Amenazas y contramedidas
Capítulo 7: Servicios del sistema
Los servicios del sistema se describen de modo diferente a las demás configuraciones de esta guía puesto que las declaraciones de vulnerabilidad, contramedidas e impacto potencial son prácticamente idénticas para todos ellos. Al instalar Microsoft® Windows Server™ 2003 o Microsoft Windows® XP, algunos servicios se instalan y configuran para que se ejecuten de forma predeterminada cuando se inicia el equipo. Hay menos servicios predeterminados de los que había en Windows 2000 Server, y en el caso de Windows Server 2003, los servicios específicos variarán de acuerdo con la función que se asigna a cada servidor. Tal vez no necesite todos los servicios predeterminados en su entorno, por lo que debe deshabilitar aquellos servicios innecesarios para reforzar la seguridad. En este capítulo se ayudará a identificar la función y el propósito de cada servicio, y se explicará qué servicios se dejaron habilitados en Windows Server 2003 y Windows XP para garantizar la compatibilidad de las aplicaciones, la compatibilidad de los clientes o para facilitar la administración de sistemas informáticos. El libro de Microsoft Excel® "Configuración de la seguridad y los servicios predeterminados de Windows" que acompaña a la versión descargable de esta guía, documenta la configuración predeterminada de los servicios del sistema. En esta página
Descripción general de los serviciosUn servicio debe iniciar sesión para obtener acceso a los recursos y objetos en el sistema operativo, y en la mayor parte de los servicios no se puede cambiar la cuenta de inicio de sesión predeterminada. Si cambia la cuenta predeterminada, es probable que el servicio falle. Si selecciona una cuenta que no dispone de permiso para iniciar sesión como servicio, el complemento Servicios de Microsoft Management Console (MMC) otorgará automáticamente a esa cuenta la capacidad de iniciar sesión como un servicio en el equipo. No obstante, esta configuración automática no garantiza que el servicio se inicie. Windows Server 2003 ofrece tres cuentas locales integradas que se utilizan como cuentas de inicio de sesión para diversos servicios del sistema:
Importante: si se modifica la configuración predeterminada del servicio, puede que los servicios clave no se ejecuten correctamente. Se debe proceder con especial precaución si cambia las configuraciones de tipo de inicio e inicio de sesión de los servicios que están configurados para que se inicien automáticamente. Puede establecer la configuración de los servicios del sistema en la siguiente ubicación del Editor de objetos de directiva de grupo: Configuración de equipo\Configuración de Windows\Configuración de seguridad\Servicios del sistema\ VulnerabilidadTodo servicio o aplicación es un punto de ataque potencial. Por tanto, debe deshabilitar o quitar del entorno todos aquellos servicios o archivos ejecutables que no sean necesarios. Existen otros servicios opcionales disponibles en Windows Server 2003, como los Servicios de Certificate Server, que no se agregan en la instalación predeterminada del sistema operativo. Puede agregar estos servicios opcionales a un equipo existente a través de la opción Agregar o quitar programas del Panel de control o el Asistente para configurar su servidor de Windows Server 2003. También puede crear una instalación automática personalizada de Windows Server 2003. En la Directiva de línea de base de servidores miembro que se describe en la Guía de Seguridad de Windows Server 2003 (disponible en http://go.microsoft.com/fwlink/?LinkId=14845), están deshabilitados estos servicios opcionales y todos los servicios innecesarios. Importante: si habilita servicios adicionales, dichos servicios pueden depender de otros servicios. Agregue todos los servicios necesarios para una función de servidor específica a la directiva de la función que realiza el servidor dentro de la organización. ContramedidaDeshabilite todos los servicios no necesarios. Para cada servicio del sistema, puede asignar un estado del servicio a través de la directiva de grupo. Los valores que se pueden seleccionar para esta configuración de Directiva de grupo son los siguientes:
Otra manera de administrar la seguridad del servicio es configurar una lista de control de acceso (ACL) para cada servicio con una lista de cuentas definida por el usuario. Este método proporciona una manera de controlar el inicio del servicio y el acceso al servicio cuando ya se está ejecutando. Impacto potencialSi se deshabilitan algunos servicios (como el Administrador de cuentas de seguridad), no podrá reiniciar el equipo. Si se deshabilitan otros servicios críticos, es probable que el equipo no se pueda autenticar con los controladores de dominio. Si desea deshabilitar algunos servicios del sistema, debe probar la configuración cambiada en equipos que no sean de producción antes de hacer los cambios en un entorno de producción. No establecer permisos en objetos de servicioHay herramientas basadas en una interfaz gráfica de usuario (GUI) que puede utilizar para modificar los servicios. Sin embargo, las versiones anteriores de estas herramientas que se incluyeron con versiones previas del sistema operativo Windows (antes de Windows Server 2003) aplican automáticamente los permisos a cada servicio cuando configura cualquiera de las propiedades de un servicio. Las herramientas como el Editor de objetos de directiva de grupo y el complemento Plantillas de seguridad de MMC utilizan el DLL del Editor de configuración de seguridad para aplicar estos permisos. Por ejemplo, cuando usted utiliza el complemento Plantillas de seguridad de MMC para configurar el estado de inicio de un servicio en Windows XP, se mostrará el cuadro de diálogo siguiente: Sin importar si hace clic en Aceptar o Cancelar, los permisos se aplicarán al servicio que se está configurando. Desgraciadamente, los permisos que este cuadro de diálogo propone no coinciden con los permisos predeterminados para la mayoría de los servicios que se incluyen con Windows. De hecho, los permisos causarán una serie de problemas en muchos servicios. Microsoft recomienda que no altere los permisos en los servicios que se incluyen con Windows XP o Windows Server 2003, porque los permisos predeterminados ya son bastante restrictivos. Esta funcionalidad cambió en Windows Server 2003, y su versión del DLL del Editor de configuración de seguridad no le obliga a configurar los permisos cuando modifica las propiedades de un servicio. Dispone de varias opciones diferentes para lidiar con esta situación difícil:
Edición manual de las plantillas de seguridadAunque puede utilizar un editor de texto como el Bloc de notas para modificarlos manualmente, las plantillas de seguridad son archivos complejos. Las plantillas de seguridad que se crean con una especificación de plantilla definida incorrectamente pueden evitar que el equipo se inicie. Aunque la mayoría de los tipos de error no causarán un problema tan grave, debe ser paciente y prestar atención a los detalles si necesita modificar manualmente plantillas de seguridad. Cuando utiliza una de las herramientas basadas en una interfaz gráfica de usuario para configurar los servicios en una plantilla de seguridad, la información de configuración se almacena en la sección del archivo relacionada con la configuración general del servicio. El siguiente texto de muestra es de una plantilla de seguridad en la que los servicios de alerta, de portafolios y de examinador de equipos tienen su estado de inicio configurado como Deshabilitado y el servicio de Cliente DHCP tiene su estado de inicio configurado como Automático. [Service General Setting] Alerter,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" ClipSrv,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Browser,4,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" Dhcp,2,"D:AR(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) (A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;;CCLCSWLOCRRC;;;IU) S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" El formato para cada entrada incluye tres campos delimitados por comas.
No es necesario entender los detalles de SDDL para utilizar el Asistente para configuración de seguridad. Puede encontrar más información acerca de SDDL en el artículo "Lenguaje de definición de descriptores de seguridad" de MSDN® en http://msdn.microsoft.com/library/en-us/secauthz/ Para resolver los problemas potenciales de permisos en los objetos del servicio, elimine la cadena SDDL en el tercer campo, pero deje el par de comillas dobles. El ejemplo siguiente muestra el texto correcto de los cuatro servicios mencionados: [Service General Setting] Alerter,4,"" ClipSrv,4,"" Browser,4,"" Dhcp,2,"" Después de eliminar la información SDDL de todos los servicios en la plantilla de seguridad, guarde el archivo. Puede aplicar la plantilla de seguridad a través de cualquiera de los métodos típicos. Por supuesto, es muy importante que pruebe de forma exhaustiva las plantillas de seguridad antes de aplicarlas a los equipos de producción. Descripciones de los servicios del sistemaLas subsecciones siguientes describen los servicios de Windows Server 2003 y de Windows XP en orden alfabético. Se incluyen los servicios que se instalan de forma predeterminada así como los servicios adicionales que se pueden agregar al equipo. Nota: si no se inicia un servicio, otros servicios que dependan de ese servicio tampoco se iniciarán. Por lo tanto, si cambia el estado de un servicio, puede afectar a otros servicios que aparentemente no estén relacionados. Dichas dependencias existen para todos los servicios que se describen en esta sección. Para comprobar las dependencias de un servicio, haga clic en la ficha Dependencias del cuadro de diálogo de propiedades del servicio en el complemento Servicios de MMC. Servicio de alertaEl servicio de alerta notifica a los usuarios y equipos seleccionados de las alertas administrativas. Puede utilizarlo para enviar mensajes de alerta a usuarios especificados que estén conectados a la red. Los mensajes de alerta advierten a los usuarios de problemas relacionados con la seguridad, el acceso y la sesión de usuario Los mensajes de alerta se envían de un servidor a un equipo cliente, y el servicio de Mensajería debe ejecutarse en el equipo cliente para que éste pueda recibir mensajes de alerta. (El servicio de Mensajería está deshabilitado de forma predeterminada en Windows XP y Windows Server 2003 para que los usuarios malintencionados no puedan enviar notificaciones falsas). Si el servicio de alerta está deshabilitado, las aplicaciones que utilizan las interfaces de programación de aplicaciones (API) NetAlertRaise o NetAlertRaiseEx no podrán notificar a un usuario o equipo, mediante un cuadro de mensaje que el servicio de Mensajería muestra, que se ha producido una alerta administrativa. Por ejemplo, muchas herramientas de administración de sistema de alimentación ininterrumpida (UPS) utilizan el servicio de alerta para notificar a los administradores acerca de eventos significativos relacionados con UPS. Si quiere utilizar este servicio, debe configurar su estado de inicio en Automático para que los componentes externos lo puedan utilizar cuando sea necesario. Servicio de búsqueda de experiencia de aplicacionesEl Servicio de búsqueda de experiencia de aplicaciones (AELookupSvc) es una parte del Administrador de compatibilidad de aplicaciones. Procesa las solicitudes de búsqueda de compatibilidad de aplicaciones según se