Windosw Server 2008 Arquitectura y Gestion de Los Servicios de Dominio (AD DS)

8/9/2019 Windosw Server 2008 Arquitectura y Gestion de Los Servicios de Dominio (AD DS)

1/400

Introduccin a los servicios de directorioActive Directory

Captulo 1

A. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . 16

B. Funcin del servicio de directorio en la empresa. . . . . . . . . . 16

C. Posicionamiento e innovaciones de Windows Server 2008 . . . . . 171. Versin principal de Windows Server . . . . . . . . . . . . . . . . 172. Evoluciones en materia de seguridad . . . . . . . . . . . . . . . . 173. Acceso a las aplicaciones y movilidad . . . . . . . . . . . . . . . . 184. Virtualizacin de servidores . . . . . . . . . . . . . . . . . . . . 185. Novedades aportadas por Windows Server 2008... . . . . . . . . . . 186. Innovaciones aportadas a Active Directory . . . . . . . . . . . . . . 20

a. AD DS: Auditora . . . . . . . . . . . . . . . . . . . . . . . 20b. AD DS: Gestin granular de las polticas de contrasea . . . . . . . 21c. AD DS: Controladores de dominio de slo lectura . . . . . . . . . 21d. AD DS: Rearranque de los servicios de dominio Active Directory . . . 21e. AD DS: Ayuda en la recuperacin de datos . . . . . . . . . . . . 21f. AD DS: Mejoras de la interfaz Active Directory. . . . . . . . . . . 22

D. Windows Server 2008: estrategia de Microsoft . . . . . . . . . . 231. Integracin de la innovacin en Windows Server . . . . . . . . . . . 23

2. El nuevo ciclo de productos Windows Server . . . . . . . . . . . . . 24a. Versiones principales . . . . . . . . . . . . . . . . . . . . . 24b. Versiones de actualizacin . . . . . . . . . . . . . . . . . . . 24c. Service Packs . . . . . . . . . . . . . . . . . . . . . . . . 24d. Feature Packs . . . . . . . . . . . . . . . . . . . . . . . . 25

3. Windows Server 2008 "R2" . . . . . . . . . . . . . . . . . . . . 254. Acerca de Windows Server 2003 . . . . . . . . . . . . . . . . . . 25

E. Servicios fundamentales y protocolos estndar . . . . . . . . . . 27

DNS: conceptos, arquitectura y administracin Captulo 2

A. Introduccin al servicio DNS . . . . . . . . . . . . . . . . . . 321. Un poco de historia . . . . . . . . . . . . . . . . . . . . . . . 32

Contenido

Windows Server 2008 1


2/400

2. Qu son los servicios DNS? . . . . . . . . . . . . . . . . . . . . 343. Terminologa del sistema DNS . . . . . . . . . . . . . . . . . . . 35

a. El espacio de nombre DNS (Domain Namespace) . . . . . . . . . 35b. Jerarqua DNS y espacio de nombres Internet . . . . . . . . . . . 39

4. El DNS: base de datos distribuida . . . . . . . . . . . . . . . . . 40

B. Estructura del espacio DNS y jerarqua de dominios . . . . . . . . 421. El dominio raz . . . . . . . . . . . . . . . . . . . . . . . . . 422. Los dominios de primer y segundo nivel . . . . . . . . . . . . . . . 42

C. Los registros de recursos . . . . . . . . . . . . . . . . . . . . 44

D. Dominios, zonas y servidores DNS. . . . . . . . . . . . . . . . 451. Dominios DNS y zonas DNS . . . . . . . . . . . . . . . . . . . . 462. Zonas y ficheros de zonas . . . . . . . . . . . . . . . . . . . . . 47

3. Nombres de dominio DNS y nombres de dominio Active Directory . . . . 554. Tipos de zonas y servidores de nombres DNS. . . . . . . . . . . . . 56

a. Servidores de nombres y zonas primarias . . . . . . . . . . . . . 56b. Servidores de nombres y zonas secundarias . . . . . . . . . . . . 59c. Tipos de transferencia de zonas DNS. . . . . . . . . . . . . . . 63d. Servidores de cach y servidores DNS . . . . . . . . . . . . . . 65

5. Establecimiento de las zonas estndar: buenas prcticas . . . . . . . . 666. Delegacin de las zonas . . . . . . . . . . . . . . . . . . . . . . 697. Uso de los reenviadores . . . . . . . . . . . . . . . . . . . . . . 72

8. Zonas de cdigo auxiliar. . . . . . . . . . . . . . . . . . . . . . 74a. Contenido de una zona de cdigo auxiliar. . . . . . . . . . . . . 74b. Ventajas de las zonas de cdigo auxiliar . . . . . . . . . . . . . 75c. Actualizacin de las zonas de cdigo auxiliar . . . . . . . . . . . 75d. Operaciones en las zonas de cdigo auxiliar . . . . . . . . . . . . 76

9. Reenviadores, zona de cdigo auxiliar y delegacin: buenas prcticas . . . 77

E. Gestin de los nombres multihost . . . . . . . . . . . . . . . . 79

F. Caducidad y borrado de los registros DNS . . . . . . . . . . . . 79

G. Opciones de inicio del servidor DNS . . . . . . . . . . . . . . . 82

H. Recursividad de los servidores DNS y proteccin de los servidores . . 851. Bloqueo de los ataques de tipo Spoofing DNS . . . . . . . . . . . . 85

Contenido

2 Servicios de dominio Active Directory


3/400

2. Bloqueo de los ataques de tipo Spoofing DNS en servidores de tipo Internet 86

I. Sntesis de las funciones de los servidores DNS . . . . . . . . . . 86

J. Comandos de gestin del servicio DNS . . . . . . . . . . . . . . 871. El comando ipconfig . . . . . . . . . . . . . . . . . . . . . . . 88

a. Administracin de la cach del cliente DNS y de los registros dinmicos 88b. Renovacin de la inscripcin del cliente DNS . . . . . . . . . . . 89c. Nuevas opciones del comando ipconfig . . . . . . . . . . . . . . 91

2. El comando NSLookup . . . . . . . . . . . . . . . . . . . . . . 923. El comando DNSCmd . . . . . . . . . . . . . . . . . . . . . . . 934. El comando DNSLint . . . . . . . . . . . . . . . . . . . . . . . 955. El comando Netdiag . . . . . . . . . . . . . . . . . . . . . . . 96

K. Supervisin del servicio DNS . . . . . . . . . . . . . . . . . . 98

1. Definicin de una base de referencia . . . . . . . . . . . . . . . . 982. Uso de la consola Administracin del servidor . . . . . . . . . . . . 1023. Uso de los visores de sucesos . . . . . . . . . . . . . . . . . . . 1034. Uso de los registros de depuracin DNS . . . . . . . . . . . . . . . 105

L. Restauracin de los parmetros predeterminados . . . . . . . . . 106

M. Interfaz NetBIOS y Configuracin DNS del cliente Windows XPProfessional . . . . . . . . . . . . . . . . . . . . . . . . . 1081. A propsito de la interfaz NetBIOS . . . . . . . . . . . . . . . . . 108

a. Interfaz NetBIOS y configuracin DNS del cliente Windows XPProfessional . . . . . . . . . . . . . . . . . . . . . . . . . 108b. Tipos de nombres tolerados . . . . . . . . . . . . . . . . . . 108c. Posicionamiento de la interfaz NetBIOS en relacin con TCP/IP. . . . 109

2. Plataforma Windows e interfaz Windows . . . . . . . . . . . . . . . 109a. Servicios NetBIOS y cdigos de servicios Microsoft . . . . . . . . . 109b. Resolucin de nombre NetBIOS . . . . . . . . . . . . . . . . . 112c. Orden de las resoluciones NetBIOS . . . . . . . . . . . . . . . 113d. Orden de resolucin de una estacin de trabajo de tipo H-nodo . . . 113

e. Interfaz y nombres NetBIOS, resoluciones WINS y dominiosActive Directory. . . . . . . . . . . . . . . . . . . . . . . . 117

3. Configuracin de un puesto cliente Active Directory . . . . . . . . . . 117a. A propsito de los clientes Active Directory . . . . . . . . . . . . 117

Contenido



4/400

b. Estaciones de trabajo Windows XP y configuracin DNS necesariapara los entornos de dominios Active Directory . . . . . . . . . . 123

4. Peticiones de resolucin DNS y NetBIOS: Proceso de seleccin del mtodo 1335. Prueba de integracin del equipo en el dominio Active Directory . . . . . 133

N. Novedades del servicio DNS de Windows Server 2008 . . . . . . . . 1341. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . 1342. Carga de zonas en segundo plano. . . . . . . . . . . . . . . . . . 1343. Soporte de direcciones IPv6 . . . . . . . . . . . . . . . . . . . . 1354. Soporte DNS de los controladores de dominio de slo lectura . . . . . . 1355. Soporte de zonas de tipo GlobalNames . . . . . . . . . . . . . . . 1366. Evoluciones de la parte cliente DNS de Windows Vista y

Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 1387. Seleccin de controladores de dominio con Windows Vista y

Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 138

Integracin de las zonas DNSen Active Directory

Captulo 3

A. Introduccin a la integracin de las zonas DNS en Active Directory . 142

B. Almacenamiento de las zonas DNS y replicacin de Active Directory . 1421. Objetos ordenadores Active Directory y denominaciones . . . . . . . . 1432. Ventajas de la integracin de las zonas DNS en Active Directory . . . . . 145

a. Actualizacin en modo multimaestro . . . . . . . . . . . . . . . 145b. Seguridad avanzada de los controles de acceso en la zona y

en los registros . . . . . . . . . . . . . . . . . . . . . . . . 1463. Particiones predeterminadas disponibles con Windows 2000 . . . . . . 1494. Integracin de las zonas DNS en Active Directory con Windows 2000 . . 1515. Integracin de las zonas DNS en Active Directory con Windows Server 2003

y Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . 153a. ForestDnsZones.NombreBosqueDns . . . . . . . . . . . . . . . 155b. DomainDnsZones.NombredeDominioDns . . . . . . . . . . . . . 156

c. Utilizacin de otras particiones del directorio de aplicaciones. . . . . 156d. Creacin de una particin en el directorio de aplicacionesActive Directory. . . . . . . . . . . . . . . . . . . . . . . . 157

e. Replicacin de las particiones del directorio de aplicacionesy caso de los catlogos globales . . . . . . . . . . . . . . . . . 158

