UNIDAD I REDES DE AREA AMPLIA(WAN)
LA INTERCONECTIVIDAD DE REDES ES:
Es otro de los periféricos que con el tiempo se ha convertido ya en imprescindible y pocos son los modelos de ordenador que no estén conectados en red que no lo incorporen. Su gran utilización viene dada básicamente por dos motivos: Internet y el fax, aunque también le podemos dar otros usos como son su utilización como contestador automático incluso con funciones de centralita o para conectarnos con la red local de nuestra oficina o con la central de nuestra empresa.
Aún en el caso de estar conectado a una red, ésta tampoco se libra de éstos dispositivos, ya que en este caso será la propia red la que utilizará el modem para poder conectarse a otras redes o a Internet estando en este caso conectado a nuestro servidor o a un router.
Lo primero que hay que dejar claro es que los modem se utilizan con líneas analógicas, ya que su propio nombre indica su principal función, que es la de modular-demodular la señal digital proveniente de nuestro ordenador y convertirla a una forma de onda que sea asimilable por dicho tipo de líneas.
Es cierto que se suelen oír expresiones como modem ADSL o incluso modem RDSI, aunque esto no es cierto en estos casos, ya que estas líneas de tipo digital no necesitan de ningún tipo de conversión de digital a analógico, y su función en este caso es más parecida a la de una tarjeta de red que a la de un modem.
MULTIPLEXOR
En el campo de las telecomunicaciones el multiplexor se utiliza como dispositivo que puede recibir varias entradas y transmitirlas por un medio de transmisión compartido. Para ello lo que hace es dividir el medio de transmisión en múltiples canales, para que varios nodos puedan comunicarse al mismo tiempo. Una señal que está multiplexada debe demultiplexarse en el otro extremo. Según la forma en que se realice esta división del medio de transmisión, existen varias clases de multiplexación:
* Multiplexación por división de frecuencia
Switch
Un switch (en castellano “conmutador”) es un dispositivo electrónico de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos) del modelo OSI (Open Systems Interconection). Un switch interconecta dos o más segmentos de red, funcionando de manera similar a los puentes (bridges), pasando datos de un segmento a otro, de acuerdo con la dirección MAC de destino de los datagramas en la red. Un switch en el centro de una red en estrella. Un switch en el centro de una red en estrella.
Los switches se utilizan cuando se desea conectar múltiples redes, fusionándolas en una sola. Al igual que los bridges, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las LANs (Local Area Network- Red de Área Local).
HUB
un hub o concentrador es un equipo de redes que permite conectar entre sí otros equipos y retransmite los paquetes que recibe desde cualquiera de ellos a todos los demás. Los hubs han dejado de ser utilizados, debido al gran nivel de colisiones y tráfico de red que propician.
Es un punto de conexión para diversos componentes de una red (pueden ser computadoras, print servers, etc). El Hub tiene muchos puertos, cuando recibe un paquete por uno lo envía a todos los otros, de forma de ser recibido por las demás terminales. Los hay inteligentes (se pude monitorizar el tráfico de cada puerto, configurarlo, etc.), y los pasivos que solamente conectan.
Un HUB tal como dice su nombre es un concentrador. Simplemente une conexiones y no altera las tramas que le llegan. Para entender como funciona veamos paso a paso lo que sucede (aproximadamente) cuando llega una trama.Visto lo anterior podemos sacar las siguientes conclusiones:
1 - El HUB envía información a ordenadores que no están interesados. A este nivel sólo hay un destinatario de la información, pero para asegurarse de que la recibe el HUB envía la información a todos los ordenadores que están conectados a él, así seguro que acierta.
2 - Este tráfico añadido genera más probabilidades de colisión. Una colisión se produce cuando un ordenador quiere enviar información y emite de forma simultánea que otro ordenador que hace lo mismo. Al chocar los dos mensajes se pierden y es necesario retransmitir. Además, a medida que añadimos ordenadores a la red también aumentan las probabilidades de colisión.3 - Un HUB funciona a la velocidad del dispositivo más lento de la red. Si observamos cómo funciona vemos que el HUB no tiene capacidad de almacenar nada. Por lo tanto si un ordenador que emite a 100 megabit le trasmitiera a otro de 10 megabit algo se perdería el mensaje. En el caso del ADSL los routers suelen funcionar a 10 megabit, si lo conectamos a nuestra red casera, toda la red funcionará a 10, aunque nuestras tarjetas sean 10/100.4 - Un HUB es un dispositivo simple, esto influye en dos características. El precio es baratito. El retardo, un HUB casi no añade ningún retardo a los mensajes.
Un repetidor es un dispositivo electrónico que recibe una señal débil o de bajo nivel y la retransmite a una potencia o nivel más alto, de tal modo que se puedan cubrir distancias más largas sin degradación o con una degradación tolerable.
El término repetidor se creó con la telegrafía y se refería a un dispositivo electromecánico utilizado para regenerar las señales telegráficas. El uso del término ha continuado en telefonía y transmisión de datos.
Dispositivo hardware encargado de amplificar o regenerar la señal entre dos segmentos de una red homogénea que se interconectan ampliando su cobertura, El propósito de un repetidor es regenerar y retemporizar las señales de red a nivel de los bits para permitir que los bits viajen a mayor distancia a través de los medios.
Un repetidor es un dispositivo sencillo que regenera una señal que pasa a través de la red, de tal modo que se puede extender la distancia de transmisión de dicha señal. Un repetidor multipuerto se conoce como un concentrador. Cuanto más lejos viajan los datos en una red, más débil se hace la señal que lleva ese paquete de datos.
PUENTE
Un puente o bridge es un dispositivo de interconexión de redes de ordenadores que opera en la capa 2 (nivel de enlace de datos) del modelo OSI. Este interconecta dos segmentos de red (o divide una red en segmentos) haciendo el pasaje de datos de una red para otra, con base en la dirección física de destino de cada paquete.
Un bridge conecta dos redes como una sola red usando el mismo protocolo de establecimiento de red.
Funciona a través de una tabla de direcciones MAC detectadas en cada segmento a que está conectado. Cuando detecta que un nodo de uno de los segmentos está intentando transmitir datos a un nodo del otro, el bridge copia la trama para la otra subred. Por utilizar este mecanismo de aprendizaje automático, los bridges no necesitan configuración manual.
La principal diferencia entre un bridge y un hub es que el segundo pasa cualquier trama con cualquier destino para todos los otros nodos conectados, en cambio el primero sólo pasa las tramas pertenecientes a cada segmento. Esta característica mejora el rendimiento de las redes al disminuir el tráfico inútil.
La función de un puente es interconectar redes separadas. Los puentes pueden conectar tipos de redes diferentes (como Ethernet y Fast Ethernet) o redes del mismo tipo. Los puentes trazan las direcciones de Ethernet de los nodos que residen en cada segmento de la red y permiten sólo el tráfico necesario para atravesar el puente. Cuando un paquete es recibido por el puente, el puente determina el segmento fuente y destino. Si ambos segmentos son el mismo, el paquete se descarta ("se filtra"); si los segmentos son diferentes, el paquete es "remitido" al segmento correcto. Adicionalmente, los puentes previenen que todos los paquetes erróneos se extiendan, no remitiéndolos. A los puentes se les denomina dispositivos "store and forward" (almacenar y remitir) porque estudian el paquete Ethernet completo antes de tomar la decisión de filtrarlo o remitirlo. El filtrado y la regeneración de paquetes remitidos permite a la tecnología de los puentes, dividir una red en dominios de colisión separados. Ello permite emplear distancias mayores y más repetidores en el diseño de una red.
Un router (enrutador o encaminador) es un dispositivo hardware o software de interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. Este dispositivo interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red.
El router toma decisiones lógicas con respecto a la mejor ruta para el envío de datos a través de una red interconectada y luego dirige los paquetes hacia el segmento y el puerto de salida adecuados. Sus decisiones se basan en diversos parámetros. Una de las más importantes es decidir la dirección de la red hacia la que va destinado el paquete (En el caso del protocolo IP esta sería la dirección IP). Otras decisiones son la carga de tráfico de red en las distintas interfaces de red del router y establecer la velocidad de cada uno de ellos, dependiendo del protocolo que se utilice.
En el ejemplo del diagrama, se muestran 3 redes IP interconectadas por 2 routers. La computadora con el IP 222.22.22.1 envía 2 paquetes, uno para la computadora 123.45.67.9 y otro para 111.11.11.1 A través de sus tablas de enrutamiento configurados previamente, los routers pasan los paquetes para la red o router con el rango de direcciones que corresponde al destino del paquete. Nota: el contenido de las tablas de rutas está simplificado por motivos didácticos. En realidad se utilizan máscaras de red para definir las subredes interconectadas.
BROUTER
Son routers que también cumplen la función de bridges. Un brouter puede chequear primero si la red soporta el protocolo usado por el paquete que recibe y, si no lo hace, en lugar de descartar el paquete, lo reenvía usando información de direcciones físicas.
Los brouters pueden encaminar uno o varios protocolos, como TCP/IP y XNS, y puentear todo el tráfico restante.
Un brouter (bridge/router) es un sistema que combina simultáneamente las funciones de bridge y router, y que elige "la mejor solución de los dos". Brouters trabajan como router con los protocolos encaminables y como bridge con los que no lo son. Tratan estas funciones independientemente y proporcionan soporte de hardware para ambos.
Ventajas e inconvenientes de los bridge/routers
Brouters ofrecen todas las ventajas de los routers para protocolos de router, y todas aquellas de los bridges para protocolos de bridge. Pensando que ellos son los sistemas más complejos de instalar, proporcionan el más alto grado de flexibilidad, lo que los hace ideales para rápidos cambios o expansiones de la red.
Un protocolo tunelizado es un protocolo de red que encapsula un protocolo de sesión dentro de otro. El protocolo A es encapsulado dentro del protocolo B, de forma que el primero considera al segundo como si estuviera en el nivel de enlace de datos. La técnica de tunelizar su suele utilizar para trasportar un protocolo determinado a través de una red que, en condiciones normales, no lo aceptaría. Otro usos de la tunelización de protocolos es la creación de diversos tipos de redes privadas virtuales.
Ejemplos de protocolos tunelizados
Protocolos orientados a
.
· MPLS (Multiprotocol Label Switching)
· GRE (Generic Routing Encapsulation)
· PPTP (Point-to-Point Tunneling Protocol)
· PPPoE (point-to-point protocol over Ethernet)
· PPPoA (point-to-point protocol over ATM)
· IPSec (Internet Protocol security)
· IEEE 802.1Q (Ethernet VLANs)
· DLSw (SNA over IP)
· XOT (X.25 datagrams over TCP)
· 6to4 (IPv6 over IPv4 as protocol 41)
Protocolos orientados a flujo:
·
TLS (Transport Layer Security)
· SSH (Secure Shell)
GATEWAY
En una red de ordenadores, es un dispositivo que se encarga de conectar dos redes de distinto tipo, y que es incluso capaz de transformar la información, adaptando el formato de paquetes de la primera red al que necesita la segunda. La mayoría de las veces se implementan por software. Trabajan a nivel de transporte (nivel 4 del estándar OSI) o superior.
El significado técnico se refiere a un hardware o software que traduce dos protocolos distintos o no compatibles, por ejemplo Prodigy tiene un gateway que traduce su formato interno de correo electrónico a el formato Internet del e-mail.
VENTAJAS DE UN GATEWAY
Te puedes conectar desde cualquier máquina, o de todas al mismo tiempo!! Puedes ofrecer servicios a Internet desde distintas maquinas en la red interna Tener control de donde se navega, o donde no se puede.
DESVENTAJAS DE UN GATEWAY
Si tienes una conexión de baja velocidad, digamos un acceso telefónico, el ancho de banda será distribuido entre las diferentes máquinas que generen peticiones a Internet. Esto no es tan terrible si vas a navegar y chequear correo, pero si quieres jugar algún juego en red con gráficos pesados y demás, vas a tener menor rendimiento. Personalmente, creo que es mejor poder conectarte de cualquier máquina sin tener que gritarle a tu hermano que deje de chatear porque le tienes que enviar un TP a un amigo de la facu.
CREACION DE REDES VIRTUALES
La comunidad científica requiere tecnologías informáticas para que grupos de colaboradores de distintas instituciones compartan recursos de forma controlada y administrada, estos nuevos grupos son llamados Organizaciones Virtuales (OV).
Es fácil prever los retos que implica la formación de estas OV, puesto que rompen los límites de sus organizaciones y crean tanto políticas como dificultades de organización. Los integrantes de las OV necesitan compartir información, computadoras, dispositivos de almacenamiento y software de manera controlada.
La creación de estas OV implica el desarrollo de un software de integración que permita compartir sin reemplazar los sistemas de los sitios participantes, creando sólo una estructura de comunicación. Este software debe unificar las funciones importantes: autenticación de identidad, autorizar actividades, definir y permitir el acceso a los recursos compartidos y controlar el flujo de datos, entre otras cosas.
La primera vez que estos conceptos se llevaron a la práctica fue en 1995, cuando se enlazaron de manera temporal 17 redes de cómputo de alta velocidad pertenecientes a laboratorios de investigación que trabajaron en el proyecto de mejorar incineradores industriales. El proyecto recibió el nombre de I-Way y permitía a los usuarios iniciar sesión en la red, localizar la computadora más adecuada para su trabajo, reservar tiempo de proceso, cargar el código de ejecución y monitorear el proceso.
Este primer proyecto inspiró muchos otros trabajos que recibieron financiamiento de la NASA, de la Fundación Nacional para la Ciencia (EUA) y del gobierno de Singapur, entre otros.
Con el crecimiento de las aplicaciones y de las redes integradoras instaladas, fue necesario convocar en 1998 al primer Foro Mundial de Red con la intención de compartir experiencias, definir técnicas, estandarizar procesos y dar forma a la comunidad de usuarios de esta tecnología.
TAREAS
INTERNET WORKING
Es el campo dentro de las redes que se encargan de integrar o comunicar una red de area local con otra. Constituyendo una red MAN Y WAN.
Los dispositivos de internet working permiten a las LAN seguir extendiéndose por encima de las distancias máximas, pueden dividir grandes LAN en varias pequeñas para aumentar las prestaciones probables del sistema.
INTERCONECCION DE REDES
Cuando se diseña una red de datos se desea sacar el máximo rendimiento de sus capacidades. Para conseguir esto, la red debe estar preparada para efectuar conexiones a través de otras redes, sin importar qué características posean. El objetivo de la Interconexión de redes(internetworking) es dar un servicio de comunicación de datos que involucre diversas redes con diferentes tecnologías de forma transparente para el usuario. Este concepto hace que las cuestiones técnicas particulares de cada red puedan ser ignoradas al diseñar las aplicaciones que utilizarán los usuarios de los servicios.
Los dispositivos de interconexión de redes sirven para superar las limitaciones físicas de los elementos básicos de una red, extendiendo las topologías de esta.
Algunas de las ventajas que plantea la interconexión de redes de datos, son:
* Compartición de recursos dispersos.
* Coordinación de tareas de diversos grupos de trabajo.
* Reducción de costos, al utilizar recursos de otras redes.
* Aumento de la cobertura geográfica.
Tipos de Interconexión de redes
Se pueden distinguir dos tipos de interconexión de redes, dependiendo del ámbito de aplicación:
*Interconexión de Área Local (RAL con RAL)
*Interconexión de Área Extensa (RAL con MAN y RAL con WAN)
LEY SARBANES-OXLEY DEL 2002
La Ley Sarbanes-Oxley, conocida también como SarOx ó SOA (por sus siglas en inglés Sarbanes Oxley Act), es la ley que regula las funciones financieras contables y de auditoria y penaliza en una forma severa, el crimen corporativo y de cuello blanco. Debido a los múltiples fraudes, la corrupción administrativa, los conflictos de interés, la negligencia y la mala práctica de algunos profesionales y ejecutivos que conociendo los códigos de ética, sucumbieron ante el atractivo de ganar dinero fácil y a través de empresas y corporaciones engañando a socios, empleados y grupos de interés, entre ellos sus clientes y proveedores.
La aplicación e interpretación de esta ley, ha generado múltiples controversias, una de ellas es la extraterritorialidad y jurisdicción internacional, que ha creado pánico en el sistema financiero mundial, especialmente en bancos con corresponsalía en Estados Unidos y empresas multinacionales que cotizan en la bolsa de valores de Nueva York. Esta es la versión de la ley en una traducción al español, que puede ser reproducida completamente, citando la fuente: U.S. Congress Sarbanes-Oxley Act of 2002 U.S.InterAmerican Community Affairs, reproduce esta ley, como un documento importante dentro del marco de nuestros programas de prevención y educación de la violación de la ley.
EMPLEOS DE ADMINISTRACION DE REDES
- SERH
- VIANA
- SPECIAL(EMPLEO DE MANTENIMIENTO DE SERVIDORES)
APUNTES
CONECTIVIDAD DE REDES
LA PERSPECTIVA COORPORATIVA
1.- ¿Cuántos trabajadores existen en la empresa con pc?
2.- ¿Especificaciones del equipo?
3.- ¿Qué tipo de información maneja?
4.- ¿Cuál es la función de la compañía?
5.- ¿Cuáles son las metas claves de funcionamiento para el proximo año y una proyeccion de crecimiento para los proximos 5 años?
El objetivo al formular estas preguntas y otras mas que puedan ocurrir en el trascurso del cuestionario es obtener una idea clara de cada area funcional y que es lo que hace y como lo hace, asi como que se quiere ser capaz en el futuro. Una vez que se hace esto uno puede ser capaz de analizar el efecto que la red sera mas productiva en las diferentes areas de la empresa.
Las redes no se construyen ni se analizan nada mas porque si, la actualizacion de una de ellas necesita acoplarse a las necesidades del negocio, la red debera mostrar de manera clara la forma en que ayudara al funcionamiento correcto del negocio y el papel que jugara en los objetivos de ampliar el crecimiento de la empresa.
Después de tener una comprensión total de la empresa, sus objetivos y la forma en que lleva a cabo sus procesos, se podra analizar las diferentes ideas que pueda tener para la red y como beneficiara algunos o a todas las partes del negocio.
PUESTOS DE TRABAJO EN CONECTIVIDAD DE REDES
si emplea ingresar en el campo de la conectivida de redes es importante tener una idea de los diferentes puestos que se encontraran y de lo que tipicamente se requiere. los puestos reales varian de una compañia a otra dependiendo de las diferentes redes intaladas asi asi mismo habra empresas que tengan opurtunidades de empleo para el administrador de redes , por eata empresa apenas esta inicializando lo que dara al administrador un amplio enfoque y vision de lo que requiera la empresa para trabajar en las redes de computadoras.una vez comentado lo anterior se presentan un amplio panprama de algunos puestos de trabojos clave.
ADMINISTRADOR DE RED
Los administradores de red son responsables de las operaciones de la misma red de la empresa, en empresas grandes las operaciones que realizan las redes son una parte clave en el desarrollo y elaboración del producto que se fabrica y en otras empresas llevan en control de la administración de los datos que se manejan en toda la empresa de una manera rápida y eficaz. En una compañía pequeña en la que solamente existen un administrador de red se incluyen las siguientes tareas:
Administradores de red
* Crear y eliminar cuentas de usuario.
*Asegurar que se realicen los respaldos necesarios de manera segura.
*Administrar las “claves” de la red como sus cuentas administrativas y sus contraseñas.
* Administradores de políticas de seguridad de la red.
*Agregar nuevo equipo de de conectividad como servidores, ruteadores, switches, concentradores y administrarlos.
*Supervisar la red, tanto el hardware como el software, para detectar problemas potenciales y los niveles de utilización a fin de realizar las actualizaciones de la misma.
*Reparar los problemas de la red (generalmente lo mas rápido posible).
Los administradores de la red podrían llamarse administradores de sistemas de una LAN y otras variaciones sobre el mismo tema.
Típicamente una persona debe contar con experiencia en tareas relacionadas con una red similar para realizar este trabajo. Las certificaciones como MCSE (Microsoft Certified System Engenieer) y la MCSA (Microsoft certified System Administrador) o la Certified Novell Engenieer de Novell (CNE) pueden reducir la cantidad de experiencia que las compañías suelen requerir .
INGENIEROS DE REDES
Los ingenieros de redes se encargan en las empresas de la parte técnica o de ingeniería y se espera que sean expertos en los sistemas operativos de red con los que trabajan y en especial son elementos clave del hardware de la red (concentradores, ruteadores, switches, etc.). También son considerados como el personal que como último recurso repara la red y diagnostica y soluciona los problemas más enfadosos que superan la capacidad del administrador de la red.
Los ingenieros de redes tienen por lo regular cualquier tipo de certificación que fabrican equipos de conectividad de redes (CISCO, 3COM, CNET).
ARQUITECTO/DISEÑADOR DE RED
Los arquitectos de red a menudo llamados diseñadores de red trabajan en general para empresas que venden y dan soporte a redes o para grandes empresas que tienen redes enormes y que están en constante cambio y expansión. En esencia, los arquitectos de redes se encargan de diseñar la arquitectura y necesitan combinar cualidades importantes para ser exitosos. Deben de comprender las necesidades del negocio que la red necesita satisfacer así como conocer a fondo todos los productos de conectividad de redes disponibles en el mercado y la forma en que estos interactúan. También ayuda a que las nuevas adiciones de hardware de red no provoquen problemas en la misma.
OTROS PUESTOS DE TRABAJO RELACIONADOS CON LAS REDES
Existen una amplia variedad de puestos de trabajos relacionados con las redes, entre ellos algunos que no están vinculados directamente con la red como: administradores de bases de datos, administradores de correo electrónico, Web master, diseñador de páginas Web, técnico de soporte de red.
En realidad existe una lista interminable de puestos de trabajos diferentes, los cuales se encuentran disponibles en el campo de trabajo de la conectividad de redes. Si una persona esta decidida a entrar en este campo de trabajo es aconsejable que se invierta tiempo en consultar los anuncios donde necesitan diferentes trabajos en conectividad y ver que requisitos se necesita cubrir para ocupar estos puestos. Una vez que haya encontrado el trabajo que refleje su interés, se podrá analizar las habilidades que se requieren, así como los cursos o las certificaciones que fueran necesarios para acceder a ese trabajo.
continuacion de la unidad 1
PROTOCOLOS DE REDES
Un protocolo de red es como un lenguaje para la comunicación de información. Son las reglas y procedimientos que se utilizan en una red para comunicarse entre los nodos que tienen acceso al sistema de cable. Los protocolos gobiernan dos niveles de comunicaciones:
Los protocolos de alto nivel: Estos definen la forma en que se comunican las aplicaciones.
Los protocolos de bajo nivel: Estos definen la forma en que se transmiten las señales por cable.
Como es frecuente en el caso de las computadoras el constante cambio, también los protocolos están en continuo cambio. Actualmente, los protocolos más comúnmente utilizados en las redes son Ethernet, Token Ring y ARCNET. Cada uno de estos esta diseñado para cierta clase de topología de red y tienen ciertas características estándar.
Ethernet Actualmente es el protocolo más sencillo y es de bajo costo. Utiliza la topología de "Bus" lineal.
Token Ring
El protocolo de red IBM es el Token ring, el cual se basa en la topología de anillo.
Arnet Se basa en la topología de estrella o estrella distribuida, pero tiene una topología y protocolo propio.
PPTP
Point-To-Point Tunneling Protocol (PPTP) permite el seguro intercambio de datos de un cliente a un Server formando un Virtual Private Network (VPN ó red privada virtual), basado en una red de trabajo vía TCP/IP. El punto fuerte del PPTP es su habilidad para proveer en la demanda, multi-protocolo soporte existiendo una infraestructura de área de trabajo, como INTERNET. Esta habilidad permitirá a una compañía usar Internet para establecer una red privada virtual (VPN) sin el gasto de una línea alquilada.
Esta tecnología que hace posible el PPTP es una extensión del acceso remoto del PPP (point-to-point-protocol......RFC 1171). La tecnología PPTP encapsula los paquetes ppp en datagramas IP para su transmisión bajo redes basadas en TCP/IP. El PPTP es ahora mismo un boceto de protocolo esperando por su estandarización. Las compañías "involucradas" en el desarrollo del PPTP son Microsoft :P. Ascend Communications, 3com / Primary Access, ECI Telematics y US Robotics.
PPTP y VPN:El protocolo Point-To-Point Tunneling Protocol viene incluido con WindowsNT 4.0 Server y Workstation. Los Pc`s que tienen corriendo dentro de ellos este protocolo pueden usarlo para conectar con toda seguridad a una red privada como un cliente de acceso remoto usando una red publica como Internet.
Una característica importante en el uso del PPTP es su soporte para VPN. La mejor parte de esta característica es que soporta VPN`s sobre public-switched telephone networks (PSTNs) que son los comúnmente llamados accesos telefónicos a redes.
Usando PPTP una compañía puede reducir en un gran porcentaje el coste de distribución de una red extensa, la solución del acceso remoto para usuarios en continuo desplazamiento porque proporciona seguridad y comunicaciones encriptadas sobre estructuras de área de trabajo existentes como PSTNs o Internet.
Distribución Standard del PPTP:En la práctica general hay normalmente tres ordenadores involucrados en una distribución:
Un cliente PPTP
Un servidor de acceso a la red
Un server PPTP
NOTA: El servidor de acceso a la red es opcional, y no es necesario para la distribución PPTP. En la distribución normal quizás, están presentes.
En una distribución típica de PPTP comienza por un PC remoto o portátil que será el cliente PPTP. Este cliente PPTP necesita acceso a la red privada (private network) utilizando un ISP (internet service provider). Los clientes que usan WindowsNT Server o Workstation como S.O. usaran el Dial-up networking y el protocolo PPP para conectar a su ISP. Son también conocidos como Front-End Processors (FEP`s) o Point-Of-Presence servers (POP`s). Una vez conectados, el cliente tiene la capacidad de extraer datos de Internet. Los "network access servers" usan el protocolo TCP/IP para el mantenimiento de todo el tráfico.
Después que el cliente ha hecho la conexión PPP inicial al ISP, la segunda llamada Dial-up es hecha a través de la conexión PPP ya establecida. Los datos enviados usando la segunda conexión son en forma de datagramas IP que contienen paquetes PPP. Es la segunda llamada la que crea la conexión VPN a un servidor PPTP en la red privada de la compañía. Esto es llamado un TUNEL.El Tunneling es el proceso de intercambio de datos de un ordenador en una red privada de trabajo enrutándolos sobre otra red. Los otros enrutamientos de la otra red no pueden acceder porque esta en la red privada. Sin embargo, el tunneling activa el enrutamiento de la red para transmitir el paquete a un ordenador intermediario, como un server PPTP .Este server PPTP esta conectado a ambas, a la red privada de la compañía y a la red de enrutamiento, que en este caso es Internet. Ambos ,el cliente PPTP y el server PPTP usan el tunneling para transmitir paquetes de forma segura a un ordenador en la red privada.
Cuando el server PPTP recibe un paquete de la red de enrutamiento (Internet) lo envía a través de la red privada hasta el ordenador de destino. El server PPTP hace esto procesando el paquete PPTP para obtener el nombre del ordenador de la red privada o la información de la dirección que esta encapsulada en el paquete PPP.
NOTA: El paquete PPP encapsulado puede contener datos multi-protocolo como TCP/IP,IPX/SPX o NetBEUI.Debido a que el servidor PPTP esta configurado para comunicar a través de la red privada usando protocolos de esta red privada ,es capaz de entender Multi-Protocolos.
