Beruflich Dokumente
Kultur Dokumente
avanzada
Este libro est dirigido a aquellos administradores e ingenieros de sistemas que deseen
adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en
profundidad.
Responde a la necesidad de disponer de una mayor experiencia por parte del lector,
tratando con profundidad, desde un punto de vista terico y prctico, roles imprescindibles
tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso
la VPN. Tambin se describen todas las especificidades de Windows Server 2012 R2
(como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, los Work
Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials,
etc.), para permitirle aprovechar al mximo el potencial de esta versin.
Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft
(MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en
infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las
mejores prcticas del mundo profesional de la empresa.
Introduccin
Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server de
Microsoft
Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin de
la versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin de
todos los profesionales.
Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y
completa que responda a las necesidades, cada vez ms exigentes, de las empresas. Esta
versin evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la
virtualizacin de servidores, al Cloud Computing y a la premisa "Bring Your Own Device".
Podr, de este modo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le
permitirn basar el conjunto de sus Sistemas de Informacin en una solucin Microsoft.
Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2:
Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est
preconfigurada para ejecutar una versin mnima (Core) de Windows Server 2012 y slo
puede alojar el rol Hyper-V. Es posible encontrar ms informacin en la siguiente
direccin: http://technet.microsoft.com/es-es/evalcenter/dn205299.aspx
Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de
32 bits e Itanium ya no estn disponibles.
La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012
Standard y Datacenter, el clculo de licencias "por servidor" cambia por licencias "por
procesador". Preste atencin, en adelante, al hardware de sus servidores. Por defecto, estas
versiones parten de una licencia para dos procesadores. La nica diferencia entre ambas
versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y de
dos mquinas virtuales en la versin Standard.
Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la
empresa, este documento se centra en las ediciones Standard y Datacenter.
Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una
mayor eficacia en la administracin y, en consecuencia, una mejora en la productividad. La
nueva interfaz, de tipo mosaico, es coherente con el resto de la nueva gama de los OS
Windows. Aunque le pueda resultar algo desconcertante, Microsoft ha rectificado su
estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma de control
suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de
que no sea capaz de volver a reiniciar su servidor salvo por lnea de comando:
http://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_run
El servicio de directorio de Active Directory est dotado, desde Windows Server 2008
R2, de funcionalidades tales como la papelera de reciclaje de Active Directory, la
administracin automtica de cuentas de servicio o incluso la posibilidad de administrar de
forma grfica las directivas de contraseas mltiples, que encantarn a todo administrador.
El control de acceso dinmico permite controlar el acceso a los datos de forma dinmica.
Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a
continuacin, el control sobre el que se ubican en el seno del Sistema de Informacin.
Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de
Windows Server 2012 R2, conocida con el nombre de Windows Server Core. Esta versin
funciona, de hecho, sin una interfaz grfica y todo debe configurarse por lnea de
comandos. La ventaja principal de este tipo de administracin reside en el hecho de que la
superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor
aquellos componentes imprescindibles. Los administradores agregarn, a continuacin, los
roles que deseen. La interfaz grfica se considera una caracterstica ms que es posible
desinstalar.
La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las
impresoras de su dominio.
Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker
permitirn realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows
Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1.
El acceso VPN a travs de protocolos tales como SSL facilitan el acceso al Sistema de
Informacin y, tambin, intercambiar datos con otros equipos. La pasarela sitio-a-sitio
multi-inquilino provee, de este modo, la opcin de utilizar una misma pasarela Site To Site
para conectar clientes que posean el mismo plan de direccionamiento IP.
El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el
acceso a los datos de su disco duro desde una instalacin paralela de otro sistema operativo.
El protocolo SMB (Server Message Block) pasa a la versin 3.0 y se ha visto mejorado
considerablemente. Tiene en cuenta funcionalidades tales como la conmutacin automtica
SMB, la consideracin de SMB, el testigo de carpeta, etc. Tiene en cuenta, tambin, el
almacenamiento en archivos VHD o un sistema de bases de datos SQL.
Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarn
enormemente la experiencia de usuario.
El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web
que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. Estas
aplicaciones estn, de este modo, accesibles desde su navegador de Internet. Esta solucin
se basa en IIS y puede, a su vez, integrarse en un portal SharePoint.
El clster de servidores tiene como cometido contener varios a servidores con un mismo
rol. Si alguno de los servidores (llamados nodos del clster) no est disponible, el sistema
de clster bascula, automticamente, hacia otro nodo disponible. Esto se realiza sin ninguna
intervencin por parte de los administradores, lo que limita la duracin de la
indisponibilidad de una aplicacin.
Este libro tiene tambin como objetivo presentarle las principales funcionalidades de
Windows Server 2012/2012 R2, insistiendo especialmente en aquellas novedades
aparecidas tras el salto tecnolgico que separa a Windows Server 2003 de Windows Server
2008.
Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en
una webografa, disponible en la pgina Informacin.
Introduccin
Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio de
directorio de Microsoft resulta indispensable en la gestin de la informacin en el seno de
una empresa.
Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:
Segn los roles, son nicos por dominio o bien por bosque. La siguiente tabla
muestra con detalle cada uno de estos cinco roles:
Desde un punto de vista general, los asistentes de configuracin se han visto mejorados
considerablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, que
estos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer
referencia a la mayora de las opciones avanzadas de instalacin del directorio Active
Directory desde el asistente creado a este efecto.
Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su
directorio Active Directory.
Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola para
agregar el rol Servicios de dominio de Active Directory (tambin conocido bajo el
nombre AD DS por Active Directory Domain Services). Volveremos un poco ms adelante
sobre las etapas detalladas ligadas a esta instalacin.
En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario
que posea los permisos de Administrador del servidor.
Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro
controlador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre,
definir estos parmetros antes de realizar la promocin de un servidor a controlador de
dominio.
Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le
permite configurar su servidor una vez instalado.
Haga clic en Configurar este servidor local (o Servidor local) para visualizar la
configuracin propia a este servidor y modificarla si fuera necesario.
Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se
encuentran en la misma fila que Ethernet y Nombre de equipo. Podr, de este modo,
definir una direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor.
En nuestro ejemplo, el nombre de equipo ser DC2012 (DC por Domain Controller o
controlador de dominio). A continuacin deber reiniciar el servidor.
Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarse
de manera remota.
Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de la
instalacin de un controlador de dominio Active Directory, debe escoger la
opcin Servicios de dominio de Active Directory.
El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, al
menos, tiles) para este rol (Herramientas administrativas, Administracin de directivas de
grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en
funcin del rol seleccionado. Haga clic en Siguiente.
Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrs
es compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft ha
optado por simplificar esta etapa integrando directamente la actualizacin del esquema y
del dominio en el asistente de promocin de un controlador de dominio desde el
Administrador del servidor.
El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario
para preparar un bosque y un dominio para la instalacin de un controlador de dominio de
una versin superior. Este comando slo est disponible en versin 64 bits.
Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es
posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versin
64 bits, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2
miembro del dominio, incluso aunque no se trate de un controlador de dominio. Adprep se
ubica en la carpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2.
Encontrar mucha ms informacin sobre la instalacin manual de adprep en la siguiente
direccin: http://technet.microsoft.com/en-us/library/hh472161.aspx
Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows
Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2
mediante la consola Dominios y confianzas de Active Directory o mediante el centro de
administracin de Active Directory (encontrar ms informacin en la direccin:
http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque,
todos los controladores de dominio funcionan con Windows Server 2012 R2 puede,
tambin, aumentar el nivel funcional de su bosque, siempre mediante alguna de estas
consolas (encontrar ms informacin en la direccin: http://technet.microsoft.com/es-
es/library/cc730985.aspx)
Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta,
la mayora de veces, funcionalidades y caractersticas suplementarias. Estas
funcionalidades se resumen en la siguiente direccin: http://technet.microsoft.com/en-
us/library/understanding-active-directory-functional-levels(v=ws.10).aspx
Import-Module ActiveDirectory
Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv
-domainmode
Windows2008Domain
D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio ser
miempresa.priv y, a continuacin, haga clic en Siguiente.
Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.
No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombre
Miempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombre
de dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin este
carcter, que le generar una serie de inconvenientes en el futuro, especialmente con
Exchange.
Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de
dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque
ya existente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo
2008 R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft
KB300684 (http://support.microsoft.com/kb/300684) analiza este caso.
Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para
contactar con un eventual bosque ya existente.
Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin en
el captulo Implementar los servicios de red de la empresa - Implementar los sistemas de
resolucin de nombres.
Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2
dado que, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y
del bosque.
Deje marcada la opcin Servidor DNS para instalar este rol sobre el futuro controlador de
dominio. La opcin Catlogo global aparece marcada obligatoriamente puesto que todava
no existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear
un nuevo dominio en un nuevo bosque.
Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de
Administrador actual por motivos de seguridad.
El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de los
parmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio
Active Directory definido, y si no se ha instalado ningn servidor DNS, el asistente
mostrar el siguiente mensaje (haciendo clic en Ver ms en la barra de alerta de color
amarillo ubicada en la parte superior del asistente).
Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del
servidor, ste se borrar automticamente de estas propiedades de modo que el futuro
controlador de dominio ser cliente de su propio DNS. El anterior servidor DNS se
informar en la pestaa Reenviadores en las propiedades del servicio DNS.
Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic
en Siguiente.
Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la
base de datos, los archivos de registro y SYSVOL. En un entorno de produccin, se
recomienda encarecidamente separar la base de datos y los archivos de registro para, as,
evitar la saturacin de I/O (entradas/salidas). Haga clic en Siguiente.
Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las
etapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en un
archivo de respuestas.
Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic en
Instalar.
Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clic
en el vnculo que le permite volver a verificar si se cumplen los requisitos previos.
Auditar estos servidores es una actividad que consiste en censar los eventos que se
consideren interesantes en el registro de eventos. Esto le permitir evidenciar problemas de
configuracin o incluso verificar la seguridad de ciertos elementos crticos del sistema
operativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto
que el rendimiento del servidor se ver impactado inmediatamente.
Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando su
directiva de grupo (desde el men Inicio - Herramientas administrativas y Gestion des
Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers
Policy (Configuracin de equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Directivas de auditora).
La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho ms
preciso!
Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y los
parmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que
de una forma muy vasta la configuracin efectiva.
En Windows XP slo existen nueve categoras de evento que pueden auditarse. Desde
Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de
eventos distintos volviendo, de este modo, la creacin de objetos mucho ms granular.
En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puede
mostrar y aplicar de forma ms precisa las directivas de auditora realmente posibles
nicamente por lnea de comandos mediante el comando Auditpol.exe.
El siguiente comando permite mostrar las distintas categoras posibles para la auditora:
Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar la
actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta
configuracin definida mediante GPO se ejecutar nicamente en equipos Windows Server
2008 R2/2012/2012 R2 o Windows 7/8/8.1.
Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es preciso
utilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo
poner en marcha este despliegue.
Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la
posibilidad de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de
definir una directiva de auditora para un usuario particular sobre una accin precisa y para
un conjunto de servidores. Esto puede resultar muy prctico si tiene que justificar, en
particular, la auditora de la seguridad de un servidor de cara a afrontar una auditora SOX.
Los eventos generados por las auditoras de acceso a los archivos o al registro estarn
mucho ms detalladas si activa la opcin Auditar la manipulacin de identificadores
puesto que se mostrar el "motivo del acceso", que le permitir, en particular, poner de
relieve errores de configuracin (como, por ejemplo, un usuario que tiene acceso de
escritura en lugar de tener un acceso de slo lectura).
Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la
siguiente direccin: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx
Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a las
versiones anteriores de Windows.
Se han conservado las principales categoras, y muchas subcategoras enriquecen y
hacen que la recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por
tanto, mucho ms limpio de eventos intiles.
Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales
de auditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las
subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupo
activa, automticamente, las subcategoras.
Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar el
comando auditpol en los equipos o servidores seleccionados a travs de un script, por
ejemplo.
Si desea, por ejemplo, activar la auditora para todas las subcategoras referentes al
acceso al directorio Active Directory, siga el procedimiento siguiente:
Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, el
siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las
subcategoras de auditora del acceso DS se activarn. Es posible activar nicamente la
subcategora que nos interese, en nuestro caso, ejecutando auditpol /set
/subcategory:"modificacin del servicio de directorio" /success:enable y auditpol /set
/subcategory:"Administracin de cuentas de usuario" /success:enable.
Existe un bug en la versin espaola de auditpol y todas las categoras o subcategoras que
posean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar este
problema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o
bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada del
smbolo.
Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios
que traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por
el contrario, administradores que utilicen sus permisos de manera abusiva.
Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada -
Valor - [Administradores de dominio] y [Administradores].
Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los
proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no
trabajen. La auditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor
AND User.Project Not_AnyOf Resource.Project.
Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar,
tambin, que es posible configurar el parmetro Auditar los inicios de sesin
(Configuracin de directiva de auditora avanzada - Inicio y cierre de sesin).
Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local o
remoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguiente
direccin: http://technet.microsoft.com/es-es/library/hh831382.aspx
Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en el
captulo Securizar su arquitectura.
Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura
(llamados, tambin, RODC por Read Only Domain Controller). Un controlador de
dominio de solo lectura contiene toda la informacin de un controlador de dominio clsico
salvo la contrasea de los usuarios. Esta informacin se almacena en solo
lectura nicamente y no es posible iniciar ninguna modificacin a nivel de dominio desde
un RODC.
Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC es
posible modificar las propiedades del mismo para limitar su replicacin nicamente a
aquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valor
searchFlags del atributo que desee a nivel de particin de esquema. El rol maestro de
esquema tendr que encontrar, preferentemente, la informacin sobre algn controlador de
dominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a este
respecto en la siguiente direccin (en ingls):
http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-
440026f585e91033.mspx?mfr=true
Microsoft ha diseado una solucin adaptada a las necesidades de las empresas que posean
sitios remotos con pocos usuarios para:
Un RODC trata de autentificar una cuenta respecto a las contraseas que posee en cach. Si
no se encuentra en su cach, contactar con un controlador de dominio inscribible para
autentificar al usuario. Al mismo tiempo, consultar si la directiva de replicacin de
contraseas autoriza que se aloje en la cach del RODC la contrasea de esta cuenta o no.
De este modo, si la directiva lo permite, las consultas de autentificacin se ejecutarn
directamente en el RODC.
Tenga en mente que jams hay que abrir sesin en un RODC con una cuenta miembro del
grupo Administradores de dominio (o equivalente), pues un ataque permitira obtener estas
credenciales.
Acceder a los recursos de red ms rpidamente
Entre las dems especificaciones de un controlador de dominio de solo lectura, sepa que
este ltimo slo puede, por naturaleza, recibir el trfico de replicacin entrante (replicacin
unidireccional). No puede, por tanto, definirse como servidor inicial de una directiva de
replicacin de dominio en la medida en que simplemente sufre las modificaciones, sin
poder iniciarlas.
Es, tambin, posible instalar el servicio DNS sobre el RODC de un sitio. Esto evita tiempos
de latencia repetitivos cuando un usuario trata de realizar una resolucin de nombres sin
tener un DNS prximo a l. Este servicio ser, tambin, de solo lectura en un RODC y los
equipos no tendrn la posibilidad de insertar sus propios registros de forma dinmica sobre
este servidor DNS. Sus consultas de escritura se redirigirn a un servidor DNS sobre el que
se permita realizar escrituras. Para limitar la primera replicacin de un controlador de
dominio suplementario, es posible instalarlo desde un medio extrable y, de este modo,
preservar el ancho de banda al mximo. En el caso de un RODC, es posible realizar esta
accin utilizando el comando ntdsutil ifm, que tiene como efecto eliminar las contraseas
alojadas en cach presentes en el controlador de dominio. Puede obtener ms informacin
acerca de la instalacin de un controlador de dominio desde un medio externo en la
siguiente direccin: http://technet.microsoft.com/en-us/library/cc816722(v=ws.10).aspx
Aparece un resumen con las distintas opciones que ha seleccionado a lo largo del asistente.
Puede, tambin, visualizar los comandos PowerShell que se ejecutarn para realizar estas
acciones haciendo clic en Ver script. El archivo de respuestas creado permitir realizar la
instalacin de un servidor RODC por lnea de comandos sin intervencin por parte del
usuario (observe que la contrasea de restauracin del servicio de directorio no se
almacenar directamente en este archivo, y deber indicarla antes de utilizar el archivo de
instalacin sin que el asistente le solicite introducir la contrasea en el momento necesario).
Haga clic en Siguiente para ejecutar el asistente de verificacin. ste le avisar si existe
alguna configuracin incorrecta (direccin IP dinmica, etc.). Si bien no es obligatorio
resolver estos errores para ejecutar la instalacin del servidor RODC, es muy
recomendable. Haga clic en Instalar. Es necesario reiniciar el servidor para que se tengan
en cuenta las modificaciones. El servidor se agregar automticamente al dominio como
RODC.
Sepa que es posible Crear previamente una cuenta de controlador de dominio de slo
lectura desde un controlador de dominio existente. Esta opcin est disponible desde la
consola ADAC, seleccionando su dominio en Domain Controllers.
Haciendo clic en el botn Opciones avanzadas, puede mostrar el nombre de las Cuentas
cuyas contraseas estn almacenadas en este controlador de dominio de slo lectura.
Puede, tambin, seleccionar en la lista desplegable visualizar las Cuentas autenticadas en
este controlador de dominio de slo lectura. Resulta, en efecto, interesante conocer quin
est autentificado mediante este RODC y, de este modo, modificar la directiva de
replicacin de contrasea para alojar en cach la contrasea de estos usuarios y as evitar
consultas intiles hacia un controlador de dominio de escritura. Puede, tambin, seleccionar
la opcin de Rellenar contraseas previamente. Esto puede resultar muy til si instala su
RODC desde su sitio principal y rellena las contraseas que quiere alojar en cach de los
usuarios del sitio secundario (sobre el que se desplazar, a continuacin, el servidor
RODC). Habr, tambin, que rellenar las cuentas de equipo utilizadas por los usuarios
agregados. Esto evitar tener que utilizar la conexin WAN entre dos sitios durante la
primera autentificacin de los usuarios en el sitio secundario. Es decir, las cuentas
seleccionadas deber, previamente, agregarse a la directiva de replicacin de contrasea,
pues sin ello el rechazo implcito evitar que se almacene la contrasea en cach.
Sepa que es posible rellenar previamente las contraseas utilizando el siguiente comando:
repadmin /rodcpwdrepl [DSA_List] <Hub DC> <User1 Distinguished Name>
[<Computer1 Distinguished Name> <User2 Distinguished Name> ...]
En caso de robo de un servidor RODC, podr controlar de manera muy sencilla aquellas
cuentas impactadas y, de este modo, limitar los potenciales riesgos de seguridad debidos al
robo del servidor. Como administrador, aqu se muestra cmo debera reaccionar ante tal
situacin:
Se muestra una ventana que le permite forzar la reinicializacin de la contrasea para las
cuentas de usuario y/o equipo. Tambin le permite exportar la lista de cuentas que estaban
en cach. Una vez seleccionadas las opciones, haga clic en Eliminar.
Una de las principales mejoras esperadas tras varios aos por los profesionales de la
informtica que utilizan el directorio de Microsoft es, sin duda alguna, la posibilidad de
poder definir directivas de contrasea mltiples sobre un dominio de Active Directoy. No
ha sido, en efecto, posible realizar esta operacin hasta Windows Server 2008.
Desde Windows Server 2008, existe una nueva clase de objetos llamada msDS-
PasswordSettings. Hace posible la multiplicacin de las directivas de contrasea en el
seno de un mismo dominio. Sobre un dominio de Active Directory existente, anterior a
Windows Server 2008, habr que actualizar el nivel funcional del dominio al menos a
Windows Server 2008 (todos sus controladores de dominio debern, por tanto, ejecutar
como mnimo Windows Server 2008).
Por defecto, slo los miembros del grupo Administradores de dominio tienen la
posibilidad de definir directivas de contrasea mltiples.
Desde Windows Server 2008, es posible detener e iniciar el directorio Active Directory
desde cualquier controlador de dominio, pues se considera como un servicio de Windows.
La principal ventaja ligada al funcionamiento de Active Directory como servicio es que los
dems servicios instalados sobre el controlador de dominio ya no estarn inaccesibles
cuando se quiera realizar alguna operacin de mantenimiento.
Cuando el estado del servicio se define como Detenido, los dems equipos ven al
controlador de dominio como un servidor miembro del dominio sobre el que las directivas
de grupo pueden aplicarse. El controlador de dominio se comporta igual que si estuviera en
modo Restauracin de servicio de directorio. Su archivo ntds.dit est libre y si no existe
ningn controlador de dominio disponible para autentificar su apertura de sesin, tendr
que utilizar la contrasea de la cuenta de administrador de restauracin de servicios de
directorio cuando promocione el servidor como controlador de dominio.
Es importante tener en cuenta que si bien el servicio NTDS puede detenerse, hay que tener
en cuenta unas precauciones mnimas:
El servicio NTDS no debe detenerse durante mucho tiempo. Por ejemplo, detener el
servicio sobre un controlador de dominio diciendo que el directorio se restablecer
en caso de que falle algn controlador de dominio. En efecto, segn la duracin de
la parada del servicio NTDS, los registros podran considerarse como demasiado
viejos y no se replicarn.
La parada del servicio NTDS no basta para realizar una restauracin del Active
Directory. Es preciso utilizar el modo de Restauracin de Servicios de Directorio
(Directory Services Restore Mode) DSRM para realizar una restauracin
(autoritaria o no).
No es posible abrir una sesin con la cuenta Administrador DSRM (que se
corresponde, en realidad, con la cuenta de Administrador local del controlador de
dominio) cuando se detiene el servicio NTDS y no existen ms controladores de
dominio disponibles durante el intento de autentificacin de cuenta. Es posible
modificar este comportamiento editando la clave
HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior
en su controlador de dominio.
Clave DSRMAdminLogonBehavior
Valor 0 No permite abrir una sesin con la cuenta de administrador DSRM.
(por Para abrir una sesin con esta cuenta, ser preciso que otro
defecto) controlador dominio est disponible en el momento de realizar la
autentificacin.
Valor 1 La cuenta de Administrador DSRM puede utilizarse cuando se
detiene el servicio AD DS.
Observe, tambin, que el reinicio en modo DSRM puede realizarse de varias formas:
Se trata del servicio Servidor de la funcin de DS (DsRoleSvc), que est configurado, por
defecto, en modo Manual Arrancar automticamente siempre que se le solicite durante la
configuracin de un nuevo controlador de dominio, se agregue un nuevo bosque, un
dominio o un controlador de dominio, se elimine el rol Active Directory en un servidor o
cuando se clone un controlador de dominio.
El captulo Consolidar sus servidores est dedicado al hipervisor Hyper-V y sus novedades.
El controlador de dominio con el rol Emulador PDC debe utilizar Windows Server 2012
para poder implementar un controlador de dominio virtualizado (tambin llamado vDC).
El switch de la red virtual Hyper-V debe tener el mismo nombre en cada servidor Hyper-V.
Debe existir un servidor Windows Server 2012 R2 con el rol Hyper-V para albergar el
vDC. Si utilizara otro hipervisor, tendr que ponerse en contacto con su proveedor para
verificar si este hipervisor tiene en cuenta el ID de generacin de mquina virtual (tambin
llamado VM-Generation-ID). Este VM-Generation ID es un identificador nico de 128 bits
que gestiona el hipervisor.
El controlador de dominio que quiere virtualizar debe disponer de los permisos suficientes
para ello (formando parte del grupo "Controladores de dominio clonables").
Observe que ciertos roles no pueden estar presentes en un servidor clonado, como por
ejemplo el servicio DHCP, AD CS y AD LDS.
Para crear un clon del controlador de dominio, debe realizar las siguientes etapas:
Existe un bug en Windows Server 2012 y 2012 R2 que le obligar a renombrar el grupo
"Controladores de dominio clonables" a "Clonable Domain Controllers", cambio sin el cual
el comando PowerShell que se ejecuta ms adelante (New-ADDCCloneConfigFile) fallar.
Por ejemplo:
Copie este archivo en la carpeta donde se encuentra la base de datos de Active Directory
sobre el controlador de dominio de origen (por defecto %windir%\NTDS).
Cree una nueva mquina virtual importando la que acaba de exportar. Se configurar
automticamente como controlador de dominio completo y se integrar perfectamente en su
infraestructura (a ttulo informativo, sepa que en este momento se ejecuta el comando
sysprep sobre el nuevo controlador de dominio y lo instala como lo hara tras una
instalacin a partir de un medio extrable).
Preste atencin: realizar un snapshot del vDC no remplaza a la copia de seguridad regular
del Active Directory.
He aqu una lista de los comandos PowerShell utilizados para realizar la gestin de
snapshots: Checkpoint-VM, Export-VMSnapshot, Get-VMSnapshot, Remove-
VMSnapshot, Rename-VMSnapshot y Restore-VMSnapshot.
Dejando a un lado los snapshots (o instantneas) de los vDC; es posible, desde Windows
Server 2008, crear instantneas de un Active Directory. La tecnologa se basa en la API
VSS (Volume Shadow Copy o instantnea de volumen). Para ayudarle con las bsquedas
en ingls en Internet, sepa que esta funcionalidad tambin se denomina Database Mounting
Tool.
La principal ventaja es que es posible realizar una copia de seguridad de este tipo
incluso sobre archivos bloqueados. No es necesario, por tanto, detener el servicio de Active
Directory (para liberar los archivos asociados) para poder salvaguardar el archivo ntds.dit,
por ejemplo.
Por defecto, slo los usuarios miembro del grupo Administradores de dominio y
Administradores de empresas estn autorizados a acceder a las instantneas creadas.
Para sacar el mximo provecho a las instantneas para Active Directory, existen tres
herramientas indispensables:
El comando ntdsutil para crear, eliminar, enumerar, montar, desmontar una copia de
seguridad (llamada, en esta ocasin, instantnea).
El comando dsamain que se utiliza para mostrar las diferencias entre dos
instantneas, por ejemplo.
La herramienta ldp.exe para visualizar los datos de una instantnea de forma
grfica.
El usuario solamente podr acceder a aquellos datos salvaguardados sobre los que disponga
de permisos. Los permisos sobre los objetos de la copia de seguridad no pueden
modificarse, puesto que son de slo lectura.
Para crear una instantnea del directorio Active Directory, utilice el comando ntdsutil.
Sepa, no obstante, que existen otros muchos programas comerciales que se basan en la
tecnologa de instantneas.
Una vez terminada la instantnea, puede seleccionar la opcin de mostrar todas las
instantneas creadas. Si ya se encuentra en el nivel instantnea, escriba nicamente List All
(en caso contrario el comando completo es ntdsutil snapshot "activate instance ntds" "List
All").
Tendr, a continuacin, que montar la instantnea que desee para poder leer los datos
salvaguardados:
Una vez montada la instantnea, escriba quit dos veces seguidas para volver a una lnea de
comandos clsica.
Creacin de una instantnea del directorio Active Directory y montaje de una de sus copias
de seguridad.
A continuacin es preciso asociar esta copia de seguridad con un servidor LDAP virtual
mediante el comando dsamain.
Abra una ventana de comandos con una cuenta de usuario miembro del grupo
Administradores de dominio o Administradores de empresas y escriba el siguiente
comando:
Si el dominio desde el que haba creado la instantnea no existe, tendr que agregar el
argumento /allowNonAdminAccess.
Su servidor LDAP virtual est, ahora accesible mientras tenga la ventana de comandos
abierta.
Conctese a travs de un cliente capaz de acceder a los datos de este servidor LDAP. En
este ejemplo, utilizar la herramienta ldp.exe, disponible, por defecto, en Windows.
Haga clic, a continuacin, en Ver - rbol, y defina el nombre nico de la base de datos
correspondiente con su nombre de dominio; en el ejemplo DC=miempresa, DC=priv.
Una vez haya finalizado, no olvide cerrar la herramienta dsamain ([Ctrl] C dos veces) y
desmontar el directorio mediante el comando ntdsutil snapshot "activate instance ntds"
"unmount x" donde x es el nmero de instantnea.
Observe que la herramienta DSCT (Directory Service Comparison Tool) ser muy til si
utiliza instantneas. Le permite, entre otros, comparar un snapshot con la base de datos de
Active Directory actual y visualizar todas las diferencias entre ambos estados (elementos
agregados, eliminados, etc.). No se trata de una herramienta oficial de Microsoft. Est
disponible en la siguiente direccin: http://blog.frli.se/p/dsct.html
Tambin es posible informar una cuenta de dominio para ejecutar este servicio, aunque esta
cuenta de dominio debe, generalmente, tener una contrasea que jams expire. Adems, la
seguridad de esta cuenta deja mucho que desear, puesto que la contrasea se encuentra en la
cach LSA, que resulta fcilmente accesible.
Se han creado dos nuevas cuentas de servicio con la salida de Windows Server 2008 R2 (y
Windows 7). Se trata de las "cuentas de servicio administradas autnomas" (tambin
llamadas Standalone Managed Service Accounts o sMSA) y las cuentas virtuales (virtual
accounts). Un tercer tipo de objeto ha aparecido con Windows Server 2012, las cuentas de
servicio administradas de grupo (Group Managed Service Accounts, o incluso gMSA).
Gracias a estos nuevos tipos de cuenta, puede extender la gestin de las contraseas puesto
que estos ltimos objetos se renovarn automticamente. Ya no es preciso tener que definir
una cuenta de servicio con una contrasea que no expire jams, puesto que el sistema la
renovar automticamente, de forma transparente, sin interrupcin en el servicio.
Las sMSA son dos tipos de cuenta de dominio que se utilizan para ejecutar
servicios. Se utilizan para que su contrasea se cambie automticamente, de cara a
simplificar la gestin de los SPN (Service Principal Name). Recuerde que el SPN es
necesario para la autenticacin Kerberos.
El inconveniente de los sMSA y de las cuentas virtuales es que no son capaces de compartir
su cuenta en varios equipos. Observe que son compatibles nicamente con clientes
Windows 7/8/8.1/2008 R2/2012/2012 R2.
Principio general
La contrasea auto-generada utiliza un cifrado seguro que permite generar una contrasea
de 240 caracteres aleatorios (120 para una gMSA).
En trminos de limitacin del uso de esta cuenta, sepa que no puede utilizarse en todos los
servicios de Windows (es posible que obtenga el error 1297 durante el arranque del
servicio, por ejemplo).
Una cuenta sMSA puede utilizarse, nicamente, sobre un equipo cada vez (aunque puede
ejecutar varios servicios sobre este mismo equipo). No ser, por tanto, posible utilizar una
MSA para clsteres o servicios de equilibrio de carga de red. En estos casos ser preciso
utilizar una cuenta gMSA tal y como se ha visto anteriormente.
El Service Pack 1 de Windows Server 2008 R2 permite, a su vez, definir una MSA
asociada a un servicio instalado sobre un servidor miembro del dominio y que se encuentra
sobre una red delimitada (DMZ, extranet, etc.). Antes del SP1, esta operacin fallaba si el
nico controlador de dominio presente en la misma red que el servidor que ejecutaba la
MSA era un RODC (controlador de dominio de solo lectura). En lo sucesivo, las MSA
funcionan, pues los RODC estn preparados para redirigir la consulta de la MSA hacia un
controlador de dominio de escritura.
Requisitos previos
Los requisitos previos que permiten utilizar las MSA son los siguientes:
Instalacin y configuracin
Tras la extensin del esquema a 2008, se crea una nueva clase de objetos. Se trata de la
clase llamada msDS-ManagedServiceAccount. Si quiere delegar la creacin de esta
cuenta, tendr que verificar, previamente, que el usuario que crea la cuenta MSA posee los
permisos Create/Delete msDS-ManagedServiceAccount.
Tras la extensin del esquema en 2012, se crea otra clase de objetos. Se trata de la clase
msDS-GroupManagedServiceAccount.
Viendo los requisitos previos para instalar PowerShell, habr comprendido que los pasos se
desarrollarn, a continuacin, por lnea de comandos en lugar de mediante interfaz grfica.
Veremos, por tanto, las etapas detalladas que permiten crear una cuenta MSA y utilizarla
para ejecutar una tarea programada. Esta tarea programada es un script que debe ejecutarse
sobre todos los controladores de dominio que utilicen una cuenta con los permisos de
Administrador. Antes, era obligatorio definir una cuenta con permisos muy amplios y cuya
contrasea no cambiara jams. Ahora, es posible utilizar una gMSA para ello. Las etapas
principales son:
Para crear, en primer lugar, una cuenta gMSA, conctese a su controlador de dominio
Windows Server 2012/2012 R2 y cree sus claves de distribucin raz para estar seguro de
poder crear una cuenta gMSA. En efecto, a diferencia de las sMSA, las gMSA las gestiona
y mantiene el KDS (Key Distribution Service) desde un controlador de dominio Windows
Server 2012/2012 R2.
Add-KdsRootKey -EffectiveImmediately
Slo podr finalizar el resto del procedimiento tras esperar 10 horas, de cara a dejar tiempo
a la clave generada para que se replique sobre todos los controladores de dominio
(evitando, de este modo, que falle la autenticacin en caso de que sta no se replique).
Cree, ahora, la cuenta gMSA desde la consola PowerShell. Tendr que indicar, al menos,
un nombre (SamAccountName) y un nombre de DNS. Opcionalmente, aunque muy til, el
parmetro PrincipalsAllowedToRetrieveManagedPassword que le permite especificar el
grupo autorizado a utilizar la cuenta gMSA. Es posible utilizar el SPN, eventualmente.
Por ejemplo:
Para evitar cualquier error a la hora de introducir los comandos en PowerShell, puede
utilizar la opcin de auto-completar presionando la tecla [Tab] tras escribir las primeras
letras del comando. Sepa, tambin, que una vez creada la cuenta MSA, ser visible desde la
consola Usuarios y equipos de Active Directory o desde el Centro de administracin de
Active Directory a nivel del contenedor Managed Service Accounts.
Una vez creada la cuenta MSA, la buena prctica consiste en instalar y probar la cuenta
gMSA. Desde un comando PowerShell sobre el servidor que utilizar la cuenta gMSA:
Si desea delegar esta etapa sin tener que otorgar permisos de administrador de dominio a su
usuario, puede delegar los permisos sobre la MSA especfica mediante el siguiente script,
que debe ejecutarse desde una ventana de lnea de comandos:
La cuenta MSA puede, ahora, asociarse al servicio soportado mediante la interfaz grfica
abriendo la consola services.msc y, a continuacin, especificando el nombre de usuario en
la pestaa Iniciar sesin - Esta cuenta. La cuenta que debe indicar debe tener el siguiente
formato: Dominio\NombreDeMSA$ (no olvide el dlar) sin informar ninguna contrasea.
Windows ser capaz de asignar el permiso "Abrir una sesin como servicio" a la cuenta, si
no dispone de l.
Tambin es posible asociar esta cuenta MSA mediante un script PowerShell del siguiente
tipo:
$MSA="dominio\NombreDeMSA$"
$ServiceName="Nombre_Del_Servicio"
$Password=$null
$Service=Get-Wmiobject win32_service -filter "name=$ServiceName"
$InParams = $Service.psbase.getMethodParameters("Change")
$InParams["StartName"] = $MSA
$InParams["StartPassword"] = $Password
$Service.invokeMethod("Change",$InParams,$null)
Modifique y guarde a continuacin este archivo con ayuda de un editor de texto en un
archivo con extensin ps1.
Para ejecutar un script en PowerShell, habr que disminuir la poltica de seguridad por
defecto mediante el comando Set-ExecutionPolicy, ejecutar el script y, a continuacin,
redefinir la poltica de seguridad por defecto.
Set-ExecutionPolicy remotesigned
Script.ps1
Set-ExecutionPolicy restricted
En nuestro caso, queremos definir una tarea programada que utilizar una cuenta gMSA
para ejecutarse, proceda de la siguiente manera:
Como la interfaz grfica no permite definir una cuenta gMSA desde la interfaz grfica del
programador de tareas, va a ser preciso utilizar PowerShell:
Principal: indica la cuenta utilizada. Aqu, cabe destacar que hay que especificar bien la
contrasea "Password" en el argumento -LogonType. Se trata de la palabra clave que el
sistema reconocer para ir a buscar la contrasea actual de la gMSA.
De este modo, para crear la tarea programada basndose en estas variables, es preciso
ejecutar el comando:
No olvide, tampoco, asignar el permiso a la cuenta gMSA para iniciar sesin como
proceso por lotes sobre los servidores (a travs de la consola Administracin de directivas
de grupo a nivel de Configuracin del equipo - Directivas - Configuracin de Windows
- Directiva de seguridad - Directiva local - Asignacin de derechos de usuario).
Para eliminar una cuenta MSA, tendr que utilizar el siguiente comando PowerShell:
Acaba de configurar su cuenta MSA para el equipo que lo necesita. De este modo, no
tendr que preocuparse de la gestin de la contrasea de este servidor.
Observe que desde Windows Server 2003 es posible utilizar la reanimacin de objetos
eliminados (durante 180 das, por defecto). El inconveniente principal de esta solucin es
que no restaura algunos atributos a un valor vinculado sino no vinculado.
En concreto, esto significa que la restauracin de una cuenta de usuario siguiendo este
mtodo no restaura su pertenencia a los grupos de seguridad y es preciso, por tanto, conocer
esta informacin para agregarla a continuacin.
Antes de entrar en detalle a ver cmo puede implementarse, veamos, en primer lugar, su
principio de funcionamiento.
Principio general
isDeleted
Este atributo existe desde Windows 2000 Server. Est presente sobre todos los objetos del
directorio. Indica si un objeto se ha eliminado pero puede ser restaurado.
isRecycled
Este atributo existe desde Windows Server 2008 R2. Est presente en todos los objetos
eliminados una vez se activa la funcin de papelera de reciclaje de Active Directory. Indica
que un objeto puede restaurarse utilizando la funcin de la papelera de reciclaje de Active
Directory.
msDS-DeletedObjectLifetime
Este atributo existe desde Windows Server 2008 R2. Su valor determina el tiempo (en das)
durante el que podr restaurarse un objeto eliminado. Por defecto, su valor es igual al valor
del atributo TombstoneLifetime.
TombstoneLifetime
Este atributo existe desde Windows 2000 Server. Desde Windows Server 2003 SP1, su
valor por defecto es de 180 das. Este nmero de das sirve para propagar la informacin
sobre un objeto eliminado a todos los controladores de dominio.
Veamos, por tanto, qu ocurre cuando se elimina un objeto (una cuenta de usuario, por
ejemplo) de Active Directory:
Llegado este momento, el objeto no puede restaurarse por completo (ni a travs de la
papelera de reciclaje de Active Directory, ni mediante una restauracin completa) y pierde
ciertos atributos cuyo valor estaba vinculado, a un estado no vinculado. El objeto queda,
entonces, en este estado durante el tiempo definido por el valor del atributo
TombstoneLifetime, de nuevo 180 das. El principal inters de este estado es avisar a los
dems controladores de dominio que se ha eliminado un objeto.
Una vez superado el nmero de das definido por el atributo TombstoneLifetime
(un total de 180 + 180 das, es decir, 360 das tras el borrado de la cuenta de
usuario), el objeto se elimina "realmente" de Active Directory.
Requisitos previos
Los requisitos previos necesarios para utilizar la papelera de reciclaje de Active Directory
no son despreciables. En efecto, es preciso que todos los controladores de dominio del
bosque ejecuten, al menos, Windows Server 2008 R2.
Activacin y uso
Mediante PowerShell:
Abra una sesin sobre el controlador de dominio que alberga el rol de Maestro de nombres
de dominio. Ejecute la consola PowerShell con una cuenta miembro del grupo de
Administradores de empresas.
Si EnabledScopes posee algn valor, esto significa que la papelera de reciclaje de Active
Directory est activa. Si estuviera vaco { }, significa que la papelera de reciclaje de Active
Directory no se encuentra activa.
Ahora que la papelera de reciclaje de Active Directory est activa, veamos cmo utilizarla
reproduciendo distintos escenarios posibles en produccin.
Utilice PowerShell para visualizar los objetos eliminados que podran restaurarse.
Esto puede resultar interesante a ttulo informativo, pero se revela, rpidamente, demasiado
extenso para un entorno de produccin en el que tenga varias decenas de objetos
potencialmente restaurables.
Observe que un objeto solo puede restaurarse si se ha eliminado tras activar la papelera de
reciclaje de Active Directory. Si un objeto se hubiera eliminado antes, no podra restaurarse
con la papelera de Active Directory. Tendra, en tal caso, que restaurarlo utilizando una
restauracin estndar (mediante la herramienta ntdsutil.exe) partiendo de la ltima copia de
seguridad que contenga el objeto a restaurar.
Tomemos, ahora, como ejemplo el borrado de una unidad organizativa, as como todos los
objetos contenidos en ella (lo cual no habra ocurrido si hubiera estado activa la opcin de
proteccin contra la eliminacin accidental estuviera activa sobre esta OU! Le invitamos
no obstante, de manera excepcional, a desmarcar esta opcin en las propiedades de la OU
para realizar esta prueba). Podr restaurar todos los objetos muy fcilmente. Sepa que, para
poder restaurar el contenido, el contenedor debe estar disponible. Dicho de otro modo, si ha
eliminado una OU y sus sub-OUs y quiere restaurar una cuenta concreta de una de las sub-
OUs, tendr que restaurar previamente la OU madre e hija. A menos, claro est, que escoja
la opcin de especificar un contenedor de restauracin distinto al que estuviera definido
inicialmente (mediante la opcin Restaurar en...).
Veamos ahora cmo realizar esta operacin mediante el Centro de administracin de Active
Directory:
La columna Principal ltimo conocido ser muy til para poder clasificar y restaurar los
objetos de una misma OU, por ejemplo.
Todos los objetos presentes en esta OU (usuarios, equipos, grupos, etc.) se restauran sin
problema alguno.
Tenga, no obstante, en mente que esta funcionalidad no debe eximirle de realizar copias de
seguridad peridicas de sus controladores de dominio y habilitar la proteccin contra la
eliminacin accidental de sus objetos de Active Directory (al menos sobre sus OU).
Nunca se es demasiado prudente!.
j. Otras especificaciones desde Windows Server 2008 R2
He aqu una lista, no exhaustiva, de las principales mejoras que han tenido lugar desde
Windows Server 2008 R2:
Este servicio est disponible desde Windows Server 2008 R2 y se instala por
defecto tras la promocin de un servidor como controlador de dominio.
Observe que existe un servicio equivalente para las versiones anteriores de Windows
Server, a partir de Windows Server 2003 SP2. Para ello, es necesario descargar e instalar el
servicio Active Directory Management Gateway Service (ADMGS), con el que podr,
tambin, consultar a sus controladores de dominio utilizando comandos Power-Shell.
Ambos servicios son equivalentes a diferencia de que ADMGS no podr utilizar una
instancia de instantnea de Active Directory.
Tras la instalacin del rol Active Directory, Windows Server 2012/2012 R2 instala,
tambin, la herramienta Best Practice Analyzer Tool. Esta herramienta permite
comprobar todo un conjunto de buenas prcticas a seguir y poner de manifiesto los
errores de configuracin de los controladores de dominio de su infraestructura, tanto
para los controladores de dominio con Windows Server 2012 R2 como para los
dems (2000/2003/2008/2008 R2/2012).
Import-Module ServerManager
Import-Module BestPractices
Get-BpaModel
Este comando permite ejecutar la herramienta de buenas prcticas sobre el rol definido por
su ID.
Tenga en cuenta que esta herramienta tambin est disponible para los roles Active
Directory Certificate Services (AD CS), DNS, Terminal Server y algunos otros que es
posible visualizar mediante el cmdlet get-BPAModel.
Microsoft provee mejoras muy tiles relativas a la gestin de las directivas de grupo desde
Windows Server 2012. Se ponen a disposicin del administrador varias opciones
suplementarias, con esta nueva versin de Windows, cuyo objetivo es mejorar el buen
trabajo que ya se haba hecho con Windows Server 2008.