Contenido



5/400

f. Almacenamiento de las zonas, particiones de aplicaciones yreplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . 159

g. Zonas DNS integradas en Active Directory y particiones de directorioADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

h. Condiciones necesarias para realizar un cambio de almacenamiento. . 162

i. Sugerencias de raz . . . . . . . . . . . . . . . . . . . . . . 162j. Almacenamiento de las zonas en Active Directory y registros dinmicos

de los controladores de dominio Windows 2000, Windows Server 2003y Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 163

6. Proteger las actualizaciones dinmicas. . . . . . . . . . . . . . . . 164a. Configurar las actualizaciones dinmicas seguras. . . . . . . . . . 164

7. Actualizaciones seguras y registros DNS realizados a travs de DHCP. . . 167a. Uso del grupo especial DNSUpdateProxy para realizar

las actualizaciones dinmicas de las zonas DNS seguras . . . . . . 170

b. Proteccin de los registros al usar el grupo DnsUpdateProxy . . . . . 170c. Proteccin de las zonas DNS y poder del servicio servidor DHCPsobre los controladores de dominio Active Directory . . . . . . . . 171

d. Comando Netsh y declaracin de la autenticacin del servidor DHCP . 1738. Conflictos de gestin de las confianzas en las zonas DNS. . . . . . . . 173

C. Integracin de los servidores DNS Windows con el servidor existente . 1741. A propsito de los RFC soportados por el servicio DNS

de Windows Server 2003 y Windows Server 2008 . . . . . . . . . . 1742. A propsito de los RFC 1034 y 1035 . . . . . . . . . . . . . . . . 175

3. Consulta de los RFC en la Web. . . . . . . . . . . . . . . . . . . 1764. Interoperabilidad de los servicios DNS de Windows Server 2003 y 2008 . . 1765. Problemas de compatibilidad y bsquedas directa e indirecta WINS . . . 1766. Especificidad del DNS de Windows 2000 Server, Windows Server 2003 y

Windows Server 2008 e integracin dinmica en los servidores DHCP . . . 1777. Autorizaciones de las transferencias de zona . . . . . . . . . . . . . 177

Localizacin de servicios Active Directoryy servicios DNS

Captulo 4

A. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . 180

B. Servicio de Localizacin DNS y seleccin de los controladoresde dominio. . . . . . . . . . . . . . . . . . . . . . . . . . 180

Contenido



6/400

C. Estructura DNS e integracin en el directorio Active Directory . . . . 185

D. Registros DNS "Ubicacin de servicio" de los controladores de dominio 1871. Estructura de acogida de la zona DNS para los registros de recursos

de tipo SRV . . . . . . . . . . . . . . . . . . . . . . . . . . . 188

a. A propsito del registro de recursos DNS de tipo SRV. . . . . . . . 189b. Registros SRV inscritos en el servicio "Inicio de sesin de red" . . . . 191c. A propsito del registro DsaGuid._msdcs.NombredeBosque . . . . . 194d. Registros de recursos para los clientes no compatibles

con los registros SRV . . . . . . . . . . . . . . . . . . . . . 1942. Servidores DNS no dinmicos y registros dinmicos

de los controladores de dominio . . . . . . . . . . . . . . . . . . 1943. A propsito de la zona DNS del dominio raz del bosque . . . . . . . . 195

E. Restricciones y problemas potenciales . . . . . . . . . . . . . . 196

F. Control rpido de los registros de recursos . . . . . . . . . . . . 1971. Pruebas de registros DNS . . . . . . . . . . . . . . . . . . . . . 197

G. Gestin del problema de la transicin de los controladoresde dominio NT a Active Directory . . . . . . . . . . . . . . . . 200

Componentes de la estructura lgica Captulo 5

A. Introduccin a los componentes de la estructura lgica . . . . . . . 206

B. Los dominios . . . . . . . . . . . . . . . . . . . . . . . . . 2061. Contenedor (container) dentro del bosque . . . . . . . . . . . . . . 2082. Niveles funcionales de los dominios . . . . . . . . . . . . . . . . . 2093. Gestin de las directivas en los dominios. . . . . . . . . . . . . . . 2134. Delegacin de la administracin de dominios y control

de los parmetros especficos de dominio . . . . . . . . . . . . . . 2145. Uso del dominio como unidad de replicacin elemental. . . . . . . . . 2166. Lmites del dominio Active Directory y delegacin obligatoria . . . . . . 217

C. Controladores de dominio y estructura lgica . . . . . . . . . . . 220D. Las unidades organizativas (OU) . . . . . . . . . . . . . . . . 223

E. Los rboles . . . . . . . . . . . . . . . . . . . . . . . . . 229

Contenido



7/400

F. Los bosques . . . . . . . . . . . . . . . . . . . . . . . . . 2371. Criterios, funcin y buen uso de los bosques . . . . . . . . . . . . . 2392. Configuracin del bosque y del dominio raz . . . . . . . . . . . . . 2393. Activacin de las nuevas funcionalidades de bosque de Windows Server 2003

y de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 2414. Unidades de replicacin y funcin de los bosques . . . . . . . . . . . 2465. Maestros de operaciones FSMO de bosques . . . . . . . . . . . . . 2496. El bosque y la infraestructura fsica Active Directory . . . . . . . . . . 2497. Fronteras de seguridad y funcin de los bosques . . . . . . . . . . . 2518. Confianzas dentro de los bosques Active Directory . . . . . . . . . . . 253

a. Beneficios de la transitividad en las confianzas . . . . . . . . . . 253b. Estructura del bosque y confianzas . . . . . . . . . . . . . . . 254c. Confianzas y objetos TDO en los bosques Active Directory . . . . . . 255

d. Tipos de confianza soportadas . . . . . . . . . . . . . . . . . 259e. Bosques Windows Server (2003 o 2008) y confianzas de bosques . . 261f. Enrutamiento de los sufijos de nombres y confianzas en el bosque . . 262g. Uso del comando Netdom para crear y administrar confianzas . . . . 265

G. xito del proceso de actualizacin de Active Directory a los serviciosde dominio Active Directory de Windows Server 2008 . . . . . . . 2661. Comprobaciones y gestin de los riesgos . . . . . . . . . . . . . . . 2672. Preparacin de la infraestructura Active Directory

para Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 267

3. Implementacin de un nuevo controlador Windows Server 2008 AD DS . . 2694. Reasignacin de funciones FSMO . . . . . . . . . . . . . . . . . . 2695. Operaciones de finalizacin Post Migracin . . . . . . . . . . . . . . 270

a. Modificacin de las directivas de seguridad de los controladoresde dominio . . . . . . . . . . . . . . . . . . . . . . . . . 270

b. Actualizacin de las autorizaciones de objetos GPOpara los dominios migrados a partir de Windows 2000 . . . . . . . 271

Grupos, OUs y delegacin Captulo 6

A. Introduccin a los grupos, OUs y delegacin . . . . . . . . . . . 274

B. Uso de los grupos en el entorno Active Directory . . . . . . . . . 2741. Los diferentes tipos de grupos Windows . . . . . . . . . . . . . . . 274

Contenido



8/400

a. Los grupos de seguridad . . . . . . . . . . . . . . . . . . . . 275b. Los grupos de distribucin . . . . . . . . . . . . . . . . . . . 276

2. mbito de los grupos . . . . . . . . . . . . . . . . . . . . . . . 276a. Los grupos globales . . . . . . . . . . . . . . . . . . . . . . 276b. Los grupos locales de dominio . . . . . . . . . . . . . . . . . 277c. Los grupos universales . . . . . . . . . . . . . . . . . . . . . 277

3. Reglas generales relativas a los objetos grupos . . . . . . . . . . . . 278a. Uso correcto de las cuentas de grupo . . . . . . . . . . . . . . 278b. Uso correcto de los grupos universales . . . . . . . . . . . . . . 279

C. Definicin de una estructura de unidades organizativas . . . . . . . . 2791. Funcin de los objetos unidades organizativas . . . . . . . . . . . . 2792. Uso de las unidades organizativas y relacin con la organizacin

de la empresa . . . . . . . . . . . . . . . . . . . . . . . . . . 280

3. Delegacin de la autoridad de administracin y uso de las unidadesorganizativas . . . . . . . . . . . . . . . . . . . . . . . . . . 282a. Estructura basada en la naturaleza de los objetos administrados . . . 282b. Estructura basada en las tareas de administracin . . . . . . . . . 283c. Factores a integrar en la definicin de una jerarqua de unidades

organizativas . . . . . . . . . . . . . . . . . . . . . . . . . 2831. Uso de las unidades organizativas para las directivas de grupo . . . . . 2882. Reglas generales y buenas prcticas. . . . . . . . . . . . . . . . . 288

Principios fundamentalesde las directivas de grupo

Captulo 7

A. Tecnologa IntelliMirror . . . . . . . . . . . . . . . . . . . . 2921. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . 2922. Aportacin para la empresa . . . . . . . . . . . . . . . . . . . . 2923. Modificaciones realizadas a las GPO por los clientes Windows Vista . . . 294

a. Mejora de la deteccin de red (Network Location Awareness) . . . . 295b. Directivas locales mltiples (LGPO) . . . . . . . . . . . . . . . 295

c. Mejor gestin de los mensajes de eventos. . . . . . . . . . . . . 296d. Antiguos ADM y nuevos ADMX . . . . . . . . . . . . . . . . . 296e. Windows Vista soporta numerosas nuevas categoras . . . . . . . . 298

