Este documento describe los pasos para montar una arquitectura cliente-servidor bajo Windows utilizando virtualización. Se implementarán 3 servidores virtuales: un controlador de dominio principal, un controlador de dominio secundario y servidor de correo, y un servidor proxy. Se explica cómo clonar una máquina virtual de referencia para crear los servidores virtuales, configurar sus redes virtuales y tarjetas de red, e instalar Active Directory en el controlador de dominio principal.

1. SISTEMAS DISTRIBUIDOS
TALLER DE ARQUITECTURA CLIENTE – SERVIDOR BAJO PLATAFORMA WINDOWS
El siguiente taller tiene como objetivos montar una arquitectura cliente servidor bajo plataforma
Windows. Teniendo en cuenta que para el laboratorio no se cuenta con una infraestructura de red
y servidores completa, se utilizara el concepto de virtualización de servidores para esta práctica;
en este caso se utilizara un equipo de práctica HP Server tc3100 series.
La arquitectura cliente-servidor a implementar estará basada en 3 servidores, como se muestra en
la gráfica siguiente:
192.168.10.3
USUARIO REMOTO
SER-CDSA-01
192.168.10.1
SW-VMNET3
SER-FW-01
192.168.10.2
SER-CDEX-01 PC01-USUARIO-LAN
La infraestructura se encuentra dividida en 10 partes, que son las etapas a seguir para culminar
con éxito el taller y lograr la práctica necesaria para montar una arquitectura similar en cualquier
ámbito laboral.

2. ETAPA 1: DESCRIPCIÓN DE LA INFRAESTRUCTURA DE RED.
SERVIDOR 1: SER-CDSA-01 CONTROLADOR DE DOMINIO PRIMARIO
Servidor Controlador de Dominio Principal donde se crearan las cuentas de usuarios del dominio,
para que estos puedan acceder a la red y los recursos y servicios de la misma.
Servicios:
Active Directory: Base de datos centralizada donde se encuentran almacenados las
cuentas de usuario y sus respectivas claves de acceso al dominio. Adicionalmente en él
también se almacenan las cuentas de grupo y las cuentas de máquinas del domino.
DNS:Permite a los usuarios comunicarse y encontrar recursos dentro de la red. Nos
permite teniendo la dirección IP de una maquina en el dominio conocer su nombre o
conociendo el nombre de una maquina en el dominio obtener su IP.
WINS: Es algo parecido al DNS, pero a nivel de la red local.
Archivo:Para Compartir las Carpetas y archivos de los usuarios y algunos recursos.
DHCP:Se encarga de la asignación de direcciones ip dinámicas a los usuarios del dominio.
Certificados:Nos permite que la comunicación segura con el servidor web, con la
utilización de SSL, cifrando las contraseñas por la red evitando que viajen en modo texto
plano.
SERVIDOR 2: SER-CDEX-01 CONTROLADOR DE DOMINIO SEGUNDARIO Y SERVIDOR DE CORREO
EXCHANGE
Servidor Controlador de Dominio Segundario, será el servidor de respaldo en caso de que el
controlador de dominio primario salga de línea por algún motivo programado o no, en este
servidor adicionalmente, servirá como servidor de correo electrónico para el envío y recepción del
servicio de correo.
Servicios:
Contará con los mismos servicios que el servidor primario exceptuando el servicio de
archivos, y el servidor de certificados, adicionalmente se instalara el servidor de correo
electrónico, el cual se encargará del correo interno, pero también se podrá acceder al
servicio vía web, servicio que funciona gracias al OWA, que es el servicio que permite el
acceso al correo electrónico tipo Hotmail, Gmail, etc.
SERVIDOR 3: SER-FW-01 SERVIDOR PROXI – ISA SERVER

3. Este servidor es el que se encargara de la navegación de los usuarios en la red y de filtrar el tráfico
entrante y saliente, de igual forma se puede crean conexiones VPN para el acceso remoto de
usuarios.
Servicios:
Contará con los servicios de proxi, conexión remota por VPN.
La práctica se desarrollara netamente en un ambiente virtual, el cual es aplicable en su totalidad
en una ambiente real, aplicando una arquitectura de servidores dedicados o una infraestructura
cliente servidor virtualizada. Para el laboratorio utilizaremos un servidor real HP Server tc3100
series con dos procesadores intel, con Windows 2003 server, sobre el cual se instalara el software,
VMWare, quien nos proporcionará la infraestructura virtual para realizar el laboratorio.
La figura que a continuación se muestra, nos da una idea de cómo funciona un ambiente
virtualizado.
ETAPA 2: INSTALACIÓN DE LOS SERVIDORES VIRTUALES.
La instalación de los servidores virtuales parte de la instalación previa de una máquina virtual de
referencia con Windows 2003 server, la cual ya tiene instalada todas las actualizaciones de
seguridad correspondientes para el prefecto funcionamiento del sistema operativo. En este
laboratorio no se hablara de la instalación de Windows 2003 Server, como tampoco de la

4. instalación de la máquina virtual que nos servirá de referencia, veremos si en una nueva versión
de este laboratorio se incluya esta parte, ya sea como una sección o como anexos del mismo.
El proceso principal es clonar la máquina virtual de referencia, y existen dos formas de hacerlo. La
primera: es abrir el Explorador de Windows, e ir a la ruta donde se encuentra instalada la máquina
virtual y copiarla en la nueva ruta donde se montara el primer servidor, pero no es recomendable
debido a que en el proceso de la copia puede ocurrir u error de lectura o escritura, y no se podría
crear luego una dependencia de los datos de la máquina de referencia. La segunda opción: es ir al
escritorio y correr la aplicación VMWare, desde el servidor de laboratorio, como se muestra en la
figura siguiente.
Una vez iniciada la aplicación, procedemos a ir al menú VM, y seleccionamos la opción Clonar,
VMWare, nos permite dos opciones para iniciar el proceso de clonación de la máquina virtual y
dos opciones de clonación como tal: “The current state in the virtual machine” y “An existing
snapshot…”. La opción: “The current state in the virtual machine”, que es la que vamos a utilizar,
es cuando tenemos un solo estado de instalación o “Snapshot”, y a que dentro de una máquina
virtual como la que tenemos de referencia podemos tener varios estados o Snapshot de
instalación, como se ve en la imagen. La “An existing snapshot…”, se utiliza cuando queremos
clonar una máquina virtual de un estado ya existente.

5. Luego de escoger la opción “The current state…”, pasamos a los dos métodos de clonación. El
primero es “Create a linked clone”, y el segundo es “Create a Full clone”. La primera opción se
utiliza cuando nos encontramos limitados por el espacio de almacenamiento en disco y queremos
ahorrar un poco. Esta opción lo que hace es clonar la máquina virtual sin los archivos del sistema
de la máquina virtual de referencia, a la hora de iniciar la máquina virtual de nuestro servidor, se
establece un link a los archivos de la máquina virtual de referencia.

6. El problema de esta opción es que si movemos la máquina virtual de referencia de capeta, el
enlace creado entre esta y la máquina del servidor virtual, crearán inconsistencias haciendo que
está funcione mal. Pero teniendo en cuenta nuestras limitantes de espacio en disco, será nuestra
mejor opción.
La opción “Create a Full clone”, lo que hace es clonar completamente la máquina virtual de
referencia para ser usada como servidor virtual.
Luego de esto lo que hacemos es buscar la ruta de destino donde se alojara la máquina virtual de
nuestro primer servidor, que en este caso será nuestro controlador de dominio primario. Le
damos el nombre correspondiente, según lo especificado en nuestra arquitectura inicial, el cual
será: “SER-CDAR-01”- Servidor Controlador de Dominio y Archivos, el 01 es por ser primario. Es
indispensable y recomendable hacer uso de las buenas prácticas en el diseño de una red. En este
caso el de colocar una nomenclatura específica que nos permita identificar de una manera rápida
a qué tipo de máquina estoy haciendo referencia.

8. Posterior a esto damos finalizar, e inmediatamente se iniciara el proceso de clonación de la
máquina virtual de nuestro servidor el cual utilizaremos como controlador de dominio primario

9. Una vez terminado el proceso de clonación, podemos evidenciar en el VMWare, la creación virtual
de nuestro Controlador de Dominio con el sistema operativo listo para ser configurado.
Hasta ahora lo que hemos hecho es preparar el sistema para el montaje de nuestro servidor. Para
el siguiente paso, vamos a explicar antes algo correspondiente a nuestra infraestructura. Nuestros
servidores no tendrán acceso a la rede de forma directa exceptuando el servidor proxi, el cual
tendrá dos tarjetas de red, una para para la LAN y la otra para la salida a la WAN. Pero para lograr
que los servidores se vean entre sí, y lograr el acceso desde la LAN como un usuario de la red o un
acceso remoto desde la WAN, vamos a aprovechar las ventajas que nos brinda VMWare.
VMWare posee una estructura que nos permite crear redes virtuales entre maquina virtuales
independientes que posean o simulen equipos (servidores, usuarios) reales. Esto es posible gracia
a que trae unos switches virtuales, que funcionan igual que unos switches físicos. Algunos de estos
con características especiales que harán posible esta configuración.
VMWare al instalarse, instala consigo 10 switches virtuales, enumerados del Vmnet0 al Vmnet9, la
diferencia, entre cada uno de ellos radica en 3 de esos 10 switches, el Vmnet0, Vmnet1 y el
Vmnet8.
El Vmnet0, funciona como un bridge real, que no es más que el hecho de que queramos conectar
nuestro equipo directamente a un puerto de un switch físico. Lo que significa que el host virtual
que conectemos a este switch, tendrá una MAC Addres independiente, una IP independiente y los

10. equipos conectados a él se podrán ver entre sí. Sería recomendable utilizarlo cuando queramos
que estas máquinas virtuales estén en producción y que interactúen con otras maquina en la red.
El Vmnet8, posee un dispositivo de NAT, VMWare Driver, que lo que hace es simular las veces de
un servidor proxi para tener a todas las ip locales dentro de la LAN y que al momento de querer
salir a la WAN lo hagan a través de él.
El Vmnet1, o el host-only, se encuentraenlazado a la tarjeta física del host donde se encuentra
montada la máquina virtual. Esto nos permite tener comunicación entre la máquina virtual y el
host.
Siguiendo con el montaje del servidor, procedemos a la configuración de la máquina virtual SER-
CDSA-01. Lo primero es revisar la configuración actual de la máquina, vamos a Editar Máquina
Virtual, como se muestra en la gráfica.