PPTP encapsula el encriptado y comprimido paquete PPP en datagramas IP para su transmisión a través de Internet. Estos datagramas IP son enrutados a través de Internet como un paquete PPP y después son desencriptados usando el protocolo de red de la red privada. Como mencionamos antes, los protocolos soportados por el PPTP. son...TCP/IP, IPX/SPX y NetBEUI.
PPTP Clients:Un ordenador que es capaz de usar el protocolo PPTP puede conectarse a un servidor PPTP de dos maneras diferentes:
Usando un ISP que soporte las conexiones PPP
Usando una red con soporte para TCP/IP para conectar a un server PPTP
Los clientes PPTP que quieran usar un ISP deben estar perfectamente configurados con un módem y un dispositivo VPN para hacer las pertinentes conexiones al ISP y al server PPTP .La primera conexión es dial-up usando el protocolo PPP a través del módem a un ISP. La segunda conexión requiere la primera conexión porque el túnel entre el dispositivo VPN es establecido usando el módem y las conexiones PPP a Internet.
La excepción a estos dos procesos de conexión es usar PPTP para crear una VPN entre ordenadores físicamente conectados a una LAN. En este escenario, el cliente esta de hecho conectado a una red y solo usa dial-up networking con un dispositivo VPN para crear la conexión a un server PPTP en la LAN.
Los paquetes PPTP remotos de un cliente PPTP y una LAN local PPTP son procesados de diferente manera. Un paquete PPTP de un cliente remoto es puesto en el dispositivo de telecomunicación de medio físico, mientras que el paquete PPTP de la LAN PPTP es puesto en el adaptador de red de medio físico.
PROTOCOLO PPP
Es un protocolo de nivel de enlace estandarizado en el documento RFC 1661. Por tanto, se trata de un protocolo asociado a la pila TCP/IP de uso en Internet. Más conocido por su acrónimo: PPP.
DESCRIPCION
El protocolo PPP permite establecer una comunicación a nivel de enlace entre dos computadoras. Generalmente, se utiliza para establecer la conexión a Internet de un particular con su proveedor de acceso a través de un modem telefónico. Ocasionalmente también es utilizado sobre conexiones de banda ancha (como PPPoE o PPPoA). Además del simple transporte de datos, PPP facilita dos funciones importantes:
Autenticación. Generalmente mediante una clave de acceso.
Asignación dinámica de IP. Los proveedores de acceso cuentan con un número limitado de direcciones IP y cuentan con más clientes que direcciones. Naturalmente, no todos los clientes se conectan al mismo tiempo. Así, es posible asignar una dirección IP a cada cliente en el momento en que se conectan al proveedor. La dirección IP se conserva hasta que termina la conexión por PPP. Posteriormente, puede ser asignada a otro cliente.
PPP también tiene otros usos, por ejemplo, se utiliza para establecer la comunicación entre un MODEM ADSL y la pasarela ATM del operador de telecomunicaciones. También se ha venido utilizando para conectar a trabajadores desplazados (e.g., ordenador portátil) con sus oficinas a través de un centro de acceso remoto de su empresa. Aunque está aplicación se está abandonando en favor de las redes privadas virtuales, más seguras. Una trama PPP esta basada en HDLC. Tiene un mínimo de 6 bytes y un máximo indeterminado
PSTN
La red telefónica pública conmutada (PSTN, Public Switched Telephone Network) es una red con conmutación de circuitos tradicional optimizada para comunicaciones de voz en tiempo real. Cuando llama a alguien, cierra un conmutador al marcar y establece así un circuito con el receptor de la llamada. PSTN garantiza la calidad del servicio (QoS) al dedicar el circuito a la llamada hasta que se cuelga el teléfono. Independientemente de si los participantes en la llamada están hablando o en silencio, seguirán utilizando el mismo circuito hasta que la persona que llama cuelgue.
La Interfaz de programación de aplicaciones de telefonía (TAPI, Telephony Application Programming Interface) permite a los programas comunicarse fácilmente a través de la red de telefonía tradicional. TAPI permite la conexión directa con una red PSTN y marcado telefónico automático, y proporciona interfaces para llamadas de conferencia, correo de voz e identificador de la persona que llama.
TAPI ayuda a convertir la familia Windows Server 2003 en una plataforma eficaz y flexible para desarrollar y utilizar programas de integración de equipos y telefonía (CTI). Los programas se pueden crear a partir de la compatibilidad cliente-servidor de TAPI, a fin de proporcionar una interfaz gráfica para administración de sistemas y servicios mejorados, como correo de voz, cola de llamadas, reenvío de llamadas a otra ubicación, integración de equipos y telefonía, y reconocimiento de voz. Además de permitir a los programas ofrecer servicios de telefonía, TAPI administra los dispositivos de telefonía, y permite de esta forma que varios programas que utilizan una línea permanezcan activos simultáneamente. Un programa puede esperar una llamada mientras otro marca.
En un entorno cliente-servidor, la telefonía se puede administrar como cualquier otro servicio de red. Puede especificar las líneas y los teléfonos disponibles para usuarios concretos y utilizar la seguridad del dominio para controlar el acceso a los recursos de telefonía. Los proveedores de servicios de telefonía y todos los parámetros almacenados se puede actualizar en una LAN para facilitar la configuración, el uso y la administración de recursos, independientemente de la ubicación física.
UNIONES Y CONEXIONES WAN
Conexiones Dedicadas Privadas ("Leased Lines")
Tal y como su nombre lo implica los circuitos son alquilados completos y son privados, un caso común es: Si una oficina en cierta ciudad requiere acceso las 24 horas a otra información que resida en otra ciudad o país. Sus velocidades oscilan desde 56Kbps hasta (800 veces mayor) 45 Mbps (T3) . En ocasiones la atracción a este tipo de conexión también se debe a los ahorros de telefonía que pueden generar oficinas de la misma empresa.
Conexiones Dedicadas Compartidas ("Packet Switched")
Este tipo de conexión, similar a la anterior, es compartida por varios usuarios o empresas que envían su información a un sólo punto para realizar la transmisión, el ejemplo más claro de esto es el Backbone de Internet. A este tipo de conexión pertenecen las tecnologías de Frame Relay, ATM, Cable Coaxial y Satelital.
Conexiones Intermitentes ("Circuit-Switched Connections")
Este tipo de conexión establece un circuito permanente temporal , como el mencionado anteriormente, la diferencia estriba en que este circuito debe de ser establecido y eliminado cada vez que se requiera la comunicación. El ejemplo clásico es el de una llamada telefónica por módem o conexión vía ISDN.
Esta conexión es muy útil para regiones aisladas, permite una velocidad de recepción de 400Kbps ( 20 veces más que un módem ) lo cual la hace ideal para navegar por Internet, sin embargo, su desventaja es que a pesar de poseer un velocidad de bajada ("Downstrem") muy buena , su velocidad de envío o requisición "upstream" es muy lenta. Lo anterior significa que la conexión Satelital es Asimétrica: recibe información velozmente pero el envío o requisición de información es tardado.
Cómo funciona ? Una vez instalado el satélite (en oficina o en casa), debe realizarse una conexión telefónica hacia el proveedor de servicios de Internet (ISP) (generalmente el mismo que alquila el satélite), a través de esta llamada telefónica se enviará toda requisición ("upstream") de información, al obtener respuesta de dichas requisiciones, el ISP enviará estos datos vía satélite directamente al plato que tiene instalado en su casa u oficina.
Una de las desventajas de este servicio es que además de pagar la tarifa telefónica por enviar datos a una central , el envío de información a usted por el satélite también es cobrado por hora.En U.S su costo es alrededor de $50 Dlls U.S. por 100 horas lo cual no incluye el costo de las llamadas Telefónicas por enviar datos a la central.
DDS
El Sistema de Distribución de datos.
DS0
Canal digital por un medio de cobre con un ancho de banda que puede llagar a 64kbps.
DS1
el Signo Digital Nivel 1. Ideando especificación usada transmitiendo los signos digitales a las 1.544-Mbps en una facilidad de T1 (Estados Unidos) o a 2.108-Mbps en una facilidad de E1 (Europa).
T1
Conexión por medio de línea telefónica que transporta datos con velocidades de hasta 1.544.000 bps. Aunque no es lo suficientemente rápida para soportar vídeo con movimiento a pantalla completa en tiempo real, es ésta la velocidad más usada para conectar redes en Internet.
E1
Canal digital con un ancho de banda de 2,048 kbps o 2 Mbps.
T3
Conexión telefónica que permite transmitir datos a 44,736 Mbps suficiente para transmitir video a toda la pantalla.
SWITCH 56
Hace tiempo que existen líneas de datos que ofrecen mayores velocidades. A saber: switch-56 y frame relay. Como su nombre lo indica, Switch-56 está conmutado y esto significa que usted disca como lo haría utilizando una línea de teléfono. "Frame relay" es un protocolo de conmutación de paquetes de bajo costo que brinda una dinámica asignación del ancho de banda y proporciona una velocidad de hasta 2 Mbps pero puede consumirse en incrementos de a 56k. Frame relay se está transformando en la solución de acceso de velocidad media a alta en los Estados Unidos. No está conmutado (aunque puede ser "ruteado" o encaminado) así que siempre está "on".
Estas dos líneas de datos ofrecen 56 kbits por segundo en forma mucho más confiable que POTS
X.25
Muchas redes públicas antiguas, en especial en países del área, siguen un estándar llamado X.25 que el Comité Consultivo Internacional para la Telegrafía y Telefonía (CCITT: Consultive Committee for Telegraph and Telephone) de la Unión Internacional de Telecomunicaciones (ITU: Institute of Telecommunications Union) desarrolló durante la década de 1970 para proveer una interfaz entre las redes publicas de conmutación de paquetes y sus clientes. La figura 2.2 muestra un ejemplo de este tipo de redes.
La recomendación X.25 se había desarrollado, principalmente, para conectar terminales remotos sin inteligencia a computadoras centrales. Sin embargo su flexibilidad y fiabilidad hicieron de ella una plataforma perfecta sobre la que basar una generación entera de estándares de comunicación de datos.
X.25 es una interfaz orientada a la conexión para una red de área extensa de conmutación de paquetes, que utiliza circuitos virtuales para enviar paquetes individuales de datos a su correspondiente destino en la red.
Un paquete de datos es una unidad de información que puede viajar de manera independiente desde su lugar de origen hasta su destino. Los paquetes tienen dos partes principales: la información de direccionamiento y los propios datos. Además de las direcciones de origen y destino, las cabeceras pueden incluir información de encaminamiento, comprobación de errores y control.
Figura 2.1: Trama X.25
Un paquete contiene seis (6) componentes principales como se ve en la figura 2.1:
Delimitador de comienzo de trama
Campo del nivel de enlace
Campo del nivel de red
Campo de datos de usuario
Secuencia de verificación de trama
Figura 2.2: Red X.25 con recursos comunes.
Las comunicaciones basadas en paquetes fraccionan la información en muchos paquetes de datos más pequeños, cada uno con su dirección. La estación emisora envía estos paquetes a través de la red hacia la estación destino. La estación receptora ensambla los paquetes recibidos, recomponiéndose la unidad de información original. El equipo que fragmenta, gestiona y ensambla los paquetes recibe el nombre de ensamblador/desensamblador de paquetes (packet assembler/disassembler) o simplemente PAD.
Tres protocolos adicionales gobiernan el trabajo interno de un PAD:
· X.3, que especifica realmente cómo el PAD ensambla y desensambla los paquetes de datos.
· X.28, que especifica la interfaz entre el equipo terminal de datos y el PAD.
· X.29, que define la interfaz entre el equipo de comunicaciones de datos y el PAD.
Las redes de conmutación de paquetes prestan un servicio no orientado a la conexión, es decir no se establece conexión alguna antes de la transferencia de datos entre las terminales emisora y receptora. Los paquetes son transmitidos en el medio tan pronto son recibidos por la interfaz de red, por lo que no existe retardo de establecimiento o liberación de llamada.
X.25 es un protocolo orientado a la conexión, establece una conexión entre las estaciones emisora y receptora previa a la transmisión de datos. Sin embargo por cada conexión realizada, sólo se transmite un paquete. Este hecho da lugar, por lo general, a varios miles de conexiones para completar una única transmisión de datos basada en paquetes. Este elevado número de conexiones y de dispositivos que realizan las transmisiones recibe el nombre de red de conmutación de paquetes.
Una red de conmutación de paquetes es realmente una densa malla de conexiones punto a punto. Por definición, una red de conmutación de paquetes proporciona una conectividad "todos con todos", permitiendo de esta manera que cualquier estación en la red puede transmitir datos a cualquier otra estación en la red a través de una amplia variedad de posibles caminos de transmisión. Debido a dicha conectividad universal, las redes de conmutación de paquetes se representan como nubes.
Frame Relay
Frame Relay es un producto de la Red Digital de Servicios Integrados (ISDN: Integrated Services Digital Networks). Constituye la parte correspondiente de servicio de datos de conmutación de paquetes de ISDN diferenciada y ofrecida como un servicio separado. A pesar de su relativa baja velocidad, la arquitectura mejorada de conmutación de paquetes de frame relay puede interesar al administrador de red que busca incrementar la velocidad de una conexión de datos de área extensa.
Frame Relay, como X.25, es un producto de conmutación de paquetes que conecta dos redes de área local a través de una red pública de conmutación de paquetes. De una manera simple, una trama procedente de una LAN se encapsula en una trama frame relay, y se transmite por la red frame relay hasta la LAN destino.
Frame relay, al igual que el protocolo X.25, divide los datos del usuario en paquetes que son transmitidos sobre la red y ensamblados en el destino, pero frame relay lo hace mucho más rápido.
En frame relay, los datos se dividen en tramas de longitud variable que contienen las direcciones de destino, luego son remitidas a la red frame relay para su transferencia. Aunque su modo de trabajo es casi idéntico al de conmutación de paquetes, la diferencia se centra en el nivel en que trabajan, para ser más claros: la conmutación de paquetes opera en el nivel 3 del modelo de referencia OSI, mientras que frame relay opera en el nivel 2. Esto significa que frame relay es un protocolo más simple que X.25 y otros protocolos de conmutación de paquetes, realizando menos comprobación y corrección de errores, pero ofreciendo mayor velocidad. La tabla 2.1 presenta una comparación entre Frame Relay y X.25 que refleja las principales diferencias existentes entre ambos.
Frame Realy y X.25
Tópico
Frame Relay
X.25
Tipo de tráfico
Datos/voz
Datos
Compartimento de recursos
No
Sí
Detección de errores
No
Sí
Recuperación de errores
No
Sí
Aplicaciones
Alta velocidad, bajo retardo, transporte de tráfico a ráfagas, gestión extremo a extremo y alta conectividad entre sus sedes
Transaccionales de baja y media velocidad, y en particular para redes centralizadas en las que muchos puntos se comunican con una instalación central
Protocolos
Opera en el nivel 2 del modelo OSI
Opera en los 3 niveles inferiores del modelo OSI
Tasa de errores
Desplaza la funcionalidad de la red (control de errores, control de flujo, etc.) hacia los equipos terminales de usuario
Al estar concebido para operar con circuitos analógicos existe una alta tasa de errores de transmisión, siendo necesarios que la red implemente mecanismos de corrección de errores.
Rango de velocidades
Entre 64 Kbps y 1.45 Mbps
2.400 bps a 64 Kbps
Gestión red privada
Cliente
Proveedor
Tabla 2.1: Frame Relay y X.25
El paquete frame relay (figura 2.3), muy similar al paquete X.25, tiene los siguientes componentes:
· Delimitador de comienzo de trama
· Campo de nivel de enlace (cabecera frame relay)
· Identificador de conexión de enlace de datos
· Apropiada para descartar
· Campo de datos de usuario
· Secuencia de verificación de trama
Figura 2.3: Trama Frame Relay
Frame relay soporta distintos tipos de conexiones que cooperan conjuntamente para formar el entramado de la red frame relay.
· Puertos de conexión. Un puerto de conexión es un punto físico de acceso a la red frame relay que define la máxima cantidad de datos que puede ser enviada a la red en cualquier momento a través de todos los PVCs. El puerto de conexión es la interfaz a la red frame relay pública o privada, y va desde 56 Kbps hasta 1,536 Kbps. El puerto de conexión asigna los datos dinámicamente entre los circuitos virtuales permanentes.
· Circuitos virtuales permanentes. Un circuito virtual permanente (PVC: Permanent Virtual Circuit) es un camino a través de la red frame relay que conecta dos puntos. Un PVC constituye un ancho de banda dedicado que garantiza un nivel de servicio, denominado velocidad de información comprometida (CIR: Commited Information Rate), a una estación determinada. El administrador de red solicita los PVCs al suministrador del servicio frame relay, el cual los configura de acuerdo a las especificaciones del administrador de red. Los circuitos virtuales permanentes están activos y disponibles para la red suscriptora en todo momento.
· Circuitos virtuales conmutados. Los circuitos virtuales conmutados (SVC: Switched Virtual Circuits) son circuitos establecidos ad hoc según la necesidad de la estación emisora, incrementando la flexibilidad del ancho de banda del circuito. Aunque forma parte del estándar, no todos los proveedores lo ofrecen.
Como se ha mencionado, la naturaleza de gran parte del tráfico en las redes frame relay es en ráfagas, lo que significa que la mayoría del tiempo los dispositivos transmiten pocos datos o ningún dato. Por esto, frame relay facilita a los administradores de red la posibilidad de conectar varias conexiones de este tipo al mismo segmento. La multiplexación estadística (figura 2.17) es una técnica para intercalar datos procedentes de distintos dispositivos en una única línea de transmisión. A cada dispositivo con datos para transmitir se le concede una ranura de transmisión en la red. Si el dispositivo no tiene nada que transmitir, su ranura de ancho de banda se cede a una estación que sí tenga datos para transmitir.
Algunos de los pocos servicios opcionales que ofrece frame relay son:
· Control de flujo simple que proporciona control de flujo XON/XOFF para aquellos dispositivos de red que requieren control de flujo.
· Multidifusión de manera que las secciones puedan enviar tramas a múltiples estaciones.
· Direccionamiento global que permite a las aplicaciones emular el direccionamiento de una LAN.
El rendimiento que ofrece frame relay es muy bueno, ya que generalmente se encuentra disponible a velocidades entre 56 Kbps hasta 1.544 Mbps. Admite además, ráfagas de transmisión de hasta 45 Mbps, y tiene una baja latencia (alrededor de 20 mts). Lo mejor de frame relay es su escalabilidad, presenta una gran facilidad para añadir más ancho de banda mediante la velocidad de información comprometida (CIR: Committed Information Rate) conjuntamente con la posibilidad de enviar picos de tráfico superiores al CIR.
Figura 2.4: Multiplexación estadística.
RDSI: Red Digital de Servicios Integrados (ISDN)
En 1984 apareció el primer estándar ISDN para definición de interfaces digitales punto a punto, definido por el CCITT. El CCITT definió estándares adicionales en 1988. ISDN fue considerada como un gran avance por dos razones: en primer lugar, porque especificaba servicios para redes digitales que operarían a través de las redes telefónicas digitales existentes; y porque ofrecía un límite de rendimiento de 2 Mbps en el enlace local y bien 64 Kbps o 128 Kbps a través del área extensa. En los orígenes de ISDN banda estrecha el límite de velocidad de los módem era de 9,600 bps.
ISDN es considerado en la actualidad, como una forma rentable de proporcionar:
· Acceso remoto para usuarios que se conectan a las LANs de sus compañías.
· Un enlace apropiado para ciertas conexiones entre LAN.
· Tráfico de fax entre oficinas con gran ancho de banda.
· Acceso a Internet a alta velocidad.
Figura 2.5: Red ISDN.
ATM comenzó como parte del estándar de la red digital de servicios integrados de banda ancha (RDSI-BA) desarrollado en 1988 por el CCITT. RDSI-BA es una extensión de la red de servicios integrados de banda estrecha (que definía redes de telecomunicaciones digitales públicas) que proporciona mayor ancho de banda y permite un caudal de datos superior a RDSI-BE.
Las razones que motivaron el nacimiento de la RDSI-BA fueron la demanda de un mayor ancho de banda, la disponibilidad de equipos de transmisión y conmutación de alta velocidad, los avances tanto hardware como software de los sistemas disponibles en el usuario final, etc.
En 1991, se constituyó en EU el ATM Forum, que es un consorcio de vendedores, operadores y usuarios, que tiene como objetivo el acelerar los acuerdos industriales sobre las interfaces ATM.
Figura 2.6. Modelo de referencia de RDSI-BA en el que se basa ATM.
Gracias a la utilización de células, ATM supera la limitación que presentan los sistemas de conmutación de paquetes de no comportarse de manera adecuada en el caso de tráfico bidireccional en tiempo real, como el vídeo interactivo. Las células ATM son paquetes de longitud fija y no paquetes de longitud variable. Cada célula está compuesta por un campo de datos de 48 bytes y una cabecera de 5 bytes, como se muestra en la figura 2.6. La cabecera contiene información sobre el canal virtual, el camino virtual, el tipo de campo de datos y la prioridad de pérdida de la celda, mientras que en el campo de datos se encuentran los datos de usuario.
Las células ATM de longitud fija ofrecen muchas ventajas respecto a los paquetes de longitud variable:
· Posibilidad de conmutación mediante hardware.
· Nivel de servicio garantizado.
· Procesamiento paralelo.
· Posibilidad de procesar voz.
ATM no emplea ancho de banda compartido. En su lugar, cada uno de los puertos de un conmutador ATM se dedica a un único usuario. Para comunicarse a través de la red, las aplicaciones deben, en primer lugar, establecer un canal virtual (VC: Virtual Channel) entre los conmutadores. Un VC es un camino de transmisión para una célula de datos ATM. El VC se extiende a través de uno o más conmutadores, estableciendo una conexión extremo a extremo para la transmisión de los datos de la aplicación mediante células ATM. Los VC se pueden establecer de dos maneras. La primera, el administrador de la red puede configurar manualmente un circuito virtual permanente (PVC: Permanent Virtual Channel). Un PVC consiste en un ancho de banda dedicado que garantiza un nivel de servicio a una determinada estación. Los administradores de red podrían configurar PVC para aplicaciones críticas que siempre deben considerarse de alta prioridad o para conexiones permanentes como las existentes entre encaminadores y puentes. La segunda manera de establecer un VC es el circuito virtual conmutado (SVC: Switched Virtual Channel). Un SVC es un VC establecido ad hoc según las necesidades de la aplicación.
ADSL
El ADSL es una tecnología de banda ancha que permite que el ordenador reciba datos a una velocidad elevada, todo ello a través de la línea de teléfono convencional mediante la modulación de la señal de datos utilizada por el ordenador.
Una de las características del ADSL, que ha contribuido a la utilización de esta tecnología al uso de Internet ha sido que se trata de un sistema asimétrico, en el cual la velocidad de transmisión en ambos sentidos no es el mismo. En una conexión a Internet normalmente la velocidad de transmisión de bajada (InternetèHost) suele ser mayor que la de subida (HostèInternet). Un ejemplo de ello esta en un acceso a una pagina Web, para realizarlo debemos hacer una petición al servidor correspondiente de que queremos acceder a la pagina en cuestión, todo ello se realiza con una transmisión de unos pocos Bytes, mientras que el servidor a nosotros nos manda la pagina entera que puede ocupar de uno KBytes has varios MBytes, con lo que vemos que es necesaria una mayor velocidad de bajada.
La primera especificación sobre la tecnología xDSL fue definida por Bell Comunications Researh, compañía precursora del RDSI (Red Digital de Servicios Integrados) en 1987. En un principio esta tecnología fue desarrollada para el suministro de video bajo demanda y aplicaciones de televisión interactiva. En el 89 se desarrollo la actual ADSL (Línea de abonado digital asimétrica). La llegada de esta nueva tecnología para las comunicaciones a España se produjo hace apenas 6 o 7 años, con la implantación de la tarifa plana a través del par de cobre que se utiliza para el teléfono. La liberación del mercado de las telecomunicaciones por parte del Gobierno, fue algo conflictiva, puesto que permitía a otras compañías proporcionar servicios de Internet basados en la tecnología ADSL, pero la parte primordial para esta tecnología que es el bucle de abonado seguía perteneciendo a Telefónica, que por aquel entonces tenia el monopolio de las comunicaciones en España, la cual subarrendaba el bucle de abonado a las distintas compañías para que estas lo explotaran. Aunque finalmente a causa de la falta de operadores de cable en aquellos tiempos, tecnología que no necesita el bucle de abonado, la administración obligo a telefónica a que proporcionase una infraestructura telefónica que permitiese la explotación de estos servicios de alta velocidad. Así se ha conseguido que con el paso del tiempo sean muchas las empresas que ofertan servicios de Internet bajo ADSL, lo cual fomenta la competencia lo que produce un descenso de los precios.
Funcionamiento del ADSL
El ADSL es una técnica de modulación de la señal que permite una transmisión de datos a gran velocidad a través de un par de hilos de cobre (conexión telefónica).
La primera diferencia entre la modulación de los módems de 56K y los de ADSL es que esto modulan a un rango de frecuencias superior a los normales [24... 1.104] KHz para los ADSL y [300... 3.400] Hz para los normales la misma que la modulación de voz, esto supone que ambos tipos de modulación pueden estar activos en un mismo instante ya que trabajan en rangos de frecuencia distintos.
La conexión ADSL es una conexión asimétrica, con lo que los módems situados en la central y en casa del usuario son diferentes. En la siguiente figura vemos un extracto de cómo es una conexión ADSL. Vemos que los módems son diferentes y que además entre ambos aparece un elemento llamado ‘splitter’, este esta formado por dos filtro uno paso alto y otro paso bajo, cuya única función es separar las dos señales que van por la línea de transmisión, la de telefonía vocal (bajas frecuencias) y la de datos (altas frecuencias). Una visión esquemática de esto lo podemos ver en la figura 2-2.
Figura 2-1: Conexión ADSL
Figura 2-2: Funcionamiento del Splitter.
SONET
La decisión de la creación de SONET fue tomada en 1984 por la ECSA (Exchange Carriers Standard Association) en los Estados Unidos para posibilitar la conexión normalizada de los sistemas de fibra óptica entre sí, aunque estos fueran de distinto fabricante. En las últimas etapas de desarrollo de SONET entró también el CCITT (Comité Consultivo Internacional Telefónico y Telegráfico), antecesor del actual UIT-T, de la UIT (Unión Internacional de Telecomunicaciones) para que se pudiera desarrollar una norma que posibilitara la interconexión mediante fibra de las redes telefónicas a nivel mundial.
De esta etapa parte el desarrollo de la denominada Jerarquía Digital Síncrona, conocida popularmente como SDH (Synchronous Digital Hierarchy). A finales de los 90, se estima que los estándares SONET/SDH podrán proporcionar las infraestructuras de transporte para la red mundial de telecomunicaciones para las siguientes dos o tres décadas.
Aún cuando tienen puntos de compatibilidad, el estándar SONET prácticamente solo es aplicado en Estados Unidos y Canadá mientras que el SDH se aplica en el resto del mundo.