Contenido



9/400

4. Novedades aportadas en las estaciones cliente gracias a los cambiosen las directivas de grupo de Windows Server 2008 . . . . . . . . . . 298a. La administracin centralizada de los parmetros de gestin de energa 298b. Mejoras aportadas a los parmetros de seguridad . . . . . . . . . 300c. Mejora de la gestin de los parmetros vinculados a Internet Explorer . 300

d. Asignacin de impresoras en funcin del sitio Active Directory . . . . 301e. Delegacin de la instalacin de controladores de impresora a travs

de las GPO. . . . . . . . . . . . . . . . . . . . . . . . . . 301f. Nuevos objetos "GPO Starter" . . . . . . . . . . . . . . . . . . 302g. Parmetros del protocolo NAP - Network Access Protection . . . . . 303

5. Nuevas preferencias de directivas de grupo de Windows Server 2008 . . 304a. Preferencias o directivas de grupo? . . . . . . . . . . . . . . . 305b. Despliegue e implementacin de Preferencias de directivas de grupo . 307c. Familias de parmetros soportadas por las Preferencias de directivas

de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . 309d. Operaciones y Acciones en los Elementos de las Preferencias . . . . 312e. Parar el tratamiento de los elementos de esta extensin si se produce

un error . . . . . . . . . . . . . . . . . . . . . . . . . . . 313f. Ejecutar en el contexto de seguridad del usuario conectado

(opcin de directiva de usuario) . . . . . . . . . . . . . . . . . 313g. Eliminar el elemento cuando no se aplica . . . . . . . . . . . . . 314h. Aplicar una vez y no volver a aplicar . . . . . . . . . . . . . . . 314i. Seleccin a nivel del elemento de Preferencias. . . . . . . . . . . 314

j. Utilizacin de variables en el editor de seleccin . . . . . . . . . . 315k. Seguimiento de la ejecucin de las Preferencias de directivas de grupo 316

B. Creacin y configuracin de objetos de directiva de grupo. . . . . . 3181. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . 3182. Directivas de grupo y relacin con las tecnologas . . . . . . . . . . . 3183. Qu contiene una directiva de grupo?. . . . . . . . . . . . . . . . 319

a. Plantillas administrativas . . . . . . . . . . . . . . . . . . . . 319b. Reglas de seguridad para los ordenadores y plantillas de seguridad . . 321

c. Administracin de las aplicaciones. . . . . . . . . . . . . . . . 327d. Administracin de la ejecucin de archivos de comandos . . . . . . 331e. Administracin de los servicios de instalacin remota RIS . . . . . . 331

Contenido



10/400

f. Administracin de los parmetros de configuracin y seguridadde Internet Explorer . . . . . . . . . . . . . . . . . . . . . . 333

g. Redireccionamiento de las carpetas de usuario (carpetas especiales) . 334h. Qu es una directiva de grupo?. . . . . . . . . . . . . . . . . 338i. Qu es una directiva local? . . . . . . . . . . . . . . . . . . 338

4. Estructura fsica de una directiva de grupo . . . . . . . . . . . . . . 340a. Objeto contenedor de directiva de grupo . . . . . . . . . . . . . 340b. Plantilla de la directiva de grupo . . . . . . . . . . . . . . . . 343c. Componentes de una directiva de grupo . . . . . . . . . . . . . 344d. Plantillas de directivas de grupo ADMX para Windows Vista . . . . . 345e. Creacin de "Central Store" en SYSVOL . . . . . . . . . . . . . . 350f. Recomendaciones sobre la administracin de las GPO

en Windows Vista. . . . . . . . . . . . . . . . . . . . . . . 3515. Aplicacin de las directivas de grupo en el entorno Active Directory . . . 352

a. Aplicacin con la plantilla S,D,OU y orden de procesamiento. . . . . 352b. Dominios Active Directory y dominios NT: L, S, D, OU y 4, L, S, D, OU 355c. Vnculos de las directivas de grupo a los objetos Sitios, Dominio y

Unidades Organizativas y herencia. . . . . . . . . . . . . . . . 356d. Vnculos y atributo gPLink . . . . . . . . . . . . . . . . . . . 357e. Seleccin del controlador de dominio preferido. . . . . . . . . . . 357

6. Creacin de una directiva de grupo con las herramientas de Active Directory 360a. Uso de la consola de administracin MMC Usuarios y equipos

Active Directory . . . . . . . . . . . . . . . . . . . . . . . . 361

b. Utilizacin de la consola de administracin MMC Sitios y serviciosActive Directory . . . . . . . . . . . . . . . . . . . . . . . 362

7. Creacin de una directiva de grupo con la GPMC . . . . . . . . . . . 363a. Creacin de una directiva de grupo no vinculada . . . . . . . . . . 363b. Creacin de una directiva de grupo vinculada . . . . . . . . . . . 363c. Administracin de los vnculos de directiva de grupo . . . . . . . . 363d. Eliminacin de una directiva de grupo . . . . . . . . . . . . . . 364e. Desactivacin de una directiva de grupo . . . . . . . . . . . . . 365

8. Administracin del despliegue . . . . . . . . . . . . . . . . . . . 365a. Administracin de los conflictos de procesamiento de las directivas

de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . 365b. Administracin del filtrado del despliegue de directivas de grupo . . . 367c. Puntos importantes . . . . . . . . . . . . . . . . . . . . . . 369

Contenido



11/400

d. Definicin de los filtros WMI . . . . . . . . . . . . . . . . . . 370

C. Configuracin de los parmetros de actualizacin de las directivasde grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . 3741. Restauracin de las directivas de grupo . . . . . . . . . . . . . . . 374

a. Restauracin de directivas en segundo plano . . . . . . . . . . . 374b. Ciclo de restauracin . . . . . . . . . . . . . . . . . . . . . 374c. Restauracin a peticin . . . . . . . . . . . . . . . . . . . . 374

2. Configuracin de la frecuencia de restauracin de las directivas de grupo . 3753. Restauracin con Gpupdate.exe. . . . . . . . . . . . . . . . . . . 3764. Procesamiento de los componentes de las directivas de grupo

en los vnculos de baja velocidad . . . . . . . . . . . . . . . . . . 377a. Procesamiento de la configuracin de directivas de grupo

no modificadas . . . . . . . . . . . . . . . . . . . . . . . . 378b.

Activacin de la deteccin de vnculos lentos . . . . . . . . . . . 378c. Forzado de la aplicacin de la configuracin de la directiva inclusocuando sta no ha cambiado . . . . . . . . . . . . . . . . . . 379

5. Prohibicin de la restauracin para usuarios . . . . . . . . . . . . . 3816. Procesamiento por bucle invertido (Loopback). . . . . . . . . . . . . 381

D. Administracin de las directivas de grupo con la consola GPMC . . . 3831. Operacin de copia de seguridad y restauracin de las directivas

de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3832. Operacin de copia de directivas de grupo . . . . . . . . . . . . . . 385

3. Operacin de importacin de la configuracin . . . . . . . . . . . . . 386a. Por qu usar la funcionalidad de importacin de la GPMC? . . . . . 386b. Uso de una tabla de correspondencias entre los objetos

de diferentes dominios o bosques . . . . . . . . . . . . . . . . 386

E. Comprobacin y resolucin de problemas relativos a las directivasde grupo con RsoP . . . . . . . . . . . . . . . . . . . . . . 387

F. Delegacin del control administrativo de directivas de grupo . . . . 3871. Conceder una delegacin a travs del grupo Propietarios del creador

de directivas de grupo . . . . . . . . . . . . . . . . . . . . . . 3892. Conceder una delegacin con ayuda de la consola de administracin GPMC 390

a. Conceder la delegacin de los vnculos de las directivas de grupo. . . 390b. Conceder un permiso de modelacin de directivas de grupo . . . . . 391

Contenido



12/400

c. Conceder una delegacin de creacin de filtros WMI . . . . . . . . 392

G. Recomendaciones para la definicin de una directiva de grupopara la empresa . . . . . . . . . . . . . . . . . . . . . . . 393

Despliegue y administracin del software Captulo 8A. Introduccin a la administracin del software . . . . . . . . . . . 396

1. IntelliMirror y la administracin del software . . . . . . . . . . . . . 3962. El ciclo de vida del software . . . . . . . . . . . . . . . . . . . . 397

B. Despliegue de software . . . . . . . . . . . . . . . . . . . . 4011. Las diferentes etapas . . . . . . . . . . . . . . . . . . . . . . . 401

a. Disponer de un paquete MSI . . . . . . . . . . . . . . . . . . 401b. Desplegar el software: Distribucin y seleccin de objetivos . . . . . 402

c. Asegurar el mantenimiento del software . . . . . . . . . . . . . 405d. Eliminar el software . . . . . . . . . . . . . . . . . . . . . . 405

2. Tecnologa Windows Installer y tipos de paquetes . . . . . . . . . . . 406a. Programas con formato Microsoft Windows Installer . . . . . . . . 406b. Aplicaciones reempaquetadas en formato MSI . . . . . . . . . . . 408c. Archivos .Zap . . . . . . . . . . . . . . . . . . . . . . . . 409d. Observaciones generales sobre los diferentes tipos de formatos

de instalacin . . . . . . . . . . . . . . . . . . . . . . . . 411

C. Configuracin del despliegue del software . . . . . . . . . . . . 4111. Creacin de un nuevo despliegue de aplicaciones . . . . . . . . . . . 411a. Creacin o modificacin de una directiva de grupo . . . . . . . . . 411b. Configuracin de las opciones de despliegue . . . . . . . . . . . 414c. Asociacin de las extensiones de archivos. . . . . . . . . . . . . 417d. Creacin de categoras de las aplicaciones pblicas. . . . . . . . . 417

