Módulo 2.

Servicios de red sobre Windows

A partir de ahora, vamos a concentrarnos en utilizar nuestro Sistema Operativo

para ofrecer servicios a una red de computadoras. Por consiguiente, analizaremos
una de las funcionalidades de Windows Server más utilizadas: el Active Directory.
Active Directory es un servicio de Microsoft Windows Server. Ampliamente utilizado,
en empresas de diferente envergadura, para el control de los dispositivos y
usuarios.

Video de inmersión

Unidad 2.1. Active Directory

Unidad 2.2. Servicios de red

Video de habilidades

Cierre

Referencias
Lección 1 de 6

Video de inmersión

Verify to continue
We detected a high number of errors from your
connection. To continue, please confirm that
you’re a human (and not a spambot).

I'm not a robot

reCAPTCHA
Privacy - Terms
Lección 2 de 6

Unidad 2.1. Active Directory

Active Directory es un conjunto de servicios usados para gestionar identidades y accesos para utilizar
recursos en una red.

Active Directory posee diferentes roles. El más importante de todos es el denominado AD DS (Active
Directory Domain Services o servicio de dominio).

El rol AD DS permite gestionar diferentes objetos de una red: usuarios, computadoras, grupos e
impresoras, todo de forma centralizada. Esto es muy importante, ya que la gestión centralizada permite
tener un mejor control de sobre todos los recursos mencionados, a la vez que simplifica las tareas del
Administrador.

Imaginemos el siguiente escenario: un ambiente donde 2 Administradores deben gestionar 20 servidores.

Si bien, estamos hablando de un ambiente relativamente pequeño, cada Administrador debe tener una
cuenta de usuario en cada servidor para poder acceder a configurarlo. Con Active Directory, tanto los
servidores como las cuentas están en una base centralizada y su gestión resulta mucho menos compleja.

2.1.1 Instalación AD y DNS

Para que un servidor con Windows Server 2016 provea los servicios mencionados, es necesario instalar
esta característica del Sistema Operativo. Más, antes de hacerlo, debemos asegurarnos de que el
servidor tenga configurada una IP fija (no obtenida con DHCP), y esta misma IP sea el servidor DNS.
Además de lo ya mencionado, es conveniente ponerle un nombre al equipo que describa su rol.
Para hacerlo, y tener en cuenta en caso de que en el futuro decidamos cambiar el nombre, debemos ir al
Server Manager y dentro de la solapa Local Server hacer clic en Computer Name. Luego, en la nueva
ventana que aparecerá, haremos clic en el botón Change o cambiar. A continuación, seleccionaremos el
nombre deseado. Esta acción requiere reiniciar el Sistema Operativo.

Figura 1. Cómo cambiar el nombre al servidor

Fuente: [Captura de pantalla de Sistema Operativo Windows sobre Cómo cambiar el nombre
al servidor] (s.f.). Elaboración propia

Detalle de Figura 1: Observamos en la imagen una captura de pantalla del paso final en el
procedimiento para cambiar el nombre del servidor.

El siguiente paso, como habíamos mencionado anteriormente, consiste en configurar una IP estática al
servidor. Desde la misma ventana del Server Manager / Local Server, debemos seleccionar la opción
Ethernet para así acceder a las conexiones de red. Una vez allí, seleccionar la placa de red sobre la cual
hacemos clic derecho, luego vamos a Propiedades, y finalmente vamos a las propiedades del protocolo
internet versión 4.
Figura 2. Acceso a configuración IPv4

Fuente: [Captura de pantalla de Sistema Operativo Windows sobre Acceso a la configuración

IPv4] (s.f.). Elaboración propia

Detalle de la Figura 2: Observamos cómo se visualiza la pantalla al acceder a la configuración Pv4.

Aquí, configuraremos una dirección de IP estática (no DHCP) para que el servidor forme parte de la red
adecuada. En este caso, la red es 192.168.1.0 / 24. La IP 192.168.1.50/24, el Gateway 192.168.1.1 y
como la IP del DNS debe ser la misma del servidor, es 192.168.1.50

Figura 3. Configuración IPv4

 Fuente: [Captura de pantalla de Sistema Operativo Windows sobre configuración IPv4] (s.f.).
Elaboración propia

Detalle de la Figura 3: Vemos aquí, la pantalla de la configuración de la dirección de IP estática.

Luego de cumplir con los requisitos previos, pasaremos a agregar el rol de controlador de dominio. Para
ello, podemos usar la poción Agregar Roles y Características dentro del Dashboard del Administrador del
Servidor (Server Manager).
En la nueva ventana aparecerá una ayuda, entonces, luego de apretar sobre el botón Siguiente,
elegiremos la opción Instalación basada en características o en roles. Si hay más de un servidor,
tendremos que elegir el que corresponda a la instalación que queremos realizar, y en la siguiente pantalla
buscar el rol de controlador de dominio (Servicios de dominio de Active Directory o Active Directory
Domain Service).