inician, proporciona compatibilidad para equipos Windows Server 2003 en un dominio, informa de problemas de compatibilidad y aplica automáticamente actualizaciones de software a programas. El Servicio de búsqueda de experiencia de aplicaciones debe estar activo para que se apliquen las actualizaciones de software de compatibilidad de aplicaciones. No puede personalizar este servicio; el sistema operativo lo utiliza internamente. Este servicio no utiliza recursos de servicios de red, Internet ni de directorio de Active Directory®. Si deshabilita el Servicio de búsqueda de experiencia de aplicaciones, el servicio seguirá ejecutándose pero no se harán llamadas al servicio. No es posible detener el proceso real. Servicio de puerta de enlace de capa de aplicaciónEl Servicio de puerta de enlace de capa de aplicación es un subcomponente del subsistema de red de Windows. Ofrece compatibilidad para los complementos que permiten a los protocolos de red pasar a través del servidor de seguridad y trabajar detrás de ICS. Los complementos de Puerta de enlace de capa de aplicación (ALG) pueden abrir puertos y cambiar datos incrustados en paquetes, como puertos y direcciones IP. El protocolo de transferencia de archivos (FTP) es el único protocolo de red del que se ha incluido un complemento en Windows Server 2003 Standard Edition y Windows Server 2003 Enterprise Edition. El complemento ALG FTP está diseñado para admitir sesiones FTP activas a través del motor de traducción de direcciones de red (NAT) que está incluido en Windows. El complemento ALG FTP redirige todo el tráfico que pasa por NAT destinado al puerto 21 a un puerto de escucha privado del 3000 al 5000 del adaptador de bucle de retorno. Después, el complemento ALG FTP supervisa y actualiza el tráfico en el canal de control FTP para que el complemento FTP pueda instalar las asignaciones de puertos a través de NAT para los canales de datos FTP. El complemento FTP también actualizará los puertos de la secuencia del canal de control FTP. Si se detiene el Servicio de puerta de enlace de capa de aplicación, no se podrá disponer de conectividad de red para los protocolos en cuestión y esto afectará negativamente a la red. Por ejemplo, si deshabilita este servicio, las aplicaciones de mensajería instantánea Windows Messenger y MSN® Messenger producirán un error. Administración de aplicacionesEl servicio de Administración de aplicaciones proporciona servicios de instalación de software como Asignar, Publicar y Quitar. Este servicio procesa las solicitudes de enumeración, instalación y eliminación de las aplicaciones instaladas a través de una red corporativa. Cuando se hace clic en Agregar en Agregar o quitar programas, en el Panel de control de un equipo incluido en un dominio, el programa llama a este servicio para recuperar la lista de aplicaciones instaladas. También se llama a este servicio cuando se utiliza Agregar o quitar programas para instalar o quitar una aplicación. También se llama cuando un componente, como el shell o COM, realiza una solicitud de instalación para que una aplicación controle una extensión de archivo, una clase del modelo de objetos componentes (COM) o un ProgID que no está presente en el equipo. El servicio se inicia con la primera llamada que se hace al mismo y no finaliza una vez iniciado. Nota: para obtener más información acerca de COM, de la clases COM o de ProgIDs, consulte la información del kit de desarrollo de software (SDK) de la biblioteca MSDN en la página Windows Resource Kits - Web Resources en www.microsoft.com/windows/reskits/webresources. Si se deshabilita o detiene el servicio Administración de aplicaciones, los usuarios no podrán instalar, quitar o enumerar las aplicaciones instaladas en Active Directory mediante las tecnologías de administración de Microsoft IntelliMirror®. Si deshabilita este servicio, no recuperará la información de las aplicaciones instaladas y tampoco aparecerá esta información en la sección Agregar nuevos programas de Agregar o quitar programas en el Panel de control. El cuadro de diálogo Agregar programasdesde la red mostrará el siguiente mensaje: No hay programas disponibles en la red. No es posible detener este servicio una vez iniciado sin reiniciar el equipo. Si no necesita este servicio y no quiere que se inicie, debe deshabilitarlo. Servicio de estado de ASP.NETEl servicio de estado de ASP.NET ofrece compatibilidad para los estados de sesión fuera de proceso de ASP.NET. ASP.NET incluye el concepto de estado de sesión, es decir, se puede tener acceso a un listado de los valores asociados a la sesión de cliente desde las páginas ASP.NET a través del parámetro Session. Se proporcionan tres opciones para almacenar los datos de sesión: en proceso, base de datos de Microsoft SQL Server™ y servidor de estado de sesión fuera de proceso. El servicio de estado de ASP.NET almacena datos de sesión fuera de proceso. El servicio se comunica con ASP.NET, que se ejecuta en un servidor web mediante sockets. Si se deshabilita o detiene este servicio, no se procesarán solicitudes fuera de proceso. El código ejecutable para este servicio se instala de forma predeterminada, pero el servicio en sí está deshabilitado hasta que cambie manualmente su tipo de inicio a Automático o Manual. Actualizaciones automáticasEl servicio de Actualizaciones automáticas permite la descarga e instalación de actualizaciones de seguridad importantes de Windows y Office. Proporciona de forma automática a los equipos con Windows las últimas actualizaciones, controladores y optimizaciones. Ya no tendrá que buscar de forma manual la información y las actualizaciones de seguridad; el sistema operativo las proporciona directamente a su equipo. El sistema operativo sabe cuándo el usuario está en línea y utiliza su conexión a Internet para buscar actualizaciones aplicables a través del servicio Windows Update. En función de los valores de configuración especificados, el servicio le notificará antes de la descarga, antes de la instalación, o bien, instalará de forma automática las actualizaciones. Puede desactivar la característica Actualizaciones automáticas desde Sistemas en Panel de control. Alternativamente, puede hacer clic con el botón secundario del mouse en el icono Mi PC y, a continuación, hacer clic en Propiedades. Asimismo, puede utilizar la plantilla administrativa del complemento Editor de objetos de directiva de grupo de MMC para configurar un servidor de intranet con los servicios de actualización de Windows Server de forma que aloje actualizaciones desde los sitios de Microsoft Update. Este parámetro le permite determinar un servidor en la red que funcione a modo de servicio de actualizaciones internas. El cliente de Actualizaciones automáticas buscará en este servicio las actualizaciones aplicables a los equipos de la red. Nota: para obtener más información acerca de los servicios de Actualización de Windows Server, visite el sitio web de servicios de actualización de Windows Server en http://go.microsoft.com/fwlink/?LinkId=21133. Si se detiene o deshabilita el servicio Actualizaciones automáticas, no se descargarán actualizaciones clave en el equipo de forma automática. Necesitará buscar, descargar e instalar las revisiones aplicables a través del sitio web de Windows Update en http://update.microsoft.com. Servicio de transferencia inteligente en segundo plano (BITS)El Servicio de transferencia inteligente en segundo plano constituye un mecanismo de transferencia de archivos en segundo plano, así como un administrador de cola. BITS transfiere archivos de forma asíncrona entre un cliente y un servidor HTTP. De forma predeterminada, se envían las solicitudes a BITS y los archivos se transfieren a través de un ancho de banda de red inactivo, para que otras actividades relacionadas con la red, como la exploración, no resulten afectadas. BITS suspenderá la transferencia si se pierde la conexión o si el usuario cierra la sesión. La conexión BITS es persistente y transfiere información mientras el usuario está desconectado, entre desconexiones de la red y durante los reinicios del equipo. Cuando el usuario inicia sesión, BITS reanuda la tarea de transferencia del usuario. BITS utiliza una cola para administrar las transferencias de archivos. Puede establecer prioridades en las tareas de transferencia de la cola y especificar si los archivos se transferirán en primer o en segundo plano. Las transferencias en segundo plano se optimizan con BITS, que aumenta y disminuye (o regula) la tasa de transferencia con base en la cantidad de ancho de banda de red inactiva que esté disponible. Si una aplicación de red empieza a consumir más ancho de banda, BITS reduce la velocidad de transferencia para mantener la experiencia interactiva del usuario. BITS proporciona un nivel de prioridad en primer plano y tres en segundo plano, que se pueden utilizar para establecer prioridades en los trabajos de transferencia. Los trabajos con una prioridad superior se adelantan a los que tienen una prioridad inferior. Los trabajos con el mismo nivel de prioridad comparten el tiempo de transferencia; la programación por turnos evita que un trabajo de gran tamaño bloquee la cola de transferencia. Los trabajos con una prioridad menor no reciben tiempo de transferencia hasta que todos los que tienen una prioridad superior finalizan o se encuentran en estado de error. BITS se configura para inicio manual tanto en Windows Server 2003 como en Windows XP. Se inicia a petición cuando se envía el primer trabajo. BITS se detiene una vez finalizados todos los trabajos pendientes. Si BITS se detiene, características como Actualizaciones automáticas no podrán descargar programas y otra información de forma automática. Esta funcionalidad significa que el equipo no recibirá actualizaciones automáticas del servidor corporativo de Software Update Services (SUS), si éste se ha configurado mediante Directiva de grupo. Si deshabilita este servicio, impedirá que cualquier servicio que dependa explícitamente de él pueda transferir archivos, a menos que se ponga en marcha un mecanismo a prueba de errores que los transfiera directamente a través de otros métodos como Internet Explorer. Servicios de Certificate ServerLos servicios de Certificate Server forman parte del núcleo del sistema operativo y permiten que una organización pueda actuar como su propia entidad emisora de certificados (CA) y emitir y administrar certificados digitales para aplicaciones como Secure/Multipurpose Internet Mail Extensions (S/MIME), Nivel de sockets seguros (SSL), Sistema de archivos de cifrado (EFS), IP Security (IPSec) y conexión de tarjeta inteligente. Windows Server 2003 admite varios niveles de jerarquía para una entidad emisora de certificados, así como una red de confianza de certificación cruzada, que incluye las entidades emisoras de certificados con y sin conexión. Los servicios de Certificate Server no se instalan de forma predeterminada. Los administradores lo deben instalar a través de Agregar o quitar programas en el Panel de control. Si detiene o deshabilita los servicios de certificados después de la instalación, no se aceptarán las solicitudes de certificados y no se publicarán las listas de revocación de certificados (CRL) ni las diferencias entre listas CRL. Si el servicio se detiene durante el tiempo suficiente como para que las CRL caduquen, no se podrán validar los certificados existentes. Servicio de cliente para NetWareLos servidores que tienen instalado el servicio del sistema Servicio de