implementacion, administracion y mantenimiento de inraestructura de redes-servicios de red...

Pieza nº: X09-83007

Curso: 2184A

Fecha: 06/2003

Guía de entrega

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft® Windows Server� 2003: Servicios de red

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Otros nombres de productos y compañías mencionados aquí pueden ser marcas comerciales de sus respectivos propietarios.

Curso: 2184A Pieza nº: X09-83007 Fecha: 06/2003

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red iii

Contenido

Introducción Introducción........................................................................................................ 1 Material del curso ............................................................................................... 2 Requisitos previos .............................................................................................. 4 Estructura del curso ............................................................................................ 5 Configuración ..................................................................................................... 7 Microsoft Official Curriculum............................................................................ 8 Programa Microsoft Certified Professional ...................................................... 10 Presentación multimedia: Funciones laborales en el entorno de los sistemas de información de hoy en día (opcional) ........................................... 13 Presentación multimedia: Introducción a la infraestructura central de la red... 14 Instalaciones ..................................................................................................... 15 Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto Introducción........................................................................................................ 1 Presentación multimedia: Función del enrutamiento en las infraestructuras de redes ..................................................................................... 2 Lección: Habilitar y configurar el Servicio de enrutamiento y acceso remoto ..................................................................................................... 3 Lección: Configurar filtros de paquetes ........................................................... 20 Práctica A: Configurar el enrutamiento mediante Enrutamiento y acceso remoto ................................................................................................... 30 Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) Introducción........................................................................................................ 1 Presentación multimedia: Función de DHCP en las infraestructuras de redes ... 2 Lección: Agregar y autorizar un servicio Servidor DHCP ................................. 3 Lección: Configurar un ámbito DHCP............................................................. 19 Lección: Configurar una reserva DHCP........................................................... 26 Lección: Configurar opciones DHCP............................................................... 32 Lección: Configurar un Agente de retransmisión DHCP ................................. 43 Práctica A: Identificar y solucionar problemas habituales al asignar direccionamiento IP mediante DHCP............................................................... 57 Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) Introducción........................................................................................................ 1 Lección: Administrar una base de datos DHCP ................................................. 2 Lección: Supervisar DHCP .............................................................................. 16 Lección: Aplicar directrices de seguridad para DHCP..................................... 39 Práctica A: Administrar y supervisar DHCP .................................................... 47

iv Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red

Módulo 4: Resolución de nombres Introducción........................................................................................................ 1 Presentación multimedia: Proceso de resolución de nombres ............................ 2 Lección: Ver los nombres en un cliente.............................................................. 3 Lección: Configurar la resolución de nombres de host .................................... 14 Lección: Configurar la resolución de nombres NetBIOS ................................. 25 Práctica A: Resolución de nombres .................................................................. 38 Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) Introducción........................................................................................................ 1 Presentación multimedia: Función de DNS en las infraestructuras de redes...... 2 Lección: Instalar el servicio Servidor DNS ........................................................ 3 Lección: Configurar las propiedades del servicio Servidor DNS ..................... 12 Lección: Configurar zonas DNS....................................................................... 30 Lección: Configurar las transferencias de zona DNS....................................... 46 Lección: Configurar las actualizaciones dinámicas DNS................................. 54 Lección: Configurar un cliente DNS ................................................................ 73 Lección: Delegar la autoridad en las zonas ...................................................... 81 Práctica A: Resolución de nombres de host mediante el Sistema de nombres de dominio..................................................................................... 85 Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) Introducción........................................................................................................ 1 Lección: Configurar el valor del período de vida ............................................... 2 Lección: Configurar la caducidad y el borrado .................................................. 8 Lección: Integrar DNS con WINS.................................................................... 18 Lección: Probar la configuración del servidor DNS......................................... 23 Lección: Comprobar que un registro de recursos existe mediante NSlookup, DNSCmd y DNSLint...................................................................... 30 Lección: Supervisar el rendimiento del servidor DNS ..................................... 42 Práctica A: Administrar y supervisar DNS....................................................... 53 Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) Introducción........................................................................................................ 1 Presentación multimedia: Función de WINS en las infraestructuras de redes............................................................................................................... 2 Lección: Instalar y configurar un servidor WINS............................................... 3 Lección: Administrar registros en WINS ......................................................... 17 Lección: Configurar la replicación WINS ........................................................ 26 Lección: Administrar una base de datos WINS................................................ 42 Práctica A: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) ......................................... 64 Módulo 8: Proteger el tráfico de red mediante IPSec y certificados Introducción........................................................................................................ 1 Lección: Implementar IPSec............................................................................... 2 Lección: Implementar IPSec con certificados .................................................. 17 Lección: Supervisar IPSec................................................................................ 27 Práctica A: Proteger el tráfico de red................................................................ 35

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red v

Módulo 9: Configurar el acceso a la red Introducción........................................................................................................ 1 Lección: Introducción a las infraestructuras de acceso a la red.......................... 2 Lección: Configurar una conexión VPN .......................................................... 13 Lección: Configurar una conexión de acceso telefónico .................................. 29 Lección: Configurar una conexión inalámbrica................................................ 40 Lección: Controlar el acceso de los usuarios a una red .................................... 53 Lección: Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS ...................................................... 72 Práctica A: Configurar el acceso a la red.......................................................... 84 Módulo 10: Administrar y supervisar el acceso a la red Introducción........................................................................................................ 1 Lección: Administrar los servicios de acceso a la red ........................................ 2 Lección: Configurar el registro en un servidor de acceso a la red...................... 9 Lección: Recopilar y supervisar los datos de acceso a la red ........................... 24 Práctica A: Administrar y supervisar el acceso remoto .................................... 33 Apéndice B: Valores del plan de implementación

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red vii

Acerca de este curso En esta sección se ofrece una breve descripción del curso, su audiencia, requisitos previos recomendados y objetivos.

Este curso de cinco días con instructor ofrece a los alumnos los conocimientos y las capacidades necesarias para implementar, administrar y mantener infraestructuras de redes en Microsoft® Windows Server� 2003. El curso está destinado a administradores e ingenieros de sistemas responsables de la implementación, administración y mantenimiento de tecnologías de red para servidores. Estas tareas incluyen implementar el enrutamiento; implementar, administrar y mantener el Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol), el Sistema de nombres de dominio (DNS, Domain Name System) y el Servicio de nombres Internet de Windows (WINS); proteger el tráfico del Protocolo Internet (IP, Internet Protocol) con Seguridad del protocolo Internet (IPSec, Internet Protocol Security) y certificados; implementar infraestructuras de acceso a la red mediante la configuración de las conexiones para clientes de acceso remoto; y administrar y supervisar el acceso a la red.

Éste es el cuarto curso de la serie para administradores e ingenieros de sistemas acerca de Microsoft Windows Server 2003 y el último de la serie para administradores de sistemas.

Este curso está destinado a aquellas personas que ocupen puestos como administradores o ingenieros de sistemas, o se estén formando para tales ocupaciones.

Este curso requiere que los alumnos cumplan los siguientes requisitos previos:

! Certificación A+ o conocimientos equivalentes. ! Certificación Network+ o conocimientos equivalentes. ! Haber realizado el curso 2146A, Administración de un entorno Microsoft

Windows Server 2003, o conocimientos equivalentes. ! Haber realizado el curso 2164A, Mantenimiento de un entorno Microsoft

Windows Server 2003, o conocimientos equivalentes. ! Haber realizado el curso 2276, Implementing a Microsoft Windows

Server 2003 Network Infrastructure: Network Hosts, o tener unos conocimientos o experiencia equivalentes.

Descripción

Audiencia

Requisitos previos de los alumnos

viii Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red

Después de completar este curso, el alumno será capaz de:

! Configurar el enrutamiento mediante Enrutamiento y acceso remoto. ! Asignar direcciones IP mediante el Protocolo de configuración dinámica

de host (DHCP). ! Administrar y supervisar DHCP. ! Resolver nombres. ! Resolver nombres de host mediante el Sistema de nombres de

dominio (DNS). ! Administrar y supervisar DNS. ! Resolver nombres NetBIOS mediante el Servicio de nombres Internet

de Windows (WINS). ! Proteger el tráfico de red mediante IPSec y certificados. ! Configurar el acceso a la red. ! Administrar y supervisar el acceso a la red.

Objetivos del curso

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red ix

Horario del curso El siguiente horario es una estimación aproximada. El horario real puede variar.

Día 1 Inicio Fin Módulo

9:00 9:30 Introducción

9:30 10:30 Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

10:30 10:45 Descanso

10:45 11:15 Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto (continuación)

11:15 11:45 Práctica A: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

11:45 12:45 Almuerzo

12:45 1:45 Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

1:45 2:00 Descanso

2:00 3:00 Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) (continuación)

3:00 3:30 Práctica A: Identificar y solucionar problemas habituales al asignar direccionamiento IP mediante DHCP

3:30 4:00 Repaso


8:30 9:00 Repaso del día 1

9:00 10:00 Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)


10:15 11:00 Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) (continuación)

11:00 11:15 Práctica A: Administrar y supervisar DHCP

11:15 12:15 Almuerzo

12:15 2:00 Módulo 4: Resolución de nombres

2:00 2:15 Descanso

2:15 2:30 Práctica A: Resolución de nombres

2:30 4:00 Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)

4:00 4:30 Repaso

x Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red



9:00 10:15 Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) (continuación)


10:30 12:00 Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) (continuación)

12:00 12:15 Práctica A: Resolución de nombres de host mediante el Sistema de nombres de dominio

12:15 1:15 Almuerzo

1:15 2:45 Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)

2:45 3:00 Descanso

3:00 3:45 Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) (continuación)

3:45 4:00 Práctica A: Administrar y supervisar DNS

4:00 4:30 Repaso



9:00 10:15 Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)


10:30 11:45 Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) (continuación)

11:45 12:15 Práctica A: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

12:15 1:15 Almuerzo

1:15 2:30 Módulo 8: Proteger el tráfico de red mediante IPSec y certificados

2:30 2:45 Descanso

2:45 3:30 Módulo 8: Proteger el tráfico de red mediante IPSec y certificados (continuación)

3:30 4:00 Práctica A: Proteger el tráfico de red

4:00 4:30 Repaso

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red xi



9:00 10:15 Módulo 9: Configurar el acceso a la red


10:30 12:00 Módulo 9: Configurar el acceso a la red (continuación)

12:00 1:00 Almuerzo

1:00 1:45 Módulo 9: Configurar el acceso a la red (continuación)

1:45 2:15 Práctica A: Configurar el acceso a la red

2:15 2:30 Descanso

2:30 3:30 Módulo 10: Administrar y supervisar el acceso a la red

3:30 4:00 Práctica A: Administrar y supervisar el acceso remoto

4:00 4:30 Repaso

xii Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red

Contenido del disco compacto Material del instructor El disco compacto Material del instructor contiene los siguientes archivos y carpetas:

! Autorun.exe. Cuando se introduce el disco compacto en la unidad de discos compactos o se hace doble clic en el archivo Autorun.exe, este archivo abre el disco compacto Material del alumno o Material del instructor, y permite examinarlo.

! Autorun.inf. Cuando se introduce el disco compacto en la unidad de discos compactos, este archivo abre Autorun.exe.

! Default.htm. Este archivo abre la página Web Material del instructor. ! Errorlog. Esta carpeta contiene un registro de errores. ! Readme.txt. Este archivo explica la forma de instalar el software para ver el

disco compacto Material del instructor y abrir la página Web Material del instructor.

! 2184A_ms.doc. Este archivo contiene la Guía de configuración manual del aula. Incluye los pasos necesarios para configurar manualmente los equipos del aula.

! 2184A_sg.doc. Este archivo contiene la Guía de configuración automatizada del aula. En él se detallan los requisitos y la configuración del aula, se dan instrucciones para utilizar las secuencias de comandos de configuración automatizada del aula y se proporciona la Lista de comprobación de la configuración del aula.

! Powerpnt. Esta carpeta contiene las diapositivas de Microsoft PowerPoint® que se utilizan en este curso.

! Pptview. Esta carpeta contiene Microsoft PowerPoint Viewer 97, que puede utilizarse para ver diapositivas de PowerPoint si no se dispone de Microsoft PowerPoint 2002. No utilice esta versión en el aula.

! Setup. Esta carpeta contiene los archivos que sirven para instalar el curso y el software relacionado en los equipos con la configuración del aula.

! Student. Esta carpeta contiene la página Web que ofrece a los alumnos vínculos a recursos para este curso, incluidas lecturas adicionales, respuestas de las prácticas, archivos de prácticas, presentaciones multimedia y sitios Web relacionados con el curso.

! Tools. Esta carpeta contiene los archivos y utilidades que se utilizan para completar la configuración del equipo del instructor.

! Webfiles. Esta carpeta contiene los archivos necesarios para ver la página Web del curso. Para abrir la página Web, abra el Explorador de Windows y, en el directorio raíz del disco compacto, haga doble clic en Default.htm o en Autorun.exe.

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red xiii

Contenido del disco compacto Material del alumno El disco compacto Material del alumno contiene los siguientes archivos y carpetas:

! Autorun.exe. Cuando se introduce el disco compacto en la unidad de CD-ROM o se hace doble clic en el archivo Autorun.exe, este archivo abre el disco compacto Material del alumno y permite examinarlo.

! Autorun.inf. Cuando se introduce el disco compacto en la unidad de discos compactos, este archivo abre Autorun.exe.

! Default.htm. Este archivo abre la página Web Material del alumno. Proporciona recursos relativos al curso, incluidas lecturas adicionales, repasos y respuestas de las prácticas, archivos de prácticas, presentaciones multimedia y sitios Web relacionados con el curso.

! Readme.txt. Este archivo explica la forma de instalar el software para ver el disco compacto Material del alumno y su contenido, y abrir la página Web Material del alumno.

! AddRead. Esta carpeta contiene lecturas adicionales relativas a este curso. ! Appendix. Esta carpeta contiene los archivos de los apéndices del curso. ! Flash. Esta carpeta contiene el programa instalador del complemento de

explorador de Macromedia Flash 6.0. ! Fonts. Esta carpeta contiene las fuentes necesarias para ver los documentos

Microsoft Word que incluye el curso. ! Labfiles. Esta carpeta contiene archivos que se utilizan en las prácticas.

Pueden usarse con el fin de preparar los equipos de los alumnos para las prácticas.

! Media. Esta carpeta contiene archivos que se utilizan en las presentaciones multimedia de este curso.

! Mplayer. Esta carpeta contiene el archivo de configuración necesario para instalar el Reproductor de Microsoft Windows Media®.

! Webfiles. Esta carpeta contiene los archivos necesarios para ver la página Web del curso. Para abrir la página Web, abra el Explorador de Windows y, en el directorio raíz del disco compacto, haga doble clic en Default.htm o en Autorun.exe.

! Wordview. Esta carpeta contiene el Visor de Word que se usa para ver los documentos de Word (.doc) incluidos en el disco compacto.

xiv Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red

Convenciones tipográficas En el material del curso, se utilizan las siguientes convenciones para distinguir los diferentes elementos del texto.

Convención Uso Negrita Representa comandos, opciones de comandos y la sintaxis que

se debe escribir exactamente como se muestra. También indica comandos de menús y botones, títulos y opciones de cuadros de diálogo, y nombres de iconos y de menús.

Cursiva En instrucciones de sintaxis o texto descriptivo, indica nombres de argumentos o marcadores de posición de información variable. La cursiva también se utiliza para presentar términos nuevos y títulos de libros, y para hacer hincapié en el texto.

Mayúsculas iniciales Indican nombres de dominios, usuarios, equipos, directorios, carpetas y archivos, excepto cuando hacen referencia a nombres en los que se distinguen mayúsculas y minúsculas. A menos que se indique lo contrario, puede utilizar letras minúsculas cuando escriba un nombre de directorio o de archivo en un cuadro de diálogo o en el símbolo del sistema.

MAYÚSCULAS Indica los nombres de teclas, secuencias y combinaciones de teclas; por ejemplo, ALT+BARRA ESPACIADORA.

Monoespacio Representa ejemplos de código o de texto que aparece en la pantalla.

[ ] En las instrucciones de sintaxis, los corchetes contienen elementos opcionales. Por ejemplo, en la sintaxis de un comando, [nombreArchivo] indica que puede escribir un nombre de archivo con el comando. Escriba sólo la información escrita entre los corchetes, sin los corchetes.

{ } En las instrucciones de sintaxis, las llaves contienen elementos obligatorios. Escriba sólo la información escrita entre las llaves, sin las llaves.

| En las instrucciones de sintaxis, separa dos elementos entre los que se puede optar.

! Indica un procedimiento con pasos secuenciales.

... En las instrucciones de sintaxis, especifica que el elemento anterior se puede repetir.

.

.

.

Representa una parte omitida de un ejemplo de código.

Contenido

Introducción 1

Material del curso 2

Requisitos previos 4

Estructura del curso 5

Configuración 7

Microsoft Official Curriculum 8

Programa Microsoft Certified Professional 10

Presentación multimedia: Funciones laborales en el entorno de los sistemas de información de hoy en día (opcional) 13

Presentación multimedia: Introducción a la infraestructura central de la red 14

Instalaciones 15

Introducción

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Introducción i

Notas para el instructor El módulo Introducción proporciona a los alumnos información general del contenido, el material y la logística del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft® Windows Server� 2003: Servicios de red.

Para impartir este curso, necesitará el siguiente material:

! Guía de entrega ! Disco compacto Material del instructor

Para preparar este curso debe hacer lo siguiente:

! Completar la Lista de comprobación de la preparación del curso que se suministra con el material del curso para el instructor.

! Revisar detenidamente las Notas para el instructor de este curso.

Presentación: 30 minutos

Material necesario

Tareas de preparación

ii Introducción

Recomendaciones para impartir este módulo Esta sección incluye información para ayudarle a impartir este módulo.

Dé la bienvenida a los alumnos y preséntese. Resuma brevemente su experiencia para acreditarse como instructor.

Pida a los alumnos que se presenten y describan sus conocimientos, su experiencia con los productos y sus expectativas sobre el curso.

Escriba las expectativas de los alumnos en una pizarra o en un tablero para hacer referencia a ellas posteriormente.

Informe a los alumnos de que todo el material necesario para este curso se encuentra en sus mesas.

Haga que escriban sus nombres en ambas caras de la tarjeta de identificación.

Describa el contenido del cuaderno de trabajo y del disco compacto Material del alumno.

Este curso contiene evaluaciones de cada lección que se encuentran en el disco compacto Material del alumno. Puede utilizarlas como valoraciones previas para ayudar a los alumnos a identificar áreas de dificultad o bien como valoraciones posteriores para validar el aprendizaje. Considere la posibilidad de utilizarlas para reforzar la lección al final del día. También puede usarlas al principio del día como revisión del contenido impartido el día anterior.

Informe a los alumnos de dónde pueden enviar comentarios acerca de este curso.

Demuestre cómo abrir la página Web que se proporciona en el disco compacto Material del alumno. En el disco compacto, haga doble clic en el archivo Autorun.exe o Default.htm de la carpeta Student.

Describa los requisitos de este curso. Ésta es la oportunidad para identificar a los alumnos que carezcan de los conocimientos o la experiencia necesarios para asistir al curso.

Describa brevemente cada módulo y lo que aprenderán los alumnos. Procure no hacerlo muy detalladamente porque el curso se presenta en detalle en el módulo 1.

Explique la forma en que este curso satisface sus expectativas; para ello, relaciónelas con la información tratada en cada módulo.

Describa la información de configuración necesaria para el curso, incluidos los archivos del curso y la configuración del aula.

Para ver las animaciones de este curso, haga clic en el icono Presentación multimedia. Después de abrir la animación, presione F11 para verla en el modo de pantalla completa.

Introducción

Material del curso

Importante

Requisitos previos

Estructura del curso

Configuración

Introducción iii

Explique el programa Microsoft Official Curriculum (MOC) y presente la lista de cursos adicionales recomendados.

Indique a los alumnos que visiten la página Web de Microsoft Official Curriculum en http://www.microsoft.com/spain/formacion/ (España) o http://www.microsoft.com/latam/entrenamiento/ (Latinoamérica) para obtener información acerca de trayectorias profesionales.

Informe a los alumnos acerca del programa Microsoft Certified Professional (MCP), los exámenes de certificación relacionados con este curso y las distintas opciones de certificación.

El archivo multimedia de esta presentación está instalado en el equipo del instructor. Para abrir una presentación multimedia, haga clic en el icono de la animación en la diapositiva de la presentación.

Esta presentación está incluida en los requisitos previos de este curso y probablemente ya la hayan visto algunos de los alumnos, o incluso la mayoría. Decida si puede resultar útil reproducirla para su audiencia en particular. Si reproduce la presentación, explique que sirve de ayuda para entender las diferencias entre las funciones de los administradores de sistemas y las de los ingenieros de sistemas. Destaque que este curso se centra en un subconjunto de las funciones de los administradores de sistemas.

El archivo multimedia de esta presentación está instalado en el equipo del instructor. Para abrir una presentación multimedia, haga clic en el icono de la animación en la diapositiva de la presentación.

Explique que esta presentación constituye una introducción detallada a los servicios de red que interactúan para conformar la infraestructura central de la red. Describa los componentes de la infraestructura central de la red y la forma en que las tareas diarias de los usuarios encajan en ella.

Explique el horario de clases, las horas disponibles en el centro para prácticas, aparcamientos, servicios, comidas, teléfonos, envío de mensajes y dónde se permite o no fumar.

Informe a los alumnos de si disponen de servicio de acceso a Internet para utilizar durante los descansos.

Asegúrese de que conozcan el programa de reciclaje, si hay alguno disponible.

Microsoft Official Curriculum

Programa Microsoft Certified Professional

Presentación multimedia: Funciones laborales en el entorno de los sistemas de información de hoy en día (opcional)

Presentación multimedia: Introducción a la infraestructura central de la red

Instalaciones

Introducción 1

Introducción

******EL USO POR QUIENES NO SEAN INSTRUCTORES NO ESTÁ AUTORIZADO Y RESULTA ILEGAL******

2 Introducción

Material del curso


En el kit se incluye el material siguiente:

! Tarjeta de identificación. Escriba su nombre en ambas caras de la tarjeta de identificación.

! Cuaderno de trabajo. Contiene el material que se trata en la clase y los ejercicios prácticos.

! Disco compacto Material del alumno. Contiene la página Web que proporciona a los alumnos vínculos a los recursos correspondientes del curso, incluidos lecturas adicionales, respuestas a los repasos y prácticas, archivos de las prácticas, presentaciones multimedia y sitios Web relacionados con el curso.

Para abrir la página Web, introduzca el disco compacto Material del alumno en la unidad de CD-ROM y, a continuación, en el directorio raíz del disco compacto, haga doble clic en Autorun.exe o Default.htm.

! Evaluaciones. Hay evaluaciones de cada lección, que se encuentran en el disco compacto Material del alumno. Puede utilizarlas como valoraciones previas para identificar áreas de dificultad o bien como valoraciones posteriores para validar el aprendizaje.

! Evaluación del curso. Para realizar comentarios acerca del instructor, curso y producto de software, envíe un mensaje por correo electrónico a [email protected]. Asegúrese de escribir Curso 2184A (2277B) en la línea de asunto. Sus comentarios nos ayudarán a mejorar los cursos. Para realizar comentarios adicionales u obtener más información acerca del programa Microsoft® Certified Professional, envíe un mensaje a [email protected]. Este servicio se proporciona únicamente en inglés.

Nota

Introducción 3

Lecturas adicionales de Microsoft Press


Las publicaciones acerca de Microsoft Windows Server� 2003 de Microsoft Press pueden facilitarle su trabajo (desde las fases de planeamiento y evaluación a la implementación y el soporte técnico continuo) gracias a una excelente información técnica que le ayudará a aprovechar al máximo las mejoras y características fundamentales de Windows Server 2003. Los títulos siguientes complementan los conocimientos impartidos en este curso:

Título ISBN Understanding IPv6 0-7356-1245-5

Microsoft Windows Server 2003. Manual del administrador

84-481-3952-6

Microsoft Windows Server 2003 Servicios y Protocolos TCP/IP Referencia Técnica

84-481-3809-7

Microsoft Windows Server 2003 Running + 84-481-3953-4

Deploying Virtual Private Networks with Microsoft Windows Server 2003 Technical Reference

0-7356-1576-4

Seguridad en Microsoft Windows Server 2003 Running +

84-481-3957-7

4 Introducción

Requisitos previos


Para poder realizar este curso debe cumplir los siguientes requisitos previos:

! Certificación A+ o conocimientos equivalentes. ! Certificación Network+ o conocimientos equivalentes. ! Curso 2146A, Administración de un entorno Microsoft Windows

Server 2003, o conocimientos equivalentes. ! Curso 2164A, Mantenimiento de un entorno Microsoft Windows

Server 2003, o conocimientos equivalentes. ! Curso 2276B, Implementing a Microsoft Windows Server 2003 Network

Infrastructure: Network Hosts, o conocimientos equivalentes.

Introducción 5

Estructura del curso


El módulo 1, �Configurar el enrutamiento mediante Enrutamiento y acceso remoto�, proporciona los conocimientos necesarios para instalar y configurar el Servicio de enrutamiento y acceso remoto, y configurar filtros de paquetes.

El módulo 2, �Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)�, ofrece los conocimientos necesarios para agregar y autorizar un servicio Servidor DHCP, configurar ámbitos y reservas DHCP, así como configurar opciones de DHCP y agentes de retransmisión DHCP.

El módulo 3, �Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)�, ofrece los conocimientos necesarios para administrar una base de datos DHCP, supervisar DHCP y aplicar directrices de seguridad para DHCP.

El módulo 4, �Resolución de nombres�, proporciona los conocimientos necesarios para configurar nombres en un cliente, la resolución de nombres de host y la resolución de nombres del Sistema básico de entrada y salida de red (NetBIOS).

El módulo 5, �Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)�, proporciona los conocimientos necesarios para instalar el servicio Servidor DNS y configurar sus propiedades, configurar zonas DNS y transferencias de zonas DNS, así como configurar actualizaciones dinámicas de DNS y clientes DNS, y delegar la autoridad en las zonas.

El módulo 6, �Administrar y supervisar el Sistema de nombres de dominio (DNS)�, ofrece los conocimientos necesarios para configurar el valor de período de vida (TTL, Time-to-Live), configurar la caducidad y la compactación, integrar DNS y el Servicio de nombres Internet de Windows (WINS, Windows Internet Name Service), utilizar las utilidades de la línea de comandos Nslookup, DNSCMD y DNSLint, así como probar la configuración del servidor DNS y supervisar su rendimiento.

6 Introducción

Estructura del curso (continuación)


El módulo 7, �Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)�, ofrece los conocimientos necesarios para instalar y configurar un servidor WINS, administrar los registros en WINS, configurar la replicación WINS y administrar la base de datos WINS.

El módulo 8, �Proteger el tráfico de red mediante IPSec y certificados�, proporciona los conocimientos necesarios para implementar la Seguridad del protocolo Internet (IPSec, Internet Protocol Security), implementar IPSec con certificados y supervisar IPSec.

El módulo 9, �Configurar el acceso a la red�, proporciona los conocimientos necesarios para configurar conexiones de red privada virtual (VPN, Virtual Private Network), conexiones de acceso telefónico y conexiones inalámbricas, así como controlar el acceso de los usuarios a una red y centralizar la administración de directivas y la autenticación del acceso a la red mediante el Servicio de autenticación de Internet (IAS, Internet Authentication Service).

El módulo 10, �Administrar y supervisar el acceso a la red�, ofrece los conocimientos necesarios para administrar los servicios de acceso a la red, configurar el inicio de sesión en un servidor de acceso a la red, así como recopilar y supervisar los datos de acceso a la red.

El apéndice A, �Diferencias entre Microsoft Windows Server 2003 y Microsoft Windows 2000 Server�, explica las discrepancias que existen entre estos sistemas operativos en el contexto de las tareas tratadas en cada módulo. Este apéndice está destinado a los alumnos que estén familiarizados con Windows 2000 Server.

Consulte los valores indicados en el apéndice B, �Valores del plan de implementación�, durante la realización de los ejercicios y las prácticas.

Apéndices

Introducción 7

Configuración


Hay archivos asociados a las prácticas y los ejercicios de este curso. Los archivos para las prácticas se encuentran en C:\Moc\2184 en los equipos de los alumnos.

La configuración del aula está formada por un controlador de dominio y varios equipos de alumnos. En cada equipo se ejecuta Windows Server 2003, Enterprise Edition.

El nombre del dominio es nwtraders.msft, derivado de Northwind Traders, una compañía ficticia con oficinas en todo el mundo. Los nombres de los equipos corresponden a los de las ciudades con oficinas ficticias.

El controlador de dominio, que es también el equipo del instructor, recibe el nombre de London; el instructor también tiene un servidor miembro llamado Glasgow.

Archivos del curso

Configuración del aula

8 Introducción

Microsoft Official Curriculum


Microsoft Formación y Certificación, en España, y Microsoft Entrenamiento y Certificación, en Latinoamérica, han desarrollado Microsoft Official Curriculum (MOC), incluido MSDN Training, para profesionales de la informática responsables del diseño, desarrollo, asistencia técnica, implementación o administración de soluciones con productos y tecnologías de Microsoft. Estos cursos proporcionan una completa instrucción basada en experiencias prácticas, en las modalidades con instructor y en línea.

Cada curso está relacionado en cierta forma con otro. Un curso relacionado puede ser un requisito previo, un curso de seguimiento en una serie recomendada o un curso que ofrece un aprendizaje adicional.

Se recomienda realizar los siguientes cursos en este orden:

! Curso 2146A, Administración de un entorno Microsoft Windows Server 2003.

! Curso 2164A, Mantenimiento de un entorno Microsoft Windows Server 2003.

! Curso 2276B, Implementing a Microsoft Windows Server 2003 Network Infrastructure: Network Hosts.

! Curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.

! Curso 2278B, Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure.

! Curso 2279B, Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory® Infrastructure.

Puede que en el futuro se disponga de otros cursos relacionados. Por tanto, para obtener información actualizada acerca de los cursos recomendados, visite el sitio Web de Microsoft Formación y Certificación (o Microsoft Entrenamiento y Certificación).

Introducción

Cursos adicionales recomendados

Introducción 9

Para obtener más información, visite el sitio Web de Microsoft Formación y Certificación http://www.microsoft.com/spain/formacion/ (España) o el sitio Web de Microsoft Entrenamiento y Certificación http://www.microsoft.com/latam/entrenamiento/ (Latinoamérica).

Información acerca de Microsoft Formación y Certificación

10 Introducción

Programa Microsoft Certified Professional


Microsoft Formación y Certificación ofrece varias credenciales de certificación para programadores y profesionales informáticos. El programa de certificación puntero Microsoft Certified Professional valida su experiencia y conocimientos, y mantiene su competitividad en el entorno empresarial en continuo cambio de la actualidad.

Este curso ayuda a los alumnos a prepararse para el examen 70-291: Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.

El examen 70-291 es básico para la certificación Microsoft Certified Systems Administrator (MCSA).

El programa Microsoft Certified Professional incluye las siguientes certificaciones:

! MCSA en Microsoft Windows Server 2003 La certificación Microsoft Certified Systems Administrator (MCSA) está diseñada para profesionales que implementan, administran y solucionan los problemas de los entornos de red y sistemas basados en plataformas de Microsoft Windows 2000, incluida la familia de Windows Server 2003. Entre las responsabilidades de implementación se incluyen la instalación y configuración de los componentes de los sistemas. Entre las responsabilidades de administración se incluyen la administración y soporte técnico de los sistemas.

! MCSE en Microsoft Windows Server 2003 La credencial Microsoft Certified Systems Engineer (MCSE) es la certificación principal para los profesionales que analizan los requisitos de la empresa y diseñan e implementan la infraestructura de soluciones empresariales basadas en la plataforma Microsoft Windows 2000 y el software de servidor de Microsoft, incluida la familia de Windows Server 2003. Entre las responsabilidades de implementación se incluyen la instalación, configuración y solución de problemas de los sistemas de red.

Introducción

Exámenes de certificación relacionados

Certificaciones MCP

Introducción 11

! MCAD La credencial Microsoft Certified Application Developer (MCAD) para Microsoft .NET es adecuada para aquellos profesionales que utilizan tecnologías de Microsoft con el fin de desarrollar y mantener aplicaciones para departamentos, componentes, clientes Web o de escritorio, servicios de datos de servicios de fondo o trabajo en equipos que desarrollan aplicaciones empresariales. La credencial abarca tareas de trabajo que incluyen desde el desarrollo a la implementación y el mantenimiento de estas soluciones.

! MCSD La credencial Microsoft Certified Solution Developer (MCSD) es la certificación principal para los profesionales que diseñan y desarrollan soluciones empresariales punteras con herramientas de desarrollo, tecnologías y plataformas de Microsoft, y la arquitectura DNA de Microsoft Windows. Entre los tipos de aplicaciones que los profesionales con la credencial MCSD pueden desarrollar se hallan las de escritorio y las aplicaciones multiusuario de varios niveles basadas en transacciones y en el Web. La credencial abarca tareas de trabajo que incluyen desde el análisis de los requisitos empresariales al mantenimiento de las soluciones.

! MCDBA en Microsoft SQL Server 2000 La credencial Microsoft Certified Database Administrator (MCDBA) es la principal certificación para los profesionales que implementan y administran bases de datos de Microsoft SQL Server. Esta certificación es apropiada para aquellos profesionales capacitados para derivar diseños de bases de datos físicas, desarrollar modelos lógicos de datos, crear bases de datos físicas, crear servicios de datos con Transact-SQL, administrar y mantener bases de datos, configurar y administrar la seguridad, supervisar y optimizar bases de datos, e instalar y configurar SQL Server.

! MCP La credencial Microsoft Certified Professional (MCP) está destinada a los profesionales que disponen de la capacidad necesaria para implementar correctamente un producto o tecnología de Microsoft como parte de una solución empresarial en una organización. Para obtener la certificación es preciso disponer de experiencia práctica con el producto.

! MCT Los profesionales con la credencial Microsoft Certified Trainers (MCT) demuestran las capacidades técnicas y de enseñanza que les cualifican para impartir el programa Microsoft Official Curriculum en Microsoft Certified Technical Education Centers (Microsoft CTEC).

12 Introducción

Los requisitos de certificación varían de una categoría a otra y son específicos de los productos y los puestos de trabajo a los que va dirigida. Para ser un Microsoft Certified Professional, tiene que pasar rigurosos exámenes de certificación que proporcionen una medida válida y confiable de su eficacia y experiencia técnica.

Consulte el sitio Web de Microsoft Formación y Certificación en http://www.microsoft.com/spain/formacion/ (España) o de Microsoft Entrenamiento y Certificación http://www.microsoft.com/latam/entrenamiento/ (Latinoamérica). También puede enviar un mensaje por correo electrónico a [email protected] si tiene alguna pregunta específica acerca de la certificación.

Microsoft Official Curriculum (MOC) y MSDN Training pueden ayudarle a desarrollar los conocimientos que necesita para realizar su trabajo. También complementan la experiencia que obtiene al trabajar con los productos y tecnologías de Microsoft. Sin embargo, no hay ninguna correlación entre MOC, los cursos MSDN Training y los exámenes de MCP. Microsoft no espera ni pretende que los cursos sean el único método de preparación para pasar los exámenes de MCP. También se requiere un conocimiento práctico y experiencia.

Como ayuda en la preparación de los exámenes de MCP, puede utilizar las guías de preparación disponibles para cada examen. Cada guía de preparación de examen contiene información específica acerca del examen, por ejemplo, una lista de temas en los que se basará la prueba. Estas guías están disponibles en el sitio Web de Microsoft Formación y Certificación en http://www.microsoft.com/spain/formacion/ (España) o de Microsoft Entrenamiento y Certificación http://www.microsoft.com/latam/entrenamiento/ (Latinoamérica).

Requisitos de certificación

Para obtener más información

Adquirir los conocimientos probados por un examen de MCP

Introducción 13

Presentación multimedia: Funciones laborales en el entorno de los sistemas de información de hoy en día (opcional)


Para iniciar la presentación multimedia Funciones laborales en el entorno de los sistemas de información de hoy en día, abra la página Web del disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.

Ubicación de los archivos

14 Introducción

Presentación multimedia: Introducción a la infraestructura central de la red


Para iniciar la presentación multimedia Introducción a la infraestructura central de la red, abra la página Web en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.

Al final de esta presentación, será capaz de:

! Explicar las principales tareas de red que los usuarios deben realizar diariamente.

! Describir los componentes de la infraestructura central de la red y la forma en que las tareas diarias de los usuarios encajan en ella.

! Describir cómo interaccionan los servicios de red para formar la infraestructura central de la red.

! Explicar la función del administrador de sistemas para conseguir que los componentes principales de la red funcionen de forma óptima.

! La infraestructura de red está formada por varios servicios de red,

que interactúan para conformar la infraestructura central de la red. ! Si se produce un error en un componente, el acceso a los recursos

puede resultar complicado o imposible. ! Como administrador de sistemas, es responsabilidad suya asegurar el

funcionamiento correcto de los servicios de red para que los usuarios puedan realizar sus tareas de red diarias.


Objetivos

Puntos clave

Introducción 15

Instalaciones


THIS PAGE INTENTIONALLY LEFT BLANK

Contenido

Introducción 1

Presentación multimedia: Función del enrutamiento en las infraestructuras de redes 2

Lección: Habilitar y configurar el Servicio de enrutamiento y acceso remoto 3

Lección: Configurar filtros de paquetes 20

Práctica A: Configurar el enrutamiento mediante Enrutamiento y acceso remoto 30

Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para instalar y configurar el enrutamiento mediante el Servicio de enrutamiento y acceso remoto de Microsoft® Windows Server� 2003.

Después de completar este módulo, los alumnos serán capaces de:

! Describir la función del enrutamiento en las infraestructuras de redes. ! Habilitar y configurar el Servicio de enrutamiento y acceso remoto. ! Configurar filtros de paquetes.

Para impartir este módulo, necesitará el material siguiente:

! El archivo 2184a_01.ppt de Microsoft PowerPoint®. ! El documento Valores del plan de implementación que se encuentra

en el apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Función del enrutamiento en las

infraestructuras de redes.

Se recomienda usar PowerPoint 2002 o una versión posterior para mostrar las diapositivas de este curso. Si usa PowerPoint Viewer o una versión anterior de PowerPoint, puede que no se muestren correctamente todas las características de las diapositivas.

Para preparar este módulo, debe:

! Leer todo el material del mismo. ! Completar todos los ejercicios y la práctica. ! Demostrar todos los procedimientos de las páginas de instrucciones. ! Revisar la presentación multimedia Función del enrutamiento en

las infraestructuras de redes. ! Repasar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 1 hora, 30 minutos Práctica: 30 minutos

Material necesario

Importante


iv Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

La información de esta sección proporciona las instrucciones necesarias para preparar el equipo del instructor o la configuración del aula para los ejercicios y la práctica. Asimismo, en esta sección se detallan las instrucciones de instalación que deben realizarse después de completar la práctica y antes de pasar al módulo siguiente.

! Prepare el ejercicio Habilitar y configurar el enrutamiento, y la práctica

La tarea siguiente debe completarse antes de iniciar el módulo.

1. Deshabilite la conexión de red del aula en el equipo Glasgow y cambie la puerta de enlace predeterminada. a. En Conexiones de red, haga clic con el botón secundario del mouse (ratón)

en Conexión de red del aula y, después, haga clic en Desactivar. b. Haga clic con el botón secundario del mouse en Conexión de red

del asociado y, a continuación, haga clic en Propiedades. c. En el cuadro de diálogo Propiedades de Conexión de red del asociado,

haga clic en Protocolo de Internet (TCP/IP) y en Propiedades. d. En el cuadro Propiedades de protocolo de Internet TCP/IP,

seleccione Usar la siguiente dirección IP. En el cuadro Puerta de enlace predeterminada, escriba 192.168.100.1. y haga clic en Aceptar.

e. Cierre el cuadro de diálogo Propiedades de Conexión de red del asociado. f. Cierre la ventana Conexiones de red.

Las demostraciones siguientes deben completarse antes de que los alumnos inicien el ejercicio Habilitar y configurar el enrutamiento, y la práctica.

2. Demuestre cómo habilitar y configurar el Servicio de enrutamiento y acceso remoto en el equipo London cuando imparta la página del tema Cómo habilitar y configurar el Servicio de enrutamiento y acceso remoto. a. En la herramienta Administre su servidor, haga clic en Agregar o

quitar función. b. En la página Pasos preliminares, haga clic en Siguiente. c. En la página Función del servidor, seleccione Servidor de acceso

remoto/VPN y, a continuación, haga clic en Siguiente. d. En la página Resumen de las selecciones, haga clic en Siguiente. e. En la página Éste es el Asistente para instalación del servidor

de enrutamiento y acceso remoto, haga clic en Siguiente. f. En la página Configuración, seleccione Configuración personalizada

y, a continuación, haga clic en Siguiente. g. En la página Configuración personalizada, seleccione la opción

Enrutamiento LAN y, a continuación, haga clic en Siguiente. h. En la página Finalización del Asistente para instalación del servidor

de enrutamiento y acceso remoto, haga clic en Finalizar. i. En el cuadro de diálogo de advertencia Enrutamiento y acceso remoto,

haga clic en Sí para iniciar el servicio. j. En la página Este servidor es ahora un servidor VPN de acceso

remoto, haga clic en Finalizar.


Importante

Importante

Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto v

3. Demuestre cómo agregar un protocolo de enrutamiento en el equipo London cuando imparta la página del tema Cómo agregar un protocolo de enrutamiento. a. En la consola Enrutamiento y acceso remoto, expanda el servidor,

expanda Enrutamiento IP, haga clic con el botón secundario del mouse en General y, a continuación, haga clic en Protocolo de enrutamiento nuevo.

b. En el cuadro de diálogo Protocolo de enrutamiento nuevo, seleccione Protocolo RIP versión 2 para Internet y haga clic en Aceptar.

4. Demuestre cómo agregar una interfaz de enrutamiento a un protocolo de enrutamiento en el equipo London cuando imparta la página del tema Cómo agregar una interfaz de enrutamiento a un protocolo de enrutamiento. a. En el árbol de la consola Enrutamiento y acceso remoto, haga clic con

el botón secundario del mouse en RIP y, a continuación, haga clic en Interfaz nueva.

b. En el cuadro de diálogo Interfaz nueva, seleccione Conexión de red del aula y, después, haga clic dos veces en Aceptar.

c. En el árbol de la consola Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en RIP y, a continuación, haga clic en Interfaz nueva.

d. En el cuadro de diálogo Interfaz nueva, seleccione Conexión de red del asociado y, después, haga clic dos veces en Aceptar.

! Prepare las prácticas de los módulos restantes 1. Quite la función Servidor de acceso remoto/VPN del equipo London una

vez que los alumnos hayan completado la práctica. 2. Para quitar la función Servidor de acceso remoto/VPN:

a. En la herramienta Administre su servidor, haga clic en Agregar o quitar función.

b. En la página Pasos preliminares, haga clic en Siguiente. c. En la página Función del servidor, seleccione Servidor de acceso

remoto/VPN y, a continuación, haga clic en Siguiente. d. En la página Confirmación de supresión de función, seleccione

la opción Quitar la función de servidor y, a continuación, haga clic en Siguiente.

e. En el cuadro de mensaje Enrutamiento y acceso remoto, haga clic en Sí.

f. En la página Se quitó la función de servidor de acceso remoto/VPN, haga clic en Finalizar.

vi Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto


Páginas de instrucciones, ejercicios y prácticas Explique a los alumnos el diseño para este curso de las páginas de instrucciones (�Cómo...�), los ejercicios y las prácticas. Un módulo incluye dos lecciones o más. La mayor parte de las lecciones incluyen páginas de instrucciones y un ejercicio. Una vez completadas todas las lecciones, el módulo concluye con una práctica.

Las páginas de instrucciones están hechas para que el instructor demuestre cómo llevar a cabo una tarea. Los alumnos no tienen que realizar con el instructor las tareas de la página de instrucciones. Seguirán los pasos que se indiquen para efectuar el ejercicio al final de cada lección.

Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones. Sin embargo, en estas páginas hay algunas demostraciones que usted deberá completar. Si los procedimientos no se completan, los alumnos no podrán realizar correctamente los ejercicios y la práctica. Consulte la sección Configuración del aula al comienzo de las Notas para el instructor con el fin de obtener información detallada acerca de las demostraciones obligatorias.

Si las demostraciones no son obligatorias, puede utilizar los equipos London o Glasgow para demostrar los procedimientos de las páginas de instrucciones. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.

Una vez cubierto el contenido del tema y demostrados los procedimientos correspondientes a la lección, explique que los ejercicios proporcionarán a los alumnos la oportunidad de obtener experiencia práctica en todas las tareas tratadas.

Al final de cada módulo, gracias a la práctica los alumnos pueden ejercitarse en las tareas que se explican y se aplican en todo el módulo.

Mediante situaciones de ejemplo reales, la práctica permite proporcionar a los alumnos un conjunto de instrucciones en una tabla de dos columnas. La columna de la izquierda indica la tarea que deben realizar (por ejemplo, Cree un grupo). En la columna de la derecha se especifican instrucciones concretas que los alumnos tendrán que seguir para llevar a cabo la tarea (por ejemplo, en Usuarios y equipos de Active Directory®, haga doble clic en el nodo de dominio).

En el disco compacto Material del alumno se encuentran las claves de respuestas de los ejercicios de cada práctica, por si los alumnos necesitan instrucciones paso a paso para completarla. También pueden remitirse a los ejercicios y a las páginas de instrucciones del módulo.

Páginas de instrucciones

Importante

Ejercicios

Prácticas

Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto vii

Presentación multimedia: Función del enrutamiento en las infraestructuras de redes

En esta sección se describen los métodos didácticos para impartir esta presentación multimedia.

! Los archivos de la presentación multimedia se instalan en el equipo del instructor. Para abrir una presentación multimedia, haga clic en el icono de animación en la diapositiva correspondiente.

! Explique a los alumnos que en la presentación se ofrece una introducción visual avanzada a la función de enrutamiento en las infraestructuras de redes. Los detalles del enrutamiento se describen en el tema y en las páginas de instrucciones.

! El tiempo previsto para la presentación multimedia es de 5 minutos.

Lección: Habilitar y configurar el Servicio de enrutamiento y acceso remoto

En esta sección se describen métodos didácticos para impartir esta lección.

! Defina un enrutador. ! Explique que los enrutadores permiten ampliar una red y mantener el ancho

de banda al segmentar el tráfico de red. ! Explique qué son los enrutadores de software y de hardware. ! Presente los componentes principales de una solución de enrutamiento.

! Defina una interfaz de enrutamiento. ! Describa los dos tipos diferentes de interfaces de enrutamiento.

! Defina los protocolos de enrutamiento. ! Explique que al agregar un protocolo de enrutamiento a un servidor de

Enrutamiento y acceso remoto se habilita la comunicación con todos los demás enrutadores de la red que estén configurados con el mismo protocolo de enrutamiento.

! Proporcione una breve introducción al Protocolo de información de enrutamiento (RIP, Routing Information Protocol) y el protocolo Abrir primero la ruta de acceso más corta (OSPF, Open Shortest Path First) y compare ambos protocolos.

! Describa cómo funciona RIP.

Qué es un enrutador

Qué es una interfaz de enrutamiento

Qué es un protocolo de enrutamiento

viii Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

! Defina una tabla de enrutamiento. ! Explique su propósito. ! Explique los tres tipos diferentes de entradas en las tablas de enrutamiento. ! Explique el valor del período de concesión. ! Describa los diferentes campos de una tabla de enrutamiento y la

información que contienen. ! Demuestre cómo presentar una tabla de enrutamiento mediante el comando

route print.

! Explicar el propósito del Servicio de enrutamiento y acceso remoto de Microsoft Windows Server 2003.

! Señale que el Servicio de enrutamiento y acceso remoto no sólo hace posible el enrutamiento, sino también el acceso remoto.

! Explique el Asistente para administrar su servidor. ! Haga hincapié en que es necesario iniciar sesión con una cuenta que tenga

derechos administrativos en el servidor para poder ejecutar la herramienta Administre su servidor.

! Explique la importancia de iniciar sesión mediante el comando Ejecutar como.

! Resalte que nunca debe utilizarse una cuenta de usuario de dominio al instalar y configurar el enrutamiento en Microsoft Windows Server 2003.

! Demuestre los procedimientos siguientes:

• (Obligatorio) Habilitar y configurar el Servicio de enrutamiento y acceso remoto.

Esta demostración obligatoria debe realizarse antes de que los alumnos inicien el ejercicio Habilitar y configurar el enrutamiento. Consulte la sección Configuración del aula al comienzo de las Notas para el instructor con el fin de obtener información detallada acerca de esta demostración obligatoria.

! Quitar una función de servidor.

• Puede demostrar esta tarea, pero haga clic en Cancelar antes de completar el asistente.

! (Obligatorio) Demuestre cómo agregar un protocolo de enrutamiento.


Qué es una tabla de enrutamiento

Por qué utilizar el Servicio de enrutamiento y acceso remoto de Microsoft Windows Server 2003

Cómo habilitar y configurar el Servicio de enrutamiento y acceso remoto

Importante

Cómo agregar un protocolo de enrutamiento Importante

Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto ix

! (Obligatorio) Demuestre cómo agregar una interfaz de enrutamiento a un protocolo.


! Remita a los alumnos al documento Valores del plan de implementación

al final de su cuaderno de trabajo. ! Comente que pueden consultar las páginas de instrucciones

correspondientes a la lección. ! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas:

• Desactivar la conexión de red del aula.

• Comprobar el enrutamiento a diferentes equipos.

• Habilitar y configurar el enrutamiento en el servidor.

• Comprobar el enrutamiento a diferentes equipos.

• Agregar un protocolo de enrutamiento en el servidor.

• Agregar dos interfaces de enrutamiento al protocolo de enrutamiento en el servidor.

• Comprobar la configuración desde el cliente. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y

comente los resultados.

Lección: Configurar filtros de paquetes En esta sección se describen métodos para impartir esta lección.

! Defina el filtrado de paquetes. ! Explique las configuraciones necesarias de los filtros. ! Explique el propósito de los filtros de paquetes. ! Proporcione ejemplos del funcionamiento de los filtros de paquetes.

! Describa cómo los diversos parámetros afectan a la manera en que se

aplica un filtro.

• Por ejemplo, describa cómo utilizar el operador lógico AND. ! Explique cómo evitar filtros contradictorios. ! Con ayuda de la diapositiva, describa cómo se aplican los filtros

de paquetes.

• Por ejemplo, describa cómo utilizar el operador lógico OR.

• Este tema está complementado con una diapositiva animada; revise la diapositiva antes de la clase.

Cómo agregar una interfaz de enrutamiento a un protocolo de enrutamiento Importante

Ejercicio: Habilitar y configurar el Servicio de enrutamiento y acceso remoto

Qué es el filtrado de paquetes

Cómo aplicar filtros de paquetes

x Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

! Haga una demostración de cómo configurar un filtro de paquetes.

! Comente que pueden consultar las páginas de instrucciones correspondientes a la lección.

! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas:

• Comprobar el acceso a los recursos de red.

• Configurar un filtro de entrada.

• Comprobar el acceso a los recursos de red en el equipo cliente. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y

comente los resultados.

Al final del módulo debe quitar la función Servidor de acceso remoto/VPN para preparar las prácticas de los demás módulos. Consulte la sección Configuración del aula al comienzo de las Notas para el instructor con el fin de obtener información detallada acerca de esta tarea obligatoria.

Cómo configurar filtros de paquetes

Ejercicio: Configurar filtros de paquetes

Importante

Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto 1

Introducción


Los administradores de sistemas deben tener un conocimiento minucioso de los enrutadores y su funcionamiento para poder configurar de manera eficaz una solución de enrutamiento en el entorno de red.

Para obtener más información acerca de cómo proteger Enrutamiento y acceso remoto, consulte la documentación de Ayuda de Microsoft Windows Server 2003, Enterprise Edition.

Después de finalizar este módulo, el alumno será capaz de:

! Describir la función del enrutamiento en las infraestructuras de redes. ! Habilitar y configurar el Servicio de enrutamiento y acceso remoto. ! Configurar filtros de paquetes.

Introducción

Importante

Objetivos

2 Módulo 1: Configurar el enrutamiento mediante Enrutamiento y acceso remoto

Presentación multimedia: Función del enrutamiento en las infraestructuras de redes


Para iniciar la presentación Función del enrutamiento en las infraestructuras de redes, abra la página Web en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.


! Describir la función del enrutamiento en las infraestructuras de redes. ! Explicar la diferencia entre el enrutamiento local y remoto. ! Describir cómo se integra la solución de enrutamiento de Microsoft® en

las infraestructuras de redes.

! La función del enrutamiento en las infraestructuras de redes consiste en proporcionar el medio principal para enlazar dos o más subredes de Protocolo Internet (IP) separadas físicamente para formar una sola red.

! La conexión de subredes IP permite a los hosts de las subredes conectadas comunicarse entre sí, lo que a su vez permite a los usuarios obtener acceso a recursos.

! En el entorno de enrutamiento de una organización, los enrutadores pueden conectar muchas subredes.

! Las tablas de enrutamiento almacenan rutas de acceso a distintas subredes y calculan la ruta más efectiva para reenviar una solicitud a la subred apropiada.

! Los enrutadores comparten la información nueva o existente de sus tablas de enrutamiento mediante protocolos de enrutamiento.

! Microsoft Windows Server� 2003 admite la funcionalidad de enrutamiento a través del Servicio de enrutamiento y acceso remoto.


Objetivos

Puntos clave


Lección: Habilitar y configurar el Servicio de enrutamiento y acceso remoto


Al aprender acerca de los componentes clave del enrutamiento, cómo se relacionan entre sí y cómo funcionan en una red, podrá habilitar y configurar correctamente una solución de enrutamiento para una red.

Esta lección presenta las capacidades y conocimientos necesarios para habilitar y configurar un enrutador de software.

Después de finalizar esta lección, el alumno será capaz de:

! Explicar la función de un enrutador. ! Explicar qué son las interfaces de enrutamiento. ! Explicar qué son los protocolos de enrutamiento. ! Explicar qué es una tabla de enrutamiento. ! Explicar el propósito del Servicio de enrutamiento y acceso remoto de

Microsoft Windows Server 2003. ! Habilitar y configurar el Servicio de enrutamiento y acceso remoto. ! Agregar un protocolo de enrutamiento. ! Agregar una interfaz de enrutamiento a un protocolo de enrutamiento.

Introducción

Objetivos de la lección


Qué es un enrutador


Los enrutadores son un sistema intermedio de la capa de red que se utiliza para conectar redes mediante un protocolo de capa de red común. Los sistemas intermedios son dispositivos de red que tienen la capacidad de reenviar paquetes entre distintas partes de una red. Por ejemplo, en el modelo Interconexión de sistemas abiertos (OSI, Open Systems Interconnection):

! Los concentradores conectan hosts en la capa física. ! Los conmutadores conectan hosts en la capa de enlace de datos. ! Los enrutadores conectan hosts en la capa de red.

Los enrutadores permiten ampliar la red y mantener el ancho de banda al segmentar el tráfico de red. Por ejemplo, los equipos de pruebas de una organización pueden estar en un segmento de la red, mientras que los equipos de producción están en un segmento de red independiente. Un enrutador conecta estos dos segmentos independientes.

Los dos tipos de enrutadores que se utilizan en un entorno de red son:

! Enrutador de hardware. Dispositivo de hardware dedicado que ejecuta software especializado con el propósito exclusivo de realizar el enrutamiento.

! Enrutador de software. Enrutador que efectúa el enrutamiento como uno de los múltiples procesos que se ejecutan en el equipo enrutador. Enrutamiento y acceso remoto de Microsoft Windows Server 2003 es un servicio que efectúa el enrutamiento además de otros procesos. Cuando se habilita como enrutador de red, Microsoft Windows Server 2003 admite el enrutamiento estático y el dinámico. En el enrutamiento estático, el administrador actualiza manualmente la tabla de enrutamiento. En el enrutamiento dinámico, son los protocolos de enrutamiento los que actualizan dicha tabla.

Definición

Propósito de los enrutadores

Tipos de enrutadores


Los componentes principales de una solución de enrutamiento son:

! Interfaz de enrutamiento. Interfaz física o lógica a través de la que se reenvían paquetes.

! Protocolo de enrutamiento. Conjunto de mensajes que los enrutadores utilizan para compartir tablas de enrutamiento de modo que puedan determinar la ruta de acceso apropiada para reenviar datos.

! Tabla de enrutamiento. Conjunto de entradas llamadas rutas que contienen información acerca de la ubicación de los identificadores de red en la interconexión de redes.

Componentes principales de una solución de enrutamiento


Qué es una interfaz de enrutamiento


Una interfaz de enrutamiento es una interfaz física o lógica a través de la que se reenvían paquetes de Protocolo Internet (IP). El enrutador basado en Microsoft Windows Server 2003 utiliza una interfaz de enrutamiento para reenviar paquetes IP.

! Interfaces de red de área local (LAN). Estas interfaces suelen representar un adaptador de red instalado, aunque también puede utilizarse un adaptador de red de área extensa (WAN, Wide Area Network) como interfaz. Normalmente, las interfaces LAN no requieren un proceso de autenticación para activarse.

! Interfaces de marcado a petición. Estas interfaces representan una conexión punto a punto que requiere autenticación para completar la conexión. Dos ejemplos son una red privada virtual (VPN, Virtual Private Network) de enrutador a enrutador y una línea telefónica conectada mediante módems. Una red VPN es la extensión de una red privada a través de redes compartidas o públicas. Las conexiones de marcado a petición pueden ser a petición (sólo se establecen cuando es necesario) o persistentes (una vez establecida, la conexión se mantiene).

Para obtener más información acerca del enrutamiento de marcado a petición, consulte el kit de recursos de Microsoft Windows Server 2003, Enterprise Edition.

Un servidor con Enrutamiento y acceso remoto de Microsoft Windows Server 2003 que está conectado a la red local y a Internet puede enrutar paquetes entre un cliente de acceso remoto en Internet y los recursos existentes en la red corporativa. El enrutador de este ejemplo está conectado a la red de área local a través de una interfaz LAN y a Internet mediante una interfaz de marcado a petición.

Definición

Tipos de interfaces de enrutamiento

Nota

Ejemplo


Qué es un protocolo de enrutamiento


Un protocolo de enrutamiento es un conjunto de mensajes que los enrutadores utilizan con el fin de determinar la ruta apropiada para reenviar datos. Los protocolos de enrutamiento administran automáticamente los cambios de la tabla de enrutamiento que puedan producirse debido a cambios en la red.

Un servidor con Enrutamiento y acceso remoto de Microsoft Windows Server 2003 que no tenga configurado un protocolo de enrutamiento sólo puede enrutar entre:

! Las redes a las que está conectado físicamente el servidor de Enrutamiento y acceso remoto.

! Las redes para las que el servidor de Enrutamiento y acceso remoto tenga configuradas rutas estáticas (especificadas manualmente por un administrador).

Sin embargo, cuando se agrega un protocolo de enrutamiento, el servidor puede comunicarse con todos lo demás enrutadores de la red que estén configurados con el mismo protocolo de enrutamiento. La tabla de enrutamiento del enrutador de Microsoft Windows Server 2003 se actualiza automáticamente con las rutas de los demás enrutadores.

Para obtener más información acerca de los protocolos de enrutamiento, consulte el kit de recursos de Microsoft Windows Server 2003, Enterprise Edition.

Enrutamiento y acceso remoto de Microsoft Windows Server 2003 admite dos tipos de protocolos de enrutamiento:

! Protocolo de información de enrutamiento (RIP). Diseñado para intercambiar información de enrutamiento en una red de tamaño pequeño a mediano.

! Abrir primero la ruta de acceso más corta (OSPF). Diseñado para intercambiar información de enrutamiento en una red de tamaño grande o muy grande.

Definición

Ejemplo

Nota

Tipos de protocolos de enrutamiento


El proceso de RIP evita que la administración de las tablas de enrutamiento se convierta en una carga.

1. RIP crea dinámicamente tablas de enrutamiento mediante el envío de anuncios del contenido de su propia tabla de enrutamiento a sus interfaces configuradas.

2. Los enrutadores conectados a esas interfaces reciben los anuncios y los utilizan para crear las tablas de enrutamiento apropiadas.

3. Los enrutadores que reciben los anuncios compilan su propia tabla de enrutamiento, que a continuación se transmite a otros enrutadores. Este proceso continúa hasta que cada uno de los enrutadores configurados haya recibido las rutas de todos los demás.

En lugar de intercambiar entradas de las tablas de enrutamiento como hacen los enrutadores RIP, los enrutadores OSPF mantienen un mapa de la red que se actualiza después de cualquier cambio en la topología. Este mapa se denomina base de datos de estado de vínculos.

1. OSPF permite que un enrutador calcule la ruta de acceso más corta para enviar paquetes a cada nodo.

2. El enrutador envía información (denominada anuncios de estado de vínculos) acerca de los nodos a los que está vinculado a todos los demás enrutadores de la red. El enrutador recopila información de los demás enrutadores, que utiliza para conocer el estado de los vínculos y efectuar cálculos.

RIP es sencillo de configurar e implementar. Sin embargo, a medida que la red crece los anuncios periódicos que envía cada enrutador RIP pueden producir un tráfico excesivo en la red. (RIP suele utilizarse en redes de hasta 50 servidores.)

OSPF funciona de forma eficaz en redes grandes porque calcula la mejor ruta que puede utilizarse y requiere menos mensajes de estado. A diferencia de RIP, OSPF no anuncia todas las rutas conocidas a los demás enrutadores, sino únicamente los cambios realizados en sus rutas.

El inconveniente de OSPF es su complejidad: es más difícil de configurar y requiere más administración que RIP.

Cómo funciona RIP

Cómo funciona OSPF

Comparación de RIP y OSPF


Qué es una tabla de enrutamiento


Una tabla de enrutamiento es un conjunto de entradas llamadas rutas que contienen información acerca de la ubicación de los identificadores de red en la interconexión de redes.

La información de una tabla de enrutamiento ayuda a determinar la ruta óptima en una interconexión de redes. La tabla de enrutamiento no es exclusiva de un enrutador. Los hosts (no enrutadores) pueden tener también una tabla de enrutamiento que utilizan para determinar la ruta óptima.

Hay tres tipos de entradas en las tablas de enrutamiento:

! Ruta de red. Ruta de acceso a un identificador de red específico en la interconexión de redes.

! Ruta de host. Ruta de acceso a una dirección de la interconexión de redes (identificador de red y de nodo). Las rutas de host suelen utilizarse para crear rutas personalizadas a hosts específicos a fin de controlar u optimizar el tráfico de red.

! Ruta predeterminada. Se utiliza cuando no se encuentran otras rutas en la tabla de enrutamiento. Por ejemplo, si un host o un enrutador no puede encontrar una ruta de red o de host hasta el destino, se utiliza la ruta predeterminada. La ruta predeterminada simplifica la configuración de hosts. En lugar de configurar hosts con rutas para todos los identificadores de red de la interconexión de redes, se emplea una única ruta predeterminada para reenviar todos los paquetes cuya dirección de red o de interconexión de redes de destino no se encuentre en la tabla de enrutamiento.

Definición

Propósito de una tabla de enrutamiento

Tipos de entradas de las tablas de enrutamiento


Cada entrada de la tabla de enrutamiento consta de los campos de información siguientes:

! Destino de red. Especifica el destino de red de la ruta. El destino puede ser una dirección IP (donde los bits de host de la dirección de red se establecen en 0), una dirección IP correspondiente a una ruta de host o 0.0.0.0, en el caso de la ruta predeterminada.

! Máscara de red. Especifica la máscara de subred asociada con el destino de red. Su valor puede ser la máscara de subred apropiada correspondiente a una dirección de red IP, 255.255.255.255 en el caso de una ruta de host o 0.0.0.0 en el caso de la ruta predeterminada.

! Puerta de acceso. Especifica la dirección IP de reenvío o siguiente salto a través de la cual puede llegarse al conjunto de direcciones definidas por el destino de red y la máscara de subred.

! Interfaz. Especifica el número de interfaz de red para la ruta especificada. Se trata de un número de puerto u otro tipo de identificador lógico.

! Métrica. Especifica la medida de costo de una ruta en números enteros. Normalmente, la métrica más baja es la ruta preferida. Si hay varias rutas a una red de destino dada, se utiliza la que tenga la menor métrica.

Puede escribir route print en un símbolo del sistema para mostrar todo el contenido de una tabla de enrutamiento. Para ver otros ejemplos de comandos route, consulte la documentación de Ayuda de Microsoft Windows Server 2003.

Estructura de la tabla de enrutamiento

Nota


Por qué utilizar el Servicio de enrutamiento y acceso remoto de Microsoft Windows Server 2003


Enrutamiento y acceso remoto de Microsoft Windows Server 2003 es un servicio que efectúa el enrutamiento además de otros procesos. Un servidor con Enrutamiento y acceso remoto de Microsoft Windows Server 2003 puede utilizarse para:

! Conectar segmentos de LAN (subredes) en una red corporativa. ! Conectar sucursales a intranets corporativas y compartir recursos como

si todos los equipos estuvieran conectados a la misma LAN. ! Proporcionar a los equipos remotos acceso a recursos de la red corporativa.

Los administradores de sistemas pueden ver y utilizar Enrutamiento y acceso remoto para ver y administrar los servidores de enrutamiento que ejecuten Microsoft Windows Server 2003 y los servidores de acceso remoto de una red.

El Servicio de enrutamiento y acceso remoto admite diversas plataformas de hardware y adaptadores de red. Asimismo puede ampliarse con interfaces de programación de aplicaciones (API) que los programadores pueden utilizar para crear soluciones de redes personalizadas.

Propósito del Servicio de enrutamiento y acceso remoto de Microsoft Windows Server 2003


Cómo habilitar y configurar el Servicio de enrutamiento y acceso remoto


En este procedimiento utilizará la herramienta Administre su servidor, que es una característica nueva de Microsoft Windows Server 2003, para habilitar y configurar el Servicio de enrutamiento y acceso remoto. La herramienta Administre su servidor está disponible en el menú Inicio de la familia Microsoft Windows Server 2003.

Es recomendable que inicie sesión con una cuenta que no tenga credenciales administrativas y que use el comando Ejecutar como para ejecutar la consola con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar esta tarea.

Después de seleccionar Agregar o quitar función, aparece el Asistente para configurar su servidor, que le guía por los pasos necesarios para agregar la nueva función de servidor de enrutamiento.

Al seleccionar Servidor de acceso remoto/VPN, aparece el Asistente para instalación del servidor de enrutamiento y acceso remoto, que le guía por los pasos finales de configuración del Servicio de enrutamiento y acceso remoto.

Introducción

Nota


Para habilitar y configurar el Servicio de enrutamiento y acceso remoto:

1. Inicie sesión con una cuenta de usuario sin credenciales administrativas. 2. Haga clic en Inicio y, después, haga clic en Panel de control. 3. En el Panel de control, abra Herramientas administrativas, haga clic

con el botón secundario del mouse (ratón) en Administre su servidor y seleccione Ejecutar como.

4. En el cuadro de diálogo Ejecutar como, seleccione El siguiente usuario, introduzca una cuenta de usuario, con la contraseña apropiada, que tenga permisos para completar la tarea y, a continuación, haga clic en Aceptar.

5. En la herramienta Administre su servidor, haga clic en Agregar o quitar función.

6. En la página Pasos preliminares, haga clic en Siguiente. 7. En la página Función del servidor, seleccione Servidor de acceso

remoto/VPN y, a continuación, haga clic en Siguiente.

La función Servidor de acceso remoto/VPN se utiliza para instalar y configurar el enrutamiento de Microsoft Windows Server 2003 y proporcionar acceso remoto a la red.

8. En la página Resumen de las selecciones, haga clic en Siguiente. 9. En la página Éste es el Asistente para instalación del servidor de

enrutamiento y acceso remoto, haga clic en Siguiente. 10. En la página Configuración, seleccione Configuración personalizada y,

a continuación, haga clic en Siguiente. 11. En la página Configuración personalizada, seleccione la opción

Enrutamiento LAN y, a continuación, haga clic en Siguiente. 12. En la página Finalización del Asistente para instalación del servidor de

enrutamiento y acceso remoto, haga clic en Finalizar. 13. En el cuadro de diálogo de advertencia Enrutamiento y acceso remoto,

haga clic en Sí para iniciar el servicio. 14. En la página Este servidor es ahora un servidor VPN de acceso remoto,

haga clic en Finalizar.

La herramienta Administre su servidor también se utiliza para quitar una función de servidor, por ejemplo, el Servicio de enrutamiento y acceso remoto.

Para quitar una función de servidor:


2. En la página Pasos preliminares, haga clic en Siguiente. 3. En la página Función del servidor, seleccione la función de servidor

que desee quitar y, a continuación, haga clic en Siguiente. 4. En la página Confirmación de supresión de función, seleccione la opción

Quitar la función de servidor y, a continuación, haga clic en Siguiente. 5. En la página Se quitó función de servidor, haga clic en Finalizar.

Procedimiento para habilitar y configurar el Servicio de enrutamiento y acceso remoto

Importante

Nota

Procedimiento para quitar una función de servidor


Cómo agregar un protocolo de enrutamiento


Después de habilitar y configurar el enrutamiento en un servidor, puede agregarle un protocolo de enrutamiento. Esto permite que el servidor se comunique con todos los demás enrutadores de la red que estén configurados con el mismo protocolo.

La principal herramienta de administración para configurar el enrutamiento es la consola Enrutamiento y acceso remoto. Está disponible en la carpeta Herramientas administrativas en el Panel de control. En este procedimiento utilizará la consola Enrutamiento y acceso remoto para agregar un protocolo de enrutamiento al servidor enrutador.

Es recomendable que inicie sesión con una cuenta que no tenga credenciales administrativas y que ejecute el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar esta tarea.

Para agregar un protocolo de enrutamiento:

1. En la consola Enrutamiento y acceso remoto, expanda el servidor, expanda Enrutamiento IP, haga clic con el botón secundario del mouse en General y, a continuación, haga clic en Protocolo de enrutamiento nuevo.

2. En el cuadro de diálogo Protocolo de enrutamiento nuevo, seleccione el protocolo de enrutamiento apropiado y haga clic en Aceptar.

Introducción

Nota

Procedimiento


Cómo agregar una interfaz de enrutamiento a un protocolo de enrutamiento


Una vez agregado un protocolo de enrutamiento al enrutador, debe agregar al menos una interfaz al protocolo para que funcione correctamente. Sin embargo, también puede agregar varias interfaces a un protocolo. Por ejemplo, si desea establecer comunicación con un enrutador de otra subred, puede agregar las interfaces de esa subred al protocolo configurado en el enrutador. Esto permite que el enrutador se conecte al enrutador de la nueva subred.


Para agregar una interfaz de enrutamiento a un protocolo:

1. En el árbol de la consola Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en el protocolo de enrutamiento al que desee agregar una interfaz y, a continuación, haga clic en Interfaz nueva.

2. En el cuadro de diálogo Interfaz nueva, seleccione la interfaz apropiada y, a continuación, haga clic en Aceptar.

3. Si corresponde, realice los pasos necesarios para configurar la interfaz.

Para ver las interfaces de enrutamiento instaladas y configuradas en la consola Enrutamiento y acceso remoto, haga clic en Interfaces de red en el árbol de la consola.

Introducción

Nota

Procedimiento

Nota


Ejercicio: Habilitar y configurar el Servicio de enrutamiento y acceso remoto


En este ejercicio, habilitará y configurará el enrutamiento.

Para completar este ejercicio, remítase al documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

El ingeniero de sistemas ha creado un departamento del laboratorio que no está conectado a la red corporativa. El departamento del laboratorio dispone de equipos para efectuar pruebas en diversas aplicaciones antes de distribuirlas a equipos específicos de la organización. Como el departamento del laboratorio tiene varias subredes independientes y no va a conectarse a la red corporativa, el ingeniero de sistemas ha diseñado las subredes de manera que estén conectadas entre sí a través de enrutadores.

Usted habilitará y configurará un servidor para ejecutar el Servicio de enrutamiento y acceso remoto de Microsoft Windows Server 2003. Debe comprobar el enrutamiento en diferentes momentos durante el proceso de configuración utilizando el comando ping y documentando los resultados.

Objetivo

Instrucciones

Situación de ejemplo


! Desactivar la conexión de red del aula ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más alto. 1. Inicie sesión en el equipo como NombreDeEquipoAdmin con la contraseña

P@ssw0rd desde el dominio nwtraders. 2. En Conexiones de red, haga clic con el botón secundario del mouse en

Conexión de red del aula y, después, haga clic en Desactivar. 3. Haga clic con el botón secundario del mouse en Conexión de red del

asociado y, a continuación, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades de Conexión de red del asociado,

haga clic en Protocolo de Internet (TCP/IP) y en Propiedades. 5. Seleccione Usar la siguiente dirección IP. En el cuadro Puerta de enlace

predeterminada, escriba la dirección IP del adaptador de la Conexión de red del asociado correspondiente a los equipos de alumnos que tengan los números más bajos y, a continuación, haga clic en Aceptar.

6. Cierre el cuadro de diálogo Propiedades de Conexión de red del asociado. 7. Cierre la ventana Conexiones de red.

! Comprobar el enrutamiento a diferentes equipos • Complete esta tarea desde el equipo del alumno que tenga el número de

identificación más alto

Acción Resultado Utilice el comando ping para intentar conectar con la dirección IP de la Conexión de red del aula del equipo de su compañero.

Se ha conectado

Utilice el comando ping para intentar conectar con la dirección IP de la Conexión de red del aula del equipo London.

No se puede conectar

Utilice el comando ping para intentar conectar con la dirección IP de la Conexión de red del asociado del equipo Glasgow.


! Habilitar y configurar el enrutamiento en el servidor

! Complete esta tarea desde el equipo del alumno que tenga el número de identificación más bajo

! Cuenta de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Dominio: nwtraders

Ejercicio


! Comprobar el enrutamiento a diferentes equipos • Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más alto


Se ha conectado





! Agregar un protocolo de enrutamiento en el servidor ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más bajo ! Protocolo de enrutamiento: RIP versión 2

! Agregar dos interfaces de enrutamiento al protocolo de enrutamiento en el servidor


! Protocolo de enrutamiento: RIP versión 2 ! Interfaz: Conexión de red del aula ! Interfaz: Conexión de red del asociado


! Comprobar la configuración desde el cliente • Complete esta tarea desde el equipo del alumno que tenga el número



Se ha conectado


Se ha conectado


Se ha conectado


Lección: Configurar filtros de paquetes


El tráfico IP dirigido a un equipo host o proveniente de él puede administrarse con el filtrado de Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol). Sin embargo, al configurar el filtrado de paquetes en un enrutador, puede controlarse todo el tráfico IP de la red que pase por ese enrutador.


! Explicar qué es el filtrado de paquetes. ! Describir cómo se aplican los filtros de paquetes. ! Configurar filtros de paquetes.

Introducción



Qué es el filtrado de paquetes


El filtrado de paquetes impide que determinados tipos de paquetes de red se envíen o reciban a través de un enrutador.

Un filtro de paquetes es una opción de configuración TCP/IP diseñada para permitir o denegar la entrada o salida de los paquetes.

Enrutamiento y acceso remoto de Microsoft Windows Server 2003 admite el filtrado de paquetes IP. Mediante Enrutamiento y acceso remoto es posible especificar filtros de paquetes por cada interfaz y, a continuación, configurarlos para realizar una de las acciones siguientes:

! Dejar pasar todo el tráfico excepto los paquetes que el filtro prohíba. ! Descartar todo el tráfico excepto los paquetes que el filtro permita.

Al configurar un filtro de paquetes, debe especificarse en primer lugar si se trata de un filtro de entrada o de salida. Después, se selecciona una acción de filtrado, ya sea para aceptar o para descartar todos los paquetes especificados en el filtro.

El filtrado de paquetes se utiliza para:

! Impedir el acceso de usuarios no autorizados. ! Impedir el acceso a recursos. ! Mejorar el rendimiento al impedir que los paquetes no necesarios

se transmitan a través de una conexión lenta.

Definición

Configuración de filtros

Por qué utilizar el filtrado de paquetes


Por ejemplo, si desea permitir que los usuarios de Internet se conecten a un servidor Web de la red interna a través de un servidor de Enrutamiento y acceso remoto, puede configurar un filtro de entrada que sólo permita los paquetes del puerto TCP 80 y la dirección IP del servidor Web. No se admitirían otros paquetes provenientes de Internet.

Si desea restringir la red interna para permitir el acceso sólo a los sitios Web de Internet que utilizan el puerto 80, puede crear un filtro de salida que sólo permita los paquetes dirigidos al puerto TCP 80. Los demás paquetes no podrían atravesar el servidor de Enrutamiento y acceso remoto.

Ejemplos del uso de filtros de paquetes


Cómo aplicar filtros de paquetes


En un único filtro pueden establecerse varios parámetros. Asimismo, es posible crear un conjunto de filtros que indiquen al enrutador el tipo de tráfico que se permite o se prohíbe en cada interfaz configurada. Estos filtros pueden establecerse para el tráfico entrante y saliente.

Si se configuran varios parámetros en un filtro, esos parámetros se comparan mediante un operador lógico AND al aplicar el filtro a un paquete.

Por ejemplo, los campos del paquete deben coincidir con todos los parámetros configurados del filtro. Si el paquete cumple con todos los parámetros, la acción del filtro se aplica para recibirlo o descartarlo.

Como para cada interfaz pueden definirse tanto filtros de entrada como de salida, es posible crear filtros contradictorios. Cuando hay varios filtros configurados, los filtros independientes aplicados al paquete de entrada o de salida se comparan mediante un operador lógico OR.

Por ejemplo, el filtro de entrada de una interfaz permite el tráfico entrante, pero el filtro de salida de la otra interfaz no permite el tráfico saliente. El resultado es que el tráfico se descarta y no atraviesa el enrutador. (Si el paquete coincide al menos con uno de los filtros configurados, se recibe o se descarta dependiendo de la acción establecida en el filtro.)

Introducción

Cuando se aplican varios parámetros a un único filtro

Cuando se configuran varios filtros de paquetes


Los filtros de paquetes se aplican según las reglas siguientes:

1. Los paquetes entrantes y salientes se comparan con el filtro de paquetes de un enrutador.

2. Si el paquete cumple con todos los parámetros del primer filtro, la acción del filtro se aplica para recibirlo o descartarlo.

3. Si el paquete no cumple con todos los parámetros del primer filtro, se compara con el siguiente filtro de paquetes en el enrutador.

4. Si no se aplica ninguno de los filtros de paquetes y el enrutador está configurado con un filtro de exclusión, el paquete atraviesa el enrutador. Si el enrutador está configurado con un filtro de inclusión, el paquete se descarta y no atraviesa el enrutador.

Cómo aplicar los filtros de paquetes


Cómo configurar filtros de paquetes


Para configurar el filtrado de paquetes IP en Enrutamiento y acceso remoto de Microsoft Windows Server 2003, puede crear filtros que permitan o prohíban determinados tipos de tráfico en una interfaz de enrutamiento. Si un paquete no cumple con los requisitos de un filtro determinado, se descarta y no se reenvía. La configuración de un filtro implica la selección de una interfaz y la especificación de un filtro de entrada o de salida, y de una acción de filtrado.


Para configurar filtros de paquetes:

1. En el árbol de la consola Enrutamiento y acceso remoto, expanda NombreDeEquipo, expanda Enrutamiento IP y, a continuación, haga clic en General.

2. En el panel de detalles, haga clic con el botón secundario del mouse en la interfaz a la que desee agregar un filtro y, a continuación, haga clic en Propiedades.

3. En la ficha General, haga clic en Filtros entrantes o en Filtros salientes y, a continuación, haga clic en Nuevo.

4. En el cuadro de diálogo Agregar filtro IP, identifique la red de origen con los valores siguientes: a. Dirección IP. Especifique el identificador de red del protocolo IP de

origen o una dirección IP de origen. b. Máscara de subred. Escriba la máscara de subred que corresponda al

identificador de red de origen o escriba 255.255.255.255 como dirección IP de origen.

Introducción

Nota

Procedimiento


5. En el cuadro de diálogo Agregar filtro IP, identifique la red de destino con los valores siguientes: a. Dirección IP. Escriba el identificador de red del protocolo IP de destino

o una dirección IP de destino. b. Máscara de subred. Escriba la máscara de subred que corresponda

al identificador de red de destino o escriba 255.255.255.255 como dirección IP de destino.

Los bits de máscara de subred de las redes de origen y de destino deben incluir todos los bits que se utilicen en el campo Dirección IP. Es decir, la dirección IP no puede ser más específica que la máscara de subred.

6. En el cuadro de diálogo Agregar filtro IP, seleccione el protocolo apropiado: a. TCP. Seleccione esta opción para especificar un puerto TCP de origen y

uno de destino. b. TCP (establecido). Seleccione esta opción para incluir sólo los paquetes

TCP que formen parte de una conexión TCP establecida previamente. c. UDP. Seleccione esta opción para especificar un puerto UDP de origen y

uno de destino.

Al especificar los protocolos TCP y UDP, puede proporcionar uno o los dos puertos (de origen o destino) en cada protocolo. Si no especifica ningún puerto, se establece el valor predeterminado 0, que significa cualquier puerto.

d. ICMP. Seleccione esta opción para especificar código ICMP y un tipo ICMP.

Puede especificar el protocolo, el puerto o ambos. Si no especifica un puerto, se establece el valor predeterminado 255, que significa cualquier código o cualquier tipo.

e. Cualquiera. Seleccione esta opción para que pueda aplicarse cualquier valor de protocolo IP.

f. Otros. Seleccione esta opción para especificar cualquier protocolo IP.

Debe especificar el número del protocolo. El archivo %Systemroot%\System32\Drivers\Etc\Protocol contiene una lista de protocolos compatibles con la familia Microsoft Windows Server 2003 y el número de cada uno de ellos. Puede habilitar Microsoft Windows Server 2003 para que reconozca protocolos adicionales si modifica este archivo.

7. En el cuadro de diálogo Agregar filtro IP, haga clic en Aceptar.

Importante

Importante

Importante

Importante


8. En el cuadro de diálogo Filtros, seleccione una de las siguientes acciones de filtrado y, a continuación, haga clic en Aceptar. a. Recibir todos los paquetes excepto aquellos que cumplan los

siguientes criterios b. Descartar todos los paquetes que no cumplan con los siguientes

criterios

Después de agregar un filtro, pruebe la configuración para asegurarse de que los filtros realizan la acción que desea y no surten efectos no deseados.

Para identificar los puertos que una aplicación utiliza, consulte la documentación de la aplicación. Para ver una lista de los puertos que Microsoft Windows Server 2003 utiliza, consulte �Commonly Used Port Numbers� en la carpeta Lecturas adicionales del disco compacto Material del alumno.

Importante

Nota


Ejercicio: Configurar filtros de paquetes


En este ejercicio, configurará un filtro de paquetes.


El ingeniero de sistemas desea conectar el departamento del laboratorio con un laboratorio remoto independiente mediante un enrutador. Para proteger el acceso al laboratorio remoto, ha diseñado filtros de paquetes IP para el enrutador que conecta ambos laboratorios.

Usted ha instalado y configurado un servidor para ejecutar Enrutamiento y acceso remoto de Microsoft Windows Server 2003. A continuación, configurará un filtro de paquetes para proteger el acceso al laboratorio remoto. También comprobará el acceso a los recursos de red antes y después de configurar los filtros de paquetes.

Objetivo

Instrucciones



! Comprobar el acceso a los recursos de red • Complete esta tarea desde el equipo del alumno que tenga el número de

identificación más alto

Acción Resultado Utilice el comando ping para intentar conectar con la dirección IP de la Conexión de red del asociado del equipo Glasgow.

Se ha conectado

! Configurar un filtro de entrada


! Interfaz general: Conexión de red del asociado ! Tipo de filtro: Filtro entrante ! Dirección IP de la red de destino: 192.168.100.2 ! Máscara de subred de la red de destino: 255.255.255.255 ! Protocolo: ICMP ! Acción del filtro: Recibir todos los paquetes excepto aquellos que

cumplan los siguientes criterios

! Comprobar el acceso a los recursos de red en el equipo cliente • Complete esta tarea desde el equipo del alumno que tenga el número


Acción Resultado Utilice el comando ping para intentar conectar con la dirección IP de la Conexión de red del asociado del equipo Glasgow.


Ejercicio


Práctica A: Configurar el enrutamiento mediante Enrutamiento y acceso remoto


En esta práctica podrá identificar y resolver problemas comunes que pueden surgir al configurar el enrutamiento y los filtros de paquetes.

Objetivo

Tiempo previsto para completar esta práctica: 30 minutos


Ejercicio 1 Identificar y resolver problemas comunes que pueden surgir al configurar el enrutamiento y los filtros de paquetes En este ejercicio, identificará y resolverá problemas comunes que pueden surgir al configurar el enrutamiento y los filtros de paquetes.

Instrucciones Para completar esta práctica, remítase al documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo.

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar las tareas. Al completar la práctica, suponga que iniciará sesión en una cuenta sin derechos administrativos (por ejemplo, NombreDeEquipoUser), a menos que en las instrucciones específicas de la práctica se aconseje lo contrario.

Situación de ejemplo Los usuarios del laboratorio de pruebas tienen problemas con el enrutamiento en su subred. También tienen dificultades para el acceso al laboratorio de ensayo que hay en otra subred. Utilice el comando ping para averiguar la causa de los problemas de enrutamiento. A continuación, realice las correcciones necesarias para restaurar el enrutamiento. Después de efectuar las correcciones, utilice el comando ping de nuevo con el fin de comprobar la conexión dentro de las subredes de pruebas y ensayo, y entre ellas.

Importante Al final de la práctica, el instructor debe completar los pasos siguientes:

! Quitar la función de servidor de acceso remoto/VPN del equipo London. ! Quitar el valor de puerta de enlace predeterminada correspondiente a la Conexión de red del

asociado en el equipo Glasgow. ! Habilitar la conexión de red del aula en el equipo Glasgow.


Tareas Instrucciones específicas

Realice la tarea siguiente sólo en el equipo que tenga el número de alumno más alto.

1. Compruebe el enrutamiento a diferentes equipos mediante el comando ping.

" Utilice el comando ping para conectar con la dirección IP de:

• La conexión de red del aula en el equipo London. Esta acción debería tener éxito.

• La Conexión de red del asociado en el equipo Glasgow. No debería poder conectarse.

• La conexión de red del aula del equipo de su compañero. Esta acción debería tener éxito.

Realice la tarea siguiente sólo en el equipo que tenga el número de alumno más bajo. Utilice el comando Ejecutar como para abrir un símbolo del sistema con derechos administrativos en el equipo local para ejecutar el archivo de comandos.

2. Vuelva a generar los problemas de enrutamiento que se produjeron en el laboratorio de pruebas; para ello, ejecute la siguiente secuencia de comandos: C:\Moc\2184\Labfiles\ Lab01\Routing.vbs.

" Cierre la consola Enrutamiento y acceso remoto y, a continuación, ejecute la secuencia de comandos siguiente en un símbolo del sistema: C:\Moc\2184\Labfiles\Lab01\Routing.vbs.

Realice las tareas siguientes sólo en el equipo que tenga el número de alumno más alto.

3. Compruebe los cambios en el enrutamiento a diferentes equipos mediante el comando ping.

" Utilice el comando ping para conectar con la dirección IP de:

• La conexión de red del aula en el equipo London. No debería poder conectarse.

• La Conexión de red del asociado en el equipo Glasgow. Esta acción debería tener éxito.

• La conexión de red del aula del equipo de su compañero. Esta acción debería tener éxito.

4. Compruebe si la dirección IP de la puerta de enlace predeterminada es correcta.

" Si el valor de puerta de enlace predeterminada correspondiente al equipo que tiene el número de alumno más alto es incorrecto, corríjalo como corresponda. (Consulte el documento Valores del plan de implementación.)



Realice la tarea siguiente sólo en el equipo que tenga el número de alumno más bajo.

5. Identifique los problemas de configuración del enrutamiento y configure correctamente el enrutamiento y los filtros de paquetes.

a. Si no se han agregado aún las dos interfaces del enrutador al protocolo RIP, agregue correctamente las interfaces Conexión de red del asociado y Conexión de red del aula al protocolo RIP.

b. Si la interfaz Conexión de red del asociado no está configurada con el filtro de paquetes correcto, quite los filtros incorrectos y utilice las variables siguientes para agregar el que corresponda: • Interfaz general: Conexión de red del asociado • Tipo de filtro: Filtro entrante • Dirección IP de la red de destino: 192.168.100.2 • Máscara de subred de la red de destino: 255.255.255.255 • Protocolo: ICMP • Acción del filtro: Recibir todos los paquetes excepto aquellos

que cumplan los siguientes criterios Realice la tarea siguiente sólo en el equipo que tenga el número de alumno más alto.

6. Compruebe la conectividad del enrutamiento mediante el comando ping.

" Utilice el comando ping para conectar con la dirección IP de: • La conexión de red del aula en el equipo London. Esta acción

debería tener éxito. • La Conexión de red del asociado en el equipo Glasgow.

No debería poder conectarse. • La conexión de red del aula del equipo de su compañero.

Esta acción debería tener éxito. Realice la tarea siguiente sólo en el equipo que tenga el número de alumno más bajo.

7. Quite todos los filtros de paquetes y, después, Enrutamiento y acceso remoto.

a. En Conexión de red del asociado, elimine los Filtros entrantes existentes.

b. Quite Enrutamiento y acceso remoto.

Realice la tarea siguiente sólo en el equipo que tenga el número de alumno más alto.

8. Quite la dirección IP de puerta de enlace predeterminada de la Conexión de red del asociado y habilite la conexión de red del aula.

a. Inicie sesión en el equipo como NombreDeEquipoAdmin con la contraseña P@ssw0rd desde el dominio nwtraders.

b. En el Panel de control, abra Conexiones de red. c. Haga clic con el botón secundario del mouse en Conexión de red del

asociado y, a continuación, haga clic en Propiedades. d. En el cuadro de diálogo Propiedades de Conexión de red del asociado,

haga clic en Protocolo de Internet (TCP/IP) y en Propiedades. e. En el cuadro Puerta de enlace predeterminada, quite la dirección IP

del adaptador de Conexión de red del asociado del equipo de su compañero y, a continuación, haga clic en Aceptar.

f. Cierre el cuadro de diálogo Propiedades de Conexión de red del asociado.

g. En Conexiones de red, haga clic con el botón secundario del mouse en Conexión de red del aula y, después, haga clic en Activar.

h. Cierre la ventana Conexiones de red.

Contenido

Introducción 1

Presentación multimedia: Función de DHCP en las infraestructuras de redes 2

Lección: Agregar y autorizar un servicio Servidor DHCP 3

Lección: Configurar un ámbito DHCP 19

Lección: Configurar una reserva DHCP 26

Lección: Configurar opciones DHCP 32

Lección: Configurar un Agente de retransmisión DHCP 43

Práctica A: Identificar y solucionar problemas habituales al asignar direccionamiento IP mediante DHCP 57

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. © 2003, Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y la capacidad necesarios para asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol).


! Describir la función de DHCP en las infraestructuras de redes. ! Agregar y autorizar un servicio Servidor DHCP. ! Configurar un ámbito DHCP. ! Configurar opciones DHCP. ! Configurar una reserva DHCP. ! Configurar un Agente de retransmisión DHCP.


! Archivo 2184A_02.ppt de Microsoft® PowerPoint®. ! El documento Valores del plan de implementación que se encuentra en el

apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Función de DHCP en las infraestructuras

de redes.



! Leer todo el material del mismo. ! Completar los ejercicios y la práctica. ! Practicar la demostración de todas las páginas de instrucciones.

• Cada página de instrucciones suele incluir un título que comienza con �Cómo��.

! Revisar la presentación multimedia Función de DHCP en las infraestructuras de redes.

! Repasar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 2 horas Práctica: 30 minutos

Material necesario

Importante


iv Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

En esta sección se proporcionan las instrucciones necesarias con el fin de preparar la configuración del aula o el equipo del instructor para los ejercicios y la práctica. Asimismo, en esta sección se detallan las instrucciones de instalación que deben realizarse después de completar la práctica y antes de pasar al módulo siguiente.

! Preparar el ejercicio Configurar el Agente de retransmisión DHCP

La siguiente tarea debe realizarse antes de que los alumnos inicien el ejercicio Configurar el Agente de retransmisión DHCP.

! Para habilitar y configurar el Servicio de enrutamiento y acceso remoto en el equipo London:

1. Abra la consola de Enrutamiento y acceso remoto. 2. Haga clic con el botón secundario del mouse (ratón) en el servidor y,

después, haga clic en Configurar y habilitar Enrutamiento y acceso remoto.

3. En la página Éste es el Asistente para instalación del servidor de enrutamiento y acceso remoto, haga clic en Siguiente.

4. En la página Configuración, seleccione Configuración personalizada y, a continuación, haga clic en Siguiente.

5. En la página Configuración personalizada, seleccione Enrutamiento LAN y, a continuación, haga clic en Siguiente.

6. En la página Finalización del Asistente para instalación del servidor de enrutamiento y acceso remoto, haga clic en Finalizar.

7. En el cuadro de diálogo de advertencia Enrutamiento y acceso remoto, haga clic en Sí para iniciar el servicio.

8. En la página Este servidor es ahora un servidor VPN de acceso remoto, haga clic en Finalizar.

9. En la consola de Enrutamiento y acceso remoto, expanda el servidor, expanda Enrutamiento IP, haga clic con el botón secundario del mouse en General y, a continuación, haga clic en Protocolo de enrutamiento nuevo.

10. En el cuadro de diálogo Protocolo de enrutamiento nuevo, seleccione Protocolo RIP versión 2 para Internet y haga clic en Aceptar.

11. En la consola de Enrutamiento y acceso remoto, en el árbol de la consola, haga clic con el botón secundario del mouse en RIP y, a continuación, haga clic Interfaz nueva.

12. En el cuadro de diálogo Interfaz nueva, seleccione Conexión de red del aula y, después, haga clic dos veces en Aceptar.

13. En la consola de Enrutamiento y acceso remoto, en el árbol de la consola, haga clic con el botón secundario del mouse en RIP y, a continuación, haga clic Interfaz nueva.

14. En el cuadro de diálogo Interfaz nueva, seleccione Conexión de red del asociado y, después, haga clic en Aceptar dos veces.

15. En la consola de Enrutamiento y acceso remoto, en el árbol de la consola, expanda el servidor, expanda Enrutamiento IP y, a continuación, seleccione General.


Importante

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) v

! Preparar las prácticas de los módulos siguientes 1. Una vez que los alumnos hayan finalizado la práctica, deberá quitar la

función Enrutamiento y acceso remoto del equipo London. 2. Para quitar la función Enrutamiento y acceso remoto:

a. En la herramienta Administre su servidor, haga clic en Agregar o quitar función.

b. En la página Pasos preliminares, haga clic en Siguiente. c. En la página Función del servidor, seleccione Servidor de acceso

remoto/VPN y, a continuación, haga clic en Siguiente. d. En la página Confirmación de supresión de función, seleccione la

opción Quitar la función de servidor y, a continuación, haga clic en Siguiente.

e. En el cuadro de mensaje Enrutamiento y acceso remoto, haga clic en Sí.

f. En la página Se quitó la función de servidor de acceso remoto/VPN, haga clic en Finalizar.

vi Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

Recomendaciones para impartir este módulo En esta sección se incluye información para ayudarle a impartir este módulo.

Páginas de instrucciones, ejercicios y prácticas Explique a los alumnos el diseño para este curso de las páginas de instrucciones, los ejercicios y las prácticas. Un módulo incluye dos lecciones o más. La mayor parte de las lecciones contienen páginas de instrucciones y un ejercicio. Una vez completadas todas las lecciones, el módulo concluye con una práctica.


Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones.

Sin embargo, en estas páginas hay algunas demostraciones que usted deberá completar. Si los procedimientos no se completan, los alumnos no podrán realizar correctamente los ejercicios y la práctica. Consulte la sección Configuración del aula al comienzo de las Notas para el instructor con el fin de obtener información detallada acerca de las demostraciones obligatorias.

Si las demostraciones no son obligatorias, puede utilizar los equipos London o Glasgow para demostrar los procedimientos de las páginas de instrucciones. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.



Mediante situaciones de ejemplo que tienen que ver con la función de trabajo, la práctica permite proporcionar a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo, crear un grupo). En la columna de la derecha se especifican instrucciones concretas que los alumnos tendrán que seguir para llevar a cabo la tarea (por ejemplo, En Usuarios y equipos de Active Directory®, haga doble clic en el nodo de dominio).



Importante

Ejercicios

Prácticas

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) vii

Presentación multimedia: Función de DHCP en las infraestructuras de redes

En esta sección se describen los métodos didácticos para impartir esta presentación multimedia.


! Explique que esta presentación multimedia proporciona una introducción visual avanzada a la función de DHCP. Los detalles relativos a DHCP se describen en el tema y en las páginas de instrucciones.

! El tiempo previsto para completar la presentación multimedia es de seis minutos.

Lección: Agregar y autorizar un servicio Servidor DHCP En esta sección se describen los métodos didácticos para impartir la lección.

! Defina DHCP. ! Explique cómo reduce DHCP la cantidad y complejidad del trabajo

administrativo gracias al uso de la configuración automática de Protocolo de control de transporte/Protocolo Internet (TCP/IP).

! Describa la diferencia entre la configuración automática de TCP/IP y la manual.

! Dé ejemplos de la forma en que DHCP reduce la cantidad y complejidad del trabajo administrativo.

! Defina el concepto de concesión. ! Describa el modo en que DHCP asigna direcciones IP. ! Presente los procesos de renovación y generación de concesiones, pero

no los describa detalladamente. En los temas siguientes se proporcionará información adicional acerca de ambos procesos.

! Comente que DHCP emplea un proceso de cuatro pasos para conceder

información de direccionamiento IP a los clientes DHCP. ! Defina el proceso de generación de concesiones DHCP. ! Describa el proceso de generación de concesiones DHCP; para ello,

haga referencia a las ilustraciones de la diapositiva animada.

• Este tema está complementado con una diapositiva animada con información detallada; revise la diapositiva antes de la clase.

! (Opcional) Demuestre cómo capturar y mostrar los cuatro paquetes DHCP en el Monitor de red.

Motivos para utilizar DHCP

Cómo asigna DHCP las direcciones IP

Cómo funciona el proceso de generación de concesiones DHCP

viii Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

! Defina el proceso de renovación de concesiones DHCP. ! Explique el propósito del proceso de renovación de concesiones DHCP. ! Explique el valor de duración de la concesión. ! Describa el funcionamiento del proceso automático de renovación de

concesiones DHCP; para ello, haga referencia a las ilustraciones de la diapositiva animada.


! Describa cómo se puede renovar manualmente una concesión IP.

! Explique las pautas de preparación para agregar un servicio Servidor DHCP. ! Demuestre cómo agregar un servidor DHCP.

• Llegado a este punto, haga clic en Cancelar para interrumpir la creación de un ámbito. Tendrá la oportunidad de demostrar cómo se configuran los ámbitos DHCP en la lección siguiente.

! Defina la autorización DHCP. ! Describa las características de un servidor DHCP autorizado. ! Explique el propósito de la autorización de servidores DHCP. ! Explique los motivos por los que un servicio DHCP autorizado requiere el

servicio de directorio Active Directory. ! Describa cómo se autoriza un servicio DHCP; para ello, haga referencia al

ejemplo mostrado en la diapositiva animada.


! Comente que la tarea de autorizar un servicio Servidor DHCP suele llevarse a cabo una vez que éste se ha instalado y configurado.

! Explique los requisitos de la autorización de servidores DHCP. ! Para poder autorizar un servidor DHCP en un entorno de dominio de Active

Directory, en primer lugar debe iniciar una sesión como miembro del grupo Administradores de organización de la empresa donde el servidor vaya a autorizarse.

! Demuestre cómo autorizar un servicio Servidor DHCP.

! Remita a los alumnos al documento Valores del plan de implementación al final de su cuaderno de trabajo.



• Agregar el servidor DHCP.

• Autorizar el servicio Servidor DHCP. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio

y comente los resultados.

Cómo funciona el proceso de renovación de concesiones DHCP

Cómo agregar un servicio Servidor DHCP

Cómo es una autorización de un servicio Servidor DHCP

Cómo autorizar un servicio Servidor DHCP

Ejercicio: Agregar y autorizar un servicio Servidor DHCP

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) ix

Lección: Configurar un ámbito DHCP En esta sección se describen los métodos didácticos para impartir la lección.

! Defina el concepto de ámbito. ! Explique el propósito de los ámbitos DHCP. ! Describa las propiedades de los ámbitos. ! Proporcione ejemplos de ámbitos y de propiedades de ámbito.

• Haga referencia a la ilustración de la diapositiva y a los valores de ámbito de ejemplo.

! Explique que los ámbitos se pueden crear mediante el Asistente para configurar su servidor o a través de la consola del servidor DHCP.

! Demuestre cómo se configura un nuevo ámbito DHCP. ! Demuestre cómo se activa un ámbito.




• Configurar un ámbito DHCP.

• Obtener una dirección IP concedida por DHCP.

• Comprobar la dirección IP concedida por DHCP. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Configurar una reserva DHCP En esta sección se describen los métodos didácticos para impartir la lección.

! Defina el concepto de reserva. ! Explique el propósito de las reservas. ! Describa los elementos que componen una reserva DHCP. ! Describa el modo en que las reservas utilizan el mismo período de

concesión que el ámbito. ! Proporcione ejemplos de cuándo utilizar una reserva:

• Haga referencia a la ilustración de la diapositiva como ejemplo.

• Pregunte a los alumnos en qué situaciones resultaría adecuado disponer de una reserva DHCP en la organización.

! Demuestre cómo se configura una reserva DHCP. ! Demuestre cómo se comprueba la reserva DHCP.

Qué son los ámbitos DHCP

Cómo configurar un ámbito DHCP

Ejercicio: Configurar un ámbito DHCP

Qué es una reserva DHCP

Cómo configurar una reserva DHCP

x Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)




• Configurar una reserva DHCP.

• Obtener la reserva de la concesión DHCP.

• Comprobar la reserva DHCP.

• Eliminar la reserva DHCP.

• Obtener una dirección IP concedida por DHCP. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Configurar opciones DHCP En esta sección se describen los métodos didácticos para impartir la lección.

! Defina las opciones DHCP. ! Explique el propósito de las opciones DHCP. ! Describa las opciones DHCP más frecuentes, por ejemplo, el enrutador

(puerta de enlace predeterminada), el nombre de dominio y los servidores Sistema de nombres de dominio (DNS, Domain Name System) y Servicio de nombres Internet de Microsoft Windows (WINS, Microsoft Windows® Internet Name Service).

• Esté preparado para proporcionar ejemplos adicionales en caso de que los alumnos lo soliciten.

! Proporcione ejemplos acerca de cuándo utilizar las opciones DHCP.

! Explique los motivos del uso de varios niveles de opciones DHCP. ! Describa cómo se aplican las opciones Cliente reservado, Ámbito

y Servidor DHCP. ! Proporcione ejemplos acerca de cómo se aplican dichas opciones; para ello,

haga referencia a los ejemplos mostrados en la diapositiva animada.

• Este tema está complementado con una diapositiva animada detallada; revise la diapositiva antes de la clase.

Ejercicio: Configurar una reserva DHCP

Qué son las opciones DHCP

Cómo aplicar las opciones Cliente reservado, Ámbito y Servidor DHCP

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) xi

! Describa cómo se aplican las opciones de nivel de clase DHCP. ! Explique la función de las opciones de nivel de clase. ! Describa las clases de proveedor existentes. ! Proporcione ejemplos de clases de proveedor; para ello, haga referencia

al ejemplo mostrado en la diapositiva.


! (Opcional) Demuestre cómo buscar una opción de clase de proveedor mediante la consola DHCP.