11. Y en el tab Hardware, seleccionamos Memory, y la colocamos a 256MB. Posterior a esto nos
vamos al ítem Network Adapter y lo configuramos cambiándolo a la opción personalizada y
escogemos el Vmnet3como esta en nuestra infraestructura inicial.

12. Luego, vamos al tab Remote Display, y habilitamos la visualización remota, y dejamos el mismo
puerto y colocamos la contraseña “123”, y confirmamos con el mismo. Esto nos servirá en caso de
querer conectarnos vía VNC. Hacemos click en OK, e iniciamos la máquina virtual, pulsando Ctrl+B,
o nos vamos al menú con el mouse y hacemos click en el icono .
De inmediato veremos como inicia nuestro servidor.

13. USANDO VNC.
Si deseamos para mayor comodidad, podemos trabajar desde una ventana remota usando el VNC,
esta aplicación nos permitirá manejar nuestro servidor virtual, como si estuviéramos dentro del
mismo servidor y realizar todas las operaciones correspondientes.
Lo primero que debemos hacer es ejecutar en nuestro equipo la aplicación VNC, e ingresar la IP
del equipo host físico (en este caso nuestro servidor HP). Debemos asegurarnos de que la máquina
virtual está corriendo de los contrario nos saldrá un error de conexión.
Para este caso la dirección ip de nuestro servidor es : 192.160.90.34, pero debemos verificar desde
la línea de comando antes de ingresarla, con el comando ipconfig. Luego nos vamos el botón
Options…, y seleccionamos en el tab Clour & Encoding, la opción Full (all available clours),
hacemos click en OK, en ingresamos la contraseña de acceso que digitamos en la maquina virtual
“123”

14. Siguiendo con la instalación del servidor, y de haber reiniciado la máquina virtual, entramos a
realizar la configuración de la tarjeta de red. En este caso nos vamos a las propiedades de
configuración del protocolo ip, e ingresamos la dirección correspondiente a nuestro esquema de
red, en este caso la configuración sería así:
IP: 192.168.10.3
Mascara: 255.255.255.0
Puerta de Enlace: 192.168.10.1 (Sería nuestro Firewall, el cual no está configurado a un)
Servidor DNS preferido (primario): 192.168.10.3 (será el mismo, ya que es el CD).

16. Luego nos vamos a opciones avanzadas y en el tab DNS, realizamos la configuración respectiva de
nuestra interfaz de red para que reconozca quien será su servidor de DNS. Al mismo tiempo nos
cercioramos de dejar marcadas las opciones Anexar sufijos primarios del sufijo DNS principal.
Luego ingresamos el nombre de nuestro dominio, que para el laboratorio será: dominio.local, y
dejar seleccionada la opción Registrar estas direcciones de conexiones en DNS.
Pasamos al tabWINS, y realizamos las configuraciones respectivas para que se dé la comunicación
entre las máquinas del dominio, habilitamos la opción de NETBios, este sirve para enviar paquetes
de Broadcast a nivel local dentro de una red TCP/IP, lo que nos permite enrutar los paquetes que
provengan de este host en la red, de lo contrario solo serán locales.

17. Por ultimo hacemos click en Aceptar, Aceptar, y escogemos la opción que nos permita ver el icono
de conexión de red, luego Cerrar. Luego verificamos desde la línea de comandos que realmente la
configuración de nuestra tarjeta de red sea la que asignamos. Verificamos que la tarjeta esté
funcionando, para eso realizamos un ping a la misma dirección ip y esperamos los tiempos de
respuesta.

18. Luego verificado el funcionamiento de la tarjeta en su totalidad, procedemos a realizar el cambio
del SID. El SID no es más que el número de seguridad único que poseen todos los SO Windows,el
cual para este caso del laboratorio o cuando en la práctica profesional clonamos un sistema
operativo a otro debemos cambiar, para evitar errores de seguridad en el sistema operativo. Para
esto vamos a utilizar una herramienta que se conoce como: NewSID.
Iniciamos la aplicación, hacemos click en Agree, luego en Next, luego escogemos la opción
Random y generamos el nuevo SID.
Procedemos a cambiar el nombre de nuestro equipo, y recordando las buenas practicas de diseño
de topologías y arquitecturas de redes, colocamos a nuestro equipo el nombre de: SER-CDSA-01.

19. Se inicia el proceso de cambio de SID, esto tomara unos minutos. Realizado el cambio, reiniciamos
nuestro equipo para que los cambios surjan efecto, pero lo hacemos escogiendo la opción de
reinicio con Aplicación: instalación Planeada.
ETAPA 3: INSTALACIÓN DEL ACTIVE DIRECTORY.
Debemos iniciar con el concepto de lo que es un controlador de dominio, un controlador de
dominio, no es más que un servicio que posee una base de datos centralizada en un equipo que se
habilita como controlador de dominio como es nuestro caso, para administrar el acceso a los
recursos de la red. Cada vez que un host u otro equipo de la red, desea utilizar un recurso de la
misma, debe loguearse, y el encargado de verificar las credenciales de seguridad y los permisos de
acceso a los recursos de la red, es el controlador de dominio. Esto se logra instalando y
configurando el Active Directory.
Iniciamos la preparación de nuestro controlador de dominio, verificando la dirección ip de nuestra
máquina y verificando que la tarjeta de red funciona correctamente haciendo ping, como lo

20. hicimos en el último paso. Posterior a eso, vamos a inicio y en la opción Ejecutar, y escribimos el
comando dcpromo, este comando es el encargado de iniciar la ejecución de instalación y
configuración del directorio activo.

21. En esta opción nos da una serie de recomendaciones y advertencia de compatibilidad que se
deben tener en cuenta a la hora de realizar conexiones entre diferentes maquinas en especial con
Mac o Linux. Seguimos y nos encontramos con una pantalla que nos pregunta como deseamos que
sea nuestro controlador de dominio, primera vez o un crear un controlador de dominio dentro de
un dominio ya existente. Para nuestro laboratorio, y por ser este nuestro primer controlador de
dominio escogemos la primera opción: Domain in a few forest.
Colocamos el nombre de nuestro dominio local, se recomienda si tenemos un dominio externo
(internet), no colocar el mismo nombre a nuestro dominio local, ya que se presta para que cuando
estemos conectados fuera de nuestro dominio (fuera de nuestra red local) se produzca un

22. TIMEOUT, el cual nos indicara que no se puede conectar a la red. Colocamos el nombre del
NETBIOS el cual para efectos de práctica va a ser: DOMINIO, luego vamos a colocar la ubicación de
nuestra carpeta en la cual se almacenara la base de datos de nuestro controlador de dominio
(Directorio Activo), así como el SYSVOL, que será el archivo en el que se publicara y replicara la
información en los demás controladores de dominio del dominio. Por lo tanto lo dejamos por
defecto los valores que aparecen en pantalla.

24. Escogemos la segunda opción: que será la que nos permitirá configurar nuestro servidor como
servidor de DNS predefinido (Primario). Luego escogemos la segunda opción en la siguiente
pantalla que será la que nos permitirá que nuestro servidor sea compatible con las actualizaciones
de seguridad y que el grupo de invitados que en versiones anteriores podía visualizar el listado de
los usuarios del sistema, con esta opción podemos evitar que esto suceda, y es la advertencia que
nos hacen en la primera opción.
En esta pantalla digitaremos la contraseña de recuperación de la base de datos del directorio
activo en caso de que entremos en modo de restauración de servicios de directorio, para nuestro
caso será: LAB12345.