cliente para NetWare proporcionan acceso a recursos de archivos e impresión en redes de NetWare para usuarios con inicio de sesión interactivo. Con el Servicio de cliente para Netware se puede obtener acceso a recursos de archivos e impresión en servidores Netware que ejecutan Servicios de directorio Novell (NDS) o seguridad de enlace (NetWare versiones 3.x o 4.x) desde el equipo. El Servicio de cliente para NetWare no admite el protocolo IP y, por lo tanto, no se puede utilizar para interoperar con NetWare 5.x en un entorno únicamente de IP. Para contar con esta capacidad, deberá cargar el protocolo Internetwork Packet Exchange (IPX) en el servidor NetWare 5.x, o bien, utilizar un redirector que sea compatible con el protocolo de núcleo de NetWare (NCP) y que admita IP nativo. Si detiene o deshabilita el Servicio de cliente para NetWare, no tendrá acceso a los recursos de archivos e impresión en las redes NetWare, a menos que instale el Cliente para NetWare de Novell. Este servicio no se instala ni habilita de forma predeterminada. PortafoliosEl servicio Portafolios habilita el Visor del Portafolios para crear y compartir páginas de datos que podrán revisar los usuarios remotos. Este servicio depende del servicio DDE de red (NetDDE) para crear los recursos compartidos de archivo a los que otros equipos se pueden conectar. La aplicación y el servicio Portafolios permiten crear las páginas de datos para compartir. El servicio Portafolios se instala de forma predeterminada, pero su estado de inicio se configura como Deshabilitado. Cuando este servicio se detiene, el Visor del Portafolios no puede compartir información con equipos remotos. Sin embargo, se puede emplear clipbrd.exe para visualizar el Portafolios local, en el que se almacenan los datos cuando un usuario resalta texto y, a continuación, hace clic en Copiar en el menú Edición o presiona CTRL+C en el teclado. Servicio de Cluster ServerEl Servicio de Cluster Server controla las operaciones del clúster de servidor y administra la base de datos del clúster. Un clúster es un conjunto de equipos independientes que trabajan juntos para lograr un equilibrio de la carga y la conmutación de uno a otro cuando se produce un error que impide que uno de los equipos siga funcionando. Las aplicaciones que toman en cuenta el funcionamiento en clúster, como Microsoft Exchange Server y Microsoft SQL Server, utilizan el clúster para presentar un solo equipo virtual a los usuarios. El software de clúster distribuye las tareas de datos y procesamiento entre los nodos del clúster. Cuando se produce un error en un nodo, otro proporciona los servicios y datos que prestaba el que generó el error. Cuando se agrega o repara un nodo, el software del clúster migra algunas tareas de datos y procesamiento a dicho nodo. Existen dos tipos diferentes de soluciones de clúster en la plataforma Windows que admiten diferentes estilos de aplicación: clústeres de servidor y de equilibrio de carga de red (NLB). Los primeros proporcionan un entorno de alta disponibilidad para aplicaciones que deben ejecutarse de forma continua sin errores, como los servidores de bases de datos o de archivos, y ofrecen compatibilidad de conmutación por error con una administración de clústeres estrechamente integrada. Los clústeres NLB proporcionan un entorno de gran disponibilidad y escalabilidad para otros tipos de aplicaciones, como los servidores web clientes y de equilibrio de la carga de las solicitudes de clientes entre un conjunto de servidores idénticos. El servicio de Cluster Server proporciona compatibilidad para clústeres de servidor. Es el componente de software clave que controla todos los aspectos del funcionamiento del clúster de servidor y administra la base de datos del clúster. Cada nodo de un clúster ejecuta una instancia del Servicio de Cluster Server. Windows Server 2003 admite clústeres de servidor de hasta ocho nodos tanto en Enterprise Server como en ediciones Datacenter Server de Windows. Sin embargo, un clúster sólo puede consistir de nodos que ejecuten una edición de Windows o la otra; no pueden ejecutarse ediciones diferentes dentro de un solo clúster. Para los clústeres de servidor se pueden establecer tres configuraciones diferentes:
El Servicio de Cluster Server no se instala ni habilita de forma predeterminada. Si el Servicio de Cluster Server se detiene después de que se instala, los clústeres no estarán disponibles. Para obtener información adicional acerca de cómo configurar la seguridad para clústeres de Windows, revise los vínculos pertinentes en la sección "Más Información" al final de este capítulo. Sistema de eventos COM+El servicio Sistema de eventos COM+ proporciona la distribución automática de eventos a los componentes COM que están suscritos a él. Eventos COM+ amplía el modelo de programación COM+ para admitir eventos enlazados en tiempo de ejecución o llamadas de método entre el editor o suscriptor y el sistema de eventos. El sistema de eventos notifica a los consumidores de eventos cuando la información está disponible, y no sondea repetidas veces el servidor. El servicio Sistema de eventos COM+ maneja la mayor parte de la semántica de eventos para el editor y el suscriptor. Los editores ofrecen publicar tipos de evento, y los suscriptores solicitan tipos de evento de editores específicos. Las suscripciones se mantienen fuera del editor y el suscriptor, y se recuperan cuando se necesitan, lo que simplifica el modelo de programación para ambos. El suscriptor no necesita tener la lógica para construir las suscripciones; es posible construir a un suscriptor tan fácil como un componente COM. El ciclo de vida de la suscripción está separado del ciclo de vida del editor o del suscriptor. Puede construir las suscripciones antes de que se active el suscriptor o el editor. Este servicio se instala de forma predeterminada, pero no se inicia hasta que una aplicación solicita sus servicios. Cuándo se detiene el Sistema de eventos COM+ la Notificación de eventos del sistema se cerrará y no será capaz de proporcionar notificaciones de inicio o final de sesión. El servicio Instantáneas de volumen, necesario para Copia de seguridad de Windows y aplicaciones de copia de seguridad que dependen de la API de Copia de seguridad de Windows, requiere este servicio. Aplicación del sistema COM+El servicio del sistema Aplicación del sistema COM+ administra la configuración y el seguimiento de los componentes basados en COM+. Si se detiene este servicio, la mayor parte de dichos componentes no funcionará correctamente. El servicio Instantáneas de volumen, necesario para Copia de seguridad de Windows y aplicaciones de copia de seguridad que dependen de la API de Copia de seguridad de Windows, requiere este servicio. Este servicio se instala y habilita de forma predeterminada. Examinador de equiposEl servicio Examinador de equipos mantiene una lista actualizada de los equipos de la red y la proporciona a los programas que la solicitan. Esteservicio lo utilizan equipos basados en Windows que necesitan visualizar recursos y dominios de red. Los equipos designados como examinadores mantienen las listas de búsqueda que contienen todos los recursos compartidos que se utilizan en la red. Las versiones anteriores de aplicaciones Windows, por ejemplo, Mis sitios de red, el comando NET VIEW y el Explorador de Windows NT® requieren la capacidad de búsqueda. Por ejemplo, si abre Mis sitios de red en un equipo con Windows 95, un equipo que se designa como explorador genera la lista de dominios y equipos que muestra. Existen diferentes funciones que un equipo puede realizar en un entorno de búsqueda. En determinadas circunstancias, como cuando se apaga el equipo designado para una función de examinador o no funciona correctamente, los examinadores (o posibles examinadores) se pueden cambiar a una función de operación diferente. El servicio Examinador de equipos se habilita y se inicia de forma predeterminada. Si se detiene, no se podrá actualizar o mantener la lista del examinador. Servicios de cifradoLos Servicios de cifrado proporcionan servicios de administración de claves para el equipo. Se componen de tres servicios diferentes de administración:
Los Servicios de cifrado se habilitan y se inician automáticamente de forma predeterminada. Si se detienen, los servicios de administración que se mencionan en los párrafos anteriores no funcionarán apropiadamente. Iniciador de procesos de servidor DCOMEn versiones anteriores de Windows, el servicio de llamada a procedimiento remoto (RPCSS) se ejecutaba como sistema local. Para reducir el área de incidencia de un ataque en Windows y proporcionar una defensa a fondo, la funcionalidad del servicio RPC se dividió en dos servicios en Windows XP Service Pack 2 y Windows Server 2003 Service Pack 1. El servicio RPCSS retiene toda la funcionalidad original para la que no se necesitan privilegios de sistema local, y ahora se ejecuta bajo la cuenta Servicio de red. El servicio Iniciador de procesos de servidor DCOM (DCOMLaunch) incorpora las funciones del servicio RPC anterior para el que se necesitaban privilegios de sistema local; se ejecuta bajo la cuenta Sistema local. Este servicio se instala e inicia de forma predeterminada. Si el servicio Iniciador de procesos de servidor DCOM se detiene, las llamadas de procedimiento remoto y las solicitudes DCOM en el equipo local no funcionarán correctamente. En particular, el servicio de Firewall de Windows fallará si se detiene este servicio. Cliente DHCPEl servicio Cliente DHCP administra la configuración de red. Registra y actualiza las direcciones IP y los nombres DNS para el equipo. No es necesario modificar manualmente la configuración de IP para un equipo cliente, como un equipo portátil, que se conecta de ubicaciones diferentes en la red. El equipo cliente recibe automáticamente una dirección IP nueva, independientemente de la subred a la que se vuelve a conectar (siempre que se pueda tener acceso al servidor DHCP desde las subredes). No es necesario realizar de forma manual la configuración de DNS o WINS. El servidor DHCP puede ofrecer estos valores de configuración al cliente, siempre que el servidor se haya configurado para emitir dicha información. Para habilitar esta opción en el cliente, sólo tiene que hacer clic en la opción Obtener la dirección DNS del servidor automáticamente. Las direcciones IP duplicadas no producen ningún conflicto. Si se detiene el servicio Cliente DHCP, el equipo no recibirá direcciones IP dinámicas, y las actualizaciones DNS dinámicas automáticas no se registrarán en el servidor DNS. Servidor DHCPEl servicio Servidor DHCP asigna direcciones IP y permite de forma automática la configuración avanzada de parámetros de red como servidores DNS y WINS a clientes DHCP. DHCP emplea un modelo cliente/servidor. El administrador de la red establece uno o varios servidores DHCP que mantienen actualizada la información de configuración TCP/IP y la facilitan a los equipos cliente. La base de datos del servidor contiene:
DHCP es un estándar IP ideado para reducir la complejidad de la tarea de administrar las configuraciones de direcciones. Utiliza un servidor para administrar de modo centralizado las direcciones IP y otros detalles de configuración relacionados que se utilizan en la red. La familia Windows Server 2003 proporciona el servicio DHCP, que permite al equipo servidor funcionar como un servidor DHCP y configurar equipos clientes habilitados para DHCP en la red, tal como se describe en el borrador de estándar actual de DHCP, Internet Engineering Task Force (IETF) Request for Comments (RFC) 2131. DHCP contiene el protocolo Multicast Address Dynamic Client Assignment Protocol (MADCAP), que se utiliza para realizar la asignación de direcciones de multidifusión. Cuando se asignan dinámicamente direcciones IP a equipos cliente registrados mediante MADCAP, los clientes pueden participar con eficacia en el proceso de transmisión de datos, por ejemplo, en las transmisiones de red en tiempo real de vídeo o audio. Con un servidor DHCP instalado y configurado en la red, los equipos cliente habilitados para DHCP podrán obtener dinámicamente las direcciones IP y los valores de configuración relacionados cada vez que se inicien y se conecten a la red. Los servidores DHCP proporcionan esta configuración a modo de oferta de concesión de dirección a los equipos cliente que la solicitan. Si detiene el servicio Servidor DHCP, no se podrá emitir direcciones IP u otros parámetros de configuración de forma automática. Este servicio sólo se instala y activa si configura un equipo Windows Server 2003 como servidor DHCP. Sistema de archivos distribuidoEste servicioadministra volúmenes lógicos distribuidos a lo largo de una red de área local o extensa (WAN) y es necesario para el recurso compartido SYSVOL de Active Directory. El Sistema de archivos distribuido (DFS) es un servicio distribuido que integra recursos compartidos de archivos distintos en un solo espacio de nombres lógico. Este espacio de nombres constituye la representación lógica de los recursos de almacenamiento en red que se encuentran disponibles para los usuarios de la red. Si se desactiva el servicio Sistema de archivos distribuido, no tendrá acceso a los archivos compartidos o datos de la red a través del espacio de nombres lógico. Para tener acceso a los datos cuando el servicio está detenido, será necesario conocer los nombres de todos los servidores y recursos compartidos del espacio de nombres y obtener acceso a cada uno de estos objetivos de forma independiente. Este servicio se instala y ejecuta de forma predeterminada en equipos con Windows Server 2003. Cliente de seguimiento de vínculos distribuidosEl servicio Cliente de seguimiento de vínculos distribuidos mantiene vínculos entre los archivos del sistema de archivos NTFS dentro de un equipo o entre equipos de un dominio de red. Este servicio garantiza que los accesos directos y los vínculos OLE (vinculación e incrustación de objetos) continúen funcionando después de cambiar el nombre o mover el archivo de destino. Cuando crea un acceso directo a un archivo en un volumen de NTFS, el seguimiento de vínculos distribuidos marca el archivo de destino con un identificador de objeto único (Id.) conocido como origen del vínculo. El archivo que hace referencia al archivo de destino (conocido como el cliente de vínculo) también almacena información sobre el Id. de objeto internamente. El seguimiento de vínculos distribuidos puede utilizar este Id. de objeto para buscar el archivo de origen del vínculo en los siguientes escenarios:
En un dominio de Windows 2000 o Windows Server 2003 en el que esté disponible el servicio Servidor de seguimiento de vínculos distribuidos, el archivo de origen del vínculo se puede encontrar en los siguientes escenarios:
Los escenarios relacionados con el servicio Servidor de seguimiento de vínculos distribuidos requieren que el equipo cliente (en el que se ejecuta el servicio Cliente de seguimiento de vínculos distribuidos) tenga establecida la directiva de sistema DLT_AllowDomainMode, para clientes que ejecutan Windows XP con SP1 o SP2. En todos los escenarios mencionados, el archivo de origen del vínculo deberá encontrarse en un volumen de NTFS que ejecute Windows 2000, Windows XP o la familia Windows Server 2003. Los volúmenes de NTFS no podrán estar en medios extraíbles. Nota: el servicio Cliente de seguimiento de vínculos distribuidos controla la actividad en los volúmenes de NTFS y almacena la información de mantenimiento en un archivo denominado Tracking.log, que se ubica en una carpeta oculta denominada System Volume Information en la raíz de cada volumen. Esta carpeta está protegida por permisos que sólo permiten al equipo tener acceso a ella. Asimismo, otros servicios de Windows utilizan esta carpeta; por ejemplo, el Servicio de Index Server. Si se detiene el servicio Cliente de seguimiento de vínculos distribuidos, los vínculos a contenido del equipo no se conservarán, ni se podrá realizar su seguimiento. Servidor de seguimiento de vínculos distribuidosEl servicio del sistema Servidor de seguimiento de vínculos distribuidos almacena información de tal forma que los archivos movidos entre volúmenes se pueden controlar en cada volumen del dominio. Cuando está habilitado,este servicio se ejecuta en todos los controladores de dominio de un dominio. El serviciohace un seguimiento de los documentos vinculados que se han movido a una ubicación de otro volumen de NTFS del mismo dominio. Este servicioestá deshabilitado de forma predeterminada. Si lo habilita, deberá hacerlo en todos los controladores de dominio de un dominio. Si el servicioestá habilitado en un controlador de dominio que se ha actualizado a una versión más reciente de Windows Server, se deberá volver a habilitar manualmente. Si este servicioestá habilitado, se deberá habilitar la directiva de sistema DLT_AllowDomainMode con el fin de que lo puedan utilizar los equipos cliente Windows XP. Si está habilitadoy lo deshabilita, deberá depurar las entradas de éste en Active Directory. Para obtener más información, consulte el artículo de Microsoft Knowledge Base “Distributed Link Tracking on Windows–based domain controllers” en http://support.microsoft.com/kb/312403/. Si se detiene o deshabilita este servicio, los vínculos que mantiene el servicio Cliente de seguimiento de vínculos distribuidos se volverán menos confiables. En Windows Server 2003, este serviciose instala de forma predeterminada, pero está deshabilitado. Coordinador de transacciones distribuidasEl servicio Coordinador de transacciones distribuidas coordina las transacciones que se distribuyen entre varios equipos o administradores de recursos, como bases de datos, colas de mensajes, sistemas de archivos u otros administradores de recursos basados en transacciones. Este servicio es necesario si se van a configurar componentes transaccionales a través de COM+. También es necesario para las colas transaccionales de las operaciones de Message Queue Server (MSMQ) y de SQL Server que abarcan varios equipos. El servicio Coordinador de transacciones distribuidas se instala y activa de forma predeterminada. Si se detiene, las transacciones que utilizan este servicio no se ejecutarán. Las instalaciones en clúster de Microsoft Exchange, SQL Server u otras aplicaciones que utilizan los servicios de transacción pueden verse afectadas si este servicio se detiene. Cliente DNSEl servicio Cliente DNS resuelve y almacena en caché nombres DNS para el equipo. Este serviciodebe ejecutarse en todos los equipos que lleven a cabo la resolución de nombres DNS. La resolución de nombres DNS se necesita para ubicar a los controladores de dominio en dominios de Active Directory. El servicio Cliente DNS se necesita también para habilitar la ubicación de los dispositivos que se identifican a través de la resolución de nombre DNS. El servicio Cliente DNS que se ejecuta en Windows Server 2003 implementa las características siguientes:
Si el servicio Cliente DNS se detiene, el equipo no será capaz de resolver los nombres DNS ni localizar controladores de dominio de Active Directory, y es probable que los usuarios no puedan iniciar sesión en el equipo. Servidor DNSEl Servidor DNS permite la resolución de nombres DNS. Contesta las solicitudes de consultas y actualización para nombres DNS. Los servidores DNS se necesitan para localizar dispositivos identificados por sus nombres DNS y para localizar controladores de dominio en Active Directory. Si detiene o deshabilita el servicio del sistema Servidor DNS, no se realizarán actualizaciones de DNS. No es necesario que el servicio Servidor DNS se ejecute en cada equipo. Sin embargo, si no existe un servidor DNS para una parte del espacio de nombres de DNS, la búsqueda de los dispositivos mediante nombres DNS en ella dará error. Si no existe un servidor DNS para el espacio de nombres de DNS que se utilice para nombrar los dominios de Active Directory, no se podrán localizar los controladores de dominio de ese dominio. El servicio del servidor DNS sólo se instala y activa si configura un equipo Windows Server 2003 como servidor DNS. Servicio de informe de erroresEl Servicio de informe de errores recopila, almacena e informa a Microsoft de errores y cierres de aplicación inesperados. Autoriza también los informes de errores en servicios y aplicaciones que se ejecutan en entornos no estándar. Este servicio proporciona a los grupos de productos de Microsoft información eficiente y eficaz para depurar errores en controladores y aplicaciones. Puede configurar el servicio de forma que envíe información sobre errores específicos de Microsoft y genere informes sobre errores del sistema operativo, de componentes de Windows o de programa. Un error del sistema operativo hará que el equipo muestre una pantalla de detención con códigos de error. Un error de programa o componente hará que dicho programa o componente deje de funcionar. Si dispone de conexión a Internet, podrá notificar estos errores directamente a Microsoft. Puede configurar el informe de errores para que responda a errores de programa de uno de los siguientes modos: en cuanto se produce un error, el cuadro de diálogo Informe de errores puede solicitar al usuario que notifique el error a Microsoft, o bien,solicitar al administrador que notifique el error a Microsoft en la próxima ocasión en que éste inicie sesión. Windows trata los errores y apagados no previstos del sistema operativo de forma diferente a los errores de programa. Cuando se producen, Windows escribe la información de error en un archivo de registro. La siguiente vez que un administrador inicia sesión, el cuadro de diálogo Informe de errores le insta a que notifique el error. Cuando se envía un informe de errores a Microsoft a través de Internet, se proporciona información técnica que la gente de Microsoft utiliza para mejorar las próximas versiones del producto. Estos datos se usan únicamente para el control de calidad y no para realizar un seguimiento de los usuarios o instalaciones con fines comerciales o publicitarios. Si hay información disponible para ayudar a solucionar el problema, Windows muestra un nuevo cuadro de diálogo Informe de errores, que contiene un vínculo a dicha información. De modo alternativo, si la organización tiene configurada Directiva de grupo, los administradores del departamento de TI podrán utilizar Informe de errores corporativos para recopilar y notificar sólo los errores que consideren importantes. Para configurar Informe de errores corporativos en las estaciones de trabajo y servidores, los administradores pueden habilitar la directiva Informar de errores y configurar la Ruta de acceso al archivo de carga corporativa en el servidor de archivos local en el que está instalada la herramienta Informe de errores corporativos. Cuando se producen errores, la información se redirige automáticamente a este servidor de archivos. Los administradores pueden entonces revisar la información de errores, identificar los datos relevantes y enviarlos a Microsoft con la herramienta Informe de errores corporativos. Esta herramienta se puede descargar del sitio web del kit de recursos de Office XP en www.microsoft.com/office/ork/xp/default.htm. Si se detiene el Servicio de informe de errores, no se llevará a cabo el informe de errores. Si se habilita el parámetro Mostrar notificación de errores en el cuadro de diálogo Informe de errores, los usuarios seguirán viendo un mensaje que indica que ha ocurrido un problema, pero no dispondrán de la opción de enviar esta información a Microsoft o a un recurso compartido de la red local. Este servicio se instala y se ejecuta de forma predeterminada. Registro de eventosEl servicio del Registro de eventos permite visualizar los mensajes del registro de eventos emitidos por programas y componentes basados en Windows en el Visor de eventos. Estos mensajes del registro de eventos contienen información que puede ayudar a diagnosticar problemas con las aplicaciones, servicios y con el sistema operativo. Los registros se pueden consultar a través de las interfaces de programación de aplicaciones (API) del Registro de eventos o el complemento Visor de eventos de MMC. De forma predeterminada, un equipo que ejecute un sistema operativo de la familia Windows Server 2003 registra los eventos en diferentes tres tipos de registros:
Un equipo con Windows Server 2003 configurado como controlador de dominio registra los eventos en dos registros adicionales:
Un equipo basado en Windows y que está configurado como servidor DNS registra eventos en un registro adicional:
No puede detener el servicio de registro de eventos. Si se deshabilita, no se podrá realizar un seguimiento de los eventos, lo que reducirá significativamente la capacidad de diagnosticar correctamente los problemas del equipo. Además, no se auditarán los eventos de seguridad y no se podrán consultar registros de eventos anteriores a través del complemento Visor de eventos de MMC. Compatibilidad de conmutación rápida de usuariosEl servicio Compatibilidad de conmutación rápida de usuarios proporciona la administración para las aplicaciones que requieren ayuda en un entorno multiusuario. La función de conmutación rápida de usuarios en Windows XP permite que varios usuarios que hayan iniciado una sesión en el equipo al mismo tiempo puedan alternar fácilmente entre sesiones. No necesitan cerrar las aplicaciones y cerrar la sesión. Muchos programas no se diseñaron para ejecutarse en un entorno multiusuario y pueden experimentar problemas cuando varios usuarios inician una sesión en el equipo. El servicio Compatibilidad de conmutación rápida de usuarios realiza una de cuatro acciones diferentes cuando un programa específico que causa problemas está en el uso y cuando está activada la conmutación rápida de usuarios:
Si deshabilita el servicio Compatibilidad de conmutación rápida de usuarios, puede que algunas aplicaciones no trabajen correctamente en un equipo que tiene activada la función de conmutación rápida de usuarios. Servicio de faxEl Servicio de fax, compatible con la interfaz de programación de aplicaciones de telefonía (TAPI), ofrece capacidades de fax desde el equipo de los usuarios. El Servicio de fax permite a los usuarios enviar y recibir faxes desde las aplicaciones de escritorio a través de un dispositivo de fax local o de red compartida. Entre sus ventajas se incluyen las siguientes:
Si la cola de impresión o el servicio de telefonía están deshabilitados, el servicio de fax no se iniciará correctamente. Si se detiene este servicio, los usuarios no podrán enviar ni recibir faxes. El servicio de fax se interrumpe cuando no hay actividad del fax y se reinicia según sea necesario. Replicación de archivosEl servicio Réplica de archivos permite que los archivos se copien automáticamente y almacenen simultáneamente en varios servidores. El Servicio de replicación de archivos (FRS) es un servicio automático en Windows 2000 y en la familia Microsoft Windows Server 2003 cuya función es replicar el contenido del volumen de sistema (SYSVOL) entre todos los controladores de dominio en un dominio. También se puede configurar para que replique los archivos entre destinos alternativos asociados al DFS de tolerancia a errores. Si se detiene este servicio, no tendrá lugar la replicación de archivos y no se sincronizarán los datos del servidor. Además, la capacidad de funcionamiento de un controlador de dominio podría ser afectada gravemente si este servicio se detiene. El servicio Réplica de archivos se instala de forma predeterminada en Windows Server 2003, pero su estado de inicio se configura como Manual. Servidor de archivos para MacintoshEl servicio Servidor de archivos para Macintosh permite a los usuarios de Macintosh almacenar y tener acceso a archivos en un equipo con Windows Server 2003. Si desactiva este servicio, los equipos cliente de Macintosh no serán capaces de almacenar y tener acceso a los archivos en equipos con Windows Server 2003. Este servicio no se instala ni se inicia de forma predeterminada. Servicio de publicación FTPEl Servicio de publicación FTP permite la conectividad y la administración de FTP a través del complemento Microsoft Internet Information Server (IIS). Las características incluyen la capacidad de regular el ancho de banda, las cuentas de seguridad y el registro extensible. Este servicio incluye la nueva característica Aislamiento de usuario FTP, que permite a los usuarios obtener acceso sólo a sus archivos en un sitio FTP. Asimismo, se ofrece una compatibilidad internacional mejorada. Si se detiene el Servicio de publicación FTP, el servidor no podrá funcionar como servidor FTP. Este servicio no se instala de forma predeterminada. Ayuda y soporte técnicoEl servicio Ayuda y soporte técnico permite que la aplicación Centro de ayuda y soporte técnico se ejecute en los equipos de los usuarios, da soporte a la aplicación y activa la comunicación entre la aplicación cliente y los datos de ayuda. Este servicio proporciona acceso a almacenes y servicios como la base de datos de taxonomía, que contiene metadatos e información sobre los temas de ayuda, el marco de automatización del soporte, que permite la recopilación de datos para proveedores de soporte técnico registrados, información de preferencias e historial del usuario y el administrador de motor de búsqueda. Cuando se interactúa con características de Centro de ayuda y soporte técnico como la búsqueda, el índice o el contenido, el servicio permite la transacción de los datos de todas estas características. Si el servicio Ayuda y soporte técnico se configura como Manual, el servicio se iniciará si un usuario tiene acceso al Centro de ayuda y soporte técnico desde el escritorio. Si detiene o deshabilita este servicio, el Centro de ayuda y soporte técnico básicamente dejará de funcionar y los usuarios recibirán el siguiente mensaje: Windows no puede abrir Ayuda y soporte técnico porque el servicio del sistema no se está ejecutando. Los usuarios podrán tener acceso a algunos temas de alto nivel que quizás se guarden en el caché del equipo local, pero en la mayor parte de las funciones de la aplicación Centro de ayuda y soporte técnico (incluida la asistencia remota) no pueden funcionar si el servicio Ayuda y soporte técnico no está habilitado. Sin embargo, el usuario aún podrá visualizar los archivos *.HLP y *.CHM, ubicados en la carpeta Windows\Help. El servicio Ayuda y soporte técnico se instala y se inicia automáticamente de forma predeterminada en Windows XP y Windows Server 2003. SSL de HTTPEl servicio SSL de HTTP habilita IIS para que realice funciones de Secure Sockets Layer (SSL). SSL es un estándar abierto que establece canales de comunicaciones seguros y evita que se pueda interceptar información relevante como, por ejemplo, los números de las tarjetas de crédito. Permite principalmente realizar transacciones financieras electrónicas seguras en Internet, si bien está diseñado para operar también en otros servicios web. Si se detiene el servicio SSL de HTTP, IIS no podrá realizar las funciones de SSL. Este servicio se instala al instalar IIS y no está presente ni activo de otro modo. Acceso a dispositivo de interfaz humanaEl servicio Acceso a dispositivo de interfaz humana permite el acceso de entrada genérico a dispositivos USB como teclados y mouse. El servicio activa y controla el uso de botones de acceso directo predefinidos en teclados, controles remotos y otros dispositivos multimedia. Este servicio se instala y inicia de forma predeterminada en equipos con Windows XP y Windows Server 2003. Si se detiene este servicio, dejarán de funcionar los botones de acceso directo controlados por el mismo. Por ejemplo, los botones de acceso directo para retroceso, avance, volumen, pista anterior, etc. en teclados USB y los botones de volumen en altavoces USB no funcionarán. Acceso a base de datos IAS JetEl servicio Acceso a base de datos IAS Jet utiliza el protocolo Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) para ofrecer servicios de autenticación, autorización y auditoría. Sólo está disponible en versiones de 64 bits de Windows. Con el Servicio de autenticación de Internet (IAS) puede administrar centralmente la autenticación, autorización y auditoría de los usuarios. También puede utilizar IAS para autenticar a los usuarios en función de controladores de dominio que ejecuten Windows NT® 4.0, Windows 2000 o Windows Server 2003. IAS funciona correctamente tanto en redes homogéneas como heterogéneas. Este servicio se puede utilizar como proxy RADIUS para enrutar mensajes RADIUS entre clientes RADIUS (servidores de acceso) y servidores RADIUS, que realizan la auditoría, la autorización y la autenticación de los usuarios en los intentos de conexión. Cuando se utiliza como proxy RADIUS, IAS es un punto de enrutamiento o conmutación central a través del cual se transfieren mensajes de auditoría y acceso RADIUS. IAS incluye la información en un registro de auditoría relativo a los mensajes que se han reenviado. Una infraestructura de auditoría, autorización y autenticación RADIUS consta de los siguientes componentes: Existen dos bases de datos IAS Jet. Ias.mdb se utiliza para configurar IAS, y Dnary.mdb, que se emplea para validar el diccionario que IAS usa para realizar un seguimiento de los atributos específicos de proveedor de servidores de acceso de red compatibles con RADIUS. No modifique las bases de datos Jet. Si se detiene el servicio del Acceso a base de datos IAS Jet, no estará disponible el acceso de red remoto que requiere la autenticación de usuarios. Por ejemplo, no funcionarán el acceso remoto telefónico, de VPN, de LAN inalámbrica (802.1x) ni de LAN Ethernet 802.1x. Si deshabilita este servicio, no se podrá iniciar ni el Enrutamiento y acceso remoto (RRAS) ni IAS. Tampoco se podrán administrar RRAS o IAS de forma local o remota. Este servicio no se instala de forma predeterminada en ninguna versión de Windows; sólo está disponible en las versiones basadas en Itanium la familia Windows Server 2003. Servicio de administración IISEl Servicio de administración de IIS permite la administración de componentes IIS como FTP, grupos de aplicaciones, sitios web, ampliaciones de servicios web y servidores virtuales de Protocolo de transferencia de noticias a través de la red (NNTP) y Protocolo simple de transferencia de correo (SMTP). Si detiene o deshabilita este servicio, no podrá ejecutar sitios web, FTP, NNTP o SMTP. En Windows 2000, se instalan de forma predeterminada el