Subnet

En los dominios de AD, sean de W2000 o posteriores, se definen Sitios de AD, que son un conjunto de subredes (mínimo una) con
muy buena comunicación entre ellas y que disponen de al menos un controlador de dominio. Los DCs de un mismo Sitio replican
prácticamente de inmediato, mientras que los de distintos Sitios lo hacen en función de la programación y enlaces de réplica que
hayas definido entre Sitios.
Las subredes las defines en Sitios y Servicios de AD, y al hacerlo tienes que asociarlas a un Sitio de AD existente. Al hacerlo
así, cuando un equipo se inicia busca un DC de su Sitio para iniciar sesión, y sólo si no hay ninguno disponible intentará
buscar un DC en otro Sitio. Por eso es importante tener definidas las subredes y asociadas al Sitio correcto.
En cuanto a como crear un servidor ftp, más fácil imposible: panel de control, agregar y quitar programas, componentes de
Windows, e instalas Internet Information Server asegurándote de que marcas la casilla del servidor ftp. Con eso ya tienes un
sitio ftp creado, cuyo contenido se corresponde con la carpeta :\inetpub\ftproot, y que podrás configurar con la herramienta de
administración de IIS. Por supuesto, puedes crear tantos sitios ftp como quieras (por cierto, el concepto sitio en ftp no tiene
nada que ver con los Sitios de AD del párrafo anterior).
Por fin, el asistente de configuración de seguridad te permite aumentar la seguridad de tu servidor deshabilitando servicios no
usados y configurando puertos en el cortafuegos, pero aunque no está mal, corres el riesgo de que te deshabilite más de lo
necesario, así que si lo usas repasa muy bien todas y cada una de las opciones (y hay cientos) para asegurarte de que te hace
exactamente lo que quieres que te haga.

Un saludo

José Antonio Quílez
Sevilla - España
http://msmvps.com/blogs/quilez/

Visitad los nuevos foros de Technet en Español
http://forums.microsoft.com/TechNet...px?SiteID0


"Susan Salas" escribió en el mensaje news:

hola a todos !!!
tengo algunas preguntas, gracias por su ayuda.

para que sirve una subnet en windows 2003 server, como la utilizo?

puedo crear un servidor ftp en windows 2003 server, como ??

dentro de agregar programas de windows, hay una opcion que se llama Security Configuration Wizard, para que sirve?? me ayuda a
darle mas seguridad a mi servidor??

saludos y gracias de nuevo

Susan Salas

Jose Antonio!
eso significa que puedo crear otra subred distinta a la que tengo
actualmente 192.168.162.xxx y poder tener en esta a un grupo de usuarios
por ejemplo lo que tienen salida a internet y en otra subred los que no??

gracias por tu ayuda.

Susan Salas


José Antonio Quílez [MS MVP] escribió:

En los dominios de AD, sean de W2000 o posteriores, se definen Sitios de AD, que son un conjunto de subredes (mínimo una) con
muy buena comunicación entre ellas y que disponen de al menos un controlador de dominio. Los DCs de un mismo Sitio replican
prácticamente de inmediato, mientras que los de distintos Sitios lo hacen en función de la programación y enlaces de réplica que
hayas definido entre Sitios.
Las subredes las defines en Sitios y Servicios de AD, y al hacerlo tienes que asociarlas a un Sitio de AD existente. Al hacerlo
así, cuando un equipo se inicia busca un DC de su Sitio para iniciar sesión, y sólo si no hay ninguno disponible intentará
buscar un DC en otro Sitio. Por eso es importante tener definidas las subredes y asociadas al Sitio correcto.
En cuanto a como crear un servidor ftp, más fácil imposible: panel de control, agregar y quitar programas, componentes de
Windows, e instalas Internet Information Server asegurándote de que marcas la casilla del servidor ftp. Con eso ya tienes un
sitio ftp creado, cuyo contenido se corresponde con la carpeta :\inetpub\ftproot, y que podrás configurar con la herramienta de
administración de IIS. Por supuesto, puedes crear tantos sitios ftp como quieras (por cierto, el concepto sitio en ftp no tiene
nada que ver con los Sitios de AD del párrafo anterior).
Por fin, el asistente de configuración de seguridad te permite aumentar la seguridad de tu servidor deshabilitando servicios no
usados y configurando puertos en el cortafuegos, pero aunque no está mal, corres el riesgo de que te deshabilite más de lo
necesario, así que si lo usas repasa muy bien todas y cada una de las opciones (y hay cientos) para asegurarte de que te hace
exactamente lo que quieres que te haga.