Elementos de la Red SONET
1.- Multiplexor Terminal
Es el elemento que actúa como un concentrador de las señales DS-1 (1,544 Mbps) tributarias así como de otras señales derivadas de ésta y realiza la transformación de la señal eléctrica en óptica y viceversa.Dos multiplexores terminales unidos por una fibra con o sin un regenerador intermedio conforman el más simple de los enlaces de SONET.
2.- Regenerador
Necesitamos un regenerador cuando la distancia que separa a dos multiplexores terminales es muy grande y la señal óptica que se recibe es muy baja. El reloj del regenerador se apaga cuando se recibe la señal y a su vez el regenerador reemplaza parte de la cabecera de la trama de la señal antes de volver a retransmitirla. La información de tráfico que se encuentra en la trama no se ve alterada.
3.- Multiplexor Add/Drop (ADM)
El multiplexor de extracción-inserción (ADM) permite extraer en un punto intermedio de una ruta parte del tráfico cursado y a su vez inyectar nuevo tráfico desde ese punto. En los puntos donde tengamos un ADM, solo aquellas señales que necesitemos serán descargadas o insertadas al flujo principal de datos. El resto de señales a las que no tenemos que acceder seguirá a través de la red.Aunque los elementos de red son compatibles con el nivel OC-N, puede haber diferencias en el futuro entre distintos vendedores de distintos elementos. SONET no restringe la fabricación de los elementos de red. Por ejemplo, un vendedor puede ofrecer un ADM con acceso únicamente a señales DS-1, mientras que otro puede ofrecer acceso simultáneo a señales DS-1 (1,544 Mbps) y DS-3 (44,736 Mbps).
CIRCUITOS VIRTUALES
Un circuito virtual (VC por sus siglas en inglés) es una sistema de comunicación por el cual los datos de un usuario origen pueden ser transmitidos a otro usuario destino a través de más de un circuito de comunicaciones real durante un cierto periodo de tiempo, pero en el que la conmutación es transparente para el usuario.Hp (www.hijodesumadre) Un ejemplo de protocolo de circuito virtual es el ampliamente utilizado TCP (Protocolo de Control de Transmisión).
Es una forma de comunicación mediante conmutación de paquetes en la cual la información o datos son empaquetados en bloques que tienen un tamaño variable a los que se les denomina paquetes. El tamaño de los bloques lo estipula la red. Los paquetes suelen incluir cabeceras con información de control.DNSC (www.Delphinosecierra.com). Estos se transmiten a la red, la cual se encarga de su encaminamiento hasta el destino final. Cuando un paquete se encuentra con un nodo intermedio, el nodo almacena temporalmente la información y encamina los paquetes a otro nodo según las cabeceras de control. Es importante saber que en este caso los nodos no necesitan tomar decisiones de encaminamiento, ya que la dirección a seguir viene especificada en el propio paquete.
Las dos formas de encaminación de paquetes son: datagramas y circuitos virtuales. En nuestro caso nos centraremos en el segundo.
En los circuitos virtuales, al comienzo de la sesión se establece una ruta única entre las ETD (entidades terminales de datos) o los host extremos. A partir de aquí, todos los paquetes enviados entre estas entidades seguirán la misma ruta.
Las dos formas de establecer la transmisión mediante circuitos virtuales son los circuitos virtuales conmutados(SVC) y los circuitos virtuales permanentes(PVC).
Los circuitos virtuales conmutados (SVC) por lo general se crean ex profeso y de forma dinámica para cada llamada o conexión, y se desconectan cuando la sesión o llamada es terminada. Un ejemplo de circuito virtual conmutado es la red telefónica tradicional así como los enlaces ISDN. Se utilizan principalmente en situaciones donde las transmisiones son esporádicas. En terminología ATM esto se conoce como conexión virtual conmutada. Se crea un circuito virtual cuando se necesita y existe sólo durante la duración del intercambio específico
REDES PÚBLICAS
Las redes públicas son los recursos de telecomunicación de área extensa pertenecientes a las operadoras y ofrecidos a los usuarios a través de suscripción.
Estas operadoras incluyen a:
· Compañías de servicios de comunicación local. Entre estas compañías tenemos a TELCOR.
· Compañías de servicios de comunicación a larga distancia. Una compañía de comunicación a larga distancia ( IXC: Interexchange carriers ) es un operador de telecomunicaciones que suministra servicios de larga distancia como AT&T, MCI y US SPRINT.
· Proveedores de servicios de valor añadido. Los proveedores de servicio de valor añadido ( VACs: Value-added carriers ) como CompuServe Information y GE Information Services, ofrecen con frecuencia, servicios de comunicación de área amplia como complemento a su verdadero negocio.
UNIDAD II
SEGURIDAD
SEGURIDAD INFORMATICA
Podemos entender como seguridad un estado de cualquier sistema (informático o no) que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debemos de dotar de cuatro características al mismo:
Integridad: La información no puede ser modificada por quien no está autorizado
Confidencialidad: La información solo debe ser legible para los autorizados
Disponibilidad: Debe estar disponible cuando se necesita
Irrefutabilidad: (No-Rechazo) Que no se pueda negar la autoría
Dependiendo de las fuentes de amenazas, la seguridad puede dividirse en seguridad lógica y seguridad física.
En estos momentos la seguridad informática es un tema de dominio obligado por cualquier usuario de la Internet, para no permitir que su información sea robada.
Términos relacionados con la seguridad informática
Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: consecuencia de la materialización de una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.
Aunque a simple vista se puede entender que un Riesgo y una Vulnerabilidad se podrían englobar un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que se debe la Vulnerabilidad está ligada a una Amenaza y el Riesgo a un Impacto.
Objetivos
Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos:
· Información
Es el objeto de mayor valor para una organización, el objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico.
Equipos que la soportan.
Software, hardware y organización.
· Usuarios
Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información.
· Análisis de riesgos
El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y esto es lo que debe hacer ésta seguridad lógica.
Los objetivos para conseguirlo son:
1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados.
7. Actualizar constantemente las contraseñas de accesos a los sistemas de computo.
Puesta en marcha de una política de seguridad
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tiene sólo los permisos que se les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:
Elaborar reglas y procedimientos para cada servicio de la organización.
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión
Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad.
Las amenazas
Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).
Estos fenómenos pueden ser causados por:
Un operador: causa del mayor problema ligado a la seguridad de un sistema informático (por que no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.
Un intruso : persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).
Un siniestro (robo, incendio, por agua) : una mala manipulación o una malintención derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.
Técnicas de aseguramiento del sistema
Codificar la información: Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos personales del individuo.
Vigilancia de red.
Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - anti-spyware, antivirus, llaves para protección de software, etc. Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
Consideraciones de software
Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software pirata o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.
Existe software que es famoso por la cantidad de agujeros de seguridad que introduce. Se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra.
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red en sólo en modo lectura impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.
Algunos tópicos erróneos comunes acerca de la seguridad
Mi sistema no es importante para un cracker. Este tópico se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues ¿quién va a querer obtener información mía?. Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus.
Estoy protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas.
Como tengo antivirus estoy protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación.
Como dispongo de un firewall no me contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos.
Organismos oficiales de seguridad informática
Existen organismos oficiales encargados de asegurar servicios de prevención de riesgos y asistencia a los tratamientos de incidencias, tales como el CERT/CC (Computer Emergency Response Team Coordination Center) del SEI de la Carnegie Mellon University el cual es un centro de alerta y reacción frente a los ataques informáticos,
destinados a las empresas o administradores, pero generalmente estas informaciones son accesibles a todo el mundo.
TECNOLOGIAS DE ENCRIPTACION
El encriptamiento es usado para asegurar la seguridad en los sistemas distribuidos. El esquema más apropiado es que cuando 2 entidades se quieren comunicar establecen una clave de comunicación para ayudar a una autentificación del servidor. Esto es importante para notar que la clave de conversación es determinada para la autentificación del servidor, pero nunca es enviada en modo texto de una a otra entidad.
Un texto es un mensaje entendible que será convertido a un formato no intelegible. Un ciphertext es un mensaje que fue encriptado.
El encriptamiento es el proceso de convertir un texto a un texto encriptado generalmente envuelve un conjunto de transformaciones que usa un conjunto de algoritmos y un conjunto de parámetros de entrada.
El desencriptamiento es el proceso de convertir un texto cifrado a un texto normal, esto requiere un conjunto de algoritmos y un conjunto de parámetros de entrada. Generalmente la encripción y la desencripción requieren de un parámetro clave el cual es secreto y absolutamente escencial para el funcionamiento del proceso.
El encriptamiento es una forma efectiva de disminuir los riesgos en el uso de tecnología. Implica la codificación de información que puede ser transmitida vía una red de cómputo o un disco para que solo el emisor y el receptor la puedan leer.
En teoría, cualquier tipo de información computarizada puede ser encriptada. En la práctica, se le utiliza con mayor frecuencia cuando la información se transmite por correo electrónico o internet.
La información es encriptada por el emisor utilizando un programa para "confundir o entremezclar" la información utilizando un código "asegurado". El receptor descifra la información utilizando un código análogo exclusivo. Cualquier persona que intercepte el mensaje verá simplemente información entremezclada que no tendrá ningún sentido sin el código o llave necesaria.
Existen distintos tipos de encriptamiento y distintos niveles de complejidad para hacerlo. Como con cualquier código, los de encriptamiento pueden ser rotos si se cuenta con tiempo y recursos suficientes. Los altamente sofisticados niveles de encriptamiento con que se cuenta hoy en día hacen muy difícil descifrar la información encriptada.
Una forma muy común de encriptamiento son los sistemas criptográficos de llave pública-llave abierta. Este sistema utiliza dos llaves diferentes para cerrar y abrir los archivos y mensajes. Las dos llaves están matemáticamente ligadas. Una persona puede distribuir su lleve pública a otros usuarios y utilizada para enviarle mensajes encriptados. La persona guarda en secreto la llave privada y la utiliza para decodificar los mensajes que le han enviado con la llave pública.
Otro elemento del encriptamiento es la autentificación-el proceso de verificar que un archivo o mensaje no ha sido alterado a lo largo del trayecto entre el emisor y el receptor.
El encriptamiento de la información tiene distintos usos para propósitos electorales. Cuando se envía información sensible a través de una red pública, es recomendable encriptarla: Esto es particularmente importante cuando se envía información personal o sobre la votación a través de una red, en especial por internet o correo electrónico.
La tecnología para el encriptamiento está en constante evolución. Si se está considerando alguna de ella es recomendable consultar a un experto para asegurar que se está utilizando la más reciente.
VALIDACION DE FIRMAS DIGITAL
La firma digital es definida por los organismos de regulación como una herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los documentos en papel.irmante y la integridad del mensaje.
También se debe tener en cuenta los aspectos legales de los documentos. Mediante la firma digital actualmente regulada por leyes que abalan su legalidad, tal como la firma convencional, se transforma en un elemento indispensable para que documentos como la historia clínica computarizada, informes de estudios complementarios, indicaciones médicas y otros tengan valides legal.
Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna.
También es frecuente conectar al cortafuego una tercera red, llamada zona desmilitarizada o DMZ, en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior.
TIPOS DE FIREWALL
· CORTAFUEGOS DE CAPA DE RED O DE FILTRADO DE PAQUETES
Funciona a nivel de red (nivel 3) de la pila de protocolos (TCP/IP) como filtro de paquetes IP. A este nivel se pueden realizar filtros según los distintos campos de los paquetes IP: dirección IP origen, dirección IP destino. A menudo en este tipo de cortafuegos se permiten filtrados según campos de nivel de transporte (nivel 4) como el puerto origen y destino, o a nivel de enlace de datos (nivel 2) como la dirección MAC.
· CORTAFUEGOS DE CAPA DE APLICACIÓN
Trabaja en el nivel de aplicación (nivel 7) de manera que los filtrados se pueden adaptar a características propias de los protocolos de este nivel. Por ejemplo, si se trata de tráfico HTTP se pueden realizar filtrados según la URL a la que se está intentando acceder. Un cortafuegos a nivel 7 de tráfico HTTP es normalmente denominado Proxy y permite que los computadores de una organización entren a internet de una forma controlada.
· CORTAFUEGOS PERSONAL
Protege de intrusiones. El acceso a ciertos segmentos de la red de una organización, sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet.
Protección de información privada. Permite definir distintos niveles de acceso a la información de manera que en una organización cada grupo de usuarios definido tendrá acceso sólo a los servicios y la información que le son estrictamente necesarios.
Optimización de acceso.- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad.
VPN
Es una red privada que se extiende, mediante un proceso de encapsulamiento y en su caso de encriptación, de los paquetes de datos a distintos puntos remotos mediante el uso infrestructuras publicas de transporte.
TIPOS DE VPN
VPN de acceso remoto
Este es quiza el modelo mas usado actualmente y consiste en usuarios o proveedores que se conectan a la empresa desde sitios remotos(oficinas comerciales,domicilios,hoteles,etc.) utilizando internet como vinculo de acceso.
VPN punto a punto
Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización.que posee un vinculo permanente a Internet, acdepta las via Internet provenientes de los sitios y establece el tunel.
VPN interna VLAN
Este esquema es el menos difundido pero uno de los mas poderosos para utilizar dentro de la empresa. Es una variante del tipo acceso remoto pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local.
PROTOCOLO DE SEGURIDAD
El protocolo SNMP proporciona mecanismos para el acceso a un almacén de información jerárquica compuesta por un conjunto de variables. Se distinguen dos tipos distintos de acceso a dicha información: un acceso para lectura que permite consultar los valores asociados a cada una de las variables y un acceso para escritura que permite modificar dichos valores.
Los mensajes de la primera versión del protocolo incluyen una cadena de caracteres denominada nombre de comunidad que se utiliza como un sencillo mecanismo de control de acceso a la información. Los agentes que implementan dicha versión del protocolo disponen generalmente de dos comunidades, o conjuntos de variables (no necesariamente disjuntos), identificadas por un nombre de comunidad configurable por el administrador del sistema. Una de dichas comunidades recibe el nombre de comunidad pública, y sus variables pueden ser accedidas sólo para lectura. Por el contrario los valores asociados a las variables que componen la otra comunidad, denominada comunidad privada, pueden ser modificados.
Toda la seguridad proporcionada por el sistema se basa en el hecho de que es necesario conocer el nombre asignado a una comunidad para conseguir el acceso a la información proporcionada por sus variables. El nivel de protección ofrecido por la versión original del protocolo es, por tanto, muy débil. Más aún si se tiene en cuenta que los nombres de comunidad incluidos en los mensajes del protocolo SNMP viajan por la red en texto plano y por consiguiente pueden ser obtenidos como resultado de ataques pasivos (escuchas malintencionadas).
Además, y sobre todo en el caso de la comunidad pública, está muy extendido el uso del nombre de comunidad configurado por defecto (public) por lo que un usuario ajeno al sistema puede obtener gran cantidad de información acerca del mismo utilizando el protocolo SNMP.
Con el fin de aumentar la seguridad del protocolo es necesario realizar cambios en su modelo administrativo para introducir los conceptos de autentificación, integridad y privacidad así como para mejorar el control de acceso a la información.
En primer lugar se identifican las posibles amenazas a las que dicho protocolo se encuentra sometido. Las más importantes son las siguientes: modificación de los mensajes en tránsito o de su orden, suplantación y ataques pasivos (escuchas). En el caso concreto del protocolo SNMP no se consideran relevantes las amenazas de los tipos negación de servicio y análisis de tráfico.
Una versión segura del protocolo debería impedir en la medida de lo posible ataques de los tipos mencionados. El apartado siguiente describe la evolución que ha sufrido el protocolo a través de sus distintas versiones así como las principales mejoras aportadas por cada una de dichas versiones en relación a la seguridad.
APUNTES
LAS GRANDES VENTAJS DE LA BANDA ANCHA
Acceso de alta velocidad: esto significa que los piratas pueden trabajar mas cómodamente con su computadora.
Siembre conectado: esto hace del pirata pude hacer lo que quiero con su computadora a la hora que quiera.
Numero ip fijo: esto lo facilita el trabajo a los piratas ya que una ves descubierto el camino puede acceder repetitivamente sin problemas.
NOTA: El hecho que los accesos telefónicos sean más incómodos de piratear no quiere decir que estén libres de todo mal, tienen menos riesgo.
¿CUAL ES EL VALOR DE NUESTRO ORDENADOR?
Cuando la computadora esta nueva depende de la marca ya sea ensamblada o de algun fabrican tiene diferentes tipos de valor desde que se empieza a utilizar hasta la información importancia que tenga para su usuario de prescindir del equipo, de las aplicaciones que se tenga instaladas o de la información que contiene. Tambien se puede hablar de los perjuicios que pude causar el hecho que la información que contiene caiga en manos equivocadas por lo tanto podíamos decir que el valor de una computadora depende de los siguientes parámetros.
1. Perdida de datos: es la perdida de la información que contiene el equipo, imaginemos que se pierde esa información, puede que se tenga una copia de seguridad, pero es posible que no este actualizada, también se pude perder como por ejemplo la lista de clientes si usted es vendedor, alguna tesis en la cual tiene trabajando varios meses o las fotos de sus vacaciones.
¿QUE ES UN FIREWALL?
Un firewall o cortafuegos o también llamado muro de fuego es un dispositivo de software y hardware que filtra todo el trafico que nuestra computadora o red de computadoras se intercambia con Internet o con la red local a la de se esta conectado.
Originalmente la palabra firewall hace referencia a un sistema de protección contra incendios que se utiliza en edificios tanto con el monte. El sistema consiste en crear una para qué puede ser una pared o puerta en caso de tener problemas en el edificio. El cortafuegos impide que el fuego se expanda por toda el monte. Este mismo idea es la que esta detrás de un firewall o cortafuegos informáticos impedir que los piratas informáticos se expanda a nuestros ordenadores o red de computadores.
La diferencia entre un corta fuegos tradicional y cortafuego informáticos es que mientras los primeros dos protegen de una amenaza que no acomfiado el fuego los segundos tienen que defendernos de varias amenazas (gusanos, ataques de negación de servicios, buscadores de puertas etc.),que además, están continuamente evolucionando para encontrar nuestras debilidades.
TAREAS
INGENIERIA SOCIAL
Acción de engañar a un usuario para que sea el obtener información secreta de un usuario legal, para utilizarla a su beneficio, esto los hacer por medio del Internet o vía telefónica.
¿QUE QUIERE UN PIARATA INFORMATICO DE NOSOTROS?
2.-Conseguir los números de cuentas bancarias y tarjetas.
3.-En contar con sus claves personales (bancos, empresas de servicios etc.
4.-Obtener una copia de la declaración fiscal.
5.-Obtener una lista de los correos electrónicos.
6.-Lanzar ataque a terceros desde tu computadora.
7.-conseguir cualquier información empresarial que pueda ser utili para sus competidores.
8.-Hacer bromas pesadas.
9.-utilizar su disco duro como disco virtual.
10.-Utilizar sus recursos para hacer un mejor uso de los programas peer to peer.
11.-sencillamente para hacer daño por el simple placer de hacerlo.
¿QUIEN SE DEDICA ALA PIRATERIA INFORMATICA?
HACKER
Experto informático especialista en entrar en sistemas ajenos sin permiso, generalmente para mostrar la baja segucridad de los mismos o simplemente para demostrar que es capaz de hacerlo.
CRACKER
Es alguien viola la seguridad de un sistema informático de forma similar el como lo haría un hacker, solo que a diferencia de este ultimo, cracker realiza las instrucciones con fines de beneficio o para hacer daño.
SAMURAI
Es un hacker que crackea amparado por la ley y la razón, normalmente es alguien contratado para investigar fallos de seguridad, que investiga casos de derechos de privacidad. Los samuráis diseñan el los cracker y a todo tipo de vándalos electrónicos.
PHREAKER
Es una persona con amplios conocimientos de telefonía puede llegar a realizar actividades no autorizadas en los teléfonos, por lo general celulares.
FIREWALL
Es un elemento de hardware y software utilizado en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de red.
TIPOS DE FIREWALL
Firewall de software: este es un programa especial que se instala en el ordenador que se pretende proteger. Estos firewall suele ser los mas económicos.
Firewall de hardware: es un aparato independiente, que hace la función de firewall. Este equipo suele tener integrado un software gracias al cual se pueden configurar las funciones de firewall.
La ventaja de este es que solamente se nenecita enchufarlo. No requiere instalar ningún software ni depende de ningún sistema operativo.
Firewall integrados: se utilizan cuando existen interconexiones de redes. Los equipos utilizados para dicho interconexión pueden integrar la función de firewall, también se dice que es la combinación del firewall de software y hardware.
DIFERENCIA ENTRE FIREWALL PESONAL Y COORPORATIVO
El firewall personal es utilizado para proteger una sola computadora y el corporativo protege mas de mil computadoras, además el costo del personal es muy económico a direfencia del corporativo.
¿QUE ES HAMACHI?
Es un software que es utilizado para compartir archivo, además también es utilizado para hacer vpn.
¿QUE ES ESTEGANOGRAFIA?
Es una rama de la criptografía sobre la ocultación de mensajes, para evitar que se perciba la existencia del mismo.
DIREFENCIA ENTRE CRIPTOGRAFIA Y ESTEGANOGRAFIA
En la criptologia la existencia del mensaje es clara, pero el contenido del mensaje esta oculto. En cambio en la esteganografia se escribe mensajes secretos de tal forma que nadie fuera de quien lo envía y quien lo recibe sabe de su existencia.
UNIDAD III
DISEÑO E IMPLANTACION DE REDES
RED CONVERGENTE
Una red convergente no es únicamente una red capaz de transmitir datos y voz sino un entorno en el que además existen servicios avanzados que integran estas capacidades, reforzando la utilidad de los mismos.
A través de la convergencia, una compañía puede reinventar tanto sus redes de comunicaciones como toda su organización. Una red convergente apoya aplicaciones vitales para estructurar el negocio -Telefonía IP, videoconferencia en colaboración y Administración de Relaciones con el Cliente (CRM) que contribuyen a que la empresa sea más eficiente, efectiva y ágil con sus clientes
EL IMPACTO DE LAS EN LOS NEGOCIOS
Las empresas descubren que los beneficios de la convergencia afectan directamente los ingresos netos:
Las soluciones convergentes nos hacen más productivos, pues simplifican el usar aplicaciones y compartir información.
Tener una red para la administración significa que el ancho de banda será usado lo más eficientemente posible, a la vez que permite otras eficiencias y ahorros de costos: en personal, mantenimiento, cargos de interconexión, activaciones, mudanzas y cambios.
Los costos más bajos de la red, productividad mejorada, mejor retención de clientes, menor tiempo para llegar al mercado-son los beneficios netos que posibilitan las soluciones de redes convergentes.
Reducción de costos de personal para la administración de red y mantenimiento.
CASO DE ESTUDIO DE REDES EN LOS NEGOCIOS
El problema
Una excelente ubicación, habitaciones excepcionalmente espaciosas y la atención calurosa y personalizada, la marca de los argentinos, hacen del Hotel Crillón el lugar ideal para los viajeros de negocios y de placer. No obstante, para apegarse a su misión de asegurar que sus huéspedes disfruten de comodidades de primera clase y el más alto nivel de confort, el Hotel Crillón necesitaba proveer la más nueva y avanzada conexión de acceso a Internet, en particular para sus huéspedes de negocios más frecuentes. También, más del 60% del personal del hotel circula por el edificio de seis pisos sin una oficina estacionaria, abriéndole las puertas a la oportunidad de implementar nuevas tecnologías que harán que el proceso administrativo y de atención al cliente sea más ágil y eficiente.
El Hotel Crillón quería una solución simple y eficiente en el manejo de los costos, que optimizara su infraestructura tecnológica sin tener que experimentar largas renovaciones u ocasionar molestias a sus huéspedes.
La solución
El Hotel Crillón implementó soluciones inalámbricas 3Com® para crear una red que permita que el personal y administración del hotel trabajen más eficientemente, proporcione una conexión móvil de Internet a sus huéspedes y reduzca considerablemente los costos y el tiempo de instalación:
Los 3Com 11 Mbps Wireless LAN Access Points son puntos de acceso que proveen conexiones inalámbricas Ethernet de hasta 11 megabits por segundo (Mbps). Se instalaron estratégicamente cuatro puntos de acceso en todo el hotel para proveer máxima cobertura a los huéspedes.Las 3Com 11 Mbps Wireless LAN PC Cards conectan las computadoras portátiles de los huéspedes a la red de área local (LAN) de 3Com. Los viajeros de negocios tienen acceso a una de 20 tarjetas inalámbricas, en cualquier momento durante la implementación inicial del sistema.
El puente 3Com Wireless Ethernet Client Bridge es un producto Wi-Fi certificado sin necesidad de configuración, que conecta a cualquier aparato habilitado por Ethernet a la red pública de acceso inalámbrico. Los huéspedes que deseen simplemente conectarse a la red del hotel con un cable Ethernet, tendrán acceso a cinco Ethernet Client Bridges en todo el hotel.
Los beneficios
Durante los últimos cinco años, el Hotel Crillón ha adoptado varias mejoras, incluyendo un sistema central de comunicaciones de voz, un sistema unificado de administración, un centro avanzado de negocios, teléfonos celulares en cada habitación, y acceso gratuito al Internet para brindarle mayor confort a sus huéspedes de negocios.
Además de su servicio de clase mundial, el Hotel Crillón implementó la solución inalámbrica de 3Com para permitir que los huéspedes del hotel conecten sus computadoras portátiles al Internet o a la red de su compañía sin ninguna configuración adicional. Usando la conectividad inalámbrica combinada con el programa de administración del hotel, el personal tiene acceso a información en tiempo real, permitiéndole atender mejor a las necesidades de sus huéspedes.
"Elegimos la solución inalámbrica de 3Com para proveer tecnología innovadora y de alta calidad a nuestros huéspedes que viajan por negocios y a nuestro personal. El valor agregado de 3Com nos proporciona cobertura ancha con poca cantidad de equipos", dijo el Dr. Juan Amil, presidente del Hotel Crillón.Cuatro puntos de acceso de LAN inalámbrica, cada uno de ellos brindando soporte hasta a 63 usuarios simultáneos dentro de un campo de alcance de 100 metros (330 pies), permiten que los huéspedes disfruten cómodamente de la conveniencia y libertad de usar su propia computadora portátil para estar en línea. La solución inalámbrica del Hotel Crillón incluye 20 PC cards de LAN inalámbrica que proveen una computación verdaderamente móvil. Además, el Hotel Crillón implementó cinco Ethernet Client Bridges que habilitan el "acceso de prisa" (on-the-go access) al Internet y redes corporativas. para cualquier computadora portátil equipada con las capacidades básicas de Ethernet.
Los puntos de acceso, los cuales se conectan a la LAN por cable del hotel, trabajan con las PC cards y puentes de LAN inalámbrica para proveer acceso inalámbrico simple y seguro a los recursos en red. Los huéspedes pueden crear redes virtuales entre dos ejecutivos o más hospedados en el hotel, entrar en una videoconferencia o adquirir acceso a los servicios del hotel (tales como servicio en la habitación y servicio de despertador) desde dentro o fuera del hotel.
Con el 60% del personal del hotel circulando por el edificio, la red inalámbrica 3Com conecta a las computadoras portátiles y dispositivos de mano, proveyendo información en tiempo real para fines de contabilidad y administración (Ej. consumo del minibar), incrementando así la productividad de los empleados y acelerando eficazmente el proceso de facturación.