D. Mantenimiento de los programas desplegados . . . . . . . . . . . 4181. Actualizacin de las aplicaciones . . . . . . . . . . . . . . . . . . 4182. Despliegue de los Services Packs y actualizaciones . . . . . . . . . . 420

3. Eliminacin del software. . . . . . . . . . . . . . . . . . . . . . 422

Contenido



13/400

Configuracin de las funciones de servidorescon los servicios AD

Captulo 9

A. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . 426

1. Servicios de directorio de Windows 2000 Server y servicios asociados . . 4262. Servicios de directorio de Windows Server 2003 y servicios asociados . . 4273. Servicios de directorio de Windows Server 2003 R2 y servicios asociados . . 4294. Servicios de directorio de Windows Server 2008 y servicios asociados . . 431

B. Active Directory Certificate Services (AD CS) . . . . . . . . . . . 4311. Introduccin a las infraestructuras de claves pblicas (PKI) . . . . . . . 4312. Los diferentes tipos de certificados . . . . . . . . . . . . . . . . . 432

a. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . 432

b. Naturaleza y contenido de un certificado digital . . . . . . . . . . 437c. Certificados X.509 versin 1 . . . . . . . . . . . . . . . . . . 440d. Certificados X.509 versin 2 . . . . . . . . . . . . . . . . . . 441e. Certificados X.509 versin 3 . . . . . . . . . . . . . . . . . . 442

3. Los certificados y la empresa. . . . . . . . . . . . . . . . . . . . 452a. Relacin entre los certificados y las autenticaciones . . . . . . . . 452b. mbito de utilizacin de los certificados . . . . . . . . . . . . . 454c. Utilizacin de los certificados digitales en la empresa . . . . . . . . 459d. Certificados de Usuarios . . . . . . . . . . . . . . . . . . . . 461

e. Certificados de equipos . . . . . . . . . . . . . . . . . . . . 461f. Certificados de aplicaciones. . . . . . . . . . . . . . . . . . . 463

4. Almacenamiento de los certificados . . . . . . . . . . . . . . . . . 464a. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . 464b. Almacenamiento de certificados e interfaz CryptoAPI . . . . . . . . 464c. Visualizacin de los certificados: Almacn lgico y almacn fsico. . . 466d. Archivado local de los certificados expirados. . . . . . . . . . . . 466e. Estructura de almacenamiento del almacn de certificados lgico . . . 467f. Origen de los certificados almacenados en los almacenes . . . . . . 469g. Proteccin y almacenamiento de claves privadas . . . . . . . . . . 470

5. Consola de administracin MMC de certificados . . . . . . . . . . . . 4716. Nuevas interfaces criptogrficas de Windows Vista y

Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . 472

Contenido



14/400

a. Interfaz CNG (Cryptographic API Next Generation) . . . . . . . . . 4727. Servicios de certificados de Windows Server 2008. . . . . . . . . . . 473

a. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . 473b. Por qu utilizar una PKI Microsoft Windows Server en lugar de otra? . 475c. Importancia de la Arquitectura de una infraestructura de clave pblica 476

8. Novedades aportadas por las Autoridades Windows Server 2008 . . . . 477a. Nuevo componente MMC PKI de empresa . . . . . . . . . . . . 478b. Inscripcin de los dispositivos de red con el protocolo MSCEP . . . . 479c. Evolucin de los mtodos de inscripcin Web con AD CS . . . . . . 486d. OCSP y parmetros de validacin de la ruta de acceso . . . . . . . 490

C. Active Directory Federation Services (AD FS) . . . . . . . . . . . 5021. Conceptos fundamentales . . . . . . . . . . . . . . . . . . . . . 5022. AD FS: Novedades aportadas por Windows Server 2008 . . . . . . . . 505

3. Instalacin de la funcin AD FS . . . . . . . . . . . . . . . . . . 5054. Referencias para AD FS con Windows Server 2008 . . . . . . . . . . 508

D. Active Directory Lightweight Directory Services (AD LDS) . . . . . . . . 5091. Conceptos fundamentales . . . . . . . . . . . . . . . . . . . . . 5092. AD LDS: Novedades aportadas por Windows Server 2008 . . . . . . . 5103. Instalacin de la funcin AD LDS . . . . . . . . . . . . . . . . . . 5114. Referencias para AD LDS con Windows Server 2008 . . . . . . . . . 523

E. Active Directory Rights Management Services (AD RMS) . . . . . . 5241. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . 5242. Conceptos fundamentales . . . . . . . . . . . . . . . . . . . . . 5253. AD RMS: Novedades aportadas por Windows Server 2008 . . . . . . . 5254. Instalacin de la funcin AD RMS de Windows Server 2008 . . . . . . 5275. Validacin del buen funcionamiento de la plataforma RMS . . . . . . . 5346. Referencias para AD RMS con Windows Server 2008 . . . . . . . . . 542

ndice. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545

Contenido



15/400

Este libro sobre Active Directory se dirige a arquitectos y administradores de redesinteresados en disear y administrar una infraestructura de

servicios de dominio Active Directory con Windows Server 2008. El enfoque arquitecturadel libro permite al lector comprender correctamente

los conceptos esenciales y tomar conciencia de las buenas prcticas.

Los primeros captulos describen la implementacin y la administracin de los servicios DNScon los servicios Active Directory. Los captulos

siguientes tratan sobre los elementos de estructura como los dominios, las OU, los rboles, los bosquesy la creacin y la configuracin de losobjetos directiva de grupo (nueva GPMC, anlisis y modelizacin RSoP, delegacin). Se presentan las nuevas posibilidades de lasPreferencias de directivas de grupoy el ciclo de vida del software se trata a travs de la gestin del software en las infraestructuras Active

Directory.

El ltimo captulo aborda la configuracin de las funciones de servidores con los servicios Active Directory de Windows Server 2008. Tras

recordar las bases propias de las infraestructuras PKI, se presentan los servicios de certificados AD CS. A continuacin se tratan las novedadesde Windows Server 2008, como las nuevas interfaces criptogrficas, el registro de dispositivos de red a travs del protocolo SCEPy el controlde las revocaciones a travs del protocolo OCSP.Finalmente, los principios fundamentales, las novedades y la instalacin de los servicios de federacin AD FS, los servicios LDAP AD LDSy losservicios de administracin de derechos digitales AD RMSle permitirn ver la importancia de las novedades aportadas por Windows Server 2008.

Este libro ha sido concebido y se difunde respetando los derechos de autor. Todas las marcas citadas han sido registradas por su editor respectivo. Reservados todos los

derechos. El contenido de esta obra est protegido por la Ley, que establece penas de prisin y/o multas, adams de las correspondientes indemnizaciones por daos y

perjuicios, para quienes reprodujeren, plagiaren, distribuyeren o comunicaren pblicamente, en todo o en parte, una obra literaria, artstica o cientfica, o su transformacin,

interpretacin o ejecucin artstica fijada en cualquier tipo de soporte o comunicada a travs de cualquier medio, sin la preceptiva autorizacin.

Este libro digital integra varias medidas de proteccin, entre las que hay un marcado con su identificador en las imgenes principales

Windows Server 2008

los servicios de dominio Active Directory

Jean-Franois APRA

Resumen

El autor

Jean-Franois APRA es Consultor Senior - Arquitecto de Infraestructuras Microsoft. Adems de participar enprogramas beta y seminarios tcnicos de Microsoft, ha dirigido muchos proyectos de infraestructura mundial para

clientes de prestigio. Es MVP (Microsoft Most Valuable Professionnal) Windows Server System - Directory Services. En

2007 particip en el estudio y la implementacin de una de las primeras plataformas AD RMS de administracin de

derechos digitales. Su pasin es grande y su compromiso como formador certificado Microsoft desde 1992 permite

responder a las expectativas de los especialistas Windows Server.

ENI Editions - All rights reserved - Sergio Ramirez Ramirez


16/400

Introduccin

Esta introduccin presenta los conceptos fundamentales de Active Directory, sus elementos de estructura y susgrandes funcionalidades.

El directorio Active Directory es ms que una simple funcionalidad ofrecida por Windows 2000, Windows Server 2003 yahora por Windows Server 2008. Juega un papel central en el seno de la estrategia Sistemas Distribuidos deMicrosoft. Esta introduccin indispensable le permitir comprender los fundamentos de esta estrategia.



17/400

Funcin del servicio de directorio en la empresa

El servicio de directorio es uno de los componentes ms importantes de un sistema de informacin, cualquiera que seasu tamao. Ofrece servicios centrales capaces de unir los mltiples elementos que componen el sistema deinformacin.

Por ejemplo, imagine que un usuario busca un elemento de la red sin conocer el nombre o el lugar donde encontrarlo.A primera vista, el problema parece irresoluble aunque al final no lo es tanto. De hecho, el usuario podr resolver lmismo el problema iniciando una bsqueda en el sistema de directorio sobre la base de uno o ms atributos queconozca. De esta manera, a nuestro usuario le es posible localizar una impresora a color que soporte la impresin ados caras y que grape, y esto en un emplazamiento geogrfico en concreto.

A travs de este primer ejemplo, podemos introducir los fundamentos del directorio Active Directory. El directorio ActiveDirectory debe ofrecer los medios para almacenar toda la informacin que caracteriza el conjunto de objetos quepuedan existir en la red de la empresa as como disponer de los servicios capaces de dar esta informacin globalmenteutilizable por los usuarios, y esto, en funcin de sus derechos y privilegios.