Antes, esta deteccin se realizaba gracias al protocolo ICMP, con todas las limitaciones que
ello conllevaba. Por este motivo, Microsoft ha desarrollado el servicio de reconocimiento
de ubicacin de red (tambin llamado NLA por Network Location Awareness) para
Windows Vista y Windows Server 2008. Gracias al servicio NLA, el refresco como tarea
de fondo de su directiva de grupo ser mucho ms fiable, puesto que ya no se basa en el
protocolo ICMP sino en RPC, conocido por su fiabilidad. Si su equipo intenta refrescar las
directivas de grupo (por defecto, esto se produce cada 90 minutos), mientras el controlador
de dominio no est accesible en ese preciso instante (si el usuario no est conectado a la
red, por ejemplo), el refresco no se realizar en el prximo ciclo (90 minutos ms tarde)
sino cuando el controlador de dominio vuelva a estar disponible. El servicio NLA permite,
en efecto, detectar muy rpidamente la disponibilidad del controlador de dominio en este
caso concreto.
Observe, tambin, que para los accesos mediante DirectAccess, se define un enlace por
defecto si la velocidad de la conexin no se considera lo suficientemente rpida. De este
modo, el inicio de sesin se ve mejorado, puesto que cuando se detecta un enlace lento, la
aplicacin de las GPO funciona de manera asncrona. Esta configuracin tambin es vlida
para conexiones 3G.
Tenga en mente, tambin, que la opcin Fast Startup de Windows 8 (opcin que permite
detener parcialmente el sistema operativo, hacindole ganar tiempo de cara a la parada y el
arranque del equipo) tiene consecuencias en los scripts de inicio y cierre de sesin, que no
se ejecutarn. Ser preciso habilitar la opcin Fast Startup si desea seguir aprovechando
este tipo de configuracin de GPO.
2. Almacenamiento en cach de las directivas de grupo
La ventaja de esta funcionalidad es que acelera el proceso de inicio de sesin, pues el motor
de directivas de grupo de Windows carga la informacin de las directivas desde una cach
local, en lugar de descargarlas desde un controlador de dominio.
Esta opcin ser particularmente til para aquellos equipos conectados a redes con poco
ancho de banda, o desde Internet mediante una conexin DirectAccess, por ejemplo.
3. El formato ADMX
Con Windows Vista y Windows Server 2008 ha aparecido un nuevo formato de archivo, se
trata de los archivos ADMX. Estos archivos se utilizan para mostrar las distintas opciones
de las directivas de grupo.
Microsoft provee, por defecto, 146 archivos ADMX y otros tantos archivos ADML
correspondientes al idioma del sistema operativo. Si haba creado sus propios archivos de
plantilla de directiva, con formato ADM, puede convertirlos al formato ADMX gracias a la
herramienta ADMX Migrator que provee Microsoft en la siguiente
direccin: http://www.microsoft.com/downloads/details.aspx?FamilyId=0F1EEC3D-10C4-
4B5F-9625-97C2F731090C. Esta herramienta le permite, tambin, crear sus propios
archivos ADMX.
Observe que si el nivel funcional del dominio es, al menos, Windows Server 2008, ser
posible modificar la replicacin de la carpeta SYSVOL para que utilice DFSR en lugar de
FRS. Encontrar ms informacin acerca de los inconvenientes y, sobre todo, las ventajas
de la replicacin mediante DFSR en la siguiente direccin: http://technet.microsoft.com/en-
us/library/cc794837(WS.10).aspx
4. Registro de eventos
En las versiones anteriores a Windows 2008, los registros de eventos relativos a las
directivas de grupo no eran sencillos de interpretar, puesto que el formato era poco
comprensible para un administrador no iniciado.
En adelante, es posible mostrar los eventos relativos a las directivas de grupo directamente
desde el registro de eventos en un puesto con Windows Vista o Windows Server 2008 (o
versiones posteriores).
Windows Server 2012 R2 integra, a este respecto, eventos todava ms precisos, acerca de
la duracin de la descarga y la aplicacin de una directiva, lo que le resultar muy til para
analizar la causa de una duracin en la ejecucin de las GPO anormalmente elevada.
Puede, de este modo, recuperar mucho ms fcilmente una gran cantidad de informacin
relativa al funcionamiento de los distintos parmetros de las directivas de grupo aplicadas.
Con Windows Server 2008, se crearon nuevas categoras de directivas de grupo muy tiles,
tales como, por ejemplo, las Preferencias de directivas de grupo (GPP).
Las Preferencias de directivas de grupo ofrecen una alternativa a los scripts que se utilizan,
muy a menudo, para personalizar el entorno del usuario. Es, en efecto, posible utilizar las
directivas de grupo para configurar los lectores de red, los recursos compartidos, los
usuarios y grupos locales, las opciones de alimentacin, las impresoras que se quieren
instalar, las tareas programadas, etc.
Es posible, para cada parmetro definido, agregar condiciones de aplicacin del parmetro
en cuestin. Puede, de este modo, decidir que se apliquen los lectores de red apuntando a
un servidor en particular nicamente para aquellos usuarios con una direccin IP
comprendida en un rango de direcciones que haya definido previamente. Desde Windows
Server 2012 R2, este rango de direcciones puede definirse en formato IPv6.
Obtendr ms informacin acerca de las opciones de configuracin en la siguiente
direccin: http://technet.microsoft.com/es-es/library/cc733022.aspx
Desde Windows 2008 R2, los parmetros de la directiva de firewall e IPsec se han
consolidado en una nica consola MMC, accesible, tambin, desde cualquier directiva de
grupo. Es, por lo tanto, posible definir reglas de trfico entrante, trfico saliente, y de
seguridad de conexin (utilizando el protocolo IPsec) para los clientes con Windows Vista
y Windows Server 2008 o versiones posteriores. Estos parmetros estn disponibles en
Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Firewall de Windows con seguridad avanzada.
Los parmetros de las directivas para IPsec y el firewall de las anteriores versiones de
Windows estn, todava, disponibles en la antigua ruta Configuracin del equipo -
Directivas - Plantillas administrativas - Red - Conexiones de red - Firewall de
Windows.
Si el equipo desde el que desea editar las directivas de grupo no posee la consola GPMC,
puede instalar dicha caracterstica desde el Administrador del servidor - Agregar roles y
caractersticas, haciendo clic en Siguiente hasta llegar a la etapa Caractersticas y
marcando la opcin Administracin de las directivas de grupo.
Crear, modificar, eliminar o vincular sus directivas de grupo con los contenedores
de los sitios, dominios o unidades organizativas del bosque que usted elija.
Forzar la actualizacin de las directivas a nivel de toda una OU (creando una tarea
programada en cada equipo). Es, tambin, posible realizar esta tarea mediante el
cmdlet Invoke-GPUpdate.
Configurar el filtrado de la aplicacin de una directiva (mediante el filtro WMI o
mediante la seguridad de la directiva).
Gestionar la delegacin.
Definir los resultados de la directiva de grupo para simular la aplicacin de una
directiva antes de su puesta en produccin.
Realizar copias de seguridad y restauraciones de las directivas de grupo.
etc.
Entre estas numerosas funcionalidades, no cabe olvidar dos opciones que han aparecido con
Windows Server 2008. Se trata de la posibilidad de realizar bsquedas y definir plantillas
de directivas.
Puede, de este modo, encontrar los parmetros de directiva que respondan a sus
necesidades, sin tener que navegar entre los miles de parmetros posibles.
Las opciones de filtrado se dividen en tres categoras que le permiten afinar su bsqueda.
Puede, de este modo, seleccionar ver solamente los parmetros de la directiva que estn
configurados. Tambin es posible realizar un filtrado por palabras clave. Por ltimo, puede
seleccionar ver los parmetros definiendo filtros de condiciones para mostrar, en unos
pocos segundos, los parmetros aplicables a la familia Windows Vista, por ejemplo.
El siguiente ejemplo define un filtro que muestra todos los parmetros que contienen la
palabra clave activeX en el ttulo del parmetro de la directiva, en el texto de la explicacin
o en el comentario (la pestaa comentario le permite, en efecto, agregar el texto que desee
en la creacin de una directiva de grupo o en la activacin de algn parmetro). Haga clic, a
continuacin, en Aceptar para aplicar el filtro.
Una vez validado el filtro, la arborescencia del editor de directivas se actualiza
automticamente para mostrar nicamente aquellos parmetros que se corresponden con el
filtro definido. Estos parmetros se agrupan, tambin, en el nodo Todos los valores.
Para deshabilitar el filtro y volver a una representacin completa, haga clic con el botn
derecho del ratn sobre una de las carpetas de Plantillas administrativas: definiciones de
directivas y desmarque la opcin Filtro activado (el icono Plantillas administrativas
retomar su apariencia habitual).
Para ello, haga clic en Objetos de directiva de grupo y, a continuacin, haga clic
en el nombre de una de sus directivas.
Se muestra una nueva pestaa, Estado. Puede hacer clic en Detectar ahora en la
zona inferior derecha para iniciar una verificacin del estado de esta GPO en el seno
de todos los controladores de dominio del dominio.
Si es un poco observador, se habr dado cuenta, sin duda, editando sus directivas de grupo
mediante la consola GPMC desde un puesto de trabajo equipado con Windows Server 2008
o Windows Vista SP1 (o versiones superiores) que ha aparecido un nuevo parmetro. Se
trata del contenedor Objetos GPO Starter.
Esta opcin consiste en crear plantillas de directivas de grupo que se refieren a parmetros
disponibles en el nodo Plantillas administrativas nicamente (del lado Usuarios y
Equipos). De este modo, es muy fcil crear varios objetos de directiva de grupo que se
basarn en un conjunto de parmetros comunes, que deben definirse en sus directivas de
grupo.
De este modo, tras la creacin de una nueva GPO, puede seleccionar un objeto GPO Starter
Sourcer que haga referencia a un objeto GPO Starter existente.
Microsoft ofrece, por defecto, una lista de GPO Starter relativa a los parmetros
recomendados en su gua de securizacin de los distintos sistemas operativos. Provee, a su
vez, desde Windows Server 2012, dos GPO Starter que permiten crear reglas de firewall
adecuadas en los equipos cliente para permitir solicitar de manera remota un resultado o
una actualizacin de directiva de grupo.
Si edita un objeto GPO Starter desde un puesto con Windows Server 2008 R2 o Windows 7
(o versiones superiores) con las herramientas de administracin RSAT instaladas obtendr,
directamente, los parmetros de la directiva de grupo recomendados para los escenarios
descritos en las guas de seguridad de Windows Vista y XP.
Tambin es posible exportar estas plantillas de GPO en un archivo CABinet (.CAB) para
importarlas, a continuacin, en un entorno totalmente diferente como, por ejemplo, su
entorno de preproduccin.
Tras la primera activacin de los objetos GPO Starter, se crea una carpeta llamada
StarterGPOs en la carpeta SYSVOL del controlador de dominio. Se crea una nueva
subcarpeta con un GUID asociado a cada nuevo objeto GPO Starter.
Para planificar una copia de seguridad del conjunto de sus directivas, no olvide marcar la
opcin Hacer copia de seguridad de todo disponible en el contenedor Objetos de directiva
de grupo y, a continuacin, Objetos GPO Starter.
Los dems componentes de Active
Directory
Existen otras cuatro funcionalidades principales nuevas, en lo que respecta a Active
Directory, disponibles en Windows Server 2012 R2.
El rol AD LDS disponible desde Windows Server 2008 R2 con este nombre es el
equivalente a ADAM (Active Directory Application Mode), que apareci con Windows
Server 2003 R2.
Se trata de una versin depurada del Active Directory Domain Services (AD DS, es
decir, el Active Directory "clsico" mencionado a lo largo de todo este captulo) que
descansa sobre los mismos principios (a saber una replicacin multipropsito, un
directorio dividido en particiones, etc.) pero que no almacena ningn componente de
seguridad de Windows (como las cuentas de usuario y ordenadores de dominio), las
directivas de grupo, etc.
El rol AD LDS permite, de este modo, distribuir la informacin necesaria a las aplicaciones
en un directorio centralizado antes que individualmente en cada aplicacin. Las ventajas de
no tener que integrar las aplicaciones en AD DS son diversas.
Observe que es posible tener varias instancias de AD LDS en un mismo servidor, igual que
es posible tener el rol AD LDS instalado en un Windows Server 2008 R2/2012 y 2012 R2
con el rol AD DS. El nico requisito previo es que los puertos donde escuchan las distintas
instancias sean diferentes.
Se crea en efecto una relacin de aprobacin entre la red asociada y la suya con el
objetivo de proyectar la identidad de los usuarios y sus privilegios de acceso desde su red
hacia los socios reconocidos. De este modo el usuario no tendr que identificarse de nuevo
(principio de autenticacin nico tambin llamado SSO por Single Sign On).
Observe que, desde Windows Server 2012 R2, AD FS soporta el protocolo OAuth 2.0. Este
protocolo lo utilizan cada vez con mayor frecuencia los distintos fabricantes y proveedores
de servicios en Internet, pues permite publicar e interactuar con datos autenticando al
usuario de forma segura. Es, tambin, el caso de Windows Azure Authentication Library
(AAL), cuyo soporte se ha extendido a los directorios AD FS.
Tambin es conveniente saber que esta solucin est limitada nicamente al acceso a travs
de aplicaciones Web (con HTTPS) aunque como estas ltimas son cada vez ms potentes,
las posibilidades abiertas son tambin enormes. Es el caso por ejemplo con la integracin
de SharePoint Server 2007/2010/2013 o de AD RMS, que presentaremos ms adelante.
El rol AD DS o AD LDS debe estar instalado en, al menos, una de las redes
implicadas.
Servidor de federacin de cuentas/recursos.
Servidor Web ADFS.
Cliente.
a. Workplace Join
Workplace Join es una de las mejoras ms destacadas de Windows Server 2012 R2.
BYOD (Bring Your Own Device) est al llegar. Consiste, para una empresa, en autorizar a
sus empleados a utilizar sus propios dispositivos personales (ordenadores, smartphones,
etc.) para conectarse a la red de la empresa.
Si bien esto representa un ahorro y una flexibilidad muy importantes para la empresa,
tambin puede conllevar inconvenientes en la medida en que la empresa no tiene control
sobre los equipos informticos en cuestin.
Consciente del problema, Microsoft se ha implicado en la cuestin y propone, en adelante,
el uso de los Workplace Join (trmino que todava no se ha traducido de manera oficial por
parte de Microsoft en el momento de escribir estas lneas).
De este modo, el equipo en cuestin, si bien es propiedad del empleado, podr declararse y
administrarse en un directorio AD FS. De este modo, el certificado permitir al terminal
conectarse a su directorio y autenticarse. Ser, entonces, posible solicitar a AD FS que
gestione el acceso a los recursos a travs de directivas globales de autenticacin, y tambin
gestionar la autenticacin y el control de acceso multipropsito. Observe que, en lo relativo
a smartphones, Microsoft soporta de momento los dispositivos que funcionan con Windows
(2012 R2 y 8.1) e iOS (Android no est soportado en el momento de escribir estas lneas,
aunque debera estarlo en breve).
Una mejor experiencia de usuario puesto que podr aprovechar el SSO (Single Sign
On) y, de este modo, no tener que volver a autenticarse con cada una de sus
aplicaciones desde su dispositivo personal.
Una mejor seguridad, puesto que la contrasea no se almacenar en el dispositivo
local sino que circular mediante un ticket de sesin que se pasar directamente a
las aplicaciones cuando se solicite realizar una autenticacin (siempre que se haya
configurado de este modo para utilizar SSO).
Un mejor manejo de los equipos que se conectan a recursos de la empresa puesto
que, como se ha explicado antes, cada equipo se registrar en AD FS y recuperar
un certificado que le permitir identificarse de forma nica en la red.
Workplace Join utiliza la funcionalidad Device Registration Service. Ligado al proxy web
de aplicacin (Web Application Proxy), ser posible utilizar Workplace Join con equipos
conectados desde Internet. Encontrar una presentacin ms completa del proxy web de
aplicacin en el captulo dedicado al Acceso remoto.
Por supuesto, esta funcionalidad no permite tener un control tan importante sobre los
puestos como si fueran miembros de un dominio de Active Directory, pero se trata de un
paso importante para controlar mejor los equipos en el marco de una iniciativa BYOD y
mejorar la experiencia del usuario reforzando la seguridad de acceso a sus aplicaciones.
Es, por otro lado, posible definir una poltica de bloqueo de las "cuentas utilizadas en la
extranet" y que no se conectan a travs del proxy web de aplicacin. De este modo, si el
nmero de intentos de autenticacin errneos supera un valor lmite definido mediante el
comando de PowerShell Set-ADFSProperties - ExtranetLockoutThreshold, entonces el
valor BadPassword de AD ya no se incrementar a nivel de controlador de dominio (con el
rol Emulador PDC) del AD vinculado a este AD FS. Esto evitar un gran nmero de
ataques tales como la denegacin de servicio, capaz de bloquear un gran nmero de cuentas
tras intentos de conexin intencionadamente errneos desde el exterior de la red de la
empresa.
Por ltimo, uno de los evolutivos ms importantes de AD FS con la aparicin de Windows
Server 2012 R2 es la autenticacin y el control multifactor.
El acceso multifactor permite dar acceso a recursos si, y solamente si, se cumplen varias
condiciones por parte del usuario (y no nicamente la tradicional pertenencia a un grupo de
seguridad). Esto mejora, en parte, la gestin de pertenencia que se aborda en el captulo
Securizar su arquitectura (a nivel del control de acceso dinmico). Para obtener ms
informacin acerca del acceso multifactor: http://technet.microsoft.com/en-
us/library/dn280937.aspx#BKMK_2
Encontrar todos los elementos necesarios para implementar Workplace Join en las
siguientes direcciones: http://technet.microsoft.com/en-us/library/dn280938.aspx y
http://technet.microsoft.com/en-us/library/dn280939.aspx
AD RMS (Active Directory Rights Management Services) es un rol que permite limitar la
difusin y proteger archivos, correos electrnicos o sitios Web de su empresa.
AD RMS funciona con aplicaciones compatibles con RMS tales como Microsoft Office
Profesional 2003/2007/2010/2013, Internet Explorer 7.0 o superior, etc.
As, cuando el archivo difundido se abra por primera vez en una aplicacin compatible AD
RMS, ste ltimo contacta con el servidor AD RMS que haya emitido la licencia de
publicacin asociada al archivo para pedir autorizacin de acceso a su contenido.
Observe que el rol puede, en lo sucesivo, instalarse en modo Server Core y es totalmente
instalable y configurable mediante PowerShell.
Para completar este apartado, es importante mencionar el nico rol que no hemos visto
todava. Se trata del servicio de certificados de Active Directory (tambin conocido bajo el
nombre de Active Directory Certificate Server o AD CS).
Este rol le permitir instalar una entidad emisora de certificados en su red de empresa para
poder emitir certificados de forma sencilla a sus usuarios y equipos. Estos ltimos podrn a
su vez acceder a los sitios Web mediante el protocolo SSL sin tener que comprar
certificados (a menudo costosos) a una autoridad de certificacin pblica.
Observe tambin que, desde Windows Server 2008 R2, se han incluido las siguientes
funcionalidades:
y, tambin,
https://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-
enrollment-web-services-in-active-directory-certificate-services.aspx.
Mejora de la entidad emisora de certificados que deba entregar una gran cantidad de
certificados.
Esto es especialmente vlido para clientes NAP basados en IPSec. En efecto, los
clientes deben solicitar varios certificados al da.
Conclusin
En este captulo acaba de descubrir el conjunto de soluciones de gestin de la identidad y
de acceso que proporciona Windows Server 2012 R2. De este modo, podr abordar de la
mejor forma posible las necesidades en trminos de acceso a los recursos, tanto para
implementar una solucin de tipo SSO (Single Sign On o "identificacin nica") como para
controlar la difusin de los archivos en su empresa.
Introduccin
En este captulo se aborda la arquitectura distribuida (DFS) y se presenta la instalacin, la
configuracin de nodos raz, los enlaces, la replicacin DFS-R y las herramientas.
Descripcin de DFS
El acrnimo DFS significa Distributed File Systems.
Esto permite obtener una vista uniforme y permanente de los datos que ya no estarn
vinculados con los servidores fsicos sobre los que se encuentran. Adems del ahorro en
unidades de red, puesto que una nica letra permite alcanzar todos los espacios
compartidos, las aplicaciones pueden configurarse, de una vez por todas, utilizando una
ruta nica y definida, que no cambiar, incluso aunque los datos se desplacen entre dos
servidores, en particular en el caso de que evolucione la volumetra necesaria.
Otra posibilidad, muy interesante, consiste en poder replicar los datos de una misma carpeta
sobre varios enlaces de red, es decir, sobre varios espacios compartidos. Esta tolerancia a
fallos aporta una funcionalidad muy prxima a la de un clster de archivos. Aunque es
preciso, no obstante, estudiar bien su modo de funcionamiento para evitar cualquier
sorpresa.
He aqu cmo organiza DFS los recursos que residen en distintos componentes de la red:
La arborescencia DFS constituye un punto nico de referencia. Sea cual sea su ubicacin,
los usuarios pueden acceder fcilmente a los recursos de la red. Sobre la red, las unidades
DFS se ven como unidades compartidas de red clsicas y se gestionan, por tanto, mediante
la funcin de redireccin de archivos utilizando los clientes de red clsicos.
Un usuario que navegue en una carpeta compartida DFS no tiene por qu conocer el
nombre ni la localizacin del servidor sobre el que se encuentra un recurso concreto. El
acceso a los recursos de red se ve, as, simplificado. Tras haberse conectado a una raz DFS,
puede recorrer la estructura y acceder a todos los recursos ubicados en esta raz. Un recurso
compartido DFS utiliza una estructura de arborescencia que contiene una raz y enlaces
DFS.
Para iniciar el uso de DFS, es necesario crear una raz DFS. Desde Windows Server 2003,
es posible crear varias races. Cada raz puede soportar varios enlaces, y cada una de ellas
puede apuntar a una carpeta compartida en red. Los enlaces DFS de la raz DFS representan
carpetas compartidas que pueden estar fsicamente ubicadas en distintos servidores de
archivos. Las ventajas ligadas a DFS son las siguientes.
Instalacin
A diferencia de las versiones anteriores, los mdulos DFS ya no estn integrados ni se
inician automticamente sobre los servidores Windows. La nica excepcin, aunque
importante, es la referida a los controladores de dominio que utilizan la replicacin DFS
para las carpetas compartidas SYSVOL.
Los componentes DFS forman, ahora, parte del rol Servicios de archivos y
almacenamiento:
Como con Windows 2003, es posible crear varios espacios de nombres. Estos espacios se
publican en Active Directory (AD).
Install-WindowsFeature FS-DFS-namespace
2. El mdulo de replicacin
Install-WindowsFeature FS-DFS-Replication
3. La consola de administracin
Install-WindowsFeature RSAT-DFS-Mgmt-con
Tras ejecutar la consola, bastar con preguntar a Active Directory para obtener la lista de
races DFS existentes.
La instalacin grfica permite agregar todos los componentes necesarios de una sola vez.
Esto se realiza a partir de la herramienta Administrador del servidor. En la visualizacin
por defecto del Panel se encuentra el botn Administrar, que da acceso a la opcin
Agregar roles y caractersticas.
Las opciones marcadas y sombreadas indican roles y componentes que ya estn presentes
en el servidor.
Basta, a continuacin, con seleccionar entre los Servicios de rol los componentes
deseados. Seleccionamos, en primer lugar, el mdulo Espacios de nombres DFS.
El hecho de marcar el componente Espacios de nombres DFS hace que se proponga,
automticamente, instalar la caracterstica de administracin correspondiente. Haga clic en
el botn Agregar caractersticas para aceptar y agregar el componente sugerido.
Marque el servicio de rol Replicacin DFS y haga clic, a continuacin, en Siguiente para
pasar a la instalacin de las caractersticas. En este ejemplo, ya est marcado debido a
nuestra seleccin anterior.
No hay caractersticas suplementarias que agregar. Haga clic en Siguiente.
Haga clic en Instalar. Evitaremos, generalmente, marcar la opcin Reiniciar
automticamente el servidor de destino en caso necesario.
Haga clic en Cerrar cuando le aparezca la opcin.
Tras la instalacin, los servicios arrancan automticamente. Si hace clic sobre el icono
Notificaciones en la barra de tareas, obtendr el estado de la tarea solicitada.
Configuracin del servicio DFS
1. Los distintos tipos de races distribuidas
a. Las races autnomas
Las races autnomas permiten crear arborescencias que estn vinculadas con un servidor
determinado. Estas races no estn securizadas, es decir, la raz DFS no estar accesible, ni
podr utilizarse, si el servidor que la contiene no funciona correctamente. En cambio, los
accesos directos a los recursos compartidos seguirn funcionando.
Observe que las carpetas (enlaces a recursos compartidos) pueden, no obstante, replicarse y
sincronizarse mediante un grupo de replicacin especfico.
Por otro lado, si la raz autnoma se configura sobre un clster de archivos, la raz DFS
aprovechar la misma tolerancia a fallos que la comparticin de archivos. No obstante slo
ser posible realizar esta operacin en un clster Windows Server 2008 o 2012.
Haga clic con el botn derecho en Espacios de nombres para desplegar el men
contextual. A continuacin, haga clic en Nuevo espacio de nombres.
Haga clic en Editar configuracin... para indicar los permisos que se quiere asignar sobre
la raz RAZ AUTNOMA que se ver como un recurso compartido en el servidor
correspondiente.
Hay que prestar atencin a los permisos que se asignan a este nivel, pues los elementos
creados en la raz de este recurso compartido se encontrarn, efectivamente, en la carpeta
local indicada.
La eleccin del tipo de espacio es relevante, entre una raz que ser especfica a este
servidor y una raz llamada de nombres de dominio que podr verse y utilizarse en todo el
bosque. La raz autnoma slo podr verse en el servidor donde se aloja.
Seleccione el tipo de espacio de nombres que quiere crear, en este caso Espacio de
nombres independiente.
Esta pantalla resume las decisiones anteriores.
Las races de nombres de dominio se basan en la resolucin DNS del dominio. La principal
ventaja de esta solucin es la tolerancia a fallos, que puede asociarse a la raz mediante el
uso de, al menos, dos servidores vinculados a nivel de la misma raz.
Las races se inscriben en Active Directory, lo que permite a los administradores y a los
usuarios de todo el bosque acceder fcilmente a las unidades DFS.
El uso de una raz de dominio supone que se quiere utilizar tolerancia a fallos y reparto de
carga sobre la raz DFS. Esto se consigue agregando un servidor de espacios de nombres
suplementario.
Puede, tambin, seleccionar o indicar directamente el nombre del nuevo servidor a utilizar.
De hecho, puede haber ms de dos servidores que contengan informacin sobre los DFS.
2. Creacin de enlaces DFS y destinos DFS
Es posible asociar un enlace DFS con varios destinos y, por tanto, a varios recursos
compartidos diferentes. Ser, por tanto, necesario configurar la replicacin de estas carpetas
para obtener un contenido idntico y sincronizado entre los distintos destinos.
He aqu el procedimiento que permite definir un destino sobre los recursos compartidos
CONTAB1 y CONTAB2 definidos sobre dos servidores distintos:
Haga clic en Agregar para agregar los destinos asociados a este enlace.
3. Replicacin
Cada carpeta replicada puede tener sus propios parmetros, en particular filtros de
replicacin que permiten limitar los tipos de archivo y las subcarpetas que deben incluirse
en la replicacin.
Por defecto, los filtros de archivo excluyen los filtros temporales que comienzan por el
carcter ~ as como las extensiones .BAK y .TMP.
Las bases de datos, los archivos de vdeo y las imgenes de CD pueden, tambin, excluirse
de esta replicacin.
Esta replicacin se implementa de la misma manera sobre una raz autnoma que sobre una
de dominio.
Seleccione el mdulo Replicacin y, a continuacin, haga clic con el botn derecho para
desplegar el men contextual. Seleccione la opcin Nuevo grupo de replicacin.
Esta opcin permite, principalmente, definir una replicacin ligada nicamente a dos
servidores, donde uno de ellos contendr los datos principales.
Asigne un nombre al grupo de replicacin.
Indique los servidores miembros.
Seleccione la tipologa que mejor se adapte a sus necesidades. La topologa en malla
completa est bien adaptada a las modificaciones autorizadas que provienen de todos los
servidores miembros.
Segn las caractersticas de su red, ser posible modular los horarios y la tasa de uso de la
red.
Ms adelante podr modificar fcilmente los parmetros de replicacin.
Es preferible iniciar la replicacin con carpetas vacas. En caso contrario, esta opcin
permite definir el servidor que contiene los datos iniciales.
Esta opcin permite indicar el nombre de la carpeta principal y crearla, si fuera necesario.
c. La topologa de replicacin
En cambio, la replicacin local de los archivos (de tamao razonable) puede resultar muy
rpida y, generalmente, instantnea.
Configuracin avanzada
1. Los mtodos de ordenacin
Los mtodos de ordenacin son muy importantes y deben tomarse en consideracin de cara
a optimizar el rendimiento y evitar futuros disgustos.
En efecto, cuando una misma carpeta est accesible en ubicaciones diferentes, situadas en
servidores distintos, ellos mismos alojados en sitios diferentes, la optimizacin lgica
consistira en utilizar el recurso compartido situado sobre el servidor del sitio local. Incluso
en este caso, resulta vital utilizar de forma prioritaria un servidor determinado que sirva
como referencia. En otros casos, ser conveniente forzar un servidor remoto que sirva como
referencia nica para evitar modificaciones simultneas sobre un documento.
La pestaa Referencias en las propiedades de las races DFS permite definir el valor por
defecto que se utiliza sobre todos los enlaces que pertenecen a esta raz.
Orden aleatorio
Coste ms bajo
Excluir destinos fuera del sitio cliente
El Orden aleatorio consiste en proveer, de manera aleatoria, todos los servidores situados
en el sitio del cliente y, a continuacin, y siempre de forma aleatoria, los dems servidores
presentes en los dems sitios sin tener en cuenta las diferencias de coste.
El Costo ms bajo presentar, en primer lugar, aquellos servidores ubicados en el sitio del
cliente de manera aleatoria. A continuacin, los servidores remotos se mostrarn segn su
coste, del menos elevado al ms elevado, aunque aquellos servidores que tengan un coste
idntico se presentarn aleatoriamente.
El ltimo modo, Excluir destinos fuera del sitio cliente mostrar, nicamente, aquellos
servidores ubicados en el sitio del cliente. Ms adelante veremos las posibles excepciones a
esta regla.
En la pestaa Opciones avanzadas es, ahora, posible activar el modo ABE (Access Based
Enumeration) para ocultar aquellas carpetas sobre las que los usuarios no tienen permisos.
b. Configuracin a nivel de los enlaces DFS
Sobre cada carpeta que represente un enlace hacia uno o varios destinos, es posible
configurar una exclusin de los sitios remotos, en particular si no se ha indicado
anteriormente. Es posible, tambin, activar la restauracin automtica de los clientes hacia
un destino preferente (si no se hubiera configurado en un nivel superior).
Es posible dar preferencia al uso de un destino definindolo como Primero de todos los
destinos o Primero de los destinos de igual costo.
Puede, por el contrario, definir el destino como ltimo de todos los destinos incluidos en la
seleccin, o ltimo de los destinos de igual costo.
Preste atencin, estas reglas forzadas (Primero o ltimo) provocan la visualizacin
sistemtica de los destinos correspondientes.
2. Delegacin de la administracin
Por defecto, slo los administradores locales o de dominio pueden administrar los grupos
de replicacin. Sobre una raz de dominio, slo el grupo administradores de empresas
hereda, automticamente, permisos de administracin. Sobre una raz autnoma, el grupo
administradores local y la cuenta especial SYSTEM tienen permisos heredados.
Preste atencin, los administradores que reciben una delegacin siguen siendo propietarios
de los objetos, incluso aunque se los retire, a continuacin, un administrador.
Por otro lado, cualquier administrador de una raz DFS puede delegar la autorizacin de la
gestin.
Administracin de DFS con PowerShell
Todos los comandos de administracin DFSUTIL, DFSCMD, DFSRADMIN, DFSRDIAG,
DFSRMIG siguen existiendo. Aunque est previsto que desaparezcan en la prxima
versin, la administracin de todos los componentes y servicios de Windows se estn
estandarizando gracias al lenguaje PowerShell, que sirve de referencia.
La primera etapa consiste en importar el mdulo que contiene todos los comandos DFS:
Import-module DFSN
Todos los recursos compartidos basados en nombres de servidores que se utilizan en los
comandos siguientes deben crearse previamente.
Crear la carpeta
Crear un recurso compartido
Resultado:
Crear una raz de rbol de dominio nueva llamada RAIZ2-DOM2. Cada recurso
compartido utilizado debe existir previamente.
New-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 -Targetpath
\\SRVFIC01\RAIZ2 -Type domainV2
Resultado:
El parmetro TYPE precisa que la raz se gestionar en modo 2008. Los dems valores
posibles son Standalone, para una raz autnoma, y DomainV1 para el modo 2003.
Resultado:
Resultado:
Resultado:
La opcin -confirm con valor False permite evitar la pregunta, que puede resultar
bloqueante en la ejecucin de un script.
Preste atencin, la eliminacin de todos los servidores que gestionan una raz equivale a
suprimir la propia raz. Por ello, las consolas de administracin DFS que contengan esta
raz obtendrn un error de acceso sobre esta raz. Si se trata de una raz que no va a volver a
utilizarse de forma permanente, basta, en tal caso, con eliminarla en la consola de
administracin DFS.
Nunca hay que utilizar directamente las races DFS para almacenar datos en ellas.
Estas races se alojan, generalmente, en controladores de dominio que no tienen los
mecanismos de copia de seguridad bien adaptados, ni espacio para alojar informacin.
Eliminar un destino:
Ninguna de las instrucciones anteriores elimina los datos de los usuarios, que siguen
estando en los recursos compartidos de los respectivos servidores.
He aqu un comando que permite obtener detalles sobre cada uno de los comandos:
Export-DfsrClone
Import-DfsrClone
Get-DfsrCloneState
Reset-DfsrCloneState
El objetivo de este clonado es ahorrar tiempo en el anlisis y la replicacin de una
arborescencia importante copiando la base de DFSR y los datos correspondientes en el
sistema de destino.
La primera etapa consiste en exportar la base de DFSR del volumen a una carpeta local.
MD C:\ClonadoBaseDFSR
Get-DfsrCloneState
Indicar que el servidor pertenece al grupo de datos DATA, as como la ruta de los
datos en este servidor:
Set-DfsrMembership -GroupName "GrupoReplicacionDATA"
-ComputerName "DC2012" -ContentPath E:\DATA -FolderName "DATA"
-force
En efecto, del lado del usuario (y de los clientes Windows), los recursos compartidos DFS
y las races se ven como recursos compartidos clsicos. Es frecuente, en el script de
conexin, realizar una conexin con la raz, a menudo remplazando todas las conexiones
anteriores.
Por otro lado, es importante tener en cuenta que las races DFS de dominio estn
disponibles para todos los usuarios del bosque. No obstante, todos los permisos asociados a
los recursos compartidos y a las carpetas NTFS siguen estando activos como si se tratase de
un acceso directo.
Las aplicaciones pueden configurarse sobre una ruta nica, que ser posible mantener a lo
largo de todo el ciclo de vida del bosque.
DFS, en su configuracin Hub & Spoke, se diferencia por la replicacin en varios sitios de
informacin que cambia poco con el tiempo o que tiene un nico punto de modificacin.
Documentos de referencia, noticias, actas de reunin o informacin general sern el tipo de
documento entrante en este tipo de configuracin.
DFS puede, tambin, utilizarse para salvaguardar los datos de usuario o los perfiles
itinerantes. Es preciso realizar una configuracin particular a nivel de los destinos DFS para
que se utilice siempre el mismo recurso compartido y el mismo servidor. Es decir, es
preciso utilizar el destino principal en primer lugar, y no proponer la copia (salvaguarda)
sino como ltimo destino.
Cuando se utiliza DFS para tareas ofimticas, con numerosos documentos de tipo Word o
Excel, actualizndose sobre distintos sitios, es importante gestionar bien el versionado de
los documentos para evitar cualquier modificacin simultnea del mismo documento. En
efecto, slo se conservar la ltima versin escrita. En ciertos casos, ser preferible forzar
el uso de un destino determinado que servir como referencia para las modificaciones de
este tipo, incluso si el sitio del usuario incluye una replicacin local de este destino. La
solucin ideal, cuando sea posible, consiste en utilizar el modo Solo lectura con todos los
destinos, salvo con el destino de referencia.
Con todo, aunque DFS no es la solucin universal, puede proveer muchos servicios que
merece la pena comparar con otras soluciones, por ejemplo, de gestin documental.
Windows Server 2012 ofrece, ahora, la posibilidad a los usuarios remotos conectados
mediante DirectAccess de utilizar el mejor enlace DFS posible, segn el sitio.
Los usuarios remotos reciben referencias hacia los servidores de nombres y las carpetas
ms prximas a la ubicacin de la conexin.
Para que esta deteccin funcione, el cliente debe ejecutar Windows 8 o Windows Server
2012, y el servidor trabajar con Windows Server 2012.
Observe que la instalacin de varios puntos de acceso basados en DirectAccess est, ahora,
mucho mejor gestionada que con Windows Server 2008, de ah el inters de apuntar al
servidor DFS mejor adaptado.
De hecho, la desduplicacin permite ganar espacio sin tener ningn impacto sobre la
replicacin DFS. Cuando se activa la desduplicacin sobre un volumen, los archivos se
segmentan en bloques de tamao variable segn el tamao del archivo. La desduplicacin
gestiona un ndice sobre estos segmentos para detectar los segmentos idnticos y ocupar
una nica vez el espacio correspondiente. Una marca de desduplicacin
IO_REPARSE_TAG_DEDUP indicar cada archivo susceptible de incluir elementos
deduplicados.
Que un archivo est desduplicado o no, no supone ninguna replicacin puesto que el
archivo, en s mismo, no cambia. La replicacin DFS se basa en el algoritmo RDC (Remote
Differential Compression) y no sobre los fragmentos de los archivos desduplicados, que se
ubican de forma separada. Que los volmenes estn desduplicados en el origen y/o en el
destino no cambia nada.
Windows Server 2012 proporciona, ahora, un proveedor WMI que permite acceder y
realizar una configuracin completa de la replicacin DFS...
Win32_DfsNode
Win32_DfsTarget
Win32_DfsNodeTarget
Win32_PerfFormattedData_DFSNServerService_DFSNamespace
Win32_PerfRawData_DFSNServerService_DFSNamespace
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfFormattedData_dfsr_DFSReplicatedFolders
Win32_PerfRawData_dfsr_DFSReplicatedFolders
Win32_PerfFormattedData_dfsr_DFSReplicationConnections
Win32_PerfRawData_dfsr_DFSReplicationConnections
Win32_PerfFormattedData_dfsr_DFSReplicationServiceVolumes
Win32_PerfRawData_dfsr_DFSReplicationServiceVolumes
__GENUS : 2
__CLASS : Win32_DfsNode
__SUPERCLASS : CIM_LogicalElement
__DYNASTY : CIM_ManagedSystemElement
__RELPATH : Win32_DfsNode.Name="\\\\SRVFIC01\\RAIZ-AUTONOMA"
__PROPERTY_COUNT : 8
__DERIVATION : {CIM_LogicalElement, CIM_ManagedSystemElement}
__SERVER : SRVFIC01
__NAMESPACE : root\cimv2
__PATH :
\\SRVFIC01\root\cimv2:Win32_DfsNode.Name="\\\\SRVFIC01\\
RAIZ-AUTONOMA"
Caption :
Description :
InstallDate :
Name : \\SRVFIC01\RAIZ-AUTONOMA
Root : True
State : 0
Status :
Timeout : 300
PSComputerName : SRVFIC01
...
Hoy en da, como existen los comandos PowerShell para la parte Espacios de nombres, es,
principalmente, la parte de replicacin la que se configurar mediante WMI. Sepa que el
acceso WMI puede invocarse, fcilmente, desde PowerShell, y ser posible integrar el
conjunto en un nico script.
DfsrConfig
DfsrConflictInfo
DfsrConnectionConfig
DfsrConnectionInfo
DfsrIdRecordInfo
DfsrIdUpdateInfo
DfsrInfo
DfsrLocalMemberConfig
DfsrLocalMemberInfo
DfsrMachineConfig
DfsrReplicatedFolderConfig
DfsrReplicatedFolderInfo
DfsrReplicationGroupConfig
DfsrSyncInfo
DfsrVolumeConfig
DfsrVolumeInfo
Una de las principales diferencias es que, ahora, el acceso WMI utiliza el protocolo
WinRM (Windows Remote Management) como protocolo de transporte.
BranchCache
Esta funcionalidad, aparecida con Windows Server 2008 R2, permite optimizar el acceso a
los recursos compartidos alojados en los recursos compartidos de los archivos o en
servidores Web internos de tipo documentario, tales como SharePoint, para los sitios
remotos.
Esta opcin tambin est disponible a partir de Windows 7 bajo la forma de una cach
repartida entre las distintas mquinas.
Preste atencin, en aquellos servidores de archivos donde quiera activar los recursos
compartidos y utilizar BranchCache, debe agregar un servicio de rol en el rol Servicios de
archivos y almacenamiento.
1. Instalacin de BranchCache
La primera etapa consiste en instalar la funcionalidad sobre cada servidor que comparte
recursos.
No obstante, todas las operaciones pueden realizarse a partir de una nica mquina que
posea el administrador del servidor 2012 instalado.
El servidor est, ahora, activo como cliente y servidor de BranchCache para los sitios Web
y cliente, nicamente, para los servidores de recursos compartidos de archivos.
Seleccione BranchCache.
El servidor est, ahora, activo como servidor de BranchCache para los archivos.
Confirme la seleccin.
Tras la instalacin, se inicia el servicio BranchCache, habitualmente sin necesidad de
reiniciar el servidor.
A continuacin, debe activar una directiva de grupo que permita, al servidor, utilizar las
funcionalidades de decodificacin de tipo "Hash coding". Esta funcionalidad permite
identificar cada documento de forma nica y detectar sus modificaciones basndose en el
hash nico para cada archivo.
Esta opcin autoriza la activacin de BranchCache sobre todos los recursos compartidos.
No olvide forzar la aplicacin de la directiva.
Sobre cada recurso compartido, la opcin de cach puede accederse mediante el botn
Configuracin sin conexin.
La configuracin de los recursos compartidos puede realizarse desde la consola
Administracin de equipos - Carpetas compartidas - Administrar recursos
compartidos y almacenamiento o, simplemente, desde la propia carpeta, mediante la
pestaa Recursos compartidos - Uso compartido avanzado y, a continuacin, el botn
Cach.
He aqu la directiva de grupo que debe definir para configurar los clientes:
El parmetro Activar BranchCache permite habilitar el uso de la cach, aunque no
se produce el arranque del servicio BranchCache, que se configura para arrancar
automticamente sobre los equipos.
En este modo, todas las estaciones del sitio activadas por el BranchCache
comparten la cach y verifican, de manera local, la presencia del documento
buscado en una de las cachs antes de ir a buscar el archivo original en el sitio
central.
En este modo, todas las estaciones del sitio activadas por el BranchCache utilizan el
servidor para verificar la presencia del documento y alojarlo en la cach si es
necesario.
Esta lgica significa que se preparar una directiva especfica para cada sitio remoto
que contenga bien un servidor, o bien una cach repartida entre las distintas
estaciones. Observe que el arranque automtico del servicio puede incluirse en la
misma directiva.
Las carpetas de trabajo se ubican en una carpeta del servidor llamada Recurso compartido
de sincronizacin. La carpeta seleccionada puede contener documentos del usuario que
estarn disponibles, inmediatamente, para el usuario sin tener que realizar ninguna
migracin.
Comando
Descripcin
PowerShell
Enable-SyncShare Activar un recurso compartido de sincronizacin
Disable-SyncShare Desactivar un recurso compartido de sincronizacin
Get- Obtener la configuracin de un recurso compartido de
SyncServerSetting sincronizacin.
Get-SyncShare Obtener la lista de recursos compartidos
Get-SyncUserSetting Recuperar la configuracin del usuario desde el servidor de
sincronizacin.
Get-SyncUserStatus Recuperar el estado del usuario desde el servidor de
sincronizacin.
New-SyncShare Crear un recurso compartido de sincronizacin.
Remove-SyncShare Eliminar un recurso compartido de sincronizacin.
Repair-SyncShare Reinicializar los metadatos de un usuario de recurso
compartido de sincronizacin.
Set- Modificar la configuracin de un servidor de recursos
SyncServerSetting compartidos de sincronizacin.
2. Requisitos previos
Una extensin del esquema para agregar un atributo que contenga el servidor de
sincronizacin.