Para implementar la solución de conectividad inalámbrica, 3Com le proporcionó al hotel una solución clave que incluye una inspección del sitio, configuración e instalación de equipos, y diseño de los portales de servicio: Todo a un precio modesto comparado con los beneficios que obtendrá al ofrecer a sus clientes estos servicios de valor agregado.
La solución clave de 3Com, incluyendo su combinación de capacidad, seguridad y precio, lo diferencia de la competencia. La solución inalámbrica no sólo empezó a funcionar casi de inmediato, sino que además evitó que el Hotel Crillón sufriera cambios arquitectónicos grandes.
Hoy en día, después de haber implementado la solución de conectividad inalámbrica de 3Com, el Hotel Crillón puede garantizar acceso rápido de red y el servicio de primera clase que los viajeros de negocios aprecian y exigen, haciendo que el hotel sea la opción preferida de los ejecutivos de negocios cuando visitan Buenos Aires.
Capitulo 16
INTALACION Y CONFIGURACIÓN DE WINDOWS 2000 SERVER
En este capitulo, usted aprendera como instalar Windows 2000 Server. Sin embargo, ami de instalarlo, debera realizar diversas preverificaciones que preparan el sistema para proceso. Enseguida, debera realizar la instalacion real, proporcionando la inforrnacii necesaria que necesite el programa. Por ultimo, debera probar la instalacion solicitando, una computadora cliente acceda al servidor correctamente y lleve a cabo algunas tareas basic en la red.
PISTA Este capitulo y los dos siguientes ofrecen una introduction general a Windows 2000 Server, no se describiran ciertos escenarios y tecnicas avanzadas de la instalacion. Para aprender acerca de otro opciones y caracteristicas disponibles cuando se instale, administre y utilice Windows 2000 Server, consiiil un libro dedicado a este tema, como Windows 2000: The Complete Reference, de Kathy Ivens y Kertol Gardinier (McGraw-Hill/Osborne, 2000).
LAS VERSIONES DE WINDOWS 2000
Windows 2000 es una familia completa de productos, todos construidos, en esencia, con el ml mo codigo de programacion, pero con diferencias significativas en cuanto a sus caracteristicas1 puesta en marcba. Windows 2000 es una mejora de la linea de productos Windows NT, la ca termino con Windows NT 4.
La version de escritorio de la familia de productos se llama Windows 2000 Professional, señada para correr en computadoras de escritorio en negocios y no es una mejora de Windoij 9x/ Windows ME. Windows 2000 Professional tiene las caracteristicas siguientes: I
▼ Corre en sistemas que cuenten con un minimo de 64 MB de RAM. (Microsoft asegC
que Windows 2000 Professional corre mas rapido que Windows 9x/ME en sisten con 64 MB de RAM, una afirmacion muy impresionante que debera comprobar poj mismo).
■ Soporta hasta 4 GB de RAM fisica.
■ Soporta uno o dos procesadores.
■ Trabaja con Windows 2000 Server para aprovechar las facilidades de Active Directo Intellimirror.
■ Proporciona soporte a dispositivos "conectese y ya" (PnP, de plug and play). (Wind NT, en realidad, no ofrecia soporte para PnP).
■ Incluye todas las facilidades de Windows NT, dentro de las que se encuentran un I ma operativo preferente, protegido y de multiproceso.
▲ Soporta totalmente facilidades de computacion movil, lo cual incluye la admirustr de la energia.
La edicion estandar de Windows 2000 Server es la version de servidor principal de W ws 2000. Incluye todo el poder de directorio activo (Active Directory), asi como las facili siguientes:
Nuevas herramientas de administracion (comparadas con las que proporciona Windows NT) basadas en la Consola de Administracion de Microsoft (MMC).
■ Servicios de terminal de Windows, que le permiten almacenar aplicaciones graficas, de forma muy parecida a las aplicaciones hosts de una computadora grande para terminates tontas.
■ Servicios de Internet y de la web (DHCP, DNS, servidor de informacion de Internet y servidor indice).
■ Servicios RAS y VPN.
■ Servicios de transacciones y mensajeria.
■ Soporte de hasta cuatro procesadores.
▲ Soporte de las versiones mas recientes de los protocolos estandar de red.
El Servidor Avanzado de Windows 2000 es la oferta de medio alcance de la linea de pro-ductos de Windows 2000 Server, que mejora las facilidades de este pues agrega las siguientes caracteristicas:
Proporciona soporte de hasta 8 GB de RAM instalada.
■ Balancea la carga de la red. (Por ejemplo, Advanced Server puede compartir una carga significativa de trafico TCP/IP entre un gran numero de servidores y balancear sus cargas).
■ Agrupamiento de Windows 2000.
■ Proporciona soporte de hasta 8 procesadores.
▲ Proporciona soporte para 2 nodos.
La version mas poderosa de Windows 2000 Server es la Datacenter Server, la cual es litil cuando es necesario almacenar grandes bases de datos para miles de usuarios o cuando a Windows 2000 Server se le presenta otro tipo de demandas extremadamente pesadas. El Datacenter Server incluye todas las facilidades de otras versiones de Windows 2000 Server, mas lo siguiente:
T Proporciona soporte de hasta 64 GB de RAM instalada.
■ Proporciona soporte hasta para 32 procesadores. A Proporciona soporte para grupos de 4 nodos.
PREPARACION DE LA INSTALACION
Antes de instalar Windows 2000 Server, usted debe preparar la computadora que se utilizara como servidor y tomar decisiones importantes acerca de la instalacion. Esta etapa de preparacion ansta de un gran numero de tareas, incluyendo las siguientes:
Asegurarse de que el hardware del servidor esta certificado para su uso con Window 2000 Server.
■ Verificar que el servidor se encuentre configurado apropiadamente para soportar Windows 2000 Server.
■ llevar a cabo las pruebas de preinstalacion necesarias en el hardware del servidor.
■ Analizar el hardware antes de llevar a cabo la instalacion.
■ Decidir como va a instalar Windows 2000 Server, despues de reunir toda la informacion acerca de la configuracion que usted necesitara durante la instalacion.
Respaldar el sistema antes de llevar a cabo una actualizacion.
Estas tareas se analizaran en las secciones siguientes.
Verificacion de la compatibilidad del hardware
Microsoft mantiene una extensa lista de compatibilidad del hardware (HCL) que muestra los diferentes componentes del hardware y su estatus de prueba sobre varios productos Microsoft, como Windows 2000 Server. Para evitar problemas con su servidor, es importante que se asegure de que este y cualquier otro periferico instalado hayan sido probados con Windows 2000 Server y que trabajen correctamente. La ultima version del HCL puede encontrarse en http://www.mkro-soft.com/hcl. Tambien podra encontrar una copia basada en texto acerca del CD-ROM Windows 2000 Server. Sin embargo, es preferible utilizar el web HCL, ya que este podra tener informacion mas actual que el archivo incluido en la instalacion del CD-ROM.
NOTA Si un componente de hardware de su servidor no se encuentra en la HCL, no esta todo perdido. Por alguna razon, la HCL puede no tener la informacion mas actual y el hardware que usted desea utilizar puede estar certificado, pero no incluido en la lista todavia. Es mejor verificar con el fabricante del hardware, ya que esa compania debe conocer el estado actual de su certificacion. Asimismo, los productos que no aparecen en la HCL podrian funcionar bien con Windows 2000. Si usted utiliza un servidor para fines de prueba o para soportar servicios limitados y esta a gusto con el, puede proceder a instalar Windows 2000 Server y comenzar a trabajar. Sin embargo, no debera hacer lo anterior en servidores de production de los que dependan muchas personas. No solo una incompatibilidad pasada por alto puede causar serios problemas con un servidor no certificado, sino que usted no podra obtener el nivel mas alto de soporte de Microsoft para el hardware que no esta certificado todavia. Por esta razon, debe evitar la utilization de servidores que todavia no esten certificados por Microsoft.
Verificacion de la configuracion del hardware
La compra de una computadora para su uso como servidor puede convertirse en una dificil tarea. Usted tendra que lidiar con una gran cantidad de detalles relacionados con la RAM que desea instalar, la configuracion del procesador, la configuracion del disco y otras cuestiones por el esti-lo, asi como ponderar la necesidad de realizar una configuracion razonable del servidor.
NOTA El capitulo 13 contiene informacion acerca de las diferentes tecnologias de servidores y la especificacion de un servidor de proposito general.
Windows 2000 Server requiere de configuracion de hardware minima siguiente: Un procesador clase Pentium a 133 MHz o mayor.
■ 256 MB de RAM.
■ Aproximadamente 1 GB de espacio libre en disco para Uevar a cabo la instalacion.
▲ Un CD-ROM o conexion de red desde la cual se pueda instalar Windows 2000 Server. Si usted utiliza un drive de CD-ROM, Microsoft recomienda uno que funcione a una velocidad de 12x o mas rapido.
Los requisitos anteriores son los minimos especificados por Microsoft. Usted debera considerar utilizar hardware mas poderoso del especificado, particularmente para cualquier tipo de servidor (incluso uno que soporte algunos usuarios solamente).
En lugar de lo anterior, siga el siguiente consejo cuando configure un servidor para Windows 2000:
Comience con al menos un solo procesador Pentium rv rapido que corra a 1000 MHz o mas. Los procesadores Pentium 4 Xeon son muy utiles en un servidor y debera considerar el precio de esos sistemas en relacion con la mejora esperada en cuanto al desempeño. (Si todo lo demas permanece igual, un procesador de la familia Pentium 4 Xeon se desempenara aproximadamente de 15 a 20% mas rapido que un procesador equivalente Pentium 4). Asimismo, considere utilizar un sistema que tenga dos o mas procesadores o la facilidad de agregar mas despues si sus necesidades son mayores de las que esperaba.
■ Windows 2000 Server corre mejor en sistemas que tengan una gran capacidad de RAM. En el caso de un servidor, asegurese de que cuenta al menos con 384 MB de RAM. Si planea proporcionar soporte a los diferentes servicios disponibles en Windows 2000 Server (como Servicios de Terminal, RAS, DHCP, DNS, etc.), entonces 512 MB de RAM podra ser una mejor opcion que 384. Un gigabyte de RAM es una cantidad razonable, en particular, en servidores que trabajen con una gran carga de trafico. (No olvide que usted puede comenzar con 384 MB e instalar m^s si fuera necesario y posiblemente a un menor precio que cuando compro el servidor). No intente correr Windows 2000 Server en un sistema con menos de 256 MB.
■ Es importante contar con un subsistema de disco basado en SCSI rapido, en particular, en servidores que van a almacenar una gran cantidad de datos. Consulte el capitulo 13 para obtener mas informaci6n acerca de la selection de sistemas SCSI cuando se utili-zan diferentes niveles de RAID y otra information importante del disco.
▲ Windows 2000 Server requiere una gran cantidad de espacio en disco para su configuracion especial. La formula para determinar la cantidad de espacio en disco es de 850 MB + (RAM en MB x2). En otras palabras, usted necesita 850 MB, mas otros 2 MB de espacio en disco por cada megabyte de RAM instalado en el servidor, que es la cantidad minima que se requiere para la instalacion. Para instalar el servidor en un sistema que utilice discos formateados FAT 32 (tabla de localization de archivos) se necesitan 150 MB adicionales mast) menos, ya que el FAT32 almacena archivos de una forma no tan eficiente como el NTFS. Instalar el Windows 2000 Server a partir de un punto de instalacion de red tambien requiere mas espacio en disco: calcule aproximadamente 150 Jvjg de espacio en disco adicional si instalara a partir de una conexion de red en vez de un CD-ROM.
Utilice la informacion del capftulo 13 que le pueda ayudar a dimensionar su servidor, pero recuerde esta regla: compre el servidor mas poderoso que pueda y asegurese de que tenga [a capacidad de expandirse, con el fin de poder satisfacer sus necesidades futuras, por medio de la adicion de mas memoria RAM, mas procesadores y mas espacio en disco. A pesar de tomaren cuenta todo lo anterior, es comun que los servidores tengan que ser reemplazados de tres a cuatro anos a partir de la fecha en la que se pusieron en servicio.
Prueba del hardware del servidor
Usted va encontro todo el hardware del ser\'idor en el HCL de Windows 2000 Server, va se aseguro de que su servidor se encuentra perfectamente dimensionado, ya lo compro y cuenta con sus CD-ROM flamantes con el nuevo Windows 2000 Server en el lugar, listos para ser instalados. Ya es hora de comenzar la instalacion? Bueno, no precisamente. Antes de que instale cualquier NOS, en particular en un servidor que se utilizara en produccion, asegvirese de que ha hecho prue-bas (conocida como la prueba de fuego) en el servidor antes de instalar Windows 2000 Server. El hardware de la computadora tiende a ser mas confiable despues de que ha funcionado por mucho tiempo. En otras palabras, las fallas tienden a presentarse cuando el equipo es nuevo, y la probabilidad de que una falla de hardware se presente disminuye rapidamente despues de que ha funcionado de 30 a 90 di'as. Debido a ello, es una buena idea poner a prueba los servidores nuevos por un periodo de una semana al menos (hacerlo por dos semanas es aun mejor) antes de proceder a instalar el NOS. Tomar esta precaucion puede ayudar a que se presente cualquier falla temprana en el equipo durante el tiempo en el que sea facil de reparar y no afecte a ningun usuario o a la red. Ademas, la mayor parte de los servidores manejan una polftica de 30 dias para cambio o devolucion por parte del fabricante, por lo que si encuentra problemas en el servidor, tendra la oportunidad de cambiar el sistema y quiza, comenzar con otro modelo.
Usted puede probar el hardware utilizando el software de diagnostico que viene con el servidor o con el que pone a su disposicion el fabricante del mismo. Gran parte del software de diagnostico le permite seleccionar que componentes del sistema se desean probar y probarlos en un loop sin fin, lo que hara aparecer cualquier error en un disco flexible o en la pantalla. Usted debera enfocar las pruebas en los componentes siguientes:
Procesador(es)
■ Componentes de la tarjeta del sistema (controles de interrupcion, controladores de ac-ceso directo a memoria [DMA], y otra circuiteria de soporte a la tarjeta madre)
■ RAM
▲ Superficies de los discos
PISTA A menudo, el software para la prueba de servidores le permite seleccionar si desea llevar a cabo una prueba destructiva o no destructiva de los discos. (Destructiva significa que cualquier dato que contengan los discos sera borradp durante la prueba). La prueba destructiva funciona mejor para descubrir errores en los discos. Esta es una razbn por la que usted querra llevar a cabo esta prueba antes de instalar el NOS.
Si el software de diagnostico le permite hacerlo, generalmente podra excluir, de manera gegura, componentes como el teclado o el monitor. Su preocupacion principal debera ser que la unidad continue trabajando de manera adecuada por periodos prolongados cuando este bajo carga.
Usted tambien debe asegurarse de que la RAM funcione correctamente y que durante la prueba no resulten danados ciertos sectores del disco. Tambien es una buena idea que encienda y apague la unidad varias veces, puesto que el efecto del encendido en la unidad a menudo puede provocar una falla de algun componente.
Reconocimiento del servidor antes de implantar una mejora en el sitio
La familia de productos Windows 2000 aprovecha el hardware PnP (conectese y utilicese), lo cual le permite detectar y, automaticamente, configurar cualquier dispositivo PnP para trabajar con Windows 2000 Server durante la instalacion. Sin embargo, PnP no es perfecto. Por alguna raz6n, usted podria tener componentes instalados que no sean dispositivos PnP, pero Windows 2000 sera capaz de configurar esos dispositivos. A veces, estos pueden entrar en conflicto con otros dispositivos o, por alguna razon, los controladores de un dispositivo especifico podrian no permitir la configuracion apropiada. Debido a estas imperfecciones, es importante analizar los componentes instalados en el servidor antes de instalar Windows 2000 Server como una actua-lizacion. En realidad, no es importante Uevar a cabo un analisis cuando se configure un nuevo servidor.
En el reconocimiento, tome nota de todos los dispositivos instalados, junto con los recursos que cada uno utiliza en el servidor. Los recursos incluyen el canal IRQ, el canal DMA y las di-recciones I/O de memoria que utiliza cada dispositivo. Despues, si un dispositivo no funciona correctamente despues de que usted haya instalado Windows 2000 Server, podra configurar el dispositivo en forma manual con parametros conocidos que si lo hagan.
NOTA Algunos servidores vienen con utilerias, como SmartStart de Compaq, las cuales manejan el servidor en un nivel de hardware y mantienen la information en un espacio aparte del NOS. Las utilerias del servidor, como las de Compaq, le facilitan todo cuando trate de reparar un problema de hardware.
Toma de decisiones en la etapa de preinstalacion
Despues de configurar, verificar, preparar y probar su hardware, usted podra comenzar la instalacion de Windows 2000 Server. Durante este proceso, invierta un poco de su tiempo en tomar algunas decisiones importantes en la preinstalacion que deberan estar preparadas para especificar durante la instalacion. Las secciones siguientes analizan estas opciones.
¿Actualizar o instalar?
Usted puede actualizar un servidor que corra con Windows NT Server 3.51 6 4.0 a Windows 2000 *l Server y conservar todos sus parametros existentes, cuentas de usuario, permisos de archivos y cosas por el estilo. Asimismo, puede llevar a cabo una instalacion completa que implique remover por completo cualquier NOS existente en el servidor. Usted debera llevar a cabo una instalacion completa en un nuevo servidor o en uno que corra cualquier NOS, que no sea Windows NT Server. Sin embargo, si utiliza una version actualizable de Windows NT Server, existen ventajas y desventajas de ambas opciones.
NOTA Si listed utiliza Windows NT Server 4 Enterprise Edition, solo puede actualizarla a Windows 20oo Advanced Server.
El principal beneficio de la actualizacidn es que se conservaran todos sus parametros existen-tes bajo Windows NT Server y automaticamonte se transferiran a su instalacidn do Windows 2000 Server. Entre estos parametros se encuentran detalles de conectividad de redes, eomo la informa-cion sob re la configuration de TCP/IP, asi como los parametros de seguridad que habra tenido que configurar tediosamente a traves del tiempo. En realidad, si el servidor pudiera actualizarse, serfa buena idea que planeara hacerlo, a menos que necesitara modificar algo de primordial im-portancia en el servidor, como cambiar de FAT a NTFS.
¿FAT 0 NTFS?
Windows 2000 Server soporta discos duros formateados ya sea utilizando la tabla de localization de archivos (FAT16 y FAT32) o el sistema de archivos NT (NTFS). El uso de NTFS en Windows 2000 genera algunas ventajas importantes y, en algunos casos, son necesarias. Usted quiza desee instalar Windows 2000 Server en un disco que utilice el sistema de archivos FAT solo cuando el sistema deba utilizarse en una configuracion de arranque dual, donde retiene la capacidad de arrancar otro sistema operativo, como el Windows 98. Sin embargo, aun en casos donde no necesite conservar la facilidad de doble arranque, usted estara mejor si conserva una particion FAT principal para el otro sistema operativo y configura una particion extendida con NTFS para almacenar el Windows 2000 Server. En dichos casos, Windows 2000 automaticamente instala el soporte al doble arranque que le permita seleccionar que sistema operativo debe utilizar cuando el sistema arranque.
PISTA Si instala Windows 2000 Server en un sistema que tenga una sola particion FAT y desea tener doble arranque con Windows 2000 Server con ese otro sistema operativo, pero desea establecer una nueva particion NTFS para Windows 2000 sin tener que destruir la particion FAT, puede utilizar VolumeManager, de Symantec (anteriormente PowerQuest, la cual tue comprada por Symantec) para hacerlo. VolumeManager le permite redimensionar una particion FAT existente sin tener que perder sus datos; ademas, soporta totalmente las particiones FAT y NTFS. Sin un producto como VolumeManager, tendria que respaldar la particion FAT, destruirla al repartir el disco duro y despues recuperar el otro sistema operativo (y todas las aplicaciones y archivos) a la particion FAT nueva, mas pequeña.
Se requiere el NTFS para cualquier Windows 2000 Servers que funcione como controladores de dominio y tambien es el unico sistema de archivos que le permite aprovechar totalmente las fa-cilidades de seguridad del Windows 2000. Ademas, el NTFS se encuentra optimizado para el buen funcionamiento del servidor y se desempena mejor que el FAT bajo casi cualquier circunstancia.
Controlador de dominio, servidor miembro o servidor independiente
Antes de contestar esta pregunta, necesita comprender dos conceptos importantes de las redes Windows 2000: dominios y grupos de trabajo. Un dominio es un complejo agrupamiento administrative de computadoras en una red Windows 2000 que permite administrar los recursos de la red desde un solo punto e implantar una seguridad muy solida. Los dominios le permiten administrar multiples servidores Windows 2000 o Windows NT de una manera mas facil. Un grupo de trabajo es una simple coleccion de computadoras integradas en una red y es apropiada solo en redes de igual a igual.
Usted puede configurar Windows 2000 Servers en uno de los tres siguientes modos que soportan tanto a dominios como a grupos de trabajo:
Los controladores de dominio almacenan la informacion del directorio activo del do-minio y autentifican a los usuarios y el acceso a los recursos. La mayoria de las redes Windows 2000 tienen al menos un dominio y, por tanto, necesitan al menos de un con-trolador de dominio.
■ Los servidores miembros son parte de un dominio, pero no conservan una copia de la informacion que contiene el directorio activo (Active Directory).
▲ Los servidores independientes no participan en un dominio, sino que lo hacen en un grupo de trabajo.
Antes de que apareciera Windows 2000, los servidores de Windows NT que eran controladores de dominio tenfan que ser designados como controladores de dominio principal (PDC) o controladores de dominio de respaldo (BDC). Windows 2000 con el directorio activo simplifica las cosas de forma que todos los controladores de dominio Windows 2000 son simplemente eso. Cada uno de ellos mantiene una copia de la informacion del directorio activo y puede llevar a cabo todas las funciones de los demas controladores de dominio. Anteriormente, el PDC lle-vaba a cabo todas las tareas administrativas, mientras que los BDC simplemente conservaban copias de solo lectura de la informacion del dominio, a fin de continuar autentificando la se-guridad de la red en caso de que el PDC fallara. Por otro lado, Windows 2000 Server utiliza el concepto de controladores de dominio multimdster, que operan de la misma forma que los demas controladores.
PISTA Excepto en la redes mas pequefias, es una buena idea contar con dos controladores de dominio. De esta manera, toda la informaci6n de su dominio se conserva y esta disponible en la red en caso de que falle uno de los controladores. La informacion del dominio se sincroniza automaticamente entre los controladores de dominio disponibles.
¿Por sitio o por servidor?
Otra decision importante que se debe tomar cuando se instala el Windows 2000 Server es como administrara el servidor sus licencias de acceso al cliente (CAL). Windows 2000 Server soporta dos formas diferentes de administrar CAL: por servidor o por sitio. Las licencias por servidor asignan las CAL al servidor, el cual permitira solo tantas conexiones desde las computado-ras como CAL haya instaladas en ese servidor. Las licencias por sitio requieren la compra de una CAL por cada una de las computadoras cliente, la cual les da el derecho de acceder a tantos servidores Windows 2000 como deseen; los servidores no supervisaran el numero de conexiones. En general, Microsoft recomienda que utilice licencias por servidor cuando tenga un solo servidor y licencias por sitio cuando corra en multiples servidores. Si usted no esti seguro que modo utilizar, Microsoft recomienda que seleccione por servidor ya que Microsoft le permite cambiar al modo por sitio una sola vez sin costo (mientras que el cambio de sitio por servidor tiene un precio). Revise cuidadosamente las opciones de licencia con su distribuidor Windows 2000 para determinar la forma mas economica de adquirir licencias para los servidores de su red.
jEspere! jRespalde antes de actualizar!
Si usted esta instalando Windows 2000 Server como una actualizacion de otro NOS, como el Windows NT Server, es muy importante que respalde el servidor antes de instalar Windows 2000 Server. (Es una buena idea hacer dos respaldos identicos, por si acaso). Usted debe utilizar cualquier software de respaldo que normalmente use para su NOS existente, asegurandose de que el software pueda restablecer adecuadamente el NOS anterior en caso de que necesite "re-gresar" el proceso de actualizacion e ir al pun to donde comenzo el proceso. Incluso cuando lleve a cabo una actualizacion a Windows NT y no este reformateando alguno de ios discos, es bueno hacer un respaldo de la preinstalacion en caso de que se presenten problemas.
INSTALACION DEL WINDOWS 2000 SERVER
Existen muchas formas de comenzar la instalacion de Windows 2000 Server. Usted puede:
T Configurar la computadora del servidor para iniciar desde el CD-ROM Windows 2000 Server.
■ Comenzar la instalacion al mismo tiempo que corre el Windows NT Server.
■ Comenzar la instalacion al mismo tiempo que se encuentra corriendo el Windows 95 6 98.
■ Preparar disquetes de arranque y utilizarlos para comenzar el proceso de instalacion.
▼ Instalar desde un punto de instalacion de la red que haya sido configurado previamente.
En realidad, cuando configure un servidor nuevo, usted tiene solo dos opciones para comenzar la instalacion: arranque desde el CD-ROM Windows 2000 Server o prepare disquetes de arranque. La mayoria de los servidores pueden arrancar desde sus controladores de CD-ROM, la cual es la mejor forma de llevar a cabo la instalacion. Si, en lugar de eso, necesita preparar disco de arranque, puede hacerlo corriendo el programa MAKEBOOT.EXE que se encuentra en el CD-ROM Windows 2000 Server. La instalacion de ejemplo de este capitulo supone que usted arrancara el proceso de instalacion desde el CD-ROM Windows 2000 Server.
Ejecucion del programa de instalacion de Windows 2000 Server
Las secciones siguientes describen el proceso de correr el programa de instalacion de Windows 2000 Server y su instalacion en el servidor. Si usted quiere aprender acerca de Windows 2000 Server y tiene una computadora apropiada que pueda utilizar, debera tomarse un tiempo para instalar Windows 2000 Server, a fin de que conozca como trabaja el proceso. O, si asi lo desea, puede leer las descripcio-nes siguientes a fin de que se familiarice con el proceso de instalacion. (En realidad, yo recomiendo hacer una instalacion como la que se describe aqui y, despues, "jugar con" el servidor resultante como una forma de aprender mas rapida y completamente acerca de Windows 2000 Server).
Cuando usted arranque desde el CD-ROM del Windows 2000 Server, en primer lugar el programa le presentara una pantalla basada en texto que lo llevara por medio de las primeras opciones de instalacion que tendj-a que hacer. Presione ENTRAR a fin de confirmar que desea instalar el Windows 2000 Server, o presione la tecla F3 para salir del programa de instalacion.
Luego, el programa lo invita a seleccionar si desea instalar el Windows 2000 Server o reparar r una instalacion existente. Usted tiene que presionar ENTRAR para seleccionar la instalacion del Windows 2000 Server.
A continuation, el programa le pregunta si esta de acuerdo con el contrato de licencia de Windows 2000 Server. Presione F8 para contestar afirmativamente y proceda.
La pantalla siguiente comienza con lo mas interesante del proceso de instalacion. Usted vera una pantalla que enumera todas las particiones de disco disponibles a partir de las que puede instalar Windows 2000 Server. En este punto puede llevar a cabo las acciones siguientes:
Utilice las teclas con flechas y presione ENTRAR para seleccionar una particion de disco existente.
■ Presione la letra C del teclado para crear una nueva particion en el disco a partir de un disco no particionado. (Una nueva instalacion de un servidor, en general, requiere que usted cree una particion).