En consecuencia, los servicios de dominio Active Directory de Windows Server ofrecen los siguientes servicios:

La posibilidad de publicar a escala de la empresa los servicios indispensables para el buen funcionamiento de

sta. Los servicios de carcter global podrn encontrar su lugar en el seno de un servicio de directorio queofrezca tales posibilidades de publicacin y de seleccin. Por ejemplo, podra ser, para una aplicacin que seejecuta en una estacin de trabajo, localizar el servidor de mensajera instantnea ms cercano y disponible.Para retomar el ejemplo anterior, se podra tratar de una estacin de trabajo que deba seleccionar unaautoridad de certificacin capaz de dar un certificado que permita acceder a un sitio o a una aplicacinparticularmente segura.

Pueden, si es necesario, jugar el papel de columna vertebral para el conjunto de servicios de seguridad de la

red de la empresa. De esta manera, los administradores pueden apoyarse sobre un modelo de gestin globalde la seguridad, que les permitir garantizar fcilmente un alto nivel de seguridad de los accesos y una mejorconfidencialidad de los datos sensibles. Por ejemplo, ste podra ser el caso de la distribucin automtica decertificados digitales para firmar un correo electrnico, o bien ocuparse de la autentificacin de usuarios conuna tarjeta inteligente, o mediante la verificacin de la huella digital o, por qu no, tambin del iris. Tambin sepuede tratar de la distribucin de las listas de control de acceso a un firewall en funcin de la autentificacin deun usuario con una conexin VPN. De esta manera, los servicios de dominio Active Directory permiten, o no, aun usuario remoto acceder a ciertos recursos de la red privada controlando dinmicamente las reglascontenidas en el firewall.

El directorio est distribuido globalmente. Esta funcionalidad permite al conjunto de los usuarios de la red

contar con el conjunto de los servicios de seguridad, de los servicios de aplicativos y de los servicios debsqueda de Active Directory. Evidentemente, los servicios globales deben ser accesibles globalmente. Nopuede ser de otra manera, sobretodo si se trata de controles de acceso y del buen funcionamiento deaplicaciones crticas como la mensajera y los servicios de colaboracin. Est claro que estas exigenciasnecesitarn una adopcin generalizada de tecnologas indispensables para la implementacin de stas.

El directorio debe disponer de funciones naturales que le permitan resistir los fallos. La replicacin del directorio

Active Directory en cada localizacin geogrfica importante permitir al directorio jugar su papel central. Porejemplo, la desaparicin de un controlador de dominio en una localizacin geogrfica dada, puede sersolucionada sin necesitar la intervencin humana.

Los servicios de dominio Active Directory aportan la tecnologa de particionado que permite contar con un

espacio de almacenaje distribuido en toda la empresa. De esta manera, el directorio Active Directory es capazde administrar millones de objetos y permite a los usuarios acceder independientemente de su ubicacin o dela de los recursos. Este rol central dar al servicio de directorio Active Directory un carcter particularmenteestratgico y crtico que convendr considerar.



18/400

Posicionamiento e innovaciones de Windows Server 2008

1. Versin principal de Windows Server

Windows Server 2008 ha sido concebido como una versin principal para proporcionar a las empresas una plataformams productiva para virtualizar cargas de trabajo, alimentar las aplicaciones y proteger redes. Las mayoresevoluciones y avances permiten proporcionar una plataforma segura fcil de gestionar, desde el simple servidor degrupo de trabajo al centro de datos de la empresa.

2. Evoluciones en materia de seguridad

La seguridad ha sido igualmente mejorada gracias a la proteccin de los accesos a redes (NAP, Network AccessProtection), los nuevos controladores de dominio de slo lectura (RODC, Read Only Domain Controller) y a la nuevaversin de los servicios e infraestructura de clave pblica (AD CS, Active Directory Certificate Services). Los servicios degestin de derechos digitales RMS (AD RMS, Active Directory Rights Management Services) permiten tambin la gestinde informacin crtica y datos confidenciales tanto dentro como fuera de la empresa. La presencia de funciones derefuerzo de los servicios Windows, del nuevo firewall de Windows bidireccional y de funciones criptogrficas CNG(Crypto Next Generation) son tambin puntos esenciales.

3. Acceso a las aplicaciones y movilidad

Los usuarios mviles no se quedan atrs puesto que ahora es posible ejecutar programas desde cualquieremplazamiento remoto gracias a RemoteApp y las funciones de Terminal Services Gateway. Windows Server 2008permite tambin a los equipos de despliegue progresar gracias a los Servicios de despliegue Windows ( WindowsDeployment Services).

4. Virtualizacin de servidores

Por ltimo, los progresos realizados en la integracin de tecnologas virtuales en el hardware permite a Hyper -Vvirtualizar cargas de trabajo mucho ms exigentes que las versiones precedentes y con una flexibilidad mayor. Laarquitectura est basada en un hipervisor de 64 bits con una baja sobrecarga especializado para los procesadores de64 bits de Intel (Intel VT) y AMD (Pacifica). Windows Server 2008 e Hyper -V se hacen cargo de las configuracionesmultincleo. Cada mquina virtual (VM) puede recibir un mximo de ocho procesadores lgicos para virtualizar lascargas de trabajo intensivas que aprovechan el tratamiento en paralelo de los ncleos de las mquinas virtualesmultiprocesador. El sistema husped de 64 bits se hace cargo de los sistemas de explotacin hospedados en modo 64bits para asegurar un acceso rpido a las grandes zonas de memoria de las mquinas virtuales hospedadas. Hyper -Vsoporta el acceso directo a los discos. Los sistemas de explotacin hospedados pueden ser configurados para accederdirectamente al almacenamiento local o a la red SAN ( Storage Area Network), garantizando rendimientos superiores enlas aplicaciones de E/S (entrada/salida) masivas como SQL Server o Microsoft Exchange Server.

En la salida al mercado de Windows Server 2008, Hyper -V no estaba todava disponible. Sin embargo, hayque remarcar que Windows Server 2008 Standard o Enterprise en su versin x64 US se entrega con una

Preview de la tecnologa Hyper-V. La versin final esta disponible desde el mes de agosto de 2008.

5. Novedades aportadas por Windows Server 2008...Despus de pasar de Windows NT a Windows 2000, Windows Server 2008 es realmente el punto de partida de unanueva generacin de Windows Server. La siguiente lista de funcionalidades ilustra el conjunto de las evoluciones:

Windows Firewall with Advanced Security

Server Manager

Server Core Installation Option

Active Directory Certificate Services Role



19/400

AD CS: Enterprise PKI (PKIView)

AD CS: Network Device Enrollment Service

AD CS: Online Certificate Status Protocol Support

AD CS: Policy Settings

AD CS: Web Enrollment

Cryptography Next Generation

Active Directory Domain Services Role

AD DS: Auditing

AD DS: Fine-Grained Password Policies

AD DS: Read-Only Domain Controllers

AD DS: Restartable Active Directory Domain Services

AD DS: Snapshot Viewer

AD DS: User Interface Improvements

Active Directory Federation Services Role

Active Directory Lightweight Directory Services Role

Active Directory Rights Management Services Role

Application Server

DNS Server Role

File Services Role

Windows Server Backup

Services for Network File System

Transactional NTFS

Self-Healing NTFS

Symbolic Linking

Network Policy and Access Services Role

Network Policy and Access Services

Network Access Protection

2 - ENI Editions - All rights reserved - Sergio Ramirez Ramirez


20/400

Streaming Media Services Role

Terminal Services Role

Terminal Services Core Functionality

Terminal Services Printing

TS RemoteApp

TS Web Access

TS Licensing

TS Gateway

TS Session Broker

Terminal Services and Windows System Resource Manager

Web Server (IIS) Role

Windows Deployment Services Role

Windows SharePoint Services Role

BitLocker Drive Encryption

Failover Clustering

Network Load Balancing Improvements

Next Generation TCP/IP Protocols and Networking Components

Windows Reliability and Performance Monitoring

6. Innovaciones aportadas a Active Directory

Como fue en el caso de Windows Server 2003, los servicios de directorio Active Directory tienen como principal funcingestionar usuarios, recursos como ordenadores, impresoras y tambin aplicaciones como Microsoft Exchange Server oMicrosoft Office Communication Server.

Los servicios Active Directory de Windows Server 2008 incluyen nuevas funcionalidades la mayora de las cuales noestaban presentes en anteriores versiones de Windows Server. De hecho los servicios de directorio de ActiveDirectory son rebautizados como Servicios de dominio Active Directory (AD DS, Active Directory Domain Services). Enesta introduccin se presentan estas novedades.

a. AD DS: Auditora

Los controladores de dominio Windows Server 2008 soportan nuevas subcategoras - (Directory Service Changes)para registrar en las modificaciones de atributos de objetos Active Directory, tanto el antiguo como el nuevo valor deatributo. Un nuevo parmetro, a definir en la poltica de controladores de dominio - Audit directory service access,permite activar o desactivar esta nueva funcionalidad. Naturalmente, esta funcionalidad es muy interesante paraaqullos que quieren vigilar las operaciones realizadas a los objetos. Observe que la administracin de los atributosde los objetos a auditar siempre est definida a nivel de objeto, permitiendo as una configuracin muy precisa. Losnuevos servicios de auditora permiten as registrar los valores de los atributos durante las modificaciones.



21/400

Windows Server 2003 tena la posibilidad de registrar los eventos de modificacin de los atributos, pero nopermita registrar ni los antiguos, ni los nuevos valores. Observe tambin que las nuevas funcionalidades de

auditora de los servicios de dominio Active Directory se aplican del mismo modo en los servicios AD LDS (ActiveDirectory Lightweight Directory Services).

b. AD DS: Gestin granular de las polticas de contrasea

Con los dominios Windows 2000 y Windows Server 2003, slo se poda aplicar una estrategia de contraseas ybloqueo de cuentas en el conjunto de usuarios de un dominio. A partir de ahora, los servicios de dominio ActiveDirectory de Windows Server 2008 permiten definir diferentes polticas de contrasea as como diferentes polticasde bloqueo de cuentas.