! Describa las clases de usuario. ! (Opcional) Demuestre cómo ver la opción de clase de usuario

predeterminada y agregar un identificador de clase de usuario mediante el comando ipconfig:

• En el símbolo del sistema, escriba ipconfig /showclassid �IdDeAdaptador�.

• En el símbolo del sistema, escriba ipconfig /setclassid �IdDeAdaptador� myclassid.

• En el símbolo del sistema, escriba ipconfig /all para mostrar el identificador de clase de usuario configurado.

! Proporcione ejemplos de clases de usuario.

! Demuestre cómo configurar una opción de servidor DHCP. ! Demuestre cómo configurar una opción de ámbito DHCP.


al final de su cuaderno de trabajo. ! Comente que pueden consultar las páginas de instrucciones


• Configurar una opción DHCP en el nivel de ámbito.

• Obtener la opción de ámbito DHCP. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Cómo aplicar las opciones de nivel de clase DHCP

Cómo configurar las opciones DHCP

Ejercicio: Configurar opciones DHCP

xii Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

Lección: Configurar un Agente de retransmisión DHCP En esta sección se describen los métodos didácticos para impartir la lección.

! Con ayuda de la diapositiva, defina el concepto de Agente de retransmisión DHCP.


! Describa las características del enrutador admitido en el documento de Solicitud de comentarios (RFC, Request For Comments) 1542.

• Dependiendo del grado de conocimientos de los alumnos, puede que tenga que explicar lo que es RFC.

! Explique la función del Agente de retransmisión DHCP. ! Describa las tres estrategias DHCP que pueden emplearse en una

red enrutada:

• Servidor DHCP en cada subred.

• Enrutador admitido según el documento RFC 1542.

• Agente de retransmisión DHCP de Microsoft. ! Explique cuándo se utilizaría un Agente de retransmisión DHCP en lugar

de los servidores duales DHCP. ! Proporcione ejemplos de la utilización de DHCP.

! Describa el funcionamiento de un Agente de retransmisión DHCP; para ello,

haga referencia a las ilustraciones de la diapositiva animada.

• Este tema está complementado con una diapositiva animada detallada; revise la diapositiva antes de la clase.

! Defina el umbral de recuento (o cuenta) de saltos. ! Explique el propósito del umbral de recuento de saltos. ! Describa la forma en que un Agente de retransmisión DHCP emplea

el recuento de saltos; para ello, haga referencia a la ilustración de la diapositiva.

! Proporcione ejemplos de Agentes de retransmisión DHCP que utilizan el recuento de saltos.

! Defina el umbral de inicio. ! Explique el propósito del umbral de inicio. ! Con ayuda de la diapositiva, describa la forma en que un Agente

de retransmisión DHCP emplea el umbral de inicio.


! Proporcione ejemplos de Agentes de retransmisión DHCP que utilizan el umbral de inicio.

Qué es un Agente de retransmisión DHCP

Cómo funciona un Agente de retransmisión DHCP

Cómo utiliza un Agente de retransmisión DHCP el recuento de saltos

Cómo utiliza un Agente de retransmisión DHCP el umbral de inicio

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) xiii

! Analice los procedimientos necesarios para definir el recuento de saltos y el umbral de inicio.

! Demuestre cómo agregar un Agente de retransmisión DHCP. ! Demuestre cómo configurar un Agente de retransmisión DHCP con la

dirección IP del servidor DHCP. ! Demuestre cómo se habilita el Agente de retransmisión DHCP en la interfaz

de un enrutador.

Esta demostración es obligatoria y debe realizarse antes de que los alumnos inicien el ejercicio Configurar un Agente de retransmisión DHCP.




• Instalar y configurar el enrutamiento LAN.

• Agregar el Agente de retransmisión DHCP.

• Configurar el Agente de retransmisión DHCP con la dirección IP de un servidor DHCP.

• Habilitar el Agente de retransmisión DHCP en la interfaz de un enrutador.

• Desactivar el ámbito DHCP.

• Comprobar el Agente de retransmisión DHCP.

• Activar el ámbito DHCP.

• Comprobar la concesión DHCP desde el servidor DHCP del equipo asociado.

• Quitar Enrutamiento y acceso remoto. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Cómo configurar un Agente de retransmisión DHCP

Importante

Ejercicio: Configurar un Agente de retransmisión DHCP

Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP) 1

Introducción


Un conocimiento exhaustivo del Protocolo de configuración dinámica de host (DHCP) y su funcionamiento le ayudará, como administrador de sistemas, a asignar de forma eficaz el direccionamiento de Protocolo Internet (IP) en el entorno de red.


! Describir la función de DHCP en las infraestructuras de redes. ! Agregar y autorizar un servicio Servidor DHCP. ! Configurar un ámbito DHCP. ! Configurar opciones DHCP. ! Configurar una reserva DHCP. ! Configurar un Agente de retransmisión DHCP.

Introducción

Objetivos

2 Módulo 2: Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)

Presentación multimedia: Función de DHCP en las infraestructuras de redes


Para iniciar la presentación Función de DHCP en las infraestructuras de redes, abra la página Web en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.


! Explicar qué es DHCP. ! Describir el funcionamiento de DHCP. ! Explicar cómo los enrutadores pueden reenviar paquetes de difusión DHCP. ! Describir el funcionamiento de un Agente de retransmisión DHCP.

! Todos los hosts Protocolo de control de transporte/Protocolo Internet

(TCP/IP), como los equipos cliente o los dispositivos de red, requieren datos de configuración y direcciones TCP/IP. DHCP se puede utilizar para asignar automáticamente los datos de configuración TCP/IP a cada host TCP/IP.

! La configuración TCP/IP puede incluir los siguientes datos: dirección TCP/IP, máscara de subred y datos IP adicionales, como la información relativa al enrutador y a otros tipos de servidores.

! Los administradores de sistema puede configurar y mantener manualmente la configuración IP de los clientes o bien usar DHCP para asignar, configurar y mantener de forma dinámica los datos de configuración TCP/IP de cada host.

! DHCP administra de manera centralizada la asignación de direcciones, lo que permite evitar los conflictos de direcciones y reduce el trabajo administrativo.

! Puede configurar los enrutadores para permitir que los paquetes DHCP se reenvíen a subredes remotas.

! Puede utilizar un Agente de retransmisión para transmitir paquetes DHCP entre clientes y servidores ubicados en subredes diferentes.

Ubicación del archivo

Objetivos

Puntos clave


Lección: Agregar y autorizar un servicio Servidor DHCP


El conocimiento de los procesos y el funcionamiento de DHCP le permitirá agregar correctamente una función de servidor a un servidor y autorizar el servicio Servidor DHCP en la red.

Después de finalizar esta lección, será capaz de:

! Explicar el propósito de DHCP. ! Describa el modo en que DHCP asigna direcciones IP. ! Describir cómo funciona el proceso de generación de concesiones DHCP. ! Describir cómo funciona el proceso de renovación de concesiones DHCP. ! Agregar el servicio Servidor DHCP. ! Describir cómo autorizar un servicio Servidor DHCP. ! Autorizar el servicio Servidor DHCP.

Introducción





El Protocolo de configuración dinámica de host (DHCP) es un estándar IP para simplificar la administración de la configuración IP de los hosts. El estándar DHCP permite utilizar servidores DHCP con el fin de administrar la asignación dinámica de direcciones IP y otros datos de configuración IP relacionados en clientes habilitados para DHCP de la red.

En redes basadas en TCP/IP, DHCP reduce la complejidad y la cantidad de trabajo administrativo necesario para volver a configurar los equipos.

Para comprender por qué DHCP resulta útil a la hora de configurar TCP/IP en equipos cliente, es conveniente comparar la configuración manual de TCP/IP con la automática, en la que se utiliza DHCP.

Si escribe manualmente los datos de configuración IP (como la dirección IP, la máscara de subred o la puerta de enlace predeterminada) correspondientes a cada host, pueden producirse errores tipográficos. Estos errores pueden provocar problemas de comunicación o problemas asociados con direcciones IP duplicadas. Es más, se genera un aumento de las tareas administrativas en las redes en las que los equipos se trasladan con frecuencia de una subred a otra. Además, si necesita cambiar el valor IP de varios clientes, deberá actualizar la configuración IP de cada uno.

Al configurar el servidor DHCP para admitir clientes DHCP, el servidor DHCP suministra automáticamente la información de configuración necesaria a los clientes. También garantiza que los clientes de red emplean la información de configuración de red correcta. Asimismo, en caso de que sea necesario realizar algún cambio en los datos de configuración IP de varios clientes, el cambio se puede efectuar en el servidor DHCP y, a continuación, DHCP actualizará automáticamente la información de configuración del cliente para reflejarlo.

Definición


Configuración manual de TCP/IP

Configuración automática de TCP/IP


Por ejemplo, supongamos que necesita configurar 100 equipos con información de configuración IP. Sin DHCP, tendría que configurar manualmente cada uno de los 100 equipos. Además, tendría que realizar un seguimiento del tipo de información de configuración IP incluida en los distintos clientes. En caso de que fuera necesario realizar cambios en la configuración IP de los clientes, debería volver a configurar manualmente los datos de configuración de direcciones IP de cada equipo.

Con DHCP, agregaría un solo servidor DHCP que admitiría a la totalidad de los 100 clientes de red. Si surgiera la necesidad de modificar la configuración IP, bastaría con realizar el cambio una vez en el servicio Servidor DHCP y, a continuación, sería necesario renovar la configuración de cliente DHCP de cada host TCP/IP.

Ejemplo




DHCP permite administrar la asignación de direcciones IP desde una ubicación centralizada. Puede configurar un servidor DHCP para asignar direcciones IP en una o en varias subredes. El servidor DHCP puede asignar automáticamente datos de configuración de direcciones IP a los clientes.

Una concesión es el período durante el que un cliente DHCP puede utilizar una configuración de direcciones IP asignada automáticamente. Antes de que dicho período finalice, el cliente debe renovar la concesión o solicitar otra a DHCP.

DHCP administra la asignación y liberación de los datos de configuración de direcciones IP mediante la concesión de la configuración de direcciones IP al cliente. La concesión DHCP establece el tiempo durante el que el cliente podrá utilizar los datos de configuración IP antes de devolverlos al servidor DHCP y renovarlos. El proceso de asignación de datos de configuración de direcciones IP se denomina proceso de generación de concesiones DHCP. El proceso de renovación de datos de configuración de direcciones IP se denomina proceso de renovación de concesiones DHCP.

La primera vez que se agrega un cliente DHCP a la red, éste solicita los datos de configuración de direcciones IP a un servidor DHCP. Cuando el servidor DHCP recibe la solicitud del cliente, el servidor selecciona una dirección IP de un intervalo de direcciones que el administrador ha definido en el ámbito correspondiente. El servidor DHCP ofrece estos datos de configuración de direcciones IP al cliente DHCP.

Si el cliente acepta la oferta, el servidor DHCP concede la dirección IP al cliente durante el período especificado. Finalmente, el cliente utiliza los datos de configuración de direcciones IP para tener acceso a la red.

Introducción

Definición



Cómo funciona el proceso de generación de concesiones DHCP


DHCP emplea un proceso de cuatro pasos para conceder información de direccionamiento IP a los clientes DHCP. Los cuatros pasos reciben su nombre de los tipos de paquete DHCP:

1. Descubrimiento DHCP. 2. Oferta DHCP. 3. Solicitud DHCP. 4. Reconocimiento DHCP o reconocimiento negativo DHCP.

Durante el proceso de generación de concesiones DHCP, el cliente DHCP recibe los datos de configuración de direccionamiento IP del servidor DHCP.

El cliente DHCP difunde un paquete DHCPDISCOVER para localizar un servidor DHCP. Un paquete DHCPDISCOVER es un mensaje que los clientes DHCP envían la primera vez que intentan iniciar la sesión en la red y solicitar información de direcciones IP de un servidor DHCP.

El proceso de generación se puede iniciar de dos formas. En la primera, un equipo cliente inicia o inicializa TCP/IP por primera vez. En el segundo caso, al cliente se le deniega su concesión al intentar renovarla. (Por ejemplo, es posible denegar una renovación a un cliente cuando éste se traslada a otra subred.)

Introducción

Definición

El cliente DHCP difunde un paquete DHCPDISCOVER


El servidor DHCP difunde un paquete DHCPOFFER al cliente. Un paquete DHCPOFFER es un mensaje que el servidor DHCP usa para ofrecer la concesión de una dirección IP a un cliente DHCP cuando éste inicia una sesión en la red.

Cada servidor DHCP de respuesta reserva la dirección IP ofrecida para no ofrecerla a otro cliente DHCP antes de que el cliente que realizó la solicitud acepte.

Si el cliente no recibe una oferta después de cuatro solicitudes, utiliza una dirección IP en el intervalo reservado comprendido entre 169.254.0.1 y 169.254.255.254. El uso de una de estas direcciones IP configuradas automáticamente garantiza la comunicación entre los clientes que se encuentran en una subred con un servidor DHCP no disponible. El cliente DHCP continúa intentando localizar un servidor DHCP disponible cada cinco minutos. En cuanto un servidor DHCP pasa a estar disponible, los clientes reciben direcciones IP válidas, lo que les permite comunicarse con los hosts, independientemente de que estén conectados o no a su subred.

El cliente DHCP difunde un paquete DHCPREQUEST. Un paquete DHCPREQUEST es un mensaje que un cliente envía al servidor DHCP para solicitar o renovar la concesión de la dirección IP del cliente.

Como respuesta al primer paquete DHCPOFFER que recibe, el cliente DHCP transmite un paquete DHCPREQUEST para aceptar la oferta. Este paquete incluye la identificación del servidor cuya oferta el cliente aceptó. A continuación, el resto de los servidores DHCP retiran sus ofertas y conservan sus direcciones IP para otras solicitudes de concesión IP.

El servidor DHCP difunde un paquete DHCPACK al cliente. Un paquete DHCPACK es un mensaje que el servidor DHCP envía a un cliente para reconocer y finalizar la solicitud de una configuración concedida de éste. Este mensaje contiene una concesión válida para la dirección IP y otros datos de configuración IP.

Una vez que el cliente DHCP recibe el reconocimiento, TCP/IP se inicializa con los datos de configuración IP suministrados por el servidor DHCP. El cliente también enlaza el protocolo TCP/IP a los servicios de red y al adaptador de red, lo que permite la comunicación del cliente en la red.

El servidor DHCP envía un reconocimiento negativo DHCP (paquete DHCPNAK) si la dirección IP ofrecida ya no es válida o está siendo utilizada por otro equipo. El cliente deberá iniciar de nuevo el proceso de concesión.

Para establecer comunicación, un servidor DHCP y un cliente DHCP utilizan los puertos de Protocolo de datagrama de usuario (UDP, User Datagram Protocol) 67 y 68. Algunos conmutadores no reenvían correctamente las difusiones DHCP de forma predeterminada. Para que DHCP funcione de forma correcta, puede que tenga que configurar dichos conmutadores de modo que reenvíen las difusiones a través de estos puertos.

El servidor DHCP difunde un paquete DHCPOFFER

El cliente DHCP difunde un paquete DHCPREQUEST

El servidor DHCP difunde un paquete DHCPACK

Importante


Cómo funciona el proceso de renovación de concesiones DHCP


Durante el proceso de renovación de concesiones DHCP, el cliente DHCP renueva o actualiza los datos de configuración de direcciones IP con el servidor DHCP.

El cliente DHCP renueva sus datos de configuración IP antes de que finalice el período de concesión. En caso de que este período termine antes de que el cliente DHCP haya renovado los datos de configuración IP, éste perderá dichos datos e iniciará de nuevo el proceso de generación de concesiones DHCP.

El proceso de renovación de concesiones es resultado del valor del período de concesión. Este valor garantiza que DHCP mantiene la información de direcciones IP y que los clientes actualizan o renuevan regularmente sus datos de configuración de direcciones IP. El hecho de que DHCP mantenga esta información permite administrar el direccionamiento IP desde el servidor DHCP.

El cliente debe renovar sus datos de configuración IP antes de que finalice el período de concesión. Los clientes DHCP intentan renovar su concesión a intervalos específicos para garantizar que la información de configuración está actualizada.

En cualquier momento en este período, el cliente DHCP puede enviar un paquete DHCPRELEASE al servidor DHCP para liberar los datos de configuración de direcciones IP y cancelar cualquier concesión restante.

Definiciones

Propósito del proceso de renovación de concesiones DHCP

Período de concesión


El cliente DHCP intenta renovar automáticamente su concesión en cuanto alcanza el 50% de la duración de la misma. También intentará renovar la concesión de su dirección IP cada vez que el equipo se reinicie. Para intentar renovar la concesión, el cliente envía un paquete DHCPREQUEST directamente al servidor DHCP del que obtuvo la concesión.

Si el servidor DHCP está disponible, renueva la concesión y envía al cliente un paquete DHCPACK con la nueva duración de la concesión y todos los parámetros de configuración actualizados. El cliente actualiza su configuración cuando recibe el reconocimiento. En caso de que el servidor DHCP no esté disponible, el cliente continuará utilizando sus parámetros de configuración actuales.

Si el cliente DHCP no puede renovar la concesión en el primer intento, difundirá un paquete DHCPDISCOVER para actualizarla una vez que haya transcurrido el 87,5 % de su duración. En esta fase, el cliente DHCP acepta concesiones emitidas por cualquier servidor DHCP.

Si un cliente solicita una dirección no válida o duplicada para la red, es posible que el servidor DHCP responda con un mensaje de denegación DHCP (paquete DHCPNAK). Esto obligará al cliente a liberar su dirección IP y obtener otra nueva y válida.

Si el cliente DHCP se reinicia en una red en la que ningún servidor DHCP responde al paquete DHCPREQUEST, intentará conectar con la puerta de enlace predeterminada configurada. En caso de que el intento de conexión con la puerta de enlace no tenga éxito, el cliente dejará de utilizar la dirección concedida.

Si un servidor DHCP responde con un paquete DHCPOFFER para actualizar la concesión actual del cliente, éste podrá renovar su concesión en el servidor que ofreció la operación de mensaje y continuación.

Si la concesión caduca, el cliente deberá dejar de utilizar la dirección IP actual inmediatamente. A continuación, el cliente DHCP iniciará el proceso de descubrimiento de concesiones DHCP para intentar que se le conceda una nueva dirección IP. En caso de que no pueda recibir una dirección, el cliente DHCP se asignará a sí mismo una dirección incluida en el intervalo de 169.254.0.0 mediante la asignación automática de direcciones IP.

La concesión IP se puede renovar manualmente en caso de que la información de configuración DHCP deba actualizarse de inmediato. (Por ejemplo, si desea que los clientes DHCP reciban inmediatamente de un servidor DHCP la dirección de un enrutador recién instalado, renueve la concesión desde el cliente para actualizar su información.)

Proceso automático de renovación de concesión

Nota

Renovación manual de concesiones


Cómo agregar un servicio Servidor DHCP


Para agregar un servidor DHCP, debe instalar el servicio DHCP en un equipo que ejecute Microsoft® Windows Server� 2003.


Antes de agregar un servicio Servidor DHCP:

! Compruebe que la configuración de direcciones IP del servidor es correcta. ! Compruebe que la cuenta de usuario tiene los permisos adecuados.

Para agregar un servicio Servidor DHCP:

1. Inicie una sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y, después, haga clic en Panel de control. 3. En el Panel de control, abra Herramientas administrativas, haga clic

con el botón secundario del mouse (ratón) en Administre su servidor y, a continuación, seleccione Ejecutar como.

4. En el cuadro de diálogo Ejecutar como, seleccione El siguiente usuario, escriba una cuenta de usuario y contraseña con los permisos apropiados para realizar la tarea y haga clic en Aceptar.

5. En la ventana Administre su servidor, haga clic en Agregar o quitar función.

6. En la página Pasos preliminares, haga clic en Siguiente. 7. En el Asistente para configurar su servidor, seleccione Servidor de DHCP

y, después, haga clic en Siguiente.

Introducción

Nota

Pautas de preparación para agregar un servicio Servidor DHCP

Procedimiento


8. En la página Resumen de las selecciones, haga clic en Siguiente. 9. En el Asistente para ámbito nuevo, haga clic en Cancelar para interrumpir

inmediatamente la creación de un ámbito.

Para aprender a configurar un ámbito, consulte la lección Configurar un ámbito DHCP, en este mismo módulo.

10. En el Asistente para configurar su servidor, haga clic en Finalizar.

Nota


Cómo es una autorización de un servicio Servidor DHCP


La autorización DHCP es el proceso de registrar el servicio Servidor DHCP en el dominio del servicio de directorio Active Directory® con el fin de admitir a los clientes DHCP. La autorización DHCP únicamente se permite en servidores DHCP que ejecutan Windows Server 2003 y Windows 2000 en dominios Active Directory.

Un servidor DHCP autorizado es un servidor DHCP con autorización en Active Directory para admitir clientes DHCP.

La autorización de un servidor DHCP proporciona al usuario la posibilidad de controlar la incorporación de servidores DHCP al dominio.

La autorización debe llevarse a cabo antes de que el servidor DHCP pueda emitir concesiones a los clientes DHCP. Al requerir la autorización de los servidores DHCP, se impide que servidores DHCP no autorizados ofrezcan direcciones IP potencialmente no válidas a los clientes.

Si está configurando un servidor DHCP, la autorización debe llevarse a cabo como parte de un dominio Active Directory. Si el servidor DHCP no se autoriza en el dominio Active Directory, el servicio DHCP no se podrá iniciar correctamente, lo que impedirá que el servidor DHCP pueda atender las solicitudes de los clientes DHCP.

El servidor DHCP controla los datos de configuración de direccionamiento IP enviados a los clientes DHCP en un entorno de red dado. Si un servidor DHCP se configura incorrectamente, los clientes que reciban los datos de configuración de direcciones IP incorrectos de este servidor también estarán configurados de modo incorrecto.

Definiciones

Motivos para autorizar un servidor DHCP


Es necesario utilizar Active Directory para autorizar un servidor DHCP. Con Active Directory, los servidores DHCP sin autorización no podrán admitir clientes DHCP. En un servidor miembro de Active Directory, el servicio Servidor DHCP comprueba en el controlador de dominio de Active Directory si el servidor DHCP está registrado en Active Directory. En caso de que no lo esté, el servicio Servidor DHCP no se inicia y, como consecuencia, no puede admitir clientes DHCP.

Cuando el servidor miembro Servidor DHCP 1 se inicia, consulta el controlador de dominio para obtener la lista de los servidores DHCP autorizados en el dominio. Si el Servidor DHCP 1 encuentra su propia dirección IP en la lista, el servicio se inicia y puede admitir clientes DHCP.

Cuando el servidor miembro Servidor DHCP 2 comprueba la lista de servidores DHCP autorizados en el dominio, no encuentra su dirección IP. Como consecuencia, el servicio Servidor DHCP no se inicia ni es capaz de admitir clientes DHCP.

En determinadas circunstancias, un servidor DHCP que ejecuta Windows 2000 o Windows Server 2003 se inicializa aunque no esté autorizado. Si un servidor DHCP que ejecuta Windows Server 2003 o Windows 2000, y se encuentra en una subred en la que DHCPINFORM no se transmite a otros servidores DHCP autorizados, se instala como servidor independiente que no es miembro de Active Directory, el servicio Servidor DHCP se inicia y proporciona concesiones a los clientes de la subred. Un servidor independiente que ejecuta Windows 2000 o Windows Server 2003 difunde paquetes DHCPINFORM. En caso de que no haya respuesta al paquete DHCPINFORM, el servicio Servidor DHCP se inicializa y comienza a atender las solicitudes de los clientes. Si un servidor DHCP autorizado detecta el paquete DHCPINFORM y responde con un paquete DHCPACK, el servicio Servidor DHCP se detendrá. El servidor DHCP independiente continuará funcionando si recibe un paquete DHCPACK de otro servidor DHCP que no sea miembro de Active Directory.

Motivos por los que un servidor DHCP autorizado requiere Active Directory

Ejemplo

Servidor DHCP independiente


Cómo autorizar un servicio Servidor DHCP


Para autorizar un servicio Servidor DHCP, un miembro del grupo Administradores de organización agrega el servidor DHCP a una lista de servidores DHCP, que pueden atender a clientes DHCP, del dominio. El proceso de autorización únicamente funciona con servidores que ejecutan Windows Server 2003 y Windows 2000 en un dominio. La autorización no es posible si los servidores DHCP ejecutan versiones anteriores de Microsoft Windows NT® u otro software de servidor DHCP.

Es recomendable que inicie sesión con una cuenta que no tenga credenciales administrativas y que ejecute el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

Para autorizar el servicio Servidor DHCP, el servidor DHCP debe estar autorizado en un entorno de dominio Active Directory. Si desea autorizar el servidor DHCP en Active Directory, debe hacerlo mediante una cuenta de usuario que disponga de los permisos apropiados. De forma predeterminada, los miembros del grupo Administradores de dominio pueden autorizar servidores DHCP.

Introducción

Nota

Requisito para autorizar un servicio Servidor DHCP


Para autorizar un servicio Servidor DHCP:

La tarea de autorizar un servicio Servidor DHCP suele llevarse a cabo una vez que el servidor DHCP se ha instalado y configurado. Sin embargo, para facilitar el proceso de aprendizaje, este módulo describe cómo autorizar un servidor DHCP antes de configurarlo, de modo que el alumno pueda completar los ejercicios restantes.

1. Abra la consola DHCP. 2. En el árbol de la consola, seleccione el servidor. 3. En el menú Acción, haga clic en Autorizar. 4. Para comprobar que el servidor DHCP está autorizado: en el árbol de la

consola, presione F5 para actualizar la vista y compruebe que el servidor DHCP aparece ahora con una flecha arriba de color verde.

Procedimiento

Nota


Ejercicio: Agregar y autorizar un servicio Servidor DHCP


En este ejercicio, agregará y autorizará un servicio Servidor DHCP.



El ingeniero de sistemas ha aprobado una nueva subred para el departamento de laboratorio. Esta nueva subred permitirá a los equipos ejecutar pruebas en varias aplicaciones antes de instalarlas en los escritorios corporativos elegidos. El ingeniero de sistemas ha aprobado la instalación de un nuevo servidor DHCP para posibilitar el direccionamiento en la nueva subred y le ha enviado un mensaje de correo electrónico en el que le confirma que dispone de privilegios de autorización.

! Agregar el servidor DHCP

! Complete esta tarea desde los equipos de ambos alumnos. ! Cuenta de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Dominio: nwtraders ! Nota: no configure ningún ámbito en este momento.

Para practicar la configuración de un ámbito, consulte la lección Configurar un ámbito DHCP, en este mismo módulo.

Objetivos

Instrucciones


Ejercicio

Nota


! Autorizar el servicio Servidor DHCP ! Complete esta tarea desde los equipos de ambos alumnos. ! Cuenta de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Dominio: nwtraders ! ¿Qué sucede si se intenta Autorizar el servidor DHCP desde el

menú Acción? La cuenta NombreDeEquipoAdmin no tiene permisos para autorizar servidores DHCP en el dominio. De forma predeterminada, los miembros del grupo Administradores de dominio tienen permiso para autorizar los servidores DHCP de un dominio. ____________________________________________________________

____________________________________________________________

! Cuenta de usuario: DHCPAdmin ! Contraseña: P@ssw0rd ! Dominio: nwtraders ! Cierre la consola DHCP.


Lección: Configurar un ámbito DHCP


Al aprender qué son los ámbitos y su funcionamiento, podrá configurar correctamente ámbitos DHCP en una red.


! Explicar qué son los ámbitos DHCP. ! Configurar un ámbito DHCP.

Introducción



Qué son los ámbitos DHCP


Un ámbito es un intervalo de direcciones IP válidas disponibles para ser concedidas o asignadas a equipos cliente de una subred determinada. Es posible configurar un ámbito en el servidor DHCP para determinar el conjunto de direcciones IP que el servidor puede asignar a los clientes DHCP.

Los ámbitos determinan qué direcciones IP se asignan a los clientes. Debe definir y activar un ámbito para que los clientes DHCP puedan utilizar el servidor DHCP con configuraciones TCP/IP dinámicas. En un servidor DHCP puede configurar tantos ámbitos como sea necesario para el entorno de red.

Cada ámbito tiene las siguientes propiedades.

Propiedad del ámbito Descripción Id. de red Identificador de red del intervalo de direcciones IP

Máscara de subred Máscara de red del identificador de red

Intervalo de direcciones IP de red

Intervalo de direcciones IP disponibles para los clientes

Duración de la concesión Período durante el que el servidor DHCP mantiene la dirección IP concedida a un cliente antes de quitar la concesión

Enrutador Opción DHCP que permite a los clientes DHCP tener acceso a redes remotas

Nombre de ámbito Identificador alfanumérico para propósitos administrativos

Intervalo de exclusión Intervalo de direcciones IP del ámbito que no se ofrecerán como concesión

Definición

Motivos para utilizar ámbitos DHCP

Propiedades del ámbito


En cada subred hay un ámbito DHCP con un intervalo continuo de direcciones IP. Es posible excluir direcciones o grupos de direcciones específicos del intervalo determinado por el ámbito DHCP. Por lo general, sólo se puede asignar un ámbito a cada subred. En caso de que una subred requiera varios ámbitos, estos se deberán crear y, a continuación, integrar en un superámbito.

Para obtener información acerca de los superámbitos y los ámbitos de multidifusión, consulte la documentación de la Ayuda de Windows Server 2003.

Si desea proporcionar tolerancia a errores, es posible configurar varios servidores DHCP para proporcionar concesiones de dirección IP en una subred determinada. En cada servidor DHCP de la subred especificada se configura un ámbito. En esta configuración es esencial garantizar que el conjunto de direcciones se divida entre los dos ámbitos. Una concesión de dirección IP nunca debe aparecer en más de un ámbito o, de lo contrario, dos servidores DHCP distintos podrían intentar conceder la misma dirección IP.

Si dispone de dos subredes físicas (como se muestra en la diapositiva), puede crear dos ámbitos distintos para ambas subredes en un servidor DHCP. Los ámbitos se crearían por separado debido a que las subredes tienen diferentes esquemas de direccionamiento IP y precisan distintas opciones.

En la tabla siguiente se proporciona un ejemplo de las propiedades y valores del ámbito de una de estas subredes. Esta solución para subredes incluye una red física que atiende a 12 equipos para pruebas. Estos equipos se vuelven a reinstalar cada dos días.

Propiedad del ámbito Valores del ámbito Id. de red 192.168.0.32

Máscara de subred 255.255.255.240 /28

Intervalo de direcciones IP de red 192.168.0.33 a 192.168.0.46

Duración de la concesión 2 días

Enrutador 192.168.0.33

Nombre de ámbito Ámbito del laboratorio de pruebas

Intervalo de exclusión 192.168.0. 33 (para el enrutador)

Nota

Ejemplo


Cómo configurar un ámbito DHCP


Tras agregar la función de servidor DHCP, la siguiente tarea es configurar un ámbito DHCP. Puede hacerlo mientras agrega la función de servidor DHCP o posteriormente.


Para configurar un ámbito DHCP:

1. Abra la consola DHCP. 2. En el árbol de la consola, haga clic en el servidor DHCP aplicable. 3. En el menú Acción, haga clic en Ámbito nuevo. 4. En el Asistente para ámbito nuevo, haga clic en Siguiente. 5. En la página Nombre de ámbito, configure Nombre y Descripción. 6. En la página Intervalo de direcciones IP, configure las opciones Dirección

IP inicial, Dirección IP final y Máscara de subred. 7. En la página Agregar exclusiones, configure las opciones Dirección IP

inicial y Dirección IP final, si corresponde. Si sólo hay una exclusión de dirección IP, configure únicamente esa dirección IP como dirección IP inicial.

8. En la página Duración de la concesión, configure las opciones Días, Horas y Minutos.

La duración de concesión predeterminada es de ocho días.

Introducción

Nota

Procedimiento para configurar ámbitos DHCP

Sugerencia


9. En la página Configurar opciones DHCP, seleccione Configuraré estas opciones más tarde.

Para facilitar el proceso de aprendizaje, en este momento no se configurarán el enrutador, el nombre de dominio, el servidor DNS ni las opciones del servidor WINS.

10. En la página Finalización del Asistente para crear ámbito nuevo, haga clic en Finalizar.

Observe que la página Finalización del asistente para crear ámbito nuevo le indicará que configure las opciones y active el ámbito para finalizar el proceso.

Para activar un ámbito DHCP:

! En el árbol de la consola, haga clic con el botón secundario del mouse en el ámbito aplicable y, a continuación, haga clic en Activar.

Active el ámbito únicamente después de haber configurado el ámbito y las opciones aplicables.

Nota

Nota

Procedimiento para activar un ámbito DHCP

Importante


Ejercicio: Configurar un ámbito DHCP


En este ejercicio, configurará un ámbito DHCP.

Para completar este ejercicio, remítase al documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo.


Se están agregando 75 equipos adicionales al departamento del laboratorio. El ingeniero de sistemas ha diseñado un nuevo ámbito DHCP para permitir la asignación de direcciones IP a los equipos adicionales. Configurará el servidor DHCP con este nuevo ámbito para admitir los nuevos equipos en el laboratorio.

Objetivos

Instrucciones



! Configurar un ámbito DHCP ! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de ámbito: Ámbito NombreDeEquipo (donde NombreDeEquipo

es el nombre del equipo de su compañero) ! Dirección IP inicial: la dirección IP de la Conexión de red del asociado

de su compañero ! Dirección IP final: la dirección IP de la Conexión de red del asociado

de su compañero ! Longitud de subred: 24 ! Duración de la concesión: 1 hora ! Opciones: ninguna

Para facilitar el proceso de aprendizaje, sólo se utilizará una dirección IP en el ámbito de su compañero. En este momento no configurará el enrutador, el nombre de dominio, el servidor DNS ni las opciones del servidor WINS.

! Active el ámbito DHCP.

! Obtener una dirección IP concedida por DHCP

! Complete esta tarea desde el equipo del alumno que tenga el número de identificación más alto.

! Cuenta de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Dominio: nwtraders

! Establecer la configuración TCP/IP de la Conexión de red del asociado para obtener automáticamente una dirección IP

! Use el comando ipconfig /renew para obtener una dirección IP desde el servidor DHCP.

! Mediante el comando ipconfig /all, compruebe que la dirección IP del servidor DHCP para la Conexión de red del asociado es la correspondiente a la Conexión de red del asociado del servidor DHCP.

! Comprobar la dirección IP concedida por DHCP

! Complete esta tarea desde el equipo del alumno que tenga el número de identificación más bajo.

! En la consola DHCP, en el árbol de la consola, haga clic Concesiones de direcciones y, después, compruebe que aparece NombreDeEquipo (el nombre del equipo de su compañero).

Ejercicio

Nota


Lección: Configurar una reserva DHCP


Al aprender qué son las reservas DHCP y su funcionamiento, podrá configurar correctamente reservas DHCP en una red.


! Explicar qué es una reserva DHCP. ! Configurar una reserva DHCP.

Introducción



Qué es una reserva DHCP


Una reserva es una asignación de dirección IP fija. Se trata de una dirección IP específica, dentro de un ámbito, reservada de forma definitiva para ser utilizada por un cliente DHCP específico mediante concesión.

Las reservas se pueden utilizar en dispositivos habilitados para DHCP que necesiten tener la misma dirección IP en la red, como servidores de archivos e impresión u otros servidores de aplicaciones.

Una reserva consta de la siguiente información.

Elemento Descripción Nombre de reserva Nombre asignado por el administrador

Dirección IP Dirección IP del ámbito para el cliente

Dirección MAC La dirección de control de acceso al medio (MAC, Media Access Control), escrita sin guiones

Descripción Descripción asignada por el administrador

Tipos compatibles Reserva DHCP, reserva Protocolo de inicio (BOOTP) o ambas

Las reservas utilizan el mismo período de concesión que el ámbito. Por lo tanto, el cliente que utiliza la reserva sigue el mismo proceso de renovación de concesión que el resto de los clientes del ámbito, con la excepción de que al cliente se le concede la dirección IP que se le reservó.

Según el ejemplo de la diapositiva, se realiza una reserva para el servidor con la función de servidor de archivos e impresión.

La dirección IP asignada a dicho servidor se le continuará asignando hasta que el administrador de red la quite.

Definición

Motivos para utilizar una reserva DHCP

Características

Período de concesión de una reserva

Ejemplo


Cómo configurar una reserva DHCP


Puede configurar una reserva DHCP cuando necesite reservar una asignación de dirección IP fija. A continuación, compruebe que dicha reserva está activa.


Para configurar una reserva DHCP:

1. Abra la consola DHCP. 2. En el árbol de la consola, haga clic en Reservas. 3. En el menú Acción, haga clic en Reserva nueva. 4. En el cuadro de diálogo Reserva nueva, especifique los valores de los

siguientes campos: a. Nombre de reserva b. Dirección IP c. Dirección MAC (sin guiones) d. Descripción

5. En Tipos compatibles, seleccione una de las siguientes opciones: a. Ambos b. Sólo DHCP c. Sólo BOOTP

6. En el cuadro de diálogo Reserva nueva, haga clic en Agregar y, después, en Cerrar.

Introducción

Nota

Procedimiento para configurar una reserva DHCP


Para comprobar una reserva DHCP:

1. En el equipo cliente, en el símbolo del sistema, utilice el comando ipconfig /release para liberar la dirección IP del cliente.

2. En la consola DHCP del equipo servidor, en Concesiones de direcciones, compruebe que la reserva se muestra como inactiva.

3. En el equipo cliente, en el símbolo del sistema, utilice el comando ipconfig /renew para renovar la dirección IP del cliente.

4. En la consola DHCP del equipo servidor, en Concesiones de direcciones, compruebe que la reserva se muestra como activa.

Procedimiento para comprobar la reserva DHCP


Ejercicio: Configurar una reserva DHCP


En este ejercicio, configurará una reserva DHCP.



El departamento del laboratorio ha recibido recientemente un nuevo servidor de archivos e impresión que debe someterse a pruebas. El ingeniero de sistemas ha solicitado que este servidor se configure como una reserva. Configurará esta reserva DHCP desde el ámbito que ya creó en el servidor DHCP.

! Configurar una reserva DHCP

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de reserva: NombreDeEquipo (el nombre del equipo de

su compañero) ! Dirección IP: la dirección IP de la Conexión de red del asociado de

su compañero ! Dirección MAC: la dirección MAC de la Conexión de red del asociado

de su compañero ! Descripción: Reserva de cliente ! Tipos compatibles: Sólo DHCP

Objetivos

Instrucciones


Ejercicio


! Obtener la reserva de concesión DHCP ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más alto. 1. Use el comando ipconfig /renew para obtener una dirección IP desde

el servidor DHCP. 2. Mediante el comando ipconfig /all, compruebe que la dirección IP del

servidor DHCP para la Conexión de red del asociado es la correspondiente a la Conexión de red del asociado del servidor DHCP.

! Comprobar la reserva DHCP


! En la consola DHCP, en Concesiones de direcciones, compruebe que la reserva se presenta como activa.

! Eliminar la reserva DHCP


! En la consola DHCP, en Concesiones de direcciones, elimine la reserva del cliente.

! Obtener una dirección IP concedida por DHCP


1. Use el comando ipconfig /release para liberar la dirección IP desde el servidor DHCP.

2. Use el comando ipconfig /renew para renovar la dirección IP desde el servidor DHCP.

3. Mediante el comando ipconfig /all, compruebe que la dirección IP del servidor DHCP para la Conexión de red del asociado es la correspondiente a la Conexión de red del asociado del servidor DHCP.


Lección: Configurar opciones DHCP


Al aprender cómo funcionan las opciones DHCP, podrá configurarlas correctamente en su red.


! Explicar qué son las opciones DHCP. ! Describa cómo se aplican las opciones Cliente reservado, Ámbito

y Servidor DHCP. ! Describir cómo se aplican las opciones de nivel de clase DHCP. ! Configurar opciones DHCP.

Introducción



Qué son las opciones DHCP


Las opciones DHCP son parámetros de configuración que un servicio DHCP asigna a los clientes junto con la dirección IP y la puerta de enlace predeterminada.

Cada opción permite un aumento de la funcionalidad de la red. El proceso de generación de concesiones proporciona al cliente DHCP una dirección IP y una máscara de subred. Mediante las opciones DHCP puede configurar datos de configuración IP adicionales para los clientes DHCP.

En la tabla siguiente se describen las opciones comunes que puede configurar.

Opción Descripción Enrutador (Puerta de enlace predeterminada)

Las direcciones de cualquier enrutador o puerta de enlace predeterminada. Este enrutador se suele denominar puerta de enlace predeterminada.

Nombre de dominio El nombre de dominio DNS define el dominio al que pertenece el equipo cliente. El equipo cliente puede utilizar esta información para actualizar un servidor DNS de modo que el resto de los equipos puedan localizar el cliente.

Servidores DNS y WINS Las direcciones de todos los servidores DNS y WINS que permiten a los clientes comunicarse en la red.

Definición

Motivos para utilizar las opciones DHCP

Opciones DHCP comunes


Cómo aplicar las opciones Cliente reservado, Ámbito y Servidor DHCP


DHCP aplica opciones a los equipos cliente en un orden específico:

1. Nivel de servidor 2. Nivel de ámbito 3. Nivel de clase 4. Nivel de cliente reservado

En consecuencia, puede definir las opciones asignadas por DHCP de acuerdo con distintos niveles de autoridad, de modo que determinadas opciones tengan prioridad sobre otras.

El método de aplicación de las opciones está directamente relacionado con el lugar donde se configuran. En la tabla siguiente se describen los niveles de opciones DHCP y su prioridad.

Opción DHCP Prioridad Opción de nivel de servidor Se asigna una opción de nivel de servidor a todos

los clientes DHCP del servidor DHCP.

Opción de nivel de ámbito Se asigna una opción de nivel de ámbito a todos los clientes de un ámbito.

Opción de nivel de clase Se asigna una opción de nivel de clase a todos los clientes que se identifiquen a sí mismos como miembros de una clase.

Opción de nivel de cliente reservado

Se asigna una opción de nivel de reserva a un cliente DHCP.

Motivos para utilizar los niveles de opciones DHCP

Cómo se aplican las opciones DHCP


Por ejemplo, la opción de servidor tiene el mayor impacto (ya que afecta a todos los clientes que admite el servidor DHCP), mientras que la opción de cliente reservado tiene un efecto mínimo (repercute únicamente en un cliente admitido por el servidor DHCP).

Si crea una reserva para un cliente específico, puede asignar una opción de nivel de cliente reservado que se aplicará exclusivamente a esa reserva. Mediante el uso de reservas y opciones de nivel de cliente reservado, puede asignar opciones específicas a equipos específicos.

Tomando como referencia el primer ejemplo de la diapositiva, la opción de nivel de servidor DHCP se ha aplicado a los ámbitos A y B, además de al servidor DHCP, al servidor de archivos e impresión del ámbito B y a todos los clientes.

En el segundo ejemplo, la opción de nivel de ámbito DHCP se ha aplicado al ámbito B, así como al servidor de archivos e impresión del ámbito B y al cliente de Windows XP.

En el tercer ejemplo, la opción de nivel de cliente reservado DHCP se ha aplicado exclusivamente al servidor de archivos e impresión.

En cada uno de los tres ejemplos siguientes se utiliza una opción de nivel de servidor, de nivel de ámbito o de nivel de cliente reservado.

! Mediante el uso de una opción de nivel de servidor, puede configurar todos los clientes de modo que utilicen el mismo servidor DNS o servidor WINS. Por ejemplo, en el caso de que sólo disponga de un servidor DNS o WINS para un gran número de equipos cliente y desee configurar la opción una sola vez. Si configura una opción de nivel de servidor, todos los ámbitos y reservas la heredarán. Como consecuencia, podrá configurar los servidores una vez para varios usos.

! Si utiliza una opción del nivel de ámbito, podrá definir una dirección de enrutador única para cada ámbito cuando cada subred requiera un ámbito único. Por ejemplo, habitualmente se crea un ámbito por cada subred física. Si crea un ámbito por cada subred física, cada subred tendrá al menos un valor de enrutador único.

! Si utiliza una opción de nivel de cliente reservado, podrá configurar un cliente DHCP especificado de modo que utilice un enrutador concreto para tener acceso a los recursos que se encuentren fuera de la subred del cliente. Puede ser aconsejable crear una opción de nivel de cliente reservado de un enrutador dedicado para los equipos que siempre tengan que probar el acceso a través del enrutador.

Ejemplo

Ejemplos adicionales




Las opciones de clase se agregan a la opción de nivel de servidor, ámbito o cliente reservado. Los parámetros correspondientes se aplican a un subconjunto de clientes DHCP que coinciden con el identificador de clase.

Las opciones de nivel de clase se suelen utilizar para reemplazar o aumentar los valores de opción DHCP estándar definidos en el nivel de servidor, ámbito o cliente reservado.

Las opciones de nivel de clase se aplican exclusivamente a los clientes DHCP que se identifican a sí mismos como miembros de la clase. Puede utilizar opciones de clase de proveedor y usuario para proporcionar configuraciones únicas a tipos específicos de equipos cliente.

! La clase de proveedor es una característica administrativa que permite que los clientes DHCP sean identificados y concedidos de acuerdo con sus tipos de configuración de proveedor y hardware.

! La clase de usuario es una característica administrativa que permite la agrupación lógica de los clientes DHCP de acuerdo con un identificador compartido o común.


Motivos para utilizar las opciones de nivel de clase

Tipos de opciones de nivel de clase


Las opciones de clase de proveedor identifican el tipo de proveedor del sistema operativo de un cliente DHCP y su configuración, y proporcionan opciones únicas que sólo son aplicables a la clase de proveedor especificada. Estas opciones de clase de proveedor se pueden configurar para administrar opciones DHCP específicas del tipo de proveedor y se asignan a los clientes pertenecientes a ese tipo. Las opciones de proveedor no se emplean para configurar opciones TCP/IP estándar sino opciones específicas del tipo de proveedor.

También puede definir identificadores de proveedor adicionales en el servidor DHCP si se incluyen en el software de cliente DHCP del proveedor. Antes de configurar opciones adicionales de clase de proveedor, debe determinar qué identificador, si existe, utilizará un proveedor específico; para ello, puede ponerse en contacto con el proveedor del software de red o sistema operativo del cliente. El administrador no puede agregar identificadores de proveedor en el cliente DHCP; estos identificadores se escriben en el código de programa del protocolo TCP/IP.

Los tres identificadores de proveedor predeterminados en un servidor DHCP con Windows Server 2003 son:

! Opciones de Microsoft Windows 2000 ! Opciones de Microsoft Windows 98 ! Opciones de Microsoft

Por ejemplo, una de las opciones de clase de proveedor admitidas por Windows 2000 y versiones posteriores es la opción para deshabilitar Microsoft NetBIOS, que deshabilita el Sistema de entrada/salida básico de red (NetBIOS, Network Basic Input/Output System) sobre TCP/IP. Al habilitar esta opción, se deshabilita NetBIOS sobre TCP/IP en todos los clientes de Windows 2000 o de versiones posteriores en el ámbito o servidor en el que se definió la opción.

Las opciones de clase de usuario proporcionan una propiedad que ayuda a un servidor DHCP a identificar un cliente DHCP que pertenece a un grupo especificado. Las opciones de clase de usuario se asignan a los clientes en función de un identificador; el cliente envía este identificador al servidor DHCP para identificarse.

Debe configurar opciones de clase de usuario para administrar las opciones DHCP que desea asignar a los clientes que requieren una configuración común.

Clases de proveedor

Ejemplos de clases de proveedor

Clases de usuario


Una opción de clase de usuario puede configurarse para identificar a un grupo de equipos (como quioscos, PC portátiles o los equipos de un laboratorio informático). Por ejemplo, puede configurar opciones de clase de usuario para asignar un tiempo de concesión más corto a los equipos portátiles que sean clientes de marcado, lo que permitirá devolver con mayor rapidez las direcciones al grupo de concesión de direcciones IP.

Hay dos identificadores de clase de usuario predeterminados que se configuran en los clientes DHCP que utilizan Windows Server 2003:

! Clase predeterminada Enrutamiento y acceso remoto ! Clase predeterminada Cliente BOOTP

Estas clases no se pueden eliminar ni modificar.

Para obtener información adicional acerca de las opciones de configuración de clase, consulte el kit de recursos de Windows Server 2003.

Ejemplos de clases de usuario

Nota


Cómo configurar las opciones DHCP


Tras configurar un ámbito DHCP, la siguiente tarea es configurar las opciones DHCP. Puede configurar las opciones DHCP mientras configura un ámbito DHCP o posteriormente.


Para configurar una opción de servidor DHCP:

1. Abra la consola DHCP. 2. En el árbol de la consola, en el nombre del servidor, haga clic en Opciones

de servidor. 3. En el menú Acción, haga clic en Configurar opciones. 4. En el cuadro de diálogo Opciones servidor, en la lista de Opciones

disponibles, seleccione la opción que desee configurar. 5. En Entrada de datos, complete la información necesaria para configurar

esta opción. 6. En el cuadro de diálogo Opciones servidor, haga clic en Aceptar.

Introducción

Nota

Procedimiento para configurar opciones de servidor DHCP


Para configurar una opción de ámbito DHCP:

1. Abra la consola DHCP y, en el ámbito apropiado, haga clic en Opciones de ámbito.

2. En el menú Acción, haga clic en Configurar opciones. 3. En el cuadro de diálogo Opciones Ámbito, en la lista de Opciones

disponibles, seleccione la opción que desee configurar. 4. En Entrada de datos, complete la información necesaria para configurar

esta opción. 5. En el cuadro de diálogo Opciones Ámbito, haga clic en Aceptar.

Procedimiento para configurar opciones de ámbito DHCP


Ejercicio: Configurar opciones DHCP


En este ejercicio, configurará opciones DHCP.



El departamento del laboratorio ha recibido recientemente un nuevo servidor DNS que debe someterse a pruebas. El ingeniero de sistemas ha pedido que todos los ámbitos nuevos que se configuren en el servidor DHCP del departamento utilicen este nuevo servidor DNS como opción DNS. Además, el ámbito Laboratorio debe reflejar la inclusión de dos nuevos servidores WINS que se agregaron al departamento del laboratorio. Configurará estas opciones en el servidor DHCP.

Objetivos

Instrucciones



! Configurar las opciones DHCP en el nivel de ámbito ! Complete esta tarea desde los equipos de ambos alumnos. ! Nivel de opción: Ámbito ! Opción: 003 Enrutador ! Dirección IP de opción: la dirección IP de la Conexión de red del asociado.

! Obtener la opción de ámbito DHCP


1. Use el comando ipconfig /renew para obtener una dirección IP desde el servidor DHCP.

2. Mediante el comando ipconfig /all, compruebe que la dirección IP de la puerta de enlace predeterminada para la Conexión de red del asociado es la correspondiente a la Conexión de red del asociado del servidor DHCP.

Ejercicio


Lección: Configurar un Agente de retransmisión DHCP


Al aprender acerca del Agente de retransmisión DHCP y su funcionamiento, podrá configurarlo correctamente en una red.

En la mayor parte de los casos, los enrutadores admiten la retransmisión DHCP/BOOTP. Asimismo, si un enrutador no puede funcionar como Agente de retransmisión DHCP/BOOTP, la solución puede ser un Agente de retransmisión DHCP.


! Explicar qué es un Agente de retransmisión DHCP. ! Describir el funcionamiento de un Agente de retransmisión DHCP. ! Describir la forma en que un Agente de retransmisión DHCP usa el recuento

de saltos. ! Describir la forma en que un Agente de retransmisión DHCP usa el umbral

de inicio. ! Configurar un Agente de retransmisión DHCP.

Introducción

Nota



Qué es un Agente de retransmisión DHCP


Un Agente de retransmisión DHCP es un equipo o enrutador configurado para escuchar difusiones DHCP/BOOTP procedentes de clientes DHCP y, a continuación, retransmitir dichos mensajes a los servidores DHCP ubicados en distintas subredes. Los Agentes de retransmisión DHCP/BOOTP forman parte de los estándares DHCP y BOOTP, y su funcionamiento se ajusta a los documentos RFC de estándares, que describen el diseño del protocolo y su comportamiento relacionado.

Un enrutador admitido según el documento RFC 1542 es aquél que admite el reenvío de tráfico de difusión DHCP.

! Los clientes DHCP emplean las difusiones para garantizar que reciben una concesión de un servidor DHCP. Los enrutadores no suelen permitir las difusiones a menos que se hayan configurado específicamente para ello. Como consecuencia, sin una configuración adicional, los servidores DHCP sólo pueden proporcionar direcciones IP a los clientes que se encuentren en la subred local. Muchas organizaciones consideran que es más eficaz centralizar los servidores que proporcionan el servicio Servidor DHCP. Para ello, deben configurar las redes de forma que las difusiones DHCP se transfieran del cliente al servidor DHCP. Se pueden usar dos métodos con tal fin: configurar los enrutadores que conectan las subredes para reenviar las difusiones DHCP o configurarlas para implementar los Agentes de retransmisión DHCP. Windows Server 2003 admite el Servicio de enrutamiento y acceso remoto que se configura para funcionar como Agente de retransmisión DHCP.

Definición

Motivos para utilizar un Agente de retransmisión DHCP


Para comprender las causas que motivarían el uso de un Agente de retransmisión DHCP de Microsoft, es importante identificar tres estrategias que pueden implementarse en una red enrutada.

! Incluir como mínimo un servidor DHCP en cada subred. Este método requiere al menos un servidor DHCP en cada subred para responder directamente a las solicitudes de cliente DHCP. No obstante, esta configuración posiblemente requerirá un aumento del trabajo administrativo y del equipamiento necesario, ya que habrá que ubicar un servidor DHCP en cada subred individual en lugar de proporcionar servicios de Servidor DHCP desde una ubicación centralizada a varias subredes. Además, para proporcionar tolerancia a errores, sería necesario configurar dos servidores en cada subred como servidores DHCP. En la mayor parte de los casos esto no suele resultar práctico.

! Configurar un enrutador de los admitidos según el documento RFC 1542 para reenviar mensajes DHCP entre las subredes. Los enrutadores que pueden configurarse para reenviar de forma selectiva difusiones DHCP a otra subred aparecen enumerados en el documento RFC 1542. Aunque esta opción es preferible al uso de servidores DHCP en cada subred, puede complicar la configuración del enrutador y provocar un reenvío de tráfico de difusión innecesario a otras subredes.

! Configurar un Agente de retransmisión DHCP de Microsoft en cada subred para reenviar mensajes DHCP a uno o varios servidores DHCP específicos de otra subred. La configuración de un Agente de retransmisión DHCP de Microsoft en cada subred tiene varias ventajas sobre las opciones restantes. Limita las difusiones a la subred en que se originan y, al agregar Agentes de retransmisión DHCP a varias subredes, un solo servidor DHCP puede proporcionar direcciones IP a varias subredes con mayor eficacia que si se utilizan enrutadores admitidos según el documento RFC 1542. También puede configurar el Agente de retransmisión DHCP de Microsoft para retrasar varios segundos la respuesta a una solicitud de cliente, lo que en realidad crea sistemas de respuesta DHCP primarios y secundarios.

Estrategias DHCP que pueden emplearse en una red enrutada


Para proporcionar tolerancia a errores, debe disponer como mínimo de dos sistemas de respuesta a las solicitudes de los clientes DHCP en cada subred. Si sólo hay una subred, la configuración ideal sería disponer de dos servidores DHCP para atenderla.

Sin embargo, si dispone de dos o más subredes, puede utilizar los Agentes de retransmisión DHCP para proporcionar tolerancia a errores y conseguir que la sobrecarga de trabajo administrativo sea mínima. En este caso, debe dedicar un servidor DHCP a cada subred y crear ámbitos que no se superpongan tanto en las subredes como en ambos servidores. A continuación, será necesario implementar un Agente de retransmisión DHCP en cada subred y configurarlo para reenviar solicitudes, con un breve retraso, al servidor DHCP de otra subred.

Esta configuración le permitirá designar un servidor DHCP como sistema de respuesta primario a las solicitudes DHCP y proporcionar una ruta de copia de seguridad a otro servidor si es necesario.

Con ayuda de la diapositiva (en la que el cliente y el servidor están separados por un enrutador que no reenvía tráfico de difusión DHCP), puede utilizar el Agente de retransmisión DHCP para permitir el proceso de generación de concesiones entre el cliente DHCP y el servidor DHCP.

Comparación entre los Agentes de retransmisión DHCP y los servidores duales DHCP

Ejemplo




El proceso de generación de concesiones DHCP se basa en las difusiones. Si el servidor DHCP y el cliente DHCP están separados por un enrutador que no reenvía las difusiones DHCP, el proceso de generación de concesiones DHCP no podrá realizarse y el cliente DHCP no recibirá la concesión de dirección IP del servidor DHCP.

El Agente de retransmisión DHCP permite que se lleve a cabo el proceso de generación de concesiones entre el cliente DHCP y el servidor DHCP cuando ambos están separados por un enrutador. Esto permite al cliente DHCP recibir una dirección IP del servidor DHCP.

Los siguientes pasos describen el funcionamiento de un Agente de retransmisión DHCP:

1. El cliente DHCP difunde un paquete DHCPDISCOVER. 2. El Agente de retransmisión DHCP de la subred del cliente reenvía el

mensaje DHCPDISCOVER al servidor DHCP mediante unidifusión. 3. El servidor DHCP emplea la unidifusión para enviar un mensaje

DHCPOFFER al Agente de retransmisión DHCP. 4. El Agente de retransmisión DHCP difunde el paquete DHCPOFFER

a la subred del cliente DHCP. 5. El cliente DHCP difunde un paquete DHCPREQUEST. 6. El Agente de retransmisión DHCP de la subred del cliente reenvía el

mensaje DHCPREQUEST al servidor DHCP mediante unidifusión. 7. El servidor DHCP emplea la unidifusión para enviar un mensaje

DHCPACK al Agente de retransmisión DHCP. 8. El Agente de retransmisión DHCP difunde el paquete DHCPACK a la

subred del cliente DHCP.

Introducción



Cómo utiliza un Agente de retransmisión DHCP el recuento de saltos


El umbral de recuento de saltos es el número de enrutadores a través de los que puede transmitirse un paquete antes de ser descartado.

El Agente de retransmisión DHCP utiliza el valor de recuento de saltos para determinar el número máximo de enrutadores que una difusión DHCP puede atravesar para alcanzar el servidor DHCP antes de ser descartada. Este valor se emplea para reflejar el número de enrutadores entre el cliente DHCP y el servidor DHCP más alejado. Si el número de enrutadores de la ruta al servidor DHCP supera el valor del recuento de saltos, el paquete DHCP no alcanzará el servidor DHCP.

El Agente de retransmisión DHCP envía el tráfico del cliente DHCP (paquetes DHCPDISCOVER y DHCPREQUEST) al servidor DHCP o a los servidores que el administrador ha configurado en el Agente de retransmisión DHCP. El agente utiliza el recuento (o cuenta) de saltos para indicar al paquete cuántos enrutadores debe atravesar antes de caducar.

Cada vez que el paquete atraviesa un enrutador, el recuento se incrementa en una unidad. Si el incremento del número de saltos supera el valor máximo establecido, el paquete se descarta. El valor máximo del recuento de saltos es de 16.

Si sólo configura el Agente de retransmisión DHCP con una dirección IP de servidor DHCP a la que reenviar las difusiones, el recuento de saltos será igual al número de enrutadores entre el Agente de retransmisión DHCP y el servidor DHCP. Sin embargo, si configura el Agente de retransmisión DHCP con varias direcciones IP de servidor DHCP, el recuento de saltos será igual al número máximo de enrutadores necesarios para alcanzar el servidor DHCP más alejado.

Por ejemplo, la diapositiva muestra cuatro enrutadores entre el Agente de retransmisión DHCP 1 y el servidor DHCP. Sin embargo, sólo hay dos enrutadores entre el Agente de retransmisión DHCP 2 y el servidor DHCP. Por lo tanto, el recuento de saltos se ha establecido en cuatro.

Definición

Motivos para utilizar el recuento de saltos

Cómo utiliza el Agente de retransmisión DHCP el recuento de saltos

Ejemplo


Cómo utiliza un Agente de retransmisión DHCP el umbral de inicio


El umbral de inicio es el intervalo de tiempo en segundos durante el que el Agente de retransmisión DHCP esperará para enviar el paquete DHCPDISCOVER al servidor DHCP.

Puede configurar el Agente de retransmisión DHCP para proporcionar tolerancia a errores si reenvía el tráfico DHCP a un servidor DHCP remoto en caso de que un servidor DHCP local no responda. En este caso, es posible configurar el umbral de inicio de forma que el reenvío del tráfico DHCP del Agente de retransmisión DHCP al servidor DHCP remoto se retrase. El cliente siempre responderá al primer paquete DHCPOFFER que reciba, por lo que el servidor DHCP local normalmente responderá al cliente DHCP antes que el servidor DHCP remoto. Si por algún motivo, el servidor DHCP local está inactivo, el Agente de retransmisión DHCP esperará el número de segundos definidos en el umbral de inicio y, a continuación, reenviará el paquete al servidor DHCP configurado.

El umbral de inicio es el tiempo durante el que el Agente de retransmisión espera antes de reenviar el tráfico DHCP a los servidores DHCP. Si un servidor DHCP que se encuentra en la misma subred que el Agente de retransmisión DHCP está controlando el tráfico, los clientes DHCP recibirán los datos de configuración de direccionamiento IP antes de que el Agente de retransmisión DHCP reenvíe el paquete DHCP a otro servidor DHCP. Cuando el Agente de retransmisión DHCP finalmente reenvía el tráfico DHCP, el paquete DHCPOFFER que se devuelve al cliente DHCP se descarta debido a que el cliente DHCP ya ha obtenido los datos de configuración IP DHCP.

En caso de que el cliente DHCP no haya recibido los datos de configuración IP, el paquete DHCPOFFER que se devuelve al cliente CHCP desde el servidor DHCP remoto se utiliza para conseguir los datos de configuración IP de DHCP.

Definición

Motivos para utilizar el umbral de inicio

Cómo utiliza el Agente de retransmisión DHCP el umbral de inicio


Por ejemplo, puede configurar el Agente de retransmisión DHCP de forma que espere diez segundos antes de reenviar el paquete DHCPDISCOVER a los servidores DHCP remotos especificados.

Este retraso de diez segundos da tiempo al servidor DHCP local para responder al cliente DHCP.

Ejemplo


Cómo configurar un Agente de retransmisión DHCP


Si desea reenviar mensajes DHCP entre subredes, puede configurar un Agente de retransmisión DHCP. Mientras, también puede establecer los valores del recuento de saltos y el umbral de inicio.


Para definir el recuento de saltos y el umbral de inicio debe seguir las siguientes pautas:

! Si establece un número demasiado alto para el recuento de saltos, puede generarse un tráfico de red excesivo si los agentes de retransmisión se configuran incorrectamente.

! Si hay un servidor DHCP en la subred local, el valor del umbral de inicio debe ser lo suficientemente alto como para que el servidor DHCP local responda a las difusiones de cliente antes de que el Agente de retransmisión DHCP reenvíe las solicitudes de los clientes. A partir de entonces, el Agente de retransmisión DHCP sólo se pondrá en contacto con un servidor DHCP remoto si el servidor DHCP local no está disponible. Este mecanismo proporciona tolerancia a errores, ya que un Agente de retransmisión DHCP configurado correctamente en un segmento de red en el que existe un servidor DHCP sólo se pone en contacto con el servidor DHCP en una red remota si el servidor DHCP local no responde. Si observa que el Agente de retransmisión DHCP reenvía solicitudes de cliente aunque haya un servidor DHCP en la red local, aumente el umbral de inicio.

Introducción

Nota

Directrices para definir el recuento de saltos y el umbral de inicio


Para agregar un Agente de retransmisión DHCP:

1. Abra la consola Enrutamiento y acceso remoto. 2. Haga clic con el botón secundario del mouse en el servidor y, después,

haga clic en Configurar y habilitar Enrutamiento y acceso remoto. 3. En la página Éste es el Asistente para instalación del servidor de

enrutamiento y acceso remoto, haga clic en Siguiente. 4. En la página Configuración, seleccione Configuración personalizada y,

a continuación, haga clic en Siguiente. 5. En la página Configuración personalizada, seleccione Enrutamiento

LAN y, a continuación, haga clic en Siguiente. 6. En la página Finalización del Asistente para instalación del servidor

de enrutamiento y acceso remoto, haga clic en Finalizar. 7. En el cuadro de diálogo de advertencia Enrutamiento y acceso remoto,

haga clic en Sí para iniciar el servicio. 8. En la página Este servidor es ahora un servidor VPN de acceso remoto,

haga clic en Finalizar. 9. En el árbol de consola, expanda el servidor, expanda Enrutamiento IP y,

a continuación, seleccione General. 10. Haga clic con el botón secundario de mouse en General y, a continuación,

haga clic en Protocolo de enrutamiento nuevo. 11. En el cuadro de diálogo Protocolo de enrutamiento nuevo, haga clic en

Agente de retransmisión DHCP y, después, en Aceptar.

Para configurar el Agente de retransmisión DHCP con la dirección IP de un servidor DHCP:

1. Abra la consola de Enrutamiento y acceso remoto. 2. En el árbol de la consola, seleccione Agente de retransmisión DHCP. 3. Haga clic con el botón secundario del mouse en Agente de retransmisión

DHCP y, a continuación, haga clic en Propiedades. 4. En la ficha General, en el campo Dirección de servidor, escriba la

dirección IP del servidor DHCP al que desee reenviar las solicitudes DHCP, haga clic en Agregar y, a continuación, haga clic en Aceptar.

Para habilitar el Agente de retransmisión DHCP en la interfaz de un enrutador:

1. Abra la consola de Enrutamiento y acceso remoto. 2. En el árbol de la consola, seleccione Agente de retransmisión DHCP. 3. Haga clic con el botón secundario del mouse en Agente de retransmisión

DHCP y, a continuación, haga clic en Interfaz nueva. 4. Seleccione la interfaz en la que desee habilitar el Agente de retransmisión

DHCP y, a continuación, haga clic en Aceptar. 5. En el cuadro de diálogo Propiedades de retransmisión DHCP, en la ficha

General, compruebe que la casilla de verificación Transmitir paquetes DHCP está activada.

6. Configure el Umbral de cuenta de saltos y el Umbral de inicio (segundos) si es necesario y, a continuación, haga clic en Aceptar.

Procedimiento para agregar un Agente de retransmisión DHCP

Procedimiento para configurar un Agente de retransmisión DHCP con la dirección IP del servidor DHCP

Procedimiento para habilitar el Agente de retransmisión DHCP en una interfaz de un enrutador


Ejercicio: Configurar un Agente de retransmisión DHCP


En este ejercicio, configurará un Agente de retransmisión DHCP.

Para completar este ejercicio, consulte el documento Valores del plan de implementación, incluido en el apéndice al final del cuaderno de trabajo.


El instructor debe configurar el Enrutamiento LAN en el equipo London mediante el protocolo RIP, configurado con la interfaz Conexión de red del asociado y con la Conexión de red del aula, antes de que los alumnos inicien este ejercicio. Al final del ejercicio, el instructor debe quitar Enrutamiento y acceso remoto del equipo London.

El ingeniero de sistemas ha creado una subred independiente en el departamento de laboratorio que incluye un nuevo servidor DHCP. Para probar el nuevo servidor DHCP, ha configurado un ámbito DHCP para controlar el direccionamiento IP de todos los equipos del departamento de laboratorio. También le ha indicado que desactive el ámbito de su servidor DHCP y que configure el servidor DHCP como Agente de retransmisión DHCP para el nuevo servidor DHCP.

Objetivos

Instrucciones

Importante



! Instalar y configurar el enrutamiento LAN ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más bajo. ! Cuenta de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo

es el nombre de su equipo) ! Contraseña: P@ssw0rd ! Dominio: nwtraders ! Protocolo de enrutamiento: RIP versión 2 ! Interfaz: Conexión de red del aula ! Interfaz: Conexión de red del asociado

! Agregar el Agente de retransmisión DHCP • Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más bajo.

! Configurar el Agente de retransmisión DHCP con la dirección IP de un servidor DHCP


! Dirección IP del servidor DHCP: 192.168.x.200 (donde x es el número del aula)

! Habilitar el Agente de retransmisión DHCP en la interfaz de un enrutador


! Interfaz: Conexión de red del asociado. ! Umbral de cuenta de saltos: 2 ! Umbral de inicio (segundos): 5

! Desactivar el ámbito DHCP


! Desactivar el ámbito DHCP.

Ejercicio


! Comprobar el Agente de retransmisión DHCP ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más alto. 1. Mediante el comando ipconfig /all, compruebe que la dirección IP del

servidor DHCP aparece como dirección IP de la Conexión de red del asociado de su compañero.

2. ¿Por qué el servidor DHCP es el equipo servidor de su compañero? Respuesta: el servidor del compañero ha asignado una dirección IP al equipo cliente. ____________________________________________________________

____________________________________________________________

3. Use el comando ipconfig /renew para renovar la dirección IP. 4. Mediante el comando ipconfig /all, compruebe que la dirección IP del

servidor DHCP aparece como 192.168.x.200 (donde x es el número del aula). 5. ¿Por qué el servidor DHCP es el servidor London?

Respuesta: el Agente de retransmisión DHCP reenvió la solicitud DHCP del cliente al servidor DHCP London. ____________________________________________________________

____________________________________________________________

! Activar el ámbito DHCP ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más bajo. ! Active el ámbito DHCP.

! Comprobar la concesión DHCP desde el servidor DHCP de su compañero


1. Use el comando ipconfig /release para liberar la dirección IP. 2. Use el comando ipconfig /renew para renovar la dirección IP. 3. Mediante el comando ipconfig /all, compruebe que la dirección IP del

servidor DHCP aparece como dirección IP de la Conexión de red del asociado del equipo de su compañero.

4. ¿Por qué el servidor DHCP es el servidor de su compañero? Respuesta: mientras el Agente de retransmisión DHCP reenviaba la solicitud DHCP del cliente al servidor DHCP London, el servidor DHCP local (el de su compañero) respondió a la solicitud DHCP del cliente antes que London. ____________________________________________________________

____________________________________________________________


! Quitar Enrutamiento y acceso remoto ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más bajo. ! Desde la consola de Enrutamiento y acceso remoto, quite Enrutamiento

y acceso remoto con la siguiente información de cuenta:

• Cuenta de usuario: NombreDeEquipoAdmin

• Contraseña: P@ssw0rd

• Dominio: nwtraders


Práctica A: Identificar y solucionar problemas habituales al asignar direccionamiento IP mediante DHCP


En esta práctica, identificará y resolverá problemas que suelen producirse al asignar el direccionamiento IP mediante DHCP.

Objetivos



Ejercicio 1 Identificar y solucionar problemas habituales al asignar direccionamiento IP mediante DHCP En ese ejercicio, identificará y resolverá problemas que suelen producirse al asignar el direccionamiento IP mediante DHCP.

Instrucciones Para completar este ejercicio, remítase al documento Valores del plan de implementación que se encuentra en el apéndice, al final del cuaderno de trabajo.


Situación de ejemplo Mientras prueba el servidor DHCP en el laboratorio, identifica varios problemas de configuración del servidor DHCP y los efectos correspondientes en los clientes DHC.

Ha creado un laboratorio de pruebas para que los nuevos administradores de DHCP experimenten dichos problemas de configuración de DHCP y las acciones correctivas correspondientes.

En esta práctica, en primer lugar comprobará que DHCP funciona correctamente; para ello, ejecutará pruebas desde el cliente y desde otro servidor. Ejecutará una secuencia de comandos que volverá a configurar el servidor DHCP para reflejar los problemas de configuración. Ejecutará las pruebas de nuevo, para constatar si hay problemas de configuración en el servidor DHCP. A continuación localizará e identificará los errores de configuración del servidor DHCP e implementará acciones correctivas. Finalmente, comprobará que el servidor DHCP funciona correctamente, para lo que ejecutará de nuevo la prueba desde el servidor y el cliente.

Los datos de configuración correctos correspondientes a esta práctica se encuentran en el documento Valores del plan de implementación, incluido en el apéndice, al final del cuaderno de trabajo.



Realice la tarea siguiente sólo en el equipo del alumno que tenga el número de identificación más alto.

1. Compruebe su información de concesión DHCP.

a. Use el comando ipconfig /all para comprobar que los siguientes datos de configuración de direcciones IP se concedieron desde el servidor DHCP.

• Dirección IP: la dirección IP de su Conexión de red del asociado.

• Puerta de enlace predeterminada: la dirección IP de la Conexión de red del asociado de su compañero.

• Servidor DHCP: la dirección IP de la Conexión de red del asociado de su compañero.

• Período de concesión: 1 hora.

Realice la tarea siguiente sólo en el equipo del alumno que tenga el número de identificación más bajo. Emplee el comando Ejecutar como para iniciar un símbolo del sistema con derechos administrativos en el equipo local con el fin de ejecutar la secuencia de comandos.

2. Ejecute una secuencia de comandos para cambiar la configuración del servidor DHCP y simular problemas de configuración.

" Cierre la consola DHCP y, en el símbolo del sistema, escriba C:\MOC\2184\labfiles\lab02\DHCP.vbs.


3. Ejecute pruebas para comprobar los efectos de los problemas de configuración del servidor DHCP en el cliente.

" Use los comandos ipconfig /release, ipconfig /renew e ipconfig /all para comprobar que el equipo cliente no recibe los datos de configuración IP de DHCP.

Realice la tarea siguiente sólo en el equipo del alumno que tenga el número de identificación más bajo.

4. Determine el motivo por el que el servidor DHCP no asigna los datos de configuración de direcciones IP y, a continuación, aplique acciones correctivas.

a. Determine si el ámbito DHCP está desactivado.

b. Active el ámbito DHCP.


5. Compruebe si el cliente DHCP recibe el valor de enrutador incorrecto desde el servidor DHCP.

a. Use los comandos ipconfig /release, ipconfig /renew e ipconfig /all en el cliente para comprobar si la dirección IP de la opción del enrutador es incorrecta.

b. El valor de enrutador correcto es la dirección IP de la Conexión de red del asociado de su compañero.




6. Determine el motivo por el que el servidor DHCP no asigna los datos de configuración de direcciones IP correctos para la opción de enrutador y, a continuación, aplique acciones correctivas.

a. Determine si la opción de enrutador del ámbito está configurada con un valor incorrecto.

b. Configure la opción de enrutador del ámbito con el valor correcto. El valor correcto de la opción Enrutador del ámbito DHCP es la dirección IP de la Conexión de red del asociado de su compañero.


7. Compruebe si el cliente DHCP recibe los datos de configuración IP correctos desde el servidor DHCP.

a. Use los comandos ipconfig /release, ipconfig /renew e ipconfig /all para comprobar que el equipo cliente DHCP ha recibido el valor correcto para la opción de enrutador DHCP.

b. El valor correcto de la opción Enrutador del ámbito DHCP es la dirección IP de la Conexión de red del asociado de su compañero.


8. Compruebe si el cliente DHCP recibe los datos de configuración IP correctos para el período de concesión desde el servidor DHCP.

a. Use el comando ipconfig /all para comprobar que el equipo cliente DHCP ha recibido el valor incorrecto para la duración de la concesión DHCP.

b. El valor correcto de la duración de la concesión es una hora.


9. Determine el motivo por el que el servidor DHCP no asigna los datos de configuración de direcciones IP correctos para el período de concesión y, a continuación, aplique acciones correctivas.

a. Determine si el ámbito DHCP está configurado con un valor de duración de concesión incorrecto.

b. Establezca el valor de duración de concesión DHCP en una hora.




10. Compruebe si el cliente DHCP recibe el valor de período de concesión correcto desde el servidor DHCP.

" Use los comandos ipconfig /release, ipconfig /renew e ipconfig /all para comprobar que el equipo cliente DHCP ha recibido el valor correcto para la duración de concesión DHCP.

• El valor de período de concesión DHCP correcto es una hora.


11. Compruebe si el cliente DHCP recibe el valor de duración de concesión correcto desde el servidor DHCP.

a. Use el comando ipconfig /all para comprobar que los siguientes datos de configuración de direcciones IP se concedieron desde el servidor DHCP:

• Dirección IP: la dirección IP de su Conexión de red del asociado

• Puerta de enlace predeterminada: la dirección IP de la Conexión de red del asociado de su compañero

• Servidor DHCP: la dirección IP de la Conexión de red del asociado de su compañero

• Período de concesión: 1 hora

Contenido

Introducción 1

Lección: Administrar una base de datos DHCP 2

Lección: Supervisar DHCP 16

Lección: Aplicar directrices de seguridad para DHCP 39

Práctica A: Administrar y supervisar DHCP 47

Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para administrar y supervisar el Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol).


! Administrar una base de datos DHCP. ! Supervisar DHCP. ! Aplicar directrices de seguridad para DHCP.


! El archivo 2184a_03.ppt de Microsoft® PowerPoint®. ! El documento Valores del plan de implementación que se encuentra

en el apéndice al final del cuaderno de trabajo del alumno. ! (Opcional) La presentación multimedia Creación de una línea de base

para el rendimiento. Esta presentación está incluida en los requisitos previos de este curso y probablemente ya la hayan visto algunos de los alumnos, o incluso la mayoría. Decida si puede resultar útil reproducirla para su audiencia en particular.

Se recomienda utilizar PowerPoint 2002 o versión posterior para mostrar las diapositivas de este curso. Si usa PowerPoint Viewer o una versión anterior de PowerPoint, puede que no se muestren correctamente todas las características de las diapositivas.


! Leer todo el material del mismo. ! Completar los ejercicios y la práctica. ! Demostrar todos los procedimientos de las páginas de instrucciones. ! (Opcional) Repasar la presentación multimedia Creación de una línea de

base para el rendimiento. ! Repasar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 1 hora 45 minutos Práctica: 15 minutos

Material necesario

Importante


iv Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)




Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones. Puede utilizar los equipos London o Glasgow para demostrar los procedimientos de las páginas de instrucciones. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.

Una vez tratado el contenido del tema y realizadas las demostraciones de los procedimientos de la lección, explique que un ejercicio permitirá a los alumnos tener experiencia práctica en las tareas tratadas.


Mediante situaciones de ejemplo que tienen que ver con la función de trabajo, la práctica permite proporcionar a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna de la izquierda se indica la tarea que deben realizar (por ejemplo, crear un grupo). La columna de la derecha contiene instrucciones específicas necesarias para que los alumnos puedan realizar la tarea (por ejemplo, En Usuarios y equipos de Active Directory, haga doble clic en el nodo del dominio).

En el disco compacto Material del alumno se encuentran las respuestas de los ejercicios de cada práctica, por si los alumnos necesitan instrucciones paso a paso para completarla. También pueden remitirse a los ejercicios y a las páginas de instrucciones del módulo.


Importante

Ejercicios

Prácticas

Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) v

Lección: Administrar una base de datos DHCP En esta sección se describen métodos para impartir esta lección.

! Explique la finalidad de la administración de servicios. ! Explique la finalidad de la administración del servicio DHCP. ! Pregunte a los alumnos cuántos tienen solo DHP en un servidor. ! Comente la necesidad de administrar todos los servicios en un servidor,

en lugar de centrarse únicamente en DHCP. ! Indique las situaciones en las que debe administrarse DHCP.

• Puesto que los procedimientos para administrar ámbitos, opciones y Agentes de retransmisión DHCP son similares a los procedimientos para configurarlos, puede consultar el módulo 2, �Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server� 2003: Servicios de red.

• Este módulo se centra en cómo administrar una base de datos DHCP.

! Defina qué es una base de datos DHCP. ! Explique su finalidad. ! Explique dónde se almacena una base de datos DHCP. ! Describa los archivos DHCP. ! (Opcional) Demuestre dónde se encuentran los archivos DHCP.

! Explique la finalidad de la copia de seguridad y la restauración de bases

de datos DHCP. ! Describa cómo se realiza automáticamente una copia de seguridad de una

base de datos DHCP. ! Describa cómo se realiza manualmente una copia de seguridad de una base

de datos DHCP. ! Explique cómo se restaura una base de datos DHCP.


! (Opcional) Demuestre dónde se encuentran los archivos de copia de seguridad en el directorio.

! Comente las directrices que se aplican cuando se realiza la copia de

seguridad y la restauración de una base de datos DHCP. ! Demuestre cómo se configura la ruta de copia de seguridad de una base

de datos DHCP. ! Demuestre cómo se realiza manualmente una copia de seguridad de una

base de datos DHCP en el directorio de copia de seguridad en una unidad local.

! Demuestre cómo se restaura manualmente una base de datos DHCP desde el directorio de copia de seguridad en una unidad local.

Información general de la administración de DHCP

Qué es una base de datos DHCP

Cómo se realiza la copia de seguridad y la restauración de una base de datos DHCP

Copia de seguridad y restauración de una base de datos DHCP

vi Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)

! Defina el concepto de reconciliación. ! Indique cuándo se reconcilia una base de datos DHCP. ! Describa cómo se reconcilia una base de datos DHCP.

! Comente cómo se prepara la reconciliación. ! Demuestre cómo se reconcilian todos los ámbitos de una base de

datos DHCP.

• Cuando realice la demostración, no habrá ámbitos que reconciliar en la base de datos DHCP.

! Demuestre cómo se reconcilia un ámbito de una base de datos DHCP.

• Cuando realice la demostración, no habrá ámbitos que reconciliar en la base de datos DHCP.

! Indique cómo pueden observar los alumnos que la información se muestra de forma incorrecta tras la reconciliación.

• Esta información se corrige y se actualiza en el Administrador DHCP cuando los clientes de ámbito renuevan sus concesiones.

! Indique a los alumnos que pueden consultar las páginas de instrucciones


• Configurar la ruta de copia de seguridad de una base de datos DHCP.

• Realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad de una unidad local.

• Restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad de una unidad local.

• Reconciliar todos los ámbitos de una base de datos DHCP. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y

comente sus resultados.

Lección: Supervisar DHCP En esta sección se describen métodos para impartir esta lección.

! Explique la finalidad de la supervisión DHCP. ! Comente la importancia de supervisar todos los servicios que se ejecutan

en el servidor DHCP y su uso de los recursos del sistema. ! Explique que los datos de DHCP se pueden obtener mediante las

estadísticas, sucesos y datos de rendimiento de DHCP.

• Describa brevemente las estadísticas, sucesos y datos de rendimiento de DHCP. En esta lección se tratan las estadísticas y el rendimiento de DHCP. Para obtener más información acerca de los sucesos DHCP, consulte el curso 2146A: Administración de un entorno Microsoft Windows Server 2003.

• (Opcional) Realice una demostración de sucesos DHCP.

Cómo se reconcilia una base de datos DHCP

Reconciliar una base de datos DHCP

Ejercicio: Administrar una base de datos DHCP

Información general de la supervisión de DHCP

Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) vii

! El archivo multimedia de esta presentación está instalado en el equipo del instructor. Para abrir una presentación multimedia, haga clic en el icono de animación en la diapositiva correspondiente.

! Esta presentación está incluida en los requisitos previos de este curso y probablemente ya la hayan visto algunos de los alumnos, o incluso la mayoría. Decida si puede resultar útil reproducirla para su audiencia en particular. Si reproduce la presentación, explique que el rendimiento del servidor es fundamental para la eficacia de las operaciones de la red. Explique también que establecer una base de rendimiento permite observar las tendencias en las cargas de trabajo y el uso de los recursos, probar cambios de configuración e identificar posibles problemas.

! Defina qué son las estadísticas de DHCP. ! Explique la finalidad de las estadísticas de DHCP. ! Describa los diversos tipos de estadísticas de ámbitos y servidores DHCP

que pueden consultarse.

• Se ofrece una oportunidad de demostrar cómo consultar las estadísticas de DHCP en el siguiente tema.

! Pregunte a los alumnos cuál es la diferencia entre las no confirmaciones (nacks) y los rechazos.

! Demuestre cómo se habilita la actualización automática de las estadísticas

de DHCP. ! Demuestre cómo se consultan las estadísticas de un servidor DHCP. ! Demuestre cómo se consultan las estadísticas de un ámbito DHCP.

! Defina qué es un archivo de registro de auditoría DHCP. ! Explique la finalidad de un registro de auditoría DHCP. ! Describa los campos de un archivo de registro. ! Proporcione ejemplos de códigos comunes de identificadores de suceso. ! Se ofrece una oportunidad de demostrar cómo consultar el registro de

auditoría DHCP más adelante en esta lección.

! Defina el concepto de registro de auditoría. ! Explique la finalidad del registro de auditoría DHCP. ! Describa cómo funciona el registro de auditoría.


! Demuestre cómo se habilita y configura el registro de auditoría DHCP. ! Demuestre cómo se consulta el registro de auditoría DHCP.

Presentación multimedia: Creación de una línea de base para el rendimiento (Opcional)

Qué son las estadísticas de DHCP

Cómo ver las estadísticas de DHCP

Qué es un archivo de registro de auditoría de DHCP

Cómo funciona el registro de auditoría de DHCP

Cómo supervisar el rendimiento de un servidor DHCP mediante el registro de auditoría de DHCP

viii Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)

! Explique la finalidad de la supervisión del rendimiento de un servidor DHCP.

! Comente cómo se aplican las directrices para supervisar el rendimiento de un servidor DHCP.

! Explique la finalidad de la consola Rendimiento. ! Defina qué es un objeto de rendimiento, un contador de rendimiento y una

instancia de objeto de rendimiento. ! Describa un ejemplo de los contadores de rendimiento que pueden utilizarse

para supervisar el rendimiento de un servidor DHCP. ! Explique qué se debe buscar una vez establecida una referencia.

! Defina el concepto de alerta. ! Explique la finalidad de la creación de alertas de un servidor DHCP. ! Describa cómo se aplican directrices para crear alertas de un servidor

DHCP.

• Proporcione ejemplos del modo en que se aplican las directrices.


! Indique a los alumnos que pueden consultar las páginas de instrucciones correspondientes a la lección.

! Indíqueles que lean la primera situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas:

• Habilitar y configurar el registro de auditoría DHCP.

• Renovar la concesión de la dirección IP del cliente DHCP.

• Ver el registro de auditoría DHCP. ! Indique a los alumnos que lean la segunda situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas:

• Habilitar la actualización automática de las estadísticas de DHCP.

• Ver las estadísticas de un servidor DHCP. ! Indique a los alumnos que lean la tercera situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas:

• Configurar el Monitor de sistema para recopilar datos de un servidor DHCP en tiempo real.

• Crear una alerta.

• Configurar el inicio del servicio Messenger. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio

y comente sus resultados.

Directrices para supervisar el rendimiento de un servidor DHCP

Contadores de rendimiento comunes para supervisar el rendimiento de un servidor DHCP

Directrices para crear alertas de un servidor DHCP

Ejercicio: Supervisar DHCP

Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) ix

Lección: Aplicar directrices de seguridad para DHCP En esta sección se describen métodos para impartir esta lección.

! Explique por qué hay que impedir que los usuarios no autorizados obtengan concesiones.

! Describa cómo se aplican las directrices. ! Explique los ataques de denegación de servicio contra el servidor del

Sistema de nombres de dominio (DNS) a través del servidor DHCP.

• Es posible que también tenga que volver a tratar este tema más adelante, después de que los alumnos sepan más acerca de DNS.

! Explique cómo se pueden autorizar en el servicio de directorio Active

Directory® los servidores DHCP de Microsoft que ejecutan Microsoft Windows 2000 o Windows 2003.

! Detalle por qué el software de los servidores DHCP que no son de Microsoft no contiene la característica de autorización incluida en DHCP para Windows 2000 y Windows Server 2003.

! Describa cómo se aplica la directriz.

! Comente que un administrador de sistemas debe ser miembro del grupo Administradores o del grupo Administradores de DHCP para administrar servidores DHCP mediante la consola DHCP o los comandos de Netsh para DHCP.

! Explique qué usuarios de DHCP pueden tener acceso y cuáles no. ! Explique qué administradores de DHCP pueden tener acceso y cuáles no. ! Explique cómo pueden los administradores de sistemas administrar un

servidor DHCP en un dominio. ! Describa cómo se aplican las directrices.

! Explique por qué hay que proteger la base de datos DHCP. ! Describa los permisos predeterminados. ! Explique cómo se aplican las directrices.

Directrices para impedir que usuarios no autorizados obtengan concesiones

Directrices para impedir que servidores DHCP no autorizados y que no son de Microsoft concedan direcciones IP

Directrices para restringir quién puede administrar el servicio DHCP

Directrices para proteger la base de datos DHCP

Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP) 1

Introducción


La instalación y configuración del servicio Protocolo de configuración dinámica de host (DHCP) constituye sólo una parte de una solución de red. Es necesario administrar el servicio DHCP para reflejar los cambios en las necesidades de direccionamiento Protocolo Internet (IP, Internet Protocol) de los clientes. También es importante para un administrador supervisar el rendimiento del servidor DHCP, ya que el entorno DHCP es dinámico. Además, deben aplicarse directrices de seguridad para DHCP.


! Administrar una base de datos DHCP. ! Supervisar DHCP. ! Aplicar directrices de seguridad para DHCP.

Introducción

Objetivos

2 Módulo 3: Administrar y supervisar el Protocolo de configuración dinámica de host (DHCP)

Lección: Administrar una base de datos DHCP


Es importante proteger la base de datos DHCP, controlar su crecimiento y asegurar su coherencia. Esto se puede lograr mediante la copia de seguridad, restauración y reconciliación de la base de datos DHCP.


! Explicar la finalidad de la administración DHCP. ! Explicar qué es una base de datos DHCP. ! Describir cómo se realiza la copia de seguridad y la restauración de una

base de datos DHCP. ! Realizar la copia de seguridad y la restauración de una base de datos. ! Describir cómo se reconcilia una base de datos DHCP. ! Reconciliar una base de datos DHCP. ! Administrar una base de datos DHCP.

Introducción



Información general de la administración de DHCP


Tras instalar un servicio, deben tenerse en cuenta los pasos necesarios para su administración y mantenimiento de manera que siga proporcionando los servicios que los clientes necesitan a lo largo del tiempo. Cuando se configura un servicio de red, se está dando solución a un problema de red en un momento determinado. Como el entorno de red puede cambiar, es necesario supervisar el servicio y posiblemente modificar la solución para mantenerla actualizada.

Es necesario administrar el servicio DHCP para reflejar los cambios en las necesidades de direccionamiento IP de los clientes. Estas necesidades pueden variar si se agregan o se quitan clientes, subredes o servidores en la red.

También es necesario administrar el servicio DHCP en respuesta a cambios en las condiciones del servidor DHCP y para proteger la base de datos DHCP contra errores.

Por qué se debe administrar un servicio

Por qué se debe administrar el servicio DHCP


En la tabla siguiente se enumeran situaciones habituales en las que un administrador administraría DHCP. También se indican las tareas y herramientas correspondientes para administrar DHCP.

Situaciones

Tareas

Herramientas para administrar DHCP

Administrar el crecimiento de la base de datos DHCP

Compactar la base de datos DHCP

Jetpack.exe

Proteger la base de datos DHCP

Realizar la copia de seguridad y la restauración de la base de datos DHCP

Consola DHCP

Asegurar la coherencia de la base de datos DHCP

Reconciliar ámbitos DHCP Consola DHCP

Agregar clientes Configurar o modificar ámbitos

Consola DHCP

Agregar nuevos servidores de servicios de red

Configurar o modificar opciones

Consola DHCP

Agregar nuevas subredes Configurar el Agente de retransmisión DHCP

Consola DHCP

En este módulo se trata únicamente la forma de administrar una base de datos DHCP. Puesto que los procedimientos para administrar ámbitos, opciones y Agentes de retransmisión DHCP son similares a los procedimientos para configurarlos, puede consultar el módulo 2, �Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft® Windows Server� 2003: Servicios de red.

Situaciones en las que administrar DHCP

Nota


Qué es una base de datos DHCP


La base de datos DHCP es una base de datos dinámica que se actualiza cuando se asignan clientes DHCP o conforme éstos liberan sus concesiones de direcciones del Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol).

La base de datos DHCP contiene datos de configuración de DHCP (como información acerca de los ámbitos, reservas, opciones, concesiones, etcétera). El servicio DHCP no se iniciará sin la base de datos.

Windows Server 2003 almacena la base de datos DHCP en el directorio %Systemroot%\System32\Dhcp. De forma predeterminada, se realiza automáticamente una copia de seguridad de la base de datos en el directorio Backup\New, que se encuentra en el directorio de la base de datos.

Definición

Finalidad de una base de datos DHCP

Dónde se almacena una base de datos DHCP


La base de datos DHCP está formada por los siguientes archivos, que se almacenan en el directorio \%Systemroot%\System32\Dhcp.

Archivo Descripción DHCP.mdb Archivo de base de datos para el servicio DHCP. Este

archivo contiene dos tablas: la tabla de asignaciones entre direcciones IP e identificadores de propietario, y la tabla de asignaciones entre nombres y direcciones IP.

Tmp.edb Archivo temporal que utiliza la base de datos DHCP como archivo de intercambio durante las operaciones de mantenimiento del índice de la base de datos.

J50.log y J50*.log Registros de todas las transacciones realizadas con la base de datos. DHCP utiliza estos registros para recuperar datos, si es necesario.

Res*.log Archivos de registro reservados que se utilizan para registrar las transacciones existentes si el sistema se queda sin espacio en disco.

J50.chk Archivo de control.

No altere ni quite ninguno de estos archivos. El servicio DHCP no se cargará sin estos archivos, por lo que, si realiza cambios en ellos, corre el riesgo de que se produzca un error en el servidor DHCP.

Archivos DHCP

Precaución


Cómo se realiza la copia de seguridad y la restauración de una base de datos DHCP


Para proporcionar la tolerancia a errores en el caso de producirse un error, es importante realizar una copia de seguridad de la base de datos DHCP. Esto permitirá restaurarla a partir de la copia de seguridad si se produce un error de hardware.

De forma predeterminada, el servicio DHCP realiza automáticamente cada 60 minutos una copia de seguridad de la base de datos DHCP y las entradas relacionadas del Registro en un directorio de copia de seguridad en la unidad local. Las copias de seguridad automáticas se almacenan de forma predeterminada en el directorio \%Systemroot%\System32\Dhcp\Backup\New. El administrador puede cambiar la ubicación de copia de seguridad.

El administrador puede copiar entonces los archivos DHCP de los que se ha realizado una copia de seguridad en una ubicación de almacenamiento sin conexión (por ejemplo, una cinta o un disco).

También se puede realizar manualmente una copia de seguridad de la base de datos DHCP. Las copias de seguridad manuales se almacenan de forma predeterminada en el directorio \%Systemroot%\System32\Dhcp\Backup\New. El administrador puede cambiar la ubicación de copia de seguridad.

Por qué se debe realizar la copia de seguridad y la restauración de una base de datos DHCP

Cómo se realiza automáticamente una copia de seguridad de una base de datos DHCP

Cómo se realiza manualmente una copia de seguridad de una base de datos DHCP


Si no se puede cargar la base de datos DHCP original cuando se inicia el servicio DHCP, éste la restaura automáticamente en un directorio de copia de seguridad de la unidad local.

Si se produce un error en la base de datos DHCP, el administrador puede elegir restaurarla desde el directorio de copia de seguridad en la unidad local o desde la ubicación de copia de seguridad sin conexión.

En el caso de que se produzca un error del hardware del servidor y la copia de seguridad local no esté disponible, el administrador puede restaurar sólo desde la ubicación de copia de seguridad sin conexión.

Cómo se restaura una base de datos DHCP


Copia de seguridad y restauración de una base de datos DHCP


Si no puede reparar la base de datos con Jetpack.exe, puede restaurarla desde el directorio de copia de seguridad en la unidad local. Si no es posible restaurar la base de datos DHCP desde el directorio de copia de seguridad en la unidad local, deberá restaurarla desde una ubicación de almacenamiento sin conexión.

Aunque la copia de seguridad y la restauración de una base de datos DHCP se puede realizar tanto de forma automática como manual en un directorio de copia de seguridad de la unidad local, de forma manual sólo se puede llevar a cabo en una ubicación de almacenamiento sin conexión.


Al realizar la copia de seguridad y la restauración de una base de datos DHCP, aplique las siguientes directrices:

! Realice manualmente una copia de seguridad de la base de datos DHCP en una ubicación distinta de %Systemroot%\System32\Dhcp\ Backup\Jet\New, que es la ubicación predeterminada para las copias de seguridad automáticas. Si almacena una copia de la base de datos DHCP que ha creado manualmente en la misma ubicación que la copia creada de forma automática, el servicio DHCP no funcionará correctamente.

! Mantenga una copia de la base de datos DHCP de la que se ha realizado la copia de seguridad en una ubicación sin conexión (por ejemplo, una cinta o un disco). Como el servicio DHCP realiza automáticamente copias de seguridad de la base de datos DHCP en una ubicación en la unidad local, si se produce un error de hardware, perderá tanto la base de datos DHCP original como la copia.

Introducción

Nota

Directrices


Para configurar la ruta de copia de seguridad de una base de datos DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha Opciones avanzadas, escriba la ruta de acceso de la copia de

seguridad apropiada en el campo Ruta de acceso a la copia de seguridad y haga clic en Aceptar.

Para realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad de una unidad local:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Copia de seguridad. 3. En el cuadro de diálogo Buscar carpeta, seleccione la carpeta adecuada en la

que realizar la copia de seguridad y, a continuación, haga clic en Aceptar.

Para restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad de una unidad local:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Restaurar. 3. En el cuadro de diálogo Buscar carpeta, seleccione la carpeta que contenga

la copia de seguridad y, a continuación, haga clic en Aceptar. 4. En el cuadro de diálogo DHCP, haga clic en Sí para detener y luego

reiniciar el servicio. 5. Si el estado del servicio no se actualiza, actualice la consola DHCP.

Para obtener más información acerca de cómo realizar manualmente la copia de seguridad y la restauración de una base de datos DHCP en una ubicación de almacenamiento sin conexión, consulte el curso 2164A, Mantenimiento de un entorno Microsoft Windows Server 2003.

Procedimiento para configurar la ruta de copia de seguridad de una base de datos DHCP

Procedimiento para realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad de una unidad local

Procedimiento para restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad de una unidad local

Nota




La reconciliación es el proceso de comprobar los valores de una base de datos DHCP con respecto a los valores de DHCP en el Registro.

Se recomienda reconciliar la base de datos DHCP:

! Cuando los valores de la base de datos DHCP estén configurados correctamente pero no se muestren así en la consola DHCP.

! Después de restaurar una base de datos DHCP, si ésta no contiene los valores más actuales.

Por ejemplo: se ha eliminado la base de datos existente y debe restaurar una versión anterior de la base de datos. Si inicia DHCP y abre la consola, observará que se muestran el ámbito y las opciones, pero no las concesiones activas. La reconciliación llena la base de datos DHCP con la información de concesiones de clientes procedente del Registro.

Cuando se reconcilia un servidor o ámbito, el servicio DHCP utiliza la información de resumen del Registro y la información detallada de la base de datos DHCP para reconstruir la vista más actualizada del servicio.

Por ejemplo, tras la restauración de una base de datos DHCP, no se muestra una concesión activa en la consola DHCP. El proceso de reconciliación comprobará la información de resumen de esta concesión de dirección en el Registro con la información detallada de la base de datos DHCP. La información de resumen muestra que un cliente tiene la dirección IP, pero la información detallada muestra que la dirección IP está disponible. Tras comparar la información del Registro y la base de datos DHCP, ésta se actualiza con la información de la concesión activa. La concesión activa se mostrará en la consola DHCP.

Definición

Cuándo hay que reconciliar una base de datos DHCP



Reconciliar una base de datos DHCP


Puede reconciliar todos los ámbitos del servidor DHCP si selecciona éste, o sólo un ámbito si selecciona dicho ámbito.


Antes de utilizar la característica Reconciliar para recuperar totalmente del Registro la información de los clientes de un ámbito DHCP, el equipo servidor debe cumplir los siguientes criterios.

! Todas las claves del Registro relativas al servidor DHCP deben restaurarse o existir, y permanecer intactas de anteriores operaciones del servicio en el equipo servidor.

! Debe generarse una nueva versión del archivo de base de datos del servidor DHCP en la carpeta %Systemroot%\System32\Dhcp en el equipo servidor.

Cuando el Registro y la base de datos cumplan los criterios anteriores, podrá reiniciar el servicio DHCP. En este punto, tras abrir la consola DHCP, quizá observe que está presente la información del ámbito, pero que no se muestran las concesiones activas. Para obtener de nuevo las concesiones activas de cada ámbito se utiliza la característica Reconciliar, que permite recuperar cada ámbito.

Introducción

Nota

Preparar la reconciliación


Para reconciliar todos los ámbitos de una base de datos DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP. 2. En el menú Acción, haga clic en Reconciliar todos los ámbitos. 3. En el cuadro de diálogo Reconciliar todos los ámbitos, haga clic

en Comprobar. 4. En el cuadro de diálogo DHCP, haga clic en Aceptar.

Para reconciliar un ámbito de una base de datos DHCP:

1. En el árbol de la consola DHCP, seleccione el ámbito adecuado.

Puede reconciliar sólo un ámbito si selecciona dicho ámbito o todos los ámbitos del servidor DHCP si selecciona éste.

2. En el menú Acción, haga clic en Reconciliar. 3. En el cuadro de diálogo Reconciliar, haga clic en Comprobar. 4. En el cuadro de diálogo DHCP, haga clic en Aceptar.

Tras usar la característica Reconciliar, al ver las propiedades de clientes individuales mostrados en la lista de concesiones activas, quizá observe que la información de los clientes no se muestra correctamente. Esta información se corrige y se actualiza en el Administrador DHCP cuando los clientes de ámbito renuevan sus concesiones.

Procedimiento para reconciliar todos los ámbitos de una base de datos DHCP

Procedimiento para reconciliar un ámbito de una base de datos DHCP

Nota

Después de la reconciliación




En este ejercicio, administrará una base de datos DHCP.


La ingeniera de sistemas ha decidido realizar algunas pruebas del hardware del servidor DHCP en el departamento del laboratorio. Necesita realizar manualmente una copia de seguridad de la base de datos DHCP. Tras ejecutarse la prueba en el servidor DHCP, reconciliará el servidor para asegurarse de que la base de datos DHCP es correcta.

! Configurar la ruta de copia de seguridad de una base de datos DHCP

! Complete esta tarea desde los equipos de ambos alumnos. ! Ruta de acceso de la copia de seguridad: C:\Moc\2184\Labfiles\Lab03

! Realizar manualmente una copia de seguridad de una base de datos DHCP en el directorio de copia de seguridad en una unidad local

! Complete esta tarea desde los equipos de ambos alumnos. ! Ruta de acceso de la copia de seguridad:

C:\Moc\2184\Labfiles\Lab03\Manual Backup

Objetivo

Instrucciones


Ejercicio


! Restaurar manualmente una base de datos DHCP desde el directorio de copia de seguridad en una unidad local

! Complete esta tarea desde los equipos de ambos alumnos. ! Ruta de acceso de la restauración:

C:\Moc\2184\Labfiles\Lab03\Manual Backup

! Reconciliar todos los ámbitos de una base de datos DHCP

! Complete esta tarea desde los equipos de ambos alumnos. ! Reconcilie todos los ámbitos.


Lección: Supervisar DHCP


Para supervisar DHCP, puede emplear lo siguiente:

! Consola DHCP para las estadísticas de DHCP. ! Registro de auditoría de DHCP y Visor de sucesos DHCP. ! Consola Rendimiento para los datos de rendimiento de DHCP.

Para obtener más información acerca de cómo usar el Visor de sucesos para supervisar los sucesos DHCP, consulte el curso 2146A: Administración de un entorno Microsoft Windows Server 2003.


! Explicar la finalidad de la supervisión DHCP. ! Explicar qué son las estadísticas de DHCP. ! Ver las estadísticas de DHCP. ! Explicar qué es un archivo de registro de auditoría de DHCP. ! Describir cómo funciona el registro de auditoría de DHCP. ! Supervisar el rendimiento de un servidor DHCP mediante el registro

de auditoría de DHCP. ! Aplicar directrices para supervisar el rendimiento de un servidor DHCP. ! Aplicar directrices para contadores de rendimiento comunes al supervisar

el rendimiento de un servidor DHCP. ! Aplicar directrices para crear alertas de un servidor DHCP. ! Supervisar DHCP.