Servicio de administración IIS y otros servicios relacionados. En lo que respecta a la familia Windows Server 2003, deberá instalar los componentes de IIS desde Agregar o quitar componentes de Windows o Configurar el servidor. Servicio COM de grabación de CD de IMAPIEl Servicio COM de grabación de CD de IMAPI administra la creación de CD usando la interfaz de programación de aplicaciones de grabación de imágenes (IMAPI); también lleva a cabo escrituras de CD grabables (CD-R) cuando las solicita el usuario desde el Explorador de Windows, el Reproductor de Windows Media® o aplicaciones de otros fabricantes que utilicen esta API. IMAPI permite que una aplicación organice y grabe un archivo de audio sencillo o imágenes de datos en dispositivos de CD-R y CD regrabable (CD-RW). La API admite audio Redbook y formatos de disco de datos Joliet e ISO 9660. La arquitectura permite ampliar en un futuro el conjunto de formatos compatibles. Si se detiene o deshabilita el Servicio COM de grabación de CD de IMAPI, su equipo no podrá grabar CD con las funciones integradas de Windows XP y Windows Server 2003. Si desactiva este servicio y utiliza una aplicación de CD-RW de terceros, su capacidad de grabar CD no se verá afectada (si el software de terceros no depende del servicio). Si el servicio se inicia una vez iniciada la sesión, deberá cerrarla y volver a abrirla para poder escribir datos en el CD-R desde el dispositivo de CD-R mediante el Explorador de Windows. Este servicio se instala de forma predeterminada en Windows XP, pero no se inicia hasta que un usuario solicite la escritura CD-R a través del Explorador de Windows. Se instala pero está deshabilitado de forma predeterminada en equipos con Windows Server 2003. Servicio de Index ServerEl Servicio de Index Server genera un índice del contenido y las propiedades de archivos en equipos locales y remotos y ofrece acceso inmediato a archivos a través de un lenguaje de consulta flexible. Asimismo, este servicio permite la capacidad de búsquedas rápidas de documentos en equipos locales y remotos y proporciona un índice de búsqueda del contenido compartido en el web. También genera índices de todo tipo de información textual en archivos y documentos. Tras completarse la generación del índice inicial, el Servicio de Index Server mantiene sus índices cada vez que se crea, modifica o elimina un archivo. Esta generación inicial del índice puede requerir gran cantidad de recursos. De forma predeterminada, el Servicio de Index Server se establece para su inicio manual. Cuando el servicio está activo, indexará sólo cuando el equipo esté inactivo, aunque puede utilizar el complemento de índice MMC para configurar el servicio de modo que funcione cuando el equipo no está inactivo. MMC también le permite la optimización de la configuración de la asignación de recursos del servicio para los patrones de uso de la indización o las consultas. Si detiene el Servicio de Index Server, se ralentizarán las búsquedas de texto. Monitor de infrarrojosEl servicio del sistema Monitor de infrarrojos permite que se compartan archivos e imágenes mediante el uso de conexiones de infrarrojos. Este servicio sólo se instala de forma predeterminada en Windows XP si se detecta un dispositivo de infrarrojos durante la instalación del sistema operativo. No está disponible en las ediciones Windows Server 2003 Web, Enterprise o Datacenter Server. Si se detiene el servicio Monitor de infrarrojos, no se podrán compartir archivos e imágenes por medio de conexiones de infrarrojos. Servicio de autenticación de InternetEl Servicio de autenticación de Internet (IAS) centraliza la autenticación, la autorización, la auditoría y la administración de las cuentas de los usuarios que se conectan a una red, ya sea LAN o remota, mediante un equipo VPN, un Equipo de acceso remoto (RAS) o puntos de acceso inalámbricos 802.1x y de conmutadores Ethernet. IAS implementa el protocolo RADIUS estándar de IETF, que permite equipos de acceso a red heterogéneos. Si se deshabilita o se detiene IAS, se produce una conmutación por error de las solicitudes de autenticación a un servidor IAS de copia de seguridad, si hubiera alguno disponible. Si no hay ninguno, los usuarios no se podrán conectar a la red. Este servicio se debe instalar manualmente y sólo está disponible en miembros de la familia Windows Server 2003. Mensajería internaEl servicio de Mensajería interna permite el intercambio de mensajes entre equipos que ejecuten Windows Server. Este servicio se utiliza para la replicación basada en correo entre sitios. Active Directory proporciona compatibilidad para la replicación entre sitios a través de transporte SMTP sobre IP. El servicio SMTP, que es un componente de IIS, se encarga de proporcionar compatibilidad con SMTP. El conjunto de transportes utilizados para la comunicación entre sitios debe ser extensible. Por lo tanto, cada transporte se define en una archivo de biblioteca de vínculos dinámicos (DLL) independiente. Estos archivos DLL complementarios se cargan en el servicio Mensajería interna, que se ejecuta en todos los controladores de dominio capaces de establecer las comunicaciones entre sitios. El servicio dirige las solicitudes de envío y recepción de mensajes a los archivos DLL complementarios de transporte adecuados que, por su parte, enrutan los mensajes al servicio Mensajería interna del equipo de destino. Si se detiene el servicio Mensajería interna, no se intercambiarán mensajes, no funcionará la replicación de mensajería interna ni se calculará la información sobre enrutamiento de sitios para otros servicios. Este servicio se instala de forma predeterminada en equipos Windows Server 2003, pero se deshabilita hasta que el servidor sea promovido a la función de controlador de dominio. Servicio de ayuda de IPv6El Servicio de ayuda de IPv6 ofrece conectividad del protocolo de Internet versión 6 (IPv6) en una red del protocolo de Internet versión 4 (IPv4). IPv6 es un nuevo paquete de protocolos estándar para la capa de red de Internet. Está diseñado para solucionar gran parte de los problemas de IPv4, en lo que respecta a cómo abordar la reducción de direcciones, la seguridad, la configuración automática y la extensibilidad. Este servicio, que se conoce a menudo como "6to4", permite la comunicación de hosts y sitios habilitados para IPv6 al utilizar IPv6 sobre una infraestructura IPv4, por ejemplo, Internet. Los hosts y sitios IPv6 pueden utilizar Internet y su prefijo de dirección 6to4 para comunicarse. No necesitan obtener un prefijo de dirección global IPv6 de un proveedor de servicios de Internet (ISP) y se conectan a 6bone, la parte activada para IPv6 de Internet. 6to4 es una técnica de túnel que se describe en RFC 3056. Los hosts 6to4 no requieren una configuración manual y crean direcciones 6to4 mediante el uso de la configuración automática estándar. 6to4 utiliza el prefijo de dirección global de 2002:WWXX:YYZZ::/48, donde WWXX:YYZZ es la representación hexadecimal dividida por dos puntos de una dirección IPv4 pública (w.x.y.z) que se asigna a un sitio o host, lo que también se conoce como la parte NLA (Next Level Aggregator) de una dirección 6to4. Asimismo, el Servicio de ayuda de IPv6 admite 6over4, también conocido como túnel de multidifusión IPv4, una técnica de túnel que se describe en RFC 2529. 6over4 permite que nodos IPv6 e IPv4 se comuniquen a través de IPv6 en una infraestructura IPv4. 6over4 utiliza la infraestructura IPv4 como un vínculo preparado para la multidifusión. Para que 6over4 funcione correctamente, la infraestructura IPv4 debe tener habilitada la multidifusión IPv4. Si se detiene el Servicio de ayuda de IPv6, el equipo sólo dispondrá de conectividad IPv6 si se conecta a una red IPv6 nativa. Este servicio no se instala ni se activa de forma predeterminada. Agente de directivas IPSec (Servicio IPSec)El servicio Agente de directivas IPSec (Servicio IPSec) proporciona seguridad de un extremo a otro entre clientes y servidores en redes TCP/IP, administra la directiva IPSec, inicia el intercambio de claves de Internet (IKE) y coordina la configuración de la directiva IPSec con el controlador de seguridad IP. El servicio se controla a través de los comandos NET START o NET STOP. IPSec opera en la capa IP y es transparente para otras aplicaciones y servicios de sistemas operativos. El servicio proporciona filtrado de paquetes y puede negociar seguridad entre equipos en redes IP. Puede configurar IPSec para proporcionar:
IPSec también proporciona seguridad para conexiones VPN de protocolo de túnel de capa dos (L2TP). Si se detiene el Agente de directivas IPSec (Servicio IPSec), se comprometerá la seguridad de TCP/IP entre clientes y servidores de la red. Este servicio se instala y se activa de forma predeterminada en equipos con Windows Server 2003 y Windows XP. Centro de distribución de claves KerberosEl servicio del Centro de distribución de claves Kerberos permite que los usuarios inicien una sesión en la red y se autentiquen utilizando el protocolo de autenticación Kerberos v5. Como en otras implementaciones del protocolo Kerberos, el Centro de distribución de claves Kerberos (KDC) es un único proceso que ofrece dos servicios:
Si se detiene el servicio del Centro de distribución de claves Kerberos, los usuarios no podrán iniciar una sesión en la red ni obtener acceso a los recursos. Este servicio se instala en todos los equipos Windows Server 2003, pero sólo se ejecuta en controladores de dominio. Si deshabilita este servicio, los usuarios no podrán iniciar sesión en el dominio. Servicio de registro de licenciasEl Servicio de registro de licencias supervisa y registra la información de licencias de acceso a clientes. Trabaja con distintas partes del sistema operativo, como IIS, Servicios de Terminal Server, uso compartido de archivos e impresión y también con productos que no son parte del sistema operativo, como SQL Server o Microsoft Exchange Server. Si se detiene o deshabilita el servicio Servicio de registro de licencias, se aplicarán las licencias, pero no se supervisarán. Este servicio se deshabilita de forma predeterminada en equipos con Windows Server 2003. Administrador de discos lógicosEl servicio del Administrador de discos lógicos detecta y supervisa unidades de disco duro nuevas y envía información de volumen del disco al Servicio del administrador de discos lógicos para su configuración. Este servicio supervisa eventos Plug and Play para detectar unidades nuevas y utiliza un servicio de administrador y un servicio de vigilancia. No deshabilite el servicio si hay discos dinámicos en el equipo. El servicio Administrador de discos lógicos se ejecuta de forma predeterminada en equipos con Windows Server 2003 y Windows XP. Si se detiene, el estado dinámico de disco y la información de configuración podrían pasar a ser obsoletos. Por ejemplo, no se detectarían las unidades de disco duro. El servicio de administrador y el servicio de vigilancia son básicamente un mismo componente. El servicio administrativo sólo se inicia cuando se configura una unidad o una partición, o cuando se detecta una unidad nueva. Servicio del administrador de discos lógicosEl Servicio del administrador de discos lógicos realiza un servicio administrativo para solicitudes de administración de discos y configura las unidades de disco duro y los volúmenes. Sólo se inicia cuando se configura una unidad o una partición, o cuando se detecta una unidad nueva. No se inicia de forma predeterminada, sino que se activa cada vez que tiene