25. En la pantalla siguiente veremos el resumen de lo que hemos hecho y podemos hacer la
verificación de toda la configuración que hemos realizado, damos click en Siguiente, y ahora es
que en realidad comienza la instalación del Active Directory.
ETAPA 4: PREPARANDO LA INSTALACIÓN DEL CONTROLADOR DE DOMINIO.
Cuando se instalan sistemas operativos en este caso Windows X, en un equipo, sea este un
servidor o un equipo de escritorio, cada uno crea una base de datos individual con los usuarios y
contraseñas correspondientes a cada una de esas máquinas.
Teniendo en cuenta lo anterior, para poder crear una red donde los usuarios se loguen y tengan
permisos de acceso y prioridades a los recursos de la misma, se requiere tener un controlador de
dominio. En este caso utilizaremos el Active Drectory de Windows, sobre un servidor Windows
2003 Server, para preparar e instalar el controlador de dominio, que será para efectos de este
laboratorio, el equipo sobre la máquina virtual llamado SER-CDSA-01, pero que físicamente la

26. maquina posee el nombre de SERLAB1, nombre que más adelante debemos tener en cuenta, ya
que lo utilizaremos.
La diferencia de una base de datos en un servidor que tenga configurado el Active Directory, es
que esta base de datos es cenralizada, y cualquier equipo de la rede se puede sincronizar con ella y
obtener acceso a los recursos de la misma. Debemos tener en cuenta que si dentro de nuestra red
existen varios controladores de dominio, la base de datos del servidor controlador de dominio
principal se replicara en cada uno de los demas controladores, y las bases de datos locales de estos
equipos desapareceran, con exepción de la base de datos local del controlador de dominio
principal. Esto se da debido a que esta base de datos local entra a ser parte del directorio activo
del controlador de dominio.
Un fenomeno que se da cuando nos encontramos dentro de un controlador de dominio, es que los
usuarios pertenecientes al dominio (Usuarios registrados en la BD de Active Directory) se pueden
loguear desde cuaquiel maquina de la red indicando su usuario, contraseña y dominio de red al
que pertenece. Cosa totalmente contraria lo que sucede con los usuarios locales de la maquinas
de la red; estos no pueden tener acceso al dominio ni usar los recursos de la red, incluso si se
coloca el nombre del dominio a este usuario no registrado en la BD centralizada de Active
Directory.
Cuando dentro de una empresa de forma física existen varios servidores como contralodor de
domino (uno que no sea replica del otro, es decir dos dominios diferentes), esto se conoce como
sitios de red. Para que un usuario de un sitio X se pueda usar los recursos de un sio Y, debe existir
entre los controladores de dominio lo que se conoce como: Replicación entre Sitios. No esta
demas que la autenticación de usuarios de cada sitio se hace de manera local en el sitio al que
corresponde el ususario; solo en caso de creación, modificación o eliminación de susarios, se
realiza el proceso de replicación entre sitios, permitiendo así que las bases de datos de los
controladores de dominis esten siempre actualizadas, evitando tambien, tráfico innecesario en la
red.
PREPARACIÓN DEL CONTROLADOR DE DOMINIO.
Existen tareas o pasos que debemos seguir para una instalación de un controlador de dominio, a
continuación se mencionarán a manera general y aplicaremos una o algunas de ellas para este
laboratorio. Las marcadas como Ok. Son la que tocaremos en este documento.
Instalar Sistema Operativo. Ok.
Instalar Controladores. Ok.
Instalar Herramientas de Soporte. Ok.
Instalar GPMC (Group Policy Management Console with Service Pack 1). Ok.
Revisar los Logs
Configurar Boot order para reinicios remotos

27. Configurar los servicios de shadow copy
Habilitar remote desktop
Configurar tamaño de pagefile. Ok.
Configurar automatic Updates Ok.
Habilitar: Do not display the last usuer name
Desfragmentar Discos
Instalar Recovery Console: para 64 bits ejecutar D:AMD64winnt32.exe/cmdconsole
Crear Boot Disk
Poner Clave administrador local. Ok.
Entre otras.
La preparación del Controlador de Dominio, inicio con la instalación y configuración del Active
Directory en la etapa 3. Ahora iniciaremos con la verificación de la dirección ip de nuestro servidor
para ver si esta sigue igual. Para sorpresa, nos encontraremos que la dirección ip de nuestro DNS
primario cambio de 192.168.10.3 a 127.0.0.1, dirección que corresponde al Local host de nuestra
máquina.
Lo que hacemos a continuación es cambiar esta dirección por la dirección real de nuestro esquma
de red, que es 192.168.10.3.

28. Posterior a este paso, vamos a verificar la instalación de nuestro servicio de DNS, el cual se instalo
en la etapa 3. Para ello vamos a Herramientas Administrativas ->DNS, y podremos visualizar la
pantalla de administración de DNS.

29. Podemos verificar que el dominio se creo correctamente, por que nos aparecen varias señales al
respecto:
Un icono con el nombre del servidor: SERLAB1
Dentro de la Zona de Busqueda directa, encontramos el nombre del dominio creado:
dominio.local
Dentro del dominio, encontramos el NS (Servidor de Nombres): serlab1.dominio.local
Dentro del dominio, encontramos el nombre del servidor con la dirección ip asignada a
el:192.168.10.3
Dentro del dominio, encontramos el nombre del equipo host con la dirección ip asignada a
el: 192.168.10.3
Para asegurar la configuración de DNS, debmos realizar otro paso importante que es crear la Zona
de Reverza, o “Zona de búsqueda inversa”. Para ello vamos a ir a la consolo de comandos de
DOS,y digitamos el comando: nslookup.

30. Al introducir este comando y dar “ENTER”, el sistema nos dirá que no pudo encontrar el nombre
del servidor con la dirección ip: 192.168.10.3, la cual corresponde a nuestro servidor de DNS, y
cuyo dominio es desconocido. Esto es por que la “Zona de búsqueda inversa”, aun no ha sido
configurada.
Para ello nos vamos a la interfaz de configuración de DNS nuevamente y nos posicionamos sobre
el tab: Zona de búsqueda inversa, hacemos click derecho con el mouse y escogemos “Zona
Nueva”.

31. Esto dará inicio al asistente de configuración de la Zona de Búsqueda Inversa.

32. Debemos asegurarnos de que este seleccionada “Zona Primaria”, por corresponder a nuestro
controlador de dominio primario, y chequeada la casilla de verificación al final de la pantalla:
“Almacenar la zona en Active Directory”. Esto se encargara de que nuestra base de datos se
replique en cada zona donde se encuentren los demás controladores de dominio. Hecho esto,
seleccionamos “Siguiente”.
En esta interfaz, seleccionamos la opción tres (3), que lo que hace es asegurar que se replique la
base de datos en todos los controladores de dominio del dominio: “dominio.local”.

33. Configuramos el “ID de Red”. Seleccionamos la primera opción e ingresamos solo los primeros 2
octetos de la red: “192.168”, esto con el fin de que si requerimos más sub-redes, el Controlador de
dominio se encargue de crearlas automáticamente dentro de la zona de reversa.
En esta interfaz lo que vamos a hacer es permitir que las máquinas realicen las actualizaciones
dinámicas por si solas dentro del servidor de DNS, y no delegare esta función al administrador del
sistema, función que demanda tiempo considerable si se realiza de forma manual. Lo otro que se
asegura, es que las únicas máquinas que podrán hacer estas actualizaciones, son las máquinas que
pertenecen al dominio. Para cumplir con lo requerido chequeamos la primera opción (opción 1) y
hacemos click en “Siguiente”, para finalizar el proceso de configuración de la zona de reversa.

34. Si miramos nuevamente en la interfaz de configuración de DNS, en la pestaña “Zonas de Búsqueda
inversa”, nos daremos cuenta que ya tenemos una zona de reversa 192.168.x.x.

35. Luego nos dirigimos a la consola de comandos de DOS, y digitamos el comando, “exit”, luego el
comando “ipconfig –registerdns”, este comando iniciara el registro de los recursos necesarios de
DNS, para los adaptadores del equipo donde se está corriendo el servicio.
Nos regresamos a la interfaz de configuración de DNS y presionamos el icono de “Referescar”, o
simplemente presionamos la tecla “F5” estando posicionados en la zona 192.168.x.x. Nos daremos
cuenta que se ha creado una carpeta con el número 10, esta carpeta corresponde a la zona que
acabamos de crear. Si abrimos la carpeta encontraremos un registro de eventos con el nombre del
equipo, el tipo de puntero y la procedencia de los datos: nombre:192.168.10.3, Puerto: PTR,
Datos: serlab1.dominio.local.