Figura 4. Instalación de servicios de dominio

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre instalación de Active
Directory] (s.f.). Elaboración propia

Detalle de la Figura 4: La imagen nos muestra la pantalla en la que seleccionamos el rol de

controlador de dominio, para así realizar la instalación correcta.

Continuamos con el Wizard, sin necesidad de agregar otros roles o características por el momento, hasta
llegar a la pantalla de confirmación. Estando allí, seleccionaremos la opción de Reiniciar el servidor luego
de la instalación y procederemos de esta manera con la instalación.
Finalmente, debemos promover el servidor creando un nuevo bosque, siendo la raíz del dominio para el
ejemplo de la figura 5 test.local. La contraseña solicitada sirve para recuperar el dominio.

Si en la siguiente pantalla el Wizard nos advierte que no puede crear una delegación para el servidor
DNS, es debido a que aún no fue configurado nuestro servidor DNS. La siguiente pantalla nos permite
cambiar el nombre de dominio NetBIOS. Por defecto, utilizará el nombre que elegimos como raíz. En el
caso del ejemplo de la figura 5, es TEST.

Figura 5. Creación de la raíz de un nuevo bosque

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre la creción de la raíz de un
nuevo bosque] (s.f.). Elaboración propia

Detalle de la Figura 5: Vemos la creación de la raíz de un nuevo bosque, llamado test.local

Continuando con el Wizard, veremos a continuación 3 directorios donde se guardarán:

 La base de datos.

Los logs.

SYSVOL.

A partir de aquí, el Wizard nos ofrecerá un resumen de los cambios que vamos a realizar, un chequeo de
pre-requisitos y luego, finalmente podremos promover el servidor. Una vez promovido, ya podremos
loguearnos en el dominio TEST usando el usuario Administrador y la clave que previamente elegimos al
momento de instalar Windows Server 2016.

La forma en que nos logueamos es: DOMINIO\Usuario, en este caso, TEST\Administrador.

2.1.2 Nociones básicas de AD

Cada entrada en AD (Active Directory) se conoce como objeto, los cuales pueden ser contenedores o no
contenedores. Los objetos no contenedores se denominan nodos hoja (leaf node). La forma de
organización es la de árbol, por lo cual partiendo de un contenedor raíz, otros contenedores o nodos hoja
se van ramificando. Pensemos en la estructura de una empresa: podría estar divida en 4 áreas:
Ingeniería, Ventas, Gerencia, Administración. Estas podrían ser las primeras ramificaciones de la raíz
TEST. A su vez, podría haber sub-áreas como las de pre-venta y post-venta. Estos dos contenedores
serán hijos del contenedor Ventas.

Un tipo común de contenedor se denomina Unidad Organizativa (OU)

Identificando objetos
Cada objeto dentro de AD deber ser unívocamente identificable por lo que posee un GUID (Identificador
único global), el cual, es un número de 128 bits. Para simplificar la identificación de objetos, se utiliza los
denominados DN (Distinguished Names), los cuales a su vez se basan en jerarquías, tal como lo hace
AD.

Si la raíz del dominio es TEST.Local, entonces el DN será:

Dc = TEST, dc = local

Para identificar al usuario Administrador, dentro del contenedor Users del dominio TEST.local irá de la
siguiente manera:

Cn = Administrador, cn = Users, dc = TEST, dc= local

¿Sería posible repetir el cn Administrador? La respuesta es sí, siempre y cuando se encuentre en otro
contenedor diferente a Users. Esto se debe a que el concepto es similar al de una estructura jerárquica
de archivos y directorios.

Esta identificación se basa en el protocolo LDAP, donde cada tipo de atributo (nombre, ubicación, nombre
de organización entre otros) tiene una palabra clave estandarizada. Puedes acceder a ese listado
consultando la página 3 de este link: http://www.ietf.org/rfc/rfc2253.txt

2.1.3 Carpetas, Unidades Organizativas, Usuarios y

Grupos

Un controlador de dominio (el servidor que ejecuta Active Directory) sólo puede ser autorizante de un
dominio. Si una empresa posee el dominio empresa.com, entonces el primer controlador de dominio a
construir será nombrado empresa.com.

Este nombre, empresa.com, será el nodo raíz de la estructura jerárquica denominada árbol de dominio o
domain tree. Suponiendo que la compañía está divida en tres regiones: Américas, Europa y Asia, se
podría extender el árbol y tener americas.empresa.com, europa.empresa.com y asia.empresa.com. Todos
estos dominios tienen relación de confianza con la raíz, facilitando la gestión y el acceso a los recursos.