Introducción

Nota



Información general de la supervisión de DHCP


Para supervisar el servicio DHCP, es necesario recopilar y ver los datos acerca del mismo. Debe supervisar los clientes DHCP y el servidor DHCP. Este módulo se centra en la supervisión del servidor DHCP.

El entorno DHCP es dinámico. Las necesidades de los clientes varían siempre a medida que se agregan o quitan clientes, se configuran opciones nuevas, cambian las necesidades organizativas y se agregan ámbitos para administrar clientes adicionales. Por tanto, es importante comprobar que el funcionamiento del servidor DHCP se ajusta a las normas esperadas en la red conforme se producen cambios en ésta.

Dada la importancia de los servidores DHCP en las infraestructuras de redes, es importante establecer referencias de rendimiento que puedan utilizarse al evaluar el rendimiento de un servidor. Estas referencias también son valiosas al planear cambios y adiciones en la red.

Aunque es importante supervisar las funciones DHCP, igualmente importante es entender que muchos servidores que alojan el servicio Servidor DHCP también alojan otras aplicaciones y servicios de red. Por tanto, al evaluar el rendimiento, debe revisar la interacción de todos los servicios que se ejecutan en el servidor DHCP y su uso respectivo de los recursos del sistema.

El servicio DHCP utiliza los subsistemas de memoria, procesador, disco y red. Aunque todos estos subsistemas son importantes para el funcionamiento óptimo del servicio DHCP, puede obtener el máximo beneficio si supervisa el rendimiento de los subsistemas de red.

Introducción

Por qué supervisar DHCP

Subsistemas principales y el servidor DHCP


Puede encontrar información de DHCP en las estadísticas, sucesos y datos de rendimiento de DHCP.

Datos de DHCP

Descripción

Ejemplos

Herramientas para supervisar DHCP

Estadísticas de DHCP Representan las estadísticas

recopiladas del servidor o de los ámbitos desde que se inició el servicio DHCP.

! Horas de inicio y detención del servicio DHCP

! Número de direcciones IP disponibles en un ámbito

! Número de concesiones activas en un ámbito

! Número de clientes activos

! Consola DHCP

Sucesos de DHCP Cualquier acontecimiento significativo que se haya producido en el sistema o en una aplicación que requiere la notificación a los usuarios o la adición de una entrada a un registro.

! Cuándo se ha iniciado o detenido el servicio y quién lo ha hecho

! Errores del servicio DHCP

! Autorizaciones del servicio DHCP

! Registro de auditoría de DHCP

! Visor de sucesos

Datos de rendimiento de DHCP

El servicio DHCP incluye un conjunto de contadores de rendimiento que el administrador puede utilizar para supervisar diversas actividades del servidor.

! Número de concesiones renovadas durante un período

! Número de paquetes DHCPACK o DHCPNACK durante un período

! Cantidad de espacio en disco que utiliza la base de datos DHCP

! Número de conflictos de direcciones IP

! Consola Rendimiento

Para obtener más información acerca de cómo supervisar el rendimiento de un servidor mediante el Visor de sucesos, consulte el curso 2146A, Administración de un entorno Microsoft Windows Server 2003.

Ubicación de los datos de DHCP

Nota


Presentación multimedia: Creación de una línea de base para el rendimiento (Opcional)


Para ver la presentación multimedia Creación de una línea de base para el rendimiento, abra la página Web del disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.

Después de esta presentación, será capaz de:

! Explicar la finalidad de disponer de una base de rendimiento. ! Explicar que una base de rendimiento representa el nivel aceptable

de rendimiento del sistema. ! Explicar que el rendimiento del servidor es fundamental para la eficacia

de las operaciones de la red.

! Deberá tomar muestras de valores de los contadores entre cada 30 y 45 minutos durante una semana y durante operaciones de máxima actividad, baja actividad y actividad normal.

! Los pasos generales para crear una referencia son:

• Identificar los recursos

• Capturar datos

• Almacenar los datos


Objetivos

Puntos clave


! Los cuatro recursos principales del sistema para obtener una base de rendimiento son:

• Memoria

• Procesador

• Disco físico

• Red ! Un objeto de rendimiento está constituido por los datos que genera un

componente o recurso del sistema. Cada objeto de rendimiento proporciona contadores, que representan datos acerca de aspectos específicos del rendimiento del sistema.


Qué son las estadísticas de DHCP


Las estadísticas de DHCP representan las estadísticas recopiladas del servidor o de los ámbitos desde que se inició por última vez el servicio DHCP.

Las estadísticas proporcionan una vista en tiempo real que puede utilizarse para comprobar el estado del servidor o de los ámbitos DHCP. Estas estadísticas pueden corresponder a un ámbito concreto o al servidor; estas últimas muestran el total de todos los ámbitos que administra el servidor.

Definición

Finalidad de las estadísticas de DHCP


Mediante la consola DHCP puede ver las estadísticas de DHCP relativas a un servidor y a un ámbito, como se describe en la tabla siguiente.

Estadísticas de DHCP

Descripción

Estadísticas del servidor

Estadísticas de ámbitos

Hora de inicio Cuándo se ha iniciado el

servicio DHCP X

Tiempo activo Período en el que ha estado activo el servicio DHCP

X

Anuncios de presencia

Número de DHCPDISCOVER de clientes recibidas

X

Ofertas Número de DHCPOFFER de clientes enviadas

X

Peticiones Número de DHCPREQUEST de clientes recibidas

X

Confirmadas (acks)

Número de DHCPACK de clientes enviados

X

No confirmadas (nacks)

Número de DHCPNACK de clientes enviados

X

Ofertas declinadas Número de DHCPDECLINE de clientes recibidos

X

Devoluciones Número de DHCPRELEASE de clientes recibidas

X

Total de ámbitos Número total de ámbitos en el servidor DHCP

X

Total de direcciones

Número total de direcciones IP configuradas para clientes

X X

En uso Número de direcciones IP concedidas actualmente

X X

Disponible Número de direcciones IP disponibles para su concesión

X X

Estadísticas de ámbitos y del servidor DHCP


Cómo ver las estadísticas de DHCP


Puede ver las estadísticas de DHCP de servidores y ámbitos. Para consultar más fácilmente las estadísticas de DHCP, puede habilitar la actualización automática de las estadísticas del servidor DHCP, con lo que también habilitará la actualización automática de las estadísticas de los ámbitos DHCP.


Para habilitar la actualización automática de las estadísticas de DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha General, seleccione Actualizar estadísticas automáticamente

cada, configure los campos Horas y Minutos como corresponda y haga clic en Aceptar.

Para ver las estadísticas de un servidor DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Mostrar estadísticas.

Para ver las estadísticas de un ámbito DHCP:

1. En el árbol de la consola DHCP, seleccione el ámbito DHCP adecuado. 2. En el menú Acción, haga clic en Mostrar estadísticas.

Introducción

Nota

Procedimiento para habilitar la actualización automática de las estadísticas de DHCP

Procedimiento para ver las estadísticas de un servidor DHCP

Procedimiento para ver las estadísticas de un ámbito DHCP


Qué es un archivo de registro de auditoría de DHCP


Un archivo de registro de auditoría de DHCP es un registro de los sucesos relativos al servicio, como cuando:

! Se inicia y se detiene el servicio. ! Se han comprobado las autorizaciones. ! Se conceden, renuevan, liberan o deniegan direcciones IP.

Un registro de auditoría de DHCP proporciona al administrador una recopilación diaria de los sucesos de DHCP. Los registros de auditoría de DHCP ofrecen la información que puede ser necesaria para supervisar el servidor DHCP.

Estos registros pueden utilizarse para ver la actividad de un día específico o también pueden recopilarse para analizar la actividad del servidor DHCP en períodos más largos.

Los archivos de registro son archivos de texto delimitados con comas que contienen entradas de registro que representan una sola línea de texto. Un archivo de registro de auditoría de DHCP incluye estos campos:

Campos Descripción Id. Código de un identificador de suceso del servidor DHCP

Fecha Fecha en la que se registró esta entrada en el servidor DHCP

Hora Hora en la que se registró esta entrada en el servidor DHCP

Descripción Descripción de este suceso del servidor DHCP

Dirección IP Dirección IP del cliente DHCP

Nombre de host Nombre de host del cliente DHCP

Dirección MAC La dirección de control de acceso al medio que utiliza el hardware del adaptador de red del cliente

Definición

Finalidad de un registro de auditoría de DHCP

Archivo de registro de auditoría de DHCP


Los archivos de registro de auditoría de un servidor DHCP utilizan códigos de identificador de suceso reservados para proporcionar información del tipo de suceso o actividad registrada del servidor. En la tabla siguiente se describe más detalladamente una muestra de códigos comunes de identificadores de suceso.

Id. de suceso Descripción 00 Se inició el registro.

01 Se detuvo el registro.

02 Se pausó temporalmente el registro debido a la falta de espacio en disco.

10 Se concedió una nueva dirección IP a un cliente.

11 Un cliente renovó la concesión.

12 Un cliente liberó la concesión.

13 Se encontró una dirección IP en uso en la red.

14 No se pudo atender una solicitud de concesión debido a que se agotó el conjunto de direcciones del ámbito.

15 Se denegó una concesión.

20 Se concedió una dirección BOOTP (Protocolo de inicio) a un cliente.

Ejemplos de códigos comunes de identificadores de suceso




El registro de auditoría es la recopilación diaria de los sucesos de un servidor DHCP en archivos de registro.

El registro de los datos de un servidor DHCP permite recopilar información acerca de las operaciones del servicio Servidor DHCP en la red. Puede ver el archivo de registro de un día concreto para obtener información o puede recopilar archivos de registro de un servidor individual para analizar los datos del servidor correspondientes a períodos más largos. Esta información puede resultar útil a la hora de decidir si es necesario agregar más servidores DHCP.

El siguiente proceso describe cómo se inicia, realiza y finaliza el registro de auditoría durante un período de 24 horas.

1. Siempre que se inicia un servidor DHCP o que comienza un nuevo día (cuando la hora local del equipo es 12:00 a.m.), el servidor escribe un mensaje de encabezado en el archivo de registro de auditoría que indica el inicio del registro. Posteriormente, dependiendo de si el archivo de registro de auditoría es nuevo o existe, se producen las siguientes acciones:

• Si el archivo ya existe y no se ha modificado desde hace más de un día, se sobrescribirá.

• Si el archivo ya existe pero se ha modificado en las 24 horas anteriores, no se sobrescribirá. En su lugar, se anexa una nueva actividad de registro al final del archivo existente. Éste sería el caso si se reinició el sistema o el servicio Servidor DHCP.

Definición

Por qué se debe utilizar el registro de auditoría de DHCP



2. Después de iniciarse el registro de auditoría, el servidor DHCP realiza comprobaciones del disco a intervalos periódicos para asegurar la disponibilidad continua del espacio en disco del servidor y que el archivo de registro de auditoría actual no se vuelve demasiado grande ni crece demasiado rápido. El servidor DHCP realiza una comprobación total del disco si se cumple una de las siguientes condiciones:

• Se registra un número definido de sucesos del servidor. El número predeterminado de sucesos del servidor es 50.

• Cuando el equipo servidor llega a las 12:00 a.m. en su reloj local. Cada vez que se realiza una comprobación del disco, el servidor determina si está lleno. El disco se considera lleno si se cumple una de las siguientes condiciones:

• El espacio en disco del equipo servidor es menor que la cantidad mínima necesaria para el registro de auditoría de DHCP. De forma predeterminada, si la cantidad de espacio libre en el disco del servidor es inferior a 20 megabytes, el registro de auditoría se detiene.

• El archivo de registro de auditoría actual es mayor que una séptima (1/7) parte del espacio o tamaño máximo asignado para el total de todos los registros de auditoría almacenados actualmente en el servidor. El valor predeterminado del Registro es 70 MB, lo que significa que se interrumpirá el registro si el archivo de registro de auditoría actual supera los 10 MB.

En cualquier caso, si el disco está lleno, el servidor DHCP cerrará el archivo actual y pasará por alto las solicitudes posteriores de registro de sucesos de auditoría hasta las 12:00 a.m. o hasta que se mejore el estado del disco y éste ya no esté lleno. Aunque se pasen por alto los sucesos de auditoría registrados debido a que el disco está lleno, el servidor DHCP seguirá comprobando el disco cada 50 sucesos (o al intervalo establecido actualmente) para determinar si han mejorado las condiciones del disco. Si posteriores comprobaciones del disco determinan que está disponible la cantidad necesaria de espacio en el disco del equipo servidor, el servidor DHCP abrirá de nuevo el archivo de registro actual y reanudará el registro.

3. A las 12:00 a.m. (hora local) en el equipo servidor, el servidor DHCP cierra el registro existente y cambia al archivo de registro del siguiente día de la semana. Por ejemplo, si el día de la semana cambia a las 12:00 a.m. de miércoles a jueves, se cerrará el archivo de registro DhcpSrvLog-Wed y se abrirá el archivo DhcpSrvLog-Thu para el registro de sucesos.

Si desea mantener la información de registro de auditoría durante un período superior a una semana, deberá quitar los archivos de registro del directorio antes de que los sobrescriba el registro de auditoría de la semana siguiente.

Importante


Cómo supervisar el rendimiento de un servidor DHCP mediante el registro de auditoría de DHCP


El registro de auditoría de DHCP está habilitado de forma predeterminada. Puede configurar la ubicación de los archivos de registro. Puesto que el registro de auditoría de DHCP está habilitado de forma predeterminada, en cuanto se instala y configura DHCP pueden consultarse los registros de auditoría de DHCP con el fin de ver la información necesaria para supervisar el servidor DHCP.


Para habilitar y configurar el registro de auditoría de DHCP:

1. En el árbol de la consola DHCP, seleccione el servidor DHCP adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha General, compruebe que está seleccionada la opción Habilitar

la auditoría del registro DHCP. 4. En la ficha Opciones avanzadas, en el campo Ruta del archivo de

registro de auditoría escriba la ruta de acceso del archivo de registro de auditoría apropiada y haga clic en Aceptar.

5. En el cuadro de diálogo DHCP, haga clic en Sí para detener y luego reiniciar el servicio.

Introducción

Nota

Procedimiento para habilitar y configurar el registro de auditoría de DHCP


Para ver el registro de auditoría de DHCP:

! En el Explorador de Windows, vaya al directorio donde se almacenan los archivos de registro de auditoría y haga doble clic en el que corresponda.

De forma predeterminada, el servicio DHCP almacena los registros de auditoría en la carpeta %Systemroot%\System32\Dhcp. Un archivo de registro de auditoría contiene los identificadores de suceso y su significado. Los registros de auditoría tienen el nombre DhcpSrvLog-día.log, donde día es la abreviatura de tres letras correspondiente al día de la semana. Por ejemplo, el registro de auditoría del miércoles sería DhcpSrvLog-Wed.log.

Procedimiento para ver el registro de auditoría de DHCP

Nota




Uno de los objetivos principales de supervisar el rendimiento del servidor DHCP es diagnosticar los problemas antes de que impidan a los clientes obtener concesiones de DHCP. Por ejemplo, si la implementación de DHCP no funciona correctamente, es posible que no se puedan renovar las concesiones de los clientes, lo que impediría que el cliente hiciera uso de la red.

Tenga en cuenta las siguientes directrices al supervisar el rendimiento de un servidor DHCP:

! Cree una referencia de datos de rendimiento en el servidor DHCP. Puede comparar la referencia con los contadores que indiquen si el servidor que aloja DHCP está sobrecargado o si la red no está enviando las solicitudes DHCP al servidor.

! Compruebe los contadores estándar de rendimiento del servidor (como la utilización del procesador, la paginación, el rendimiento del disco y la utilización de la red). Como DHCP a menudo se instala en un servidor que también aloja otros servicios o aplicaciones, es importante conocer la carga total de aplicaciones y servicios en el servidor, y cómo esta carga puede afectar al funcionamiento del servicio Servidor DHCP.

! Revise los contadores del servidor DHCP (por ejemplo, el correspondiente a las confirmaciones por segundo) en busca de aumentos o reducciones significativos que indiquen un cambio en el tráfico DHCP. Un aumento repentino de la actividad podría deberse a la adición de nuevos clientes DHCP o podría reflejar una reducción de la concesión DHCP. Una reducción repentina de la actividad podría indicar un alargamiento de la concesión DHCP, un error de transmisión de solicitudes DHCP en la red o un error de procesamiento de las solicitudes en el servidor DHCP.

Finalidad de la supervisión del rendimiento de un servidor DHCP



Contadores de rendimiento comunes para supervisar el rendimiento de un servidor DHCP


Hay una utilidad administrativa, la consola Rendimiento, que permite supervisar el rendimiento del servidor DHCP. Cuando se abre la consola Rendimiento, se muestra el árbol con dos nodos. El primer nodo es Monitor de sistema y el segundo es Registros y alertas de rendimiento.

El Monitor de sistema es donde puede agregar contadores y objetos de rendimiento a cualquiera de las tres vistas gráficas: gráfico, histograma e informe. También puede ver los datos registrados. Si agrega un contador que tiene más de una instancia, puede seleccionarla.

En el Monitor de sistema, un objeto de rendimiento es un conjunto lógico de contadores asociado a un recurso o servicio que se puede supervisar.

En el Monitor de sistema, un contador de rendimiento es un elemento de datos asociado a un objeto de rendimiento. Para cada contador seleccionado, el Monitor de sistema muestra un valor correspondiente a un aspecto concreto del rendimiento definido para el objeto de rendimiento.

En el Monitor de sistema, una instancia de objeto de rendimiento es un término que permite distinguir entre varios objetos de rendimiento del mismo tipo en un equipo.

Consola Rendimiento

Definiciones


En la tabla siguiente se ofrece una muestra de contadores de rendimiento comunes, junto con una explicación del significado y las consecuencias de los datos. (El objeto de rendimiento es el servidor DHCP.)

Contadores de rendimiento

Datos recopilados

Significado de los datos

Qué buscar una vez establecida una referencia

Packets received/second (Paquetes recibidos/seg.)

Número de paquetes de mensajes que recibe el servidor DHCP por segundo.

Un número alto indica que hay mucho tráfico de mensajes relativos a DHCP en el servidor.

Monitorizar los aumentos o reducciones repentinos que podrían indicar problemas en la red.

Requests/second (Solicitudes/segundo)

Número de mensajes de solicitud DHCP por parte de clientes que recibe el servidor DHCP por segundo.

Un aumento repentino o anormal de este número señala una gran cantidad de clientes que intentan renovar sus concesiones con el servidor DHCP. Esto puede indicar que la duración de las concesiones en ámbitos es demasiado corta.

Monitorizar los aumentos o reducciones repentinos que podrían indicar problemas en la red.

Active queue length (Longitud de la cola activa)

Longitud actual de la cola de mensajes interna del servidor DHCP. Este número equivale al número de mensajes sin procesar que recibe el servidor.

Un número alto puede indicar que el servidor DHCP no puede mantener la carga de solicitudes realizadas.

Monitorizar los aumentos repentinos y graduales que podrían indicar una carga mayor o una capacidad menor del servidor.

Duplicates dropped/second (Duplicados eliminados/segundo)

Número de paquetes duplicados que elimina el servidor DHCP por segundo.

Este número puede verse afectado si varios Agentes de retransmisión DHCP o interfaces de red reenvían el mismo paquete al servidor. Un número alto indica que el servidor no responde con la suficiente rapidez o que el umbral de inicio del agente de retransmisión tiene un valor demasiado bajo.

Monitorizar en este contador alguna actividad que pueda indicar la transmisión de más de una solicitud en nombre de clientes.

Contadores de rendimiento comunes


Directrices para crear alertas de un servidor DHCP


Una alerta es una característica que detecta cuándo el valor predefinido de un contador es inferior o superior a un valor especificado. El valor especificado del contador se denomina umbral de alerta.

Los contadores disponibles para el objeto de rendimiento del servidor DHCP también están disponibles para crear alertas. Si conoce el nivel aceptable con respecto al que puede oscilar hacia arriba o hacia abajo el valor de un contador antes de producirse un problema, puede crear una alerta que le informe de dicha variación y que ejecute un programa o una secuencia de comandos.

Se recomienda seguir las directrices siguientes al crear alertas para un servidor DHCP:

! Antes de crear una alerta, defina el nivel aceptable con respecto al que puede oscilar el valor de un contador de DHCP.

• Para ello, se puede registrar el contador de DHCP durante un período para crear una referencia. Con esta referencia puede averiguar el intervalo de funcionamiento normal de un contador de DHCP y crear después alertas que le informen cuando la actividad para dicho contador se encuentre fuera de este intervalo.

! Use secuencias de comandos con las alertas.

• Utilice comandos de Netshell DHCP en una secuencia de comandos para responder a la alerta.

Definición

Por qué se deben crear alertas para un servidor DHCP

Directrices para crear alertas en un servidor DHCP


Ha estado supervisando la actividad de un servidor DHCP mediante el Monitor de sistema. Ha consultado el siguiente contador:

! Discover/sec (Descubrimientos/seg). El número de mensajes de descubrimientos de DHCP (DHCPDISCOVER) que ha recibido el servidor por segundo. Los clientes envían estos mensajes cuando inician una sesión en la red y obtienen una nueva concesión de dirección. Una reducción repentina o anormal del número de solicitudes DHCP por segundo podría indicar que un enrutador o un Agente de retransmisión DHCP ha dejado de reenviar paquetes DHCP y que, por tanto, pronto caducarán las concesiones de los clientes. Con una alerta que le informe de esta condición podrá prevenir el problema y diagnosticarlo antes de que comiencen a caducar las concesiones de direcciones IP.

Ejemplo de la aplicación de directrices


Ejercicio: Supervisar DHCP


En este ejercicio, supervisará el rendimiento de un servidor DHCP mediante la consola Rendimiento. Tendrá la oportunidad de supervisar un servidor DHCP en tiempo real y crear una alerta.



Se han quitado muchos equipos del departamento de laboratorio. Algunos de los equipos cliente que quedan están experimentando conflictos con las direcciones IP y otros no pueden conseguir la concesión de direcciones IP por parte del servidor DHCP.

El ingeniero de sistemas ha diseñado una estrategia de registro de auditoría del servidor DHCP. Habilitará y configurará el registro de auditoría del servidor DHCP y después consultará los registros de auditoría en busca de errores relativos a concesiones a clientes DHCP.

! Habilitar y configurar el registro de auditoría de DHCP

! Complete esta tarea desde los equipos de ambos alumnos. ! Ruta del archivo de registro de auditoría:

C:\Moc\2184\Labfiles\Lab03\Audit

! Renovar la concesión de la dirección IP del cliente DHCP

! Realice esta tarea desde el equipo del alumno que tenga el número de identificación más alto.

! En el equipo cliente DHCP, en el símbolo del sistema, utilice el comando ipconfig para liberar y después renovar la dirección IP.

Objetivo

Instrucciones


Ejercicio: Habilitar y configurar el registro de auditoría de DHCP


! Ver el registro de auditoría de DHCP

! Complete esta tarea desde el equipo del alumno con el número de identificación más bajo.

! Vaya a C:\Moc\2184\Labfiles\Lab03\Audit. ! Consulte el archivo de registro de hoy y responda a la siguiente pregunta:

• ¿Cuál es la marca de fecha y hora de la última concesión asignada? _________

Se han agregado nuevos equipos cliente al departamento de laboratorio. El ingeniero de sistemas desea que compare el número de direcciones IP concedidas actualmente según se indica en el servidor DHCP del departamento de laboratorio con el número de direcciones IP concedidas actualmente según se indica en el Plan de implementación. Consultará las estadísticas del servidor DHCP para comprobar el número de direcciones IP concedidas actualmente.

! Habilitar la actualización automática de las estadísticas de DHCP


! Configure las estadísticas para que se actualicen automáticamente cada minuto.

! Ver las estadísticas de un servidor DHCP


! Consulte las estadísticas y responda a las siguientes preguntas:

• ¿Cuánto tiempo se ha estado ejecutando el servidor DHCP? ________

• ¿Cuántas direcciones se están utilizando? _________

• ¿Cuántas direcciones están disponibles? ___________

Ha recibido algunas llamadas de los administradores del departamento de soporte debido a que algunos clientes DHCP no han recibido direcciones IP. Va a recopilar datos de DHCP con el fin de analizarlos. Creará un registro de datos de DHCP mediante la consola Rendimiento, el objeto del servidor DHCP y los contadores.


Ejercicio: Habilitar la actualización automática de las estadísticas de DHCP



! Configurar el Monitor de sistema para recopilar datos de un servidor DHCP en tiempo real

! Complete esta tarea desde los equipos de ambos alumnos. 1. Abra la consola Rendimiento. 2. Elimine los contadores de la vista predeterminada Monitor de sistema. 3. Agregue los siguientes contadores desde el objeto de rendimiento Servidor

DHCP a la vista Monitor de sistema:

• Recs/s

• Descubrimientos/s

• Ofertas/s

• Paquetes recibidos/s

• Liberaciones/s 4. En el cuadro de diálogo Propiedades de Monitor de sistema, en la ficha

Gráfico, en el campo Máximo de Escala vertical, escriba 5 y haga clic en Aceptar.

No cierre la consola Rendimiento hasta que no haya creado un gráfico y una alerta, y haya guardado la consola.

! Crear una alerta

! Complete esta tarea desde los equipos de ambos alumnos. 1. En la consola Rendimiento, seleccione Alertas en Registros y alertas

de rendimiento. 2. En el menú Acción, haga clic en Nueva configuración de alerta. 3. En el cuadro de diálogo Nueva configuración de alerta, escriba Alerta

de renovación de DHCP y haga clic en Aceptar. 4. En el cuadro de diálogo Alerta de renovación de DHCP, en el campo

Comentario de la ficha General, escriba Alertar cuando el cliente DHCP renueve la concesión de IP y, a continuación, haga clic en Agregar.

5. En el cuadro de diálogo Agregar contadores, en el campo Objeto de rendimiento, seleccione Servidor de DHCP, agregue el contador Recs/s. y, a continuación, haga clic en Cerrar.

6. En el cuadro de diálogo Alerta de renovación de DHCP, en el campo Límite de la ficha General, escriba 1

7. En el cuadro de diálogo Alerta de renovación de DHCP, en el campo Intervalo de la ficha General, escriba 1

8. En el campo Ejecutar como, escriba NombreDeEquipoAdmin y haga clic en Establecer contraseña.

9. En el cuadro de diálogo Establecer contraseña, escriba P@ssw0rd en los campos Contraseña y Confirmar contraseña, y haga clic en Aceptar.

Ejercicio: Configurar el Monitor de sistema para recopilar datos de un servidor DHCP en tiempo real

Importante


10. En la ficha Acción, seleccione Enviar un mensaje de red a y escriba NombreDeEquipoUser.

11. En la ficha Programación, compruebe que está seleccionada la opción Manualmente (usando el menú contextual) en Iniciar detección y haga clic en Aceptar.

12. Guarde la consola Rendimiento como DHCP y después guárdela en el escritorio de la carpeta All Users.

13. Minimice la consola Rendimiento. La utilizará en la práctica.

! Configurar el inicio del servicio Messenger

! Complete esta tarea desde los equipos de ambos alumnos. 1. En la herramienta administrativa Servicios, configure el servicio Messenger

para que se inicie automáticamente. 2. En la herramienta administrativa Servicios, inicie el servicio Messenger.


Lección: Aplicar directrices de seguridad para DHCP


Es importante aplicar las prácticas recomendadas de seguridad cuando se utilicen servidores DHCP en la red. En esta lección se tratan problemas de seguridad conocidos de DHCP y de otros protocolos relacionados.


! Aplicar directrices para impedir que un usuario no autorizado obtenga una concesión.

! Aplicar directrices para impedir que un servidor DHCP no autorizado y que no es de Microsoft conceda direcciones IP a clientes DHCP.

! Aplicar directrices para restringir quién puede administrar el servicio DHCP.

! Aplicar directrices para proteger la base de datos DHCP.

Introducción



Directrices para impedir que usuarios no autorizados obtengan concesiones


Cuando un usuario se conecta a la red, no se le exige que proporcione las credenciales para obtener una concesión. Por tanto, un usuario no autenticado puede obtener una concesión para cualquier cliente DHCP siempre que esté disponible un servidor DHCP para proporcionarla.

Usuarios malintencionados con acceso físico a la red donde se usa DHCP pueden provocar un ataque de denegación de servicio en servidores DHCP solicitando muchas concesiones del servidor y agotando así el número de concesiones disponibles para otros clientes DHCP.

Las directrices para impedir que un usuario no autorizado obtenga una concesión son las siguientes:

! Compruebe que no hay personas no autorizadas con acceso físico o inalámbrico a la red.

! Habilite el registro de auditoría de cada servidor DHCP de la red. ! Compruebe con regularidad los archivos de registro de auditoría y

supervíselos cuando el servidor DHCP reciba un número anormalmente alto de solicitudes de concesiones por parte de clientes.

! Utilice puntos de acceso inalámbrico o conmutadores de red de área local (LAN) compatibles con 802.1X para el acceso a la red.

• Cuando los clientes que ejecutan Microsoft Windows XP utilizan puntos de acceso inalámbrico o conmutadores LAN compatibles con 802.1X para el acceso a la red, la autenticación se produce antes de que el servidor DHCP asigne una concesión, proporcionándose así una mayor seguridad para DHCP.

Propósito

Directrices


Cuando el servidor DHCP se configura para actuar como servidor proxy del Sistema de nombres de dominio (DNS) para clientes DHCP y para realizar actualizaciones dinámicas de DNS, un usuario malintencionado puede provocar un ataque de denegación de servicio contra el servidor DHCP y contra el servidor DNS inundando el servidor DHCP con solicitudes de concesiones.

Para obtener más información acerca de cómo identificar un ataque de denegación de servicio, consulte la documentación de Ayuda de Windows Server 2003.

Las directrices para impedir que un usuario no autorizado obtenga una concesión a través del servidor DHCP son las siguientes:

! Compruebe que no hay personas no autorizadas con acceso físico o inalámbrico a la red.

! Utilice los registros de auditoría de DHCP, que se encuentran de forma predeterminada en %Systemroot%\System32\Dhcp, para supervisar las actualizaciones dinámicas de DNS que realiza el servidor DHCP. La dirección IP del cliente DHCP está incluida en el registro de auditoría de DHCP, lo que permite localizar el origen del ataque de denegación de servicio.

Para obtener más información, consulte la sección que trata el análisis de los archivos de registro del servidor y del registro de la auditoría en la documentación de Ayuda de Windows Server 2003.

Ataques de denegación de servicio contra el servidor DNS a través del servidor DHCP

Nota

Nota


Directrices para impedir que servidores DHCP no autorizados y que no son de Microsoft concedan direcciones IP


Sólo los servidores DHCP que ejecutan Windows 2000 o Windows Server 2003 se pueden autorizar en el servicio de directorio Active Directory®. Si un servidor DHCP que ejecuta Windows 2000 o Windows Server 2003 descubre que no está autorizado en Active Directory, dejará de atender a los clientes DHCP. Debido a este error de autorización, si un usuario malintencionado o incompetente instala un servidor DHCP no autorizado que ejecuta Windows 2000 o Windows Server 2003 en la red de la organización, el servidor no podrá asignar concesiones incorrectas o en conflicto, configurar clientes DHCP con opciones inadecuadas ni interrumpir servicios de red.

El software de los servidores DHCP que no son de Microsoft no contiene la característica de autorización incluida en DHCP para Windows 2000 y Windows Server 2003. Como los clientes DHCP difunden los mensajes DHCPDISCOVER al servidor DHCP más cercano, si un usuario malintencionado instala un servidor DHCP que no es de Microsoft en la red de la organización, los clientes DHCP cercanos recibirán concesiones incorrectas que podrían causar conflictos con las direcciones IP asignadas a otros clientes DHCP de la red. Además, el servidor DHCP que no es de Microsoft puede configurar clientes DHCP que obtengan concesiones a través de él con información de opciones incorrecta. De este modo se puede cambiar el enrutamiento del tráfico de la red y hacer que no funcione correctamente.

Para impedir que servidores DHCP no autorizados y que no son de Microsoft concedan direcciones IP, asegúrese de que las personas no autorizadas no tienen acceso físico ni inalámbrico a la red.

Servidor DHCP de Microsoft

Servidor DHCP que no es de Microsoft no autorizado

Directriz


Directrices para restringir quién puede administrar el servicio DHCP


Debe ser miembro del grupo Administradores o del grupo Administradores de DHCP para administrar servidores DHCP mediante la consola DHCP o los comandos de Netsh para DHCP. Además, de forma predeterminada, sólo los miembros del grupo Administradores de organización pueden autorizar o desautorizar los servidores DHCP en Active Directory. Los miembros de este grupo también pueden delegar el derecho a autorizar servidores DHCP en otros principales de seguridad.

Cuando se instala el servicio Servidor DHCP en un servidor miembro o un servidor independiente, se crean dos grupos locales: Usuarios de DHCP y Administradores de DHCP. Cuando se instala el servicio Servidor DHCP en un controlador de dominio, los dos grupos se crean como grupos locales del dominio. Los grupos creados no tienen miembros, ni tampoco son miembros de otros grupos; para que tengan valor, debe agregarles miembros.

Los miembros del grupo Usuarios de DHCP tienen acceso de sólo lectura a la consola DHCP en el servidor, que les permite ver, pero no modificar, datos del servidor DHCP, incluida la configuración del servidor, claves del Registro, archivos de registro DHCP y la base de datos DHCP. Los miembros del grupo Usuarios de DHCP no pueden crear ámbitos, modificar valores de opciones, crear reservas o intervalos de exclusión, ni modificar de ninguna otra manera la configuración del servidor DHCP.

Introducción

Usuarios de DHCP


Los miembros del grupo Administradores de DHCP pueden ver y modificar cualquier información del servicio DHCP. Los administradores de DHCP pueden crear y eliminar ámbitos, agregar reservas, cambiar valores de opciones, crear superámbitos o realizar cualquier otra actividad necesaria para administrar el servidor DHCP, incluidas la exportación e importación de la configuración del servidor DHCP y la base de datos DHCP. Los administradores de DHCP realizan estas tareas mediante los comandos de Netsh para DHCP o la consola DHCP. Para obtener más información, consulte la sección acerca de las herramientas DHCP en la documentación de Ayuda de Windows Server 2003.

Los miembros del grupo Administradores de DHCP no tienen derechos administrativos ilimitados. Por ejemplo, si un servidor DHCP también está configurado como servidor DNS, un miembro del grupo Administradores de DHCP puede ver y modificar la configuración de DHCP, pero no puede modificar la configuración del servidor DNS en el mismo equipo.

Puesto que los miembros del grupo local Administradores de DHCP tienen derechos sólo sobre el equipo local, no pueden autorizar ni desautorizar servidores DHCP en Active Directory. Únicamente los miembros del grupo Administradores de organización o aquéllos en los que éstos deleguen pueden realizar esta tarea. Si desea autorizar o desautorizar un servidor DHCP en un dominio secundario, debe tener las credenciales de administrador de organización para el dominio primario. Para obtener más información acerca de cómo autorizar servidores DHCP en Active Directory, consulte la sección correspondiente en la documentación de Ayuda de Windows Server 2003.

Pueden utilizarse grupos para administrar los servidores DHCP de un dominio. Cuando se agrega un usuario o grupo al grupo Usuarios de DHCP o Administradores de DHCP en un servidor DHCP, los derechos de los miembros de estos grupos no son aplicables a todos los servidores DHCP del dominio. Los derechos corresponden únicamente al servicio DHCP en el equipo local. Para asignar derechos a un usuario o grupo sobre todos los servidores DHCP del dominio, puede agregarlo al grupo Administradores de DHCP en cada servidor DHCP del dominio.

Para obtener más información acerca de cómo delegar la administración, consulte la sección que trata la delegación de la capacidad de autorizar servidores DHCP en un administrador que no sea de la empresa, en la documentación de Ayuda de Windows Server 2003.

Las directrices para restringir quién puede administrar el servicio DHCP son las siguientes:

! Restrinja la pertenencia al grupo Administradores de DHCP al número mínimo de usuarios necesarios para administrar el servicio DHCP en ese equipo.

! Si hay usuarios que necesitan el acceso de sólo lectura a la consola DHCP, agréguelos al grupo Usuarios de DHCP y no al grupo Administradores de DHCP.

Para obtener más información, consulte la sección acerca de los grupos DHCP en la documentación de Ayuda de Windows Server 2003.

Administradores de DHCP

Administrar servidores DHCP de un dominio

Nota

Directrices

Nota


Directrices para proteger la base de datos DHCP


Los permisos predeterminados para la carpeta de DHCP limitan el acceso a los archivos de la base de datos y los archivos de auditoría sólo a usuarios autorizados. Cambie estos permisos predeterminados según sea necesario para proporcionar acceso a los archivos a aquellas personas que vayan a realizar tareas administrativas (como el análisis y la copia de seguridad de los archivos de registro del servidor DHCP).

Para obtener más información acerca de cómo analizar los registros de servidores DHCP, consulte la sección referente a la administración de servidores DHCP en la documentación de Ayuda de Windows Server 2003.

Los permisos predeterminados para %Systemroot%\System32\Dhcp son los siguientes:

! Administradores: Control total ! Creador/Propietario: Control total ! Usuarios avanzados: Leer y ejecutar ! Usuarios autenticados: Leer y ejecutar ! Sistema: Control total

Si el servicio Servidor DHCP se instala en un controlador de dominio, el grupo local Usuarios avanzados se reemplaza por el grupo global Operadores de servidores.

Propósito

Nota

Permisos predeterminados

Nota


Para proteger aún más la base de datos DHCP, aplique las siguientes directrices:

! Considere la posibilidad de cambiar los permisos predeterminados para la carpeta de DHCP.

! Proporcione únicamente los permisos mínimos necesarios para que los usuarios puedan realizar sus tareas.

! Proporcione permisos de lectura a los usuarios responsables del análisis de los archivos de registro del servidor DHCP.

! Quite los grupos Usuarios autenticados y Usuarios avanzados para reducir el acceso a los archivos de la carpeta de DHCP.

No cambie los permisos para los grupos Sistema o Administradores. La modificación de los permisos predeterminados puede causar un funcionamiento incorrecto del servidor DHCP e impedir que los administradores puedan realizar las tareas de mantenimiento de DHCP, como la copia de seguridad de la base de datos.

Directrices

Importante


Práctica A: Administrar y supervisar DHCP


En esta práctica, administrará y supervisará DHCP.

Objetivos



Ejercicio 1 Administrar y supervisar DHCP En este ejercicio, administrará y supervisará DHCP.

Instrucciones Para completar la práctica, remítase al documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo.

Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar las tareas. Al realizar la práctica, suponga que va a iniciar una sesión con una cuenta no administrativa (por ejemplo, NombreDeEquipoUser), a menos que se indique lo contrario en las instrucciones concretas de la práctica.

Situación de ejemplo Parece que se ha producido un aumento del tráfico TCP/IP en la red. Va a utilizar la consola Rendimiento que creó anteriormente para comprobar si el aumento se debe al tráfico TCP/IP de DHCP. Ejecutará una secuencia de comandos para generar tráfico IP y, a continuación, utilizará la consola Rendimiento y la alerta que creó para comprobar la configuración de DHCP.


Realice las tareas siguientes sólo en el equipo del alumno que tenga el número de identificación más bajo.

1. Inicie manualmente la alerta de renovación de DHCP.

" Cambie al Monitor de sistema y, en la consola Rendimiento, seleccione Alertas e inicie manualmente la Alerta de renovación de DHCP.

2. Seleccione la vista Monitor de sistema.

" En la consola Rendimiento, seleccione la vista Monitor de sistema.


3. Utilice el comando ipconfig para generar tráfico DHCP mediante la liberación y la renovación de la dirección IP del cliente.

" En el equipo cliente, en el símbolo del sistema, utilice el comando ipconfig para liberar y renovar la dirección IP del cliente tres veces.


4. Compruebe que el mensaje de alerta de DHCP se muestra en el servidor donde ha iniciado la sesión.

a. En el equipo servidor, registre el texto que aparece en el cuadro de diálogo Alerta de rendimiento.

b. Texto de Alerta de rendimiento:_________________________

c. Cierre el cuadro de diálogo Alerta de rendimiento.

d. Detenga la Alerta de renovación de DHCP.




5. Vea los datos capturados de los contadores de DHCP en el Monitor de sistema y registre la información.

a. En el equipo servidor, detenga el gráfico Monitor de sistema en la consola Rendimiento.

b. Registre los valores de los contadores disponibles en el gráfico Monitor de sistema.

• Recs/s ___________________

• Descubrimientos/s ___________________

• Ofertas/s ___________________

• Paquetes recibidos/s ___________________

• Liberaciones/s ___________________


6. Cierre la consola Rendimiento.

" En el equipo servidor, cierre la consola Rendimiento.


7. Configure la Conexión de red del asociado para que utilice la dirección IP de su Conexión de red del asociado.

" Establezca la configuración TCP/IP de la Conexión de red del asociado para que utilice la siguiente información de dirección IP:

• Dirección IP: la correspondiente a la Conexión de red del asociado

• Máscara de subred: 255.255.255.0

Contenido

Introducción 1

Presentación multimedia: Proceso de resolución de nombres 2

Lección: Ver los nombres en un cliente 3

Lección: Configurar la resolución de nombres de host 14

Lección: Configurar la resolución de nombres NetBIOS 25

Práctica A: Resolución de nombres 38

Módulo 4: Resolución de nombres

Módulo 4: Resolución de nombres iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para resolver nombres.


! Describir el proceso de resolución de nombres. ! Ver los nombres en un cliente. ! Configurar la resolución de nombres de host. ! Configurar la resolución de nombres del Sistema básico de entrada/salida

de red (NetBIOS, Network Basic Input/Output System). ! Resolver nombres.


! Archivo 2184A_04.ppt de Microsoft® PowerPoint®. ! El documento Valores del plan de implementación que se encuentra

en el apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Proceso de resolución de nombres.



! Leer todo el material del mismo. ! Completar todos los ejercicios y la práctica. ! Demostrar todos los procedimientos de las páginas de instrucciones. ! Repasar la presentación multimedia Proceso de resolución de nombres. ! Repasar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 1 hora 45 minutos Práctica: 15 minutos

Material necesario

Importante


iv Módulo 4: Resolución de nombres


Páginas de instrucciones, ejercicios y prácticas Explique a los alumnos el diseño para este curso de las páginas de instrucciones (�Cómo...�), los ejercicios y las prácticas. Un módulo incluye dos lecciones o más. La mayor parte de las lecciones incluyen páginas de instrucciones y un ejercicio. Una vez que los alumnos completen las lecciones, el módulo finaliza con una práctica.


Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones. En las demostraciones que no son obligatorias, puede usar los equipos London o Glasgow. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.



Mediante situaciones de ejemplo que tienen que ver con la función de trabajo, la práctica permite proporcionar a los alumnos un conjunto de instrucciones en una tabla de dos columnas. La columna de la izquierda indica la tarea que deben realizar (por ejemplo, Cree un grupo). En la columna de la derecha se especifican instrucciones concretas que los alumnos tendrán que seguir para llevar a cabo la tarea (por ejemplo, En Usuarios y equipos de Active Directory®, haga doble clic en el nodo de dominio).



Importante

Ejercicios

Prácticas

Módulo 4: Resolución de nombres v

Presentación multimedia: Proceso de resolución de nombres En esta sección se describen métodos didácticos para impartir esta lección:


! Explique que esta presentación multimedia ofrece una introducción visual avanzada al proceso de resolución de nombres. Los detalles de la resolución de nombres se proporcionan en el tema y en las páginas de instrucciones.

! El tiempo previsto para la presentación multimedia es de 5 minutos.

Lección: Ver los nombres en un cliente En esta sección se describen métodos para impartir esta lección.

! Defina la resolución de nombres y el servicio de resolución de nombres. ! Con ayuda de la diapositiva, describa cómo se asigna una dirección IP

a un nombre. ! Explique las características de la resolución de nombres.

! Defina los conceptos de nombre, nombre de host y nombre de dominio

completo (FQDN, Fully Qualified Domain Name). ! Explique el propósito de los nombres de host. ! Con ayuda de la diapositiva, describa cómo se usan los nombres de host

con los sufijos del Sistema de nombres de dominio (DNS, Domain Name System) para crear un nombre de dominio completo.

! Explique las características de un nombre de host. ! Proporcione ejemplos de nombres de host, sufijos DNS y nombres

de dominio completos. ! Explique que el punto (.) final de un nombre de dominio completo

representa la ubicación raíz en el árbol y su uso en la práctica no es obligatorio ni habitual.

! Defina los nombres NetBIOS. ! Explique el propósito de los nombres NetBIOS. ! Explique las características de los nombres NetBIOS. ! Proporcione ejemplos de nombres NetBIOS.

! Demuestre cómo ver los nombres de host y los sufijos DNS mediante

la utilidad Ipconfig. ! Demuestre cómo ver los nombres de host mediante Propiedades del sistema. ! Demuestre cómo ver los nombres NetBIOS mediante el comando Nbtstat. ! Demuestre cómo ver el nombre NetBIOS de los equipos mediante

Propiedades del sistema. ! Demuestre cómo cambiar el nombre de un equipo.

Cómo se asigna una dirección IP a un nombre

Qué es un nombre de host

Qué es un nombre NetBIOS

Cómo ver los nombres en un cliente

vi Módulo 4: Resolución de nombres



• Ver el nombre de host y el sufijo DNS principal mediante el comando Ipconfig.

• Ver el nombre NetBIOS de su servidor mediante el comando Nbtstat.

• Ver el nombre NetBIOS del equipo de su compañero mediante su dirección IP y el comando Nbtstat.

• El propósito de registrar los resultados es proporcionar un contexto para que el alumno practique estas tareas.

! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y comente sus resultados.

Lección: Configurar la resolución de nombres de host En esta sección se describen métodos para impartir esta lección.

! Defina la resolución de nombres de host. ! Describa cómo se resuelven los nombres de host en direcciones IP. ! Explique brevemente los métodos estándar para realizar la resolución

de nombres de host.

• Esta lección incluye temas detallados que tratan cada uno de los métodos estándar.

Los administradores de sistemas pueden emplear una parte significativa de su tiempo en comprobar que el proceso de resolución de hosts funciona correctamente. Asegúrese de hacer hincapié en la importancia de este proceso.

! Defina las entradas de la caché de resolución del cliente y de la caché

de referencias no encontradas. ! Explique el propósito de la caché de resolución del cliente. ! Explique el propósito de la caché de referencias no encontradas. ! Explique los orígenes de información para la caché de resolución

del cliente. ! Comente las características de la caché de resolución del cliente, incluido

el período de vida (TTL, Time To Live). ! Proporcione ejemplos de la caché de resolución del cliente.

• En la diapositiva se ofrece un ejemplo que ilustra los resultados del comando ipconfig /displaydns.

Ejercicio: Ver los nombres en un cliente

El proceso de resolución de nombres de host

Nota

Caché de resolución del cliente

Módulo 4: Resolución de nombres vii

! Demuestre cómo mostrar una caché de resolución del cliente mediante el comando ipconfig.

! Explique el propósito del comando ipconfig /flushdns. ! Demuestre cómo vaciar una caché de resolución del cliente mediante

el comando ipconfig /flushdns.

! Defina el archivo Hosts. ! Explique el propósito de los archivos Hosts. ! Explique las características de los archivos Hosts. ! Proporcione ejemplos de archivos Hosts.

• En la diapositiva se ofrece un ejemplo que ilustra el contenido del archivo Hosts de muestra que puede encontrarse en la carpeta %Systemroot%\System32\Drivers\Etc\ y se denomina Hosts.

! Explique a los alumnos que deben cambiar el nombre del archivo Hosts.txt

por Hosts.

• Explique el propósito del cambio de nombre del archivo. ! Demuestre cómo cargar de antemano una caché de resolución del cliente

mediante un archivo Hosts.




• Vaciar la caché de resolución del cliente.

• Cargar de antemano la caché de resolución del cliente.

• Comprobar que la entrada que el alumno ha agregado aparece ahora en la caché de resolución del cliente.


Cómo ver y vaciar la caché de resolución del cliente

Archivo Hosts

Cómo cargar de antemano una caché de resolución del cliente mediante un archivo Hosts

Ejercicio: Configurar la resolución de nombres de host

viii Módulo 4: Resolución de nombres

Lección: Configurar la resolución de nombres NetBIOS En esta sección se describen métodos para impartir esta lección.

! Defina la resolución de nombres NetBIOS. ! Refiérase a la diapositiva para describir la forma en que los nombres

NetBIOS se resuelven en direcciones IP.

• En la diapositiva se ilustra el orden predeterminado de los métodos de resolución, con el que se configura un cliente para consultar un servidor del Servicio de nombres Internet de Windows® (WINS, Windows Internet Name Service) y usar una búsqueda en el archivo Lmhosts. La secuencia de estos métodos de resolución se puede configurar en función de varias condiciones de cada entorno único.

! Describa brevemente los métodos para realizar la resolución de nombres NetBIOS.

• Esta lección incluye temas detallados que tratan cada uno de los métodos.

! Defina la caché de nombres NetBIOS. ! Explique el propósito de la caché de nombres NetBIOS. ! Explique las características de la caché de nombres NetBIOS, incluidos

el tipo de nombre NetBIOS y el período de vida (o duración). ! Proporcione ejemplos de la caché de nombres NetBIOS.

• En la diapositiva se ofrece un ejemplo que ilustra el nombre, tipo, host, dirección y duración (en segundos).

! Explique el propósito de la utilidad Nbtstat. ! Demuestre cómo ver el contenido de la caché de nombres NetBIOS

del equipo local. ! Demuestre cómo liberar la caché de nombres NetBIOS y volver a cargar

las entradas con etiqueta #PRE en el archivo Lmhosts local. ! Demuestre cómo mostrar y ver la tabla de nombres NetBIOS del

equipo local.

! Defina las difusiones locales. ! Explique el propósito de las difusiones. ! Explique sus características. ! Proporcione ejemplos de difusiones.

• En la diapositiva se ofrece un ejemplo que ilustra cómo se envía una difusión local y se responde a ella, y cómo no pasa a través del enrutador a un recurso de una red remota.

! Pregunte a los alumnos por qué hoy no se suelen usar las difusiones.

• Entre las respuestas puede hallarse que genera demasiado tráfico.

Proceso de resolución de nombres NetBIOS

Caché de nombres NetBIOS

Cómo ver y liberar la caché de nombres NetBIOS

Difusiones

Módulo 4: Resolución de nombres ix

! Defina el archivo Lmhosts. ! Explique el propósito de los archivos Lmhosts. ! Explique sus características. ! Describa las palabras clave predefinidas (como #PRE, #DOM,

#BEGIN_ALTERNATE, #BEGIN_END e #INCLUDE). ! Proporcione ejemplos de archivos Lmhosts.

• En la diapositiva se ofrece un ejemplo que ilustra el contenido del archivo Lmhosts de muestra que puede encontrarse en la carpeta %Windir%\System32\Drivers\Etc\ y se denomina Lmhosts.

! Explique a los alumnos cómo deben cambiar el nombre del archivo

Lmhosts.sam por Lmhosts:

• Demuestre cómo cambiar el nombre del archivo Lmhosts.sam por Lmhosts.

• Explique el propósito del cambio de nombre del archivo. ! Demuestre cómo cargar de antemano una caché de nombres NetBIOS

mediante un archivo Lmhosts.


! Comente a los alumnos que pueden consultar las páginas de instrucciones correspondientes a esta lección.


• Ver la caché de nombres NetBIOS.

• Cargar de antemano una caché de nombres NetBIOS mediante un archivo Lmhosts.

• Liberar la caché de nombres NetBIOS y volver a cargarla a partir del archivo Lmhosts.

• Ver la caché de nombres NetBIOS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Archivo Lmhosts

Cómo cargar de antemano una caché de nombres NetBIOS mediante un archivo Lmhosts

Ejercicio: Configurar la resolución de nombres NetBIOS

Módulo 4: Resolución de nombres 1

Introducción


Microsoft® Windows Server� 2003, Standard Edition, usa la resolución nombres para traducir direcciones de Protocolo Internet (IP, Internet Protocol), necesarias para las comunicaciones de Protocolo de control de transporte/ Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) en nombres de equipo que resultan más fáciles de recordar y usar para los usuarios que las direcciones IP de 32 bits. Con la resolución de nombres puede asignar un nombre de equipo a la dirección IP de los hosts de origen y de destino, y usar entonces los nombres de equipo para entrar en contacto con los hosts.

Hay dos tipos de nombres para la resolución:

! Nombres de host. ! Nombres del sistema básico de entrada/salida de red (NetBIOS, Network

Basic Input/Output System).


! Describir el proceso de resolución de nombres. ! Ver los nombres en un cliente. ! Configurar la resolución de nombres de host. ! Configurar la resolución de nombres del Sistema básico de entrada/salida

de red (NetBIOS, Network Basic Input/Output System). ! Resolver nombres.

Introducción

Objetivos

2 Módulo 4: Resolución de nombres

Presentación multimedia: Proceso de resolución de nombres


Para iniciar la presentación Proceso de resolución de nombres, abra la página Web en el disco compacto Material del alumno, haga clic en Multimedia y, después, en el título de la presentación.


! Explicar qué es un nombre de host. ! Explicar qué es un nombre NetBIOS. ! Describir cómo funciona el proceso de resolución de nombres.

! La resolución de nombres es una parte de un proceso de comunicación

correcto en una red TCP/IP. ! En una red TCP/IP se usan dos tipos de nombres: nombres de host

y nombres NetBIOS. ! Los nombres de host y los nombres NetBIOS son nombres para mostrar que

los usuarios emplean con el fin de tener acceso a los recursos. Sin embargo, los equipos usan las direcciones IP para conectarse entre sí. Por lo tanto, los nombres para mostrar se deben resolver en direcciones IP para que los usuarios tengan acceso a los recursos de la red.


Objetivos

Puntos clave


Lección: Ver los nombres en un cliente


Un nombre es un identificador de un equipo en una red. Cada equipo suele tener dos nombres: un nombre alfanumérico y una dirección IP numérica. Como administrador de sistemas, tendrá que saber cómo ver ambos nombres de un equipo y también cómo cambiarlos para reflejar las necesidades de una red.


! Describir cómo se asigna una dirección IP a un nombre. ! Explicar lo que es un nombre de host. ! Explicar lo que es un nombre NetBIOS. ! Ver los nombres en un cliente.

Introducción



Cómo se asigna una dirección IP a un nombre


La resolución de nombres es el proceso por el que cierto software realiza automáticamente la traducción entre nombres alfanuméricos (como Server1 o Computer44) y direcciones IP numéricas (como 192.168.1.200 o 10.0.0.1). Para los usuarios, es más difícil trabajar con direcciones IP que con nombres pero son imprescindibles en las comunicaciones TCP/IP.

El Servicio de nombres Internet de Windows® (WINS) y el Sistema de nombres de dominio (DNS) proporcionan un servicio de resolución de nombres. El servicio de resolución de nombres permite resolver nombres para mostrar (o alfanuméricos) en una dirección. Los servicios de resolución de nombres también posibilitan a los hosts TCP/IP consultar tipos específicos de servicios o recursos de red, como un servidor de mensajería del Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) o un controlador de dominio, y recibir a su vez el nombre y la dirección IP de los equipos que proporcionan ese recurso o servicio.

Para que las personas conecten los equipos a los recursos, debe existir un método que haga corresponder los nombres con las direcciones IP. Un usuario puede entonces solicitar un recurso con el nombre Server1 y el equipo puede determinar que dicho nombre está asociado con la dirección IP 192.168.1.200. El equipo puede conectarse al recurso, Server1, mediante la dirección IP 192.168.1.200.

El proceso de resolución de nombres es similar a la utilización de una libreta de teléfonos. Suponga que desea llamar a un amigo por teléfono. Busca su nombre en la libreta de teléfonos para encontrar su número. En la libreta encuentra el número de teléfono asociado con el nombre de su amigo. Entonces puede usarlo para llamarle.

Definiciones

Proceso


Las características importantes de la resolución de nombres son las siguientes:

! Las personas usan nombres alfanuméricos porque son más fáciles de recordar.

! Los equipos requieren direcciones IP para comunicarse a través de TCP/IP. ! A un nombre de host en particular puede asignársele más de una dirección

IP. Por ejemplo, tres servidores independientes pueden alojar una copia del mismo sitio Web y obtenerse acceso a ellos con el mismo nombre.

! La resolución de nombres es el proceso de devolver una o varias direcciones IP para un nombre dado.

! En las redes hay dos tipos de nombres: de host y NetBIOS. ! Hay más de un método para resolver nombres de host y más de un método

para resolver nombres NetBIOS. Estos métodos han evolucionado con el tiempo para satisfacer diversas necesidades.

! Las aplicaciones y servicios que se usan para especificar los nombres determinan su tipo. La configuración del sistema operativo determina la forma en que el proceso de resolución de nombres resuelve el nombre. Por ejemplo, el usuario especifica un nombre en una aplicación o servicio. La aplicación o servicio está diseñada para consultar un nombre de host o un nombre NetBIOS. Una vez presentada la consulta, el sistema operativo comienza el proceso de intentar resolver el nombre según la configuración del mismo.

Características de la resolución de nombres


Qué es un nombre de host


Un nombre es el identificador de un equipo en una red.

Un nombre de host es el nombre DNS de un dispositivo en una red.

Un nombre de dominio completo (FQDN) es un nombre de dominio DNS que se ha determinado de forma inequívoca para indicar con una certeza absoluta su ubicación en el árbol del espacio de nombres de dominio.

Los nombres de host se usan para encontrar equipos en la red. Para que el equipo entre en contacto con otro mediante un nombre de host, éste debe aparecer en el archivo Hosts o tiene que conocerlo un servidor DNS. En la mayor parte de los equipos donde se ejecuta Microsoft Windows Server 2003 o Microsoft Windows XP, el nombre de host y el nombre NetBIOS son el mismo.

Los nombres de host se crean según la convención de nomenclatura estándar que se use en Internet. Los nombres de host permiten la resolución de nombres en Internet. Un nombre de host es una parte de un nombre de dominio completo, que usa una estructura jerárquica. Los nombres de host suelen formar parte del espacio de nombres DNS que permite tener acceso a los recursos en una estructura DNS.

Definiciones

Propósito de los nombres de host


Los nombres de host son parte del espacio de nombres DNS; permiten a un cliente hallar recursos en todo el mundo a través del espacio de nombres DNS global.

Un nombre de host puede existir como un nombre con un único componente o puede usarse con el sufijo para crear el identificador de un recurso en una red TCP/IP. El nombre y el sufijo de host juntos se conocen como el nombre de dominio completo.

En un nombre de dominio completo, como Server1.training.nwtraders.msft, la parte correspondiente al nombre de host es Server1. Training.nwtraders.msft se conoce como el sufijo. Juntos, el nombre de host (Server1) y el sufijo (training.nwtraders.msft), hacen referencia a un único y específico recurso en una red TCP/IP. El sufijo es esencial en el nombre de host porque permite que haya dos nombres de host idénticos en la red sin que se produzcan conflictos. Server1.training.nwtraders.msft puede existir en la misma red con Server1.nwtraders.msft. El sufijo se utiliza para diferenciar los dos nombres.

Para obtener más información acerca de DNS, consulte el módulo 5, �Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)�, y el módulo 6, �Administrar y supervisar el Sistema de nombres de dominio (DNS)�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.

Cuando el administrador instala el sistema operativo, se combinan el identificador del equipo y el sufijo DNS para crear el nombre de host. Si es preciso, el nombre de host y el sufijo se pueden modificar en la mayor parte de los equipos.

Dado que muchos elementos de las redes se basan en el espacio de nombres DNS, es importante seguir un plan de implementación al crear los nombres de host y sufijos.

Los nombres de host se utilizan prácticamente en todos los entornos TCP/IP. Se describen a continuación:

! Un nombre de host es un alias que un administrador asigna a un equipo para identificar un host TCP/IP.

! Aunque en Microsoft Windows Server 2003 y Microsoft Windows XP el nombre de host será el mismo que el nombre NetBIOS de forma predeterminada, no tienen por qué coincidir.

! El nombre de host puede ser cualquier cadena de 255 caracteres. ! Se puede asignar un nombre de host único al host. Los métodos de

resolución de nombres, como el uso del archivo Hosts o DNS, pueden tener varios nombres de host que se asignarán a la dirección IP del mismo host. Por ejemplo, el host Server1.nwtraders.msft podría tener entradas en DNS tanto para Server1.nwtraders.msft como para www.nwtraders.msft. Cualquiera de ellos se resolverá en la dirección IP de Server1.nwtraders.msft.

Nombre de host y sufijo

Nota

Importante

Características de un nombre de host


! Es posible que un nombre de host se resuelva en más de una dirección IP. Por ejemplo, tres servidores Web idénticos se identifican todos en DNS con el nombre www.nwtraders.msft. Cuando un cliente intenta conectarse a www.nwtraders.msft a través de un explorador Web, en la consulta DNS se devuelven tres direcciones IP.

! Los nombres de host simplifican la forma en que el usuario hace referencia a otros hosts TCP/IP. Es más sencillo recordar nombres que direcciones IP.

! Se puede usar un nombre de host en lugar de una dirección IP cuando se utiliza Ping u otras herramientas TCP/IP.

! Para resultar de utilidad en la resolución de nombres, un nombre de host y su dirección IP correspondiente se deben configurar en una base de datos de un servidor DNS o en un archivo Hosts.

! La utilidad Hostname muestra el nombre de host que se asigna al sistema. De forma predeterminada, el nombre de host es el mismo que el del equipo basado en Windows.

En la tabla siguiente se muestran ejemplos de nombres de dominio completo, nombres de host y sufijos DNS.

Con ayuda de la diapositiva, haga notar que hay un punto (.) al final de un nombre de dominio completo. Este punto (.) final representa la ubicación raíz en el árbol y su uso no es obligatorio ni habitual en la práctica.

Nombre de dominio completo (FQDN) Nombre de host Sufijo DNS server1 training.nwtraders.msft

server1 nwtraders.msft

www microsoft.com

computer44 nwtraders.msft

Ejemplos


Qué es un nombre NetBIOS


Un nombre NetBIOS es un identificador utilizado por los servicios NetBIOS que se ejecutan en un equipo. Se compone de un nombre de 15 caracteres más otro carácter (byte) que denota el servicio.

Los nombres NetBIOS se utilizan para identificar recursos en una red NetBIOS. Los nombres NetBIOS no ofrecen la capacidad de resolución de nombres en Internet porque son nombres con un único componente y carecen de una estructura jerárquica. Los nombres NetBIOS son uniformes, lo que significa que no se les agrega ningún sufijo y que no hay forma de diferenciar dos equipos que tengan el mismo. Esto implica que cada nombre NetBIOS de una red debe ser único. Por ejemplo, suponga que Server2 es el nombre NetBIOS de un recurso en una red NetBIOS. En consecuencia, si algún otro equipo de la misma red tiene el nombre Server2, se provocará un error.

Definición

Propósito de los nombres NetBIOS


Las características de los nombres NetBIOS son las siguientes:

! Los nombres NetBIOS se usan para poder utilizar servicios que requieren NetBIOS. Microsoft Windows Server 2003, Microsoft Windows 2000 y Microsoft Windows XP usan nombres DNS para la mayor parte de las funciones, pero debe existir un método de resolución de nombres NetBIOS en cada red con equipos que ejecutan las versiones anteriores de Windows o con aplicaciones que siguen dependiendo de los nombres NetBIOS.

! Un nombre NetBIOS es un alias que un administrador asigna a un equipo para identificar un servicio NetBIOS que se ejecuta en un host TCP/IP.

! El nombre NetBIOS no tiene por qué coincidir con el nombre de host. ! Los nombres NetBIOS tienen 15 caracteres de longitud, como máximo,

frente a los 255 de los nombres de host DNS. El nombre de host y el nombre NetBIOS de un equipo en el que se ejecuta Microsoft Windows Server 2003 se generan juntos. Si el nombre de host tiene más de 15 caracteres, el nombre NetBIOS está formado por los 15 primeros.

! Los nombres NetBIOS deben ser únicos dentro de la red donde se usan. ! Cuando se inicia un equipo, varios servicios, por ejemplo los servicios

Server y Workstation, registran un nombre NetBIOS único que se basa en el nombre del equipo. El nombre registrado es el nombre NetBIOS de 15 caracteres más otro (byte) que identifica de forma única el servicio Server. (Cada carácter tiene un byte procesado en texto ASCII pero el carácter decimosexto suele procesarse en notación hexadecimal en lugar de en texto ASCII por lo que a menudo se hace referencia a él como el byte decimosexto o en lugar de como el carácter dieciseisavo.)

! Los nombres NetBIOS también se registran para grupos de equipos que proporcionan servicios de red. Por ejemplo, si london.nwtraders.msft es un controlador de dominio, registrará el nombre NetBIOS, London, y al mismo tiempo también registrará nombres que identifiquen sus funciones como controlador de dominio en el dominio nwtraders. Esto permite a los clientes buscar todos los hosts NetBIOS que proporcionen servicios de controlador de dominio en el dominio nwtraders sin que conozcan los nombres reales de los controladores de dominio.

! Un nombre NetBIOS simplifica la forma en que el usuario hace referencia a otros hosts TCP/IP. Es más sencillo recordar nombres NetBIOS que direcciones IP.

! Un nombre NetBIOS puede resolverse si el nombre y la dirección IP se almacenan en una base de datos de un servidor WINS o en un archivo LmHosts. También se puede resolver mediante una difusión.

! La utilidad Nbstat muestra los nombres NetBIOS que los servicios NetBIOS usan en un equipo.

El nombre NetBIOS se crea mientras se instala el sistema operativo. Cuando se crea el nombre del equipo, el programa de instalación crea tanto un nombre de host como un nombre NetBIOS que se basan en el nombre de equipo especificado.

Por ejemplo, suponga que Server2 es el nombre NetBIOS del equipo del diagrama. El equipo ejecuta varios servicios NetBIOS, incluidos los servicios Server, Workstation y Messenger. Cada uno de los servicios se asocia al mismo nombre NetBIOS (Server2).

Características de los nombres NetBIOS

Ejemplos


Cómo ver los nombres en un cliente


La configuración de nombres en un cliente incluye tareas como ver los nombres de host y los nombres NetBIOS, y cambiar el nombre y el sufijo DNS de un equipo.

Es recomendable que inicie sesión con una cuenta que no tenga credenciales administrativas y que ejecute el comando Ejecutar como con una cuenta de usuario que tenga las credenciales administrativas apropiadas para realizar esta tarea.

Para ver su nombre de host y sufijo DNS mediante la utilidad Ipconfig:

1. En el menú Inicio, seleccione Todos los Programas, Accesorios y haga clic con el botón secundario del mouse (ratón) en Símbolo del sistema.

2. En el símbolo del sistema, escriba ipconfig /all y presione ENTRAR. 3. Vea los valores correspondientes a los campos Nombre del host y Sufijo

DNS principal.

Para ver su nombre de host mediante la utilidad Hostname:

! En el símbolo del sistema, escriba hostname y presione ENTRAR.

Para ver el nombre de host de su equipo mediante Propiedades del sistema:

1. Inicie sesión en una cuenta con los permisos apropiados. 2. En el Panel de control, abra Sistema. 3. En la ficha Nombre de equipo, haga clic en Cambiar.

El nombre de host se muestra en el campo Nombre de equipo. Observe que debajo del campo Nombre de equipo se muestra el nombre de equipo completo.

Introducción

Nota

Procedimientos para ver nombres de host


Para ver los nombres NetBIOS mediante el comando Nbtstat:

! En el símbolo del sistema, escriba Nbtstat -n y presione ENTRAR.

Se mostrarán los nombres NetBIOS registrados para servicios NetBIOS:

! En el símbolo del sistema, escriba Nbtstat �A direcciónIP (donde direcciónIP es la dirección IP del servidor remoto) y presione ENTRAR.

Se mostrarán los nombres NetBIOS registrados para los servicios NetBIOS del servidor identificado.

Para completar este procedimiento, debe haber iniciado una sesión como Administrador o como miembro del grupo Administradores. Si el equipo está conectado a una red, la configuración de las directivas de red también puede impedir que se complete este procedimiento.

Para ver el nombre NetBIOS de su equipo mediante Propiedades del sistema:

1. En el cuadro de diálogo Propiedades del sistema, en la ficha Nombre de equipo, haga clic en Cambiar.

2. En el cuadro de diálogo Cambios en el nombre de equipo, haga clic en Más.

3. Observe el nombre NetBIOS en el campo Nombre de equipo NetBIOS.

Para cambiar el nombre de un equipo:

Para completar este procedimiento, debe haber iniciado una sesión como Administrador o como miembro del grupo Administradores. Si el equipo está conectado a una red, la configuración de las directivas de red también puede impedir que se complete este procedimiento.

1. En el cuadro de diálogo Propiedades del sistema, en la ficha Nombre de equipo, haga clic en Cambiar.

2. En la ficha Nombre de equipo, haga clic en Cambiar. 3. En Nombre de equipo, escriba otro nombre para el equipo y haga clic

en Aceptar.

Si el equipo es miembro de un dominio, se le pedirá que proporcione un nombre de usuario y una contraseña para cambiar el nombre del equipo en el dominio.

Procedimientos para ver nombres NetBIOS

Nota

Procedimiento para cambiar el nombre de un equipo Nota

Nota


Ejercicio: Ver los nombres en un cliente


En este ejercicio, verá los nombres en un cliente.

Está trasladando los equipos cliente al departamento del laboratorio para realizar pruebas. Los equipos cliente se configuraron originalmente para la red corporativa y en ellos se ejecuta Microsoft Windows XP Professional. Dado el esquema de nombres de equipo del departamento del laboratorio, tiene que configurar los equipos cliente con otros nombres y comprobar a continuación que se han configurado los nombres de host y NetBIOS correctos.

Para completar algunas partes de este procedimiento, debe haber iniciado una sesión como Administrador o como miembro del grupo Administradores. Inicie sesión como NombreDeServidorAdmin para todo el ejercicio. Cuando lo haya completado, inicie sesión como NombreDeServidorUser.

! Ver el nombre de host y el sufijo DNS principal mediante el comando ipconfig

! Complete esta tarea desde los equipos de ambos alumnos ! ¿Cuál es el nombre de host? _______________________________ ! ¿Cuál es el sufijo DNS principal?____________________________

! Ver el nombre NetBIOS de su servidor mediante el comando Nbtstat

! Complete esta tarea desde los equipos de ambos alumnos ! ¿Cuál es el nombre NetBIOS de su equipo? _________________________

! Ver el nombre NetBIOS del equipo de su compañero mediante su dirección IP y el comando Nbtstat

! Complete esta tarea desde los equipos de ambos alumnos ! ¿Cuál es el nombre NetBIOS del equipo de su compañero? _____________

Objetivo


Instrucciones

Ejercicio


Lección: Configurar la resolución de nombres de host


Microsoft Windows 2000 y los sistemas operativos de Microsoft posteriores se basan principalmente en la resolución de nombres de host para resolver los nombres de los equipos en direcciones IP. El proceso de resolución de nombres de host permite resolver un nombre mediante la caché de resolución del cliente, los servidores DNS y el archivo Hosts.

En esta lección se describe cómo puede usar la caché de resolución del cliente y el archivo Hosts para resolver los nombres de host en direcciones IP. El módulo 5, �Resolución de nombres de host mediante el Sistema de nombres de dominio�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red�, abarca la forma en que se puede usar un servidor DNS para resolver los nombres de host en direcciones IP.


! Describir el proceso de resolución de nombres de host. ! Explicar lo que es una caché de resolución del cliente. ! Ver y vaciar la caché de resolución del cliente. ! Explicar lo que es un archivo Hosts. ! Cargar de antemano una caché de resolución del cliente mediante

un archivo Hosts. ! Configurar la resolución de nombres de host.

Introducción

Nota



El proceso de resolución de nombres de host


La resolución de nombres de host es el proceso mediante el que un nombre de host se resuelve en una dirección IP.

El proceso de resolución de nombres de host funciona como se explica a continuación:

1. El proceso comienza cuando una aplicación o servicio pasa el nombre de host al servicio cliente DNS.

2. El servicio cliente DNS busca entonces en la caché de resolución del cliente una asignación entre el nombre de host y una dirección IP. Todas las entradas del archivo Hosts se han cargado de antemano en la caché de resolución del cliente.

3. Si el servicio cliente DNS no encuentra una asignación en la caché de resolución del cliente, reenvía una consulta del nombre de host a un servidor DNS.

4. Si los métodos de resolución de nombres de host configurados fallan, para intentar resolver el nombre se emplean los métodos de resolución de nombres NetBIOS configurados. Esto sólo ocurre si el nombre de host tiene 15 caracteres o menos.

5. Cuando se encuentra el nombre de host, se devuelve a la aplicación su dirección IP correspondiente.

Definición

Proceso de resolución de nombres de host


La implementación de Microsoft para TCP/IP usa el servicio cliente DNS con el fin de resolver los nombres de host en direcciones IP mediante los siguientes métodos.

Métodos estándar de resolución Descripción Caché de resolución del cliente DNS Ubicación de almacenamiento en caché

del equipo local donde el servicio cliente DNS almacena las asignaciones entre un host y una dirección IP resueltas.

Servidor DNS Servidor que mantiene una base de datos de asignaciones entre direcciones IP y nombres de equipo (nombres de host).

Archivo Hosts Archivo de texto local en el mismo formato que el archivo 4.3 Berkeley Software Distribution (BSD) UNIX\Etc\Hosts. En este archivo se encuentran las correspondencias entre nombres de host y direcciones IP. Se suele usar para resolver los nombres de host en las utilidades TCP/IP.

Métodos de resolución de nombres de host




La caché de resolución del cliente es una ubicación en la memoria donde se almacenan los nombres de host que se han resuelto recientemente en direcciones IP. Asimismo, almacena las asignaciones entre nombres de host y direcciones IP que se cargan desde el archivo Hosts.

Las entradas de la caché de referencias no encontradas son los nombres de host incluidos en la caché que se consultaron pero no se pudieron resolver.

La caché de resolución del cliente es el primer lugar donde el cliente DNS busca una asignación entre un nombre de host y una dirección IP. La utilización de la caché de resolución del cliente permite resolver las direcciones IP más rápidamente que otros métodos de resolución de nombres de host, como el uso de un servidor DNS o del archivo Hosts. Además, la caché de resolución del cliente no crea tráfico de red.

Las entradas de la caché de referencias no encontradas se crean automáticamente cuando una consulta de nombre de host no puede resolver la dirección IP para un nombre en particular. De forma predeterminada, el nombre que no se ha encontrado se almacena en la caché durante cinco minutos de modo que si se vuelve a consultar el mismo nombre, el cliente no tenga que consultar el servidor DNS sino que pueda resolver la consulta desde la caché.

La caché de resolución del cliente puede incluir información de nombres que se obtienen de dos orígenes posibles.

! Archivo Hosts Si el archivo Hosts se configura de forma local, las asignaciones entre nombres de host y direcciones IP de dicho archivo se cargan de antemano en la caché.

! Cualquier nombre resuelto Los registros de recursos obtenidos en las respuestas a consultas DNS anteriores se agregan a la caché y se conservan durante un intervalo de tiempo que depende del período de vida (TTL).

Definiciones

Propósito de la caché de resolución del cliente

Propósito de las entradas de la caché de referencias no encontradas

Orígenes de información para la caché de resolución del cliente


La caché de resolución del cliente mantiene la información de nombres de host resueltos, incluido el nombre, el período de vida y la dirección IP del registro.

Las asignaciones entre los nombres de host y las direcciones IP sólo permanecen en la caché de resolución DNS durante un tiempo limitado. Esto significa que si tiene que resolver un nombre de host, puede buscar la asignación en la caché de resolución del cliente. Por ejemplo, si sus aplicaciones resuelven constantemente los mismos nombres de host, con la caché de resolución del cliente el proceso se podría realizar rápidamente.

Sin embargo, la asignación de una dirección IP correspondiente a un nombre de host IP se mantiene durante un tiempo conocido como período de vida. Tanto si se tiene acceso al nombre antes de que transcurra el período como si no, la asignación se quita. Esto ayuda a evitar que la caché crezca demasiado y que se conserven asignaciones que puedan cambiar y dejen de ser válidas.

El método que resuelve el nombre de host proporciona el valor del período de vida de la asignación resuelta. Por ejemplo, si el servidor DNS resuelve una asignación, es él quien proporciona el valor del período de vida. Por ejemplo, si el servidor DNS resuelve una asignación, es él el que proporciona el valor del período de vida.

En la captura de pantalla puede ver los resultados del comando ipconfig /displaydns. Esta captura muestra los registros de recursos que se han almacenado en la caché.


Ejemplo


Cómo ver y vaciar la caché de resolución del cliente


Vaciar la caché consiste en purgar o liberar las entradas de la caché de resolución del cliente. De esta forma se garantiza que las asignaciones incorrectas se eliminan de la caché de resolución del cliente.


Para mostrar una caché de resolución del cliente mediante el comando ipconfig:

! En el símbolo del sistema, escriba ipconfig /displaydns.

El comando ipconfig /flushdns le ofrece un medio para vaciar y restablecer el contenido de la caché de resolución del cliente DNS. Durante el proceso de solución de problemas DNS, si es necesario, puede usar este procedimiento para descartar las entradas de la caché de referencias no encontradas, junto con cualquier otra entrada agregada dinámicamente.

Aunque el comando ipconfig se proporciona para versiones anteriores de Windows, la opción /flushdns sólo está disponible para utilizarse en equipos con Microsoft Windows 2000, Microsoft Windows XP o Microsoft Windows Server 2003. El servicio Cliente DNS también debe haberse iniciado.

Para vaciar una caché de resolución del cliente mediante el comando ipconfig:

! En el símbolo del sistema, escriba ipconfig /flushdns

Introducción

Nota

Procedimiento para mostrar una caché de resolución del cliente

El comando ipconfig /flushdns

Procedimiento para vaciar una caché de resolución del cliente


Archivo Hosts


El archivo Hosts es un archivo estático que se mantiene en el equipo local y se utiliza para cargar en la caché de resolución del cliente las asignaciones entre nombres de host y direcciones IP.

Puede usar el archivo Hosts para cargar de antemano en la caché de resolución del cliente las asignaciones fijas entre nombres de host y direcciones IP. De esta forma disminuye el tiempo de respuesta de las consultas y se reduce el tráfico de red.

Entre las características de un archivo Hosts se incluyen las siguientes:

! Una entrada del archivo Hosts consta de una dirección IP correspondiente a uno o varios nombres de host. El nombre de host del archivo Hosts puede contener un solo componente, como Server1, o un nombre de dominio completo, como server1.nwtraders.msft.

! Debe haber un archivo Hosts en cada equipo. La caché de resolución del cliente busca localmente el archivo Hosts.

! El archivo Hosts se encuentra en la carpeta %Systemroot%\System32\Drivers\Etc\ y se denomina Hosts.

! Cuando usted crea una asignación entre un nombre de host y una dirección IP en el archivo Hosts y lo guarda a continuación, la asignación se carga en la caché de resolución del cliente.

! La entrada de la asignación del nombre de host en el archivo Hosts no tiene asociado un período de vida. La asignación del nombre de host permanecerá en la caché de resolución del cliente hasta que se quite del archivo Hosts.

! El archivo Hosts es compatible con el archivo Hosts de UNIX.

La ilustración muestra el contenido de un archivo Hosts. Este archivo Hosts de ejemplo puede encontrarse en la carpeta %Systemroot%\System32\Drivers\Etc\ y se denomina Hosts. Si creara entradas en este archivo Hosts y lo guardara, esas entradas se cargarían inmediatamente en su caché de resolución del cliente DNS.

Definición

Propósito de un archivo Hosts

Archivo Hosts

Ejemplo


Cómo cargar de antemano una caché de resolución del cliente mediante un archivo Hosts


Puede usar el archivo Hosts para cargar de antemano en la caché de resolución del cliente las asignaciones fijas entre nombres de host y direcciones IP.

Debe cambiar el nombre del archivo Hosts.txt por Hosts. El servicio cliente DNS buscará un archivo denominado Hosts y no Hosts.txt.


Para cargar de antemano una caché de resolución de cliente mediante un archivo Hosts:

1. En el equipo cliente, abra el cuadro de diálogo Ejecutar. 2. En el cuadro de diálogo Ejecutar, escriba el comando siguiente:

notepad %systemroot%\system32\drivers\etc\Hosts El archivo Hosts se abre para editarse en el Bloc de notas.

3. En el archivo Hosts, agregue asignaciones adicionales entre nombres de host y direcciones en líneas distintas para cargarlas en la caché de resolución del cliente. No olvide seguir el formato del ejemplo de archivo Hosts.

4. En el menú Archivo, haga clic en Guardar como. 5. En el cuadro de diálogo Guardar como, en el campo Tipo, seleccione

Todos los archivos y haga clic en hosts.

Introducción

Recomendación

Nota

Procedimiento


6. En el cuadro de diálogo de advertencia Guardar como, haga clic en Sí para sobrescribir hosts.

• Es muy importante que guarde el archivo como Hosts y no como Hosts.txt.

7. Cierre el Bloc de notas. Si lo desea, puede comprobar que los cambios se han actualizado en la caché de resolución del cliente; para ello, examine su contenido mediante el comando ipconfig /displaydns. Si no ve las asignaciones que ha incluido en el archivo Hosts, compruebe que lo ha guardado correctamente. Si el archivo Hosts tiene la extensión .txt (el icono corresponderá al Bloc de notas), el archivo no ha cargado las asignaciones en la caché.

Para editar el archivo Hosts desde el símbolo del sistema, abra primero el símbolo del sistema mediante Ejecutar como con una cuenta de usuario que tenga los derechos administrativos apropiados. Después, en el símbolo del sistema, escriba Notepad %systemroot%\system32\drivers\etc\hosts

Nota


Ejercicio: Configurar la resolución de nombres de host


En este ejercicio, configurará la resolución de nombres de hosts.



Mientras la ingeniera de sistemas estaba revisando los registros de tráfico de red en la prueba de la práctica, observó que había una gran cantidad de tráfico DNS en el departamento del laboratorio. Este tráfico se genera en las consultas de la dirección IP del servidor Web de pruebas. La ingeniera de sistemas le ha pedido que reduzca el tráfico de consultas DNS para este nombre de host. Usted va a usar el archivo Hosts de cada equipo para configurar una entrada que se cargará en la caché de resolución del cliente.

Objetivo

Instrucciones



! Vaciar la caché de resolución del cliente Complete este procedimiento desde los equipos de ambos alumnos.

• Vacíe la caché de resolución del cliente mediante el comando ipconfig /flushdns.

! Cargar la caché de resolución del cliente Complete este procedimiento desde los equipos de ambos alumnos.

! Abra el símbolo del sistema mediante Ejecutar como. ! Nombre de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Agregue la entrada siguiente al archivo Hosts (donde x es el número

del aula).

Dirección IP Nombre de host 192.168.x.100 Glasgow

! Guarde el archivo Hosts.

! Comprobar que la entrada agregada aparece ahora en la caché de resolución del cliente

! Complete este procedimiento desde los equipos de ambos alumnos. ! Compruebe que la entrada que ha agregado aparece ahora en la caché

de resolución del cliente mediante el comando ipconfig /displaydns.

Ejercicio


Lección: Configurar la resolución de nombres NetBIOS


Para resolver nombres NetBIOS en direcciones IP, puede usar la caché de nombres NetBIOS, el servidor WINS, la difusión o el archivo Lmhosts.

En esta lección se describe cómo puede usar la caché NetBIOS, la difusión y el archivo Lmhosts para resolver las asignaciones entre nombres de host y direcciones IP. Para obtener más información acerca de cómo usar un servidor WINS para resolver asignaciones entre nombres de host y direcciones IP, consulte el módulo 7, �Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.


! Describir el proceso de resolución de nombres NetBIOS. ! Explicar lo que es la caché de nombres NetBIOS. ! Ver y liberar la caché de nombres NetBIOS. ! Explicar lo que son las difusiones. ! Explicar lo que es un archivo Lmhosts. ! Cargar una caché de nombres NetBIOS mediante un archivo Lmhosts. ! Configurar la resolución de nombres NetBIOS.

Introducción

Nota





La resolución de nombres NetBIOS es el proceso mediante el que una dirección IP se asigna a un nombre NetBIOS.

El proceso de resolución de nombres NetBIOS puede configurarse. El orden predeterminado con el que el cliente se configura para consultar un servidor WINS y usar una búsqueda de Lmhosts es el siguiente.

1. Cuando una aplicación necesita resolver un nombre NetBIOS en una dirección IP, la aplicación busca una asignación en la caché NetBIOS.

2. Si la caché NetBIOS no resuelve el nombre NetBIOS en una dirección IP, se consulta el servidor WINS.

3. Si el servidor WINS no resuelve el nombre NetBIOS en una dirección IP, se envía como difusión una consulta de nombre NetBIOS a la red local.

4. Si la difusión no resuelve el nombre NetBIOS en una dirección IP, se busca en el archivo Lmhosts local.

5. Cuando se encuentra el nombre NetBIOS, se devuelve la dirección IP correspondiente a la aplicación.

Definición



La implementación de TCP/IP de Microsoft usa el servicio redirector NetBIOS para resolver los nombres de host en direcciones IP mediante los siguientes métodos. El redirector NetBIOS es el servicio que toma una consulta NetBIOS de una aplicación o servicio, y administra el proceso de resolución NetBIOS.

Métodos estándar de resolución Descripción Caché de nombres NetBIOS Ubicación de almacenamiento en caché

para los nombres NetBIOS resueltos en direcciones IP. La caché local contiene los nombres NetBIOS que el equipo local ha resuelto recientemente.

Servidor de nombres NetBIOS Un servidor de nombres NetBIOS también puede ser un servidor WINS que mantiene una base de datos de nombres NetBIOS.

Difusión local La consulta del nombre NetBIOS se difunde en la red local.

Métodos de resolución de nombres NetBIOS




Una caché de nombres NetBIOS es una ubicación en memoria donde se almacenan los nombres NetBIOS que se han resuelto recientemente en direcciones IP, ya sea mediante un servidor WINS, una difusión o un archivo Lmhosts. También es una ubicación donde se almacenan las asignaciones entre nombres de host y direcciones IP que se cargan desde el archivo Lmhosts.

La caché de nombres NetBIOS es el primer lugar donde el redirector NetBIOS busca una dirección IP para asignarla a un nombre NetBIOS. Con una caché de nombres NetBIOS, las direcciones IP se resuelven más rápidamente que con un servidor WINS, una difusión o un archivo Lmhosts, y no se crea tráfico de red.

Además, se puede cargar de antemano con las asignaciones entre nombres NetBIOS y direcciones IP que se usan con más frecuencia mediante el archivo Lmhosts.

Definición

Propósito de una caché de nombres NetBIOS


La caché de nombres NetBIOS contiene los nombres NetBIOS que el equipo local ha resuelto recientemente además de los resultados de la resolución de nombres. La resolución de nombres se realiza con más rapidez porque se consultan los resultados almacenados en la caché. Sin embargo, los datos de la resolución de nombres se limitan a los nombres resueltos recientemente.

Cuando un usuario inicia una consulta de nombre NetBIOS mediante una aplicación o servicio, como net use, comienza el proceso de resolución de nombres NetBIOS. Se busca en la caché de nombres NetBIOS la asignación de dirección IP correspondiente al nombre NetBIOS del host de destino. La caché de nombres NetBIOS contiene los nombres NetBIOS que se han resuelto últimamente. Si el nombre NetBIOS no se encuentra en la caché, el cliente que ejecuta Windows intenta determinar mediante otros métodos la dirección IP del host de destino.

Para un comando, como net use y otros que llaman al protocolo Bloque de mensajes del servidor (SMB, Server Message Block), Microsoft Windows 2000 y las versiones posteriores pueden emplear el alojamiento directo en host sobre SMB o el tradicional NetBIOS sobre TCP/IP. Si se habilitan tanto el alojamiento directo en host como NetBIOS sobre TCP/IP, se intentan ambos métodos al mismo tiempo y se utiliza el primero que responda. NetBIOS sobre TCP/IP intentará usar la resolución de nombres NetBIOS. El alojamiento directo en host empleará la resolución de nombres de host.

Cuando un nombre NetBIOS se resuelve en una dirección IP, se crea una entrada en la caché de nombres NetBIOS para la asignación y se le asigna un intervalo de actualización (o período de vida) de 10 minutos. Si dentro del período de vida se consulta el nombre en la caché NetBIOS, el período se restablece a 10 minutos. Si transcurre el período de vida sin que se haya consultado el nombre, la asignación se quita de la caché de nombres NetBIOS. Al observar la caché de nombres NetBIOS, el período de vida se muestra en segundos.

Los nombres NetBIOS pueden ser de uno de los tipos siguientes: único o de grupo. Un nombre NetBIOS único se refiere a un servicio NetBIOS alojado en un equipo individual. Un nombre NetBIOS de grupo se refiere a un servicio NetBIOS alojado en un conjunto de equipos.

En la tabla siguiente, se ilustran ejemplos de asignaciones entre nombres NetBIOS y direcciones IP almacenadas en la caché de nombres NetBIOS. Observe que:

! Nombre incluye el carácter dieciseisavo que identifica el servicio que registra el nombre NetBIOS.

! Los nombres NetBIOS son únicos. ! Duración muestra el número de segundos que quedan antes de que se quite

el nombre NetBIOS.

Nombre Tipo Dirección de host Duración (segundos) Server3 <20> ÚNICO 192.168.1.156 515

Computer9 <20> ÚNICO 192.168.1.101 430


Nota

Ejemplo


Cómo ver y liberar la caché de nombres NetBIOS


Al liberar la caché de nombres NetBIOS, se quitan todas las asignaciones dinámicas entre nombres NetBIOS y direcciones IP que se almacenen en ella. Esto resulta de utilidad cuando se deben quitar las asignaciones incorrectas.


La herramienta usada para ver la caché de nombres NetBIOS es la utilidad nbtstat. Esta utilidad muestra tanto las estadísticas de los protocolos como las conexiones TCP/IP actuales mediante NetBIOS sobre TCP/IP (NBT).

Cuando Nbtstat se usa sin parámetros, muestra la Ayuda para utilizar el comando. Para ver el contenido de la caché de nombres NetBIOS del equipo local:

! En el símbolo del sistema, escriba nbtstat �c

Para liberar la caché de nombres NetBIOS y volver a cargar las entradas con la etiqueta #PRE en el archivo Lmhosts local:

! En el símbolo del sistema, escriba nbtstat �R

Para mostrar y ver la tabla de nombres NetBIOS del equipo local:

! En el símbolo del sistema, escriba nbtstat �n

Introducción

Nota

Utilidad Nbtstat

Procedimiento para ver la caché de nombres NetBIOS

Procedimiento para liberar la caché de nombres NetBIOS

Procedimiento para ver la tabla de nombres NetBIOS del equipo local


Difusiones


Las difusiones locales son mensajes de red enviados desde un equipo que se distribuyen al resto de dispositivos del mismo segmento de la red que el equipo emisor.

Si el nombre NetBIOS no se resuelve mediante la caché NetBIOS o el servidor WINS, el redirector NetBIOS envía una difusión NetBIOS. El administrador no necesita configurar las difusiones NetBIOS, a diferencia de los archivos Lmhosts.

Un cliente NetBIOS puede emitir en la red local una difusión para la dirección IP del nombre NetBIOS de destino. El host que posee el nombre NetBIOS responde con su dirección IP y el host que inicia la difusión puede entonces conectarse a él.

Puede reducir el tráfico de difusión si utiliza un servidor WINS en lugar de difusiones locales para realizar la resolución de nombres NetBIOS. Además, los enrutadores no se suelen configurar para reenviar las difusiones NetBIOS, lo que limita la resolución de nombres NetBIOS a una única red.

El redirector NetBIOS envía una difusión local. Si el recurso se halla en la red local, se responde a la difusión y se devuelve una dirección IP. Si el recurso se encuentra en una red remota, la difusión no pasará a través de un enrutador. Por lo tanto, la consulta fallará y no se devolverá ninguna dirección IP.

Definición

Propósito de las difusiones

Difusión

Nota

Ejemplo


Archivo Lmhosts


Un archivo Lmhosts es un archivo de texto local que asigna a los nombres NetBIOS (usados normalmente para nombres de equipo) una dirección IP para los hosts que no se encuentran en la subred local.

El archivo Lmhosts es estático en el equipo local y puede servir de ayuda para resolver un nombre NetBIOS. Puede agregar asignaciones entre nombres NetBIOS y direcciones IP al archivo para permitir la resolución de nombres NetBIOS. También puede cargar de antemano la caché de nombres NetBIOS con las asignaciones que desee.

El archivo Lmhosts se puede configurar para ser leído por clientes Microsoft cuando se envíe una difusión para intentar resolver un nombre NetBIOS en la misma subred que utiliza el equipo que desea resolver el nombre. El archivo Lmhosts se leerá únicamente si la difusión no devuelve una dirección IP. El archivo Lmhosts es un archivo de texto ASCII estático empleado para resolver los nombres NetBIOS de equipos remotos que se basan en este sistema. El archivo Lmhosts tiene las características siguientes:

! Las entradas están compuestas de un nombre NetBIOS y su correspondiente dirección IP. La entrada debe concordar con el nombre NetBIOS de los equipos de destino o un alias fallará.

! Debe haber un archivo Lmhosts en cada equipo. ! La ubicación predeterminada del directorio del archivo Lmhosts es la

carpeta %Systemroot%\System32\Drivers\Etc\ y el archivo tiene la extensión .sam. La extensión .sam debe quitarse para que el archivo se lea.

! Las entradas del archivo Lmhosts con la palabra clave #PRE se cargarán de antemano en la caché de nombres NetBIOS. Las asignaciones de nombres NetBIOS con la palabra clave #PRE permanecerán en la caché NetBIOS hasta que se quiten del archivo Lmhosts.

Definición

Propósito de un archivo Hosts

Archivo Lmhosts


Un archivo Lmhosts contiene palabras clave predefinidas que permiten administrar las asignaciones que contiene. Cada una de las palabras clave predefinidas tiene el símbolo de número (#) como prefijo. En la tabla siguiente, se muestran las palabras clave posibles del archivo Lmhosts.

Palabra clave predefinida Descripción #PRE Define las entradas que deben cargarse de antemano

inicialmente como entradas fijas en la caché de nombres. Al cargarse de antemano, se reducen las difusiones en la red, ya que los nombres se resuelvenen la caché en lugar de hacerlo mediante difusiones o búsquedas en el archivo Lmhosts. Las entradas con una etiqueta #PRE se cargan automáticamente en la inicialización o de forma manual escribiendo nbtstat �R en el símbolo del sistema.

#DOM:[nombreDeDominio] Facilita la actividad del dominio, como la validación de los inicios de sesión sobre un enrutador, la sincronización de las cuentas y la exploración.

#BEGIN_ALTERNATE #END_ALTERNATE

Define una lista redundante de ubicaciones alternativas para archivos Lmhosts. La mejor forma de incluir los archivos remotos es utilizar una ruta de acceso acorde a la convención de nomenclatura universal (UNC), para garantizar el acceso al archivo. Los nombres UNC con una traducción de dirección IP a nombre NetBIOS apropiada deben encontrarse en el archivo Lmhosts.

#INCLUDE Carga y busca entradas NetBIOS en un archivo independiente del archivo Lmhosts predeterminado. Normalmente, un archivo #INCLUDE es un archivo Lmhosts compartido y ubicado en un lugar centralizado.

La caché y el archivo de nombres NetBIOS siempre se leen secuencialmente. Agregue al principio de la lista los equipos a los que se obtenga acceso con más frecuencia. Agregue cerca del final las entradas etiquetadas con #PRE, ya que no se tendrá acceso a ellas de nuevo una vez que se inicialice TCP/IP. Para obtener más información acerca del archivo Lmhosts, lea las instrucciones del mismo o consulte la documentación de la Ayuda de Microsoft Windows Server 2003.

La ilustración muestra el contenido de un archivo Lmhosts. Este archivo Lmhosts de ejemplo puede encontrarse en la carpeta %Systemroot%\System32\Drivers\Etc\ y se denomina Lmhosts.

Palabras clave predefinidas

Nota

Ejemplo


Cómo cargar de antemano una caché de nombres NetBIOS mediante un archivo Lmhosts


Puede usar el archivo Lmhosts para cargar de antemano en la caché de nombres NetBIOS las asignaciones fijas entre nombres NetBIOS y direcciones IP.

Debe cambiar el nombre del archivo Lmhosts.sam por Lmhosts. El redirector NetBIOS buscará un archivo denominado Lmhosts y no Lmhosts.sam.


Para modificar el archivo Lmhosts desde el símbolo del sistema, abra primero el símbolo del sistema mediante Ejecutar como con una cuenta de usuario que tenga los derechos administrativos apropiados. Después, en el símbolo del sistema, escriba notepad %systemroot%\system32\drivers\etc\lmhosts.sam.

Recuerde guardar el archivo sin la extensión .sam, sólo como Lmhosts.

Introducción

Recomendación

Nota


Para cargar de antemano la caché de nombres NetBIOS mediante un archivo Lmhosts:

1. En el cuadro de diálogo Ejecutar, escriba el comando siguiente: notepad %systemroot%\system32\drivers\etc\lmhosts.sam.

2. El archivo Lmhosts se abre para editarse en el Bloc de notas. 3. En el archivo Lmhosts, agregue en líneas distintas las asignaciones entre

los nombres NetBIOS y las direcciones IP. No olvide seguir el formato del ejemplo de archivo Lmhosts.

4. Al final de la entrada de la asignación, escriba la palabra clave #PRE para cargarla en la caché de nombres NetBIOS.

5. En el menú Archivo, haga clic en Guardar como. 6. En el cuadro de diálogo Guardar como, en el campo Tipo, seleccione

Todos los archivos y, en el cuadro Nombre de archivo, escriba �lmhosts�. (Incluya las comillas. Si las utiliza, puede guardar el archivo sin extensión.)

• Es muy importante que guarde el archivo como Lmhosts y no como Lmhosts.txt.

7. Cierre el Bloc de notas. 8. En el Explorador de Windows, en el cuadro de diálogo Opciones de

carpeta, en la ficha Ver, seleccione la opción Ocultar las extensiones de archivo para tipos de archivo conocidos.

Procedimiento


Ejercicio: Configurar la resolución de nombres NetBIOS


En este ejercicio, configurará la resolución de nombres NetBIOS.



El departamento del laboratorio está renovando sus instalaciones. Durante ese tiempo, los servidores WINS estarán fuera de conexión. Para permitir la resolución de nombres NetBIOS, hay que configurar las entradas correctas en el archivo Lmhosts para cada equipo del departamento del laboratorio. Usted agregará las asignaciones entre nombres NetBIOS y direcciones IP al archivo Lmhosts para permitir la resolución de nombres NetBIOS mientras los servidores WINS estén fuera de conexión.

! Ver la caché de nombres NetBIOS Complete este procedimiento desde los equipos de ambos alumnos.

• Compruebe que la caché de nombres NetBIOS no contiene una entrada para el equipo Glasgow.

Objetivo

Instrucciones


Ejercicio


! Cargar de antemano una caché de nombres NetBIOS mediante un archivo Lmhosts

Complete este procedimiento desde los equipos de ambos alumnos.

! Abra el símbolo del sistema mediante Ejecutar como. ! Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo

es el nombre de su equipo) ! Contraseña: P@ssw0rd ! Edite el archivo; para ello, utilice el comando siguiente desde el símbolo

del sistema: Notepad C:\windows\system32\drivers\etc\lmhosts.sam ! Agregue la entrada siguiente al archivo Lmhosts (donde x es el número

del aula). Dirección IP Nombre de host Palabra clave predefinida 192.168.x.100 Glasgow #PRE

! Guarde el archivo Lmhosts sin la extensión .sam.

! Liberar la caché de nombres NetBIOS y volver a cargarla a partir del archivo Lmhosts

Complete este procedimiento desde los equipos de ambos alumnos.

! Abra el símbolo del sistema mediante Ejecutar como. ! Nombre de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd

! Ver la caché de nombres NetBIOS Complete este procedimiento desde los equipos de ambos alumnos.

• Compruebe que la caché de nombres NetBIOS contiene una entrada para el equipo Glasgow.


Práctica A: Resolución de nombres


En esta práctica, resolverá nombres. Objetivos



Ejercicio 1 Resolución de nombres En este ejercicio, resolverá nombres.

Instrucciones Complete este ejercicio desde el equipo servidor.

Para completar la práctica, remítase al documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo.


Situación de ejemplo El departamento del laboratorio está llevando a cabo reformas. Durante ese tiempo, los servidores WINS y DNS estarán fuera de conexión. Para permitir la resolución de nombres de host y NetBIOS, hay que configurar las entradas correctas en los archivos Hosts y Lmhosts para cada equipo del laboratorio. Usted agregará las entradas correctas a los archivos Hosts y LmHosts para permitir la resolución de nombres durante la ausencia de los servidores DNS y WINS.


Siga estos pasos desde los equipos de ambos alumnos.

1. Compruebe que puede conectar con el nombre NetBIOS del equipo Glasgow mediante el comando ping.

" Use el comando ping.

2. Compruebe que puede ver los recursos compartidos en Glasgow.

" Use el comando Net View.

3. Modifique los archivos de resolución de nombres de host y NetBIOS.

" En el símbolo del sistema, escriba C:\moc\2184\labfiles\lab04\names.vbs.

4. Compruebe que no puede conectar con el equipo Glasgow.


5. Compruebe que no puede ver los recursos compartidos en Glasgow.


6. Compruebe que hay una entrada incorrecta para Glasgow en el archivo Lmhosts y corríjala.

" Dirección IP: 192.168.x.100

" Nombre del equipo: Glasgow

" Modificador del archivo Lmhosts: #PRE



7. Compruebe que la entrada incorrecta para el equipo Glasgow está en la caché de nombres NetBIOS.

" La caché de nombres NetBIOS debería contener una entrada incorrecta para Glasgow.

8. Vuelva a cargar la caché de nombres NetBIOS y compruebe entonces que contiene la entrada correcta para Glasgow.



9. Compruebe que en la caché de resolución del cliente hay un entrada incorrecta para el equipo Glasgow.

" La caché de resolución del cliente debería contener una entrada incorrecta para Glasgow.

10. Compruebe que hay una entrada incorrecta para Glasgow en el archivo Hosts y corríjala.



11. Compruebe que en la caché de resolución del cliente hay un entrada correcta para el equipo Glasgow.



12. Compruebe que puede conectar con el equipo Glasgow mediante el comando ping.


13. Compruebe que puede ver el recurso compartido en Glasgow.


14. Mueva los archivos Hosts y Lmhosts a la carpeta C:\Moc\2184\Labfiles\ Lab04, vacíe a continuación la caché de nombres de resolución DNS y vuelva a cargar la caché de nombres NetBIOS (para prepararse para el módulo siguiente).

" Mueva los archivos Host y Lmhosts a la carpeta C:\Moc\2184\Labfiles\Lab04.

" Vacíe la caché de nombres de resolución DNS.

" Vuelva a cargar la caché de nombres NetBIOS.

Contenido

Introducción 1

Presentación multimedia: Función de DNS en las infraestructuras de redes 2

Lección: Instalar el servicio Servidor DNS 3

Lección: Configurar las propiedades del servicio Servidor DNS 12

Lección: Configurar zonas DNS 30

Lección: Configurar las transferencias de zona DNS 46

Lección: Configurar las actualizaciones dinámicas DNS 54

Lección: Configurar un cliente DNS 73

Lección: Delegar la autoridad en las zonas 81

Práctica A: Resolución de nombres de host mediante el Sistema de nombres de dominio 85

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para resolver nombres.


! Describir la función del Sistema de nombres de dominio (DNS, Domain Name System) en las infraestructuras de redes.

! Instalar el servicio Servidor DNS. ! Configurar las propiedades del servicio Servidor DNS. ! Configurar zonas DNS. ! Configurar las transferencias de zona DNS. ! Configurar las actualizaciones dinámicas DNS. ! Configurar un cliente DNS. ! Delegar la autoridad en las zonas.