36. Posterior a esto vamos nuevamente a la consola de comandos de DOS, y digitamos el comando
“nslookup”, y verificamos que la resolución del domino de forma directa e inversa se realice de
forma exitosa. De esta forma ya podemos optener respuesta del servidor ya sea por el nombre:
serlab1.dominio.local, o por la dirección ip asignada: 192.168.10.3. Verificado esto escribimos
“exit”.
Siguiendo con el proceso de configuración de DNS, vamos nuevamente a la interfaz de
configuración de DNS, y cerramos todos los niveles de pestañas y nos colocamos sobre el icono
“SERLAB1”, hacemos click derecho el ratón y nos vamos a propiedades.
En esta pestaña de propiedades “Interfaces”, colocamos todas las direcciones ip de los
adaptadores de red (NIC) de donde queremos que el servidor escuche. Suponiendo que poseemos

37. más de una tarjeta de red en nuestro equipo. Una de las tarjetas se comunica a nivel interno con la
LAN, y la otra con otra red (LAN, WAN, Internet, etc.), y no queremos que nuestro servidor
escuche de esta última, entonces solo introducimos la dirección ip de la primera tarjeta de red, y
esto nos garantiza que el servidor solo escuchara peticiones provenientes de esta dirección. En el
siguiente tab “Reenviadores”, Los reenviadores, son los servidores a los cuales nuestro servidor de
DNS, realizara las solicitudes de DNS que este no conozca.
Como funciona este servicio en realidad. Al nosotros tratar de resolver un DNS que no se
encuentre dentro de nuestro dominio local, como por ejemplo: Facebook.com, este realizara las
peticiones a los servidores raíz de internet (ver el tab: “Sugerencia de Raíz”), servidores que no
deberiamos recargar con este trabajo, ya que los tiempos de respuesta serían demasiado largos,
por el numero de consultas que esto tendrían que realzar en la web para dar respuesta a una
solicitud local. Lo ideal que la consulta se realice a un servidor de reenvío, y estos servidores
respondan a la solicitud de forma más rápida, siempre y cuando dentro de su cahce se encuentren
los datos de la solicitud realizada, estos serán regresados al servidor nuestro, y este los reenviará
al host que este hacendo la solicitud.
Para esto utilizaremos dos (2) reenviadores de internet de un aempresa llamada openDNS
(www.opendns.com), esta empresa posee unos servidores con gran capacidad de chache y
tiempos de respuesta más rapidos. Las direcciones de estos servidores son: 208.67.222.222 y
208.67.222.220.

38. Al realizar esto los servidores root no se utilizarán más. En las demás pestañas no se realizan
cambios. Hacemos click en Aceptar y seguimos con la configuración. Nos vamos a la pestaña
“Zonas de búsqueda directa-> dominio.local” y hacemos click derecho en “propiedades”, y nos
aseguramos que en nuestra zona de búsqueda directa, también en el tab “General” se encuentre
seleccionado en la check list: Actualizaciones directas la opción: Solo con seguridad, asi como lo
hicimos en la zona de reversa.

39. Con Active Directory se presenta un inconveniente, debido a que por lo general en una red se
agregan o se quitan máquinas de los dominios, están quedan sobrantes dentro del mismo,
llenando nuestra base de datos de registros acumulados hasta el punto, de que es imposible
hacerle mantenimiento y podemos llegar al punto de no saber cuáles si o cuales no borrar.
Para solucionar esto el directorio activo trae una opción de mantenimiento que se conoce como
“Envejecimiento y limpieza de registros”. El mantenimiento de envejecimiento, se pude realizar a
nivel de todas las zonas o por zonas específicas.
Si vamos a la zona de dominio.local, en las propiedades encontraremos un botón que dice:
“Caducidad…”
Al hacer click en el botón, se nos muestra una interfaz que por defecto las opciones aparecen
desactivadas. Para efectos del mantenimiento automático, activaremos esta opción y
configuraremos el mantenimiento de envejecimiento.

40. Dentro de nuestro domino cada vez que encendemos una máquina, esta preguntara a nuestro
controlador de dominio, por los DNS y le asignara una ip dentro del dominio, lo más seguro es que
esta máquina es poco probable de que su dirección ip cambie a pesar de ser dinámica. Si dentro
de la configuración: “Intervalo sin Actualizar”, colocamos que sea diaria, generaremos un tráfico
innecesario en la red, en donde todos los computadores del dominio empezaran a preguntar
todos los días por la dirección que le corresponde y generaran archivos en la base de datos del
directorio activo innecesarios, por eso no es recomendable colocar en esta casilla 1 día. Para
nuestro laboratorio colocaremos que esta actualización se realizará cada 15 días. Lo que significa
que cada 15 días, los host podrán actualizar su información en el dominio.

41. La opción “Intervalo de actualización”, sucede lo siguiente: después de los primeros 15 días, la
maquina no se ha registrado en el domino, espere 15 días más, si dentro de estos quince días
siguientes la maquina no se registró, lo marque como un registro que expiro. Recuerde que esto
también se debe realizar en la zona de reversa del dominio.

42. Luego de activar el proceso de envejecimiento de registros, debemos activar el servicio de
limpieza de registros, para ello vamos a las “Propiedades” del servidor y en “Avanzadas”
habilitamos el check list “habilitar limpieza automáticade registros obsoletos”, el cual por defecto
viene deshabilitado. Lo dejamos tal cual como viene por defecto.
Si vamos a la consola de configuración de DNS, y en el menú principal, nos vamos a la pestaña
“Ver” escogemos la opción “Avanzada”, con esto nos aseguramos de lograr ver en el registro:
serlab1 de la zona: dominio.local, haciendo doble click sobre él, las propiedades de
envejecimiento y de limpieza del host. Los únicos registros que son afectados por este proceso
automático, son los registros creados por las propias maquinas. Debido a que se pueden crear
registros de forma manual estos no serán afectados por este proceso, aquí toca indicarle al
registro de forma manual la fecha de envejecimiento y limpieza de éste registro.

43. Cuando se crea un registro de forma manual, este registro no espirara nunca de forma automática,
realicemos la prueba de creación de un registro de forma manual.
En la zona: dominio.local, click derecho escogemos “Host nuevo (A)” y le colocamos como nombre
“Prueba” una dirección cualquiera.

44. Al hacer doble click sobre el registro nuevo creado, nos damos cuenta que no aparece fecha de
envejecimiento ni de limpieza programados, por lo cual nos tocaría hacerlo de forma manual.
Aclarado esto, borramos el registro, creado y seguimos con la configuración.
Anterior mente se mencionó que podíamos realizar una limpieza de registro y la programación de
envejecimiento de manera automática para todas las zonas, esto se puede realizar siempre y
cuando tengamos más de una zona en nuestro dominio. Ilustraremos la manera de hacerlo, pero

45. no lo aplicaremos en este caso ya que solo poseemos una sola zona en estos momentos. Vamos a
nuestra consola de configuración de DNS, y con el botón derecho del mouse hacemos click sobre
nuestro servidor, y nos ubicamos en: “Establecer caducidad/borrado para todas las zonas…”, si se
dan cuenta es la misma pantalla que nos sale al momento de configurar este servicio para una sola
zona, con la diferencia de que esto abarcaría todas las zonas dentro de nuestro dominio.
Lo anterior aplica para el envejecimiento, lo siguiente aplica para el borrado de registros de
máquinas obsoletas en el sistema, hacemos el mismo procedimiento anterior, siendo que ahora
seleccionamos: “Borrar registro de recursos obsoletos”, al hacer esto los registros serán marcados
como si se hubiesen creado hoy, y hay que esperar el tiempo asignado de envejecimiento, para
que se pueda evidenciar el borrado de registros, en nuestro caso serían 30 días. Este paso no lo
haremos ahora.

46. Seguidamente, instalaremos unas herramientas de soporte, que se encuentra en el CD de
instalación de Windows 2003 Server (ISO). Vamos al CD, e instalamos las herramientas de soporte,
esto es recomendado hacerlo cada vez que instalemos un servidor Windows.
La ruta de instalación es la siguiente: D:SUPPORTTOOLSSUPPORT.MSI, empezamos con la
instalación de las herramientas.

49. Las herramientas quedan instaladas en la ruta: C:Archivos de programaSupport Tools.
A continuación dentro de los pasos que al inicio de esta etapa mencionamos, se encuentra el de
instalación de las políticas de administración de grupo: GPMC (Group Policy Management
Console). Vamos a nuestra máquina física (host) i entramos a internet para descargarlo.
Realizamos una búsqueda en Google y colocamos en la barra de búsqueda: GPMC.

50. Descargamos el archivo .MSI, a nuestro equipo y utilizando una ventaja que nos ofrece el
VMWare, que es el Drop and Down, arrastramos el archivo hasta el escritorio de nuestra máquina
virtual.

51. El GPMC, es una herramienta que nos permitirá gestionar las políticas del Active Directory de una
forma más fácil y eficiente, anteriormente a la existencia de esta herramienta, era muy difícil saber
que políticas estaban activas, o inactivas, o en que unidades de la organización existían políticas de
administración del Active Directory.
Luego de tener el archivo en nuestra máquina virtual, instalamos la aplicación.

52. Luego de finalizada nuestra instalación vamos a Herramientas Administrativas, y veremos que nos
aparecerá un nuevo ítem: “Administración de directivas de grupo”.

53. En esta consola de administración podremos visualizar todas las configuraciones por defecto e las
políticas de administración del active directory. En estos momentos no entraremos en detalle en la
configuración de estas políticas, al momento de hacerlo regresaremos a esta consola.

54. Aquí debemos de agregar el about:… a las páginas de confianza del dominio.

56. Luego de esto configuraremos otro paso que es el tamaño del pagefile, es importante también
hacerlo en todos los servidores que instalemos. Para eso vamos Mi PC, click derecho,
Propiedades.
Opcines avanzadas->[Rendimiento]->Configuración.

57. Seleccionamos la pestaña: “Opciones avanzadas”, y nos vamos al recuadro final que dice
“Memoria Virtual”, y damos click en el botón “CAMBIAR”.
Lo recomendable en este aspecto es que el tamaño de nuestra memoria virtual sea 1.5 veces el
tamaño de la memoria RAM del equipo, en este caso para nuestro equipo, inicialmente le
colocamos 384MB, si lo multiplicamos por 1.5, nos da como resultado 576MB.