Si se agrupan 2 o más árboles de dominio, la colección pasa a llamarse bosque (forest). Entonces una
colección de dominios es un árbol de dominio y una colección de árboles de dominios es un bosque.
Cuando se crea el primer árbol de dominio, también se crea el bosque con el mismo nombre.

Si nuestra compañía de ejemplo, ahora adquiere otra compañía denominada empresa2, cuyo dominio es
empresa2.com, entonces en empresa2 se debe crear la raíz de empresa2.com como miembro del
bosque para que compartan recursos. Si los bosques son diferentes, entonces se puede configurar
confianza entre ellos.

Estructura de pequeña escala: OU

El primer contendedor que se crea para albergar objetos se denomina Unidad Organizativa. Otro tipo es
un contenedor propiamente dicho, pero solo una OU puede tener políticas de grupo.

Una OU “es útil para delegar la gestión de toda la rama de le jerarquía en personas específicas sin tener
que crear otro dominio” (Soporte de Microsoft, 2017. Recuperado de https://goo.gl/BpJ4MG).

Grupos

Un Grupo es “un conjunto de cuentas de usuario y de equipos, contactos y otros grupos que se pueden
administrar como una sola unidad” (Soporte de Microsoft, 2017. Recuperado de https://goo.gl/XQPsU3).

“Los grupos se caracterizan por su ámbito y su tipo”. El “ámbito determina el alcance del grupo dentro de
un dominio o bosque” mientras que el tipo, “determina si se puede usar un grupo para asignar permisos
desde un recurso compartido (para grupos de seguridad) o si se puede usar un grupo solo para las listas
de distribución de correo electrónico (para grupos de distribución)” (Soporte de Microsoft, 2017.
Recuperado de https://goo.gl/XQPsU3)
En AD “existen tres ámbitos de grupo: local de dominio, global y universal” (Soporte de Microsoft, 2017.
Recuperado de https://goo.gl/XQPsU3).

En relación a los tipos, puede ser “de distribución, donde creamos listas de distribución de correo
electrónico o de seguridad para asignar permisos a los recursos compartidos” (Soporte de Microsoft,
2017. Recuperado de https://goo.gl/XQPsU3).

Gestión de AD

Existen diversas herramientas para gestionar AD: tanto GUI como CLI. Algunas versiones de Windows
utilizan la MMC (Microsoft Management Console), mientras que otras usan ADAC (Active Directory
Administrative Center).

Figura 6. ADAC

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre ADAC] (s.f.). Elaboración

propia
Detalle de la Figura 6: Corresponde a la imagen de la pantalla de acceso a ADAC

Para acceder al ADAC, hay que seleccionar la opción herramienta en el Server Manager y luego la
opción Active Directory Administrative Center.

La primera tarea que realizaremos será crear Unidades Organizativas, usuarios y grupos. Para ello, es
necesario usar la herramienta Active Directory Users and Computers (ADUC), a la cual se puede acceder
desde el ADAC o directamente desde el Server Manager, herramientas.

Figura 7. Usuarios y Computadoras

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Usuarios y Computadoras]
(s.f.). Elaboración propia
Detalle de la Figura 7: Lo que se observa aquí es la herramienta ADUC y varios contenedores
creados por defecto que no pueden eliminarse. Entre ellos, Computers y Users. Dentro de Users está
listado el usuario Administrator y diversos grupos.

Para crear una nueva OU debemos hacer clic derecho sobre el dominio. Una vez allí, seleccionamos
Nuevo, a continuación: Nueva unidad administrativa, para luego elegir un nombre.

Figura 8. Usuarios y Computadoras 2

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre gestión Usuarios y
Computadoras 2] (s.f.). Elaboración propia

Detalle de la Figura 8: En la figura anterior se crearon varias OU y dentro de la OU Ingenieria se está

creó un nuevo usuario. Para crearlo, se realizó clic derecho, y allí, Nuevo, opción Usuario:

Usuarios
 Ingenieria

Ventas

Administración

Grupos

Equipos

Solo los usuarios creados podrán iniciar sesión en el dominio.

En la nueva pantalla deberemos incluir información sobre el usuario: nombre, apellido y nombre completo
y además el nombre de inicio de sesión donde usualmente se utiliza el nombre y el apellido, o la primera
letra del nombre y el apellido. Este nombre será el que usará el usuario para iniciar sesión en su
dispositivo.

En la siguiente pantalla, debemos colocar una contraseña y elegir una acción:

El usuario debe cambiar su clave en el siguiente inicio de sesión.

El usuario no puede cambiar su contraseña.

La clave nunca expira.

La cuenta está deshabilitada.