Una versin de Windows adaptada (de momento Windows 8.1 o 8.1 RT).
El espacio suficiente en el disco local NTFS.
3. Instalacin en el servidor
Add-WindowsFeature FS-SyncShareService
Con una nica instruccin es posible implementar este nuevo tipo de recurso compartido.
Cada usuario tendr su carpeta personal en la carpeta indicada; la solucin aqu diseada es
til nicamente para carpetas personales y, en ningn caso, para carpetas comunes.
Indique la nomenclatura utilizada para las carpetas, as como la carpeta que se desea
sincronizar, si no queremos sincronizar el total de carpetas presentes en la ubicacin
indicada.
Por ejemplo, si utilizamos la carpeta E:\USERS, esta carpeta se comparte para recibir todas
las carpetas personales bajo la forma \\servidor\USERS\%username%, mientras que puede
ser preferible limitar la replicacin de la carpeta de trabajo nicamente a una subcarpeta
concreta, nueva o existente.
Mejor que deshabilitar el uso de HTTPS, una solucin ms elegante consiste en generar un
certificado que contenga los nombres internos y externos, para permitir a los clientes
acceder a las carpetas de trabajo de forma segura tanto desde la red local (mediante la URL
WorkFolders.MiEmpresa.Priv) como desde una red externa (WorkFolders.MiEmpresa.Es),
que es el objetivo principal de esta funcionalidad.
El siguiente comando permite generar un certificado autofirmado con este fin. Sepa que es,
tambin, posible comprar un certificado emitido por un proveedor pblico si no dispone de
una PKI en su empresa o el despliegue de certificados autofirmados le resulta demasiado
complejo.
New-SelfSignedCertificate -DnsName
"WorkFolders.MiEmpresa.Priv","SrvFic01.MiEmpresa.Priv",
"WorkFolders.MiEmpresa.Es" -CertStoreLocation
cert:Localmachine\My
Tras crear el certificado, debe agregarlo en las entidades raz del servidor, y en los distintos
clientes.
Para habilitar el uso del certificado que acaba de instalar, es preciso afectar al proceso IIS
Core mediante el siguiente comando que puede ejecutar desde una ventana de comandos
CMD.
El nmero de firma (thumbprint) que debe indicar en el comando puede obtenerse mediante
el siguiente comando PowerShell:
dir cert:\localmachine\my
Thumbprint Subject
---------- -------
EFEE6E02A04A2C1D18AF2B70B49103DF2E191ABC CN=WorkFolders.MiEmpresa.Priv
Para completar esta seccin sobre la configuracin, es posible modificar el esquema Active
Directory para agregar un campo suplementario que permita administrar la URL de acceso
a las carpetas de trabajo. Este campo puede resultar interesante si varias carpetas de trabajo
se definen en distintos servidores para asociar al usuario a una carpeta de trabajo concreta.
El siguiente enlace indica los elementos necesarios para administrar esta extensin sin tener
que preparar el dominio para Windows Server 2012 R2:
http://blogs.technet.com/b/filecab/archive/2013/10/09/a-new-user-attribute-for-work-
folders-server-url.aspx
Por otro lado, la gestin de la directiva de 2012 R2 permite modificar esta URL para el
usuario.
El parmetro Especificar configuracin de carpetas de trabajo se encuentra en Usuarios
- Directivas - Plantillas administrativas - Componentes de Windows - Carpetas de
trabajo.
Permite habilitar las carpetas de trabajo, indicar la direccin URL que debe utilizar, y forzar
la configuracin automtica.
El mdulo Carpetas de trabajo est integrado en Windows 8.1. Basta con configurarlo
desde el panel de control.
He aqu la sentencia PowerShell que permite configurar este parmetro a tres minutos.
set-SyncServerSetting -MinimumChangeDetectionMins 3
Conclusin
Se han aportado numerosas mejoras relativas a DFS! Por ejemplo, el hecho de disponer de
comandos PowerShell para configurar la replicacin DFS permite utilizar Remote
PowerShell desde una mquina donde el componente no se encuentre instalado.
Una base de DFSR corrupta puede reconstruirse sin riesgo de prdida de enlaces ligados a
una sincronizacin inicial no autoritativa. Ya no se corre el riesgo de perder,
arbitrariamente, los archivos en conflicto. Antes, en caso de producirse un error en la base
tras una sincronizacin inicial, la replicacin reiniciaba completamente desde el origen, sin
tener en cuenta archivos ms recientes que podran encontrarse.
El file staging tuning permite definir el tamao mnimo a partir del cual se comprime un
archivo y se replica por partes, pasando por la etapa llamada Staging. El resultado es que,
por defecto, los archivos de menos de 64 KB no pasan por esta etapa de staging y no se
comprimen. Windows Server 2012 R2 permite indicar el tamao mnimo (entre 256 Kb y
512 TB) antes de que un archivo se procese y comprima. Los rendimientos se ven, de este
modo, mejorados en detrimento de un ancho de banda algo ms exigente.
Existen dos nuevos comandos PowerShell que facilitan la recuperacin de los archivos en
conflicto (ConflictAndDeleted) y carpetas preexistentes (PreExisting): Get-
DFSRPreservedFiles muestra los datos correspondientes y Restore-DFSRPreservedFiles
los recupera bien en su carpeta de origen, o bien en un nuevo destino
Esto representa muchas pequeas mejoras que, de manera global, aportan una fiabilidad
mucho mayor a los datos gestionados mediante DFS.
Introduccin
Este captulo est dedicado a la alta disponibilidad. Su objetivo es describir las posibles
ofertas en trminos de alta disponibilidad con Windows Server 2012 R2. Aumentar la
disponibilidad de los servicios que se ofrecen es un reto permanente en cualquier
departamento informtico.
Una vez llevadas a cabo todas estas acciones, algunos servicios crticos siguen dependiendo
de un servidor nico que, tarde o temprano, fallar o ser necesario reiniciar tras haber
instalado algn parche o correctivo. Es aqu donde entra en juego la alta disponibilidad, que
permite convertir un servicio necesariamente disponible en un servicio altamente
disponible. Es un buen complemento de los factores anteriores.
Los servidores que participan de la alta disponibilidad se designan como nodos de un
clster, y ste define al conjunto de servidores. El clster se prev para dar respuesta a
fuertes necesidades de disponibilidad y no debe considerarse a la ligera. Antes de decidir si
una solucin de tipo clster responde a esta necesidad, es necesario plantearse ciertas
preguntas:
Elecciones de arquitectura
1. Las distintas arquitecturas
Tras los trminos de alta disponibilidad se esconden dos tipos de soluciones distintas:
La primera solucin aumenta la disponibilidad del servicio haciendo bascular los recursos
de un servidor a otro en caso de existir algn problema (solucin altamente disponible). La
segunda solucin permite tener varios servidores que responden a las solicitudes al mismo
tiempo (reparto de carga) y que pueden tolerar la prdida de algn miembro (solucin
altamente disponible).
Una aplicacin destinada a los usuarios debe ser compatible con una solucin de alta
disponibilidad. Dejando a parte los "grandes" desarrolladores de software, es habitual que
un proveedor de aplicaciones no haya probado, jams, su aplicacin en un entorno de alta
disponibilidad y que no pueda, por tanto, asegurar su funcionamiento. Como mnimo, cabe
analizar los siguientes puntos :
Puede residir el conjunto de datos en volmenes compartidos y, por tanto,
diferentes a las unidades locales C:, D...?
Deben replicarse algunas claves de registro entre ambos servidores?
La aplicacin utiliza algn dispositivo de proteccin fsica (dongle instalado en un
puerto USB o paralelo, por ejemplo) o se requiere una conexin fsica que no se
puede duplicar ni conectarse sobre dos servidores?
Los clientes pueden utilizar un nombre NetBIOS/DNS y una direccin IP distintos
del de la mquina fsica (nombre/IP virtuales)?
Cules son los mecanismos para detectar un fallo en la aplicacin y decidir
bascular al otro nodo?
N servidores (hasta 32, como mximo) responden a las solicitudes simultneamente. Los
servidores deben poder responder a todas las consultas y, por tanto, tener acceso al conjunto
de datos que permiten elaborar las respuestas. Su uso ms extendido son las granjas de
servidores Web. Todos los servidores tienen una copia del sitio Web y los datos se
almacenan en una base de datos que se hospeda fuera de la granja. La complejidad aparece
en la gestin de la sesin del usuario. El usuario puede tener un carrito de la compra (en un
sitio comercial) y/o estar autentificado en el sitio. Si el servidor que ha respondido a sus
consultas dejara de funcionar, otro servidor debera ser capaz de poder tomar el relevo,
preferentemente sin reenviar al usuario a su pgina de inicio. La sesin del usuario debe,
por tanto, conservarse de forma externa al servidor, por ejemplo utilizando una base de
datos.
Esto implica que el sitio web tiene que haber previsto este tipo de arquitectura y
almacenar la sesin de forma externa al servidor. Sobre un sitio comercial muy
frecuentado, esta gestin de la sesin tiene un impacto enorme en el consumo de recursos.
Es posible utilizar un clster de tipo NLB en modo activo/pasivo, aunque este modo de
funcionamiento supone un uso atpico respecto a la filosofa del producto.
He aqu una tabla que resume las principales diferencias entre ambas soluciones:
Ventajas Inconvenientes
Clster de No se produce ninguna Almacenamiento externo
conmutacin sincronizacin entre los mutualizado.
por error servidores.
Un nico servidor debe ser capaz
Es consciente del estado de de gestionar la carga (activo/pasivo
la aplicacin (funciona o por grupo de recursos).
no) y de los recursos
(saturados o no).
Clster NLB Reparto de carga Trabaja nicamente a nivel IP.
(activo/pasivo).
No es consciente del estado de la
Sin almacenamiento aplicacin.
mutualizado.
Observe que estas dos tecnologas no pueden estar soportadas en el mismo servidor, vase
el artculo 235305 (Interoperability between MSCS and NLB) de la base de conocimiento
Microsoft.
Las promesas de la alta disponibilidad slo podrn materializarse si los equipos y los
procedimientos son coherentes con la necesidad a la que responden estas promesas. Si bien
el coste de la solucin es elevado, slo se ver amortizado si permite, efectivamente, evitar
interrupciones en el servicio. El coste de la solucin implica, como mnimo, los elementos
siguientes:
Estos costes se producen por entorno y deben reportarse en cada entorno impactado
(preproduccin, certificacin...). El coste de una indisponibilidad debe, por tanto, ser
superior a todos estos costes.
El riesgo consiste en considerar un clster como un servidor clsico "mejorado". Este
enfoque es, a menudo, fatal en las versiones anteriores de Windows. Bastaba con que un
administrador borrara un recurso compartido de archivos desde el explorador en lugar de
hacerlo desde la consola de administracin del clster para hacer fallar este recurso de
clster y provocar, por defecto, una conmutacin por error del mismo. Microsoft ha
revisado a conciencia la integracin de la capa de clster en el sistema operativo. Este
mismo error en Windows Server 2012 R2 se gestiona, y el sistema elimina de hecho el
recurso de clster directamente sin provocar una incidencia. Esto provoca una importante
disminucin de los incidentes provocados por errores humanos debidos a un mal
conocimiento de las especificaciones de esta solucin.
La tecnologa NLB proporciona varias soluciones para crear una direccin IP virtual,
aunque todas presentan ventajas e inconvenientes. Algunos fabricantes de red (Cisco,
Enterasys...) requieren una configuracin especial para poder funcionar.
Un clster NLB est formado, a menudo, por dos servidores, con un mximo de 32
servidores. A diferencia del modo activo/pasivo, podemos encontrar una situacin en la que
uno de los nodos no pueda gestionar, por s mismo, toda la carga. La alta disponibilidad no
est, por tanto, asegurada, pues la prdida de un nodo genera una interrupcin del servicio o
una degradacin en el rendimiento. Es preciso, por tanto, prestar atencin a la carga que
debe absorber la granja para tolerar la prdida de un nodo. Este fenmeno tambin puede
darse en un clster de conmutacin por error, si los dos nodos trabajan en modo activo
sobre recursos diferentes (activo/activo en modo cruzado). Microsoft no recomienda
utilizar esta configuracin, y propone, en su lugar, utilizar un clster de tres nodos en este
caso (activo/activo/pasivo). El nodo pasivo se encuentra mutualizado con los otros dos
nodos activos.
El reparto de carga no supone una capacidad de carga lineal. Si un servidor es capaz de dar
servicios a 200 usuarios, dos servidores no tienen por qu, necesariamente, ser capaces de
dar servicio a 400 usuarios. Todo va a depender de la naturaleza de la carga y del
comportamiento de las sesiones TCP generadas. La nocin de afinidad permite conservar a
un usuario sobre el mismo nodo mientras dure su interaccin. De este modo, se disminuyen
los cambios de sesin de usuario sobre los servidores. Para ello, la granja calcula un hash a
partir de la direccin IP del cliente y su destino. Si todos los clientes se presentan con la
misma direccin IP (por ejemplo, cuando se ubican tras un firewall con reglas NAT), sern
redirigidos hacia el mismo servidor, anulando, de este modo, el reparto de carga.
Los servidores que participan del clster no deben ser controladores de dominio. No
obstante, es necesario que sean miembros del mismo dominio Active Directory y que estn
en la misma subred.
Incluso si basta con una interfaz de red por nodo, se recomienda encarecidamente utilizar,
como mnimo, dos interfaces de red: la primera para el host como mquina nica, y la
segunda para el trfico del clster. Si una de las interfaces de red se dedica al trfico del
clster, sta debe tener una direccin IP fija. Adems, el registro automtico DNS de esta
interfaz debe estar deshabilitado, as como NetBIOS sobre TCP/IP. Todas las interfaces de
red que forman parte del clster, sea cual sea el nodo, deben tener una configuracin
idntica desde un punto de vista de los parmetros (control de flujo, modo dplex y tipo de
medio). Para terminar, es posible utilizar tarjetas de red configuradas en teaming.
Para realizar la instalacin, deben utilizar una cuenta que posea permisos de administrador
local. Necesitar, tambin, el nombre completo del clster as como su futura direccin IP.
La creacin de una granja NLB es, tcnicamente, una tarea rpida. Es preciso, no obstante,
verificar ciertos puntos previamente:
El modo de filtrado:
La eleccin del modo de operacin debe realizarse de forma coordinada con los
responsables de la red:
El modo monodifusin asigna la misma direccin MAC sobre todos los nodos del
clster. Esto va en contra del funcionamiento de los switches, que memorizan las
direcciones MAC por puerto, y para los que es imposible registrar dos veces la
misma direccin MAC. NLB mitiga este punto activando la clave
"MaskSourceMAC". El paquete llega con una direccin MAC de destino
correspondiente a la del clster, aunque el nodo responde con la suya propia. El
switch no puede, en este caso, asignar la direccin MAC al nodo que responde y
sigue enviando los paquetes a toda la red (inundacin). Este comportamiento es "por
diseo". Si el modo es obligatorio (lo era con Microsoft ISA Server, en un
principio), existen varias alternativas. Es posible situar un hub entre los servidores
del clster y el switch. De esta forma, el switch ve la direccin MAC del clster
desde un solo puerto (sin "MaskSourceMac"), lo cual evita la inundacin. Esto no
forma parte, no obstante, de las "buenas prcticas". El uso de un conmutador de
nivel 3 (router) no es posible, pues todos los nodos comparten la misma direccin IP
y el router enva los paquetes en funcin de la direccin IP. Los servidores no
pueden comunicarse entre ellos, puesto que tienen la misma direccin MAC. Los
paquetes se reenvan al servidor sin salir de la propia tarjeta de red.
El modo multidifusin resuelve el problema de la direccin MAC agregando una
direccin MAC de tipo multidifusin e impidiendo a los equipos de red memorizar
la direccin MAC del clster. El switch enva los paquetes al conjunto de puertos,
entre los que se encuentran los nodos del clster. Se produce, todava, una
inundacin del trfico sobre todos los puertos de la red. Algunos equipos (Cisco, en
particular) requieren convertir parcialmente el switch en un hub por configuracin,
indicndole que transfiera sistemticamente los paquetes para la direccin MAC del
clster a los puertos de todos los nodos. Es posible limitar este problema aislando
los servidores tras un router, en una VLAN dedicada.
El modo multidifusin IGMP se comporta como el anterior, aunque los nodos se
registran, tambin, con una direccin IP IGMP de clase D (de 224.0.0.0 a
239.255.255.255). Esto obliga que los equipos de red soporten la multidifusin
IGMP, aunque permite resolver lo ms elegantemente posible los distintos
problemas. Cada nodo tiene su propia direccin MAC, la direccin IP de
multidifusin y slo los nodos reciben el trfico de red del clster.
He aqu algunos artculos que tratan este asunto en funcin de los fabricantes:
Cisco:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_e
xample09186a0080a07203.shtml
Enterasys: http://www.enterasys.com/partners/microsoft/sa-nlb-tb.pdf
El modo de filtrado permite definir el modo de funcionamiento del clster, desde un punto
de vista de los flujos de red. Permite definir qu paquete de red (puerto y tipo) debe
enrutarse hacia qu nodo(s), o si se bloquea, simplemente.
Utilizando un modo de filtrado de host mltiple, existen tres modos de afinidad posibles:
3. Configurar la granja
Seleccione un primer nodo para configurarlo, as como una interfaz (la que recibir el flujo
de red proveniente de los clientes y tenga como destino la direccin IP del clster). Defina
su prioridad, su interfaz de administracin y su estado por defecto..
Llegados a este punto, se crea la granja con un nico servidor como miembro. Es posible
agregar un segundo nodo mediante el men Clster - Agregar host:
La interfaz de gestin de las reglas permite seleccionar la direccin IP del clster donde se
aplica, un puerto, o un rango de puertos, su naturaleza (TCP, UDP) y el modo de filtrado:
Para obtener la lista completa de comandos PowerShell que permiten administrar un clster
NLB (35 en total), ejecute uno de los siguientes comandos PowerShell:
Get-Command *-NlbCluster*
#O
Get-Command -Module NetworkLoadBalancingClusters
Una granja de servidores Web supone el uso tpico de una solucin NLB. IIS 8.5 gestiona
la nocin de configuracin compartida, que facilita la gestin de la granja centralizando la
configuracin IIS de todos los servidores Web sobre un almacn compartido de archivos
UNC. El siguiente artculo de la TechNet describe su implementacin:
http://technet.microsoft.com/en-us/library/jj635853.aspx
Llegados a este punto, tendr una granja formada por dos servidores Web con una afinidad
nica. Ya sabe que NLB no es consciente del estado de la aplicacin para la que realiza el
reparto de carga. En cambio, puede modificar el comportamiento de IIS para que tenga en
cuenta el clster NLB y modifique su comportamiento en caso de ocurrir algn problema.
Por defecto, IIS reenva un cdigo HTTP 503 en caso de fallo de algn pool de
aplicaciones. En el caso de una granja de servidores, es muy probable que slo este servidor
tenga el problema. Indicando al pool de aplicaciones que realice una respuesta a nivel TCP,
va a cerrar la conexin del cliente, que se ver redirigido hacia otro nodo de la granja.
La actualizacin de una granja NLB existente es ms sencilla que la creacin de una granja.
Los principales problemas son, generalmente, la compatibilidad de las aplicaciones y los
drivers, como con cualquier actualizacin sobre cualquier servidor de una infraestructura.
Una granja NLB bajo Windows Server 2012 R2 puede trabajar con nodos en alguna versin
anterior de Windows Server (Windows Server 2003 R2, como mnimo), y la actualizacin
necesaria es sencilla y no requiere crear ninguna granja nueva.
Si se detecta algn incidente sobre alguno de los puntos anteriores, el clster bascula el
conjunto de recursos necesarios para el funcionamiento del (de los) servicio(s) sobre otro
nodo.
Como mnimo, un clster posee al menos un grupo (el grupo clster) que contiene:
Mayora de nodo: el nodo que se comunica con la mayor parte de nodos resulta
ganador. Este modo funciona nicamente con un nmero impar de nodos.
Mayora de disco y nodo: cada nodo tiene su propio voto, as como el qurum de
disco. El nodo con ms votos gana. Windows Server 2012 R2 aporta una
modificacin en el clculo de votos (Dynamic withness) para obtener un resultado
impar de votos en cualquier situacin. Si el resultado del nmero de votantes (los
nodos, por tanto), es impar, entonces el voto del qurum se toma en consideracin.
Puede conocer el estado del voto del qurum mediante el cmdlet PowerShell: (Get-
Cluster). WithnessDynamicWeight. Si el valor es igual a "1", entonces el voto del
qurum se considera, si vale "0", el voto del qurum no se tiene en cuenta. Esta
configuracin no se recomienda para una configuracin multisitio (almacenamiento
replicado) y requiere que todos los nodos del clster estn instalados con Windows
Server 2012 R2.
Mayora de recurso compartido de archivos y nodo: idntico al anterior, aunque
utiliza un recurso compartido de archivos externo al clster en lugar del disco
qurum. Esta es la configuracin que utiliza Microsoft Exchange 2007 en su
configuracin en clster CCR (Cluster Continuous Replication) y por Microsoft
Exchange 2010 y 2013 para DAG (Database Availability Groups).
Sin mayora: slo disco: solamente un nodo puede poseer el volumen en un
momento determinado, y recupera el conjunto de los recursos. Esta solucin se
corresponde con el funcionamiento de un clster Windows Server 2000/2003. Ya no
es el modo recomendado, sobretodo en el caso de clster multisitio (con
almacenamiento replicado). No tolera la prdida del qurum de disco
(convirtindose en un punto de fallo nico).
Para poder definir un servicio o una aplicacin, hay que escoger entre las siguientes
opciones:
Aplicacin genrica
Servicio genrico
DTC (Distributed Transaction Coordinator)
Ordenador virtual (mquina virtual Hyper-V)
Message Queuing
Servidor de espacios de nombres DFS
Servidor de archivos
Servidor DHCP
Servidor de destino iSCSI
Servidor iSNS (Internet Server Name Service)
Servidor WINS
Otro tipo de servidor
Servicio de agente de conexin para los servicios de Escritorio remoto
Un script genrico. ste le permite utilizar un script para realizar verificaciones
especficas para determinar el estado del recurso y decidir o no conmutar el clster.
Una vez creado el grupo, pueden agregarse los siguientes recursos virtuales:
Aplicacin genrica
Punto de acceso de cliente (con un nombre y una direccin IP virtual)
Script genrico
Servicio genrico
Direccin de tnel de IPv6
Coordinador de transacciones distribuidas
Recurso compartido de NFS
Servidor DHCP, WINS
Carpeta compartida
En funcin del tipo de recurso, algunos parmetros estarn, o no, disponibles. Los
parmetros siguientes son comunes a todos los recursos:
Es posible utilizar los operadores lgicos "Y" y "O". El operador "O" permite
flexibilizar las dependencias, en la medida en que dos recursos pueden cumplir un
mismo rol. Es el caso, en particular, de un clster que tenga nodos sobre dos
subredes diferentes. Existen dos recursos de tipo direccin IP (una por cada
subred), aunque solamente habr operativo uno de ellos, en un instante T. El
operador lgico "O" permite satisfacer slo una de ambas dependencias.
Afectar al grupo: este parmetro est activo por defecto. Determina, en caso de que
falle algn recurso del grupo, si todo el grupo de recursos debe conmutar sobre otro
nodo. Si este recurso no es imprescindible para el funcionamiento del grupo
completo, puede considerarse el no conmutar y que el grupo no se vea afectado. Las
soluciones de copia de seguridad crean, por lo general, un recurso en el clster. Si se
produce algn problema (crash o una accin incorrecta en la solucin de seguridad),
todo el grupo conmutar. Una solucin de supervisin adecuada permite alertar
sobre el fallo de este recurso y dejar el tiempo suficiente para reparar el problema
antes de que empiece la copia de seguridad. Evitar, as, perturbar la disponibilidad
del clster de forma imprevista y no indispensable.
Intervalo de comprobacin: el intervalo entre dos verificaciones sobre la salud del
recurso. Puede ser necesario aumentar el tiempo por defecto en el caso de servidores
con mucha carga de trabajo.
En las versiones anteriores de Windows Server, era preciso tener una red privada,
dedicada a la comunicacin inter-nodo, llamada "heartbeat". Windows Server 2012 R2
ofrece una mayor flexibilidad y no impone esta restriccin. El motivo es no tener ningn
punto de fallo nico y, por tanto, disponer de, al menos, dos caminos de red entre los
nodos. Si utiliza iSCSI, las tarjetas de red deben estar dedicadas y la comunicacin inter-
nodo bloqueada. Si utiliza una red dedicada a la copia de seguridad, es, tambin, una buena
idea prohibir su uso al clster. El bloqueo se gestiona desde las propiedades de red, en la
consola Administrador de clster de conmutacin por error.
Es bastante comn que una aplicacin almacene ciertos parmetros en una base de registro.
Si fuera necesario, el clster puede replicar una arborescencia de la base de registro, situada
en HKEY_LOCAL_MACHINE. Esta configuracin puede estar ligada a un servicio de
Windows o a una aplicacin.
1. Validacin de su clster
En las versiones anteriores de Windows Server, el hardware deba estar certificado para
poder funcionar con el servicio de clster de conmutacin por error de Microsoft. En caso
contrario, Microsoft no garantizaba el soporte. Desde Windows Server 2008, este proceso
se ha simplificado. Para poder gozar de una configuracin soportada por Microsoft, basta
con que:
Este asistente tiene como objetivo verificar un clster que se pone en produccin, aunque
tambin cada cambio significativo realizado sobre el mismo, como:
La actualizacin del firmware o de los controladores.
La agregacin o eliminacin de un nodo en el clster.
El cambio de hardware de almacenamiento.
Configurar las interfaces de red sobre los futuros nodos del clster.
Configurar el almacenamiento para el clster.
Instalar la funcionalidad de clster de conmutacin por error.
Configurar el clster:
Interfaz de red
Determinar la mayora (qurum, recurso compartido testigo...)
En funcin del objetivo del clster, instale el rol de alta disponibilidad sobre todos
los nodos (servidor de archivos, servidor WINS...).
Cree la aplicacin en el clster.
Bascule sobre cada uno de los nodos para validar el correcto funcionamiento de los
mismos.
Ejecute, de nuevo, el asistente de validacin del clster.
La primera etapa consiste en configurar las interfaces de red de los nodos de su futuro
clster. Recuerde que se recomienda encarecidamente utilizar varias tarjetas de red, cada
una configurada sobre una subred o una VLAN diferentes, y dedicarles un rol bien
definido. En nuestro ejemplo, utilizaremos cuatro tarjetas de red por nodo, he aqu su
configuracin:
LAN (172.16.0.x/16): dedicada a la comunicacin entre los clientes y los nodos del
clster.
Clster (10.0.1.x/24): dedicado a las comunicaciones internas del clster.
Almacenamiento 1 (10.0.2.x/24): primera conexin al espacio SAN iSCSI.
Almacenamiento 2 (10.0.3.x/24): segunda conexin al espacio SAN iSCSI.
Todas las interfaces deben estar direccionadas convenientemente. Esta conectividad con la
red local (LAN), donde se encuentran los clientes, debe estar direccionada correctamente
(direccin IP y DNS). Para las dems interfaces, y salvo por algn motivo en especial,
debera dejar el mnimo imprescindible (direccin IP, deshabilitar el registro DNS y de
NetBIOS).
b. Configurar el almacenamiento para el clster
Para gestionar rutas mltiples, deber repetir las etapas 3 a 5 utilizando las direcciones IP
de la segunda red de almacenamiento en la etapa 5.
Una vez configurado el iniciador iSCSI, debe instalarse la funcionalidad MPIO. Puede
hacerlo a travs del Administrador del servidor. A continuacin, para configurar la
funcionalidad MPIO:
En este ejemplo, vamos a configurar el clster en modo mayora de disco y nodo, lo que
implica que el qurum se define en un almacenamiento de red central, un espacio iSCSI,
FCo FCoE. Todos los nodos de su futuro clster deben tener acceso bien al qurum, o bien
a la propia LUN. Ahora que ha realizado la conexin con el almacenamiento, vamos a
preparar el volumen que queremos utilizar para el qurum del clster.
Para realizar esta preparacin, utilizaremos la LUN que ha conectado en la seccin anterior.
Configure el almacenamiento para el clster y realice esta tarea nicamente para el primer
nodo. Esta preparacin puede realizarse de varias formas:
Haga clic, con el botn derecho, sobre el disco destinado a ser el volumen del qurum, que
normalmente aparecer como disco desconocido, y seleccione En lnea.
Haga, de nuevo, clic con el botn derecho sobre el disco del qurum, y seleccione
Inicializar el disco.
En la ventana Inicializar el disco, deje las opciones por defecto y valide haciendo clic en
el botn Aceptar.
En la zona no particionada del disco de qurum, haga clic con el botn derecho y
seleccione Nuevo volumen simple....
En este libro, vamos a explicar el primer y el ltimo mtodo para realizar la configuracin
de un clster.
Seleccione la opcin Ejecutar todas las pruebas salvo si se trata de una excepcin, de
tipo clster Exchange CCR o clster multisitio. Haga clic en Siguiente.
El asistente muestra un resumen de las opciones anteriores. Haga clic en Siguiente.
Una vez realizadas las pruebas, se muestran los resultados. La primera frase del cuadro de
dilogo permite conocer inmediatamente si el conjunto de pruebas es concluyente. Si se han
detectado problemas, puede consultarlos mediante el informe.
Agregue los nodos que van a formar parte del clster. Haga clic en Siguiente.
Indique un nombre (virtual) y una direccin IP para el clster. Ambos recursos estarn
dedicados al funcionamiento del clster y no deberan utilizarse para ninguna otra tarea.
Haga clic en Siguiente.
El asistente le muestra un resumen de la configuracin que se aplicar antes de hacerlo
realmente. Haga clic en Siguiente y, a continuacin, haga clic en Finalizar.
Habramos podido llegar al mismo resultado con los siguientes comandos PowerShell:
Puede recuperar la lista de comandos de gestin del clster con: get-command -module
FailoverClusters.
Por lo general, si se cumplen todos estos requisitos previos, su clster debera estar, de
manera automtica, configurado completamente por parte del asistente de instalacin del
clster. En nuestro ejemplo, el clster est configurado en modo Mayora de disco y nodo
utilizando para el qurum la LUN conectada en la seccin Configurar el almacenamiento
para el clster. Si lo requisitos previos no se cumplen, su clster se configurar en modo
Mayora de nodo.
Conviene verificar la configuracin de las redes del clster para una mejor comunicacin
entre los nodos, pero tambin para el almacenamiento de red y el acceso por parte de los
clientes. Como se precisaba antes en este mismo captulo, nuestro ejemplo utiliza cuatro
tarjetas de red. He aqu la configuracin de las redes del clster (observe que hemos
renombrado las redes para una mejor comprensin):
Una vez haya verificado y corregido, si fuera necesario, los parmetros de su clster, y
antes de agregar los servicios, se recomienda validar el clster. Para realizar esta tarea, haga
clic en el enlace Validar el clster... que se encuentra en el panel Acciones y siga las
instrucciones del asistente de validacin del clster.
Llegados a este punto, tenemos un clster con mayora de disco y nodo operacional, aunque
todava no hospeda ningn servicio.
Una vez conectada la LUN y creado el volumen (letra E:\ en nuestro ejemplo), debemos
agregar este volumen a los discos de nuestro clster.
En el Administrador del clster de conmutacin por error, vaya a la seccin
Almacenamiento y, a continuacin, Discos. En el panel Acciones haga clic en Agregar un
disco. Seleccione el disco que desea agregar y haga clic en Aceptar.
Sepa que este procedimiento es idntico para todos los roles de Windows que quiera
configurar en clster.
f. Casos particulares
En la instalacin en clster de una aplicacin Microsoft SQL Server, debe tener en cuenta:
Instalar el clster.
Instalar MSDTC como aplicacin clster (si fuera necesario).
Instalar Microsoft Framework 3.5 SP1.
Instalar Windows Installer 4.5.
Crear un grupo de clster vaco (uno por instancia a instalar).
Asignar volmenes de almacenamiento al grupo.
Ejecutar el programa de instalacin de SQL Server (como mnimo, SQL Server
2008 R2 SP1 o SQL Server 2012).
De preferencia a las versiones que ya incorporen los Service Packs mencionados, en
particular los que permitan evitar los problemas que se describen en los artculos 955725 y
973993 de la base de conocimiento.
Caso de Exchange
Microsoft Exchange Server 2010 est, oficialmente, soportado a partir del Service Pack 3.
Exchange Server 2013 tambin est soportado.
Caso de Hyper-V
El espacio libre es comn a todas las VM. Este espacio pueden utilizarlo todas las
VM cuyo almacenamiento sea de tipo extensible, y tambin es posible agregar
nuevas VM. La eliminacin de una VM hace que su espacio quede disponible,
inmediatamente, para las dems VM.
El nmero de volmenes es considerablemente bajo. Habr menos intervenciones
sobre el almacenamiento central y, por tanto, menos riesgos derivados.
El tamao del volumen puede ser importante, y el tiempo de anlisis para realizar
un chkdsk est vinculado con el nmero de archivos y no con el tamao.
Con Windows Server 2012 R2, CSV soporta funcionalidades avanzadas de
administracin de archivos tales como la deduplicacin de datos y ReFS (Resilient
File System), de las que se habla en el captulo El ciclo de vida de su
infraestructura.
Windows Server 2012 R2 aporta, a su vez, los discos virtuales VHDX compartidos (Shared
VHDX) que permiten el acceso al mismo disco virtual, en formato *.vhdx, a varios equipos
virtuales. Esto permite, por ejemplo, crear clsters compuestos por nodos formados por
mquinas virtuales. Se aborda la implementacin de un Shared VHDX en el captulo
Consolidar sus servidores.
3. Migracin de Windows Server 2008 a 2012 R2
Si bien este libro est orientado a Windows Server 2012, existen ciertas consideraciones
que debemos tener en cuenta si queremos migrar un clster desde una edicin anterior a
Windows Server 2012 R2:
El segundo enfoque se utiliza muy a menudo, puesto que el cambio de sistema operativo
supone, a menudo, un cambio de generacin de hardware. El plan es muy similar, siempre
que no se degrade (en nmero de nodos) durante la migracin:
Instalar un clster Windows Server 2012 R2 sobre, al menos, uno de los nodos
(nuevo clster).
Utilizar el asistente para migrar un clster.
Decidir si se utiliza el mismo almacenamiento o no.
Poner en lnea los recursos migrados.
Eliminar el clster anterior.
Para ello, es preciso, evidentemente, que los usuarios sean capaces de encontrar los mismos
datos y los mismos servicios que en el sitio principal, de la manera lo ms transparente
posible. En lo relativo a los propios datos, tiene varias posibilidades para replicarlos entre
los sitios (DFS-R por ejemplo). Pero, qu ocurre con un clster?
Incluida con Windows Server 2012 R2, la funcionalidad Actualizacin compatible con
clsteres (CAU, Cluster-Aware Updating) permite automatizar la aplicacin de
actualizaciones de Microsoft (Windows Update) sobre los nodos del clster, conservando
un alto nivel de servicio.
La actualizacin compatible con clsteres funciona siguiendo los siguientes dos modos:
Aplicar actualizaciones a este clster: con ayuda del asistente, puede instalar, de
manera inmediata, las actualizaciones disponibles para los nodos de su clster.
Vista previa de actualizaciones para este clster: le permite ver las
actualizaciones disponibles para los nodos de su clster.
Crear o editar perfil de ejecucin de actualizaciones: permite crear o modificar
un perfil de ejecucin de actualizaciones y almacenarlo en formato XML para
importarlo en otro servidor.
Generar informe sobre ejecuciones de actualizacin anteriores: permite generar
un informe acerca de la ejecucin e instalacin de las actualizaciones en su clster.
Configurar opciones de auto-actualizacin de clster: le permite habilitar,
deshabilitar, configurar y planificar la aplicacin de actualizaciones automticas en
su clster de forma automtica, mediante un simple asistente.
Analizar preparacin de la actualizacin del clster: permite verificar la correcta
configuracin del clster para instalar actualizaciones remotas.
Ejemplo de configuracin mediante PowerShell:
Conclusin
Ahora, conoce las ventajas e inconvenientes de una solucin de alta disponibilidad y/o de
reparto de carga. Tiene las cartas en su mano para preparar su solucin y gestionarla una
vez puesta en produccin. Como con muchas otras soluciones, no debe esperar a tener
alguna necesidad tecnolgica concreta (una cada de algn servidor, por ejemplo) para
validar su buen funcionamiento. Debe planificar pruebas de forma regular, con el objetivo
de asegurar su correcto funcionamiento del da D. A diferencia de la mayora de proyectos,
es precisamente si ningn usuario se da cuenta de nada (comportamiento transparente),
cuando podremos decir que el proyecto ha sido un xito.
Introduccin
Este captulo est dedicado a la definicin y la configuracin de los componentes
necesarios para el correcto funcionamiento de la red de la empresa basada en Windows
Server 2012.
El cambio de un dominio DNS es, todava, ms complicado, sobre todo cuando dicho
dominio sirve como soporte a un dominio Active Directory. En este caso, una migracin
representa un estudio particular que se sale del marco de nuestra presentacin.
a. La zona DNS
El nombre escogido para la zona DNS debe corresponderse con la integridad de la entidad
(empresa, grupo, etc.) que se quiere gestionar. Este nombre debe poder ser aceptado por
todas las entidades dependientes que tengan que alcanzar esta zona. El problema es ms de
aspecto poltico que tcnico!
Si alguna entidad no se encuentra en este marco, quiere decir que debe asocirsele una zona
DNS especfica.
Si la zona DNS debe utilizarse en Internet, el dominio DNS tendr que ser,
obligatoriamente, pblico y estar registrado, es decir, debe utilizar una extensin
reconocida de tipo .es, .com, .info...
En una red interna, el dominio puede ser pblico o privado. La eleccin ms comn es, por
tanto, escoger un dominio DNS local con una extensin desconocida en Internet. La
extensin .local se utiliza muy a menudo bajo la forma miempresa.local. El desacople
entre la seccin interna y la externa resulta mucho ms fcil de llevar a cabo. Esta eleccin
se desaconseja, pues los proveedores de certificados han decidido, de acuerdo con los
grandes fabricantes, no distribuir ms certificados a partir del 1 de Enero de 2014 que
incluyan nombres de dominios DNS que no puedan verificarse. Esto tiene una
consecuencia directa en la configuracin de muchos servidores Exchange que trabajan con
este tipo de certificados. No obstante, es probable que algunos servidores Web visibles al
mismo tiempo en la Intranet y en Internet utilicen este tipo de funcionalidad.
En cambio, el uso del mismo nombre de dominio sobre la red interna y sobre Internet
obliga a tener servidores DNS diferentes para hacer visible sobre Internet nicamente la
parte que se desea exponer. Esto supone una doble administracin de las zonas DNS. Esta
solucin resulta muy compleja. En las nuevas instalaciones, las recomendaciones sern:
bien utilizar un dominio con una extensin conocida (y disponible en el registro) tal
como .org, .net, .info.
o bien definir un subdominio del dominio pblico que ya se est utilizando, de la
forma ad.miempresa.es.
b. La clase de red
Para todas las redes internas, la eleccin se realizar, evidentemente, sobre las clases de
redes privadas. Si no se quiere modificar la integridad de las redes existentes por motivos a
menudo histricos, es posible, al menos, crear todas las nuevas redes siguiendo esta regla.
La clase de red se escoge en funcin del nmero de mquinas presentes en la red, del
nmero de sitios, etc. Una red de clase C (192.168.0.X) representa, a menudo, una buena
eleccin inicial. Siempre es posible cambiar la clase de la red o incluso utilizar varias redes
en funcin de las necesidades.
El uso de TCP/IP v6 no est, todava, bien desarrollado, aunque ser necesario en un plazo
de dos a tres aos, principalmente en Internet. En la red local, siguen existiendo muchas
aplicaciones que no son compatibles, aunque deberan evolucionar rpidamente! La red
IPv6 se estudia en el captulo La evolucin de la red.
2. La instalacin de un servidor DHCP
Como muchos otros componentes de Windows Server 2012, el servicio DHCP es un rol.
a. Definicin
El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo proveer
una direccin IP y una mscara de subred a cualquier dispositivo de la red (estacin,
servidor u otro) que lo solicite. Segn la configuracin, es posible configurar tambin otros
parmetros importantes, tales como: las direcciones IP de la ruta por defecto, los servidores
DNS que debe utilizar, los servidores WINS y el sufijo del dominio, por citar algunos de
los ms importantes.
DHCP se reserva, a menudo, para las estaciones, las impresoras, y no debera servir, salvo
muy excepcionalmente, para los servidores.
b. Instalacin
Como con todos los dems componentes de Windows, la instalacin puede llevarse a cabo
de forma grfica o mediante un comando PowerShell sin tener que insertar ningn medio
extrable.
Install-WindowsFeature DHCP
Install-WindowsFeature RSAT-DHCP
Preste atencin, si el servidor que hospeda DHCP forma parte de un bosque Active
Directory, debe estar, adems, autorizado para los administradores miembros del grupo
Administradores de empresas y aquellos que hayan recibido los permisos de
administracin de DHCP.
El servicio DHCP, como los dems servicios de red de referencia (DNS, WINS), debera
instalarse siempre sobre servidores que utilicen una IP fija.
c. Configuracin
Los servidores autorizados aparecen marcados con una flecha de color verde.
Cada servidor DHCP puede servir varios mbitos, aunque slo uno por cada red IP.
Utilice el asistente mbito nuevo que aparece haciendo clic con el botn derecho sobre
IPv4 para preparar el uso de la red deseada.
Defina el nombre y la descripcin del mbito.
Idealmente, todo dominio Active Directory debera incluir, al menos, dos controladores de
dominio y, por tanto, dos servidores DNS a este nivel.
Las opciones del servidor (006, 015, 042 y 046) sirven como valores por defecto, aunque se
reemplazan por las opciones del mbito, que son prioritarias.
La opcin Nombre de dominio DNS no permite especificar varios sufijos de
bsqueda DNS. Si fuera necesario, las directivas de grupo permiten agregar sufijos
de bsqueda.
El Tipo de nodo con el valor 0x8 configura el modo de resolucin hbrida. Es decir,
se realizar una bsqueda de servidores WINS en primer lugar, y se pasar al modo
Broadcast si falla.
Puede resultar muy interesante configurar ciertas propiedades avanzadas del servidor
DHCP.
Por ejemplo, cuando se configura la zona Intentos de deteccin de conflictos con un valor
superior a cero (generalmente 2), DHCP utilizar una consulta ICMP para determinar la
posible existencia de alguna mquina sobre esta direccin.
La duracin del contrato ser ms elevada conforme mayor sea el nmero de direcciones IP
disponibles y menor sea el riesgo de producirse algn conflicto.
Incluso para aquellos administradores que quieran gestionar todas las mquinas con un
direccionamiento IP fijo, DHCP puede resultar muy til. En efecto, hay quien gestiona de
este modo la prctica totalidad del parque mediante una reserva para cada direccin IP,
incluso si esto supone una seguridad ms o menos ficticia.
Sin llegar al caso en que debamos gestionar as toda la red, las reservas resultan muy tiles
para las impresoras de red, los dispositivos administrables (tales como switch...) y, en
ocasiones, para ciertas mquinas cuya direccin IP se autorice y utilice en la configuracin
de alguna aplicacin.
Cada tarjeta de red dispone de una direccin fsica nica llamada direccin MAC y, de este
modo, es posible identificar una demanda proveniente de esta direccin y proveerle siempre
la misma direccin IP y la misma configuracin.
Import-Module DHCPSERVER
Las directivas DHCP permiten configurar de manera particular los dispositivos, por
ejemplo asignndoles una parte del rango IP, en base a los siguientes criterios:
La clase Vendor
La clase User
La direccin MAC
El identificador de cliente
La informacin relativa al agente de retransmisin
El criterio ms sencillo que se puede utilizar es, a menudo, la direccin MAC cuyos 6
primeros caracteres hexadecimales identifican, generalmente de forma unvoca, al
fabricante y el modelo.
En el caso de mquinas virtuales, son los 6 ltimos caracteres los que pueden resultar tiles,
pues definen el direccionamiento definido a nivel de hypervisor.
Destacaremos que las directivas se gestionan bien a nivel del servidor o bien a nivel de un
mbito.