! Archivo 2184a_05.ppt de Microsoft® PowerPoint®. ! El documento Valores del plan de implementación que se encuentra

en el apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Función de DNS en las infraestructuras

de redes. ! La presentación multimedia Información general acerca de las

actualizaciones dinámicas de DNS

Se recomienda utilizar PowerPoint 2002 o una versión posterior para mostrar las diapositivas de este curso. Si usa PowerPoint Viewer o una versión anterior de PowerPoint, puede que no se muestren correctamente todas las características de las diapositivas.


! Leer todo el material del mismo. ! Completar todos los ejercicios y la práctica. ! Demostrar todos los procedimientos de las páginas de instrucciones. ! Revisar la presentación multimedia Función de DNS en las infraestructuras

de redes. ! Revisar la presentación multimedia Información general acerca de las

actualizaciones dinámicas de DNS. ! Repasar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 4 horas 15 minutos Práctica: 15 minutos

Material necesario

Importante


iv Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)


Páginas de instrucciones, ejercicios y prácticas Explique a los alumnos el diseño para este curso de las páginas de instrucciones, los ejercicios y las prácticas. Un módulo incluye dos lecciones o más. La mayor parte de las lecciones contienen páginas de instrucciones y un ejercicio. Una vez que los alumnos completen las lecciones, el módulo finaliza con una práctica.


Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones. En las demostraciones que no son obligatorias puede usar los equipos London o Glasgow. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y las prácticas.

Una vez tratado el contenido del tema y realizadas las demostraciones de los procedimientos de la lección, explique que un ejercicio permitirá a los alumnos adquirir experiencia práctica en las tareas tratadas.





Importante

Ejercicios

Prácticas

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) v

Presentación multimedia: Función de DNS en las infraestructuras de redes

En esta sección se describen métodos para impartir esta presentación multimedia:


! Explique que esta presentación multimedia proporciona una introducción visual avanzada a DNS y al espacio de nombres de dominio. Los detalles relativos al funcionamiento de DNS se describen en el tema y en las páginas de procedimientos.

! El tiempo previsto para completar la presentación multimedia es de siete minutos.

Lección: Instalar el servicio Servidor DNS En esta sección se describen métodos para impartir esta lección.

! Defina el Sistema de nombres de dominio (DNS). ! Explique la finalidad de DNS. ! Comente el objetivo del Centro de información de redes de Internet

(InterNIC, Internet Network Information Center).

• Para obtener más información acerca de InterNIC, puede visitar el sitio http://www.internic.net.

! Cuente la historia de DNS.

! Explique el objetivo de un espacio de nombres de dominio. ! Con ayuda de la ilustración de la diapositiva, defina un espacio de nombres

de dominio, un dominio, un dominio raíz, un dominio de nivel superior, un dominio de segundo nivel y un subdominio.

! Explique qué es un nombre de dominio completo (FQDN, Fully Qualified Domain Name).

! Proporcione ejemplos de espacio de nombres de dominio, dominio, dominio raíz, dominio de nivel superior, dominio de segundo nivel y subdominio.

! Explique la finalidad de los estándares de denominación de DNS. ! Describa los estándares de denominación de DNS. ! Proporcione ejemplos de nombres DNS que cumplen con los estándares

de denominación de DNS.

Introducción al Sistema de nombres de dominio

Qué es un espacio de nombres de dominio

Estándares para denominación de DNS

vi Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)

! Demuestre cómo instalar el servicio Servidor DNS.

Para fines instructivos, este procedimiento sólo explica la instalación de un servicio Servidor DNS. En la página Asistente para configurar un servidor DNS, haga clic en Cancelar. Para presentar y demostrar cómo configurar el servidor DNS, consulte la lección Configurar las propiedades del servicio Servidor DNS en este módulo.


al final de su cuaderno de trabajo. ! Indique a los alumnos que pueden consultar las páginas de instrucciones

correspondientes a la lección. ! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que deben completar la siguiente tarea práctica.

• Instalar el servicio Servidor DNS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Configurar las propiedades del servicio Servidor DNS En esta sección se describen métodos para impartir esta lección.

! Describa los componentes de DNS, incluido el servidor DNS, el cliente DNS y los registros de recursos DNS.

• Describa brevemente los registros de recursos, ya que este contenido se explica con más detalle después en la lección.

! Defina lo que es una consulta.

• Explique brevemente que existen dos tipos de consulta, puesto que hay temas posteriores en esta lección donde se explica con detalle las consultas recursivas e iterativas.

! Describa cómo tanto los clientes DNS como los servidores DNS pueden inician consultas para resolución de nombres.

! Explique que un servidor DNS puede estar autorizado o no para el espacio de nombres de la consulta:

• Describa cómo será la respuesta del servidor DNS si está autorizado.

• Describa cómo será su respuesta si no lo está.

! Defina lo que es una consulta recursiva. ! Explique la finalidad de una consulta recursiva. ! Explique sus características. ! Con ayuda de la diapositiva, describa cómo funciona una consulta recursiva.


Cómo instalar el servicio Servidor DNS

Importante

Ejercicio: Instalar el servicio Servidor DNS

Cuáles son los componentes de una solución DNS

Qué es una consulta DNS

Cómo funcionan las consultas recursivas

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) vii

! Defina una sugerencia de raíz. ! Con ayuda de la diapositiva, describa la función de una sugerencia de raíz

en Internet y dentro de la organización.

! Defina lo que es una consulta iterativa. ! Explique su finalidad. ! Describa las características de una consulta iterativa. ! Describa cómo funciona una consulta iterativa, haciendo referencia al

ejemplo ilustrado en la diapositiva.


! Describa cómo funciona una referencia. ! Describa cómo funciona la recursividad.

! Defina lo que es un reenviador. ! Explique la finalidad de los reenviadores. ! Describa cómo funciona un reenviador, haciendo referencia al ejemplo

ilustrado en la diapositiva.


! Describa el comportamiento del reenviador, incluido el modo no exclusivo, el modo exclusivo y el reenvío condicional.

! Defina lo que es el almacenamiento en caché. ! Explique la finalidad del almacenamiento en caché del servidor DNS. ! Describa cómo funciona el almacenamiento en caché del servidor DNS,

haciendo referencia al ejemplo ilustrado en la diapositiva.


! Describa cómo funciona el almacenamiento en caché de referencias no encontradas.

! Explique qué son los servidores sólo obtener. ! Explique brevemente qué es el almacenamiento en la caché de resolución

del cliente DNS.

• Si los alumnos desean más información acerca del servicio de resolución del cliente DNS, consulte el módulo 4, �Resolución de nombres�, en el curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server� 2003: Servicios de red.

! Demuestre cómo actualizar sugerencias de raíz en un servidor DNS. ! Demuestre cómo configurar un servidor DNS para utilizar un reenviador. ! Demuestre cómo borrar la caché del servidor DNS con la consola DNS. ! Demuestre cómo borrar la caché del servidor DNS con el comando dnscmd.

Cómo funciona una sugerencia de raíz

Cómo funcionan las consultas iterativas

Cómo funcionan los reenviadores

Cómo funciona el almacenamiento en caché del servidor DNS

Cómo configurar propiedades para el servicio Servidor DNS

viii Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)



! Indíqueles que lean la situación de ejemplo. ! Haga que completen la configuración de un servidor DNS para utilizar

un reenviador. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Configurar zonas DNS En esta sección, se describen los métodos para impartir esta lección.

! Defina lo que es un registro de recursos, una zona y un archivo de zona. ! Con ayuda de la diapositiva, describa cómo se almacenan y mantienen

los datos DNS.

• Describa brevemente los registros de recursos y las zonas, ya que estos dos temas se explicarán con más detalle después en esta lección.

! Defina un conjunto de registros de recursos. ! Explique la finalidad de los registros de recursos. ! Describa los tipos de recurso. ! Proporcione un ejemplo de registro de recursos y de tipos de registro.

• Por ejemplo, podría crear diferentes tipos de registros de recursos para la zona Demo.com.

! Proporcione un ejemplo de un conjunto de registros de recursos.

! Explique la finalidad de una zona DNS. ! Explique sus características. ! Proporcione ejemplos de zonas DNS, haciendo referencia a las ilustraciones

de la diapositiva.

! Explique que hay tres tipos de zona DNS: principal, secundaria y de código auxiliar.

! Describa la finalidad de los tipos de zona DNS. ! Defina qué es una zona principal y cuándo es beneficioso su uso. ! Explique qué es una zona secundaria y cuándo es beneficioso su uso. ! Explique qué es una zona de código auxiliar y cuándo es beneficioso su uso.

! Demuestre cómo cambiar un tipo de zona DNS.

Ejercicio: Configurar las propiedades del servicio Servidor DNS

Cómo se almacenan y mantienen los datos DNS

Qué son los registros de recursos y los tipos de registro

Qué es una zona DNS

Qué son los tipos de zona DNS

Cómo cambiar un tipo de zona DNS

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) ix

! Explique la finalidad del reenviador DNS y las zonas de búsqueda inversa. ! Defina las búsquedas directas y las zonas de búsqueda directa. ! Explique qué es una búsqueda inversa y una zona de búsqueda inversa. ! Proporcione un ejemplo de zona de búsqueda directa y zona de búsqueda

inversa, haciendo referencia a las ilustraciones de la diapositiva.

! Demuestre cómo configurar una zona de búsqueda directa en un tipo de zona principal.

! Demuestre cómo configurar una zona de código auxiliar de búsqueda directa.

! Demuestre cómo configurar una zona de búsqueda directa en un tipo de zona secundario.

! Demuestre cómo configurar una zona de búsqueda inversa en un tipo de zona principal.

! Demuestre cómo configurar una zona de búsqueda inversa en un tipo

de zona secundaria. ! Remita a los alumnos al documento Valores del plan de implementación



• Configurar una zona de búsqueda directa en un tipo de zona secundaria.

• Configurar una zona de búsqueda inversa en un tipo de zona secundaria.

• Configurar una zona de búsqueda directa en un tipo de zona principal. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Configurar las transferencias de zona DNS En esta sección, se describen los métodos para impartir esta lección.

! Comente que hay dos tipos de transferencias de zona DNS: completa e incremental.

! Defina lo que es un servidor DNS principal, servidor secundario, servidor maestro, transferencia de zona DNS, transferencia de zona completa, AXFR, transferencia de zona incremental e IXFR.

! Explique la finalidad de una transferencia de zona DNS. ! Describa el proceso de transferencia de zona DNS, haciendo referencia a las

ilustraciones de la diapositiva.


Qué son las zonas de búsqueda directa e inversa

Cómo configurar zonas de búsqueda directa e inversa

Ejercicio: Configurar zonas DNS

Cómo funcionan las transferencias de zona DNS

x Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)

! Defina la notificación DNS y la lista de notificación. ! Explique la finalidad de la notificación DNS. ! Describa el proceso de notificación DNS, haciendo referencia a las

ilustraciones de la diapositiva.


! Demuestre cómo configurar una transferencia de zona DNS y la

notificación DNS.



! Indíqueles que lean la situación de ejemplo. ! Haga que los alumnos completen la configuración de una transferencia

de zona DNS y de la notificación DNS en una zona de búsqueda directa principal.


Lección: Configurar las actualizaciones dinámicas DNS En esta sección, se describen los métodos para impartir esta lección.

En esta sección, se describen los métodos para impartir esta presentación multimedia.


! Explique que esta presentación multimedia proporciona una introducción visual avanzada a las actualizaciones DNS dinámicas, la diferencia entre actualizaciones manuales y dinámicas, y el modo en que el Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol) interactúa con DNS. En el tema y en las páginas de instrucciones se proporciona información detallada.

! El tiempo previsto para completar la presentación multimedia es de cinco minutos.

! Defina lo que es una actualización dinámica y una actualización manual. ! Explique la finalidad de las actualizaciones dinámicas. ! Describa circunstancias que motivarían la configuración manual

de actualizaciones dinámicas.

Cómo funciona la notificación DNS

Cómo configurar transferencias de zona DNS

Ejercicio: Configurar las transferencias de zona DNS

Presentación multimedia: Información general acerca de las actualizaciones dinámicas de DNS

Qué son las actualizaciones dinámicas

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) xi

! Explique los tipos de clientes DNS que pueden registrar y actualizar dinámicamente registros de recursos.

! Describa el proceso de actualizar clientes DNS dinámicamente, haciendo referencia a las ilustraciones de la diapositiva.

! Defina el concepto de cliente de bajo nivel. ! Explique la finalidad de las actualizaciones DNS dinámicas con un

servidor DHCP. ! Explique los tipos de clientes DHCP que pueden registrar y actualizar

dinámicamente registros de recursos. ! Describa el proceso de actualizar clientes de bajo nivel dinámicamente,

haciendo referencia a las ilustraciones de la diapositiva. ! Describa el proceso de actualización dinámica de clientes de Microsoft

Windows XP.

! Comente que, para utilizar un cliente DNS en las actualizaciones dinámicas, los alumnos deben configurar:

• El servidor DNS para aceptar actualizaciones dinámicas.

• Los clientes DNS para crear actualizaciones dinámicas para sí mismos. ! Explique que, para utilizar un servidor DHCP en las actualizaciones

dinámicas, los alumnos deben configurar:

• El servidor DNS para aceptar actualizaciones dinámicas.

• El servidor DHCP para crear actualizaciones dinámicas en nombre de los clientes DHCP.

! Demuestre cómo configurar un servidor DNS que ejecuta Windows Server 2003 para aceptar actualizaciones dinámicas de registros de recursos DNS.

! Demuestre cómo configurar un cliente de Windows XP Professional para actualizar dinámicamente sus registros de recursos DNS en DNS.

! Demuestre cómo configurar un servidor DHCP que ejecuta Windows Server 2003 para actualizar dinámicamente en DNS registros de recursos DNS en nombre de clientes DHCP.

! Demuestre cómo crear registros de recursos DNS manualmente.

! Defina lo que es una zona DNS integrada en Active Directory. ! Explique la finalidad de las zonas DNS integradas en Active Directory. ! Describa las características de las zonas DNS integradas en Active

Directory.

Cómo registran y actualizan los clientes DNS sus registros de recursos propios mediante actualizaciones dinámicas

Cómo registra y actualiza un servidor DHCP los registros de recursos mediante actualizaciones dinámicas

Cómo configurar actualizaciones DNS manuales y dinámicas

Qué es una zona DNS integrada en Active Directory

xii Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)

! Defina lo que es una actualización dinámica segura. ! Explique la finalidad de las actualizaciones dinámicas seguras. ! Explique la diferencia entre actualizaciones dinámicas no seguras

y sólo seguras. ! Describa la secuencia de sucesos en el proceso de actualización

dinámica segura.


! Demuestre cómo configurar zonas DNS integradas en Active Directory para

permitir actualizaciones dinámicas seguras. ! Demuestre cómo configurar seguridad en una zona DNS integrada en

Active Directory.




• Configurar un servidor DNS de modo que acepte actualizaciones dinámicas para una zona de búsqueda directa.

• Configurar un servidor DHCP para actualizar dinámicamente registros de recursos DNS en nombre de clientes DHCP.

• Crear manualmente registros de recursos de host DNS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Configurar un cliente DNS En esta sección, se describen los métodos para impartir esta lección.

! Defina lo que es un servidor DNS preferido y un servidor DNS alternativo. ! Describa la finalidad de los servidores DNS preferido y alternativo. ! Defina la opción Selección de sufijo, haciendo referencia a la ilustración

de la diapositiva. ! Explique el sufijo específico de conexión, haciendo referencia a la

ilustración de la diapositiva. ! Describa cómo se aplican los sufijos.

! Explique la finalidad de la configuración de sufijos. ! Describa el proceso de entrar en contacto con servidores preferidos y

alternativos, haciendo referencia a las ilustraciones de la diapositiva.

Cómo utilizan actualizaciones dinámicas seguras las zonas DNS integradas en Active Directory

Cómo configurar zonas DNS integradas en Active Directory para permitir actualizaciones dinámicas seguras

Ejercicio: Configurar las actualizaciones dinámicas DNS

Cómo funcionan los servidores DNS preferidos y alternativos

Cómo se aplican los sufijos

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) xiii

! Demuestre cómo configurar manualmente un cliente DNS para utilizar servidores DNS preferidos y alternativos.

! Demuestre cómo configurar la opción de servidor DNS y la opción de sufijo DNS en DHCP.




• Configurar un cliente DNS.

• Ver la configuración del cliente DNS mediante ipconfig. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Delegar la autoridad en las zonas En esta sección, se describen los métodos para impartir esta lección.

! Defina el concepto de delegación. ! Explique la finalidad de la delegación. ! Proporcione un ejemplo de delegación de una zona DNS, haciendo

referencia a las ilustraciones de la diapositiva.

! Explique cómo aplicar las directrices. ! Demuestre cómo delegar un subdominio a una zona DNS.

• Los alumnos no tendrán oportunidad de practicar esta tarea, puesto que en esta lección no se realiza ningún ejercicio.

Cómo configurar un cliente DNS

Ejercicio: Configurar un cliente DNS

Qué es la delegación de una zona DNS

Cómo delegar un subdominio a una zona DNS

Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS) 1

Introducción


Una solución de red tiene que incluir el Sistema de nombres de dominio (DNS) para conectar los componentes de la infraestructura de redes. Un factor importante en la conexión de componentes es la resolución de los nombres de host en direcciones de Protocolo Internet (IP, Internet Protocol). En este módulo, aprenderá cómo resolver nombres de host mediante DNS.

Después de finalizar este módulo, será capaz de:

! Describir la función del Sistema de nombres de dominio (DNS, Domain Name System) en las infraestructuras de redes

! Instalar el servicio Servidor DNS. ! Configurar las propiedades del servicio Servidor DNS. ! Configurar zonas DNS. ! Configurar las transferencias de zona DNS. ! Configurar las actualizaciones dinámicas DNS. ! Configurar un cliente DNS. ! Delegar la autoridad en las zonas.

Introducción

Objetivos

2 Módulo 5: Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)

Presentación multimedia: Función de DNS en las infraestructuras de redes


Para iniciar la presentación Función de DNS en las infraestructuras de redes, abra la página Web incluida en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.


! Explicar la función y las ventajas de DNS en las infraestructuras de redes. ! Definir los componentes principales de DNS. ! Describir el espacio de nombres de dominio DNS. ! Describir las zonas DNS y la transferencia de zonas. ! Describir los servidores de nombres DNS. ! Explicar el funcionamiento del proceso de resolución de nombres de host. ! Explicar las consultas de búsqueda directa.

! DNS es un sistema de base de datos distribuido que puede servir como

fundamento para la resolución de nombres en una red IP. ! La mayor parte del software de comunicación de redes, como los programas

de correo electrónico y los exploradores Web, emplean DNS para localizar servidores y resolver el nombre descriptivo de un equipo en su dirección IP, o buscar la asignación correspondiente.

! El espacio de nombres de dominio proporciona la estructura de una base de datos DNS distribuida.

! Los dominios pueden organizarse en zonas, que son áreas discretas o contiguas del espacio de nombres de dominio.

! Los datos de la asignación entre nombres y direcciones IP de todos los equipos de una zona se almacenan en un archivo de base de datos de zonas, en un servidor de nombres DNS.

Ubicación del archivo

Objetivos

Puntos clave


Lección: Instalar el servicio Servidor DNS


El primer paso para poder resolver nombres de host es instalar el servicio Servidor DNS.


! Explicar la finalidad y conceptos básicos de DNS. ! Explicar qué es un espacio de nombres de dominio. ! Definir los estándares para denominación de DNS. ! Instalar el servicio Servidor DNS.

Introducción



Introducción al Sistema de nombres de dominio


DNS es un servicio de resolución de nombres. DNS resuelve direcciones legibles para las personas (como www.microsoft.com) en direcciones (como 192.168.0.1).

El Sistema de nombres de dominio (DNS) es una base de datos jerárquica y distribuida que contiene asignaciones entre nombres de host DNS y direcciones IP. DNS permite la localización de equipos y servicios mediante nombres alfanuméricos, que son fáciles de recordar. DNS permite también el descubrimiento de servicios de red, como servidores de correo electrónico y controladores de dominio en el servicio de directorio Active Directory®.

DNS es la base del esquema de denominación de Internet y del esquema de denominación de dominios de Active Directory de una organización. DNS admite el acceso a recursos mediante el uso de nombres alfanuméricos. Sin DNS, el usuario tendría que localizar las direcciones IP de los recursos para tener acceso a ellos. Puesto que las direcciones IP de los recursos pueden cambiar, sería difícil mantener una lista exacta de las direcciones IP que les corresponden. DNS permite a los usuarios centrarse en nombres alfanuméricos, que permanecen relativamente constantes en una organización, en vez de hacerlo en direcciones IP.

Con DNS, los nombres de host residen en una base de datos que puede distribuirse entre varios servidores, disminuyendo la carga en cualquier servidor y proporcionando la capacidad de administrar este sistema de denominación en función de las particiones. DNS admite nombres jerárquicos y permite el registro de varios tipos de datos además de la asignación entre nombres de host y direcciones IP que se utilizan en los archivos Hosts. Puesto que la base de datos DNS está distribuida, su tamaño es ilimitado y el rendimiento no disminuye mucho cuando se agregan más servidores.

Introducción

Definición

Finalidad de DNS


El sistema de denominación conceptual en el que se basa DNS es una estructura de árbol jerárquica y lógica conocida como el espacio de nombres de dominio. El Centro de información de redes en Internet (InterNIC) administra la raíz o nivel máximo del espacio de nombres de dominio.

InterNIC es responsable de delegar la responsabilidad administrativa para partes del espacio de nombres de dominio y para el registro de nombres de dominio. Los nombres de dominio se administran mediante el uso de un sistema de base de datos distribuida de información de nombres almacenados en servidores de nombres, que se encuentran en toda la red. Cada servidor de nombres tiene archivos de base de datos que contienen información registrada para una región seleccionada dentro de la jerarquía de árbol de dominios.

Para obtener más información acerca de InterNIC, puede visitar el sitio http://www.internic.net.

DNS nació en los primeros momentos de Internet, cuando era una pequeña red que el Departamento de defensa de los Estados Unidos estableció para fines de investigación. Los nombres de host de los equipos de esta red se administraban mediante el uso de un único archivo de hosts que se encontraba en un servidor administrado centralmente. Cada sitio que tenía que resolver nombres de host en la red descargaba este único archivo.

A medida que el número de hosts de Internet creció, el tráfico que se generaba con el proceso de actualización aumentaba, además del tamaño del archivo de hosts. Se hizo necesaria la existencia de un nuevo sistema que ofreciera características como escalabilidad, administración descentralizada y compatibilidad con varios tipos de datos.

DNS se introdujo en 1984 y se convirtió en este nuevo sistema.

InterNIC

Nota

Historia de DNS


Qué es un espacio de nombres de dominio


Un espacio de nombres DNS incluye el dominio raíz, dominios de nivel superior, dominios de nivel secundario y, posiblemente, subdominios. Juntos, el espacio de nombres DNS y el nombre de host conforman el nombre de dominio completo (FQDN).

El espacio de nombres DNS permite mostrar nombres de recursos para organizarlos en una estructura lógica que los usuarios pueden entender fácilmente. Gracias a la estructura jerárquica del espacio de nombres DNS, la organización y localización de recursos se simplifica en gran medida.

El espacio de nombres de dominio es un árbol de nombres jerárquico que DNS utiliza para identificar y localizar un host dado en un dominio en relación a la raíz del árbol.

Los nombres de la base de datos DNS establecen una estructura de árbol lógica conocida como espacio de nombres de dominio. El nombre de dominio identifica la posición de un dominio en el árbol de nombres en relación a su dominio principal. Para utilizar y administrar un servicio DNS, el espacio de nombres de dominio hace referencia a cualquier estructura de árbol de nombres de dominio en su totalidad, desde la raíz de nivel superior del árbol a las ramas de los niveles inferiores. El árbol debe cumplir las convenciones aceptadas para representar nombres DNS. La convención principal es simplemente ésta: para cada nivel de dominio, se utiliza un punto (.) con el fin de separar cada subdominio descendente de su dominio de nivel primario.

Un dominio, en DNS, es cualquier árbol o subárbol dentro del espacio de nombres de dominio general. Aunque los nombres para dominios DNS se utilizan para denominar dominios de Active Directory, son diferentes de los dominios de Active Directory y no deben confundirse.

Introducción

Finalidad de un espacio de nombres de dominio

Espacio de nombres de dominio

Dominio


Éste es el nodo raíz del árbol DNS. No tiene asignado nombre (nulo). A veces se representa en nombres DNS mediante un punto (.) para designar que el nombre se encuentra en la raíz o nivel más alto de la jerarquía de dominios.

Es la parte posterior (extremo derecho) de un nombre de dominio. Normalmente, un dominio de nivel superior se establece como un código de nombre de dos o tres caracteres que identifica el estado organizativo o geográfico para el nombre de dominio. En el ejemplo www.microsoft.com, el nombre de dominio de nivel superior es la parte �.com� del mismo, que indica que este nombre ha sido registrado por una organización para uso comercial.

Un espacio de nombres corporativo interno, como puede ser un bosque de Active Directory, no tiene que finalizar en un dominio de nivel superior válido. Se puede utilizar para fines internos el dominio corp.ejemplo.local u otro espacio de nombres que no esté reconocido en Internet.

Un nombre de dominio de segundo nivel es un nombre único de longitud variable que InterNIC registra formalmente para un profesional u organización que se conecta a Internet. En el ejemplo de www.microsoft.com, el nombre de segundo nivel es la parte �.Microsoft� del mismo, que InterNIC registra y asigna a Microsoft Corporation.

Además de un nombre de segundo nivel que esté registrado con InterNIC, una gran organización puede subdividir su nombre de dominio registrado agregando subdivisiones o departamentos representados por una parte de nombre independiente. A continuación, se muestran ejemplos de nombres de subdominio:

! .sales.microsoft.com ! .finance.microsoft.com ! .corp.ejemplo.local

Un nombre de dominio completo (FQDN) es un nombre de dominio DNS que se ha determinado de forma inequívoca para indicar con una certeza absoluta su ubicación en el árbol del espacio de nombres de dominio.

La ilustración de la diapositiva muestra el espacio de nombres DNS de una compañía que está conectada a Internet.

El dominio raíz y los dominios de primer nivel .net, .com y .org representan el espacio de nombres Internet, la parte del espacio de nombres bajo control administrativo del cuerpo gubernamental de Internet.

El dominio de segundo nivel, nwtraders, y sus subdominios west, south, east y el subdominio sales representan todos el espacio de nombres privado, bajo el control administrativo de la compañía, Northwind Traders.

El nombre de dominio completo para el host server1, server1.sales.south.nwtraders.com, indica exactamente dónde reside este host en el espacio de nombres en relación a la raíz.

Dominio raíz

Dominio de nivel superior

Nota

Dominio de segundo nivel

Subdominio

Nombre de dominio completo

Ejemplo




Los estándares para denominación de DNS están diseñados para permitir la coherencia entre cualquier implementación de DNS. Dichos estándares son las reglas globales, por lo que independientemente de quién implemente DNS, su implementación puede interoperar con otras. Gracias a los estándares de denominación de DNS, las organizaciones que implementan un espacio de nombres DNS también pueden utilizar el mismo espacio de nombres en Internet.

Los estándares para denominación de DNS admiten un subconjunto limitado del juego de caracteres ASCII para DNS. En el documento de Solicitud de comentarios (RFC, Request for Comments) 1123 se especifican los caracteres siguientes como válidos para nombres DNS.

! A-Z ! a-z ! 0-9 ! Guión (-)

Todos los caracteres no válidos se sustituyen por guiones. Por ejemplo, si se utiliza un carácter de subrayado en el nombre del equipo, éste será sustituido por un guión.

Aunque los servidores DNS que ejecutan Microsoft® Windows® 2000 y versiones posteriores incluyen compatibilidad para caracteres ASCII extendidos y Unicode, se recomienda limitar los nombres DNS a los caracteres especificados en el documento RFC 1123.

El carácter de subrayado (_) está reservado para fines especiales en registros SRV. Para obtener más información, consulte el documento RFC 2782.

Propósito de los estándares para denominación de DNS



Cómo instalar el servicio Servidor DNS


El primer paso para crear una solución DNS para resolver nombres de host es instalar el servicio Servidor DNS.


Para instalar el servicio Servidor DNS es necesario disponer de derechos administrativos.

Para instalar un servidor DNS:

Para fines instructivos, este procedimiento sólo explica la instalación de un servicio Servidor DNS. Si desea aprender y practicar la configuración del servidor DNS, consulte la lección Configurar las propiedades del servicio Servidor DNS en este módulo.

1. Inicie sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y, después, haga clic en Panel de control. 3. En el Panel de control, abra Herramientas administrativas, haga clic


4. En el cuadro de diálogo Ejecutar como, seleccione El siguiente usuario, escriba una cuenta de usuario y una contraseña que tenga los permisos apropiados para completar la tarea y, después, haga clic en Aceptar.

5. En la ventana Administre su servidor, haga clic en Agregar o quitar función.

Introducción

Nota

Recomendación

Procedimiento para instalar el servicio Servidor DNS Nota


6. En la página Pasos preliminares, haga clic en Siguiente. 7. En la página Función del servidor, seleccione Servidor DNS y haga clic

en Siguiente. 8. En la página Resumen de las selecciones, haga clic en Siguiente. 9. Si se le pide, introduzca el CD de Microsoft Windows Server 2003.

10. En la página Asistente para configurar un servidor DNS, haga clic en Cancelar.

El servicio DNS se configurará en un ejercicio posterior.

11. En la página Asistente para configurar su servidor, haga clic en Finalizar.

Nota


Ejercicio: Instalar el servicio Servidor DNS


En este ejercicio, instalará el servicio Servidor DNS.



El departamento de laboratorio ha sido diseñado para utilizar un servidor DNS corporativo para la resolución de nombres. La ingeniera de sistemas ha aprobado un nuevo servidor DNS para cada subred del departamento. Tendrá que instalar el servicio Servidor DNS para su subred.

! Instalar el servicio Servidor DNS

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Para el ejercicio, no configure el servidor DNS en este momento.

Objetivo

Instrucciones


Ejercicio


Lección: Configurar las propiedades del servicio Servidor DNS


Una solución DNS está compuesta por el servidor DNS, clientes DNS y los recursos a los que hacen referencia los registros de recursos en DNS. Tras la instalación del servicio Servidor DNS, el paso siguiente es configurar correctamente el servidor DNS para su entorno.


! Explicar cuáles son los componentes de una solución DNS. ! Definir qué es una consulta DNS. ! Describir cómo funcionan las consultas recursivas. ! Describir cómo funcionan las sugerencias de raíz. ! Explicar cómo funcionan las consultas iterativas. ! Describir cómo funcionan los reenviadores. ! Definir cómo funciona el almacenamiento en caché del servidor DNS. ! Configurar las propiedades para el servicio Servidor DNS.

Introducción



Cuáles son los componentes de una solución DNS


Los componentes de una solución DNS se describen en la tabla siguiente.

Componente Descripción Servidor DNS • Equipo que ejecuta el servicio DNS

• Aloja un espacio de nombres o parte de un espacio de nombres (dominio)

• Autorizado para un espacio de nombres o dominio

• Resuelve las consultas de resolución de nombres que los clientes DNS (Cliente DNS = Solucionador) envían

Cliente DNS • Equipo que ejecuta el servicio Cliente DNS

Registros de recursos DNS

• Entradas en la base de datos DNS que asignan nombres de host a recursos

En este curso, se hace referencia al servidor de nombres como servidor DNS.

Los componentes de una solución DNS son los clientes DNS, los servidores DNS y los registros de recursos DNS. Los registros de recursos se encuentran en la base de datos de servidores DNS. También, si su solución DNS está conectada a Internet, pueden utilizarse los servidores DNS de Internet.

Componentes de DNS

Nota

Ejemplo


Qué es una consulta DNS


Una consulta es una solicitud de resolución de nombres que se envía a un servidor DNS. Hay dos tipos de consultas: recursivas e iterativas.

Las consultas recursivas e iterativas se explicarán posteriormente en esta lección.

La finalidad de una solución DNS es permitir a los usuarios el acceso a los recursos mediante nombres alfanuméricos. Una consulta DNS se genera cuando el solucionador de cliente DNS pide al servidor DNS la dirección IP del nombre proporcionado. La consulta DNS es la manera en la que el servicio o aplicación obtiene la dirección IP del recurso para poder tener acceso a él.

Los clientes DNS y los servidores DNS inician consultas para resolución de nombres. Un sistema de cliente puede emitir una consulta a un servidor DNS, que puede emitir después consultas a otros servidores DNS.

Definición

Nota

Finalidad de una consulta DNS

Cómo se inician las consultas DNS


Un servidor DNS puede estar autorizado o no para el espacio de nombres de la consulta. Estar autorizado quiere decir que un servidor DNS aloja una copia principal o secundaria de una zona DNS.

Si el servidor DNS está autorizado para el espacio de nombres de la consulta, el servidor DNS realizará una de las acciones siguientes:

! Comprobar la caché, comprobar la zona y devolver la dirección IP solicitada. ! Devolver un número de autorización.

Si el servidor DNS local no está autorizado para el espacio de nombres de la consulta, realizará una de las acciones siguientes:

! Reenviar la consulta que no puede resolverse a un servidor específico denominado reenviador.

! Utilizar direcciones reconocidas de varios servidores raíz para subir en el árbol DNS y localizar una respuesta para la consulta. Este proceso se denomina también sugerencias de raíz.

Los reenviadores se explican más adelante en esta lección. Para obtener más información acerca de las sugerencias de raíz, consulte la lección Configurar las zonas DNS en este módulo.

Servidores DNS autorizados y no autorizados

Nota


Cómo funcionan las consultas recursivas


Una consulta recursiva es aquélla realizada a un servidor DNS, en la que el cliente DNS solicita al servidor DNS que proporcione una respuesta completa a la consulta. La única respuesta aceptable a una consulta recursiva es la respuesta completa o una que indique que el nombre no se pudo resolver. Una consulta recursiva no puede redirigirse a otro servidor DNS.

Mediante una consulta recursiva, el cliente DNS puede confiar en el servidor DNS para localizar la asignación entre el nombre de host y la dirección IP. El cliente DNS pregunte al servidor DNS la asignación y acepta su respuesta.

Las consultas recursivas pueden ser iniciadas por un cliente DNS o por un servidor DNS que se configuren como reenviadores. Una consulta recursiva deja al servidor consultado la responsabilidad de devolver una respuesta final.

La respuesta a una consulta recursiva siempre será positiva o negativa (dependiendo de si la referencia se ha encontrado o no). En una consulta recursiva, se pide al servidor DNS consultado que responda con una de las respuestas siguientes:

! Los datos solicitados. ! Un error que establece que los datos del tipo solicitado no existen. ! Una respuesta que establece que el nombre de dominio especificado

no existe.

Definición

Finalidad de una consulta recursiva

Consulta recursiva


Los pasos siguientes describen cómo funciona una consulta recursiva de un cliente al servidor DNS configurado de dicho cliente:

1. El cliente envía una consulta recursiva al servidor DNS local. 2. El servidor DNS local comprueba la zona de búsqueda directa y la caché

para una respuesta a la consulta. 3. Si se encuentra la respuesta a la consulta, el servidor DNS la devuelve

al cliente. 4. Si no se encuentra respuesta, el servidor DNS utiliza una dirección

de reenviador o sugerencias de raíz para localizar una.

En la ilustración, el cliente DNS pregunta al servidor DNS la dirección IP del nombre para mostrar proporcionado. Entonces, el cliente DNS acepta la respuesta del servidor DNS.

El cliente DNS, utilizando el servicio de resolución DNS, envía una consulta DNS al servidor DNS para obtener la dirección IP de mail1.nwtraders.msft. El servidor DNS comprueba la caché para localizar el registro. Si la caché no contiene el registro, el servidor DNS localiza el servidor DNS autorizado para el dominio nwtraders.msft. Si el servidor DNS está autorizado para el dominio, éste busca la zona para el registro de recursos. Si el registro existe, el servidor devuelve la dirección IP para el registro consultado. Si no existe, el servidor DNS informa al cliente de que el registro no se encontró.

Cómo funciona una consulta recursiva

Ejemplo


Cómo funciona una sugerencia de raíz


Una sugerencia de raíz es un registro de recursos DNS almacenado en un servidor DNS que indica la dirección IP para los servidores raíz DNS.

Cuando el servidor DNS recibe una consulta DNS, comprueba la caché. Entonces, el servidor DNS intenta localizar el servidor DNS autorizado para el dominio consultado. Si el servidor DNS no tiene la dirección IP del servidor DNS autorizado para dicho dominio y si el servidor DNS está configurado con las direcciones IP de las sugerencias de raíz, el servidor DNS consultará a un servidor raíz el dominio a la izquierda del dominio raíz de la consulta.

El servidor raíz DNS devuelve entonces la dirección IP del dominio a la izquierda del dominio raíz y el servidor DNS continúa analizando el nombre de dominio completo hasta localizar el dominio autorizado.

Las sugerencias de raíz se almacenan en el archivo Cache.dns, que se encuentra en la carpeta %SystemRoot%\System32\Dns.

En circunstancias normales, las sugerencias de raíz indican las direcciones IP para los servidores raíz DNS que InterNIC mantiene en Internet. Las sugerencias de raíz también apuntan a un servidor DNS local. Si las sugerencias de raíz apuntan a un servidor local, los únicos nombres que estarán disponibles para resolución son aquéllos a los que el servidor DNS puede hacer referencia (normalmente, sólo direcciones locales). Esta configuración a veces puede utilizarse para incrementar la seguridad, puesto que en ella sólo pueden resolverse los dominios internos.

Definición

Función de una sugerencia de raíz

Función de las sugerencias de raíz dentro de una organización


Cómo funcionan las consultas iterativas


Una consulta iterativa es aquélla efectuada a un servidor DNS en la que el cliente DNS solicita la mejor respuesta que el servidor DNS puede proporcionar sin buscar ayuda adicional de otros servidores DNS. Las consultas iterativas se denominan a veces consultas no recursivas. El resultado de una consulta iterativa suele ser una referencia a otro servidor DNS de nivel inferior en el árbol DNS. Una referencia no sería una respuesta aceptable a una consulta recursiva.

El objetivo de una consulta iterativa es que el servidor DNS, que ahora puede utilizar la consulta recursiva del cliente, es responsable de encontrar una respuesta a la pregunta del cliente. El servidor DNS buscará una respuesta en su propia base de datos e incluso consultará servidores DNS de diferentes niveles del espacio de nombres de dominio para localizar el servidor DNS autorizado para la consulta original.

Un servidor DNS suele efectuar una consulta iterativa a otros servidores DNS después de haber recibido una consulta recursiva por parte de un cliente. En una consulta iterativa, el servidor de nombres consultado devuelve al solicitante la mejor respuesta que tiene actualmente. Las respuestas a consultas iterativas pueden ser:

! Respuestas positivas. ! Respuestas negativas. ! Referencias a otros servidores.

Un servidor DNS local suele emitir consultas iterativas a otro servidor DNS de cualquier lugar del espacio de nombres a la vez que intenta resolver una consulta de nombres en nombre de un cliente. Para que quede más claro, es el servicio Cliente DNS en el servidor DNS local el que emite la consulta iterativa.

Definición

Finalidad de una consulta iterativa

Consulta iterativa

Nota


Una referencia es una lista de objetivos, que pasan desapercibidos para el usuario, que un cliente recibe de DNS cuando el usuario está teniendo acceso a una raíz o a un vínculo en el espacio de nombres DNS. La información de referencia se almacena en la caché del cliente durante un período especificado en la configuración DNS.

Si el servidor DNS consultado no tiene una coincidencia exacta para el nombre consultado, la mejor información que puede devolver es una referencia. Una referencia apunta a un servidor DNS que está autorizado para un nivel inferior del espacio de nombres de dominio.

El cliente DNS, en el servidor DNS local, puede consultar al servidor DNS para el que obtuvo una referencia. Este proceso continúa hasta que localiza un servidor DNS que esté autorizado para el nombre consultado o bien hasta que se genere un error o se cumpla una condición de tiempo de espera.

La recursividad es una función del servidor DNS con la que un servidor DNS emite una serie de varias consultas iterativas a otros servidores DNS al mismo tiempo que responde a una consulta recursiva que emite un cliente DNS.

Los servidores DNS consultados devuelven referencias, que el servidor que realiza la consulta sigue hasta recibir una respuesta definitiva. La recursividad finaliza siempre cuando un servidor propietario del espacio de nombres proporciona una respuesta positiva o negativa.

En la ilustración, el servidor DNS local no ha conseguido resolver el nombre solicitado utilizando datos almacenados en la caché y no está autorizado para el dominio. Por tanto, comienza el proceso de localizar el servidor DNS autorizado mediante consultas a servidores DNS adicionales. Para localizar el servidor DNS autorizado para el dominio, el servidor DNS resuelve el nombre de dominio completo desde la raíz al host mediante consultas iterativas. El proceso que se utiliza en este ejemplo es el siguiente:

1. El servidor DNS local recibe una consulta recursiva de un cliente DNS. Por ejemplo, el servidor DNS local recibe una consulta recursiva de Computer1 para mail1.nwtraders.com.

2. El servidor DNS local envía una consulta iterativa al servidor raíz para obtener un servidor de nombres autorizado.

3. El servidor raíz responde con una referencia a un servidor DNS cercano al nombre de dominio enviado. Por ejemplo, el servidor raíz responde con una referencia al servidor DNS para .com.

4. El servidor DNS local realiza una consulta iterativa al servidor DNS que está más cerca del nombre de dominio enviado. Por ejemplo, el servidor DNS local efectúa entonces una consulta iterativa al servidor DNS para .com.

Referencia

Recursividad

Cómo funciona una consulta iterativa


5. El proceso continúa hasta que el servidor DNS local recibe una respuesta autorizada. Por ejemplo, el servidor DNS para .com responde con una referencia al servidor DNS para nwtraders.com. Después, el servidor DNS local envía una consulta iterativa al servidor DNS para que nwtraders.com obtenga un nombre autorizado del servidor de nombres autorizados. El servidor DNS local recibe entonces una respuesta autorizada del servidor DNS para nwtraders.com.

6. La respuesta se envía a continuación al cliente DNS. Por ejemplo, el servidor DNS local envía esta respuesta autorizada a Computer1, que puede conectarse entonces a mail1.nwtraders.com mediante la dirección IP apropiada.


Cómo funcionan los reenviadores


Un reenviador es un servidor DNS que otros servidores DNS internos designan para reenviar consultas y resolver nombres de dominio DNS externos o fuera del sitio.

Cuando un servidor de nombres DNS recibe una consulta, intenta localizar la información solicitada dentro de los archivos de su propia zona. Si no lo consigue, bien porque el servidor no esté autorizado para el dominio solicitado o bien porque no tenga el registro de una búsqueda anterior almacenado en la caché, el servidor debe comunicarse con otros servidores de nombres para resolver la solicitud. En una red conectada globalmente como Internet, las consultas DNS que están fuera de una zona local pueden necesitar la interacción con servidores de nombres DNS en vínculos de la red de área extensa (WAN) fuera de la organización. La creación de reenviadores DNS es una manera de designar servidores de nombres específicos como responsables del tráfico DNS basado en WAN.

Se pueden seleccionar servidores de nombres DNS específicos para ser reenviadores, en cuyo caso sus servidores resolverán consultas DNS en nombre de otros servidores DNS.

En la ilustración, el servidor DNS local no ha conseguido resolver el nombre solicitado con sus archivos de zona y los datos almacenados en la caché, así que reenvía la consulta al reenviador. El reenviador empieza el proceso de enviar a otros servidores de nombres consultas iterativas.

Los reenviadores DNS utilizan el proceso siguiente:

1. El servidor DNS local recibe una consulta recursiva de un cliente DNS. Por ejemplo, el servidor DNS local recibe una consulta recursiva de Computer1.

2. El servidor DNS local reenvía la consulta al reenviador.

Definición

Finalidad de los reenviadores

Proceso de los reenviadores DNS


3. El reenviador envía una consulta iterativa al servidor raíz para obtener un nombre autorizado de un servidor de nombres autorizado.

4. El servidor raíz responde con una referencia a un servidor DNS cercano al nombre de dominio enviado. Por ejemplo, el servidor raíz responde con una referencia al servidor DNS para .com.

5. El reenviador realiza una consulta iterativa al servidor DNS que está más cerca del nombre de dominio enviado. Por ejemplo, el reenviador efectúa entonces una consulta iterativa al servidor DNS para .com.

6. El proceso continúa hasta que el reenviador recibe una respuesta autorizada. Por ejemplo, el servidor DNS para .com responde con una referencia al servidor DNS para nwtraders.com. Después, el reenviador envía una consulta iterativa al servidor DNS para que nwtraders.com obtenga un servidor de nombres autorizado. El reenviador recibe entonces una respuesta autorizada del servidor DNS para nwtraders.com.

7. El reenviador envía la respuesta al servidor DNS local, que envía entonces la respuesta al cliente DNS. Por ejemplo, el reenviador envía la respuesta al servidor DNS local, que envía entonces la respuesta a Computer1.

Los servidores de nombres que no son reenviadores pueden configurarse para utilizar reenviadores. Los servidores DNS pueden configurarse con la dirección de uno o varios reenviadores.

Un servidor de nombres puede utilizar un reenviador en modo exclusivo o no exclusivo:

! En modo no exclusivo, si el reenviador no puede resolver la consulta, el servidor de nombres que recibió la consulta original intenta resolver la consulta por sí mismo.

! En modo exclusivo, si el reenviador no puede resolver la consulta, el servidor de sólo reenvío devuelve un error de consulta al solicitante original. Los servidores de sólo envío no intentan resolver la solicitud por sí mismos si el reenviador no puede resolverla.

El reenvío condicional permite a un servidor DNS utilizar un reenviador cuando el servidor resuelve un conjunto de dominios seleccionado. Por ejemplo, el reenvío condicional permitiría a un servidor DNS reenviar solicitudes de resolución de direcciones IP para hosts en una organización asociada que tenga una infraestructura DNS privada para su servidor DNS, mientras que todas las demás solicitudes podrían resolverse normalmente.

Comportamiento del reenviador


Cómo funciona el almacenamiento en caché del servidor DNS


El almacenamiento en caché es el proceso de almacenar de forma temporal la información a la que se ha tenido acceso recientemente en un subsistema especial de memoria para agilizar el acceso posterior.

El almacenamiento en caché proporciona respuestas más rápidas a las solicitudes y reduce el tráfico de red DNS. Mediante el almacenamiento en caché de las respuestas DNS, el servidor DNS puede resolver las solicitudes futuras para dicho registro desde la caché. De este modo se reduce enormemente el tiempo de respuesta y se elimina el tráfico de red que se genera al enviar la solicitud a otro servidor DNS.

Cuando un servidor está procesando una consulta recursiva, se le podría pedir que distribuya varias solicitudes para encontrar la respuesta definitiva. En el caso más desfavorable para resolver un nombre, el servidor de nombres local empieza en la parte superior del árbol DNS con uno de los servidores de nombres raíz y va bajando hasta encontrar los datos solicitados.

El servidor almacena en la caché toda la información que recibe durante este proceso durante un período especificado en los datos devueltos. Este intervalo de tiempo se denomina período de vida (TTL, Time to Live) y se especifica en segundos. El administrador del servidor para la zona principal que contiene los datos decide el TTL para los datos. Los valores de TTL menores ayudan a asegurar que la información acerca del dominio es más coherente en la red, en caso que estos datos cambien a menudo. No obstante, un período de vida menor incrementa la carga en los servidores de nombres que contienen el nombre y también incrementa el tráfico de Internet. Puesto que los datos se almacenan en la caché, los cambios efectuados en registros de recursos podrían no estar disponibles inmediatamente en todo Internet.

Definición

Finalidad del almacenamiento en caché del servidor DNS

Proceso de almacenamiento en caché del servidor DNS


Una vez que un servidor DNS almacena los datos en la caché, el período de vida empieza a contar de manera que el servidor DNS sabrá cuándo borrarlos de su caché. Cuando el servidor DNS responde a una solicitud con sus datos almacenados en la caché, incluye el período de vida restante para los datos. El servicio de resolución almacena estos datos en la caché y utiliza el TTL que envía el servidor.

Además de almacenar en la caché las respuestas positivas a consultas (que contienen información de registro de recursos en la respuesta) de servidores DNS, el servicio Cliente DNS también almacena en caché las respuestas negativas a las consultas. Un respuesta negativa se genera cuando no existe un registro de recursos para el nombre consultado.

El almacenamiento en caché de referencias no encontradas (o de respuestas negativas) impide la repetición de solicitudes adicionales para nombres que no existen. Cualquier información de solicitud que se almacene en la caché e indique que la referencia no se ha encontrado se guarda durante un período más breve que las respuestas positivas a las solicitudes: de manera predeterminada, no más de cinco minutos. El valor de cinco minutos limita el almacenamiento en caché continuado de respuestas negativas con información antigua si los registros pasan a estar disponibles más tarde.

Aunque todos los servidores de nombres DNS almacenan en la caché las consultas que han resuelto, los servidores sólo obtener son servidores de nombres DNS cuya única tarea es realizar consultas, almacenar las respuestas en la caché y devolver los resultados. No están autorizados para ningún dominio y sólo contienen información que han almacenado en la caché mientras resolvían solicitudes. Los servidores sólo obtener no tienen zonas principales o secundarias.

Un servidor DNS que ejecute Windows Server 2003 en su configuración de instalación inicial no tiene ninguna zona. Con la ayuda de sugerencias de raíz, se convierte en un servidor sólo obtener en su estado inicial.

El solucionador de cliente DNS también almacena en caché la información de las asignaciones resueltas de hosts a direcciones IP. El cliente DNS revisa primero la caché local antes de entrar en contacto con el servidor DNS. Los clientes DNS también pueden realizar almacenamiento en caché de respuestas negativas o referencias no encontradas.

Para obtener más información acerca del solucionador de cliente DNS, consulte el módulo 4, �Resolución de nombres�, en el curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server� 2003: Servicios de red.

Almacenamiento en caché de referencias no encontradas

Servidores sólo obtener

Almacenamiento en la caché de resolución del cliente DNS

Nota


En la ilustración, se muestra que la primera vez que Client1 envía una solicitud para clientA.contoso.msft, el servidor DNS debe utilizar consultas iterativas para localizar el recurso. Cuando se envía la respuesta autorizada al servidor DNS local, éste almacena en la caché el recurso con el valor del período de vida. (El período de vida lo proporciona el servidor DNS autorizado que proporciona la respuesta.) El cliente DNS almacena también en la caché el registro de la caché de su solucionador DNS local mediante el período de vida que proporciona el servidor DNS.

Cuando Client2 emite una consulta a clientA.contoso.msft.com, el servidor DNS puede responder desde la respuesta almacenada en la caché para este recurso, siempre que los datos sigan estando allí. Esto quiere decir que el servidor DNS puede responder con más rapidez a la consulta, puesto que el servidor DNS no tiene que consultar servidores DNS fuera de la organización. De esta manera se elimina el tráfico de red que tendría que generarse para resolver la consulta si no hubiera estado en la caché.

Ejemplo


Cómo configurar propiedades para el servicio Servidor DNS


Para configurar propiedades para el servicio Servidor DNS, es necesario actualizar las sugerencias de raíz en un servidor DNS. Las sugerencias de raíz determinan si los servidores tienen acceso al servidor raíz a través de Internet o de un servidor raíz interno.

También se puede configurar un servidor DNS para utilizar un reenviador además de actualizar la caché de DNS.


Para actualizar sugerencias de raíz en un servidor DNS:

1. Abra la consola DNS. 2. En la consola DNS, seleccione el servidor correspondiente. 3. En el menú Acción, haga clic en Propiedades. 4. En la ficha Sugerencias de raíz, puede hacer clic en:

• Agregar para agregar un servidor de nombres. Escriba el nombre de dominio completo y la dirección IP del servidor de nombres.

• Modificar para modificar un servidor de nombres. Modifique el nombre de dominio completo o dirección IP del servidor de nombres.

• Quitar para quitar un servidor de nombres.

• Copiar desde servidor para copiar la lista de servidores de nombres desde un servidor DNS.

5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades y, a continuación, cierre la consola DNS.

Introducción

Nota

Procedimiento para actualizar sugerencias de raíz en un servidor DNS


Para configurar un servidor DNS de modo que utilice un reenviador:

1. Abra la consola DNS. 2. En la consola DNS, seleccione el servidor correspondiente. 3. En el menú Acción, haga clic en Propiedades. 4. En la ficha Reenviadores, haga clic en Nuevo. 5. En el cuadro de diálogo Reenviador nuevo, escriba el nombre del dominio

DNS que al que el servidor DNS enviará las consultas y, después, haga clic en Aceptar.

6. En la ficha Reenviadores, en el campo Lista de direcciones IP del reenviador del dominio seleccionado, escriba la dirección IP del servidor DNS que actuará como reenviador para consultas del dominio DNS del servidor y, después, haga clic en Agregar.

7. En la ficha Reenviadores, en el cuadro Segundos transcurridos hasta agotarse el tiempo de espera de envío de consultas, escriba el valor en segundos.

8. Si es necesario, en la ficha Reenviadores, seleccione la opción No usar recursividad para este dominio y, después, haga clic en Aceptar.

9. Cierre la consola DNS.

Para borrar la caché del servidor DNS con la consola DNS:

1. Abra la consola DNS. 2. En la consola DNS, seleccione el servidor. 3. En el menú Acción, haga clic en Borrar caché.

Para borrar la caché del servidor DNS con el comando dnscmd:

1. En el servidor DNS, instale Herramientas de soporte técnico del CD de Windows 2003 Server.

2. En el servidor DNS, en el símbolo del sistema, escriba dnscmd NombreDeServidor /clearcache (donde NombreDeServidor es el nombre del servidor DNS).

El comando dnscmd se explicará en el módulo 6, �Administrar y supervisar el Sistema de nombres de dominio (DNS)�.

Procedimiento para configurar un servidor DNS de modo que use un reenviador

Procedimiento para borrar la caché del servidor DNS con la consola DNS

Procedimiento para borrar la caché del servidor DNS con la línea de comandos

Nota


Ejercicio: Configurar las propiedades del servicio Servidor DNS


En este ejercicio, configurará las propiedades para el servicio Servidor DNS.



La compañía está preocupada por la cantidad de tráfico DNS que se envía a través de Internet. Para reducir al mínimo el tráfico DNS, ha decidido limitar el número de servidores DNS que pueden enviar tráfico DNS fuera. Ha configurado un servidor DNS específico para enviar consultas DNS fuera a Internet. Para permitir que los servidores DNS restantes resuelvan consultas DNS de Internet, va a configurarlos de modo que usen este servidor DNS como reenviador. Configurará su servidor DNS para reenviar consultas DNS al servidor DNS que actúa como reenviador.

! Configurar un servidor DNS para utilizar un reenviador

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Dominio DNS: dejar valores predeterminados ! Dirección IP del reenviador: 192.168.x.200 ! No utilizar recursividad para este dominio: habilitar

Objetivo

Instrucciones


Ejercicio


Lección: Configurar zonas DNS


Una vez creadas las zonas DNS, y cuando contengan registros de recursos, el servicio DNS podrá permitir la resolución de nombres de host.


! Describir cómo se almacenan y mantienen los datos DNS. ! Explicar qué son los registros de recursos y los tipos de registro. ! Explicar qué es una zona DNS. ! Explicar qué son los tipos de zona DNS. ! Cambiar un tipo de zona DNS. ! Explicar qué son las zonas de búsqueda directa e inversa. ! Configurar zonas de búsqueda directa e inversa.

Introducción



Cómo se almacenan y mantienen los datos DNS


Un registro de recursos (RR) es una estructura de base de datos DNS estándar que contiene información para procesar consultas DNS.

Una zona es una parte de la base de datos DNS que contiene los registros de recursos con los nombres de propietario que pertenecen a la parte contigua del espacio de nombres DNS. Un archivo de zona es el archivo del disco duro local del servidor DNS que contiene toda la información de configuración para una zona y los registros de recursos contenidos en ella.

Una vez instalado el servicio Servidor DNS y configuradas las propiedades del servicio DNS, ya se puede completar el servicio DNS mediante la adición de asignaciones entre nombres de host y direcciones IP. Estas asignaciones se denominan registros de recursos en DNS. Hay muchos tipos diferentes de registros de recursos. Los tipos de registros de recursos que se creen en DNS dependerán de las necesidades de DNS.

Para agregar registros de recursos, es necesario disponer de una estructura en DNS que pueda albergarlos. Estos contenedores lógicos se denominan zonas en DNS. Cuando se crea una zona, se crea un archivo de zona para almacenar las propiedades de zona y registros de recursos. Hay varias configuraciones diferentes de zonas en DNS y las zonas que se crearán vienen dictadas por las necesidades de DNS en el entorno.

Una vez creadas las zonas DNS y cuando contengan registros de recursos, el servicio DNS podrá realizar la resolución de nombres de host.

Definiciones

Proceso


Qué son los registros de recursos y los tipos de registro


Los usuarios pueden tener acceso a registros de recursos DNS por sí mismos o bien pueden hacer que componentes de la red tengan acceso a los registros por ellos. Los siguientes son ejemplos de cuándo se utilizan registros de recursos DNS:

! Un usuario que busca un sitio Web envía una consulta de búsqueda directa a un servidor DNS.

! Cuando un usuario inicia sesión en un equipo de un dominio, el proceso de inicio de sesión localiza un controlador de dominio consultando a un servidor DNS.

Diferentes tipos de registro representan diferentes tipos de datos almacenados dentro de la base de datos DNS. Las tablas siguientes muestran tipos de registro, junto con una descripción y un ejemplo para cada tipo.

Tipo de registro Descripción Ejemplo Host (A)

• Un registro A representa un equipo o dispositivo en la red.

• Los registros A son los más comunes y los registros DNS que se utilizan con más frecuencia.

• Un registro A resuelve un nombre de host en una dirección IP.

Computer5.microsoft.com se resuelve como 10.1.1.5

Puntero (PTR)

• Un registro PTR se utiliza para buscar el nombre DNS que corresponde a una dirección IP.

• El registro PTR se encuentra sólo en la zona de búsqueda inversa.

• Los registros PTR resuelven una dirección IP en un nombre de host.

10.1.1.101 se resuelve como Computer1.microsoft.com

Finalidad de los registros de recursos

Tipos de recurso


(continuación) Tipo de registro Descripción Ejemplo Inicio de autoridad (SOA)

• Un registro de recursos SOA es el primero en cualquier archivo de zona.

• Identifica el servidor de nombres DNS principal de la zona.

• Identifica la dirección de correo electrónico del administrador responsable de la zona.

• Un registro de recursos SOA especifica la información necesaria para la replicación (como el número de serie, el intervalo de actualización, el intervalo de reintento y los valores de caducidad de la zona).

• Un registro de recursos SOA resuelve un nombre de dominio (que es el mismo que la carpeta primaria) en un nombre de host.

microsoft.com se resuelve como NS1.microsoft.com

Registro de servicio (SRV)

• Un registro de recursos SRV indica un servicio de red que ofrece un host.

• Un registro de recursos SRV resuelve un nombre de servicio en un nombre de host y puerto.

_TCP._LDAP.microsoft.com se resuelve como DC01.microsoft.com

Servidor de nombres (NS)

• Un registro NS facilita la delegación mediante la identificación de servidores DNS para cada zona.

• Un registro NS aparece en todas las zonas de búsqueda directa e inversa.

• Siempre que un servidor DNS necesite enviar una consulta a un dominio delegado, hace referencia al registro de recursos NS para servidores DNS en la zona de destino.

• Un registro NS resuelve un nombre de dominio (que es el mismo que la carpeta primaria) en un nombre de host.

microsoft.com se resuelve como NS2.microsoft.com

Intercambiador de correo (MX)

• Un registro de recursos MX indica la presencia de un servidor de correo electrónico del Protocolo de transferencia de correo (SMTP).

• Un registro de recursos MX resuelve un nombre como nombre de host.

Microsoft.com se resuelve como mail.microsoft.com

Alias (CNAME)

• Un registro de recursos CNAME es un nombre de host que hace referencia a otro nombre de host.

• Un registro de recursos CNAME resuelve un nombre de host en otro nombre de host.

www.microsoft.com se resuelve como webserver12.microsoft.com

La diapositiva muestra una vista del complemento Administrador de DNS en Microsoft Management Console (MMC), que muestra los registros de recursos y tipos de recursos de la zona Demo.com.

Por ejemplo, un cliente DNS podría consultar al servidor SMTP en nwtraders.msft. El conjunto de registros de recursos proporcionaría el registro MX que apunta a smtp.nwtraders.msft y el registro A, que asigna a smtp.nwtraders.msft la dirección IP 192.168.1.17.

Ejemplos de registros de recursos y tipos de registro

Ejemplo de un conjunto de registros de recursos


Qué es una zona DNS


Una zona puede albergar los registros de recursos para un dominio o los registros de recursos para varios dominios. Una zona puede alojar más de un dominio sólo si los dominios son contiguos; es decir, están conectados mediante una relación primario-secundario directa.

Una zona es también el representante físico de un dominio o dominios DNS. Por ejemplo, si tiene un espacio de nombres de dominio DNS de south.nwtraders.com, podría crear una zona en un servidor DNS denominado south.nwtraders.com y esta zona podría contener todos los registros de recursos encontrados en el dominio Training

DNS permite que un espacio de nombres DNS se divida en zonas. Para cada nombre de dominio DNS incluido en una zona, la zona se convierte en la fuente autorizada de información acerca de dicho dominio.

Los archivos de zona se mantienen en servidores DNS. Un único servidor DNS se puede configurar para alojar ninguna, una o varias zonas. Cada zona puede estar autorizada para un dominio DNS o para más de uno siempre que sean contiguos en el árbol DNS. Las zonas pueden almacenarse en archivos de texto sin formato o en la base de datos de Active Directory.

Entre las características de una zona se incluyen las siguientes:

! Una zona es un conjunto de asignaciones entre nombres de host y direcciones IP para los hosts en una parte contigua del espacio de nombres DNS.

! Los datos de zona se mantienen en un servidor DNS y se almacenan de una de las dos maneras siguientes:

• Como archivo de zona sin formato que contiene listas de asignaciones

• En una base de datos de Active Directory ! Un servidor DNS está autorizado para una zona si aloja los registros de

recursos para los nombres y las direcciones que los clientes solicitan en el archivo de zona.

Finalidad de una zona DNS

Zona DNS


Una zona DNS es:

! Un tipo de zona principal, secundaria o de código auxiliar. ! Una zona de búsqueda directa o inversa.

Los tipos de zona y zonas de búsqueda se explican con detalle más adelante en esta lección.

Para incrementar la seguridad, puede controlar quién administra zonas DNS si modifica la lista de control de acceso discrecional (DACL, Discretionary Access Control List) en las zonas DNS que están almacenadas en Active Directory. La DACL permite controlar los permisos para usuarios y grupos de Active Directory que puedan controlar las zonas DNS.

Para obtener más información acerca de cómo proteger una zona DNS, consulte la sección acerca de cómo proteger zonas DNS en la documentación de Ayuda de Windows Server 2003.

En la ilustración hay tres zonas representadas:

! north.nwtraders.com ! sales.north.nwtraders.com ! support.north.nwtraders.com

La primera zona (north.nwtraders.com) está autorizada para dos dominios contiguos (north.nwtraders.com y training.north.nwtraders.com), mientras que cada una de las otras dos zonas (sales.north.nwtraders.com y support.north.nwtraders.com) representan un único dominio.

Nota

Proteger una zona DNS

Nota

Ejemplo


Qué son los tipos de zona DNS


Al configurar un servidor DNS, puede configurarlo con varios tipos de zona o con ninguna, según el tipo de función que el servidor DNS desempeñe en la red.

Hay numerosas opciones para realizar la una configuración óptima del servidor DNS, basadas en decisiones tomadas según, por ejemplo, la topología de red y el tamaño del espacio de nombres. La operación normal del servidor DNS implica tres zonas:

! Zona principal ! Zona secundaria ! Zona de código auxiliar

Mediante el uso de zonas diferentes, puede configurar la solución DNS para ajustarse mejor a sus necesidades. Por ejemplo, se recomienda configurar una zona principal y una zona secundaria en servidores DNS independientes, para proporcionar tolerancia a errores en caso de que un servidor falle. Si la zona se mantiene en un servidor DNS independiente, se puede configurar una zona de código auxiliar.

Una zona principal es la copia autorizada de la zona DNS, donde se crean y administran registros de recursos.

Al configurar servidores DNS con el fin de alojar zonas para un dominio, el servidor principal suele estar ubicado donde sea accesible para administrar el archivo de zona.

Introducción

Finalidad de los tipos de zona DNS

Zona principal


Una zona secundaria es una copia de la zona DNS que contiene la copia de sólo lectura de la zona DNS. Los registros de la zona secundaria no pueden modificarse; los administradores sólo pueden modificar registros de la zona DNS principal.

Normalmente, se configura al menos un servidor secundario con tolerancia a errores. No obstante, se podrían configurar varios servidores secundarios en otras ubicaciones para que los registros de la zona pudieran resolverse sin que la solicitud cruzara vínculos WAN.

Las zonas de código auxiliar son copias de una zona que contienen sólo los registros de recursos necesarios para identificar el servidor DNS autorizado para dicha zona. Una zona de código auxiliar contiene un subconjunto de datos de zona que consta de un registro SOA, NS y A, también conocido como registro de adherencia. Una zona de código auxiliar es como un marcador que simplemente apunta al servidor DNS que está autorizado para dicha zona.

Las zonas de código auxiliar pueden utilizarse donde las sugerencias de raíz apuntan a un servidor DNS interno, en lugar de a servidores raíz en Internet. Por razones de seguridad, el servidor DNS está diseñado sólo para resolver ciertas zonas.

Los servidores sólo obtener no tienen zona.

Zona secundaria

Zona de código auxiliar

Nota


Cómo cambiar un tipo de zona DNS


Para configurar una zona DNS, puede ser necesario cambiar un tipo de zona DNS.


Para cambiar un tipo de zona DNS:

1. Abra la consola DNS. 2. En la consola DNS, seleccione la zona que desee cambiar. 3. En el menú Acción, haga clic en Propiedades. 4. En la ficha General, haga clic en Cambiar. 5. En el cuadro de diálogo Cambiar tipo de zona, seleccione una de las

opciones siguientes y, después, haga clic en Aceptar:

• Zona principal, si esta zona contendrá una copia de la zona que se puede actualizar directamente.

• Zona secundaria, si esta zona almacena una copia de una zona existente.

• Zona de código auxiliar, si esta zona almacena una copia de una zona que contiene sólo registros NS (servidor de nombres), SOA (inicio de autoridad) y, posiblemente, de adherencia.

6. En el cuadro de diálogo Propiedades, haga clic en Aceptar.

Introducción

Nota

Procedimiento


Qué son las zonas de búsqueda directa e inversa


Una vez que haya decidido si la zona es de tipo principal, secundario o de código auxiliar, debe decidir en qué tipo de zona de búsqueda se almacenarán los registros de recursos, que pueden almacenarse en zonas de búsqueda directa o en zonas de búsqueda inversa.

Una asignación puede almacenarse como una asignación entre un nombre de host y una dirección IP o a la inversa. Puede elegir el tipo de asignación necesario para una zona, en función de cómo desee que los clientes y servicios consulten registros de recursos.

En DNS, una búsqueda directa es un proceso de consulta en el que se busca el nombre para mostrar del dominio DNS de un equipo host para encontrar su dirección IP.

En el Administrador de DNS, las zonas de búsqueda directa se basan en los nombres de dominio DNS y suelen alojar registros de recursos de dirección de host (A).

En DNS, una búsqueda inversa es un proceso de consulta mediante el cual se busca la dirección IP de un equipo host para encontrar su nombre para mostrar en el dominio DNS.

En el Administrador de DNS, las zonas de búsqueda inversa se basan en su nombre de dominio in-addr.arpa y suelen albergar registros de recursos de puntero (PTR).

Client1 envía una consulta para la dirección IP del nombre client2.training.nwtraders.msft. El servidor DNS busca en su zona de búsqueda directa (training.nwtraders.msft) la dirección IP asociada con el nombre de host y devuelve la dirección IP a Client1.

Client1 envía una consulta para el nombre de host de la dirección IP 192.168.2.46. El servidor DNS busca en su zona de búsqueda inversa (1.168.192.in-addr.arpa) el nombre de host asociado con la dirección IP y lo devuelve a Client1.

Introducción

Finalidad del reenviador DNS y zonas de búsqueda inversa

Zona de búsqueda directa

Zona de búsqueda inversa

Ejemplo


Cómo configurar zonas de búsqueda directa e inversa


Puede configurar una zona de búsqueda directa o una zona de búsqueda inversa en un tipo de zona principal o secundario. También puede configurar una zona de código auxiliar.

Para configurar una zona de búsqueda directa en un tipo de zona principal:

1. Abra la consola DNS. 2. En la consola DNS, haga clic con el botón secundario del mouse en el

servidor DNS y, después, haga clic en Zona nueva. 3. En la página Asistente para crear zona nueva, haga clic en Siguiente. 4. En la página Tipo de zona, compruebe que la opción Zona principal está

seleccionada y, a continuación, haga clic en Siguiente. 5. En la página Zona de búsqueda directa o inversa, compruebe que la

opción Zona de búsqueda directa está seleccionada y, a continuación, haga clic en Siguiente.

6. En la página Nombre de zona, escriba el nombre DNS de la zona para la que este servidor estará autorizado y, después, haga clic en Siguiente.

7. En la página Archivo de zona, haga clic en Siguiente para aceptar los valores predeterminados.

Introducción

Procedimiento para configurar una zona de búsqueda directa en un tipo de zona principal


8. En la página Actualización dinámica, seleccione una de las opciones siguientes y haga clic en Siguiente. a. Permitir sólo actualizaciones dinámicas seguras (recomendado para

Active Directory). Esta opción está sólo disponible para zonas integradas en Active Directory.

b. Permitir todas las actualizaciones dinámicas (seguras y no seguras). No se recomienda esta opción, puesto que se pueden aceptar actualizaciones que no sean de orígenes de confianza.

c. No admitir actualizaciones dinámicas. Esta opción requiere que actualice manualmente los registros.

9. Una vez completada la página Asistente para crear zona nueva, haga clic en Finalizar.


Para configurar una zona de código auxiliar de búsqueda directa:


servidor DNS y, después, haga clic en Zona nueva. 3. En la página Asistente para crear zona nueva, haga clic en Siguiente. 4. En la página Tipo de zona, seleccione Zona de código auxiliar y, a

continuación, haga clic en Siguiente. 5. En la página Zona de búsqueda directa o inversa, seleccione Zona de

búsqueda directa y, a continuación, haga clic en Siguiente. 6. En la página Nombre de zona, escriba el nombre DNS de la zona para la

que este servidor estará autorizado y, después, haga clic en Siguiente. 7. En la página Archivo de zona, haga clic en Siguiente para aceptar los

valores predeterminados. 8. En la página Servidores maestros DNS, en el campo Dirección IP, escriba

la dirección IP del servidor DNS desde el que este servidor DNS copiará la zona. Haga clic en Agregar y, a continuación, en Siguiente.

9. En la página Finalización del Asistente para crear zona nueva, haga clic en Finalizar.


Procedimiento para configurar una zona de código auxiliar de búsqueda directa


Para configurar una zona de búsqueda directa en un tipo de zona secundario:


servidor DNS y, después, haga clic en Zona nueva. 3. En la página Asistente para crear zona nueva, haga clic en Siguiente. 4. En la página Tipo de zona, seleccione Zona secundaria y, a continuación,

haga clic en Siguiente. 5. En la página Zona de búsqueda directa o inversa, compruebe que la

opción Zona de búsqueda directa está seleccionada y, a continuación, haga clic en Siguiente.

6. En la página Nombre de zona, escriba el espacio de nombres DNS y haga clic en Siguiente.

7. En la página Servidores maestros DNS, en el campo Dirección IP, escriba la dirección IP del servidor DNS maestro, haga clic en Agregar y, después, haga clic en Siguiente.



Para configurar una zona de búsqueda inversa en un tipo de zona principal:


servidor DNS y, después, haga clic en Zona nueva. 3. En la página Asistente para crear zona nueva, haga clic en Siguiente. 4. En la página Tipo de zona, compruebe que la opción Zona principal está

seleccionada y, a continuación, haga clic en Siguiente. 5. En la página Zona de búsqueda directa o inversa, seleccione Zona de

búsqueda inversa y, a continuación, haga clic en Siguiente. 6. En la página Nombre de la zona de búsqueda inversa, en el campo Id. de

red, escriba la parte del identificador de red de la dirección IP de la zona y, después, haga clic en Siguiente.


8. En la página Actualización dinámica, seleccione una de las opciones siguientes y haga clic en Siguiente. a. Permitir sólo actualizaciones dinámicas seguras (recomendado para

Active Directory). b. Permitir todas las actualizaciones dinámicas (seguras y no seguras). c. No admitir actualizaciones dinámicas.



Procedimiento para configurar una zona de búsqueda directa en un tipo de zona secundario

Procedimiento para configurar una zona de búsqueda inversa en un tipo de zona principal


Para configurar una zona de búsqueda inversa en un tipo de zona secundario:


servidor DNS y, después, haga clic en Zona nueva. 3. En la página Asistente para crear zona nueva, haga clic en Siguiente. 4. En la página Tipo de zona, seleccione Zona secundaria y, a continuación,

haga clic en Siguiente. 5. En la página Zona de búsqueda directa o inversa, seleccione Zona de

búsqueda inversa y, a continuación, haga clic en Siguiente. 6. En la página Nombre de la zona de búsqueda inversa, en el campo Id. de

red, escriba la parte del identificador de red de la dirección IP de la zona y, después, haga clic en Siguiente.


8. En la página Servidores maestros DNS, en el campo Dirección IP, escriba la dirección IP del servidor DNS maestro, haga clic en Agregar y, después, haga clic en Siguiente.



Procedimiento para configurar una zona de búsqueda inversa en un tipo de zona secundario


Ejercicio: Configurar zonas DNS


En este ejercicio, configurará una zona DNS.



El espacio de nombres de dominio nwtraders.msft ha crecido demasiado. El ingeniero de sistemas ha planeado que cada servidor DNS del departamento de laboratorio mantenga una zona de búsqueda directa y una zona de búsqueda inversa. Tendrá que crear una zona de búsqueda directa principal y una zona de búsqueda inversa principal en el equipo DNS.

! Configurar una zona de búsqueda directa en un tipo de zona secundario

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de zona: nwtraders.msft ! Dirección IP del servidor DNS maestro: 192.168.x.200 ! Una vez finalizada la tarea, seleccione esta zona de búsqueda directa

secundaria DNS y, en el panel de detalles, examine los registros DNS para comprobar que la zona se ha cargado desde el servidor DNS maestro

Objetivo

Instrucciones


Ejercicio


! Configurar una zona de búsqueda inversa en un tipo de zona secundario

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de zona: 192.168.x ! Dirección IP del servidor DNS maestro: 192.168.x.200 ! Una vez finalizada la tarea, seleccione esta zona de búsqueda directa

secundaria DNS y, en el panel de detalles, examine los registros DNS para comprobar que la zona se ha cargado desde el servidor DNS maestro.

! Configurar una zona de búsqueda directa en un tipo de zona principal

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de zona: srv.nwtraders.msft (donde srv es la etiqueta de tres letras

del nombre del equipo) ! Actualización dinámica: Permitir todas las actualizaciones dinámicas

(seguras y seguras)

A modo de demostración, configurará Actualización dinámica para permitir actualizaciones dinámicas no seguras y seguras. Ésta no es una configuración que se suela recomendar.

Nota


Lección: Configurar las transferencias de zona DNS


Las transferencias de zona son la transferencia parcial o completa de todos los datos de una zona desde el servidor DNS principal que aloja la zona hasta un servidor DNS secundario que aloja una copia de la zona. Al efectuar cambios en la zona en un servidor DNS principal, éste notifica a los servidores DNS secundarios que estos cambios se han producido y que se replican a todos los servidores DNS secundarios de dicha zona mediante transferencias de zona.


! Describir cómo funcionan las transferencias de zona DNS. ! Describir cómo funciona la notificación DNS. ! Configurar transferencias de zona DNS.

Introducción



Cómo funcionan las transferencias de zona DNS


Hay dos tipos de transferencia de zona DNS: una transferencia de zona completa y una transferencia de zona incremental.

Un servidor DNS principal es la ubicación administrativa y la copia maestra de una zona. El servidor DNS principal contiene la copia de lectura-escritura de la base de datos de la zona y controla los cambios efectuados a la zona.

Un servidor secundario es aquél que mantiene una copia de una zona DNS existente.

Un servidor maestro es un servidor DNS que transfiere los cambios de zona a otro servidor DNS. Un servidor maestro puede ser un servidor DNS principal o un servidor DNS secundario, en función de cómo obtenga el servidor sus datos de zona.

Una transferencia de zona DNS es la sincronización de datos DNS autorizados entre servidores DNS. Un servidor DNS configurado con una zona secundaria solicita periódicamente a servidores maestros DNS que sincronicen sus datos de zona.

Una transferencia de zona completa es el tipo de consulta estándar que todos los servidores DNS admiten para actualizar y sincronizar datos de zona cuando se haya cambiado la zona. Cuando se efectúa una consulta DNS mediante AXFR como tipo de consulta especificado, la zona completa se transfiere como respuesta.

Una consulta AXFR es una solicitud para una transferencia de zona completa.

Una transferencia de zona incremental es un tipo de consulta alternativa que algunos servidores DNS utilizan para actualizar y sincronizar datos de zona cuando se cambia una zona desde la última actualización. Cuando dos servidores DNS permiten la transferencia de zona incremental, sólo pueden hacer un seguimiento y transferir aquellos cambios de registros de recursos incrementales entre cada versión de la zona.

Una consulta IXFR es una solicitud para una transferencia de zona incremental.

Introducción

Definiciones


La finalidad de la transferencia de zona es asegurar que ambos servidores DNS que alojan la misma zona tienen la misma información de zona. Sin transferencias de zona, los datos del servidor principal serían actuales, pero el servidor DNS secundario no dispondría de información de zona actualizada y, por tanto, no podría realizar la resolución de nombres para dicha zona.

El proceso siguiente indica los pasos para realizar una transferencia de zona completa o incremental.

1. El servidor secundario para la zona espera cierto período (especificado en el campo Actualizar del registro de recursos SOA que el servidor secundario consiguió del servidor maestro). A continuación, el servidor secundario solicita al servidor maestro su SOA.

2. El servidor maestro de la zona responde con el registro de recursos SOA. 3. El servidor secundario de la zona compara el número de serie devuelto con

su propio número de serie. Si el número de serie que el servidor maestro envía para la zona es superior al suyo propio, su base de datos de zonas no está actualizada. El servidor maestro envía entonces una consulta AXFR para solicitar una transferencia de zona completa. Si el servidor DNS admite transferencias de zona incrementales (como en Windows Server 2003 y Windows 2000), envía una IXFR para solicitar una transferencia de zona incremental, que transfiere registros de recursos que hayan sido modificados desde la última transferencia.

4. Para realizar una transferencia de zona completa, el servidor maestro de la zona envía la base de datos de zonas al servidor secundario; para realizar una transferencia de zonas incremental, sólo envía los datos de zona que hayan cambiado.

Al crear una zona secundaria, el servidor DNS realiza una transferencia de zona completa para llenar la base de datos inicialmente.

De manera predeterminada, el servicio Servidor DNS sólo permite transferir información de zona a servidores que aparezcan en la lista de registros de recursos de servidor de nombres (NS) de una zona. Ésta es una configuración segura. No obstante, para mejorar la seguridad, seleccione la opción para permitir transferencias de zona sólo a direcciones IP especificadas. Si se permiten las transferencias de zona a cualquier servidor podría exponer sus datos DNS a un intruso que intentara ocupar su red.

Finalidad de una transferencia de zona DNS

Proceso de transferencia de zona

Nota

Importante


Cómo funciona la notificación DNS


Una notificación DNS es una actualización de la especificación de protocolo DNS original que permite la notificación a servidores secundarios cuando se producen cambios de zona.

Una lista de notificación es una lista para la zona de otros servidores DNS a los que debería notificarse cuando se producen cambios de zona. La lista de notificación que el servidor maestro mantiene está formada por direcciones IP para servidores DNS que están configurados como servidores secundarios para la zona. Cuando se notifica a los servidores mostrados un cambio en la zona, éstos iniciarán una transferencia de zona con otro servidor DNS y actualizarán la zona.

Los servidores a los que se les notifica pueden iniciar una transferencia de zona para obtener los cambios de zona de sus servidores maestros y actualizar sus replicados locales de la zona.

Esto es una mejora acerca de los intervalos de tiempo que se establecen en la copia del servidor DNS secundario de la zona. Al utilizar la notificación de DNS, las copias de la zona DNS se actualizan cuando se producen cambios no programados.

La notificación de DNS puede ayudar a mejorar la coherencia de los datos de zona entre servidores secundarios. Por ejemplo, si las transferencias de zona DNS se producen sólo en ciertos momentos, se pueden dar dos situaciones dentro de un período:

! Pueden no haberse producido cambios en una zona DNS. ! Pueden haber pasado varios minutos antes de iniciar una transferencia de

zona. La zona puede haber tenido muchos cambios de zona y estos cambios aún no han sido transferidos al servidor DNS secundario.

Definiciones

Finalidad de la notificación de DNS


Con la notificación de DNS, se producen actualizaciones cada vez que se producen cambios.

Además, los servidores DNS que ejecutan Windows Server 2003 o Windows 2000 admiten transferencias incrementales, de manera que sólo los datos que se hayan cambiado en el servidor DNS maestro se transfieren al servidor DNS secundario.

Con la ayuda de la ilustración, los pasos siguientes indican el proceso de notificación de DNS:

1. La zona local de un servidor DNS principal se actualiza. 2. El campo Número de serie del registro SOA se actualiza para indicar

que una nueva versión de la zona se ha escrito en un disco. 3. El servidor principal envía un mensaje de notificación a todos los demás

servidores que forman parte de su lista de notificación. 4. Todos los servidores secundarios de la zona que reciben el mensaje de

notificación responden con la iniciación de una consulta tipo SOA al servidor principal de notificación. Esta consulta inicia el proceso de transferencia de zona DNS.

Proceso de notificación de DNS


Cómo configurar transferencias de zona DNS


Para sincronizar los datos DNS autorizados entre los servidores DNS y actualizar los datos de zona DNS cuando se produzcan cambios no programados, puede configurar una transferencia de zona DNS y una notificación DNS.


Para configurar una transferencia de zona DNS y la notificación DNS:

1. Abra la consola DNS. 2. Expanda el servidor correspondiente y, a continuación, expanda Zonas

de búsqueda directa o Zonas de búsqueda inversa. 3. Seleccione la zona DNS apropiada. 4. En el menú Acción, haga clic en Propiedades. 5. En el cuadro de diálogo Propiedades para la zona DNS, en la ficha

Transferencias de zona, compruebe que está seleccionada la opción Permitir transferencias de zona.

6. Seleccione Sólo a los siguientes servidores. 7. En el campo Dirección IP, escriba la dirección IP del servidor DNS al que

se transferirán los datos de zona y haga clic en Agregar.

Introducción

Nota

Procedimiento


8. En el cuadro de diálogo Propiedades para la zona DNS, en la ficha Transferencias de zona, haga clic en Notificar.

9. En el cuadro de diálogo Notificar, haga clic en la opción Los siguientes servidores.

10. En el campo Dirección IP, escriba la dirección IP del servidor DNS que recibirá la notificación automática y haga clic en Aceptar.

11. En la ficha Propiedades de zona, haga clic en Aceptar. 12. Cierre la consola DNS.


Ejercicio: Configurar las transferencias de zona DNS


En este ejercicio, configurará transferencias de zonas DNS.



Se ha configurado un nuevo servidor DNS como servidor secundario para el servidor DNS de la práctica. Realizará la configuración de transferencia de zona en la zona DNS de su servidor DNS. A continuación, comprobará que dicha transferencia de zona ha finalizado.

! Configurar la transferencia de zona DNS y la notificación DNS en una zona de búsqueda directa principal

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft (donde srv

es la etiqueta de tres letras del nombre del equipo) ! Dirección IP del servidor que solicita la transferencia de zona:

192.168.x.200 ! Dirección IP del servidor al que hay que notificar: 192.168.x.200

Objetivo

Instrucciones


Ejercicio


Lección: Configurar las actualizaciones dinámicas DNS


Puesto que DNS se utiliza para tener acceso a recursos, es imprescindible que los recursos de DNS estén actualizados. Cuando los registros de recursos DNS no están actualizados se pueden producir errores.

Si un registro de recursos DNS se crea manualmente en DNS, el administrador DNS debe actualizar manualmente el registro de recursos DNS para reflejar los cambios en el recurso cuando la dirección IP del mismo cambie.

Debido al volumen de registros de recursos en DNS, la actualización manual de registros sobrecarga rápidamente las tareas de mantenimiento del administrador DNS. La solución a este problema es crear un método para permitir a los clientes DNS actualizar y mantener sus propios registros de recursos en DNS. Las actualizaciones dinámicas permiten a los clientes DNS actualizar y mantener sus propios registros de recursos en DNS.

Para permitir que las actualizaciones de DNS se produzcan automáticamente, sin interacción por parte del administrador de DNS, éste debe configurar la zona DNS para permitir actualizaciones dinámicas. Además, los administradores deben configurar los clientes DNS para actualizar registros DNS en DNS o bien configurar el servidor DHCP que usan los clientes DNS para actualizar los registros DNS en su nombre.

Introducción



! Describir cómo funcionan las actualizaciones dinámicas de DNS. ! Explicar qué son las actualizaciones dinámicas. ! Describir cómo registran y actualizan los clientes DNS sus propios registros

de recursos mediante la actualización dinámica. ! Describir cómo registra y actualiza un servidor DHCP los registros

de recursos mediante la actualización dinámica. ! Configurar actualizaciones dinámicas y manuales DNS. ! Explicar qué es una zona DNS integrada en Active Directory. ! Describir el modo en que las zonas DNS integradas en Active Directory

utilizan actualizaciones dinámicas seguras. ! Configurar zonas DNS integradas en Active Directory para utilizar

actualizaciones dinámicas seguras.



Presentación multimedia: Información general acerca de las actualizaciones dinámicas de DNS


Para iniciar la presentación Información general acerca de las actualizaciones dinámicas DNS, abra la página Web incluida en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.


! Explicar la importancia de las actualizaciones dinámicas de DNS. ! Explicar la diferencia entre las actualizaciones manuales y dinámicas. ! Explicar que los equipos cliente pueden:

• Actualizar dinámicamente registros de recursos en los propios DNS.

• Hacer que DHCP realice actualizaciones dinámicas en DNS en su nombre. ! Explicar qué son las actualizaciones dinámicas seguras.

! Para que los usuarios tengan acceso a los recursos DNS correctamente, es fundamental que los registros de recursos DNS reflejen la configuración TCP/IP actual tanto en los equipos servidor como en los equipos cliente.

! Los registros de recursos DNS pueden actualizarlos los propios clientes DNS o DHCP en nombre de los clientes.

! Varios tipos de registros de recursos DNS, como registros de host (A) y registros de puntero (PTR), proporcionan a los clientes DNS diversos tipos de información.

! Puede utilizar un proceso de actualización manual para agregar y actualizar registros de recursos DNS, o bien puede habilitar los equipos cliente para actualizar y mantener dinámicamente sus propios registros de recursos en DNS.

! Una manera segura de actualizar los registros de recursos DNS es mediante las actualizaciones dinámicas seguras.


Objetivos

Puntos clave


Qué son las actualizaciones dinámicas


Hay dos maneras de crear, registrar y actualizar registros de recursos DNS en la base de datos DNS: dinámica y manualmente.

Al crear, registrar o actualizar registros de recursos, éstos se almacenan en el archivo de zona DNS.

Una actualización dinámica es el proceso por el que un cliente DNS crea, registra o actualiza dinámicamente sus registros en zonas mantenidas por servidores DNS que pueden aceptar y procesar mensajes para actualizaciones dinámicas.

Una actualización manual es el proceso por el que un administrador crea, registra o actualiza manualmente el registro de recursos.

El proceso de actualizar manualmente registros de recursos de cliente no escala bien en una gran organización que soporte cambios continuos de registros de recursos DNS. Una gran organización que sufra cambios dinámicos debe confiar en el método dinámico de actualizar los registros de recursos DNS.

El registro y la actualización dinámicos permiten a los equipos cliente DNS interactuar automáticamente con el servidor DNS para registrar y actualizar sus propios registros de recursos. En una implementación de DNS que utilice un servidor DNS en el que se ejecute Microsoft Windows NT® 4.0 y versiones de BIND anteriores, el administrador tiene que modificar el archivo de zona correspondiente manualmente si debe cambiarse la información autorizada de un registro de recursos. A medida que el número de registros DNS de una zona aumenta y el administrador tiene dificultades para mantenerlo manualmente, la actualización dinámica se convierte en fundamental.

El administrador DNS puede beneficiarse del registro o la actualización manual de registros de recursos si la organización dispone de lo siguiente:

! Un entorno más pequeño con pocos cambios en los registros de recursos. ! Instancias aisladas, como cuando una gran organización decide controlar

todas las direcciones de cada uno de los hosts.

Introducción

Definiciones

Finalidad de las actualizaciones dinámicas

Circunstancias para configurar actualizaciones dinámicas manualmente


Cómo registran y actualizan los clientes DNS sus registros de recursos propios mediante actualizaciones dinámicas


Los clientes DNS que ejecutan Windows Server 2003, Windows 2000 y Windows XP se configuran de manera predeterminada para registrar y actualizar dinámicamente sus nombres de host y direcciones IP en DNS.

Independientemente de que a un cliente DNS se le asigne una dirección IP mediante DHCP o de manera estática, un cliente DNS puede registrar y actualizar dinámicamente su nombre de host y dirección IP en DNS.

El componente que registra el registro de recursos DNS para un cliente DNS es el servicio Cliente DHCP. Incluso en clientes configurados con datos para una dirección IP estática, el servicio Cliente DHCP debe estar ejecutándose para que el cliente estático registre sus registros de recursos en DNS.

El proceso siguiente indica los pasos para actualizar dinámicamente los clientes DNS:

1. El cliente DNS envía una consulta SOA al servidor DNS que está autorizado para el registro de recursos con el que el cliente DNS se desea registrar.

2. El servidor DNS devuelve el nombre de zona y dirección IP del servidor DNS que está autorizado para la zona que el cliente DNS desea registrar en el servidor DNS.

3. El cliente DNS envía al servidor DNS autorizado de la zona una actualización de aserción para comprobar que no existe ningún registro en la zona.

4. El servidor DNS responde al cliente DNS. 5. Si no existe ningún registro en la zona DNS, el cliente DNS envía un

paquete de actualización dinámica para registrar el registro de recursos.

Tipos de clientes DNS que pueden registrar y actualizar dinámicamente registros de recursos

Proceso


Si el cliente DNS no consigue actualizar su registro de recursos en la base de datos de DNS tal como se describe en el proceso anterior, el cliente continúa intentando actualizar su registro de recursos en DNS.

1. El cliente DNS intenta registrar el registro con otros servidores principales en la zona. Varios servidores principales serán sólo una opción con una zona integrada en Active Directory.

2. Si todos los intentos fallan, el cliente intenta volver a registrar el registro después de cinco minutos y, después, de nuevo tras diez minutos.

3. Los errores dan como resultado un patrón repetido de intentos 50 minutos después del último intento.

Un cliente de acceso remoto funciona de la misma manera que un cliente configurado con datos de configuración para una dirección IP estática. Por ejemplo, no se produce ninguna interacción entre el cliente y el servidor DHCP. Cuando el cliente de acceso remoto se conecta a la red, es responsable de actualizar dinámicamente los registros de recursos A y PTR en DNS. El cliente de acceso remoto intenta eliminar ambos registros antes de cerrar la conexión, pero los registros no se actualizan (lo que significa que no son actuales o válidos) si la actualización falló, como cuando un servidor DNS no funciona. Los registros tampoco se actualizan si la conexión falla de manera inesperada. En estos casos, un servidor de acceso remoto intenta la anulación de registro (lo que significa que el servidor de acceso remoto intenta eliminar el registro antiguo) del registro PTR correspondiente.

Nota


Cómo registra y actualiza un servidor DHCP los registros de recursos mediante actualizaciones dinámicas


Un cliente de bajo nivel es un cliente DHCP que ejecuta Windows NT 4.0 o una versión anterior. Los clientes de bajo nivel no pueden registrar ni actualizar sus registros de recursos en DNS por sí mismos.

Puesto que los clientes de bajo nivel no pueden registrar ni actualizar sus propios registros de recursos, Microsoft diseñó su implementación del servidor DHCP con la capacidad de registrar registros de recursos de cliente DNS en nombre de los clientes DHCP.

En un servidor DHCP que ejecuta Windows Server 2003 o Windows 2000, se puede configurar el servidor DHCP para actualizar dinámicamente los registros de recursos en DNS en nombre de clientes DHCP de la red. Los clientes que ejecutan Windows NT 4.0 y versiones anteriores pueden hacer que se introduzcan sus registros de recursos en la base de datos DNS si DHCP se configura para actualizar dinámicamente los registros DNS en su nombre.

Los administradores pueden configurar servidores DHCP que ejecuten Windows Server 2003 y Windows 2000 para actualizar registros de recursos de cliente DNS para los siguientes tipos de cliente:

! Cualquier cliente DHCP de nivel inferior que no solicite actualizaciones dinámicas.

! Cualquier cliente DHCP, incluidos aquéllos que ejecuten Windows XP y Windows 2000, independientemente de que soliciten una actualización dinámica.

Definición

Finalidad de las actualizaciones DNS dinámicas con un servidor DHCP

Tipos de clientes DHCP que pueden registrar y actualizar dinámicamente registros de recursos


En la ilustración, el servidor DHCP que ejecuta Windows Server 2003 realiza actualizaciones dinámicas para un cliente de bajo nivel.

1. El cliente DHCP efectúa una solicitud de concesión de IP. 2. El servidor DHCP concede una dirección IP. 3. El servidor DHCP genera automáticamente el nombre de dominio completo

del cliente agregando el nombre de dominio definido para el ámbito DHCP al nombre del cliente. El nombre del cliente se obtiene del mensaje DHCPREQUEST que envía el cliente.

4. Con el protocolo de actualización dinámica, el servidor DHCP actualiza el: a. Nombre (A) directo de DNS para el cliente. b. Nombre (PTR) inverso de DNS para el cliente.

La capacidad de registrar tipos de registro A y PTR permite al servidor DHCP ejecutar Windows Server 2003 con el fin de actuar como proxy en clientes de bajo nivel para el registro DNS.

Los pasos siguientes reflejan el proceso en el que un servidor DHCP que ejecuta Windows Server 2003 con la configuración predeterminada realiza actualizaciones dinámicas DNS para un cliente de Windows XP:

1. El cliente DHCP efectúa una solicitud de concesión de IP que incluye el nombre de dominio completo del cliente en la opción 81 de la solicitud DHCP.

2. El servidor DHCP concede una dirección IP. 3. El cliente conecta con el servidor DNS para actualizar el registro A para

sí mismo. 4. El servidor DHCP actualiza el nombre (PTR) inverso de DNS para el cliente

mediante el protocolo de actualización dinámica.

Proceso de realización de actualizaciones dinámicas para un cliente de bajo nivel

Proceso de realización de actualizaciones dinámicas para un cliente de Windows XP


Cómo configurar actualizaciones DNS manuales y dinámicas


Para configurar actualizaciones dinámicas como solución, es necesario elegir y configurar una o ambas de las opciones siguientes. Las actualizaciones dinámicas se admiten en zonas DNS principales.

Para utilizar un cliente DNS para actualizaciones dinámicas, configure:

1. El servidor DNS para aceptar actualizaciones dinámicas. 2. Los clientes DNS para crear actualizaciones dinámicas para sí mismos.

Con el fin de utilizar un servidor DHCP para actualizaciones dinámicas, configure:

1. El servidor DNS para aceptar actualizaciones dinámicas. 2. El servidor DHCP para crear actualizaciones dinámicas en nombre de los

clientes DHCP. Para crear manualmente un registro de recursos DNS, debe agregar un registro de recursos de host (A) a una zona de búsqueda directa.


Introducción

Nota


Para configurar un servidor DNS que ejecuta Windows Server 2003 para aceptar actualizaciones dinámicas de registros de recursos DNS:

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en la

zona aplicable y, a continuación, haga clic en Propiedades. 3. En la ficha General, en la lista desplegable Actualizaciones dinámicas,

haga clic en Sin seguridad y con seguridad. 4. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de la

zona DNS y, a continuación, cierre la consola DNS.

Para configurar un cliente de Windows XP Professional de modo que actualice dinámicamente sus registros de recursos DNS en DNS:

1. En el Panel de control, abra el cuadro de diálogo Propiedades de la interfaz de red apropiada.

2. En el cuadro de diálogo Propiedades, seleccione Protocolo de Internet (TCP/IP) y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades de protocolo de Internet (TCP/IP), haga clic en Opciones avanzadas.

4. En la ficha DNS del cuadro de diálogo Configuración avanzada de TCP/IP, seleccione Registrar estas direcciones de conexiones en DNS.

5. En la ficha DNS del cuadro de diálogo Configuración avanzada de TCP/IP, seleccione Utilizar este sufijo DNS de conexión para registro DNS, si es necesario.

6. En el cuadro de diálogo Propiedades avanzadas de TCP/IP, haga clic en Aceptar.

7. En el cuadro de diálogo Propiedades de Protocolo de Internet (TCP/IP), haga clic en Aceptar.

8. En el cuadro de diálogo Propiedades de Conexión de red, haga clic en Cerrar.

Para configurar un servidor DHCP que ejecuta Windows Server 2003 de modo que actualice dinámicamente registros de recursos DNS en DNS en nombre de clientes DHCP:

1. Abra la consola DHCP. 2. En la consola DHCP, seleccione el servidor DHCP correspondiente. 3. En el menú Acción, haga clic en Propiedades. 4. En la ficha DNS, compruebe que la opción Habilitar actualizaciones DNS

dinámicas de acuerdo con la siguiente configuración está seleccionada y, a continuación, seleccione una de estas dos opciones:

• Actualizar dinámicamente registros DNS A y PTR sólo si los clientes DHCP lo solicitan.

• Actualizar siempre dinámicamente los registros DNS A y PTR.

Procedimiento para configurar un servidor DNS para aceptar actualizaciones dinámicas

Procedimiento para configurar clientes DNS que ejecutan Windows XP Professional para actualización dinámica

Procedimiento para configurar un servidor DHCP de modo que actualice dinámicamente registros de recursos DNS en nombre de clientes DHCP


5. En la ficha DNS, compruebe que la opción Descartar registros A y PTR cuando la concesión se suprima está seleccionada.

6. En la ficha DNS, si es necesario, seleccione la opción Actualizar dinámicamente registros DNS A y PTR para clientes DHCP que no soliciten actualizaciones y, a continuación, haga clic en Aceptar.

7. Cierre la consola DHCP.

Para crear manualmente un registro de recursos DNS:


zona de búsqueda directa correspondiente y, a continuación, haga clic en Host nuevo (A).

3. En el cuadro de diálogo Host nuevo, en el campo Nombre, escriba el nombre de equipo DNS para el nuevo host.

4. En el cuadro de diálogo Host nuevo, en el campo Dirección IP, escriba la dirección IP para el nuevo host.

5. Como opción, seleccione Crear registro del puntero (PTR) asociado para crear un registro de puntero adicional en una zona inversa para este host, en función de la información especificada en los cuadros Nombre y Dirección IP.

6. En el cuadro de diálogo Host nuevo, haga clic en Agregar host para agregar el nuevo registro de host a la zona.

7. En el cuadro de mensaje DNS, haga clic en Aceptar. 8. En el cuadro de diálogo Host nuevo, haga clic en Realizado. 9. Cierre la consola DNS.

Procedimiento para crear manualmente registros de recursos DNS


Qué es una zona DNS integrada en Active Directory


Una zona DNS integrada en Active Directory es una zona DNS almacenada en Active Directory.

Al configurar un controlador de dominio, Active Directory requiere que DNS esté instalado. Las zonas, que se crean en un servidor DNS que es un controlador de dominio de Active Directory, pueden ser zonas DNS integradas en Active Directory.

Este tipo de zonas tiene muchas ventajas con respecto a las zonas DNS que no están integradas en Active Directory. Las zonas DNS integradas en Active Directory pueden utilizar Active Directory:

! Almacenar datos de configuración de zona en Active Directory, en lugar de almacenar datos de configuración de zona en un archivo de zona.

! Utilizar la replicación de Active Directory en lugar de transferencias de zonas.

! Permitir sólo actualizaciones dinámicas seguras (en lugar de actualizaciones seguras y no seguras en una zona DNS no integrada en Active Directory).

Definición

Finalidad de las zonas DNS integradas en Active Directory


En una zona DNS no integrada en Active Directory, existe una única copia maestra de la zona DNS (principal) y puede existir cualquier número de copias adicionales de la zona DNS (secundaria).

En una zona DNS integrada en Active Directory, los datos de la zona están almacenados en Active Directory, por lo que puede seguirse un modelo con varios servidores maestros. Cada controlador de dominio puede administrar los cambios en la zona DNS.

El modelo con varios servidores maestros significa que si un controlador de dominio tiene una zona integrada en Active Directory, cualquier controlador de dominio que contenga dicha información de zona DNS puede actuar como servidor principal y puede efectuar cambios en la zona DNS.

El modo de aplicación de Active Directory no admite el alojamiento de DNS integrado en Active Directory.

Zonas DNS integradas en Active Directory

Nota


Cómo utilizan actualizaciones dinámicas seguras las zonas DNS integradas en Active Directory


Una actualización dinámica segura es un proceso en el que un cliente envía una solicitud de actualización dinámica a un servidor DNS y éste intenta la actualización sólo si el cliente puede demostrar su identidad y dispone de las credenciales apropiadas para efectuarla. Las actualizaciones dinámicas están disponibles únicamente en zonas integradas en Active Directory.

El mejor método en un controlador de dominio configurado con una zona DNS es permitir sólo las actualizaciones dinámicas seguras.

El otro método es configurar una zona que se encuentre en un servidor DNS no integrado en Active Directory, para permitir actualizaciones dinámicas seguras y no seguras.

DNS en Windows Server 2003 admite la actualización dinámica segura. Este tipo de actualización proporciona diversos beneficios, como son:

! La protección de zonas y registros de recursos frente a la modificación por parte de usuarios que no tienen autorización.

! Permitir al administrador especificar exactamente qué usuarios y grupos pueden modificar zonas y registros de recursos.

Al permitir actualizaciones dinámicas en una zona DNS, no es necesario crear y mantener manualmente todos los registros de recursos. No obstante, no se puede controlar qué clientes DNS pueden actualizar dinámicamente. Si se utiliza un servidor DNS independiente que no esté integrado en Active Directory, no se puede controlar quién lo actualiza dinámicamente. Por ejemplo, si un consultor externo trae a la organización un equipo portátil que no forma parte del dominio y si el equipo portátil se actualiza dinámicamente en DNS, se podría tener un problema de seguridad.

Definición

Finalidad de las actualizaciones dinámicas seguras


No obstante, si un servidor DNS aloja la zona DNS en una zona integrada en Active Directory, se puede configurar la zona DNS para permitir sólo actualizaciones seguras. Esto significa que si el mismo equipo portátil, que no es miembro del dominio, se intenta actualizar dinámicamente en la zona DNS, no se permitirá. Al utilizar la seguridad de dominio, puede controlar las actualizaciones dinámicas permitiendo actualizar sus registros dinámicamente sólo a los miembros del dominio.