Esta nueva funcionalidad interesar a los numerosos administradores que buscaban esta posibilidad. Ahora serposible crear mltiples polticas de contrasea en el mismo dominio y aplicarlas a diferentes grupos de usuarios.Estas nuevas estrategias de cuentas no se aplican nicamente a objetos usuarios de la clase inetOrgPerson, sinoque tambin se aplican a los grupos globales de seguridad.

c. AD DS: Controladores de dominio de slo lectura

Los controladores de dominio que funcionan en Windows 2000 Server o Windows Server 2003 son por definicin delectura-escritura. Cuando las limitaciones de la arquitectura de red lo exigen, es necesario poner en un sitio remotoun controlador de dominio a fin de autentificar a los usuarios y de ofrecer los servicios de infraestructura habituales.El problema es que, a menudo, los sitios remotos, no disponen del nivel de seguridad necesario para los servidoresde infraestructura, como los controladores de dominio en los que es posible la escritura.

Windows Server 2008 permite instalar un nuevo tipo de controlador de dominio llamado controlador de dominio deslo lectura o RODC (Read-Only Domain Controller). Esta nueva solucin permite implementar controladores dedominio en los lugares en los que no sea posible garantizar un buen nivel de seguridad. Adems de forzar a la basede datos Active Directory a modo slo lectura, los RODC introducen tambin otras mejoras como la replicacinunidireccional, el almacenamiento en cache de los datos de identificacin, la separacin de funciones y la gestin dela problemtica de inscripciones dinmicas DNS en las zonas DNS integradas en bases de datos Active Directorydisponibles en slo lectura.

d. AD DS: Rearranque de los servicios de dominio Active Directory

Los servidores Windows Server 2008 permiten a los administradores parar y arrancar los servicios AD DS con laayuda de las herramientas habituales de Windows Server 2008. Esta nueva funcionalidad es muy interesantedurante la actualizacin o durante una operacin de desfragmentacin de la base de datos Active Directory,

sabiendo que los servicios que no dependan de Active Directory pueden seguir funcionando normalmente.

e. AD DS: Ayuda en la recuperacin de datos

Antes de la utilizacin de controladores de dominio Windows Server 2008, cuando los objetos eran eliminadosaccidentalmente, la nica forma de determinar qu objetos haban sido suprimidos era restaurar la base de datosActive Directory.

Aunque la funcionalidad de ayuda en la recuperacin de los datos de Active Directory, no permite restaurardirectamente los datos eventualmente suprimidos, ayudar en el proceso de recuperacin de los datos.

Gracias a la herramienta de montaje de base de datos Active Directory, se muestran los datos Active Directoryalmacenados en imgenes. De este modo, el administrador puede comparar los datos en diferentes momentos sinninguna parada del sistema.

Durante la fase Beta de Windows Server 2008, esta funcionalidad se llam Snapshot Viewer.

f. AD DS: Mejoras de la interfaz Active Directory

Windows Server 2008 introduce un nuevo asistente instalacin de los servicios Active Directory. Permite instalar losnuevos controladores de tipo RODC, as como definir las opciones de replicacin de las contraseas de estoscontroladores. La nueva consola de gestin de Usuarios y ordenadores Active Directory permite tambin pre-crear ydelegar la instalacin de un controlador de dominio en modo de slo lectura.

Adems de estas mejoras, el asistente de instalacin de Active Directory soporta una nueva opcin que permiteutilizar un modo ms avanzado. Este nuevo modo permite:



22/400

Durante la instalacin de un nuevo controlador de dominio en un dominio secundario, detectar cuando la IM

(Infraestructura Master), est posicionada sobre un GC (Catlogo Global). En este caso, el asistente proponerealizar la operacin de transferencia de rol de maestro de infraestructura al nuevo controlador que se estinstalando, naturalmente en el caso de que ste no tenga el papel de catlogo global. Esta nueva opcin esmuy interesante porque permite conservar una configuracin de Active Directory vlida durante la instalacino eliminacin de los controladores.

Durante la ejecucin del asistente de instalacin Active Directory, a partir de ahora es posible exportar el

conjunto de los parmetros para utilizarlos en un fichero de respuestas. Esta nueva opcin es muyinteresante para la instalacin de un controlador de dominio en modo "Server Core".

Finalmente, una nueva opcin muy importante permite forzar la supresin de los servicios Active Directorycuando el controlador de dominio que falle es arrancado en modo Directory Services Restore Mode.

Todas estas nuevas funcionalidades estn detalladas posteriormente en el libro.



23/400

Windows Server 2008: estrategia de Microsoft

Esta seccin presenta la estrategia de Microsoft relativa a la familia Windows Server teniendo en cuenta las evolucionesque sern perceptibles va Services Packs, Features Packs, actualizaciones y la prxima versin principal. La poltica delsistema presentada por Microsoft le facilita la recepcin de las sucesivas evoluciones del producto y cuestiones adjuntasa la misma:

Integracin de la innovacin en Windows Server

El nuevo ciclo de productos para Windows Server

Windows Server 2008 "R2"

Planificacin de los avances de Windows Server.

1. Integracin de la innovacin en Windows Server

Windows Server integra un nmero importante de tecnologas, funcionalidades y servicios concebidos para formar unasolucin perenne y adaptada a las necesidades de los clientes. Una de las grandes ventajas de la integracin de estaplataforma es la integracin de estos servicios en el centro del sistema, de la plataforma en su conjunto y la facilidadde aplicacin de los mismos. Windows Server ha sido diseado sobre la base de unos escenarios que son reflejo de la

experiencia de las empresas. El objetivo de este enfoque es el de permitir un despliegue rpido de soluciones, enprincipio complejo, estando lo ms cerca posible de las expectativas y necesidades expresadas por los clientes.

La estrategia consiste en innovar alrededor de la plataforma Windows Server. Esta plataforma tiene vocacin deexplorar diversas vas. Este punto afecta particularmente a los proveedores de aplicaciones, a los proveedores deservicios, a los integradores de sistemas, a los centros de formacin y naturalmente, a los desarrolladores dehardware que puedan, con la base de las tecnologas presentadas, crear soluciones interesantes. Tanto los serviciosde base integrados en el sistema, como las funcionalidades que Windows Server proporciona, permiten a losconstructores y a sus socios concentrarse en el suministro de soluciones para extender los servicios fundamentales deWindows y aportar una plusvala sustancial a los clientes.

Los clientes y analistas externos han constatado que el enfoque de Microsoft con respecto a la innovacin tiene porefecto acentuar el desarrollo de aplicaciones de alta calidad, para favorecer la bajada del coste total de propiedad(TCO) permitiendo una mejor productividad y eficiencia en comparacin con soluciones de la competencia.

Una innovacin permanente es indispensable para permitir que las iniciativas tecnolgicas principales llevadas a cabopor Microsoft, como DSI -Dynamic Systems Initiative y la tecnologa Microsoft .NET, puedan llegar a buen trmino.

2. El nuevo ciclo de productos Windows Server

Hoy en da, Windows Server 2003 y Windows Server 2008 proporcionan los servicios de infraestructura fundamentalesas como los servicios globales de Windows Server. Desde la fecha de salida en abril de 2003, Microsoft ha aadidonuevas funcionalidades a Windows Server 2003 gracias al suministro de "Feature Packs". Con Windows Server 2008,Microsoft ha continuado con su esfuerzo de innovacin proporcionando una versin principal de su sistema deexplotacin servidor.

Microsoft intenta proporcionar un ciclo de evolucin de las prximas versiones de Windows Server de tal manera quelos clientes puedan planificar y presupuestar sus evoluciones. La norma es proporcionar una versin principal deWindows Server a ser posible cada cuatro aos, y una actualizacin de versin dos aos despus de cada versinprincipal.

a. Versiones principales

Las versiones principales de Windows Server incluyen un nuevo ncleo y son tambin capaces de soportar el nuevohardware, nuevos modelos de programacin y evoluciones fundamentales en temas de seguridad y estabilidad.Estos cambios "mayores" pueden generar incompatibilidades del nuevo sistema con el hardware y el softwareexistente.

b. Versiones de actualizacin

Las versiones de actualizacin incluyen la versin anterior incluyendo el ltimo Service Pack, algunos Feature Packs,y nuevas funcionalidades adicionales. Como una versin de actualizacin est basada en la anterior versin



24/400

principal, los clientes pueden incorporar estas versiones en su entorno de produccin sin ms pruebassuplementarias que aqullas que pueda necesitar un simple Service Pack. Todas las funcionalidades adicionalesproporcionadas por una actualizacin son opcionales y de hecho, no afectan a la compatibilidad de las aplicacionesexistentes. Por ello, los clientes no deben volver a certificar o probar sus aplicaciones.

c. Service Packs

Los Service Packs incorporan todos los correctivos crticos, no crticos, as como las ltimas peticiones de los clientesen un mismo paquete.

Microsoft, los clientes y los socios participantes en programas de Beta test prueban de manera intensiva los ServicePacks. Los Service Packs pueden tambin incluir mejoras importantes de seguridad como la "Security ConfigurationWizard" que est incluida en el Service Pack 1 de Windows Server 2003.

Puede ser necesario realizar cambios a ciertos programas para soportar los nuevos estndares de la industria ofuncionalidades pedidas por los clientes. Estos cambios son cuidadosamente evaluados y probados antes de serfinalmente incluidos en el Service Pack.