Indique las propiedades DHCP que podran ser diferentes (Router, Servidor DNS).
Resumen de la configuracin inicial:
La direccin MAC puede obtenerse desde una ventana de comandos DOS mediante el
comando Ipconfig /ALL o mediante el comando PowerShell GET-NetAdapter.
Para simplificar, esta nueva configuracin permite a dos servidores DHCP gestionar la
misma red o el mismo mbito. Existen dos modos de funcionamiento: bien un modo de tipo
activo/pasivo, o bien un reparto de carga con un reparto de clientes. En ambos casos, la
informacin y los mbitos se replican entre los servidores, y los clientes conservan la
misma configuracin.
Observe que, para IPv6, este tipo de configuracin no resulta til. Basta con que ambos
servidores DHCP distribuyan las mismas opciones para obtener el mismo resultado.
Slo es posible instalar dos servidores DHCP. La nica restriccin es disponer de dos
servidores Windows Server 2012/2012 R2. stos no deben, obligatoriamente, formar parte
del dominio, en cambio no se garantiza el correcto funcionamiento si los relojes estn
desfasados ms de un minuto.
La primera etapa consiste en verificar que ambos servidores DHCP estn instalados y
autorizados, si forman parte de un dominio.
Debe existir al menos un mbito sobre uno de los servidores antes de comenzar con el
procedimiento que permite configurar la conmutacin por error.
El modo Equilibrio de carga repartir las peticiones en funcin del porcentaje indicado.
El modo Espera activa utiliza nicamente el servidor principal, aunque los datos se
replican en el segundo servidor, que toma el control en caso de cada del servidor principal.
Esta cadena se utiliza para dotar de seguridad a la comunicacin entre ambos servidores,
que comparten esta misma clave.
DNS se ha convertido en la piedra angular del funcionamiento de una red Windows basada
en Active Directory, aunque no slo esto.
a. Definicin
DNS (Domain Name Server) es un protocolo que permite a los clientes (de la red) consultar
una base de datos que contiene informacin sobre las mquinas y los servicios que
hospedan.
DNS es un sistema que permite establecer una correspondencia entre una direccin IP y un
nombre de dominio y, en trminos generales, encontrar cierta informacin a partir de un
nombre de dominio.
b. Instalacin
La instalacin del servicio DNS sobre una red Windows se hace, a menudo, en el marco de
instalacin del primer controlador de dominio Active Directory. Su configuracin inicial se
tiene en cuenta de manera automtica en el asistente DCPROMO. Por defecto, la zona DNS
utilizada por Active Directory est, ahora, integrada y administrada por Active Directory.
Install-WindowsFeature DNS
Install WindowsFeature RSAT-DNS-Server
Si el servicio DNS se agrega sobre un controlador de dominio, todas las zonas integradas
con Active Directory se conocen automticamente y se utilizan en el servicio DNS para
llevar a cabo la resolucin de nombres.
En los dems casos, el servicio DNS deber gestionarse como un servidor DNS clsico.
Podr, por tanto, hospedar zonas y servir de cach o de redirector hacia otros sistemas
DNS.
Este tipo de zona se utiliza principalmente para administrar zonas que no estn vinculadas a
Active Directory. Las zonas DNS pblicas, que contienen los servidores Web de la empresa
y los servidores de mensajera son los ejemplos de uso ms corrientes.
Una zona secundaria puede establecerse a partir de un servidor de zona principal, una zona
integrada en Active Directory o incluso otro servidor de zona secundaria. La zona
secundaria no es sino una rplica exacta de la zona de la que depende. En cambio, la
replicacin debe estar autorizada sobre el servidor que sirve como referencia.
Como ocurre con la zona principal, la informacin se almacena en un archivo de texto con
extensin .dns.
En caso de prdida del servidor principal, un servidor de zona secundario puede convertirse
en un nuevo servidor principal.
Una zona integrada en Active Directory consiste, como su propio nombre indica, en utilizar
la base de datos de Active Directory como almacn principal de informacin. De entrada,
aprovecha todas las opciones de seguridad de Active Directory, as como la replicacin
incremental entre todos los controladores de dominio.
Todos los dominios DNS pueden integrarse con Active Directory, no slo aquellos usados
directamente por Active Directory.
Slo se aplican a las zonas integradas en Active Directory, accediendo a las propiedades del
dominio seleccionado.
Seleccione la zona DNS y, a continuacin, haga clic con el botn derecho y seleccione
Propiedades en el men.
De preferencia a este tipo de replicacin para los dominios que deban ser conocidos (y se
tengan que resolver) rpidamente en todos los dominios del bosque sin tener que transferir
las consultas hacia los redirectores (Forwarders). Esta eleccin debe aplicarse,
particularmente, al dominio raz del bosque.
La replicacin sobre todos los controladores de dominio es el modo compatible con el que
exista en Windows 2000. Se trata de la eleccin lgica cuando los controladores de
dominio se utilizan como servidores DNS de referencia. En efecto, como los controladores
de dominio ya replican los datos de DNS al mismo tiempo que los dems datos del
directorio, basta con instalar el servicio DNS para que se asegure esta funcionalidad.
Esta eleccin se utiliza con poca frecuencia, y permite a los servidores DNS que no son
controladores de dominio recibir, tambin, la replicacin de una zona concreta.
la particin ForestDnsZones;
la particin DomainDnsZones.
Si se crea alguna otra particin de aplicacin, puede utilizarse para replicar la informacin
DNS (u otro tipo de informacin) sobre grupos de mquinas personalizados.
Observe que haciendo clic con el botn derecho sobre el servidor DNS, la opcin Crear
particiones de directorio de aplicaciones por defecto puede resultar muy til para recrear
una u otra particin.
e. Zonas de bsqueda inversa
Las zonas de bsqueda inversa DNS son capaces de resolver el nombre de una mquina a
partir de su direccin IP. La clasificacin se realiza, por lo tanto, en funcin del
direccionamiento IP de la red.
Cuando se crean estas zonas, es importante configurar DHCP para gestionar las
actualizaciones de los registros PTR, es decir, el nombre del host asociado con cada
direccin IP. La integracin de estas zonas con Active Directory se aplica, principalmente,
a las redes IP que contienen, en su mayor parte, equipos Windows.
Esta posibilidad no viene activada por defecto. Su objetivo consiste en obtener una
resolucin de nombres simples (llamados single-label name), sin dominio ni extensin,
sobre el conjunto del dominio o del bosque. Para algunos controladores, esto puede servir
para eliminar el servicio WINS sin tener que sufrir los inconvenientes de la replicacin y
las actualizaciones regulares propias del servicio WINS.
En particular, se trata de crear una zona DNS especial llamada GlobalNames en la cual se
incluyen todos los nombres para los que se quiere tener una resolucin inmediata sin tener
que buscar entre los distintos sufijos de dominio de bsqueda DNS.
Es posible, por tanto, crear entradas tales como www, smtp, pop, proxy... que apunten a
servidores bien conocidos o muy solicitados en el conjunto de la empresa. Estas entradas
pueden ser registros de tipo A que indican, directamente, la direccin IP, o de tipo
CNAME, es decir, un nombre completo que se resuelve de forma clsica.
Para configurar la GNZ, los servidores DNS autoritarios deben ser, como mnimo,
servidores Windows Server 2008. Sobre cada servidor DNS, active el modo GNZ
utilizando el siguiente comando PowerShell:
Set-DnsServerGlobalNameZone -Enable:$true
Agregue los registros que desee por lnea de comandos o a travs de la interfaz grfica. A
continuacin se muestra un ejemplo de cmo agregar un registro esttico que apunta a un
servidor Proxy.
Por defecto, la resolucin local DNS se utiliza antes que la de la zona global, si fuera
preciso utilice el siguiente comando para dar preferencia a la resolucin de nombres a partir
de la zona GlobalNames:
Esta configuracin slo se aplica a nivel de los servidores DNS. El objetivo es centralizar la
configuracin.
g. Pruebas y verificaciones
La herramienta ping es la primera que se utiliza para realizar pruebas de resolucin. Preste
atencin, el resultado de las pruebas puede verse alterado por el filtrado existente en los
firewall intermedios o sobre los propios sistemas. Utilice ping con el nombre corto, el
nombre completo (el nombre seguido del dominio DNS completo) y la direccin IP. Si se
obtiene una respuesta con cada una de las pruebas, significa que todo funciona
correctamente. En la prueba basada en la direccin IP, el argumento -a permite verificar
tambin la resolucin inversa.
C:\Users\administrator.DOMINIOLOCAL>ping -a 172.16.1.184
La herramienta NsLookup permite consultar a los servidores DNS los distintos campos y
registros de las zonas DNS accesibles.
Los dos comandos, Tracert y PathPing, son equivalentes al ping, aunque muestran todas
las etapas, las direcciones atravesadas y las duraciones de cada etapa.
SOA: el registro de tipo SOA se corresponde con una fuente de autoridad de la zona
afectada. Todas las modificaciones en la zona incrementan el nmero de versin asociado a
esta zona.
A diferencia de los dems registros, los registros SOA y NS son nicos en cada zona.
CNAME: el registro CNAME crea un nombre (llamado Alias) en una zona, que podr
asociarse a un registro de tipo A en la misma zona o en otra zona DNS.
MX: cada registro MX debe apuntar a un registro de tipo A en el que alguna mquina posea
un servicio SMTP activo. Este registro resulta intil para la mensajera interna basada en
Exchange. Cuando existen varios registros de tipo MX, el peso (prioridad) ms bajo
asociado a cada uno de ellos indica el servidor de mensajera que debe utilizarse de forma
prioritaria.
SRV: el registro SRV sirve para indicar un servicio particular en un puerto especfico. Los
registros LDAP, Catlogo Global, Kerberos, SIP y otros utilizan este tipo de registros.
PTR: el registro PTR (Puntero) indica el nombre completo (FQDN) asociado a la direccin
IP que se utiliza para la bsqueda. Slo existe en las zonas de bsqueda inversa y no son
indispensables en un entorno Microsoft.
Existen otros tipos de registro, tales como el campo TXT, que se utilizan con menor
frecuencia y son menos tiles para el funcionamiento de una red de equipos Windows.
i. Buenas prcticas
Las soluciones que se utilizan son las zonas de cdigo auxiliar (stub zones) o las
redirecciones condicionales.
A nivel de cada dominio raz de cada bosque, el uso de una redireccin condicional hacia
cada bosque bastar para resolver todo el bosque correspondiente.
j. DNSSEC
El nmero de DNSSEC de Windows 2008 estaba muy limitado y se basaba en tres tipos de
registro:
KEY: este registro contiene la clave pblica indicada en la zona DNS del dominio.
Esta clave puede corresponderse con un servidor, la zona u otra entidad. Los
registros KEY se autentifican mediante registros de tipo SIG.
Como con Windows Server 2008 R2, Windows Server 2012 puede no solo gestionar las
zonas firmadas, sino tambin recibir informacin firmada, validarla y transmitirla a sus
clientes. Sin embargo, DNSSEC puede configurarse de forma mucho ms sencilla,
directamente mediante la interfaz de administracin grfica.
Verifique bien las condiciones de uso de DNSSEC en los puntos importantes que se
indican al final del procedimiento.
En este ejemplo, se dota de seguridad a una zona sencilla llamada MiEmpresa.es, esttica
y pblica, que contiene dos registros MiSitioWeb (de tipo A) y www (de tipo CNAME).
Preste atencin, el procedimiento es el mismo tanto si la zona DNS se integra con Active
Directory como si no. Sin embargo, la firma de la zona bloquea la zona, que ya no
podremos transformar.
DNSSEC est autorizado por defecto en Windows Server 2012. He aqu el comando que
permite verificar esto sobre el servidor DNS seleccionado:
Seleccione la zona que desea firmar y haga clic con el botn derecho para desplegar el
men que contiene la opcin DNSSEC.
Seleccione la opcin Firmar la zona y haga clic en Siguiente.
Configure y distribuya los puntos de validacin de DNSSEC.
Preste atencin, esta configuracin no debe realizarse sobre el servidor primario, sino,
nicamente, sobre los dems servidores DNS que reciban las consultas para esta zona.
Si la zona est integrada y el servidor DNS es controlador de dominio, esta operacin slo
debe realizarse una nica vez para todo el bosque.
Verifique que la resolucin de la zona especial .trustanchors funciona para la zona que ha
firmado mediante el siguiente comando PowerShell.
Idealmente, si los servidores DNS son controladores de dominio, las directivas se aplican
directamente sobre la unidad organizativa de los controladores de dominio. Adems, una
unidad organizativa puede utilizarse para todos los servidores DNS miembros.
Los certificados que utilizan los servidores DNS integrados en Active Directory pueden,
tambin, entregarse de forma automtica a travs de una entidad emisora de certificados
interna utilizando el modelo Directory Service Email Replication para crear una nueva
plantilla que incluya el identificador del objeto 1.3.6.1.4.1.311.64.1.1.
Se aplica una configuracin particular para que el protocolo DNS pueda utilizarse de forma
annima y autentificada, con el objetivo de validar los certificados.
Las estaciones o servidores miembros previstos para utilizar DNSSEC deben estar
configurados para utilizar una NRPT (Name Resolution Policy Table), es decir, una tabla
que incluye una directiva de resolucin de nombres.
Es posible crear una directiva de grupo para las mquinas miembros. Las dems se
configuran directamente en las claves de registro.
Con cada regla, haga clic en el botn Crear para agregarla a la tabla de la directiva.
He aqu las distintas reglas que pueden habilitarse mediante esta directiva:
Los botones Actualizar, Crear, Eliminar, y tambin Eliminar regla, Editar regla
permiten agregar, modificar o eliminar el conjunto de reglas de la lista asociada a la
directiva.
Hay varios puntos importantes que cabe tener en cuenta a la hora de utilizar DNSSEC:
Utilice el siguiente comando para obtener la lista de todos los comandos posibles.
Los comandos permiten crear, modificar y eliminar zonas, registros, as como configurar la
prctica totalidad de los parmetros de un servidor DNS, incluido DNSSEC.
El rol Key Master es, ahora, posible de configurar en las zonas multimaestro
gestionadas en los archivos (no integradas en Active Directory).
Por otro lado, todas las tareas de administracin pueden realizarse en el servidor
KeyMaster sin impactar a los dems DNS primarios que no son KeyMaster. Este
aislamiento permite realizar todas las operaciones de generacin de claves,
almacenamiento, reemplazo y eliminacin mientras que los dems servidores siguen
firmados en la zona mediante estas claves.
2. La resolucin WINS
En teora, esta resolucin no debera utilizarse ms, salvo para integrar dominios antiguos
NT4. En la prctica, suele ser necesario (incluso muy prctico) para ciertas aplicaciones
heredades (Microsoft o no), y tambin para aplicaciones recientes tales como Exchange
2007 (en casos muy particulares).
Cuando se realiza una migracin o cuando existe alguna duda sobre el funcionamiento de
ciertas aplicaciones, es habitual mantener uno o dos servidores WINS en el sitio central.
Las estaciones y servidores que utilizan este tipo de aplicacin apuntarn, directamente,
sobre este servidor WINS. De este modo, es intil mantener y replicar los servidores WINS
por toda la red.
a. Definicin
WINS (Windows Internet Name Service) es un servicio basado en una base de datos Jet
que permite encontrar la direccin IP asociada a un nombre NetBIOS, y viceversa.
A diferencia de DNS, WINS mantiene informacin sobre los grupos de mquinas (llamados
grupos de trabajo cuando los ordenadores no pertenecen a un dominio), y tambin sobre los
usuarios conectados a dichas mquinas.
b. Instalacin
Install-WindowsFeature WINS
Install-WindowsFeature RSAT-WINS
c. Configuracin
Salvo en casos excepcionales en los que hay que informar manualmente un nombre
(llamado esttico) y una direccin IP, no es necesario configurar un servidor WINS, que
recibe dinmicamente toda la informacin necesaria desde los servidores y clientes que se
inscriben, de forma automtica, en la base de datos.
La nica particularidad consiste en replicar la base de datos entre dos servidores WINS, o
ms, dependiendo del caso.
Para que una replicacin WINS funcione en un sentido, es preciso que el servidor WINS
est configurado para emitir las modificaciones que recibe hacia otro servidor WINS,
aunque tambin es necesario que el otro servidor WINS est configurado para recuperar la
informacin que proviene del servidor emisor en cuestin.
Para que la replicacin funcione bien en ambos sentidos entre dos servidores WINS, es
preciso que cada servidor est configurado como Emisin/Extraccin con el servidor
remoto.
Preste atencin, ya no hay que ver a WINS como una solucin de resolucin completa. A
da de hoy, DNS resulta imprescindible.
WINS es, simplemente, una solucin que permite resolver problemas marginales de
funcionamiento de las aplicaciones o de acceso que sera demasiado complejo resolver de
otro modo.
Este componente NAP (Network Access Protection) est, todava, presente aunque
debera considerarse como obsoleto a partir de Windows Server 2012 R2. Microsoft
recomienda el uso de DirectAccess, que permite gestionar el equipo conectado "como" las
dems mquinas de la red (AV, WSUS...). La solucin aportada por DirectAccess es, por
tanto, algo diferente al control de conformidad que proporciona el componente NAP.
El uso del cliente NAP se basa en el uso de un servidor NPS (Network Policy Server), es
decir, un servidor de directivas de red, que permite definir las restricciones deseadas.
Es, por lo tanto, necesario instalar y configurar este rol a partir del comando PowerShell:
Install-WindowsFeature NPAS-Policy-Server
Install-WindowsFeature RSAT-NPAS
Una vez terminada la instalacin, es necesario definir algunos puntos para las directivas
funcionales:
Es posible descargar el kit de integracin ForeFront for NAP (gratuito) para disponer de
un sistema de validacin complementario. Deben cargarse varios mdulos en los equipos
en funcin del tipo de procesador (32 o 64 bits), el mdulo SHV sobre los servidores NPS,
el mdulo SHA sobre los clientes que se quiere validar (http://www.microsoft.com/en-
us/download/details.aspx?id=15887).
La primera etapa consiste en definir las pruebas que se quieren realizar sobre los equipos
que disponen de un cliente NAP, es decir, Windows XP SP3, Windows Vista o superior.
Seleccione la configuracin que desea personalizar y haga doble clic para acceder a las
distintas propiedades que se comprobarn. Observe que existe una pestaa para Windows
XP y otra para Windows Vista y versiones superiores.
Seleccione el mismo validador que para una mquina conforme, pero defina la regla como
El cliente no supera ninguna de las comprobaciones de SHV.
La cuarta etapa consiste en la creacin de directivas de red.
Llame a la directiva Acceso completo para los equipos conformes, y deje el tipo de red
como No especificada.
No especificada significa que la directiva se aplicar sea cual sea el tipo de acceso de red
utilizado.
Indique Acceso concedido, lo cual resulta evidente para las mquinas conformes!
Haga clic en Finalizar en la pantalla final que resume los valores de la directiva.
Haga clic con el botn derecho en Directivas de red y, a continuacin, seleccione Nueva
en el men.
Llame a la directiva Acceso completo para los equipos no conformes, deje el tipo de red
en No especificada como hizo con las mquinas conformes.
La opcin Permitir acceso limitado no debe aplicarse si no estamos seguros de los efectos
de la directiva. Es, a menudo, preferible autorizar un acceso completo en primer lugar y
utilizar el modo informe para hacerse una idea del conjunto de equipos que se vern
impactados.
Si queremos autorizar las actualizaciones automticas (y, por tanto, habilitar los servidores
de conformidad), debemos marcar la opcin Habilitar correccin automtica de equipos
cliente.
Haga clic en Configurar para especificar un Grupo de servidores de actualizaciones as
como la direccin de una pgina Web opcional que le d instrucciones al usuario.
En los clientes restantes, cada servidor indicado en el grupo dispone de su propia ruta con
una mscara 255.255.255.255. Lgicamente, los dems servidores no estn accesibles.
Observe que, segn el reparto de roles en los distintos servidores autorizados, las
actualizaciones automticas pueden requerir un acceso completo.
El cliente Agente de Proteccin de acceso a redes debe estar habilitado sobre los puestos
cliente, es decir, el servicio debe estar configurado con arranque automtico.
El Centro de seguridad debe estar habilitado, algo que puede llevarse a cabo mediante una
directiva.
Una vez realizadas las preparaciones previas descritas anteriormente, quedan pocas etapas
para que NAP funcione sobre DHCP.
El mbito DHCP debe, en primer lugar, estar habilitado para utilizar la seguridad basada en
NAP.
Las mquinas que cumplen con los requisitos previos utilizan las opciones que ha
configurado en las Opciones estndar de DHCP (Clase de proveedor), para la Clase de
usuario predeterminada.
Esta seguridad requiere la instalacin del servicio Autoridad HRA (Health Registration
Authority) a travs del siguiente comando PowerShell:
Install-WindowsFeature NPAS-Health
Para limitar la aplicacin de la cuarentena de red basada en IPsec, es prudente crear grupos
de equipos para cada categora.
Equipos clientes de NAP IPsec: es decir, todas aquellas estaciones que deban
cumplir con las normas de seguridad (CLIENTES-NAP).
Aquellos servidores llamados "de frontera" (Boundary) que reciben,
automticamente, un certificado de salud y que sirven para autentificar a los
clientes. Los controladores de dominio, los servidores DNS y los servidores de
reparacin deben formar parte de este grupo (SERVIDORES-FRONTERA).
Los equipos protegidos por NAP IPsec: reciben, tambin, automticamente un
certificado y slo autorizan la conexin desde las mquinas autentificadas
(SERVIDORES-NAP).
Cada mquina (estacin o servidor) debe poder recibir un certificado. Ahora bien, el
certificado emitido por defecto a las estaciones no contiene la directiva de autenticacin
adecuada.
En la pestaa Seguridad, agregue los grupos de servidores de tipo frontera y los servidores
protegidos, y asigne los permisos Inscribirse e Inscripcin automtica.
En la consola Entidad emisora de certificados, en el contenedor de las plantillas de
certificado, haga clic con el botn derecho y seleccione Plantilla de certificado que se va
a emitir y, a continuacin, la plantilla Autenticacin de sistemas sanos.
Los parmetros de inscripcin y renovacin automtica estn habilitados por defecto en las
Propiedades.
Es posible, tambin, abrir una consola MMC y agregar el componente Autoridad HRA
(Health Registration Authority).
En el puesto cliente, para habilitar IPsec, es necesario hacerlo desde la lnea de comandos
mediante la siguiente instruccin:
DHCP = 79617
RAS = 79618
IPsec = 79619
TS Gateway = 79621
EAP = 79623
Observe que si el equipo no est conforme, el certificado que reciba se ver invalidado
inmediatamente sin esperar las cuatro horas.
De momento, no se impone ningn cumplimiento salvo el hecho de disponer de un
certificado. Estos cumplimientos los aportan tres directivas basadas en los grupos de
seguridad creados al principio.
Estas directivas pueden definirse en la raz del dominio siempre que se implemente un
filtrado sobre los grupos de seguridad.
Los servidores frontera deben solicitar, pero no imponer, certificados vlidos. Los
servidores protegidos y los puestos cliente deben utilizar certificados, aunque es preferible
utilizar directivas diferentes para asociar una configuracin especfica para los clientes
(URL de configuracin HRA).
He aqu la directiva que debe implementar sobre los servidores frontera (Boundary):
Deje marcados todos los perfiles que se aplicarn: Dominio, Privado, Pblico.
He aqu la nueva directiva que debe implementarse en los clientes y los servidores
protegidos.
Aunque la configuracin sea idntica, cree dos directivas independientes para poder
habilitar y modificar la configuracin segn las necesidades.
Utilice el mismo procedimiento que con los servidores frontera, seleccionando la opcin
Requerir autenticacin para las conexiones entrantes y solicitar autenticacin para las
conexiones salientes, en lugar de Solicitar.
Indique su entidad emisora de certificados de dominio, y marque la opcin Slo aceptar
certificados de mantenimiento.
Deje marcados todos los perfiles que se aplicarn: Dominio, Privado, Pblico.
Se crear una directiva idntica para los servidores que se quieren proteger.
Se utiliza una asociacin de seguridad basada en los certificados para llevar a cabo la
comunicacin.
Preste atencin, el hecho de imponer una autenticacin hace que no sea posible conectarse
con mquinas que no tengan un certificado vlido o que no cumplan la directiva de
seguridad para los sistemas conformes.
un servidor de autenticacin;
un agente de autenticacin (switch o punto de acceso inalmbrico) ;
el solicitante.
El cliente solicitante utiliza el protocolo EAP (EAP over LAN) para enviar la solicitud al
agente de autenticacin (Pass-Through). El agente Pass-Through puede, a continuacin,
consultar al servidor RADIUS para validar o no la conexin.
Los puertos del switch utilizados para conectar el servidor NPS y los controladores de
dominio deben configurarse para no imponer la autenticacin 802.1X. Todas las solicitudes
de autenticacin del switch deben redirigirse hacia el servidor NPS.
b) En el bosque Active Directory, ser preciso tener una entidad emisora de certificados
raz de tipo Enterprise. El servidor NPS debe haber recibido un certificado de equipo y el
certificado raz deber agregarse a las principales entidades de confianza en todas las
mquinas.
Es posible crear un grupo de seguridad especfico llamado Clientes NAP 802.1X para los
clientes NAP 802.1X, con el objetivo de restringir la aplicacin de las directivas en las
mquinas que pertenezcan a este grupo.
A continuacin, debe configurar las dos redes locales virtuales (VLAN) tal y como se
indica a continuacin, haciendo clic en Configurar.
En Directivas de red cableada (IEEE 802.3), cree una directiva de red cableada con la
siguiente configuracin:
Haga clic en Propiedades y deje la opcin Verificar la identidad del servidor validando
el certificado marcada, as como el mtodo de autenticacin EAP-MSCHAP versin 2
por defecto.
Observe que estos parmetros pueden tambin configurarse de manera manual en el equipo
de trabajo, a condicin de iniciar manualmente todos los servicios indicados en la directiva.
5. Conclusin
En cualquier caso, la cuarentena de red no supone una seguridad absoluta, aunque mejora
enormemente la seguridad global favoreciendo la uniformidad a nivel del conjunto de la
red.
La consola IPAM
La instalacin de la funcionalidad IPAM (IP Address Management) tiene como objetivo
centralizar la administracin del direccionamiento IP utilizando por el conjunto de
elementos dependientes de la infraestructura de red de Microsoft.
La herramienta est basada en una base de datos que permite administrar el descubrimiento,
la supervisin y la auditora del direccionamiento. Esta base de datos conserva y registra la
informacin durante 3 aos a partir de criterios tales como las direcciones IP, los nombres
de las mquinas o de los usuarios. A partir de esta informacin centralizada y agregada, la
consola permitir modificar la configuracin DNS, DHCP de manera remota teniendo en
cuenta todos los elementos necesarios.
DHCP
DNS
NPS
2. La arquitectura IPAM
Segn el tamao de la empresa y sus necesidades, el despliegue puede ser distribuido (un
servidor IPAM por sitio) o centralizado (un nico servidor para toda la empresa), o incluso
una combinacin de ambos. El lmite de cobertura de un servidor IPAM es el bosque del
que forma parte.
Cada servidor IPAM se configura para administrar un mbito especfico. El mbito puede
ser un dominio, un sitio y puede tambin limitarse a una lista filtrada de servidores
administrados. Un servidor IPAM puede, tambin, definirse en la copia de seguridad.
IPAM se comunica de manera regular con los controladores de dominio, los servidores
DNS y DHCP de la red que estn en su dominio de cobertura. Cada servidor debera
definirse como administrado o no administrado!
Para que un servidor pueda ser administrado por IPAM, es necesario configurar la
seguridad sobre dicho servidor, de modo que el servidor IPAM pueda realizar la
supervisin y modificar la configuracin si fuera necesario. Las directivas de grupo son,
por tanto, la herramienta ideal para automatizar esta configuracin segn si el servidor est
administrado o no.
Como con los dems elementos, la instalacin puede hacerse de forma grfica o mediante
comandos PowerShell.
Install-WindowsFeature IPAM-Client-Feature
4. Configuracin inicial
Haga clic en Conectar con servidor IPAM (etapa nmero 1 del asistente).
Observe que, utilizando la base de datos Interna, ahora es posible cambiar la ubicacin de
dicha base de datos.
Invoke-IpamGpoProvisioning
Las directivas se crean en la raz del dominio correspondiente. Se aplican, por tanto, a todos
los servidores DNS, DHCP y DC (para acceder a la configuracin de NPS) del dominio.
Idealmente, es posible desplazar la aplicacin de dichas directivas sobre las unidades
organizativas que contengan nicamente los servidores correspondientes. No hay que
olvidar que los controladores de dominio pertenecen a un contenedor especfico.
Por defecto, los tres roles (DNS, DHCP, Controladores de dominio) estn seleccionados, lo
cual resulta aconsejable. Haga clic en Aceptar.
Haga clic en Iniciar deteccin de servidores (etapa nmero 4 del asistente).
Seleccione el servidor o los servidores que desea configurar y, a continuacin, haga clic
con el botn derecho para desplegar el siguiente men contextual:
Fuerce la aplicacin de las directivas IPAM en cada servidor DC, DHCP o DNS mediante
el comando GPUPDATE /FORCE.
Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP
se mantenga bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT
est creado correctamente en la carpeta C:\Windows\system32\ dhcp.
Los siguientes grupos de seguridad se crean en la base de datos local de cuentas del
servidor IPAM:
Usuarios IPAM: los miembros de este grupo pueden ver toda la informacin
disponible en el inventario de servidores, el espacio de direccionamiento IP y el
anlisis de la gestin de la consola IPAM as como los eventos operacionales IPAM
y DHCP que forman parte del catlogo de eventos, aunque no consultar la
informacin de seguimiento de las direcciones IP.
Administradores IPAM MSM: los miembros del grupo Administradores MSM
(Multi-Server Management, gestin multiservidor) tienen los mismos permisos que
los usuarios IPAM y, adems, pueden realizar tareas de gestin IPAM corrientes y
tareas de anlisis y de administracin.
Administradores IPAM ASM: los miembros del grupo de Administradores ASM
(Address Space Management, gestin del espacio de direccionamiento) tienen los
mismos permisos que los usuarios IPAM y, adems, pueden realizar tareas de
gestin IPAM corrientes as como tareas ligadas al espacio de direccionamiento IP.
Administradores de auditora IPAM IP: los miembros del grupo de
administradores de auditora IPAM tienen los mismos privilegios que los usuarios
IPAM. Pueden realizar tareas de gestin IPAM corrientes y, adems, ver la
informacin de seguimiento de las direcciones IP.
Administradores IPAM: los miembros de este grupo tienen permisos sobre todos
los datos IPAM y pueden realizar cualquier tarea.
Existe un grupo de seguridad universal IPAMUG que se crea sobre el dominio tras la
primera instalacin:
Haga clic en el men ACCIONES para obtener las operaciones habituales sobre las
direcciones IP:
La instalacin puede ahora utilizar la base de datos interna de Windows o una base
de datos ubicada en un servidor MS SQL 2008 o superior. Preste atencin, la base
de datos integrada en Windows est limitada a 4 GB.
Un servidor IPAM es capaz de gestionar hasta 150 servidores DHCP, 500
servidores DNS, 6000 mbitos DHCP y 150 zonas DNS.
La base de datos almacena tres aos de informacin histrica (contratos, direcciones
MAC, conexiones y desconexiones de los usuarios) de hasta 100000 usuarios. No
existe ninguna estrategia de purgado automtico, de modo que tendr que hacerse
manualmente si fuera necesario.
El anlisis de tendencias sobre el uso de direcciones IP y de solicitudes slo est
disponible para IPv4.
No existe ningn procesamiento especial para direcciones de tipo IPv6
autoconfiguradas sin estado, ni sobre la migracin de mquinas virtuales.
IPAM no permite auditar direcciones IPv6 autoconfiguradas sobre un equipo que no
est administrado para seguir un usuario.
IPAM no verifica la coherencia de las direcciones IP con los routers y switchs de la
red.
8. La migracin de IPAM a IPAM 2012 R2
La gestin de los roles se ve mejorada con Windows Server 2012 R2, y es mucho ms
granular.
Por defecto, existe un nico mbito llamado Global, que incluye todos los recursos.
He aqu la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se
corresponden, exactamente, con los grupos creados por IPAM. Adems, es posible crear
nuestros propios roles:
Este rol integrado provee los permisos requeridos para gestionar los mbitos DHCP.
Este rol integrado provee los permisos requeridos para gestionar las reservas DHCP.
Este rol integrado provee los permisos requeridos para gestionar las direcciones IP,
en particular la bsqueda de direcciones IP no asignadas, as como la creacin y la
eliminacin de instancias de direcciones IP.
Este rol integrado provee los permisos requeridos para gestionar los registros de
recursos DNS.
Este rol integrado provee los permisos especificados por los roles Administrador
ASM IPAM y Administrador MSM IPAM, adems de los permisos necesarios para
gestionar mbitos de acceso, directivas de acceso y grupos lgicos.
Este rol integrado provee los permisos requeridos para gestionar completamente los
servidores DHCP, los mbitos globales DHCP, los mbitos DHCP, los filtros de
direcciones MAC, las directivas DHCP, las zonas DNS y los registros de recursos
DNS.
El botn TAREAS (ubicado arriba a la derecha) permite abrir el asistente para Agregar un
rol de usuario.
Escriba un Nombre y, opcionalmente, una Descripcin del rol.
El botn TAREAS (ubicado arriba a la derecha) permite abrir el asistente Agregar mbito
de acceso.
El mbito puede ubicarse directamente bajo el mbito Global, o en otro nivel si se desea
crear una arborescencia ms compleja.
A continuacin es posible asociar este mbito a los recursos u objetos correspondientes.
Si desea delegar la zona pblica MiEmpresa.es, haga clic en el botn derecho en la zona
miempresa.es y seleccione la opcin definir mbito de acceso.
Hasta ahora, no ha tenido lugar, realmente, ninguna delegacin. Agregando los usuarios o
los grupos es como se otorgan los permisos reales de administracin.
Como con Exchange, y con muchos otros productos, la tendencia es hacia la granularidad
en la delegacin de la administracin mediante el uso de roles personalizados que gestionan
un mbito. El objetivo es no asignar ms que aquellos permisos necesarios relativos a las
acciones y mbitos deseados.
El protocolo IPv6
Poco a poco, la tecnologa IPv6 se va introduciendo en nuestro da a da. Esto es as debido
a la inercia que adquiere todo en Internet, porque ya no existe otra opcin en ciertas zonas
de Internet (frica, Asia...) y, tambin, para conseguir una mejora progresiva a la hora de
adquirir nuevos dispositivos y componentes.
Microsoft est actualizando, de manera progresiva, todos sus productos para soportar los
estndares de la industria. Esto incluye a IPv6, que ser el nuevo protocolo obligatorio en el
acceso a Internet, y que supone una evolucin de IPv4, protocolo que se utiliza a da de
hoy.
El objetivo de esta parte no es presentar la integridad de IPv6 (lo que podra llevarnos
varios libros), sino disponer de los comandos bsicos de referencia para comprender y
adaptarse al nuevo entorno.
Ejemplo ::ffff:172.16.1.1
Representacin de las Notacin decimal o nicamente la longitud del
redes y subredes longitud del prefijo. prefijo.
(Mscara de red)
Resolucin de nombres Registro de tipo (A) Registro de tipo (AAAA) que
DNS que contiene una contiene una direccin IPv6.
direccin IPv4.
Resolucin DNS Dominio de tipo IN- Dominio de tipo IP6.ARPA.
inversa ADDR.ARPA.
2. Comandos principales
La mayora de comandos son idnticos y funcionan a la vez sobre IPv4 e IPv6, por ejemplo
los comandos ipconfig /flushdns y /registerdns.
Ping -4 DC2012
Ping -6 DC2012
Preste atencin, en este resultado, la parte %13 no forma parte de la direccin IP, sino que
se corresponde con el nmero del itinerario (interfaz) utilizado.
Cuando una tarjeta de red soporta los dos protocolos IP, no es obligatorio configurar DHCP
sobre ambos protocolos. Cuando se quiere utilizar el protocolo IPv6, o bien que el
protocolo DHCP se base en IPv6, he aqu algunos comandos prcticos:
Ipconfig /release6
Ipconfig /renew6
Observe que los comando /release y /renew slo funcionan para IPv4.
3. La configuracin de DHCP v6
El inconveniente es que los servidores, en particular los servidores DNS y los controladores
de dominio, tendrn, tambin, una direccin algo compleja y difcil de memorizar. En el
marco de las directivas los scripts, o la configuracin de ciertos componentes tales como
firewalls, puede ser deseable configurar uno mismo esta parte de DHCP. Sabiendo que se
puede escoger la direccin IP de su servidor DNS; de su proxy, ser mucho ms fcil
utilizar informacin fija en los scripts de conexin o de personalizacin del entorno.
El funcionamiento de DHCPv6 est ligado a varios valores del entorno definidos sobre las
tarjetas de red. Cuando se habilita IPv6 en una tarjeta de red, la configuracin se realiza,
por defecto, en modo StateLess (sin estado). Esto quiere decir que la configuracin de la
direccin (flag llamado M), tiene el valor Disabled, y no est administrado. La
configuracin de cada sitio la aportan los routers.
He aqu la lista de comandos que debe utilizar para gestionar, de manera efectiva, un
direccionamiento IPv6 basado en DHCPv6.
En los siguientes comandos, LAN se corresponde con el nombre de la tarjeta de red.
Utilice el comando netsh interface ipv6 show interface LAN para confirmar las opciones en
curso.
La duracin vlida se corresponde con la duracin mxima, si no existe una renovacin del
contrato.
Preste atencin, la activacin del modo IPv6 completo no tiene sino ventajas. La estacin
recibe una direccin IPv6 aunque no funcionar plenamente en este modo sino tras haber
deshabilitado IPv4. Es preciso probar bien el conjunto antes de utilizarlo en una red de
produccin.
He aqu las etapas que permiten crear una zona de bsqueda inversa de tipo IPv6:
Seleccione Zonas de bsqueda inversa y, a continuacin, haga clic con el botn derecho
y seleccione Zona nueva... en el men contextual.
Inicie el asistente Nueva zona y haga clic en Siguiente.
Seleccione el tipo de zona y haga clic en Siguiente.
Teniendo en cuenta el nmero casi ilimitado de redes y de mquinas, nos limitaremos a una
red en la que queremos recibir y actualizar la informacin.
5. TEREDO
Teredo es una tecnologa que facilita la transicin entre IPv6 e IPv4, permitiendo a las
aplicaciones IPv6 comunicarse a travs de una red IPv4, incluso a travs de redes que
utilizan NAT, es decir, traduccin de direcciones. Esta capa es vlida y est lista para
utilizarse en Windows Server 2012. DirectAccess puede utilizar esta solucin, aunque
requiere dos direcciones IP pblicas simultneas consecutivas.
6. ISATAP
64-bits_Unicast_Prefix:0:5efe:w.x.y.z
64-bits_Unicast_Prefix:200:5efe:w.x.y.z
Seleccione el nombre de la futura tarjeta, e indique las tarjetas que forman parte de la
asociacin.
Haga clic en Propiedades adicionales para adaptar la configuracin.
El modo de formacin de equipos y el modo de equilibrio de carga no se pueden modificar
en una mquina virtual. En cambio, es posible definir una VLAN especfica, o la tarjeta que
se deja como reserva.
Los otros dos modos de asociacin requieren una configuracin especfica sobre los
switchs.
El modo de equilibrio de carga por defecto se basa en una tabla hash de las direcciones, es
decir, un reparto basado en las direcciones IP recibidas. El otro modo propuesto se basa en
los puertos Hyper-V.
Las tarjetas utilizadas para la asociacin se marcarn como Habilitado. La tarjeta Team1
incluye, ahora, la configuracin del protocolo TCP/IP.
Presentacin de SMBv3
SMB 3.0 es la nueva versin, incluida desde Windows Server 2012 y Windows 8.
Observe que se llamaba SMB 2.2 durante su periodo Beta. La mayor parte de novedades
funcionan nicamente con estas versiones de Windows. Este nuevo protocolo debera
incluirse en la prxima versin de Samba 4.0, y ahora mismo se encuentra en desarrollo por
parte de NetApp y EMC.
1. Caractersticas de SMBv3
SMB 3.0 aporta las siguientes mejoras respecto a versiones anteriores del protocolo:
SMB multicanal
Todos los enlaces de red disponibles entre dos equipos sern evaluados y utilizados.
El nmero de conexiones establecidas est vinculado entre dos sistemas. Depende
del nmero de interfaces y del tipo de tarjeta. Una tarjeta que soporte RSS
autorizara cuatro conexiones, con un mximo de ocho de manera global. Incluso un
sistema que posea una sola tarjeta puede utilizar esta funcionalidad y repartir su
actividad entre varios procesadores.
Esta funcionalidad supone una ventaja respecto a las dos anteriores (Failover y
Multicanal). Cuando un recurso compartido SMB 3.0 se instala en un clster, todos
los nodos y todas las tarjetas de red se utilizan para optimizar la transferencia de
datos.
SMB directo
Esta funcionalidad permite a los equipos que poseen tarjetas de red RDMA
transferir datos de memoria a memoria entre ellos sin tener que pasar por el
procesador.
Encriptacin SMB
Todos los datos enviados por SMB 3.0 entre los equipos se encriptan,
automticamente, por defecto.
VSS sobre los recursos compartidos de archivos SMB
SMB aloja en cach todos los metadatos de los documentos accesibles, en particular
a travs de BranchCache. Esto disminuye el nmero de consultas de ida y vuelta y
el tiempo de latencia en el acceso inicial a las propiedades de un archivo.
Para probar y utilizar SMB 3.0 es necesario disponer de, al menos, dos equipos con
Windows Server 2012/2012 R2 o Windows 8/8.1. Para aprovecharlo plenamente, hace
falta:
Observe que las mquinas virtuales (Windows 8/8.1 o Windows Server 2012/2012 R2)
creadas por Hyper-V soportan, de forma nativa, RSS. Esto resulta muy prctico, y explica
tambin, en parte, las transmisiones tan rpidas entre sistemas hospedados en un mismo
servidor host.
Cada tarjeta que soporta RSS autoriza un mximo de cuatro conexiones TCP.
b. Comandos PowerShell
Get-SmbServerConfiguration
AnnounceServer : False
AsynchronousCredits : 64
AutoShareServer : True
AutoShareWorkstation : True
CachedOpenLimit : 5
AnnounceComment :
EnableDownlevelTimewarp : False
EnableLeasing : True
EnableMultiChannel : True
EnableStrictNameChecking : True
AutoDisconnectTimeout : 0
DurableHandleV2TimeoutInSeconds : 30
EnableAuthenticateUserSharing : False
EnableForcedLogoff : True
EnableOplocks : True
EnableSecuritySignature : False
ServerHidden : True
IrpStackSize : 15
KeepAliveTime : 2
MaxChannelPerSession : 32
MaxMpxCount : 50
MaxSessionPerConnection : 16384
MaxThreadsPerQueue : 20
MaxWorkItems : 1
NullSessionPipes :
NullSessionShares :
OplockBreakWait : 35
PendingClientTimeoutInSeconds : 120
RequireSecuritySignature : False
EnableSMB1Protocol : True
EnableSMB2Protocol : True
Smb2CreditsMax : 2048
Smb2CreditsMin : 128
SmbServerNameHardeningLevel : 0
TreatHostAsStableStorage : False
ValidateAliasNotCircular : True
ValidateShareScope : True
ValidateShareScopeNotAliased : True
ValidateTargetName : True
EncryptData : False
RejectUnencryptedAccess : True
Get-SmbClientConfiguration
ConnectionCountPerRssNetworkInterface : 4
DirectoryCacheEntriesMax : 16
DirectoryCacheEntrySizeMax : 65536
DirectoryCacheLifetime : 10
EnableBandwidthThrottling : True
EnableByteRangeLockingOnReadOnlyFiles : True
EnableLargeMtu : True
EnableMultiChannel : True
DormantFileLimit : 1023
EnableSecuritySignature : True
ExtendedSessionTimeout : 1000
FileInfoCacheEntriesMax : 64
FileInfoCacheLifetime : 10
FileNotFoundCacheEntriesMax : 128
FileNotFoundCacheLifetime : 5
KeepConn : 600
MaxCmds : 50
MaximumConnectionCountPerServer : 32
OplocksDisabled : False
RequireSecuritySignature : False
SessionTimeout : 60
UseOpportunisticLocking : True
WindowSizeThreshold : 8
Get-SmbServerNetworkInterfaceGet-SmbClientConfiguration
Scope Name Interface Index RSS Capable RDMA Capable Speed IpAddress
---------- --------- ----- --- ------- ------------ ----- ---------
* 12 True False 10 Gbps
172.16.1.184
* 12 True False 10 Gbps
fe80::4eb:1e38:4cf5...