Puesto que la zona DNS está integrada en Active Directory, puede configurar la lista de control de acceso (ACL) en registros de recursos paraproteger DNS aún más. Para obtener más información, consulte en la documentación de Ayuda de Windows Server 2003 cómo proteger DNS mediante ACL.

Si una zona está integrada en Active Directory, puede configurarse como Sólo segura. Una zona configurada como Sólo segura autentica el equipo que intenta efectuar la actualización y sólo permite la actualización si los permisos del registro lo permiten. Las zonas alojadas en Active Directory, además de las que no lo están, pueden configurarse para permitir actualizaciones no seguras, las cuales permitirían registros y modificaciones de DNS sin autenticar el equipo cliente.

En la ilustración, el procedimiento siguiente proporciona la secuencia de eventos del proceso de actualización dinámica segura:

1. El cliente consulta el servidor de nombres local para saber qué servidor está autorizado para el nombre que el cliente intenta actualizar y el servidor de nombres local responde con la referencia al servidor autorizado.

2. El cliente consulta al servidor autorizado para comprobar que el servidor DNS está autorizado para el nombre que el cliente intenta actualizar y el servidor confirma la consulta.

3. El cliente intenta una actualización no segura y el servidor rechaza la actualización no segura. Si el servidor se ha configurado para actualización dinámica no segura en la zona apropiada, en lugar de para actualización dinámica segura, el servidor habría intentado efectuar la actualización.

4. El cliente intenta entonces una actualización segura. Si la actualización tiene las credenciales apropiadas, el servidor DNS autorizado acepta la actualización y responde al cliente DNS.

Si un servidor DHCP realiza la primera actualización dinámica segura en un registro de recursos DNS, dicho servidor DHCP se convierte en el propietario de dicho registro y sólo él puede actualizarlo. Esto puede causar problemas en algunos casos. Por ejemplo, supongamos que el servidor DHCP (DHCP1) creó un registro para el nombre nt4host1.nwtraders.msft y después dejó de responder, y que el servidor DHCP (DHCP2) intentó actualizar el nombre. DHCP2 no puede actualizar el nombre, puesto que DHCP2 no es el propietario del mismo. Por tanto, si se habilita actualización dinámica segura, todos los servidores DHCP deberían estar ubicados en un grupo de seguridad especial denominado DNSUpdateProxy. Los objetos creados por miembros del grupo DNSUpdateProxy no tienen seguridad; por tanto, cualquier usuario autenticado puede asumir la propiedad de los objetos. Para obtener más información acerca de DNSUpdateProxy o acerca de las actualizaciones dinámicas seguras, consulte la documentación de Ayuda de Windows Server 2003.

Nota

Actualizaciones dinámicas no seguras frente a las seguras

Proceso

Nota


Cómo configurar zonas DNS integradas en Active Directory para permitir actualizaciones dinámicas seguras


Tanto las zonas DNS integradas en Active Directory como las que no lo están pueden configurarse para permitir la actualización dinámica segura. También puede configurar la seguridad en zonas DNS integradas en Active Directory.


Para configurar zonas DNS integradas en Active Directory para permitir actualizaciones dinámicas seguras:

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic con el botón secundario del mouse

en la zona aplicable y, a continuación, haga clic en Propiedades. 3. En la ficha General, compruebe que el Tipo es Integrada en

Active Directory. 4. En la lista desplegable Actualizaciones dinámicas, seleccione Sólo

con seguridad. 5. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de

la zona DNS y, a continuación, cierre la consola DNS.

Introducción

Nota

Procedimiento para configurar zonas DNS integradas en Active Directory para permitir actualizaciones dinámicas seguras


Para configurar seguridad en una zona DNS integrada en Active Directory:

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en

la zona aplicable y, a continuación, haga clic en Propiedades. 3. En la ficha Seguridad, configure los permisos de manera apropiada para

su red. 4. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de la

zona DNS y, a continuación, cierre la consola DNS.

Procedimiento para configurar seguridad en una zona DNS integrada en Active Directory


Ejercicio: Configurar las actualizaciones dinámicas DNS


En este ejercicio, configurará actualizaciones dinámicas DNS.



El número de equipos de la subred de desarrollo ha aumentado. Como resultado, se ha producido un incremento en el número de registros de recursos DNS que hay que crear manualmente. El servidor DHCP se configurará para crear automáticamente los registros de recursos en DNS en nombre de los clientes DHCP.

! Configurar un servidor DNS de modo que acepte actualizaciones dinámicas para una zona de búsqueda directa


es la etiqueta de tres letras del nombre del equipo) ! Actualizaciones dinámicas: Sin seguridad y con seguridad

Objetivo

Instrucciones


Ejercicio


! Configurar un servidor DHCP para actualizar dinámicamente registros de recursos DNS en nombre de clientes DHCP

! Complete esta tarea desde los equipos de ambos alumnos ! Servidor DHCP: su servidor DHCP ! Seleccione Actualizar siempre dinámicamente registros DNS A y PTR

! Crear manualmente un registro de recursos de host DNS


es la etiqueta de tres letras del nombre del equipo) ! Nombre de host: NombreDeEquipo2

(donde NombreDeEquipo es el nombre del equipo de su compañero) ! Dirección IP: Conexión de red del asociado

(donde Conexión de red del asociado es la dirección IP correspondiente a su compañero)


Lección: Configurar un cliente DNS


Se han instalado y configurado las propiedades del servidor DNS y se han creado las zonas apropiadas en el servidor DNS. Ahora es necesario asegurar que los clientes puedan registrar o crear sus registros de recursos en DNS y utilizar DNS para resolver consultas.


! Describir cómo funcionan los servidores DNS preferidos y alternativos. ! Describir cómo se aplican los sufijos. ! Configurar un cliente DNS.

Introducción



Cómo funcionan los servidores DNS preferidos y alternativos


Un servidor DNS preferido es aquél que es el destinatario de las consultas DNS que el cliente DNS envía. También es el servidor en el que el cliente DNS actualiza sus registros de recursos.

Un servidor DNS alternativo es aquél que se utiliza si el servidor DNS preferido no se puede utilizar o no puede resolver consultas DNS de un cliente DNS particular porque el servicio DNS ha fallado. El servidor alternativo no es necesario si la consulta de un nombre no puede resolverse.

Sin un servidor DNS preferido, el cliente DNS no puede consultar un servidor DNS.

Sin un DNS alternativo, las consultas no se resolverán si el servidor DNS preferido falla. Se puede tener más de un servidor DNS alternativo.

Los pasos siguientes indican el proceso para entrar en contacto con servidores DNS preferidos y alternativos:

1. El servidor DNS preferido responde primero a una consulta DNS o a una actualización DNS.

2. Si el servidor DNS preferido no responde a una consulta DNS o a una actualización DNS, la consulta o actualización se redirige al servidor DNS alternativo.

3. Si el servidor DNS alternativo no responde y el cliente DNS está configurado con las direcciones IP adicionales de servidores DNS, el cliente DNS envía la consulta o actualización al siguiente servidor DNS de la lista.

4. Si alguno de los servidores DNS (un servidor preferido, un servidor alternativo o cualquier otro de la lista) no responde, dicho servidor se quita temporalmente de la lista.

5. Si ninguno de los servidores DNS responden, la consulta o actualización del cliente DNS no se realiza.

Definiciones

Finalidad de los servidores DNS preferido y alternativo

Proceso




Si no tiene un sufijo DNS configurado en el cliente, la resolución de nombres y la actualización pueden no funcionar correctamente. Mediante la correcta configuración de sufijos DNS en el cliente, se asegura que la resolución de nombres sea correcta.

La opción Selección de sufijo especifica que las resoluciones para nombres no calificados en este equipo se limiten a los sufijos de dominio del sufijo DNS principal hasta el dominio de segundo nivel.

Por ejemplo, si el sufijo DNS principal es nwtraders.msft y se intenta entrar en contacto con Server1, el equipo consulta a Server1.nwtraders.msft, además de cualquier sufijo configurado en los sufijos específicos de la conexión.

La opción Anexar sufijos primarios especifica que las resoluciones para nombres no calificados en este equipo están limitadas a los sufijos de dominio del sufijo primario y el sufijo específico de la conexión.

Por ejemplo, si el sufijo DNS primario es sales.south.nwtraders.msft e intenta entrar en contacto con Server1, el equipo consulta a server1.sales.south.nwtraders.msft. Si la consulta no se resuelve, el equipo consulta a server1.south.nwtraders.msft. Si la consulta sigue sin resolverse, el equipo consulta a server1.nwtraders.msft.

El Sufijo específico de conexión proporciona un espacio para configurar un sufijo DNS para esta conexión específica. Si un servidor DHCP configura esta conexión, y si no especifica un sufijo DNS, el servidor DHCP asigna un sufijo DNS si el servidor está configurado para hacerlo.

Finalidad de la configuración de sufijos

Opción Selección de sufijo

Sufijo específico de conexión


Cuando un usuario especifica un nombre de dominio completo (FQDN), el solucionador DNS consulta DNS con dicho nombre, de la forma siguiente:

1. El solucionador del cliente DNS envía la consulta al servidor DNS principal con el sufijo DNS principal.

2. Si la resolución no tiene éxito, el solucionador del cliente DNS anexa cada sufijo DNS específico de la conexión.

3. Si la resolución sigue sin realizarse correctamente, el solucionador DNS devuelve el nombre de dominio completo anexando el sufijo principal del nombre del sufijo DNS principal y el elemento primario de dicho sufijo, y así sucesivamente hasta que sólo queden dos etiquetas. Por ejemplo, server1.sales.south.nwtraders.com devuelve server1.south.nwtraders.com, que a continuación devuelve server1.nwtraders.com.

4. No obstante, si el usuario ha especificado una lista de búsqueda de sufijos de dominios, se pasan por alto tanto el sufijo DNS principal como el nombre del dominio específico de la conexión. Ni el sufijo DNS principal ni el nombre de dominio específico de la conexión se anexan al nombre de host antes de que el FQDN se envíe al DNS. En cambio, el solucionador DNS anexa cada sufijo de la lista de búsqueda de dominio en orden y lo envía al servidor DNS hasta que encuentra una correspondencia o se alcanza el final de la lista.



Cómo configurar un cliente DNS


Es necesario configurar un cliente DNS de manera que el cliente pueda utilizar servidores DNS con el fin de resolver y actualizar información para la configuración de direcciones IP.

Un cliente DNS puede recibir datos de configuración de direcciones IP de dos maneras: manualmente o mediante DHCP.

En esta situación de ejemplo, es necesario haber iniciado sesión como administrador o como miembro del grupo Administradores para completar el primer procedimiento. Inicie sesión como NombreDeEquipoAdmin para realizar el primer procedimiento. Una vez completado, inicie sesión como NombreDeEquipoUser (donde NombreDeEquipo es el nombre de su equipo).

Para configurar manualmente un cliente DNS de modo que se usen servidores DNS preferidos y alternativos:

1. En Conexiones de red, abra el cuadro de diálogo Propiedades para la Interfaz de red en la que desee configurar DNS.

2. En la ficha General, haga clic en Protocolo de Internet (TCP/IP) y, después, en Propiedades.

3. En el cuadro de diálogo Propiedades de protocolo de Internet (TCP/IP), seleccione Usar las siguientes direcciones de servidor DNS.

4. En el campo Servidor DNS preferido, escriba la dirección IP del servidor DNS preferido.

5. En el campo Servidor DNS alternativo, escriba la dirección IP del servidor DNS alternativo y, a continuación, haga clic en Opciones avanzadas.

Introducción

Importante

Procedimiento para configurar manualmente un cliente DNS de modo que se utilicen servidores DNS preferidos y alternativos


6. En el cuadro de diálogo Configuración avanzada de TCP/IP, en la ficha DNS, en el campo Sufijo DNS para esta conexión, escriba el sufijo DNS que se anexará al nombre de host del equipo y haga clic en Aceptar.

7. En el cuadro de diálogo Propiedades de protocolo de Internet (TCP/IP), haga clic en Aceptar.

8. Cierre todas las ventanas abiertas.

Para configurar la opción de servidor DNS y la opción de sufijo DNS en DHCP:

1. Abra la consola DHCP. 2. En el ámbito apropiado, haga clic en Opciones de ámbito y, a continuación,

en el menú Acción, haga clic en Configurar opciones. 3. En el cuadro de diálogo Opciones de ámbito, seleccione

006 Servidores DNS. 4. En el campo Dirección IP, escriba la dirección IP del servidor DNS y,

a continuación, haga clic en Agregar. 5. En el cuadro de diálogo Opciones de ámbito, seleccione 015 Nombre de

dominio DNS. 6. En el campo Valor de la cadena, escriba el sufijo de dominio DNS y haga

clic en Aceptar. 7. Cierre la consola DHCP. 8. Mediante el comando ipconfig, asegúrese de que los clientes DHCP

renuevan sus concesiones para actualizar sus datos de configuración IP con estas nuevas opciones de ámbito.

Procedimiento para configurar la opción de servidor DNS y la opción de sufijo DNS en DHCP


Ejercicio: Configurar un cliente DNS


En este ejercicio, configurará un cliente DNS para utilizar un servidor DNS preferido, un servidor DNS alternativo y un sufijo DNS.


En este ejercicio, es necesario haber iniciado sesión como administrador o miembro del grupo Administradores para completar partes de este procedimiento. Inicie sesión como NombreDeEquipoAdmin para todo el ejercicio. Una vez completado el ejercicio, inicie sesión como NombreDeEquipoUser.

Se han agregado dos servidores DNS a su subred de desarrollo. Hay que configurar los equipos del laboratorio en su subred para utilizar un servidor DNS preferido y uno alternativo. Configurará su cliente DNS con las opciones DNS apropiadas.

! Configurar un cliente DNS

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de usuario: NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Dominio: nwtraders ! Interfaz: Conexión de red del aula ! Dirección IP del servidor DNS preferido: Conexión de red del aula

(la dirección IP de la conexión de red de su equipo) ! Dirección IP del servidor DNS alternativo: 192.168.x.200 ! Sufijo DNS: nwtraders.msft

Objetivo

Instrucciones


Ejercicio


! Ver la configuración del cliente DNS mediante ipconfig

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de usuario: NombreDeEquipoUser ! Contraseña: P@ssw0rd ! Dominio: nwtraders ! Interfaz: Conexión de red del aula


Lección: Delegar la autoridad en las zonas


Una vez que la solución DNS funcione, puede ser necesario modificar el espacio de nombres DNS. El proceso mediante el cual se realizan estos cambios en el espacio de nombres DNS en el servidor DNS se denomina delegación.


! Explicar qué es la delegación de una zona DNS. ! Delegar un subdominio a una zona DNS.

Introducción



Qué es la delegación de una zona DNS


En términos técnicos, delegación es el proceso de asignar la autoridad sobre los dominios secundarios de un espacio de nombres DNS a otra entidad agregando registros en la base de datos DNS.

Como administrador de un dominio DNS, DNS proporciona la opción de crear dominios secundarios y sus respectivas zonas, que después pueden almacenarse, distribuirse y replicarse en otros servidores DNS. Estas zonas adicionales pueden delegarse a otros administradores para que las administren. Al decidir si se dividirá o no el espacio de nombres DNS para delegar zonas, debe tener en cuenta los siguientes motivos:

! La necesidad de delegar la administración de parte del espacio de nombres DNS a otra ubicación o departamento dentro de la organización.

! La necesidad de dividir una zona de gran tamaño en zonas más pequeñas para distribuir cargas de tráfico entre varios servidores, mejorar el rendimiento de la resolución de nombres DNS o crear un entorno DNS más tolerante a errores.

! La necesidad de ampliar el espacio de nombres mediante la adición de subdominios (por ejemplo, para acomodar la apertura de una nueva sucursal o sitio).

En la ilustración, el administrador del nivel nwtraders.com del espacio de nombres delega autoridad para training.nwtraders.com y alivia la carga de trabajo de administración de DNS para esa parte del espacio de nombres. Training.nwtraders.com ya tiene su propia administración y servidor DNS para resolver consultas en esa parte del espacio de nombres. De este modo también se reduce la carga de trabajo para el administrador y el servidor DNS en el nivel nwtraders.com.

Definición

Finalidad de la delegación

Ejemplo


Cómo delegar un subdominio a una zona DNS


Para asignar autoridad de partes del espacio de nombres DNS a otra entidad, puede delegar un subdominio en una zona DNS.

Al delegar zonas dentro del espacio de nombres, hay que tener en cuenta que para cada nueva zona que se cree, se necesitarán registros de delegación, en otras zonas, que apunten a los servidores DNS autorizados para la nueva zona. Esto es necesario para transferir la autoridad y para proporcionar referencias correctas a otros servidores y clientes DNS de los nuevos servidores que se estén autorizando para la nueva zona.


Para delegar un subdominio en una zona DNS:

1. Abra la consola DNS. 2. Expanda el servidor DNS correspondiente, expanda Zonas de búsqueda

directa o Zonas de búsqueda inversa y, a continuación, seleccione la zona apropiada que va a delegar.

3. En el menú Acción, haga clic en Delegación nueva. 4. En la página Asistente para nueva delegación, haga clic en Siguiente. 5. En la página Nombre de dominio delegado, en el campo Dominio

delegado, escriba el nombre de dominio delegado y haga clic en Siguiente.

Introducción

Directrices

Nota

Procedimiento


6. En la página Servidores de nombres, haga clic en Agregar. 7. En el cuadro de diálogo Nuevo registro de recursos, en el campo Nombre

de dominio completo, escriba el FQDN correspondiente al servidor DNS al que delegar el dominio y, a continuación, haga clic en Resolver.

8. En el cuadro de diálogo Nuevo registro de recursos, en el campo Dirección IP, compruebe que se muestra la dirección IP correcta para el servidor que se resolvió y haga clic en Aceptar.

9. En la página Servidores de nombres, haga clic en Siguiente. 10. En la página Finalización del Asistente para nueva delegación, haga clic

en Finalizar. 11. Cierre la consola DNS.


Práctica A: Resolución de nombres de host mediante el Sistema de nombres de dominio


En esta práctica, se ocupará de:

! Configurar un registro de recursos de alias. ! Configurar una zona de búsqueda directa secundaria.

Objetivos



Ejercicio 1 Configurar un registro de recursos de alias En este ejercicio, creará un registro de recursos de alias. Después, comprobará su configuración mediante el comando ping.

Instrucciones Consulte el documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo del alumno.


Situación de ejemplo El ingeniero de sistemas ha trasladado los archivos compartidos de desarrollo del departamento de laboratorio a otro equipo servidor del laboratorio. Los equipos están configurados para tener acceso al servidor de archivos original con el nombre de host FileServer2.

El alumno creará un registro DNS de alias para que el servidor permita a los clientes DNS del laboratorio continuar teniendo acceso al servidor de archivos con el nombre de host antiguo FileServer2.


Realice las tareas siguientes en los equipos de ambos alumnos.

1. Compruebe que no puede conectar con FileServer2 mediante el comando ping.

" Utilice el comando ping para entrar en contacto con FileServer2.

" Compruebe que el comando ping no tuvo éxito.

" Pregunta: ¿Cuál es la razón?

2. Cree un nombre de alias para FileServer2 con el FQDN FileServer2.srv.nwtraders. msft en la zona de búsqueda directa srv.nwtraders.msft (donde srv es la etiqueta de tres letras del nombre de equipo).

" Zona de búsqueda directa principal: zona srv.nwtraders.msft

" Alias nuevo (CNAME): FileServer2

" Nombre de dominio completo: NombreDeEquipo2.srv.nwtraders.msft. (Consulte el documento Valores del plan de implementación.)

" Pregunta: ¿Qué permite al registro de alias FileServer2 resolverse en una dirección IP si está asignado al FQDN para el registro de host NombreDeEquipo2.srv.nwtraders.msft?



3. Compruebe que no puede conectar a FileServer2 mediante el comando ping, a continuación, examine su configuración DNS con el comando ipconfig.

" Utilice el comando ping para localizar FileServer2.

" Compruebe que el comando ping no tuvo éxito.

" Pregunta: ¿Cuál es la razón?

" Utilice el comando ipconfig para ver el sufijo DNS.

4. Compruebe que puede conectar a FileServer2.srv.nwtraders.msft. (donde srv es la etiqueta de tres letras del nombre del equipo) con el comando ping.

" Utilice el comando ping para localizar FileServer2.srv.nwtraders.msft.

" Pregunta: ¿Por qué tuvo éxito el comando ping?

5. Configure la interfaz de Conexión de red del aula con el orden de búsqueda de sufijos DNS de nwtraders.msft y srv.nwtraders.msft, y, a continuación, utilice el comando ipconfig para ver el orden de búsqueda de sufijos DNS. Finalmente, utilice el comando ping para localizar FileServer2.

" Interfaz: Conexión de red del aula

" Orden de búsqueda de sufijos DNS: nwtraders.msft, srv.nwtraders.msft

" Utilice el comando ipconfig para comprobar el orden de búsqueda de sufijos DNS.

" Utilice el comando ping para localizar FileServer2.

" Pregunta: ¿Por qué tuvo éxito el comando ping?


Ejercicio 2 Configurar una zona secundaria de búsqueda directa En este ejercicio, creará una zona de búsqueda directa secundaria. Después, comprobará la configuración del registro de recursos de la zona de búsqueda directa secundaria mediante el comando ping.

Instrucciones Consulte el documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo del alumno.


Situación de ejemplo La subred del laboratorio se vio afectada por un corte de suministro eléctrico durante el fin de semana. Parece que la zona de búsqueda directa secundaria de DNS se ha quitado. Tendrá que volver a crearla.



1. En el símbolo del sistema, ejecute la secuencia de comandos C:\Moc\2184\Labfiles\Lab05\Dns.vbs para quitar la zona de búsqueda directa secundaria nwtraders.msft del servidor DNS.

" Nombre de usuario: nwtraders\NombreDeEquipoAdmin

" Contraseña: P@ssw0rd

" En el cuadro de diálogo Ejecutar, escriba C:\moc\2184\labfiles\lab05\dns.vbs

2. Cree la zona de búsqueda directa secundaria nwtraders.msft con la dirección IP del servidor maestro 192.168.x.200.

" Zona de búsqueda directa secundaria: nwtraders.msft

" Dirección IP del servidor DNS maestro: 192.168.x.200

3. Examine los registros de recursos de nwtraders.msft para comprobar que la transferencia se produjo en la zona de búsqueda directa secundaria.

" Zona de búsqueda directa secundaria: nwtraders.msft

" En el panel de detalles, comprueba que los registros se muestran para asegurar que la zona ha sido transferida.

Contenido

Introducción 1

Lección: Configurar el valor del período de vida 2

Lección: Configurar la caducidad y el borrado 8

Lección: Integrar DNS con WINS 18

Lección: Probar la configuración del servidor DNS 23

Lección: Comprobar que un registro de recursos existe mediante NSlookup, DNSCmd y DNSLint 30

Lección: Supervisar el rendimiento del servidor DNS 42

Práctica A: Administrar y supervisar DNS 53

Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)

Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para administrar y supervisar el Sistema de nombres de dominio (DNS, Domain Name System).


! Configurar el valor del período de vida (TTL, Time-To-Live). ! Configurar la caducidad y el borrado. ! Integrar DNS con el Servicio de nombres Internet de Windows (WINS,

Windows Internet Name Service). ! Probar la configuración del servidor DNS. ! Comprobar la existencia de registros de recursos con Nslookup, DNSCmd

y DNSLint. ! Supervisar el rendimiento del servidor DNS.



apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Integración de DNS y WINS.



! Leer todo el material del mismo. ! Completar todos los ejercicios y la práctica. ! Demostrar todos los procedimientos de las páginas de instrucciones. ! Repasar la presentación multimedia Integración de DNS y WINS. ! Repasar los requisitos previos en lo que respecta a cursos y módulos.

Presentación: 2 horas 15 minutos Práctica: 15 minutos

Material necesario

Importante


iv Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)




Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones. En las demostraciones que no son obligatorias puede usar los equipos London o Glasgow. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.






Importante

Ejercicios

Prácticas

Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) v

Lección: Configurar el valor del período de vida En esta sección, se describen los métodos para impartir esta lección.

! Defina el valor del período de vida (TTL). ! Explique su propósito. ! Con ayuda de la diapositiva, describa el funcionamiento del período de vida.


! Demuestre cómo se ajusta el valor del período de vida para una zona. ! Demuestre cómo se ajusta el valor del período de vida para un registro.

! Remita a los alumnos al documento Valores del plan de implementación al

final de su cuaderno de trabajo. ! Indique a los alumnos que pueden consultar las páginas de instrucciones


• Ajustar el valor del período de vida para una zona.

• Ajustar el valor del período de vida para un registro.

• Ver el valor del período de vida para un registro con el comando ipconfig.


Lección: Configurar la caducidad y el borrado En esta sección, se describen los métodos para impartir esta lección.

! Defina qué es la caducidad y el borrado. ! Explique cuál es su propósito. ! Con ayuda de la diapositiva, explique lo que son los parámetros de

caducidad y borrado. ! Explique el propósito de los intervalos de no actualización y de

actualización.

! Describa cómo funcionan la caducidad y el borrado. ! Para ello, con ayuda de la diapositiva proporcione un ejemplo.


Cómo funciona el valor del período de vida

Cómo configurar el valor del período de vida

Ejercicio: Configurar el valor del período de vida

Qué son los parámetros de caducidad y borrado

Cómo funcionan la caducidad y el borrado

vi Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)

! Explique que para configurar la caducidad y el borrado en una zona, primero es necesario habilitar estos parámetros en el servidor DNS.

• Explique que cuando se crea una zona, ésta hereda los parámetros de caducidad y borrado de los intervalos de no actualización y de actualización que se configuraron en el servidor DNS.

! Demuestre cómo configurar los parámetros de caducidad y borrado en el servidor DNS.

! Demuestre cómo configurarlos en una zona DNS. ! Demuestre cómo habilitar el borrado automático en un servidor DNS. ! Demuestre cómo iniciar inmediatamente el borrado de registros obsoletos. ! Demuestre cómo ver cuándo una zona puede empezar a borrar registros

obsoletos. ! Demuestre cómo configurar una marca de tiempo en un registro de

recursos DNS. ! Demuestre cómo ver la marca de tiempo en un registro de recursos

dinámico.




• Configurar los parámetros de caducidad y borrado en el servidor DNS.

• Configurar los parámetros de caducidad y borrado en una zona DNS.

• Ver cuándo una zona puede empezar a borrar los registros obsoletos.

• Configurar una marca de tiempo en un registro estático.

• Ver la marca de tiempo en un registro de recursos. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Lección: Integrar DNS con WINS En esta sección, se describen los métodos para impartir esta lección.


! Explique que en esta presentación multimedia se definirá la integración de DNS y WINS y el modo en que funciona.


! Demuestre cómo integrar DNS con WINS.

Cómo configurar la caducidad y el borrado

Ejercicio: Configurar la caducidad y el borrado

Presentación multimedia: Integración de DNS y WINS

Cómo integrar DNS con WINS

Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) vii



! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que realicen el ejercicio de integración de DNS con

WINS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Lección: Probar la configuración del Servidor DNS En esta sección, se describen los métodos para impartir esta lección.

! Explique cuál es el propósito de las consultas simples y recursivas. ! Explique qué es una consulta simple. ! Explique qué es una consulta recursiva. ! Con ayuda de la diapositiva, describa cómo funcionan las consultas simples

y recursivas.


! Explique que si la consulta tiene éxito, el servidor DNS puede resolver

entonces una consulta simple y consultar un servidor raíz. Pero, si la consulta falla, el alumno debe comprobar que el servidor DNS esté configurado adecuadamente.

! Demuestre cómo probar manualmente una consulta simple en el servidor DNS.

! Demuestre cómo probar manualmente una consulta recursiva en el servidor DNS.

! Demuestre cómo habilitar la comprobación automática de consultas en el servidor DNS.




• Probar manualmente una consulta simple en un servidor DNS.

• Probar manualmente una consulta recursiva en un servidor DNS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Ejercicio: Integrar DNS con WINS

Cómo funcionan las consultas simples y recursivas

Cómo probar la configuración del servidor DNS

Ejercicio: Probar la configuración del servidor DNS

viii Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)

Lección: Comprobar que un registro de recursos existe mediante NSlookup, DNSCmd y DNSLint

En esta sección, se describen los métodos para impartir esta lección.

! Explique el propósito de comprobar registros de recursos. ! Describa las herramientas que pueden emplear los administradores para

supervisar, administrar y solucionar problemas de DNS, como Nslookup, DNSCmd y DNSLint.

! Defina Nslookup. ! Explique su propósito. ! Explique a los alumnos que pueden utilizar Nslookup para comprobar

registros de recursos, así como para muchas otras tareas. Describa algunas. ! Comente que hay dos modos: interactivo y no interactivo. ! Explique la sintaxis de Nslookup. ! Con ayuda de la diapositiva, proporcione un ejemplo de la salida de línea

de comandos en una sesión de Nslookup.

! Defina DNSCmd. ! Explique su propósito. ! Explique a los alumnos que pueden utilizar DNSCmd para comprobar

registros de recursos, así como para muchas otras tareas. Describa algunas. ! Describa los parámetros de DNScmd. ! Con ayuda de la diapositiva, proporcione un ejemplo de DNSCmd.

! Defina DNSLint. ! Explique su propósito. ! Explique a los alumnos que pueden utilizar DNSLint para comprobar

registros de recursos, así como para muchas otras tareas. Describa algunas. ! Comente las funciones y la sintaxis de DNSLint. ! Con ayuda de la diapositiva, proporcione un ejemplo de salida de DNSLint

en una búsqueda.

! Demuestre cómo comprobar que un registro de recursos existe con Nslookup.

! Demuestre cómo instalar DNSCmd. ! Demuestre cómo mostrar una lista completa de zonas configuradas en un

servidor DNS con DNSCmd. ! Demuestre cómo mostrar información acerca de zonas específicas

configuradas en un servidor DNS con DNSCmd. ! Demuestre cómo crear informes de DNSLint.

Por qué es necesario comprobar que un registro de recursos existe

Nslookup

DNSCmd

DNSLint

Cómo comprobar la existencia de un registro de recursos con Nslookup, DNSCmd y DNSLint

Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) ix




• Comprobar la existencia de un registro de recursos en DNS con Nslookup.

• Mostrar una lista completa de zonas configuradas en un servidor DNS con DNSCmd.

• Mostrar información acerca de una zona configurada en un servidor DNS con DNSCmd.

• Crear informes de DNSLint. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Lección: Supervisar el rendimiento del servidor DNS En esta sección, se describen los métodos para impartir esta lección.

! Explique que la supervisión del rendimiento del servidor DNS puede servir para:

• Proporcionar una referencia.

• Solucionar problemas con servidores DNS. ! Revise los resultados de las pruebas de ejemplo en servidores DNS con

Microsoft Windows Server� 2003 que se recopilaron durante el desarrollo y la prueba del producto.

• Consulte la documentación de la Ayuda de Windows Server 2003 para obtener información acerca del rendimiento de DNS.

! Explique cómo aplicar estas directrices.

! Defina los registros de sucesos DNS. ! Explique su propósito. ! Explique qué es un archivo de registro de sucesos DNS. ! Describa algunos de los tipos de sucesos DNS más comunes. ! Para ello, con ayuda de la diapositiva, proporcione ejemplos.

! Defina el registro de depuración de DNS. ! Explique su propósito. ! Describa las características del registro de depuración de DNS. ! Explique las opciones del registro de depuración de DNS. ! Con ayuda de la diapositiva, proporcione un ejemplo del registro de

depuración de DNS.

Ejercicio: Comprobar que un registro de recursos existe mediante NSlookup, DNSCmd y DNSLint

Directrices para supervisar el rendimiento del servidor DNS mediante la consola Rendimiento

Qué es un registro de sucesos DNS

Qué es el registro de depuración de DNS

x Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)

! Explique que para supervisar el rendimiento del servidor DNS con el registro, puede ver el registro de sucesos o de depuración de DNS.

! Demuestre cómo habilitar y configurar las opciones del registro de depuración en el servidor DNS.

! Demuestre cómo ver un archivo de registro de depuración del servidor DNS.

! Demuestre cómo ver un registro de sucesos del servidor DNS que se encuentre en otro equipo.



correspondientes a la lección. ! Indíqueles que lean la primera situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas:

• Supervisar el rendimiento del servidor DNS con la consola Rendimiento.

• Volver a cargar desde el servidor maestro.

• Registrar los valores de contador de la transferencia de zonas DNS. ! Indique a los alumnos que lean la segunda situación de ejemplo. ! Indique a los alumnos que realicen la tarea de habilitar y configurar

opciones del registro de depuración en el servidor DNS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Cómo supervisar el rendimiento del servidor DNS con el registro

Ejercicio: Supervisar el rendimiento del servidor DNS

Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS) 1

Introducción


Los servidores del Sistema de nombres de dominio (DNS) resultan esenciales para una red; por lo tanto, es necesario administrarlos y supervisarlos correctamente para tener la seguridad de que funcionan de forma adecuada y optimizar el rendimiento de la red.

Para obtener más información acerca de cómo proteger DNS, consulte la documentación de la Ayuda de Windows Server 2003, Enterprise Edition.


! Configurar el valor del período de vida. ! Configurar la caducidad y el borrado. ! Integrar DNS con el Servicio de nombres Internet de Windows. ! Probar la configuración del servidor DNS. ! Comprobar la existencia de registros de recursos con Nslookup, DNSCmd y

DNSLint. ! Supervisar el rendimiento del servidor DNS.

Introducción

Importante

Objetivos

2 Módulo 6: Administrar y supervisar el Sistema de nombres de dominio (DNS)

Lección: Configurar el valor del período de vida


Como parte de la administración de DNS, puede configurar el valor del período de vida (TTL, Time-To-Live), que se utiliza en los registros de recursos de una zona para determinar el tiempo que los clientes solicitantes deben almacenar los registros en la caché.


! Describir cómo funciona el valor del período de vida. ! Configurar el valor del período de vida.

Introducción





El valor del período de vida (TTL) es un valor de tiempo de espera expresado en segundos que se incluye con los registros DNS que se devuelven en las consultas DNS. Este valor de temporizador indica a los destinatarios el tiempo que pueden mantener o utilizar el registro de recursos, o alguno de sus datos incluidos, antes de permitir que los datos caduquen y se descarten.

El valor del período de vida para una zona se aplica a todos los registros que se crean en esa zona. El valor del período de vida para un registro se aplica a ese registro.

El proceso del TTL funciona de la siguiente manera.

1. Los registros de la zona se envían a otros servidores y clientes DNS como respuestas a consultas.

2. Los servidores y clientes DNS que almacenan un registro en su caché mantienen ese registro durante el período de vida que se indica en él.

3. Cuando el TTL caduca, el registro se quita de la caché tanto en el servidor como en el cliente DNS.

Si el período de vida se configura demasiado breve, aumenta el tráfico de consultas DNS dado que los clientes DNS solicitan esta información cada vez que caduca en su caché.

Si el período de vida para un registro se configura demasiado largo, puede que los clientes DNS estén almacenando en la caché registros obsoletos.

Definición



Cómo configurar el valor del período de vida


Para configurar el período de vida, puede ajustar su valor para una zona y para un registro de recursos.


Para ajustar el valor del período de vida para una zona:

1. Inicie una sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y, después, en Panel de control. 3. En el Panel de control, abra Herramientas administrativas, haga clic



5. En Administre su servidor, seleccione Administrar este servidor DNS. 6. En el árbol de la consola, haga clic con el botón secundario del mouse en la

zona aplicable y, a continuación, haga clic en Propiedades. 7. En la ficha General, compruebe que el tipo de zona es Principal o

Integrado en Active Directory. 8. Haga clic en la ficha Inicio de autoridad (SOA). 9. En la sección TTL mínimo (predeterminado), seleccione el intervalo, los

segundos, minutos, horas o días, y escriba un número en el cuadro de texto. 10. Haga clic en Aceptar para guardar el intervalo ajustado.

Introducción

Nota

Procedimiento para ajustar el valor del período de vida para una zona


Para ajustar el valor del período de vida para un registro de recursos:

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic en DNS. 3. En el menú Ver, haga clic en Avanzada. 4. En el árbol de la consola, expanda la zona pertinente, en el panel de detalles,

haga clic con el botón secundario del mouse en el registro adecuado y, después, haga clic en Propiedades.

5. En el cuadro de dialogo Propiedades del registro, en el campo Período de vida (TTL), ajuste el TTL.

6. Haga clic en Aceptar para guardar el TTL ajustado.

Procedimiento para ajustar el valor del período de vida para un registro


Ejercicio: Configurar el valor del período de vida


En este ejercicio, configurará el valor del período de vida.



El tráfico de consultas a y desde el cliente DNS ha aumentado. Para reducir el tráfico de consultas al servidor DNS, configure un valor de TTL más alto en la zona; además, configure el TTL del registro del servidor con un valor de tres días.

! Ajustar el valor del período de vida para una zona

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre de usuario: NWTraders\NombreDeEquipoAdmin

(donde NombreDeEquipo es el nombre de su equipo) ! Contraseña: P@ssw0rd ! Zona de búsqueda directa principal: srv.nwtraders.msft ! TTL: 2 horas

! Ajustar el valor del período de vida para un registro

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft ! Registro DNS: FileServer2 ! TTL: 59 segundos

Objetivos

Instrucciones


Ejercicio


! Ver el valor del período de vida para un registro con el comando ipconfig

! Complete esta tarea desde los equipos de ambos alumnos. ! Vaciar la caché de resolución del cliente DNS. ! Utilizar el comando ping para buscar FileServer2.srv.nwtraders.msft. ! Mostrar la caché de resolución del cliente DNS para comprobar que el valor

del período de vida de FileServer2 es inferior a 59 segundos.


Lección: Configurar la caducidad y el borrado


La caducidad y el borrado son los procesos que utiliza el servicio DNS para quitar los registros anticuados u obsoletos.

Estos procesos son importantes, porque es posible que los registros anticuados u obsoletos:

! No se hayan quitado. ! Ocupen espacio en la base de datos DNS. ! Originen transferencias de zona innecesariamente largas. ! Se envíen como respuestas a consultas y, por consiguiente, provoquen

problemas en la resolución de nombres de clientes DNS.


! Explicar qué son los parámetros de caducidad y borrado. ! Describir cómo funcionan la caducidad y el borrado. ! Configurar la caducidad y el borrado.

Introducción



Qué son los parámetros de caducidad y borrado


La caducidad es el proceso que determina si un registro de recursos DNS anticuado debe quitarse de la base de datos DNS.

El borrado es el proceso de limpieza y eliminación de datos de nombres anticuados o extintos de la base de datos DNS.

En las actualizaciones dinámicas, cada vez que un equipo se inicia en la red se agregan automáticamente registros de recursos. No obstante, en determinados casos, cuando los equipos se desconectan de la red los registros de recursos no se quitan automáticamente. Por ejemplo, si un equipo registra su propio registro de recursos de host (A) al inicio, pero luego no se desconecta de la red de la manera apropiada, dicho registro podría no eliminarse. Si la red tiene usuarios y equipos móviles, esta situación puede darse con frecuencia.

Además, los registros de recursos obsoletos ocupan espacio en la base de datos DNS y pueden ocasionar transferencias de zona innecesariamente largas. Estos registros anticuados se pueden enviar como respuestas a consultas y provocar problemas en la resolución de nombres de clientes DNS.

Para quitar los registros de recursos anticuados de la base de datos DNS, Microsoft® Windows Server� 2003 con DNS puede borrarlos; para ello, busca en la base de datos los registros de recursos que llevan caducados un determinado período y los elimina.

Definición

Propósito de la caducidad y el borrado


Para determinar cuándo borrar registros, DNS utiliza la marca de tiempo que proporciona cada registro, junto con los parámetros que se configuren.

La caducidad y el borrado deben estar habilitadas tanto en el servidor como en la zona DNS. Hay dos opciones configurables para la caducidad y el borrado,

! Intervalo de no actualización. Período durante el que el servidor DNS no acepta intentos de actualización. Durante un intervalo de no actualización, los registros de recursos no pueden actualizar su marca de tiempo.

! Intervalo de actualización. Período durante el que el servidor DNS acepta intentos de actualización. Durante un intervalo de actualización, los registros de recursos pueden actualizar su marca de tiempo.

Un intento de actualización es el proceso en el que un equipo solicita una actualización de su registro DNS. Se produce cuando el cliente, que posee el registro DNS, intenta volver a registrar el registro de recursos y no se produce cuando el cliente que posee el registro DNS actualiza el registro de recursos (por ejemplo, cuando el cliente cambia la dirección IP; pero mantiene el mismo nombre de host).

Es importante configurar los intervalos de no actualización y de actualización de modo que DNS no mantenga registros de recursos demasiado tiempo ni los quite demasiado pronto.

La marca de tiempo de los registros de recursos DNS especificados manualmente es cero, lo que significa que nunca caducan. Si desea que la caducidad y el borrado afecten también a estos registros, debe configurar una marca de tiempo válida cuando cree un registro de recursos DNS de forma manual.

Puede configurar los intervalos de no actualización y de actualización para que reduzcan la replicación de DNS en una infraestructura en la que se utiliza DNS integrado con el servicio de directorio Active Directory®.

De forma predeterminada, los clientes DNS actualizan su información de nombre y dirección IP cada 24 horas. Otros sucesos del sistema pueden desencadenar también un suceso de actualización. Cada vez que DNS actualiza la entrada DNS en la base de datos DNS, modifica un atributo del registro DNS en la base de datos de Active Directory, aunque no modifique el nombre de host o la dirección IP. Ese atributo modificado tiene que replicarse en todos los controladores de dominio de Active Directory que alojan la base de datos DNS.

El propósito del intervalo de no actualización es establecer un período durante el que DNS no aceptará actualizaciones de la marca de tiempo del registro, de modo que no se genera tráfico de replicación innecesario en el sistema. Sin embargo, el servidor DNS seguirá aceptando actualizaciones que cambian la información del registro, como la dirección IP o el nombre. Durante el intervalo de actualización, el cliente DNS puede actualizar su registro. Como consecuencia, cuando obtiene una nueva dirección IP, registra el registro. No obstante, durante el intervalo de no actualización predeterminado, el cliente DNS no podrá actualizar el registro durante siete días. Una vez transcurrido dicho período, el registro se puede actualizar. Cuando el cliente DNS se actualiza, el intervalo de no actualización vuelve a establecerse en siete días.

Parámetros de caducidad y borrado para una zona

Nota

Propósito de los intervalos de no actualización y de actualización


Cómo funcionan la caducidad y el borrado


Para comprender el proceso de caducidad y borrado en el servidor, considere el ciclo de vida y las etapas sucesivas de un solo registro de recursos.

El proceso de caducidad y borrado funciona del modo siguiente:

1. Un host DNS de ejemplo, host-a.example.nwtraders.msft, registra su registro de recursos host (A) en el servidor DNS en una zona donde es posible habilitar la caducidad y el borrado.

2. Al registrar el registro de recursos, el servidor DNS coloca una marca de tiempo basándose en la hora actual del servidor que muestra el registro.

3. Una vez escrita la marca de tiempo del registro de recursos, el servidor DNS no acepta actualizaciones en este registro durante el intervalo de no actualización de la zona. Sin embargo, sí puede aceptar actualizaciones antes de ese tiempo.

• Por ejemplo, si la dirección IP de server1.it.nwtraders.msft cambia, el servidor DNS puede aceptar la actualización. En este caso, el servidor también actualiza (restablece) la marca de tiempo del registro de recursos.

4. Una vez transcurrido el período de no actualización, el servidor comienza a aceptar intentos para actualizar este registro de recursos.

• Finalizado el período de no actualización inicial, comienza inmediatamente el período de actualización del registro de recursos. Durante este período, el servidor no suprime los intentos de actualizar el registro de recursos en lo que queda del ciclo de vida.

5. Durante el período de actualización, si el servidor recibe una actualización del registro de recursos, la procesa.

• Todas las actualizaciones del registro restablecerán la marca de tiempo del registro de recursos según el método descrito en el paso 2.

Introducción

Proceso de caducidad y borrado


6. Cuando el servidor realiza el posterior borrado en la zona it.microsoft.com, examina el registro de recursos y todos los demás registros de la zona.

• Cada registro de recursos se compara con la fecha y hora actual en el servidor según la siguiente suma para determinar la necesidad de quitarlo: Marca de tiempo del registro de recursos + Intervalo de no actualización para la zona + Intervalo de actualización para la zona

7. Si el valor de esta suma es superior al tiempo actual del servidor, no se emprende acción alguna y el registro de recursos sigue envejeciendo en la zona.

8. Si el valor de esta suma es inferior al tiempo actual del servidor, el registro de recursos se elimina de todos los datos de zona actualmente cargados en la memoria del servidor y también del objeto DnsZone pertinente almacenado en Active Directory en la zona de directorio integrado example.microsoft.com.

En la ilustración, se registra un registro host con la marca de tiempo en DNS del 1 de enero. El servidor y la zona DNS están ambos configurados para el proceso de caducidad y borrado. El intervalo de no actualización se establece en 7 días y el de actualización también en 7 días. Por lo tanto, los registros obsoletos se borrarán el 15 de enero desde la base de datos DNS.

Ejemplo


Cómo configurar la caducidad y el borrado


Para configurar la caducidad y el borrado en una zona, primero es necesario habilitar estos procesos en el servidor DNS. Cuando se crea una zona, ésta hereda los parámetros de caducidad y borrado de los intervalos de no actualización y de actualización que se configuraron en el servidor DNS.

Si advierte la existencia de un gran número de registros de recursos anticuados, le beneficiará habilitar el borrado automático en el servidor DNS.


Para configurar los parámetros de caducidad y borrado en el servidor DNS:


el servidor DNS pertinente y, a continuación, haga clic en Establecer caducidad/borrado para todas las zonas.

3. En el cuadro de diálogo Propiedades de caducidad/borrado de la zona, seleccione Borrar registros de los recursos obsoletos.

4. En el campo Intervalo sin actualización, seleccione el incremento y, a continuación, escriba un valor. (Por ejemplo, el incremento es días y el valor es 5, para un intervalo de no actualización de 5 días.)

5. En el campo Intervalo de actualización, seleccione el incremento y, a continuación, escriba un valor. (Por ejemplo, el incremento es días y el valor es 5, para un intervalo de actualización de 5 días.)

6. En el cuadro de diálogo Propiedades de caducidad/borrado de la zona, haga clic en Aceptar.


Introducción

Nota

Procedimiento para configurar los parámetros de caducidad y borrado en el servidor DNS


Para configurar las propiedades de caducidad y borrado para una zona:


la zona adecuada y, a continuación, haga clic en Propiedades. 3. En la ficha General, haga clic en Caducidad. 4. En el cuadro de diálogo Propiedades de caducidad/borrado de la zona,

seleccione Borrar registros de los recursos obsoletos. 5. En el campo Intervalo sin actualización, seleccione el incremento y, a

continuación, escriba un valor. (Por ejemplo, el incremento es días y el valor es 5, para un intervalo de no actualización de 5 días.)

6. En el campo Intervalo de actualización, seleccione el incremento y, a continuación, escriba un valor. (Por ejemplo, el incremento es días y el valor es 5, para un intervalo de actualización de 5 días.)

7. En el cuadro de diálogo Propiedades de caducidad/borrado de la zona, haga clic en Aceptar.


Para habilitar el borrado automático de los registros de recursos obsoletos en un servidor DNS:


el servidor DNS pertinente y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Avanzadas. 4. Seleccione Habilitar la limpieza automática de los registros obsoletos. 5. En el campo Período de limpieza, seleccione el incremento y escriba

un valor 6. En el cuadro de diálogo Propiedades del servidor DNS, haga clic

en Aceptar. 7. Cierre la consola DNS.

Para iniciar el borrado inmediato de los registros de recursos obsoletos:

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en el

servidor DNS pertinente y, a continuación, haga clic en Borrar registros de los recursos obsoletos.

3. Cuando se le pida que confirme el borrado de todos los registros de recursos obsoletos, haga clic en Aceptar.


Procedimiento para configurar los parámetros de caducidad y borrado en una zona DNS

Procedimiento para habilitar el borrado automático en un servidor DNS

Procedimiento para iniciar el borrado inmediato de registros obsoletos


Para ver cuándo una zona puede empezar a borrar registros de recursos obsoletos:

1. Abra la consola DNS. 2. En el menú Ver, compruebe que la opción Avanzada está seleccionada.

(Si no lo está, haga clic en Avanzada para seleccionarla.) 3. Haga clic con el botón secundario del mouse en la zona pertinente y, a

continuación, haga clic en Propiedades. 4. En la ficha General, haga clic en Caducidad. 5. En el cuadro de diálogo Propiedades de caducidad/borrado de la zona,

examine el valor del campo Fecha y hora para determinar la fecha después de la cual los registros de recursos obsoletos de la zona se pueden borrar y, a continuación, haga clic en Aceptar.

6. En el cuadro de diálogo Propiedades de Zona, haga clic en Aceptar. 7. Cierre la consola DNS.

Para configurar la marca de tiempo en un registro de recursos DNS:


(Si no lo está, haga clic en Avanzada para seleccionarla.) 3. Haga clic con el botón secundario del mouse en el registro de recursos

pertinente y, a continuación, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades de Registro de recursos, seleccione

Eliminar este registro cuando se quede obsoleto y haga clic en Aplicar. 5. Compruebe que el campo Marca de tiempo de registro muestra un valor

de fecha y hora. 6. En el cuadro de diálogo Propiedades de registro de recursos, haga clic


Para ver la marca de tiempo en un registro de recursos DNS dinámico:


(Si no lo está, haga clic en Avanzada para seleccionarla.) 3. Haga clic con el botón secundario del mouse en el registro de recursos

pertinente y, a continuación, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades de registro de recursos, examine el

valor que aparece en el campo Fecha y hora para determinar cuándo se creó el registro de recursos en DNS.

5. En el cuadro de diálogo Propiedades de registro de recursos, haga clic en Aceptar.


Procedimiento para ver cuándo una zona puede empezar a borrar los registros obsoletos

Procedimiento para configurar una marca de tiempo en un registro de recursos DNS

Procedimiento para ver la marca de tiempo en un registro de recursos dinámico


Ejercicio: Configurar la caducidad y el borrado


En este ejercicio, configurará la caducidad y el borrado en una zona.



Cuando los usuarios del laboratorio tienen acceso a recursos de la red reciben un error de resolución de nombres DNS. Usted intenta buscar algunos recursos con el símbolo del sistema y se da cuenta de que las direcciones IP ya no son válidas. Tiene la sospecha de que los registros de recursos en DNS están anticuados. Ha eliminado los registros de recursos no válidos en DNS y ahora implementa un plan de caducidad y borrado para asegurarse de que los registros anticuados futuros se quiten.

Habilitará y configurará la caducidad y el borrado en el servidor DNS, y también en la zona DNS. Asimismo, verá la fecha y hora en la zona en que se producirá el borrado, verá la marca de tiempo en un registro de recursos estático y habilitará el registro de recursos estático para que se elimine cuando quede anticuado.

Objetivos

Instrucciones



! Configurar los parámetros de caducidad y borrado en el servidor DNS

! Complete esta tarea desde los equipos de ambos alumnos ! Intervalo de no actualización: 4 días ! Intervalo de actualización: 4 días

! Configurar los parámetros de caducidad y borrado en una zona DNS

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft ! Intervalo de no actualización: 3 días ! Intervalo de actualización: 3 días

! Ver cuándo una zona puede empezar a borrar los registros obsoletos

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft ! ¿Cuándo puede comenzar la zona a borrar registros? _____________

! Configurar una marca de tiempo en un registro estático

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft ! Registro DNS: FileServer2

! Ver la marca de tiempo en un registro de recursos

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft ! Registro DNS: FileServer2 ! Marca de tiempo del registro: ________________ ! Fecha actual del registro: ________________ ! ¿Cuál es la diferencia entre la fecha actual y la marca de tiempo del registro?

____________________________________________________________

Ejercicio


Lección: Integrar DNS con WINS


La integración de DNS con el Servicio de nombres Internet de Windows (WINS) permite a los clientes DNS resolver recursos en WINS.


! Describir cómo funciona la integración entre DNS y WINS. ! Integrar DNS con WINS.

Introducción



Presentación multimedia: Integración de DNS y WINS


Para iniciar la presentación Integración de DNS con WINS, abra la página Web que se encuentra en el disco compacto Material del alumno. Haga clic en Multimedia y, a continuación, en el título de la presentación.


! Definir la integración de DNS y WINS ! Explicar la función que desempeñan los nombres de host y los nombres

del sistema básico de red de entrada/salida (NetBIOS, Network Basic Input/Output System) en la integración de DNS con WINS.

! Describir cómo funciona la integración entre DNS y WINS.

! La integración de DNS y WINS es el proceso por el que DNS utiliza WINS para resolver nombres en direcciones IP.

! DNS se emplea para resolver nombres de host y servicios en direcciones IP y WINS permite resolver nombres NetBIOS en direcciones IP.

! Las asignaciones entre nombres NetBIOS y direcciones IP se pueden configurar manualmente en el servidor o bien puede configurar el servidor DNS para que reenvíe las consultas de nombres al servidor WINS para que las resuelva.

! Los nombres de host y NetBIOS pueden ser los mismos en Microsoft Windows 2000 o Windows Server 2003, lo que permite a DNS y WINS trabajar juntos para resolver nombres.


Objetivos

Puntos clave


Cómo integrar DNS con WINS


DNS se utiliza para resolver nombres de host mientras que WINS se usa para resolver nombres NetBIOS. En algunos casos, puede resultar ventajoso para las organizaciones utilizar la base de datos WINS existente para realizar búsquedas de nombres de host en lugar de configurar cada uno de los clientes, que están en la base de datos WINS, para que también estén en la base de datos DNS.

La integración de DNS con WINS permite a los clientes DNS utilizar las entradas de nombres NetBIOS existentes en WINS en búsquedas de nombres de host. El servicio DNS permite utilizar servidores WINS para buscar nombres que no se encuentran en el espacio de nombres DNS comprobando el espacio de nombres NetBIOS que administra WINS.


Para integrar DNS con WINS:


zona adecuada y, a continuación, haga clic en Propiedades. 3. En el cuadro de diálogo Propiedades de Zona, haga clic en la ficha adecuada:

a. La ficha WINS, si la zona es de búsqueda directa. b. La ficha WINS-R, si la zona es de búsqueda inversa.

4. En la ficha WINS adecuada, active la casilla de verificación pertinente que permite el uso de la resolución WINS: a. Usar búsqueda directa WINS, si la zona es de búsqueda directa. b. Usar búsqueda WINS-R, si la zona es de búsqueda inversa.

Introducción

Nota

Procedimiento


5. En la ficha WINS o WINS-R, escriba la dirección IP del servidor WINS que se utilizará para la resolución de los nombres que no se encuentran en DNS.

Si la zona es de búsqueda inversa, escriba un nombre en el campo Dominio para anexar el nombre retornado, si es aplicable.

6. En la ficha WINS o WINS-R, haga clic en Agregar para agregar la dirección IP del servidor a la lista.

Si en una zona de búsqueda directa deben utilizarse direcciones de servidor WINS adicionales durante la referencia de la búsqueda WINS, repita los pasos 5 y 6, según sea necesario, para agregar esas direcciones a la lista

7. En la ficha WINS o WINS-R, seleccione, si es aplicable, No replicar este registro para este registro WINS.

Si va a replicar datos de zona en zonas secundarias de servidores DNS de terceros que no reconocen los registros WINS ni WINS-R, active la casilla de verificación No replicar este registro. De esta manera, se impide que los registros del localizador de WINS se repliquen en otros servidores durante las transferencias de zona. Si esta zona se va a utilizar en la realización de transferencias de zona a servidores Berkeley Internet Name Domain (BIND), entonces esta opción es esencial porque BIND no reconocerá registros del localizador de WINS.

8. De manera opcional, en la ficha WINS o WINS-R, haga clic en Avanzadas para ajustar los valores Tiempo de espera de caché y Tiempo de espera de búsqueda.

9. De manera opcional, en la ficha WINS-R del cuadro de diálogo Opciones avanzadas, seleccione Enviar dominio DNS como ámbito NetBIOS.

10. En el cuadro de diálogo Propiedades de Zona, haga clic en Aceptar. 11. Cierre la consola DNS.

Nota

Nota

Importante


Ejercicio: Integrar DNS con WINS


En este ejercicio, integrará DNS con WINS.



Se han agregado al laboratorio algunos equipos que sólo utilizan NetBIOS. Para permitir la resolución de nombres en estos clientes, ha instalado y configurado un servidor WINS. Los equipos cliente DNS necesitan acceso a estos equipos mediante el nombre NetBIOS. En vez de configurar cada cliente DNS para que utilice el servidor WINS, decide integrar la zona DNS del laboratorio con el servidor WINS con el fin de permitir la resolución de nombres NetBIOS en los clientes DNS.

Configurará la zona de búsqueda directa para el uso de búsqueda directa WINS.

! Integrar DNS con WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Zona de búsqueda directa principal: srv.nwtraders.msft ! Seleccione la opción No replicar este registro ! Dirección IP: 192.168.x.200 ! Tiempo de espera de caché: 25 minutos ! Tiempo de espera de búsqueda: 1 minuto

Objetivos

Instrucciones


Ejercicio


Lección: Probar la configuración del servidor DNS


Siempre que se producen cambios en la configuración del servidor DNS, es importante hacer pruebas en él para tener la seguridad de que la configuración sigue funcionando correctamente.


! Describir cómo funcionan las consultas simples y recursivas. ! Probar la configuración del servidor DNS.

Introducción



Cómo funcionan las consultas simples y recursivas


Para probar un servidor DNS, puede realizar dos tipos de consultas: simples y recursivas.

Siempre que se producen cambios en la configuración del servidor DNS, es importante hacer pruebas para tener la seguridad de que la configuración sigue funcionando correctamente.

Las funciones de consulta de prueba en el servidor DNS le permiten comprobar que las consultas DNS funcionan. Esto le puede servir para solucionar problemas con consultas DNS. Al probar la configuración del servidor DNS, puede limitar la búsqueda del problema.

Una consulta simple es aquélla que realiza una prueba local utilizando el cliente DNS para consultar el servidor DNS.

Este tipo de prueba especifica que el servidor DNS efectúa una consulta simple o iterativa. Se trata de una consulta localizada que emplea el solucionador del cliente DNS en el servidor DNS para consultar el servicio DNS local, que se encuentra en el mismo servidor DNS.

Introducción

Propósito de las consultas simples y recursivas

Consulta simple


En una consulta recursiva, para probar el servidor DNS se reenvía una consulta recursiva a otro servidor DNS.

Este tipo de prueba especifica que el servidor DNS realiza una consulta recursiva. La prueba es similar en su procesamiento de consultas inicial a la consulta simple ya que utiliza el solucionador del cliente DNS para consultar el servidor DNS local, que se encuentra en el mismo equipo.

En esta prueba, sin embargo, el cliente pide al servidor que utilice recursividad para resolver una consulta de tipo NS en la raíz del espacio de nombres de dominio DNS, que se indica con un solo punto (�.�). Este tipo de consulta suele requerir procesamiento recursivo adicional y puede ser de utilidad para comprobar que las sugerencias de raíz o las delegaciones de zona del servidor se han configurado correctamente.

En la ilustración, el solucionador del cliente DNS en el servidor DNS está enviando una consulta simple al servicio local DNS. La consulta simple tiene éxito o falla.

El solucionador del cliente DNS en el servidor DNS envía una consulta recursiva al servidor local DNS, que reenvía a continuación la consulta al servidor DNS autorizado para que la resuelva. La consulta recursiva tiene éxito o falla.

Consulta recursiva

Ejemplo


Cómo probar la configuración del servidor DNS


Para probar la configuración del servidor DNS, puede ejecutar consultas simples y recursivas. Si la consulta tiene éxito, el servidor DNS puede entonces resolver una consulta simple y consultar un servidor raíz. Si, por el contrario, falla, debe comprobar que el servidor DNS esté configurado adecuadamente.

Las consultas se pueden realizar de forma manual o automática.


Para probar manualmente una consulta simple en el servidor DNS:

Si comprueba el funcionamiento de un servidor DNS inmediatamente después de agregar o quitar zonas, puede que reciba resultados incorrectos. Si así ocurre, haga clic con el botón secundario del mouse en el árbol de la consola del servidor DNS y, a continuación, haga clic en Actualizar, o bien cierre la consola DNS y vuelva a abrirla.

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic en el servidor DNS adecuado. 3. En el menú Acción, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades de Servidor DNS, haga clic en la

ficha Supervisión. 5. En la ficha Supervisión, seleccione Una única consulta con este

servidor DNS. 6. En la ficha Supervisión, haga clic en Probar ahora.

Introducción

Nota

Procedimiento para probar manualmente una consulta simple en el servidor DNS Sugerencia


7. En la sección Resultados de la prueba de la columna Consulta simple, compruebe que aparece la palabra Correcto.

8. En el cuadro de diálogo Propiedades de Servidor DNS, haga clic en Aceptar.


Para probar manualmente una consulta recursiva en el servidor DNS:


ficha Supervisión. 5. En la ficha Supervisión, seleccione Una consulta recursiva a otros

servidores DNS. 6. En la ficha Supervisión, haga clic en Probar ahora. 7. En la sección Resultados de la prueba de la columna Consulta recursiva,

compruebe que aparece la palabra Correcto. 8. En el cuadro de diálogo Propiedades de Servidor DNS, haga clic


Para habilitar la prueba automática de consultas en el servidor DNS:


ficha Supervisión. 5. En la ficha Supervisión, seleccione la opción para el tipo de prueba que se

utilizará en la prueba automática de consultas. Puede seleccionar una de las siguientes opciones o ambas:

• Una única consulta con este servidor DNS

• Una consulta recursiva a otros servidores DNS 6. En la ficha Supervisión, seleccione Efectuar una prueba automática en el

siguiente intervalo. 7. En la ficha Supervisión, en el campo Intervalo de prueba, escriba un

número y, a continuación, seleccione un valor para el intervalo (por ejemplo: 5 minutos).

Las pruebas de consultas que seleccione se realizan en el intervalo configurado. El intervalo de sondeo predeterminado es de un minuto.

8. En el cuadro de diálogo Propiedades de Servidor DNS, haga clic en Aceptar.


Procedimiento para probar manualmente una consulta recursiva en el servidor DNS

Procedimiento para habilitar la prueba automática de consultas en el servidor DNS

Nota


Ejercicio: Probar la configuración del servidor DNS


En este ejercicio, probará la configuración del servidor DNS.


Le informan de que el suministro eléctrico se ha interrumpido en el laboratorio y desea ejecutar pruebas en el servidor DNS para asegurarse de que sigue funcionando correctamente. Ejecutará consultas simples y recursivas en el servidor DNS.

! Probar manualmente una consulta simple en su propio servidor DNS

! Complete esta tarea desde los equipos de ambos alumnos ! Servidor DNS: NombreDeEquipo (donde NombreDeEquipo es el nombre

de su equipo) ! ¿Por qué la consulta simple tuvo éxito?

Respuesta: Porque la consulta simple prueba su propio servidor DNS. ____________________________________________________________

____________________________________________________________

Objetivos

Instrucciones


Ejercicio


! Probar manualmente una consulta recursiva en su propio servidor DNS

! Complete esta tarea desde los equipos de ambos alumnos ! Servidor DNS: NombreDeEquipo (donde NombreDeEquipo es el nombre

de su equipo) ! ¿Por qué la consulta recursiva ha fallado?

Respuesta: Porque la consulta recursiva prueba los servidores DNS configurados en la ficha Sugerencias de raíz. Si su servidor DNS no puede tener acceso a los servidores DNS de la ficha Sugerencias de raíz, la consulta recursiva falla. Si su servidor DNS puede tener acceso a los servidores DNS configurados en la ficha Sugerencias de raíz, la consulta también falla, debido a la estructura del dominio del aula (nwtraders.msft) no está registrado con los servidores DNS configurados en la ficha Sugerencias de raíz. Para que una consulta recursiva tenga éxito, la ficha Sugerencias de raíz del servidor sólo debe contener la dirección IP de London. ____________________________________________________________

____________________________________________________________


Lección: Comprobar que un registro de recursos existe mediante NSlookup, DNSCmd y DNSLint


Para supervisar DNS, puede emplear varias utilidades de línea de comandos, como Nslookup, DNSCmd y DNSLint.


! Explicar por qué se comprueba la existencia de registros de recursos. ! Explicar qué es Nslookup. ! Explicar qué es DNSCmd. ! Explicar qué es DNSLint. ! Comprobar la existencia de registros de recursos con Nslookup, DNSCmd

y DNSLint.

Introducción



Por qué es necesario comprobar que un registro de recursos existe


La comprobación de la existencia de registros de recursos es una función básica de la supervisión y solución de problemas de DNS.

Si el servidor DNS contiene asignaciones entre nombres de host y direcciones IP anticuadas, obsoletas o incorrectas, los clientes no pueden conectarse a los servicios de red. Con la cantidad de cambios dinámicos que se producen en el servicio DNS, es importante poder comprobar que los registros de recursos DNS son correctos y están actualizados.

Para identificar problemas de su solución DNS, puede comprobar:

! Registros que faltan. ! Registros incompletos. ! Registros configurados de forma incorrecta.

Para supervisar, administrar y solucionar problemas de DNS, puede utilizar las tres utilidades siguientes.

! Nslookup ! DNSCmd ! DNSLint

Para los propósitos de esta lección, se centrará en la manera de comprobar que un registro de recursos existe, tan solo una de tantas tareas que se pueden efectuar con estas tres herramientas.

Introducción

Finalidad de la comprobación de registros de recursos

Utilidades


Nslookup


Nslookup es una utilidad de línea de comandos que se emplea para diagnosticar la infraestructura DNS.

Nslookup ofrece la posibilidad de realizar pruebas de consultas de servidores DNS y obtener respuestas detalladas como salida del comando. Esta información resulta de utilidad para solucionar problemas de resolución de nombres, comprobar que los registros de recursos se agregan o actualizan correctamente en una zona y depurar otros problemas relacionados con el servidor.

Nslookup presenta dos modos:

! Interactivo. Este modo permite escribir los comandos en Nslookup y ver los resultados en el símbolo del sistema. Utilice el modo interactivo cuando necesite más de un dato.

! No interactivo. Este modo permite ejecutar un comando de Nslookup en un solo paso que se puede ejecutar por sí solo desde la línea de comandos o insertar en un archivo por lotes. El modo no interactivo proporciona como resultado un solo dato. El resultado se puede almacenar en un archivo de texto para verlo cuando se desee. Este modo resulta de utilidad cuando se configura una Alerta de rendimiento para que ejecute un archivo por lotes.

Definición

Propósito de Nslookup

Sintaxis de Nslookup


En la tabla siguiente se describe la sintaxis de Nslookup.

Sintaxis Descripción -opción� Especifique uno o varios comandos de Nslookup. Para ver

una lista de comandos disponibles, escriba un signo de interrogación (?). Entre los comandos de Nslookup se incluye:

• Exit

• Help

• Set type

• View

equipo_para_buscar Si especifica la dirección IP de un equipo, Nslookup devuelve el nombre de host. Si especifica el nombre de host de un equipo, Nslookup devuelve la dirección IP. Si el nombre de host que consulta no va precedido por un punto, se agrega al nombre el nombre de dominio DNS predeterminado. Para buscar un equipo fuera del dominio DNS actual, agregue un punto al nombre. Por ejemplo, busque un registro host con la siguiente opción set:

Set type=a

London

-server Especifique el servidor que se utilizará como servidor DNS. Si omite el servidor, se utilizará el servidor DNS predeterminado actualmente configurado.

Por ejemplo:

Server nwtraders.msft

Para que Nslookup funcione correctamente, debe existir un registro de recursos PTR para el servidor en el que se realiza una búsqueda. Al inicio, Nslookup realiza una búsqueda inversa en la dirección IP del servidor que ejecuta el servicio DNS Server y, si no puede resolver la dirección a un nombre, informa de un error. Este error no impide el rendimiento normal de Nslookup en el proceso de diagnóstico.

En la ilustración se proporciona un ejemplo de la salida de línea de comandos en una sesión de Nslookup. Esta sesión se utiliza para comprobar que el registro host (A) de Lisbon y los registros de recursos de ubicación del servicio (SRV), que están registrados por controladores de dominio de Windows Server 2003, existen. En este ejemplo, el controlador de dominio London está registrado para el dominio nwtraders.msft.

Nota

Ejemplos


DNSCmd


DNSCmd es una herramienta de soporte DNS que se incluye con las herramientas de soporte del disco compacto de Windows Server 2003. DNSCmd permite a los administradores realizar muchas de las tareas administrativas DNS en el servidor DNS desde el símbolo del sistema.

Con DNSCmd, puede comprobar el registro dinámico de registros de recursos DNS, incluida la actualización DNS segura, además de la anulación de registro de los registros de recursos.

DNSCmd puede resultar de utilidad si tiene que efectuar una tarea de configuración DNS en varios servidores DNS. En lugar de utilizar la herramienta administrativa DNS, puede emplear la línea de comandos.

DNSCmd también es útil si necesita modificar la configuración del servidor DNS de manera remota. Así, si crea un archivo por lotes que incluya el comando DNSCmd, puede enviarlo a un servidor DNS y ejecutarlo de forma remota.

Definición

Propósito de DNSCmd


La sintaxis del comando DNSCmd es la siguiente:

dnscmd <NombreDeServidor> <Comando> [<Parámetros de comando>]

En la tabla siguiente se muestran algunos parámetros de DNSCmd y su descripción. Estos parámetros se utilizan para configurar DNS.

Parámetro Descripción NombreDeServidor Especifica el servidor DNS que el

administrador va a administrar, representado por la sintaxis del equipo local, dirección IP, nombre de dominio completo (FQDN) o nombre de host. En caso de omitirse el nombre del servidor, se utilizará el servidor local.

/primary|/secondary|/stub|/cache|/ auto-created

Filtra los tipos de zonas que se mostrarán.

/primary Muestra todas las zonas que son principales estándar o están integradas con Active Directory.

/secondary Muestra todas las zonas secundarias estándar.

/stub Muestra todas las zonas de código auxiliar.

/cache Muestra sólo las zonas cargadas en la caché.

/auto-created Muestra las zonas que se crearon automáticamente durante la instalación del servidor DNS.

/forward|/reverse Especifica otro filtro de los tipos de zonas que se mostrarán.

/forward Muestra las zonas de búsqueda directa.

/reverse Muestra las zonas de búsqueda inversa.

En la diapositiva, puede ver todas las zonas del servidor DNS 192.168.1.17 desde el comando inicial DNSCmd con la utilidad DNSCmd.

La salida del comando inicial DNSCmd se puede utilizar para ver los modificadores asociados a cada zona.

Además, puede ver que el último comando DNSCmd muestra información de la zona DNS nwtraders.msft utilizando el nombre de zona mostrado en el comando inicial DNSCmd.

Parámetros de DNSCmd

Ejemplo


DNSLint


DNSLint es una herramienta de soporte DNS que se incluye con las herramientas de soporte del disco compacto de Windows Server 2003. DNSLint es una utilidad de Microsoft Windows que puede ejecutar una serie de consultas para ayudar a diagnosticar problemas comunes de la resolución de nombres DNS.

Comprobar la coherencia de un conjunto concreto de registros DNS en varios servidores DNS puede servir de ayuda para diagnosticar y corregir problemas causados por registros DNS que faltan o que son incorrectos.

Por ejemplo, si los clientes experimentan problemas al iniciar la sesión en el dominio, comprobar que los registros SRV, que utilizan los clientes para buscar los servidores del Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) y Kerberos, están disponibles y son precisos puede ayudar a determinar si DNS es la causa del problema.

Otra situación de ejemplo es cuando recibe informes de clientes que tienen problemas para tener acceso a su sitio Web de Internet. Sería beneficioso disponer de una herramienta que comprobara rápidamente todos los registros DNS relacionados con la batería Web en cada uno de los servidores DNS que se supone contienen estos registros. Así, se podría determinar rápidamente si el problema tiene que ver con registros DNS que faltan o que son incorrectos.

En una tercera situación, podría experimentar problemas con la entrega del correo electrónico. Puede enviar correo electrónico, pero no recibe nada. El problema podría ser la resolución de nombres. Para confirmar esta teoría (o para eliminarla como posibilidad) desea comprobar todos los registros DNS de todos los servidores DNS que se emplean para resolver la dirección IP del servidor de correo electrónico.

Definición

Propósito de DNSLint


DNSLint cuenta con tres funciones que comprueban registros DNS y generan informes de Lenguaje de marcado de hipertexto (HTML, Hypertext Markup Language).

! DNSLINT /d diagnostica las causas posibles de la delegación defectuosa y otros problemas relacionados con DNS.

• Una delegación defectuosa tiene lugar cuando un subdominio DNS se configura para un servidor DNS que no existe o que no actúa de forma autorizada para ese subdominio.

! DNSLINT /ql comprueba un conjunto de registros DNS definidos por el usuario en varios servidores DNS.

! DNSLINT /ad comprueba registros DNS que se utilizan específicamente para la replicación de Active Directory.

La sintaxis del comando DNSLint es la siguiente:

C:\dnslint.exe /d nombre_de_dominio | /ad [dirección_IP_de_LDAP] | /ql archivo_de_entrada

[/c [smtp,pop,imap]] [/no_open] [/r nombre_de_informe]

[/t] [/s dirección_IP_de_DNS] [/v] [/y]

La ilustración proporciona un ejemplo de salida de DNSLint en una búsqueda de Nwtraders.msft.

Funciones y sintaxis de DNSLint

Ejemplo


Cómo comprobar la existencia de un registro de recursos con Nslookup, DNSCmd y DNSLint


Puede emplear las tres utilidades DNS, Nslookup, DNSCmd y DNSLint, para realizar tareas de supervisión, como comprobar que un registro de recursos existe. Nslookup está disponible, de manera predeterminada, con Windows Server 2003. Primero es necesario instalar DNSCmd y DNSLint desde las herramientas de soporte del disco compacto de Windows Server 2003.


Compruebe que un registro de recursos existe en DNS con Nslookup:

1. Abra el símbolo del sistema. 2. En el símbolo del sistema, escriba nslookup DirecciónIPDeServidorRaíz. 3. En el símbolo del sistema, escriba nslookup. 4. A continuación, escriba set q=A. 5. Después, escriba el nombre de host. 6. Revise los registros de recursos devueltos correspondientes al nombre

de dominio completo (FQDN) del host. 7. Escriba exit. 8. Cierre el símbolo del sistema.

Introducción

Nota

Procedimiento para comprobar que un registro de recursos existe en DNS con Nslookup


Para instalar DNSCmd:

1. Introduzca el CD de Windows Server 2003 en la unidad de CD-ROM. 2. Si se le pregunta si desea volver a instalar Windows, haga clic en No. 3. Cuando aparezca la pantalla de bienvenida, haga clic en Realizar tareas

adicionales y, a continuación, en Examinar este CD. 4. Vaya a la carpeta \Support\Tools. 5. Para obtener información completa acerca de la instalación, consulte el

archivo Readme.htm disponible dentro del archivo support.cab. 6. Haga doble clic en suptools.msi. 7. Siga las instrucciones que aparecen en la pantalla.

Para mostrar una lista completa de zonas configuradas en un servidor DNS con DNSCmd:

! En el símbolo del sistema, escriba: dnscmd [NombreDeEquipo] /enumzones

Para mostrar información acerca de una zona específica configurada en un servidor DNS con DNSCmd:

! En el símbolo del sistema, escriba: dnscmd [NombreDeEquipo] /zoneinfo [zona]

Para crear el informe de DNSLint:

1. Abra el símbolo del sistema en un directorio en el que desee crear el informe. 2. En el símbolo del sistema, escriba dnslint. 3. A continuación, escriba dnslint /ql autocreate. 4. Después, escriba Notepad in-dnslint.txt. 5. En el Bloc de notas, en la sexta línea comenzando desde el final del archivo,

cambie la línea de dns1.cp.msft.net por NombreDeEquipo.nwtraders.msft. 6. En el Bloc de notas, en las últimas cuatro líneas del archivo, cambie las

apariciones de Microsoft.com por el nombre del dominio que se está consultando.

7. En Bloc de notas, en las últimas cinco líneas del archivo, cambie las apariciones de 207.46.197.100 por la dirección IP del servidor DNS que se está consultando.

8. En el Bloc de notas y en el mismo directorio donde se encuentre el archivo in-dnslint.txt, guarde el archivo como Dnslintquery.txt y, a continuación, cierre el Bloc de notas.

9. En el símbolo del sistema, escriba dnslint /ql dnslintquery.txt /v. 10. Cuando se abra el informe HTML, compruebe el contenido y ciérrelo. 11. Cierre el símbolo del sistema.

Procedimiento para instalar DNSCmd

Procedimiento para mostrar una lista completa de zonas configuradas en un servidor DNS con DNSCmd

Procedimiento para mostrar información de una zona específica configurada en un servidor DNS con DNSCmd

Procedimiento para crear el informe de DNSLint


Ejercicio: Comprobar que un registro de recursos existe mediante NSlookup, DNSCmd y DNSLint


En este ejercicio, comprobará que un registro de recursos existe mediante Nslookup, DNSCmd y DNSLint



Va a probar el nuevo servidor DNS con utilidades de línea de comandos.

! Comprobar la existencia de un registro de recursos en DNS con Nslookup

! Complete esta tarea desde los equipos de ambos alumnos ! Dirección IP del servidor DNS: Dirección IP de la interfaz de la Conexión

de red del aula de su equipo ! Registro DNS: FileServer2.srv.nwtraders.msft

! Mostrar una lista completa de las zonas configuradas en un servidor DNS con DNSCmd

! Complete esta tarea desde los equipos de ambos alumnos ! Servidor DNS: NombreDeEquipo

(donde NombreDeEquipo es el nombre de su equipo)

Objetivos

Instrucciones


Ejercicio


! Mostrar información acerca de una zona configurada en un servidor DNS con DNSCmd


(donde NombreDeEquipo es el nombre de su equipo) ! Zona DNS: srv.nwtraders.msft

! Crear un informe de DNSLint


(donde NombreDeEquipo es el nombre de su equipo) ! Directorio de DNSLint: C:\moc\2184\labfiles\lab06\dnslint ! Nombre del servidor DNS: NombreDeEquipo.nwtraders.msft ! Nombre del dominio DNS: srv.nwtraders.msft ! Dirección IP del servidor DNS: Dirección IP de la interfaz de la Conexión

de red del aula de su equipo


Lección: Supervisar el rendimiento del servidor DNS


Como administrador, puede proporcionar datos de referencia útiles y solucionar problemas de DNS mediante la consola Rendimiento, que supervisa el rendimiento de un servidor DNS.

Además, los servidores DNS con Windows Server 2003 llevan integradas varias herramientas, por ejemplo, el Visor de sucesos DNS y el registro de depuración de DNS, para ayudarle a supervisar sucesos y datos DNS.


! Aplicar las directrices para supervisar el rendimiento del servidor DNS con la consola Rendimiento.

! Explicar qué es un registro de sucesos DNS. ! Explicar qué es un registro de depuración de DNS. ! Describir cómo funciona el registro de depuración de DNS. ! Supervisar el rendimiento del servidor DNS mediante el registro.

Introducción



Directrices para supervisar el rendimiento del servidor DNS mediante la consola Rendimiento


Dado que los servidores DNS tienen una importancia fundamental en la mayoría de los entornos, la supervisión de su rendimiento puede contribuir a:

! Proporcionar una referencia útil para predecir, estimar y optimizar el rendimiento del servidor DNS.

! Solucionar problemas de los servidores DNS en los que el rendimiento ha disminuido, bien a lo largo del tiempo o durante períodos de actividad máxima.

Cuando comience la supervisión de los servidores DNS, puede revisar los resultados de las pruebas de ejemplo en los servidores DNS con Microsoft Windows Server 2003 que se recopilaron durante el desarrollo y prueba del producto. Esta información le puede servir como indicación inicial para medir el rendimiento y la referencia.

Para obtener más información al respecto, consulte en la documentación de la Ayuda de Windows Server 2003 la sección correspondiente al rendimiento de DNS.

Windows Server 2003 proporciona también un conjunto de contadores de rendimiento para servidores DNS que se pueden utilizar con el Monitor de sistema con el fin de medir y supervisar diversos aspectos de la actividad de un servidor.

Introducción

Nota


Se recomienda supervisar las fases esenciales de la actividad DNS, como la actualización dinámica, la notificación, las transferencias de zona incrementales y completas, las consultas y el estado del servidor DNS.

Contadores de rendimiento

Datos recopilados

Significado

Lo que hay que buscar después de establecer la referencia

Actualizaciones dinámicas rechazadas

El número total de actualizaciones dinámicas que rechaza el servidor DNS.

Un número alto de rechazos a un servidor DNS configurado para permitir actualizaciones dinámicas seguras podría significar que equipos no autorizados intentan llevar a cabo una actualización.

Cualquier aumento sobre la referencia puede ser un motivo para realizar una investigación adicional.

Consultas recursivas/seg. Es el promedio de consultas recursivas que el servidor DNS ha recibido por segundo.

Este contador proporciona una vista de la carga de consultas en el servidor DNS.

Si este contador experimenta subidas o bajadas espectaculares, habrá que investigar más.

Solicitud AXFR enviada El número total de solicitudes de transferencias de zona completas que el servicio DNS Server envía cuando actúa como servidor secundario en una zona.

El servidor DNS que aloja la zona secundaria está solicitando transferencias de zona incrementales. Si este número es alto, se están produciendo muchos cambios en la zona principal.

Si este contador sube de manera espectacular por encima de la referencia, podría reflejar la necesidad de revisar el número de cambios en la zona y la configuración de transferencias de zona.

Directrices


Qué es un registro de sucesos DNS


Un registro de sucesos DNS es un registro del sistema configurado para registrar únicamente sucesos DNS.

El Visor de sucesos puede emplearse para ver y supervisar sucesos DNS relacionados con los clientes. Éstos aparecen en el Registro del sistema y el servicio Cliente DNS los escribe en todos los equipos que ejecutan Windows (cualquier versión).

En Windows Server 2003, los mensajes de sucesos del servidor DNS están separados y se guardan en su propio registro (el registro del servidor DNS) que se puede ver con la consola DNS o con el Visor de sucesos.

El archivo de registro del servidor DNS contiene sucesos que registra el servicio DNS Server. Por ejemplo, cuando el servidor DNS se inicia o detiene, el mensaje de suceso correspondiente se escribe en este registro. Los sucesos de error del servicio DNS también se registran aquí (por ejemplo, cuando el servidor se inicia pero las transferencias de zona generan errores o cuando la información de zonas necesaria para el inicio no está disponible).

En la tabla siguiente se muestra una lista parcial de los sucesos más comunes que se graban en el registro del servidor DNS.

Suceso Descripción 2 El servidor DNS se ha iniciado. 3 El servidor DNS se ha cerrado. 3150 Los datos de la zona DNS se han actualizado. 6522 Un cambio en el número de serie de la zona provoca una

transferencia de zona.

Puede utilizar la consola DNS para cambiar los tipos de sucesos que registran los servidores DNS que ejecutan Windows Server 2003.

En la ilustración, puede ver algunos sucesos DNS comunes del registro de sucesos en el Visor de sucesos.

Definición

Finalidad de un registro de sucesos DNS

Archivo de registro de sucesos DNS

Tipos de sucesos DNS

Ejemplo


Qué es el registro de depuración de DNS


El registro de depuración de DNS es una herramienta de registro opcional para DNS que almacena la información de DNS seleccionada.

Como el registro toma recursos del servidor, el registro de depuración no está habilitado de forma predeterminada. El registro de depuración se configura en los servidores DNS y, por tanto, su configuración afecta a todas las zonas alojadas en el servidor DNS.

Con la herramienta Rendimiento puede capturar una gran cantidad de datos estadísticos de DNS. Le permite representar gráficamente objetos y contadores. Si desea obtener información incluso más específica, puede habilitar el registro de depuración de DNS.

Con el registro de depuración de DNS, puede recopilar datos DNS específicos en el archivo DNS.Log. Por ejemplo, si desea saber los tipos de consultas que un equipo ha estado enviando al servidor DNS, podría configurar el registro de depuración de DNS para que recopilara exactamente las consultas DNS entrantes utilizando el Protocolo de datagramas de usuario (UDP, User Datagram Protocol) o el Protocolo de control de transporte (TCP, Transmission Control Protocol) desde una determinada dirección de Protocolo Internet (IP, Internet Protocol).

El registro de depuración puede consumir muchos recursos, afectar al rendimiento general del servidor y ocupar espacio en el disco. Por lo tanto, sólo se debe utilizar temporalmente, cuando se necesite información más detallada acerca del rendimiento del servidor.

El registro de depuración de DNS recopila información mediante el registro del tráfico DNS que cumple ciertos criterios.

El registro continúa hasta que se alcanza el tamaño del archivo de registro especificado o hasta que la unidad en la que se almacena el archivo de registro se queda sin espacio. Una vez alcanzado el límite, el proceso de registro comenzará a sobrescribir las entradas más antiguas. Dado que los archivos de registro pueden hacerse bastante grandes, se recomienda ubicarlos en otra unidad.

Definición

Propósito del registro de depuración de DNS

Registro de depuración de DNS


En la siguiente tabla se enumeran y describen las opciones que se encuentran disponibles al configurar el registro de depuración de DNS.

Opciones Valores Descripción

Saliente Los paquetes que envía el servidor DNS se registran en el archivo de registro del servidor DNS.

Dirección del paquete

Entrante Los paquetes que envía el servidor DNS se registran en el archivo de registro.

Consultas estándar Especifica que los paquetes que contienen consultas estándar se registran en el archivo de registro del servidor DNS.

Actualizaciones Especifica que los paquetes que contienen actualizaciones dinámicas se registran en el archivo de registro del servidor DNS.

Contenido de paquete

Notificaciones Especifica que los paquetes que contienen notificaciones se registran en el archivo de registro del servidor DNS.

UDP Especifica que los paquetes enviados y recibidos a través de UDP se registran en el archivo de registro del servidor DNS.

Protocolo de transferencia

TCP Especifica que los paquetes enviados y recibidos a través de TCP se registran en el archivo de registro del servidor DNS.

Solicitud Especifica que los paquetes de solicitudes se registran en el archivo de registro del servidor DNS.

Tipo de paquete

Respuesta Especifica que los paquetes de respuestas se registran en el

archivo de registro del servidor DNS.

Habilitar filtrado según dirección IP

Proporciona filtrado adicional de paquetes registrados en el archivo de registro del servidor DNS. Esta opción permite el registro de paquetes que se envían desde direcciones IP específicas a un servidor DNS o desde un servidor DNS a direcciones IP específicas.

Nombre de archivo Especifica el nombre y la ubicación del archivo de registro del servidor DNS.

Otras opciones

Límite de tamaño máximo de archivo de registro

Establece el tamaño máximo del archivo de registro del servidor DNS.

Opciones de registro de depuración de DNS


Cómo supervisar el rendimiento del servidor DNS con el registro


Para supervisar el rendimiento del servidor DNS con el registro, puede ver el registro de sucesos o de depuración de DNS.

Para ver un registro de depuración del servidor DNS, debe habilitar y configurar las opciones de registro de depuración en el servidor DNS.


Para habilitar y configurar opciones de registro de depuración en el servidor DNS:

1. Abra la consola DNS. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en el

servidor DNS adecuado y, a continuación, haga clic en Propiedades. 3. En el cuadro de diálogo Propiedades de Servidor DNS, haga clic en la ficha

Depurar registro. 4. En la ficha Depurar registro, seleccione Paquetes de registro para

depuración. 5. En la ficha Depurar registro, seleccione las opciones de los criterios de

depuración que desee almacenar en el archivo de registro de depuración. 6. En la ficha Depurar registro, en el campo Ruta de acceso y nombre de

archivo, escriba la ruta de acceso en la que se almacenará el registro de depuración y escriba también el nombre del registro de depuración. Si no se configura una ruta de acceso y un nombre, la ruta de acceso predeterminada es %Systemroot%\System32\Dns y el nombre predeterminado es Dns.log.

Introducción

Nota

Procedimiento para habilitar y configurar opciones de registro de depuración en el servidor DNS


7. En la ficha Depurar registro, en el campo Tamaño máximo, escriba el tamaño máximo del archivo Dns.log. Se recomienda configurar un tamaño máximo para el archivo. Asimismo, se recomienda almacenar el archivo en una unidad distinta a la del sistema.

8. En la ficha Depurar registro, haga clic en Aceptar. 9. Cierre la consola DNS.

Para ver un archivo de registro de depuración del servidor DNS:

• Abra el registro de depuración con el Bloc de notas.

Para ver un registro de sucesos del servidor DNS que se encuentra en otro equipo:

1. Abra la consola DNS y, a continuación, seleccione DNS. 2. En el menú Acción, haga clic en Conectar con el servidor DNS. 3. En el cuadro de diálogo Conectar con el servidor DNS, seleccione

El siguiente equipo y, luego, especifique el nombre o la dirección IP del equipo remoto.

4. En el árbol de la consola, expanda DNS. 5. En el árbol de la consola, expanda la carpeta Visor de sucesos. 6. En el panel de detalles, haga clic en Sucesos DNS. 7. Para ver más detalles de un suceso en concreto, haga doble clic en él.

Procedimiento para ver un archivo de registro de depuración del servidor DNS

Procedimiento para ver un registro de sucesos del servidor DNS que se encuentra en otro equipo


Ejercicio: Supervisar el rendimiento del servidor DNS


En este ejercicio, supervisará el rendimiento del servidor DNS.



Le han pedido que recopile datos de rendimiento acerca del servidor DNS para una reunión de planeamiento. Antes de configurar el registro a largo plazo, verá datos del rendimiento en tiempo real.

! Supervisar el rendimiento del servidor DNS con la consola Rendimiento


(donde NombreDeEquipo es el nombre de su equipo) ! Objeto de rendimiento: DNS ! Contadores de objetos DNS:

• Éxito AXFR enviado

• Éxito IXFR enviado

• Error en la transferencia de zona

• Éxito en la transferencia de zona ! Propiedades de Monitor de sistema, Escala vertical, Máximo: 2

Objetivos

Instrucciones

Situación de ejemplo 1

Ejercicio 1


! Volver a cargar desde el servidor maestro


(donde NombreDeEquipo es el nombre de su equipo) ! Zona DNS: nwtraders.msft ! Haga clic con el botón secundario del mouse en la zona nwtraders.msft y,

a continuación, haga clic en Recargar desde maestro.

! Registrar los valores de contador de la transferencia de zonas DNS

! Complete esta tarea desde los equipos de ambos alumnos ! Registre los valores de los siguientes contadores DNS:

• Éxito AXFR enviado ______________

• Éxito IXFR enviado ______________

• Error en la transferencia de zona ______________

• Éxito en la transferencia de zona ______________ ! ¿Ha tenido éxito la transferencia de zona? ______________ ! ¿Por qué la transferencia de zona era incremental?

Respuesta: El contador Éxito IXFR enviado ha registrado el valor 1 porque el servidor DNS que ejecuta Windows Server 2003 utiliza de forma predeterminada transferencias de zona DNS incrementales. ____________________________________________________________

____________________________________________________________

Ha recibido quejas de un usuario que dice que cuando intenta obtener acceso a sitios Web de Internet aparecen mensajes de error. Compruebe que el cliente DNS está configurado correctamente. Para comprobar que las consultas del cliente DNS llegan realmente al servidor DNS, podría configurar el registro de depuración de DNS para los siguientes casos:

! En el servidor DNS, configure los valores del registro de depuración de DNS como en el siguiente procedimiento.

! Dados UDP y TCP, recopile consultas DNS que el servidor DNS recibe del cliente DNS mediante UDP y TCP.

Situación de ejemplo 2


! Habilitar y configurar opciones de registro de depuración en el servidor DNS


(donde NombreDeEquipo es el nombre de su equipo) ! Dirección del paquete: Entrante y Saliente ! Protocolo de transferencia: UDP y TCP ! Contenido de paquete: Consultas/Transfer ! Tipo de paquete: Solicitud y Respuesta ! Ruta de acceso y nombre de archivo:

C:\Moc\2184\Labfiles\Lab06\Debug.log ! Tamaño máximo de archivo: 20000

Ejercicio 2


Práctica A: Administrar y supervisar DNS


En esta práctica, administrará y supervisará DNS.

Ha configurado un servidor DNS en la subred del laboratorio como servidor DNS secundario del principal. Se ha configurado otro servidor WINS en el laboratorio para permitir la resolución de nombres NetBIOS. Configurará DNS para integrarse con el servidor WINS.

Varios usuarios se han quejado de que no pueden tener acceso a Fileserver2 en el laboratorio. Utilizará NSlookup para comprobar que el registro existe e identificar el servidor DNS autorizado para el registro.

Tiene la sospecha de que la zona de búsqueda inversa secundaria del servidor DNS no recibe paquetes de notificaciones de la zona de búsqueda directa principal del servidor DNS maestro del laboratorio. Comprobará que las propiedades de transferencia de zona están configuradas correctamente. También examinará el archivo de registro de depuración para comprobar si los paquetes de notificaciones se envían.

Objetivos




Ejercicio 1 Comprobar un registro mediante NSlookup En este ejercicio, empleará la utilidad NSlookup para comprobar que el registro de recursos existe e identificará el servidor DNS autorizado para el registro.

Instrucciones Para completar este ejercicio, consulte el documento Valores del plan de implementación, incluido en el apéndice al final del cuaderno de trabajo.


Situación de ejemplo Algunos clientes DNS tienen problemas para conectarse a FileServer2. Utilizará Nslookup para comprobar que el registro existe y que está configurado correctamente. Además, identificará el servidor DNS autorizado para el registro.


Realice la siguiente tarea en los equipos de ambos alumnos.

1. Con el comando de Nslookup, compruebe que el registro de recursos FileServer2 existe y que el alias está configurado correctamente.

" Servidor DNS: NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo)

" Tipo de consulta: CNAME

Ejercicio 2 Configurar y ver el registro de depuración DNS En este ejercicio, habilitará y configurará el registro de depuración de DNS en el servidor DNS. Luego, iniciará una transferencia de zona desde la zona maestra. También verá el registro de depuración de la versión de zona.

Instrucciones Para completar este ejercicio, consulte el documento Valores del plan de implementación, incluido en el apéndice al final del cuaderno de trabajo.



Situación de ejemplo Tiene que comprobar que la zona de búsqueda directa secundaria recibe datos de transferencias de zona de la zona de búsqueda directa principal. Configurará el registro de depuración de DNS en el servidor DNS para recopilar datos de transferencias de zona. A continuación, examinará el registro de depuración para buscar la última versión de zona escrita en el servidor secundario y la comparará con el identificador de versión de zona del registro SOA.



1. Compruebe que el registro de depuración está habilitado y configurado para:

• Recopilar datos acerca de la transferencia de zona.

• Recopilar datos de notificación de transferencias de zona.

" Servidor DNS: NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo)

" Dirección del paquete: Entrante y Saliente

" Protocolo de transferencia: UDP y TCP

" Contenido de paquete: Consultas/Transferencias

" Tipo de paquete: Solicitud y Respuesta

" Ruta de acceso y nombre de archivo: C:\Moc\2184\Labfiles\Lab06\Debug.log

" Tamaño máximo de archivo: 20000

2. Inicie una transferencia de zona desde la zona de búsqueda directa secundaria nwtraders.msft.

" En la zona nwtraders.msft, seleccione Recargar desde maestro.

3. Compare el valor del número de serie del registro SOA en la zona nwtraders.msft con el valor del número de serie del archivo Debug.log.

" Zona DNS: nwtraders.msft

" Documente el número de serie del registro SOA _______________

" Archivo de registro de depuración: C:\Moc\2184\Labfiles\Lab06\Debug.log

" Documente el número de serie___________________

" ¿Coinciden los números de serie de zona?________________

Contenido

Introducción 1

Presentación multimedia: Función de WINS en las infraestructuras de redes 2

Lección: Instalar y configurar un servidor WINS 3

Lección: Administrar registros en WINS 17

Lección: Configurar la replicación WINS 26

Lección: Administrar una base de datos WINS 42

Práctica A: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) 64

Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para utilizar el Servicio de nombres Internet de Windows (WINS, Windows Internet Name Service) para registrar nombres del Sistema básico de entrada/salida de red (NetBIOS, Network Basic Input/Output System) y resolverlos en direcciones IP.


! Describir la función de WINS en las infraestructuras de redes. ! Instalar y configurar un servidor WINS. ! Administrar registros en WINS. ! Configurar la replicación WINS. ! Administrar una base de datos WINS.



en el apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Función de WINS en las infraestructuras

de redes.



! Leer todo el material del mismo. ! Completar todos los ejercicios y la práctica. ! Practicar la demostración de todas las páginas de instrucciones.


! Revisar la presentación multimedia Función de WINS en las infraestructuras de redes.


Presentación: 2 horas, 30 minutos Práctica: 30 minutos

Material necesario

Importante


iv Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)



Las páginas de instrucciones están hechas para que el instructor demuestre cómo llevar a cabo una tarea. Los alumnos no tienen que realizar con el instructor las tareas de la página de procedimientos. Seguirán los pasos que se indiquen para efectuar el ejercicio al final de cada lección.







Importante

Ejercicios

Prácticas

Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) v

Presentación multimedia: Función de WINS en las infraestructuras de redes

En esta sección se describen los métodos para impartir esta presentación multimedia:


! Explique a los alumnos que la presentación multimedia proporciona una introducción visual avanzada a la función de WINS en las infraestructuras de redes. Los detalles relativos a WINS se describen en el tema y en las páginas de instrucciones.


Lección: Instalar y configurar un servidor WINS En esta sección, se describen los métodos para impartir esta lección.

! Con ayuda de la diapositiva, explique los componentes que constituyen una solución WINS.


! Explique el propósito de los tipos de nodos NetBIOS. ! Explique lo que es un tipo de nodo NetBIOS y defina los diversos tipos.

! Con ayuda de la diapositiva, describa el proceso de registro de nombres.


! Describa lo que es la renovación de nombres. ! Explique cuál es el intervalo de renovación predeterminado. ! Con ayuda de la diapositiva, describa el proceso de liberación de nombres.

! Explique la finalidad del manejo de ráfagas. ! Con ayuda de la diapositiva, describa cómo funciona.


! Explique que el tamaño de cola predeterminado del manejo de ráfaga es mediano (500).

! Proporcione un ejemplo de una interrupción del suministro eléctrico para ilustrar el proceso de manejo de ráfagas.

Los componentes de WINS

Qué es un tipo de nodo NetBIOS

Cómo registra y libera un cliente WINS los nombres NetBIOS

Cómo funciona el manejo de ráfagas

vi Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

! Defina la resolución de nombres en WINS. ! Con ayuda de la diapositiva, describa cómo resuelve un servidor WINS

los nombres NetBIOS.


! Demuestre cómo instalar el servicio WINS. ! Demuestre cómo comprobar el estado del servicio WINS.

! Demuestre cómo configurar el manejo de ráfagas.



• Configurar sus datos de configuración IP del servidor para WINS.

• Agregar la función de servidor WINS.

• Comprobar el estado del servicio WINS.

• Configurar el manejo de ráfagas en el servidor WINS. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Administrar registros en WINS En esta sección, se describen los métodos para impartir esta lección.

! Defina un registro de cliente. ! Con ayuda de la diapositiva, describa el tipo de información contenida

en un registro de cliente.


! Defina una asignación estática. ! Explique su propósito ! Proporcione un ejemplo de cuándo es necesario utilizar una asignación

estática.

! Describa la información de un equipo cliente que se necesita para crear una asignación estática: nombre NetBIOS, tipo de nombre y dirección de Protocolo Internet (IP, Internet Protocol).

! Demuestre cómo agregar una entrada de asignación estática.

! Explique por qué se examinan los registros WINS. ! Describa los tres tipos de filtros disponibles.

• Explique para qué utilizaría cada uno de estos filtros.

Cómo resuelve un servidor WINS los nombres NetBIOS

Cómo instalar el servicio WINS

Cómo configurar el manejo de ráfagas

Ejercicio: Instalar y configurar un servidor WINS

Qué es un registro de cliente

Qué es una asignación estática

Cómo agregar una entrada de asignación estática

Métodos para filtrar y ver registros en WINS

Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) vii

! Demuestre cómo filtrar registros WINS. ! Explique cómo utilizar el carácter comodín y la manera de reorganizar

las columnas de un resultado de búsqueda.




• Mostrar todos los registros WINS.

• Agregar una entrada de asignación estática WINS.

• Filtrar los registros WINS para ver sólo la nueva asignación estática que el alumno ha agregado.


Lección: Configurar la replicación WINS En esta sección, se describen los métodos para impartir esta lección.

! Defina la replicación WINS. ! Explique su propósito. ! Describa qué son los asociados de replicación WINS. ! Proporcione un ejemplo del funcionamiento de la replicación WINS. ! Señale que los servidores WINS sólo replican los cambios realizados en la

base de datos y no la base de datos entera.

! Defina la replicación por inserción. ! Con ayuda de la diapositiva, describa cómo funciona.


! Explique cuándo se debe utilizar la replicación por inserción.

! Defina la replicación por extracción. ! Con ayuda de la diapositiva, describa cómo funciona.


! Explique cuándo se debe utilizar la replicación por extracción.

! Defina la replicación por inserción/extracción. ! Explique que con la replicación por inserción/extracción, la replicación

tiene lugar cuando se alcanza el umbral de cambios o cuando se ha excedido un período máximo entre notificaciones de replicación.

! Describa cuándo se debe utilizar la replicación por inserción/extracción.

Cómo filtrar registros WINS

Ejercicio: Administrar registros en el servidor WINS

Cómo funciona la replicación WINS

Cómo funciona la replicación por inserción

Cómo funciona la replicación por extracción

Qué es la replicación por inserción/extracción

viii Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

! Comente que la implementación y el uso correctos de WINS en una red depende de que las propiedades de replicación se hayan configurado adecuadamente.

! Describa las propiedades de replicación y para qué se utilizan.

! Señale que la replicación por inserción/extracción es la replicación predeterminada de Microsoft Windows Server� 2003 para WINS.

! Demuestre cómo configurar la replicación WINS. ! Demuestre cómo modificar un tipo de asociado de replicación. ! Demuestre cómo modificar la configuración de la replicación por inserción

de los asociados de replicación. ! Demuestre cómo modificar la configuración de la replicación por extracción

de los asociados de replicación. ! Demuestre cómo realizar la replicación con todos los asociados WINS. ! Demuestre cómo iniciar la replicación por inserción. ! Demuestre cómo iniciar la replicación por extracción.

! Demuestre cómo configurar las propiedades de extracción de los asociados

de replicación. ! Demuestre cómo configurar las propiedades de inserción de los asociados

de replicación.



• Filtrar los registros WINS para comprobar que todos los registros WINS actuales son propiedad de su servidor.

• Configurar la replicación WINS.

• Modificar la configuración de la replicación por extracción de los asociados de replicación.

• Modificar la configuración de la replicación por inserción de los asociados de replicación.

• Replicar con el servidor WINS London.

• Reiniciar el servicio WINS en su servidor WINS para replicar registros.

• Ver los registros WINS para comprobar que se muestran los correspondientes a su servidor WINS y los del equipo London.


Propiedades de los asociados de replicación WINS

Cómo configurar la replicación WINS

Cómo configurar las propiedades de los asociados de replicación

Ejercicio: Configurar la replicación WINS

Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) ix

Lección: Administrar una base de datos WINS En esta sección, se describen los métodos para impartir esta lección.

! Explique la finalidad de la copia de seguridad y la restauración de las bases de datos WINS.

! Demuestre cómo especificar un directorio de copia de seguridad e iniciar una copia de seguridad manual.

! Demuestre cómo hacer copia de seguridad manual de una base de datos WINS.

! Demuestre cómo restaurar una base de datos WINS.

! Explique por qué se eliminan los registros WINS. ! Defina lo que es la eliminación simple. ! Defina lo que es la eliminación de registros desechados.

! Demuestre cómo eliminar o desechar registros WINS.