A fin de permitir al mximo las extensiones y evoluciones de arquitectura, Microsoft se impone el mantenimiento delnivel de compatibilidad entre los Services Packs realizando pruebas masivas con las aplicaciones y estos diferentesService Packs. En general, los problemas de compatibilidad son de aplicaciones que utilizan de manera inapropiadallamadas al sistema, interfaces internas o funciones especficas de la aplicacin.

d. Feature Packs

Cuando sea necesario, Microsoft proporcionar extensiones funcionales llamadas Feature Packs. Estos servicios

adicionales son generalmente componentes importantes de Windows Server y, como tales, estos mdulos sonsoportados oficialmente. Es por esto que todos estos componentes son descargables desde la web de Microsoft enuna categora que ha sido especialmente diseada para ello (sitio Microsoft/Windows Server2003/Downloads/Feature Packs). Sin embargo, a fin de simplificar los procesos de actualizacin de losadministradores de sistemas, Microsoft limita el nmero y la frecuencia de los Feature Packs. La mayora de losFeature Packs se incorporarn a travs de actualizaciones o se actualizarn en una nueva versin principal.

3. Windows Server 2008 "R2"

A da de hoy, Windows Server 2008 est disponible en versin 32 bits y 64 bits, teniendo en cuenta que las edicionescon Hyper-V slo existen en 64 bits.

La versin R2 de Windows Server 2008 sali al mercado en el 2009 y est disponible slo en versin 64 bits.

4. Acerca de Windows Server 2003

Como recordatorio, a continuacin encontrar las diferentes evoluciones de la versin anterior de Windows Server:

Primer semestre de 2005: versiones de producto y actualizaciones

Windows Server 2003 SP1:

Mejora de la estabilidad en funcin de las impresiones de los clientes.

Mejoras relativas a los servicios de seguridad y a la seguridad general del sistema y sus componentes.

Mejora del rendimiento del orden del diez por ciento para los entornos con sobrecargas crticas.

Base para "Windows Server 2003 for 64-Bit Extended Systems".

Windows Server 2003 for 64-Bit Extended Systems release

Acceso a tecnologas de 64 bits para lograr una mejor relacin precio/rendimiento.

Cdigo unificado para los procesadores AMD Opteron e Intel Xeon EM64T.



25/400

Feature Packs prximamente disponibles

Windows Update Services: esta versin sustituir a la versin SUS 1.0 SP1 que ahora permite la descarga de

actualizaciones de seguridad en las plataformas Windows 2000, Windows XP y Windows Server 2003. Laversin WUS es una versin principal de este componente, ya que permite la descarga rpida de los parchespara todas las aplicaciones Microsoft, de estadsticas e informes avanzados, una integracin completa enActive Directory y una API (Application Programming Interface) de desarrollo abierta para que proveedoresterceros puedan utilizar la plataforma para, ellos tambin, corregir y actualizar sus aplicaciones.Desgraciadamente pocos proveedores estn interesados en la posibilidades que ofrece WUS, dejando de ladola problemtica de la descarga de actualizaciones de aplicaciones no Microsoft.

Segundo semestre 2005: Windows Server 2003 "R2"

Gestin de acceso a la informacin para los usuarios que trabajan remotamente, los socios de confianza y los

usuarios de oficinas descentralizadas.

La versin "R2" est disponible para todos los clientes que dispongan de un contrato de tipo Software

Assurance (SA) en la fecha de salida de Windows Server 2003 "R2".

Windows Server 2003 SP2

Mejora de la estabilidad en funcin de las impresiones de los clientes.

Feature Packs disponibles de Windows Server 2003

Las siguientes funcionalidades adicionales ya estn disponibles para descargar en el sitio de Microsoft:

Automated Deployment Services (ADS). Descarga disponible para Windows Server 2003 Edition Entreprise,

este mdulo incluye un conjunto de utilidades de clonaje que permite automatizar el despliegue de sistemasde explotacin Microsoft.

Active Directory Application Mode (ADAM). Para organizaciones que necesitan una gran flexibilidad en

aplicaciones integradas en un sistema de directorio, ADAM es un servidor de directorio con estndar LDAP v2 yv3.

File Replication Services (FRS) Monitoring Tools. Se trata de un conjunto de utilidades para asegurar las

grandes operaciones de gestin del sistema de replicacin de ficheros FRS. FRS se utiliza en el contexto delacceso al volumen de sistema SYSVOL y tambin para sincronizar el sistema de ficheros compartidos DFS -Distributed File Systems. Este paquete contiene herramientas capaces de monitorizar el servicio DFS talescomo Ultrasound y Sonar, as como herramientas de lujo como FRSDiag.

Group Policy Management Console (GPMC). La nueva consola GPMC simplifica la administracin de las

polticas de grupo permitiendo una mejor comprensin, despliegue y administracin de la implementacin delas GPO (Group Policy Objects).

Identity Integration. Identity Integration Feature Pack for Microsoft Windows Server Active Directory permite

la gestin de las identidades y coordina las propiedades de los objetos usuario entre el directorio ActiveDirectory y las diferentes implementaciones de ADAM, de Microsoft Exchange 2000 Server y de ExchangeServer 2003. Permite tambin la fusin de un usuario dado o de un recurso dado en una nica vista lgica.

iSCSI support. Este mdulo permite el soporte de la interfaz Internet Small Computer System Interface (iSCSI)

proporcionando una solucin econmica para la aplicacin de redes de almacenamiento IP (SANs -Storage Area

Network).

Windows SharePoint Services. Los servicios WSS permiten considerar una nueva visin del sistema de

almacenamiento. Adems del almacenamiento, WSS permite la configuracin de una solucin de colaboracinpara que los grupos de usuarios y los equipos puedan trabajar conjuntamente con los documentos, tareas,contactos, eventos y todo tipo de informacin relevante.

Services for UNIX 3.5. Los servicios para UNIX 3.5 permiten alcanzar un alto nivel de interoperabilidad con

los entornos Unix. Este paquete comprende un servidor NFS (Network File System) y NIS (Network InformationServices) as como numerosas utilidades para ayudar a los clientes a migrar sus aplicaciones de Unix aWindows.

Windows Rights Management Services (RMS). RMS es un elemento clave de la poltica de seguridad. De



26/400

hecho, permite aplicar un elevado nivel de proteccin para las aplicaciones RMS-aware. El objetivo es protegerlos documentos y datos crticos de la empresa de accesos no autorizados.

Para saber ms sobre la visin a largo plazo de Microsoft con respecto a los servicios de la familia de productosWindows Server System, consulte la "Common Engineering Roadmap" disponible en el sitio Web de Microsoft.

Este planning provisional de las evoluciones de los sistemas Microsoft es de libre acceso y le permitir descubrir lasprximas funcionalidades que estarn integradas en las versiones posteriores de Windows. Esta poltica estdisponible en la direccin: http://www.microsoft.com/windowsserversystem/overview/engineeringroadmap.mspx



27/400

Servicios fundamentales y protocolos estndar

Los servicios de directorio permiten la aplicacin de un espacio lgico organizado de manera jerrquica donde se hacefcil para todo usuario habilitado de la red localizar y utilizar todo tipo de informacin.

Todos los perfiles pueden obtener utilidades ya que los usuarios pueden, por ejemplo, utilizar los servicios debsqueda y localizar los recursos que necesiten, mientras que los administradores pueden, a su vez, mejorar lagestin de cuentas de usuario y sus privilegios, as como los recursos y sus derechos asociados.

La centralizacin de la informacin en los servicios de directorio permitir tambin evitar las innumerables prdidas detiempo ocasionadas por largos "paseos" en los servidores en bsqueda de la hipottica presencia del elemento

buscado.Cualquiera que sea el sistema de directorio y el uso para el que est concebido al principio, est claro que, al final,permite estructurar la informacin organizndola sobre la base de objetos ms o menos complejos y de sus atributosrespectivos, ms o menos numerosos y especficos.

Lgicamente si el directorio est situado en el centro del sistema de informacin, ser un elemento de eleccin paraservir de componente central para el conjunto de los servicios de seguridad y de control de acceso a los objetossoportados.

Esta eleccin est en el centro de la poltica de Microsoft. Entre los puntos ms importantes, podemos destacar que laimplementacin de Kerberos V5 como mtodo de autentificacin principal, y la integracin de los servicios de gestin decertificados digitales X509 v3, son elementos que aseguran el xito de Active Directory.

El directorio puede, de este modo, ofrecer de manera genrica y segura todo tipo de datos a todo tipo de clientes. Losservicios del sistema operativo, las aplicaciones y, en general, toda entidad de seguridad habilitada que disponga desuficientes derechos, podrn acceder.

Otro punto positivo inducido por los servicios de seguridad integrados en el sistema de directorio es el de permitir laimplementacin de una autentificacin nica disponible para toda la estructura de la empresa. Esta funcionalidad noexista con Windows 2000 ni con Windows Server 2003. Desde Windows NT (e incluso antes, en menor medida con LANManager), el inicio de sesin de dominio mediante el protocolo NTLM v1 o v2 ha sido ampliamente utilizada poraplicaciones Windows de terceros. Desde Windows 2000 Server, Windows Server 2003, y Windows Server 2008, seamplan estos conceptos apoyndose en las tecnologas de ms xito y experiencia de la industria.

La siguiente tabla resume los puntos clave que caracterizan Active Directory.

Funcionalidades Active Directory Ventajas para la empresa

Sistema de almacenamiento distribuido. Almacenamiento de los datos de directorio unificadosiendo necesarias pocas tareas administrativas.

Escalabilidad del directorio. Integracin de aplicaciones terceras con extensindel esquema de Active Directory.

Administracin centralizada y delegacin. Control de privilegios de administracin y deparmetros de seguridad de modo jerrquico en elesquema de la empresa.

Disponibilidad de informacin del directorio, toleranciaa fallos, alto rendimiento.

El directorio puede ser actualizado a partir decualquier controlador de dominio, incluso sin que elcontrolador de dominio est disponible. Ladisponibilidad de los flujos de replicacin se controlagracias al ajuste dinmico de la topologa dereplicacin y al modo de replicacin multimatriz. Laestructura de bosque de Active Directory - los

rboles, los dominios y los controladores de dominio -es compatible con estructuras que contienen miles desitios geogrficos y millones de objetos.