58. Es recomendable que el tamaño inicial y el tamaño final sean iguales, dado que en ocasiones al
utilizar toda la memoria, el sistema pausa todos los servicios para ampliar la memoria, y los
servicios que se estén ejecutando pueden generar error, y pérdida de información, al momento en
que el servidor realice esta operación. Como paso final de la operación hacemos click en el botón
“Establecer”, para que los cambios tengan efecto. Y reiniciamos el servidor.
Luego de reiniciado nuestro servidor, seguimos con la configuración de los servicios que en un
principio definimos que tendría este equipo. El siguiente servicio a configurar es el WINS. Para
evitar que las maquinas hagan broadcast en la red es necesario que WINS esté instalado, este crea
un repositorio donde se encuentran identificados todos los host de la red con dirección ip y el
nombre de la máquina. Adicional mente este servicio nos permitirá comunicarnos con host de
otras redes enrutadas. Para agregar este servicio, nos vamos a Panel de control->Agregar o quitar
programas->Agregar o quitar componentes de Windows.

60. Buscamos el componente Servicios de red, y seleccionamos detalles, y buscamos el servicio de
WINS. Debemos tener el CD de Windows Server a la mano por que al momento de empezar la
instalación lo vamos a necesitar. Una vez seleccionado el servicio, damos Aceptar->Siguiente, y
empezara la instalación en el servidor. Esto nos creara un acceso a la consola de administración de
WINS.

61. Nos dirigimos a Herramientas administrativas->WINS

62. En esta consola revisaremos las opciones que nos proporciona. Las describiremos pero no las
utilizaremos en el momento.

63. En Estado del Servidor, nos mostrara los servidores conectados, la última vez que se
conectaron, si están o no respondiendo.
Estadísticas del servidor, nos mostrara la fecha de inicio del server, número de consultas,
etc.
Compactar la base de datos, en esta opción podemos verificar la consistencia de la base
de datos y realizar manualmente una limpieza de la base de datos del Active Directory.
Esto por lo general toma bastante tiempo y es recomendable hacerlo en horas de bajo o
poco tráfico en la red.
Copia de seguridad de la Base de datos, podemos realizar copias de nuestra base de datos
del active directory, como respaldo.
Todas las tareas, podemos reiniciar, pausar o detener el servicio del active directory.
Pausar el servicio, significa que el no creara nuevos servicios, pero si responderá a las
peticiones de los host de la red.
Dentro del WINS, poseemos dos carpetas, Registros Activos y Asociados de replicación.
Registros Activos: Podemos visualizar todos los registros de la base de datos, se puede filtrar por
NETBios, IP, o Asignación de Registros.

64. Propietarios de registro, podemos decir o buscar que nos muestren los propietarios de un
registro específico de un servidor o de varios servidores.

65. En este podemos buscar los registro pertenencientes a una máquina en especial por el nombre del
equipo.
En esta última, podemos ver por tipos de registros. Si nos vamos al botón Buscar, nos mostrara la
información de nuestro servidor actual. Que es el que se encuentra seleccionado.

66. Mostrándonos información como: Nombre del registro, tipo de registro, dirección ip, estado, etc.
Si observamos en la información nos damos cuenta que aparece nuestro servidor. Las
instrucciones en la descripción del tipo aparecen dos aspectos relevantes. El primero que aparece
e [00h], que hace referencia a una estación de trabajo, el servidor como tal también se comporta
como una estación de trabajo, creando un archivo tipo Estación de trabajo, esto sucede porque
en las propiedades de nuestra tarjeta de red tenemos activado el elemento Cliente para redes
Microsoft. El otro es [20h], esto hace referencia a que está activo el elemento de Compartir
impresoras y archivos…, esto genera que se cree como lo evidenciamos un registro de tipo
Servidor de Archivos.

67. Dentro de las propiedades de registros activos también encontraremos la opción Asignación
estática nueva…, esta opción por lo general se utiliza cuando por ejemplo tenemos una máquina
Linux de misión crítica o con un servicio de correo por ejemplo configurado en esa máquina y
queremos que los usuarios lo vean por la red mediante WINS, usamos esta opción. Este servidor
(Linux) no se encuentra registrado en la red ni en la base de datos de WINS, por lo que no posee
un servicio WINS que se comunique con nuestro servidor Windows, y la manera de que nuestros
host lo vean es por medio de esta opción.

68. Existe en Windows un comando que nos permite ver el estado del servicio WINS bajo consola de
DOS, permitiéndonos ver estadísticas del NetBIOS, la cache, entre otras estadísticas, este comando
es el nbtstat. So colocamos nbtstat y enter, nos mostrara la ayuda de comandos del nbtstat.

69. La grafica anterior nos muestra la tabla de direcciones remota del servidor, colocando el nombre
del servido, esto mismo se puede realizar introduciendo la dirección ip, solo hay que cambiar –a
por –A, esta misma información que la consola principal de WINS pero en otro formato.

70. En la imagen anterior podemos visualizar el estado de la CACHE. Si ejecutamos el comando nbtstat
–c. Si notamos existe un campo que dice Vida, que es el tiempo de vida del proceso en la memoria
cache, si lo volvemos a ejecutar este disminuirá. si nos sale información como “No se encontraron
nombres en cache”. Una manera de registrar datos en la cache es: inicio->Ejecutar->serlab1. En
esta pantalla no haremos nada, simplemente cerramos luego de que se abra, esto es para que en
la cache se cree un registro de este equipo.
Podemos hacer una prueba con el comando nbtstat –R, el cual limpiara y volverá a cargar la tabla
de la cache. Si inmediatamente colocamos el comando nbtstat –c, nuevamete veremos que no
existen registros en la cache.

71. Este comando nbtstat –R, nos sirve cuando en algún momento se realizó un cambio de ip a un
servidor y los host no lo registran, es bueno ejecutarlo para que estos renueven la cache y la tabla
de direcciones ip. Hasta aquí el servicio WINS queda completo y configurado.
Siguiendo con la instalación de servicios en nuestro servidor controlador de dominio, pasamos a
configurar el servicio (Servidor) de DHCP. Este servicio nos permite asignar direcciones ip de
manera automática. Adicionalmente, asignara la puerta de enlace, las ip’s de los servidores DNS, y
la ip del servidor WINS. Para esto vamos a Panel de control->Agregar o quitar programas-
>Agregar o quitar componentes de Windows.

73. Seleccionamos el componente Servicios de red, y presionamos el botón “Detalles”, y
seleccionamos la casilla que dice: Protocolo de comunicación dinámica del host, damos click en el
botón “Siguiente”, e instalamos el servicio.

76. Si vamos a las Herramientas del sistema podremos observar que ya se nos crea el acceso a la
pantalla de configuración de DHCP.

77. Desde la versión de Windows 2000 server, cuando se monta un servicio como el de DHCP, este
servicio se debe autorizar para que se pueda realizar el despliegue de asignación de direcciones IP
de forma automática. Si nos vamos a la consola de configuración de DHCP, podremos ver que el
servidor tiene un icono con una flecha roja hacia abajo (que más bien parece un punto rojo), al
colocarnos sobre el servidor, en la pantalla del lado derecho nos indica que el servidor no se
encuentra autorizado.
Para autorizar el servidor, hacemos clic derecho sobre el nombre del servidor y nos vamos a la
opción “Autorizar”, posterior a esto refrescamos la interfaz con F5, o simplemente nos vamos al
icono de refrescar pantalla y vemos que nuestro icono del servidor ya cambia, colocando una
flecha verde hacia arriba (o un punto verde). Ya podemos ver que del lado derecho aparece en
estado Activo.

78. Otra forma de hacerlo es dando click derecho sobre el servicio DHCP, e ir a la opción “Administrar
servidores autorizados”, y en esta pantalla podemos autorizar nuestro servicio.

80. En este punto nos tocaria ingresar manualmente nuestra dirección IP del servidor.
Hasta ahora lo que hemos hecho es autorizar nuestro servidor DHCP para que pueda funcionar
dentro de nuestro dominio. Pero no hemos dicho que rango de direcciones IP vamos a utilizar
dentro de nuestro servidor. Para tal efecto debemos crear un “Ámbito”. Nos colocamos sobre
nuestro servidor y hacemos click derecho y escogemos la opción “Ámbito Nuevo”.

81. Iniciamos el asistente que nos servirá para ingresar la información respectiva.

82. Nos preguntara por el nombre del ámbito, en este caso colocaremos Red Local, la descripción no
es necesaria, para este caso la dejaremos en blanco.

83. Nos preguntara por la primera y la última dirección IP por la cual se regirá el servidor DHCP. Por
caso a las buenas practicas se recomienda reservar las primeras 50 o las ultimas 50 direcciones IP
para los servidores, en nuestro caso, reservaremos las primeras 50 direcciones, e iniciaremos en la
51, al igual que dirección de broadcast, que el ultimo octeto es el 255, no se utilizara por lo que es
una dirección reservada. La máscara de subred colocaremos una longitud de 24 para que nos
quede 255.255.255.0, si queremos asignar más subredes, podemos bajar la longitud de la mascara
de subred, y así podremos obtener más direcciones.