! Explique la finalidad de compactar una base de datos WINS. ! Describa la compactación Jet en línea y cómo reduce la necesidad

de realizar una compactación sin conexión. ! Explique la diferencia entre compactación dinámica y sin conexión. ! Explique que comprobar el tamaño de una base de datos antes y después

de la compactación ayuda a determinar las ventajas de utilizar una compactación sin conexión.

! Demuestre cómo compactar sin conexión una base de datos WINS.

! Explique el propósito del borrado de registros obsoletos. ! Describa los diferentes intervalos (por ejemplo, el intervalo de renovación,

el intervalo de extinción, el tiempo de espera de extinción y el intervalo de comprobación) y cómo se relacionan entre sí. Con ayuda de la diapositiva, describa el proceso de borrado.


! Demuestre cómo configurar el borrado de registros obsoletos en la base

de datos WINS. ! Demuestre cómo borrar los registros obsoletos de la base de datos WINS.

Por qué se hace copia de seguridad de una base de datos WINS

Cómo hacer copia de seguridad y restaurar una base de datos WINS

Qué son la eliminación simple de registros y la eliminación de registros desechados

Cómo eliminar registros WINS

Qué son la compactación dinámica y la compactación sin conexión

Cómo compactar una base de datos WINS

Cómo funciona el borrado

Cómo borrar los registros obsoletos de la base de datos WINS

x Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

! Explique que comprobar la coherencia de la base de datos WINS contribuye a mantener su integridad entre los servidores WINS.

! Con ayuda de la diapositiva, describa el proceso de comprobar la coherencia de los registros de la base de datos WINS.

! Demuestre cómo configurar un servidor WINS para que compruebe

periódicamente la coherencia de los registros. ! Demuestre cómo comprobar la coherencia de la base de datos. ! Demuestre cómo comprobar la coherencia del identificador de versión.

! Defina qué se entiende por dar de baja. ! Explique la finalidad de dar de baja un servidor WINS. ! Describa cómo aplicar las directrices para dar de baja un servidor WINS de

la manera adecuada.

! Demuestre cómo dar de baja un servidor WINS.




• Compactar la base de datos WINS sin conexión.

• Especificar el directorio de copia de seguridad de su base de datos WINS.

• Eliminar registros WINS.

• Hacer copia de seguridad manual de su base de datos WINS.

• Restaurar su base de datos WINS desde el directorio de copia de seguridad.


Cómo se comprueba la coherencia de una base de datos WINS

Cómo comprobar la coherencia de una base de datos WINS

Directrices para dar de baja un servidor WINS

Cómo dar de baja un servidor WINS


Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS) 1

Introducción


En la familia Microsoft® Windows Server� 2003, el medio principal que emplean los equipos cliente para buscar y comunicarse con otros equipos de una red de Protocolo Internet (IP) es el Sistema de nombres de dominio (DNS, Domain Name System). No obstante, los clientes que utilizan versiones antiguas de Windows, como Microsoft Windows NT® versión 4.0, emplean NetBIOS para la comunicación de red. Algunas aplicaciones que se ejecutan en Windows Server 2003 pueden utilizar también nombres NetBIOS con dicho fin. El uso de nombres NetBIOS requiere un método para resolverlos en direcciones IP.

Como administrador de sistemas, conocer WINS le ayudará a implementarlo en una red Windows Server 2003 y asegurarse de que los clientes con versiones antiguas de Windows pueden buscar recursos de red y comunicarse con ellos cuando sea necesario. Este módulo sirve de introducción a WINS y explica cómo se puede utilizar para registrar nombres NetBIOS y para resolverlos como direcciones IP.

Para obtener más información acerca de cómo proteger WINS, consulte la documentación de la Ayuda de Windows Server 2003, Enterprise Edition.


! Describir la función de WINS en las infraestructuras de redes. ! Instalar y configurar un servidor WINS. ! Administrar registros en WINS. ! Configurar la replicación WINS. ! Administrar una base de datos WINS.

Introducción

Importante

Objetivos

2 Módulo 7: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)

Presentación multimedia: Función de WINS en las infraestructuras de redes


Para iniciar la presentación Función de WINS en las infraestructuras de redes, abra la página Web que se encuentra en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, en el título de la presentación.


! Explicar la función de WINS en las infraestructuras de redes. ! Describir cómo resuelve WINS los nombres NetBIOS. ! Describir el proceso de registro de WINS. ! Describir el funcionamiento de la replicación WINS.

! WINS es un servicio de software que permite realizar dinámicamente

asignaciones entre nombres NetBIOS y direcciones IP. ! Un cliente WINS consulta un servidor WINS en busca de la dirección IP de

un servidor solicitado. WINS envía la dirección IP del nombre NetBIOS del servidor solicitado al cliente WINS que, a continuación, la utiliza para intentar conectar con el servidor.

! Para que WINS resuelva nombres NetBIOS en direcciones IP, el cliente WINS debe registrarse en el servidor WINS.

! Hay dos modos de registrar clientes WINS: de forma manual o dinámica. ! En un entorno corporativo con múltiples servidores WINS, cada uno

mantiene una base de datos de registros de clientes WINS. ! Mediante la replicación, los servidores WINS comparten y actualizan

sus recursos con otros servidores WINS de la red corporativa.


Objetivos

Puntos clave


Lección: Instalar y configurar un servidor WINS


El servicio WINS resuelve los nombres NetBIOS, con lo que se reduce el tráfico de difusión y se permite a los clientes resolver los nombres NetBIOS de equipos que se encuentran en segmentos de red diferentes (subredes).

Esta lección presenta las capacidades y conocimientos necesarios para instalar y configurar servidores WINS.


! Describir los componentes de WINS. ! Explicar qué es un tipo de nodo NetbIOS. ! Describir la forma en que un cliente WINS registra y libera

nombres NetBIOS. ! Describir cómo funciona el manejo de ráfagas. ! Describir el modo en que los servidores WINS resuelven los

nombres NetBIOS. ! Instalar el servicio WINS. ! Configurar el manejo de ráfagas.

Introducción



Los componentes de WINS


Como administrador de sistemas, conocer en profundidad los componentes de WINS y el modo en que funcionan juntos en un entorno de red le ayudará a instalar y configurar un servidor WINS de la manera apropiada.

El sistema WINS completo de Windows Server 2003 incluye los siguientes componentes:

! Servidor WINS. Equipo que procesa solicitudes de registro de nombres de clientes WINS, registra los nombres y direcciones IP del cliente, y responde a las consultas de nombres NetBIOS que envía el cliente. A continuación, el servidor WINS devuelve la dirección IP de un nombre consultado, si el nombre aparece en la base de datos del servidor.

! Base de datos WINS. Almacena y replica las asignaciones entre nombres NetBIOS y direcciones IP de una red.

! Cliente WINS. Equipos que se pueden configurar para usar directamente un servidor WINS, que por lo general tienen varios nombres NetBIOS que se deben registrar para utilizarlos con la red.

! Agente proxy WINS. Equipo que supervisa las difusiones de consultas de nombres y que responde para los nombres que no se encuentran en la subred local. El proxy se comunica con un servidor WINS para resolver nombres y, a continuación, guarda los nombres en la caché durante un período específico.

Introducción

Componentes de WINS


Qué es un tipo de nodo NetBIOS


Un tipo de nodo NetBIOS es un método que utiliza un equipo para resolver nombres NetBIOS en direcciones IP.

Los tipos de nodo NetBIOS permiten a los administradores configurar el orden y método que utiliza un cliente al resolver nombres NetBIOS en direcciones IP.

Comprender el funcionamiento de los diversos tipos de nodos servirá de ayuda para configurar correctamente la solución WINS. Windows Server 2003 admite los siguientes tipos de nodos:

! Nodo B de difusión (broadcast). Utiliza difusiones en el registro y la resolución de nombres.

En una red de gran tamaño, las difusiones pueden aumentar la carga de la red. Además, los enrutadores no suelen reenviar difusiones, así que los equipos de la red local son los únicos que pueden responder.

! Nodo P de igual a igual (peer-to-peer). Utiliza un servidor de nombres NetBIOS (como WINS) para resolver ese tipo de nombres. El tipo de nodo de igual a igual no utiliza difusiones, ya que consulta el servidor de nombres directamente, con lo que los equipos pueden resolver nombres NetBIOS a través de enrutadores. Además, requiere que todos los equipos estén configurados con la dirección IP del servidor de nombres NetBIOS. Si el servidor de nombres NetBIOS no funciona, los equipos no se podrán comunicar.

! Nodo M mixto (mixed). Combina los tipos de nodo B y P, pero funciona de forma predeterminada como un nodo B. Si el nodo mixto no puede resolver un nombre mediante difusión, utiliza el servidor de nombres NetBIOS del nodo P.

! Nodo H híbrido (hybrid). Combina el nodo P y el nodo B, pero funciona de forma predeterminada como un nodo P. Si el nodo H no puede resolver un nombre mediante el servidor de nombres NetBIOS, utiliza una difusión.

Definición

Finalidad de los tipos de nodo NetBIOS

Tipos de nodos

Nota


Windows Server 2003 y Windows XP están configurados de forma predeterminada con el tipo de nodo B. Cuando un equipo donde se ejecuta Windows XP, Windows Server 2003 o Windows 2000 se configura con direcciones del servidor WINS para la resolución de nombres, automáticamente cambia al tipo de nodo H para el registro de nombres NetBIOS. Sin embargo, otros sistemas operativos pueden emplear otros tipos de nodo. Para asignar el tipo de nodo se pueden utilizar las opciones del Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol). Para ver el tipo de nodo de un equipo, en el símbolo del sistema, escriba ipconfig /all.

Para obtener más información acerca de las opciones DHCP, consulte el módulo 2, �Asignar direccionamiento IP mediante el Protocolo de configuración dinámica de host (DHCP)�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.

Nota


Cómo registra y libera un cliente WINS los nombres NetBIOS


El registro de nombres es el proceso por el que un cliente WINS solicita y recibe el uso de un nombre NetBIOS para los servicios que pone a disposición en la red. La solicitud puede ser de un nombre único (exclusivo) o un nombre de grupo (compartido).

La liberación de nombres es el proceso por el que un cliente WINS solicita y recibe la eliminación de un registro de nombre NetBIOS de la base de datos WINS.

Cada componente cliente debe registrar su nombre y los servicios que pone a disposición en la base de datos WINS. A continuación, el cliente puede consultar el nombre para encontrar y establecer comunicación con otros equipos registrados en la base de datos.

El registro de nombres en WINS tiene lugar de la manera siguiente:

1. Al inicio, cada vez que se inicia un servicio registrado, un equipo cliente WINS envía una solicitud de registro de nombre directamente al servidor WINS y además la difunde en la red local.

2. El servidor WINS busca en su base de datos para comprobar si el nombre existe. Si no existe, se acepta como nuevo registro y se envía una respuesta positiva al cliente WINS. Si el nombre existe, se devuelve una respuesta negativa y el equipo cliente informará que hay un nombre duplicado en la red.

Definición

Propósito del registro de nombres WINS

El proceso de registro de nombres


Como los registros de nombres WINS son temporales, los clientes deben renovar periódicamente sus registros. La primera vez que un equipo cliente se registra con un servidor WINS, éste envía un mensaje con un valor de período de vida (TTL, Time-To-Live) para indicar cuándo caduca el registro del cliente o cuándo es necesario renovarlo.

Si la renovación no está prevista para ese momento, el registro del nombre caduca en el servidor WINS y la entrada del nombre se quita finalmente de la base de datos WINS. Sin embargo, las entradas de nombres WINS no caducan y, por lo tanto, no es necesario renovarlas en la base de datos del servidor WINS.

El intervalo de renovación predeterminado de las entradas de la base de datos WINS es de seis días. En la mayor parte de los clientes WINS, la renovación se produce cada tres, porque intentan renovar su registro en cuanto ha transcurrido la mitad del valor del período de vida.

La liberación de nombres quita los nombres registrados en la base de datos WINS cuando el cliente WINS se cierra o siempre que un servicio registrado se detiene. Cuando un nombre se libera, está disponible para que otro equipo lo registre. La liberación de nombres WINS tiene lugar de la manera siguiente:

1. Cuando el equipo cliente ya no necesita un nombre de registro, emite una solicitud de liberación del nombre. Por ejemplo, cuando un equipo cliente se cierra, envía una solicitud de liberación al servidor WINS para que libere su registro de la base de datos WINS.

2. Si el servidor WINS encuentra el nombre en la base de datos y la dirección IP del equipo que solicita la liberación del nombre coincide con la registrada en la base de datos, el nombre se marca entonces como liberado. El servidor WINS devuelve un mensaje de confirmación de la liberación al cliente WINS. Si la dirección IP del cliente que solicitó la liberación del nombre no coincide con la registrada en la base de datos, el servidor WINS envía una repuesta negativa al cliente para indicarlo.

Si un equipo cliente se bloquea o no se cierra de la manera adecuada y, como resultado, el registro del nombre no se libera, el nombre permanecerá en la base de datos hasta que caduque y un administrador se encargue de eliminarlo mediante el proceso de borrado de registros obsoletos o manualmente.

Renovación de nombres

Intervalo de renovación predeterminado

El proceso de renovación de nombres

Nota




El manejo de ráfagas es la respuesta de un servidor WINS a un gran número de clientes WINS que intentan registrar simultáneamente sus nombres locales en WINS.

La función del manejo de ráfagas es responder a las solicitudes de manera superficial (con una respuesta de registro positiva) y permitir que cada cliente comience a utilizar el nombre de servicio registrado. A continuación, el servidor WINS establece un período de vida breve para que el cliente WINS vuelva a registrar el nombre después de sólo unos minutos. Si la carga sigue aumentando, el manejo de ráfagas de WINS puede ampliar aún más el intervalo de retardo para distribuir la carga en el tiempo.

El modo de ráfaga utiliza el tamaño de la cola de ráfagas como valor de umbral. Este valor determina cuántas solicitudes de registros de nombres y de actualización de nombres que envían los clientes WINS pueden esperar en la cola de procesamiento antes de que comience el manejo en modo de ráfaga. De forma predeterminada, el valor del umbral es de 500. El proceso de manejo de ráfagas funciona de la manera siguiente:

1. Un servidor WINS inicia un manejo de ráfagas cada vez que el número de registros de clientes WINS en la cola supera el umbral de la cola de ráfagas.

2. Excedido este umbral, el servidor WINS responde inmediatamente a las demás solicitudes de cliente con una respuesta positiva. La respuesta incluye también un período de vida muy breve para los clientes (cinco minutos, de forma predeterminada), lo que ayuda a regular la carga de registros de clientes y a distribuir el procesamiento de solicitudes a lo largo del tiempo. Así, la velocidad de las actualizaciones y los reintentos se ralentiza para los nuevos clientes WINS, y se regula la ráfaga del tráfico de clientes WINS.

Definición

Propósito del manejo de ráfagas



Cuando después de una interrupción en el suministro eléctrico se restaura la energía, muchos usuarios inician sesión y registran sus nombres al mismo tiempo en la red, lo que crea un cuantioso tráfico WINS. Con el modo de ráfaga, los servidores WINS pueden responder de forma positiva a estas solicitudes de clientes, incluso antes de que realmente procesen y graben físicamente las actualizaciones en la base de datos del servidor WINS.

Cada cliente WINS puede registrar tres nombres NetBIOS únicos (messenger, workstation y server). Si 400 clientes WINS se registran a la vez tras una interrupción en el suministro eléctrico, esto significa que pueden llegar 1200 solicitudes de registros de nombres NetBIOS a un servidor WINS en una sola ráfaga. Por lo tanto, es importante configurar correctamente el manejo de ráfagas para cada entorno de red.

Ejemplo del manejo de ráfagas

Nota


Cómo resuelve un servidor WINS los nombres NetBIOS


La resolución de nombres de clientes WINS es una extensión del mismo proceso de resolución de nombres empleado por todos los clientes que utilizan NetBIOS a través de TCP/IP (NetBT, NetBIOS over TCP/IP) para resolver consultas de nombres NetBIOS en la red.

En la familia Windows Server 2003, Windows XP y Windows 2000, los clientes WINS utilizan las siguientes opciones para resolver nombres una vez realizadas las consultas NetBIOS:

1. El cliente WINS establece contacto con el primer servidor WINS hasta tres veces para resolver el nombre mediante WINS.

2. Si el primer servidor WINS no responde, el cliente sigue intentando comunicar con otros servidores WINS disponibles hasta que recibe una respuesta.

3. Si alguno de los servidores WINS resuelve el nombre NetBIOS, la dirección IP se devuelve al cliente. Una vez que el cliente recibe la respuesta, utiliza esta dirección para establecer una conexión con el recurso deseado.

4. Si ninguno de los servidores WINS resuelve el nombre NetBIOS, el proceso de resolución continúa fuera de WINS. El cliente de nodo H típico intenta una difusión. Si ésta no tiene éxito, el cliente revisa el archivo Lmhosts.

Para obtener más información acerca del proceso de resolución de nombres, consulte el modulo 4, �Resolución de nombres�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.

Definición de la resolución de nombres

El proceso de resolución de nombres en WINS

Nota


Cómo instalar el servicio WINS


Para agregar el servicio WINS, utilice la herramienta Administre su servidor, una nueva característica de Windows Server 2003. En la familia de Windows Server 2003, esta herramienta está disponible en el menú Inicio.


Para instalar el servicio WINS:

1. Inicie una sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y, después, en Panel de control. 3. En el Panel de control, abra Herramientas administrativas, haga clic con

el botón secundario del mouse (ratón) en Administre su servidor y haga clic en Ejecutar como.



6. En la página Pasos preliminares, haga clic en Siguiente. 7. En la página Función del servidor, seleccione Servidor WINS y haga clic

en Siguiente. 8. En la página Resumen de las selecciones, haga clic en Siguiente. 9. Si el sistema le pide que introduzca el CD de Windows Server 2003, hágalo.

10. En la página Este servidor es ahora un servidor WINS, haga clic en Finalizar.

Introducción

Nota

Procedimiento para instalar el servicio WINS


Para comprobar el estado del servicio WINS:

1. En la herramienta Administre su servidor, seleccione Administre este servidor WINS.

2. En la consola WINS, haga clic en Estado del servidor. 3. En el panel de detalles de la consola WINS, compruebe que Responder

aparece en la columna Estado.

Procedimiento para comprobar el estado del servicio WINS


Cómo configurar el manejo de ráfagas


Puede optar por configurar el nivel de manejo de ráfagas que utiliza el servidor, que modifica el tamaño de la cola de ráfagas para hacer frente a una situación con ráfaga baja, mediana o grande. De manera predeterminada, el manejo de ráfagas está habilitado y el tamaño de la cola de ráfagas se establece para una cola mediana.


Para configurar el manejo de ráfagas:

1. En la consola WINS, haga clic en el nombre del servidor WINS cuyas propiedades de manejo de ráfagas desee modificar.

2. En el menú Acción, haga clic en Propiedades y, a continuación, en Opciones avanzadas.

3. En la sección Habilitar el control de ráfagas de la ficha Opciones avanzadas, seleccione una de las siguientes opciones:

• Bajo (300)

• Mediano (500)

• Alto (1000)

• Personalizado (de 50 a 5000) 4. En la ficha Avanzadas, haga clic en Aceptar. 5. Cierre la consola WINS.

Introducción

Nota

Procedimiento


Ejercicio: Instalar y configurar un servidor WINS


En este ejercicio, instalará y configurará un servidor WINS.


El ingeniero de sistemas ha aprobado la prueba de una aplicación que requiere compatibilidad con nombres NetBIOS en el laboratorio. A medida que aumenta el número de equipos que prueban esta aplicación, la administración del archivo Lmhosts de cada equipo se vuelve cada vez más difícil. Para permitir el registro dinámico y la resolución de nombres NetBIOS en los equipos cliente que ejecutan la nueva aplicación, instalará y configurará un servidor WINS en el departamento del laboratorio.

Como el lugar se está remodelando, ha experimentado varias interrupciones en el suministro eléctrico. Para tener la seguridad de que el servidor WINS puede admitir todos los equipos que registran sus nombres NetBIOS a la vez, configurará el manejo de ráfagas en el servidor WINS. Ha estimado que cada uno de los 250 equipos del laboratorio de pruebas requiere el registro de ocho registros de nombres NetBIOS para las aplicaciones y servicios que se ejecutan en ellos.

! Configurar sus datos de configuración IP del servidor para WINS

Complete esta tarea desde los equipos de ambos alumnos.

! Interfaz: Conexión de red del aula ! Dirección IP de WINS: Dirección IP de la interfaz de la Conexión de red

del aula

Objetivo

Instrucciones


Ejercicio


! Instalar el servicio WINS


! Nombre de usuario: NWTraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd

! Comprobar el estado del servicio WINS


! Nombre de usuario: NWTraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd

! Configurar el manejo de ráfagas en el servidor WINS

Complete esta tarea desde los equipos de ambos alumnos

! Opción de manejo de ráfagas: Personalizado ! Valor personalizado: 2000


Lección: Administrar registros en WINS


Los clientes WINS registran y liberan registros de nombres NetBIOS. Sin embargo, si un cliente se apaga o se desconecta de manera incorrecta de la red, el proceso de liberación de nombres no se realiza adecuadamente. Como administrador de sistemas, tendrá que quitar estos registros de forma manual. Además, es posible que tenga que quitar registros WINS que se agregaron manualmente en clientes que no pueden usar WINS. Saber cómo administrar los registros WINS le ayudará a mantenerlos actualizados en la red.


! Explicar qué son los registros de cliente. ! Explicar qué es una asignación estática. ! Agregar una asignación estática. ! Describir los diversos métodos para filtrar y ver registros en WINS. ! Filtrar registros WINS.

Introducción



Qué es un registro de cliente


Un registro de cliente es un registro de una base de datos que contiene información detallada de cada servicio dependiente de NetBIOS que se ejecuta en un cliente. Los registros indican que estos servicios están registrados en un servidor WINS.

WINS muestra todos los registros de la base de datos y organiza la información que contienen en las siguientes columnas:

! Nombre de registro. El nombre NetBIOS registrado, que puede ser un nombre único o puede representar un grupo, un grupo de Internet o un equipo host múltiple.

! Tipo. El servicio que registra la entrada, incluido el identificador de tipo hexadecimal.

! Dirección IP. La dirección IP que corresponde al nombre NetBIOS registrado que aloja el servicio NetBIOS.

! Estado. El estado de la entrada de la base de datos, que puede ser activa, liberada o desechada. Una entrada desechada es una entrada inactiva que está marcada para ser eliminada de la base de datos.

! Static. Indica que la asignación es estática. ! Propietario. El servidor WINS en el que se origina la entrada. Debido a la

replicación, no es necesariamente el mismo servidor en el que se ve la base de datos.

! Versión. Un número hexadecimal único que el servidor WINS asigna durante el registro del nombre. El asociado de extracción del servidor utiliza el número de identificador de versión durante la replicación para buscar nuevos registros.

! Caducidad. Muestra la fecha de caducidad de la entrada. Cuando se almacena un replicado en la base de datos, tiene una fecha de caducidad definida. Para calcular la fecha de caducidad, el tiempo actual en el servidor WINS receptor se suma al intervalo de renovación definido en el cliente.

Definición

Ejemplo de un registro WINS


Qué es una asignación estática


Una asignación estática es una entrada manual en la base de datos WINS que asigna a un nombre NetBIOS una dirección IP.

Puede configurar asignaciones estáticas en un servidor WINS con el fin de agregar información de resolución de nombres, acerca de equipos basados en NetBIOS que no son clientes WINS, a la base de datos del servidor WINS. Cuando se configuran asignaciones estáticas, los clientes WINS pueden consultar el servidor WINS para resolver los nombres NetBIOS de dichos equipos.

Una vez que se incluye en la base de datos del servidor WINS una asignación estática entre un nombre NetBIOS y una dirección IP, no puede ser cuestionada ni quitada si no es por un administrador que elimine la asignación específica con la consola de administración WINS.

En algunas redes, los componentes cliente de los sistemas operativos que utilizan el tipo de nodo B no pueden registrar nombres NetBIOS directamente con un servidor WINS. Aunque estos nombres se podrían agregar a un archivo Lmhosts y resolverse desde allí o mediante la consulta a un servidor DNS, también puede utilizar asignaciones WINS estáticas para resolver los nombres NetBIOS.

Para que la resolución de nombres NetBIOS admita clientes que no puedan usar WINS, puede configurar un proxy WINS. Para obtener más información acerca de cómo configurar un proxy WINS, consulte el kit de recursos de Windows Server 2003.

Definición

Propósito de las asignaciones estáticas

Nota

Ejemplo

Nota


Cómo agregar una entrada de asignación estática


Para configurar correctamente una asignación estática, es necesario obtener los elementos del componente cliente para el que la crea:

! Nombre NetBIOS. El nombre NetBIOS del equipo. ! Tipo de nombre. Especifique si esta entrada es de tipo Único, Grupo,

Nombre de dominio, Internet o Host múltiple. ! Dirección IP. La dirección del equipo.


Para agregar una entrada de asignación estática:

1. En la consola WINS, haga clic con el botón secundario del mouse en Registros activos y, a continuación, haga clic en Asignación estática nueva.

2. En el campo Nombre de equipo del cuadro de diálogo Asignación estática nueva, escriba el nombre NetBIOS del equipo.

3. En el menú desplegable Tipo, seleccione el tipo adecuado. 4. En el campo Dirección IP, escriba la dirección IP del equipo que está

asociado a este nombre NetBIOS. 5. En el cuadro de diálogo Asignación estática nueva, haga clic en Aceptar. 6. Cierre la consola WINS.

Introducción

Nota

Procedimiento


Métodos para filtrar y ver registros en WINS


La consola WINS proporciona muchos métodos para filtrar y mostrar registros de la base de datos WINS.

En ocasiones, puede ser deseable administrar servidores WINS de forma remota. Los filtros de búsqueda ofrecen una manera de ver un subconjunto de los datos sin descargar la base de datos WINS entera al equipo donde se ejecuta la consola WINS. También resultan útiles para aislar problemas de resolución de nombres que puedan existir en la red. Por ejemplo, puede utilizar el método Filtrar los registros que coincidan con este patrón de nombre para comprobar que existe un nombre NetBIOS conocido en los datos almacenados en cualquiera de los servidores WINS remotos. Este filtro suele generar un tráfico mínimo en la red y se puede utilizar habitualmente para buscar el origen de los errores de Nombre no encontrado que pueden surgir a consecuencia de la resolución de nombres NetBIOS.

A la hora de crear un filtro de búsqueda, es posible elegir entre tres categorías:

! Nombre NetBIOS y dirección IP. Puede basar una consulta de registros en todo el nombre NetBIOS o en parte del mismo, en una dirección IP o en un nombre NetBIOS y una dirección IP conjuntamente, e incluir o excluir la máscara de subred como parámetro de búsqueda.

! Propietarios de registros. Puede basar una consulta de registros en los registros de nombres de uno o varios propietarios de registros de nombres.

! Tipos de registro. Puede basar una consulta de registros en uno o varios tipos de registros para el sufijo del nombre NetBIOS.

Introducción

Por qué se examinan los registros WINS

Categorías de filtros de búsqueda


Se puede filtrar por propietarios de registros y así obtener una vista completa o filtrada de la base de datos WINS en uno o varios servidores que poseen registros que se encuentran registrados en la base de datos. Este filtro se puede utilizar como ayuda para aislar problemas con las bases de datos WINS locales (en el mismo servidor WINS o en otro que se encuentre en la misma red de área local).

Cuando los registros se ven por propietario, también se pueden filtrar los datos WINS que se incluirán en la vista, mediante la selección y uso de tipos de sufijos de nombres NetBIOS como criterios.

Filtrar registros por tipo de registro (sufijo) permite aislar los problemas en la red de forma más precisa. Para que una operación de búsqueda devuelva correctamente uno o varios registros de nombres, debe seleccionar al menos un tipo de registro para el nombre NetBIOS. Puede seleccionar una combinación cualesquiera de tipos de registros o todos ellos.

Los siguientes métodos están disponibles para filtrar y mostrar registros, en función del nombre NetBIOS y la dirección IP. Para conseguir diversos resultados, puede utilizar estos filtros en diferentes combinaciones. Sin embargo, para que los filtros de nombre NetBIOS y dirección IP funcionen correctamente, es necesario utilizar al menos un tipo de registro y un propietario de registros.

Utilice el método Filtrar los registros que coincidan con este patrón de nombre para consultar la base de datos WINS y mostrar sólo los registros de nombres NetBIOS que comiencen con los caracteres especificados. Este filtro es idóneo para identificar un nombre conocido o nombres similares que se encuentran en un servidor WINS determinado.

Este método también se puede utilizar para buscar registros a través de un nombre NetBIOS completo o un conjunto especificado de caracteres coincidentes. Para que WINS incluya un nombre identificado en los resultados de una operación de búsqueda, éste debe comenzar exactamente con los caracteres especificados en Filtrar registros que coincidan con este patrón de nombre. Sin embargo, los nombres que coinciden con los criterios de búsqueda indicados pueden contener otros caracteres después de la cadena especificada.

Utilice el método Filtrar los registros que coincidan con esta dirección IP para buscar y mostrar registros que tengan una dirección IP específica.

Utilice juntos los métodos Filtrar los registros que coincidan con este patrón de nombre y Filtrar los registros que coincidan con esta dirección IP para buscar y mostrar sólo los registros en los que el nombre y la dirección IP coincidan con los criterios de búsqueda.

Utilice juntos los métodos Filtrar los registros que coincidan con esta dirección IP y Hacer coincidir con la dirección IP basada en esta máscara de subred para buscar registros con el par dirección IP y máscara de subred. La máscara de subred indica las secciones de la dirección IP que se interpretan como identificador de red y las que se interpretan como identificador de host. La búsqueda se realiza en todos los registros con un identificador de red que coincida con los criterios de búsqueda de dirección IP.

Filtro de búsqueda mediante el propietario de registros

Filtro de búsqueda mediante el tipo de registro

Filtros de búsqueda mediante el nombre NetBIOS y la dirección IP


Cómo filtrar registros WINS


Las búsquedas de registros se inician en el cuadro de diálogo Mostrar informes de la consola WINS. Cuando los registros de la base de datos WINS coinciden con los parámetros de búsqueda, uno o varios registros se muestran en el panel de detalles de la consola WINS. Mientras una búsqueda está en curso, las estadísticas de la búsqueda se muestran en la barra de estado encima del panel de detalles. Éstas incluyen el número de registros examinados y filtrados. Cuando ninguno de los registros de la base de datos WINS coincide con los parámetros de búsqueda, no se muestran registros en el panel de detalles.


Para filtrar registros WINS:

1. En la consola WINS, haga clic con el botón secundario del mouse en Registros activos y, a continuación, haga clic en Mostrar registros.

2. En el cuadro de diálogo Mostrar informes, seleccione los filtros adecuados en una o varias de las siguientes fichas:

• Asignación de registros. Filtro basado en el nombre y/o la dirección IP del registro.

• Propietarios de registros. Filtro basado en los servidores WINS que poseen los registros.

• Tipos de registro. Filtro basado en el tipo de registro o servicio. 3. En el cuadro de diálogo Mostrar informes, en cualquiera de las fichas,

haga clic en Buscar. Si no se configura ningún filtro, se mostrarán todos los registros WINS.

4. Cierre la consola WINS.

Introducción

Nota

Procedimiento


Ejercicio: Administrar registros en el servidor WINS


En este ejercicio, administrará registros en el servidor WINS.


El ingeniero de sistemas ha aprobado la prueba de una aplicación que requiere compatibilidad con nombres NetBIOS en el laboratorio. Uno de los equipos que ejecuta esta aplicación no puede usar WINS. Para admitir estos equipos cliente que no pueden utilizar WINS, el ingeniero de sistemas le ha autorizado a crear asignaciones estáticas en WINS. Después de crearlas, filtrará los registros WINS para comprobar que son correctas.

! Mostrar todos los registros WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Herramienta administrativa: WINS ! No se utilizan filtros

! Agregar una asignación estática WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre del equipo: Glasgow ! Ámbito de NetBIOS: dejarlo en blanco ! Tipo: Único ! Dirección IP: 192.168.x.100

Objetivo

Instrucciones


Ejercicio


! Filtrar los registros WINS para ver sólo la nueva asignación estática que ha agregado

! Complete esta tarea desde los equipos de ambos alumnos 1. Filtrar los registros que coincidan con este patrón de nombre: Glasgow 2. En el panel de detalles, compruebe que sólo se muestran los registros para

el equipo Glasgow. Observe que la x de la columna estática indica que el registro es una entrada estática.


Lección: Configurar la replicación WINS


Aunque un solo servidor WINS puede prestar servicio a miles de clientes que solicitan la resolución de nombres NetBIOS, es importante proporcionar una mayor tolerancia a errores mediante la configuración de un segundo equipo que ejecute Windows Server 2003 como servidor secundario (o de reserva) WINS para los clientes. Si sólo utiliza dos servidores WINS, puede configurarlos fácilmente como asociados de replicación el uno del otro. De esta forma se tiene la seguridad de que se mantiene y distribuye a través de la red un conjunto coherente de información de WINS.


! Describir el funcionamiento de la replicación WINS. ! Describir el funcionamiento de la replicación por inserción. ! Describir el funcionamiento de la replicación por extracción. ! Explicar qué es la replicación por inserción/extracción. ! Explicar la finalidad de propiedades específicas de los asociados

de replicación WINS. ! Configurar la replicación WINS. ! Configurar propiedades de los asociados de replicación.

Introducción



Cómo funciona la replicación WINS


La replicación WINS es el proceso de copiar datos WINS actualizados de un servidor WINS a otros servidores WINS de una red con el objeto de sincronizarlos.

La replicación de bases de datos WINS garantiza que los nombres registrados en un servidor WINS se replican en todos los demás servidores WINS de la red. La replicación entre servidores WINS permite mantener y distribuir a través de la red un conjunto coherente de información WINS. Como consecuencia, los clientes WINS pueden resolver cualquier nombre NetBIOS de la red, sin importar el servidor WINS en el que se registrara.

Cuando en una red se utilizan varios servidores WINS, cada uno de ellos se configura como asociado de inserción, asociado de extracción o asociado de inserción/extracción de al menos otro de los servidores WINS. De forma predeterminada, los asociados de replicación WINS se configuran con el tipo de replicación de inserción/extracción. No obstante, puede modificar dicha configuración según las necesidades del entorno de red.

En el ejemplo siguiente se ilustra cómo realiza WINS la replicación de los datos de un servidor WINS a otro:

1. El host A de la subred 1 se registra en el servidor WINS A de la subred 1. 2. El host B de la subred 2 se registra con el servidor WINS B de la subred 2. 3. Se produce la replicación WINS y cada servidor WINS actualiza su base de

datos con la nueva entrada de la base de datos del otro servidor.

Definición

Propósito de la replicación WINS

Asociados de replicación

Ejemplo de replicación WINS


Si más tarde el host intenta buscar el otro host mediante WINS, la replicación de la información de registro de WINS entre los servidores WINS permite resolver esta consulta. Por ejemplo, el host A puede consultar con éxito el servidor WINS A y encontrar una dirección IP para el host B.

Los servidores WINS sólo replican los cambios realizados en sus bases de datos y no toda la base de datos.

Nota


Cómo funciona la replicación por inserción


La replicación por inserción es el proceso de copiar datos WINS actualizados de un servidor WINS a otros servidores WINS, siempre que el servidor WINS que los contenga llegue a un umbral de cambios especificado.

El proceso de replicación por inserción funciona del modo siguiente:

1. Un asociado de inserción envía una notificación a sus asociados de replicación cada vez que el número de cambios efectuados en su base de datos WINS supera un umbral específico configurable. Por ejemplo, puede configurar un asociado de inserción para que envíe una notificación a los asociados de replicación cada vez que se produzcan 50 cambios en la base de datos WINS.

2. Cuando los asociados de replicación responden a la notificación con una solicitud de replicación, el asociado de inserción envía replicados de sus nuevas entradas de base de datos.

Si los servidores están conectados por vínculos de comunicación rápidos, debe configurar un asociado de replicación por inserción. De esta forma, se tiene la seguridad de que las bases de datos WINS están sincronizadas en gran medida, si bien, como resultado, el tráfico de replicación aumentará.

Definición

El proceso de replicación por inserción

Cuándo utilizar la replicación por inserción


Cómo funciona la replicación por extracción


La replicación por extracción es el proceso de copiar datos WINS actualizados de un servidor WINS a otro a intervalos específicos configurables.

El proceso de replicación por extracción funciona del modo siguiente:

1. Un asociado de extracción solicita cambios en una base de datos WINS a unos intervalos de tiempo determinados. Por ejemplo, puede configurar un asociado de extracción para que solicite cambios en la base de datos cada ocho horas.

2. Los asociados de replicación responden con el envío de todas las entradas nuevas de la base de datos, que recibe a continuación el asociado de extracción.

Si los servidores WINS están conectados por vínculos de comunicación lentos, debe configurar un asociado de replicación por extracción. Esta configuración limita la frecuencia del tráfico de replicación a través del vínculo a horas específicas. Por ejemplo, puede programar que la replicación tenga lugar fuera de las horas punta para evitar los períodos de mucho tráfico.

Si decide utilizar la replicación por extracción, recuerde que una frecuencia de replicación lenta causa una sincronización cada vez menor de las bases de datos WINS. Cuando un servidor WINS tiene datos incompletos, algunos intentos de resolución de nombres pueden generar errores.

Definición

El proceso de replicación por extracción

Cuándo utilizar la replicación por extracción


Qué es la replicación por inserción/extracción


La replicación por inserción/extracción es el proceso por el que un servidor WINS actualiza sus registros con nuevas entradas de base de datos de sus asociados de replicación, en función de un umbral de replicación o un intervalo de replicación, lo que primero ocurra.

Debe configurar un asociado de replicación como asociado de inserción/ extracción si desea especificar un umbral y un intervalo de replicación para el asociado. Así se tiene la seguridad de que la base de datos WINS permanece sincronizada sin importar el número de cambios que tengan lugar. En efecto, la replicación se produce cuando se alcanza el umbral de cambios o cuando se ha excedido un período máximo entre notificaciones de replicación, lo que primero ocurra.

Los asociados de replicación WINS están configurados de forma predeterminada como asociados de inserción/extracción, que es el método más sencillo y efectivo de garantizar que las bases de datos de estos servidores son casi idénticas en cualquier momento dado.

Definición

Cuándo utilizar la replicación por inserción/extracción


Propiedades de los asociados de replicación WINS


La implementación y uso correctos de WINS en una red depende de que las propiedades de replicación se hayan configurado adecuadamente. En el cuadro de diálogo Propiedades del Asociado de replicación, puede elegir entre varias opciones de configuración del servicio WINS, según las necesidades de la red.

Puede configurar un servidor WINS para que configure automáticamente otros servidores WINS como sus asociados de replicación. Con la configuración automática, se descubren otros servidores WINS cuando se unen a la red y se agregan como asociados de replicación.

La opción Habilitar la configuración automática de asociados suele resultar útil en redes pequeñas, por ejemplo, en entornos de red de área local (LAN) de una única subred.

Mediante multidifusiones periódicas, los servidores anuncian su presencia en la red. Estos anuncios se envían como mensajes de Protocolo de administración de grupos de Internet (IGMP, Internet Group Management Protocol) para la dirección del grupo de multidifusión 224.0.1.24 (la dirección IP de multidifusión conocida reservada para que la use el servidor WINS).

Puede utilizar la configuración automática de asociados para permitir que el servidor WINS supervise anuncios de multidifusión desde otros servidores WINS y para seguir estos pasos de configuración automáticamente. Cuando se configura la opción Habilitar la configuración automática de asociados, el servidor WINS:

! Agrega la dirección IP de los servidores descubiertos a su lista de servidores asociados de replicación.

! Configura los servidores descubiertos como asociados de inserción y de extracción.

! Configura la replicación por extracción a intervalos de dos horas con los servidores descubiertos.

Introducción

Habilitar la configuración automática de asociados


Normalmente, los servidores WINS se desconectan de sus asociados de replicación una vez finalizada la replicación. En redes en las que los servidores WINS están interconectados mediante vínculos LAN de alta velocidad, es preferible dejar las conexiones abiertas antes que cerrarlas una vez que la replicación ha finalizado.

Al habilitar conexiones persistentes, puede aumentar la velocidad de replicación, dado que un servidor puede enviar inmediatamente registros a sus asociados sin incurrir en el costo que supone tener que establecer conexiones temporales cada vez. Si el umbral de replicación se establece en 0, todos los registros se actualizan inmediatamente a través de la red tras el registro en WINS, lo que aumenta la coherencia de la replicación. El ancho de banda que utilizan las conexiones persistentes es mínimo porque la conexión suele estar inactiva.

A diferencia de las asignaciones dinámicas, que pueden caducar y que con el tiempo se eliminan automáticamente de WINS, las asignaciones estáticas pueden permanecer en WINS por tiempo indefinido o hasta que el administrador las quite.

De forma predeterminada, si durante un proceso de actualización, WINS recibe una entrada estática y una dinámica para el mismo nombre, conserva la estática. Sin embargo, puede utilizar la opción Sobrescribir asignaciones estáticas únicas en este servidor (migrar) para cambiar este comportamiento.

Esta opción sólo se puede configurar desde el cuadro de diálogo de propiedades del objeto Asociado de replicación en la consola WINS.

Habilitar conexiones persistentes

Habilitar la sobrescritura de asignaciones estáticas únicas en este servidor (migrar)

Nota


Cómo configurar la replicación WINS


De forma predeterminada, los asociados de replicación WINS se configuran como asociados de inserción/extracción. Para modificar esta configuración de modo que se adapte a las necesidades del entorno de red, puede especificar parámetros de inserción y de extracción para cada asociado de replicación configurado.


Para configurar la replicación WINS:

1. En el árbol de la consola WINS, seleccione el servidor WINS al que desee agregar un asociado de replicación y haga clic en Asociados de replicación.

2. En el menú Acción, haga clic en Nuevo asociado de replicación. 3. En el campo Servidor WINS, escriba el nombre del equipo o la dirección

IP del servidor WINS que desee agregar como asociado de replicación. 4. Haga clic en Aceptar.

Para modificar un tipo de asociado de replicación:

1. En el árbol de la consola WINS, expanda el servidor WINS. 2. En la consola WINS, haga clic en Asociados de replicación. 3. En el panel de detalles, haga clic con el botón secundario del mouse

en el servidor adecuado y, después, haga clic en Propiedades.

Introducción

Nota

Procedimiento para configurar la replicación WINS

Procedimiento para modificar un tipo de asociado de replicación


4. En el cuadro de diálogo Propiedades de Servidor, en el campo Tipo de asociado de replicación de la ficha Opciones avanzadas, seleccione una de las siguientes opciones:

• Inserción. Reconfigura las propiedades del asociado de inserción que este servidor utilizará al realizar la replicación con cualquiera de sus asociados de inserción recién agregados.

• Extracción. Reconfigura las propiedades del asociado de extracción que este servidor utilizará al realizar la replicación con cualquiera de sus asociados de extracción recién agregados.

• Inserción/Extracción. Reconfigura las propiedades como asociado de inserción y de extracción.

De forma predeterminada, los asociados de replicación WINS se configuran como asociados de inserción/extracción. Sin embargo, puede modificar la configuración para satisfacer las necesidades de su red.

5. En el cuadro de diálogo Propiedades de Servidor, haga clic en Aceptar. 6. Cierre la consola WINS.

Para modificar la configuración de Replicación por inserción de los asociados de replicación:

1. En el árbol de la consola WINS, expanda el servidor WINS. 2. En la consola WINS, haga clic en Asociados de replicación. 3. En el menú Acción, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades de Asociados de replicación, en

la ficha Insertar replicación, seleccione una o ambas de las opciones siguientes:

• Al inicio del servicio. Especifica si este servidor informa a los asociados de extracción del estado de su base de datos al inicializarse el servicio WINS.

• Cuando la dirección cambia. Especifica si este servidor informa a los asociados de extracción del estado de su base de datos cuando cambia una dirección en un registro de asignación.

5. En el cuadro de diálogo Propiedades de Asociados de replicación, en el campo Número de cambios en el Id. de versión antes de la replica de la ficha Insertar replicación, escriba un valor entre 1 y 32.767, para indicar el número de actualizaciones que se pueden realizar antes de que los asociados de inserción reciban información de cambios.

6. En el cuadro de diálogo Propiedades de Asociados de replicación, en la ficha Insertar replicación, seleccione Usar conexiones persistentes para asociados de replicación por inserción. Esta característica resulta de utilidad porque los servidores WINS suelen desconectarse de los asociados al finalizar la replicación. Las conexiones persistentes aumentan la velocidad de la replicación, porque los servidores pueden enviar inmediatamente registros a sus asociados.

7. En el cuadro de diálogo Propiedades de Asociados de replicación, haga clic en Aceptar.


Nota

Procedimiento para modificar la configuración de la replicación por inserción de los asociados de replicación


Para modificar la configuración de Extraer replicación de los asociados de replicación:

1. En el árbol de la consola WINS, expanda el servidor WINS. 2. En la consola WINS, haga clic en Asociados de replicación. 3. En el menú Acción, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades de Asociados de replicación, en los

campos Tiempo de inicio de la ficha Extraer replicación, configure la hora a la que comenzará la replicación por extracción.

5. En el cuadro de diálogo Propiedades de Asociados de replicación, en los campos Intervalo de replica de la ficha Extraer replicación, configure el intervalo de tiempo entre replicaciones.

6. En el cuadro de diálogo Propiedades de Asociados de replicación, en el campo Número de reintentos de la ficha Extraer replicación, escriba un valor. Éste es el número de veces que el servidor intentará una conexión a un asociado de extracción en caso de que una conexión falle durante la replicación.

7. En el cuadro de diálogo Propiedades de Asociados de replicación, en la ficha Extraer replicación, seleccione una de estas opciones, o ambas:

• Iniciar la replicación de extracción al inicio del servicio. Especifica si este servidor extrae replicados de asociados conocidos cada vez que se inicializa el servicio WINS.

• Usar conexiones persistentes para asociados de replicación de extracción. Esta característica resulta de utilidad porque los servidores WINS suelen desconectarse de los asociados al finalizar la replicación. Las conexiones persistentes aumentan la velocidad de la replicación, porque los servidores pueden enviar inmediatamente registros a sus asociados.

8. En el cuadro de diálogo Propiedades de Asociados de replicación, haga clic en Aceptar.


Para realizar la replicación con todos los asociados WINS:

1. En el árbol de la consola WINS, haga clic con el botón secundario del mouse en Asociados de replicación y, a continuación, haga clic en Replicar ahora.

2. En el cuadro de mensaje de advertencia de WINS, haga clic en Sí. 3. En el cuadro de mensaje de información de WINS, haga clic en Aceptar.

Procedimiento para modificar la configuración de la replicación por extracción de los asociados de replicación

Procedimiento para replicar con todos los asociados WINS


Para iniciar la replicación por inserción en un asociado de replicación WINS:

1. En el árbol de la consola WINS, haga clic en Asociados de replicación, en el panel de detalles, haga clic con el botón secundario del mouse en el servidor WINS con el que desee replicar y, a continuación, haga clic en Iniciar replicación por inserción.

2. En el cuadro de diálogo Iniciar replicación por inserción, haga clic en una de estas opciones.

• Iniciar sólo para este asociado.

• Propagar a todos los asociados. 3. En el cuadro de mensaje de información de WINS, haga clic en Aceptar.

Para iniciar la replicación por extracción en un asociado de replicación WINS:

1. En el árbol de la consola WINS, haga clic en Asociados de replicación, en el panel de detalles, haga clic con el botón secundario del mouse en el servidor WINS con el que desee replicar y, a continuación, haga clic en Iniciar replicación de extracción.

2. En el cuadro de mensaje Confirmar el inicio de replicación por extracción, haga clic en Sí.

3. En el cuadro de mensaje de información de WINS, haga clic en Aceptar.

Procedimiento para iniciar la replicación por inserción

Procedimiento para iniciar la replicación por extracción


Cómo configurar las propiedades de los asociados de replicación


La primera vez que se agrega un asociado de replicación, se configura con las opciones predeterminadas. Para personalizar la replicación WINS de forma que se adapte a las necesidades de la red, puede modificar la configuración en el cuadro de diálogo Propiedades de Asociados de replicación.


Para configurar propiedades de extracción para el asociado de replicación:

1. En el árbol de la consola WINS, expanda el servidor WINS para el que desee configurar propiedades de asociados de replicación y, después, seleccione Asociados de replicación.

2. En el panel de detalles, haga clic con el botón secundario del mouse en el nombre del servidor adecuado y, después, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades de Servidor, en la sección Extraer replicación de la ficha Opciones avanzadas, seleccione Usar conexión persistente para replica. Esta característica resulta de utilidad porque los servidores WINS suelen desconectarse de los asociados al finalizar la replicación. Las conexiones persistentes aumentan la velocidad de la replicación, porque los servidores pueden enviar inmediatamente registros a sus asociados.

4. En el cuadro de diálogo Propiedades de Servidor, haga clic en Aceptar. 5. Haga clic con el botón secundario del mouse en Asociados de replicación. 6. En el cuadro de diálogo Propiedades de Asociados de replicación, en los

campos Tiempo de inicio de la ficha Extraer replicación, configure la hora a la que comenzará la replicación por extracción.

Introducción

Nota

Procedimiento para configurar propiedades de extracción para el asociado de replicación


7. En el cuadro de diálogo Propiedades de Asociados de replicación, en los campos Intervalo de replica de la ficha Extraer replicación, configure el intervalo de tiempo entre replicaciones.


Para configurar propiedades de inserción para el asociado de replicación:

1. En el árbol de la consola WINS, expanda el servidor WINS para el que desee configurar propiedades de asociados de replicación y, después, seleccione Asociados de replicación.

2. En el panel de detalles, haga clic con el botón secundario del mouse en el nombre del servidor adecuado y, después, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades de Servidor, en la sección Insertar replicación de la ficha Opciones avanzadas, seleccione Usar conexión persistente para replica. Esta característica resulta de utilidad porque los servidores WINS suelen desconectarse de los asociados al finalizar la replicación. Las conexiones persistentes aumentan la velocidad de la replicación, porque los servidores pueden enviar inmediatamente registros a sus asociados.

4. En el cuadro de diálogo Propiedades de Servidor, en el campo Número de cambios en el id. de versión antes de la replica de la sección Replicación por inserción, escriba un valor entre 1 y 32.767, para indicar el número de actualizaciones que se pueden realizar antes de que los asociados de inserción reciban información de cambios.

5. En el cuadro de diálogo Propiedades de Servidor, haga clic en Aceptar. 6. Cierre la consola WINS.

Procedimiento para configurar propiedades de inserción para el asociado de replicación


Ejercicio: Configurar la replicación WINS


En este ejercicio, configurará la replicación WINS.



El ingeniero de sistemas ha aprobado la prueba de una aplicación que requiere compatibilidad con nombres NetBIOS. Se han configurado varios servidores WINS para que esta aplicación pueda funcionar en redes distintas. El ingeniero de sistemas desea poder conectar un equipo del laboratorio con cualquier otro mediante WINS. Para ello, ha configurado un servidor WINS central con el que se replicarán todos los demás servidores WINS. Los alumnos configurarán su servidor WINS para replicarse con este servidor WINS central.

! Filtrar los registros WINS para comprobar que todos los registros WINS actuales son propiedad de su servidor

! Complete esta tarea desde los equipos de ambos alumnos. ! Filtrar los registros que coincidan con este patrón de nombre:

NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo)

! Configurar la replicación WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Asociados de replicación: London ! Tipo de replicación: Inserción/Extracción

Objetivo

Instrucciones


Ejercicio


! Modificar la configuración de la replicación por extracción de los asociados de replicación

! Complete esta tarea desde los equipos de ambos alumnos. ! Asociado de replicación WINS: London ! Usar conexiones persistentes para asociados de replicación de extracción:

Seleccionado ! Tiempo de inicio: 1 minuto ! Intervalo de replica: 5 minutos

! Modificar la configuración de la replicación por inserción de los asociados de replicación

! Complete esta tarea desde los equipos de ambos alumnos. ! Asociado de replicación WINS: London ! Usar conexión persistente para replica: Habilitado ! Número de cambios en el id. de versión antes de la replica: 1

(Esta configuración está basada en el entorno del aula y no se recomienda fuera de él.)

! Replicar con el servidor WINS London

! Complete esta tarea desde los equipos de ambos alumnos. ! Asociado de replicación WINS: London ! Haga clic con el botón secundario del mouse en Asociados de replicación

y, después, haga clic en Replicar ahora

! Reiniciar el servicio WINS en su servidor WINS para replicar registros

! Complete esta tarea desde los equipos de ambos alumnos. ! Con el fin de ahorrar tiempo, reinicie el servicio WINS (para exigir la

replicación); para ello, seleccione el servidor WINS en la consola WINS y, en el menú Acción, haga clic en Todas las tareas y, a continuación, en Reiniciar.

! Ver los registros WINS para comprobar que se muestran los correspondientes a su servidor WINS y los del equipo London

! Complete esta tarea desde los equipos de ambos alumnos. ! Filtrar los registros que coincidan con este patrón de nombre: London ! Compruebe que los registros se muestran con el valor de la dirección IP del

propietario de London.

Es posible que para ver los registros tenga que actualizar la consola WINS.

Nota


Lección: Administrar una base de datos WINS


La base de datos WINS de la familia Windows Server 2003 no tiene límite en cuanto al número de registros que se pueden replicar o almacenar en un servidor WINS. El tamaño de la base de datos depende del número de clientes WINS de la red, pero no siempre es directamente proporcional al número de entradas de clientes activos. Los registros inactivos u obsoletos pueden ocupar bastante espacio en la base de datos, lo que puede afectar al rendimiento. Saber cómo administrar correctamente una base de datos WINS le ayudará a mantener su integridad y rendimiento.

En esta lección se proporcionan los conocimientos necesarios para administrar una base de datos WINS.


! Explicar la importancia de hacer copia de seguridad de una base de datos WINS.

! Realizar la copia de seguridad y la restauración de una base de datos WINS. ! Explicar lo que son la eliminación simple y la eliminación de registros

desechados. ! Eliminar manualmente un registro WINS. ! Explicar qué son la compactación dinámica y la compactación sin conexión. ! Compactar una base de datos WINS. ! Describir el proceso de borrado. ! Configurar una base de datos WINS para el borrado de registros obsoletos. ! Explicar por qué se comprueba la coherencia de la base de datos WINS. ! Comprobar la coherencia de una base de datos WINS. ! Explicar la finalidad de dar de baja un servidor WINS. ! Dar de baja un servidor WINS.

Introducción





Si un error del sistema, el ataque de un virus, una interrupción del suministro eléctrico o un suceso similar daña la base de datos y no es capaz de repararla, primero debe eliminar la base de datos WINS y, luego, restaurarla por completo a partir de una copia de seguridad.

La consola de administración WINS proporciona herramientas de copia de seguridad con las que se puede hacer copia de seguridad de la base de datos WINS. Una vez especificado un directorio de copia de seguridad para la base de datos, WINS realiza copias de seguridad completas cada 24 horas, que es el valor predeterminado en la instalación. La consola de administración WINS también proporciona una opción de copia de seguridad para que se pueda restaurar la base de datos de un servidor si resulta dañada.

La restauración de una base de datos WINS implica detener primero el servicio WINS. Como un servidor podría necesitar varios minutos de procesamiento para poder detener WINS en efecto, asegúrese de que el servicio está completamente detenido antes de comenzar el proceso de restauración.

Antes de restaurar la base de datos, elimine todos los archivos de la ruta de acceso de la carpeta en el equipo cliente WINS en el que va a restaurar la base de datos.


Copias de seguridad predeterminadas de la base de datos

Restaurar una base de datos WINS


Cómo hacer copia de seguridad y restaurar una base de datos WINS


Para hacer copia de seguridad de una base de datos WINS, primero debe especificar un directorio e iniciar una copia de seguridad manual.


Para especificar un directorio de copia de seguridad para la base de datos WINS:

1. En la consola WINS, haga clic con el botón secundario del mouse en el servidor WINS del que desee realiza la copia de seguridad y, después, haga clic en Propiedades.

2. En la ficha General, en el cuadro Ruta predeterminada de la copia de seguridad, escriba el nombre de la ruta de acceso del directorio que utiliza el servidor WINS para las copias de seguridad de la base de datos.

Cuando WINS hace copia de seguridad de la base de datos del servidor, crea una carpeta Wins_bak\New en la carpeta de copia de seguridad especificada. Las copias de seguridad reales de la base de datos WINS (Wins.mdb) se almacenan en esta carpeta. De manera predeterminada, la ruta de acceso de la copia de seguridad es la carpeta raíz de la partición del sistema. La carpeta de copia de seguridad debe encontrarse en el equipo local. Cada 24 horas, WINS realiza automáticamente una copia de seguridad completa de su base de datos en este directorio. Si cuando se inicia WINS, se detecta que la base de datos está dañada, WINS utiliza este directorio para realizar una restauración automática de la base de datos. No debe especificar un directorio de red.

Introducción

Nota

Procedimiento para especificar un directorio de copia de seguridad e iniciar una copia de seguridad manual

Nota


3. En la ficha General, si es necesario, seleccione la opción Hacer copia de seguridad de la base de datos con el servidor inactivo.

4. En la ficha General, haga clic en Aceptar.

Para realizar manualmente una copia de seguridad de una base de datos WINS:

1. En WINS, haga clic con el botón secundario del mouse en el nombre del servidor que está configurando y, después, haga clic en Hacer copia de seguridad de la base de datos.

2. En el cuadro de diálogo Buscar carpeta, seleccione la carpeta en la que desee realizar la copia de seguridad de la base de datos WINS y, a continuación, haga clic en Aceptar dos veces.

WINS almacena la información acerca de su configuración y de los asociados de replicación en el Registro. Como parte de la estrategia de recuperación de desastres de WINS, asegúrese de disponer siempre de una copia de seguridad reciente del Registro (por ejemplo, como parte de una copia de seguridad del estado del sistema).

En caso de que una base de datos WINS sufra daños y no se pueda reparar, restáurela de una copia de seguridad reciente.

Para ello:

1. Detenga WINS. Antes de proseguir, espere a que WINS se detenga completamente. Pueden pasar varios minutos antes de que un servidor ocupado se pueda detener y pueda proceder a restaurar la base de datos con seguridad.

2. Elimine todos los archivos de la ruta de acceso de la carpeta en el equipo servidor WINS en el que va a restaurar la base de datos. Esta ruta viene determinada por la configuración actual de Ruta de acceso de la base de datos, que se encuentra en la ficha Opciones avanzadas del cuadro de diálogo Propiedades del servidor.

3. En WINS, haga clic con el botón secundario del mouse en el nombre del servidor que está configurando y, después, haga clic en Restaurar base de datos. La opción Restaurar base de datos sólo está disponible si está viendo un equipo en el que WINS está detenido. En algunos casos, para activar la opción de restauración puede ser necesario actualizar la consola WINS. Si es preciso, haga clic con el botón secundario del mouse en el servidor y, a continuación, haga clic en Actualizar para actualizar el nodo del servidor y que WINS detecte que está detenido en el servidor.

4. En el cuadro de diálogo Buscar carpeta, haga clic en la carpeta que utilizó anteriormente para hacer copia de seguridad de la base de datos WINS local y, a continuación, haga clic en Aceptar dos veces.

5. Para restaurar la base de datos, WINS requiere que la ruta de acceso de la copia de seguridad empleada en la restauración coincida con la especificada originalmente en Propiedades de Servidor como Ruta de acceso de la copia de seguridad.

Procedimiento para hacer copia de seguridad manual de una base de datos WINS

Importante

Procedimiento para restaurar una base de datos WINS


Qué son la eliminación simple de registros y la eliminación de registros desechados


La eliminación de registros obsoletos de la base de datos WINS permite recuperar espacio sin utilizar. La consola de administración WINS proporciona funciones mejoradas para la administración de bases de datos que admiten las siguientes operaciones de eliminación:

! Eliminación simple de registros de bases de datos WINS almacenados en la base de datos de un único servidor.

! Eliminación de registros desechados, en la que se quitan los registros marcados para ser eliminados (se han desechado) de la base de datos WINS solamente después de que se hayan replicado en las bases de datos de otros servidores WINS.

! La posibilidad de seleccionar varios grupos de registros de base de datos mostrados al realizar una eliminación simple o una eliminación de registros desechados.

Cuando se utiliza una eliminación simple, los registros que se seleccionan con la consola WINS se quitan del servidor WINS local que se está administrando.

Si los registros WINS eliminados de esta forma se han replicado en otros servidores WINS, estos registros adicionales no se quitan por completo, sino que permanecen en esas bases de datos hasta que se utiliza específicamente la consola WINS para quitarlos de cada servidor, de uno en uno. Además, los registros eliminados de sólo un servidor podrían reaparecer durante la siguiente replicación entre los servidores WINS configurados como asociados de replicación. Por ejemplo, en la próxima replicación, un asociado de replicación podría copiar de nuevo el registro en el servidor WINS que originalmente lo eliminó.

Por qué se eliminan los registros WINS

Eliminación simple de registros


Cuando se utiliza una eliminación de registros desechados para quitar un registro que posee el servidor seleccionado, los registros seleccionados se quitan de todos los servidores WINS que replican los registros.

El servidor WINS propietario cambia el estado de los registros WINS seleccionados de activo a desechado en su base de datos. WINS trata entonces los registros como inactivos y considera que no se pueden usar. Una vez que estos registros se desechan localmente, el servidor WINS que los posee no responde ni resuelve consultas de nombres NetBIOS para estos nombres desde otros clientes y servidores WINS a no ser que el cliente WINS vuelva a registrarlos. El servidor WINS propietario replica los registros seleccionados como �desechados� en otros servidores WINS durante los posteriores ciclos de replicación.

Una vez que todos los servidores WINS que participan en una replicación finalizan un ciclo de replicación completo y llegan a un estado coherente, los registros desechados caducan y se quitan de la base de datos WINS de cada servidor durante la próxima operación de actualización de la base de datos. Actualizados los servidores, los registros dejan de aparecer en la consola WINS y ya no se almacenan físicamente en la base de datos WINS.

Eliminación de registros desechados


Cómo eliminar registros WINS


La consola WINS ofrece opciones de eliminación de registros WINS.


Para eliminar o desechar un registro WINS:

1. En la consola WINS, haga clic en Registros activos. 2. En el menú Acción, seleccione Mostrar registros para buscar y mostrar los

nombres que desee eliminar de la base de datos. 3. En el panel de detalles, haga clic en la entrada que desee eliminar. 4. En el menú Acción, haga clic en Eliminar. 5. En el cuadro de diálogo Eliminar registros, haga clic en una de las

opciones siguientes para eliminar los registros seleccionados:

• Eliminar el registro sólo de este servidor. Esta opción elimina el registro inmediatamente de este servidor WINS, pero no de los otros asociados de replicación WINS. Si este registro existe en otros servidores asociados de replicación WINS, es probable que reaparezca después de la siguiente replicación.

• Replicar eliminación del registro en todos los servidores (desechar). El servidor asume la propiedad del registro y cambia su estado a desechado, para indicar que no se utilizará. Los registros desechados incrementan su identificador de versión al replicarse en otros servidores WINS.

6. En el cuadro de diálogo Eliminar registro, haga clic en Aceptar.

Introducción

Nota

Procedimiento


Qué son la compactación dinámica y la compactación sin conexión


La compactación es el proceso de recuperar espacio sin utilizar que los registros eliminados ocupaban antes en una base de datos.

La recuperación de espacio sin utilizar en una base de datos WINS ayuda a mantener el rendimiento. A medida que las entradas de clientes WINS se vuelven obsoletas y se eliminan, el tamaño de la base de datos WINS se hace más grande que el espacio real que de hecho utiliza. El servidor no reclama automáticamente el espacio que se usa para almacenar registros obsoletos una vez que dicho espacio queda libre y ya no se usa. Al compactar la base de datos WINS se recupera el espacio sin utilizar.

En Windows Server 2003, el servicio WINS realiza la compactación Jet dinámica de la base de datos WINS mientras el servidor está en línea. Esta medida reduce la necesidad de utilizar Jetpack.exe en la compactación sin conexión. Por lo tanto, compactar la base de datos manualmente podría no ser tan importante ahora como lo era en el pasado para los servidores WINS y DHCP que ejecutan versiones de Windows NT Server anteriores a Windows NT 4.0. No obstante, en caso necesario, puede detener el servicio WINS y compactar la base de datos WINS manualmente.

WINS utiliza el formato de base de datos Jet para almacenar sus datos. Jet produce J<n>.log y otros archivos en %Systemroot%\System32\Wins.

Definición

Por qué se compacta una base de datos DHCP

Compactación Jet dinámica

Nota


Aunque la compactación dinámica reduce enormemente la necesidad de compactación sin conexión, este proceso reclama el espacio de manera más eficiente y se debe realizar periódicamente en todos los casos.

La frecuencia con la que compacte manualmente la base de datos WINS depende de la red. En el caso de redes ocupadas de gran tamaño, que tengan 1000 clientes WINS o más, la compactación sin conexión se debe realizar cada mes. Las redes más pequeñas suelen requerir compactación manual con menos frecuencia.

La comprobación del tamaño de archivo de Wins.mdb antes y después de la compactación permite medir el crecimiento y la reducción. Esta información ayuda a determinar las ventajas reales del uso de compactación sin conexión. En función de esta información, se puede calcular la frecuencia con que se debe repetir la compactación sin conexión para garantizar beneficios apreciables.

Es posible supervisar los cambios en el tamaño del archivo de la base de datos del servidor, Wins.mdb, que se encuentra en el directorio %SystemRoot%\System32\Wins.

Compactación dinámica frente a compactación sin conexión

Por qué se comprueba el tamaño de una base de datos WINS


Cómo compactar una base de datos WINS


De forma predeterminada, Windows Server 2003 compacta la base de datos WINS automáticamente. Sin embargo, puede compactarla de forma manual sin conexión con el comando jetpack.


Para compactar la base de datos WINS sin conexión:

1. Detenga el servicio WINS con el comando net. En el símbolo del sistema, escriba net stop wins.

2. En el directorio %Systemroot%\System32\, ejecute la utilidad de línea de comandos jetpack.exe y utilice la siguiente sintaxis de comando en el símbolo del sistema: jetpack %Systemroot%\System32\Wins\Wins.mdb NombreTemporall.mdb (donde NombreTemporal es cualquier nombre de archivo que asigne).

Con este procedimiento se compacta el contenido de Wins.mdb en NombreTemporal.mdb, se copia el archivo temporal a Wins.mdb y se elimina el archivo temporal.

3. Reinicie el servicio WINS con el comando net. En el símbolo del sistema, escriba net start wins.

Introducción

Nota

Procedimiento

Nota


Cómo funciona el borrado


El borrado es el proceso de eliminar y quitar las entradas caducadas de la base de datos WINS. También se quitan las entradas que se replicaron desde un servidor WINS remoto y que no se quitaron de la base de datos WINS local.

El borrado de los registros obsoletos mantiene la información de estado correcta en la base de datos al examinar cada uno de los registros que posee el servidor WINS, comparar la marca de tiempo del registro con la hora actual y, a continuación, cambiar el estado de esos registros cuyo estado ha caducado. Por ejemplo, el borrado cambia el estado de un registro de activo a liberado.

El proceso de borrado se produce automáticamente a intervalos definidos por la relación entre las configuraciones de los intervalos de extinción y renovación. Para definir esta relación, se configuran las siguientes propiedades:

Intervalos Descripción del intervalo Intervalo de renovación

Frecuencia con la que un cliente WINS renueva su registro de nombres con el servidor WINS. El valor predeterminado es de seis días.

Intervalo de extinción

Intervalo entre la hora en que la entrada se marca como liberada (ya no está registrada) y la hora en que se marca como extinta. El valor predeterminado es de cuatro días.

Tiempo de espera de extinción

Intervalo entre la hora en que la entrada se marca como extinta y la hora en que la entrada se borra (quita) de la base de datos WINS. El valor predeterminado es el mismo que el intervalo de renovación y no puede ser inferior a 24 horas.

Intervalo de comprobación

Tiempo tras el cual el servidor WINS comprobará que esos nombres que no posee (los replicados desde otros servidores WINS), siguen activos. El valor mínimo es de 24 días.

Definición

Propósito del borrado

Configuraciones de intervalos


El borrado tiene lugar en función de una programación preestablecida de la manera siguiente:

1. El temporizador de borrado se inicia al mismo tiempo que el servidor y es igual a la mitad del intervalo de renovación.

El servicio WINS no se debe detener ni reiniciar hasta que no transcurra la mitad del intervalo de renovación o, de lo contrario, el borrado no se producirá.

2. Los nombres activos que posee el servidor WINS y en los que el Intervalo de renovación ha caducado se marcan como liberados.

3. Los nombres liberados que posee el servidor WINS y en los que el Intervalo de extinción ha caducado se marcan para eliminación.

4. Los nombres marcados para eliminación en los que el Tiempo de espera de extinción ha caducado se quitan de la base de datos.

5. Los nombres marcados para eliminación que se replican desde otros servidores y en los que el Tiempo de espera de extinción ha caducado se eliminan y se quitan de la base de datos.

6. Los nombres activos que se replican desde otros servidores y para los que el Intervalo de comprobación ha caducado se vuelven a validar.

7. Los nombres marcados para eliminación que se replican desde otros servidores se quitan de la base de datos.

El proceso de borrado

Nota


Cómo borrar los registros obsoletos de la base de datos WINS


Cuando los registros de la base de datos WINS están marcados como liberados, permanecen en la base de datos para informar de su estado a los asociados de replicación. Por lo tanto, periódicamente debe quitar las entradas liberadas de cada base de datos WINS y además quitar las entradas que se registraron en otro servidor WINS pero que no llegaron a quitarse. Para eliminar manualmente estas entradas, iniciará el borrado.


Para configurar el borrado en la base de datos WINS:

1. En la consola WINS, haga clic con el botón secundario del mouse en el servidor cuyos registros obsoletos desee borrar y, después, haga clic en Propiedades.

2. En el cuadro de diálogo Propiedades, en la ficha Intervalos, especifique los intervalos para cada una de las siguientes opciones:

• Renovar intervalo. El valor predeterminado es de seis días. Esta opción especifica la frecuencia con que un cliente renueva el registro de su nombre.

• Intervalo de extinción. El valor predeterminado es de cuatro días. Esta opción especifica el intervalo de tiempo entre el momento en que un registro se marca como liberado y cuando se marca como caducado.

Introducción

Nota

Procedimiento para configurar el borrado en la base de datos WINS


• Extinción de tiempo de espera. El valor predeterminado es el mismo que el intervalo de renovación y no puede ser inferior a 24 horas. Esta opción especifica el intervalo de tiempo entre el momento en que un registro se marca como extinto y cuando se quita de la base de datos.

• Verificación del intervalo. El valor mínimo es de 24 días. Esta opción especifica el intervalo transcurrido el cual el servidor WINS debe comprobar que los nombres que se replicaron desde otros servidores WINS siguen activos en WINS.

3. Si es necesario, en el cuadro de diálogo Propiedades, en la ficha Intervalos, haga clic en Restaurar predeterminados para restablecer los valores predeterminados de estas opciones.

4. En el cuadro de diálogo Propiedades, haga clic en Aceptar.

Para borrar los registros obsoletos de la base de datos WINS:

1. En la consola WINS, haga clic con el botón secundario del mouse en el servidor donde desee realizar el proceso y, después, haga clic en Limpiar la base de datos.

2. En el cuadro de mensaje de WINS, haga clic en Aceptar.

Procedimiento para borrar los registros obsoletos de la base de datos WINS


Cómo se comprueba la coherencia de una base de datos WINS


Comprobar la coherencia de la base de datos WINS contribuye a mantener su integridad entre servidores WINS en redes de gran tamaño.

1. Cuando se inicia la comprobación de la coherencia en la consola WINS, todos los registros se comprueban en función de los propietarios que aparecen en la base de datos del servidor actual, incluidos otros servidores WINS que son asociados de replicación indirectos (no están configurados directamente).

2. El servidor WINS compara todas sus entradas con las de los otros servidores WINS para comprobar que su base de datos contiene las entradas correctas. Todos los registros obtenidos de bases de datos remotas se comparan con los de la base de datos local, mediante las siguientes búsquedas de coherencia: a. Si el registro de la base de datos local es idéntico al obtenido de la base

de datos propietaria, la marca de tiempo del registro se actualiza con el de la base de datos propietaria.

b. Si el registro de la base de datos local tiene un identificador de versión inferior al del obtenido de la base de datos propietaria, éste se agrega a la base de datos local y el registro local original se marca para eliminación.

Por qué se comprueba la coherencia de la base de datos WINS Cómo funciona


Cómo comprobar la coherencia de una base de datos WINS


Utilice la consola WINS para comprobar periódicamente la coherencia de las bases de datos WINS. Debido a que la comprobación de coherencia requiere mucho ancho de banda de red, así como muchos recursos en el equipo servidor WINS, debe realizar este procedimiento durante las horas de poco tráfico, por ejemplo, por la noche o los fines de semana.


Para configurar la comprobación de la base de datos WINS:

1. En la consola WINS, haga clic en el servidor WINS adecuado. 2. En el menú Acción, haga clic en Propiedades. 3. En la ficha Verificación de la base de datos, seleccione Comprobar la

coherencia de la base de datos cada y, a continuación, en el campo horas, escriba un valor.

4. En la ficha Verificación de la base de datos, en los campos Comenzar a comprobar a las, configure la hora a la que se iniciará la comprobación de la base de datos.

5. En la ficha Verificación de la base de datos, en el campo Número máximo de registros verificados en cada período, escriba un valor.

Introducción

Nota

Procedimiento para configurar la comprobación de la base de datos WINS


6. En la ficha Verificación de la base de datos, en Comprobar con, seleccione una de las siguientes opciones:

• Servidores propietarios. Esta opción especifica que los registros se comprueban con el servidor que los posee.

• Asociados seleccionados al azar. Esta opción especifica que los registros se comprueban con asociados de replicación seleccionados al azar.

7. En el cuadro de diálogo Propiedades de Servidor, haga clic en Aceptar.

Para comprobar la coherencia de la base de datos:

1. En la consola WINS, haga clic con el botón secundario del mouse en el servidor WINS adecuado y, a continuación, haga clic en Comprobar coherencia de la base de datos.

2. En el cuadro de mensaje de advertencia de WINS, haga clic en Sí. 3. En el cuadro del mensaje de advertencia de WINS, haga clic en Aceptar.

Para comprobar la coherencia de los identificadores de versión:

1. En la consola WINS, haga clic con el botón secundario del mouse en el servidor WINS adecuado y, a continuación, haga clic en Comprobar coherencia del Id. de la versión.

2. En el cuadro de mensaje de advertencia de WINS, haga clic en Sí.

Procedimiento para comprobar la coherencia de la base de datos

Procedimiento para comprobar la coherencia de los identificadores de versión


Directrices para dar de baja un servidor WINS


Dar de baja un servidor WINS instalado es el acto de quitarlo de la red.

Puede dar de baja los servidores WINS si no tiene que utilizar WINS en la red. Por ejemplo, al actualizar clientes y aplicaciones de bajo nivel, DNS se convierte en el origen principal para la resolución de nombres, con lo que ya no es tan necesario el uso de WINS.

Para reducir el número de servidores WINS en la red, siga estas directrices:

! Antes de dar de baja un servidor WINS, asegúrese de que los equipos anteriormente configurados para funcionar como clientes WINS de este servidor se han vuelto a configurar y señalan a otros servidores WINS como sus servidores principales o secundarios.

! La reconfiguración sólo es necesaria si estos clientes van a seguir utilizando WINS para registrar y resolver nombres de red.

Para eliminar servidores WINS de la red, siga esta directriz:

! Si ya no va a utilizar WINS para registrar y resolver nombres NetBIOS, debe configurar DNS como servicio de nombres principal para todos los equipos basados en Windows que estén activos en la red.

Para obtener más información acerca de cómo implementar DNS, consulte el módulo 5, �Resolución de nombres de host mediante el Sistema de nombres de dominio (DNS)�, del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2003: Servicios de red.

Definición

Por qué se da de baja un servidor WINS

Directrices

Nota


Cómo dar de baja un servidor WINS


Puede utilizar la consola de administración WINS para marcar todos los registros como liberados para el servidor propietario que va a dar de baja. Esta información de estado se pasa entonces a otros servidores WINS de la red cuando actualizan sus copias en la base de datos local de tales registros durante la próxima replicación.

Una vez que los registros de este servidor se marcan para eliminación en los demás servidores WINS de la red, se quitan automáticamente de las demás bases de datos de servidores WINS cuando caducan hasta el punto de considerarse extintos.


Para dar de baja un servidor WINS:

1. En el árbol de la consola WINS, haga clic en Registros activos. 2. En el menú Acción, haga clic en Eliminar propietario. 3. En Eliminar propietario, haga clic en la dirección IP del servidor

WINS que desee dar de baja. Si el servidor WINS no se ejecuta localmente en este equipo, podría llevar algún tiempo cargar los registros del servidor seleccionado.

4. Seleccione Replicar eliminación en otros servidores (desechar) y haga clic en Aceptar. Cuando se le pregunte si desea confirmar la extinción, haga clic en Sí.

5. En el árbol de la consola, haga clic en Asociados de replicación. 6. En el menú Acción, haga clic en Replicar ahora.

Introducción

Nota

Procedimiento


7. Una vez comprobado que los registros desechados en el paso 4 se han replicado en otros servidores asociados, detenga WINS y quítelo del servidor que ha dado de baja.

Antes de dar de baja un servidor WINS, asegúrese de que los equipos anteriormente configurados para funcionar como clientes WINS de este servidor se han vuelto a configurar y señalan a otros servidores como sus servidores WINS principales o secundarios. La reconfiguración sólo es necesaria si estos clientes van a seguir utilizando WINS para registrar y resolver nombres de red.

La extinción garantiza que los servidores WINS que son asociados de replicación del servidor WINS dado de baja están actualizados adecuadamente y, por tanto, pueden eliminar los registros. Si el estado desechado no se replica adecuadamente, es posible eliminar manualmente los registros en cada servidor WINS en el que la replicación de extinción no ha tenido éxito.

Importante




En este ejercicio, administrará una base de datos WINS.



Los equipos del departamento del laboratorio dependen del servicio WINS. Usted es el responsable de realizar varias tareas rutinarias de mantenimiento en el servidor WINS.

! Compactar la base de datos WINS sin conexión

! Complete esta tarea desde los equipos de ambos alumnos ! Nombre temporal del archivo de base de datos WINS: TEMPWINS.mdb

! Especificar el directorio de copia de seguridad de su base de datos WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Ruta de acceso predeterminada de copia de seguridad:

C:\Moc\2184\Labfiles\Lab07\

! Eliminar registros WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Registros estáticos WINS: Glasgow (eliminar todos los registros

de Glasgow) ! Eliminar registro: Eliminar sólo de este servidor

Objetivo

Instrucciones


Ejercicio


! Hacer una copia de seguridad manual de su base de datos WINS

! Complete esta tarea desde los equipos de ambos alumnos ! Carpeta de copia de seguridad: C:\Moc\2184\Labfiles\Lab07\

! Restaurar su base de datos WINS desde el directorio de copia de seguridad

! Complete esta tarea desde los equipos de ambos alumnos ! Elimine todos los archivos de la ruta de acceso de la carpeta

%Systemroot%\System32\Wins ! Carpeta de copia de seguridad: C:\Moc\2184\Labfiles\Lab07


Práctica A: Resolución de nombres NetBIOS mediante el Servicio de nombres Internet de Windows (WINS)


En esta práctica, podrá identificar y solucionar problemas comunes que pueden surgir al resolver nombres NetBIOS mediante WINS.

Objetivos



Ejercicio 1 Resolver problemas de la configuración de un servidor WINS En este ejercicio, solucionará problemas de configuración de un servidor WINS.

Instrucciones Los datos de configuración correctos correspondientes a este ejercicio se encuentran en el documento Valores del plan de implementación, incluido en el apéndice, al final del cuaderno de trabajo.


Situación de ejemplo Mientras probaba el servidor WINS en el laboratorio, ha identificado varios problemas relacionados con su configuración y los correspondientes efectos sobre los clientes WINS.

Ha configurado un laboratorio para los nuevos administradores WINS de forma que puedan experimentar ellos mismos estos problemas de configuración con WINS e intenten resolverlos.

En esta práctica, ejecutará una secuencia de comandos que reconfigure el servidor WINS para reflejar los problemas de configuración. Tras ejecutar de nuevo las pruebas, buscará e identificará los errores de configuración del servidor WINS e implementará acciones correctivas. Para finalizar, volverá a ejecutar la prueba en los equipos servidor y cliente para comprobar que el servidor WINS funciona correctamente.



1. Ejecute C:\MOC\2184\Labfiles \lab07\WINS.vbs para cambiar la configuración del servidor WINS de modo que refleje los problemas de configuración.

" Cierre la consola WINS y, en el símbolo del sistema, escriba C:\MOC\2184\Labfiles\lab07\WINS.vbs

2. Configure London como asociado de replicación por inserción/extracción WINS y modifique la configuración de la replicación por inserción/extracción.

" Asociado de replicación: London

" Tipo de replicación: Inserción/Extracción

" Usar conexiones persistentes para replicación por extracción: Habilitado

" Hora de inicio: 1 minuto

" Intervalo de replica: 5 minutos

" Usar conexiones persistentes para replicación por inserción: Habilitado

" Número de cambios en el identificador de versión antes de la replica: 25



3. Reinicie el servicio WINS y compruebe que los registros WINS para London se han replicado con el filtro basado en el propietario del registro: London.

" Filtre los registros por el propietario correcto: London

4. Elimine las asignaciones estáticas incorrectas para el equipo Glasgow.

" Elimine varios registros. Elimine estos registros sólo desde el servidor

5. Agregue una asignación estática al equipo Glasgow.

" En el cuadro de diálogo Asignación estática nueva, utilice los siguientes valores:

• Nombre del equipo: Glasgow

• Ámbito de NetBIOS: dejarlo en blanco

• Tipo de nombre: Único

• Dirección IP: 192.168.x.100

6. Compruebe que los registros WINS para Glasgow se muestran con el filtro basado en el nombre del registro: Glasgow.

" Filtrar los registros que coincidan con este patrón de nombre: Glasgow

Contenido

Introducción 1

Lección: Implementar IPSec 2

Lección: Implementar IPSec con certificados 17

Lección: Supervisar IPSec 27

Práctica A: Proteger el tráfico de red 35

Módulo 8: Proteger el tráfico de red mediante IPSec y certificados

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. © 2003, Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 8: Proteger el tráfico de red mediante IPSec y certificados iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y la capacidad necesarios para proteger el tráfico de red mediante Seguridad del Protocolo Internet (IPSec, Internet Protocol Security). También analiza cómo incrementar la seguridad del tráfico de red mediante la configuración del uso de certificados con IPSec.


! Implementar IPSec. ! Implementar IPSec con certificados. ! Supervisar IPSec.



apéndice al final del cuaderno de trabajo del alumno. ! La presentación multimedia Función de IPSec en las infraestructuras

de redes. Esta presentación multimedia se inicia desde un archivo ejecutable (.exe) y no desde un archivo HTML (.htm). Al hacer clic en el icono de multimedia de la diapositiva de PowerPoint, aparece un cuadro de diálogo en el que se le preguntará si desea abrir el archivo. Haga clic en Aceptar.

! La presentación multimedia Inscripción de certificados.





! Si va a demostrar el uso de IPSec, debe configurar IPSec entre el equipo del instructor y el equipo Glasgow, no en la interfaz del aula.

! Repasar las presentaciones multimedia Función de IPSec en las infraestructuras de redes e Inscripción de certificados.


Presentación: 2 horas Práctica: 30 minutos

Material necesario

Importante


iv Módulo 8: Proteger el tráfico de red mediante IPSec y certificados



Las páginas de instrucciones están hechas para que el instructor demuestre cómo llevar a cabo una tarea. Los alumnos no tienen que realizar con el instructor las tareas de la página de procedimientos. Seguirán los pasos que se indiquen para efectuar el ejercicio al final de cada lección.







Importante

Ejercicios

Prácticas

Módulo 8: Proteger el tráfico de red mediante IPSec y certificados v

Lección: Implementar IPSec En esta sección, se describen los métodos para impartir esta lección.


! Explique a los alumnos que la presentación multimedia proporciona una introducción visual avanzada a la función de IPSec en las infraestructuras de redes. Los detalles relativos a IPSec se proporcionan en el tema y en las páginas de instrucciones.


! Defina IPSec y los conceptos de cifrado y descifrado. ! Asegúrese de que los alumnos comprenden los principios de IPSec. ! Explique que el uso de IPSec ayuda a proteger los datos contra ataques

externos y mantiene la seguridad de los datos confidenciales y la integridad del cliente.

! Presente el ejemplo para ofrecer una situación real de cómo IPSec puede garantizar la seguridad y privacidad de las comunicaciones en una red.

! Con ayuda de la diapositiva, describa cómo protege IPSec el tráfico.


! Defina las asociaciones de seguridad y el Intercambio de claves de Internet (IKE, Internet Key Exchange). Estos temas se explicarán más detalladamente en este módulo.

! Defina las directivas de seguridad IPSec. ! Comente que una directiva de seguridad IPSec se compone de un conjunto

de reglas que determinan el funcionamiento de IPSec. Describa los componentes de dichas reglas. No emplee demasiado tiempo en analizar los métodos de autenticación, ya que se tratarán con más detalle en secciones posteriores de este módulo.

! Asegúrese de que los alumnos comprenden que sólo se puede aplicar una directiva, pero que ésta puede contener varias reglas.

! Explique las tres directivas predeterminadas y, después, aconseje a los alumnos que visiten la página de TechNet en el sitio Web de Microsoft para obtener más información acerca de las directivas predeterminadas.

Presentación multimedia: Función de IPSec en las infraestructuras de redes

Qué es IPSec

Cómo protege IPSec el tráfico

Qué es una directiva de seguridad IPSec

vi Módulo 8: Proteger el tráfico de red mediante IPSec y certificados

! Analice cómo funcionan conjuntamente las directivas IPSec; para ello, haga referencia a la tabla de la diapositiva, que muestra lo que ocurre cuando las directivas predeterminadas se utilizan en conjunto.

! Asegúrese de que los alumnos comprenden que la comunicación con IPSec sólo es posible si se puede establecer una asociación de seguridad entre dos equipos.

! Ofrezca ejemplos de situaciones en que IPSec funciona y no funciona, y explique los resultados que se obtendrán en ambos casos.

! Describa cómo aplicar directrices para equilibrar apropiadamente la

necesidad de seguridad sin afectar al rendimiento. ! Explique los niveles de seguridad.

! Demuestre cómo agregar una consola de administración de seguridad IP y,

a continuación, asigne o desasigne una directiva IPSec para una directiva de equipo local.

! Demuestre cómo asignar y desasignar directivas IPSec en una directiva de grupo basada en Active Directory.




• Compartir la carpeta C:\Moc en su equipo.

• Comprobar que los alumnos se pueden conectar con el recurso compartido Moc de sus compañeros.

• Asignar una directiva IPsec.

• Comprobar que los alumnos no se pueden conectar con el recurso compartido Moc de sus compañeros.

• Desasignar una directiva IPsec.


• Asignar una directiva IPsec.



Cómo funcionan conjuntamente las directivas IPSec

Directrices para equilibrar la seguridad y el rendimiento

Cómo asignar o desasignar una directiva IPSec en un equipo

Ejercicio: Implementar IPSec

Módulo 8: Proteger el tráfico de red mediante IPSec y certificados vii

Lección: Implementar IPSec con certificados En esta sección, se describen los métodos para impartir esta lección.

! Defina el certificado X.509 y el emisor de certificados. ! Resalte que los certificados se utilizan para enlazar una clave pública con

la identidad de un equipo o usuario. ! Explique las ventajas y la función de los certificados. ! Explique la finalidad de las entidades emisoras de certificados. ! Analice el contenido de los certificados. ! Proporcione un ejemplo del uso de certificados.

! Antes de impartir este tema, asegúrese de que está familiarizado con

todos los usos de los certificados que se enumeran en la página. Analice detalladamente todos los usos más frecuentes de los certificados que se enumeran en la diapositiva. Este curso se centra en el uso de certificados con IPSec, por lo que deberá procurar no emplear más tiempo del apropiado en este tema.

! Analice los tres métodos diferentes de autenticación y resalte cuándo

es apropiado utilizar IPSec con certificados. ! Remita a los alumnos al curso 2810: Fundamentals of Network Security

para obtener información más detallada acerca del uso de los certificados.

! Los archivos de la presentación multimedia se instalan en el equipo del instructor. Para abrir una presentación multimedia, haga clic en el icono de la animación en la diapositiva correspondiente.

! Explique que la presentación multimedia proporciona una introducción avanzada a la inscripción de certificados y describa cómo funcionan las inscripciones de certificados. Los detalles relativos a los certificados se proporcionan en el tema y en las páginas de instrucciones.

! El tiempo previsto para completar la presentación multimedia es de cuatro minutos.

! Demuestre cómo configurar IPSec para utilizar certificados y señale que los

alumnos deben seleccionar una entidad emisora de certificados al realizar este procedimiento.

Qué es un certificado

Usos comunes de los certificados

Por qué utilizar certificados con IPSec para proteger el tráfico de red

Presentación multimedia: Inscripción de certificados

Cómo configurar IPSec para utilizar certificados

viii Módulo 8: Proteger el tráfico de red mediante IPSec y certificados



! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas prácticas.

• Configurar la directiva IPSec Servidor (solicitar seguridad) para utilizar los certificados y el protocolo Kerberos.



Lección: Supervisar IPSec En esta sección, se describen los métodos para impartir esta lección.

! Explique la función del Monitor de seguridad IP. ! Describa la estadística en modo principal y modo rápido.

• No emplee demasiado tiempo en analizar dichas estadísticas. Sugiera a los alumnos que consulten el kit de recursos de Microsoft Windows Server� 2003 para obtener información más detallada.

! Proporcione ejemplos de la información que se puede ver.

! Analice cómo aplicar las directrices de forma que sea posible aislar las causas de los problemas de comunicación.

! Haga hincapié en que, al utilizar el comando ping para comprobar las comunicaciones con otro equipo, los alumnos recibirán cuatro respuestas si la conexión es válida.

! Explique a los alumnos cuándo se debe utilizar la interfaz de Windows

o el símbolo del sistema para iniciar y detener los servicios IPSec. ! Utilice la interfaz de Windows para demostrar cómo detener e iniciar

los servicios IPSec. ! Utilice el símbolo del sistema para demostrar cómo detener e iniciar

los servicios IPSec.

Ejercicio: Implementar IPSec con certificados

Monitor de seguridad IP

Directrices para supervisar las directivas IPSec

Cómo detener e iniciar los servicios IPSec

Módulo 8: Proteger el tráfico de red mediante IPSec y certificados ix

! Demuestre cómo ver los detalles de la directiva IPSec activa y destaque la información más útil.

! Demuestre cómo ver las asociaciones de seguridad del modo principal de la directiva IPSec activa.





• Consulte los detalles de la directiva IPSec activa mediante la consola del monitor IPSec.

• Consulte la información de las asociaciones de seguridad en modo principal de la directiva IPSec activa mediante la consola del monitor IPSec.


Cómo ver los detalles de la directiva IPSec

Ejercicio: Supervisar IPSec

Módulo 8: Proteger el tráfico de red mediante IPSec y certificados 1

Introducción


Como administrador de sistemas, un conocimiento exhaustivo de la Seguridad del protocolo Internet (IPSec, Internet Protocol Security) le ayudará a proteger de forma eficaz el tráfico de red. En este módulo se presenta IPSec al alumno y se describe cómo utilizarlo para proteger el tráfico de la red. El alumno también aprenderá a configurar IPSec para utilizar certificados X.509 con el fin de lograr la máxima seguridad en el proceso de autenticación IPSec.


! Implementar IPSec. ! Implementar IPSec con certificados. ! Supervisar IPSec.

Introducción

Objetivos

2 Módulo 8: Proteger el tráfico de red mediante IPSec y certificados

Lección: Implementar IPSec


Una buena parte de los datos que atraviesan una red de área local (LAN, Local Area Network) tiene un formato que podría ser fácilmente captado e interpretado por un analizador de protocolos conectado a la red. Si algún atacante capturara dicha información, podría cambiar y retransmitir los datos modificados por la red. Para proteger de este tipo de ataques los datos transmitidos por la red, puede cifrar los datos de red mediante IPSec. IPSec permite definir el ámbito del cifrado. Por ejemplo, es posible cifrar toda la comunicación de red de clientes específicos o de todos los clientes de un dominio.


! Describir la función de IPSec en las infraestructuras de redes. ! Explicar el propósito de DHCP. ! Describir cómo IPSec protege el tráfico en Microsoft® Windows

Server� 2003. ! Explicar qué es una directiva de seguridad IPSec. ! Describir cómo funcionan conjuntamente las directivas de seguridad IPSec. ! Aplicar directrices para equilibrar correctamente la seguridad

y el rendimiento. ! Asignar o desasignar una directiva IPSec en un equipo.

Introducción



Presentación multimedia: Función de IPSec en las infraestructuras de redes


Para iniciar la presentación Función de IPSec en las infraestructuras de redes, abra la página Web del disco compacto Material del alumno, haga clic en Multimedia y, después, haga clic en el título de la presentación.


! Explicar qué es IPSec. ! Describir cómo funciona IPSec. ! Describir cómo funcionan las directivas IPSec.

! IPSec es un conjunto de protocolos que permite comunicaciones cifradas

y seguras entre dos equipos a través de una red no protegida. ! IPSec tiene dos objetivos: proteger los paquetes IP y servir de defensa

contra los ataques a la red. ! Al configurar IPSec en los equipos emisor y receptor, ambos pueden

intercambiar datos seguros. ! IPSec protege el tráfico de red mediante el cifrado, el descifrado y la firma

de datos. ! Utilice las directivas IPSec para configurar IPSec. Una directiva de

configuración define el tipo de tráfico que IPSec examina, cómo se protege y cifra ese tráfico, y cómo se autentican los interlocutores IPSec.

! Hay directivas IPSec predeterminadas que pueden aplicarse, aunque también es posible crear directivas personalizadas.

! Sólo se puede configurar una directiva IPSec cada vez para un equipo determinado.


Objetivos

Puntos clave


Qué es IPSec


IPSec es un conjunto de estándares industriales que comprueba, autentica y cifra los datos en los paquetes IP.

El cifrado es el proceso de codificación de un mensaje o datos mediante una clave matemática de forma que quede oculto para cualquiera que no disponga de dicha clave.

El descifrado es el proceso inverso al cifrado. El descifrado de datos requiere la aplicación de la clave matemática para descodificar el mensaje o los datos, de forma que se restaure su contenido original.

IPSec se emplea para proteger los datos en las transmisiones de red. El administrador establece una serie de reglas, que se agrupan en una directiva IPSec. Dichas reglas contienen filtros que especifican los tipos de tráfico que requieren cifrado, firma digital o ambos métodos. A continuación, cada paquete que el equipo envía se evalúa para comprobar si coincide con las condiciones de la directiva. Si coincide, se puede cifrar o firmar en función de la directiva. Este proceso pasa desapercibido para el usuario y las aplicaciones que inician la transmisión de los datos. IPSec está contenido en un paquete IP estándar, por lo que se puede enviar por la red sin necesidad de realizar configuraciones especiales en los dispositivos que se encuentran entre los dos hosts. IPSec no es capaz de cifrar algunos tipos de tráfico, como las difusiones, las multidifusiones y los paquetes del protocolo Kerberos.

Definición

Finalidad de IPSec


La ventaja principal de IPSec es que proporciona cifrado totalmente transparente para todos los protocolos de la capa 3 (capa de red) y superior del modelo Interconexión de sistemas abiertos (OSI, Open Systems Interconnection).

IPSec proporciona:

! Autenticación mutua antes y después de las comunicaciones. IPSec obliga a ambas partes a identificarse durante el proceso de comunicación.

! Confidencialidad mediante el cifrado del tráfico IP y la autenticación digital de los paquetes. IPSec tiene dos modos: Carga de seguridad encapsuladora (ESP, Encapsulating Security Payload), que proporciona cifrado mediante uno de los diferentes algoritmos que puede utilizar, y Encabezado de autenticación (AH, Authentication Header), que firma el tráfico pero no lo cifra.

! Integridad del tráfico IP mediante el rechazo del tráfico modificado. Tanto ESP como AH comprueban la integridad de todo el tráfico IP. Si un paquete se ha modificado, la firma digital no coincidirá y el paquete se descartará. ESP cifra las direcciones de origen y de destino como parte de la carga.

! Prevención contra ataques de reproducción. ESP y AH utilizan números en secuencia, de forma que todos los paquetes capturados para su posterior reproducción utilizarían números no secuenciales. El uso de números en secuencia garantiza que ningún atacante podrá reutilizar o reproducir los datos capturados para establecer una sesión u obtener información ilegalmente. El uso de números en secuencia también protege el tráfico de los ataques en los que se intenta interceptar un mensaje y, a continuación, se utiliza un mensaje idéntico para obtener acceso de forma ilegal a los recursos, posiblemente meses después.

La captura de información confidencial puede comprometer el éxito de una organización, por lo que es necesario disponer de una seguridad de red confiable para la información confidencial, como datos de producto, informes financieros y planes de mercadotecnia. Puede utilizar IPSec para garantizar unas comunicaciones seguras y privadas en una red, intranet o extranet, incluidas las comunicaciones entre estaciones de trabajo y servidores, y entre servidores.

Por ejemplo, puede asignar directivas IPSec a los equipos que se conectan a servidores con datos confidenciales y que podrían convertirse en el objetivo de un atacante, como datos de planes financieros, de recursos humanos o de planeamiento estratégico. Las directivas IPSec protegen los datos contra ataques externos y mantienen al mismo tiempo la seguridad y la integridad del cliente.

Ventajas de IPSec

Ejemplo


Cómo protege IPSec el tráfico


La configuración de IPSec se define a través de una directiva local o una directiva de grupo en el servicio de directorio Active Directory®:

1. Las directivas IPSec se entregan a todos los equipos de destino. La directiva determina el comportamiento del controlador IPSec y define las asociaciones de seguridad que pueden establecerse. Las asociaciones de seguridad dictan los protocolos de cifrado que se utilizarán y en qué tipo de tráfico, así como los métodos de autenticación que se negociarán.

2. La asociación de seguridad se negocia. El módulo Intercambio de claves de Internet (IKE) negocia la asociación de seguridad. IKE es una combinación de dos protocolos: El Protocolo de administración de claves y asociaciones de seguridad de Internet (ISAKMP, Internet Security Association and Key Management Protocol) y el Protocolo de determinación de claves Oakley (Oakley Key Determination Protocol). Si un cliente requiere certificados para la autenticación y el otro requiere el protocolo Kerberos, IKE no podrá establecer una asociación de seguridad entre ambos. Si utiliza el Monitor de red para ver los paquetes, comprobará que hay paquetes ISAKMP, pero no verá más paquetes AH o ESP.

3. Los paquetes IP se cifran. Una vez que se establece la asociación de seguridad, el controlador IPSec supervisa todo el tráfico IP, lo compara con los filtros definidos y, si se ha configurado así, lo cifra o firma.

Intercambio de claves de Internet (IKE) es un protocolo que establece la asociación de seguridad y las claves compartidas necesarias para que dos partes se comuniquen mediante IPSec.

Cómo funciona IPSec

Definición


Qué es una directiva de seguridad IPSec


Una directiva de seguridad IPSec se compone de una o varias reglas que determinan el comportamiento de IPSec.

Para implementar IPSec es necesario definir una directiva. Cada directiva puede contener varias reglas, pero sólo es posible asignar una directiva a un equipo dado en un momento determinado. Todas las reglas necesarias deberán combinarse en una sola directiva. Cada regla consta de:

! Un filtro. El filtro indica a la directiva a qué tipo de tráfico se aplicará su acción. Por ejemplo, puede emplear un filtro que identifique exclusivamente el tráfico Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol) o el Protocolo de transferencia de archivos (FTP, File Transfer Protocol).

! Una acción de filtrado. Indica a la directiva lo que debe hacer si el tráfico coincide con el filtro. Por ejemplo, puede indicar a IPSec que bloquee todo el tráfico FTP pero solicite cifrado para todo el tráfico HTTP. La acción de filtrado también puede especificar qué algoritmos de cifrado y hash debe utilizar la directiva.

! Un método de autenticación. Hay tres métodos de autenticación posibles: certificados, el protocolo Kerberos y una clave previamente compartida. Cada regla puede especificar varios métodos de autenticación.

Definición

Reglas de la directiva de seguridad IPSec


En Windows 2000 y versiones posteriores, se incluyen tres directivas configuradas de forma predeterminada:

! Cliente (sólo responder). Si un equipo solicita al cliente que utilice IPSec, éste responderá con IPSec. La directiva Cliente (sólo responder) nunca iniciará IPSec por su cuenta. Esta directiva incluye una regla, llamada Respuesta predeterminada, que permite al host responder a una solicitud de un ESP siempre y cuando ambos hosts estén ubicados en dominios Active Directory de confianza. ESP es un modo de IPSec que proporciona confidencialidad, además de autenticación, integridad y un sistema antirreproducción.

! Servidor (solicitar seguridad). Puede utilizar esta directiva tanto en clientes como en servidores. Esta directiva siempre intenta utilizar IPSec, pero puede volver a emplear comunicaciones no seguras si un cliente no está configurado con una directiva IPSec. Incluye tres reglas y la primera de ellas es Respuesta predeterminada, descrita previamente. La segunda permite el tráfico del Protocolo de mensajes de control de Internet (ICMP, Internet Control Message Protocol). ICMP es un protocolo de mantenimiento del conjunto de protocolos TCP/IP que proporciona información de errores y permite una conectividad simple. El comando ping usa ICMP para solucionar problemas de TCP/IP. Aunque ICMP es una buena herramienta de diagnóstico, es aconsejable que la deshabilite en redes con un elevado grado de seguridad, ya que hay varios ataques conocidos contra este protocolo. La tercera regla solicita ESP para todo el tráfico IP.

! Servidor seguro (requerir seguridad). Puede utilizar esta directiva tanto en clientes como en servidores. Al asignar esta directiva, el equipo sólo puede comunicarse a través de IPSec y nunca volverá a utilizar conexiones no seguras. Esta directiva también incluye tres reglas. Las dos primeras, Respuesta predeterminada y Permitir ICMP, se han descrito anteriormente. A diferencia de las directivas anteriores, todo el tráfico debe cifrarse con ESP o, de lo contrario, el servidor no se podrá comunicar. La regla ICMP reemplaza la regla para solicitar seguridad para todo el tráfico IP restante.

Para obtener información adicional acerca de las directivas IPSec predeterminadas, consulte el tema referente a la configuración de directivas IPSec locales en la página de TechNet del sitio Web de Microsoft, en http://www.microsoft.com/technet/treeview/default.asp?url=/ technet/prodtechnol/winxppro/reskit/prcc_tcp_bhzb.asp

Directivas predeterminadas

Nota


Cómo funcionan conjuntamente las directivas IPSec


Nunca debe considerar la aplicación de directivas individualmente. Cuando dos equipos negocian una asociación de seguridad, deben tener directivas complementarias. La tabla de la diapositiva muestra los resultados del trabajo conjunto de las directivas predeterminadas. Si dos hosts pueden negociar una asociación de seguridad compatible, las comunicaciones podrán llevarse a cabo mediante IPSec. Si los dos hosts tienen directivas incompatibles, es posible que vuelvan a utilizar comunicaciones no seguras o no puedan comunicarse.

La tabla de la diapositiva sólo se aplica a las directivas predeterminadas con las reglas predeterminadas. Si agrega una regla que especifique que el equipo A solicite un ESP para HTTP y el equipo B solicite un AH para HTTP, el equipo no podrá negociar una asociación de seguridad.