Gestin de configuraciones y cambios deconfiguracin utilizando la tecnologa IntelliMirror.

Coherencia de los parmetros aplicados yoperaciones realizadas gracias a las polticas degrupo.

Servicios de seguridad en la estructura de lasempresas de cualquier tamao a travs del soportede Kerberos v5, SSL (Secure Socket Layer) 3.0, TLS(Transport Layer Security) y los servicios de clavespblicas (PKI -Public Key Infrastructure y certificadosX509 V3).

Los servicios de autentificacin y de control deaccesos aseguran soporte en la red privada ytambin en Internet.



28/400

Gestin de la seguridad y delegacin de la gestin deadministracin.

La granularidad baja hasta el atributo y el mbito degestin se ejerce en los objetos Sitio, Dominio y UO.

Soporte de estndares de Internet: un dominioWindows es un dominio DNS (Domain Name System),un dominio de autentificacin es un dominio Kerberos,los certificados son utilizables de manera natural parala autentificacin (inicio de sesin con tarjetainteligente (Smart Logon) y la securizacin de lainformacin (firmas electrnicas y cifrado de datoslocales y que circulen por la red).

La empresa se asegura la continuidad de su eleccinpor la participacin activa de Microsoft en losestndares de la industria. TCP/IP v4 y v6, DNS,DDNS (Dynamic DNS), IPSec, DHCP (Dynamic HostConfiguration Protocol), Kerb5, Radius (Remote

Authentication Dial-in User Service), EAP (ExtensibleAuthentication Protocol), PEAP (Protected EAP), LDAP(Lightweight Directory Access Protocol), LT2P (Layer 2

Tunneling Protocol), PPTP (Point to Point TunnelingProtocol), SSL3, TLS, Infraestructura de clavespublicas (PKI), certificados X509 V3 y autentificacincon tarjetas inteligentes.



29/400

Introduccin al servicio DNS

Este captulo introduce los mecanismos de resolucin y de gestin de nombres con el sistema DNS, Domain NameSystem.

Los objetivos son importantes ya que nos permitirn:

comprender los principios de resolucin de los nombres DNS

comprender y configurar las zonas DNS

comprender la replicacin y la transferencia de las zonas DNS

comprender la problemtica de integracin de los servidores DNS Windows en una infraestructura DNS existente

y gestionar los problemas de interoperabilidad.

El siguiente paso consistir en estudiar las funcionalidades propias del servicio DNS de Windows 2000 y WindowsServer 2003 cuando la integracin Active Directory se utiliza al tiempo que un dominio DNS ofrece sus servicios paraasegurar el normal funcionamiento del directorio Active Directory.

1. Un poco de historia

Cualquier mquina que est en una red TCP/IP debe tener una direccin IP (Internet Protocol) que ser utilizada en elmbito de las comunicaciones con el resto de mquinas. Los servicios TCP/IP, adems de las funciones inherentes alos protocolos de transporte y de enrutamiento entre redes, han sido diseados para soportar aplicacionesdistribuidas a travs de redes cuyo tamao puede llegar al de Internet.

Actualmente, sabemos hasta qu punto TCP/IP es importante. Prueba de ello es el entusiasmo de la gente conInternet y la comercializacin masiva de ordenadores con Windows, tanto en las empresas como tambin,gradualmente, en nuestras universidades, escuelas y hogares.

Por supuesto, todas estas mquinas son capaces de manipular fcilmente las direcciones IP. En cambio, es evidenteque no pueden hacer lo mismo con los usuarios.

En los inicios, y mucho antes de que existiera el Internet que conocemos actualmente, la manipulacin de direccionesIP era ya fuente de numerosos problemas en la red ARPANET (Advanced Research Project Agency Network). En esapoca, el NIC (Network Information Center) - no confundir con InterNic - tena la responsabilidad de tener actualizado elfichero HOSTS.TXT. Los usuarios de la red ARPANET deban entonces, para ser capaces de resolver los nombres demquinas en direcciones IP, disponer de la lista lo ms actualizada posible descargndola a travs del protocolo FTP(File Transfer Protocol).

InterNic, mencionado anteriormente, tiene como objetivo proporcionar al pblico informacin sobre losproveedores de servicios de registro de nombres de dominio DNS en el mbito de Internet. A travs del sitio

http://www.internic.net se puede acceder a la lista de organismos autorizados a nivel mundial a registrar losnombres de dominios DNS, transmitirles cualquier observacin sobre eventuales problemas de registro de nombresde dominio y acceder a informacin sobre operaciones DNS importantes que tengan lugar en el mbito de Internet.

Las tareas de coordinacin necesarias para el buen funcionamiento de Internet son principalmente la gestin dedirecciones IP y de los nombres de dominio DNS. Hasta 1998, era el gobierno norteamericano y algunos de susorganismos (Investigacin y Departamento de Defensa - DoD) quienes realizaban las tareas de coordinacin deInternet. La asignacin de bloques de direcciones IP estaba bajo la responsabilidad global de IANA ( Internet

Assignement Numbers Authority), que estaba contratada por el gobierno norteamericano.

En cuanto a la gestin de nombres de dominio de primer nivel como .net, .gov, o .com (se habla de gTLDs por " genericTop Level Domains"), era la sociedad Network Solutions Inc. quien tena el monopolio.

En 1998, la ICANN (Internet Corporation for Assigned Names and Numbers) fue creada con el fin de coordinar laasignacin de recursos a nivel mundial, la gestin efectiva de los dominios DNS fue delegada a rganos regionalessituados en cada continente.

Para la gestin de los nombres de dominios, puede consultar en la siguiente direccin la lista de losorganismos responsables de la gestin de los nombres de dominio en cada pas,

http://www.iana.org/domains/root/db

Por ejemplo, la zona DNS .es est gestionada por Red.es, http://www.nic.es).



30/400

Para ms detalles, puede visitar los sitios de ICANN en la siguiente direccin: http://www.icann.org

Despus de esta primera implementacin de un sistema de nomenclatura y de resolucin de nombres de mquina endirecciones IP, era evidente que se deba encontrar una solucin ms "moderna".

En 1983 el Dr Paul V. Mockapetris - graduado del reputado MIT (Massachusetts Institute of Technology) - propuso losfundamentos de los servicios DNS a travs de los RFC 882 y 883.

Los RFC 882 y 883 son obsoletos y han sido sustituidos por los RFC 1034 y 1035, que tambin han sidodiseados por el Dr Paul Mockapetris. El RFC 1034 sigue siendo vlido, pero es objeto de modificaciones que

figuran en los RFC 1101, 1183, 1348, 1876, 1982, 2065, 2181, 2308 y 253. El RFC 1035 tambin sigue siendo vlido,con actualizaciones que figuran en los RFC 1101, 1183, 1348, 1876, 1982, 1995, 1996, 2065, 2136, 2181, 2137,2308, 2535, 2845, 3425 y 3658. Puede buscar y consultar estos RFC en el sitio: http://www.rfc-editor.org

2. Qu son los servicios DNS?

Como se explic ms arriba, DNS es el protocolo estndar de resolucin de nombres definido por la IETF ( InternetEngineering Task Force). Permite a las mquinas clientes registrarse y resolver nombres de mquinas pertenecientes adominios DNS. Una vez el nombre de la mquina destino est resuelto, es posible acceder a la mquina y a susrecursos.

EL DNS consta, por definicin, de tres componentes principales:

El espacio de nombres de dominio (Domain Namespace), que incluye registros de recursos asociados a este

espacio. Los registros de recursos son llamados RR por Resources Records y clarifican el tipo de cada registro.

Los servidores de nombres DNS (DNS Name Servers). Se trata de mquinas sobre las que se ejecuta el

proceso ofreciendo el servicio "Servidor DNS". Estos servidores acogen todo o parte del espacio de nombresgestionado as como los registros de recursos. Tambin proporcionan - sobretodo! - el buen funcionamientode la resolucin de nombres iniciada por los clientes DNS.

Los clientes DNS (DNS Resolvers o DNR). Se trata de mquinas que tienen que invocar a uno o varios

servidores DNS. Estas mquinas deben disponer de un cliente que les permita comunicarse con uno o variosservidores DNS.

Los conceptos de resolucin de los nombres DNS nos van a llevar a tratar los siguientes puntos:

la resolucin de nombres

las consultas de resolucin directas e inversas

los mecanismos de cach del lado del servidor DNS y del lado del cliente DNS.

Lo que vamos a descubrir:

El servicio DNS est basado en la peticin de resoluciones (en ingls "Lookup Queries").

Los servidores de nombres DNS resuelven las peticiones de resolucin directas e inversas.

Las peticiones de resolucin directas permiten mapear un nombre DNS en una direccin IP.

Las peticiones de resolucin inversas permiten mapear una direccin IP sobre un nombre DNS.

Un servidor de nombres DNS puede resolver una peticin para una zona para la que haya sido autorizado.

Si un servidor de nombres DNS no puede resolver la peticin, puede solicitar a otro servidor DNS que le ayude

a resolver la consulta.

La solucin: Gracias Dr Mockapetris!



31/400

Los servidores de nombres DNS saben ocultar los resultados de las resoluciones correctas e incorrectas para

reducir el flujo de informacin en la red.

El servicio DNS utiliza un modelo cliente/servidor.

3. Terminologa del sistema DNS

El protocolo DNS ha sido diseado para gestionar una problemtica propia de las redes que funcionan bajo TCP/IP.Los siguientes puntos recuerdan algunos principios bsicos:

La resolu

Documents

Windosw Server 2008 Arquitectura y Gestion de Los Servicios de Dominio (AD DS)