* 12 True False 10 Gbps fec0::12
Get-SmbClientNetworkInterface| ft -auto
Interface Index RSS Capable RDMA Capable Speed IpAddresses Friendly
Name
--------------- ----------- ------------ ----- ----------- --------
-----
12 True False 10 Gbps {fec0::12,
fe80::4eb:1e38:4cf5:cfc0,
172.16.1.184} LAN
17 False False 0 bps
{fe80::5efe:172.16.1.184}
isatap.MiEmpresa.Priv
14 False False 0 bps {fe80::100:7f:fffe}
do Tunneling
Pseudo-Interface
Get-SmbMultichannelConnection |ft -auto
Server Name Selected Client IP Server IP Client Interface Index Server
Interface Index Client RSS Capable Client RDMA Capable
----------- -------- --------- --------- ---------------------- -----
----------------- ------------------ -------------------
dc2012 True 172.16.1.184 172.16.1.1 12 13 True False
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 1
Para comprobar el uso del modo multicanal, basta con copiar una pequea herramienta.
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 4
Observe que existe un mximo de cuatro canales activos simultneamente entre ambos
equipos.
Por ltimo, destacaremos que, incluso habiendo probado las reglas por defecto del grupo
para ser lo ms favorables posibles en los casos ms comunes, es posible parametrizar el
nmero de conexiones utilizadas mediante los siguientes comandos:
3. Observaciones
El rendimiento es mucho mejor para las tarjetas que soportan RDMA (SMB over
RDMA), principalmente para las de tipo 40 Gbps Ethernet o 56 Gbps InfiniBand.
A da de hoy, ste no es el nico uso para esta pasarela, que permite interconectar distintos
tipos de redes fsicas y virtuales, segmentando si fuera necesario la comunicacin.
Segn la arquitectura, esta funcionalidad debe complementarse con otros productos para
crear puentes, separar los flujos mediante tags (VLAN) y enrutar correctamente los flujos
una vez que se ha eliminado la mquina virtual.
La comparticin de una Cloud privada entre varias entidades (Dev, PreProd, Prod).
El acceso a infraestructuras externas (Cloud hybride).
La intercomunicacin entre distintas redes o arquitecturas que provengan de
distintas entidades.
De manera esquemtica, se trata de un router por software basado en una mquina virtual.
Aun as, el uso de una mquina virtual permite gestionar el filtrado de las conexiones
(aislamiento) a nivel del servidor fsico, y etiquetar los paquetes a su paso.
1. Instalacin
Hablando con propiedad, no existe, como tal, una instalacin sino simplemente una
configuracin.
Dejando a un lado la configuracin del entorno de red, esta configuracin se realiza a dos
niveles en Windows Server 2012 R2:
En el servidor Hyper-V
En la mquina virtual
a. En el servidor Hyper-V
He aqu las instrucciones de optimizacin (todas las tarjetas no aceptan los mismos
parmetros):
Enable-NetAdapterRss LAN
Enable-NetAdapterVmq "Teaming1"
La configuracin de ambas tarjetas de red y la ruta por defecto puede definirse mediante la
interfaz grfica.
En la tarjeta que permite acceder a la red virtual o remota, es preciso especificar esta red
remota y la direccin IP concreta que se desea utilizar.
Configuracin de la ruta esttica hacia la red virtual (es posible, tambin, utilizar el
comando route add):
Para que los paquetes se encaminen desde la mquina virtual hacia la o las redes remotas,
se agrega una ruta esttica sobre el router por defecto para que los paquetes cuyo destino
sea 172.17.100.0 se enven a la direccin IP de la pasarela. La configuracin depender del
router utilizado.
2. Esquema de un ejemplo de uso
La red virtual indicada aqu estar, a menudo, vinculada con otra tarjeta de red fsica que
permitir acceder a otros recursos internos o externos segn la configuracin. Es posible,
tambin, instalar una VPN para acceder a otras redes que no estarn accesibles ms que por
esta pasarela.
Es posible realizar una configuracin idntica sobre el sitio remoto para recibir y
repartir los flujos.
Si tiene lugar, la conexin intersitio utilizar mecanismos de tipo Tunnel para encapsular
los paquetes de red que, de otro modo, no podran enrutarse directamente. Si el nmero de
la red gestiona el nivel 3, estos mecanismos pueden ser GRE o IP-in-IP tunneling. A nivel
2, existen las VLAN de tipo Q-in-Q.
3. Conclusin
Con todas estas mejoras, Windows Server 2012 R2 incluye muchos usos que cambian muy
rpido. La interconexin de nubes privadas, pblicas, la virtualizacin en varios niveles, las
facilidades de conexin y la velocidad permiten adoptar nuevas arquitecturas que facilitan
la administracin de un conjunto de componentes muy diverso.
Este rol le aporta el mismo nivel de facilidad en la administracin que el proporcionado por
SBS, dejando a un lado la mensajera, que no est incluida en este rol. En cambio, se ha
hecho lo posible para poder integrar fcilmente la mensajera correspondiente a Office 365,
y la mensajera de tipo Exchange.
Preste atencin, como con SBS, este rol incluye sus restricciones, en particular a la hora de
tener en cuenta bosques mono-dominios nicamente.
1. Instalacin
3. Administracin
Para instalar el cliente que permite interactuar con esta funcionalidad, utilice la URL
http://NombreDelServidor/CONNECT, que da acceso a un enlace de descarga de la
herramienta llamada Conector, compatible con Windows 7 SP1, Windows 8, Windows 8.1
y Mac OS X 10.6 a 10.8.
Descargue la herramienta.
Preste atencin, tras la primera conexin se realiza una copia de seguridad de la estacin
Las copias de seguridad de los equipos cliente estn ubicadas en archivos especiales con
extensin de tipo DAT en el servidor, en la carpeta C:\ServerFolders\Copias de seguridad
de equipos cliente.
5. Uso
Si se ha configurado para todos los usuarios del puesto de trabajo, cualquier usuario que
inicie sesin se conectar, automticamente, al servidor.
El entorno del usuario incluye dos elementos para acceder a los datos:
ste contiene dos accesos directos que apuntan a carpetas de trabajo a travs del
recurso compartido Carpetas compartidas sobre el servidor.
6. Conclusin
Ahora es posible realizar una pequea maqueta para afinar la configuracin y adaptarla a
las necesidades concretas del proyecto. Por ejemplo, las carpetas compartidas se crean por
defecto en el disco C: del servidor.
Introduccin
Este captulo est dedicado al rol Servicios de Escritorio remoto (Remote Desktop
Services) de Windows Server 2012 R2. Probablemente ya utiliza este servicio para
administrar su parque de servidores de forma cotidiana. Tras revisar este uso simple
aunque, ciertamente, crtico, veremos la potencia del rol RDS. Esto incluye, en particular,
la publicacin de aplicaciones, del escritorio en modo sesin o virtual, as como el acceso a
estas aplicaciones a travs de una pasarela Web.
Como podr observar, el cambio principal es que se ha remplazado "Terminal Services" por
"servicios de Escritorio remoto".
Esta obra, centrada en Windows Server 2012 R2, utiliza la nueva nomenclatura en lo
sucesivo. Aquellas funcionalidades que slo existan en una versin se destacarn. La
denominacin "Escritorio remoto" se remplazar, a menudo, por la voz inglesa RDS
(Remote Desktop Services) con el objetivo de hacer ms legible el texto.
Windows 8.1 y Windows Server 2012 R2 incluyen el cliente Remote Desktop Client
(RDC) en su versin 8.0. El objetivo consiste en mejorar la experiencia de usuario
proporcionando:
Soporte multi-touch.
Redireccin dinmica de USB mediante RemoteFX.
Gestin de la reconexin automtica para aplicaciones RemoteApp y conexiones de
Escritorio remoto.
Integracin de una autenticacin nica (Single Sign-on).
Integracin de una API mediante RemoteFX para VoIP.
Integracin de sesiones anidadas.
Un verdadero soporte multipantalla (en lugar de la extensin habitual).
Soporte a pantallas con cambio de representacin apaisada/vertical.
Soporte a la hora de agregar o eliminar una pantalla en caliente (conexin a un
proyector de vdeo, por ejemplo) en una sesin y las aplicaciones RemoteApp.
Securizacin de las conexiones de administracin mediante el modo
RestrictedAdmin, que permite realizar una autenticacin mediante un ticket
Kerberos y un token de autenticacin de la sesin interactiva sin necesidad de
volver a introducir las credenciales tras la conexin. No se enva ninguna
contrasea, encriptada o en claro, al servidor, y no existe, por tanto, la posibilidad
de que un pirata nos robe la contrasea (ni siquiera el hash de la contrasea). Los
sistemas operativos compatibles son nicamente Windows Server 2012 R2 y
Windows 8.1 (tanto del lado cliente como servidor de conexin). Adems, slo
aquellos usuarios miembros del grupo local Administradores (directa o
indirectamente) podrn conectarse en modo RestrictedAdmin. Para abrir una
conexin en modo RestrictedAdmin necesita escribir el comando mstsc.exe
/restrictedAdmin. Observe que el parmetro /admin viene implcito con el
parmetro /restrictedAdmin.
RemoteFX, incluido por primera vez con Windows Server 2008 R2 SP1, ha visto
evolucionar sus funcionalidades gracias a Windows Server 2012 R2. He aqu las
principales mejoras de RemoteFX:
Soporte de DirectX 11.1: en una sesin, RemoteFX gestiona, ahora, DirectX 11.1
sobre los procesadores grficos virtuales (vGPU) con el objetivo de mejorar la
calidad grfica y dar soporte, tambin, a la visualizacin 3D, siempre basada en
DirectX 11.1.
Soporte de aplicaciones Metro RemoteFX gestiona las aplicaciones Metro
introducidas con Windows 8.
Soporte extendido de dispositivos USB: RemoteFX puede, ahora, redirigir varios
tipos de dispositivos USB, tales como impresoras, telfonos mviles,
lectores/grabadoras de CD, lectores de smartcard, webcams u otros dispositivos
USB. Adems, los dispositivos USB pueden redirigirse en mitad de una sesin, de
forma dinmica, y no slo durante la apertura de la sesin.
Mejora de las conexiones WAN y externas: gracias a las funcionalidades de
RemoteFX Adaptative Graphics, RemoteFX Media Streaming y RemoteFX for
WAN, se hace mucho ms cmodo trabajar a distancia.
Para aprovechar todas las mejoras aportadas por RemoteFX, es preciso utilizar el cliente
RDP 8.1.
En una infraestructura de servicios de Escritorio remoto con Windows Server 2012 R2, los
servicios de rol Agente de conexin a Escritorio remoto son el pilar fundamental.
Este servicio de rol permite gestionar el conjunto de sesiones de usuario sobre varios
servidores RDS. Esto mejora, a su vez, la experiencia de usuario, agregando las
publicaciones RemoteApp, escritorio remoto y escritorio virtual en una vista nica. Para
ello, almacena el estado de todas las sesiones de todos los servidores, informacin que
recibe mediante servidores RDS. Cuando un usuario se conecta por primera vez sobre un
servidor, el Agente de sesiones memoriza esta conexin. Si el usuario pierde la conexin de
red, su sesin TS permanece activa sobre el servidor, aunque en estado desconectado.
Cuando vuelva a tener conexin de red, y vuelva a conectarse con el servidor, el Agente de
sesiones detectar que ya existe una sesin existente y enviar al usuario sobre este servidor
RDS. De este modo, el usuario volver a su sesin anterior en lugar de crersele,
potencialmente, una sesin nueva.
Estos tres privilegios no deben eliminarse de la cuenta (mediante una GPO...), o existe el
riesgo de no poder ejecutar ms estos servicios. Desde Windows Server 2008 es, no
obstante, posible detener el servicio RDS, lo que no poda hacerse antes. Puede comprobar
el estado actual del servicio as como los estados aceptados por el servicio utilizando el
siguiente comando (el nombre corto del servicio no se ha modificado):
sc query TermService
El servicio RDS utiliza, por defecto, el puerto TCP 3389. Mientras el acceso remoto no se
haya autorizado de manera explcita, el servidor no escucha en el puerto TCP para no
exponer los servicios sobre la red. El siguiente comando permite verificar que el puerto
TCP 3389 no escucha nada sobre el servidor, por el momento:
Los servicios de rol que componen este rol de Servicios de Escritorio remoto son:
Si bien el servicio de Windows ya est instalado, ste no se inicia por defecto. En efecto, el
servicio de Escritorio remoto (TermService) est configurado con un arranque Manual, y
se configura automticamente con arranque Automtico cuando se habilita la
Administracin remota o se instalan los servicios de rol Host de sesin de Escritorio
remoto o Host de virtualizacin de Escritorio remoto. De momento no puede utilizarlo
para administrar sus servidores de forma remota, es preciso autorizar explcitamente el
acceso remoto mediante el Administrador del servidor.
Abra la consola Administrador del servidor y haga clic en Servidor local en la zona de
navegacin.
Se abre una ventana de Propiedades del sistema, donde la pestaa Acceso remoto
permite habilitar el escritorio remoto, con o sin NLA, as como autorizar a ciertos usuarios
a conectarse. Escoja la opcin Permitir las conexiones remotas a este equipo.
Esta interfaz modifica dos claves del registro: fDenyTSConnections y User-
Authentication, ubicadas en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server.
La primera bloquea cualquier conexin TS, ser necesario asignarle un valor 0 para
autorizar las conexiones, y la segunda exige la autenticacin NLA siempre que su valor sea
1.
Deje la opcin Permitir slo las conexiones desde equipos que ejecuten Escritorio
remoto con Autenticacin a nivel de red (recomendado) marcada. A continuacin, haga
clic en Aplicar.
NLA significa Network Level Authentication. El objetivo consiste en luchar contra los
ataques llamados hombre en el medio (man in the middle) autenticando al servidor RD
antes de que se conecte el usuario. Es posible utilizar varios protocolos para realizar esta
tarea: kerberos, TLS/SSL, NTLM. Tcnicamente, se basa en el proveedor CredSSP, que
utiliza SSPI (Security Service Provider Interface). Una vez superada la fase de
autenticacin mutua, el cliente provee las credenciales del usuario, que se encriptan dos
veces con las claves de sesin SPNEGO y TLS.
Haga clic en el botn Aceptar para cerrar la ventana de las propiedades del sistema
Ahora que el acceso remoto est abierto, el servicio RDS est iniciado y escuchando en el
puerto TCP y UDP 3389 (una lnea para IP versin 4 y otra para IP versin 6):
En efecto, Windows Server 2012 R2 gestiona, ahora, el protocolo UDP para los servicios
de Escritorio remoto. La conexin inicial se realiza siempre sobre el puerto 3389 TCP.
UDP entra en juego una vez establecida la conexin inicial, para acelera la tasa de
transferencia.
Sobre una red local, la tasa de transferencia es generalmente buena, entre los 100 Mb/s y
1000 Mb/s. El protocolo UDP no aporta, necesariamente, una mejora importante en el
rendimiento, salvo para el uso de RemoteFX. Por el contrario, UDP adquiere sentido
cuando hablamos de conexiones de tipo WAN o mediante una puerta de enlace de servicios
de Escritorio remoto, donde la tasa de transferencia se ve limitada a la velocidad de su
conexin a Internet.
Para aprovechar el protocolo UDP, es preciso utilizar, como mnimo, el cliente RDP 8.0.
Puede, ahora, utilizar el escritorio remoto para administrar su servidor. Esta funcionalidad
no requiere la instalacin del rol Escritorio remoto. La administracin remota se considera
algo indispensable en cualquier servidor, sea cual sea su uso, y no se caracteriza por un rol
determinado.
Windows Server 2012 R2 utiliza una nueva forma (incluida con Windows Server 2012) de
instalar los servicios de Escritorio remoto basada en escenarios que simplifican, as, la
instalacin de los distintos servicios de rol de Escritorio remoto sobre varios servidores.
Este modo de instalacin instala y configura tambin el protocolo de despliegue de
Escritorio remoto que permite administrar el servidor mediante la nueva interfaz de gestin
de servicios de Escritorio remoto RDMS.
Sigue siendo posible instalar los servicios de Escritorio remoto mediante la instalacin
basada en roles o caractersticas. No obstante, este modo de instalacin requiere una
administracin por GPO o directamente en la base de registro. En efecto, las consolas de
administracin tsadmin.msc y tsconfig.msc ya no existen en Windows Server 2012 R2.
Adems, si prev agregar su servidor RDS 2012 R2 a una granja RDS 2008 R2, tendr que
seleccionar este modo de instalacin.
Si bien todos los servicios de rol de Escritorio remoto pueden instalarse sobre el mismo
servidor, se recomienda separarlos. En la mayora de casos, los servicios de rol Host de
sesin y Host de virtualizacin se instalan slo sobre un servidor, el Administrador de
licencias se instala, a menudo, sobre un controlador de dominio, y el Acceso Web y la
Puerta de enlace se agrupan en otro servidor.
Por qu separar los servicios de rol de Escritorio remoto? Desde un punto de vista
prctico, es obligatorio para poder configurar en clster los servidores Host de sesin (RD
Session Host) y el Acceso Web (RD Web Access). Otro ejemplo es que, si su
infraestructura RDS soporta un gran nmero de usuarios que utilizan la misma puerta de
enlace de los servicios de Escritorio remoto, esta ltima consumir bastante tiempo de
procesador para el cifrado de los flujos SSL y, por tanto, ralentizar a los usuarios que
trabajan en la parte Host de sesin si estos servicios de rol estn instalados en el mismo
servidor.
Observe que la instalacin del rol Connection Broker sobre un controlador de dominio est,
ahora, soportada, aunque no es una buena prctica.
He aqu las principales posibilidades para instalar los servicios de Escritorio remoto:
Antes de proceder con la instalacin de los servicios de Escritorio remoto, debe asegurar
que se respetan, como mnimo, los siguientes requisitos previos:
Los servidores afectados por la instalacin deben ser miembros del dominio Active
Directory.
Los servidores afectados por la instalacin deben tener una direccin IP fija.
Para instalar los servicios de Escritorio remoto, debe utilizar una cuenta de usuario que
posea, al menos, permisos de Administrador local sobre los servidores afectados por la
instalacin.
Aparece un icono en la barra de tareas que le advierte sobre la ausencia de licencias. Ser
preciso disponer de un servidor de licencias, con un periodo de prueba de 120 das. Tendr
que instalar el administrador de licencias de servicios de Escritorio remoto, habilitarlo e
instalar las licencias de acceso cliente a los servicios de Escritorio remoto.
Cabe indicar que la instalacin en modo Inicio rpido crea, por defecto, una coleccin de
escritorios virtuales en Pool.
Recuerde que, a diferencia de las sesiones basadas en un servidor host de sesin donde
todos los usuarios abren una sesin sobre la misma mquina, gestionados por el servidor
host de sesin, las sesiones basadas sobre escritorios virtuales se abren sobre mquinas
virtuales donde se conecta un nico usuario.
En la pantalla Seleccionar una plantilla de escritorio virtual, escriba la ruta completa del
archivo de disco duro virtual que servir como modelo y habr creado previamente y, a
continuacin, haga clic en Siguiente.
Como con una instalacin de los servicios de Escritorio remoto basada en sesiones y en
modo de inicio rpido, su servidor est listo para aceptar conexiones de usuario. No
obstante, estar limitado en cuanto al nmero de usuarios que pueden conectarse
simultneamente, puesto que slo se ha creado una VM durante la instalacin.
# Creacin de la coleccin
New-RDVirtualDesktopCollection -CollectionName QuickVMCollection
-PooledManaged -VirtualDesktopTemplateName "Win8.1 Ent"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation
@{"rdvh1.MiEmpresa.Priv" = 1} -StorageType LocalStorage
-VirtualDesktopNamePrefix Win81ent -ConnectionBroker
rdvh1.MiEmpresa.Priv
c. Implementacin estndar
A continuacin se describe cmo proceder para realizar una instalacin de los servicios de
Escritorio remoto basada en sesiones, sobre varios servidores (para dos servidores RDSH,
rds1.MiEmpresa.Priv y rds2.MiEmpresa.priv, y un servidor RDWA y RDCB,
rdsgw.MiEmpresa.Priv en este ejemplo):
Tras finalizar la instalacin, se reiniciar el servidor. Una vez reiniciado, abra de nuevo
una sesin con la cuenta de usuario que haya utilizado para realizar la instalacin y, a
continuacin, abra el Administrador del servidor para que finalice el asistente de
instalacin y configuracin de los servicios de Escritorio remoto. Haga clic en Cerrar.
Una vez terminada la instalacin de los servicios de Escritorio remoto, slo los usuarios
miembros del grupo Administradores de dominio podrn abrir una sesin sobre los
servidores RD Session Host. El motivo es bien simple, el asistente de instalacin no ha
creado ninguna coleccin, ni existen aplicaciones publicadas por RemoteApp.
Ejemplo con un servidor Host de sesin, rds1, que tambin es servidor de Acceso Web y
Agente de conexin
Este cmdlet le permite instalar roles (y/o caractersticas) que siguen al atributo Name, as
como su consola de administracin asociada. Si se requiere el reinicio del servidor, se podr
automatizar gracias al atributo Restart. Es, tambin, importante destacar que cualquier rol o
servicio de rol necesario para el rol especificado por el atributo Name se instalarn de
manera automtica, tales como RPC over HTTP, IIS, .NET Framework 4.5...
Es posible especificar varios roles al mismo tiempo separndolos por comas (por ejemplo:
RDS-SessionHost, RDS-Web-Access, RDS-ConnectionBroker).
Para obtener la lista de roles RDS posibles, instalados o no, puede ejecutar el siguiente
cmdlet:
Get-WindowsFeature *RDS*
Aparece un mensaje de advertencia que le indica que es necesario reiniciar para tener en
cuenta la instalacin del rol. Si realiza esta instalacin desde el Administrador del
servidor, y el servidor tiene, tambin, el rol de controlador de dominio, aparecer una
alerta que le indicar que no se recomienda realizar esta accin. En efecto, instalar el rol de
Escritorio remoto sobre un controlador de dominio conlleva verdaderos riesgos que debe
evaluar cuidadosamente.
Una vez ejecutado el cmdlet, los roles y servicios de rol estn instalados, aunque su
servidor no podr, de momento, responder a las consultas de los clientes puesto que falta,
todava, configurar los servicios de Escritorio remoto. Esta accin puede realizarse
mediante RDM (Remote Desktop Manager), por directiva de grupo (GPO) o incluso
mediante PowerShell.
Adems, para una instalacin con varios servidores, con separacin de roles, habr que
utilizar varios cmdlets PowerShell del tipo:
El cmdlet PowerShell ms eficaz para instalar los servicios de Escritorio remoto basado en
sesiones es el siguiente:
Tiene la ventaja de instalar y pre-configurar los servicios de Escritorio remoto sobre uno o
varios servidores de forma simultnea, con un nico cmdlet.
Para tener una idea de todos los cmdlets posibles puede utilizar el siguiente comando
PowerShell:
Get-Command *-RD*
Como hemos visto durante la instalacin, por defecto, una infraestructura de Escritorio
remoto en Windows Server 2012 R2 requiere, como mnimo, tres servicios de rol de
Escritorio remoto:
Con Windows Server 2012 R2, los servicios de Escritorio remoto se articulan en torno al
servicio de rol Agente de conexin, incluso aunque slo tenga un servidor host (de sesin o
de virtualizacin), y aunque no utilice la gestin de los perfiles de usuario. El servidor que
posee el servicio de rol Agente de conexin es, tambin, el servidor de implementacin de
los servicios de Escritorio remoto, servicio que permite, en particular, configurar el
conjunto de servicios de Escritorio remoto.
La primera seccin Informacin general le ofrece, como su propio nombre indica, una
vista general de su infraestructura de servicios de Escritorio remoto. Esta pantalla le
permite agregar servidores a los servicios de Escritorio remoto y, tambin, administrar la
configuracin de alta disponibilidad del servicio de rol Connection Broker. Veremos esto
un poco ms adelante en este captulo.
La segunda seccin Servidores le permite ver la lista de servidores que forman parte de su
infraestructura RDS, y le permite, tambin, agregar roles y caractersticas sobre estos
servidores y recopilar eventos. Encontrar, tambin, la herramienta Best Practice Analyzer
para los servicios de Escritorio remoto, que conviene ejecutar una vez terminadas la
instalacin y configuracin.
La siguiente seccin, Colecciones, le permite modificar, mediante el men Tareas en la
seccin Colecciones, los parmetros de implementacin comunes a toda la infraestructura
RDS conectada a su servidor de Agente de conexin, tales como: el mtodo de
autentificacin, el modo de licenciamiento, los certificados... Tambin podr agregar
nuevas colecciones. La seccin Conexiones le mostrar todas las conexiones activas sea
cual sea su coleccin de origen, y desde aqu podr enviar un mensaje, tomar el control
sobre la sesin (Instantnea en el submen), forzar la desconexin o cerrar la sesin del
usuario conectado.
Para terminar con la lista de secciones, encontrar, a continuacin, la lista de colecciones
disponibles. Con una instalacin en modo Inicio rpido, se crea una coleccin llamada
QuickSessionCollection si su instalacin se basa en hosts de sesin o QuickVMCollection
si su instalacin se basa en hosts de virtualizacin. Con cualquier otro modo de instalacin,
tendr que crear una nueva coleccin para que los usuarios puedan conectarse.
Desde la pantalla de una coleccin, es posible modificar las propiedades de dicha coleccin
y gestionar las aplicaciones RemoteApp. Si se trata de una coleccin de sesin, podr
agregar servidores host de sesin suplementarios o administrar las conexiones de dicha
coleccin. Si se trata de una coleccin de escritorios virtuales, podr agregar un escritorio
virtual o recrear todos los escritorios virtuales de la coleccin.
Configuracin
1. Propiedades de implementacin
Los parmetros de despliegue afectan a todas las colecciones y todos los servidores
asociados a esta implementacin. Todos estos parmetros afectan, por tanto, a la
implementacin de los servicios de Escritorio remoto en su conjunto.
En un entorno RDS en Windows Server 2012 R2, todos los servidores host de sesin de
una misma coleccin comparten los mismos parmetros de sesin, de seguridad,
de administracin de dispositivos...
Se abre el asistente Crear coleccin y aparece la pantalla Antes de comenzar, haga clic
en Siguiente.
# Creacin de la coleccin
New-RDSessionCollection -CollectionName MiColeccionDeSesiones
-CollectionDescription "" -SessionHost rds1.MiEmpresa.Priv
-ConnectionBroker rds1.MiEmpresa.Priv
Tendr, ahora, una coleccin de servidores de sesin configurada de forma sencilla, sin
aplicaciones RemoteApp.
He aqu una descripcin de las propiedades de una coleccin de servidores host de sesin:
La situacin es la siguiente:
Observar que el usuario dispone, todava, de 2 horas potenciales para volver a conectarse
sin perder su sesin.
# Valores admisibles
# los valores numricos se definen en minutos
# -BrokenConnectionAction None/Disconnect/LogOff
# Security
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-SecurityLayer Negociate
-EncryptionLevel ClientCompatible
-AuthenticateUsingNLA $true
# Valores admisibles
# -SecurityLayer RDP/Negociate/SSL (por defecto Negociate)
# -EncryptionLevel Low/ClientCompatible/High/FipsCompliant
(por defecto: ClientCompatible)
$LoadBalanceObjectsArray.Add($LoadBalanceSessionHost1)
# Valores admisibles
# -LoadBalancing Array[CollectionName,Weight,NumberOfSessions,
RDSessionHost]
# Configuracin de cliente
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-ClientDeviceRedirectionOptions AudioVideoPlayBack,
AudioRecording,SmartCard,PlugAndPlayDevice,Drive,ClipBoard
-ClientPrinterRedirected $true
-ClientPrinterAsDefault $true
-RDEasyPrintDriverEnable $true
-MaxRedirectedMonitors 16
# Valores admisibles
# Varias opciones separadas por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording/
# SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone-MaxRedirectedMonitors [1-16], 16 por defecto
Cuando un usuario abre una sesin sobre uno de los servidores de la coleccin, el
servidor monta el disco de perfil de usuario directamente en su carpeta de perfil (por
defecto: C:\Usuarios) mediante un enlace simblico. Esto resulta transparente al
usuario, y a las aplicaciones.
# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
Cuando instala una aplicacin sobre un servidor RDS, debe indicar que va a tener lugar una
instalacin. Para ello, puede utilizar el comando:
Windows Server 2012 existe, nicamente, en versin de 64 bits. Wow64 permite ejecutar
aplicaciones de 32 bits mediante emulacin. Esto supone, en cualquier caso, una carga
complementaria y no permite aprovechar al mximo la capacidad de la plataforma tcnica.
Verifique sistemticamente si existe una versin de 64 bits antes de instalar el componente
o la aplicacin en cuestin.
A diferencia de un servidor Web, por ejemplo, pasar un servidor host de sesiones al modo
de mantenimiento es ms complicado de cara a los usuarios. Pueden tener documentos
abiertos, no salvaguardados, correos electrnicos en curso, etc. Afortunadamente, existen
herramientas adaptadas a estas situaciones disponibles para cortar el servicio de forma
controlada.
Para cerrar todas las conexiones a la vez, puede utilizar el siguiente script:
El comando query session permite enumerar todas las sesiones de usuario del servidor.
Una vez se obtiene la lista de sesiones, anote el nmero de sesin para el que desea realizar
alguna accin. A continuacin, podr:
Cerrar la sesin (cierra todas las aplicaciones abiertas, sin realizar una copia de
seguridad): logoff XXX
Desconectar al usuario (todas las aplicaciones siguen abiertas, aunque el usuario se
desconecta): tsdiscon XXX
Eliminar una sesin por la fuerza: session reset XXX
Conectarse a esta sesin: tscon XXX
Enviar un mensaje al usuario: msg XXX Cierre, por favor, su sesin
Para aprovechar todo esto, instale las caractersticas Experiencia de escritorio y Servicios
de Escritura con lpiz y Escritura a mano. Reinicie el servidor.
Para aprovechar plenamente las mejoras grficas aportadas por la activacin de la
experiencia del usuario (del lado servidor), necesitar una conexin con alta tasa de
trasferencia entre el cliente y el servidor (como mnimo 10 Mb/s) y configurar el cliente
RDP.
Activacin de la experiencia del usuario auditiva
Para aprovechar completamente el uso del sonido en una sesin de Escritorio remoto, es
necesario iniciar el servicio Audio de Windows y configurarlo en arranque automtico.
Es posible, incluso necesario, recurrir a una directiva de grupo para modificar el entorno de
los usuarios que abran una sesin sobre el host de sesin. Ser posible mostrar u ocultar
iconos en el escritorio o prohibir el acceso a ciertos dispositivos, o configurar los
parmetros de Internet Explorer, por ejemplo.
Para ello, tendr que crear una nueva directiva de grupo y asociarla a la unidad organizativa
que contenga sus servidores de host de sesin. Defina los parmetros de usuario de la
directiva tal y como desee, y habilite la opcin Configurar el modo de procesamiento de
bucle invertido de la directiva de grupo de usuario seleccionando el modo Combinar.
Encontrar este parmetro en Configuracin del equipo - Directivas - Plantillas
administrativas - Sistema/Directiva de grupo.
Administracin de la impresin
Observe que, si el cliente no cumple estos requisitos previos, ser preciso instalar los
controladores de impresin sobre el servidor.
De otro modo, Easyprint permite ver, desde el servidor RDS, el conjunto de propiedades de
la impresora, sin tener que instalar el controlador en el propio servidor. Para ello, se
comporta como un proxy y redirige todas las llamadas a la interfaz sobre el controlador del
lado cliente. Convierte la impresin de un formato GDI a un formato XPS (siempre que no
se trate ya de un formato XPS) sobre el servidor, y lo enva al cliente en la sesin RDP, a
travs de un canal virtual (XPS over RDP). Una vez en el puesto cliente, si el controlador
de impresin es compatible con XPS, el documento se imprime directamente. En caso
contrario, se convierte de nuevo del formato XPS al formato GDI y se imprime.
Ahora, es posible restringir el nmero de impresoras que se conectan desde el puesto
cliente mediante una GPO. El inicio de sesin se ve, as, acelerado, y la impresora por
defecto del puesto cliente basta en la mayora de casos.
Para aplicar esta restriccin mediante GPO, debe habilitar el parmetro: Configuracin del
equipo - Plantillas administrativas - Componentes de Windows - Servicios de
Escritorio remoto - Host de sesin de Escritorio remoto - Redireccin de impresora.
Un servidor que juega el rol de agente de conexin y despacha las conexiones de los
usuarios (RDS-Connection-Broker).
Uno o varios servidores Hyper-V que albergan mquinas virtuales. Estas mquinas
deben ser estrictamente idnticas (con los mismos programas instalados).
Las mquinas virtuales deben ser de primera generacin, pues las mquinas
virtuales de segunda generacin no estn soportadas.
Como con las colecciones de sesiones, con un entorno RDS en Windows Server 2012,
todos los servidores host de virtualizacin de una misma coleccin comparten los mismos
parmetros de sesin, de seguridad, de gestin de dispositivos...
Se abre el asistente Crear una coleccin y aparece la pantalla Antes de empezar, haga
clic en Siguiente.
# Creacin de la coleccin
New-RDVirtualDesktopCollection -CollectionName MiColeccionDeVMs
-Description ""
-PooledManaged
-VirtualDesktopTemplateName "Windows 8.1 Ent - Sysprep"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation @{"rdvh1.MiEmpresa.Priv" = 2}
-Domain "MiEmpresa.Priv"
-OU "OU=Escritorios virtuales,DC=miempresa,DC=priv"
-UserGroup "MIEMPRESA\Usuarios de dominio"
-StorageType LocalStorage
-VirtualDesktopNamePrefix Win8ent
-ConnectionBroker rds1.MiEmpresa.Priv
-UserProfileDiskPath \\DC2012\UserProfilDisk
-MaxUserProfileDiskSizeGB 5
Una vez ejecutado este cmdlet, las cuentas de equipo para los escritorios virtuales se crean
correctamente en la unidad organizativa Escritorios virtuales.
Propiedades de una coleccin de Host de virtualizacin
Pestaa General: esta pestaa presenta la misma informacin que para una
coleccin de sesiones con algunos datos suplementarios, tales como la posibilidad
de habilitar el retraso de guardado.
# Valores posibles
# -SaveDelayMinutes
Pestaa Escritorios virtuales: todos los campos son de solo lectura. Algunos
pueden configurarse durante la creacin de la coleccin, y otros en la configuracin
de la implementacin.
Pestaa Grupos de usuarios: esta herramienta es idntica a la pestaa Grupos de
usuarios para una coleccin de sesiones.
Pestaa Cliente: encontrar en esta pestaa la misma informacin que para una
coleccin de sesiones.
# Valores posibles
# Es posible seleccionar varios separados por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording
# /SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone
# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
a. Agregar escritorios virtuales a una coleccin - Creacin de un escritorio virtual
Puede resultar til saber cmo agregar escritorios virtuales a una coleccin de escritorios
virtuales. Para ello, simplemente hay que seguir el siguiente procedimiento sencillo:
Este servicio de rol hace RDS muy atractivo. Permite publicar aplicaciones en lugar de un
escritorio completo. Esta capacidad para publicar una aplicacin permite una mejor
integracin de dicha aplicacin en el entorno habitual del usuario, que tendr la impresin
de que la aplicacin se ejecuta, directamente, en su puesto (como si fuera una ventana ms).
Ya no es posible crear el archivo.rdp o el paquete .msi con Windows Server 2012 R2,
tendr que crearlo a mano si no quiere utilizar la configuracin del cliente RemoteApp en
los puestos cliente.
Con Windows Server 2012 R2, las aplicaciones RemoteApp se publican a nivel de la
coleccin.
A continuacin se muestra cmo configurar una aplicacin RemoteApp que se publica en
un escritorio virtual:
Si publica una aplicacin en un escritorio virtual, debe escoger el escritorio virtual sobre el
que se encuentra la aplicacin que quiere publicar. Es lo que le permite hacer la siguiente
pantalla Seleccionar escritorio virtual. Una vez lo haya seleccionado, haga clic en
Siguiente.
Observe que la publicacin de una aplicacin oculta, automticamente, el acceso web del
escritorio, mientras que muestra la aplicacin publicada mediante RemoteApp.
Del lado del puesto cliente, la configuracin del cliente RemoteApp es muy sencilla y
puede hacerse mediante la interfaz grfica o mediante GPO. No obstante, si el certificado
de su servidor Broker es autorfirmado, tendr que instalarlo en la Entidad de certificacin
raz de confianza del equipo cliente.
A continuacin se muestra cmo realizar la configuracin del cliente Remote App mediante
la interfaz grfica:
Abra Conexiones remotas accesible en el Panel de control y haga clic en el enlace Acceso
a los programas RemoteApp y servicios de Escritorio remoto.
Este parmetro de directiva de grupo slo se aplica a aquellos sistemas operativos Windows
Server 2012, Windows 8 y Windows RT. Con sistemas operativos anteriores, tendr que
realizar una configuracin manual.
Configuracin avanzada
1. Configuracin del Acceso Web de los servicios de Escritorio remoto
Poder acceder al sitio Web que ofrece el acceso Web desde un navegador de
Internet, con o sin proxy.
Tener instalado el cliente RDC 7.0 como mnimo.
Este servicio de rol puede instalarse sobre un servidor que tenga o no otros servicios de rol
de Escritorio remoto. Requiere, no obstante, como mnimo IIS 8.5 para poder funcionar y
una relacin de confianza con los servidores host de sesin para poder enumerar las
aplicaciones RemoteApp. Generalmente, ya viene instalado si ha realizado la instalacin
Inicio rpido o Implementacin estndar.
Es posible agregar el servicio de rol Acceso Web para Escritorio remoto mediante la
interfaz grfica o mediante PowerShell.
El nuevo portal de Acceso Web gestiona, ahora, navegadores como Mozilla Firefox o
Google Chrome as como Microsoft Internet Explorer (si bien este ltimo presenta ciertas
ventajas tales como una mejor gestin de la autenticacin, por ejemplo).
ShowDesktops: con el valor true por defecto. Esta variable controla el hecho de que se
muestre o no la pestaa Escritorio remoto en el sitio Web.
xClipboard: con el valor true por defecto. Bloquea el uso del portapapeles de Windows si
su valor es false.
xDriveRedirection: con el valor false por defecto. Autoriza la redireccin de los lectores
locales si su valor es true.
xPortRedirection: con el valor false por defecto. Autoriza la redireccin de los puertos
COM y LPT si su valor es true.
Utilizar el archivo XML web.config presenta la ventaja de que se tiene acceso a los
comentarios que explican los distintos valores, por ejemplo, para
GatewayCredentialsSource:
Por defecto, las aplicaciones RemoteApp estn habilitadas para el Acceso Web. Esta
autorizacin puede gestionarse por aplicacin, desde la consola Administrador de
RemoteApp.
El uso de RDS se ha extendido ms all de los lmites de la empresa. Una vez fuera del
lugar de trabajo, no controlamos la infraestructura implementada, as como sus
restricciones. La apertura de una conexin sobre el puerto 3389 TCP desde otra empresa,
desde un hotel o desde cualquier otro lugar pblico puede estar bloqueada por firewalls, lo
cual limita la aplicacin de los servicios de Escritorio remoto. Windows Server 2012 R2
ofrece un medio de transporte adaptado a este contexto para acceder a los recursos: HTTPS.
El primer requisito previo consiste en disponer de un certificado SSL vlido, bien emitido
por un tercero de confianza, o bien desde su propia infraestructura de PKI. Windows Server
2012 R2 le permite generar un certificado auto-firmado, aunque esto implica poder agregar
este certificado raz en los equipos que se utilizan para conectarse. Esta solucin puede
resultar algo excesiva, aunque la experiencia del usuario no es ptima, y va a ser
problemtica para la conexin desde un equipo sencillo desde un hotel, por ejemplo. Lo
principal es que el puesto cliente considere su certificado como digno de confianza.
A continuacin se muestran los atributos del certificado y las reglas que deben respetar:
Una vez terminada la instalacin, en la pantalla Ver progreso, haga clic en el botn
Cerrar.
# Depuracin...
Set-RDDeploymentGatewayConfiguration -GatewayMode Custom
-GatewayExternalFqdn webapp.MiEmpresa.es -LogonMethod GatewayAuthMode
-UseCachedCredentials $true -BypassLocal $true -Force
Observe que el cmdlet Add-Server instala el servicio de rol Puerta de enlace de Escritorio
remoto, as como todas las dependencias tales como RPC over HTTP e IIS, sobre el o los
servidores afectados. Crea, tambin, un certificado autofirmado y lo asocia con el servicio
Puerta de enlace de Escritorio remoto. No obstante, con Windows Server 2012, este cmdlet
finaliza con dos errores ligados a dos comandos incorrectos en el archivo de script
Despliegue del mdulo PowerShell. Por este motivo, proporcionamos un segundo cmdlet
que termina el trabajo... Este cmdlet no es intil, por el contrario, en un servidor Windows
Server 2012 R2 puesto que se ha corregido el error en esta versin.
Por defecto, la instalacin genera un certificado autofirmado que resulta til para una fase
de pruebas. Para un entorno de produccin, se recomienda encarecidamente utilizar un
certificado obtenido a travs de una entidad emisora de certificados reconocida.
En el panel izquierdo, haga clic con el botn derecho sobre el nombre de su servidor y, a
continuacin, haga clic en Propiedades. He aqu algunas pestaas interesantes:
En la pestaa Puerta de enlace de Escritorio remoto, verifique que la opcin Usar esta
configuracin del servidor de puerta de enlace de Escritorio remoto est marcada y el
nombre completo de su servidor de puerta de enlace bien informado. Si no fuera el caso,
hgalo as.
La pasarela RDS est, ahora, operativa. Posee un certificado SSL autogenerado y se han
definido dos directivas. Todos los usuarios del dominio pueden utilizar la puerta de enlace
para acceder a cualquier equipo de la red.
Por dispositivo, sea cual sea el nmero de usuarios que utilicen este dispositivo para
acceder a los recursos RDS.
Por usuario, sea cual sea el dispositivo utilizado para acceder a recursos RDS.
Una vez terminada la instalacin, en la pantalla Ver progreso haga clic en el botn
Cerrar.
Esto no supone sino la primera etapa, registrar su servidor con Microsoft. Ahora es posible
agregar licencias TS, seleccionando el programa de licencias. Una vez provistos los
nmeros necesarios, las licencias TS se muestran en el Administrador de licencias. Para
ello, haga clic con el botn derecho en el servidor y seleccione la opcin Instalar licencias
en el men contextual.
Observaciones:
Este servicio de rol consume muy pocos recursos, aunque debe instalarse sobre un
servidor estable. Las licencias no podrn entregarse a otro servidor fcilmente, y la
ausencia de este rol hace que el conjunto de hosts pasen al periodo de prueba de 120
das.
Un servidor RDS Windows 2012 Server puede, nicamente, comunicarse con un
servidor de licencias Windows 2012 Server.
Por defecto, se crea una base de datos en el servidor en la siguiente ruta:
%systemroot%\system32\lserver
Un servidor de licencias Windows Server 2012 R2 puede proveer licencias RDS a
servidores RDS Windows Server 2008/2008 R2, siempre que posea RDS Cal
Windows Server 2008/2008 R2.
El administrador de licencias permite seguir el consumo de licencias en modo
usuario, y generar informes. Para utilizar esta funcionalidad, el objeto equipo del
servidor debe ser miembro del grupo Active Directory Servidores de licencias de
Terminal Server. Si el servidor es, tambin, controlador de dominio, entonces la
cuenta Servicio de Red debe formar parte, tambin, de este grupo.