84. Las exclusiones dentro de nuestro servidor de DHCP, sirven para cuando dentro de nuestra red,
tengamos un equipo con una dirección ya específica y no queremos que cambie, Ejemplo: Un
servidor de Impresión o un servidor de Aplicaciones, especificamos es IP dentro de esta consola y
la agregamos, para ejemplo del taller haremos de cuenta que tenemos un servidor de impresión
cuya dirección IP es: 192.168.10.220.Debemos tener en cuenta que se debe colocar la IP de inicio
y la de final en la exclusión, para tal efecto como solo tenemos una sola ip la IP de inicio y final
será la misma.

85. Presionamos el botón Siguiente, para seguir con el asistente de instalación.

86. Nos aparecerá la concesión de duración de apropiación de una dirección IP, en pocas palabras,
aquí se le asigna el límite en días, horas, minutos, que un host, podrá utilizar una IP dentro de la
red. Lo dejaremos por defecto en 8 horas.

87. En esta sección configuraremos la puerta de enlace o el Gateway. Le colocaremos la dirección IP
de nuestro servidor que servirá como como gateway según nuestro esquema original. La IP sería
192.168.10.1. y presionamos el botón siguiente.

89. En esta sección, vincularemos nuestro servidor de DHCP al dominio para que al resolver y asignar
las direcciones IP pueda resolver a que dominio pertenecen estas direcciones. En dominio primario
colocaremos el dominio que creamos: dominio.local, Posterior a esto tenemos dos opciones de
seguir configurando el dominio, en nombre del servidor escribimos el nombre del servidor, en este
caso: serlab1, y presionamos el botón resolver, del otro lado donde dice dirección IP, nos
aparecerá la dirección IP correspondiente al servidor y le damos Agregar. Este proceso se puede
hacer a la inversa, primero la IP y Agregar, nos mostrara el nombre del equipo.
Lo mismo hacemos con el servidor de WINS, lo atamos al servidor de DHCP, para que pueda
resolver las direcciones del dominio.

91. Posteriormente activamos el ámbito: Activar este ámbito ahora, siguiente, y por último Finalizar.
Si verificamos nuestra consola de DHCP, veremos que se ha creado el ámbito de direcciones IP,
con el rango inicial y final donde se servirán las direcciones, así como la dirección reservada.

93. En la carpeta Opciones de Ámbito, encontraremos todas las opciones que acabamos de
configurar. En la carpeta de Reseras, se encontraran todos aquellos equipos a los que queremos
que siempre se le asignen las mismas direcciones IP. El funcionamiento es sencillo, simplemente
en la consola que nos aparece al hacer doble click con el ratón, ingresaremos la dirección IP que
deseamos asignar a una máquina específica y le asociamos la dirección MAC de esa máquina. Así
nos aseguramos que esta IP siempre sea asignada a la misma máquina. Para efectos del taller no lo
haremos en estos momentos. Presionamos Cerrar.

94. Dentro de las opciones de Opciones de ámbito, encontraremos una que en ningún momento
configuramos, pero que está presente, y es la de 046 Tipo de nodo WINS/NBT, esta opción hace
referencia al tipo de nodo con el que funcionara WINS.

95. WINS a nivel de clientes posee cuatro (4) formas de funcionamiento: 1. Nodo B: Este nodo, es un
tipo de nodo Broadcast, lo que hace es que cuando se quiere comunicar con otro host de la red,
comienza a enviar broadcast en el segmento de la rede donde se encuentra y a preguntar quién es
el host que el necesita. Si el servidor no posee la dirección del host que se está buscando regresa
un error diciendo que no se pudo encontrar la máquina destino. 2. Nodo P: Este tipo de nodo
cliente-servidor, pregunta primero la dirección IP de la máquina que él está buscando al servidor
WINS. Si el servidor no posee la dirección del host que se está buscando regresa un error diciendo
que no se pudo encontrar la máquina destino. 3. Nodo M: Primero hace broadcast, se coloca
primero en modo B, y si no encuentra la máquina destino, cambia a modo P, y vuelve a intentarlo,
si en ambos casos falla, envía un error diciendo que no pudo encontrar el host destino, y regresa al
estado M. 4. Nodo H: Es el que se configura por defecto y el más usado. Cuando contacta a una
maquina primero pregunta por la IP al servidor WINS, si no lo encuentra comienza hacer
broadcast. Dejaremos esta última, y el resto de las configuraciones igual.

96. Luego de configurar el servidor DHCP, nos toca ir a un cliente y realizar la configuración respectiva
para saber si ya está recibiendo direcciones del servidor. Para tal efecto instalaremos un cliente
Windows XP sobre otra máquina virtual, y lo uniremos a la red virtual que estamos creando. Una
vez instalado el cliente XP, debemos instalar la herramientas de VMWare, para que pueda tomar
todas las propiedades respectivas de independencia y configuraciones específicas, como pantalla,
el comando CTRL+SUPR, entre otras. Por eso vamos a hacer click en el botón Install Tool, que se
encuentra en la parte inferior izquierda de la pantalla de la máquina virtual.

97. Si abrimos el estado de conexiones de la red, nos damos cuenta que el equipo posee una dirección
IP fuera del rango que ya nosotros con anterioridad hemos configurado. Lo que indica que este
cliente no está dentro del segmento de red correspondiente y menos dentro del dominio.
Ahora, vamos con el primer paso. Nos vamos a las propiedades de la máquina virtual y en Network
Adapter, cambiamos la opción a Customs Specific virtual network, y seleccionamos el Switch que
estamos utilizando, para nuestro caso el VMnet3.

98. Configuramos luego el Remote Display, Habilitamos y cambiamos el puerto, colocamos 5901, y
asignamos la clave respectiva. Esta configuración en caso de que vía VNC, queramos ver el cliente
desde cualquier otro equipo de nuestra LAN, la conexión sería igual con la diferencia que en el
campo donde se digita las dirección IP del equipo remoto, se digitara la dirección y el puerto.
Suponiendo que la dirección IP del el Host físico donde tengo montada todas las máquinas es:
192.168.100.5, se debe colocar esta dirección más el puerto, así: 192.168.100.5:5901.

99. Luego empezamos a revisar nuevamente bajo DOS, la dirección de la tarjeta de red del cliente.
Ejecutamos el comando cmd.
Ejecutamos el ipconfig, y verificamos el estado de la dirección IP, vamos a notar que la dirección IP
sigue siendo herrada, en el sentido de que no está dentro del rango que configuramos en el
servidor de DHCP. Para que el cliente tome una dirección de este pool de direcciones del servidor,
debemos digitar otro comando, que es el ipconfig –release, este comando limpiara el registro de
la tarjeta de red colocándolo a 0.0.0.0.

100. Luego procedemos a decirle al equipo que renueve la dirección IP, y como el cliente ya se
encuentra en el mismo segmento de red, él ira al servidor y realizara la petición respectiva, el
servidor deberá devolver una dirección IP, dentro del rango configurado. Para esto utilizaremos el
comando ipconfig –renew. Notaremos que ya estamos en el dominio, y que la dirección IP
asignada, pertenece al pool de direcciones previamente configuradas en el servidor DHCP, así
como la puerta de enlace y la máscara de subred asignada y configurada previamente.
Si notamos, nuestra dirección IP, es la terminada en .51, por ser la primera del rango, ya que las 50
anteriores están reservadas para servidores.

101. Ahora si ingresamos el comando ipconfig –all, este nos mostrara toda la configuración de nuestro
servidor en cuanto al direccionamiento IP, el dominio al que pertenece el equipo, tipo de
adaptador de red, la dirección MAC de nuestro equipo, ente otras configuraciones. Pero las más
importantes encontraremos las Direcciones del servidor de DHCP, DNS (principal, ya que solo
hemos configurado uno), y el WINS principal, la fecha en que fue obtenida la dirección IP y la fecha
en que esta expira.
Esta misma verificación la podemos hacer en la consola del servidor de DHCP, nos vamos a nuestro
servidor y verificamos que en la consola dentro del Ámbito de red local, en la carpeta donde dice
Concesiones de Direcciones, del lado derecho encontraremos el equipo que recién se agregó a la
red local y la información que ya por DOS, en el cliente hemos obtenido.
ETAPA 5: INSTALANDO EL FIREWALL: ISA SERVER
Desde mucho antes de que la información se volviera el “Activo Intangible”, más importante para
las compañías, a nivel informático se han creado estrategias y herramientas para asegurar que la
información no sea accedida por intrusos o personal no autorizado. Una de estas grandes
estrategias y/o herramientas se conoce como “FIREWALL” o pared de fuego.