Un saludo

Sí, perfectamente, pero si están en la misma red física ten cuidado, pues no es la mejor manera de separar funcionalidades, ya
que hay que tener en cuenta varias cosas para que todo funcione correctamente. En primer lugar, ¿los servidores, en que subred
están? A los PCs que estén en la otra subred les tienes que facilitar el camino para que accedan a los servidores. Si están en
una red física distinta entonces tendrás routers separándolas que sabrán encaminar los paquetes, pero si están en la misma en
principio no se van a ver. Hay switches de calidad que son capaces de gestionar vlans y redireccionar entre ellas, que en ese
caso es la mejor opción, o bien usar un router que redireccione dentro de la misma red física. Por fin, otra opción sería usar
un servidor con dos tarjetas de red y el servicio de enrutamiento y acceso remoto habilitado (es lo mismo que tener un router
redireccionando en la misma red física), preferiblemente uno que no sea el DC para no complicar un poco más las cosas.
Si sólo tienes una subred y lo que quieres es que unos salgan a internet y otros no, es mucho más sencillo simplemente a los
que no quieres que salgan a internet no les pongas puerta de enlace en su configuración tcpip, y por supuesto que no sean
administradores de sus equipos para que no puedan cambiar esa configuración. Una opción mejor aún es separar la red de internet
con un servidor Microsoft ISA Server, y de esa manera puedes perfectamente controlar la salida a internet independientemente de
que los usuarios sean administradores de sus equipos o no.

Saludos

José Antonio Quílez
Sevilla - España
http://msmvps.com/blogs/quilez/

Visitad los nuevos foros de Technet en Español
http://forums.microsoft.com/TechNet...px?SiteID0


"Susan Salas" escribió en el mensaje news:

Jose Antonio!
eso significa que puedo crear otra subred distinta a la que tengo actualmente 192.168.162.xxx y poder tener en esta a un grupo
de usuarios por ejemplo lo que tienen salida a internet y en otra subred los que no??

gracias por tu ayuda.

Susan Salas


José Antonio Quílez [MS MVP] escribió:

En los dominios de AD, sean de W2000 o posteriores, se definen Sitios de AD, que son un conjunto de subredes (mínimo una) con
muy buena comunicación entre ellas y que disponen de al menos un controlador de dominio. Los DCs de un mismo Sitio replican
prácticamente de inmediato, mientras que los de distintos Sitios lo hacen en función de la programación y enlaces de réplica
que hayas definido entre Sitios.
Las subredes las defines en Sitios y Servicios de AD, y al hacerlo tienes que asociarlas a un Sitio de AD existente. Al
hacerlo así, cuando un equipo se inicia busca un DC de su Sitio para iniciar sesión, y sólo si no hay ninguno disponible
intentará buscar un DC en otro Sitio. Por eso es importante tener definidas las subredes y asociadas al Sitio correcto.
En cuanto a como crear un servidor ftp, más fácil imposible: panel de control, agregar y quitar programas, componentes de
Windows, e instalas Internet Information Server asegurándote de que marcas la casilla del servidor ftp. Con eso ya tienes un
sitio ftp creado, cuyo contenido se corresponde con la carpeta :\inetpub\ftproot, y que podrás configurar con la herramienta
de administración de IIS. Por supuesto, puedes crear tantos sitios ftp como quieras (por cierto, el concepto sitio en ftp no
tiene nada que ver con los Sitios de AD del párrafo anterior).
Por fin, el asistente de configuración de seguridad te permite aumentar la seguridad de tu servidor deshabilitando servicios
no usados y configurando puertos en el cortafuegos, pero aunque no está mal, corres el riesgo de que te deshabilite más de lo
necesario, así que si lo usas repasa muy bien todas y cada una de las opciones (y hay cientos) para asegurarte de que te hace
exactamente lo que quieres que te haga.

Un saludo

Gracias Jose, segun tu explicacion me parece que es mejor integrar el
isa server 2000 que tengo, te comento como estoy actualmente con el
hardware... tengo un servidor con w2003 es DC, DHCP, AC, RAS, con dos
tarjetas, una recibe el internet y con la otra pasa a mi lan, pero yo
dispongo de mas ips publicas, asi que quiero dejar una sola para los que
accesan desde afuera y otra para los que salen de la lan al internet, el
servidor isa que te comento no lo tengo conectado, esta sobre w2000, no
necesito que mis usuarios internos accesen al servidor desde la lan,
prefiero que accesen via vpn, pero si necesito que tengan internet, como
debo agregar el servidor con el isa?? en que servidor deben loguearse
para salir via internet?? puedo o debo crear otro controlador de
dominio???, desde ya gracias por tu ayuda, esta siendo muy valiosa.

saludos

Susan Salas



José Antonio Quílez [MS MVP] escribió:

Sí, perfectamente, pero si están en la misma red física ten cuidado, pues no es la mejor manera de separar funcionalidades, ya
que hay que tener en cuenta varias cosas para que todo funcione correctamente. En primer lugar, ¿los servidores, en que subred
están? A los PCs que estén en la otra subred les tienes que facilitar el camino para que accedan a los servidores. Si están en
una red física distinta entonces tendrás routers separándolas que sabrán encaminar los paquetes, pero si están en la misma en
principio no se van a ver. Hay switches de calidad que son capaces de gestionar vlans y redireccionar entre ellas, que en ese
caso es la mejor opción, o bien usar un router que redireccione dentro de la misma red física. Por fin, otra opción sería usar
un servidor con dos tarjetas de red y el servicio de enrutamiento y acceso remoto habilitado (es lo mismo que tener un router
redireccionando en la misma red física), preferiblemente uno que no sea el DC para no complicar un poco más las cosas.
Si sólo tienes una subred y lo que quieres es que unos salgan a internet y otros no, es mucho más sencillo simplemente a los
que no quieres que salgan a internet no les pongas puerta de enlace en su configuración tcpip, y por supuesto que no sean
administradores de sus equipos para que no puedan cambiar esa configuración. Una opción mejor aún es separar la red de internet
con un servidor Microsoft ISA Server, y de esa manera puedes perfectamente controlar la salida a internet independientemente de
que los usuarios sean administradores de sus equipos o no.

Saludos

Hay varias maneras de montarlo, pero básicamente lo que tienes que hacer es que el DC no sea el que tiene una tarjeta a la red y
otra a internet, ya que eso es causa de múltiples problemas en un DC, sino que el que tiene que tener las dos tarjetas es el ISA
server. En éste es en el que controlas las entradas y salidas de internet, y todos los clientes tienen que tener como servidor
DNS al DC y sólo a éste, el DC reenviar en su DNS al ISA (el cual tendrá configurados los DNS de internet), y todos tener como
puerta de enlace la ip privada del ISA (o al menos los que quieras que salgan a internet). Esta configuración también depende de
cómo hayas configurado el ISA y del tipo de cliente ISA server que uses, pero en principio te funcionará.

José Antonio Quílez
Sevilla - España
http://msmvps.com/blogs/quilez/

Visitad los nuevos foros de Technet en Español
http://forums.microsoft.com/TechNet...px?SiteID0


"Susan Salas" escribió en el mensaje news:

Gracias Jose, segun tu explicacion me parece que es mejor integrar el isa server 2000 que tengo, te comento como estoy
actualmente con el hardware... tengo un servidor con w2003 es DC, DHCP, AC, RAS, con dos tarjetas, una recibe el internet y
con la otra pasa a mi lan, pero yo dispongo de mas ips publicas, asi que quiero dejar una sola para los que accesan desde
afuera y otra para los que salen de la lan al internet, el servidor isa que te comento no lo tengo conectado, esta sobre
w2000, no necesito que mis usuarios internos accesen al servidor desde la lan, prefiero que accesen via vpn, pero si necesito
que tengan internet, como debo agregar el servidor con el isa?? en que servidor deben loguearse para salir via internet??
puedo o debo crear otro controlador de dominio???, desde ya gracias por tu ayuda, esta siendo muy valiosa.

saludos

Susan Salas



José Antonio Quílez [MS MVP] escribió:

Sí, perfectamente, pero si están en la misma red física ten cuidado, pues no es la mejor manera de separar funcionalidades,
ya que hay que tener en cuenta varias cosas para que todo funcione correctamente. En primer lugar, ¿los servidores, en que
subred están? A los PCs que estén en la otra subred les tienes que facilitar el camino para que accedan a los servidores. Si
están en una red física distinta entonces tendrás routers separándolas que sabrán encaminar los paquetes, pero si están en la
misma en principio no se van a ver. Hay switches de calidad que son capaces de gestionar vlans y redireccionar entre ellas,
que en ese caso es la mejor opción, o bien usar un router que redireccione dentro de la misma red física. Por fin, otra
opción sería usar un servidor con dos tarjetas de red y el servicio de enrutamiento y acceso remoto habilitado (es lo mismo
que tener un router redireccionando en la misma red física), preferiblemente uno que no sea el DC para no complicar un poco
más las cosas.
Si sólo tienes una subred y lo que quieres es que unos salgan a internet y otros no, es mucho más sencillo simplemente a los
que no quieres que salgan a internet no les pongas puerta de enlace en su configuración tcpip, y por supuesto que no sean
administradores de sus equipos para que no puedan cambiar esa configuración. Una opción mejor aún es separar la red de
internet con un servidor Microsoft ISA Server, y de esa manera puedes perfectamente controlar la salida a internet
independientemente de que los usuarios sean administradores de sus equipos o no.

Saludos