RemoteFX, que se incluye desde Windows Server 2008 R2 Service Pack 1, es una
funcionalidad que permite mejorar de forma significativa la experiencia de usuario y
permite mostrar grficos en 3D de buena calidad, a travs de una conexin de Escritorio
remoto desde un puesto con un cliente RDP 8.1 u 8.0. El cliente RDP 7.1 tambin est
soportado, aunque con menos funcionalidades. Adems, la tecnologa incluye el soporte de
Aero, animaciones Flash o Silverlight con un rendimiento muy bueno (siempre que la tasa
de transferencia de la red sea lo suficientemente buena, por supuesto). Con la aparicin de
HTML5 y la multiplicacin de empresas que utilizan clientes ligeros para conectarse a su
infraestructura, no cabe duda de que a RemoteFX le espera un buen porvenir.
Observe que RemoteFX permite, tambin, aumentar las posibilidades de redireccin de los
dispositivos USB.
Los equipos cliente que acceden mediante esta infraestructura aprovechan la aceleracin
grfica de la tarjeta fsica del servidor Hyper-V, permitiendo as aprovechar las ventajas
que ofrece RemoteFX. La tarjeta grfica est, en efecto, virtualizada y est accesible a
todas las mquinas virtuales hospedadas.
Los requisitos previos que permiten implementar dicha infraestructura son numerosos:
El procesador debe ser compatible SLAT (Second Level Address Translation). Esta
funcionalidad se denomina EPT (Extended Page Tables) en los procesadores Intel y
NPT (Nested Page Tables) en los procesadores AMD. Los procesadores Intel
Nehalem como los Xeon X5540, Xeon E5530, con ncleo Sandy Bridge e Ivy
Bridge Intel i3, i5 o Intel i7 y los procesadores AMD con ncleo Barcelona,
Shangha, Istanbul o Magny-Cours como Opteron 2356 forman parte de los
modelos compatibles.
Se necesita una tarjeta grfica (CPU) sobre el servidor que hospeda RemoteFX. El
controlador debe soportar DirectX 11.1 y disponer de, al menos, 1 GB de memoria
dedicada al vdeo.
Observe que las tarjetas de supervisin remota (tarjeta ILO, iDrac, IMM, KVM sobre IP,
etc.), que sirven habitualmente para tomar el control sobre un servidor y configurar su
BIOS o acceder a la consola, pueden presentar problemas de compatibilidad.
RemoteFX utiliza, en efecto, los controladores WDDM cuando se instala una tarjeta GPU,
mientras que las tarjetas de supervisin utilizan, en su mayora, el controlador XPDM.
Estos dos controladores no pueden funcionar de manera simultnea, si un controlador
intenta conectarse a travs de la tarjeta de supervisin mientras el controlador RemoteFX
est cargado, la consola del servidor no ser visible cuando se tome el control remoto de un
sistema operativo con sesin iniciada.
Encontrar una gua paso a paso del despliegue de RemoteFX para un host de virtualizacin
de Escritorio remoto en la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=177903
Los requisitos previos de instalacin de RemoteFX sobre un servidor que hospeda el rol de
host de sesin de Escritorio remoto son un poco menos exigentes que en el caso de una
infraestructura VDI.
Para disfrutar una mejor experiencia de usuario puede, tambin, seguir esta etapa
opcional configurando el parmetro Optimizar la experiencia visual al usar
RemoteFX con una tasa de captura de pantalla Mximo (calidad ptima) en la
Configuracin del equipo - Plantillas administrativas - Componentes de Windows -
Servicios de Escritorio remoto - Host de sesin de Escritorio remoto - Entorno de
sesin remota. Tras reiniciar el equipo para confirmar los cambios en algn equipo (y
siempre que la conexin de red tenga una buena tasa de transferencia), apreciar todava un
mejor rendimiento de las animaciones remotas.
Encontrar una gua paso a paso del despliegue de RemoteFX para un host de sesin de
Escritorio remoto en la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=192436
Observe que la redireccin USB no funciona si RemoteFX est hospedado sobre un host de
sesin de Escritorio remoto. La redireccin slo ser efectiva si RemoteFX est instalado
sobre un host de virtualizacin de Escritorio remoto.
Puede utilizar esta funcionalidad en un equipo virtual con Windows 7 SP1, Windows 8 o
Windows 8.1 mediante una conexin de escritorio remoto, mediante un acceso Web RDS, o
incluso mediante una RemoteApp.
Encontrar una gua paso a paso para configurar la redireccin USB en la siguiente
direccin: http://go.microsoft.com/fwlink/?LinkId=192432
Conclusin
Ahora ya sabe cmo implementar el rol de Escritorio remoto y el conjunto de sus
componentes. Puede implementar distintos mtodos de acceso, adaptados a cada contexto
(desde la red local, Internet, hacia un servidor o VDI) sin reducir la seguridad del
sistema de informacin. Sera una pena privar a los usuarios, y por lo tanto clientes, de una
tecnologa as de rpida y eficaz.
Introduccin
Este captulo est dedicado a las distintas formas que existen para acceder a los servicios de
su empresa si se encuentra fuera de ella.
La primera parte aborda los distintos medios que permiten este acceso remoto. A
continuacin, se describen los distintos servicios que ofrece Windows Server 2012 para
responder a necesidades de movilidad cada vez ms exigentes.
Este acceso remoto puede realizarse a travs de dos tipos de enlace. Bien mediante un
enlace de tipo Conexiones de acceso telefnico (llamadas con frecuencia Dial-up), o viene
estableciendo una red privada virtual (VPN: Virtual Private Network).
1. Acceso telefnico
a. Generalidades sobre las conexiones telefnicas Dial-up
Utilizar una conexin de tipo Dial-up permite acceder a la red de la empresa mediante una
simple lnea telefnica, desde cualquier sitio. La contrapartida de esta facilidad de acceso es
que se trata de una tecnologa que ya es vieja y que ofrece un rendimiento muy limitado,
con una tasa de transferencia de informacin muy baja.
Ventajas
No se necesita una conexin a Internet: basta con una simple lnea telefnica
clsica.
Confidencialidad de los datos: la informacin no transita a travs de Internet, de
modo que los datos no son objetivo de todos los ataques propios de este medio
de comunicacin a travs de la red mundial. La seguridad es, por lo tanto mxima,
puesto que la red local no tiene por qu estar abierta al mundo exterior.
Inconvenientes
Muy poco ancho de banda. Basada en la tecnologa telefnica, las tasas de
transferencia de este tipo de conexin es bastante limitada. En efecto, la red
telefnica se ha diseado para poder reproducir la voz humana, y nada ms. Las
frecuencias que pueden transitar por este medio de transmisin son, de hecho, muy
limitadas.
Para aumentar la tasa de transferencia que encontramos (56K), existen lneas de
transmisin digitales (128K). No obstante, siguen representando una inversin
importante.
Coste elevado. Las comunicaciones telefnicas tienen un coste que no es
despreciable, recuperar un simple archivo de 10 MB supondr una inversin
considerable de tiempo necesario para descargarlo (cerca de cuarenta minutos si la
tasa de transferencia media es de 4 kB/s).
Adems, para poder proveer conexiones remotas mltiples se requieren tantas lneas
telefnicas como usuarios nmadas puedan conectarse simultneamente.
Si bien el coste es bastante elevado de esta tecnologa hace que su uso no parezca muy
atractivo, puede resultar muy til en ciertos casos concretos. Si no es, en efecto, extrao
tener problemas de conexin a Internet, es mucho menos habitual tener cortes de la lnea
telefnica. Puede resultar, de este modo, bastante interesante aprovechar este tipo de acceso
en ciertas empresas de administracin de servidores. En efecto, un administrador podr
seguir gestionando, de manera remota, sus servidores a travs de la lnea telefnica, aunque
no estn disponibles a travs de Internet.
La segunda tecnologa que permite realizar un acceso remoto utiliza la red Internet y no la
red telefnica. A diferencia de las conexiones bajo demanda que le permiten conectar
directamente con la red de la empresa, en este caso es necesario pasar "a travs" de Internet.
La tecnologa que se utiliza se denomina VPN (Virtual Private Network o Red Privada
Virtual, en castellano). Aqu, la comunicacin se establece directamente a nivel IP.
A continuacin se dan algunas explicaciones relacionadas con la terminologa Red Privada
Virtual:
La conexin es virtual en cuanto a que el equipo que establece una conexin VPN a travs
de Internet se va a comportar como si estuviera directamente conectado a la red de rea
local, como si se tratase de un cable de red directamente conectado a ella. El usuario va a
poder, de este modo, acceder a los mismos recursos que si estuviera fsicamente conectado
a la red. Esta conexin se considera, no obstante, virtual, precisamente porque no existe tal
enlace fsico Ethernet con la red de destino. Es privada en cuanto a que se trata de una
conexin punto a punto entre el origen y el destino. Los datos que se intercambian estn
cifrados. De este modo, si alguien interceptara los datos, no se podran descifrar sin conocer
la clave privada de la transaccin.
Las VPN se utilizan, a menudo, para conectar sitios remotos completos. Hablamos,
entonces, de VPN sitio a sitio. El objetivo de este tipo de conexiones es poder vincular
lgicamente redes remotas sin tener que realizar un enlace de red directo (Ethernet, Wi-Fi,
etc.).
b. Los distintos tipos de VPN que ofrece Windows Server 2012 R2
Windows Server 2012, como sus predecesores, soporta los siguientes tipos de VPN:
Tambin llamado PPP/SSL, este protocolo permite utilizar PPP y EAP para realizar
la autenticacin y hacer que la conexin sea todava ms segura.
Ventajas
Coste reducido: todas las empresas y todos los usuarios ya estn equipados, por lo
general, con una conexin a Internet. El coste de la implementacin es por lo tanto
mnimo, pues basta con aprovisionar un servidor que haga las veces de servidor
VPN. Adems, con una nica conexin a Internet es posible dar servicio a varias
conexiones remotas simultneas sin tener que adquirir una lnea suplementaria.
Ancho de banda elevado: la tecnologa VPN se apoya directamente en IP y, por
tanto, sobre una infraestructura Internet. Con la extensin de ADSL y la explosin
del ancho de banda asociado, esta tecnologa es mucho ms rpida que las
conexiones de tipo Dial-Up.
VPN Anywhere: supone una pequea analoga con la tecnologa empleada en
Exchange (RPC over HTTPS) donde se encapsula el trfico de Outlook a travs de
trfico Web seguro (HTTPS). Como se ha explicado antes, aqu es el trfico VPN el
que est encapsulado en HTTPS. La seguridad de las redes es por lo general una
prioridad, y es corriente bloquear el trfico de salida que no se corresponda con las
necesidades de la empresa. Por el contrario es raro ver el trfico HTTPS saliente
bloqueado. De este modo, gracias a SSTP, el usuario debe poder conectarse desde
cualquier red de empresa o punto de acceso a Internet.
Inconvenientes
Dependiente de la red: a diferencia de las conexiones bajo demanda, el
rendimiento de una conexin a Internet desde una de las dos partes (empresa o
usuario nmada) tienen un impacto nada despreciable en la calidad de la
transmisin. Cualquier problema en el proveedor de acceso de una u otra parte
puede provocar una incapacidad total para comunicarse.
Confidencialidad de los datos: aunque se utilizan sistemas de cifrado no queda
ms remedio que los datos transiten a travs de Internet. Esto los vuelve
potencialmente visibles para todo el mundo aunque estn cifrados.
d. DirectAccess, el "VPN-Killer"
El objetivo del lado del cliente consiste en mejorar su experiencia como usuario nmada
proporcionndole condiciones de trabajo totalmente idnticas a las que disfruta en los
edificios de su empresa
Los administradores de sistemas sacarn buen partido a esta tecnologa. En adelante sern
capaces de administrar ntegramente los equipos situados fuera de la empresa: despliegue
de actualizaciones de software, actualizacin del antivirus, aplicacin de las directivas de
grupo, etc.
Por defecto, y a diferencia de las tecnologas VPN habituales, slo el trfico de destino de
la empresa pasar a travs de Direct Access, de forma que no ralentice el trfico de Internet.
Siempre es posible hacer transitar la totalidad del trfico por Direct Access, con el objetivo
de controlar de principio a fin la seguridad del acceso.
Su capacidad para gestionar la alta disponibilidad se ha visto mejorada con la llegada del
Service Pack 1 de Windows Server 2008 R2 pues incluye el soporte del direccionamiento
6to4 e ISATAP cuando se utiliza DirectAccess mediante un clster NLB (Network Load
Balancing). Si desea ms informacin acerca del clster NLB, consulte el captulo Alta
disponibilidad.
He aqu las etapas del proceso de conexin a la red gracias a DirectAccess con Windows
Server 2008/2008 R2/2012/2012 R2:
Este proceso es ligeramente diferente con Windows Server 2012 puesto que ya no se utiliza
IPsec y, en lo sucesivo, la conexin externa se establece directamente mediante HTTPS. La
etapa 3 de intento de conexin IPsec e IPv6 ha desaparecido, pasando directamente de la
etapa 2 a la etapa 4.
WAP requiere poseer una granja de AD FS para poder funcionar. Sin AD FS, el asistente
no puede completar las etapas de configuracin.
Se recomienda desplegar este rol en una red perimtrica (entre el firewall conectado a
Internet y el conectado a la red de la empresa). A diferencia de una publicacin web
"clsica", WAP corta el trfico entrante del cliente para iniciar una nueva sesin con la
aplicacin final. De este modo, el usuario no se comunicar, jams, directamente con la
aplicacin, sino que acceder a travs del componente WAP.
En resumen, WAP provee funcionalidades de publicacin de aplicaciones similares a
Microsoft Forefront Unified Access Gateway (UAG). No obstante, WAP interacta con
otros servidores y servicios (AD FS) para proveer un despliegue simplificado. No
reemplaza totalmente a UAG, pues slo las aplicaciones web con autenticacin Kerberos o
por notificacin pueden aprovechar una publicacin mediante WAP.
WAP puede, por ejemplo, resultar til para publicar el acceso remoto web de un servidor
Exchange (OWA) o un servidor Lync (Lync Web app). Al gestionarse la autenticacin en
AD FS, el usuario recibir un token nico y podr aprovechar el SSO (Single Sign On) para
acceder a las dos aplicaciones gracias a una nica autenticacin.
Encontrar, en el siguiente enlace, las etapas que permiten implementar una publicacin
mediante el componente WAP: http://technet.microsoft.com/en-us/library/dn383650.aspx
f. Cules son las novedades de Windows Server 2012 y Windows Server 2012 R2?
Windows Server 2012 combina la funcionalidad de Direct Access con el rol RRAS
(Remote and Routing Access Service) en un nuevo rol que permite administrar de manera
centralizada, configurar y supervisar a la vez Direct Access y los servicios de VPN. La
mayor mejora reside en las numerosas actualizaciones y mejoras de Direct Access para
prevenir bloqueos ligados al despliegue, y simplificar su gestin.
En el caso de una VPN PPTP o L2TP es tcnicamente posible tener una nica tarjeta de
red. Esto se sale, no obstante, del marco de buenas prcticas recomendadas por Microsoft y
el rendimiento puede verse afectado.
En la seccin Roles del servidor, marque la opcin Acceso remoto tal y como indica la
siguiente captura de pantalla:
Deje las opciones por defecto de los servicios de rol marcadas y, a continuacin, haga clic
en Siguiente.
Si bien ya no resulta til con Windows Server 2012, si lo desea puede crear un certificado
autofirmado para L2TP/IPsec o SSTP con Windows Server 2008/2008 R2: abra la consola
Administrador de Internet (IIS) y, en la parte central, haga doble clic en Certificados de
Servidor. En la seccin Acciones, haga clic en Crear un certificado autofirmado... y, a
continuacin, asgnele un nombre descriptivo.
Ahora que ha instalado el rol de servidor de acceso remoto, puede configurar sus
parmetros asociados.
Seleccione Acceso remoto (acceso telefnico o red privada virtual) y haga clic en
Siguiente.
Marque la opcin VPN y haga clic en Siguiente.
Si desea que el servidor VPN asigne las direcciones, le aparece la siguiente pantalla:
Haga clic en Nuevo y, a continuacin, defina un rango que contenga suficientes
direcciones de red. Valide haciendo clic en Siguiente.
Preste atencin y especifique un rango que se corresponda con su red local. Sin ello, la
comunicacin no funcionar.
En la pantalla Administrar servidores de acceso remoto mltiples, si dispone de un
servidor RADIUS marque S, en caso contrario marque No.
Aqu, marcaremos No puesto que la seguridad con RADIUS se aborda ms adelante en este
captulo.
Una vez terminado este asistente, Windows Server 2012 crea automticamente 128 puertos
para cada una de las tres tecnologas de VPN que conoce .Cada conexin requiere un puerto
nico. Para obtener una mayor seguridad, conviene deshabilitar los puertos intiles.
Una vez configurado para aceptar conexiones VPN entrantes, Windows Server 2012
bloquea automticamente todo el trfico entrante sobre la interfaz pblica que no se
corresponde con el trfico VPN.
Para modificar los paquetes autorizados (por ejemplo: para poder tomar el control sobre el
servidor por escritorio remoto):
Haga clic con el botn derecho sobre su interfaz pblica y, a continuacin, seleccione
Propiedades.
Haga clic en Filtros entrantes....
Slo falta autorizar el trfico deseado (puerto 3389 TCP por ejemplo para el escritorio
remoto).
Ahora que sabe cmo configurar Windows Server 2012 R2 como servidor de acceso
remoto, sin duda querr controlar la forma en la que se conectan los usuarios. Cuentas de
usuario, franjas horarias, grupos y muchos otros parmetros son configurables.
Con Windows Server 2012 y Windows Server 2012 R2, el rol de servidor NPS (Network
Policy Server) se instala automticamente cuando se agrega el rol de acceso remoto, a
diferencia de lo que ocurra en las versiones anteriores de Windows Server.
Lo ms prctico es que cree sus propias directivas de acceso a la red para controlar bien su
contenido. He aqu el procedimiento a seguir para crear una directiva que autoriza al grupo
Comerciales a conectarse a la red entre semana de 9h a 18h:
Haga clic con el botn derecho en la carpeta Directivas de red y, a continuacin, haga clic
en Nuevo. Especifique un nombre para su directiva. Preste atencin a elegir nombres
explcitos, de este modo si sus directivas se multiplican ganar en claridad.
La lista desplegable Tipo de servidor de acceso a la red se refiere a la tecnologa NAP
(Network Access Protection) que se ha abordado en el captulo Implementar los servicios
de red de la empresa. Aqu, slo se administra la seguridad de acceso al servidor VPN, y
dejaremos la opcin como No especificado.
Aparece, a continuacin, una pgina que le permite definir las condiciones. Haga clic en
Agregar.
A continuacin tiene la posibilidad de elegir entre una gran variedad de criterios agrupados
en siete categoras diferentes:
En este libro no se abordan con detalle todas estas condiciones, teniendo en cuenta su
elevado nmero. Podr no obstante encontrar ms detalle en la TechNet de Microsoft en la
siguiente direccin: http://technet.microsoft.com/en-us/library/cc731220.aspx
Las condiciones son acumulables, puede por ejemplo autorizar a un nico grupo de
usuarios y sobre una franja horaria muy precisa.
Una vez haya agregado las condiciones, tiene la posibilidad de Conceder acceso, de
Denegar acceso o incluso hacer que sean las propiedades de marcado del usuario las
que determinen el acceso (en este caso, son las propiedades definidas en la cuenta del
usuario las que se tienen en cuenta). En este ejemplo, seleccione Acceso concedido y, a
continuacin, haga clic en Siguiente.
Debe seleccionar al menos uno. Preste atencin, las opciones sin marcar en la siguiente
imagen representan autenticaciones poco seguras y no deberan estar marcadas en la
medida de lo posible.
Aqu, deje las opciones marcadas por defecto.
En la ltima pgina del asistente, verifique bien la informacin y haga clic en Finalizar.
Su nueva directiva aparece con una cifra asignada automticamente para el orden de
procesamiento. A continuacin puede modificar este orden haciendo clic con el botn
derecho del ratn sobre la directiva y seleccionando una de las opciones, Aumentar o
Disminuir. Esto le permite definir su prioridad y, por consiguiente, el orden en el que se va
a verificar durante la peticin de conexin.
3. Administracin de la autenticacin RADIUS
En la seccin anterior hemos visto cmo configurar una directiva de conexin para el
acceso mediante VPN gracias a la consola NPS. Si bien es posible tcnicamente, se vuelve
rpidamente difcil de gestionar cuando tiene varios servidores de acceso a la red
(servidores VPN, accesos Wi-Fi, etc.).
Los equipos cliente no son clientes RADIUS. Son los equipos a los que se conectan
(servidor VPN, punto de acceso Wi-Fi) los que lo son.
La configuracin de las directivas de acceso (horarios, usuarios, etc.) se realiza del mismo
modo que para un servidor VPN (visto anteriormente en este mismo captulo). En lo
sucesivo puede configurar su servidor NPS para que se comporte como un servidor
RADIUS o incluso como Proxy RADIUS.
Un servidor RADIUS permite realizar la autentificacin, la autenticacin y la gestin de los
clientes RADIUS. Un cliente RADIUS puede ser un servidor de acceso, tal como un
servidor de acceso remoto o un punto de acceso inalmbrico, o un proxy RADIUS.
Un proxy RADIUS asegura la distribucin de los mensajes RADIUS entre los clientes
RADIUS (servidores de acceso) y los servidores RADIUS que realizan la autenticacin de
los usuarios, su autorizacin y la gestin de cuentas durante los intentos de conexin.
Puede ser interesante utilizar un servidor proxy RADIUS en los siguientes casos:
Si quiere ofrecer una autenticacin para las cuentas que no sean miembro del
dominio del que forma parte el servidor NPS.
Si quiere ofrecer una autenticacin basada en una base de datos diferente a la de
Windows.
Si desea poder gestionar una gran cantidad de consultas de conexin. El proxy
RADIUS se comportar como un distribuidor de carga.
Si desea dotar de seguridad al acceso a su base de datos de usuarios situando un
proxy RADIUS en una DMZ.
Para que un dispositivo pueda acceder y utilizar su servidor como servidor RADIUS tendr
que haberlo autorizado previamente. Para ello, siga los siguientes pasos:
Haga clic con el botn derecho del ratn en Clientes RADIUS y seleccione Nuevo.
Basta con declarar el dispositivo dndole un Nombre descriptivo y su Direccin IP.
El Nombre del proveedor (la lista desplegable ofrece muchos actores importantes
en el mundo informtico tales como Cisco, etc.).
Un secreto compartido que configurar tambin en el dispositivo de acceso.
Declarar su servidor como Servidor proxy RADIUS es, tambin, muy sencillo. En su
consola NPS basta con:
Con DirectAccess para Windows Server 2008 R2, era obligatorio poseer una direccin IP
pblica (y, por lo tanto, dos tarjetas de red: una pblica y una privada) sobre el servidor de
acceso remoto y DirectAccess no soportaba NAT. En lo sucesivo, es posible publicar un
servidor de acceso DirectAccess que posea una nica tarjeta de red y que se encuentre
detrs de un firewall.
Escriba el nombre pblico o la direccin IPv4 que utilizan los clientes para conectarse al
servidor DirectAccess.
Haga clic en Siguiente.
Dado que esta plataforma no dispone de una infraestructura de clave pblica (PKI) el
asistente generar automticamente un certificado autofirmado para HTTPS y habilitar el
proxy Kerberos. Tambin habilitar los protocolos de traduccin NAT64 y DNS64 en el
entorno. Preste atencin, este certificado se instalar sobre las mquinas cliente para que
DirectAccess funcione.
DirectAccess est, ahora, instalado. Basta con definir los equipos autorizados para
conectarse a este servicio.
Desmarque la opcin Habilitar DirectAccess solo para equipos mviles (en un mbito
profesional, y fuera del permetro de esta maqueta, es preferible dejar esta opcin marcada).
Marque la opcin Permitir que los clientes de DirectAccess usen la resolucin local de
nombres y, a continuacin, haga clic en Finalizar.
Esta opcin permite al usuario utilizar los servidores DNS locales y, por tanto, que no todas
las consultas DNS se enven a los servidores DNS internos de la red de la empresa.
Preste atencin, si desea trabajar con esta maqueta sobre un servidor Hyper-V, tendr que
configurar las tarjetas de red del servidor DirectAccess como tarjeta heredada (o Legacy) si
encuentra problemas de flujo.
Todas las soluciones de acceso remoto deben permitir saber qu usuario se conecta y qu
acciones realiza mientras est conectado. Si bien las herramientas DirectAccess de
Windows Server 2012 no permiten tener un nivel de informacin tan detallado como el que
ofrece un servidor Forefront TMG, s permiten supervisar mejor la actividad y el uso que
las versiones anteriores de Windows Server.
Windows Server 2012 incluye una nueva consola de supervisin que proporciona
informacin til acerca de los usuarios que se conectan de manera remota. La siguiente lista
presenta la informacin que puede obtenerse en esta consola (informacin que proviene, de
hecho, de los contadores de rendimiento de Windows Server).
Nombre de usuario.
Nombre de host.
Direccin del ISP.
Protocolo/Tnel.
Duracin de la conexin.
Conclusin
Acaba de ver en este captulo que, para proporcionar un acceso remoto a sus usuarios,
tendr que configurar un servidor de acceso remoto. Cuando sus usuarios se encuentren
fuera de la empresa podrn acceder a los recursos internos utilizando bien una conexin de
tipo Dial-up, una conexin VPN, o bien DirectAccess.
Windows Server 2012 R2 sabe cmo gestionar las tres soluciones. Permite, adems,
agrupar los servidores de VPN y DirectAccess sobre el mismo servidor, lo cual presentaba
problemas en ediciones anteriores de Windows Server.
Incluye toda una serie de mejoras en el servicio de enrutamiento y en el acceso remoto que
hace el despliegue de DirectAccess lo ms sencillo posible y fcil de integrar con una
solucin VPN clsica.
Windows Server 2012 R2 tambin le permite, gracias a las nuevas directivas de acceso,
definir de forma muy precisa quin se conecta, cundo y de qu manera.
Si desea centralizar la seguridad de las conexiones de sus equipos, Windows Server 2012 le
proporciona el rol de concentrador gracias a sus funciones RADIUS.
1. Presentacin de IIS 8
a. Presentacin general
IIS 8 (Internet Information Services) es la ltima versin del servidor Web de Microsoft. Se
incluye de forma completa con Windows Server 2012, y proporciona una plataforma segura
y fcil de administrar para albergar servicios Web y aplicaciones Web enriquecidas. Con
Windows Server 2012 R2, se proporciona la versin 8.5 de la aplicacin. IIS 8 es una
plataforma Web unificada que integra IIS, ASP.NET, PHP, servicios FTP y Windows
Communication Foundation (WCF: el modelo de programacin de WCF es una capa de
abstraccin que unifica y simplifica el mecanismo de integracin de los servicios Web,
.NET Remoting, Microsoft Transaction Server y Microsoft Message Queuing).
La compatibilidad hacia atrs de IIS 8.5 permite migrar con facilidad los sitios Web
hospedados en versiones anteriores de IIS sin encontrar problema alguno.
Como con IIS 6, IIS 7 e IIS 7.5, puede instalarse en el sistema operativo cliente (Windows
8) en su versin ligera. Windows 8 y Windows Server 2012 comparten el mismo ncleo,
por lo que es sencillo desplegar aplicaciones desde su puesto de trabajo para, a
continuacin, hospedarlas en un servidor.
Observe que Windows Server 2012 y Windows Server 2012 R2 no tienen una edicin Web,
puesto que la experiencia previa con los clientes de Microsoft indicaba que preferan
utilizar una versin estndar antes que verse limitados en trminos de funcionalidades.
IIS 8.5 puede, tambin, instalarse en la versin mnima (Core) de Windows Server 2012 R2
(Windows Server 2012 ya permita instalar IIS 8 en modo Core). Como con Windows
Server 2008 R2 y a diferencia de Windows Server 2008, Windows Server 2012 y Windows
Server 2012 R2 permiten instalar .NET Framework en modo core.
b. Arquitectura heredada
Estos mdulos estn desacoplados en cinco categoras para la parte Servidor Web.
El servicio FTP (File Transfer Protocol) est separado de la parte servidor Web puesto que
se trata, en lo sucesivo, de un servicio de rol aparte. Los mdulos Servidor FTP y Consola
de administracin FTP estn asociados a l.
c. Administracin
Existe una jerarqua entre los distintos archivos de configuracin. Define una herencia de
parmetros como pasara con los permisos de seguridad NTFS. Esta jerarqua comienza por
el archivo machine.config y sigue el orden siguiente: web.config (de primer nivel),
applicationHost.config y por ltimo un archivo web.config opcional situado en la ruta del
sitio o de la carpeta virtual. De este modo, se heredan las propiedades desde el archivo
machine.config hasta el ltimo archivo web.config del rbol.
Como hemos visto antes, Windows Server 2012 y Windows Server 2012 R2 proporcionan,
respectivamente, las versiones 8 y 8.5 de IIS. Esta versin aporta un nmero de mejoras
esperadas respecto a la versin anterior, pero tambin algunas novedades.
La consola MMC IIS resulta obsoleta con Windows Server 2012. Se eliminar en las
sucesivas versiones de Windows Server.
2. Instalacin del rol Servidor Web (IIS) en modo Windows Server mnimo
a. Instalacin por defecto
Para realizar una instalacin por defecto en un servidor Windows Server 2012 R2 en modo
Core, utilice el comando PowerShell siguiente:
Install-WindowsFeature Web-Server
b. Instalacin completa
Para realizar una instalacin completa de IIS 8.5 (con todas las funcionalidades) sobre un
servidor Core Windows Server 2012 R2, utilice el siguiente comando PowerShell:
Puede verificar que el rol est bien instalado utilizando el comando Get-WindowsFeature.
Si lo ejecuta ver la lista de roles de servidor disponibles. Para cada uno de ellos ver una
indicacin Installed o Available. Para los servidores de rol instalados, se representa un sub-
rbol con el estado de la instalacin de cada servicio de rol.
3. Instalacin del rol Servidor Web (IIS) en modo grfico
A continuacin se muestran las distintas etapas a seguir para instalar el rol Servidor Web
(IIS) en modo grfico:
Marque la opcin Servidor web (IIS) como se muestra y, a continuacin, haga clic en
Siguiente.
En el cuadro de dilogo Agregar caractersticas requeridas para Servidor Web (IIS),
haga clic en Agregar caractersticas.
Haga clic en Siguiente.
Lea la descripcin del rol de Servidor Web y, a continuacin, haga clic en Siguiente.
En el ejemplo en curso, solamente utilizar las funciones bsicas de IIS. Deje marcadas las
opciones por defecto y, a continuacin, haga clic en Siguiente.
Verifique las opciones marcadas y, a continuacin, haga clic en Instalar.
Verifique que la instalacin se ha desarrollado correctamente y, a continuacin, haga clic
en Cerrar.
Para verificar que IIS 8.5 est operativo, abra Internet Explorer y, a continuacin, en la
barra de direcciones escriba la URL: http://localhost.
Por defecto la consola de administracin de IIS se conecta al servidor local. Esto le permite
cambiar la configuracin y los parmetros del servidor.
En el panel izquierdo, haga clic en el nombre de su servidor (aqu DC2012) para mostrar la
lista de funcionalidades disponibles.
La primera vez que se conecte, se abre un asistente que le permite instalar Microsoft Web
Platform. Microsoft Web Platform Installer es una herramienta gratuita que permite instalar
componentes, aplicaciones web o gestores de contenidos de manera gratuita y con un solo
clic. Puede hacer clic en S en la maqueta aunque no vayamos a utilizar esta funcionalidad
en las siguientes etapas.
Por defecto, la pgina muestra las funcionalidades agrupadas por rea. Puede cambiar esta
representacin mediante la lista desplegable ubicada en la seccin superior del panel
central. De este modo, es posible agrupar por rea (por defecto), por Categora o incluso
sin agrupar.
Desde la consola Administrador de Internet Information Services (IIS), haga clic con
el botn derecho del ratn sobre el nombre de su servidor y, a continuacin, seleccione la
opcin Agregar sitio Web (es posible realizar esta misma operacin desde otros lugares.
Por ejemplo, directamente desde el rbol de Sitios).
En este ejemplo, no informe el nombre del host y deje los parmetros del enlace por
defecto. Estos parmetros de enlace sirven para definir sobre qu puerto y/o con qu
nombre va a acceder al sitio (encontrar ms detalles en la seccin Uso de los
encabezados host de este captulo).
Una vez haya completado los campos, haga clic en Aceptar. Aparece el siguiente mensaje:
La razn por la que aparece este mensaje es porque IIS ya hospeda un sitio que utiliza el
puerto 80 en la misma direccin IP. Se trata del sitio Web por defecto. No es posible, para
una nica direccin IP y un mismo puerto, tener varios sitios Web (salvo que utilicemos
encabezados HTTP; este punto se aborda en la seccin Uso de los encabezados host de este
captulo).
Si trata de levantar el sitio Web obtendr un mensaje de error. Para confirmarlo, siga los
siguientes pasos:
En el panel izquierdo, extienda el rbol Sitios para mostrar el sitio que acaba de crear y, a
continuacin, seleccinelo.
Escriba 8080 en el campo Puerto y, a continuacin, haga clic en Aceptar para validar. A
continuacin, haga clic en Cerrar.
Este puerto se define de forma arbitraria puesto que no est siendo utilizado por los
servidores que sirven como ejemplo. Generalmente se utiliza para servidores de tipo proxy
como puerto estndar.
Tendr que mostrar algn documento en su sitio web. Para crearlo, abra el Bloc de notas y,
a continuacin, escriba el cdigo siguiente:
<HTML>
<head>
<Title>Sitio web de mi Empresa</Title>
</head>
<body>
He aqu mi primer sitio Web en IIS 8.5
</body>
</HTML>
Si bien es posible utilizar puertos de escucha distintos para cada sitio Web, en la
prctica esto no resulta una solucin viable cuando varios sitios Web estn hospedados
sobre el mismo servidor. Este problema se presenta, en particular, para los sitios Web
pblicos. Los internautas no saben en qu puerto est configurado el servicio de su sitio
Web y, por lo tanto, no es factible demandarles que indiquen el puerto concreto al que
quieren conectarse para acceder a un sitio Web en Internet.
Una de las soluciones que permiten resolver este problema de puertos consiste en
configurar varias direcciones IP sobre su servidor Web. Cada IP se asocia, a continuacin,
con un sitio nico. Si bien esta solucin puede sacarnos del apuro en un uso interno, se
convierte en una solucin muy costosa para un uso pblico (las direcciones IP fijas en
Internet representan una inversin y se proporcionan de forma limitada).
Para poder administrar de forma ptima la ubicacin de varios sitios Web, tendr que
utilizar los encabezados host. Estos encabezados permiten utilizar varios nombres de host
para una nica direccin IP. IIS escuchar las solicitudes entrantes y revisar la
informacin enviada por el navegador. En funcin del nombre de host recibido, redirigir la
consulta del navegador hacia el sitio Web correspondiente.
En el siguiente ejemplo va a configurar el sitio creado en la etapa anterior para que escuche
en la direccin www.miempresa.es.
Despliegue el rbol Sitios para mostrar el sitio creado en la etapa anterior de este captulo
(sitio Web de mi empresa).
Cada nombre de host que quiera utilizar en IIS debe existir. En un sitio Intranet, basta con
agregar registros en su zona DNS de dominio. Para un uso pblico, tendr que gestionar la
zona DNS pblica. O bien tiene acceso a una interfaz de administracin que se lo permite, o
bien solicita al administrador de su zona DNS crear los registros de acuerdo a las reglas.
Una DMZ (Demilitarized Zone) o Zona desmilitarizada es una zona de la red en la que los
usuarios de Internet pueden acceder a los servidores sin poner en peligro la seguridad de su
red local. El objetivo de esta zona es limitar la superficie de exposicin de sus redes.
Organizando los servidores de modo que aquellos que albergan aplicaciones pblicas estn
en la red perimtrica, no permitir el acceso a su red local desde Internet. De este modo,
reforzar la seguridad de su red local impidiendo la comunicacin con la misma.
Existen dos implementaciones tpicas de DMZ. La primera utiliza un firewall con tres
interfaces de red o ms (firewall multidominio).
La segunda utiliza dos firewalls. En el caso ideal, y para dotar de una mxima seguridad a
la infraestructura, es recomendable utilizar dos modelos de firewall distintos. En efecto, si
una persona malintencionada encuentra un fallo en el primero, ya tiene el trabajo
prcticamente hecho para llegar a abrir el segundo, si son idnticos.
A continuacin, slo le queda gestionar los flujos entre Internet y la DMZ, y entre la DMZ
y la LAN. En efecto, si sus servidores Web llaman a recursos de red, necesitarn un acceso
a la misma. Basta con autorizar a los servidores de la DMZ para comunicarse con la LAN
con los protocolos requeridos. A continuacin, podr restringir el acceso para mejorar la
seguridad tanto en la DMZ como en su red local.
Del lado del servidor, Windows Server 2012 configura automticamente las excepciones de
su firewall. Habiendo agregado el rol de servidor IIS, ya ha autorizado automticamente los
flujos http y HTTPS. Slo le falta gestionar los puertos abiertos en los equipos del firewall.
Desde IIS 8 para Windows Server 2012, esta maqueta se crea por pool de aplicaciones.
Ofrece, al mismo tiempo, un lmite a nivel de procesos Windows haciendo que cada cliente
se ejecute en entidades distintas y estableciendo un lmite en el uso de recursos para cada
proceso.
Para configurarlo en su sitio Web, creado en las etapas anteriores, siga los siguientes pasos:
Para restringir su campo de accin y asegurar que no ven las carpetas de otras personas,
tendr que configurar el aislamiento de usuarios.
Requisitos previos: disponer de una instalacin bsica de IIS; haber creado las cuentas
usuario1 y usuario2 en Active Directory.
Antes de pasar a la configuracin del servicio FTP, va a crear datos que permitirn
visualizar la correcta implementacin del aislamiento de usuarios.
Este comando permite dar permisos de lectura a la cuenta annima IIS sobre la carpeta
ftproot.
Cree una carpeta LocalUser en la carpeta ftproot y, en esta nueva carpeta, cree la carpeta
Public. Esta carpeta servir para almacenar el contenido que se provee a los usuarios
annimos.
Preste atencin, es importante que nombre esta carpeta con el nombre de su dominio. Si
no respeta esta condicin, el aislamiento de usuarios no funcionar correctamente y sern
incapaces de encontrar su carpeta raz.
En el panel Conexiones, haga clic con el botn derecho sobre el nombre de su servidor y, a
continuacin, seleccione Agregar sitio FTP....
En este ejemplo, configurar el servidor FTP para que no exija el protocolo SSL. En la
prctica, como utiliza una cuenta de dominio, convendr dotar de seguridad a la
autenticacin. De este modo, tendr que adquirir un certificado SSL (o entregarlo mediante
una entidad emisora de certificados) y exigir SSL de forma que la informacin est cifrada
y evitar, de este modo, cualquier intercepcin de las credenciales.
Marque la opcin Annima, en la lista Autorizacin seleccione Usuarios annimos y
marque la opcin Leer.
Las reglas de autorizacin permiten autorizar o denegar el acceso a los usuarios. Es posible
precisar si un usuario tiene permisos de escritura o, simplemente, de lectura.
Seleccione Todos los usuarios y marque las opciones Leer y Escribir y, a continuacin,
valide haciendo clic en Aceptar.
Vuelva a su sitio FTP y, a continuacin, haga doble clic en Aislamiento de usuarios FTP.
Una posible vulnerabilidad en un servidor consiste en un ataque del tipo "fuerza bruta" (un
ataque por fuerza bruta consiste en un mtodo utilizado para encontrar una contrasea o una
clave. Se trata de probar, una a una, todas las combinaciones posibles. Este mtodo de
bsqueda exhaustiva tiene xito en aquellas ocasiones en que la contrasea que se busca
est formada por pocos caracteres) mediante los servicios FTP. Partiendo del principio de
que las cuentas que utiliza FTP son, a menudo, cuentas de usuario fsicas del sistema
operativo resulta, tericamente, posible adivinar la cuenta de administrador una vez conoce
la versin del servidor FTP (por ejemplo: Administrador para un servidor Windows y root
para un servidor Linux).
Marque la opcin Habilitar restricciones de intento de (opcin que no ha sido del todo
bien traducida al castellano).
Conclusin
Acaba de ver en este captulo que para administrar sitios Internet y/o Intranet debe utilizar
el rol Servidor Web (IIS).
IIS 8 e IIS 8.5 conservan la arquitectura de su predecesor, as como las mejoras que se han
aportado en trminos de seguridad y de modularidad. Aportan, no obstante, varias mejoras
dedicadas a hospedar sitios Web y a la gestin multicliente.
Introduccin
Este captulo est dedicado a la securizacin de Windows Server 2012 R2. La seguridad se
encuentra en el ncleo de este sistema operativo, cuya implantacin ms evidente es la
instalacin llamada "mnima", de ah el nombre ingls "Core" para nombrarla. En este
captulo descubrir cmo administrar esta versin tan particular y tan til en un entorno
hostil.
Por analoga, esta instalacin mnima sigue llamndose Core, como en Windows 2008
Server y 2008 R2 Server, por parte de los usuarios.
El inters de una instalacin Core consiste en reducir la superficie de ataque, lo cual tiene
un impacto en los roles que pueden instalarse en el servidor. La aplicacin de las
actualizaciones tambin se ha visto reducida, lo que facilita el ciclo de vida del servidor.
Desde Windows Server 2008 R2, se incluye el Framework .NET en la edicin Core, lo cual
abre nuevos usos (PowerShell, sitios IIS...).
Es posible instalar los siguientes roles en un servidor Windows Server 2012 R2:
BranchCache (retransmisin).
Servidor multimedia.
Servicios WSUS (Windows Server Update Services).
2. Instalacin mnima
En esta etapa, nada indica que se trata de una instalacin mnima. Es una vez autenticados
cuando la diferencia se hace patente.
Tras el arranque, con una nica sesin abierta, se utilizan 300 MB de memoria
frente a los ms de 500 MB en una instalacin completa.
Se necesitan 6,3 GB de espacio en disco, frente a los casi 11 GB para una
instalacin completa. Windows Server 2012 R2 incluye, sistemticamente, una
particin de unos 350 MB.
Observe tambin que, con Windows Server 2012 R2, Windows Defender se instala
automticamente con la versin Core.
Con Windows Server 2012 R2, tambin es posible utilizar la consola Administrador del
servidor para administrar un servidor Core (habilitando winrm en el servidor Core
previamente).
En el modo Core, cuando se abre una sesin, se utiliza la lnea de comandos como interfaz,
y sta se abre de forma automtica. Para que PowerShell sea la lnea de comandos por
defecto en Windows Server 2012 R2, ejecute el siguiente comando en una ventana
PowerShell:
$RegPath = "Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon"
Restart-Computer
1. Sconfig
Abrir esta herramienta es tan sencillo como escribir su nombre en una ventana de
comandos: sconfig.
Habr comprendido, si tiene la suerte de poseer Windows Server 2012 R2, que no ser
necesario realizar la mayor parte de las configuraciones que siguen. No obstante, siempre
es interesante conocer los distintos mtodos que se ofrecen.
3. Parmetros regionales
Si desea modificar los parmetros regionales, puede utilizar el comando control intl.cpl.
4. Resolucin de pantalla
Tambin es posible modificar el salvapantallas por lnea de comandos. Para ello, abra el
editor regedit desde la lnea de comandos abierta en pantalla.
Con la instalacin slo est disponible la clave ScreenSaveActive. Las otras tres se crean
manualmente como "valores cadena" (REG_SZ).
Por defecto, al servidor se le asigna un nombre de mquina aleatorio, siempre con el prefijo
WIN-.