102. Qué es un FIREWALL?, un firewall, no es más que una herramienta de software combinada con la
capacidad de procesamiento del hardware que nos permite realizar un filtrado en el acceso a la
información entre varias redes, pudiendo ser este filtrado entre una LAN y una WAN, o entre
varias LAN. Un firewall restringe la comunicación entrante o saliente entre estas redes,
permitiendo así resguardar la información.
Para nuestro laboratorio utilizaremos el servidor que hemos destinado para este fin como lo
muestra nuestro diagrama de infraestructura física de red al inicio del taller. Este servidor tendrá
dos (2) tarjetas de red, una para poder conectarse a la LAN (Interna), y la otra para la WAN
(Externa) las cuales debemos configurar previamente.
Tabla 1- Configuración tarjeta de red 1: Tarjeta Interna
Campo Detalle Descripción
Dirección IP 192.168.10.1 Red interna
Mascara de Red 255. 255. 255. 0 -
Gatgeway N/A Solo tarjetas externas
DNS 192.168.10.3 Controlador de dominio primario
WINS 192.168.10.3 Controlador de dominio primario
Tabla 2- Configuración tarjeta de red 2: Tarjeta Externa
Campo Detalle Descripción
Dirección IP XXX.XXX.XXX.XXX Red externa
Mascara de Red 255. 255. 255. 0 -
Gatgeway XXX.XXX.XXX.XXX Solo tarjetas externas
DNS 192.168.10.3 Controlador de dominio primario
En esta configuración no necesitaremos un servidor WINS, por razones que se encuentran
descritas anteriormente en la configuración de este servidor.
La tarjeta de red interna la conectaremos a nuestro Switch virtual el VMnet3, y la otra tarjeta la
conectaremos a un bridge. Debemos tener en cuenta que la dirección IP y el Gateway, para la
salida a Internet, nos la asigna nuestro proveedor de servicios de internet, para nuestro
laboratorio, debemos solicitar al nuestro equipo de avances tecnológicos que nos habilite una
dirección IP y junto con el Gateway para configurar nuestra tarjeta, si lo desean realizar en casa
basta con colocar la dirección IP y el Gateway que nuestro proveedor nos da en nuestro equipo.
Iniciamos nuestro proceso de instalación del firewall. Para ello clonaremos nuevamente nuestra
máquina de referencia, y le colocaremos por nombre el que le asignamos al servidor SER-FW-01.
Lo primero es configurar nuestras tarjetas de red. Para ello editamos nuestra máquina virtual y en
la etiqueta de hardware buscamos la tarjeta de red 1 y la signamos el switch WMnet3.

103. Posterior a esto, en esta misma etiqueta, agregamos un nuevo hardware, pulsando el botón
agregar, y escogemos Ethernet, y le asignamos en la configuración de conexiones de red (Panel
derecho de la interfaz) la opción de Bridge.

104. Ya podemos visualizar en la interfaz que tenemos dos tarjetas de red: Ethernet y Ethernet 2.Luego
configuramos nuestro Remote Dysplay, y le asignamos el puerto 5903, si queremos acceder de
forma remota, e iniciamos nuestra máquina virtual y realizamos el proceso de renovación del SID,
proceso que también se explicó anteriormente.
Lo que se recomienda cuando estamos instalando un firewall es no conectar directamente a
internet la tarjeta de red 2, lo recomendable es conectar está a un equipo (Linksys, DLink, u otro
quipo) que haga NAT y conectar la tarjeta de red al switch virtual VMnet3 (de nuestra LAN), con las
direcciones IP suministradas, mientras instalamos y configuramos el firewall, para evitar que la
información entrante infecte el equipo, ya que durante la instalación este es totalmente
vulnerable.
Pasamos de esto a configurar nuestras tarjetas de red. Vamos a nuestra configuración de redes, en
las propiedades de la tarjeta, encontraremos que está tiene asignada una dirección IP dentro del
rango suministrado por el servidor DHCP, de nuestro controlador de dominio principal. Lo que
hacemos es cambiar esta dirección IP por la dirección IP fija, así que tomamos la configuración de
nuestra tarjeta de red interna así como se muestra arriba en la tabla 1 (Debemos acordarnos que
los servidores deben tener direcciones IP fijas). Nos vamos a propiedades avanzadas (Botón
avanzadas).

105. Configuramos la pestaña de DNS, y colocamos nuestro sufijo de dominio: dominio.local.
Configuramos la pestaña de WINS, y colocamos nuestro la IP de nuestro controlador de dominio
local: 192.168.10.3, y habilitamos el checklist: Habilitar NetBios sobre TCP/IP. Por ultimo le
decimos que nos muestre el icono de notificación de red en la barra de tareas.

106. En las conexiones de red, cambiamos el nombre de nuestro adaptador de red, y le colocamos el
nombre de interna, para identificar que esta tarjeta será la que se conectara a nuestra LAN.
Es muy importante tener en cuenta que a través de la conexión de área local 2, no nos
conectaremos a ningún cliente de red de Microsoft, como tampoco vamos a compartir archivos o
impresoras externas, por lo tanto es importante desactivar las directrices de la configuración de la
tarjeta, que hacen referencia a conexión con redes Microsoft y Compartir Archivos e Impresoras
para redes Microsoft.

107. Luego de desactivar estas directrices pasamos a configurar la dirección IP de la tarjeta, esta
configuración es relativa a la red donde usted se encuentre, en este caso, esta configuración
corresponde a la red de la empresa donde me encuentro, usted deberá realizar esta configuración
de acuerdo a la configuración del proveedor de servicios de internet de la red donde se encuentre.
Configuramos la IP del servidor DNS que va a ser nuestro servidor de DNS interno y que
corresponde a: 192.168.10.3.

108. Nos vamos a propiedades avanzadas y en la pestaña DNS, desactivamos la selección de “Registrar
estas direcciones de conexiones en DNS”, la razón de esto, es que lo que deseamos hacer, es que
cuando los clientes pregunten por el FIREWALL (ISA Server), nuestro servidor de DNS, primero no
registre la dirección en sus registros y los redirija a la IP externa, para que sea el ISA, quien
controle el tráfico saliente y el tráfico entrante, por consiguiente en la pestaña WINS,
desactivamos el envió de NetBios sobre TCP/IP. Por último renombramos la conexión de área local
2 y le colocamos “Externa”

109. El siguiente paso tiene que ver con el orden de prioridad de uso de las tarjetas de red. Cuando en
nuestro equipo poseemos más de una tarjeta de red nuestro cliente de DNS utiliza las tarjetas en
orden de preferencia según estas estén configuradas, para ello debemos asegurarnos de que el
orden de uso de estas sea el indicado para que se puedan prestar los servicios correspondientes a
través de cada tarjeta.
Vamos al menú “Opciones Avanzadas”, y nos damos cuenta que el orden de prioridad de las
tarjetas es Externa-Interna, y lo debemos cambiar a Interna-Externa. La razón de esto es: si
dejamos la configuración inicial, todas las resoluciones de las peticiones de los clientes, se
realizarán primero en la tarjeta externa, lo que sucede en este caso, es que esta tarjeta no tiene
registrado los recursos a los cuales los clientes desean tener acceso, ya que si recordamos
desactivamos la directriz de conexión a los clientes de Red de Microsoft, esto generaría un
TIMEOUT en el servidor dando como respuesta que “El recurso no existe”, o “Recurso
Inalcanzable”. Lo que hacemos es que configurando la misma dirección IP de DNS en ambas
tarjetas, y cambiando el orden de Interna-Externa, es asegurar que todas las solicitudes de los
clientes a recurso internos sean resueltas y que las solicitudes externas también, estas últimas se
resuelven gracias a que en nuestro servidor de dominio principal hemos configurado la directriz de
“reenviadores” cuyas direcciones IP corresponden a: 208.67.220.220 y 208.67.222.222,
configuración que realizamos al momento de parametrizar nuestro DNS. Sabiendo esto
procedemos a realizar el cambio.

110. Finalizada esta sección, lo que nos toca hacer ahora es ingresar este servidor al dominio, para
aprovechar las políticas de manejo de grupo que nos brinda el Active Directory.
Para realizar esta operación vamos a Inicio->Mi PC->Propiedades.
Seguidamente vamos a la pestaña Nombre del Equipo, y pulsamos el botón cambiar.
Seleccionamos el combobox, Dominio, y escribimos el nombre de nuestro dominio: dominio.local
y presionamos Aceptar, nos pedirá que reiniciemos nuestro equipo.

111. Luego de reiniciada la máquina, procedemos a entrar al equipo, pero esta vez, presionamos el
botón Opciones, y donde dice “Conectarse a”, seleccionamos “Dominio”, y presionamos “Enter”.
Una vez ingresado al equipo este realizara un cargue de controladores y actualizaciones de
registro con nuestro servidor de Dominio.
Siguiendo la configuración del servidor, ahora debemos colocarle una contraseña al Usuario
Administrador Cliente, esto debemos hacerlo debido a que cualquier usuario que se conecte
desde internet con el escritorio remoto puede acceder al servidor y obtener las claves del servidor
de dominio utilizando un software espía y obtener dominio de completo de la red, pero no solo
eso, sino que también puede obtener información muy valiosa de manera sigilosa de la empresa.
De igual forma Windows 2003 Server no permite acceder remotamente si el usuario
Administrador local no posee una contraseña.
Procedamos entonces a realizar este procedimiento, para ello vamos a Inicio->Mi PC->Click
Derecho->Administrar->Enter. Nos saldrá una interfaz de Administración de Equipos.

112. Dentro de la interfaz nos vamos al árbol de directorios (Mano izquierda), y desplegamos el
directorio “Usuarios y Grupos Locales”, abrimos la carpeta usuario, del lado derecho escogemos el
usuario “Administrador”, Click derecho y escogemos “Establecercontraseña”, en la pantalla
siguiente presionamos “Continuar”, e ingresamos la contraseña, dos veces en las casillas de la
interfaz de ingreso de contraseña.

113. Para este efecto, la contraseña será: “Labfw123”. Debemos tener en cuenta los parámetros de
asignación de contraseñas de Windows Server 2003 para este aparte, en caso de que desee
colocar otra. (Investigar y colocar como anexo lo descubierto en su investigación). Por último
damos aceptar.
Descomprimimos el archivo de ISA Server 2006, y ejecutamos el archivo .exe de instalación de la
aplicación.