▲ Presione la letra D en el teclado para eliminar una particion existente (usted debera hacer esto solamente cuando quite todos los vestigios de un sistema operativo previo, despues de lo cual podra crear la instalacion de la particion que usted necesite).
Cuando usted presione la letra C para crear una particion, el programa le pregunta sobre el tamano de la particion que desea crear. Por omision, el programa ofrece la particion de tamano maximo. Para aceptar esta opcion, simplemente presione ENTRAR, en cuyo punto el programa crea una nueva particion. Despues, regresa a la pantalla que presenta todas las particiones y el programa despliega la nueva particion que usted creo como "Nueva (sin formatear)". Seleccione esta particion y presione ENTRAR para continuar.
Despues de que seleccione la nueva particion, el programa lo invita a seleccionar un formato de disco, ya sea FAT o NTFS. En la mayoria de los servidores, usted utiliza solamente particiones NTFS, asi que seleccione NTFS y presiones ENTRAR para continuar. En este punto, el programa de instalacion formatea la particion por usted.
Nota: Un breve estudio acerca de la selection entre FAT y NTFS aparece en secciones anteriores en este capitulo, en la secci6n "<,FAT o NTFS?".
Despues de que ha terminado el formateo, se copian automaticamente a la nueva particion los archivos necesarios para continuar la instalacion de Windows 2000 Server. Despues de que se copiaron los archivos, el programa reinicia el sistema de manera automatica, asi como la parte grafica de la instalacion.
El programa de instalacion de los graficos lo lleva por medio de varias opciones de insta-laci6n que usted debe elegir durante el proceso. Aunque pueda modificar la mayoria de estas opciones despues, es mejor que tome las decisiones correctas desde el principio durante la ins-talaci6n inicial de Windows 2000 Server. Lo que resta de esta seccion continiia con el proceso de instalacion en la computadora. Este proceso toma cinco o diez minutos.
Una vez que los dispositivos basicos estan instalados y configurados, se le invita a seleccionar los parametros locales y del teclado que usted desee. Estas opciones son por omision: Ingles (de Estados Unidos) y la disposicion de Teclado de Estados Unidos (si utiliza una copia de Windows 2000 Server adquirida en ese pais), por lo que ptodra, en general, seleccionar la opcion Next para continuar.
A continuacion, el programa lo invita a ingresar su nombre y el de su empresa. La mav ria de las companfas prefiere que usted no personalice el sistema operativo con el nombre una instancia en particular. En lugar de eso, utilice un nombre como "Departamento IT", despues, ingrese el nombre de su compania en el campo que se proporciona. Teclee Next pa continuar.
La caja de dialogo que sigue es importante. En ella usted ingresa el nombre de la compu tadora en la que instala el Windows 2000 Server; ademas, tambien debe ingresar la contrasefial inicial del administrador. El nombre de la computadora que selecciono sera el nombre de' servidor, el mismo que veran los usuarios cuando naveguen por los servidores de la red. Si! es posible, puede seleccionar un nombre que no necesite cambiar despues. Para la contrase-l na del administrador, seleccione una fuerte y buena que no pueda adivinarse facilmente. La contrasena del administrador es la clave para hacer todo lo que necesite con el servidor, por lo que debe seleccionar una contrasena que sea segura. Como regla, seleccione una contrasena de administrador con ocho o mas caracteres, incluyendo letras y niimeros. jAsegurese de que sean una contrasena facil de recordar! Despues de haber terminado de llenar todos los campos teclee Next para continuar.
Enseguida, el programa desplegara una caja de dialogo que presenta todos los diferentes componentes que podra instalar opcionalmente con Windows 2000 Server. Si sigue este procedi-miento y lleva a cabo una instalacion de muestra de Windows 2000 Server para aprender acerca del proceso de instalacion, solo debera seleccionar las opciones basicas relacionadas con la instalacion del servidor de impresion y de archivos. Sin embargo, a continuacion se muestra una lista con todas las opciones (los componentes que puede agregar despues de que la instalacion principal se haya terminado):
Servicios de certificacion (1.5 MB) Los servicios de certificacion se utilizan para ha-bilitar aplicaciones de Have publica. Usted no necesita instalar esta opcion a menos que tenga una aplicacion que requiera estos servicios.
■ Servicios de agrupamiento (2.2 MB) Los servicios de agrupamiento de Windows 2000 le permiten a dos o mas servidores compartir una carga de trabajo comiin y ofre-cer soporte contra fallas en caso de que uno de los servidores experimente una en el hardware. Usted no necesita instalar esta opcion a menos que desee construir un agrupamiento de servidores con alto grado de disponibilidad.
■ Servidor de informacion de Internet (ISS) (28.7 MB) IIS permite que una Windows 2000 Server trabaje como un servidor de web y FTP. Si selecciona esta opcion se instala IIS junto con una serie de facilidades relacionadas con el mismo. Usted no necesita instalar el IIS para un servidor de archivo e impresion.
▲ Herramientas administrativas y de supervisi6n (15.7 MB) Si selecciona esta opci6n se instalan las herramientas administrativas complementarias, que incluyen las siguientes:
Los componentes del administrador de la conexion para administrar las conexio-nes RAS y conmutadas.
■ La herramienta de migracion al servicio de directorio para migrar de Servicios de directorio de NetWare (NDS) al directorio activo de Windows 2000.
■ Herramientas de supervision de la red, que usted puede utilizar para Uevar a cabo el analisis y la decortication de paquetes de red rudimentarios.
▲ Protocolo simple de administrador de la red, el cual permite que Windows 2000 Server reporte information administrativa a una computadora SNMP de administration en la red.
Nota: En un servidor basico de archivo o de impresion, es una buena idea instalar las Herramientas de administration y supervision, las cuales puede escoger como parte de la opcion de instalacion. Primero, seleccione Herramientas administrativas y de supervision en la caja de dialogo y, despues, haga click en la opcion Detalles y escoja Herramientas de supervision de la red.
T Servicios de cola de mensajes (2.4 MB) Estos servicios ponen en la cola los mensajes de red que se utilizan en ciertas aplicaciones cliente/servidor. A menos que dicha apli-cacion le solicite hacer eso, no es necesario instalar esta herramienta.
■ Depurador de scripts de Microsoft (1.6 MB) Esta opcion agrega las herramientas que le permitiran depurar los scripts escritos en VBScript y en JScript. Debido a que ocasio-nalmente usted puede necesitar acceder a Internet a traves de un navegador de la web en el servidor (para bajar actualizaciones de controladores, por ejemplo) y debido a que puede desarrollar scripts basados en VBScript o JScript, es mejor que opte por instalar esta herramienta.
■ Servicios de conectividad de redes (3.6 MB) Esta opcion es apropiada para una gran variedad de servicios de red que usted podra instalar en su servidor. En particular, debera considerar la selection de algunas de estas opciones en el caso de un servidor de impresion o de archivos. Primero, considere la instalacion del protocolo de configuration de host dinamico (DHCP), el cual permite que el servidor administre una gran cantidad de direcciones IP y que asigne direcciones automaticamente a las computadoras clien-te. Segundo, considere la instalacion del servicio de nombres en Internet de Windows (WINS), el cual proporciona la resolution de nombres y el soporte de navegacion a las computadoras cliente que corren sistemas operativos anteriores al Windows 2000 (como Windows NT y Windows 9x) y que utilizan solo el protocolo TCP/IP Sin embargo, ningu-na de estas opciones se requiere en un servidor de archivos o de impresion basico.
■ Otros servicios de archivo e impresion de red Esta opcion le permite instalar la ayuda adiciorial que se requiere para compartir los archivos y las impresoras del servidor con computadoras Macintosh y las que estan basadas en UNIX. Usted no necesita seleccio-nar esta opcion si todas sus computadoras cliente corren alguna version de Windows.
■ Servicios de instalacion remota (RIS) (1.4 MB) Con los RIS, usted puede instalar re-motamente Windows 2000 Professional en las computadoras de la red que soporten una facilidad llamada arranque remoto. Usted necesita una partition dedicada en el servidor para almacenar las imagenes de disco del Windows 2000 Professional, mas no necesita esta herramienta para un servidor basico de impresion o de archivos.
■ Almacenamiento remoto (3.5 MB) Esta facilidad le permite configurar un disco de Windows 2000 Server para transferir automaticamente archivos que se acceden muy rara vez a un controlador de cinta o CD escribible. Si se necesitan, el sistema operativo
puede llamar automaticamente a estos archivos. La mayoria de los servidores no necesitan esta herramienta.
▲ Servicios de terminal (14.3 MB) y licencia de los servicios de terminal (0.4 MB) Estas dos opciones le permiten al Windows 2000 Server almacenar multiples sesiones de Windows de computadoras remotas, en las que las aplicaciones se ejecuten en el servicer y la computadora del cliente maneje solo la entrada de In pantalla y el teclado/mouse para la aplicacion. Los servicios terminales de Windows trabajan de forma similar a las computadoras grandes, donde todo el trabajo se lleva a cabo en la computadora grande y el cliente actiia solo como una terminal de una computadora grande. Usted no necesita estas opciones para los servidores de archivos o de impresion.
PISTA La comprension y administration de los servicios terminales pueden ser tareas complicadas y requieren ciertas tecnicas que no son evidentes a primera vista. Tomar un curso o comprar un libra acercade los servicios terminales es probablemente una buena sugerencia, especialmente si usted los utiliza como un control remoto exclusivo o una solution de acceso remoto.
Despues de hacer una seleccion a partir de las opciones anteriores, teclee Next para conti-nuar. El programa le pedira informacion acerca de un modem conectado al servidor, si es que existe. Usted puede proporcionar su codigo de area y cualquier niimero que necesite marcar para acceder a una linea hacia el exterior e indicar si la linea telefonica soporta marcacion por tonos o por pulsos. Llene los campos que se le solicita y teclee Next para continuar.
A continuacion, el programa le solicita ingresar la fecha y hora correctas, asi como la zona de tiernpo en la que reside el servidor. Actualice estos campos si fuere necesario y teclee Next.
Luego, el programa lo invita a seleccionar sus parametros de red. Usted puede seleccionar entre los parametros tipicos y los del cliente. Para una red pequena, podra seleccionar la primera opcion sin ningun problema. La segunda opcion le permite definir detalles como que componentes de conectividad de redes se instalaran y como esta configurado cada uno. Para este ejemplo de una instalacion basica de Windows 2000 Server, se selecciona la opcion Parametros tipicos.
Instalacion de Windows 2000 Server
En este ejemplo, usted va a instalar el Windows 2000 Standard Server en una computadora que corre Windows Me. Esta es una buena forma de aprender acerca de Windows 2000 Server sin tener que contar con una computadora para que lo corra. Cuando haya termi-nado, usted sera capaz de arrancar ya sea con Windows 98 (u otros sistema operativos Win9x, como Windows Me) o con Windows 2000 Standard Server.
1.En la computadora que tiene ya instalada una version anterior de Windows, ase-giirese de que tenga la capacidad apropiada para instalar y correr Windows 2000 Server. Este tema se analizo anteriormente: basicamente la computadora debe tener un procesador Pentium a 133 MHz o uno mas rapido, 256 MB de RAM, y aproximadamente 1 GB de espacio libre en disco.
2. Inserte el CD-ROM Windows 2000 Server CD-ROM y arranque la computadora desde el controlador de CD-ROM. (En algunas computadoras, usted tendra que cambiar los parametros del BIOS para permitir al arranque desde el CD-ROM).
3. Lea la parte textual del proceso de instalacion. Cuando se le solicite una particion de disco en la que se instalara Windows 2000 Server, usted puede seleccionar cualquier particion disponible en el disco que tenga espacio suficiente, incluyendo la que ya contiene a Windows; Windows 2000 Server instalara y correra en una particion FAT o FAT32 formateada. Sin embargo, si tiene una particion disponible que no le importe borrar, puede dar formato a esa particion con NTFS e instalar Windows 2000 Server en ella. Siempre y cuando la particion principal no sufra modificacion alguna, el arranque doble funcionara en esta configuracion.
4. Reinicie la computadora en la parte final de la instalacion que se basa en texto a fin de comenzar con la porcion grafica de la instalacion.
5. Continue y responda las preguntas basicas que se solicitan durante el comienzo de la instalacion grafica, como la seleccion de un sitio y un teclado e ingrese su nombre.
6. Cuando se lo solicite el sistema, seleccione Licencia por sitio para un servidor independiente para aprendizaje.
7. Cuando se le pida, ingrese un nombre para este servidor (el nombre por medio del cual el servidor sera visto por la red) y asigne una contrasena del administra-dor (asegurese de que sea una que no vaya a olvidar).
8. Cuando se le pida, tome las decisiones apropiadas acerca de que servicios de Windows 2000 Server va a instalar. Para un buen servidor generico en el cual comenzar por aprender acerca de Windows 2000 Server, seleccione el Servidor de information de Internet, Herramientas administrativas y de supervision y los Servicios de conectividad de redes.
9. Termine lo que resta de la instalacion, seleccionando Tipica cuando se le pida la parte de conectividad de redes de la instalacion del servidor y ya sea Servidor del controlador de dominio o Servidor independiente, cuando se le pida ingresar el tipo de servidor. NO seleccione Controlador de dominio si esta llevando a cabo esta instalacion en la red de una compania en operaci6n, sin consultar primero al administrador de la red (y probablemente ni aun asi evitarS causar problemas en la red). Sin embargo, si usted esta utilizando una pequefta red casera, puede ex-perimentar y trabajar con un Controlador de dominio seleccionando esa opcion.
Despues de que haya terminado la parte grafica de la instalacion, se le solicitara rei-niciar la computadora. Cuando lo haga, usted vera un menu que le permitird seleccionar arrancar ya sea con Windows 2000 Server (esta sera la opcion por omision), o con la ver-si6n existente de Windows.
Enseguida, el programa le pide seleccionar entre configurar Windows 2000 Server cornn miembro de un grupo de trabajo o como un dominio. En la seccion: "^Controlador de domini0 servidor de miembros o servidor independiente?", se presenta un analisis acerca de las diferen-cias entre las dos opciones. Sin embargo, usted no podra asignar un nuevo servidor a un dominio a menos que este ya exista y que un controlador de dominio este disponible para autentificar (permitir) que el nuevo servidor ingrese al dominio. En el caso de un servidor nuevo, incluso uno que vaya a ser el controlador de dominio, seleccione Grupo de trabajo y teclee Next para continuar.
En este punto, el programa terminara esta parte de la instalacion de Windows 2000 Server utilizando la informacion que usted proporciono.
Fin de la instalacion de WINDOWS 2000 Server
Despues de que se ha terminado el programa de instalacion principal, el sistema reinicia en don-de le pide la contrasena de acceso de Windows 2000 Server. Para acceder al servidor, presione CTRL-ALT-DEL. De esta forma ingresa como Administrador, utilizando la contrasena que usted definio como parte del proceso de instalacion. Entonces, el escritorio de Windows 2000 Server aparecera, junto con el programa Windows 2000 Configure Your Server (llamado programa de Configuracion del servidor en lo que resta de esta seccion), y lo conducira por los pasos requeri-dos que faltan para hacer funcionar el servidor. La figura 16-1 muestra el programa de Configuracion del servidor corriendo en el escritorio de Windows 2000.
Figura 16-1. Programa Windows 200G Server Configuration.
Si usted esta instalando un solo servidor en una red pequena —suposicion en que se basa el ejemplo de este capitulo— puede seleccionar la opcion marcada: "Este es el unico servidor en mi red", como se muestra en la figura 16-1. Si la instalacion es mas complicada, seleccione "Ya existe uno o mas servidores trabajando en mi red", lo cual requiere poseer un conocimiento mas a fondo acerca de la instalacion.
Despues, vera una pantalla de confirmation (que se muestra en la figura 16-2) que confirma que desea instalar en el servidor los servicios de Directorio activo, de DHCP y de DNS, los cuales son estandar para un solo servidor de una red. Si usted lo desea, puede leer mas acerca de estos servicios seleccionando los enlaces que se muestran en la caja de dialogo Server Configuration. Una vez que haya terminado, seleccione Next para continuar.
Enseguida, el programa le solicita el nombre del dominio que creara y cualquier dominio de Internet del que el servidor deba estar enterado. El nombre de dominio no puede tener espacios y debera seleccionar un nombre simple, uno con el que pueda trabajar facilmente. Muchas com-panias seleccionan el nombre de su empresa o alguna abreviatura de la misma como nombre de dominio. Usted tambien debe ingresar ahi cualquier dominio de Internet que exista en su red. El nombre de dominio de Internet es propiedad de su compania. Por ejemplo, si trabaja para una compania llamada Acme Corporation, puede Uamar a su dominio de Windows 2000 ACME, y su dominio de Internet probablemente sera acme.com. (Si su compania no tiene un nombre de dominio, ingrese local en el campo). En el caso de este ejemplo, el nombre de dominio de Windows 2000 sera OHM y el nombre de dominio de Internet sera local. Ingrese su informacion y
teclee Next para continuar. Despues de una pausa, el programa le advertira que las seleccionesf que ha hecho se instalar&i y que el servidor se reiniciara. Teclee Next una segunda vez para qijgf esto suceda. Observe que su programa le pedira el CD-ROM del Windows 2000 Server durante este proceso.
Despues de que el sistema instale los componentes necesarios y se reinicie, usted necesita dar algunos pasos finales en el programa Server Configuration, despues de los cuales habra termina-do de instalar el servidor. Siga los pasos siguientes:
1. Presione el boton derecho del mouse sobre el objeto del escritorio My Network Places y seleccione Properties del menu que se muestre.
2. Presione con el boton derecho del mouse el objeto Local Area Connection y seleccione Properties del menu que se despliegue. Si lo hace, se abrira la caja de dialogo Local Area Connection Properties, que se muestra en la figura 16-3.
3. Seleccione la opcion Internet Protocol y teclee el boton Properties.
4. Teclee el boton Use the Following IP Address.
5. Teclee el numero IP correcto de este servidor para que se utilice como su direccion IP. Si usted no cuenta con un rango de numeros y su red no se encuentra conectada directa-mente a Internet, utilice la direccion 10.10.1.1.
6. Teclee la mascara de subred correcta. Si anteriormente su red no ha utilizado mascaras de subred, seleccione 255.0.0.0.
7. En el campo Preferred DNS Server, ingrese la direccion IP que acaba de asignarle al servidor. En este ejemplo, se utiliza 10.10.1.1. En este punto, la caja de dialogo Internet Protocol (TCP/IP) Properties se debera ver como se muestra en la figura 16-4. Teclee OK para cerrar las diferentes cajas de dialogo Properties que se encuentran abiertas.
8. Ahora necesita autorizar los servicios DHCP. Abra el menu Start y, despues, seleccione Programs, Administrative Tools y DHCP. A continuacion, se podra ver el programa DHCP Manager como se muestra en la figura 16-5.
9. Expanda el arbol del lado izquierdo de la ventana. Despues, con el boton derecho del mouse, haga click en el servidor que se muestra en ese lado de la ventana, seleccione All Tasks y despues Authorize. Esta accion autoriza al servidor a responder las solicitudes del DHCP y le permite asignar direcciones IP a las computadoras cliente de la red.
10. Apague y vuelva a encender el servidor a fin de que surtan efecto estos cambios.
jFelicidades! Finalizar este proyecto significa que usted ha terminado la configuracion de un Windows 2000 Server que actua como Controlador de dominio. Ahora cuenta con un servidor que es capaz de satisfacer las necesidades de muchos usuarios y de llevar a cabo un gran numero de tareas de gran utilidad.
CONFIGURACION DE UN SERVIDOR CLIENTE
Antes de que pueda terminar realmente la instalacion de un nuevo servidor, necesita poner a prueba su capacidad para permitir que las computadoras cliente se conecten a el. Para llevar a cabo esta tarea, usted necesita cubrir los pasos siguientes:
1. Crear una cuenta de usuario de prueba.
2. Crear un recurso compartido en el servidor para que la computadora cliente puede acce- i der a el. !
3. Configurar un cliente Windows 9x para conectarlo al servidor.
4. Firmar en el servidor, realmente, en la computadora cliente y verificar que todo trabaje correctamente.
Las secciones siguientes explican como llevar a cabo estas tareas.
Creation de una cuenta de usuario
La primera orden de negocios para confirmar la funcionalidad del servidor es crear una cuenta de usuario de prueba, con la que pueda registrarse en el servidor desde cualquier computadora de la red. Usted puede utilizar la cuenta del Administrador para hacerlo si desea saltarse este paso, pero utilizar una cuenta de usuario de muestra es mejor.
Comience abriendo el menu Start, despues Programs y despues Administrative Tools. Por ultimo, seleccione la opcion llamada Active Directory Users and Computers. Lo anterior abre la aplicaci6n Windows Management Console con los parametros del Active Directory Users and Computers, como se muestra en la figura 16-6.
Figura 16-6. Usuarios y computadoras del directorio active
Como en la mayoria de los programas de Windows, el lado izquierdo de la ventana le per-mite navegar en el arbol (en este caso, el arbol de los objetos usuario y computadora) y el lado derecho muestra los detalles de la rama seleccionada. Para agregar un usuario, haga click con el boton derecho sobre el lado izquierdo de la ventana, seleccione New y, despues, User del menu "que se muestra. A continuacion vera la caja de dialogo Create New Object (User) que se muestra en la figura 16-7.
Ingrese el nombre y el apellido del usuario que usted desee crear y, despues, el nombre de registro en el campo User Logon Name. El programa genera los campos restantes de forma auto-matica con base en la inf ormacion que acaba de ingresar, aunque usted puede cambiar sus parame-tros si asi lo desea. En el ejemplo que se muestra en la figura 16-7, el usuario FredF se firmara en el Active Directory utilizando la cuenta de usuario fredf@omh.local. Despues de ingresar la Tnformacion, haga click en Next para continuar.
Ahora ingrese una contrasena de inicio para la cuenta que usted acaba de crear. En este ejemplo, simplemente utilice la contrasena contrasena. (Recuerde quitar esta cuenta de usuario de prueba despues de que haya terminado de hacer las pruebas. Usted nunca querra dejar una cuenta de usuario activa en el sistema con una contrasena que otros puedan adivinar facilmen-te). Haga click en Next para continuar y, despues, en Finish para terminar de crear la cuenta de usuario.
Creation de un folder compartido
El siguiente paso es crear un recurso —en este caso un folder— al que el usuario de prueba pueda acceder desde una computadora de la red. El Windows 2000 Server comparte folders mediante un mecanismo llamado comparticion. Una comparticion es un recurso navegable al que pueden acceder los usuarios remotos, siempre y cuando cuenten con los privilegios suficientes para hacerlo.
Para crear un folder que pueda accederse a traves de la red, genere un folder normal en uno de los controladores de disco del servidor. Haga click con el boton derecho en el folder y seleccio-ne Sharing en el menu que se muestre, el cual desplegara la pestana Sharing en la caja de dialogo Properties del f61der, como se muestra en la figura 16-8.
Para compartir el folder, primero haga click en la opcion Share this folder. Enseguida, revise el nombre compartido (el cual se asigna de manera autom^tica con base en el nombre del fdlder) y modifiquelo si asi lo desea. Despues, haga click en OK para terminar de compartir el f61der.
PISTA Por omisidn, las comparticiones nuevas que se crean en el servidor le permiten a toda persona tenef control total de su contenido. Para modificar este valor por omisi6n, es necesario que usted haga click en el bot6n Permissions y, despues, modifique los permisos. Este procedimiento se estudia con mas profundidad; en el capitulo 17.
configuracion de un cliente Windows 9x para acceder al servidor
Para configurar un cliente Windows 95 o Windows 98 para acceder el nuevo servidor, siga los pasos siguientes:
1. En el Panel de control abra el objeto Network, con lo cual se activara la caja de dialogo Network.
2. Haga click en el boton Add, seleccione Client en la caja de dialogo Select Network Component Type y, despues, haga click en Add para abrir la caja de dialogo Select Network Client.
3. En la caja de dialogo Select Network Client seleccione Microsoft de la lista de fabricantes y, despues, seleccione Client for Microsoft Networks en el lado derecho de la ventana (vea la figura 16-9). Haga click en OK para continuar.
4. Despues de un breve momento, la caja de dialogo Network reaparecera al frente y se veran instalados el Client for Microsoft Networks y el TCP/IP protocol, como se muestra en la figura 16-10.
5. Seleccione Client for Microsoft Networks y haga click en el boton Properties.
6. En la caja de dialogo Client for Microsoft Networks Properties, seleccione la casilla de seleccion Log Onto Windows NT Domain y, despues, teclee el nombre del dominio en el campo que se proporciona. En el ejemplo que se utilizo, el nombre del dominio es sim-plemente OHM.
7. Haga click en OK para cerrar la caja de dialogo Network.
Una vez que cierre la caja de dialogo Network, es probable que se le solicite su CD-ROM de Windows 9x a fin de que puedan instalarse los componentes necesarios. Despues de que se haya terminado la instalacion de los componentes de la red, el programa le solicitara reiniciar la com-putadora, lo cual usted debera hacer antes de que se activen los parametros de la red.
p rueba de la conexion del cliente
Usted podra probar el servidor instalado ya sea mediante una computadora con Windows XP o y Windows 2000 Professional que sea parte de la red, o una computadora Windows 9x que tenga agregados los servicios de conectividad de redes como se explico en las instrucciones anteriores. Los pasos reales que se muestran aqui son los mismos para todos los sistemas operativos cliente de Windows mas recientes.
Para probar el servidor, ingrese al dominio que esta siendo administrado por Windows 2000 Server y navegue por los archivos que usted coloco en el folder compartido.
Cuando reinicie la computadora despues de que haya terminado los pasos de la seccion anterior, el programa lo invita a ingresar al dominio antes de desplegar el escritorio de Windows 9x. Ingrese el nombre de la cuenta de usuario de prueba (FredF), el nombre del dominio (OHM), y la contrasena que usted asigna (contrasena) para ingresar en el dominio. Si usted ha ingresado la information correctamente, podra ingresar al dominio. Si se presenta cualquier problema, como „ que no se pueda reconocer un nombre de usuario, una contrasena y un nombre de dominio, el programa le advertira y le dara la oportunidad de corregirlo.
Una vez que inicie el cliente de Windows, usted debe poder abrir Network Neighborhood (o My Network Places, dependiendo de que version de Windows este utilizando) y ver el servidor que instalo incluido en la lista de servidores. Cuando abra el servidor, podra ver cualquier com-particion en el a los cuales pueda acceder. Entre esos folders, vera netlogin y sysvol, asi como el que usted creo y compartio. Sin embargo, debera ser capaz de abrir la comparticion de ejemplo y ver los archivos que ha colocado en el folder, asi como manipularlos, eliminarlos, abrirlos, etc., como si estuviera trabajando con archivos en un disco duro local.
PISTA A veces, es posible que un servidor no aparezca automaticamente en Network Neighborhood, en particular si ha sido instalado recientemente. Si se topa con este problema, abra el menu Start, seleccione Find y, despu6s, seleccione Computer. Teclee al nombre del servidor que est6 instalando en la caja de dialogo Find y haga click en Find Now. Despues de un momenta, debera aparecer el servidor en la caja de dialogo Find y podra hacer doble click para abrirla.