Mediante PowerShell:
Restart-Computer
7. Administracin de controladores
Pnputil -e
Para agregar e instalar controladores suplementarios, hay que utilizar los parmetros -a y -i
y precisar la carpeta donde se encuentran:
Pnputil -a -i c:\miscontroladores\*.inf
Para obtener la lista de controladores habilitados, utilice el siguiente comando (no olvide el
espacio tras el signo =):
8. Configuracin de red
El servidor utiliza, por defecto, un direccionamiento DHCP sobre todas las interfaces. Para
cambiar a un direccionamiento por IP esttica, tiene que utilizar el comando PowerShell
Set-NetIPAddress. Cada tarjeta de red posee un nmero atribuido que se utiliza en el
comando Get-NetIPInterface para determinar la tarjeta de red a la que se desea aplicar los
cambios. Para enumerar las tarjetas de red y ver los identificadores atribuidos por
Windows, ejecute el siguiente comando desde la lnea de comandos PowerShell:
Get-NetIPInterface
Donde:
Para configurar la direccin 172.16.0.2 como servidor DNS primario, ejecute el siguiente
comando:
9. Activacin de Windows
Si simplemente quiere conocer la fecha en la que expira la licencia, ejecute el script con el
parmetro /xpr.
cscript %systemroot%\System32\slmgr.vbs/xpr
Si existe esta entrada DNS, el servidor intentar conectase al puerto TCP 1688. Puede, de
este modo, indicar manualmente el nombre del servidor KMS con el parmetro -skms.
El comando netdom permite unirse a un dominio Active Directory existente. Ejecute, desde
la lnea de comandos:
El smbolo * indica que debe solicitarse la contrasea, evitando tener que escribirla en claro
en la consola.
Igual que con Windows Server 2008 R2 y Windows Server 2012, es posible unirse a un
dominio sin estar conectado a la red del dominio en ese preciso momento. El captulo
Despliegue de servidores y puestos de trabajo cubre con detalle esta operativa (seccin
Unirse al dominio sin red).
Si bien la consola Visor de eventos permite visualizar los registros de un servidor remoto,
puede gestionarlos de forma local desde el servidor Core. Es posible mostrar la lista de los
registros de eventos en la consola mediante el comando: wevtutil el
La ventana Lnea de comando, sin ser ideal para una visualizacin masiva, ni muy rpida,
puede filtrar los resultados de salida especificando el nmero de eventos que se quiere
mostrar. Por ejemplo, para mostrar nicamente los cinco ltimos eventos: wevtutil qe
System /c:5 /f:Text
Tambin es posible visualizar solamente los cinco ltimos errores agregando el parmetro
"/q:*[System[(Level=1 or Level=2)]]".
El nivel 1 se corresponde con los eventos "crticos".
El nivel 2 se corresponde con los eventos de "error".
El nivel 3 se corresponde con los eventos de "advertencia".
El nivel 4 se corresponde con los eventos de "informacin".
Administracin remota
1. Activacin del Escritorio remoto
Como con la versin completa de Windows Server 2012, el acceso remoto no est activado
por defecto. Puede verificar el estado de su activacin con el siguiente comando:
En este estado, slo los clientes que ejecuten al menos Windows Vista o Windows Server
2008 podrn conectarse. Para autorizar la conexin de clientes de versiones anteriores:
Quickconfig se encarga de agregar la excepcin sobre el firewall para que el servicio est
accesible a travs de la red.
Por defecto, WinRM utiliza el protocolo HTTP. Es posible utilizar HTTPS, con la
condicin de tener instalado un certificado vlido (que no haya expirado, y que no sea auto-
firmado). Para ello, basta con especificar el transporte HTTPS: WinRM quickconfig -
transport:https
Si desea utilizar WinRM para acceder a un servidor que no est en su dominio Active
Directory, debe utilizar un certificado SSL, o bien utilizar la lista de equipos aprobados.
Esta lista est situada del lado del cliente, y puede administrarla potencialmente mediante
una directiva de grupo, facilitando as las altas y las bajas de servidores en esta lista.
Si desea administrar localmente esta lista, puede utilizar el comando siguiente para agregar
servidores:
Ser preciso reemplazar miLista por uno o varios elementos separados por comas. Es
posible utilizar direcciones IP y nombres DNS.
WinRM est, tambin, disponible en las versiones anteriores de Windows (XP, 2003) como
componente suplementario. Puede acceder a l descargndolo de la siguiente
direccin: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=8
45289ca-16cc-4c73-8934-dd46b5ed1d33
Las dems consolas mmc pueden estar autorizadas sobre el firewall para poder utilizarse de
forma remota. He aqu una lista de los elementos que se pueden visualizar con los nombres
correspondientes en las reglas:
La instalacin Core se utiliza a menudo en un entorno hostil, de modo que es til poder
realizar al menos copias de seguridad locales del sistema. La administracin de las copias
de seguridad se realiza instalando la funcionalidad Windows Server Backup mediante
PowerShell:
Add-WindowsFeature Windows-Server-Backup
Para iniciar manualmente una copia de seguridad, es preciso utilizar el comando wbadmin.
En nuestro ejemplo, vamos a realizar una copia de seguridad del lector C:\ en la carpeta
compartida \\otroservidor\carpetascompartidas\copiasdeseguridad:
Las rutas UNC pueden utilizarse directamente como destinos de la copia de seguridad. Se
crear una carpeta llamada "WindowsImageBackup". A continuacin se crear
automticamente una carpeta con el nombre del servidor. Cualquier copia de seguridad
anterior se borrar de forma automtica. La restauracin completa puede hacerse utilizando
el DVD de instalacin (opcin restauracin).
Para obtener ms informacin acerca del uso de Windows Server Backup, consulte el
captulo El ciclo de vida de su infraestructura.
Los comandos oclist y ocsetup presentes en Windows Server 2008/2008 R2 han dado paso,
en lo sucesivo, a los comandos PowerShell Get-WindowsFeature y Add-WindowsFeature
desde Windows Server 2012. El primero enumera los roles instalados o no, y el segundo
permite instalarlos. Para eliminar un rol o una caracterstica, ser preciso utilizar el cmdlet
PowerShell Remove-WindowsFeature.
a. Roles de red
La instalacin de roles de red se limita a un simple comando. He aqu los comandos que
permiten realizar la instalacin de los distintos roles de red disponibles. Estos roles
consumen pocos recursos de sistema pero son necesarios permanentemente. Utilizar una
instalacin mnima permite dotarlos de seguridad y limitar los cortes de servicio gracias a la
reduccin del nmero de actualizaciones de seguridad a instalar.
Add-WindowsFeature DHCP
Para crear un mbito sobre el servidor DHCP que incluye el rango de direcciones
172.16.0.100 a 172.16.0.250:
Para proveer una direccin IP de la puerta de enlace por defecto y los servidores DNS en
los contratos DHCP:
El comando netsh sigue existiendo, si no quiere utilizar PowerShell. Puede consultar la lista
de argumentos utilizando el comando netsh dhcp /?. A continuacin, puede obtener la
misma sintaxis para obtener ayuda sobre un argumento. Por ejemplo: para obtener ayuda
sobre la forma de agregar un mbito: netsh dhcp server add /?
Add-WindowsFeature DNS
Puede ver todas las entradas de una zona por lnea de comandos:
Get-DnsServerZone
Windows Server 2008 R2 incluye la securizacin del DNS (DNSSEC), lo que permite
verificar que la fuente es digna de confianza para la resolucin y la transferencia de zonas.
Una infraestructura de tipo PKI permitir proteger las entradas DNS.
A diferencia de los roles de red, se proporcionan varios roles en funcin de sus necesidades.
Puede seleccionar instalar o no FRS, RFRS, DFS, SIS e incluso NFS. El captulo
Arquitectura distribuida de acceso a los recursos de este libro cubre con detalle la
administracin distribuida de recursos mediante DFS, por lo que aqu nos interesaremos por
las especificidades ligadas a la instalacin Core. Este tipo de instalacin es adecuado para
este rol, pues la disponibilidad es vital para la mayora de usuarios. Podr utilizarse una
mayor cantidad de memoria gracias al bajo perfil de consumo del sistema operativo, y la
reduccin del nmero de actualizaciones reduce los cortes del servicio.
Add-WindowsFeature FS-FileServer
Add-WindowsFeature FS-DFS-Namespace
Add-WindowsFeature FS-NFS-Service
Windows Server 2012 incluye el servicio FSRM (File Server Resource Manager) en su
edicin Core. Esto permite administrar el almacenamiento burocrtico (gestin de cuota,
bloqueo de archivos por extensin e informes sobre el consumo de espacio en disco) as
como tener en cuenta el control de acceso dinmico, que se aborda en el captulo Securizar
su arquitectura.
Add-WindowsFeature FS-Resource-Manager
Import-module servermanager
Add-WindowsFeature RSAT-FSRM-Mgmt
Basta, a continuacin, con agregar las excepciones sobre el firewall para administrar de
manera remota los recursos compartidos (sobre el servidor Core en entrada y sobre el
equipo que ejecuta el administrador del servidor):
Add-WindowsFeature Print-Services
Agregar una impresora al servidor:
Desde un equipo Windows 8 u otro Windows Server 2012 R2 que no sea la edicin Core,
abra la consola administracin de impresin. Si no se encuentra en un servidor Windows
Server 2012 R2, puede agregarla independientemente utilizando el comando:
Add-WindowsFeature RSAT-Print-Services
Add-WindowsFeature AD-Domain-Services
El rol servidor DNS se instala de manera automtica y, una vez finalizada la instalacin y la
creacin del bosque, el servidor reinicia.
Remove-WindowsFeature Wow64-Support
Es, tambin, interesante saber que existe un modo intermedio llamado Servidor con
Interfaz bsica. Este modo se sita entre los dos anteriores por el motivo siguiente: el
intrprete grfico de comandos es, en lo sucesivo, una caracterstica. Si bien la interfaz de
administracin grfica habitual (explorador de Windows, barra de herramientas, etc.) se
elimina y nos deriva a un modo Core, s tiene, en cualquier momento, la posibilidad de
abrir herramientas de gestin grfica tales como una consola MMC.
Para cambiar a este modo intermedio puede utilizar el siguiente comando PowerShell:
Uninstall-WindowsFeature Server-Gui-Shell -Restart, o bien utilizar la consola
Administrador del servidor y eliminar la caracterstica Interfaz grfica del servidor.
1. Paso del modo GUI al modo Core
Si la idea de utilizar una lnea de comandos para instalar las funcionalidades de Windows
no le agrada, o simplemente por sus aspectos prcticos prefiere instalar inicialmente su
servidor en modo grfico, configurar los distintos servicios de rol y, a continuacin, pasar a
un modo de servidor mnimo para dotarlo de seguridad, puede pasar del modo GUI al modo
Core ejecutando el siguiente comando desde una lnea de comandos Windows PowerShell
con privilegios de administrador:
Esta misma operacin puede realizarse desde la consola Administrador del servidor:
En ciertas situaciones, puede necesitar utilizar las interfaces de usuario grficas que estn
disponibles en los servidores en modo grfico. Puede pasar de un servidor en instalacin
mnima a un servidor en modo grfico realizando las siguientes etapas (debe reiniciar el
equipo).
mkdir MountDir
Ejecute:
Ejecute:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart -Source c:\mountdir\windows\winsxs
O, si prefiere utilizar Windows Update como origen, en lugar del archivo WIM, ejecute el
siguiente comando Windows PowerShell:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart
Una vez terminadas las tareas de administracin, puede volver al modo de instalacin
mnima si lo necesita (debe reiniciar el equipo) utilizando el siguiente comando Windows
PowerShell:
En las versiones anteriores de Windows, cuando un rol o una caracterstica del servidor no
estaba habilitado, los archivos binarios correspondientes se conservaban en disco, lo cual
consuma un espacio de disco innecesario. En Windows Server 2012 R2, cuando
deshabilita un rol o una caracterstica, tiene la posibilidad de eliminar completamente los
archivos correspondientes, lo que se corresponde con el estado "eliminado" (removed) en el
Administrador del servidor o "deshabilitado con eliminacin de la carga" en Dism.exe.
Para reinstalar un rol o una caracterstica que haya sido completamente eliminado, debe
utilizar los archivos fuente de instalacin.
donde:
Puede, a su vez, especificar una fuente para los servidores que son miembros del
dominio mediante una directiva de grupo. Acceda a Configuracin del equipo -
Plantillas administrativas - Sistema - Especificar parmetros para desinstalar
componentes opcionales y reparar componentes.
Ya lo conoce, a menos que no utilice las herramientas de gestin remota del servidor
(RSAT: Remote Server Administration Tools), pero puede utilizar PowerShell para
administrar su servidor de manera local. Windows PowerShell 4.0 se incluye con Windows
Server 2012 R2 y aporta un gran nmero de funcionalidades que extienden su uso,
mejorando su experiencia y permitiendo gestionar de forma mucho ms sencilla y eficaz los
entornos Windows. Entre las novedades, encontrar:
Conclusin
Gracias a todas las etapas de configuracin seguidas anteriormente, usted dispone, ahora,
de un servidor Core completamente funcional en su entorno. Se han presentado algunos de
sus uso principales, y otros, como Hyper-V, se han descrito en el captulo Consolidar sus
servidores.
Esta edicin se ha visto reforzada con, por ejemplo, la posibilidad de instalar SQL 2012
sobre un servidor Core: http://msdn.microsoft.com/en-us/library/hh231669.aspx
Las ventajas de esta instalacin mnima son reales, y la principal dificultad consiste en
acostumbrarse a su administracin cotidiana. Supone el Server Core el final de la divisin
entre la interfaz Windows y el shell de Unix?
Introduccin
Este captulo est dedicado a la solucin de virtualizacin de Microsoft, Hyper-V. A
diferencia de los productos anteriores de Microsoft sobre la materia, como Virtual Server,
la virtualizacin se ha pensado desde el diseo de un sistema operativo. Este verdadero
hipervisor est disponible de forma gratuita (sin compra de licencia Windows Server 2012
R2) con el nombre Microsoft Hyper-V Server 2012 R2 y puede descargarse del sitio de
Microsoft (http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx). En
este captulo, descubrir cmo rentabilizar la infraestructura existente y volverla ms
flexible de cara a los cambios.
Por qu consolidar?
La virtualizacin est cada vez ms extendida en las empresas. Aun as, no debera
implementarse como algo sistemtico. Antes de iniciar un proyecto de virtualizacin,
debera medir bien todas las consecuencias, as como las potenciales ventajas. Como ocurre
con muchas otras cosas, se recomienda pensar a lo grande pero comenzar dando pequeos
pasos.
Fallos de hardware.
Actualizaciones de la BIOS, firmwares, controladores.
Ciclos de amortizacin.
En efecto, las soluciones a estos problemas son conocidas y pueden gestionarse sin
problemas en base a la metodologa de trabajo actual. No obstante, siempre existe el riesgo
de que aparezca un nuevo modelo de servidor que reemplace al anterior para el que su
imagen de instalacin de Windows no contenga el controlador adecuado. La virtualizacin
le proporciona los medios para enmascarar esta administracin y as poder dedicarse
plenamente a tareas de mayor valor aadido.
Reduccin del conjunto de los costes vinculados con la sala de servidores: elctrico,
climatizacin, cableado, alquiler del suelo...
Reduccin de costes de mantenimiento, proporcional al nmero de servidores
fsicos que se ahorren.
b. Lmites de la virtualizacin
No todos los equipos son buenos candidatos para la virtualizacin. La solucin Hyper-V no
soporta, por ejemplo, el conjunto de sistemas operativos Microsoft. En el momento de
escribir este libro, se soportan las versiones siguientes:
Tipo servidor:
Tipo cliente:
Como cualquier sistema operativo instalado sobre un servidor fsico, donde es necesario
instalar controladores para reconocer el hardware, los sistemas operativos instalados en las
mquinas virtuales necesitan, a su vez, controladores que les permitan reconocer el
hardware. Todo hipervisor posee controladores virtuales. Con Microsoft Hyper-V se llaman
Servicios de integracin.
Salvo para Windows Server 2012 R2 y Windows 8.1, todos los dems sistemas operativos
necesitan que se instalen (o actualicen) los servicios de integracin. Para sistemas
operativos como SUSE Linux, OpenSUSE, Ubuntu y Oracle Linux, no se requieren estos
servicios puesto que ya estn integrados en estos sistemas, como con Windows Server 2012
R2 y Windows 8.1. Para CentOS (distinto a 5.9 y 6.4) y Red Hat (distinto a 5.9 y 6.4),
tendr que descargar e instalar los servicios de integracin 3.4:
http://www.microsoft.com/en-us/download/details.aspx?id=34603
2. Nuevas problemticas
Sera ilusorio pensar que la virtualizacin slo aporta ventajas y ningn inconveniente.
Como cualquier solucin tcnica, lo importante es dominarla para sacarle partido. Existen
dos cuestiones que precisan una atencin particular: los impactos de la consolidacin y la
copia de seguridad.
a. Entorno consolidado
Este tipo de problema puede aparecer incluso de forma insidiosa con el tiempo. Esta
lentitud en el uso tambin aparece cuando, al contrario, el resultado es bueno y el xito de
la solucin incita a instalar todava ms mquinas virtuales de las que el dimensionamiento
de la infraestructura prev.
Tambin puede asignar un peso a cada mquina virtual, permitiendo as priorizar el acceso
a los recursos disponibles que no estn reservados. Si por ejemplo dos mquinas virtuales
piden ms recursos de procesador al mismo tiempo, la que tiene un peso mayor ser
prioritaria. Puede asignar de 1 a 64 procesadores virtuales a cada mquina virtual
(dependiendo del sistema operativo hospedado), siempre que disponga de los ncleos
fsicos correspondientes. En un servidor fsico de cuatro ncleos, cada VM puede tener
como mximo cuatro procesadores lgicos. Los servidores actuales tienen por lo general al
menos dos o cuatro ncleos, lo cual resulta muy rentable en trminos de virtualizacin. Si
asigna a cada VM dos procesadores lgicos, esto permite mantener un tiempo de respuesta
correcto en una VM, incluso si un procesador lgico est consumido por completo por un
programa o un proceso. Si slo asigna un procesador lgico y un thread consume todos los
ciclos en bucle, le ser complicado incluso acceder al sistema para parar este proceso. Este
fenmeno tambin es cierto sobre una mquina fsica con un nico ncleo, pero la
virtualizacin acenta este efecto que no est presente en la mente de los usuarios que
tienen por lo general dos ncleos en sus equipos (Hyper Threading o dual core).
La copia de seguridad de una infraestructura virtual es una cuestin que merece una
atencin particular. Existen varias implementaciones posibles, y debera encontrar la que le
aporte mayor flexibilidad, limitando las restricciones y los costes asociados. Su objetivo
debera ser poder responder a sus necesidades de una forma lo ms adaptada posible al
contexto, respetando los compromisos de servicio con sus clientes.
La primera solucin tiene la ventaja de ser muy clsica, aunque tambin es seguramente la
ms costosa, pues no aporta ningn ahorro ligado a la virtualizacin. Ciertos fabricantes de
software de copia de seguridad proporcionan no obstante un precio por agente inferior
cuando se trata de mquinas virtuales.
Nos ceiremos a las soluciones de copia de seguridad que tengan en cuenta las
funcionalidades ofrecidas por la virtualizacin. Una mquina virtual puede tener varios
estados:
Encendida o Apagada.
En pausa.
Con uno o varios puntos de control (antes llamados "instantneas").
Los puntos de control (antes llamados "instantneas") permiten tomar una "foto" de la VM
en un momento dado. Para ello, Hyper-V crea un nuevo disco virtual (*.avhd) que
contendr todas las diferencias generadas tras este punto de control. Esto no constituye en
s mismo un mecanismo de copia de seguridad. El archivo maestro es indispensable para su
funcionamiento, y no puede estar fuera de la VM. Esta funcionalidad no est disponible
para los discos fsicos ligados directamente a la VM (pass-through). Para ciertos roles,
como el controlador de dominio, esta funcionalidad no est soportada por Microsoft. En
cambio, esta funcionalidad es un verdadero "must" para realizar el mantenimiento, pues
permite instalar una nueva aplicacin o las actualizaciones del sistema y poder hacer la
marcha atrs si algo no funciona. Si todo funciona correctamente, slo tendr que eliminar
el punto de control, que se fusionar automticamente con el archivo .VHD o .VHDX de su
mquina virtual. El nmero mximo de puntos de control es de 50 por mquina virtual.
Las copias de seguridad en fro son la solucin ms sencilla, aunque implican un periodo de
parada que no siempre es posible. Un reinicio del sistema operativo puede generar prdidas
de rendimiento si se utiliza una cach en memoria (SQL Server...).
Es posible que su solucin de copia de seguridad proporcione un agente para Hyper-V. Este
mecanismo utiliza la tecnologa VSS (Volume Shadowcopy Service). De este modo
obtendr copias autnomas de las mquinas virtuales, que podr copiar y conservar en una
cinta magntica. La solucin de copia de seguridad Microsoft SCDPM (System Center
Data Protection Manager) as como la solucin de copia de seguridad nativa de Windows
Server 20012 R2 son compatibles con este tipo de copia de seguridad. Para que este tipo de
solucin funcione, es necesario cumplir ciertos requisitos previos:
Si no puede realizarse una copia de seguridad en lnea, entonces se realizar una copia de
seguridad en fro del equipo. Para ello, su estado ser en copia y, una vez terminada la
copia de seguridad, la VM se situar en el estado inmediatamente anterior a la copia de
seguridad. Este tipo de copia de seguridad permite restaurar por completo una mquina
virtual, aunque no parte de la misma (como por ejemplo un archivo del disco C:\ en este
equipo). No es apropiado ejecutar una copia de seguridad o su restauracin a la vez sobre
una mquina virtual y sobre la particin raz. Puede generar conflictos si cada instancia
intenta bloquear el registro VSS.
He aqu un comando til para realizar la copia de seguridad integral de un servidor Hyper-
V as como el conjunto de sus mquinas virtuales en caliente:
3. Preparar el despliegue
a. Requisitos previos
Para poder tener el rol Hyper-V, un servidor fsico debe tener las funcionalidades de
virtualizacin (Intel-VT o AMD-V), funcionalidades de prevencin de ejecucin de datos
(DEP) y de seguridad (Intel XD o AMD NX), todas ellas habilitadas. Esto como
complemento a las instrucciones de 64 bits, imprescindibles en Windows Server 2012 R2 y
para Hyper-V en trminos generales. Hyper-V soporta hasta 320 procesadores sobre el
servidor fsico (y no 16 como era el caso con Windows Server 2008), que provengan de
ncleos fsicos o lgicos gracias a la tecnologa Hyper Threading.
Windows Server 2012 R2, edicin Estndar y Datacenter, as como Hyper-V Server 2012
R2 permiten utilizar como mximo 4 TB de memoria en el servidor host, es decir el
servidor fsico (tambin llamada particin raz) y hasta 1 TB de memoria en cada mquina
virtual.
El tamao mximo para un disco duro virtual depende de su tipo, y ser de 2040 GB para
un disco .VHD (antes esta limitacin era de 127 GB para Windows Server 2012) y de 64
TB para un disco .VHDX, formato de disco duro virtual aparecido con Windows Server
2012.
Se recomienda disponer de al menos dos tarjetas de red fsicas en el host fsico (vase ms
adelante la seccin Respetar las buenas prcticas). Cada mquina virtual de primera
generacin puede tener hasta 12 tarjetas de red virtuales (8 reales (tarjetas de red virtuales
que requieren la instalacin de servicios de integracin) + 4 emuladas), hasta 8 tarjetas de
red virtuales para mquinas de segunda generacin (pues las tarjetas de red heredadas no
estn soportadas), cada una con una direccin MAC esttica o dinmica. Para las mquinas
de primera generacin, las tarjetas de red reales estn disponibles una vez instalados los
servicios de invitado virtual y los controladores adecuados. Esto significa que no pueden
hacer boot en la red. Las tarjetas de red emuladas tienen peores rendimientos, 100 Mb/s
frente a 10 Gb/s para las tarjetas reales. Utilizan un controlador estndar que no necesita
controladores Hyper-V, aunque permiten el boot PXE. Esto acenta la importancia de
instalar nicamente sistemas operativos soportados por Hyper-V para tener una red virtual
con un buen rendimiento.
Un lector de DVD virtual puede utilizar imgenes ISO o el lector fsico del servidor en el
caso de una mquina virtual de primera generacin. Sin embargo, slo una mquina virtual
puede acceder al lector fsico al mismo tiempo. Se recomienda convertir los CD y DVD
necesarios en imgenes ISO. Adems, el uso de imgenes ISO mejora el rendimiento de
uso; en efecto, las imgenes ISO, que se almacenan en el disco duro, aprovechan una tasa
de transferencia de lectura superior. Una mquina virtual de segunda generacin utiliza,
exclusivamente, imgenes ISO.
b. Metodologa de trabajo
Microsoft proporciona de forma gratuita una herramienta que le permite preparar y acelerar
su proyecto de virtualizacin: Microsoft Assessment and Planning Toolkit. Est disponible
para su descarga en la siguiente direccin: http://www.microsoft.com/en-
us/download/details.aspx?id=7826
Crear una base de datos para el proyecto haciendo clic en Select a database.
Crear manualmente un archivo de texto que contenga la lista de los servidores que
quiera examinar para su proyecto de virtualizacin (candidatos potenciales). Por
ejemplo, el siguiente script PowerShell exporta el nombre DNS de todos los
servidores de Active Directory en el archivo miextraccion.txt:
$buscar = New-Object
DirectoryServices.DirectorySearcher("[ADSI]")
$buscar.SizeLimit = 10000
$buscar.PropertiesToLoad.Add("dNSHostName")
$buscar.Filter =
"(&(objectClass=Computer)(operatingSystem=*Serve*r*))"
$buscar.FindAll() | foreach-object
{$objet=$_.GetDirectoryEntry();$objet.dNSHostName;} >>
miextraccion.txt
Especifique una o varias cuentas con permisos de administrador local sobre los servidores
de destino.
Indique una fecha de fin para la recogida de datos. La estacin que realiza la recogida de
datos debe permanecer encendida todo el tiempo de la colecta.
A continuacin, puede generar los informes.
He aqu algunas reglas consideradas como buenas prcticas que deberan respetarse por
defecto, salvo en casos muy concretos.
Las buenas prcticas de Active Directory indican que es necesario disponer, como
mnimo, de dos controladores de dominio. Ambos controladores deberan residir en
hosts distintos.
Seleccione cmo sincronizar el tiempo. Es crucial que el conjunto del dominio
utilice la misma hora. Por defecto, Kerberos no soporta un desfase superior a los 5
minutos. Puede o bien sincronizarlos en base al reloj del hardware del servidor a
travs de los servicios de sistemas invitados virtuales, o bien sincronizarlos a travs
de la red del dominio.
Si su nico controlador de dominio es una mquina virtual en Hyper-V, la particin
raz (hipervisor) no debe unirse a este dominio. Cuando reinicie el servidor, la
particin raz buscar un controlador de dominio que no podr encontrar pues la
mquina no estar todava levantada.
Puede implementar Exchange Server 2010 o Exchange Server 2013 en una mquina virtual.
En este caso, debe observar las siguientes recomendaciones:
Para que la configuracin est soportada por Microsoft, instale el Service Pack 1
para Exchange 2010, Exchange 2013 RTM o superior.
El uso de discos virtuales de tamao dinmico est soportado nicamente con
VHDX, aunque se recomienda utilizar discos virtuales de tamao fijo.
El uso de funciones de puntos de control y diferenciales sobre los discos virtuales
no est soportado.
Install-WindowsFeature Hyper-V
Ser necesario reiniciar para que se apliquen los cambios y poder utilizar este rol.
La consola permite administrar los servidores Hyper-V as como las mquinas virtuales que
las albergan. Abra la consola Administrador de Hyper-V disponible en la pantalla de
inicio de Windows, Herramientas administrativas y, a continuacin, Administrador de
Hyper-V.
c. Configuracin de las redes virtuales
El switch virtual externo: vinculado con una tarjeta de red real sobre el host, este
tipo de switch virtual permite a las VM conectadas a l acceder a la red externa y,
por lo tanto, dialogar con el exterior. Es posible crear y asociar una tarjeta de red
virtual con un host vinculado a este tipo de switch virtual.
El switch virtual interno: este tipo de switch virtual permite realizar una
comunicacin entre las VM vinculadas a este switch, as como al host que posee,
automticamente, una tarjeta de red virtual sobre este mismo switch.
El switch virtual privado: las VM conectadas a este switch slo pueden
comunicarse entre ellas.
La tecnologa PVLAN (Private Virtual Local Area Network), que permite aislar las
mquinas virtuales sobre una misma red local privada virtual aunque se hospeden en
hosts diferentes. Resulta muy prctica para servidores hospedados en Datacenters.
La tecnologa SR-IOV, que permite a la tarjeta de red enviar directamente los
paquetes de red en el espacio de memoria de la VM, sin pasar por la particin raz.
Es necesario que la tarjeta de red del servidor fsico gestione esta funcionalidad y es
posible que haga falta instalar controladores suplementarios en la mquina virtual.
Observe que el soporte de SR-IOV para el switch virtual se define durante la
creacin de dicho switch virtual, no ser posible modificar este parmetro tras una
ruptura (salvo creando otro switch virtual).
El NIC Teaming, o agregacin de varias tarjetas de red, que se gestiona de forma
nativa en los sistemas operativos. Un switch virtual puede vincularse a un equipo
para aumentar las tasa de transferencia y la tolerancia a fallos.
Los switchs virtuales extensibles (Extensible vSwitch), que permiten agregar
extensiones al switch virtual. Algunos fabricantes de switch ya han anunciado
extensiones que permitirn soportar su tecnologa en los switchs virtuales.
Las tarjetas de red inalmbricas estn soportadas, y es posible vincularlas con un
switch virtual externo. Resultan muy tiles en la versin de Hyper-V para Windows
8/8.1.
La tecnologa Jumbo Frames para las mquinas virtuales. Esta tecnologa permite
aumentar la MTU (Maximum Transmission Unit) de 1500 (Ethernet) a 9014. La
misma cantidad de datos puede, de este modo, transmitirse con seis veces menos
intercambios de paquetes. Esto implica que todos los equipos de red soporten las
Jumbo Frames.
La tecnologa VMQ (Virtual Machine Queue), que permite a la tarjeta de red alojar,
en su propia memoria interna, un espacio dedicado a cada VM. Los datos se envan,
a continuacin, directamente sobre el puerto conectado al VMBus del switch virtual
que permiten alcanzar la VM. Una especie de pre-enrutamiento interno en la tarjeta
de red. Esto evita, tambin, tener que verificar el enrutamiento en los switch
virtuales mediante los VMQ Queue ID. El objetivo es una mejora en el rendimiento
reduciendo el nmero de operaciones en las comunicaciones de red. Es necesario,
no obstante, que la tarjeta de red del host gestione esta funcionalidad.
El TCP Offload permite descargar la gestin del trfico TCP/IP de las mquinas
virtuales sobre una tarjeta fsica del servidor. Esta descarga aumenta el rendimiento
y reduce el consumo de procesador del servidor fsico. La migracin en caliente de
VM puede aprovechar esta funcionalidad.
Hyper-V soporta una gran variedad de soluciones para el almacenamiento de las mquinas
virtuales:
Almacenamiento local del servidor (IDE/SATA/ESATA/USB/Firewire/SAS/SCSI).
Almacenamiento en una SAN (con almacenamiento en clster en modo Cluster
Shared Volumes).
Almacenamiento mediante iSCSI o FCoE.
Almacenamiento sobre una carpeta compartida de archivos.
Almacenamiento en modo pass-through.
Puede incluso almacenar las VM en una llave USB, a condicin de que tenga formato en
NTFS. Por defecto, debera utilizar discos virtuales. Existen no obstante ciertos casos
donde debera utilizar un almacenamiento en modo pass-through. Este mtodo proporciona
a la VM acceso directo a una zona de almacenamiento, como si fuera una mquina fsica.
Una de las ventajas es que se obtiene un mejor rendimiento, ligado a la ausencia de la capa
de virtualizacin. He aqu algunas consideraciones a propsito del modo pass-through:
Otra decisin que hay que tomar atae a la naturaleza de los controladores virtuales para las
mquinas virtuales. Pueden ser IDE o SCSI. El rendimiento no juega, de momento, un
papel importante cuando se instalan los servicios de sistemas invitados virtuales. Las
diferencias se centran en la volumetra, el nmero de discos virtuales asociados a la VM y
las funcionalidades propuestas (como el Shared VHDX).
Es necesario tener un controlador MPIO (multipuerto), incluso con una nica HBA.
Deshabilite el montaje automtico de volmenes.
Deje los discos en modo bsico y no dinmico.
Todos los archivos de VM deben estar en un nico volumen.
Agregue las LUN como recursos de disco al clster antes de crear las VM.
Windows Server 2012 R2 incluye los Cluster Shared Volumes, que permiten tener
varias VM por LUN, teniendo estas VM en hosts diferentes.
Si las VM estn almacenadas en modo pass-through sobre la SAN, se necesitan dos LUN,
una para el disco de inicio y otra para la configuracin.
En el momento de escribir estas lneas, slo Windows Server 2012 / 2012 R2 as como las
versiones de 64 bits de Windows 8/8.1 estn soportadas como sistema operativo invitado.
He aqu una tabla con las diferencias de hardware entre ambas generaciones de mquina
virtual.
Generacin 1 Generacin 2
BIOS
Tipo Hyper-V BIOS-Based Hyper-V UEFI
Arranque sobre IDE CD, IDE HD, tarjeta de Tarjeta de red, SCSI HD,
red heredada y disquetera SCSI CD
Memoria RAM
Mximo 1 TB 1 TB
Memoria dinmica Windows Server 2012/ 2012 Windows Server 2012/
R2, Windows 8/8.1, y algunas 2012 R2, Windows 8/8.1
distribuciones de Linux
Procesador
Nmero mximo 64 64
Controlador IDE S No
Bootable S
Nmero mximo de 2
controladores IDE
Nmero mximo de 2
perifricos por
controlador
Tipo de disco VHD, VHDX, Pass-Through
soportado
Nmero mximo de 4 (si no tiene CD)
discos
Tamao mximo por 2040 GB
disco
Tipo de CD ISO, Lector host
Nmero mximo de 4 (aunque 3, pues hace falta 1
CD HD para poder arrancar)
Controlador SCSI S S
Bootable No S
Nmero mximo de 4 4
controladores SCSI
Nmero mximo de 64 64
dispositivos por
controlador
Tipo de disco VHD, VHDX, Pass-Through VHDX, Pass-Through
soportado
Nmero mximo de 256 256 (si no tiene CD)
discos
Tamao mximo por 2040 GB en VHD o 64 TB en 64 TB
disco VHDX
Tipo de CD No soportado ISO
Nmero mximo de 256 (aunque 255, pues
CD hace falta 1 HD para
poder arrancar)
Tarjeta de red sinttica S S
Nmero mximo 8 8
Bootable No S
Tarjeta de red heredada S No
Nmero mximo 4 0
Bootable S
Adaptador Fibre
Channel
Nmero mximo 4 4
Tarjeta de vdeo 3D
RemoteFX
Nmero mximo 1 0
Puerto Com
Nmero mximo 2 0 (1 mediante cmdlets
PowerShell)
Disquetera S No
Nmero mximo 1 0
Puede conocer la generacin de una mquina virtual de varias maneras. La primera consiste
en utilizar, sencillamente, el Administrador de Hyper-V y consultar el valor del campo
Generacin presente en el panel de informacin de una mquina virtual.
Una segunda forma de verificar la generacin de una mquina virtual consiste en editar sus
propiedades. En efecto, si observa la presencia de controladores IDE, se trata de una
mquina virtual de generacin 1. La ausencia de controladores IDE pone de manifiesto una
mquina virtual de generacin 2 .Otra forma de conocer la generacin de una mquina
virtual consiste en utilizar el cmdlet de PowerShell Get-VM con una visualizacin de tipo
lista:
Este comando crear, simplemente, una mquina virtual de primera generacin con el
mnimo imprescindible: 1 procesador y 512 MB de memoria RAM, sin ningn disco duro y
con una tarjeta de red real no conectada.
Este comando crear una mquina virtual de generacin 2 con el mnimo vital, 1
procesador, 512 MB de memoria, aunque sin disco y una tarjeta de red sinttica no
conectada.
Observe que no podr cambiar la generacin de la mquina virtual una vez creada.
Para acceder a la configuracin de la mquina virtual, en el Administrador de Hyper-V,
basta con hacer clic con el botn derecho sobre la mquina virtual y seleccionar
Configuracin en el men contextual.
a. Dynamic Memory
Una vez finalice el proceso intensivo en memoria, sta se libera si alguna otra mquina
virtual la solicita o tiene necesidad de ella.
La memoria se considera, de este modo, como un recurso compartido entre las mquinas
virtuales. Su asignacin ya no requiere una parada de la mquina virtual para que se tenga
en cuenta la nueva capacidad de memoria.
b. Resource Metering
Windows Server 2012 R2 le permite, ahora, redimensionar sus discos duros virtuales en
caliente, lo que permite evitar tener que reiniciar la mquina virtual para realizar este tipo
de mantenimiento en el servidor.
El nico requisito previo es que sus discos duros virtuales tengan el formato VHDX, que
estn conectados a un controlador SCSI, y que el sistema operativo alojado lo soporte.
Le bastar con utilizar el Asistente para editar discos duros virtuales, mediante el
Administrador de Hyper-V, para extender el disco duro virtual. Es, tambin, posible
realizar esta accin mediante el cmdlet PowerShell Resize-VHD.
Para terminar, bastar con utilizar el espacio que acaba de configurar, mediante el
Administrador de discos en su mquina virtual, siempre que la manipulacin haya
consistido en extender el disco y no en reducirlo.
Puede llegar a ocurrir, en algunos sistemas operativos, que no se analicen bien los discos
disponibles y se muestren las modificaciones, como ocurre con algunas distribuciones de
Linux, por ejemplo.
Por ejemplo, en el caso de una mutualizacin de los recursos, como con un servidor host,
puede resultar prctico limitar los recursos de uso de disco. Otro ejemplo, si tiene una
aplicacin que requiere una gran tasa de lectura/escritura en disco (como una base de datos
SQL), puede querer asignar un mnimo de E/S sobre el disco donde se almacenan los datos.
De este modo, la aplicacin tendr, en cualquier caso, una tasa de acceso a disco
garantizada.
Para configurar la calidad de servicio para un disco virtual, acceda a las Propieades de la
mquina virtual y, a continuacin, en el disco duro afectado, haga clic en el sigo "+" y en
Caractersticas avanzadas.
Hasta Windows Server 2012, en este tipo de casos, tena que activar sus mquinas virtuales
mediante la clave de licencia del host "Datacenter", dentro de sus mquinas virtuales, para
activarlas. Qu ocurra con Live Migration? Cmo era posible gestionar varias mquinas
virtuales alojadas en otro host? Adems, la activacin del sistema operativo invitado tena
que realizarse bien manualmente (por Internet o por telfono), o bien gracias a un servidor
KMS, o incluso, desde Windows Server 2012, mediante la funcionalidad de activacin
basada en Active Directory (ADBA, Active Directory-Based Activation).
Con Windows Server 2012 R2 Datacenter, si el servidor host est activado, las mquinas
virtuales que contiene se activarn automticamente gracias al hipervisor, mediante el
VMBus, incluso aunque no formen parte del dominio o no tengan ninguna conexin a
Internet.
Para implementar esta funcionalidad, basta con que el host sea un servidor Windows Server
2012 R2 "activado" (mediante una clave KMS o ADBA, Open Licence u OEM), y que el
sistema operativo de la mquina virtual sea Windows Server 2012 R2 (Datacenter,
Standard o incluso Essentials) con una clave AVMA. Las claves AVMA son pblicas y
estn disponibles en la direccin: http://technet.microsoft.com/en-us/library/dn303421.aspx
La mquina virtual se activar automticamente por una duracin de 7 das, tras los que la
mquina virtual validar automticamente su activacin por otros 7 das. Ocurrir de este
modo mientras la mquina virtual resida sobre un host Windows Server 2012 R2
DataCenter.
Observe que es posible utilizar una clave AVMA en un archivo de respuesta de instalacin
de Windows o en las plantillas de mquinas virtuales con SCVMM o SCCM.
Windows Server 2012 R2 incluye la posibilidad de exportar una mquina virtual, o uno de
sus puntos de control, en caliente sin tener que detener la mquina virtual. Esto permite
duplicar la mquina virtual para realizar pruebas, sin tener que detener el servidor de
produccin, o incluso probar la migracin de mquinas virtuales entre la Cloud privada y la
Cloud interna, siempre sin detener los servidores de mquinas virtuales de produccin.
Adems, cualquier exportacin de una mquina virtual que est en funcionamiento
exportar su estado de memoria.
Con las versiones anteriores de Windows Server e Hyper-V Server (versiones 2008 a
2012), VM Connect utilizaba una redireccin bsica de pantalla, teclado y ratn cuando se
conectaba a una mquina virtual.
Esto permite disponer de todas las ventajas del protocolo RDP (redireccin de lectores,
impresoras), pero obliga a la mquina virtual a tener conectividad de red. Otra
posibilidad consiste en compartir una carpeta entre el host y la mquina virtual mediante un
vswitch de tipo externo (el host y la mquina virtual pueden comunicarse mediante un
vswitch externo, pues el host posee una tarjeta de red virtual).
Con Windows Server 2012 R2 y Windows 8.1, Microsoft incluye una funcionalidad
avanzada al cliente de conexin a un equipo virtual Hyper-V (vmconnect.exe) para que
soporte, de forma nativa, el protocolo RDP sobre el VMbus de Hyper-V. Como resultado,
cuando se habilita esta funcionalidad (lo cual se aborda ms adelante), se tiene una
conexin de tipo RDP con la mquina virtual. Esta conexin permite obtener las mismas
ventajas que una conexin RDP:
Resulta muy sencillo compartir datos entre el cliente y la mquina virtual, incluso sin una
conexin de red. Observe, no obstante, que slo los hosts Windows Server 2012 R2,
Hyper-V Server 2012 R2 y Windows 8.1 soportan esta mejora. En el momento de escribir
estas lneas, los nicos sistemas operativos invitados que soportan esta funcionalidad son
Windows Server 2012 R2 (todas las versiones) y Windows 8.1 (tambin todas las
versiones). Adems, deben disponer del servicio Servicios de Escritorio remoto iniciado y
la cuenta de usuario que se utiliza para conectarse a la mquina virtual debe formar parte
del grupo Usuarios de Escritorio remoto o Administradores locales en la mquina
virtual.
Para terminar, sepa que no necesita comprar una licencia de acceso a los Servicios de
Escritorio remoto (RDS CAL, Remote Desktop Services Client Access License). En efecto,
Microsoft incluye este tipo de conexiones directamente en el contrato de licencia de
Windows Server 2012 R2 y Windows 8.1, con una nica conexin por mquina virtual.
He aqu los pasos a seguir para activar esta funcionalidad en el servidor host:
Mediante PowerShell:
Slo queda conectarse a una mquina virtual, con un sistema operativo Windows
Server 2012 R2 o Windows 8.1, mediante el Administrador de Hyper-V de Windows
Server 2012 R2 o el cliente Hyper-V de Windows 8.1 (o mediante el comando
vmconnect.exe de estas mismas versiones de sistemas operativos). Se abrir una nueva
ventana de conexin que le proporcionar la opcin de ajustar la resolucin de pantalla, as
como la posibilidad de utilizar todas las pantallas disponibles.
Haciendo clic en Mostrar (opciones avanzadas) en la esquina inferior izquierda, accede a
las opciones de redireccin de recursos, similares a las del protocolo RDP.
En la seccin Recursos locales, observar que la impresora principal del equipo cliente se
ha redirigido hacia la mquina virtual, as como el recurso compartido del portapapeles.
Haciendo clic en el botn Ms. tendr la posibilidad de redirigir las unidades locales as
como los dispositivos USB y Plug-and-Play. En este ejemplo, hemos optado por hacer
disponible el lector E:\ de nuestro equipo cliente en la mquina virtual.
Una vez conectado a la mquina virtual, encontrar el lector presente en el explorador de
Windows.
Windows Server 2012 R2 soporta Live Migration entre hosts Windows Server 2012/2012
R2 as como Microsoft Hyper-V 2012/2012 R2. Windows Server 2008/2008 R2 o
Microsoft Hyper-V Server 2008/2008 R2 no estn soportados para Live Migration con
Windows Server 2012 R2. Windows Server 2012 R2 incluye una optimizacin de
rendimiento tras la migracin de una mquina virtual optimizando el desplazamiento de la
memoria de la mquina virtual.
La primera posibilidad, TCP/IP, copiar los archivos de memoria virtual directamente sobre
la red a travs de una conexin TCP/IP.