La autenticación Kerberos es la opción predeterminada en las tres directivas predeterminadas. El protocolo Kerberos funciona con equipos del mismo bosque Active Directory, pero si un equipo no es miembro del bosque, los equipos no podrán negociar la autenticación. Además, si el equipo B se modifica de modo que se usen sólo certificados para autenticar todo el tráfico IP, no se establecerá ninguna asociación de seguridad. Es posible cambiar el equipo B para que requiera el protocolo Kerberos o certificados. Siempre que alguno de los métodos de autenticación coincida, se podrá realizar la autenticación.

Las directivas predeterminadas se proporcionan como ejemplos. Si establece la directiva Servidor seguro (requerir seguridad), el equipo no podrá comunicarse con ningún otro que no tenga habilitado IPSec. Por ejemplo, si solicita que se realice una búsqueda del Sistema de nombres de dominio (DNS, Domain Name System) en un servidor DNS sin IPSec, no se podrá llevar a cabo. Si el equipo necesita tener acceso a un servidor que ejecuta Microsoft SQL Server� sin IPSec, la operación fallará. También, si establece la directiva Servidor (solicitar seguridad), el equipo volverá a utilizar comunicaciones no seguras con todos aquellos equipos que no tengan ninguna directiva habilitada. Las directivas IPSec se deben diseñar de forma que proporcionen seguridad al tráfico que se debe proteger y al mismo tiempo permitan que las comunicaciones básicas se lleven a cabo.

Negociar una asociación de seguridad

Ejemplos del funcionamiento conjunto de las directivas


Directrices para equilibrar la seguridad y el rendimiento


IPSec protege los datos de forma que cualquier posible atacante encuentre extremadamente difícil o imposible interpretarlos. La eficacia de los niveles de seguridad especificados en la estructura de directivas IPSec determina el nivel de protección proporcionado. Sin embargo, al implementar IPSec, debe buscar el equilibrio entre conseguir que el máximo número de usuarios pueda tener acceso fácilmente a la información y proteger la información confidencial del acceso no autorizado.

Para conseguir un equilibrio adecuado debe:

! Evaluar los riesgos y determinar el nivel apropiado de seguridad para la organización.

! Identificar la información valiosa. ! Determinar cuál es la mejor forma de implementar las directivas en

la organización existente. ! Garantizar que los requisitos de administración y tecnología

están disponibles. ! Proporcionar a todos los usuarios acceso seguro y eficaz a los recursos

apropiados de acuerdo con sus necesidades.

Cómo equilibrar la seguridad y el rendimiento


Las necesidades de seguridad pueden variar sustancialmente en función de las directivas e infraestructuras de la organización. Los siguientes niveles de configuración se ofrecen como base general para planear la implementación de IPSec:

! Seguridad mínima. Los equipos no intercambian datos confidenciales. IPSec no se activa de forma predeterminada. No se requiere ninguna acción administrativa para deshabilitar IPSec.

! Seguridad estándar. Los equipos, especialmente los servidores de archivos, se utilizan para almacenar datos valiosos. La seguridad debe equilibrarse de forma que no se convierta en una barrera para los usuarios que intentan realizar sus tareas. La familia de Microsoft Windows 2000, Windows XP y Windows Server 2003 proporcionan directivas IPSec predeterminadas que protegen los datos pero no necesariamente requieren el nivel máximo de seguridad: Cliente (sólo responder) y Servidor (solicitar seguridad). Estas directivas, u otras similares, optimizan la eficacia sin comprometer la seguridad.

! Seguridad máxima. Los equipos que almacenan información muy confidencial corren el riesgo de sufrir robos de datos, la interrupción accidental o malintencionada del sistema (especialmente en situaciones en las que se emplee acceso telefónico remoto) o en las comunicaciones en redes públicas. Servidor seguro (requerir seguridad), una directiva predeterminada, requiere protección IPSec para todo el tráfico enviado o recibido (excepto la comunicación entrante inicial). Esta directiva incluye métodos de seguridad más eficaces. Las comunicaciones no seguras con equipos no habilitados para IPSec no se permiten.

Niveles de seguridad


Cómo asignar o desasignar una directiva IPSec en un equipo


Puede crear y modificar la directiva IPSec mediante el complementos Directivas de seguridad IP, disponible en Microsoft Management Console (MMC). El complemento puede administrar la directiva de forma centralizada para los clientes Active Directory, localmente en el equipo en el que se ejecuta el complemento o remotamente en un equipo o un dominio. Puede guardar la consola personalizada de forma que esté disponible para utilizarse en el futuro.


Para agregar una consola de administración de seguridad IP y, a continuación, asignar o desasignar una directiva IPSec para una directiva de equipo local:

1. Inicie una sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y en Ejecutar, escriba MMC y, a continuación, haga

clic en Aceptar. 3. En MMC, haga clic en Archivo, haga clic en Agregar o quitar

complemento y, a continuación, haga clic en Agregar. 4. Haga clic en Administración de las directivas de seguridad de IP y,

a continuación, haga clic en Agregar. 5. En la página Seleccionar equipo o dominio, compruebe que está

seleccionada la opción Equipo local y, a continuación, haga clic en Finalizar.

6. En el cuadro de diálogo Agregar un complemento independiente, haga clic en Cerrar y, después, en Aceptar.

Introducción

Nota

Procedimiento para asignar o desasignar una directiva IPSec para una directiva de equipo local


7. Guarde la consola como IPSec en el escritorio y después cierre la consola IPSec.

8. En el escritorio, haga clic con el botón secundario del mouse en IPSec y, a continuación, seleccione Ejecutar como.

9. En el cuadro de diálogo Ejecutar como, seleccione la opción El siguiente usuario, escriba una cuenta de usuario y contraseña con los permisos apropiados para completar la tarea y haga clic en Aceptar.

10. En el árbol de la consola, haga clic en Directivas de seguridad IP en Equipo local.

11. En el panel de detalles, haga clic en la directiva IPSec que desee asignar o desasignar y, a continuación, realice una de las siguientes acciones:

• Para asignar la directiva, en el panel de detalles, haga clic con el botón secundario del mouse en la directiva apropiada y después haga clic en Asignar.

• Para desasignar la directiva, en el panel de detalles, haga clic con el botón secundario del mouse en la directiva apropiada y después haga clic en Desasignar.

Para asignar o desasignar una directiva IPSec para una directiva de grupo basada en Active Directory:

1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en el

dominio o la unidad organizativa para la que desee establecer la directiva de grupo.

3. Haga clic en Propiedades y, a continuación, en la ficha Directiva de grupo.

4. Haga clic en Modificar para abrir el objeto de directiva de grupo que desee modificar. O bien haga clic en Nuevo para crear un nuevo objeto de directiva de grupo y, después, haga clic en Modificar.

5. En la consola Editor de objetos de directiva de grupo, expanda sucesivamente Configuración del equipo, Configuración de Windows y Configuración de seguridad, y haga clic en Directivas de seguridad IP en Active Directory.

6. En el panel de detalles, haga clic en la directiva IPSec que desee asignar o desasignar y, a continuación, realice una de las siguientes acciones:

• Para asignar la directiva, en el panel de detalles, haga clic con el botón secundario del mouse en la directiva apropiada y después haga clic en Asignar.

• Para desasignar la directiva, en el panel de detalles, haga clic con el botón secundario del mouse en la directiva apropiada y después haga clic en Desasignar.

Procedimiento para asignar o desasignar una directiva IPSec para una directiva de grupo basada en Active Directory


Ejercicio: Implementar IPSec


En este ejercicio, va a asignar una directiva IPSec.


La organización está considerando la implementación de IPSec para proteger a los clientes de acceso remoto. Antes de que la organización implemente IPSec en los clientes activos, los arquitectos le han pedido que, como administrador de red, pruebe cómo funciona IPSec en el laboratorio de pruebas.

Configurará IPSec en dos equipos: un cliente y un servidor. La configuración de IPSec en dos equipos le permitirá familiarizarse con la asignación de directivas IPSec en los equipos. Finalmente utilizará Directiva de grupo para asignar la directiva IPSec a los clientes de acceso remoto. No obstante, mientras realiza las pruebas en el laboratorio, asignará directivas IPSec a equipos individuales.

! Comparta la carpeta C:\Moc en su equipo

! Complete esta tarea desde los equipos de ambos alumnos. ! Herramienta administrativa: Administración de equipos ! Nombre de usuario: NWtraders\NombreDeEquipoAdmin (donde

NombreDeEquipo es el nombre del equipo) ! Contraseña: P@ssw0rd ! Carpeta que se va a compartir: C:\Moc ! Permisos de acceso: Todos: Lectura

Introducción

Instrucciones


Ejercicio


! Compruebe que puede conectar con el recurso compartido Moc de su compañero

Espere a que su compañero finalice la tarea anterior antes de iniciar la siguiente. Complete la tarea siguiente desde los equipos de ambos alumnos.

! Complete esta tarea desde los equipos de ambos alumnos. 1. En el cuadro de diálogo Ejecutar, escriba \\NombreDeEquipo\Moc

(donde NombreDeEquipo es el nombre del equipo de su compañero) y, a continuación, haga clic en Aceptar.

2. Compruebe que puede ver el contenido de la carpeta \\NombreDeEquipo\Moc (donde NombreDeEquipo es el nombre del equipo de su compañero).

3. Cierre la carpeta Moc en la ventana NombreDeEquipo.

! Asignar una directiva IPSec ! Complete esta tarea desde el equipo del alumno que tenga el número

de identificación más bajo. ! Nombre de usuario: NWtraders\NombreDeEquipoAdmin

(donde NombreDeEquipo es el nombre del equipo) ! Contraseña: P@ssw0rd ! Directiva de seguridad IP: Servidor seguro (requerir seguridad)

! Compruebe que no puede conectar con el recurso compartido Moc de su compañero


1. En el cuadro de diálogo Ejecutar, escriba \\NombreDeEquipo\Moc (donde NombreDeEquipo es el nombre del equipo de su compañero) y, a continuación, haga clic en Aceptar.

2. Cierre el cuadro de mensaje del Explorador de Windows.

! Desasigne una directiva IPSec


! Nombre de usuario: NWtraders\NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre del equipo)

! Contraseña: P@ssw0rd ! Directiva de seguridad IP: Servidor seguro (requerir seguridad)

Nota




1. En el cuadro de diálogo Ejecutar, escriba \\NombreDeEquipo\Moc (donde NombreDeEquipo es el nombre del equipo de su compañero) y, a continuación, haga clic en Aceptar.



! Asigne una directiva IPSec

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: NWtraders\NombreDeEquipoAdmin

(donde NombreDeEquipo es el nombre del equipo) ! Contraseña: P@ssw0rd ! Directiva de seguridad IP: Servidor (solicitar seguridad)







Lección: Implementar IPSec con certificados


IPSec se basa en la autenticación mutua para proteger las comunicaciones. IPSec es un estándar del sector, por lo que esta autenticación probablemente deba realizarse entre sistemas que no compartan una infraestructura de autenticación centralizada del protocolo Kerberos. Los certificados X.509 constituyen otro método de autenticación para IPSec basado en estándares que puede utilizarse si hay habilitada una Infraestructura de claves públicas (PKI, Public Key Infrastructure) de confianza. En esta lección se describe cómo puede utilizar los certificados de clave pública en la autenticación para ofrecer una comunicación segura y confiable en la red.


! Explicar la función de los certificados. ! Definir los usos comunes de los certificados. ! Explicar los motivos por los que debería utilizar certificados con IPSec

para proteger el tráfico de red. ! Describir el proceso de inscripción de certificados. ! Configurar IPSec para utilizar certificados.

Introducción



Qué es un certificado


Los certificados X.509, en ocasiones también denominados certificados digitales, son credenciales electrónicas que suelen utilizarse para autenticar y proteger el intercambio de información en redes abiertas, como Internet, extranets e intranets.

El certificado enlaza de forma segura una clave pública a la entidad que posee la clave privada correspondiente. Por ejemplo, puede cifrar los datos para un destinatario con su clave pública y confiar en que sólo el destinatario posee la clave privada necesaria para descifrarlos.

Un emisor de certificados, también llamado entidad emisora de certificados (CA, Certification Authority) firma digitalmente los certificados. Es posible emitir certificados para un usuario, un equipo o un servicio, como IPSec.

Una de las ventajas principales de los certificados es que evitan que los hosts deban mantener un conjunto de contraseñas para usuarios que tengan que ser autenticados para lograr el acceso. En lugar de ello, el host da su confianza a una CA que emite certificados.

Una entidad emisora de certificados es responsable de autenticar y validar las claves para el cifrado, el descifrado y la autenticación. Una vez que comprueba la identidad del titular de la clave, distribuye las claves públicas mediante la emisión de certificados X.509. Los certificados X.509 contienen la clave pública y un conjunto de atributos. Una entidad emisora puede emitir certificados para funciones específicas, como proteger el correo electrónico o IPSec, además de certificados para funciones habituales.

Definición

Ventajas de los certificados

Finalidad de una entidad emisora de certificados


Cada certificado contiene la siguiente información:

! La clave pública criptográfica del par de clave pública y clave privada del titular del certificado.

! Información relativa a la persona que ha solicitado el certificado. ! Nombre completo X.500 del usuario o el equipo. ! La dirección de correo electrónico del propietario del certificado. ! Detalles relativos a la entidad. ! Fechas de caducidad. ! Un valor hash del contenido del certificado para garantizar la autenticidad

(firma digital).

Un administrador de sistemas puede configurar Directiva de grupo para instalar automáticamente un certificado en un equipo que sea miembro de un dominio. El certificado se puede utilizar para proporcionar autenticación entre dos equipos configurados con IPSec. Los certificados también deben instalarse en servidores Web que proporcionen conexiones seguras de Nivel de sockets seguro (SSL, Secure Sockets Layer) a los usuarios.

Contenido de los certificados

Ejemplo del uso de un certificado


Usos comunes de los certificados


Muchas organizaciones instalan sus propias entidades emisoras y emiten certificados a dispositivos internos, servicios y empleados para crear un entorno informático más seguro. Como consecuencia, un empleado de una organización puede haber recibido varios certificados emitidos por más de una entidad.

En la tabla siguiente se describen algunas de las formas en que se pueden utilizar los certificados.

Usos de los certificados Descripción Firmas digitales Utilizan la clave pública de un certificado

para comprobar que los datos se han firmado con la clave privada apropiada.

Sistema de archivos de cifrado (EFS, Encrypting File System)

Utiliza la clave pública de un certificado para cifrar las claves de cifrado de archivos.

Autenticación de Internet Comprueba la identidad de un servidor Web para los clientes Web. Los servidores Web también pueden utilizar certificados para comprobar la identidad de los clientes Web.

Seguridad IP (IPSec) Comprueba la identidad de los equipos y cifra los datos a medida que se transmiten a través de la red.

Correo electrónico seguro Comprueba los mensajes de correo electrónico firmados y los descifra.

Inicio de sesión con tarjeta inteligente Comprueba la identidad de un usuario en un inicio de sesión con tarjeta inteligente.

Firma de código de software Comprueba la identidad de un editor del software.

Usos de los certificados


Por qué utilizar certificados con IPSec para proteger el tráfico de red


El uso de certificados de una entidad emisora de certificados de confianza como método de autenticación entre dos hosts IPSec permite a la empresa interoperar con otras organizaciones que confíen en la misma entidad. También es posible utilizar certificados para habilitar el Servicio de enrutamiento y acceso remoto de Windows de forma que puedan establecer comunicaciones seguras a través de Internet con enrutadores de terceros que admitan el uso de IPSec. Sin embargo, los certificados son más complejos que las claves previamente compartidas o el protocolo Kerberos, por lo que requieren un mayor planeamiento administrativo. Los certificados únicamente son un componente de una solución PKI. Aunque PKI requiere recursos de diseño y administración, sobrepasa los límites empresariales al permitir el establecimiento de vínculos de identidad y confianza entre organizaciones.

Finalidad de los certificados


Hay otros dos métodos de autenticación entre dos hosts IPSec:

! Protocolo Kerberos. En lo que respecta al tráfico entre equipos del mismo bosque, la autenticación del protocolo Kerberos predeterminada es el método de autenticación más sencillo para IPSec y no requiere ninguna configuración. El protocolo Kerberos es un componente de Active Directory, por lo que forma parte de una estructura de dominio empresarial. Sin embargo, en clientes que no admiten el protocolo Kerberos o no forman parte de la estructura de Active Directory, es necesario utilizar otro método de autenticación, como una clave previamente compartida o un certificado X.509.

! Claves previamente compartidas. Una clave previamente compartida es una larga cadena de texto aleatorio que se utiliza como contraseña entre dos hosts IPSec. Este tipo de claves no se considera tan seguro como el protocolo Kerberos o los certificados, ya que se almacenan en texto sin cifrar en la directiva IPSec. Un atacante podría conseguir acceso administrativo a la directiva y obtener la clave previamente compartida. Estas claves no se escalan correctamente en configuraciones de varios equipos.

Para obtener información adicional acerca de los certificados, consulte el curso 2810, Fundamentals of Network Security.

Protocolo Kerberos y claves previamente compartidas

Nota


Presentación multimedia: Inscripción de certificados


Para iniciar la presentación Inscripción de certificados, abra la página Web del disco compacto Material del alumno, haga clic en Multimedia y, después, haga clic en el título de la presentación.


! Definir el concepto de inscripción de certificados. ! Describir cómo funciona la inscripción de certificados.

! La inscripción de certificados es el proceso por el que se solicitan e instalan

certificados para un usuario, equipo o servicio. ! Las directivas y procesos de la entidad emisora de certificados definen cómo

se solicitarán y recibirán los certificados. ! Una entidad emisora de certificados independiente sólo admite la

inscripción basada en Web, mientras que una entidad de empresa admite las inscripciones basadas en Web y MMC.

! Un Proveedor de servicios de cifrado (CSP, Cryptographic Service Provider) instalado en el equipo genera las claves privada y pública, también conocidas como par de claves, para la solicitud de certificados. El CSP puede estar basado en software o en hardware.

! La clave pública se envía a la CA junto con la información del solicitante del certificado.

! El CSP de software cifra y protege la clave privada en una ubicación conocida como el almacén público, o pstore.


Objetivos

Puntos clave


Cómo configurar IPSec para utilizar certificados


Si elige utilizar un certificado para la autenticación, deberá seleccionar una entidad emisora de certificados (por lo general la CA raíz del certificado de equipo instalado). Este campo no se puede dejar en blanco.


Para configurar IPSec de modo que se use un certificado:

1. Cree un complemento Administración de seguridad IP que contenga directivas de seguridad IP. O bien abra un archivo de consola guardado que contenga directivas de seguridad IP.

2. Haga doble clic en la directiva que desee modificar. 3. En el cuadro de diálogo Propiedades de directiva, haga doble clic en la

regla de seguridad IPSec que desee modificar. 4. En el cuadro de diálogo Propiedades de Modificar la regla, en la

ficha Métodos de autenticación, haga clic en Agregar. O bien, si está reconfigurando un método existente, haga clic en el método de autenticación y, después, haga clic en Modificar.

5. Seleccione Usar un certificado de esta entidad emisora de certificados (CA) y haga clic en Examinar.

6. En el cuadro de diálogo Seleccionar certificado, haga clic en la entidad emisora de certificados apropiada y, después, haga clic en Aceptar.

7. En la ficha Método de autenticación, haga clic en Aceptar. 8. En el cuadro de diálogo Propiedades de Modificar la regla, haga clic

en Aceptar. 9. En el cuadro de diálogo Propiedades de directiva, haga clic en Aceptar.

Introducción

Nota

Procedimiento


Ejercicio: Implementar IPSec con certificados


En este ejercicio, implementará IPSec con un certificado.



Su organización utiliza IPSec con el protocolo Kerberos y ha adquirido otra empresa que utiliza certificados para la autenticación. Con el fin de interoperar con la nueva compañía, deberá configurar IPSec para utilizar certificados de una entidad emisora de certificados en la que confíen ambas empresas.

Objetivo

Instrucciones



En este ejercicio, el protocolo Kerberos se establece como método de autenticación predeterminado. Deberá configurar las directivas IPSec en los equipos cliente y servidor para utilizar los certificados como método de autenticación secundario. Para utilizar los certificados como único método de autenticación, primero deberá quitar el método de autenticación del protocolo Kerberos.

! Configure la directiva IPSec Servidor (solicitar seguridad) para utilizar los certificados y el protocolo Kerberos

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: NWtraders\NombreDeEquipoAdmin (donde

NombreDeEquipo es el nombre del equipo) ! Contraseña: P@ssw0rd ! Directiva de seguridad IP: Servidor (solicitar seguridad) ! Regla de seguridad IP: Todo el tráfico de IP ! Entidad emisora de certificados: Microsoft Root Certificate Authority ! Orden de prioridad del método de autenticación:

• El protocolo Kerberos

• Entidad emisora de certificados de Microsoft






Ejercicio Importante


Lección: Supervisar IPSec


Windows Server 2003 proporciona varias utilidades diferentes para identificar y resolver problemas frecuentes relacionados con IPSec. En esta lección se presenta el Monitor de seguridad IP y se explica cómo se puede utilizar para aislar errores con los valores de configuración de IPSec.


! Explicar qué es el Monitor de seguridad IP. ! Aplicar normas al supervisar IPSec. ! Detener e iniciar los servicios IPSec. ! Ver los detalles de la directiva IPSec.

Introducción



Monitor de seguridad IP


El complemento Monitor de seguridad IP permite ver los detalles relativos a las directivas IPSec locales activas y las directivas asignadas al dominio. Estos detalles se pueden supervisar en el equipo local y en equipos remotos. Por ejemplo, puede mostrar la siguiente información:

! Detalles de la directiva IPSec activa, incluido el nombre, la descripción, la fecha de la última modificación, el almacén, la ruta de acceso, la unidad organizativa y el nombre del objeto de directiva de grupo (GPO, Group Policy Object).

! Filtros genéricos de modo principal y modo rápido, filtros específicos, estadísticas y asociaciones de seguridad.

Las estadísticas del modo principal muestran información del Intercambio de claves de Internet (IKE).

Las estadísticas de modo rápido muestran información relativa al controlador IPSec.

En esta lección se describe cómo ver los detalles de la directiva IPSec activa. Para obtener información acerca de cómo ver las estadísticas de modo principal y modo rápido, consulte la documentación de la Ayuda de Windows Server 2003 y el Kit de recursos de Windows Server 2003 (Windows Server 2003 Resource Kit).

Puede utilizar el Monitor de seguridad IP para determinar si hay un patrón de errores en la autenticación o la asociación de seguridad; esto indicaría una posible incompatibilidad en la configuración de la directiva de seguridad.

Qué es el Monitor de seguridad IP

Estadísticas de modo principal

Estadísticas de modo rápido

Nota

Ejemplo


Directrices para supervisar las directivas IPSec


Los errores de configuración y otros problemas relacionados con la implementación de IPSec se suelen manifestar cuando dos o más equipos no se pueden comunicar entre sí. Para ayudar a aislar la causa de un problema de comunicación, siga estas directrices:

1. Detenga el Agente de directiva IPSec (Servicios IPSec) en los equipos y compruebe las comunicaciones entre ellos mediante el comando ping. Si hay algún problema de comunicación después de haber detenido la directiva, lo más probable es que se deba a problemas generales de la red.

Si hay una conexión de red válida, debe recibir cuatro respuestas al comando ping. Las respuestas positivas indican que es posible establecer comunicación con la dirección IP de destino.

2. Reinicie el Agente de directiva IPSec y utilice el Monitor de seguridad IP para confirmar que se establece una asociación de seguridad entre los equipos. Asegúrese de que la directiva de seguridad está en vigor.

3. Use Administración de las directivas de seguridad de IP para comprobar que las directivas se han asignado a ambos equipos.

4. Use Administración de las directivas de seguridad de IP para revisar las directivas en los equipos y garantizar que son compatibles entre sí.

5. Reinicie el Monitor de seguridad IP para asegurarse de que se han aplicado todos los cambios realizados.

Para obtener información adicional acerca de cómo supervisar IPSec, consulte la documentación de Ayuda de Windows Server 2003.

Directrices

Nota

Nota


Cómo detener e iniciar los servicios IPSec


Puede utilizar la interfaz de Windows y el símbolo del sistema para detener e iniciar los servicios IPSec.


Para detener e iniciar los servicios IPSec mediante la interfaz de Windows:

1. Abra la consola Servicios. 2. En el panel de detalles, haga clic con el botón secundario del mouse

en Servicios IPSec y, a continuación, haga clic en Detener.

Para iniciar los servicios IPSec:

1. Abra la consola Servicios. 2. En el panel de detalles, haga clic con el botón secundario del mouse

en Servicios IPSec y, a continuación, haga clic en Iniciar.

Introducción

Nota

Procedimiento para detener e iniciar los servicios IPSec mediante la interfaz de Windows


Para detener e iniciar los servicios IPSec mediante el símbolo del sistema:

Si dispone de un servidor que ejecuta Windows 2000 o Windows Server 2003 y el Servicio de enrutamiento y acceso remoto, debe utilizar el símbolo del sistema para detener e iniciar los servicios IPSec y Enrutamiento y acceso remoto en una secuencia específica.

1. Detenga el Servicio de enrutamiento y acceso remoto mediante el comando net stop remoteaccess.

2. Detenga los servicios IPSec mediante el comando net stop policyagent. 3. Inicie los servicios IPSec mediante el comando net start policyagent. 4. Inicie el Servicio de enrutamiento y acceso remoto mediante el comando

net start remoteaccess.

Procedimiento para detener e iniciar los servicios IPSec mediante el símbolo del sistema

Nota


Cómo ver los detalles de la directiva IPSec


Puede usar el Monitor de seguridad IP para ver detalles relativos a la directiva IPSec.


Para ver los detalles de la directiva IPSec activa mediante el Monitor de seguridad IP:

1. Cree una consola MMC que contenga el complemento Monitor de seguridad IP. O bien, abra un archivo de consola guardada que contenga el Monitor de seguridad IP.

2. Expanda Monitor de seguridad IP expanda NombreDeEquipo y, a continuación, haga clic en Directiva activa.

3. En el panel de detalles, consulte la información de la directiva activa.

Para ver las asociaciones de seguridad de modo principal de la directiva IPSec activa mediante el Monitor de seguridad IP:

1. Cree una consola MMC que contenga el complemento Monitor de seguridad IP. O bien, abra un archivo de consola guardada que contenga el Monitor de seguridad IP.

2. Expanda Monitor de seguridad IP, expanda Modo principal y, a continuación, haga clic en Asociaciones de seguridad.

3. En el panel de detalles, consulte la información de asociaciones de seguridad.

Introducción

Nota

Procedimiento para ver detalles de la directiva IPSec activa

Procedimiento para ver las asociaciones de seguridad del modo principal de la directiva IPSec activa


Ejercicio: Supervisar IPSec


En este ejercicio, va a supervisar una directiva IPSec.


Se le ha pedido que compruebe la directiva IPSec en el servidor local. Comprobará la información de la directiva IPSec mediante la consola del monitor IPSec.





3. Deje abierta la ventana de la carpeta Setup.

Objetivo

Instrucciones


Ejercicio


! Consulte los detalles de la directiva IPSec activa mediante la consola del monitor IPSec


(donde NombreDeEquipo es el nombre del equipo) ! Contraseña: P@ssw0rd ! Complemento MMC: Monitor de seguridad IP ! Equipo: NombreDeEquipo (donde NombreDeEquipo es el nombre

del equipo de su compañero)

! Consulte la información de las asociaciones de seguridad en modo principal de la directiva IPSec activa mediante la consola del monitor IPSec


(donde NombreDeEquipo es el nombre del equipo) ! Contraseña: P@ssw0rd ! Complemento MMC: Monitor de seguridad IP ! Compruebe que el equipo de su compañero muestra la información

de asociaciones de seguridad.


Práctica A: Proteger el tráfico de red


En esta práctica, protegerá el tráfico de la red.

Objetivos



Ejercicio 1 Configurar IPSec En este ejercicio, configurará un equipo servidor y un equipo cliente con IPSec.



Situación de ejemplo Está probando datos confidenciales en un equipo servidor y un equipo cliente del laboratorio de pruebas y necesita proteger la comunicación entre ambos equipos. Utilice la siguiente información mientras configura IPSec en ambos equipos:

! No dispone de una entidad emisora de certificados para la práctica. ! Cuando el equipo cliente se encuentre en el dominio, utilizará la autenticación basada

en dominios. ! Cuando el equipo cliente no se encuentre en el dominio, utilizará la autenticación de clave

compartida. ! El equipo cliente deberá comunicarse con otros equipos no seguros situados fuera del laboratorio

de pruebas. ! El acceso al equipo servidor debe ser seguro.



1. Configure la directiva IPSec Servidor (solicitar seguridad) mediante el protocolo Kerberos como autenticación predeterminada y la clave previamente definida como autenticación secundaria.

" Directiva de seguridad IP: Servidor (solicitar seguridad)

" Regla de seguridad IP: Todo el tráfico de IP

" Clave previamente compartida: 2184course

" Métodos de autenticación: el primero es el protocolo Kerberos y el segundo, clave previamente compartida.

2. Compruebe que puede conectar con el recurso compartido Moc en el equipo de su compañero.

" Use el comando Ejecutar.

" Cierre la carpeta Moc en la ventana NombreDeEquipo.

Contenido

Introducción 1

Lección: Introducción a las infraestructuras de acceso a la red 2

Lección: Configurar una conexión VPN 13

Lección: Configurar una conexión de acceso telefónico 29

Lección: Configurar una conexión inalámbrica 40

Lección: Controlar el acceso de los usuarios a una red 53

Lección: Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS 72

Práctica A: Configurar el acceso a la red 84

Módulo 9: Configurar el acceso a la red

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. © 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 9: Configurar el acceso a la red iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para permitir que los usuarios remotos y de dispositivos inalámbricos se conecten a una red. También introduce a los alumnos en la administración centralizada de la autenticación y las directivas mediante el Servicio de autenticación de Internet (IAS, Internet Authentication Service).


! Describir una infraestructura de acceso a la red. ! Configurar una conexión de red privada virtual (VPN, Virtual

Private Network). ! Configurar una conexión de acceso telefónico. ! Configurar una conexión inalámbrica. ! Controlar el acceso de usuarios remotos a una red. ! Centralizar la autenticación y la administración de directivas para

el acceso a la red mediante IAS.


! Archivo de Microsoft® PowerPoint® 2184A_09.ppt. ! El documento Valores del plan de implementación que se encuentra

en el apéndice al final del cuaderno de trabajo del alumno. ! El archivo multimedia Introducción a la infraestructura de acceso a la red.





! Revisar la presentación multimedia Introducción a la infraestructura de acceso a la red.


Presentación: 3 horas, 30 minutos Práctica: 30 minutos

Material necesario

Importante


iv Módulo 9: Configurar el acceso a la red

En esta sección se proporcionan las instrucciones necesarias con el fin de preparar la configuración del aula o el equipo del instructor para los ejercicios y la práctica. Asimismo, en esta sección se detallan las instrucciones de instalación que deben realizarse después de completar la práctica y antes de pasar al módulo siguiente.

! Prepararse para el ejercicio, Controlar el acceso de los usuarios a una red, y para la práctica

Las siguientes demostraciones deben completarse antes de que los alumnos comiencen con el ejercicio, Controlar el acceso de los usuarios a una red, y con la práctica.

1. Demuestre cómo elevar el nivel funcional de dominio para la familia de Microsoft Windows Server� 2003 cuando explique la página del tema Cómo configurar cuentas de usuario para el acceso a la red. a. En el equipo London, haga clic sucesivamente en Inicio, en

Herramientas administrativas y, después, en Dominios y confianzas de Active Directory.

b. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en nwtraders.msft y, a continuación, haga clic en Elevar el nivel funcional de dominio.

c. En el cuadro de diálogo Elevar el nivel funcional del dominio, seleccione Windows Server 2003 y, a continuación, haga clic en Elevar.

d. Haga clic en Aceptar dos veces. e. Cierre Dominios y confianzas de Active Directory.

2. Haga una demostración de cómo configurar una directiva de acceso remoto en el equipo London cuando explique la página del tema Cómo configurar una directiva de acceso remoto. a. Abra la consola del Servicio de autenticación de Internet. b. Haga clic con el botón secundario del mouse en Directivas de acceso

remoto y, a continuación, haga clic en Nueva directiva de acceso remoto.

c. En la página Éste es el Asistente para nueva directiva de acceso remoto, haga clic en Siguiente.

d. En la página Método de configuración de directiva, escriba VPN y haga clic en Siguiente.

e. En la página Método Access, seleccione VPN y haga clic en Siguiente. f. En la página Acceso de usuarios o grupos, seleccione Grupo y haga

clic en Agregar. g. En el cuadro de diálogo Seleccionar grupos, escriba G y, después,

haga clic en Aceptar. h. En el cuadro de diálogo Nombres múltiples encontrados, seleccione

todos los nombres que comiencen por G utilizando la tecla Mayús y, a continuación, haga clic en Aceptar.


Importante

Módulo 9: Configurar el acceso a la red v

i. En la página Acceso de usuarios o grupos, haga clic en Siguiente. j. En la página Métodos de autenticación, haga clic en Siguiente. k. En la página Nivel de cifrado de directiva, haga clic en Siguiente. l. En la página Finalización del Asistente para nueva directiva de

acceso remoto, haga clic en Finalizar. 3. Demuestre cómo configurar un perfil de directiva de acceso remoto cuando

explique la página del tema Cómo configurar un perfil de directiva de acceso remoto. a. Abra la consola del Servicio de autenticación de Internet. b. En el árbol de la consola, haga clic en Directivas de acceso remoto. c. En el panel de detalles, haga doble clic en VPN y después haga clic en

Editar perfil. d. En el cuadro de diálogo Modificar el perfil de marcado, seleccione

Permitir acceso sólo en estos días y horas y, a continuación, haga clic en Editar.

e. En el cuadro de diálogo Horas de acceso telefónico, establezca la configuración para permitir el acceso a cualquier hora de lunes a viernes y, a continuación, haga clic en Aceptar.

f. En el cuadro de diálogo Modificar el perfil de marcado, seleccione Permitir acceso sólo a través de estos medios (Tipo de puerto NAS) y, a continuación, seleccione Virtual (VPN).

g. En el cuadro de diálogo Modificar el perfil de marcado, haga clic en Aceptar.

h. En el cuadro de diálogo Propiedades de VPN, haga clic en Aceptar.

vi Módulo 9: Configurar el acceso a la red

Recomendaciones para impartir este módulo En esta sección, se incluye información para ayudarle a impartir este módulo.



Es aconsejable que el instructor demuestre cada una de las tareas de las páginas de instrucciones. Además, algunas de las demostraciones de las páginas de instrucciones son obligatorias. Si los procedimientos no se completan, los alumnos no podrán realizar correctamente los ejercicios y la práctica. Para obtener información detallada acerca de las demostraciones obligatorias, consulte el apartado Configuración del aula al inicio de las Notas para el instructor del presente módulo.

En las demostraciones que no son obligatorias puede usar los equipos London o Glasgow. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.

Una vez cubierto el contenido del tema y demostrados los procedimientos correspondientes a la lección, explique que los ejercicios proporcionan a los alumnos la oportunidad de obtener experiencia práctica en todas las tareas tratadas.


Mediante situaciones de ejemplo que tienen que ver con la función de trabajo, la práctica permite proporcionar a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna izquierda se detalla la tarea. (Por ejemplo, crear un grupo.) En la columna de la derecha se indican las instrucciones específicas que los alumnos deben seguir cuando realicen la tarea. (Por ejemplo, en Usuarios y equipos del servicio de directorio Active Directory®, haga doble clic en el nodo de dominio).



Importante

Ejercicios

Prácticas

Módulo 9: Configurar el acceso a la red vii

Lección: Introducción a las infraestructuras de acceso a la red En esta sección, se describen los métodos para impartir esta lección.


! Explique que esta presentación multimedia ofrece una introducción visual avanzada a los servicios que componen la infraestructura de acceso a la red. Los detalles de la infraestructura de acceso a la red se facilitan en el tema y en las páginas de instrucciones.


! Describa brevemente los componentes principales de una infraestructura de

acceso a la red.

• No dedique demasiado tiempo a la explicación de cada componente, ya que se examinarán con mayor detalle más adelante en esta lección.

! Defina un servidor de acceso a la red. ! Explique que un servidor de acceso a la red puede hacer referencia tanto a

un servidor de acceso remoto como a un servidor VPN, dependiendo del tipo de conexión para el que esté configurado.

! Describa los requisitos de configuración que los alumnos deben conocer antes de configurar su servidor de acceso a la red.

! Describa brevemente todos los clientes de acceso a la red y de qué modo se

conectan a la red.

• No dedique demasiado tiempo a la explicación de cada tipo de cliente, ya que se examinarán con mayor detalle más adelante en este módulo.

! Explique que la autenticación de acceso a la red aumenta el nivel de

seguridad de una red al protegerla frente al acceso no autorizado y el uso de los activos internos.

! Con ayuda de la diapositiva, establezca las diferencias entre autenticación y autorización.


! Explique el concepto de aceptación o rechazo de un intento de conexión.

! Describa los métodos de autenticación incluidos en la tabla. ! Haga hincapié en que el uso de certificados para la autenticación de

usuarios es la forma más segura de autenticación remota en Microsoft Windows Server 2003.

! Detalle los requisitos para la implementación de certificados en la autenticación de acceso remoto.

! Remita a los alumnos al curso 2810, Fundamentals of Network Security, donde encontrarán información adicional acerca de una Infraestructura de clave pública (PKI, Public Key Infrastructure).

Presentación multimedia: Introducción a la infraestructura de acceso a la red

Componentes de una infraestructura de acceso a la red

Requisitos de configuración para un servidor de acceso a la red

Qué es un cliente de acceso a la red

Qué son la autenticación y la autorización de acceso a la red

Métodos de autenticación disponibles

viii Módulo 9: Configurar el acceso a la red

Lección: Configurar una conexión VPN En esta sección, se describen los métodos para impartir esta lección.

! Explique qué es una conexión VPN. ! Con ayuda de la diapositiva, describa cómo funciona una conexión VPN.


! Detalle las ventajas de una red privada virtual.

! Describa brevemente los componentes de una conexión VPN.

• Algunos de estos componentes se examinan con mayor detalle más adelante en esta lección.

! Explique los dos tipos de protocolos de cifrado (de túnel). ! Haga hincapié en que para la autenticación en una red privada virtual segura

se recomienda usar el Protocolo de túnel de capa dos/Seguridad del protocolo Internet (L2TP/IPSec, Layer Two Tunneling Protocol/Internet Protocol Security) con certificados.

! Describa los escenarios de utilización de L2TP/IPSec.

! Describa los requisitos de configuración que los alumnos deben conocer antes de configurar un servidor VPN.

! Asegúrese de que los alumnos comprenden que deben ser miembros del grupo Administradores para completar este procedimiento.

! Haga hincapié en que se trata de una práctica recomendada de seguridad utilizar el comando Ejecutar como en lugar de iniciar una sesión con credenciales administrativas.

! Demuestre cómo registrar el servidor de acceso remoto en Active Directory. ! Haga una demostración de cómo configurar un servidor de acceso remoto

para usar una conexión de red privada virtual. ! Haga una demostración de cómo configurar el número de puertos

disponibles en un servidor.

! Demuestre cómo configurar un cliente de acceso remoto para usar una conexión de red privada virtual.

! Demuestre cómo configurar la autenticación mediante tarjeta inteligente en un servidor de acceso remoto.

Cómo funciona una conexión VPN

Componentes de una conexión VPN

Protocolos de cifrado para una conexión VPN

Requisitos de configuración para un servidor VPN

Cómo configurar un servidor de acceso remoto para usar una conexión VPN

Cómo configurar un cliente de acceso remoto para usar una conexión VPN

Cómo configurar la autenticación mediante tarjeta inteligente en un servidor de acceso remoto

Módulo 9: Configurar el acceso a la red ix

! Remita a los alumnos al documento Valores del plan de implementación que se encuentra en el apéndice al final de su cuaderno de trabajo.


! Señale a los alumnos que deben completar las siguientes tareas:

• Configurar un servidor de acceso remoto para usar una conexión VPN.

• Registrar el servidor de acceso remoto en Active Directory.

• Configurar un cliente de acceso remoto para la conectividad VPN. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Lección: Configurar una conexión de acceso telefónico ! Explique en qué consiste el acceso a la red de acceso telefónico. ! Con ayuda de la diapositiva, describa cómo funciona el acceso a la red de

acceso telefónico.


! Describa el hardware necesario para las conexiones de acceso telefónico.

! Describa los componentes de una conexión de acceso telefónico.

! Con ayuda de la diapositiva, describa los métodos de autenticación disponibles para una conexión de acceso telefónico.


• Haga hincapié en que el método recomendado requiere el uso del Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS, Extensible Authentication Protocol-Transport Layer Security).

! Explique que la forma más segura de autenticación para la familia de Windows Server 2003 es el uso de certificados con EAP-TLS.

! Remita a los alumnos al curso 2810, Fundamentals of Network Security, donde encontrarán información adicional acerca de PKI.

! Describa los requisitos de configuración que los alumnos deben conocer

antes de configurar un servidor de acceso remoto.

! Demuestre cómo configurar un servidor de acceso remoto para usar una conexión de acceso telefónico.

Ejercicio: Configurar una conexión VPN

Cómo funciona el acceso a la red de acceso telefónico

Componentes de una conexión de acceso telefónico

Métodos de autenticación para una conexión de acceso telefónico

Requisitos de configuración para un servidor de acceso remoto

Cómo configurar un servidor de acceso remoto para usar una conexión de acceso telefónico

x Módulo 9: Configurar el acceso a la red

! Explique a los alumnos que pueden utilizar Conexiones de red para configurar una conexión de acceso telefónico en un cliente.

! Haga una demostración de cómo configurar un cliente de acceso remoto para usar una conexión de acceso telefónico.

! Demuestre cómo modificar la configuración de una conexión de acceso telefónico.

Lección: Configurar una conexión inalámbrica ! Explique en qué consiste el acceso a una red inalámbrica y qué tipos de

dispositivos se utilizan en ellas. ! Describa las ventajas de una red de área local inalámbrica (WLAN, Wireless

Local Area Network). ! Detalle los dos modos de funcionamiento de las WLAN: infraestructura de

punto de acceso y de igual a igual (ad hoc).

! Describa los componentes de una conexión inalámbrica.

! Describa brevemente y compare los diferentes estándares de tecnologías inalámbricas sin profundizar demasiado.

! Remita a los alumnos al documento técnico Microsoft Wireless LAN Deployment and Best Practices (Implementación de LAN inalámbricas de Microsoft y prácticas recomendadas) en el sitio Web de Microsoft para obtener información adicional acerca de sus implementaciones de tecnologías inalámbricas.

! Explique la manera en que 802.1x utiliza EAP para la autenticación y

comente los diferentes métodos de autenticación para clientes inalámbricos. ! Señale que EAP-TLS se muestra como Tarjeta inteligente u Otro certificado

en la interfaz gráfica de usuario (GUI, Graphical User Interface).

! Explique que el servicio Configuración inalámbrica de la familia de Windows Server 2003 y de Microsoft Windows XP reduce la configuración requerida para el acceso a redes inalámbricas.

! Comente los diferentes tipos de redes inalámbricas y su modo de funcionamiento.

! Describa los diversos requisitos para configurar un cliente Windows XP Professional para el acceso a una red inalámbrica.

! Haga hincapié en la importancia de equilibrar el nivel de seguridad frente al trabajo necesario para implementar el método de autenticación elegido.

! Remita a los alumnos al documento Windows XP Wireless Deployment Technology and Component Overview (Descripción general de los componentes y la tecnología de implementación inalámbrica de Windows XP) en la sección Artículos de implementación en http://www.microsoft.com/wifi.

! Demuestre cómo configurar un cliente de acceso a la red para usar una

conexión de red inalámbrica.

Cómo configurar un cliente de acceso remoto para usar una conexión de acceso telefónico

Descripción general del acceso a una red inalámbrica

Componentes de una conexión inalámbrica

Estándares inalámbricos

Métodos de autenticación para redes inalámbricas

Requisitos de configuración de un cliente Windows XP Professional para tener acceso a una red inalámbrica

Cómo configurar un cliente de acceso a la red para usar una conexión inalámbrica

Módulo 9: Configurar el acceso a la red xi

Lección: Controlar el acceso de los usuarios a una red En esta sección, se describen los métodos para impartir esta lección.

! Explique de qué modo pueden controlar los administradores los permisos de acceso remoto y el uso.

! Describa los permisos de marcado de cuentas de usuario y de qué modo ayudan a controlar el acceso de los usuarios.

! Demuestre cómo elevar el nivel funcional de dominio. ! Haga una demostración de cómo configurar las propiedades de acceso

telefónico para cuentas de usuario en un dominio nativo Windows 2000.

! Defina una directiva de acceso remoto. ! Explique cómo una directiva de acceso remoto determina de qué modo se

autoriza o se rechaza un intento de conexión. ! Especifique los tres componentes que conforman una directiva de acceso

remoto.

• Asegúrese de que los alumnos comprenden completamente la función de estos componentes antes de avanzar al tema siguiente.

! Proporcione ejemplos reales de la forma en que las condiciones, permisos y perfiles funcionan conjuntamente para ayudar a controlar el acceso de los usuarios a una red.

! Defina un perfil de directiva de acceso remoto. ! Describa de qué forma especifica un perfil de directiva de acceso remoto

un conjunto de restricciones de conexión una vez que se ha autorizado la conexión.

! Con ayuda de la diapositiva, explique las diferentes opciones de configuración disponibles en el cuadro de diálogo Propiedades para una directiva y cómo especifican el tipo de acceso que se permite a un usuario.


! Con ayuda de la diapositiva, describa cómo se procesan las directivas de

acceso remoto.


• Asegúrese de que los alumnos comprenden cómo funciona este proceso antes de avanzar al siguiente tema.

! Haga una demostración de cómo configurar una directiva de acceso remoto. ! Demuestre cómo configurar una condición de directiva nueva para una

directiva de acceso remoto.

! Haga una demostración de cómo configurar un perfil de directiva de acceso remoto.

Permisos de marcado de cuentas de usuario

Cómo configurar cuentas de usuario para el acceso a la red

Qué es una directiva de acceso remoto

Qué es un perfil de directiva de acceso remoto

Cómo se procesan las directivas de acceso remoto

Cómo configurar una directiva de acceso remoto

Cómo configurar un perfil de directiva de acceso remoto

xii Módulo 9: Configurar el acceso a la red



! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas:

• Configurar una directiva de acceso remoto denominada Directiva VPN.

• Comprobar que Directiva VPN es la primera en la lista de directivas.

• Configurar un perfil de directiva de acceso remoto para Directiva VPN.

• Conectar con el equipo de sus compañeros mediante la conexión VPN.

• Comprobar la duración de la conexión para el cliente de acceso remoto.

• En el equipo cliente, desconectarse del equipo de sus compañeros. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Lección: Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS

En esta sección, se describen los métodos para impartir esta lección.

! Explique las razones para centralizar la autenticación y la administración de directivas.

! Explique en qué consiste el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service).

! Detalle la finalidad de RADIUS.

• Justifique que RADIUS sea el protocolo estándar para administrar el acceso a la red en redes VPN, de acceso telefónico e inalámbricas.

! Explique la finalidad y la función de un servidor, cliente y proxy RADIUS.

! Defina el Servicio de autenticación de Internet (IAS). ! Justifique que IAS sea la solución RADIUS de Microsoft. ! Explique las ventajas de utilizar IAS. ! Facilite ejemplos de cómo IAS admite diversos escenarios corporativos.

! Con ayuda de la diapositiva, describa cómo funciona la autenticación

centralizada.


• Asegúrese de que los alumnos comprenden que el servidor de acceso remoto actúa como cliente RADIUS en este proceso.

! Demuestre cómo autorizar un servidor IAS en Active Directory. ! Demuestre cómo configurar el servidor IAS para clientes RADIUS.

Ejercicio: Controlar el acceso de los usuarios a una red

Qué es RADIUS

Qué es IAS

Cómo funciona la autenticación centralizada

Cómo configurar un servidor IAS para la autenticación de acceso a la red

Módulo 9: Configurar el acceso a la red xiii

! Demuestre cómo configurar un servidor de acceso remoto para que utilice IAS en la autenticación.




• Configurar un servidor de acceso remoto para que utilice IAS en la autenticación.



• Desconectarse del equipo asociado mediante la conexión VPN.

• Configurar el servidor VPN para que utilice la autenticación de Windows. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Cómo configurar un servidor de acceso remoto para que utilice IAS en la autenticación

Ejercicio: Centralizar la autenticación de acceso a la red mediante IAS

Módulo 9: Configurar el acceso a la red 1

Introducción


Este módulo le permite adquirir los conocimientos y técnicas básicos necesarios para permitir la conexión de usuarios remotos a una red. Entre las principales tareas para habilitar el acceso remoto a una red se incluye la configuración de un servidor con el Servicio de enrutamiento y acceso remoto, la creación de conexiones de acceso remoto adecuadas en un servidor de acceso a la red, así como la configuración de los derechos de acceso de los usuarios.


! Describir una infraestructura de acceso a la red. ! Configurar una conexión de red privada virtual (VPN). ! Configurar una conexión de acceso telefónico. ! Configurar una conexión inalámbrica. ! Controlar el acceso de usuarios remotos a una red. ! Centralizar la autenticación y la administración de directivas para el acceso

a la red mediante el Servicio de autenticación de Internet (IAS, Internet Authentication Service).

Introducción

Objetivos

2 Módulo 9: Configurar el acceso a la red

Lección: Introducción a las infraestructuras de acceso a la red


Para mantener una comunicación eficaz y conectar ubicaciones remotas, las organizaciones necesitan instalar y administrar una infraestructura de acceso a la red que sea segura. En esta lección se presenta la función de una infraestructura de acceso a la red, sus componentes y cómo funcionan conjuntamente para proporcionar un acceso seguro a la red.


! Describir de qué modo los servidores de acceso a la red funcionan conjuntamente.

! Describir los componentes de una infraestructura de acceso a la red. ! Explicar los requisitos de configuración para un servidor de acceso a la red. ! Explicar qué tipo de clientes pueden tener a acceso a una red. ! Explicar en qué consisten la autenticación y la autorización de acceso a la red. ! Especificar qué tipos de métodos de autenticación se utilizan en una

infraestructura de acceso a la red.

Introducción



Presentación multimedia: Introducción a la infraestructura de acceso a la red


Para iniciar la presentación Introducción a la infraestructura de acceso a la red, abra la página Web en el disco compacto Material del alumno, haga clic en Multimedia y, a continuación, haga clic en el título de la presentación.


! Explicar los componentes de una infraestructura de acceso a la red. ! Describir de qué modo los componentes de acceso a la red funcionan

conjuntamente para proporcionar una solución de acceso remoto. ! Detallar cómo funciona el proceso de acceso remoto.

! En una red corporativa hay usuarios que se conectan mediante topologías de

red de área local (LAN) y usuarios que utilizan otros métodos de acceso. ! Para admitir la presencia de los usuarios que no emplean topologías LAN,

debe proporcionar una infraestructura de acceso remoto de manera que los usuarios remotos puedan conectarse a la red central.

! Hay numerosos componentes y procesos necesarios a la hora de proporcionar una solución de acceso remoto.

! Como administrador de sistemas, su responsabilidad es garantizar que la infraestructura de acceso a la red funcione y que los usuarios remotos puedan tener acceso a la red.


Objetivos

Puntos clave


Componentes de una infraestructura de acceso a la red


Para proporcionar una infraestructura de acceso a la red segura, un administrador debe conocer los siguientes componentes básicos que la conforman:

! Servidor de acceso a la red ! Clientes de acceso a la red ! Servicio de autenticación ! Servicio de directorio Active Directory®

El Servicio de enrutamiento y acceso remoto de Microsoft permite un acceso no tradicional a una red. Si configura dicho servicio para que actúe como servidor de acceso remoto, puede conectar trabajadores remotos a las redes de una organización. El servidor de acceso remoto para estos clientes no tradicionales autentica las sesiones de los usuarios y los servicios hasta que el usuario o el administrador de la red los termina. Los usuarios remotos pueden trabajar como si sus equipos estuvieran conectados a la red físicamente.

Un servidor de acceso a la red proporciona conectividad de acceso a la red para clientes VPN y de acceso telefónico.

Estos clientes de acceso a la red pueden emplear herramientas estándar para poder usar los recursos. Por ejemplo, en un servidor configurado con el Servicio de enrutamiento y acceso remoto, los clientes remotos pueden utilizar el Explorador de Windows para efectuar conexiones a las unidades y conectarse a las impresoras. Las conexiones son persistentes, de manera que los clientes no necesitan volverse a conectar a los recursos de red durante las sesiones remotas.

Introducción

Servidor de acceso a la red

Clientes de acceso a la red


Al permitir un mayor acceso a la red, es necesario aumentar el nivel de seguridad de la misma para protegerla frente a un acceso no autorizado e impedir el uso de los activos internos. Puede ayudar a proteger la red incorporando una autenticación segura para validar la identidad, además de configurar un cifrado de alta seguridad para proteger los datos.

Por lo general, los métodos de autenticación emplean un protocolo de autenticación que se negocia durante el proceso de establecimiento de una conexión. El servidor de acceso remoto (un servidor configurado con el Servicio de enrutamiento y acceso remoto) controla la autenticación entre el cliente de acceso remoto y el controlador de dominio.

Si posee múltiples servidores de acceso a la red, puede centralizar la autenticación con el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para autenticar y autorizar a los clientes de acceso a la red. El uso de RADIUS evita que cada servidor de acceso a la red de su red tenga que realizar los procesos de autenticación y autorización.

Para obtener más información acerca de cómo centralizar la autenticación para el acceso a la red, consulte la lección Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS, en este módulo.

Los dominios de Active Directory contienen las cuentas de usuario, contraseñas y propiedades de acceso telefónico necesarias para autenticar las credenciales del usuario y evaluar las restricciones tanto de autorización como de conexión.

Cuando un cliente se conecta a la red, el administrador puede controlar su acceso a los recursos mediante diversos controles administrativos tanto en el equipo cliente como en los servidores de acceso a la red. Entre estos controles administrativos se incluyen Compartir impresoras y archivos, Directiva de grupo local y Directiva de grupo a través del servicio Active Directory.

Servicio de autenticación

Nota

Active Directory


Requisitos de configuración para un servidor de acceso a la red


Un servidor de acceso a la red es aquel que actúa como puerta de enlace a una red para un cliente. En este módulo, el servidor de acceso a la red es un servidor configurado con el Servicio de enrutamiento y acceso remoto y también se puede hacer referencia a él como servidor de acceso remoto (en las conexiones de acceso telefónico) o como servidor VPN, dependiendo del tipo de conexión que esté configurado para negociar.

Habilite solamente el Servicio de enrutamiento y acceso remoto en un servidor que vaya a utilizarse activamente para proporcionar este servicio. La ejecución de este servicio en servidores que no lo requieren o donde no se vaya a usar ofrece otra vía de acceso posible para los intrusos.

Definición

Importante


Cuando el Servicio de enrutamiento y acceso remoto se habilita inicialmente en un servidor, aparece el Asistente para enrutamiento y acceso remoto, que proporciona instrucciones en pantalla para ayudarle a configurar correctamente el servidor de acceso a la red. La información que necesita para configurar el servidor de acceso a la red incluye lo siguiente:

! Si el servidor va a actuar como enrutador, como servidor de acceso remoto o ambos.

! Los métodos de autenticación y proveedores que se emplearán.

La autenticación se describe con más detalle más adelante en esta lección.

! Si un cliente remoto puede tener acceso solamente a ese servidor o a toda la red.

! Cómo se asignarán las direcciones de Protocolo Internet (IP) a los clientes que se conectan.

! Opciones de configuración del Protocolo punto a punto (PPP). ! Preferencias de registro de sucesos.

El asistente también solicita información acerca de la configuración de los dispositivos específicos que están instalados en el servidor. Puede configurar estos dispositivos de manera individual o como grupo.

Una vez se haya completado el asistente, puede cambiar la configuración de los dispositivos si abre el cuadro de diálogo Propiedades de puertos para el servidor correspondiente.

Requisitos de configuración

Nota

Nota


Qué es un cliente de acceso a la red


La administración de una red informática requiere que los administradores pongan los recursos de red a disposición de los usuarios que no están conectados directamente a la LAN. Estos usuarios pueden ser empleados, contratistas, socios, proveedores o clientes, y pueden necesitar un acceso a la red a través de marcado, Internet o conexiones inalámbricas. Como administrador de sistemas, su responsabilidad es configurar un acceso seguro para los usuarios que tengan permiso para conectarse a la red y denegar el acceso a aquellos usuarios que no cuenten con dicho permiso. Por lo tanto, debe saber cómo configurar y proteger el servidor de acceso a la red para los siguientes métodos de acceso:

! Red privada virtual ! Acceso remoto mediante acceso telefónico ! Acceso inalámbrico

Un cliente VPN se conecta a una red a través de una red compartida o pública, como Internet, de manera que simula un vínculo punto a punto en una red privada.

Un cliente de acceso telefónico se conecta a una red mediante una red de comunicaciones, como la Red telefónica pública conmutada (PSTN, Public Switched Telephone Network), para crear una conexión física a un puerto en un servidor de acceso remoto en una red privada. Esta conexión puede efectuarse con diferentes tecnologías, como puede ser un módem, un adaptador de Red digital de servicios integrados (RDSI, Integrated Services Digital Network) o un adaptador de Línea de suscriptor digital (DSL, Digital Subscriber Line) para marcar al servidor de acceso remoto.

Un cliente inalámbrico se conecta a una red con tecnologías de infrarrojos o de radiofrecuencia optimizadas para conexiones de corto alcance. Entre los dispositivos que suelen utilizarse para el acceso inalámbrico a red se incluyen los equipos portátiles, los equipos de bolsillo, los asistentes personales digitales (PDA, Personal Digital Assistant), los teléfonos móviles, los equipos basados en lápiz y los localizadores, o �buscas�.

Introducción

Cliente VPN

Cliente de acceso telefónico

Cliente inalámbrico


Qué son la autenticación y la autorización de acceso a la red


Al permitir un mayor acceso a la red, las organizaciones necesitan garantizar un nivel de seguridad suficiente para protegerse de los accesos no autorizados y del uso de los activos internos.

En las conexiones VPN, de acceso telefónico e inalámbricas, Microsoft® Windows Server� 2003 implementa la autenticación en dos procesos: inicio de sesión interactivo y autorización de la red. Ambos deben completarse correctamente para que un usuario pueda tener acceso a los recursos de la red.

La distinción entre autenticación y autorización es importante para comprender de qué modo se aceptan o rechazan los intentos de conexión.

! La autenticación es la validación de las credenciales durante un intento de conexión. Este proceso de inicio de sesión consiste en enviar las credenciales desde el cliente de acceso a la red (por ejemplo, un nombre y contraseña) al servidor de acceso a la red ya sea en texto sin formato o de forma cifrada con un protocolo de autenticación. La identificación del usuario se reenvía posteriormente a una cuenta de dominio para confirmarse.

! La autorización consiste en la comprobación de que el intento de conexión se ha permitido. Una vez autenticado el cliente remoto, se permite o rechaza el acceso de acuerdo con las credenciales de la cuenta y las directivas de acceso remoto. La autorización solamente puede producirse tras un intento de inicio de sesión correcto. Si el inicio de sesión falla, se rechaza el acceso del usuario.

La autenticación de acceso a la red protege dicho acceso

Diferencia entre autenticación y autorización


Para que un intento de conexión se acepte, debe autenticarse y autorizarse. Es posible que el intento de conexión se autentique con credenciales válidas, pero que no se autorice. Cuando la autenticación se supera pero la autorización falla, el intento de conexión se rechaza.

Si el servidor de acceso a la red se configura como el proveedor de autenticación de Windows, Windows Server 2003 realiza la autenticación de las credenciales del usuario. Las propiedades de acceso telefónico de la cuenta de usuario y las directivas de acceso remoto almacenadas localmente permiten la autorización del intento de conexión. Un intento de conexión se acepta si se autentica y se autoriza.

Aceptación o rechazo de un intento de conexión


Métodos de autenticación disponibles


La autenticación de clientes de acceso remoto es un aspecto de seguridad importante. Generalmente, los métodos de autenticación emplean un protocolo de autenticación que se negocia durante el proceso de establecimiento de la conexión. La familia de Windows Server 2003 admite los siguiente métodos de autenticación.

Método de autenticación Descripción Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol)

• Diversos proveedores de servidores y clientes de acceso a la red emplean CHAP

• El Servicio de enrutamiento y acceso remoto admite CHAP

Protocolo de autenticación de contraseña (PAP, Password Authentication Protocol)

• Emplea contraseñas de texto sin formato y es el protocolo de autenticación menos sofisticado

Protocolo de autenticación de contraseña Shiva (SPAP, Shiva Password Authentication Protocol)

• Protocolo simple de autenticación de contraseñas cifradas

• Los servidores de acceso remoto Shiva admiten SPAP

Protocolo de autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol)

• Los clientes de Microsoft Windows 95 emplean MS-CHAP

• Admite solamente clientes de Microsoft

Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2)

• Realiza una autenticación mutua

• Microsoft Windows 2000 y los sistemas operativos posteriores instalan MS-CHAP v2 de manera predeterminada como protocolo de autenticación de acceso remoto

Métodos de autenticación


(continuación) Método de autenticación Descripción Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS, Extensible Authentication Protocol-Transport Layer Security)

• Realiza una autenticación mutua

• Requiere una infraestructura de certificados de tarjeta inteligente

• Proporciona el nivel más elevado de seguridad de autenticación

Protocolo de autenticación extensible protegida (PEAP, Protected Extensible Authentication Protocol)

• Utilizado con redes 802.1x para proteger las redes cableadas y las inalámbricas

• Se permite el acceso en función de la identidad del usuario

• Aumenta la seguridad del cifrado en redes inalámbricas

Desafío MD-5 • Permite la autorización EAP mediante combinaciones de nombre y contraseña estándar

El Protocolo de autenticación extensible (EAP) ofrece un marco que permite la autenticación personalizada a los servidores de acceso remoto. El método de autenticación específico se negocia entre el cliente y el servidor de acceso remoto. Tanto el cliente de acceso remoto como el autenticador deben tener instalado el mismo módulo de autenticación EAP.

Los proveedores independientes pueden emplear las interfaces de programación de aplicaciones (API) de EAP para crear nuevos tipos de EAP que podrían incluir tecnologías como tarjetas testigo o biométrica.

El uso de certificados y tarjetas inteligentes para la autenticación de usuarios es la forma más segura de autenticación remota en la familia de Windows Server 2003. Las tarjetas inteligentes son un método versátil y a prueba de alteraciones para proporcionar soluciones de seguridad para tareas, como el inicio de sesión en un dominio de la familia de Microsoft Windows Server 2003, la conexión a un servidor de acceso remoto y la protección del correo electrónico. El uso de certificados de tarjeta inteligente para la autenticación de usuarios requiere una infraestructura de clave pública (PKI).

La compatibilidad con tarjetas inteligentes criptográficas es una característica clave de la PKI que Microsoft ha integrado en Microsoft Windows XP y la familia de Windows Server 2003. Para obtener más información acerca de PKI, consulte el módulo 5, �Using a PKI to Secure Information�, del curso 2810, Fundamentals of Network Security.

Para utilizar tarjetas inteligentes en la autenticación del acceso remoto, deberá hacer lo siguiente:

! Configurar el acceso remoto en el servidor de acceso remoto. ! Instalar un certificado de equipo en el equipo servidor para el acceso remoto. ! Configurar la tarjeta inteligente u otro tipo de EAP de certificado (TLS) en

las directivas de acceso remoto. ! Habilitar la autenticación mediante tarjeta inteligente en la conexión VPN o

de acceso telefónico en el cliente de acceso remoto.

Autenticación EAP

Método de autenticación recomendado

Nota


Lección: Configurar una conexión VPN


Esta lección le permite adquirir las técnicas y conocimientos que necesita para configurar correctamente una conexión VPN.


! Describir cómo funciona una conexión VPN. ! Describir los componentes de una conexión VPN. ! Explicar qué tipos de protocolos de cifrado se utilizan para las

conexiones VPN. ! Identificar los requisitos de configuración para un servidor VPN. ! Configurar un servidor de acceso remoto para usar una conexión VPN. ! Configurar un cliente de acceso remoto para usar una conexión VPN. ! Configurar la autenticación mediante tarjeta inteligente para el acceso

a la red. ! Configurar una conexión VPN.

Introducción



Cómo funciona una conexión VPN


El Servicio de enrutamiento y acceso remoto proporciona servicios VPN para que los usuarios puedan tener acceso a las redes corporativas de una manera segura al cifrar los datos transmitidos a través de una red de transporte no segura, como Internet.

Una conexión VPN amplía las capacidades de una red privada para abarcar vínculos a través de redes compartidas o públicas, como Internet. Con una VPN puede enviar datos cifrados entre dos equipos a través de una red compartida o pública simulando un vínculo punto a punto en una red privada.

Para simular un vínculo punto a punto, los datos se encapsulan, o empaquetan, con un encabezado que ofrece información de enrutamiento y que les permite atravesar la red compartida o pública para alcanzar su punto final. Para simular un vínculo privado, los datos se cifran con el fin de garantizar la confidencialidad. Los paquetes que se interceptan en la red compartida o pública no pueden leerse sin las claves de cifrado. El vínculo donde se encapsulan y se cifran los datos privados es una conexión VPN. La conexión VPN también se conoce como túnel VPN.

El proceso de una conexión VPN se describe en los siguientes pasos:

1. Un cliente VPN realiza una conexión VPN a un servidor de acceso remoto o servidor VPN que está conectado a Internet. (El servidor VPN actúa como puerta de enlace y normalmente se configura de modo que proporcione acceso a la red completa a la que está conectado el servidor VPN.)

2. El servidor VPN responde a la llamada virtual. 3. El servidor VPN autentica al autor de la llamada y comprueba su

autorización para conectar. 4. El servidor VPN transfiere datos entre el cliente VPN y la red corporativa.

Introducción

Qué es una VPN

Proceso de conexión VPN


Las VPN permiten a los usuarios o corporaciones conectarse a servidores remotos, sucursales o a otras organizaciones a través de una red pública, a la vez que mantiene comunicaciones seguras. En todos estos casos, la conexión segura se muestra al usuario como una comunicación de red privada, a pesar de que la comunicación se efectúa a través de una red pública. Otras ventajas son:

! Beneficios en los costos. VPN no emplea una línea telefónica y requiere menos hardware (el proveedor de servicios Internet (ISP) se encarga de mantener el hardware de comunicaciones).

! Seguridad mejorada. Los datos confidenciales se ocultan a los usuarios no autorizados, pero resultan accesibles a los autorizados a través de la conexión. El servidor VPN obliga a la autenticación y el cifrado.

! Compatibilidad de protocolos de red. Puede ejecutar remotamente cualquier aplicación que dependa de los protocolos de red más comunes, como Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol).

! Seguridad de las direcciones IP. Dado que la información enviada a través de una VPN se cifra, las direcciones que usted especifica se protegen y el tráfico transmitido a través de Internet solamente tendrá la dirección IP externa visible. No se incurre en costos administrativos por tener que cambiar las direcciones IP para el acceso remoto a través de Internet.

Ventajas de una VPN




Una conexión VPN incluye los siguientes componentes:

! Servidor VPN. Equipo que acepta conexiones VPN de clientes VPN, como un servidor configurado con el Servicio de enrutamiento y acceso remoto.

! Cliente VPN. Equipo que inicia una conexión VPN a un servidor VPN. ! Red de tránsito. La red compartida o pública por la que pasan los datos

encapsulados. ! Conexión o túnel VPN. La parte de la conexión donde los datos se cifran y

se encapsulan. ! Protocolos de túnel. Los protocolos que se utilizan para administrar túneles

y encapsular datos privados, por ejemplo, Protocolo de túnel punto a punto (PPTP, Point-to-Point Tunneling Protocol).

! Datos de túnel. Los datos que suelen enviarse a través de un vínculo punto a punto privado.

! Autenticación. La identidad del cliente y del servidor en una conexión VPN se autentican. Para garantizar que los datos recibidos se originan en el otro extremo de la conexión y que no se han interceptado ni modificado, una VPN también autentica los datos que se han enviado.

! Asignación de servidores de direcciones y nombres. El servidor VPN es el responsable de la asignación de direcciones IP y lo hace con el protocolo predeterminado, Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol), o a partir de un conjunto estático que crea el administrador. El servidor VPN también asigna a los clientes direcciones del servidor de Sistema de nombres de dominio (DNS) y Servicio de nombres Internet de Windows (WINS). Los servidores de nombres asignados son aquellos que proporcionan servicios a la intranet con la que se interconecta el servidor VPN.



Protocolos de cifrado para una conexión VPN


Para proteger la comunicación, la familia de Windows Server 2003 emplea dos tipos de protocolos de túnel (de cifrado):

! Protocolo de túnel punto a punto (PPTP). Emplea los métodos de autenticación PPP de usuario y Cifrado punto a punto de Microsoft (MPPE, Microsoft Point-to-Point Encryption) para el cifrado de datos.

! Protocolo de túnel de capa dos con seguridad del protocolo Internet (L2TP/IPSec). Emplea métodos de autenticación PPP de nivel de usuario a través de una conexión que se cifra con IPSec. IPSec requiere una autenticación de host mediante el uso del protocolo Kerberos, el secreto compartido o los certificados de equipo.

Se recomienda emplear L2TP/IPSec con certificados para proteger la autenticación VPN.

Si se utiliza la autenticación y el cifrado de la Seguridad del protocolo Internet (IPSec), la transferencia de datos a través de una VPN habilitada para usar L2TP es tan segura como dentro de una LAN única en una red corporativa.

El cliente VPN y el servidor VPN deben admitir tanto L2TP como IPSec. La compatibilidad del cliente con L2TP se integra en el cliente de acceso remoto de Windows XP mientras que la del servidor VPN se integra en la familia de Windows Server 2003.

La compatibilidad del servidor L2TP se instala a la vez que el Servicio de enrutamiento y acceso remoto. Dependiendo de sus elecciones cuando ejecuta el Asistente para la instalación del servidor de enrutamiento y acceso remoto, L2TP se configura para 5 ó 128 puertos L2TP.

Protocolos de túnel



Dos escenarios habituales en los que se utiliza L2TP/IPSec son:

! Protección de comunicaciones entre clientes de acceso remoto y la red corporativa a través de Internet.

! Protección de comunicaciones entre sucursales.

Para obtener una comparativa entre el uso de PPTP y de L2TP/IPSec, así como otra información acerca de VPN, consulte el documento técnico Virtual Private Networking in Windows 2000: An Overview (Redes privadas virtuales en Windows 2000: información general), en el disco compacto Material del alumno.

Ejemplos de un servidor de acceso remoto con L2TP/IPSec

Lectura complementaria


Requisitos de configuración para un servidor VPN


Para poder configurar una conexión VPN, deberá habilitar el Servicio de enrutamiento y acceso remoto. Al habilitarlo, se inicia el Asistente para la instalación del servidor de enrutamiento y acceso remoto con el que podrá configurar el servidor VPN. Si el Servicio de enrutamiento y acceso remoto se habilitó anteriormente, puede configurar el acceso a la red VPN en las propiedades del servidor de acceso remoto.

En la tabla siguiente se enumera la información que necesita conocer para configurar un servidor de acceso remoto o VPN.

Antes de agregar una función de servidor VPN Comentarios Identifique la interfaz de red que se conecta a Internet y la que se conecta a la red privada.

Durante la configuración se le solicitará que elija el tipo de interfaz de red que se conecta a Internet. Si especifica la interfaz incorrecta, el servidor de acceso remoto o VPN no funcionará correctamente.

Indique si los clientes remotos recibirán direcciones IP de un servidor DHCP de la red privada o del servidor VPN que está configurando.

Si cuenta con un servidor DHCP en la red privada, el servidor VPN puede conceder 10 direcciones simultáneamente desde el servidor DHCP y asignarlas a clientes remotos. Si no dispone del servidor DHCP, el servidor VPN puede generar y asignar automáticamente direcciones IP a los clientes remotos. Si desea que el servidor de acceso remoto o VPN asigne las direcciones IP de un intervalo que usted determine, deberá indicar dicho intervalo.

Indique si desea que las solicitudes de conexión de los clientes VPN se autentiquen mediante un servidor RADIUS o mediante el servidor VPN que está configurando.

Agregar un servidor RADIUS resulta útil si piensa instalar varios servidores VPN, puntos de acceso inalámbricos u otros clientes RADIUS a la red privada. La incorporación de un servidor RADIUS se describe con mayor detalle en las siguientes lecciones de este módulo.

Introducción



Cómo configurar un servidor de acceso remoto para usar una conexión VPN


Si desea configurar un servidor VPN, primero deberá agregar la función de servidor de acceso remoto o servidor VPN. Debe ser miembro del grupo Administradores en el equipo local para agregar una función de servidor.

Una vez haya agregado la función de servidor VPN, puede usar el Asistente para configurar su servidor, que le ayudará a configurar el servidor para usar una conexión VPN. En Administre su servidor, haga clic en Agregar o quitar función y, a continuación, seleccione la función Servidor de acceso remoto/VPN.

Para realizar este procedimiento, debe ser miembro del grupo Administradores en el equipo local. Cómo práctica de seguridad recomendada, considere la opción de utilizar el comando Ejecutar como en lugar de iniciar la sesión con credenciales administrativas. Si ha iniciado una sesión con credenciales administrativas, también puede abrir Enrutamiento y acceso remoto si hace clic en Inicio y Panel de control, hace doble clic en Herramientas administrativas y, a continuación, hace doble clic en Enrutamiento y acceso remoto.

Un administrador de dominio debe agregar la cuenta de equipo del servidor apropiado al grupo de seguridad Servidores RAS e IAS en el dominio del que ese servidor sea miembro. El administrador de dominio puede agregar la cuenta del equipo al grupo de seguridad Servidores RAS e IAS mediante Usuarios y equipos de Active Directory o con el comando netsh ras add registeredserver.

Por ejemplo, para registrar el servidor de acceso remoto Vancouver en el dominio nwtraders, en el símbolo del sistema escriba netsh ras add registeredserver nwtraders Vancouver.

Introducción

Nota

Directrices para registrar el servidor de acceso remoto en Active Directory


Para registrar un servidor de acceso remoto en Active Directory:

1. Inicie la sesión con una cuenta de usuario que tenga permisos para registrar un servidor de acceso remoto en Active Directory.

2. En el símbolo del sistema, escriba lo siguiente: netsh ras add registeredserver NombreDeDominio NombreDeEquipo (donde NombreDeDominio es el nombre del dominio donde está registrando el servidor de acceso remoto y NombreDeEquipo corresponde al servidor de acceso remoto).

Para configurar un servidor de acceso remoto con el fin de usar una conexión VPN:

1. Inicie una sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y, después, en Panel de control. 3. En Panel de control, abra Herramientas administrativas y, a continuación,

haga clic con el botón secundario del mouse (ratón) en Administre su servidor y seleccione Ejecutar como.

4. En el cuadro de diálogo Ejecutar como, seleccione la opción El siguiente usuario y, a continuación, escriba una cuenta de usuario y contraseña que posea los permisos apropiados para completar la tarea, y haga clic en Aceptar.

5. En la ventana Administre su servidor, haga clic en Agregar o quitar función para tener acceso al Asistente para configurar su servidor.

6. En la página Pasos preliminares, haga clic en Siguiente. 7. En la página Función del servidor, haga clic en Servidor de acceso

remoto/VPN y, a continuación, haga clic en Siguiente. 8. En la página Resumen de las selecciones, haga clic en Siguiente. 9. En la página Éste es el Asistente para instalación del servidor de

enrutamiento y acceso remoto, haga clic en Siguiente. 10. En la página Configuración, seleccione Acceso remoto (acceso telefónico

o red privada virtual) y, a continuación, haga clic en Siguiente. 11. En la página Acceso remoto, compruebe que la opción VPN está

seleccionada y haga clic en Siguiente. 12. En la página Conexión VPN, haga clic en la interfaz de red que conecta

el equipo a Internet. La interfaz de red que elija podrá configurarse para recibir conexiones de los clientes VPN. Las interfaces que no elija se configurarán como una conexión a la red privada.

13. En la página Asignación de direcciones IP, seleccione la opción Automáticamente o De un intervalo de direcciones especificado. La opción seleccionada de manera predeterminada es Automáticamente. Esta selección configura el servidor para generar y asignar direcciones IP a clientes remotos. Haga clic en Siguiente.

14. En la página Administrar servidores de acceso remoto múltiples, la opción No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de conexión se selecciona automáticamente. No cambie la selección. Esta selección configura el servidor para autenticar las solicitudes de conexión localmente mediante la autenticación de Windows, la administración de cuentas de Windows y las directivas de acceso remoto almacenadas localmente. Haga clic en Siguiente.

Procedimiento para registrar un servidor de acceso remoto en Active Directory

Procedimiento de configuración de un servidor de acceso remoto para usar una conexión VPN


15. En la página Finalización del Asistente para instalación del servidor de enrutamiento y acceso remoto, revise la información del resumen. Compruebe lo siguiente:

• Los clientes VPN se conectan a la interfaz pública correcta.

• Se asignan direcciones IP a los clientes VPN para la interfaz de red correcta.

• Las conexiones de clientes se aceptan y se autentican empleando directivas de acceso remoto para este servidor VPN.

16. Si hay información de resumen incorrecta, haga clic en Atrás y cámbiela. Si la información de resumen es correcta, haga clic en Finalizar.

17. Aparece un cuadro de mensaje de Enrutamiento y acceso remoto con el texto �Windows no ha podido agregar este equipo a la lista de servidores de acceso remoto válidos en Active Directory. Para que pueda usar este equipo como servidor de acceso remoto, el administrador de dominio debe terminar esta tarea.�. Haga clic en Aceptar.

18. Aparece un cuadro de mensaje de Enrutamiento y acceso remoto con el texto �Para que el relevo de mensajes DHCP desde un cliente de acceso remoto sea compatible, configure las propiedades del Agente de retransmisión DHCP con las direcciones IP de su servidor DHCP�. Haga clic en Aceptar.

19. El Servicio de enrutamiento y acceso remoto se iniciará automáticamente y volverá a aparecer el Asistente para configurar su servidor. En la página Este servidor es ahora un servidor VPN de acceso remoto, haga clic en Finalizar.

Debe comprobar que haya bastantes puertos configurados para permitir suficientes conexiones simultáneas al servidor.

Para configurar el número de puertos disponibles en el servidor:

1. Abra la consola de Enrutamiento y acceso remoto. 2. En la consola de Enrutamiento y acceso remoto, expanda NombreDeEquipo,

haga clic en Puertos y, a continuación, en el menú Acción, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades de Puertos, seleccione el puerto apropiado y haga clic en Configurar.

4. En el cuadro de diálogo Configurar dispositivo � NombreDeDispositivo, escriba el número máximo de puertos en el campo Número máximo de puertos.

5. Haga clic en Aceptar para cerrar el cuadro de diálogo Configurar dispositivo � NombreDeDispositivo y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Puertos.

Nota

Procedimiento para configurar el número de puertos disponibles en el servidor


Cómo configurar un cliente de acceso remoto para usar una conexión VPN


Puede utilizar Conexiones de red al configurar un cliente para usar una conexión VPN. Una vez haya creado una conexión nueva, puede copiarla a la carpeta Conexiones de red, cambiar el nombre de la conexión y modificar la configuración. Copiar la nueva conexión a la carpeta Conexiones de red es un modo rápido de crear conexiones diferentes que se adapten a diversos módems, ISP, perfiles de marcado, etcétera.


Introducción

Nota


Para configurar un cliente de acceso remoto para usar una conexión VPN:

1. Haga clic en Inicio y, después, en Panel de control. 2. En el Panel de control, haga clic en Conexiones de red. 3. En Conexiones de red, haga doble clic en Asistente para conexión nueva. 4. En la página Éste es el Asistente para conexión nueva, haga clic

en Siguiente. 5. En la página Tipo de conexión de red, seleccione Conectarse a la red

de mi lugar de trabajo y, a continuación, haga clic en Siguiente. 6. En la página Conexión de red, seleccione Conexión de red privada

virtual y, a continuación, haga clic en Siguiente. 7. En la página Nombre de la conexión, escriba el nombre correspondiente a

la conexión (generalmente se utiliza el nombre de la organización) y haga clic en Siguiente.

8. En la página Selección del servidor VPN, escriba el nombre de host (por ejemplo, Microsoft.com) o la dirección IP del servidor VPN al que se va a conectar y, a continuación, haga clic en Siguiente.

9. En la página Disponibilidad de la conexión, si tiene permisos administrativos en el equipo local, puede seleccionar El uso de cualquier persona o Sólo para mi uso. Si ha iniciado una sesión con una cuenta no administrativa, entonces solamente puede seleccionar la opción Sólo para mi uso. Haga clic en Siguiente.

10. En la página Finalización del Asistente para conexión nueva, haga clic en Finalizar.

Procedimiento


Cómo configurar la autenticación mediante tarjeta inteligente en un servidor de acceso remoto


El uso de tarjetas inteligentes para la autenticación de usuarios es la forma más segura de autenticación en la familia de Windows Server 2003. Para las conexiones de acceso remoto, debe utilizar EAP con tarjeta inteligente u otro tipo de EAP de certificado (TLS), también conocido como EAP-TLS.

Para configurar la autenticación mediante tarjeta inteligente en un servidor de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto. 2. Haga clic con el botón secundario del mouse en el nombre del servidor

de acceso remoto y, a continuación, haga clic en Propiedades. 3. En la ficha Seguridad, haga clic en Métodos de autenticación. 4. En el cuadro de diálogo Métodos de autenticación, compruebe que la

casilla de verificación Protocolo de autenticación extensible (EAP) está activada y, a continuación, haga clic en Aceptar dos veces.

5. Expanda el servidor de acceso remoto y, a continuación, haga clic en Directivas de acceso remoto.

6. En el panel de detalles, haga clic con el botón secundario del mouse en la directiva de acceso remoto que emplearán los clientes de acceso remoto con tarjetas inteligentes, haga clic en Propiedades y, a continuación, haga clic en Editar perfil.

Introducción

Procedimiento


7. En la ficha Autenticación, haga clic en Métodos EAP. 8. En el panel Seleccionar proveedores de EAP, si el tipo de EAP necesario

no aparece, haga clic en Agregar. 9. En el cuadro de diálogo Agregar EAP, haga clic en Tarjeta inteligente u

otro certificado o haga clic en EAP protegido (PEAP) y, después, en Aceptar.

10. Si el método de EAP con tarjeta inteligente que ha agregado requiere un certificado, seleccione el método, haga clic en Modificar, seleccione un certificado y haga clic en Aceptar.

11. Haga clic en Aceptar para guardar la configuración del perfil y, a continuación, haga clic en Aceptar de nuevo para guardar la configuración de la directiva.


Ejercicio: Configurar una conexión VPN


En este ejercicio, va a configurar una conexión VPN.



Como el servidor ya está configurado como enrutador de Enrutamiento y acceso remoto, no necesitará utilizar el Asistente para enrutamiento y acceso remoto para configurarlo como servidor VPN. Deberá configurar el servidor de manera que admita las conexiones VPN mediante el Servicio de enrutamiento y acceso remoto instalado anteriormente. Al configurar el servidor como un enrutador LAN y un servidor de acceso remoto, puede habilitar conexiones de clientes VPN además de enrutar dichos clientes a la red.

Algunos ingenieros de pruebas del departamento de laboratorio desean trabajar de manera remota desde su domicilio. Allí disponen de conexión a Internet. El ingeniero de sistemas ha decidido admitir la solicitud de estos usuarios remotos y le ha pedido a usted que configure un servidor de acceso remoto para poder usar VPN. También tendrá que configurar un equipo cliente con conectividad VPN de modo que pueda comprobar el acceso remoto a la red.

Objetivo

Instrucciones

Importante



! Configurar un servidor de acceso remoto para usar una conexión VPN

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Función del servidor: Servidor de acceso remoto/VPN ! Configuración: Acceso remoto (acceso telefónico o red privada virtual) ! Acceso remoto: VPN ! Interfaz de conexión VPN: Conexión de red del asociado ! Asignación de dirección IP: De un intervalo de direcciones especificado ! Asignación de intervalo de direcciones: 10.x.0.10 (donde x es su número de

identificación de alumno) ! Número de direcciones: 5 ! Administrar servidores de acceso remoto múltiples: No, usar Enrutamiento

y acceso remoto para autenticar las solicitudes de conexión

! Registrar el servidor de acceso remoto en Active Directory

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: nwtraders\Administrador ! Contraseña: P@ssw0rd ! Herramienta administrativa: netsh

! Configurar un cliente de acceso remoto con conectividad VPN

! Complete esta tarea desde los equipos de ambos alumnos. ! Tipo de conexión de red: Conectarse a la red de mi lugar de trabajo ! Conexión de red: Conexión de red privada virtual ! Nombre de conexión: VPN NombreDeEquipo (donde NombreDeEquipo

es el nombre del equipo de su compañero) ! Selección del servidor VPN: La dirección IP de la interfaz Conexión de red

del asociado del equipo de su compañero ! Acceso directo en el escritorio: Sí ! En el cuadro de diálogo Conectarse a VPN NombreDeEquipo, haga clic

en Cancelar.

Debe completar los ejercicios restantes para poderse conectar al servidor VPN.

Ejercicio

Nota


Lección: Configurar una conexión de acceso telefónico


Esta lección le permite adquirir las técnicas y conocimientos que necesita para configurar correctamente una conexión de acceso telefónico.


! Describir cómo funciona el acceso a la red de acceso telefónico. ! Describir los componentes de una conexión de acceso telefónico. ! Explicar qué tipos de métodos de autenticación se utilizan en una conexión

de acceso telefónico. ! Identificar los requisitos de configuración para un servidor de acceso remoto. ! Configurar un servidor de acceso remoto para usar una conexión de acceso

telefónico. ! Configurar un cliente de acceso remoto para usar una conexión de acceso

telefónico.

Introducción



Cómo funciona el acceso a la red de acceso telefónico


Puede utilizar un servidor que tenga configurado el Servicio de enrutamiento y acceso remoto para proporcionar acceso telefónico a la intranet corporativa.

Se denomina acceso telefónico a redes al proceso por el que un cliente de acceso remoto que efectúa una conexión de acceso telefónico temporal a un puerto físico en un servidor de acceso remoto mediante el servicio de un proveedor de telecomunicaciones, como un teléfono analógico, Red digital de servicios integrados (RDSI o ISDN) o X.25.

El acceso telefónico a redes a través de un teléfono analógico o RDSI es una conexión física directa entre el cliente y el servidor de acceso telefónico a la red. Puede cifrar los datos que se envían durante la conexión, aunque no es necesario.

El proceso de acceso telefónico a una red se describe en los siguientes pasos:

1. Un cliente marca al servidor de acceso remoto. 2. El equipo de acceso telefónico que está instalado en el servidor de acceso

remoto responde a las solicitudes de conexión entrantes de los clientes de acceso telefónico a la red.

3. El servidor de acceso remoto autentica y autoriza al autor de la llamada. 4. El servidor de acceso remoto transfiere los datos entre el cliente de acceso

telefónico a redes y la intranet de la organización. (El servidor de acceso remoto actúa como puerta de enlace y proporciona acceso a toda la red a la que está conectado el servidor de acceso remoto.)

Introducción

Qué es el acceso telefónico a redes

El proceso de acceso telefónico


Para el acceso telefónico a la red se precisa un equipo determinado. Por ejemplo, para permitir la conexión simultánea de varios clientes de acceso telefónico, puede instalar un banco de módems configurados con las conexiones apropiadas al proveedor de telecomunicaciones local. También necesitará un adaptador de varios puertos de módem que deberá instalar en el servidor que ejecute Enrutamiento y acceso remoto y que permitirá la conexión al banco de módems.

El adaptador del banco de módems incorpora controladores que se instalan en el servidor que ejecuta el Servicio de enrutamiento y acceso remoto, de manera que el banco de módems se muestre como un dispositivo con varios puertos de módem.

Diversos proveedores ofrecen también una tarjeta única con múltiples módems. Debe comprobar si el hardware se encuentra en la Lista de compatibilidad de hardware de Microsoft Windows en el sitio Web de Microsoft (http://www.microsoft.com/).

Hardware necesario para las conexiones de acceso telefónico




Una conexión de acceso telefónico incluye los siguientes componentes:

! Servidor de acceso remoto. Equipo que acepta conexiones de acceso telefónico de clientes de acceso telefónico, como un servidor configurado con el Servicio de enrutamiento y acceso remoto. Cliente de acceso telefónico. Equipo que inicia una conexión de acceso telefónico a un servidor de acceso telefónico.

! Protocolos de LAN y de acceso remoto. Los programas de aplicaciones emplean protocolos de LAN para transportar la información. Los protocolos de acceso remoto se utilizan para negociar conexiones y proporcionar un marco para los datos del protocolo de LAN que se envían a través de vínculos de red de área extensa (WAN, Wide Area Network).

! Opciones WAN. Los clientes pueden marcar a la red con líneas de teléfono estándar y un módem o conjunto de módems. Existe la posibilidad de establecer vínculos más rápidos mediante RDSI. También puede conectar clientes de acceso remoto a servidores de acceso remoto con X.25 o con el modo de transferencia asincrónico (ATM, Asynchronous Transfer Mode). Las conexiones directas también se admiten a través de un cable de módem de conexión directa RS-232C, una conexión de puerto paralelo o una conexión por infrarrojos.

! Autenticación. La identidad del cliente y del servidor en una conexión de acceso telefónico se autentican. El uso de tarjetas inteligentes para la autenticación de usuarios es la forma más segura de autenticación en la familia de Windows Server 2003.

! Asignación de servidores de direcciones y nombres. El servidor de acceso remoto se encarga de asignar direcciones IP, para lo que usa el método predeterminado, DHCP. El servidor de acceso remoto también asigna direcciones de servidor DNS y WINS a los clientes. Los servidores de nombres que asignan las direcciones para los clientes de acceso remoto son los que atienden a la intranet a la que se conecta el servidor de acceso remoto.



Métodos de autenticación para una conexión de acceso telefónico


La familia de Windows Server 2003 admite los siguiente métodos de autenticación para el acceso telefónico a redes:

! CHAP ! PAP ! SPAP ! MS-CHAP ! MS-CHAP v2 ! EAP-TLS ! EAP-Desafío MD5

Para obtener información adicional acerca de estos protocolos de autenticación, consulte el tema Autenticación de acceso a la red en la lección Introducción a una infraestructura de acceso a la red, en este módulo.

La forma más segura de autenticación para las versiones anteriores de Windows es EAP-TLS, un método de autenticación mutuo mediante el que el cliente y el servidor demuestran la validez de sus identidades uno a otro. Durante el proceso de autenticación, el cliente de acceso remoto envía su certificado de usuario y el servidor de acceso remoto envía su certificado de equipo. Si alguno de los dos certificados no se envía o no es válido, la conexión se interrumpe.

Introducción

Nota



El uso de certificados y tarjetas inteligentes con EAP-TLS para la autenticación de usuarios es la forma más segura de autenticación de la familia de Windows Server 2003. Esta técnica requiere una PKI.

La compatibilidad con tarjetas inteligentes criptográficas es una característica clave de la PKI que Microsoft ha integrado en Microsoft Windows XP y la familia de Windows Server 2003. Para obtener más información acerca de PKI, consulte el módulo 5, �Using a PKI to Secure Information�, del curso 2810, Fundamentals of Network Security.

Método de autenticación más seguro para la familia de Windows Server 2003

Nota


Requisitos de configuración para un servidor de acceso remoto


En la tabla siguiente se enumera la información que necesita conocer para configurar un servidor de acceso remoto para usar acceso telefónico.

Antes de agregar una función de servidor de acceso remoto

Comentarios

Indique si los clientes remotos recibirán direcciones IP de un servidor DHCP de la red privada o del servidor de acceso remoto que está configurando.

Si cuenta con un servidor DHCP en la red privada, el servidor VPN puede conceder 10 direcciones simultáneamente desde el servidor DHCP y asignarlas a clientes remotos. Si no dispone del servidor DHCP, el servidor de acceso telefónico puede generar y asignar automáticamente direcciones IP a los clientes remotos. Si desea que el servidor de acceso remoto asigne las direcciones IP de un intervalo que usted determine, deberá indicar dicho intervalo.

Indique si desea que las solicitudes de conexión de los clientes de acceso telefónico se autentiquen mediante un servidor RADIUS o mediante el servidor de acceso remoto que está configurando.

Agregar un servidor RADIUS resulta útil si piensa instalar varios servidores de acceso remoto, puntos de acceso inalámbricos u otros clientes RADIUS a la red privada. La incorporación de un servidor RADIUS se describe con mayor detalle en las siguientes lecciones de este módulo.

Compruebe que todos los usuarios tienen cuentas de usuario configuradas para el acceso telefónico.

Para que los usuarios puedan conectarse a la red, deben tener cuentas de usuario en el servidor de acceso remoto o en Active Directory. Cada cuenta de usuario contiene propiedades que determinan si el usuario puede conectarse.



Cómo configurar un servidor de acceso remoto para usar una conexión de acceso telefónico


Si desea configurar un servidor de acceso remoto para usar acceso telefónico, primero deberá agregar la función de servidor de acceso remoto o servidor VPN. Cuando lo haya hecho, el Asistente para instalación del servidor de enrutamiento y acceso remoto proporciona instrucciones en pantalla que le guiarán a través del proceso de configuración de conexiones de acceso telefónico.


Introducción

Nota


Para configurar el servidor de acceso remoto para usar una conexión de acceso telefónico:

1. Abra Administre su servidor y, a continuación, haga clic en Agregar o quitar función.

2. En la página Pasos preliminares, haga clic en Siguiente. 3. En la página Función del servidor, seleccione Servidor de acceso

remoto/VPN y, a continuación, haga clic en Siguiente. 4. En la página Resumen de las selecciones, haga clic en Siguiente. 5. En la página Éste es el Asistente para instalación del servidor de

enrutamiento y acceso remoto, haga clic en Siguiente. 6. En la página Configuración, seleccione Acceso remoto (acceso telefónico

o red privada virtual) y, a continuación, haga clic en Siguiente. 7. En la página Acceso remoto, haga clic en Acceso telefónico y, a

continuación, haga clic en Siguiente. 8. En la página Selección de red, seleccione la interfaz de red que está

conectada a Internet y, a continuación, haga clic en Siguiente. 9. En la página Asignación de dirección IP, haga clic en Siguiente.

10. En la página Administrar servidores de acceso remoto múltiples, haga clic en Siguiente.

11. En la página Finalización del Asistente para instalación del servidor de enrutamiento y acceso remoto, haga clic en Finalizar.

12. En el cuadro de diálogo Enrutamiento y acceso remoto, haga clic en Aceptar.

13. En la página Este servidor es ahora un servidor de acceso remoto/VPN, haga clic en Finalizar.

Procedimiento


Cómo configurar un cliente de acceso remoto para usar una conexión de acceso telefónico


Puede utilizar Conexiones de red con el fin de configurar un cliente para usar una conexión de acceso telefónico. Posteriormente puede cambiar esta conexión modificando las opciones de configuración. Las opciones de acceso telefónico, como el número de teléfono de la conexión, el número de intentos de marcado, etcétera, se definen para cada conexión. Estas opciones relativas a la situación anterior y posterior a la conexión no modifican ni afectan a las opciones de configuración de otras conexiones.


Introducción

Nota


Para configurar un cliente de acceso remoto con una conexión de acceso telefónico:

1. Haga clic en Inicio y, después, haga clic en Panel de control. 2. En Panel de control, haga clic en Conexiones de red. 3. En Conexiones de red, haga doble clic en Asistente para conexión nueva. 4. En la página Éste es el Asistente para conexión nueva, haga clic

en Siguiente. 5. En la página Tipo de conexión de red, seleccione Conectarse a la red de

mi lugar de trabajo y, a continuación, haga clic en Siguiente. 6. En la página Conexión de red, seleccione Conexión de acceso telefónico

y, a continuación, haga clic en Siguiente. 7. En la página Nombre de la conexión, escriba el nombre de la conexión

(generalmente se utiliza el nombre de la organización) y haga clic en Siguiente.

8. En la página Número de teléfono que desea marcar, escriba el número de la conexión y haga clic en Siguiente.

9. En la página Disponibilidad de conexión, seleccione El uso de cualquier persona o Sólo para mi uso y, a continuación, haga clic en Siguiente.

10. En la página Finalización del Asistente para conexión nueva, haga clic en Finalizar.

Para modificar la configuración de una conexión de acceso telefónico:

1. Abra Conexiones de red. 2. Haga clic con el botón secundario del mouse en la conexión de acceso

telefónico que desee modificar y, a continuación, haga clic en Propiedades. 3. Efectúe las modificaciones oportunas en cualquiera de las siguientes fichas:

• General. Cambie los dispositivos de marcado, números de teléfono, dirección de host, códigos de país o región, o reglas de marcado.

• Opciones. Cambie las opciones de marcar y de volver a marcar, la configuración multivínculo o los parámetros de X.25.

• Seguridad. Cambie la autenticación de la identidad, el cifrado de datos, la ventana de terminal y las opciones de secuencia de comandos.

• Funciones de red. Cambie las configuraciones para el servidor de acceso remoto y los protocolos que se utilizan para esta conexión.

Procedimiento de configuración de un cliente para usar una conexión de acceso telefónico

Procedimiento para modificar una conexión de acceso telefónico


Lección: Configurar una conexión inalámbrica


Antes de implementar conexiones de LAN inalámbricas en una organización, resulta de utilidad conocer los componentes de una LAN inalámbrica segura y de qué modo funcionan conjuntamente para proporcionar un acceso inalámbrico a la red.


! Explicar en qué consiste el acceso a la red inalámbrica. ! Describir los componentes que se utilizan para el acceso a la red inalámbrica. ! Explicar cuáles son los estándares inalámbricos. ! Explicar qué tipos de métodos de autenticación se utilizan para una

conexión inalámbrica. ! Definir los requisitos necesarios para configurar un cliente Windows XP

Professional para que tenga acceso a una red inalámbrica. ! Configurar un cliente de acceso a la red para usar una conexión inalámbrica.

Introducción



Descripción general del acceso a una red inalámbrica


Microsoft Windows XP y Windows Server 2003 proporcionan numerosas funciones para la tecnología de redes inalámbricas con el fin de extender las redes corporativas a los dispositivos inalámbricos.

Una red inalámbrica emplea tecnología que permite que dos o más dispositivos se comuniquen a través de protocolos de red estándar y ondas electromagnéticas (sin cableado de red) para transportar las señales a través de parte o de toda la infraestructura de red. Entre los dispositivos que suelen utilizarse para el acceso a una red inalámbrica se incluyen los equipos portátiles, los equipos de bolsillo, los PDA, los teléfonos móviles, los equipos basados en lápiz y los localizadores (o �buscas�).

Puede emplear una LAN inalámbrica (WLAN, Wireless LAN) en oficinas esporádicas u otros espacios donde la instalación de un cableado extensivo sería demasiado costosa o para complementar a una LAN existente de manera que los usuarios puedan trabajar en distintas ubicaciones dentro del edificio en diferentes momentos. Los usuarios móviles pueden emplear teléfonos móviles, PDA, equipos portátiles y otros dispositivos para tener acceso al correo electrónico. Los viajeros con equipos portátiles pueden conectarse a Internet a través de emisoras base instaladas en aeropuertos, estaciones ferroviarias y otros lugares públicos.

Introducción

Qué es una red inalámbrica

Ventajas de una WLAN


Una WLAN funciona de dos modos diferentes, definidos por el estándar IEEE 802.11 del Institute of Electrical and Electronics Engineers (Instituto de ingenieros eléctricos y electrónicos):

! WLAN de infraestructura de punto de acceso. Las emisoras inalámbricas (dispositivos con tarjetas de red de radio o módems externos) se conectan a los puntos de acceso inalámbrico que funcionan como puentes entre las emisoras y la red troncal existente. Por ejemplo, los usuarios de dispositivos inalámbricos dentro de un edificio corporativo o universitario pueden tener acceso a los recursos de la red como si estuvieran conectados a la red del modo tradicional.

! WLAN de igual a igual (ad hoc). En una red de igual a igual, los clientes inalámbricos se comunican directamente entre ellos sin necesidad de cableado. Por ejemplo, varios usuarios de una zona limitada, como una sala de conferencias, pueden formar una red temporal sin necesidad de usar puntos de acceso. Aunque pueden comunicarse y compartir recursos, no pueden tener acceso a los recursos de la red que no forman parte de esa red de igual a igual.

Las WLAN pueden funcionar de dos modos diferentes




Una red LAN inalámbrica está formada por los siguientes componentes:

! Cliente inalámbrico (emisora). Una emisora es un dispositivo informático equipado con un adaptador de red LAN inalámbrica. Un equipo personal que disponga de un adaptador de red LAN inalámbrica se conoce también como cliente inalámbrico. Los clientes inalámbricos pueden comunicarse directamente entre sí o a través de un punto de acceso inalámbrico.

! Punto de acceso inalámbrico. Es un dispositivo de red equipado con un adaptador de red LAN inalámbrica que actúa como puente entre las emisoras y una red con cableado tradicional. Un punto de acceso contiene los siguientes elementos:

• Al menos una interfaz que conecta el punto de acceso a una red cableada existente (como una red troncal Ethernet).

• Un equipo de radio mediante el cual crea conexiones inalámbricas a los clientes inalámbricos.

• Un software de puente que cumpla el estándar IEEE 802.1D, para actuar como un puente transparente entre las redes inalámbricas y las cableadas.

! Puertos. Un puerto es un canal de un dispositivo que puede admitir una sola conexión punto a punto. Un cliente inalámbrico típico con un único adaptador de red LAN inalámbrica posee un único puerto y puede admitir una sola conexión inalámbrica. Un punto de acceso inalámbrico típico posee múltiples puertos y puede admitir varias conexiones inalámbricas simultáneas.



! Autenticación. El Servicio de enrutamiento y acceso remoto proporciona servicios de autenticación como el Servicio de autenticación de Internet (IAS) y métodos de autenticación 802.1x. Windows Server 2003 también ofrece servicios personalizables para emitir y administrar certificados que se utilizan en sistemas de seguridad de software que emplean tecnología de clave pública.

! Asignación de servidores de direcciones y nombres. El Servicio de enrutamiento y acceso remoto admite redes inalámbricas del mismo modo que otros clientes de acceso remoto, como los clientes VPN o de acceso telefónico. El Servicio de enrutamiento y acceso remoto permite la asignación de direcciones IP y directivas de acceso remoto que son exclusivas para los clientes de redes inalámbricas.


Estándares inalámbricos


802.11, también conocido como Wi-Fi, es un conjunto de especificaciones para redes WLAN que ha desarrollado un grupo de trabajo del IEEE. 802.11 define la parte física y de control de acceso al medio (MAC, Media Access Control) de la capa de vínculo de datos en el modelo Interconexión de sistemas abiertos (OSI, Open Systems Interconnection). La capa MAC es la misma para todos los estándares 802.11, pero la implementación física varía.

En las especificaciones IEEE 802.x, MAC es la inferior de dos subcapas que conforman la capa de vínculo de datos de la Organización Internacional de Normalización/OSI (ISO, International Organization for Standardization). MAC administra el acceso a la red física, delimita las tramas y se ocupa del control de errores.

802.11b admite tasas de bits superiores que la especificación 802.11 original. 802.11b admite dos velocidades adicionales: 5,5 megabits por segundo (Mbps) y 11 Mbps. Presenta un buen alcance, aunque es susceptible a las interferencias de señales de radio. Numerosos proveedores ofrecen dispositivos 802.11b a precios bastante asequibles para el mercado doméstico y de las pequeñas empresas.

802.11a permite velocidades de comunicación más rápidas, hasta 54 Mbps, pero generalmente con un alcance más corto. Esta tecnología de velocidad superior permite que las redes LAN inalámbricas funcionen mejor para las aplicaciones de vídeo y de conferencia. Emplea 12 canales independientes no superpuestos, de manera que funciona bien en zonas muy pobladas y ofrece una mayor resistencia a las interferencias y un rendimiento superior. Utiliza una parte diferente del espectro de radio del que usan 802.11, 802.11b y 802.11g, de manera que no puede funcionar con ellos.