Una vez creado el usuario, es posible acceder a más información haciendo clic derecho sobre su nombre
y propiedades. Desde esta pantalla podremos, por ejemplo, desbloquear al usuario si este introdujo
erróneamente su contraseña en varios intentos, bloquear su cuenta o agregarlo a grupos.
Repetiríamos estos pasos para crear todos los usuarios de nuestra organización, con la posibilidad de
duplicar algunos datos o mejor aún, utilizar la PowerShell y un archivo CSV (valores separados por coma)
para crearlos de forma masiva.

Los usuarios creados podrán ahora iniciar sesión en el dominio. Antes, deberán seleccionar a qué
dominio pertenecen en las propiedades del sistema. Esto se realiza con la opción nombre de
computadora, Miembro de.

Para crear grupos y equipos el procedimiento es similar. Luego de creado un grupo, debemos agregar a
los usuarios que correspondan al mismo. A su vez, un grupo puede pertenecer a otro grupo.

2.1.4. Permisos

Estas políticas nos permiten crear configuraciones generales para los usuarios de la red que inicien
sesión en el dominio. Existen múltiples opciones de restricciones como por ejemplo evitar que los
usuarios tengan acceso al panel de control.

Para configurar políticas de grupo (Group Policy Objects) es necesario acceder al Administrador de
Políticas de Grupo (Group Policy Management) desde el Server Manager.

Figura 9. Administrador de Políticas de Grupo

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Administrador de Políticas
de Grupo] (s.f.). Elaboración propia

Detalle de la Figura 9: Aquí observamos que se abrió el Administrador y fue desplegado el dominio
test.local, la unidad administrativa test, Usuarios y Ventas, y se creó una política llamada PoliticaVentas.
Esta política fue creada haciendo clic derecho sobre la unidad administrativa Ventas, para luego
seleccionar la opción “crear un GPO en este dominio y vincularlo aquí”.

Para luego seleccionar las directivas, se debe editar la política PoliticaVentas y buscar la directiva
deseada.

Figura 10. Cómo prohibir el uso de panel de control

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Cómo prohibir el uso de
panel de control] (s.f.). Elaboración propia

Figura 11. Habilitación de política

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Habilitación de política]
(s.f.). Elaboración propia

Detalle de las Figuras 10 y 11: Aquí vemos cómo habilitar la directiva que no permite abrir el panel de
control.

A partir de este momento, cuando los usuarios de Ventas inicien sesión y quieran acceder al panel de
control, sólo verán un mensaje indicándoles que no es posible. Para forzar a los usuarios, que ya tienen
sesión iniciada, a volver a iniciarla, y de esa manera puedan ver los cambios en las políticas, debemos
ejecutar en una consola del servidor gpupdate /forcé.
Lección 3 de 6

Unidad 2.2. Servicios de red

Las redes modernas utilizan gran diversidad de servicios y protocolos tanto para su propio
funcionamiento o como servicio al usuario final. Algunos de estos servicios son transferir archivos, alojar
páginas web, permitir accesos remotos, asignar configuraciones de red de manera automática.

2.2.1 Servidor DHCP

Cuando un usuario enciende su computadora y el Sistema Operativo arranca, se inicia sesión. La

computadora, que puede estar conectada a una red ya sea cableada o inalámbrica, para que forme parte
de una red de manera lógica, debe estar en el mismo rango de direcciones IP, tener una puerta de enlace
predeterminada y servidores de nombres de dominio (DNS) asignados.

Toda esta configuración puede ser realizada a mano, ya sea por el usuario final o por el Administrador de
red, en caso que se requieran usar direcciones IP estáticas. Es decir, que no van a cambiar en el tiempo.
Generalmente este tipo de configuración sólo es válida para Servidores o para ambientes muy pequeños,
pero en general se prefiere usar un protocolo de configuración automática de red: DHCP.

El DHCP o Protocolo de Configuración Dinámica de Host, por sus siglas en inglés, permite que un
dispositivo cliente (PC, notebook, Tablet, Celular, cámara IP) solicite su configuración de red al
inicializarse. Para completar la configuración se requiere un servidor DHCP que responda a las
solicitudes y asigne configuraciones.

El funcionamiento es simple y eficaz. Como el dispositivo no posee una dirección IP, ni conoce la del
servidor DHCP, envía un mensaje tipo Broadcast (a todos los destinatarios) esperando que un servidor
DHCP responda. En caso de que no haya un servidor DHCP, entonces el Sistema Operativo asigna una
IP del rango 169.254.x.x indicando que el proceso falló y el dispositivo no tiene configuración de red
válida.

Cuando existe un servidor DHCP, este responde ofreciendo una configuración IP (dirección IP, máscara
de subred, puerta de enlace, servidores DNS). El cliente, entonces solicita esos parámetros al servidor,
quién los confirma mediante un reconocimiento (ACK).