RESUMEN DEL CAPITULO
En este capitulo, usted vio como se instala y configura Windows 2000 Server, utilizando opcion basicas de instalacion que seran adecuadas para muchos servidores en pequenos negocios. Ust tambien aprendio como instalar y probar una computadora cliente para verificar que la red y servidor trabajen perfectamente.
El proposito de este capitulo es familiarizarlo con los procedimientos basicos de instalacio de Windows 2000 Server. Sin embargo, no abarca todas las opciones disponibles durante la ins^ talacion de Windows 2000 Server, pues no analiza temas de instalacion mas complejos que sean adecuados para redes mas grandes. En lugar de eso, el objetivo de este capitulo es ayudar a principiantes en la conectividad de redes a que comprendan las etapas basicas de la instalacion de Windows 2000 Server y ensefiarles lo suficiente que les posibilite poner en operacion un servidor con un minimo de problemas.
Si usted va a instalar Windows 2000 Server en un medio ambiente de produccion —sin im-portar que tan pequeno sea— es muy importante que aprenda mucho mas acerca de Windows 2000 Server, asi como de su instalacion y configuracion, de los que este libro abarca. Por fortuna, se encuentran disponibles muchas clases y libros muy buenos que le pueden ensefiar todo lo que debe hacer para instalar y administrar una red basada en Windows 2000 Server.
La instalacion del NOS es solamente una parte del proceso. Aun mas importante es que usted conozca como administrar el servidor y llevar a cabo las diferentes tareas administrativas del NOS. Estas incluyen la administracion de las cuentas de usuario, los grupos, las impresoras y otras tareas de mantenimiento que se requieran. El capitulo 17 analiza los fundamentos de la administracion de Windows 2000 Server. El capitulo 18 termina el estudio de Windows 2000 Server ensenandole acerca de las diferentes facilidades que incluye, como los Servicios de grupo, el Servidor de information de Internet, etcetera.
CAPITUL017
Administracion de
Windows 2000 Server:
los fundamentos
La instalacion y configuracion de Windows 2000 Server es solo la punta del iceberg, proceso de administrar el servidor es mas importante y consume una mayor cantida de tiempo. Este proceso incluye tareas cotidianas y regulares, como la adicion de nuevo usuarios, la eliminacion de los antiguos, la asignacion de permisos, la realizacion de respaldos^ etc. Estos temas son la parte medular de este capitulo. Aprender como llevar a cabo todas ( tas actividades y hacerlas bien asegurara que la red y el servidor se mantengan productivosyj seguros.
COMENTARIOS SOBRE LA SEGURIDAD DE LAS REDES
Antes de profundizar en las actividades administrativas que se estudian en este capitulo, usted debera invertir mas tiempo para pensar acerca de la seguridad de la red y de que manera esta se relaciona con su compania. La seguridad es un tema importante y la administracion de un servidor debe basarse en la conservacion de la seguridad adecuada para su red.
La clave es recordar que cada red tiene un nivel de seguridad adecuado. Los requisitos de seguridad de un proveedor del Departamento de Defensa (DoD) que disene equipo militar seran diferentes de los requerimientos de seguridad de una compania que opere restaurantes. Por tan-to, el aspecto importante es, primero, determinar las necesidades de seguridad de su red. Muchos administradores principiantes pasan por alto este aspecto basico y configuran sus redes con las medidas de seguridad mas exigentes que encuentran disponibles. El problema con esta forma de actuar es que estas medidas casi siempre reducen la productividad de quienes utilizan la red. Es i necesario que haga un balance entre productividad y seguridad y la respuesta sera diferente en j cada compania.
Por ejemplo, Windows 2000 Server le permite establecer diferentes politicas de seguridad jj para aplicar a los usuarios que incluyen forzar cambios en las contrasenas a intervalos que^ usted especifique, que las contrasenas tengan una cierta longitud minima, que las nuevas^ siempre sean unicas y no reutilizar las contrasenas anteriores, etc. Usted podria estableceT estas politicas a fin de que las contrasenas fueran de al menos 20 caracteres y que fueran mo-1, dificadas semanalmente. Si los usuarios no recurrieran a escribir en papel sus contrasenas a fin de poderlas recordar de una semana a otra, estos parametros serian mas seguros que las contrasenas mas cortas, cambiadas con menos frecuencia. Una contrasena de 20 caracteres es virtualmente imposible de violar utilizando metodos estandar y los cambios semanales de ellas reducen la probabilidad de que alguien la adivine y pueda utilizarla por un largo periodo. Sin embargo, el problema con politicas tan estrictas es que los usuarios olvidaran sus contrasenas con mucha frecuencia, seran sacados del sistema por periodos prolongados y requeriran mucha ayuda de parte del administrador de red (justed!) para solventar estos. problemas cada vez que se presenten. Para un proveedor del DoD, todas estas complicaciones puede ser que valgan la pena. Sin embargo, en el caso de un operador de restaurantes, serian inadecuadas y terminarian por danar a la compania mas que ayudarla. Por tanto, el punto que debe recordar es que la seguridad de la red siempre debe considerar el tipo de compania y su red en particular, y que es importante definir los niveles de seguridad apropiados desde el principio y obtener el soporte necesario de la alta direccion para tomar las decisiones que piense que sean apropiadas.
Un aspecto relacionado con esta cuestion es que algunas veces una seguridad muy estricta
a como resultado una reduction de la seguridad a largo plazo, al menos en ciertos aspectos. Asi,
en el ejemplo anterior en el que se manejan contraseftas de 20 caracteres que cambian muy a menudo, usted puede estar seguro de que un gran porcentaje de usuarios tendran que escribir sus
contraseñas a fin de recordarlas y poder acceder al sistema. Por supuesto, el problema aqui es que una contrasefta escrita es mucho menos segura que una que se ha memorizado, ya que alguien puede encontrarla y, despues de eso, violar la seguridad facilmente.
El punto final —y la razon por la que usted debe poner atencion a este tema antes de aprender acerca de administration— es que debe determinar la seguridad de red apropiada en una etapa inicial, a fin de que de cabida a hacerlo, a medida que usted administra la red dia-riamente. La seguridad de la red no debe tomarle mucho tiempo, siempre y cuando establezca sus procedimientos administrativos de forma que presupongan los niveles de seguridad que usted requiere. Por ejemplo, si conoce cuales seran sus politicas en cuanto a contraseftas en la red, solo le tomara unos segundos asegurarse de que cada nuevo usuario las conozca y las establezca en su cuenta. Si sabe que mantiene un reporte en papel de los cambios en los gru-pos de seguridad de la red, entonces tomara solamente un segundo seguir este procedimiento a medida que, ocasionalmente, cambien los miembros del grupo. El hecho de no determinar estas practicas y politicas de seguridad en una primera fase traera como resultado tener que involucrarse en proyectos mas grandes como parte de una auditoria o una revision de seguridad. ¡Seguridad es un area donde estara mas a gusto si hace las cosas correctamente desde el principio!
TRABAJO CON CUENTAS DE USUARIO
Para que todos —incluyendo al administrador— puedan acceder a Windows 2000 Server, el o ella deberan contar con una cuenta establecida en el servidor o en el dominio. (Un dominio es una coleccion de information sobre seguridad compartida entre servidores Windows 2000). La cuenta define el nombre del usuario (el nombre con el que el sistema reconoce al usuario) y la contrasena de usuario, junto con gran cantidad de informacion especifica de cada uno. 'La creacion, el mantenimiento y la eliminacion de cuentas de usuario son faciles con Windows 2000 Server.
NOTA A cada cuenta que se crea para un dominio Windows 2000 Server se le asigna un numero especial, llamado ID de Seguridad (SID). En realidad, el servidor reconoce al usuario por este nombre. Se dice que los SID son "unicos en el espacio y en el tiempo". Esto significa que ningun par de usuarios jamas tendran el mismo SID, aun cuando tengan el mismo nombre de usuario o la misma contrasena. Esto se debe a que el SID esta formado por un numero unico asignado al dominio y, por tanto, un numero secuencial asignado a cada cuenta creada (con miles de millones de numero unicos especificos de usuario disponibles). Si usted tiene un usuario llamado Frank, elimina esa cuenta y despues crea otra cuenta llamada Frank, ambas tendran SID diterentes. Esto asegura que ninguna cuenta de usuario reciba accidentalmente permisos originalmente asignados a otro usuario con el mismo nombre.
Para mantener las cuentas de usuario, se debe utilizar la consola de administracion de Usua-i rios y computadoras del directorio activo (AD). Si usted quiere abrir esta consola haga clic en el menu Start, seleccione Programs y, despues, seleccione Administrative Tools. Una vez que este
abierta la consola, abra el arbol del dominio que usted administra y, despues, haga clic sobre el folder Users. Su pantalla debera verse de forma muy similar a la que se muestra en la figura 17-1 en este punto.
Para realizar actividades en la consola, debe seleccionar ya sea un contenedor en el lado izquierdo o un objeto en el lado derecho de la ventana y, despues, ya sea hacer clic con el boton derecho del mouse en el contenedor o el objeto o abrir el menu Action y seleccionar alguna de las opciones disponibles. Debido a que las opciones disponibles cambian segun sea el contenedor u objeto seleccionados, seleccione primero un objeto con el cual trabajar es importante.
Adicion de un usuario
Para agregar un usuario mediante la consola AD Users and Computers, comience seleccionando el contenedor Users en el lado izquierdo (con el a>bol abierto en el dominio que usted esta admi-nistrando). Despues, con el boton derecho haga clic en el contenedor Users, seleccione New del menu y despu& seleccione la opcion User del submenu. Usted vera la caja de dialogo Create New Object (User) que se muestra en la figura 17-2.
Llene los campos First Name, Last Name y User Logjon Name. Despues, haga clic en el boton Next para moverse a la siguiente caja de dialogo, la cual se muestra en la figura 17-3.
NOTA Listed debe establecer estandares por medio de los cuales pueda asignar nombres de acceso ; red. Las redes pequefias (aquellas con menos de 50 usuarios) a menudo utilizan solo los nombres propios del las personas, seguidos de la primera inicial de sus apellidos cuando se presenta un conflicto. Una convencifo j que se emplea con frecuencia es utilizar el apellido del usuario seguido de la primera inicial de su nombre< propio. Este ultimo permite un numero mucho mayor de combinaciones antes de que se presente un conflicto y usted podra resolver cualquiera que se le presente mediante la adicion de la inicial de en medio de la persona un numero o cualquier otro cambio a fin de que los nombres de todos los usuarios en el sistema sean unicos en todo momento.
En la segunda caja de dialogo ingrese la contrasena inicial que utilizara la cuenta. Tambien seleccione algunas de las siguientes opciones que se aplicaran:
User Must Change Password at Next Logon La seleccion de esta caja de verification obliga a los usuarios a seleccionar su propia contrasena cuando ingresen al sistema por primera vez.
■ User Cannot Change Password Puede seleccionar esta opcion para cuentas de recur-sos si no desea permitirles a los usuarios que cambien su contrasena. Sin embargo, en general, usted no debera seleccionar esta opcion; en la mayoria de los sitios se les permite a los usuarios cambiar sus contrasenas y querra permitirles hacer lo mismo si ha configurado el sistema tambien para que las contrasenas expiren automaticamente.
■ Password Never Expires Seleccione esta opcion para permitir que la contrasena per-manezca valida por el tiempo que el usuario quiera utilizarla. La activacion de esta opcion para todos los usuarios se considera, en general, una practica de seguridad pobre, por lo que debera considerar con mucho cuidado si desea habilitar esta opcion.
A Account Disabled La seleccion de esta opcion inhabilita la nueva cuenta. El administra-dor puede habilitar la cuenta cuando sea necesario quitando la marca en esta opcion.
Despues de ingresar la contrasena y seleccionar las opciones que desee, para continuar haga clic en Next. A renglon seguido usted vera una pantalla de confirmation. Haga clic en Next una vez mas para crear la cuenta o clic en Back para regresar y hacer cualquier cambio necesario
.
Modificacion de una cuenta de usuario
Las cajas de dialogo que ve cuando crea una cuenta de usuario son mucho mas sencillas que la que ve cuando la modifica. La caja de dialogo en la que modifica la informacion acerca del usuario contiene otros campos que puede utilizar para documentar la cuenta y configurar otras opciones de seguridad.
Para modificar una cuenta de usuario, haga clic con el bot6n derecho del mouse en el objeto del usuario que desea modificar y seleccione Properties del menu. Usted podra ver a continuation la caja de dialogo con pestafias que se muestra en la figura 17-4.
En las primeras dos pestafias, General y Address, usted podra ingresar informacion adicio-nal acerca del usuario, como su titulo, direccion, numero telefonico, cuenta de correo electronico, etc. Debido a que Active Directory tambien se integra con las nuevas versiones de Exchange Server, esta informaci6n puede ser muy importante.para su red.
La tercera pestana, Account, que se muestra en la figura 17-5, es donde puede fijar algunas opciones importantes en la cuenta del usuario.
La primera linea de la caja de dialogo define el nombre de ingreso a Windows 2000 del usuario, asi como el dominio de Windows 2000 en el que el usuario tiene membresia principal. La segunda linea define el nombre de ingreso a Windows NT del usuario, el cual este puede utilizar opcionalmente si necesita ingresar al dominio desde una computadora con Windows NT o utilizar una aplicacion que todavia no soporte los ingresos al Active Directory. (Aunque usted pueda establecer estos dos nombres de acceso para que sean diferentes, hacerlo raras veces es una buena idea).
Si hace clic en el boton Logon Hours se despliega la caja de dialogo que se muestra en la figura 17-6. En ella, usted puede seleccionar diferentes bloques de tiempo dentro de una se-mana estandar y, despues, hacer clic en el bot6n de la opcion adecuada para permitir o negar el acceso a la red en ese periodo. En la figura 17-6, los parametros solo permiten tiempos de ingreso en horas de trabajo normal, con alguna tolerancia antes y despues de esas horas a fin de dar cabida a horas de trabajo normal ligeramente diferentes. Por omision, a los usuarios se les permite ingresar a la red a cualquier hora, cualquier dia de la semana. En la mayoria de las redes, particularmente en las pequenats, es aceptable permitir a los usuarios el acceso en cualquier momento.
0tro boton en la pestafta Account de la caja de dialogo Properties del usuario (vea la figura
7-5) es el boton Logon To, el cual abre la caja Logon Workstations que se muestra en la figura
7-7. Por omision, los usuarios pueden ingresar a cualquier estacion de trabajo del dominio y este
e autentificara. En algunos casos, el sistema podra requerir una seguridad mas estricta, donde
ted debera especificar las computadoras a las que podra tener acceso un usuario. Por ejemplo,
ipodra configurar una cuenta de respaldo de la red para utilizarla y despues dejar esta cuenta fir-
piada todo el tiempo en su cuarto de computadoras cerrado con Have. Debido a que la cuenta de
, respaldo tiene acceso a todos los archivos de la red (o no podria hacer su trabajo), una buena idea es
lirnitar esa cuenta para que solo pueda acceder a la red desde la computadora designada para
este proposito en el cuarto de computadoras. Se debe utilizar el boton Logon To para estable-
cer este tipo de restricciones.
NOTA La facilidad Logon To funciona solo si la red utiliza los protocolos NetBIOS o NetBEUI. Esta facilidad no funcionara con redes que tengan solamente TCP/IP, a menos que se configure el servicio WINS en la red.
Usted debe estar consciente de que permitir que un usuario Uamado George (por ejemplo) ingrese a la computadora de otro usuario no significa que George pueda ingresar con permisos del otro usuario o acceder a todo lo que este ultimo pueda acceder. Esto significa simplemente que George puede utilizar la computadora fisica listada para acceder a su propia cuenta desde esa computadora.
La seccion Account Options de la pestana Account le permite seleccionar varias opciones binarias (Encendido/Apagado) de la cuenta, como requerir que un usuario modifique su con-trasefta la siguiente vez que ingrese, las establece conforme se agrega la cuenta. Algunas de las opciones que se presentan son unicas de la caja de dialogo Properties del usuario. Las dos mas importantes de estas opciones adicionales son Account Is Disabled y Account Is Trusted for Delegation. Si se selecciona Account Is Disabled, se inhabilita la cuenta del usuario mientras que se deja habilitada dentro del Directorio activo. Esta opcion es util si usted necesita negar el acceso
a la red pero necesita habilitar la cuenta otra vez en el futuro. (Asimismo, Account Is Disablj se maneja como un cambio de alta prioridad dentro del dominio, y toma efecto inmediatamente aun entre un gran ntimero de controladores de dominio). Debido a que la eliminacion de una cuenta tambien elimina cualquier permiso que el usuario pueda tener, usted debera siempre in-habilitar la cuenta si necesita otorgar acceso a la red a ese usuario. (Por ejemplo, si alguna persona esta de vacaciones, usted podria inhabilitar la cuenta de usuario mientras este estuviera ausente y despues quitar la marca en la opcion Account Is Disabled cuando el regrese a trabajar). Usted debera seleccionar la segunda opcion, Account Is Trusted for Delegation, si desea designar la cuenta de usuario para administrar alguna parte del dominio. Windows 2000 Server le permite otorgar derechos administrativos a porciones del arbol Directorio activo sin tener que otorgar derechos administrativos a todo el dominio.
La ultima opcion en la pestana Account de la caja de dialogo Properties del usuario es para es-tablecer la fecha de expiracion, Account Expires. Por omision, esta fijada a Never. Si desea definir una fecha de expiracion, lo puede hacer en el campo End Of. Cuando se llega a la fecha indicada, la cuenta se inhabilita automaticamente (sin embargo, no se elimina, a fin de que pueda habilitarla de nuevo si asi lo desea).
Otra pestana que utilizara con mucha frecuencia en la caja de dialogo Properties del usuario es la pestana Member Of, en la que usted define los grupos de seguridad de un usuario. La figura 17-8 muestra esta pestana. Los grupos de seguridad se estudian mas adelante en este capitulo.
halibitacionacion o inhabilitacion de una cuenta de usuario
Es facil eliminar una cuenta de usuario utilizando la consola de Active Directory and Groups I Management.Utilice el lado izquierdo para seleccionar el folder Users y, despues, seleccione el s usuario en el lado derecho. Luego, haga clic con el boton derecho del mouse sobre el usuario y ' seleccione Delete, o abra el menu Action y seleccione Delete.
Es igual de sencillo inhabilitar una cuenta. Como antes, primero seleccione la cuenta del usuario. Despues, haga clic con el boton derecho en ella y seleccione Disable Account o abra el ', menu Action y seleccione Disable Account.
PISTA Si usted necesila eliminar un gran numero de cuentas, puede ahorrar tiempo seleccionandolas a ▼ todas antes de escoger los comandos Delete o Disable Account. jSolo asegurese de que no haya seleccionado cuentas que no quiera eliminar o inhabilitar!
trabajo con grupos de seguridad Windows 2000
En cualquier red, usted generalmente tendra que administrar permisos a muchos folders y archi-
vos diferentes. Si solo pudiera otorgar acceso por cuenta de usuario, se volveria loco rapidamente
si tuviese que llevar un registro por escrito de toda la informacion necesaria. Por ejemplo, supon- ga que un grupo de personas, como el departamento de contabilidad, tuviera diferentes permisos para acceder a 20 diferentes folders en el servidor. Cuando se contrate un nuevo contador,
tendra que recordar o consultar que tienen esos 20 folders, a fin de que pueda proporcionar al
contador los mismos permisos que al resto de su departamento? O suponga que un usuario que
tenga muchos permisos diferentes cambie de departamento. ,<,Sera necesario que usted tuviera
que encontrar cada permiso que el usuario tenga a fin de asegurarse de que tiene solamente los
adecuados para su nuevo departamento?
Para resolver dichos problemas, todos los sistemas operativos de red soportan el concepto
de grupos de seguridad (o solamente grupos). Usted primero crea dicho grupo y despues asigna a
el todos los usuarios adecuados a fin de que pueda administrar sus permisos mas facilmente.
Cuando otorga permiso a un folder en un servidor, lo hace dando al grupo el permiso de la red.
Todos los miembros del grupo heredan automaticamente dichos permisos. Esta herencia hace mas
facil que se conserven los permisos de la red a travel del tiempo. De hecho, usted no debe tratar
de administrar los permisos de la red sin utilizar los grupos de esta forma. Rapidamente se vera saturado si trata de mantener un registro por escrito de todo, y es muy probable que, con el tiem-
po, cometa muchos errores
Los usuarios no solo podran ser miembros de grupos, sino que estos pueden ser miembros de otros grupos. De esta forma, usted puede construir una jerarquia de grupos que haga aun
mis facil su administracion. Por ejemplo, suponga que usted define un grupo para cada departa-
rnento de su compania. La mitad de dichos departamentos son parte de una division mas grande llamada Investigation y desarrollo (R&D) y la otra mitad es parte de Ventas y administracion
general (SG&A). En su red, algunos folders son especificos de cada departamento, otros lo son
■L de todos los de R&D o SG&A y a otros mas se puedfc accesar por cualquier usuario de la red. En
El dicha situacion, usted podria crear los grupos departamentales y, despues, crear los grupos R&D ultimo, usted podria utilizar el grupo Domain Users incluido, u otro que haya creado que rep^ sente a todos y, despues, asignar a R&D y SG&A ese grupo de alto nivel a cada usuario.
Una vez que haya hecho estos agrupamientos, podra otorgar permisos de una manera logic* Si un recurso es solo de un departamento especifico, se lo debe asignar a ese grupo departamen-tal. Si un recurso es de R&D o SG&A, se lo asigna a esas divisiones; despues, todos los grupog departamentales que conforman esa division heredaran permiso para acceder a ese recurso. Si m, recurso es para todos, usted podria asignarlo al grupo master de alto nivel. El empleo de dichos niveles jerarquicos de grupos facilita de manera notable la administracion de permisos y es prac-ticamente indispensable para redes mas grandes que cuenten con cientos de usuarios.
Creacion de grupos
Usted puede crear grupos mediante el empleo de la misma consola que usa para los usuarios: la Active Directory Users and Computers. Los grupos aparecen en dos de los contenedores de dominio: Built-in y Users. Los grupos Built-in tienen ciertos permisos importantes ya asignados y los otros grupos que cree pueden ser incorporados a ellos. De manera similar, si usted desea in-habilitar un grupo Built-in en particular, puede hacerlo simplemente quitando todos sus grupos miembros. La figura 17-9 muestra la lista de grupos Built-in de Windows 2000 Server.
PRECAUClON Sea especialmente cuidadoso al cambiar los miembros de los grupos incluidos. En la mayoria de las redes, mientras se comprende que son estos grupos y como trabajan, es mejor no tocarlos.
En general, usted solo trabaja con grupos definidos en el contenedor Users. La figura 17-10 muestra los grupos por omision en el contenedor Users, el cual puede diferenciar de las cuentas de usuarios por el icono de las dos personas y por la designacion Type.
Para agregar un nuevo grupo, primero seleccione el contenedor Users del lado izquierdo de la ventana. Despues, abra el menu Action, seleccione New y despues Group. Usted podra ver la caja de dialogo Create New Object (Group) que se muestra en la figura 17-11.
Primero ingrese el nombre del grupo en el campo que se proporciona. Usted podra observar el nombre que ingreso repetido en el campo Downlevel Name of New Group. Este campo le per-mitira especificar un nombre de grupo diferente para computadoras con Windows NT. Sin embargo, utilizar diferentes nombres de grupo no es, en general, una buena idea ya que su sistema puede hacerse muy confuso rapidamente.
Despues de asignarle un nombre al grupo, usted necesita seleccionar algunos de los botones de opcion disponibles en la mitad inferior de la caja de dialogo. El Group Scope se refiere a que tan poblado esta el grupo dentro de un dominio. Existe un grupo universal que abarca toda una organizacion, aun cuando la red de la misma este conformada por muchos dominios individua-les. Ademas, los grupos universales pueden tambien contener miembros de cualquier dominio en la red de una organizacion. Por otro lado, un grupo global solo puede contener miembros del dominio en el que existe. Sin embargo, usted puede asignar permisos de grupos globales a cualquier dominio dentro de la red, incluso entre multiples dominios. Por ultimo, los grupos locales de dominio existen solamente dentro un solo dominio y unicamente pueden contener miembros de ese dominio.
PISTA No se preocupe si usted crea un grupo con un alcance equivocado, pues este se puede cambiar facilmente, siempre y cuando la membresia no viole sus nuevas reglas de alcance. Para modificar el alcance del dominio, seleccione el grupo y abra su caja de dialogo Properties (haga die con el boton derecho del mouse y despues seleccione Properties del menu). Si la membresia de grupo permite el cambio, usted puede seleccionar un bot6n de opcibn diferente en el Grupo Scope.
Despues de que haya establecido el alcance del grupo, tambien puede seleccionar si este sera un grupo Security o un Distribution. Estos ultimos se utilizan solamente para mantener las listas de distribucion de correo electronico y no tienen efecto en la seguridad de Windows 2000 Server. Se emplean solamente en aplicaciones de correo electrdnico, como Microsoft Exchange Server.
MAntenimiento de los miembros de los grupos
Despues de que usted haya terminado de Uenar las opciones de la caja de dialogo Create New Object (Group) y dado clic en OK, el programa crea un nuevo grupo, pero este comienza sin ningun miembro. Para establecer los integrantes de un grupo, siga los pasos siguientes:
1. Seleccione el grupo y abra su caja de dialogo Properties (para ellos, haga clic con el boton derecho del mouse y despues seleccione Properties del menu).
2. Haga clic en la pestana Members. Aparecera la caja de dialogo Group Properties que se muestra en la figura 17-12.
3. Haga clic en el boton Add. Aparecera la caja de dialogo Select Users, Contacts, Computers or Groups que se muestra en la figura 17-13.
4. Desplacese por la lista para seleccionar cada miembro que desea agregar al grupo, y despues haga clic en el boton Add para agregar los que se seleccionaron a la lista de miembros. La lista desplegara solo objetos que puedan ser miembros del grupo.
Si desea ser un miembro del otro grupo, haga clic en la pestana Member Of de la caja de dialogo Group Properties y despues haga clic en su boton Add, de manera parecida a como agrego miembros al grupo.
TRABAJO CON COMPARTICIONES
Los controladores y folders del ambiente de Windows 2000 Server se encuentran disponibles para los usuarios de la red como recursos compartidos, Uamados simplemente comparticiones en el lenguaje de la conectividad de redes. Usted selecciona un controlador o folder, permite que este sea compartido y, despu£s, establece los permisos de la comparticion.
Comprension de la seguriddad de la comparticion
Usted puede establecer controladores como folders o como recursos (o comparticiones) compartidos distintos, ya sea que esten ubicados en controladores formateados como FAT o como NTFS. Sin embargo, solo en el caso de un controlador formateado como NTFS usted puede tambien establecer permisos en folders y archivos dentro de la comparticion que este separada de los permisos en la misma. Comprender la forma en que Windows 2000 maneja la seguridad de las comparticiones, folders y archivos en los controladores NTFS.es importante.