lugar un cambio en la configuración de los discos dinámicos o cuando se abren el complemento Administración de discos MMC o la herramienta Diskpart.exe. Los cambios que pueden activar este servicio incluyen la conversión de un disco básico a dinámico, la recuperación de volúmenes de tolerancia a errores, el formateo de volúmenes o la modificación de un archivo de paginación. El Servicio del administrador de discos lógicos sólo se ejecuta para procesos de configuración y detenciones. Si deshabilita este servicio, aparecerá el siguiente mensaje de error cada vez que se intente utilizar el complemento Administración de discos de MMC para configurar los discos: No se puede conectar al servicio del administrador de discos lógicos Administrador de depuración de equiposEl servicio Administrador de depuración de equipos administra la depuración local y remota de varias aplicaciones, como Microsoft Script Editor, varias versiones de la suite de Office y de Microsoft Visual Studio. Si deshabilita el servicio Administrador de depuración de equipos, los intentos de depurar secuencias de comandos o procesos fallarán y mostrarán el mensaje de error siguiente: No puede iniciarse la depuración. El servicio Administrador de depuración de equipos está deshabilitado. Además, los usuarios no tendrán la oportunidad de depurar errores de secuencia de comandos en páginas web. Servicios de Message Queue ServerLos Servicios de Message Queue Server son una herramienta de desarrollo e infraestructura de mensajería que permite crear aplicaciones de mensajería distribuidas para Windows. Estas aplicaciones pueden comunicarse en redes heterogéneas y enviar mensajes entre equipos que, temporalmente, no pueden conectarse entre sí. Este servicio ofrece la entrega de mensajes garantizada, un enrutamiento eficaz, seguridad y una mensajería basada en prioridades. Admite también la capacidad de enviar mensajes dentro de transacciones y proporciona a Microsoft Win32® y las API COM toda la funcionalidad de programación, incluida la administración. La implementación de la funciones de lectura remota en la versión de Windows XP de Servicios de Message Queue Server permite a usuarios sin autenticación conectarse a colas. Un usuario malintencionado podría purgar una cola y crear una condición de denegación de servicio. Además, la lectura remota de datos de Servicios de Message Queue Server se transmite a través de la red en texto sin formato, lo que significa que un usuario malintencionado podría leerla y capturar datos de la red. Para estas razones, Microsoft recomienda que no instale los Servicios de Message Queue Server en equipos con Windows XP que se exponen a redes que no son de confianza, como Internet. El servicio no se instala de forma predeterminada en Windows XP, así que la mayoría de las organizaciones ya deben estar protegidas contra esta vulnerabilidad. Si se detiene el servicio Servicios de Message Queue Server, los mensajes distribuidos no estarán disponibles. Si deshabilita este servicio, cualquier otro servicio que dependa directamente del mismo no se podrá iniciar. Además, la funcionalidad Componente en cola (QC) de COM+, alguna funcionalidad de WMI y el servicio Desencadenadores de Message Queue Server se verán afectados. Este servicio no se instala de forma predeterminada en equipos con Windows Server 2003. Compatibilidad de Message Queue Server con clientes de nivel inferiorEl servicio Message Queue Server con clientes de nivel inferior proporciona acceso a Active Directory para clientes de Windows NT 4.0, Windows 9x y Windows 2000 que utilizan los servicios de Message Queue Server en controladores de dominio. Los Servicios de Message Queue Server utilizan opcionalmente información que se publica en Active Directory para obtener información de enrutamiento de objetos relacionados con la seguridad, tales como el destino de las claves públicas, y para saber más sobre las colas públicas. Si instala Servicios de Message Queue Server en modo de grupo de trabajo, en ningún momento podrá obtener acceso a Active Directory. Este servicio sólo es necesario en controladores de dominio de Windows Server 2003 que ejecutan los servicios de Message Queue Server. Si se detiene el servicio Compatibilidad de Message Queue Server con clientes de nivel inferior en un controlador de dominio, las versiones del cliente MSMQ no podrán obtener servicios de Active Directory en el controlador de dominio especificado para el descubrimiento de colas públicas, el enrutamiento de mensajes y el reconocimiento de sitios. Este servicio no se instala de forma predeterminada en equipos con Windows Server 2003. Desencadenadores de Message Queue ServerEl servicio del sistema Desencadenadores de Message Queue Server ofrece la supervisión mediante reglas de los mensajes que llegan auna cola de Message Queue Server. Cuando se cumplen las condiciones de una regla, llama a un componente COM o a un programa ejecutable independiente para procesar el mensaje. Este serviciose instala como parte integrante del servicio de Message Queue Server, que es un componente opcional de Windows, disponible en todas sus versiones excepto en Windows XP Home Edition. Si se detiene el servicio de Desencadenadores de Message Queue Server, no podrá aplicar la supervisión mediante reglas ni llamar a programas para que procesen los mensajes de forma automática. Este servicio no se instala de forma predeterminada en equipos con Windows Server 2003. MessengerEl servicio del sistema de Mensajería envía mensajes a usuarios, equipos, administradores y al Servicio de alerta y recibe mensajes de ellos. Este servicio no está relacionado con Windows Messenger, un servicio de mensajería instantánea disponible a través de MSN. Si está deshabilitado,el equipo o los usuarios actualmente conectados no podrán enviar o recibir notificaciones a través del servicio de Mensajería. Además, los comandos de shell NET SEND y NET NAME dejarán de funcionar. Este servicio se instala pero se deshabilita de forma predeterminada en equipos con Windows Server 2003 y Windows XP. Servicio Pop3 de MicrosoftEl Servicio Pop3 de Microsoft ofrece servicios de transferencia y recuperación de correo electrónico. Los administradores pueden utilizarlo para almacenar y administrar las cuentas de correo electrónico en un servidor de correo. Cuando se instala el Servicio POP3 de Microsoft en un servidor de correo, los usuarios pueden conectarse a ese servidor y recuperar mensajes de correo electrónico con un cliente de correo electrónico compatible con el protocolo POP2, por ejemplo Microsoft Outlook®. El Servicio POP3 de Microsoft trabaja en combinación con el Servicio SMTP, que permite usuarios para enviar correo electrónico saliente. Este servicioes el mecanismo que permite a los usuarios recuperar sus mensajes de correo electrónico de un servidor de correo. Los equipos del remitente y el destinatario se conectan a Internet a través de sus proveedores de servicios de Internet respectivos. Cuando el remitente utiliza un cliente de correo electrónico para enviar un mensaje, el Servicio SMTP transfiere el mensaje al proveedor de servicios de Internet del remitente. El mensaje se dirige entonces a Internet y se retransmite a través de varios servidores intermedios. Cuando el mensaje llega al proveedor de servicios de Internet del destinatario, se coloca en su buzón de correo. Cuando el equipo del destinatario se conecte a su ISP, éste transferirá el mensaje al cliente de correo electrónico del destinatario del equipo local según el protocolo POP3. Si se detiene el Servicio Pop3 de Microsoft, dejarán de funcionar los servicios de transferencia y recuperación de correo electrónico. Este servicio se debe instalar manualmente en equipos con Windows Server 2003. Proveedor de instantáneas de software de MicrosoftEl servicio Proveedor de instantáneas de software de Microsoft administra instantáneas basadas en software tomadas por el Servicio de instantáneas de volumen. Una instantánea es una copia de un volumen de disco que representa un determinado punto en el tiempo coherente y de sólo lectura de dicho volumen. Este punto o momento permanece constante y permite que una aplicación, como un programa de copia de seguridad, copie datos de la instantánea en cinta. Existen dos tipos generales de instantáneas:
Las instantáneas pueden resolver tres retos clásicos asociados con la copia de seguridad de datos:
La plataforma para instantáneas está formada por los siguientes elementos:
Si el servicio del sistema Proveedor de instantáneas de software de Microsoft se detiene, las instantáneas de volumen basadas en software no se podrán administrar, lo que podría causar que la copia de seguridad de Windows falle. Este servicio se instala de forma predeterminada en Windows Server 2003, pero sólo se ejecuta cuando se solicita. MSSQL$UDDIEl servicio MSSQL$UDDI se instala a la par que la función Universal Description, Discovery, and Integration (UDDI) de la familia Windows Server 2003. (Esta función ofrece capacidades UDDI a una organización). Cuando se instala este servicio, una instancia de base de datos de SQL Server se instala también. Esta instancia administra todos los archivos que componen las bases de datos usadas por el servicio y procesa todas las instrucciones Transact-SQL que se envían de aplicaciones cliente de SQL Server. El servicio MSSQL$UDDI asigna los recursos del equipo con eficacia entre varios usuarios simultáneos. Asimismo, fuerza las reglas empresariales definidas en los procedimientos almacenados y desencadenadores, asegura la coherencia de los datos y evita problemas lógicos, como que haya dos personas intentando actualizar los mismos datos a la vez. UDDI es una especificación de la industria para la descripción y el descubrimiento de servicios web. La especificación UDDI agrega los estándares de protocolo SOAP (Simple Object Access Protocol), XML (lenguaje de marcado extensible) y HTTP/S, que fueron desarrollados por el World Wide Web Consortium (W3C) y el IETF. Los servicios UDDI son servicios web XML estándar que permiten que los desarrolladores empresariales publiquen, detecten, compartan y reutilicen con eficacia los servicios web directamente a través de sus herramientas de desarrollo. Integrados en Microsoft .NET Framework, los servicios UDDI utilizan la tecnología y herramientas probadas de Microsoft SQL Server con el objetivo de proporcionar un mecanismo de almacenamiento escalable. Los administradores de TI pueden utilizar el soporte de los servicios UDDI para esquemas de categorización estándar y autenticación de Active Directory, facilitando la integración con un entorno empresarial. El servicio MSSQL$UDDI debe instalarse manualmente en equipos Windows Server 2003; cuando se instala, su tipo de inicio se configura en Manual. Si se detiene este servicio, la base de datos de SQL Server de UDDI dejará de estar disponible y los clientes no serán capaces de preguntar ni tener acceso a los datos en sus bases de datos. MSSQLServerADHelperEl servicio del sistema MSSQLServerADHelper habilita Microsoft SQL Server y el servicio Analysis Services de Microsoft SQL Server para publicar información en Active Directory cuando estos servicios no se están invocando a través de la cuenta LocalSystem. Sólo se permite ejecutar una instancia del servicio MSSQLServerADHelper en un equipo. Todas las instancias de Microsoft SQL Server y Analysis Services de Microsoft SQL Server la utilizan cuando resulta necesario. MSSQLServerADHelper no es un servicio de servidor