Configurar un tiempo de alquiler (lease time) de los parámetros asignados es posible. El cliente deberá
renovar su solicitud luego de determinado tiempo para poder seguir usando la configuración de red. En
caso que no lo haga, o el servidor no responda, perderá su configuración y dejará de pertenecer a la red.
Este tiempo dependerá de las necesidades de la red. Pensemos, por ejemplo, en un aeropuerto, donde
los usuarios se conectan por algunos minutos u horas como máximo. Nuestro servidor DHCP debería
asignar tiempos de alquiler cortos para que las direcciones IP no se agoten.

Por el contrario, en una oficina donde las personas permanecen 8 o más horas en su puesto de trabajo,
lo más conveniente es configurar un tiempo alto para evitar sobrecargar la red con mensajes DHCP de
renovación.

Figura 12. Obtención de configuración de red

 Fuente: [Imagen sin título sobre Obtención de configuración de red]. (s.f.). Recuperada de:
https://goo.gl/7p6Bgq

Detalle de la Figura 12: Aquí se observa el intercambio de 4 mensajes para obtener la configuración
de red. Es importante notar que la IP de destino es 255.255.255.255 (Broadcast) en todos los casos y
que el protocolo DHCP pertenece a la capa de Aplicación y utiliza UDP como protocolo de transporte en
los puertos 67 y 68.

También es posible configurar en el servidor una correlación entre direcciones físicas de los clientes
(MAC) y las direcciones IP que se les va a asignar, para asegurarnos que siempre obtengan la misma. Un
servidor DHCP puede correr en un Router o en un Servidor dedicado. EL tipo de implementación lo
definirá el Administrador de red en base a los recursos que consuma este servicio. A continuación,
veamos cómo se realizará la configuración de un servidor DHCP en Windows Server 2016. La primer
tarea consiste en agregar el rol “Servidor DHCP” o “DHCP Server” a Windows 2016, desde el Server
Manager, de forma similar a la utilizada para agregar Active Directory (ver Figura 12). Antes de finalizar el
Wizard, Windows nos advierte que el servidor debe tener por lo menos una IP fija configurada y que
debemos planificar con anterioridad las subredes, alcances y exclusiones.

Figura 13. Agregar rol DHCP Server

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Agregar rol DHCP Server]
(s.f.). Elaboración propia

Detalle de la Figura 13: Se observa la captura de pantalla del procedimiento para agregar el rol
DHCP.

Una vez instalado el rol DHCP es posible gestionarlo desde el Server Manager al seleccionar
Herramientas, luego DHCP. Luego de autorizar, es necesario refrescar la pantalla para verificar que se
hayan tomado lo cambios. Los íconos de IPv4 e IPv6 cambiarán de color rojo a verde.

Figura 14. Ventana de configuración DHCP

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Ventana de configuración
de servicio DHCP] (s.f.). Elaboración propia

Detalle de la Figura 14: se observa en la imagen, la pantalla de gestión con las carpetas de IPv4 e IPv6
desplegadas, y el primer paso, que consiste en autorizar el servicio. En caso de no hacerlo, el servidor
DHCP no responderá solicitudes de los clientes.

Ahora, para crear una nueva configuración en IPv4, es necesario hacer clic derecho sobre IPv4 y
seleccionar New Scope o Ámbito Nuevo.

Figura 15. Elección de rango y longitud

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Elección de rango y
longitud] (s.f.). Elaboración propia

Detalle de la Figura 15: Aquí se puede visualizar cómo se configuran las IP disponibles.

Este Wizard creado nos permitirá:

Seleccionar un rango de direcciones IP disponibles para asignar (figura 15).

Agrega una o más direcciones excluidas. (figura 16).

Agregar una puerta de enlace predeterminada (Gateway).

Agregar servidores DNS y WINS.

Configurar un tiempo de alquiler (Figura 17).

Figura 16. Elección de direcciones excluidas

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre la Elección de direcciones
excluidas] (s.f.). Elaboración propia

Detalle de la Figura 16: Observamos la pantalla en la cual determinamos las direcciones dentro del
rango definido en la Figura 15 que no serán asignadas.

Figura 17. Elección del Lease Time

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Elección del Lease Time]
(s.f.). Elaboración propia

Detalle de la Figura 17: Vemos la pantalla en la que se configura el límite de alquiler.

Una vez completado el Wizard, el DHCP comenzará a responder solicitudes. También es posible realizar
configuraciones adicionales, como por ejemplo reservar direcciones IP a determinadas direcciones MAC,
cambiar configuraciones actuales o ver direcciones alquiladas.

Nótese que es posible configurar varios Scopes o ámbitos para diferentes redes. En este caso, debe
tenerse en cuenta que los mensajes Broadcast enviados por los clientes no pueden atravesar Routers, es
decir que si un cliente está ubicado en una red física distinta a la red donde se ubica el servidor DHCP,
deberá realizarse una configuración adicional en el Router para indicarle cuál es la IP del server DHCP.
Puedes investigar más sobre esto buscando el concepto DHCP Relay.