114. Una vez iniciada la instalación de ISA, procedemos a seguir los pasos de configuración pertinentes.
Pulsamos el botón “Siguiente”, y aceptamos el acuerdo de licenciamiento del software, luego
seleccionamos instalación personalizada para ver las opciones de instalación que nos trae el ISA.
ISA Server se compone de 3 componentes fundamentales: Servidor ISA, Registro Avanzado,
Administración del Servidor ISA.
Servidor ISA: Posee todos los componentes de instalación del Firewall.
Registro Avanzado: A la hora de realizar auditorías al sistema, este componente nos permitirá
realizarlo de forma ágil y segura.
Administración del Servidor ISA: Esta es una consola de administración de ISA la cual podemos
utilizar sin necesidad de una VNC o Escritorio Remoto, esta es una buena alternativa y se puede
instalar en un equipo con SO, XP, o WIN_VIATA. Lo único que se requiere es insertar el CD de ISA
Server 2006 en el equipo y seleccionar instalar solo este componente. Visto esto procedemos a
pulsar el botón “Siguiente”.

115. Lo siguiente que nos pregunta es el rango de direcciones internas, para lo cual realizaremos una
pequeña explicación:
Caso Hipotético 1.
“Supongamos que somos los administradores de una red compuesta por varias subredes en
diferentes ubicaciones geográficas tanto locales como no locales, lo que se conoce técnicamente
como la intranet de la empresa, esto implica que entre cada sede de la empresa existe
comunicación mediante routers y cada sede posee un direccionamiento IP distinto.
Teniendo claro lo anterior, se nos pide que el tráfico o salida a Internet de cierta aplicación de la
sede X de la empresa deba ser por el firewall de la sede principal (Nuestro servidor SER-FW-01).
Para que esto sea posible le debemos decir al servidor en este paso de configuración que
direcciones se tomaran como direcciones de tráfico local de la red, incluyendo las de la LAN donde
se encuentra el Firewall y las otras IP’s que se requieran”.
En esta imagen, vamos a agregar las direcciones en el orden de. “DE-A”, “De X dirección A Y
dirección”, podemos escoger el rango desde un adaptador de red (Tarjeta de Red), o ingresar un
rango de forma manual. Para el caso, escogeremos el rango de direccionamiento de la tarjeta
interna. Pulsamos “Agregar->Agregar Adaptador->Interna”.

116. Nos damos cuenta que el rango que direcciones que se asignan corresponden al rango de
direcciones IP que previamente se habían destinado para la red.
Existe un concepto dentro del direccionamiento IP, que consiste en la asignación de Rutas
Estáticas. Las rutas estáticas no son más que una serie de ip’s dentro de nuestra red que nos
ayudan a redireccionar de forma efectiva paquetes que ingresan de redes remotas a nuestra LAN y
de nuestra LAN a estas redes remotas.
Caso Hipotético 2
“Tomemos el caso hipotético 1, descrito anteriormente, pero esta vez, queremos que una máquina
de la LAN donde se encuentra nuestro Firewall, se comunique con un equipo de una de las redes
remotas de la empresa. Para el efecto de que un PC de la red remota se comunique con otro PC de
la LAN local no hay problema, ya que la configuración realizada en los routers se encargara de
hacer llegar el paquete, el problema está en cuando la PC de la máquina de nuestra LAN le
responda a la PC remota, ya todo el tráfico sale por el Firewall, este no reconocerá la dirección IP
de la PC remota como una dirección local y tratara de enviar la respuesta hacia la WAN,
ocasionando una pérdida de información. Para solucionar este inconveniente, lo que hacemos es
crear Rutas Estáticas, diciéndole al Firewall que mande la respuesta a una puerta de enlace
específica (interfaz del Router de la LAN que comunica con el router de la red remota), para que
este se encargue de enviar la información a su destinatario.
Cabe anotar que esta comunicación solo se dará entre las PC´s de la LAN a cualquier PC de la red
remota que este dentro del rango de IP destino.”
Miremos como se crea una ruta estática:
Ingresamos a la consola de comandos de DOS y digitamos el comando “route”, como se muestra
en la siguiente imagen.
Si solo digitamos “route”, nos mostrara un listado con los ejemplos de cómo crear una ruta
estática. En este caso los parámetros que ingresaríamos serían los siguientes:
route add –p [DIRECCION IP DESTINO]mask [MASCARA DE RED] [GATEWAY]
Descripción del comando:
route: Es el comando que le dice al SO, que se creara una ruta estática.

117. add: Es parámetro que nos dice que la ruta en nueva.
-p: Este parámetro se utiliza para decir que la esta ruta sea persistente, con ello logramos que no
se borre en caso de que se reinicie la máquina.
[DIRECCION IP DESTINO]: Es el rango de IP, o el segmento de direcciones IP´s de la red remota
[MASCARA DE RED]: Mascara de red de la dirección remota que por lo general sería
255.255.255.0, para indicar que son todas las direcciones IP del segmento señalado en el
parámetro anterior.
[GATEWAY]: Es la dirección IP de la interfaz de comunicaciones del router de nuestra LAN que se
comunica con el router de la red remota.
Debemos tener en cuenta que las rutas estáticas se deben crear antes de la instalación completa
del ISA Server, la razón es sencilla; cuando yo llegue al punto de la instalación del ISA donde nos
toque agregar el rango de direcciones locales como vemos nuevamente en la gráfica, podamos
visualizar las rutas estáticas, de lo contrario no se podrá realizar. Para ello se recomienda tener un
diseño detallado de la red y los direccionamientos que se utilizarán.
Si hacemos el ejercicio de crear una ruta estática, sería de la siguiente forma:
Luego verificamos que la ruta se haya creado correctamente con el comando “route print”:

118. ANTES DE RUTAS ESTATICAS DESPUES DE RUTAS ESTATICAS
En la imagen de la derecha nos damos cuenta que se han agregado las rutas de las IP´s que fijamos
en nuestro Servidor DNS de forma automática y la ruta estática que creamos recientemente.
Luego de que hemos realizado esto, procedemos a borrarla, la razón, no vamos a necesitar rutas
estáticas en este laboratorio, pero es bueno saber de qué existen alternativas de configuración en
la red. Como borramos la ruta que hemos creado; procedemos con el siguiente comando:
Y verificamos nuevamente con “route print”.
Regresamos a esta pantalla y removemos los rangos de IP´s que aparecen y luego hacemos
nuevamente el proceso de agregar las IP’s desde nuestra tarjeta de red interna de forma
automática y damos “Aceptar”.

119. Se nos mostrara la siguiente interfaz y le damos siguiente:
En esta imagen seleccionamos la casilla de verificación que nos aparece, las razones son las
siguientes: 1. Para que usuarios que tenían conexiones anteriores a ISA 2006 Server, no utilizaban
conexión con cifrado, es necesario que esta casilla este seleccionada, y 2. Como la comunicación
será entre los clientes de la LAN y el Firewal, no corremos riesgos de seguridad por el momento.
En las siguientes pantallas encontraremos información de lo que se instalara, lo que hacemos es
presionar el botón siguiente.

120. A partir de este momento se inicia el proceso real de instalación del ISA Server.
Nota: Para que el proceso se cumpla de forma exitosa es recomendable tener iniciado el servidor
de dominio, y haberse logueado en el servidor firewall estando el servidor de DNS iniciado, en
ambos servidores nos debemos loguear dentro del dominio:
Instalando ISA:

121. Comprobamos la instalación del ISA yendonos a: Inicio->Todos los programa->Microsoft ISA
Server:
Reiniciamos el Servidor para que si algun servicio del ISA no se inicio con la instalación estos se
inicien al reiniciar.

122. Una vez reiniciado el servidor, abrimos la consola de administración de servicios del ISA Server.
Panel de navegación
Opciones de Configuración Ventana de Tareas
Si nos posicionamos sobre el nombre del servidor en el panel de navegación, observaremos que en
las opciones de configuración nos aparecerá la opción: Defina la Configuración de Red del Servidor
ISA.

123. Al ingresar a esta función, nos aparecerá en el panel de navegación el cursor situado en
“Configuración->Redes” y en el panel de opciones, una plantilla de red predefinida que nos
ayudara a configurar nuestro sistema.Si nos vamos a la ventana de tareas, observaremos una serie
de posibles configuraciones en forma de plantilla que nos ayudan a configurar nuestro sistema
según las especificaciones que deseemos.
Ya habiendo dado un vistazo general a la consola de administración, procedemos a ir a las
directivas del Firewall, click derecho, “Ver->Mostrar reglas de directivas del sistema”, se nos
mostraran alrededor de 30 directrices de comunicación con la red interna que el servidor trae por
defecto. Estas directrices se recomiendan cambiar solo en caso de que sea necesario.

124. La regla número 1, es la que nos permite comunicación con el active directory de nuestro servidor
de dominio.
Volvemos a directivas del Firewall, click derecho, “Ver->Mostrar reglas de directivas del sistema”, y
de-seleccionamos nuevamente esta opción para no sobrecargar la pantalla. A partir de este
momento vamos a crear nuestras políticas del servidor.