802.11g es una mejora de 802.11b, además de ser compatible con dicho estándar. La actualización de b a g puede efectuarse mediante una actualización de firmware en lugar de requerir la actualización de todo el hardware. Admite velocidades de hasta 54 Mbps, aunque con un menor alcance que 802.11b. Al igual que 802.11b, es susceptible a las interferencias.

Qué es 802.11

Nota

De 802.11 a 802.11g


La extensión 802.1x a 802.11 define un modo de autenticar el acceso al puerto antes de permitir el acceso a la red. Se diseñó para solucionar algunas de las limitaciones de la seguridad con dispositivos inalámbricos de 802.11, pero también puede utilizarse para LAN cableadas. Para la autenticación, 802.1x puede emplear certificados con EAP-TLS, contraseñas con EAP-MS-CHAP v2 o PEAP. PEAP puede configurarse con TLS o con MS-CHAP v2. PEAP-TLS es el mecanismo de autenticación recomendado, ya que proporciona el método de autenticación y de determinación de claves más seguro y robusto. Para utilizar MS-CHAP v2, se requiere un certificado en el servidor de acceso a la red. Si se usa PEAP-TLS, se precisan certificados para el cliente y los servidores de acceso a la red. 802.1x requiere una inversión en hardware e infraestructura.

Para obtener información adicional acerca de cómo ha implementado Microsoft diferentes tecnologías inalámbricas, consulte el documento técnico Microsoft Wireless LAN Deployment and Best Practices (Implementación de LAN inalámbricas de Microsoft y métodos recomendados), que puede estar en inglés, en el sitio Web de Microsoft.

802.1x



Métodos de autenticación para redes inalámbricas


802.1x es un estándar del sector para el acceso autenticado a redes cableadas Ethernet y redes inalámbricas 802.11. 802.1x mejora la seguridad y la implementación al proporcionar funciones para la identificación de usuarios, autenticación, administración de claves dinámicas y de cuentas, todo ello de forma centralizada. Si se conecta a una WLAN 802.11 sin tener habilitada la autenticación 802.1x, los datos que envíe serán más vulnerables a los ataques.

Para la autenticación, el estándar 802.11 define los tipos de autenticación de sistemas abiertos y de clave compartida. Para la confidencialidad de datos, el estándar 802.11 define la Privacidad equivalente al cable (WEP, Wired Equivalent Privacy).

El estándar 802.11 no define ni proporciona un protocolo de administración de claves WEP que ofrezca una determinación y renovación automáticas de las claves de cifrado. Esto constituye una limitación para los servicios de seguridad IEEE 802.11, especialmente para un modo de infraestructura inalámbrica con un número elevado de clientes inalámbricos.

Esta cuestión se soluciona mediante la combinación de un control de acceso a la red basado en puerto IEEE 802.1x y EAP-TLS para redes IEEE 802.11.

Introducción

Métodos de autenticación de 802.1x


802.1x emplea EAP como protocolo de autenticación. EAP permite el intercambio de mensajes y una conversación abierta entre el cliente y el servidor durante el proceso de autenticación para posibilitar la negociación de los protocolos de autenticación. La compatibilidad que ofrece 802.1x para los tipos de EAP le da la posibilidad de elegir entre diversos métodos de autenticación para clientes inalámbricos, incluidos:

! EAP-MS-CHAP v2. Este protocolo permite la autenticación mutua y emplea certificados para la autenticación del servidor y credenciales basadas en contraseña para la autenticación de los clientes.

! EAP-TLS. Permite la autenticación mutua y es el método de autenticación y determinación de claves más seguro y robusto. Emplea certificados para la autenticación tanto de servidores como de clientes.

! EAP protegido (PEAP). PEAP protege todavía más el proceso de autenticación al cifrar los paquetes de negociación de EAP iniciales. PEAP ofrece compatibilidad con EAP-TLS y EAP-MS-CHAP v2.

Si desea utilizar certificados o tarjetas inteligentes para la autenticación de usuarios y equipos cliente, deberá emplear EAP-TLS o, si desea más seguridad, PEAP con EAP-TLS.

Nota


Requisitos de configuración de un cliente Windows XP Professional para tener acceso a una red inalámbrica


El servicio Configuración inalámbrica de la familia de Windows Server 2003 y de Windows XP admite el estándar IEEE 802.11 para redes inalámbricas y reduce la configuración necesaria para el acceso a este tipo de redes.

Este servicio se encuentra habilitado de manera predeterminada, de modo que puede utilizar Windows para configurar las opciones de su red inalámbrica.

Cuando utilice Windows para configurar una red inalámbrica, puede crear una lista de redes inalámbricas preferidas y también puede especificar el orden en que se debe intentar conectar con ellas. Puede elegir entre los siguientes tipos de redes inalámbricas:

! Punto de acceso (infraestructura). Esta opción permite a los usuarios conectarse a diversos puntos de acceso inalámbricos a medida que se desplazan por diferentes plantas de un edificio o edificios distintos de un recinto manteniendo un acceso ininterrumpido a los recursos de red.

! De equipo a equipo (ad hoc). Si los usuarios se encuentran en una reunión con colegas y no necesitan acceso a los recursos de la red, sus dispositivos inalámbricos pueden efectuar conexiones directas a los dispositivos inalámbricos de sus colegas y formar así una red temporal.

! Cualquier red disponible (punto de acceso preferido). En las redes inalámbricas de punto de acceso preferido, siempre se intenta primero una conexión a una red inalámbrica de punto de acceso, en el caso de que haya alguna disponible. Si no la hay, se intenta una conexión a una red inalámbrica de equipo a equipo. Por ejemplo, si emplea un equipo portátil en la oficina en una red inalámbrica de punto de acceso y, posteriormente, se lleva el equipo a casa para utilizarlo en una red doméstica de equipo a equipo, la configuración de red inalámbrica automática cambiará las opciones correspondientes según sea necesario, de manera que pueda conectarse a la red doméstica.

Introducción

Tipos de redes inalámbricas


Para mejorar la seguridad en las redes inalámbricas, en la familia de Windows Server 2003 y en Windows XP Service Pack 1, la autenticación 802.1x solamente es posible para las redes de punto de acceso (infraestructura) que requieran el uso de una clave de red WEP. WEP proporciona confidencialidad al cifrar los datos que se envían a través de los clientes inalámbricos y los puntos de acceso inalámbrico.

Si WEP está habilitado, puede utilizarse una clave de red para cifrar los datos que se envían a través de las redes inalámbricas. La clave de red puede facilitársele automáticamente (por ejemplo, puede encontrarse en el adaptador de red inalámbrico) o puede especificarla usted mismo.

Puede elegir cualquiera de los siguientes métodos de autenticación cuando configure 802.1x para conexiones de red inalámbrica:

! EAP-TLS ! PEAP con EAP-MS-CHAP v2 ! PEAP con EAP-TLS

A la hora de elegir un método de autenticación, debería sopesar el nivel de seguridad frente al trabajo necesario para implementar el método de autenticación seleccionado. Si desea el nivel de seguridad más elevado, elija PEAP con certificados (EAP-TLS). Si busca la implementación más sencilla, elija PEAP con contraseñas (EAP-MS-CHAP v2). Considere las siguientes opciones cuando determine el método de autenticación que utilizar:

! Tanto PEAP con EAP-TLS como EAP-TLS solo proporcionan una seguridad robusta mediante el uso de certificados para la autenticación de servidores y el uso de certificados o tarjetas inteligentes en la autenticación de equipos cliente y usuarios. Pero cuando se emplea PEAP con EAP-TLS, la información de los certificados de cliente se cifra, algo que no ocurre cuando se utiliza solamente EAP-TLS.

! PEAP con EAP-MS-CHAP v2 requiere un trabajo mínimo de implementación. La autenticación de clientes se basa en contraseñas, de manera que no es necesario instalar certificados ni tarjetas inteligentes en los equipos cliente. Dado que PEAP crea un canal cifrado de un extremo a otro antes de que se produzca la autenticación EAP-MS-CHAP v2, el intercambio de autenticación es mucho menos vulnerable a los ataques de diccionario sin conexión, en los que un usuario malintencionado captura el intercambio de CHAP y, a continuación, intenta averiguar la contraseña.

! Además, PEAP admite la reautenticación rápida, también conocida como fast roaming o movilidad rápida. PEAP permite a los usuarios que se desplazan mantener de forma continuada la conectividad a una red inalámbrica mientras se trasladan entre diferentes puntos de acceso inalámbrico en la misma red, siempre y cuando todos ellos estén configurados como clientes del mismo servidor IAS (RADIUS).

Para obtener información adicional acerca de la compatibilidad de Windows Server 2003 para el acceso a la red inalámbrica, consulte el documento Windows XP Wireless Deployment Technology and Component Overview (Descripción general de los componentes y la tecnología de implementación inalámbrica de Windows XP), que puede estar en inglés, en la sección Deployment Articles (Artículos de implementación), en el sitio http://www.microsoft.com/wifi.

Configuración de la seguridad de redes inalámbricas

Configuración WEP

Métodos de autenticación 801.1x

Nivel de seguridad en comparación con el trabajo de implementación



Cómo configurar un cliente de acceso a la red para usar una conexión inalámbrica


Puede utilizar Conexiones de red al configurar un cliente para usar una conexión inalámbrica. En este procedimiento se supone que el equipo ya tiene instalado el hardware para admitir una conexión inalámbrica.


Para configurar un cliente de acceso a la red para usar una conexión de red inalámbrica:

1. Abra Conexiones de red. 2. Haga clic con el botón secundario del mouse en la conexión de red

inalámbrica apropiada, seleccione Propiedades y, continuación, haga clic en la ficha Redes inalámbricas.

Introducción

Nota

Procedimiento


3. Determine si desea agregar una conexión de red inalámbrica nueva o modificar o eliminar una existente, y seleccione la tarea correspondiente en la tabla siguiente.

Tareas Pasos del procedimiento • Agregar una conexión de red

inalámbrica nueva • Active la casilla de verificación Usar

Windows para configurar las opciones de red y haga clic en Agregar.

• Modificar una conexión de red inalámbrica existente

• Active la casilla de verificación Usar Windows para configurar las opciones de red. En Redes preferidas, haga clic en la conexión de red inalámbrica que desee modificar y, a continuación, haga clic en Propiedades.

• Quitar una conexión de red inalámbrica preferida

• En Redes preferidas, haga clic en la conexión de red inalámbrica que desee quitar y, a continuación, haga clic en Quitar.

4. Si va a agregar o modificar una conexión de red inalámbrica, haga clic en la ficha Asociación y, a continuación, configure las opciones del modo deseado.

5. Para configurar la autenticación 802.1x para la conexión de red inalámbrica, haga clic en la ficha Autenticación y, a continuación, configure las opciones según sea necesario.

6. Para conectarse a una red inalámbrica tras configurar las opciones de red, en la ficha Redes inalámbricas, en Redes disponibles, haga clic en el nombre de red, haga clic en Configurar y, a continuación, haga clic en Aceptar.

Si una red no difunde su nombre de red, no aparecerá en Redes disponibles. Para conectar a una red de punto de acceso (infraestructura) que sabe que se encuentra disponible pero que no aparece en Redes disponibles, haga clic en Agregar. En la ficha Asociación, escriba el nombre de la red y, en caso necesario, configure las opciones de red adicionales.

7. Para cambiar el orden en el que se efectúan los intentos de conexión a las redes preferidas, en Redes preferidas, haga clic en la red inalámbrica que desee mover a otra posición en la lista y, a continuación, haga clic en Subir o en Bajar hasta que la red inalámbrica se encuentre en la posición deseada.

8. Para actualizar la lista de redes disponibles que se encuentran dentro del alcance de su equipo, haga clic en Actualizar.

9. Para conectarse automáticamente a las redes disponibles que no aparecen en la lista Redes preferidas, haga clic en Opciones avanzadas y, a continuación, active la casilla de verificación Conectar automáticamente a redes no preferidas.

Importante


Lección: Controlar el acceso de los usuarios a una red


Esta lección le permite adquirir las técnicas y conocimientos que necesita para ofrecer un acceso remoto e inalámbrico a una red de Microsoft Windows Server 2003 mediante el uso de directivas de acceso remoto y perfiles de directiva.


! Explicar en qué consisten los permisos de marcado de cuenta de usuario. ! Configurar cuentas de usuario para el acceso a la red. ! Explicar qué es una directiva de acceso remoto. ! Explicar qué es un perfil de directiva de acceso remoto. ! Describir cuántas directivas de acceso remoto se procesan. ! Configurar una directiva de acceso remoto. ! Modificar un perfil de directiva de acceso remoto. ! Controlar el acceso de los usuarios a una red.

Introducción





En Windows Server 2003, puede definir y crear directivas de acceso remoto para controlar el nivel de acceso remoto que un usuario o grupo de usuarios tiene en la red. Las directivas de acceso remoto son un conjunto de condiciones y opciones de conexión que ofrecen a los administradores de red una mayor flexibilidad a la hora de conceder permisos de acceso remoto y de uso. El Servicio de enrutamiento y acceso remoto e IAS, ambos de Windows Server 2003, emplean directivas de acceso remoto para determinar si se aceptan o rechazan los intentos de conexión.

Para obtener más información acerca de IAS, consulte la lección Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS en este módulo.

Windows Server 2003 evalúa un intento de conexión basándose en las condiciones de las directivas, permisos de cuentas de usuario y de acceso remoto, y opciones de perfil de directiva.

Cómo puede controlar los permisos de acceso remoto y el uso

Nota


Puede definir los permisos de marcado en el cuadro de diálogo Propiedades para un usuario en Active Directory o en la consola Usuarios y grupos locales. Las propiedades de marcado que puede configurar para una cuenta de usuario son las siguientes:

! Permiso de acceso remoto (marcado o red privada virtual). Puede emplear esta propiedad para definir que el permiso de acceso remoto se permita, deniegue o determine explícitamente a través de directivas de acceso remoto. En todos los casos, las directivas de acceso remoto se emplean para autorizar el intento de conexión.

! Comprobar el Id. de quien llama. Al configurar esta opción, está requiriendo que el servidor compruebe el número de teléfono del autor de la llamada. Si no coincide con el número de teléfono que ha configurado, el intento de conexión se deniega.

! Opciones de devolución de llamada. Si esta propiedad se habilita, el servidor devuelve la llamada a su autor durante el proceso de conexión. El número de teléfono que el servidor emplea lo define el autor de la llamada o el administrador de red.

! Asignar una dirección IP estática. Puede emplear esta propiedad para asignar una dirección IP específica a un usuario cuando se efectúa una conexión.

! Aplicar rutas estáticas. Esta opción está diseñada para enrutamientos de marcado a petición. Puede utilizar esta propiedad para definir una serie de rutas IP estáticas que se agregan a la tabla de enrutamiento del servidor que ejecuta el Servicio de enrutamiento y acceso remoto cuando se efectúa una conexión.



Cómo configurar cuentas de usuario para el acceso a la red


Para un servidor basado en Active Directory en un dominio definido en un dominio original de Windows Server 2003, las propiedades de marcado para una cuenta de usuario de Usuarios y equipos de Active Directory se configuran con la opción Controlar acceso a través de la directiva de acceso remoto como valor predeterminado.

Para un servidor basado en Active Directory en un dominio definido en un dominio original de Windows 2000, puede configurar las propiedades de marcado para una cuenta de usuario en Usuarios y equipos de Active Directory.


Para elevar el nivel funcional de dominio:

1. Abra Dominios y confianzas de Active Directory. 2. Haga clic con el botón secundario del mouse en el dominio apropiado y, a

continuación, haga clic en Elevar el nivel funcional de dominio. 3. En el cuadro de diálogo Elevar el nivel funcional del dominio, seleccione

Windows Server 2003 y, a continuación, haga clic Elevar. 4. En el cuadro de advertencia de Elevar el nivel funcional de dominio,

haga clic en Aceptar. 5. En el cuadro de información Elevar el nivel funcional de dominio,

haga clic en Aceptar. 6. Cierre Dominios y confianzas de Active Directory.

Introducción

Nota

Procedimiento para elevar el nivel funcional de dominio


Para configurar las propiedades de marcado para cuentas de usuario en un dominio original de Windows 2000:

1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Users. 3. En el panel de detalles, haga clic con el botón secundario del mouse en un

nombre de usuario y, después, haga clic en Propiedades. 4. Para establecer permisos de acceso remoto:

• En la ficha Marcado, en Permiso de acceso remoto (marcado o red privada virtual), haga clic en Permitir acceso o Negar acceso y, a continuación, haga clic en Aceptar.

5. Para habilitar la comprobación del identificador del autor de la llamada:

• En la ficha Marcado, active la casilla de verificación Comprobar el Id. de quien llama y, a continuación, escriba el número desde donde llama el usuario.

6. Para definir las opciones de devolución de llamada:

• En la ficha Marcado, en Opciones de devolución de llamada, haga clic en la opción de devolución de llamada que desee definir para el usuario.

7. Para asignar una dirección IP estática:

• En la ficha Marcado, active la casilla de verificación Asignar una dirección IP estática y, a continuación, escriba la dirección IP estática para este usuario.

8. Para configurar las rutas estáticas para un usuario de marcado: a. En la ficha Marcado, active la casilla de verificación Aplicar rutas

estáticas. b. En el cuadro de diálogo Rutas estáticas, haga clic en Agregar ruta. c. En Destino, Máscara de red y Métrica, escriba la dirección de red de

destino, la máscara de red y el número de saltos a la red de destino para esa ruta estática y, a continuación, haga clic en Aceptar.

d. Repita los pasos b y c para cada ruta estática que desee configurar para el usuario.

Procedimiento de configuración de propiedades de marcado para cuentas de usuario en un dominio original de Windows 2000


Qué es una directiva de acceso remoto


Las directivas de acceso remoto constituyen un conjunto de reglas ordenado que define de qué modo se autorizan o rechazan las conexiones. Para cada regla, hay una o varias condiciones, una opción de permiso de acceso remoto y un conjunto de opciones de perfil.

Las directivas de acceso remoto se configuran para especificar, de acuerdo con usuarios individuales o pertenecientes a un grupo, los diferentes tipos de restricciones en la conexión. Una directiva de acceso remoto consta de los siguientes tres componentes que operan conjuntamente con Active Directory para ofrecer un acceso seguro a los servidores de acceso remoto:

! Condiciones. Las condiciones de las directivas de acceso remoto son una lista de parámetros, como la hora del día, grupos de usuarios, identificador del autor de la llamada o direcciones IP, que se comparan con los parámetros del cliente que se conecta al servidor. El primer conjunto de condiciones de directiva que se compara con los parámetros de la solicitud de conexión entrante se procesa para obtener el permiso de acceso y la configuración. Si ninguno de los conjuntos de condiciones coincide, el intento de acceso fallará.

! Permiso de acceso remoto. Las conexiones de acceso remoto se permiten de acuerdo con una combinación de las propiedades de marcado de una cuenta de usuario y directivas de acceso remoto. La configuración del permiso en la directiva de acceso remoto funciona con los permisos de marcado del usuario en Active Directory.

! Perfil. Cada directiva incluye un perfil de opciones, como protocolos de autenticación y de cifrado, que se aplican a la conexión. Las opciones del perfil se aplican a la conexión inmediatamente y podrían ocasionar que ésta se deniegue. Por ejemplo, si las opciones del perfil de una conexión especifican que el usuario solamente puede conectarse durante 30 minutos cada vez, transcurrido ese tiempo, se desconectará al usuario del servidor de acceso remoto.

Definición

Componentes de una directiva de acceso remoto


Por ejemplo, una directiva puede conceder acceso a todos los usuarios del Grupo A de las 8:00 a.m. a las 17:00 p.m. No obstante, los permisos para el Usuario X del Grupo A pueden definirse de manera que se le deniegue el acceso en Active Directory, mientras que los permisos para el Usuario Y del Grupo A pueden definirse para permitirle el acceso en Active Directory en cualquier momento. Como resultado, la mayor parte de los usuarios del Grupo A están controlados mediante la configuración de la directiva y solamente pueden obtener acceso desde las 8:00 a.m. a las 17:00 p.m. No obstante, al Usuario X se le deniega el acceso totalmente y al Usuario se le concede acceso las 24 horas.

Ejemplo


Qué es un perfil de directiva de acceso remoto


Un perfil de directiva de acceso remoto es un conjunto de propiedades que se aplican a una conexión cuando se autoriza, ya sea a través de una cuenta de usuario o de opciones de configuración de permisos de directiva.

Una vez autorizada la conexión, el perfil para la directiva de acceso remoto especifica un conjunto de restricciones de conexión. Las propiedades de marcado de la cuenta de usuario también ofrecen un conjunto de restricciones. Cuando corresponda, las restricciones de conexión de una cuenta de usuario reemplazan a las aplicables al perfil de directiva de acceso remoto.

Definición


El perfil de directiva de acceso remoto especifica qué tipo de acceso se le concede al usuario si las condiciones coinciden. Solamente se concede acceso si el intento de conexión no entra en conflicto con las opciones de la cuenta de usuario o el perfil. Puede configurar un perfil en el cuadro de diálogo Modificar el perfil de marcado si hace clic en Editar perfil en el cuadro de diálogo Propiedades para una directiva. En el cuadro de diálogo puede configurar las opciones siguientes:

! Restricciones de marcado. Puede usar estas opciones para determinar el intervalo de tiempo de inactividad antes de la desconexión, la duración máxima de la sesión y los días, horas, números de teléfono y tipos de medio (RDSI, VPN, etcétera) permitidos.

! Propiedades IP. Puede configurar la asignación de direcciones IP de un cliente y el filtro de paquetes del Protocolo de control de transporte/Protocolo Internet (TCP/IP) en esta ficha. Puede definir filtros independientes para paquetes entrantes y salientes.

! Multivínculo. Con Multivínculo varios vínculos físicos aparecen como un único vínculo lógico a través del que se envían y reciben datos. Puede definir propiedades de Multivínculo que habiliten Multivínculo y determinen el número máximo de puertos que una conexión Multivínculo puede utilizar. Además, puede definir directivas BAP que determinen el uso de BAP y que especifiquen cuándo se descartan las líneas BAP adicionales.

! Autenticación. Puede definir las propiedades de autenticación para habilitar los tipos de autenticación permitidos en una conexión y especificar el tipo de EAP que debe utilizarse. También puede configurar el tipo de EAP. De manera predeterminada, MS-CHAP y MS-CHAP v2 están habilitados.

! Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado que están prohibidos, permitidos o que son obligatorios.

! Opciones avanzadas. Puede definir propiedades avanzadas para especificar la serie de atributos RADIUS que el servidor IAS envía de vuelta para que el cliente RADIUS los evalúe. Los atributos RADIUS sirven para realizar la autenticación de RADIUS y los servidores que ejecutan el Servicio de enrutamiento y acceso remoto y que están configurados para la autenticación de Windows los pasan por alto.

Elementos de un perfil para una directiva de acceso remoto


Cómo se procesan las directivas de acceso remoto


Windows Server 2003 evalúa un intento de conexión en función de las condiciones de directivas, permisos de usuario y de acceso remoto, así como opciones de perfil. El flujo del proceso consta de tres fases básicas que incluyen comprobar las condiciones en primer lugar, luego los permisos y, por último, el perfil. La primera directiva que reúne todas las condiciones es la que se emplea para la conexión.

Las directivas de acceso remoto se procesan del modo siguiente:

1. Enrutamiento y acceso remoto compara las condiciones de la directiva de acceso remoto y las condiciones de la conexión intentada:

• Si no hay definida ninguna directiva, el acceso se rechaza.

• Si no hay ninguna directiva que coincida, el acceso se rechaza.

• Si se detecta una coincidencia, la directiva se emplea para determinar el acceso.

2. Enrutamiento y acceso remoto comprueba los permisos de marcado de la cuenta de usuario:

• Si el permiso de la cuenta de usuario está definido como Denegar acceso, se rechaza el acceso del usuario.

• Si el permiso de la cuenta de usuario está definido como Permitir acceso, se concede acceso al usuario y se aplica el perfil de la directiva.

• Si el permiso está definido como Controlar acceso a través de la directiva de acceso remoto, la configuración de permisos de la directiva determina el acceso del usuario.

Proceso para emplear acceso remoto


3. Enrutamiento y acceso remoto aplica las opciones del perfil de la directiva a la conexión entrante.

• La conexión puede que no se permita si una opción crucial del perfil no coincide con la del servidor de acceso remoto. Por ejemplo, el perfil para una conexión entrante puede especificar que un grupo solamente puede conectarse por la noche. Si un usuario de ese grupo intenta conectarse durante el día, el intento de conexión se rechazará.

• La conexión puede desconectarse posteriormente debido a una opción del perfil, como una restricción del tiempo de conexión.


Cómo configurar una directiva de acceso remoto


Puede configurar una directiva de acceso remoto y un perfil asociado en Directivas de acceso remoto en el árbol de la consola de Enrutamiento y acceso remoto.

Para un servidor basado en Active Directory en un dominio definido en un dominio original de Windows Server 2003, las propiedades de marcado para una cuenta de usuario de Usuarios y equipos de Active Directory se configuran con la opción Controlar acceso a través de la directiva de acceso remoto como valor predeterminado.


Para configurar una directiva de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto. 2. Expanda el árbol de la consola, haga clic con el botón secundario del

mouse en Directivas de acceso remoto y, a continuación, haga clic en Nueva directiva de acceso remoto.

3. En la página Éste es el Asistente para nueva directiva de acceso remoto, haga clic en Siguiente.

4. En la página Método de configuración de directiva, escriba el nombre de la directiva y haga clic en Siguiente.

Introducción

Nota

Procedimiento para configurar una directiva de acceso remoto


5. En la página Método Access, seleccione uno de los siguientes métodos de acceso:

• VPN. Se utiliza para todas las conexiones VPN.

• Acceso telefónico. Se utiliza para las conexiones de acceso telefónico que emplean una línea de teléfono tradicional o línea RDSI.

• Inalámbrico. Se utiliza para las conexiones LAN inalámbricas solamente.

• Ethernet. Se utiliza para las conexiones Ethernet, por ejemplo, las que emplean un conmutador.

6. En la página Acceso de usuarios o grupos, seleccione una de las siguientes opciones:

• Usuario: los permisos de acceso de usuario se especifican en la cuenta de usuario.

• Grupo: los permisos de usuarios individuales reemplazan a los de grupo. 7. En la página Métodos de autenticación, seleccione una o varias de las

siguientes opciones (EAP y MS-CHAPv2 están seleccionados de manera predeterminada) y, a continuación, haga clic en Siguiente:

• Protocolo de autenticación extensible (EAP).

• EAP protegido (PEAP). Configure el certificado apropiado.

• Tarjeta inteligente u otro certificado. Configure el certificado apropiado.

• Autenticación cifrada de Microsoft versión 2 (MS-CHAPv2). Seleccione esta opción si los usuarios deben suministrar una contraseña para la autenticación.

• Autenticación cifrada de Microsoft (MS-CHAP). Seleccione esta opción si en la red se usan sistemas operativos que no admitan MS-CHAPv2.

8. En la página Nivel de cifrado de directiva, seleccione una o varias de las opciones siguientes y, después, haga clic en Siguiente.

• Cifrado básico (IPSec DES de 56 bits o MPPE de 40 bits)

• Cifrado de alta seguridad (IPSec DES de 56 bits o MPPE de 56 bits)

• Cifrado de la más alta seguridad (IPSec DES Triple o MPPE de 128 bits)

9. En la página Finalización del Asistente para nueva directiva de acceso remoto, haga clic en Finalizar.


Para configurar una condición de directiva nueva para una directiva de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto. 2. En el árbol de la consola, haga clic en Directivas de acceso remoto. 3. En el panel de detalles, haga doble clic en la directiva de acceso remoto que

desee configurar. 4. En el cuadro de diálogo Propiedades de Directiva, haga clic en Agregar. 5. En el cuadro de diálogo Seleccionar atributo, seleccione el atributo que

desee agregar y haga clic en Agregar. 6. En el cuadro de diálogo Atributo, configure el atributo y haga clic

en Aceptar. 7. Para conceder acceso a los autores de las llamadas que cumplan las

condiciones de la directiva, haga clic en Conceder permiso de acceso remoto o bien, para denegar el acceso, haga clic en Denegar permiso de acceso remoto.

8. En el cuadro de diálogo Propiedades de Directiva, haga clic en Aceptar.

Procedimiento de configuración de una condición de directiva nueva para una directiva de acceso remoto


Cómo configurar un perfil de directiva de acceso remoto


El perfil de acceso remoto especifica qué tipo de acceso se le concede al usuario si las condiciones coinciden. Solamente se concede acceso si el intento de conexión no entra en conflicto con las opciones de la cuenta de usuario o el perfil.

Para configurar un perfil de directiva de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto. 2. En el árbol de la consola, haga clic en Directivas de acceso remoto. 3. En el panel de detalles, haga doble clic en la directiva de acceso remoto

que desee configurar. 4. Haga clic en Editar perfil. 5. En el cuadro de diálogo Modificar el perfil de marcado, especifique

cualquier opción deseada para las siguientes áreas de un perfil de directiva de acceso remoto:

• Restricciones de marcado. Puede usar estas opciones para determinar el intervalo de tiempo de inactividad antes de la desconexión, la duración máxima de la sesión y los días, horas, números de teléfono y tipos de medio (RDSI, VPN, etcétera) permitidos.

• IP. En esta ficha, puede configurar la asignación de direcciones IP de un cliente y el filtro de paquetes TCP/IP. Puede definir filtros independientes para paquetes entrantes y salientes.

• Multivínculo. En esta ficha, puede configurar Multivínculo y el Protocolo de asignación de ancho de banda (BAP). Utilice estas opciones para desconectar una línea si el ancho de banda desciende por debajo de un nivel determinado durante un período especificado. Multivínculo también puede definirse de manera que requiera el uso de BAP.

Introducción

Procedimiento


• Autenticación. Puede usar estas opciones con el fin de definir los protocolos de autenticación permitidos para las conexiones que emplean esta directiva. Compruebe que cualquier protocolo que seleccione aquí también se habilita en el cuadro de diálogo Propiedades del servidor.

• Cifrado. Puede utilizar esta ficha para especificar los tipos de cifrado que están prohibidos, permitidos o que son necesarios.

• Opciones avanzadas. Puede usar esta ficha para configurar parámetros de red adicionales que pueden enviarse desde servidores RADIUS que ejecutan sistemas operativos que no son de Microsoft.


Ejercicio: Controlar el acceso de los usuarios a una red


En este ejercicio, configurará una directiva de acceso remoto y un perfil de directiva.


El instructor deberá efectuar la demostración, Configurar una directiva de acceso remoto, antes de comenzar el ejercicio.


Como ha configurado un servidor de acceso remoto para que admita conexiones VPN para los ingenieros de pruebas del laboratorio, ahora deberá configurar el acceso de los usuarios. Algunos ingenieros de pruebas necesitarán un mayor acceso que otros a los equipos del laboratorio desde conexiones remotas. Deberá configurar una directiva de acceso remoto y un perfil de directiva para controlar el acceso de los usuarios.

Objetivo

Instrucciones



! Configurar una directiva de acceso remoto denominada Directiva VPN

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Herramienta administrativa: Enrutamiento y acceso remoto ! Nombre de directiva: Directiva VPN ! Método de acceso: VPN ! Acceso de usuario o grupo:

• Nombre de dominio: nwtraders.msft:

• Grupo: G NombreDeEquipoAdmins (donde NombreDeEquipo es el nombre de su equipo)

! Métodos de autenticación: aceptar opciones predeterminadas ! Nivel de cifrado de directiva: aceptar opciones predeterminadas

! Comprobar que la directiva VPN es la primera de la lista de directivas

! Complete esta tarea desde los equipos de ambos alumnos. ! Herramienta administrativa: Enrutamiento y acceso remoto ! En el panel de detalles, compruebe que en la parte superior de la lista

aparece Directiva VPN.

! Configurar un perfil de directiva de acceso remoto para la Directiva VPN

! Complete esta tarea desde los equipos de ambos alumnos. ! Restricciones de marcado: Permitir acceso sólo a través de estos medios

• Tipo de medio: Virtual (VPN)

! Conectarse al equipo de su compañero con la conexión VPN

! Realice esta tarea desde el equipo de alumno que tenga el número de identificación más alto.

1. En el escritorio, haga doble clic en VPN NombreDeEquipo (donde NombreDeEquipo es el equipo de su compañero).

2. En el cuadro de diálogo Conectarse a VPN NombreDeEquipo, escriba lo siguiente:

• Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo)

• Contraseña: P@ssw0rd 3. Compruebe que aparece un globo emergente en el área de notificación que

indica que VPN NombreDeEquipo (donde NombreDeEquipo es el nombre del equipo de su compañero) está conectado en ese momento.

4. En el escritorio, haga clic con el botón secundario del mouse en VPN NombreDeEquipo y, a continuación, haga clic en Estado.

5. En el cuadro de diálogo Estado de VPN NombreDeEquipo, compruebe que en Estado aparece Conectado y, a continuación, observe el tiempo en Duración.

Ejercicio


! Comprobar la duración de la conexión para el cliente de acceso remoto

• Complete esta tarea desde el equipo del alumno con el número de identificación más bajo.

1. En Enrutamiento y acceso remoto, expanda NombreDeEquipo y, a continuación, haga clic en Clientes de acceso remoto.

2. Compruebe en el panel de detalles la duración de conexión del cliente. (Debe presionar F5 para actualizar la consola; no se actualiza automáticamente.)

! En el equipo del cliente, desconéctese del equipo de su compañero


! En el escritorio, haga clic con el botón secundario del mouse en VPN NombreDeEquipo y, a continuación, haga clic en Desconectar.


Lección: Centralizar la autenticación de acceso a la red y la administración de directivas mediante IAS


Esta lección le permite adquirir las técnicas y conocimientos que necesita para usar Servicio de autenticación de Internet (IAS) con el fin de centralizar la autenticación de la red y la administración de directivas.


! Explicar en qué consiste RADIUS. ! Explicar en qué consiste IAS. ! Describir cómo funciona la administración centralizada de autenticación

y de directivas. ! Configurar un servidor IAS para la autenticación de acceso a la red. ! Configurar el servidor de acceso remoto para que utilice IAS en la

autenticación. ! Centralizar la administración de directivas y de la autenticación de acceso

a la red mediante IAS.

Introducción



Qué es RADIUS


Actualmente, la seguridad en el acceso a la red debe ser exhaustiva para garantizar al máximo un acceso apropiado a socios empresariales, asesores y empleados. De este modo, las organizaciones necesitan conceder diferentes niveles de acceso a la red según el tipo de usuario, las credenciales que utiliza, el modo en que se conecta, el nivel de cifrado utilizado en la conexión, la hora del día, etcétera. Para ello se requiere un sistema de administración centralizada de directivas y autenticación de acceso a la red capaz de satisfacer las exigencias de las grandes redes.

El Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service) se ha convertido en un estándar para efectuar la autenticación y administración de directivas de acceso a la red.

RADIUS es un protocolo ampliamente utilizado que se basa en el modelo cliente-servidor y que permite realizar la autenticación, la autorización y la administración de cuentas de forma centralizada para el acceso a la red.

Desarrollado en un principio para las soluciones de marcado, el protocolo RADIUS ha evolucionado hasta convertirse en el estándar de administración de acceso a la red para VPN, acceso telefónico y redes inalámbricas. Mediante una integración minuciosa de este servicio de administración para directivas de acceso a la red con los servicios de identidad del sistema operativo, así como la incorporación de numerosas y completas funciones para el procesamiento de reglas RADIUS, podrá administrar el acceso a la red de manera centralizada y en numerosos tipos de acceso a la red.

Un servidor RADIUS recibe y procesa solicitudes de conexión o mensajes de administración de cuentas que los clientes RADIUS o los servidores proxy RADIUS envían. En el caso de solicitudes de conexión, el servidor RADIUS procesa la lista de atributos RADIUS en la solicitud de conexión. De acuerdo con un conjunto de reglas y la información de la base de datos de cuentas de usuario, el servidor RADIUS autentica y autoriza la conexión y devuelve un mensaje de Aceptación de acceso o de Rechazo de acceso.

Motivos para centralizar la administración de directivas y la autenticación de acceso a la red

Qué es RADIUS

Finalidad de RADIUS

Qué es un servidor RADIUS


Un cliente RADIUS puede ser un proxy RADIUS o un servidor de acceso, como un servidor de acceso telefónico, un servidor VPN o un punto de acceso inalámbrico. El cliente RADIUS recibe solicitudes de autorización del cliente de acceso remoto para el acceso a la red y las remite al servidor RADIUS para que las compruebe.

Un proxy RADIUS puede configurarse en una infraestructura que tenga varios servidores RADIUS disponibles para autorizar solicitudes de acceso. Un proxy RADIUS recibe una solicitud de autorización de un cliente RADIUS, determina el servidor RADIUS apropiado y le reenvía la solicitud de autorización.

Por ejemplo, diversas organizaciones pueden subcontratar su conexión de acceso telefónico a un ISP. Cuando un cliente marca al ISP, se conecta a un cliente RADIUS que transmite la solicitud de autorización al proxy RADIUS. El proxy RADIUS determina a qué organización pertenece el usuario y, a continuación, remite la solicitud a esa organización para proceder a la autenticación de la conexión de acceso telefónico del usuario.

Qué es un cliente RADIUS

Qué es un proxy RADIUS


Qué es IAS


El componente Servicio de autenticación de Internet (IAS) de Windows Server 2003 es un servidor RADIUS que cumple los estándares del sector. IAS realiza la autenticación, autorización, auditoría y administración de cuentas de conexiones de forma centralizada en conexiones VPN, de acceso telefónico e inalámbricas.

Mediante el uso de IAS puede administrar y controlar de manera centralizada el acceso remoto e inalámbrico a una red, además de efectuar un seguimiento de las estadísticas de uso. También puede administrar permisos de acceso remoto y propiedades de conexión de manera centralizada.

Si tiene más de un servidor de acceso remoto o inalámbrico, en lugar de administrar las directivas de acceso de todos los servidores de acceso por separado, puede configurar un servidor único con IAS como servidor RADIUS y configurar los servidores de acceso remoto como clientes RADIUS.

Cuando un servidor IAS es miembro de un dominio de Active Directory, IAS emplea el servicio de directorio como su base de datos de cuentas de usuario y forma parte de una solución que permite el inicio de sesión único. El mismo conjunto de credenciales se utiliza para el control de acceso a la red (autenticación y autorización del acceso a una red) y para el inicio de sesión en un dominio de Active Directory.

Tras configurar un servidor que ejecute el Servicio de enrutamiento y acceso remoto para usar la autenticación de RADIUS, las directivas de acceso remoto almacenadas en el servidor de acceso remoto dejan de utilizarse. En su lugar, se emplean las directivas de acceso remoto almacenadas en el servidor IAS. Puede copiar el conjunto actual de directivas de acceso remoto al servidor IAS.

IAS interopera con dispositivos de acceso a la red de numerosos proveedores. Las organizaciones que deseen crear un sistema de autenticación integrado que autentique de manera segura a los usuarios en un directorio único, independientemente del método de acceso o del dispositivo que estén utilizando, pueden obtener ventajas con el uso de IAS.

Definición

Motivos para utilizar IAS

Nota


Puede configurar IAS para que admita diversos escenarios corporativos, como los siguientes:

! Acceso telefónico corporativo. Puede configurar IAS para que admita a empleados remotos con conexiones de acceso telefónico autenticadas de manera que el servidor IAS pueda proporcionar acceso a los empleados en función del grupo al que pertenezcan.

! Acceso a extranet para socios empresariales. Puede configurar IAS para que permita a los socios corporativos un acceso limitado a recursos específicos de la red y a la vez proteger otros recursos frente a un acceso no autorizado.

! Acceso a Internet. Puede configurar IAS para que admita conexiones de acceso telefónico autenticadas por el cliente a un ISP, de manera que el servidor IAS conceda acceso a los clientes de acuerdo con el plan de servicio que tengan subscrito.

! Acceso corporativo subcontratado a través de proveedores de servicio. Puede utilizar IAS para una organización que emplea un ISP que proporciona la infraestructura de acceso remoto, pero donde la organización mantiene el control sobre la autenticación, autorización y administración de cuentas. Cuando un empleado se conecta al servidor de acceso remoto en el ISP, los registros de autenticación y de uso se remiten al servidor IAS de la organización. El servidor IAS permite que la organización controle la autenticación de usuarios, efectúe un seguimiento del uso y supervise a qué empleados se les permite el acceso a la red.

Ejemplos


Cómo funciona la autenticación centralizada


En los siguientes pasos se describe el proceso básico que emplean los servidores de acceso a la red, un servidor RADIUS y los clientes RADIUS para efectuar la autenticación y autorización:

1. Un usuario se conecta a un servidor de acceso a la red (un equipo basado en Windows que está configurado con el Servicio de enrutamiento y acceso remoto) mediante una conexión VPN, de acceso telefónico o inalámbrica.

2. El servidor de acceso a la red reenvía las solicitudes de autenticación a un servidor RADIUS (IAS). (El servidor de acceso a la red actúa como cliente RADIUS.) Si la comprobación de la firma digital es correcta, el servidor IAS consulta al controlador de dominio.

3. El servidor RADIUS (IAS) tiene acceso a la información de cuentas de usuario en un controlador de dominio y comprueba las credenciales de autenticación de acceso remoto. (El servidor IAS realiza las funciones de un servidor RADIUS.)

4. Si las credenciales del usuario se autentican, el servidor IAS evalúa el intento de conexión comparándolo con las directivas de acceso remoto configuradas y las propiedades de marcado de la cuenta del usuario para decidir si autoriza la solicitud. Si el intento de conexión cumple las condiciones de al menos una directiva y las propiedades de marcado de cuenta, IAS devuelve un mensaje RADIUS de Aceptación de acceso al servidor de acceso a la red que envió la solicitud de autenticación. Si el intento de conexión no se autentica o no se autoriza, IAS devuelve un mensaje RADIUS de Rechazo de acceso al servidor de acceso a la red y el intento de conexión se rechaza.

El proceso de autenticación y autorización centralizadas


Cómo configurar un servidor IAS para la autenticación de acceso a la red


Si un servidor IAS debe tener acceso a Active Directory para autenticar a los usuarios, debe autorizarlo con el fin de garantizar que IAS posee los permisos correctos para tener a la información de cuentas desde Active Directory.

También debe agregar los clientes RADIUS al servidor IAS. Los clientes RADIUS son los servidores de acceso remoto que utilizarán el servidor IAS para la autenticación y la autorización.


Para autorizar un servidor IAS en Active Directory:

1. Abra la consola del Servicio de autenticación de Internet. 2. Haga clic con el botón secundario del mouse en Servicio de autenticación

de Internet (local) y, a continuación, haga clic en Registrar servidor en Active Directory.

3. En el cuadro de diálogo Registrar el Servicio de autenticación de Internet en Active Directory, haga clic en Aceptar.

Cuando se autoriza a un servidor IAS, Windows Server 2003 agrega la cuenta del equipo del servidor al grupo de seguridad de servidores RAS e IAS, que posee los permisos de Active Directory necesarios para tener acceso a los datos del usuario en Active Directory.

Introducción

Nota

Procedimiento para autorizar un servidor IAS en Active Directory

Nota


Para configurar el servidor IAS de modo que atienda a clientes RADIUS:

1. Abra la consola del Servicio de autenticación de Internet. 2. En el árbol de la consola, haga clic con el botón secundario del mouse en

Clientes RADIUS y, a continuación, haga clic en Nuevo cliente RADIUS para iniciar el Asistente para agregar cliente.

3. En la página Nuevo cliente RADIUS, especifique la siguiente información y, a continuación, haga clic en Siguiente:

• Nombre descriptivo. Escriba un nombre para el cliente RADIUS que va a agregar.

• Dirección de cliente (IP o DNS). Escriba la dirección IP o nombre DNS para el cliente RADIUS. Por lo general, resulta más eficaz especificar una dirección IP de manera que IAS no tenga que resolver todos los nombres de host al inicio. Si solamente conoce el nombre DNS de un cliente, haga clic en Comprobar para resolver el nombre como una dirección IP.

4. En la página Información adicional, especifique lo siguiente:

• Cliente proveedor. Seleccione Microsoft si va a agregar un servidor de Enrutamiento y acceso remoto. Si agrega un cliente RADIUS de un proveedor que no aparece en la lista, seleccione RADIUS Standard.

La opción Cliente proveedor solamente es necesaria si va a utilizar directivas de acceso remoto que se basan en un atributo cliente-proveedor.

• La solicitud debe contener el atributo autenticador de mensajes. Active esta casilla de verificación si el cliente RADIUS debe enviar un atributo de firma en el paquete de solicitud de acceso. Debe especificar un atributo de firma si utiliza EAP para la autenticación.

• Secreto compartido. Escriba el secreto y, a continuación, escríbalo de nuevo en el cuadro Confirmar secreto compartido. Un secreto compartido es una cadena de texto que sirve como contraseña entre un servidor IAS y los servidores de acceso remoto que le reenvían solicitudes. Secretos compartidos:

• Deben ser exactamente iguales en ambos servidores.

• Se distinguen mayúsculas y minúsculas.

• Pueden utilizar cualquier carácter alfanumérico estándar o especial. Si se combinan letras en mayúsculas y en minúsculas, números y caracteres especiales, el secreto compartido es más seguro.

• Puede tener una longitud de hasta 255 caracteres. Los secretos compartidos largos son más seguros que los cortos.

5. Haga clic en Finalizar.

Procedimiento de configuración del servidor IAS para clientes RADIUS

Nota


Cómo configurar un servidor de acceso remoto para que utilice IAS en la autenticación


Para configurar un servidor de acceso remoto como cliente RADIUS, debe configurarlo para reenviar las solicitudes de autenticación a un servidor IAS.


Para configurar un servidor de acceso remoto de modo que utilice IAS para la autenticación:

1. En el menú Herramientas administrativas, abra Enrutamiento y acceso remoto.

2. En el árbol de la consola, haga clic con el botón secundario del mouse en NombreDeEquipo (donde NombreDeEquipo es el nombre de su equipo) y, a continuación, haga clic en Propiedades.

3. En la ficha Seguridad del cuadro de diálogo Propiedades de NombreDeEquipo (local), en el cuadro Proveedor de autenticación, seleccione Autenticación RADIUS y, a continuación, haga clic en Configurar.

Nota Para usar Autenticación de Windows, en el cuadro de diálogo Propiedades de NombreEquipo (local), en el cuadro Proveedor de autenticación, seleccione Autenticación de Windows y haga clic en Aceptar.

Introducción

Nota

Procedimiento


4. En el cuadro de diálogo Autenticación RADIUS, haga clic en Agregar. 5. En el cuadro de diálogo Agregar servidor RADIUS, en el cuadro Nombre

de servidor, escriba el nombre del servidor IAS que va a utilizar para la autenticación RADIUS.

6. Si ha configurado un secreto compartido en el servidor IAS, haga clic en Cambiar para definir el secreto compartido en el servidor de acceso remoto y, a continuación, haga clic en Aceptar.

7. En el cuadro de diálogo Propiedades de NombreEquipo (local), haga clic en Aceptar.

8. En el cuadro de advertencia de Enrutamiento y acceso remoto, haga clic en No para configurar la administración de cuentas RADIUS.

9. En el cuadro de advertencia de Enrutamiento y acceso remoto, haga clic en Aceptar.

10. En el segundo cuadro de advertencia de Enrutamiento y acceso remoto, haga clic en Aceptar.

11. En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en NombreDeEquipo, haga clic en Todas las tareas y, a continuación, haga clic en Reiniciar.


Ejercicio: Centralizar la autenticación de acceso a la red mediante IAS


En este ejercicio, agregará un servidor VPN como cliente RADIUS a un servidor IAS.



Como el número de servidores de acceso remoto ha crecido en su organización, el ingeniero de sistemas ha instalado un servidor IAS y lo ha configurado con directivas de acceso remoto. También le ha pedido que agregue su servidor de acceso remoto o VPN al servidor IAS como cliente RADIUS y que, posteriormente, configure el servidor VPN para que utilice la autenticación RADIUS.

! Configurar un servidor de acceso remoto para que utilice IAS en la autenticación

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Herramienta administrativa: Enrutamiento y acceso remoto ! Proveedor de autenticación RADIUS: Autenticación RADIUS ! Servidor de autenticación RADIUS: London ! Secreto compartido: 2184 ! Reiniciar Enrutamiento y acceso remoto.

Objetivo

Instrucciones


Ejercicio




! Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo)

! Contraseña: P@ssw0rd ! Compruebe que aparece un globo emergente en el área de notificación que

indica que VPN NombreDeEquipo (donde NombreDeEquipo es el nombre del equipo de su compañero) está conectado en ese momento.

! En el escritorio, haga clic con el botón secundario del mouse en VPN NombreDeEquipo y, a continuación, haga clic en Estado.

! En el cuadro de diálogo Estado de VPN NombreDeEquipo, compruebe que en Estado aparece Conectado y, a continuación, observe el tiempo en Duración.


! Complete esta tarea desde el equipo del alumno con el número de identificación más bajo.

! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Herramienta administrativa: Enrutamiento y acceso remoto ! Clientes de acceso remoto: nwtraders\NombreDeEquipoAdmin

(donde NombreDeEquipo es el nombre del equipo de su compañero)

! Desconectarse del equipo de su compañero mediante la conexión VPN


! En el escritorio, haga clic con el botón secundario del mouse en VPN NombreDeEquipo (donde NombreDeEquipo es el equipo de su compañero) y, a continuación, haga clic en Desconectar.

! Configurar el servidor VPN para que utilice la autenticación de Windows

! Complete esta tarea desde los equipos de ambos alumnos. ! Nombre de usuario: nwtraders\NombreDeEquipoAdmin ! Contraseña: P@ssw0rd ! Herramienta administrativa: Enrutamiento y acceso remoto ! Proveedor de autenticación RADIUS: Autenticación Windows ! Reiniciar Enrutamiento y acceso remoto.


Práctica A: Configurar el acceso a la red


En esta práctica, configurará el acceso a la red.

Objetivos



Ejercicio 1 Configurar el acceso a la red En este ejercicio, va a configurar el acceso a la red.


Todos los ejercicios y la demostración deben completarse antes de comenzar la práctica.


Situación de ejemplo En la práctica ha configurado un servidor VPN y una conexión VPN en un equipo cliente para realizar pruebas. La ingeniera de sistemas le ha facilitado un plan de diseño para la futura implementación de clientes inalámbricos y el uso de certificados. Usted deberá configurar el servidor de acceso remoto de acuerdo con los siguientes detalles que se especifican en el plan: ! El servidor de acceso remoto debe ser capaz de admitir a 150 clientes que utilizarán

conexiones PPTP. ! El servidor de acceso remoto debe ser capaz de admitir a 150 clientes que utilizarán

conexiones L2TP. ! El servidor de acceso remoto necesita una segunda directiva para autenticar a los administradores

que se conecten de forma remota de manera inalámbrica. Esta directiva debería:

• Limitar el acceso de los administradores de lunes a viernes, de las 7:00 a.m. a las 7:00 p.m.

• Limitar el acceso solamente a través de una conexión 802.11 inalámbrica.

• Admitir la autenticación utilizando solamente una tarjeta inteligente u otro certificado.

• Permitir solamente el cifrado MPPE de 128 bits.

Cuando haya configurado el servidor de acceso remoto de acuerdo con los detalles del plan, deberá comprobar la conectividad mediante la conexión VPN en el equipo cliente. Una conexión VPN al equipo cliente confirma que el Servicio de enrutamiento y acceso remoto no se ha interrumpido.




1. Configure un total de 150 puertos PPTP y 150 puertos L2TP.

" En el servidor de acceso remoto, configure 150 puertos PPTP.

" En el servidor de acceso remoto, configure 150 puertos L2TP.


2. Cree una nueva directiva de acceso remoto para clientes inalámbricos.

" En el servidor de acceso remoto, cree una nueva directiva de acceso remoto llamada Inalámbrico.

" Las condiciones de la directiva Inalámbrico son válidas para conexiones inalámbricas y serán aplicables al grupo del administrador NombreDeEquipo (el nombre del equipo de su compañero).

" La directiva Inalámbrico se configurará de manera que permita el acceso solamente de lunes a viernes de 7:00 a.m. a 7:00 p.m.

" La directiva Inalámbrico permitirá el acceso solamente a través del medio 802.11 inalámbrico.

" La directiva Inalámbrico admitirá el Protocolo de autenticación extensible y el método de tarjeta inteligente u otro certificado.

" La directiva Inalámbrico solamente admitirá un cifrado MPPE de 128 bits.

Realice la siguiente tarea en el equipo del alumno que tenga el número de identificación más alto.

3. Compruebe la conectividad al servidor de acceso remoto mediante la conexión VPN.

" Utilice la conexión VPN para conectarse al servidor de acceso remoto como nwtraders\NombreDeEquipoAdmin (donde NombredeEquipo es el nombre de su equipo).

" Anote el tiempo de duración de la conexión.

Realice la siguiente tarea en el equipo del alumno que tenga el número de identificación más bajo.

4. Compruebe la duración de la conexión del cliente de acceso remoto.

" Para comprobar la conexión, confirme que nwtraders\NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre del equipo de su compañero) se muestra como un cliente de acceso remoto.

" Anote el tiempo de duración de la conexión de cliente.

Realice la siguiente tarea en el equipo del alumno que tenga el número de identificación más alto.

5. Desconéctese del equipo de su compañero.

" El acceso directo de la conexión VPN se encuentra en el escritorio.

Contenido

Introducción 1

Lección: Administrar los servicios de acceso a la red 2

Lección: Configurar el registro en un servidor de acceso a la red 9

Lección: Recopilar y supervisar los datos de acceso a la red 24

Práctica A: Administrar y supervisar el acceso remoto 33

Módulo 10: Administrar y supervisar el acceso a la red

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, productos, dominios, direcciones de correo electrónico, logotipos, personas, personajes, lugares y eventos mencionados son ficticios. No se pretende indicar, ni debe deducirse ninguna asociación con compañías, organizaciones, productos, dominios, direcciones de correo electrónico, logotipos, personas, lugares o eventos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre el contenido de este documento. El suministro de este documento no le otorga a usted ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato escrito de licencia de Microsoft. © 2003 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Active Directory, MSDN, PowerPoint y Windows Media son marcas registradas o marcas comerciales de Microsoft Corporation en los Estados Unidos y/o en otros países. Los nombres de compañías reales y productos aquí mencionados pueden ser marcas registradas de sus respectivos propietarios.

Módulo 10: Administrar y supervisar el acceso a la red iii

Notas para el instructor Este módulo proporciona a los alumnos los conocimientos y capacidades necesarios para administrar y supervisar el acceso a la red de clientes de acceso telefónico, de red privada virtual (VPN, Virtual Private Network) e inalámbricos.


! Administrar los servicios de acceso a la red. ! Configurar el registro en el servidor de acceso a la red. ! Recopilar y supervisar los datos de acceso a la red.



en el apéndice al final del cuaderno de trabajo del alumno.






Presentación: 1 hora Práctica: 30 minutos

Material necesario

Importante


iv Módulo 10: Administrar y supervisar el acceso a la red

Recomendaciones para impartir este módulo En esta sección, se incluye información para ayudarle a impartir este módulo.



Es aconsejable que el instructor demuestre cada una de las tareas de la página de instrucciones. Puede utilizar los equipos London o Glasgow para demostrar los procedimientos de las páginas de instrucciones. Es importante no cambiar parámetros de configuración que puedan afectar a la correcta realización de los ejercicios y la práctica.



Mediante situaciones de ejemplo que tienen que ver con la función de trabajo, la práctica permite proporcionar a los alumnos un conjunto de instrucciones en una tabla de dos columnas. En la columna izquierda se detalla la tarea. (Por ejemplo, crear un grupo.) En la columna de la derecha se indican las instrucciones específicas que los alumnos deben seguir cuando realicen la tarea. (Por ejemplo, en Usuarios y equipos de Active Directory®, haga doble clic en el nodo de dominio).



Importante

Ejercicios

Prácticas

Módulo 10: Administrar y supervisar el acceso a la red v

Lección: Administrar los servicios de acceso a la red En esta sección, se describen los métodos para impartir esta lección.

! Con ayuda de la diapositiva, explique cómo aplicar las directrices para administrar los servicios de acceso a la red.


! Demuestre cómo enviar un mensaje a un único cliente de acceso remoto. ! Demuestre cómo enviar un mensaje a todos los clientes de acceso remoto. ! Demuestre cómo desconectar un cliente de acceso remoto. ! Demuestre cómo iniciar y detener el Servicio de enrutamiento y

acceso remoto.





• Enviar un mensaje a todos los clientes de acceso remoto.

• Comprobar que el mensaje se muestra y, a continuación, desconectarse del equipo de sus compañeros.


• Detener el Servicio de enrutamiento y acceso remoto.

• Iniciar el Servicio de enrutamiento y acceso remoto. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Directrices para administrar los servicios de acceso a la red

Cómo administrar clientes de acceso remoto

Ejercicio: Administrar el servicio de acceso remoto

vi Módulo 10: Administrar y supervisar el acceso a la red

Lección: Configurar el registro en un servidor de acceso a la red En esta sección, se describen los métodos para impartir esta lección.

! Presente los tres tipos de registro admitidos por el Servicio de enrutamiento y acceso remoto.

! Describa el registro de sucesos.

• Señale que en el seguimiento se utilizan recursos del sistema y debería realizarse con moderación.

! Describa la autenticación local y el registro de administración de cuentas. ! Describa el registro de administración de cuentas y la autenticación basados

en el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service).

! Defina el registro de autenticación y de administración de cuentas. ! Explique las ventajas de su utilización. ! Comente las propiedades del archivo de registro. ! Describa los tipos de registro de solicitudes.

! Demuestre cómo habilitar la administración de cuentas de Microsoft

Windows®. ! Demuestre cómo configurar el registro de autenticación local y de

administración de cuentas. ! Demuestre cómo configurar el registro de autenticación y de administración

de cuentas basado en RADIUS.

! Describa un registro del Protocolo punto a punto (PPP, Point-to-Point Protocol).

! Describa un registro de auditoría. ! Describa un registro Oakley.

! Demuestre cómo configurar el registro PPP. ! Demuestre cómo configurar el registro Oakley para una conexión del

Protocolo de túnel de capa 2/Seguridad del protocolo Internet (L2TP/IPSec, Layer Two Tunneling Protocol/Internet Protocol Security).

! Haga una demostración de cómo configurar un registro de auditoría para una conexión L2TP/IPSec.

Registro de Enrutamiento y acceso remoto

Registro de autenticación y de administración de cuentas

Cómo configurar el registro de autenticación y de administración de cuentas

Archivos de registro para conexiones específicas

Cómo configurar el registro para tipos de conexión específicos

Módulo 10: Administrar y supervisar el acceso a la red vii



• Configurar el registro de autenticación local en su servidor de acceso remoto.

• Comprobar que el archivo de registro no existe.

• Detener e iniciar el Servicio de enrutamiento y acceso remoto.

• Comprobar que el archivo de registro existe. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio


Lección: Recopilar y supervisar los datos de acceso a la red En esta sección, se describen los métodos para impartir esta lección.

! Comente los motivos para recopilar datos de rendimiento.

! Describa las herramientas para recopilar los datos de acceso a la red incluidos Monitor de sistema, Registros y alertas de rendimiento, y Monitor inalámbrico.

• Comente los tipos de información que los alumnos pueden recopilar con estas herramientas y los problemas de acceso a la red que esta información ayuda a aislar.

! Ofrezca ejemplos y descripciones de los objetos y contadores más comunes para supervisar servidores de acceso a la red.

! Demuestre cómo habilitar o deshabilitar registros de información de clientes

inalámbricos. ! Demuestre cómo ver los detalles acerca de los puntos de acceso a la red

inalámbricos. ! Demuestre cómo ver los detalles acerca de los clientes de red inalámbricos.

! Comente que pueden consultar las páginas de instrucciones

correspondientes a la lección. ! Indíqueles que lean la situación de ejemplo. ! Señale a los alumnos que deben completar las siguientes tareas:

• Determinar las herramientas que se utilizarán.

• Configurar sus registros de rendimiento. ! Reanude la clase cuando todos los alumnos hayan finalizado el ejercicio y


Ejercicio: Configurar el registro en un servidor de acceso remoto

Por qué recopilar datos de rendimiento

Herramientas para recopilar los datos de acceso a la red

Cómo supervisar la actividad de las redes inalámbricas

Ejercicio: Recopilar y supervisar los datos de acceso a la red

Módulo 10: Administrar y supervisar el acceso a la red 1

Introducción


El presente módulo proporciona a los alumnos los conocimientos y capacidades necesarios para administrar y supervisar el acceso a la red de clientes de acceso telefónico, de red privada virtual (VPN) e inalámbricos.


! Administrar los servicios de acceso a la red. ! Configurar el registro en el servidor de acceso a la red. ! Recopilar y supervisar los datos de acceso a la red.

Introducción

Objetivo

2 Módulo 10: Administrar y supervisar el acceso a la red

Lección: Administrar los servicios de acceso a la red


Esta lección le permitirá adquirir las técnicas y conocimientos que necesita para realizar las funciones de administración básicas en los servicios de acceso a la red proporcionadas por el Servicio de enrutamiento y acceso remoto.


! Aplicar las directrices para administrar un servidor de acceso remoto. ! Administrar los clientes de acceso remoto.

Introducción

Objetivos


Directrices para administrar los servicios de acceso a la red


De vez en cuando, es necesario cerrar el Servicio de enrutamiento y acceso remoto. Por ejemplo, puede que necesite cambiar la ubicación de un servidor de acceso remoto que se encuentra en el edificio de su organización. O bien, puede que deba cerrar el servicio para reparar o actualizar el hardware. Puede seguir unas cuantas directrices sencillas que le ayudarán a reducir las consecuencias que sufrirán los clientes durante la interrupción del servicio programado.

Cuando tenga que cerrar el Servicio de enrutamiento y acceso remoto, debería:

1. Configurar un servidor de acceso remoto sustituto. 2. Programar el tiempo de inactividad del servicio a las horas de

menos trabajo. 3. Enviar un mensaje a los clientes para alertarles de la hora y duración

del tiempo de inactividad programado. 4. Utilizar la consola de Enrutamiento y acceso remoto para desconectar a

aquellos clientes que no se hayan desconectado de los servidores de acceso remoto.

5. Detener el Servicio de enrutamiento y acceso remoto.

Directrices para detener e iniciar el Servicio de enrutamiento y acceso remoto


Cómo administrar clientes de acceso remoto


La consola de Enrutamiento y acceso remoto se utiliza para:

! Enviar un mensaje a los clientes para notificarles que deben cambiar a un servidor de acceso remoto diferente.

! Desconectar a aquellos clientes que no hayan cambiado a otros servidores de acceso remoto.


Para enviar un mensaje a un único cliente de acceso remoto:

1. Inicie una sesión con una cuenta de usuario no administrativa. 2. Haga clic en Inicio y, después, en Panel de control. 3. En Panel de control, abra Herramientas administrativas y, a continuación,

haga clic con el botón secundario del mouse (ratón) en Enrutamiento y acceso remoto y seleccione Ejecutar como.

4. En el cuadro de diálogo Ejecutar como, seleccione El siguiente usuario y, a continuación, escriba una cuenta de usuario y contraseña que posea los permisos apropiados para completar la tarea. Haga clic en Aceptar.

5. Abra Enrutamiento y acceso remoto y haga clic en Clientes de acceso remoto.

6. Haga clic con el botón secundario del mouse en el nombre de usuario apropiado, haga clic en Enviar mensaje y, a continuación, haga clic en Aceptar.

Introducción

Nota

Procedimiento para enviar un mensaje a un único cliente de acceso remoto


Para enviar un mensaje a todos los clientes de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto y haga clic con el botón secundario del mouse en Clientes de acceso remoto.

2. Seleccione Enviar a todos y, después, haga clic en Aceptar.

Para desconectar un cliente de acceso remoto:

1. Abra la consola de Enrutamiento y acceso remoto y haga clic con el botón secundario del mouse en Clientes de acceso remoto.

2. Seleccione el nombre de usuario apropiado y, a continuación, haga clic en Desconectar.

Una vez desconectados todos los clientes de un servidor de acceso remoto, puede cerrar correctamente el servicio en ese servidor.

Para iniciar y detener el Servicio de enrutamiento y acceso remoto:

1. En la consola de Enrutamiento y acceso remoto, en el árbol de la consola, haga clic en Estado del servidor.

2. En el panel de detalles, haga clic con el botón secundario del mouse en un nombre del servidor, seleccione Todas las tareas y realice uno de los pasos siguientes:

• Para iniciar el servicio, haga clic en Inicio.

• Para detener el servicio, haga clic en Detener.

También puede iniciar y detener el Servicio de enrutamiento y acceso remoto con los comandos net start remoteaccess y net stop remoteaccess, respectivamente.

Procedimiento para enviar un mensaje a todos los clientes de acceso remoto

Procedimiento para desconectar un cliente de acceso remoto

Procedimiento para iniciar y detener el Servicio de enrutamiento y acceso remoto

Nota


Ejercicio: Administrar el servicio de acceso remoto


En este ejercicio, administrará el servicio de acceso remoto.

Para completar este ejercicio, consulte el documento Valores del plan de implementación, incluido en el apéndice al final del cuaderno de trabajo. Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

Se ha programado la interrupción del servicio del servidor de acceso remoto del departamento de laboratorio para llevar a cabo una actualización del hardware. El ingeniero de sistemas ha creado un servidor de acceso remoto sustituto para que dé servicio a los clientes de acceso remoto en ese período. Deberá cerrar el servidor de acceso remoto correctamente.



1. En el escritorio, haga doble clic en VPN NombreDeEquipo (donde NombreDeEquipo es el equipo de su compañero).

2. En el cuadro de diálogo Conectarse a VPN NombreDeEquipo, escriba la siguiente información y haga clic en Conectar: a. Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo

es el nombre de su equipo) b. Contraseña: P@ssw0rd

Objetivo

Instrucciones


Ejercicio


3. Compruebe que aparece un globo emergente en el área de notificación que anuncia que VPN NombreDeEquipo está ahora conectado.

4. En el escritorio, haga clic con el botón secundario del mouse en VPN NombreDeEquipo y, a continuación, haga clic en Estado.

5. En el cuadro de diálogo Estado de VPN NombreDeEquipo, compruebe que Estado se muestra como Conectado y, a continuación, observe el tiempo de Duración.



1. Abra la consola de Enrutamiento y acceso remoto. 2. En la consola de Enrutamiento y acceso remoto, en el árbol de la consola,

haga clic en Clientes de acceso remoto. 3. En el panel de detalles Clientes de acceso remoto, en Nombre de usuario,

compruebe que se muestra nwtraders\NombreDeEquipoAdmin y observe el tiempo de duración.

! Enviar un mensaje a todos los clientes de acceso remoto


! Audiencia: Enviar a todos ! Texto del mensaje: Este servidor de acceso remoto se cerrará en

10 minutos

! Comprobar que el mensaje se muestra y, a continuación, desconectarse del equipo de su compañero


! Lea el texto del cuadro de mensaje del Messenger Service. ! Desconéctese de VPN NombreDeEquipo (donde NombreDeEquipo es el

equipo de su compañero).



1. Abra la consola de Enrutamiento y acceso remoto. 2. En la consola de Enrutamiento y acceso remoto, en el árbol de la consola,

seleccione Clientes de acceso remoto. 3. En el menú Acción, haga clic en Actualizar. 4. En el panel de detalles Clientes de acceso remoto, compruebe que no se

muestra ningún elemento.


! Detener el Servicio de enrutamiento y acceso remoto


! Herramienta administrativa: Enrutamiento y acceso remoto

! Iniciar el Servicio de enrutamiento y acceso remoto


! Herramienta administrativa: Enrutamiento y acceso remoto


Lección: Configurar el registro en un servidor de acceso a la red


Esta lección permite adquirir los conocimientos y capacidades necesarios para utilizar ciertos tipos de registro que ayudan a aislar problemas comunes en el acceso a la red.


! Describir los tipos de registro admitidos por el Servicio de enrutamiento y acceso remoto.

! Explicar en qué consiste el registro de autenticación y de administración de cuentas.

! Configurar el registro de autenticación y de administración de cuentas. ! Identificar los archivos de registro que se utilizan para conexiones

específicas. ! Configurar el registro para tipos de conexión específicos.

Introducción



Registro de Enrutamiento y acceso remoto


Un servidor que ejecuta Enrutamiento y acceso remoto admite tres tipos de registro:

! Registro de sucesos. ! Registro de autenticación local y de administración de cuentas. ! Registro de autenticación y de administración de cuentas basado en

el Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-In User Service).

Puede utilizar la función de registro de sucesos para grabar los errores del servidor de acceso remoto, advertencias y otra información detallada en el registro de sucesos del sistema. Para habilitar la función de registro de sucesos y configurar los tipos de suceso registrados, puede usar la ficha Inicio de sesión del cuadro de diálogo Propiedades del servidor de acceso remoto.

Por ejemplo, el registro de sucesos puede grabar la detención e inicio del servicio de acceso remoto además de registrar a los usuarios a los que se les ha denegado el acceso y los motivos.

En el cuadro de diálogo Propiedades del servidor de acceso remoto, también puede habilitar el registro de información adicional de Enrutamiento y acceso remoto. Cuando habilita el registro, el equipo crea numerosos archivos de registro detallado en el directorio %Systemroot%\Tracing, que contiene un registro más completo de las funciones de Enrutamiento y acceso remoto.

En el seguimiento se utilizan recursos del sistema y debería realizarse con moderación para identificar los problemas de red.

Introducción

Registro de sucesos

Nota


El Servicio de enrutamiento y acceso remoto puede llevar a cabo el registro de información relativa a la autenticación y a la administración de cuentas en los intentos de conexión cuando se configura la autenticación de Microsoft® Windows® o el proveedor de administración de cuentas. Este registro es independiente de los sucesos que se almacenan en el registro de sucesos del sistema.

El registro de autenticación y de administración de cuentas es especialmente útil a la hora de aislar problemas relacionados con las directivas de acceso remoto. Por cada intento de autenticación, se registra el nombre de la directiva de acceso remoto que acepta o rechaza la conexión.

Un servidor que ejecuta Enrutamiento y acceso remoto puede efectuar el registro de información de autenticación y de administración de cuentas para las conexiones de acceso remoto en un servidor RADIUS cuando se habilitan la autenticación y la administración de cuentas RADIUS. El registro de autenticación y de administración de cuentas RADIUS es independiente de los sucesos que se almacenan en el registro de sucesos del sistema. Puede utilizar la información registrada en el servidor RADIUS para realizar un seguimiento del uso del acceso remoto y de los intentos de autenticación.

Por ejemplo, el registro de administración de cuentas RADIUS almacena información de conexión, incluida la duración de su conexión al servidor de acceso remoto.

Registro de autenticación local y de administración de cuentas

Registro de autenticación y de administración de cuentas basado en RADIUS


Registro de autenticación y de administración de cuentas


El registro de autenticación y de administración de cuentas es un proceso que almacena información detallada acerca de las solicitudes de conexión de acceso remoto.

Puede utilizar la información registrada para realizar un seguimiento de la utilización del acceso remoto y de los intentos de autenticación. Mediante la configuración y uso de los archivos de registro para realizar un seguimiento de la información de autenticación, puede simplificar la administración del servicio de acceso remoto. Puede configurar y utilizar registros para realizar un seguimiento de la información de administración de cuentas (como registros de inicio y de cierre de sesión) para mantener una relación y emplearla en la facturación, por ejemplo. El registro de autenticación y de administración de cuentas es especialmente útil a la hora de aislar problemas de directivas de acceso remoto. Por cada intento de autenticación, se registra el nombre de la directiva de acceso remoto que lo acepta o rechaza.

La información de autenticación y de administración de cuentas se almacena en un archivo de registro configurable o en archivos almacenados en la carpeta %Systemroot%\System32\LogFiles. Los archivos de registro se guardan en el Servicio de autenticación de Internet (IAS, Internet Authentication Service) o en un formato compatible con bases de datos de manera que cualquier programa de bases de datos pueda leerlos directamente para analizarlos. Puede configurar tanto el Servicio de enrutamiento y acceso remoto como IAS para enviar la información de autenticación y de administración de cuentas directamente a un servidor de base de datos que permita que varios servidores graben datos en la misma base de datos.

Definición

Ventajas de utilizar el registro de autenticación y de administración de cuentas


Cuando configure el registro, puede especificar lo siguiente:

! Las solicitudes que se registrarán. ! El formato del archivo de registro. ! La frecuencia de inicio de nuevos registros. ! La eliminación automática del archivo de registro más antiguo cuando

el disco se llene. ! Dónde se almacenan los archivos de registro. ! Qué información contiene el archivo de registro.

Todos los tipos de registro de solicitudes están deshabilitados de manera predeterminada. En un principio, se recomienda habilitar el registro de solicitudes de autenticación y de administración de cuentas. Puede definir los métodos de registro tras determinar los datos que mejor se adaptan a sus necesidades. Tal como se muestra en la siguiente tabla, puede seleccionar los tipos de solicitudes que se van a registrar. El origen y destino de los elementos del archivo de registro dependen de si se envían de un cliente RADIUS a un servidor RADIUS o de si se registran localmente en un archivo de registro de Enrutamiento y acceso remoto utilizando la autenticación y de administración de cuentas de Windows.

Tipos de solicitudes Descripción de las entradas del registro Solicitudes de administración de cuentas

• Accounting-on (Administración de cuentas activa) indica que el servidor está en conexión y preparado para aceptar conexiones.

• Accounting-off (Administración de cuentas inactiva) indica que el servidor está fuera de conexión.

• Accounting-start (Iniciada administración de cuenta) indica el inicio de sesión de un usuario.

• Accounting-stop (Detenida administración de cuenta) indica el fin de la sesión de un usuario.

Solicitudes de autenticación

• Authentication requests (Solicitudes de autenticación) registra los atributos de entrada que envía un usuario que se está conectando. Estas entradas del archivo de registro contienen solamente atributos de entrada.

• Authentication accepts and rejects (Aceptaciones y rechazos de autenticación) registra las entradas que indican si se acepta o se rechaza al usuario.

Propiedades del archivo de registro

Tipos de registro de solicitudes


(continuación) Tipos de solicitudes Descripción de las entradas del registro Estado periódico

• Periodic status (Estado periódico) registra entradas para solicitudes de administración de cuentas provisionales que proporcionan algunos servidores de acceso remoto durante las sesiones.

• Accounting-interim requests (Solicitudes provisionales de cuenta) registra las entradas que proporciona periódicamente el servidor de acceso remoto durante una sesión de usuario.

Puede registrar la administración de cuentas, la autenticación y el estado periódico en una base de datos de Microsoft SQL Server�. Para obtener más información, consulte �Registro de bases de datos de SQL Server� en la documentación de Ayuda de Windows Server 2003.

Nota


Cómo configurar el registro de autenticación y de administración de cuentas


Para configurar el registro de autenticación y de administración de cuentas, primero deberá habilitar la autenticación de Windows o la administración de cuentas de Windows. Posteriormente, podrá configurar el tipo de actividad que desea registrar (de autenticación o de administración de cuentas) y las opciones del archivo de registro.

Si el equipo que ejecuta el Servicio de enrutamiento y acceso remoto se configura para realizar la autenticación RADIUS o como proveedor de administración de cuentas, y el servidor RADIUS es un equipo que ejecuta Windows Server 2003 e IAS, la información de registro se almacena en el equipo servidor IAS.


Para habilitar la administración de cuentas de Windows:

1. Abra la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en el nombre del servidor para el que desee configurar la administración de cuentas de Windows y, a continuación, haga clic en Propiedades.

2. En la ficha Seguridad, en Proveedor de cuentas, haga clic en Contabilidad de Windows y, a continuación, haga clic en Aceptar.

Introducción

Nota

Procedimiento para habilitar la administración de cuentas de Windows


Para configurar el registro de autenticación local y de administración de cuentas:

1. Abra la consola de Enrutamiento y acceso remoto. 2. En el árbol de la consola, haga clic en Registro de acceso remoto. 3. En el panel de detalles, haga clic con el botón secundario del mouse en

Archivo local y, después, haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades del Archivo local, en la ficha

Configuración, seleccione una o varias de las tres opciones siguientes:

• Solicitudes de cuentas. Esta opción registra información como el inicio y el fin de una sesión de usuario.

• Solicitudes de autenticación. Esta opción registra información como la aceptación o rechazo de la solicitud de acceso de un usuario.

• Estado periódico. Esta opción registra información como solicitudes provisionales de administración de cuentas. Para registrar estas solicitudes, debe configurarse el atributo Intervalo provisional de administración de cuentas RADIUS en el perfil de acceso remoto en el servidor IAS.

5. En el cuadro de diálogo Propiedades del Archivo local, en la ficha Archivo de registro, seleccione las siguientes opciones de registro apropiadas: a. Directorio: ruta de acceso de la carpeta donde se almacenan los archivos

de registro b. Formato: IAS o Base de datos compatible c. Crear un nuevo archivo de registro: Diariamente, Semanalmente,

Mensualmente, Nunca (tamaño de archivo ilimitado), Cuando el tamaño del archivo de registro alcance

6. En el cuadro de diálogo Propiedades del archivo local, en la ficha Archivo de registro, si corresponde, seleccione Eliminar los registros más viejos cuando el disco esté lleno y, a continuación, haga clic en Aceptar.

Siempre que cambie el proveedor de autenticación o el proveedor de administración de cuentas en la ficha Seguridad, deberá detener e iniciar el Servicio de enrutamiento y acceso remoto para que estos cambios se apliquen.

Procedimiento para configurar el registro de autenticación local y de administración de cuentas

Nota


Para configurar la administración de cuentas basada en RADIUS:

1. Abra la consola de Enrutamiento y acceso remoto. 2. Haga clic con el botón secundario del mouse en el nombre del servidor para

el que desee configurar la administración de cuentas basada en RADIUS y, a continuación, haga clic en Propiedades.

3. En la ficha Seguridad, en el campo Proveedor de cuentas, seleccione Administración de cuentas RADIUS y, a continuación, haga clic en Configurar.

4. En el cuadro de diálogo Administración de cuentas RADIUS, haga clic en Agregar.

5. En el cuadro de diálogo Agregar servidor RADIUS, en el campo Nombre del servidor, escriba el nombre de host del servidor RADIUS.

6. En el cuadro de diálogo Agregar servidor RADIUS, haga clic en Cambiar.

7. En el cuadro de diálogo Cambiar secreto, en los campos Secreto nuevo y Confirmar el nuevo secreto, escriba el secreto y, a continuación, haga clic en Aceptar.

8. En el cuadro de diálogo Administración de cuentas RADIUS, haga clic en Aceptar.

9. En el cuadro de diálogo Propiedades de NombreDeServidor, haga clic en Aceptar.

Procedimiento para configurar la administración de cuentas basada en RADIUS


Archivos de registro para conexiones específicas


Para ayudar a reunir información detallada y aislar los problemas del servidor de acceso remoto, puede configurar funciones de registro adicionales. Actúe con precaución cuando habilite este tipo de registro, ya que puede agregar una carga notable al servidor de acceso remoto.

Puede utilizar el registro del Protocolo punto a punto (PPP) para registrar la serie de funciones de programación y de mensajes de control PPP durante una conexión PPP. El registro de PPP es una valiosa fuente de información cuando se intenta solucionar el error de una conexión PPP.

Puede utilizar el complemento Visor de sucesos para ver los siguientes sucesos relacionados con IPSec:

! Sucesos del Agente de directivas de Seguridad del protocolo Internet (IPSec, Internet Protocol Security) en el registro de auditoría.

! Sucesos de Intercambio de claves de Internet (IKE, Internet Key Exchange), los detalles de asociación de seguridad, en el registro de seguridad. Para ver estos sucesos, habilite la auditoría de acciones correctas o errores en la directiva de auditoría Auditar sucesos de inicio de sesión en su dominio o equipo local.

! Sucesos de cambio de la directiva IPSec en el registro de seguridad. Para ver estos sucesos, habilite la auditoría de acciones correctas o errores en la directiva de auditoría Auditar cambios de auditoría en su dominio o equipo local.

! Sucesos de paquetes descartados del controlador IPSec en el registro del sistema. En la familia de Windows Server 2003, puede habilitar el registro de sucesos de paquetes para el controlador IPSec mediante la herramienta de línea de comandos Netsh ipsec. Para habilitar el registro de paquetes entrantes y salientes descartados, especifique el valor 7. En el símbolo del sistema, escriba netsh ipsec dynamic set config ipsecdiagnostics 7 y, a continuación, reinicie el equipo.

Introducción

Registro de PPP

Registro de auditoría


Habilitar el registro de auditoría para sucesos del Protocolo de asociación de seguridad y de administración de claves en Internet (ISAKMP, Internet Security Association and Key Management Protocol) y ver los sucesos en el Visor de sucesos es la forma más rápida y sencilla de aislar las negociaciones de modo principal o modo rápido fallidas.

Si habilita la auditoría de acciones correctas o errores en la directiva de auditoría Auditar sucesos de inicio de sesión, IPSec registra la acción correcta o el error de cada negociación de modo principal y modo rápido, así como el establecimiento y terminación de cada negociación como sucesos independientes. No obstante, al habilitar este tipo de auditoría, el registro de seguridad puede llenarse de sucesos IKE. Por ejemplo, en los servidores que están conectados a Internet, los ataques al protocolo IKE pueden provocar que el registro de seguridad se llene de sucesos IKE. Los sucesos IKE también pueden llenar el registro de seguridad de los servidores que emplean IPSec para proteger el tráfico destinado a diversos clientes. Para evitar que el registro se llene de sucesos IKE, puede deshabilitar la auditoría de sucesos IKE en el registro de seguridad si modifica el Registro.

Puede utilizar el registro Oakley para ver detalles acerca del proceso de establecimiento de asociaciones de seguridad. El registro Oakley se habilita en el Registro pero no está habilitado de manera predeterminada.

Una vez habilite el registro Oakley, que se encuentra almacenado en la carpeta %Systemroot%\Debug, registrará todas las negociaciones de modo principal o modo rápido de ISAKMP. Cada vez que se inicia el Agente de directivas IPSec, se crea un nuevo archivo Oakley.log y la versión anterior se guarda como Oakley.log.sav.

Registro Oakley


Cómo configurar el registro para tipos de conexión específicos


Puede utilizar las funciones de diagnóstico de acceso remoto que se encuentran disponibles en la familia de Windows Server 2003 para recopilar registros e información detallados acerca de una conexión de acceso remoto.

Cuando termine de solucionar los errores, debería deshabilitar el registro.


Para configurar el registro de PPP:

1. En la consola de Enrutamiento y acceso remoto, haga clic con el botón secundario del mouse en el nombre del servidor y, a continuación, haga clic en Propiedades.

2. En el cuadro de diálogo Propiedades de NombreDeServidor, en la ficha Registro, seleccione una de las siguientes opciones:

• Sólo registrar errores

• Registrar errores y advertencias

• Registrar todos los sucesos

• No registrar ningún suceso 3. En la ficha Registro, si corresponde, seleccione Registrar información

adicional de Enrutamiento y acceso remoto y, a continuación, haga clic en Aceptar. Esta opción registra los sucesos del proceso de establecimiento de la conexión PPP.

Introducción

Nota

Procedimiento para configurar el registro de PPP


Para configurar un registro Oakley para una conexión L2TP/IPSec:

1. Para habilitar el registro Oakley, defina la opción del Registro DWORD HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging con el valor 1. (La clave de Oakley no existe de manera predeterminada y, por lo tanto, deberá crearse.)

Para obtener información adicional acerca de cómo agregar valores a las claves del Registro, consulte la documentación de Ayuda de Windows Server 2003.

2. Para activar la nueva opción del Registro EnableLogging tras modificar su valor: a. Escriba net stop remoteaccess en el símbolo del sistema para detener

el Servicio de enrutamiento y acceso remoto. b. Escriba net stop policyagent en el símbolo del sistema para detener los

servicios IPSec. c. Escriba net start policyagent en el símbolo del sistema para iniciar los

servicios IPSec. d. Escriba net start remoteaccess en el símbolo del sistema para iniciar

el Servicio de enrutamiento y acceso remoto.

Para configurar un registro de auditoría de modo que se use una conexión L2TP/IPSec:

1. Defina la opción del Registro KEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\IPSec\DiagnosticMode con el valor 1.

2. Para activar la nueva opción del Registro DiagnosticMode tras modificar su valor: a. Escriba net stop remoteaccess en el símbolo del sistema para detener

el Servicio de enrutamiento y acceso remoto. b. Escriba net stop policyagent en el símbolo del sistema para detener los

servicios IPSec. c. Escriba net start policyagent en el símbolo del sistema para iniciar los

servicios IPSec. d. Escriba net start remoteaccess en el símbolo del sistema para iniciar

el Servicio de enrutamiento y acceso remoto.

El controlador IPSec solamente escribe los sucesos en el registro del sistema una vez cada hora. Para obtener información adicional acerca del registro de sucesos del controlador IPSec, consulte los kits de recursos de Windows.

Procedimiento para configurar un registro Oakley para una conexión L2TP/IPSec

Nota

Procedimiento para configurar un registro de auditoría con una conexión L2TP/IPSec

Nota


Ejercicio: Configurar el registro en un servidor de acceso remoto


En este ejercicio, configurará el registro en un servidor de acceso remoto.


El ingeniero de sistemas ha diseñado un plan de registro para el servidor de acceso remoto del laboratorio. Deberá configurar el servidor de acceso remoto para que registre los datos de autenticación y de administración de cuentas.

! Configurar el registro de autenticación local en su servidor de acceso remoto

! Complete esta tarea desde los equipos de ambos alumnos. ! Herramienta administrativa: Enrutamiento y acceso remoto ! Registrar la siguiente información:

• Solicitudes de cuentas

• Solicitudes de autenticación

• Estado periódico ! Directorio del archivo de registro: C:\moc\2184\labfiles\lab10 ! Crear un nuevo archivo de registro: Diariamente

Introducción

Instrucciones


Ejercicio


! Comprobar que el archivo de registro no existe

! Complete esta tarea desde los equipos de ambos alumnos. ! Con el Explorador de Windows, abra: C:\moc\2184\labfiles\lab10 ! Compruebe que no existen archivos de registro y deje la carpeta abierta.

! Detener e iniciar el Servicio de enrutamiento y acceso remoto

! Complete esta tarea desde los equipos de ambos alumnos. ! Herramienta administrativa: Enrutamiento y acceso remoto

! Comprobar que el archivo de registro existe

! Complete esta tarea desde los equipos de ambos alumnos. ! Compruebe que el archivo de registro existe y cierre la carpeta.


Lección: Recopilar y supervisar los datos de acceso a la red


La información contenida en esta lección le permitirá adquirir las técnicas y conocimientos que necesita con el fin de recopilar y supervisar los datos de acceso a la red para el Servicio de enrutamiento y acceso remoto o IAS.


! Explicar los motivos de la recopilación de datos de rendimiento para el acceso a la red.

! Especificar y describir las diferentes herramientas que se utilizan para recopilar los datos de acceso a la red.

! Supervisar la actividad de las redes inalámbricas.

Introducción



Por qué recopilar datos de rendimiento


La supervisión del rendimiento del sistema es una parte fundamental a la hora de mantener y administrar los servicios de acceso a la red. Puede utilizar los datos de rendimiento para lo siguiente:

! Evaluar la carga de trabajo del servidor y el correspondiente efecto en los recursos del sistema.

! Observar los cambios y tendencias de las cargas de trabajo. ! Realizar un seguimiento del uso de los recursos para planear futuras

actualizaciones. ! Probar los cambios de configuración u otros intentos de ajuste mediante

la supervisión de los resultados. ! Aislar problemas tales como un error en la conexión, la interrupción

de conexiones activas y el rendimiento general. ! Identificar los componentes o procesos que pueden optimizarse.

Motivos para recopilar los datos de rendimiento


Herramientas para recopilar los datos de acceso a la red


Windows Server 2003 incluye las siguientes herramientas que puede utilizar para recopilar datos que le ayuden a identificar y prever los problemas de acceso a la red:

Monitor de sistema. Esta herramienta permite ver los datos de rendimiento en tiempo real relativos a componentes y servicios específicos. También puede utilizarla para ver los datos de rendimiento capturados u obtenidos con anterioridad. Registros y alertas de rendimiento. Esta herramienta le permite capturar datos de rendimiento específicos para componentes y servicios a través de un período configurable en un archivo de registro. También puede definir las alertas que se generan cuando se producen determinados sucesos, como los siguientes: ! Enviar un mensaje. ! Ejecutar un programa. ! Incluir una entrada en el registro de sucesos de la aplicación. ! Iniciar un registro cuando el valor de un contador seleccionado supera

o no alcanza la configuración especificada.

Monitor inalámbrico. El servicio Configuración inalámbrica registra información en el Monitor inalámbrico, lo que le permite: ! Identificar los cambios de configuración del servicio. ! Comprobar los sucesos registrados en el registro del servicio Configuración

inalámbrica que se generan fuera de su red inalámbrica, como las notificaciones de sucesos de medios, sucesos 802.1x y sucesos de caducidad de temporizadores.

! Ver detalles acerca de los puntos de acceso a la red y clientes inalámbricos.

Puede utilizar la información de registro para aislar problemas en el servicio inalámbrico.

Herramientas para recopilar datos


Entre los objetos utilizados comúnmente para supervisar los servidores de acceso a la red se incluyen los siguientes:

! Memoria, Procesador, Red y Disco. Estos objetos contienen contadores de servicio de red estándar que puede utilizar para todos los tipos de servidores. Con el Servicio de enrutamiento y acceso remoto, el lugar más propenso a sufrir cuellos de botella es la red. El Servicio de enrutamiento y acceso remoto e IAS no suelen provocar un uso significativo del procesador, la memoria y el disco si el servidor se destina a funciones de marcado. No obstante, si un servidor de acceso remoto o servidor IAS también aloja otras aplicaciones o servicios, éstos podrían competir por los recursos. En este caso, debería supervisar los cuatro contadores principales globalmente en el servidor con el fin de garantizar que una aplicación o servicio no usa los recursos en exceso de modo que pueda comprometer al resto de funciones del servidor.

Para obtener información adicional acerca de los objetos estándar de rendimiento, consulte el curso 2164A: Mantenimiento de un entorno Microsoft Windows Server� 2003.

! Servidor de autenticación IAS. Este objeto contiene contadores que puede utilizar para supervisar solicitudes entrantes y salientes, así como errores que detecta el servidor de autenticación.

! Clientes de autenticación IAS. Este objeto contiene contadores que puede utilizar para supervisar solicitudes entrantes y salientes, así como errores que detecta el cliente de autenticación.

! IPv4. Este objeto contiene contadores que puede utilizar para aislar datos de rendimiento del Protocolo de control de transporte/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol), errores, fallos y posibles ataques a la red.

! IPv6. Este objeto contiene los mismos contadores y funciones que IPv4, pero los contadores del objeto IPv6 se centran en este protocolo.

! Puerto RAS. Este objeto contiene contadores que proporcionan información acerca del rendimiento y funcionamiento de cada puerto de acceso remoto.

! Total RA. Este objeto contiene contadores que proporcionan información acerca del rendimiento y funcionamiento de todos los puertos de acceso remoto en conjunto.

Ejemplos de objetos comunes

Nota


Puede crear un registro de rendimiento para mantener un seguimiento de los errores en IAS. A continuación se enumeran algunos ejemplos de contadores que puede utilizar para aislar y resolver problemas comunes de acceso a la red:

! Datagrams Received Discarded (Datagramas recibidos descartados). Cantidad de datagramas IP de entrada descartados cuando surgió un problema que impedía su procesamiento continuado, como la falta de espacio en el búfer.

! Datagram Received Address Errors (Datagramas recibidos con errores de dirección). Cantidad de datagramas de IP descartados debido a errores en la dirección, como valores no válidos (0.0.0.0) y clases no admitidas (Clase E).

! Access-Request (Solicitudes de acceso). Cantidad de solicitudes de acceso recibidas.

! Access-Rejects (Rechazos de acceso). Cantidad de solicitudes de acceso rechazadas.

! Bad Authenticators (Autenticadores no válidos). Cantidad de paquetes que contienen un atributo del autenticador del mensaje no válido (RADIUS).

! Unknown Type (Tipo desconocido). Cantidad de paquetes de tipo desconocido (paquetes que no son RADIUS recibidos).

Ejemplos de contadores


Cómo supervisar la actividad de las redes inalámbricas


Puede utilizar el complemento Monitor inalámbrico para supervisar la actividad de las redes inalámbricas.


Para habilitar o deshabilitar el registro de información de clientes inalámbricos:

1. Cree una consola que contenga el Monitor inalámbrico. O bien, abra un archivo de consola guardado que contenga el Monitor inalámbrico.

2. Expanda el nombre del servidor que desee configurar. 3. Haga clic con el botón secundario del mouse en Información de cliente

inalámbrico y, a continuación, configure una de las siguientes opciones:

• Si desea habilitar el registro para clientes de redes inalámbricas, haga clic en Habilitar registro.

• Si desea deshabilitarlo, haga clic en Deshabilitar registro.

Puede ver el nombre de la red donde existe el punto de acceso, el tipo de red, la dirección de red y la actividad actual, además de la intensidad de la señal.

Para ver los detalles acerca de los puntos de acceso a la red inalámbricos:

1. Cree una consola que contenga el Monitor inalámbrico. O bien, abra un archivo de consola guardado que lo contenga.

2. Haga doble clic en Información de punto de acceso.

Introducción

Nota

Procedimiento para habilitar o deshabilitar el registro de información de clientes inalámbricos

Procedimiento para ver los detalles acerca de los puntos de acceso a la red inalámbricos


Puede ver el origen de la red desde donde se comunica el cliente inalámbrico, el tipo de comunicación, dónde se ha producido la comunicación y el nombre de la red.

Para ver los detalles acerca de los clientes de red inalámbrica:

1. Cree una consola que contenga el Monitor inalámbrico. O bien, abra un archivo de consola guardado que contenga el Monitor inalámbrico.

2. Haga doble clic en Información de cliente inalámbrico.

Procedimiento para ver los detalles acerca de los clientes de red inalámbrica


Ejercicio: Recopilar y supervisar los datos de acceso a la red


En este ejercicio, se ocupará de:

! Determinar las herramientas idóneas para supervisar e identificar determinados problemas de acceso a la red.

! Configurar registros de rendimiento.

Para completar este ejercicio, consulte el documento Valores del plan de implementación, incluido en el apéndice al final del cuaderno de trabajo. Debe haber iniciado sesión con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas apropiadas para realizar la tarea.

Los clientes de acceso a la red del laboratorio han experimentado problemas para conectarse y permanecer conectados al servidor de acceso a la red. Hay numerosas directivas de acceso remoto configuradas.

Otros usuarios de acceso a la red se han quejado de que sus conexiones se interrumpían tras ser validadas. Estos usuarios no han documentado los mensajes de error que recibían cuando se les desconectaba. Usted sospecha que los servidores de acceso remoto sufren una sobrecarga.

Objetivo

Instrucciones



! Determinar las herramientas que se utilizarán

! Los alumnos en parejas deberán responder a las siguientes preguntas: 1. ¿Qué herramienta configuraría para comprobar que se está aplicando

la directiva apropiada? Configure el registro de PPP para comprobar la directiva que se está aplicando y la directiva que está denegando el acceso a los usuarios de acceso remoto. ____________________________________________________________

____________________________________________________________

2. ¿Qué herramienta utilizaría para identificar a los usuarios que están siendo desconectados? Configurar registros de rendimiento le permite recopilar estadísticas acerca del número total de conexiones y de errores. También puede supervisar el rendimiento del procesador, el uso de la memoria y el uso de la red. ____________________________________________________________

____________________________________________________________

! Configurar registros de rendimiento

! Complete esta tarea desde los equipos de ambos alumnos. 1. En Herramientas administrativas, abra la consola Rendimiento. 2. Cree un nuevo Registro de contador. 3. En el cuadro Nueva configuración de registro, en el campo Nombre,

escriba Registro de contador RAS. 4. Agregue los objetos y contadores que se muestran en la tabla siguiente.

Objetos Contadores Memoria Kilobytes disponibles

Interfaz de red Total de bytes/s

Procesador % de tiempo de procesador

5. En la ficha Programación, compruebe que Iniciar registro está configurado como Manualmente (usando el menú contextual).

6. En la ficha Archivos de registro, configure la ubicación del archivo de registro como C:\Moc\2184\LabFiles\Lab10 con el nombre de archivo de NombreDeEquipoStress.log.

7. Guarde la consola Rendimiento como Registro de acceso remoto en el escritorio.

Ejercicio


Práctica A: Administrar y supervisar el acceso remoto


En esta práctica, va a supervisar el rendimiento de un servidor de acceso remoto mediante la consola Rendimiento.

Objetivos



Ejercicio 1 Supervisar un servidor de acceso remoto

Objetivo En este ejercicio, va a supervisar y corregir los errores de acceso remoto.

Instrucciones Para completar la práctica, remítase al documento Valores del plan de implementación que se encuentra en el apéndice al final del cuaderno de trabajo


Situación de ejemplo Los clientes de acceso remoto han observado problemas cuando se conectan a un servidor de acceso remoto de prueba en el laboratorio. Los clientes emplean conexiones VPN. Deberá efectuar cambios en el servidor VPN del laboratorio y, a continuación, supervisar los efectos que tengan dichos cambios en los clientes VPN.



1. Conéctese al servidor de acceso remoto con la conexión VPN, compruebe la conexión y, finalmente, desconéctese.

" Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo)


" Compruebe que Estado se muestra como Conectado y observe el tiempo en Duración.

" Desconéctese.


2. Configure el Protocolo de túnel punto a punto (PPTP) y los puertos L2TP para que el servidor de acceso remoto permita solamente conexiones de enrutamiento de marcado a petición.

" Puertos PPTP: deshabilite las conexiones de acceso remoto.

" Puertos L2TP: deshabilite las conexiones de acceso remoto.




3. Intente conectarse al servidor de acceso remoto mediante la conexión VPN y registre la información de error que se muestra en el cuadro de mensaje.

" Nombre de usuario: NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo)


" En el cuadro de mensaje Error al conectar al servidor VPN, compruebe que el identificador de error es 913.

" Observe el texto informativo que se muestra en el cuadro de mensaje.

" Copie el texto en el cuadro de error:____________________________

" Deje abierto el mensaje Error al conectar al servidor VPN.


4. Configure la directiva de acceso remoto Directiva VPN de manera que deniegue el acceso.

" Directiva VPN: deniegue el permiso de acceso remoto.



" En el cuadro de mensaje Error al conectar al servidor VPN, haga clic en Volver a marcar.


" Observe el texto informativo que se muestra en el cuadro de mensaje y, a continuación, haga clic en Cancelar para cerrar el cuadro de mensaje.

" Copie el texto en el cuadro de mensaje:__________________________



6. Configure el perfil de directiva de acceso remoto para que Directiva VPN permita el acceso solamente los domingos de 8:00 a.m. a 8:00 p.m. y, a continuación, configure la directiva para conceder acceso.

" Directiva VPN: Permitir acceso sólo en estos días y horas

" Horario de marcado: Domingo de 8:00 a.m. a 8:00 p.m.

" Directiva VPN: Conceder permiso de acceso remoto





" En el cuadro de mensaje Error al conectar al servidor VPN, haga clic en Volver a marcar.


" Observe el texto informativo que se muestra en el cuadro de mensaje y, a continuación, haga clic en Cancelar para cerrar el cuadro de mensaje.

" Copie el texto en el cuadro de mensaje:__________________________


" ¿Es el mismo error que recibió cuando configuró la directiva VPN para denegar los permisos de acceso?

" Con el botón Más información del cuadro de mensaje 649, enumere las causas posibles de este mensaje.

" En el cuadro de mensaje Más información de 649, lea el tercer punto.

Realice las tareas siguientes sólo en el equipo del alumno que tenga el número de identificación más bajo.

8. En el perfil de Directiva VPN, desactive la casilla de verificación Permitir acceso sólo en estos días y horas.

" Directiva VPN: desactive la casilla de verificación Permitir acceso sólo en estos días y horas.

9. Configure los puertos PPTP y L2TP en el servidor de acceso remoto para que permitan tanto las conexiones de acceso remoto como de enrutamiento de marcado a petición.

" Puertos PPTP: habilite las conexiones de acceso remoto.

" Puertos L2TP: habilite las conexiones de acceso remoto.


10. Conéctese al servidor de acceso remoto mediante la conexión VPN.

a. En el cuadro de mensaje Error al conectar al servidor VPN, haga clic en Volver a marcar.

b. En el cuadro de diálogo Estado, compruebe que en Estado se muestra Conectado y, a continuación, observe el tiempo de duración.

c. Desconéctese.

Apéndice B: Valores del plan de implementación

Instrucciones: consulte los valores de este documento cuando realice los ejercicios y las prácticas del curso 2184A, Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft® Windows Server� 2003: Servicios de red. Las columnas sombreadas y no sombreadas de las siguientes tablas representan a los equipos asociados de los ejercicios y las prácticas. La x del tercer octeto hace referencia al número de aula. Solicite a su instructor que le facilite dicho número.

London Glasgow Vancouver Denver Perth Brisbane

NombreDeEquipo London Glasgow Vancouver Denver Perth Brisbane

srv LON GLA VAN DEN PER BRI

Equipo asociado Inferior Superior Inferior Superior Inferior Superior

Conexión de red del aula 192.168.x.200 192.168.x.100 192.168.x.101 192.168.x.102 192.168.x.103 192.168.x.104

Conexión de red del asociado 192.168.100.1 192.168.100.2 192.168.101.1 192.168.101.2 192.168.102.1 192.168.102.2

NombreEquipoAdmin LondonAdmin GlasgowAdmin VancouverAdmin DenverAdmin PerthAdmin BrisbaneAdmin

NombreDeEquipoUser LondonUser GlasgowUser VancouverUser DenverUser PerthUser BrisbaneUser

Apéndice B: Valores del plan de implementación Página 2

Lisbon Bonn Lima Santiago Bangalore Singapore

NombreDeEquipo Lisbon Bonn Lima Santiago Bangalore Singapore

srv LIS BON LIM SAN BAN SIN




NombreDeEquipoAdmin LisbonAdmin BonnAdmin LimaAdmin SantiagoAdmin BangaloreAdmin SingaporeAdmin

NombreDeEquipoUser LisbonUser BonnUser LimaUser SantiagoUser BangaloreUser SingaporeUser

Casablanca Tunis Acapulco Miami Auckland Suva

NombreDeEquipo Casablanca Tunis Acapulco Miami Auckland Suva

srv CAS TUN ACA MIA AUK SUV




NombreDeEquipoAdmin CasablancaAdmin TunisAdmin AcapulcoAdmin MiamiAdmin AucklandAdmin SuvaAdmin

NombreDeEquipoUser CasablancaUser TunisUser AcapulcoUser MiamiUser AucklandUser SuvaUser

Apéndice B: Valores del plan de implementación Página 3

Stockholm Moscow Caracas Montevideo Manila Tokyo

NombreDeEquipo Stockholm Moscow Caracas Montevideo Manila Tokyo

srv STO MOS CAR MON MAN TOK




NombreDeEquipoAdmin StockholmAdmin MoscowAdmin CaracasAdmin MontevideoAdmin ManilaAdmin TokyoAdmin

NombreDeEquipoUser StockholmUser MoscowUser CaracasUser MontevideoUser ManilaUser TokyoUser

Khartoum Nairobi

NombreDeEquipo Khartoum Nairobi

srv KHA NAI

Equipo asociado Inferior Superior

Conexión de red del aula 192.168.x.123 192.168.x.124

Conexión de red del asociado 192.168.112.1 192.168.112.2

NombreDeEquipoAdmin KhartoumAdmin NairobiAdmin

NombreDeEquipoUser KhartoumUser NairobiUser

implementacion, administracion y mantenimiento de inraestructura de redes-servicios de red...

Documents