2.2.2 Servidor FTP

Descargar o subir archivos desde y hacia un servidor es una actividad bastante común en redes de
computadoras. En este entorno, los usuarios finales descargan aplicaciones o archivos y los
administradores pueden requerir subir logs para que sean analizados por personal especializado de
soporte. Estas actividades requieren de un protocolo de aplicación que gestione la transferencia de
archivos.

Uno de los protocolos más utilizados es el FTP (Protocolo de transferencia de archivos). Su

funcionamiento es inseguro, ya que para ingresar a un servidor FTP el cliente debe introducir usuario y
contraseña y estas viajan en texto plano, lo que significa que cualquier persona que capture tráfico FTP
puede obtenerlas. No obstante, sigue siendo ampliamente utilizado.

La versión segura del protocolo se denomina SFTP (FTP/SSL) y realiza un cifrado.

Otro protocolo utilizado para los mismos fines es SCP (Copia segura), el cual se basa en otro protocolo
llamado SSH (Secure Shell), utilizado para acceso remoto.

Configuración de servidor FTP

Para configurar un servidor FTP en Windows Server es necesario agregar el rol de servidor web IIS, (que
además usaremos más adelante). Al igual que con otros roles, lo agregamos desde el Server Manager.

Figura 18. Rol IIS y FTP

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre instalación de IIS y FTP]
(s.f.). Elaboración propia

Detalle de la Figura 18: Vemos aquí la selección del servicio FTP dentro del rol de servidor web IIS.

Una vez completa la instalación, a la configuración del FTP se accede desde el gestor de IIS. Dentro del
Server Manager, hay que ingresar al IIS Manager y luego en Sitios o Sites, proceder a hacer clic derecho
para agregar un nuevo sitio de FTP.

Figura 19. Agregar sitio FTP

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Agregar sitio de FTP] (s.f.).
Elaboración propia

Detalle de la Figura 19: Corresponde a la pantalla que se observa cuando agregamos un servicio de
FTP.

En la primera ventana del Wizard, debemos indicar el nombre del sitio FTP y la ubicación dentro del disco
donde se almacenarán los archivos. Luego debemos indicar la dirección IP y el puerto (por defecto es el
21) donde el servidor escuchará, si el servicio arrancará automáticamente y cuál será la configuración de
SSL: Sin SSL, Permite SSL o requiere SSL. Finalmente, podemos o no permitir el acceso de usuarios sin
contraseña y el tipo de autorización que tendrán los usuarios con contraseña.

Si el servidor no es el controlador de dominio, los usuarios deberán crearse localmente. Es recomendable

asignarlos a un grupo, el cual, luego será incluido dentro de la configuración de autenticación del FTP.
Para modificar configuraciones, se utiliza la misma ventana que se observa en la figura 19.

Para conectarse a un servidor FTP es posible utilizar una aplicación de entorno gráfico, FileZilla por
ejemplo, o utilizar la consola. En caso de utilizar la consola, el comando utilizado para conectarse es ftp
<IP_Servidor>. Por ejemplo: ftp 192.168.1.50. Luego el servidor solicitará credenciales, y una vez iniciada
la sesión, será posible listar el directorio (con dir o ls), bajar archivos (get) o subir archivos (put).
2.2.3 Servidor IIS

El servicio de páginas web es otro ejemplo del modelo cliente servidor. Cuando un usuario quiere visitar
una página web, utiliza un browser o navegador para ingresar la dirección de la página deseada, por
ejemplo www.google.com. El navegador se encarga de utilizar el protocolo DNS para convertir ese
nombre de dominio en la dirección IP del servidor donde están los archivos que forman la página de
google.com. Una vez obtenida la dirección IP, comienza un proceso de solicitud y respuesta de los
archivos a través del protocolo HTTP o HTTPS.

En esta sección analizaremos como se configura un servidor de páginas web en Windows Server 2016.
El primer paso consiste en instalar el rol de IIS. En su forma más básica, este paso fue cumplido cuando
se instaló el rol de servidor FTP. Para probar si el funcionamiento es correcto, ingresar en un browser la
URL http://localhost. Si la instalación fue correcta, veremos la página web de IIS.

Para configurar el servidor de páginas web, ingresamos desde el Server Manager al IIS Manager donde
veremos el servidor FTP configurado anteriormente y un sitio web por defecto dentro de Sitios o Sites.
Haciendo clic sobre Sites, es posible ver algunos parámetros de configuración, como la dirección IP y
puertos donde el servidor escucha. Tanto FTP como HTTP son servicios de la capa de aplicación que
utilizan la capa de transporte y por defecto los puertos 21 y 80 respectivamente.

