo] [destino] [/Y]

EXPAND origen [/F: especificación de archivo] /D

Expande un archivo comprimido. origen Especifica el archivo a expandir; no puede incluir comodines.

● destino Especifica la carpeta para el nuevo archivo. De manera predeterminada, es la carpeta actual.

● /F:especificación de archivo Si el origen contiene más de un archivo, se requiere este parámetro para identificar el archivo o los archivos a expandir; puede incluir comodines.

● /Y No preguntar artes de sobreescribir un archivo existente. ● /D No expandir; sólo mostrar una carpeta de los archivos contenidos en el origen.

El destino puede ser cualquier carpeta de las carpetas de sistema de la instalación actual de Windows 2000, la raíz de cualquier unidad, las fuentes de instalación locales o la carpeta Cmdcons, pero no soportes extraíbles. El archivo destino no puede ser de sólo lectura.

FIXBOOT

FIXBOOT unidad

Escribe el nuevo código de sector de inicio de Windows 2000 en la partición de inicio. Esto arregla problemas cuando el sector de inicio de Windows 2000 está dañado. El proceso de reparación de emergencia también arregla el sector de inicio.

● unidad: Letra de unidad donde se escribirá el sector de inicio. Esto anula la opción predeterminada que es escribir en la partición de inicio del sistema. El comando FIXBOOT sólo se soporta en la plataforma x86.

FIXMBR

FIXMBR nombre de dispositivo

Repara el sector de inicio principal (Master Boot Record, MBR) de la partición de inicio. Se usa en


Capítulo 24

situaciones en las que un virus haya dañado el MBR y Windows 2000 no pueda iniciarse.

Este comando es capaz de dañar las tablas de partición si hay un virus presente o existe algún problema de hardware. Este comando puede llevar a dejar particiones inaccesibles. Microsoft recomienda ejecutar programas antivirus antes de usar este comando.

● nombre de dispositivo: Nombre de dispositivo opcional que especifica el dispositivo que necesita un MBR nuevo. El nombre puede obtenerse de la salida del comando MAP Si se deja en blanco, se arregla el MBR del dispositivo de inicio. Por ejemplo:

FIXMBR \device\harddisk2

Si FIXMBR detecta una firma de tabla de partición no válida o que no se ajuste al estándar, pide al usuario confirmación antes de reescribir el MBR. El comando FIXMBR sólo se soporta en la plataforma x86.

FORMAT

FORMAT [unidad: ] [/Q] [/FS: sistema de archivos]

Da formato a la unidad especificada con el sistema de archivos especificado. unidad: Letra de unidad de la partición a la que se quiere dar formato.

● /Q: Realiza una operación de dar formato rápidamente a la unidad. ● /FS: sistema de archivos: Especifica el tipo de sistema de archivos a utilizar: FAT, FAT32 o

NTFS. Si no se especifica ninguno, se usa el sistema de archivos existente cuando éste se encuentra disponible.

LISTSVC

El comando LISTSVC lista todos los servicios disponibles, controladores y sus tipos de inicio para la instalación actual de Windows 2000. Esto puede ser útil al usar los comandos DISABLE y ENABLE.

Éstos se extraen de la sección %SystemRoot%\System32\Config\SYSTEM. Si la sección SYSTEM estuviera dañada o faltara, pueden producirse resultados impredecibles.

LOGON

LOGON

El comando LOGON lista todas las instalaciones de Windows 2000 y Windows NT detectadas, y pregunta la contraseña de administrador local a la copia de Windows en la que se quiera iniciar sesión. Si


Capítulo 24

fracasan más de tres intentos de iniciar sesión, la consola termina y el equipo se reinicia.

MAP

MAP [arc]

El comando MAP lista las letras de unidad, tipos de sistema de archivo, tamaños de partición y las asignaciones a dispositivos físicos.

● arc: El parámetro arc hace que MAP use caminos ARC en lugar de los caminos de dispositivo de Windows 2000.

MD y MKDIR

Los comandos MD y MKDIR hacen carpetas. No se permiten caracteres comodín. El comando MKDIR sólo opera en las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación locales.

MORE

MORE nombre de archivo

El comando MORE muestra un archivo de texto por la pantalla.

RD y RMDIR

Los comandos RD y RMDIR borran una carpeta.

Los comandos RD y RMDIR sólo operan en las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación locales.

REN y RENAME

Los comandos REN y RENAME pueden renombrar un archivo. Adviértase que no se puede especificar una nueva unidad o camino para el archivo de destino. Los comandos REN y RENAME sólo operan en las carpetas del sistema de la instalación actual de Windows 2000, soportes extraíbles, la carpeta raíz de cualquier partición de disco duro o las fuentes de instalación locales.

SET

El comando SET permite mostrar o modificar cuatro opciones de entorno.


Capítulo 24

AllowWildCards = FALSE

AllowAllPaths = FALSE

AllowRemovableMedia = FALSE

NoCopyPrompt = FALSE

SYSTEMROOT

El comando SYSTEMROOT pone la carpeta actual de trabajo como la carpeta %SystemRoot% de la instalación de Windows 2000 de la que actualmente se tiene sesión abierta.

TYPE

TYPE nombre de archivo

El comando TYPE muestra un archivo de texto.


windows 2000 server todo

Documents

instalacin de windows

caractersticas de windows

windows zaw

actualizacin a windows

registro de windows

terminal server

implantacin de servicios

server standard edition