y no acepta solicitudes del cliente. Tampoco utiliza un puerto TCP o UDP. No puede detener el servicio MSSQLServerADHelper. y se inicia dinámicamente a través de una instancia de SQL Server o Analysis Manager cuando es necesario. Se detiene en cuanto ha finalizado el trabajo. Ejecute siempre este servicio con la cuenta del sistema local y no lo inicie manualmente desde la consola. Si lo deshabilita, puede haber problemas al agregar, actualizar o eliminar objetos de Active Directory relacionados con SQL Server. Este servicio se debe instalar manualmente en equipos con Windows Server 2003. Una vez instalado, su tipo de inicio se configura como Manual. .NET Framework Support ServiceEl servicio del sistema .NET Framework Support Service notifica a un cliente de suscripción cuando un proceso especificado inicializa el servicio Client Runtime Service. .NET Framework Support Service proporciona un entorno de tiempo de ejecución denominado Common Language Runtime (CLR), que administra la ejecución de código y proporciona servicios que facilitan el proceso de desarrollo. Los compiladores y herramientas exponen la funcionalidad del tiempo de ejecución y permiten escribir código que puede aprovechar las ventajas de este entorno de ejecución administrado. CLR permite diseñar componentes y aplicaciones cuyos objetos interactúan entre lenguajes. Los objetos escritos en distintos lenguajes se pueden comunicar entre sí y sus comportamientos se pueden integrar bien. Este servicio se instala normalmente como parte del entorno de desarrollo Visual Studio.NET y no estará presente ni activo a menos que se instale manualmente. Si se detiene o se deshabilita el servicio .NET Framework Support Service, el usuario no recibirá una notificación cuando una aplicación .NET inicie el CLR. Inicio de sesión de redEl servicio de Inicio de sesión en red mantiene un canal seguro entre el equipo y el controlador del dominio que usa para autenticar a los usuarios y los servicios. Pasa las credenciales del usuario a través de un canal seguro hasta un controlador del dominio y devuelve los identificadores de seguridad del dominio y los derechos al usuario, lo que se conoce normalmente como autenticación pass-through. El servicio se instala en todos los equipos Windows Server 2003 y Windows XP, y su tipo de inicio se establece en Manual. Después de que el equipo se une a un dominio, el servicio se inicia automáticamente. En las familias Windows 2000 Server y Windows Server 2003, este serviciopublica registros de recursos del servicio en DNS, que emplea para resolver nombres en las direcciones IP de controladores de dominio. El servicio Inicio de sesión en red implementa además el protocolo de replicación basado en la llamada a procedimiento remoto (RPC) para sincronizar los controladores principales de dominio (PDC) y de reserva (BDC) de Windows NT 4.0. Si deshabilita este servicio,es posible que el equipo no pueda autenticar a los usuarios y servicios, así como que el controlador de dominio no pueda registrar registros DNS. Concretamente, se podrían denegar las solicitudes de autenticación NTLM y los equipos cliente podrían no encontrar los controladores de dominio. Escritorio remoto compartido de NetMeetingEl servicio de Escritorio remoto compartido de NetMeeting permite a usuarios autorizados obtener acceso de forma remota al escritorio Windows con la aplicación Microsoft NetMeeting® desde otro equipo personal a través de una intranet. El servicio se instala y se deshabilita de forma predeterminada. Se debe habilitar de forma explícita con NetMeeting y se puede deshabilitar en NetMeeting o cerrarse mediante un icono de la bandeja de Windows. Si se detiene o deshabilita el servicio Escritorio remoto compartido de NetMeeting, el controlador de pantalla de NetMeeting se descarga y el equipo no será capaz de proporcionar acceso remoto a su escritorio. Conexiones de redEste serviciose instala de forma predeterminada en equipos con Windows Server 2003 y Windows XP. Este servicio administra objetos en la carpeta Conexiones de red, donde se pueden ver conexiones de red y remotas. Este servicio es el responsable de la configuración de red del cliente y muestra el estado de la conexión en el área de notificación de la barra de tareas. Puede también ver y configurar la interfaz de red a través de este servicio. El servicio Conexiones de red se inicia automáticamente cuando el tipo de inicio es Manual y se invoca la interfaz Conexiones de red. Si se detiene este servicio, no estará disponible la configuración en el cliente para conexiones LAN, de conexión telefónica o VPN. Si se deshabilita, puede que se den los siguientes resultados:
DDE de redEl servicio de DDE de red ofrece transporte y seguridad en la red para el intercambio dinámico de datos (DDE) en los programas que se ejecutan en el mismo equipo o en equipos diferentes. Puede crear en el equipo "recursos compartidos" de DDE de red de forma programada o con Ddeshare.exe, y hacerlos visibles para otras aplicaciones y equipos. Normalmente, el usuario que crea el recurso compartido generará y ejecutará un proceso de servidor para administrar las solicitudes entrantes de procesos o aplicaciones de cliente, tanto locales como remotas. Una vez conectados, estos procesos pueden intercambiar cualquier tipo de datos a través de un transporte de red seguro. Este servicio se instala y se deshabilita de forma predeterminada. Para utilizar la funcionalidad DDE de red, debe establecer el tipo de inicio de servicio en Manual, después de lo cual el servicio sólo se inicia cuando lo invoca una aplicación que utiliza DDE de red, como Clipbrd.exe o Ddeshare.exe. Si detiene el servicio DDE de red, la seguridad y el transporte de DDE no estarán disponibles. Si deshabilita este servicio, cualquier aplicación que dependa de él agotará el tiempo de espera cuando intente iniciar el servicio. Si una aplicación de un equipo remoto intenta iniciar el servicio DDE de red en otro equipo, no se podrá ver el equipo remoto en la red. DSDM de DDE de redEl servicio DSDM de DDE de red administra los recursos compartidos de red DDE. Sólo el servicio DDE de red lo utiliza para administrar conversaciones DDE compartidas. Puede crear y confiar en los recursos compartidos de DDE a través de Ddeshare.exe, a fin de permitir que las aplicaciones y equipos remotos se conecten y compartan datos. El servicio DSDM de DDE de red mantiene una base de datos de recursos compartidos de DDE, que incluye información sobre los recursos compartidos de confianza. Para cada solicitud de conexión que se hace desde o a una aplicación, el servicio consulta la base de datos y valida la configuración de seguridad para determinar si se debe aprobar la solicitud. El servicio DSDM de DDE de red se instala y se deshabilita de forma predeterminada. Para utilizar la funcionalidad DDE de red, debe establecer el tipo de inicio de servicio en Manual, después que lo cual el servicio sólo se inicia cuando lo invoca una aplicación que utiliza DDE de red. Si detiene el servicio DSDM de DDE de red, no estarán disponibles los recursos compartidos de red de DDE. Si deshabilita este servicio, cualquier aplicación que dependa de él agotará el tiempo de espera cuando intente iniciar el servicio. NLA (Network Location Awareness)El servicio NLA (Network Location Awareness) recopila y almacena información de configuración de red como cambios en el nombre de dominio y dirección IP, así como información sobre cambios en la ubicación. El servicio notifica a las aplicaciones compatibles cuando esta información cambia para que puedan reconfigurarse a sí mismas y utilizar la conexión de red actual. El servicio NLA (Network Location Awareness) es un servicio predeterminado en Windows XP. Incluso si configura este servicio con un tipo de inicio manual, normalmente se iniciará a través de servicios dependientes. Si se detiene este servicio, la funcionalidad del conocimiento de ubicación de red no estará disponible. Servicio de suministro de redEl servicio de suministro de red proporciona la capacidad de descargar y administrar archivos de configuración XML de servicios de suministro de red como Microsoft Wireless Provisioning Services (WPS), que permiten en suministro automático de red para proveedores de servicios de Internet y redes privadas. Este servicio trabaja con el servicio Configuración inalámbrica rápida para proporcionar compatibilidad con los últimos estándares de seguridad inalámbrica. Si se detiene o se deshabilita el servicio de suministro de red, la configuración y operación de la interfaz de red inalámbrica podría ser incorrecta, aun cuando el entorno de red no utilice WPS o un equivalente. Protocolo de transferencia de noticias a través de la red (NNTP)El servicio del Protocolo de transferencia de noticias a través de la red (NNTP) permite que los equipos Windows Server 2003 actúen como servidores de noticias. Los equipos cliente pueden utilizar una aplicación cliente de noticias, como el cliente de mensajería Microsoft Outlook Express para recuperar grupos de noticias del servidor y leer las cabeceras o cuerpos de los artículos de cada grupo de noticias. A continuación, los equipos cliente pueden devolver los artículos al servidor. NNTP es un estándar de Internet. El servicio NNTP que se incluye con Windows Server 2003 no admite transmisiones en las cuales dos servidores de noticias replican entre sí el contenido que alojan. No obstante, la versión incluida en Exchange 2000 sí contiene esta funcionalidad. Este servicio no se instala ni habilita de forma predeterminada. Sólo puede instalarse junto con IIS. Si el servicio de Protocolo de transferencia de noticias a través de la red (NNTP) se detiene, los equipos cliente no podrán conectarse y leer o recuperar publicaciones. Proveedor de compatibilidad con seguridad LM de Windows NTEl servicio Proveedor de compatibilidad con seguridad LM de Windows NT ofrece seguridad a programas de RPC que utilizan transportes que no son conductos con nombres. Permite a los usuarios iniciar una sesión en la red utilizando el protocolo de autenticación NTLM, que autentica a clientes que no utilizan la versión Kerberos 5 del protocolo de autenticación. El protocolo de autenticación de desafío/respuesta de Windows NT (NTLM) se utiliza en redes que incluyen sistemas con versiones del sistema operativo Windows NT y en sistemas independientes. NTLM es el acrónimo de Windows NT LAN Manager, un nombre elegido para distinguir este protocolo de desafío/respuesta más avanzado de su predecesor más débil LAN Manager (LM). Windows 2000 utilizó la versión Kerberos 5 del protocolo de autenticación, que proporciona mayor seguridad a redes de equipos que NTLM. Aunque el protocolo Kerberos es el protocolo de autenticación preferido para redes de Windows 2000 y Windows Server 2003, NTLM se admite todavía y debe utilizarse para la autenticación de red si la red incluye equipos en los que se ejecutan versiones de Windows NT, Windows 98 o Windows Millennium Edition. La autenticación del inicio de sesión en equipos independientes requiere también NTLM. Las credenciales de NTLM están basadas en datos obtenidos durante el proceso de inicio de sesión interactivo y consisten en un nombre de dominio, un nombre de usuario y un hash unidireccional de la contraseña del usuario. NTLM utiliza un protocolo de desafío/respuesta cifrado para autenticar a un usuario, pero sin enviar su contraseña por la red. En su lugar, el equipo que solicita la autenticación debe realizar un cálculo que p |