Otro parámetro dentro del sitio web por defecto es el Path o ubicación donde están los archivos de la
página web. Recordemos que lo que hace el protocolo HTTP es solicitar archivos al servidor. Este se los
envía y luego el cliente los muestra en un navegador. Por defecto esta ubicación es C:\inetpub\wwwroot.

Figura 20. Path por defecto en IIS

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre directorio de IIS] (s.f.).
Elaboración propia

Detalle de la Figura 20: Aquí observamos el path por defecto, donde están almacenados dos archivos:
iisstart con extensión .HTML y iisstart con extensión PNG. El archivo HTML contiene código que
interpreta el navegador. Dentro de ese código, se hace referencia a la imagen para que sea vista por el
cliente.

El programador Web deberá entonces ubicar sus archivos en este Path para que los clientes puedan
acceder al sitio web.

2.2.4 Escritorio remoto

Para gestionar un servidor corriendo Windows Server no es necesario estar físicamente frente al servidor
con teclado, monitor y mouse. Una forma de conectarse remotamente es a través de una red IP y el
protocolo RDP (Remote Desktop Protocol), el cual permite desde un cliente conectarse al servidor y ver el
escritorio en forma remota para hacer cualquier tipo de configuración, inclusive apagar el servidor.

Para activar el acceso remoto es necesario ingresar al Server Manager, menú Servidor Local y luego
realizar un clic sobre la opción de Remote Desktop, que por defecto está deshabilitada o disabled. Allí es
necesario cambiar la opción que no permite conexiones remotas.

Figura 21. Activación de RDP

Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Activación de RDP] (s.f.).
Elaboración propia

Detalle de la Figura 21: Visualizamos aquí la pantalla por la cual seleccionamos qué usuarios podrán
ingresar al servidor, lo cual es muy importante en materia de seguridad.

Es posible que el Sistema no permita activar RDP debido a que el Firewall no habilita dicho servicio. Para
habilitarlo, en el panel de control, seleccionar Sistema y Seguridad, luego Windows Firewall, a
continuación, Permitir una aplicación o una característica a través de Firewall de Windows. En la nueva
ventana, debemos buscar la característica Remote Desktop y habilitarla. Esta acción habilita las
conexiones remotas al puerto utilizado por Remote Desktop (TCP 3889). En el caso de no habilitarla, el
puerto TCP 3889 no se encontrará escuchando y las conexiones TCP de los clientes no superarán la
etapa de conexión.

Para conectarnos al servidor desde un cliente, es necesario usar el cliente de RDP o Remote Desktop
Connection. En Windows 10 se encuentra en el menú Inicio dentro de los Accesorios de Windows.
También es posible abrirlo utilizando el comando mstsc desde el Run de Windows o desde una consola.

El cliente RDP solicita la IP del servidor, en el caso de nuestro ejemplo la IP es 192.168.1.50. Si se

despliegan las opciones, es posible configurar diversos parámetros, como por ejemplo, la posibilidad de
ver los discos duros del cliente en el servidor. Esta opción es muy útil si queremos copiar archivos entre
los dos dispositivos y no disponemos de otro servicio como FTP o SCP.

Figura 22. Compartir discos en RDP

 Fuente: [Captura de pantalla del Sistema Operativo Windows sobre Compartir discos en RDP]
(s.f.). Elaboración propia

Detalle de la Figura 22: Podemos ver la configuración de compartir discos dentro de la pestaña
Recursos Locales, Dispositivos Locales y Recursos.

Para iniciar sesión a través de RDP es necesario usuario y contraseña. Por seguridad, el Administrador
define quienes pueden iniciar sesión remotamente.
Lección 4 de 6

Video de habilidades

El video explica cómo usar un script en PowerShell para poder crear usuarios de forma masiva en Active
Directory y reducir considerablemente los tiempos requeridos para esta tarea.

Creacion masiva de usuarios de directorio activo en Windo…

¿De dónde obtiene un script en PowerShell los datos para crear usuarios en
forma masiva?
 Archivo con valores separados por coma.

Base de datos Active Directory.

El administrador los debe ingresar a mano.

Archivo de Excel.

Archivo con valores separados por punto.

SUBMIT

Para PowerShell es indistinto usar un archivo con valores separados con coma
o uno separado por punto y coma.

Verdadero.

Falso.

SUBMIT
Para ejecutar un script en PowerShell es necesario:

Ejecutar .\ y el nombre del script desde la consola de PowerShell.

Ejecutar el nombre del script desde la consola de PowerShell.

Ejecutar con doble click el nombre del script.

Ejecutar el script como administrador desde el entorno gráfico.

Ejecutar el archivo de valores separados por coma.

SUBMIT

Para verificar la creación masiva de usuarios, el administrador revisa la salida

del comando .\Creacion_Masiva_Usuarios.ps1

Verdadero.

Falso.