Suponga que crea una compartici6n Uamada RESEARCtt y le otorga al grupo de seguridad R&D acceso de solo lectura. Dentro de ella, usted establece I09 permisos en un folder llamado
PROJECTS a fin de permitir acceso total a lectura y escritura (llamado Change permission) al grupo de seguridad R&D. La pregunta es: i tendra el grupo de R&D permiso de solo lectura a este folder o permiso de cambio? La respuesta es que el grupo tendra permiso de solo lectura ya que cuando los permisos de seguridad difieren entre folders dentro de una comparticion y en la comparticion misma, se aplican los permisos mas restrictivos. Una mejor forma de establecer estos permisos, es permitir a todos permiso de cambio (Change permission) a la comparticion y, despues, controlar los permisos actuates colocandolos en los folders dentro de la comparticion misma. De esta forma, usted puede asignar cualquier combinacion de permisos que desee; entonces, los usuarios recibiran los que usted establecio en esos folders, a pesar de que la comparticion esta fijada a permiso de cambio.
Recuerde que los usuarios reciben los permisos con base en los grupos de los que son miembros, y que estos permisos son acumulativos. Por tanto, si es un miembro del grupo Everyone y este tiene permiso de solo lectura de un archivo en particular, pero usted es tambien miembro del grupo Admins que tiene permiso de control total de ese archivo, en la practica tendra permiso de control total. Esta es una regla importante: los permisos que se colocan en folders y archivos son siempre acumulativos y toman en cuenta los establecidos para el usuario individual asi como cualquiera de los grupos de seguridad de los que el usuario sea miembro.
El siguiente aspecto a recordar es que usted puede establecer permisos dentro de una comparticion (a menudo llamados permisos NTFS) en ambos folders y archivos, los cuales tambien son acumulativos. Por lo que, por ejemplo, usted puede establecer para un usuario permiso de solo lectura con respecto a un folder, pero otorgar permiso de cambio para algunos archivos especifi-cos. En este caso, el usuario tendra capacidad para leer, modificar y aun eliminar esos archivos, lo cual no sucede con los demas archivos de este mismo folder.
El ultimo aspecto a recordar es que existe un permiso especial llamado No acceso, que elimi-na a todos los demas permisos sin importar cuales sean. Si establece el permiso de no acceso a un usuario en un archivo o folder, entonces es eso: el usuario no tendra acceso a ese archivo o folder. Un corolario extremadamente importante a esta regla es que el permiso de no acceso tambien es acumulativo y superior a los demas. Por tanto, si el grupo de seguridad Todos tiene permiso para cambiar un archivo, pero usted fija a un usuario en particular el no acceso a ese archivo, este usuario recibira permiso de no acceso. Si establece permiso de no acceso al grupo Todos, todos los miembros de ese grupo tambien recibiran No acceso ya que este es superior a cualquier otro permiso que tengan. jSea cuidadoso en el uso de No acceso con los grupos de seguridad! Existen muchos otros puntos finos para establecer y mantener permisos que van mas alia del alcance de este libro, pero puede resolver la mayoria de los problemas de permisos si recuerda las reglas que se estudian aqui:
T Cuando los permisos de comparticion entran en conflicto con los permisos de archivo o de folder, el permiso mas restrictivo siempre gana.
■ Ademas, los permisos son acumulativos, esto es, se toman en cuenta los permisos asignados a los usuarios y grupos asi como los archivos y folders.
▲ Cuando se presenta un permiso en conflicto, el permiso de No acceso siempre gana.
CREACION DE COMPARTICIONES
Como administrador de la red, usted tendra que crear y administrar las comparticiones (recursos compartidos) en la red con mucha frecuencia. Los pasos siguientes lo guiaran para crear m^ nueva comparticion.
1. Utilice en el servidor My Computer o Windows Explorer.
2. Haga clic con el boton derecho del mouse sobre el folder o controlador que desee com-partir y, despues, seleccione Sharing. Usted vera la pestana Sharing del folder o la caja de dialogo Properties del controlador, como se muestra en la figura 17-14.
3. Haga clic en el boton de opcion Share this folder, despues asigne un nombre de comparticion y, si lo desea, agregue un comentario respecto a la misma. (Los usuarios podran ver el comentario que usted haga). Despues de asignarle un nombre, puede seleccionar un limite respecto de cuantos usuarios pueden acceder de manera simultanea. (Normal-mente, deje la opcion User Limit fijada en Maximum Allowed).
4.
El ultimo paso es verificar los permisos de la comparticion.
directorios. 5. Haga clic en el boton Permissions, el cual despliega la caja de dialogo Permissions que se muestra en la figura 17-15. Como puede observar, el parametro por omision de una comparticion es que el grupo Everyone tenga el acceso mas completo posible a ella. Nor-malmente, este parametro es lo que usted desea. (Vea el an&lisis de la seccion anterior acerca de los permisos de compartici6n para obtener mas informacion acerca de este parametro). Aun asi, si necesita restringir de alguna manera el acceso, la caja de dialogo Permissions le permite hacerlo. Haga clic sobre Add y accedera a la caja de dialogo Select Users, Contacts, Computers o Groups, desde donde podra seleccionar esas entidades y asignarles los permisos.
6. Despu£s de agregar una entidad, puede utilizar las cajas de opci6n de la ventana Permissions de la caja de dialogo del mismo nombre para fijar exactamente los permisos que usted desee.
7. Cierre todas las cajas de dialogo activas utilizando el boton OK en cada una.
NOTA Cuando usted haga clic en una entidad y algunas de sus cajas de opci6n dentro de la caja de dialogo
Permissions se pongan de color gris, significa que los permisos fueron heredados de un nivel superior,
generalmente de los permisos establecidos en un folder contenedor ubitado en algun lugar del arbol de
I
Una vez que se crea una comparticion y la informaci6n compartida se propaga por el don nio (generalmente en cuestion de minutos), los usuarios pueden navegar en ella por medio < Network Neighborhood (Windows 9x y NT) o My Network Places (Windows 2000 y XP). Seg los permisos, la podra abrir si hace doble clic en comparticion.
Usted puede esconder una compartici6n, pero mantenerla disponible para los usuarios quJf conozcan el nombre de la misma. Para hacerlo, creela normalmente, pero agregue el signo dpi dolar ($) al final de su nombre. Por ejemplo, FILE$ podria ser una comparticion que los usuarios! no puedan ver cuando esten navegando a traves de la red.
Exploration de los controladores
Usted puede utilizar las comparticiones abriendolas en Network Neighborhood o My Network Places, las que funcionan igual que los folders en My Computer. Sin embargo, con frecuencia, debera simular un disco duro conectado en su computadora con una comparticion desde la red. Por ejemplo, muchas aplicaciones que almacenan archivos requieren que los folders de red esten accesibles como letras de controlador normales. El proceso de simular un controlador de disco con una comparticion de red se llama exploration, mediante la cual puede crear un mapa (enlace) entre la letra del controlador que desea utilizar y la comparticion de red real que se mantendrj A conectada a la letra del controlador.
Puede crear una exploracion en un controlador de muchas maneras. La forma mas facil es * abrir Network Neighborhood de la computadora cliente y, despues, localizar la comparticion que desee explorar. Haga clic con el bot6n derecho del mouse sobre el y seleccione Map Network Drive. En la caja de dialogo que se desplegara, apareceran el nombre del dominio y la comparticion ya tecleadas por usted; simplemente seleccione una letra de controlador apropiada para la exploracion y haga clic en OK. De ahi en adelante, la comparticidn aparecera en su computadora con esa letra de controlador y los usuarios la veran en My Computer.
Para conectar una comparticion oculta, haga clic con el boton derecho del mouse en Network Neighborhood (o My Network Places for Windows 2000/XP) y seleccione Map Network Drive. Elija una letra de controlador para explorar, ingrese el nombre completo de la comparticion (con el signo de dolar al final), y despues haga clic en OK. Siempre y cuando tenga permiso para acce-der a 6sta, la exploracion trabajara normalmente.
Usted puede tambien explorar controladores mediante el empleo de una utilidad de linea de comandos llamada NET. El comando NET toma muchas formas diferentes y puede satisfacer muchas necesidades, de acuerdo con los parametros que le proporcione. Para explorar un controlador, utilice el comando NET USE. Teclee NET USE y luego presione ENTER, despues de lo cual aparecera una lista con todos los controladores explorados actualmente. Para agregar una nueva exploracion de controlador, teclee lo siguiente:
NET USE drive_letter:lINCJor_share
La mayoria de los recursos de la red Windows utilizan un sistema denominativo llamado!
Convention de nombrado universal (UNO. Para proporcionar una UNC, comience con dos diagonales invertidas, despues el nombre del servidor, otra diagonal invertida y el nombre de la comparticion. (Las diagonales invertidas y nombres adicionales se pueden referir a los folderes, y archivos incluidos en esta). Por tanto, si desea explorar el controlador G: a una comparticion llamada EMPLOYEES ubicada en el servidor SERVER, el comando podria ser como sigue:
NET USE G: \ \ SERVER \ EMPLOYEES
PISTA Usted puede utilizar el comando NET de cualquier cliente Windows para cualquier red Windows. Teclee NET para listar todas las diferentes formas del comando. Teclee NET command HELP para ver ayuda adicional sobre los diferentes comandos NET.
ADMINISTRACION DE LAS COMPARTICIONES DE IMPRESORA
Antes de configurar y trabajar con impresoras en red, usted necesita comprender los componen-tes involucrados en la impresion de red y como interactuan entre si, a saber:
Un trabajo de impresion es un conjunto de datos binarios que se envian desde una estacion de trabajo a una impresora de la red. Un trabajo de impresion son los mismos datos que una computadora enviaria a una impresora conectada localmente, pues solo se redirecciona a una red para su impresion.
■ La estacion de trabajo de la red que envia el trabajo a la cola de impresion es responsa-ble de formatear adecuadamente los datos de impresion para la impresora. Esta tarea la hace por medio del software instalado en la estacion de trabajo —llamado controlador de impresion— que es especifico de cada tipo de impresora. Los controladores de impre-si6n son tambien especificos de cada sistema operativo que los utiliza. En otras pala-bras, un controlador Hewlett-Packard LaserJet 5si de una computadora con Windows 95 es diferente de un controlador Hewlett-Packard LaserJet 5si de una computadora con Windows NT Workstation. Y el asunto es aiin mas problematico: por lo general, diferentes versiones del mismo sistema operativo utilizan distintos controladores, por lo que un controlador de una computadora con Windows 95 es probable que no funcione con una computadora Windows 98 y viceversa.
■ A menudo, los trabajos de impresion se envian a la red a traves de un puerto de impresion
de captura. El software cliente de la red redirecciona a la red uno de los puertos de impre-
sion de una estacion de trabajo en red, como el LPT1. El proceso de redireccionar un puerto
de impresion a una impresora de red se llama captura. En general, los puertos de captura
son persistentes y se mantienen tratando de acceder a la impresora hasta que se apagan.
■ Los trabajos de impresion que se envian a la red van a un lugar llamado cola de impresion.
El trabajo de impresion se forma hasta que la red pueda dar servicio a ese trabajo y lo
envie a la impresora. Las colas de impresi6n pueden estar formadas por muchos trabajos de una gran cantidad de usuarios y, tipicamente, se administran de acuerdo con el crite-
rio de que el primero que entre sera el primero en salir.
▲ Los trabajos de impresion se eliminan de las colas y se envian a las impresoras por medio de los servidores de impresion. Despu£s de enviar el trabajo completo a la impresora, el servidor de impresion quita el trabajo de la cola. Usted puede llevar a cabo el servicio de impresion de muchas formas. Si la impresora que utiliza esta conectada a un servidor o a una estacion de trabajo de la red, entonces ese servidor o estaci6n de trabajo administra la tarea del servidor de impresi6n. Si la impresora esta conectada direc-tamente a la red (si esta tiene su propio puerto de red), por lo general cuenta con un
servidor de impresion incorporado como parte de su hardware de red, el cual tiene j inteligencia para acceder a la red y dar servicio a una cola de impresion en particular.
Los trabajos comienzan con la aplicacion de impresion, la cual envia su salida al sistema operativo local, liste utiliza el controlador de impresion solicitado por la aplicacion para dar formato al trabajo de impresi6n para la impresora en cuestion. Despues, trabaja con el software 1 cliente de red instalado para enviar el trabajo de impresion formateado a la cola de impresion, i donde el trabajo hace fila hasta que la impresora este disponible. Posteriormente, el servidor de impresion envia el trabajo a la impresora. Muchos pasos estdn involucrados en este proceso, , pero una vez que todo esta configurado, funciona sin problemas, como usted lo podra constatar J en la siguiente seccion. La figura 17-16 muestra un panorama de c6mo funciona la impresion en la red.
CONFIGURACION DE UNA IMPRESORA DE RED
Esta seccion le ensefia c6mo configurar una impresora conectada directamente a un Windows 2000 Server que pondra a disposicion de los usuarios de la red. En este caso, la impresora y su ; controlador Windows 2000 ya estan perfectamente instalados, como deberian estarlo normal- ' mente durante la instalacion del Windows 2000 Server. Si no estan perfectamente instalados, i entonces abra el folder Printers y utilice el icono Add Printers para configurar la impresora en el servidor mismo.
Usted puede configurar facilmente una impresora conectada a un servidor (o a una estaci6n i de trabajo), pero tambien otros usuarios de la red pueden acceder a ella. Sin embargo, en las redes con mas de 20 usuarios, usted se sentird mas a gusto si compra impresoras con las interfases red y servidores de impresion incorporados o utiliza cajas de servidor de impresion, que sirvan de
interfase entre una impresora y la red. Para la mayoria de las impresoras laser, agregar una inter-
fase de red dedicada y un servidor incrementa el costo de la impresora en aproximadamente 300
dolares. fete es dinero bien invertido ya que el envio de un trabajo de impresion a una impresora
requiere que el servidor de impresion lleve a cabo un gran proceso. Si este servidor de impresion
es tambien su servidor de archivos principal, su desempefto total disminuira de manera signifi-
cativa mientras imprime (y, en particular, mientras este dando servicio a trabajos de impresion
grandes). Asimismo, las impresoras que cuentan con servidores de impresion incorporados son
mucho mas faciles de reubicar en la red, pues estan en condiciones de ir a cualquier parte donde
exista una conexion de red y donde este disponible la alimentacion. Una vez conectada a la red en
un nuevo sitio, la impresora podra acceder a ella y comenzar a hacer su trabajo inmediatamente.
Los pasos siguientes lo llevan por medio de la configuracion de una impresora de red:
1. Para compartir una impresora conectada a Windows 2000 Server, primero abra el folder Printers del servidor. (Abra el menu Start, seleccione Settings y despues seleccione Printers). Usted vera todas las impresoras instaladas en el folder Printers.
2. Haga clic con el boton derecho del mouse en la impresora que desee compartir y seleccione Sharing en el menu. Aparecera la caja de dialogo Properties de la impresora, con la pestana Sharing activada, como se muestra en la figura 17-17.
3. Haga clic en el boton de opcion Shared as y despues asigne a la impresora un nornbJI compartido, por medio del cual las computadoras cliente reconoceran esa impresora. Enl este punto, usted puede hacer clic en el boton OK ya que los permisos por omision paraf una impresora compartida son para que el grupo Everyone pueda imprimir en ella. Enl general, a pesar de eso, usted necesita verificar al menos dos de los demas parametros disponibles, como sigue:
▼ Para obtener altos niveles de desempeno, debe utilizar una herramienta llamada pool de impresion, la cual le permite configurar muchas impresoras identicas, todas conec-tadas a una sola cola de impresion, que la red pueda ver como una sola impresora. Los usuarios imprimen en la impresora listada y la primera disponible proporciona el servicio. Por medio de la utilizacion del pool de impresion, usted puede tener todo un banco de impresoras que parezcan una sola para los usuarios y, dramaticamente aumentar el mimero de solicitudes de impresion que pueda manejar. Sin embargo, recuerde que las impresoras poleadas deben ser identicas ya que todas ellas utiliza-ran el mismo controlador de impresion. La figura 17-18 muestra la pestafta en la que se habilita el pool de impresion.
■ Para establecer los permisos para una impresora compartida, utilice la pestana Security de la caja de dialogo Properties de la impresora, que se muestra en la figura 17-19. Los grupos que ve asignados en la figura son las asignaciones por omision para una impresora compartida, que muestra los Administrators Permissions. Como
puede observar, se asignan tres permisos principales a cada entidad: Print, Manage Printers y Manage Documents. El grupo Everyone tiene permiso para imprimir, pero no para administrar documentos que estan en la cola. Sin embargo, un grupo especial llamado Creator Owner tiene permiso para administrar documentos. Esto significa que el usuario que envio el trabajo de impresion automaticamente tiene permiso para modificar o eliminar su propio trabajo de impresion, pero no asi los demas trabajos que esperan en la cola.
▲ Windows 2000 Server puede almacenar los controladores de impresion adecuados para un gran numero de diferentes clientes de Windows que se puedan conectar al servidor y utilizar sus impresoras. Por ejemplo, los controladores de impresion de una impresora en particular seran diferentes segun la version de Windows que corra la computadora del cliente, Windows 95, Windows 98, Windows NT 4, Windows 2000 o alguna otra. Cuando una computadora cliente abre una impresora compartida en la red, el controlador de impresion se instala automaticamente en la computadora cliente. Usted tiene control de este parametro en la pestana Sharing haciendo clic en el boton Additional Drivers, el cual muestra la caja de dialogo que aparece en la figura 17-20. Para agregar nuevos controladores, haga clic en los ti-pos de cliente adecuados que vayan a utilizar la impresora compartida en la red y,
despues, haga clic en OK. El programa inmediatamente le pide los discos o '% CD-ROM correspondientes para instalar esos controladores. Despues, Windows J 2000 Server distribuye esos controladores de impresion entre las computadoras J cliente cuando estas utilicen por primera vez la impresora. m
La configuracion de las impresoras de red en Windows 2000 Server es un proceso relati- jj vamente directo que le brinda una flexibilidad considerable en cuanto a la forma en que usted m configura y administra sus impresoras compartidas. Recuerde tambien que son posibles otros M modelos de impresion como las impresoras conectadas a la red. Consulte la documentation M que viene con dichas impresoras para encontrar los detalles acerca de como configurarlas en su red.
TRABAJO CON EL RESPALDO DE WINDOWS 2000
Para el administrador de la red, hay una tarea mas importante que cualquier otra. Esta tarea no tiene nada que ver con asegurar la red contra los intrusos, dar mantenimiento a los usuarios, disenar nuevos segmentos de red o resolver problemas en el servidor o las estaciones de trabajo.Que es entonces? Hacer respaldos de los datos regulares y confiables del sistema.
Tener la precauci6n de hacer respaldos regulares y confiables es, a menudo, un trabajo sub- i valorado, jhasta que sucede algo malo y son necesarios los respaldos, en cuyo punto se convierte en el s trabajo mas reconocido de la compania! Y no vaya a cometer un error al respecto: aunque las com- r putadoras actuales son mas confiables que nunca, existe todavia una gran variedad de formas en las que pueden fallar y perder o echar a perder informaci6n importante. Recuerde: solo existen dos tipos de administradores de red: los que han tenido fallas serias en el sistema y los que las ; tendran. Sin embargo, las fallas de hardware no son los unicos airninales: las aplicaciones o los uarios a menudo cometen errores que provocan la perdida de informacion importante. Por tanto, contar con buenas copias de los datos en multiples cintas puede eliminar este peligro.
Antes de profundizar en los detalles de como trabaja el software de respaldo de Windows 2000 Server, usted debe revisar algunos terminos clave y conceptos importantes relativos a los respaldos. f Cada objeto, archivo y folder de un servidor tiene un gran nvimero de bits de atributos aso-*. ciados con el. Algunos designan los archivos como de solo lectura, archivos del sistema o inclusi-' Ve archivos escondidos. Uno se llama archivo (a menudo se conoce con el nombre de bit archivo), el cual marca si un archivo ha sido respaldado. Windows 2000 Server mantiene un registro de los archivos que han sido modificados. En cualquier momento que se modifique un archivo en el disco, el bit de archivo se pone en "encendido". (Por lo general, esos bits se conocen como activados, que significa que estan encendidos y fijados a un valor 1, o como desactivados, que sefiala que estan apagados y fijados a un valor 0). Cuando usted respalda el sistema, los archivos respaldados tienen el bit archivo nuevamente apagado. Esta es la forma en que el sistema sabe que archivos necesita respaldar y cuales ya han sido respaldados. j, El tratamiento del bit de archivo de maneras diferentes genera los siguientes tipos de respaldo:
Respaldos normales Incluye todo lo que se ha seleccionado para respaldarse sin con siderar si los bits de archivo estan activos. Todos los bits de archivo son apagados tanpronto como cada archivo es respaldado.
Respaldos de copia Respalda todo lo que se ha seleccionado, sin considerar si los bits de archivo estan activos. Sin embargo, no modifican el estado de los bits de archivo, los cuales permanecen inalterados. Los respaldos de copia se utilizan para hacer un respaldo sin afectar una secuencia de respaldos normal, incremental y diferencial.
Respaldos incrementales Respaldan solo los archivos que tienen sus bits de archivo activados, donde el respaldo esta configurado para dejar a los bits de archivo intactos.
Respaldos diferenciales Tambien respaldan solo los archivos que tienen sus bits de archivo activos, pero el respaldo esta configurado para dejar los bits de archivo intactos.
Respaldos diarios Es un tipo especial de respaldo en Windows 2000 Server que es un respaldo diferencial, excepto que respalda solo los archivos que se modificaron en un dia determinado.
NOTA Estos son terminos que se utilizan en los respaldos de Windows 2000 Server. Otros sistemas tienen nombres ligeramente diferentes, a pesar de que los conceptos son los mismos. Por ejemplo, lo que Microsoft llama un respaldo normal, muchos otros sistemas lo llaman respaldo completo.
Ahora que ya comprendio los diferentes tipos de respaldos disponibles, puede considerar el fop uso de diferentes esquemas de rotacion de cintas, los cuales utilizan todos estos diferentes tipos ie respaldos.
El esquema mas sencillo de respaldo solo implica llevar a cabo respaldos normales todas las
Itlioches y rotar las cintas. En este modelo, existen muchas maneras eficientes de rotar las cintas.
£Una de las mejores que no consumen muchas cintas es etiquetar cuatro de ellas con los nombres
^"Lunes" a "Jueves" y utilizarlas en esos dias. Despues, etiquete cuatro cintas como 'JViernes 1",
"Viernes 2", hasta "Viernes 4", y rotelas cada semana. Despues, haga una cinta al final del mes, el
ultimo dia del mismo, y conservela para siempre. Este esquema es un buen balance entre utilizar cintas y poder ir hacia atras en el tiempo para recuperar archivos. Este esquema utiliza 20 cini al ano, en cuyo punto usted probablemente las reemplace.
PISTA Sin importer qu£ tipo de esquema de rotacidn de cintas utilice, una buena idea es configurar una cintl llamada "Archivo de empleado". Siempre que un empleado abandone la companfa, grabe sus archivos en esa^ cinta antes de removerlos del sistema y mantenga una lista de los empleados que estan en la cinta. Estofe proporcionara una referenda r£pida y una fuente de recuperacion disponible en caso de que los archivos de una persona en particular fueran necesarios en el futuro (lo cual pasa a menudo).
Otro esquema de rotacion de cintas involucra el uso de las mismas cintas como se describi6 en el esquema anterior, pero tambien implica hacer respaldos completes (normales) del sistema todos los viernes por la noche y respaldos incrementales de lunes a jueves por las noches. Debido a que solo los archivos modificados se respaldan durante la semana, se Uevan a cabo rapidamen-te. La principal desventaja de este esquema es que si el sistema se cae el viernes por la mafiana, usted debe recuperar muchas cintas a fin de poner al sistema en estado de respaldo mas reciente. Primero, debera recuperar el respaldo normal del viernes anterior y, despues, recuperar cada una de las cintas incrementales, en secuencia, hasta el dia en el que el sistema se cayo. El riesgo inherente de este esquema es el siguiente: iQue haria si una de esas cintas se danara? Su esquema completo de respaldo podria arruinarse si una de las cintas no funcionara correctamente. Aunque las cintas danadas pueden representar un alto costo en cualquier esquema, dicho costo es muy alto especialmente en este.
PISTA Aunque el programa de respaldos que este incluido en Windows 2000 Server no proporciona dicha facilidad, la mayoria de las soluciones de respaldo de una tercera instancia incluyen los esquemas de rotacion automatica de cintas. Dichos esquemas mantienen un registro de las cintas que usted necesita, cuanto tiempo las ha utilizado y curies necesita para recuperar cualquier conjunto de archivos. El uso del esquema de rotacion incluido de cualquier software de respaldo de una tercera instancia es, en general, simple y trabajan bien.
Una forma de evitar las limitaciones del esquema anterior es el uso de respaldos diferencia-les durante la semana, en lugar de usar respaldos incrementales. En consecuencia, usted debe hacer un respaldo normal todos los viernes por la noche y, despues, un respaldo diferertcial diario. Si tuviera que recuperar el sistema despues de que se haya caido la mafiana del viernes, todo k> que necesitaria recuperar serian dos cintas: una del viernes anterior y la del jueves por la noche. Esto se debe a que los respaldos diferenciales respaldan todos los archivos modificados desde el ultimo respaldo normal. El respaldo diferencial de los lunes respalda los archivos modificados los lunes, el respaldo diferencial de los martes respalda los archivos modificados los lunes y los martes, etcetera.
NOTA Una buena idea es conservar un juego de cintas recientes fuera del sitio, en el caso de que un incendio o algun otro tipo de catastrofe destruya el cuarto de computadoras. Yo recomiendo enviar el respaldo completo anterior al mas reciente de su sistema fuera del sitio y conservar la cinta mas reciente para su uso. Este consejo se basa en que, con frecuencia, se presentan situaciones donde usted debe recuperar archivos rapidamente a partir del respaldo mas reciente, por lo que debe tenerlos disponibles para este proposito. Sin embargo, usted tambien necesita conservar una cinta en rotaqj6n fuera del sitio que no pierda mucha informacion, en el caso de que suceda lo peor.
¿Existe algo que se llame muchos respaldos?
Si usted dio seguimiento al juicio del Departamento de Justicia vs. Microsoft, probablemen-te quedo perplejo ante toda la cantidad de correos electronicos que el gobierno solicito de la compaftia. Estos correos electronicos estaban disponibles ya que Microsoft contaba con buenos esquemas de respaldo de toda la informacion de su red y, aparentemente, la compaftia nunca se deshizo de nada. Como el juicio lo demostro, jconservar todo no es necesariamente la mejor idea del mundo! Estoy seguro de que Microsoft responderia a la pregunta propuesta al comienzo de esta seccion con una exclamacion "jSi, debe contar con un gran numero de respaldos!".
Comente con su departamento legal la posibilidad de establecer una politica de re-tencion de documentos y aplicarla a su base de datos de correo electronico y respaldos. La mayoria de los departamentos legales estan aterrorizados de verse involucrados en un pleito y que le soliciten "todos los correos electronicos relacionados con tal o cual asunto de junio de 1993 a septiembre de 1999". Si usted se pusiera a pensar en el esfuerzo invo-lucrado en satisfacer dicha solicitud, tambien se aterrorizaria. En el caso de un sistema de correo electronico, la tarea significaria recuperar cada respaldo del periodo en cuestion y, despues, buscar en la base de datos del correo electronico, todos los mensajes que cumplan con el criterio, recuperar la cinta siguiente y repetir todo el proceso. Si usted cuenta con cientos de cintas de correo electronico archivadas en el largo plazo, se vera en grandes problemas si trata de cumplir con dicha solicitud.