SUBMIT
¿Qué campos de usuario de Active Directory se completan con el script de
PowerShell?

Los incluidos en el archivo de valores separados por coma.

Todos los campos.

Los que se ubican a la izquierda de la primera coma.

Todos excepto la clave de usuario.

Los necesarios para iniciar sesión.

SUBMIT
Lección 5 de 6

Cierre

Instalación AD y DNS
–
Para que un servidor con Windows Server 2016 provea los servicios mencionados, es necesario instalar
esta característica del Sistema Operativo. Más, antes de hacerlo, debemos asegurarnos de que el
servidor tenga configurada una IP fija (no obtenida con DHCP), y esta misma IP sea el servidor DNS.
Además de lo ya mencionado, es conveniente ponerle un nombre al equipo que describa su rol.

Nociones básicas de AD
–
Cada entrada en AD (Active Directory) se conoce como objeto, los cuales pueden ser contenedores o no
contenedores. Los objetos no contenedores se denominan nodos hoja (leaf node). La forma de
organización es la de árbol, por lo cual partiendo de un contenedor raíz, otros contenedores o nodos
hoja se van ramificando.

Unidades organizativas y grupos

–
El primer contendedor que se crea para albergar objetos se denomina Unidad Organizativa. Otro tipo
es un contenedor propiamente dicho, pero solo una OU puede tener políticas de grupo. La OU "es útil
para delegar la gestión de toda la rama de le jerarquía en personas específicas sin tener que crear otro
dominio”.
Un Grupo es “un conjunto de cuentas de usuario y de equipos, contactos y otros grupos que se pueden
administrar como una sola unidad”

Permisos
–
Estas políticas nos permiten crear configuraciones generales para los usuarios de la red que inicien
sesión en el dominio. Existen múltiples opciones de restricciones como por ejemplo evitar que los
usuarios tengan acceso al panel de control.

Para configurar políticas de grupo (Group Policy Objects) es necesario acceder al Administrador de
Políticas de Grupo (Group Policy Management) desde el Server Manager.

Servidor DHCP
–
El DHCP o Protocolo de Configuración Dinámica de Host, por sus siglas en inglés, permite que un
dispositivo cliente (PC, notebook, Tablet, Celular, cámara IP) solicite su configuración de red al
inicializarse. Para completar la configuración se requiere un servidor DHCP que responda a las
solicitudes y asigne configuraciones.

Servidor FTP
–
Uno de los protocolos más utilizados es el FTP (Protocolo de transferencia de archivos). Su
funcionamiento es inseguro, ya que para ingresar a un servidor FTP el cliente debe introducir usuario y
contraseña y estas viajan en texto plano, lo que significa que cualquier persona que capture tráfico FTP
puede obtenerlas. No obstante, sigue siendo ampliamente utilizado.
Escritorio remoto
–
Para gestionar un servidor corriendo Windows Server no es necesario estar físicamente frente al
servidor con teclado, monitor y mouse. Una forma de conectarse remotamente es a través de una red IP
y el protocolo RDP (Remote Desktop Protocol), el cual permite desde un cliente conectarse al servidor y
ver el escritorio en forma remota para hacer cualquier tipo de configuración, inclusive apagar el servidor.
Para activar el acceso remoto es necesario ingresar al Server Manager, menú Servidor Local y luego
realizar un clic sobre la opción de Remote Desktop, que por defecto está deshabilitada o disabled. Allí es
necesario cambiar la opción que no permite conexiones remotas.
Lección 6 de 6

Referencias

Cuello Cannavo, E. (2017) Capturas de pantalla del Sistema Operativo Windows Server 2016. [Figuras
1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 13, 14, 15, 16, 17, 18, 19, 20, 21 y 22]. Argentina.

Desmond, B. Richards, J. Allen, R. Lowe-Norriw, A. (2013). Active Directory. Estados Unidos: O’Reilly
Media

Microsoft. (2017). Introducción a los Servicios de dominio de Active Directory. Recuperado de

https://msdn.microsoft.com/es-es/library/hh831484(v=ws.11).aspx

Microsoft. (2012). Paso 1: Instalar IIS y los módulos de ASP.NET. Recuperado de

https://technet.microsoft.com/es-es/library/hh831475(v=ws.11).aspx

Microsoft. (2012). Paso a paso: Configurar DHCP mediante la asignación basada en directivas.
Recuperado de https://msdn.microsoft.com/es-es/library/hh831538(v=ws.11).aspx

Microsoft. (2012). Crear un sitio FTP en IIS. Recuperado de https://technet.microsoft.com/es-

es/library/hh831655(v=ws.11).aspx

Netcontractor. (2017) [Imagen sin título sobre Obtención de configuración de red]. Recuperada de:
http://www.netcontractor.pl/blog/wp-content/uploads/2010/05/DHCP-process.jpg