Aqui es donde lo pueden salvar las politicas de retencion de documentos. Por ejem-plo, usted puede trabajar con el departamento legal para establecer una politica donde solo conserve cuatro cintas de respaldo de sus sistema de correo electronico, dos cintas que rotan diariamente y dos que rotan cada semana. De forma que el lunes usted utiliza Daily A, el martes Daily B, y el miercoles usted sobrescribe Daily A con los datos del miercoles, etc. Usted hace lo mismo los viernes con las dos cintas semanales. Dicho esquema minimo le da la oportunidad de recuperar el sistema de correo electronico si algo llegara a suceder, pero no conserva cientos de copias al mismo tiempo. Por supuesto, cada compania tendra que hacer un balance entre la seguridad de tener mas respaldos contra los riesgos que esto involucraria. Permitame repetirle: usted debera trabajar con el departamento legal de su compania antes de implantar este tipo de planes.
utilizacion del software de respaldo de Windows 2000 Server
Windows 2000 Server incluye un programa de software de respaldo confiable y facil de utilizar. A pesar de que no cuenta con todas las facilidades de algunos programas de respaldo dispo--, rubles de terceras instancias (como el ArcServe o el Backup Exec), funciona muy bien y satisfy, face todas las necesidades. Para acceder al programa Backup, abra el menu Start y seleccione . Programs, Accessories, System Tools y despues Backup. Cuando usted comience a trabajar con . el programa, lo primero que aparecera sera su pantalla de bienvenida, como se muestra en la figura 17-21.
Backup lleva a cabo tres importantes tareas: respalda archivos, los recupera y le ayuda preparase para la reconstruction total del sistema en caso de una falla catastrofica. Los asisten a los que se acceden por medio de la pestafla Welcome trabajan bien y le permiten utilizar c6 damente todas las facilidades del programa Backup.
Para configurar un respaldo, haga clic en el boton Backup Wizard sobre la pestafta Welco y despues clic sobre Next una vez que aparezca la pantalla de bienvenida del Backup W" Enseguida, aparecera la pantalla que se muestra en la figura 17-22.
Seleccione la option adecuada, como Back up selected files, drives o network data, y despu haga clic en Next para continuar. Enseguida, usted tendra la oportunidad de seleccionar lo < desee respaldar con la pantalla Items to Back Up que se muestra en la figura 17-23.
Utilice las vistas del arbol del lado izquierdo para seleccionar los controladores, archi1 u otra parte de la computadora que quiera respaldar. Tambien puede seleccionar una catego: especial Uamada System State, que incluye toda la informacion necesaria para reconstruir el W" dows 2000 Server desde el principio, como los archivos clave del sistema, los datos del regis y cosas por el estilo. (Incluir el System State en la mayoria de los respaldos es una buena ides Despues de seleccionar lo que quiere respaldar, haga clic en Next para continuar. Usted podra la caja de dialogo Where to Store the Backup que se muestra en la figura 17-24.
Una facilidad muy buena del programa Backup es que usted puede almacenar un respaldcf en cualquier tipo de medio conectado a la computadora, incluyendo otro controlador de dis algun medio removible como las cintas, CD escribibles (CD-R o CD-RW) o controladores JAZ < ZIP. En la caja de dialogo Where to Store the Backup, seleccione el tipo destino. Luego, si usted quiere realizar un respaldo basado en archivo, asigne un nombre al equipo de respaldo. pues de hacer clic sobre Next otra vez, vera una pantalla de confirmacion que muestra todos los detalles pertinentes acerca del respaldo que desea preparar. En la pantalla de conformacion i encuentra etiquetado un boton importante con el nombre de Advanced. Si hace clic en el bo Advanced se desplazara mediante otra secuencia de cajas de dialogo en las que podra establ las propiedades siguientes:
Backup type, donde puede seleccionar los tipos de respaldo Normal, Copy, Increrrr tal, Diferential y Daily.
■ Verificar los datos de respaldo haciendo que el programa lo lea despues de que escrito y comparando su contenido con el de la fuente para estar seguros de que el paldo es correcto.
■ Anexar o sobrescribir los datos de respaldo existentes sobre el medio que seleccion6.
■ Una etiqueta para el equipo y medio de respaldo, si usted desea cambiar los nomb por omision.
A Informacion acerca de la programacion del respafldo, la cual puede utilizarse para gramar que se lleve a cabo un respaldo mas tarde, que tambien puede usarse para
figurar automaticamente trabajos de respaldo recurrentes, los cuales seran administra-dos por el servicio Scheduler de Windows 2000 Server.
Despues de terminar los parametros de Advanced, usted puede hacer clic en Next en la pan-Italla final Backup Wizard ya sea para comenzar el respaldo o para programar que comience a Icorrer a la hora que lo haya programado.
Recuperar los archivos es mas facil que respaldarlos. Para ello debe utilizar la pestana Restore o el Restore Wizard. Ambos metodos le piden primero que seleccione el medio o el archivo que utilizo para el respaldo desde el cual desea recuperar. Los metodos le permiten navegar a traves de la lista de archivos respaldados y seleccionar los que desee recuperar. Tambien tendra la oportunidad de seleccionar ya sea sobrescribir los archivos o recuperar el respaldo en otro lugar del disco.
RESUMEN DEL CAPITULO
Ningun capitulo independiente podra hacer justicia a todas las herramientas y el conocimiento nece-sarios para administrar al Windows 2000 Server de manera profesional. En este capitulo, sin embargo, usted pudo conocer como se manejan las tareas mas comunes e importantes. Si administra o va a administrar un Windows 2000 Server, debera tener un conocimiento aiin mas detallado acerca de los temas analizados en este capitulo y de las demas materias que necesitara dominar.
En particular, comience a investigar y a aprender acerca de estas importantes herramientas:
T Performance Monitor para reparar fallas, afinar el desempeno y supervisar en linea las estadisticas importantes del servidor. Performance Monitor puede configurarse para tomar ciertas acciones cuando se disparen las alarmas que usted programo, como el en-vio de una senal audible (beep) o de mensajes de alerta a otras computadoras de la red. Es tambien una herramienta extremadamente util para resolver cualquier problema de desempeno que encuentre.
■ La capacidad de Event Viewer para encontrar y diagnosticar problemas en Windows 2000 Server es clave. Usted debe utilizar Event Viewer de manera regular (yo recomien-do utilizarlo diariamente) para ver nuevos eventos y decidir si necesitan su atencion inmediata. Usted puede utilizar Event Viewer para almacenar los reportes de Windows 2000 de forma periodica, creando un registro de largo plazo de mensajes de error e in-formacion almacenados en sus registros.
■ Network Monitor es una herramienta avanzada para la captura de paquetes en la red y el despliegue de informacion acerca de ellos. Tambien reporta las diferentes estadisticas de la red que puedan ser utiles para reparar problemas relativos al desempeno de la red.
▲ Scheduled Tasks puede utilizarse para programar tareas recurrentes que usted desee llevar a cabo frecuentemente en su servidor, como busquedas de virus (con software de virus de otros proveedores), defragmentacion de discos y prueba de estos.
Estas son algunas de las herramientas clave que usted debe aprender a utilizar para la adminis-tracion basica de Windows 2000 Server. En el capitulo siguiente, tambien podra leer acerca de otras herramientas utilizadas para administrar las facilidades avanzadas de Windows 2000 Server.
CAPlTUL018
Otros servicios de Windows 2000 Serve
Una de las fortalezas de Windows 2000 es que puede hacer muchas cosas y cumplir, muchos roles. Windows 2000 Server no solo es un servidor de impresion y de archiv poderoso y eficaz, sino que tambien es extremadamente eficiente en el desempenol muchas tareas una vez que se pone a funcionar.
Los capitulos anteriores le ensefiaron como configurar Windows 2000 Server como un i vidor de impresion y archivos basico y como administrarlo todos los dias. Este capitulo pre un panorama de otros servicios de Windows 2000 disponibles, pero hace hincapie en los servicio que proporciona este servidor. Para obtener el mayor provecho de el, usted necesita conocer < servicios adicionales le puede prestar, como trabajan y que hacen. Puede encontrar instrucciori detalladas acerca de como implantar estos servicios mediante un libro sobre Windows 2000 Seii ver que estudie, a detalle, los servicios que desea instalar.
EXPLORACION DEL PR0T0C0L0 DE CONFIGURACION DINAMICA DE ANFITRION (DHCP);
Si usted ha estado involucrado en las computadoras por mucho tiempo, probablemente re! cuerde como se administraban las direcciones TCP/IP manualmente (jy quiza todavia lo siga haciendo!). Usted tenia que ir a cada computadora de la red para configurar su direccid TCP/IP de forma manual. Tambien tenia que guardar un registro de que computadoras usa-* ban que direcciones, ya que contaba con un niimero limitado con las cuales trabajar. Ademfe,* como probablemente sepa, cuando dos computadoras de la red tratan de utilizar la mist direccion TCP/IP, se presentan muchos problemas y se tiene que invertir tiempo en la solucid de ellos.
DHCP le resuelve estos problemas. Un servidor DHCP es una computadora de la red qui conserva un registro de las direcciones TCP/IP que estan disponibles y las distribuye enfc las computadoras y otros dispositivos que arrancan y solicitan una direccion IP del servidorl Con este tipo de servidor usted no necesita preocuparse acerca de los conflictos de direcciones I de tener que reenumerar las que se utilizan en las computadoras si su rango de direccione TCP/IP nunca se modifica (como usualmente sucede cuando usted cambia ISP en su conexio" a Internet).
NOTA Debido a que TCP/IP es el protocolo por omision de las redes basadas en Windows 2000 Server! a que este servidor esta disenado para funcionar correctamente solo en redes TCP/IP, los servicios DHC son importantes y se encuentran instalados por omision en Windows 2000 Server. Sin embargo, los sen DHCP no estan habilitados por omision, puesto que es importante que nunca se configuren servidores DHC en conflicto en una red.
Para utilizar el DHCP, usted debe definir un alcance y otros parametros TCP/IP asociado que los servidores asignan a las computadoras cliente. El alcance es simplemente el rango (o ra gos) de direcciones TCP/IP que se le permite distribuir al servidor. Entre los parametros ciados TCP/IP que el servidor distribuye se encuentran las direcciones de los servidores DNSl WINS que forman parte de la red. Cuando un servidor DHCP asigna una direccion TCP/IP a i computadora cliente, se dice que la direccion es rentada )j se mantiene asignada a esa computadQ ra cliente por un periodo fijo. En general, las rentas se configuran para que tengan una durac de dos a siete dias. (El parametro por omision de Windows 2000 es de ocho dias). Durante este periodo, la direccion TCP/IP asignada no se le da a otra computadora.
Cuando una computadora cliente arranca y se une a la red, si esta configurada para buscar un
1 servidor DHCP, procede a buscarlo mientras inicia su pila de protocolos TCP/IP. Cualquier servi-
dor DHCP que se encuentre disponible en ese momento respondera a la solicitud de una direccion
por parte del cliente, con una direccion disponible en la base de datos del servidor DHCP. Luego, la
computadora cliente utilizara esta direccion durante el periodo que dure su renta.
El administrador puede cancelar y reasignar informacion TCP/IP cuando sea necesario. (En general, lo hara despues del horario de trabajo, cuando las computadoras cliente se en-cuentren apagadas). El administrador podra entonces hacer modificaciones en la informacion referente al alcance del DHCP, la cual sera comunicada posteriormente a los clientes cuando estos se reconecten a la red. De esta forma, usted podra facilmente hacer cambios a informacion como direcciones DNS del servidor o mas aun, rangos de direcciones TCP/IP, sin tener que ir a cada computadora.
PISTA Para acceder al DHCP en Windows 2000 Server, abra el menu Start, despues seleccione Programs Administrative Tools DHCP.
Aunque el DHCP es una magnifica herramienta para administrar direcciones TCP/IP, usted debera utilizarlo en computadoras cliente que no almacenen ningun servicio TCP/IP que sea pro-porcionado a otras computadoras. Por ejemplo, no debe configurar un servidor web con DHCP para obtener una direccion TCP/IP dinamica ya que, entonces, las computadoras cliente que deseen conectarse al servidor web no podran encontrar la direccion cuando esta cambie. En lugar de eso, usted debe asignar direcciones fijas a computadoras que ofrezcan servicios que cuenten con TCP/IP ya sea a la red local o a traves de Internet. Puede asignar estas direcciones en una de dos formas: primero, usted puede asignar localmente a esas computadoras direcciones TCP/IP fijas y despues configurar rangos de exclusion al alcance que el servidor DHCP administre, lo cual evita que este utilice u ofrezca esas direcciones a otras computadoras. Segundo, usted puede configurar una reservacion en el servidor DHCP, la cual obliga al servidor a que siempre asigne la direccion reservada a una computadora especifica.
PISTA Es una buena idea utilizar direcciones IP estates para sus impresoras de red, pues ello le permite que la reparation de problemas relacionados con la conectividad de la impresora sea mas tacil.
INVESTIGACION DEL SISTEMA DE NOMBRES DE DOMINIO (DNS)
DNS es una tecnologia que permite recordar con facilidad los nombres que seran comparados con las direcciones y los puertos TCP/IP. Por ejemplo, cuando usted utilice un navegador de web e ingrese la direccion http://www.yahoo.com, utilizara un servidor DNS para encontrar el nom-bre de dominio www.yahoo.com que corresponde a una direccion TCP/IP en particular. Su navegador de la web utiliza transparentemente la direccion TCP/IP para comunicarse con el servidor en cuestion. El sistema DNS hace que Internet sea mas facil de usar. (Imagine que emocionados estarian los anunciantes al decir "Visite nuestro sitio web en http://65.193.55.38!")-
Windows 2000 Server incluye un servidor DNS completo. En realidad, se requiere un se dor DNS para que funcione el Directorio Activo. Si usted instala el primer servidor de Directc Activo en un dominio Windows 2000, los servicios DNS se instalan de manera automatica-otra forma, tiene que seleccionarlos manualmente si desea agregarlos.
Usted administra los servicios DNS con el plug-in DNS Management Console, al cual usted accesa si abre el menu Start y selecciona Programs I Administrative Tools I DNS. La figura 18-1" muestra el plug-in del DNS.
Cuando instala el DNS en una organizacion, primero debe establecer un espacio de nom-bre raiz (un lugar virtual en el que se almacenan los nombres de dominio), generalmente utili-zando el nombre de dominio que registro en Internet, como ohm.com. Luego puede crear sio propios subdominios apartando unidades organizacionales o geograficas, como italy.ohm.com • o accounting.ohm.com. Un Windows 2000 Server que corra los servicios DNS puede adminis-<> res DNS, cada uno de los cuales administrara una porcion del espacio nombre dominio. Cadi servidor DNS es responsable del almacenamiento de todos los nombres DNS que se utilizaron para su espacio nombre administrado y para comunicar cualquier cambio a otros servidoreS DNS. Cuando usted utiliza servidores DNS multiples para administrar porciones separadas1 de su espacio nombre DNS, cada servidor DNS administra una zona. Las actualizaciones en
diferentes zonas se llaman transferencias de zona. Los servicios DNS de Windows 2000 soportan ?tanto transferencias de zona completas como incrementales. (Las transferencias incrementales de rzona intercambian solo informaci6n actualizada, que aligeran considerablemente el trafico en las jjedes con muchos espacios nombre del DNS).'y Debido a que el DNS es una parte integral del Active Directory, es importante que usted
i establezca redundancia para sus servidores DNS. Microsoft recomienda que cada controlador de dorninio tambien achie como servidor DNS, y debera tener al menos un servidor principal y otro secundario para cada una zona administrada. (En redes pequenas, es posible —y probablemente deseable debido a los problemas de costos— utilizar solo un servidor DNS).
NOTA Antes de Windows 2000 Server, las redes TCP/IP basadas en Windows utilizaban en realidad dos sistemas diferentes de nombres. El primero empleado con TCP/IP era DNS. El segundo, utilizado con NetBIOS y NetBEUI, era Windows Internet Name Service (WINS). En Windows 2000 Server, los servicios DNS pueden tambien configurarse para ofrecer servicios WINS a la red para las computadoras convencionales. Sin embargo, para navegar por la red la mejor alternativa posible es migrar al DNS.
COMPARACION DEL SERVICIO DE ACCESO REMOTO (RAS) Y EL RRAS
El RAS (se pronuncia razz) ofrece una manera para que usted configure el soporte de marca-
cion interna a su red donde las computadoras de cliente remoto forman una conexion de nodo
remoto hacia la red mediante algunas formas de conexion conmutada. Estas conexiones pueden
hacerse con modems y lineas telefonicas o con conexiones ISDN. (Por supuesto, ambos lados de la conexion RAS deben soportar el tipo de conexion que se utilice). Los servicios RAS le permiten configurar Windows 2000 Server facilmente para que actiien como un servidor RAS en la red y los usuarios remotos puedan conectarse al servidor para poder acceder a los recursos de la red. Routing and Remote Access Service (RRAS, que se pronuncia ar-razz) es tambien una
tecnolo-gia de acceso remoto, pero incluye facilidades de enrutamiento que le permiten a las conexiones a la red a traves de una red publica —como Internet— utilizar tecnologia de red privada virtual (VPN). Una VPN funciona mediante la instalacion de un "tunel" seguro entre un cliente y el servidor RRAS a traves del cual se transfieren los paquetes encriptados. La computadora cliente marca a su ISP normal de Internet y, despues establece una conexion VPN segura con el RRAS atraves de Internet.
NOTA La tecnologia VPN se estudia en el capitulo 10.
RAS y RRAS se administran por medio de la misma herramienta en Windows 2000 Server.
Abra el menu Start y despues seleccione Programs I Administrative Tools I Routing and Remote Access para acceder al plug-in MMC. Despues de que el plug-in se inicie, haga clic con el boton derecho del mouse en el servidor en el que desea permitir el acceso remoto y, posteriormente, seleccione Configure and Enable Routing and Remote Access. Un asistente muy util lo guiara en el proceso y le permitira seleccionar si habilita solo el acceso remoto, solo enrutamiento/acceso remoto, o ambos. La figura 18-2 muestra el plug-in Routing and Remote Access una vez que el RRAS ha sido habilitado.
Los servicios de acceso remoto bajo Windows 2000 Server son seguros y brindan una f] bilidad considerable para que usted pueda configurarlos en la forma que quiera. Primero, de habilitar a un usuario para acceder a la red de forma remota, lo cual puede hacer mediante la cion de la caja de dialogo Properties del usuario (vea el capitulo 17). Despues, puede configur el RRAS para que utilice un gran niimero de facilidades de control que le permitan mantener acceso remoto en forma segura, lo cual incluye:
Establecer horas y dfas cuando se desee que el acceso remoto funcione.
■ Establecer horas y dias en los cuales usuarios y grupos especificos puedan utilizar el acceso remoto.
■ Limitar el acceso solo al servidor RRAS o a los servicios especificos de la red.
■ Utilizarlas facilidades de retro-llamada, que permiten que un cliente remoto marque: hacia la red e ingrese a ella. Despues, la red desconecta la conexion y marca al usuario a un niimero telefonico predefinido.
▲ Establecer polfticas de acceso con base en el nombre de la computadora del cliente remoto o la direccion TCP/IP.
Por medio del uso del RAS y el RRAS, usted puede facilmente configurar el Windows 2000 Server para ofrecer a los usuarios remotos importantes servicios de acceso seguro, tanto a traves de conexiones telefonicas como de Internet.
EXPLORACION DEL SERVIDOR DE INFORMACION DE INTERNET (IIS)
Windows 2000 Server incluye una serie de servicios de Internet que se ofrecen como parte de IIS. El IIS incluye servicios FTP, SMTP y NNTP, cada uno de los cuales puede iniciarse o detenerse de manera independiente. El IIS se administra mediante un programa Internet Services Manager que se encuentra en el grupo de programas Administrative Tools. La figura 18-3 muestra el Internet Services Manager.
Los servicios de web IIS ofrecen un software anfitrion de web muy completo. Usted puede definir multiples sitios web con el IIS, cada uno de los cuales es administrado de manera independiente. Para cada sitio, usted especifica el directorio en el que pueden encontrarse los archivos de cada uno asi como los parametros de seguridad para ese sitio y los parametros de desempeno para optimizar su desempeno.
Los servicios FTP del IIS le permiten ccnfigurar un sitio FTP en una computadora con dows 2000 Server. Usted define el directorio FTP, asi como si las listas de directorio se m ran en formatos estilo UNIX o MS-DOS. Tambien puede fijar los parametros de seguridad r> permitir, o no, que las diferentes computadoras cliente o redes cliente accedan al servidor FTP especificar si va a permitir accesos FTP anonimos.
El servidor NNTP en el IIS le permite configurar su propio sitio estilo Usenet mediante empleo del protocolo NNTP. Los clientes pueden conectarse a su servidor NNTP a traves de" rramientas, como Outlook Express u otros lectores de noticias Usenet.
Por ultimo, el servidor Simple Mail Transfer Protocol (SMTP) permite que se puedan fo-conexiones SMTP entre el sistema que corre bajo IIS y los sistemas de correo remoto SMTP. Q SMTP es el protocolo estandar para intercambiar correo electronico a traves de Internet.
EMPLEO DE SERVICIOS DE GRUPO
Windows Cluster Services le permite combinar dos o mas servidores en un cluster. Puede configurar estos agrupamientos para cumplir con uno de los dos papeles que juegan los agrupamientos:
▼ Los agrupamientos para el balanceo de la carga de la red le permiten compartir servicios basados en TCP/IP —como el servidor de web— entre hasta 32 servidores Windows 2000.
▲ Los agrupamientos de servidores proporcionan soporte contra fallas en caso de que uno de los servidores falle. Los dos servidores comparten un arreglo de disco comun asf como el acceso al arreglo de los diferentes servicios y aplicaciones que cada uno correj Usted puede Uevar a cabo el balanceo de carga limitado si corre algunos servicios ( un servidor y otros en otro. Si uno de los servidores falla, el otro retoma sus tare de forma transparente. Los agrupamientos de servidores tambien le permiten trans-j ferir servicios de un servidor a otro, lo cual es de mucha utilidad cuando se realizan actualizaciones de agrupaciones que funcionan sin tener que sacar de operacion alj agrupamiento.
Los Cluster Services son una herramienta invaluable para construir redes de alto desempefto' y disponibilidad. Sin embargo, la instalacion, el cuidado y la alimentacion de los agrupamientos son temas complicados. Si necesita utilizar agrupamientos, debe leer cuidadosamente la docu-, mentacion de Microsoft relativa a su instalacion y mantenimiento, y considerar la compra de un) libro que se dedique al estudio de los agrupamientos en Windows 2000.
SERVICIOS DE TERMINAL DE WINDOWS
El ultimo servicio que se estudia en este capitulo, pero que posiblemente es uno de los mas utiles es el Windows Terminal Services (WTS). Los WTS le permiten instalar un Windows 2000 Server casi como si fuera un equipo grande, esto es, donde las terminales puedan conectarse y todo el trabajo lo llevara a cabo una computadora central, la cual, en este caso, seria una computadora Windows 2000 Server. Una computadora cliente se conecta al Servidor Terminal mediante una conexion TCP/IP, ya sea a traves de una conexion conmutada o una conexion LAN/WAN y se firma en el sistema. De ahora en adelante, la computadora cliente es responsable solo de desplegar pantallas y aceptar la entrada del teclado y del raton; todo el trabajo, en realidad, lo Ueva a cabo el Terminal Server por medio de la creacion de una maquina virtual Windows en el servidor. Un Terminal Server puede crear muchas maquinas virtuales Windows, cada una de las cuales realiza sus propias tareas y corre sus propios programas.
^Cuando utilizara una conexion Terminal Server en una red en lugar de una conexion de nodo remoto, como las proporcionadas via RAS y RRAS? La respuesta depende de un gran nu-mero de factores, de los cuales pueden ser considerados los siguientes:
La computadora remota no cuenta con los recursos adecuados para correr algunas aplicaciones y llevar a cabo alguna tarea. Si corre sus programas en la Terminal Server, la computadora remota puede aprovechar los recursos de este. Por ejemplo, suponga que una aplicacion en particular corre en forma optima solo cuando cuenta para trabajar con 2 GB de RAM. En un caso como este, un simple cliente Windows XP con 384 MB de RAM puede conectarse al Terminal Server (que tiene 2-4 GB de RAM) y corre la aplicacion en cuestion. De manera similar, algunas aplicaciones pueden requerir muchos procesadores o acceso directo a arreglos grandes de discos o a algiin otro recurso local al que el Terminal Server tenga acceso.
■ A traves de conexiones de poco ancho de banda, por modem a 33.6 Kbps, algunas aplicaciones trabajan de manera mas eficiente utilizando una forma de control remoto que el metodo del nodo remoto. La mayoria de las conexiones de acceso remoto son de bajo ancho de banda y, sin embargo, algunas aplicaciones necesitan gran ancho de banda para trabajar adecuadamente. Debido a que la computadora remota conectada al Terminal Server solo tiene que transferir informacion de despliegue y de entrada, la aplicacion que corre en el Terminal Server puede hacerlo de una manera mas rapida que la que lo haria a traves de una conexion de nodo remoto.
▲ Algunas aplicaciones y tareas, como la administration de un Windows 2000 Server, no pueden llevarse a cabo totalmente por otra computadora incluso si esta contara con una conexion que corriera a velocidades de LAN. Los Terminal Services permiten que una computadora remota corra esas aplicaciones solo si cuenta con los permisos apropiados. Por ejemplo, suponga que su compania tiene una red remota localizada en algun lugar de Asia, pero que la red no fuera lo suficientemente grande como para justificar un administrador local. Si utiliza los Terminal Services, usted podria conectarse a esa red a traves de la WAN de la compania y llevar a cabo todas las tareas ad-ministrativas, como la configuration de los discos duros, las comparticiones (recursos compartidos), los protocolos de red adicionales, etcetera.
Ciertas aplicaciones podrian requerir el uso de los Terminal Services. Sin embargo, en cual-quier caso, usted debera considerarlos como un plus a los servicios de acceso remoto. Si tuvie-ra que proporcionar soporte a muchos usuarios remotos, encontrara que algunos de ellos tienen necesidades que se satisfarian mejor con conexiones a nodos remotos y otros tendrian necesidades que se cubririan mejor con conexiones de control remoto. Correr ambos servicios en su red le proporcionara una flexibilidad adicional considerable en el soporte de los usuarios remotos y en la resolution de cualquier problema que ellos pudieran encontrar.
RESUMEN DEL CAPITULO
La familia de Windows Server, que incluye el Windows 2000 Server, es quizas el ambiente N mas rico disponible en la actualidad. Mientras que otros productos NOS pueden llevar a c todos las tareas que se describen en este capitulo, ninguno incluye todas las facilidades que c ce NOS, sino que requieren compras adicionales. Debido a la gran cantidad de facilidades proporciona el Windows 2000 Server, usted podra conformar mas facilmente un servidor que tisfaga casi cualquier necesidad que pueda tener. Y debido a que los diferentes servicios VV dows 2000 Server trabajan muy bien en conjunto, justed podra implantar facilmente casi tod estos servicios avanzados en un solo servidor! Esta flexibilidad "fuera de la caja" y facilidad administracion es una de las razones que explica por que la familia Windows Server de siste" operativos de red ha ganado una ventaja competitiva en el mercado de los NOS, por que logrado un lugar en el mercado tan rapidamente en los ultimos anos y por que es muy probabl que Windows 2000 Server continue con esta tendencia.