La ltima posibilidad permite copiar archivos de memoria virtual sobre la red mediante una
conexin SMB 3.0. Se utiliza SMB Direct si las funcionalidades de acceso directo a la
memoria remota (RDMA, Remote Direct Access Memory) estn habilitadas en las tarjetas
de red de origen y de destino. Esto permite obtener cieta mejora en la rapidez de hasta x10,
frente al x2 que se alcanza con una compresin sencilla mediante la opcin SMB
Multichannel incluido en SMB 3.0.
El principio de funcionamiento de una migracin requiere varias etapas:
Creacin de la VM en el destino.
Copia de las pginas de memoria desde el origen hasta el destino. Las pginas
modificadas durante la transferencia se envan de nuevo (se marcan como "dirty"),
hasta 10 veces.
La mquina virtual se pone en pausa en el origen.
El acceso al almacenamiento (el disco virtual de la VM) se asigna al servidor de
destino.
La mquina virtual se pone en funcionamiento de nuevo.
Las LUN pueden, tambin, cambiar su propietario sin interrupcin, puesto que los
descriptores son persistentes.
Los servidores de origen y de destino deben utilizar procesadores del mismo fabricante. Si
los modelos de procesador no son estrictamente idnticos, Hyper-V puede enmascarar las
funciones que no sean comunes al conjunto de la plataforma. La opcin Migrar a un
equipo fsico con una versin de procesador distinta lo permite. Esta opcin debe
configurarse en la configuracin del procesador de la mquina virtual que se desea migrar.
b. Rplicas Hyper-V
Las Rplicas Hyper-V, incluidas con Windows Server 2012 e Hyper-V Server 2012,
permiten realizar una replicacin sncrona de las mquinas virtuales entre dos servidores
host Hyper-V en el marco de un plan de recuperacin de actividad. Esto permite, si
ocurriera algn incidente importante en el sitio principal, y gracias a la infraestructura
virtual replicada en el sitio secundario, retomar la carga de trabajo con una interrupcin
mnima del servicio.
Las Rplicas Hyper-V son independientes del hardware. La infraestructura del servidor
fsico no tiene por qu ser idntico en el sitio secundario, aunque el espacio de
almacenamiento del sitio secundario debe ser, al menos, equivalente al del sitio principal, y
tener un ancho de banda de red adecuado para soportar el trfico ligado a la replicacin.
Un servidor host que se comporte como servidor de rplica puede sincronizar las VM que
provengan de varios sitios primarios, y puede replicar una mquina virtual recibida en un
servidor primario hacia un servidor secundario de rplica una vez terminada la replicacin
inicial (Tiers Replica).
La configuracin de las Rplicas Hyper-V se realiza en dos etapas, aunque es muy sencilla.
La primera etapa consiste en configurar los servidores para que acepten la replicacin. Para
ello, mediante el Administrador de Hyper-V, acceda a las propiedades del servidor y vaya
a la seccin Configuracin de la replicacin. Observe que es preciso configurar todos los
servidores Hyper-V que participan en la rplica
Es posible utilizar el protocolo HTTP con autenticacin Kerberos o HTTPS con
autenticacin basada en certificados. El primer mtodo, la combinacin de HTTP/Kerberos,
puede utilizarse entre servidores Hyper-V del mismo dominio o de dominios relacionados.
Observe que esta combinacin HTTP/Kerberos no encripta los datos, de modo que slo
debe utilizarse en una red de rea local, una red extendida dedicada y dotada de seguridad o
bien ser preciso encriptarla mediante IPsec. El segundo mtodo, la combinacin de
HTTPS/Certificado para una replicacin entre el servidor Hyper-V de dominio no aprobado
o en workgroup.
Si quiere utilizar HTTPS, tendr que utilizar un certificado vlido que debe tener el atributo
de uso mejorado de la clave (EKU) de autenticacin de cliente y servidor con clave privada,
el nombre FQDN del servidor debe estar presente como nombre principal o nombre
alternativo. Adems, el certificado de la entidad emisora de certificados debe ser conocido
y vlido.
Si el firewall de Windows est habilitado, tendr que activas las reglas Escucha HTTP de
rplica de Hyper-V (TCP de entrada) y/o Escucha HTTP de rplica de Hyper-V (TCP de
entrada) en el firewall con opciones de seguridad avanzadas. Adems, si replica las
mquinas virtuales hacia o desde el exterior de su red piense en abrir, y redirigir, el puerto
HTTPS (TCP 443) de su firewall.
La segunda etapa consiste en habilitar la replicacin en las mquinas virtuales afectadas.
Desde el Administrador de Hyper-V, haga clic con el botn derecho en la mquina virtual
y seleccione la opcin Habilitar replicacin en el men contextual.
Una vez realizada la sincronizacin inicial, se realiza una replicacin continua asncrona
para replicar las modificaciones de la VM. Esta replicacin tiene lugar, por defecto, cada 5
minutos y este valor puede modificarse entre tres valores: 30 segundos, 5 minutos o 15
minutos.
Para poder utilizar un disco virtual compartido, conviene, en primer lugar, crear un clster
de servidores Hyper-V, con Windows Server 2012 R2 o Hyper-V Server 2012 R2, con un
almacenamiento CSV o SoFS. Para ello, consulte el captulo que trata sobre la Alta
disponibilidad.
Una vez instalado el clster, tendr que crear un disco duro virtual, con formato VHDX y
almacenado en CSV o SoFS, y asociar las mquinas virtuales correspondientes. La creacin
del disco duro virtual es sencilla:
Un disco duro virtual de diferenciacin requiere la presencia de un disco duro virtual padre
que sirva como base, y contiene todas las diferencias que posea con su padre. Del mismo
modo que un disco AVHDX necesita un punto de control.
Tan slo queda asociar este disco virtual a las mquinas virtuales a las que est destinado, y
habilitar el recurso compartido. Para ello, mediante el Administrador de Hyper-V, edite los
parmetros de una de las mquinas virtuales y agregue el disco creado al controlador SCSI.
Haga clic en el pequeo icono "+" correspondiente al disco agregado y seleccione
Caractersticas avanzadas.
Marque la opcin Activar uso compartido de discos duros virtuales y, a continuacin,
haga clic en Aplicar y Aceptar.
Puede, tambin, crear un disco compartido con PowerShell mediante el cmdlet ADD-
VMHardDiskDrive:
Slo queda asociar, del mismo modo, su disco duro compartido a otras mquinas virtuales,
y crear un clster compuesto de sus mquinas virtuales, por ejemplo.
5. SCVMM 2012 R2
SCVMM 2012 R2 (System Center Virtual Machine Manager) es necesario para administrar
los servidores Hyper-V con Windows Server 2012 R2. La instalacin del mdulo
complementario SCVMM 2012 R2 es muy sencilla y rpida de realizar. No cabe, por lo
tanto, sobrevalorar su aporte funcional en la administracin de la infraestructura. No
obstante, tendr que instalar previamente Windows ADK 8.1 (Windows Assessment and
Deployment Kit), puesto que es un requisito previo indispensable.
No obstante, no es posible instalarlo sobre una edicin Core. Las nicas opciones reales que
tiene durante la instalacin son las relativas a la base de datos de SCVMM 2012 R2 y las
cuentas sobre las que se ejecutar el servicio SCVMM. Ya no es posible utilizar un motor
SQL Express 2008/2008 R2/2012, sino que tendr que utilizar, obligatoriamente, un
servidor SQL 2008 R2 SP2 o 2012:
Tiene dos posibilidades para administrar su entorno virtual con SCVMM 2012 R2:
Declarar los servidores Hyper-V que quiere administrar (al menos uno).
Declarar las redes virtuales.
Crear las plantillas de los perfiles para las mquinas virtuales.
Agregar las imgenes ISO a la biblioteca.
Crear plantillas de discos duros virtuales.
La declaracin de redes virtuales se realiza desde las propiedades del servidor virtual:
Tras una actualizacin de la biblioteca, Virtual Machine Manager indexa los archivos
registrados en las carpetas compartidas de la biblioteca, y a continuacin actualiza la vista
Biblioteca y la lista de recursos. No todos los archivos estn indexados y no todos los
archivos aparecen en la vista Biblioteca. El contenido de la biblioteca se refresca
automticamente por defecto cada hora. El tipo de contenido que se indexa es el siguiente:
discos duros virtuales: .vhdx y .vhd (Hyper-V, Virtual Server), .vmdk (VMware).
disquetes virtuales: .vfd (Virtual Server), .flp (VMware).
Imgenes ISO: .ISO.
archivos de respuesta: .ps1 (Windows PowerShell); .inf o .xml.
plantillas VMware: .vmtx.
$Credential = get-credential
Este conjunto de criterios se utiliza a continuacin para sugerir el lugar donde almacenar y
desplazar las mquinas virtuales a travs de una configuracin en estrella.
6. Actualizaciones de Windows
Introduccin
Este captulo est dedicado al despliegue de servidores y puestos de trabajo. Contar con una
plantilla de instalacin automatizada supone una ganancia importante en la productividad y
en la calidad. La instalacin de servidores tiene poco valor aadido aunque debe hacerse
siempre de la misma forma, con las mismas versiones de componentes, para tener
coherencia entre todos los sistemas. Un despliegue comprende como mnimo el sistema
operativo, pero tambin generalmente el conjunto de controladores, herramientas del
sistema, o incluso el conjunto de aplicaciones necesarias.
La automatizacin de este proceso cobra mayor sentido con la virtualizacin, y los entornos
"a la carta". La preparacin de este despliegue es un aspecto muy importante para el xito
de su proyecto. La tecnologa no supone ningn inconveniente, no hay ningn motivo para
no usarla!
1. Definir el permetro
Como en todo proyecto, el permetro es aqu un elemento clave. Debera definir lo que es
"obligatorio" y lo que es "opcional". Para llevar a cabo esta reflexin, he aqu una lista de
elementos que pueden integrarse en su proyecto:
La respuesta a esta lista de preguntas cubre gran parte del permetro. Las decisiones que
ms impactarn al proyecto de despliegue son:
el uso de SCCM 2012 SP1 o SCCM 2012 R2, que permiten realizar un despliegue
"zero touch";
la integracin de aplicaciones en la imagen;
la eleccin del modo de transporte para el despliegue (red u otro).
Presentado con Windows Vista y Windows Server 2008, Windows 8.1 y Windows
Server 2012 R2 pueden utilizar el servicio de administracin de licencias por volumen:
KMS (Key Management Service) para la activacin de Windows. Se trata de un servicio de
infraestructura que debe implantar en su red para administrar las licencias de sus servidores
y puestos de trabajo. Si no implementa este servicio, cada equipo tendr que conectarse de
forma individual a Microsoft a travs de Internet para activarse. La activacin mediante del
servicio KMS permite no tener que conectarse a Microsoft para activar Windows, y esta
activacin es vlida por 6 meses. Pasado este periodo, el sistema tiene que activarse de
nuevo por un periodo de 180 meses ms conectndose a su red. KMS puede implementarse
a partir de 25 licencias Windows 8.1 o 5 licencias Windows Server 2012 R2. El servicio
KMS puede, tambin, activar Microsoft Office 2010 y 2013.
La instalacin de KMS es tan sencilla como introducir la clave KMS, pues el servicio de
Windows asociado ya est instalado y activo por defecto (se trata del Servicio de licencias
de software):
A continuacin, el servidor debe validar esta clave con Microsoft. Este proceso tiene lugar
una sola vez cada vez que se agrega una clave. Si el servidor tiene acceso a Internet:
Para detectar el servidor KMS, Windows utiliza el DNS, un recurso SRV en particular. Si
las actualizaciones dinmicas de DNS estn autorizadas, el servicio crea automticamente
los registros DNS adecuados. Si su entorno no las autoriza, podr configurar KMS para que
deje de intentar crear el registro SRV ejecutando el comando:
El recurso SRV puede crearse de forma manual con los siguientes parmetros:
Servicio: _VLMCS
Protocolo: _TCP
Puerto: 1688
Host que ofrece el servicio: FQDN del host
Si el servicio DNS no est disponible desde el cliente, podr especificar de forma manual la
direccin IP del servidor KMS que desee utilizar mediante el comando:
Si existe un firewall entre los equipos a activar y el servidor KMS, el puerto TCP 1688 (por
defecto) tiene que estar abierto (del lado cliente nicamente).
Si desea cambiar el puerto TCP es preciso modificar la siguiente clave tanto en el servidor
KMS como en los clientes:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL
Nombre: KeyManagementServicePort
Tipo: REG_SZ
Valor: XXXX (valor que representa el nuevo puerto de escucha TCP).
Para conocer el nmero de licencias que actualmente se estn utilizando en su KMS, puede
ejecutar el siguiente comando:
Si no desea utilizar KMS sino que prefiere activar de forma masiva sus sistemas Windows,
puede utilizar VAMT (Volume Activation Management Tool). Puede descargar esta
herramienta desde MDT 2012, en el nodo Componentes.
El primer motivo es que la interfaz grfica puede, ahora, instalarse o desinstalarse con total
sencillez. Se ha convertido en una caracterstica ms. Ya no hay, por lo tanto, necesidad de
tener una imagen particular para una instalacin mnima.
Existe, en resumen, una menor cantidad de imgenes que gestionar, lo cual supone una
buena noticia.
Microsoft pone a su disposicin de forma gratuita una herramienta que le permitir acelerar
su proyecto de despliegue, MDT 2013. ste soporta Windows 7 y Windows Server 2012
R2, gracias a WADK para Windows 8.1. MDT 2013 soporta, tambin, Office 2010, Office
365 y Zero-Touch Integratio (ZTI) con System Center 2012 R2. Observe que MDT 2013
no permite instalar Windows XP, Windows Vista, Windows Server 2003/2003 R2 o
incluso Windows Server 2008, para trabajar con estos sistemas operativos tendr que
utilizar MDT 2012 SP1 CU2 con WADK para Windows 8 o WAIK para Windows 7.
MDT utiliza varios componentes, como WADK para Windows 8.1 (Windows Assessment
and Deployment Kit), que soporta desde Windows 7 SP1 y Windows Server 2008 R2 hasta
Windows 8.1 y Windows Server 2012 R2. WADK para Windows 8.1 necesita,
obligatoriamente, MDT 2013 para funcionar. Est disponible en la siguiente direccin:
http://www.microsoft.com/es-es/download/details.aspx?id=39982
He aqu una lista no exhaustiva de las herramientas que contienen WAIK y WADK:
User State Migration Tool (USMT): esta herramienta permite migrar datos de un
perfil de usuario a otro.
Application Compatibility Toolkit (ACT): aplicacin que permite detectar
eventuales problemas de compatibilidad de sus aplicaciones y drivers antes de
realizar una actualizacin de Windows.
Volume Activation Management Tool (VAMT): herramienta que permite
gestionar y centralizar la activacin de Windows en la red.
Herramientas de modificacin de imagen: ImageX, que permite capturar y aplicar
las imgenes WIM, DISM, que permite modificar una imagen WIM...
Windows Preinstallation Environment (Windows PE): ofrece un entorno
personalizable de instalacin de Windows.
Una vez instalado WADK, el rbol Deployment Shares permite crear un espacio de
trabajo. Para ello, basta con hacer clic con el botn derecho, seleccionar la opcin New
Deployment Share. La ubicacin seleccionada debe tener suficiente espacio para contener
las fuentes y las imgenes generadas.
A continuacin, podemos alimentar cada mdulo de este espacio de trabajo:
Es muy sencillo agregar sistemas operativos. Una vez importado el CD o DVD, aparecer
de la siguiente manera:
Observe que la lista comprende a la vez Windows Server 2012 R2 y Windows 8.1. MDT
2013 tambin permite desplegar Windows Server 2008 R2, Windows Server 2012 R2,
Windows 8 y Windows 7.
Una vez creada, hay que abrir las propiedades de la secuencia, en la pestaa Task
Sequence, para descubrir toda la capacidad real de las secuencias:
Las opciones estn agrupadas por temtica:
General
Discos
Particionar y formatear un disco.
Activar BitLocker.
Crear discos virtuales VHD.
Imgenes
Configuracin
Roles
{Nmero de secuencia}
La solucin Lite Touch le permite industrializar el despliegue sin tener que disponer de la
infraestructura de gestin de Microsoft, System Center Configuration Manager 2012 R2. La
solucin es sencilla de implantar pero mantiene su eficacia, pues utiliza el motor de
secuencia de esta ltima en versin autnoma. El despliegue debe iniciarse de forma
manual, pero se le guiar mediante pantallas grficas para llevarlo a cabo.
Ms all del uso de una imagen ISO como se ha visto anteriormente, es posible realizar el
despliegue a travs de la red utilizando WDS (cuya instalacin se cubre ms adelante). A
continuacin, debe especificar en CustomSettings.ini la variable
DeployRoot=\\%WDSServer%\DeploymentShare$, en la seccin [Default].
Antes de desplegar una imagen se plantean varias preguntas a travs de la interfaz grfica.
Es posible aumentar la automatizacin, evitndolas. Para ello tendr que proporcionar la
respuesta a estas preguntas en el archivo CustomSettings.ini. He aqu las etapas que
pueden evitarse si las siguientes variables se informan a YES (en maysculas) en el archivo
CustomSettings.ini, seccin [Default]. A cada pantalla le corresponde una variable para
omitirla y una o varias variables para informar los datos solicitados por pantalla:
Si desea realizar una copia de seguridad sobre la red, es preciso utilizar estas dos variables:
BackupShare=\\DC2012\Backup$
BackupDir=%ComputerName%
Para que funcione la copia de seguridad, es preciso asignar los siguientes permisos en el
recurso compartido utilizado:
MachineObjectOU=OU=Mis_Servidores,DC=miempresa,DC=priv
DomainAdmin=Administrador
DomainAdminDomain=MIEMPRESA
DomainAdminPassword=contraseacompleja
Dado que la contrasea se almacena sin encriptar, debera utilizar una cuenta que slo tenga
permisos para incluir equipos en el dominio.
Automatizar mediante:
UserLocale=es-ES y UILanguage=es-ES
UDShare=\\DC2012\Profiles$
UDDir=%ComputerName%
Por ltimo, para informa la cuenta que se utilizar para acceder al recurso compartido que
contiene los recursos MDT:
USERID=Administrador
UserPassword=contraseacompleja
UserDomain=MIEMPRESA
[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y
SkipBDDWelcome= YES
SkipCapture=YES
SkipAppsOnUpgrade=YES
SkipFinalSummary=YES
SkipPackageDisplay= YES
SkipProductKey=YES
SkipSummary=YES
USERID=Administrador
UserPassword=contraseacompleja
UserDomain=MIEMPRESA
SkipComputerBackup=YES
ComputerBackupLocation= NONE
SkipAdminPassword=YES
AdminPassword=micontraseadeadministradorlocal
SkipApplications=YES
Applications001={73823faf-bb78-4491-a053-b47afb5553c4}
SkipTaskSequence=YES
TaskSequenceID= 001
SkipComputerName=YES
ComputerName=%SerialNumber%
SkipDeploymentType=YES
DeploymentType=NEWCOMPUTER
SkipDomainMembership=YES
JoinDomain=MIEMPRESA
MachineObjectOU=OU=Mis_Servidores,DC=miempresa,DC=priv
DomainAdmin=Administrador
DomainAdminDomain=MIEMPRESA
DomainAdminPassword=contraseacompleja
SkipLocaleSelection=YES
KeyboardLocale=es-ES
UserLocale=es-ES
UILanguage=es-ES
SkipTimeZone=YES
TimeZoneName=Romance Standard Time"
SkipUserData=YES
UserDataLocation=NONE
DeployRoot=\\DC2012\DeploymentShare$
Por defecto, la mquina intentar conectarse a los servidores Microsoft Windows Update en
Internet. Si tiene un servidor WSUS, puede indicrselo a MDT agregando la variable
WSUSServer=http://miservidor en el archivo Custom- Settings.ini. Si especifica un
servidor WSUS pero el cliente no est actualizado, MDT intentar descargarlo desde
Internet.
Slo queda activar las dos etapas de Windows Update en la secuencia (Pre y Post), pues
estn desactivadas por defecto:
Otro enfoque consiste en desplegar totalmente un equipo, configurarlo completamente
instalando por ejemplo las aplicaciones y las actualizaciones, y a continuacin capturarlo
con Lite Touch. sta ser su imagen de referencia, que le bastar para desplegar haciendo
un sysprep. Sysprep permite hacer nico un equipo, en lo que respecta a su nombre y su
SID (Security IDentifier). Por este motivo no puede asociarlo a un dominio Active
Directory durante la fase de captura. La fase de sysprep se incluye automticamente en
MDT (fase Copy sysprep files). Un aspecto que requiere especial atencin durante una
captura con Lite Touch es el uso del antivirus, que puede presentar problemas.
MDT ofrece la posibilidad de inventariar todas las mquinas desplegadas en una base de
datos SQL Server. Si lo desea, puede utilizar una base de datos SQL Express 2012. Esta
versin de SQL Server es gratuita y basta para cubrir esta necesidad. Puede
descargarla desde la pgina Web de Microsoft: http://www.microsoft.com/es-
es/download/details.aspx?id=29062
3. WDS
La instalacin del rol WDS es muy sencilla. Como requisito previo debe disponer de los
servicios DNS y DHCP sobre la red, as como una particin NTFS para el almacenamiento.
Para instalar el rol puede utilizar el Administrador del servidor o hacerlo directamente
mediante el cmdlet PowerShell siguiente:
Una vez instalado el rol, puede gestionar WDS mediante PowerShell o mediante la interfaz
de gestin que se encuentra en el men de inicio de Windows, Servicios de
implementacin de Windows. Despliegue el rbol hasta llegar a su servidor y seleccione
Configurar el servidor. Seleccione, a continuacin, una carpeta para almacenar las
imgenes (%systemdrive%\RemoteInstall, por defecto). El volumen de esta carpeta
puede llegar a ser importante, y aparece una alerta si se est utilizando la particin de
sistema. Si es necesario, es posible reducir en caliente el volumen desde el administrador de
discos, para disponer de un lector dedicado a este almacenamiento.
WDS puede restringirse para responder nicamente a clientes conocidos. Para que un
cliente sea conocido, es preciso que est incluido en el Active Directory previamente, o que
se haya creado un objeto equipo manualmente en Active Directory con el identificador
correcto. El identificador utilizado se visualiza durante el arranque del equipo cliente, en el
momento de la bsqueda de PXE (GUID). Tambin es posible tener un modo de
aprobacin, donde el administrador visualiza las peticiones de los clientes desconocidos en
espera.
El modo multicast es el mejor adaptado para realizar un despliegue masivo. Evita el tener
que inundar la red enviando todos los bytes de forma individual a cada equipo. En su lugar,
los equipos se inscriben en la direccin multicast, y WDS enva los datos una sola vez a
esta direccin para todos los equipos. Tratndose de multicast IGMP, es necesario que sus
equipos de red soporten esta caracterstica. Si no es el caso, el switch las procesar como
difusiones, e inundar toda la red.
Si llegan nuevos equipos durante el despliegue, comenzarn a recuperar los datos enviados
hasta el final y, a continuacin, WDS enviar los datos restantes a estos equipos, que sern
capaces de recibir los datos de forma desordenada. Adems del ahorro en ancho de banda,
el servidor ser capaz de desplegar ms mquinas a la vez puesto que slo lee una vez los
datos de despliegue. Esto reduce de forma importante los accesos al almacenamiento en
disco. Es posible visualizar la lista de mquinas en curso de despliegue as como su
consumo de red en la consola WDS:
Para ello, basta con hacer clic con el botn derecho en la mquina y seleccionar la
opcin Ignorar multidifusin:
En cambio, Windows Server 2012 R2 permite clasificar automticamente en dos o tres
categoras los equipos (rpido, medio, lento). El servidor tendr, al final, que enviar 2 3
veces los datos, pero esto permitir realizar un despliegue de equipos ms rpido.
La transmisin por multidifusin, creada por defecto por MDT 2013, es de tipo automtico.
Es decir el despliegue comienza cuando un cliente solicita una multidifusin. WDS permite
no obstante tambin realizar una multidifusin planificada. Esta planificacin puede
realizarse en base a dos criterios:
WDS es compatible con la multidifusin IPv4, y tambin con IPv6; para ello tendr,
obligatoriamente, que configurar el servicio DHCPv6.
Con la versin WDS de Windows Server 2012 R2, las BIOS de tipo UEFI (Unified
Extensible Firmware Interface) de los puestos clientes de 32 bits se gestionan para su
arranque en red (Boot on LAN) y para el despliegue.
Adems de con las arquitecturas x86 y x64, WDS es compatible, tambin, con las
arquitecturas ARM para Windows RT (versin de Windows 8 para tabletas con
procesadores ARM).
Con Windows Server 2012, WDS es compatible con imgenes con los formatos .WIM,
.VHD y .VHDX para el despliegue.
Fuera del marco de uso de MDT, WDS para Windows Server 2012 permite:
Para ir ms all...
El despliegue de sus servidores constituye el primer bloque tcnico. A continuacin queda
por automatizar la instalacin de sus aplicaciones, tarea que puede revelarse larga y
complicada. La virtualizacin crea una nueva necesidad: el despliegue a la carta de
entornos. Ya no se trata de realizar una configuracin manual en este contexto.
Para facilitar el diagnstico, el programa Standard User Analyzer Wizard le gua paso a
paso en:
2. Entorno a la carta
Podr crear una secuencia para sus entornos virtuales con el objetivo de instalar
automticamente las herramientas adicionales. Hyper-V, que es compatible con el arranque
PXE, le permite instalar mquinas virtuales directamente a travs de la red con WDS. De
este modo tendr un nico punto central que contendr todas las imgenes y aplicaciones
durante el despliegue, en vez de tener una imagen a parte para la generacin de mquinas
virtuales.
3. ImageX
ImageX es una herramienta que funciona por lnea de comandos y le permite administrar y
modificar las imgenes WIM. El formato WIM tiene en particular una propiedad
interesante: se basa en archivos y no en clsteres, como para los formatos ISO. Esto
permite en especial almacenar en la imagen un nico ejemplar de cada archivo, incluso si
est presente varias veces desde el punto de vista lgico (Single Instance Storage).
Esta herramienta, que se ofrece de forma estndar con Windows 8.1 y Windows 2012 R2,
aunque tambin con Windows PE 4.1, combina las funciones antes mencionadas:
Desde Windows 7 y Windows Server 2008 R2, es posible unir una mquina a un dominio
AD sin que tenga que unirse a un controlador de dominio durante todo el procedimiento.
Esto abre nuevas perspectivas, como hemos visto en el captulo dedicado al Dominio
Active Directory:
El comando que debe utilizar es djoin. Necesita, como mnimo, Windows 7 o Windows
Server 2008 R2 instalado en el equipo que prepara el Active Directory y sobre la mquina
que se va a unir al dominio sin red. El controlador de dominio puede estar configurado con
alguna versin anterior a Windows Server 2008 R2 (utilizando el argumento /downlevel de
djoin).
La informtica est llena de sorpresas que condimentan nuestro trabajo cotidiano. Cuando
un despliegue no se realiza segn lo previsto, he aqu algunas trazas que pueden
proporcionarle ayuda:
Este mensaje aparece cuando una secuencia utiliza una cuenta para conectarse a un
recurso compartido MDT diferente del definido en customsettings.ini. El equipo de
producto de MDT provee, en su blog, las modificaciones que es necesario realizar
(ztiutility.vbs): http://blogs.technet.com/msdeployment/archive/2009/09/18/fix-for-
multiple-connections-to-a-server-or-shared-resource-by-the-same-user-using-more-
than-one-user-name-are-not-allowed-problem-with-mdt-2010.aspx
Conclusin
Ya est preparado para desplegar sus servidores y puestos de trabajo. Desde un punto de
vista tcnico, nunca haba sido tan sencillo y flexible, en especial con MDT 2013. Seguir
haciendo instalaciones a mano sera una verdadera prdida de tiempo y de calidad!
Introduccin
Este captulo tiene como objetivo permitir abordar la seguridad de su arquitectura de la
mejor forma. En efecto, no es raro escuchar a los profesionales de la informtica expresarse
en trminos algo arcaicos acerca de la seguridad. Se trata de un rea que evoluciona muy
regularmente y muy rpido, y no sera razonable pensar que la arquitectura informtica y
las soluciones en trminos de seguridad estn actualizadas. Conviene estar informado
regularmente y respetar un conjunto de buenas prcticas.
Este captulo est dedicado a describir las buenas prcticas al respecto y le presenta las
novedades funcionales que le permitirn ponerlas en marcha.
En la prctica, esto no siempre es factible, aunque conviene hacer siempre todo lo posible
para estar lo ms cerca posible de la necesidad reduciendo al mximo la superficie de
ataque expuesta. Si un usuario no necesita permisos especficos, por qu asignrselos? Y,
cmo asegurarse que el usuario no tiene ms derechos de los que le hacen falta?
Es preciso dominar algunas nociones tcnicas para poder realizar la mejor eleccin en cada
caso.
1. Los distintos tipos de cuenta
En Windows existen distintos tipos de cuentas de usuario. Cada uno de ellos define un
conjunto de permisos tales como el acceso a los archivos, las modificaciones que est
autorizado a realizar en el sistema operativo, etc. Desde un punto de vista genrico, segn
el tipo de cuenta seleccionado, el usuario tendr un nivel de acceso ms o menos importante
en el sistema operativo.
Invitado
Estndar
Administrador
Una cuenta de usuario con permisos de tipo Invitado autoriza el acceso a los recursos del
equipo sin autenticacin en este ltimo. Este tipo de cuenta se utiliza de manera muy
espordica en la empresa, pues presenta riesgos no despreciables en trminos de seguridad.
Por defecto, este tipo de cuenta est deshabilitado.
Una cuenta de usuario estndar permite utilizar la mayor parte de las funcionalidades del
sistema operativo mientras no afecten a la seguridad del equipo o a la configuracin comn
a todos los usuarios.
La principal diferencia entre una cuenta de usuario estndar y una cuenta de administrador
es el nivel de acceso del usuario a los lugares definidos como protegidos en el sistema
operativo.
Cuenta de administrador
Una cuenta de usuario con permisos de Administrador (y que por lo tanto forme parte, de
forma directa o no, del grupo Builtin\Administradores del equipo) est autorizado a
administrar la totalidad del sistema operativo y, por tanto, a definir configuracin comn a
todos los usuarios (instalacin de programas, definicin de la seguridad del equipo, etc.).
En la medida en que los permisos de esta cuenta son muy extensos, se desaconseja
encarecidamente utilizarla para sus tareas corrientes. Ver ms adelante, en este mismo
captulo, cmo Microsoft responde a la necesidad de dotar de seguridad este acceso de
Administrador gracias al UAC (User Account Control).
Por ejemplo, un usuario estndar no puede, por defecto, escribir en la carpeta de sistema
(C:\windows) o en la mayor parte del registro, mientras que un administrador s puede
hacerlo. Un administrador puede tambin activar/desactivar el firewall, configurar las
polticas de seguridad, instalar un servicio o un controlador para todos los usuarios, etc.
Desde Windows Vista y Windows 2008, Microsoft ha mejorado bastante las cuentas de
usuario estndar, y ahora pueden realizar tareas que necesitan permisos de administrador
tales como:
Existen tareas programadas suplementarias que permiten, en lo sucesivo, definir una tarea
de defragmentacin o de copia de seguridad automtica. Antes, estas funcionalidades no
podan realizarse fcilmente y necesitaban, en su mayora, privilegios de usuario
administrador.
He aqu una lista no exhaustiva de los distintos permisos para un usuario estndar y un
administrador, que le permitir situar un poco mejor las autorizaciones de cada tipo de
cuenta.
Existe un cuarto tipo de cuenta que se utiliza a menudo en entornos como Windows
2000/XP. Se trata de cuentas que pertenecen al grupo de Usuarios avanzados. Este grupo
est a medio camino entre Usuarios y Administradores. Permite, en efecto, realizar algunas
tareas como, por ejemplo, escribir en ciertos lugares del registro y del sistema de archivos,
sin necesidad de tener permisos de administrador. Este tipo de grupo no responde a todas
las necesidades de las aplicaciones y ya no tiene ningn permiso particular por defecto
desde Windows Vista y Windows 7. Conviene saber, no obstante, que este grupo sigue
estando disponible con el objetivo de asegurar la compatibilidad de las aplicaciones que lo
necesitan. Para ello, es necesario cargar un modelo de seguridad particular (compatws.inf)
en Windows Vista y Windows 7 para modificar los permisos sobre ciertos archivos y
ciertas claves del registro para permitir al grupo Usuarios avanzados tener acceso.
Windows Server 2012 R2 propone utilizar un nuevo grupo de dominio que permite
habilitar una proteccin suplementaria en aquellos equipos que utilizan Windows Server
2012 R2 o Windows 8.1. Este grupo se encuentra en los controladores de dominio de
Windows Server 2012 R2 y se llama Protected Users.
Los miembros de este grupo slo pueden utilizar mtodos de autenticacin considerados
como seguros para poder autenticarse. De este modo, los miembros de este grupo estn
sometidos a las siguientes condiciones:
No pueden autenticarse utilizando NTLM, Digest o incluso CredSSP. Por otro lado,
las contraseas de las cuentas miembros de este grupo no estn almacenadas en
cach si se utilizan en un equipo Windows 8.1 miembro del dominio.
El protocolo Kerberos es el nico protocolo autorizado y no puede basarse en un
cifrado DES o RC4 (dbiles) para el proceso de pre-autenticacin. Slo es posible
utilizar el protocolo AES.
La delegacin Kerberos no est permitida.
El tiempo de vida del ticket Kerberos (TGT) se puede modificar (por defecto, 4
horas) e implica una reautenticacin por parte del usuario, pasado este tiempo.
Para poder aprovechar las ventajas de este grupo, debe actualizar su esquema de
Active Directory (mediante el comando adprep /forestprep), de cara a poder soportar las
nuevas clases incluidas en Windows Server 2012 R2 y el controlador de dominio que
alberga el rol de emulador PDC debe funcionar, como mnimo, con Windows Server 2012
R2.
Existe una novedad, llamada Directiva de silos de autenticacin que le permite controlar
los equipos en los que un usuario puede iniciar sesin en el dominio. Si se acopla esta
funcionalidad con el grupo de tipo Protected Users, es posible aplicar condiciones de
control del acceso para la autenticacin de cuentas. Las directivas de autenticacin se
fuerzan en la etapa de intercambio de informacin de AS y TGT de los tickets Kerberos.
Los requisitos previos son los mismos que para los Protected Users, es preciso agregar un
nivel funcional del dominio Windows Server 2012 R2.
Esta directiva puede aplicarse a las cuentas de Equipos, Usuarios y a las cuentas de servicio
administradas.
El control de cuentas de usuario o User Account Control (UAC) es uno de los principales
avances de la nueva gama de sistemas operativos Microsoft Windows Vista y Windows
Server 2008.
Esta funcionalidad (activada, por defecto) permite informarle de cualquier accin que
requiera permisos del sistema. Se crea un token de acceso completo, con los permisos ms
importantes del usuario, y se le pasa a la aplicacin. Esto se llama una elevacin de
privilegios. El UAC se caracteriza por una elevacin de privilegios automtica, apareciendo
un mensaje de advertencia cuando se produce esta elevacin, y un escritorio securizado
dedicado a este mensaje de advertencia.
De este modo, ser mucho ms complicado para un programa espa instalarse en el sistema
o acoplarse a un proceso sin informarle antes.
Antes de que realizar la elevacin de privilegios, Windows Server 2012 R2 muestra, por
defecto, la ventana de confirmacin solicitando esta elevacin de privilegios a un escritorio
virtual aislado (llamado tambin "Escritorio difuminado" desde Windows 7/2008 R2) y
securizado, de forma que el resto de aplicaciones contine ejecutndose a nivel del
escritorio interactivo del usuario. Esto permite poder impedir a un proceso de usuario
(como, por ejemplo, una aplicacin espa) interactuar con la solicitud de elevacin de
privilegios y aceptar automticamente la elevacin.
Por otro lado, existe un modo particular llamado Modo de aprobacin de administrador
que est activo para todos los miembros del grupo de Administradores (salvo la cuenta
Administrador integrado). Este modo muestra la elevacin de privilegios cuando se ejecuta
una aplicacin que necesita privilegios de administracin.
Desde Windows Server 2008 R2, es posible tener una granularidad ms precisa del UAC
para limitar las peticiones de la contrasea. Esto se detalla ms adelante.
Descripcin: los programas UIAccess como el asistente remoto pueden solicitar utilizar
esta opcin.
Valor por defecto: Pedir consentimiento para ejecutables que no son de Windows.
Control de cuentas de usuario: comportamiento de la peticin de elevacin para los
usuarios estndar
Descripcin: define si un usuario conectado con una cuenta estndar obtiene una ventana de
elevacin de privilegios de ejecucin de aplicaciones que requieren permisos de
administrador.
Por defecto, un usuario estndar tendr la posibilidad de indicar la contrasea de una cuenta
de administrador. Tambin es posible deshabilitar esta opcin, aunque no impide al usuario
hacer clic con el botn derecho del ratn sobre el ejecutable y seleccionar la opcin
Ejecutar como administrador.
Descripcin: indica que slo las aplicaciones que requieran un nivel de integridad UIAccess
(es decir especificando UIAccess=true en su manifiesto de aplicacin) deben encontrarse en
un emplazamiento seguro en el sistema de archivos. Los emplazamientos seguros son:
Descripcin: permite activar o desactivar el control de usuario para los usuarios que son
Administradores.
Descripcin: esta opcin asegura la compatibilidad con las antiguas aplicaciones que se
ejecutaban como administrador y escriban sus datos de ejecucin de la aplicacin en
%Program Files%, %Windir%, %Windir%\System32 o HKLM\Software.
Si utiliza una autenticacin biomtrica, sepa que Windows Server 2008 R2/2012 R2
permite simplificar la elevacin de privilegios solicitada por el UAC mejorando la
experiencia de usuario.
Su dispositivo biomtrico estar mejor gestionado en Windows Server 2008 R2/2012 que
en las versiones anteriores y podr utilizar este medio de autenticacin sin tener que
disponer necesariamente de una aplicacin dedicada instalada a partir del momento en que
el driver descargado mediante Windows Update haya sido instalado.
Aunque es una fuente frecuente de controversia, pues modifica nuestros (malos?) hbitos,
UAC permite asegurar un nivel de seguridad muy superior comparado con las versiones
anteriores de Windows. Sus mejoras, evidentes deberan, en lo sucesivo, animarle a
adoptarlo rpidamente, si no lo ha hecho an.
Los grupos restringidos le permiten administrar los miembros de grupos de seguridad con
el objetivo de asegurar el contenido de estos grupos. Esta configuracin es muy interesante
y permite controlar mejor las personas y permisos asignados a un conjunto de equipos y
servidores miembros.
Configurando, por ejemplo desde la directiva de grupo, un grupo restringido como el grupo
local de los equipos llamado BUILTIN Administradores (haciendo clic con el botn
derecho del ratn en la directiva de los grupos restringidos y, a continuacin, en Agregar
un grupo - Builtin\Administradores) e indicando un grupo de dominio como, por
ejemplo, MiEmpresa\AdminLocal en Miembros de este grupo, entonces todos los
usuarios del grupo MiEmpresa AdminLocal sern Administradores de los equipos que se
encuentran en el contenedor asociado a la directiva de grupo definida.
Imagine que este grupo restringido se define a nivel de los equipos de su Active Directory y
que un usuario necesita ser miembro del grupo Administradores de su equipo (no es raro
que los usuarios de equipos porttiles tengan este tipo de necesidad). Asocindolo al grupo
MiEmpresa\AdminLocal el usuario ser, en efecto, miembro del grupo
BUILTIN\Administradores de su equipo, pero tambin de todos los dems equipos!
Del mismo modo, si trata de agregar este mismo usuario de forma local al grupo
BUILTIN\Administradores de su equipo, la aplicacin de la directiva de grupo tendr como
efecto la limpieza de los miembros de los grupos locales y en consecuencia el usuario
perder los permisos de administrador.
Como habr comprendido, este tipo de configuracin est poco adaptado a la definicin de
los miembros de los grupos a nivel de puestos de trabajo, aunque puede ser muy interesante
para controlar los miembros de los grupos de servidores y controladores de dominio para
bloquear estos ltimos.
Volviendo a nuestro usuario que quiere ser administrador de su equipo haciendo uso de los
grupos restringidos, y sin que impacte a la seguridad de los dems equipos, conviene definir
los grupos restringidos de forma ligeramente diferente.
En efecto hace falta definir un grupo restringido a partir del grupo de dominio seleccionado
(en nuestro ejemplo el grupo MiEmpresa\AdminLocal) y definir la configuracin Este
grupo es miembro de: para agregar el grupo BUILTIN\Adminis- tradores (o
BUILTIN\Administrators dependiendo de si esta directiva de grupo se define en un equipo
en castellano o en ingls).
Como con las directivas de restriccin de software, Applocker permite definir las
aplicaciones autorizadas a ejecutarse por parte de sus usuarios estndar en el seno de su
dominio desplegando sus parmetros mediante directivas de grupo.
Sepa, tambin, que si una directiva de grupo posee a la vez una directiva de restriccin de
software y una directiva de control de aplicacin (Applocker), slo se aplicar la directiva
Applocker en el puesto.
Si todos los equipos clientes estn en la misma OU, es posible utilizar filtros WMI sobre
ambas GPO para filtrar sobre qu tipo de sistema operativo se deben ejecutar.
Para Windows XP
%Appdata%\*.exe
%Appdata%\*.sys
%Appdata%\*.dll
%Appdata%\*\*.exe
%Appdata%\*\*.sys
%Appdata%\*\*.dll
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll
%UserProfile%\Local Settings\*.exe
%UserProfile%\Local Settings\*.sys
%UserProfile%\Local Settings\*.dll
%UserProfile%\Local Settings\*\*.exe
%UserProfile%\Local Settings\*\*.sys
%UserProfile%\Local Settings\*\*.dll
Bloqueo de la ejecucin de archivos desde archivos WinRar, 7Zip, WinZip y el soporte Zip
integrado en Windows:
%UserProfile%\Local Settings\Temp\Rar*\*.exe
%UserProfile%\Local Settings\Temp\7z*\*.exe
%UserProfile%\Local Settings\Temp\wz*\*.exe
%UserProfile%\Local Settings\Temp\*.zip\*.exe
%Appdata%\*.exe
%Appdata%\*.sys
%Appdata%\*.dll
%Appdata%\*\*.exe
%Appdata%\*\*.sys
%Appdata%\*\*.dll
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll
%LocalAppData%\*.exe
%LocalAppData%\*.sys
%LocalAppData%\*.dll
%LocalAppData%\*\*.exe
%LocalAppData%\*\*.sys
%LocalAppData%\*\*.dll
Bloqueo de la ejecucin de archivos desde archivos WinRar, 7Zip, WinZip y el soporte Zip
integrado en Windows:
%LocalAppData%\Temp\Rar*\*.exe
%LocalAppData%\Temp\7z*\*.exe
%LocalAppData%\Temp\wz*\*.exe
%LocalAppData%\Temp\*.zip\*.exe
Antes de comenzar es preciso saber que existen tres tipos de reglas posibles para evaluar si
una aplicacin tiene autorizacin para ejecutarse o no.
Ruta de acceso: esta regla permite identificar un ejecutable basndose en una ruta.
Puede, por ejemplo, definir una regla para autorizar el ejecutable C:\Windows\
calc.exe. Aunque esta solucin no es la ms eficaz, puesto que si un usuario
renombra un ejecutable prohibido como calc.exe en la carpeta C:\Windows ser
capaz de ejecutar la aplicacin. Es, por el contrario, un mtodo interesante para
impedir la ejecucin de un tipo de extensin de archivo en una carpeta conocida por
su riesgo (como, por ejemplo, la carpeta Temporal). La lista de estas carpetas
peligrosas se muestra ms arriba e indica tambin, por ejemplo, que todos los
ejecutables que se encuentren en la carpeta %LocalAppData%\*.exe no puedan
ejeutarse.
Hash de archivo: esta regla permite identificar un ejecutable basndose en un valor
de hash calculado. Cada archivo posee un valor de hash nico, Windows calcula el
valor de hash de un archivo y lo compara con los valores definidos en las reglas de
Applocker para saber si la regla debe o no aplicarse. El inconveniente de esta
solucin es que la regla debe implantarse con cada nueva versin del archivo que
quiere autorizar.
Publisher: esta regla permite identificar un ejecutable en funcin del fabricante
(como era el caso con las reglas de certificado de las antiguas restricciones de
software) aunque agregando condiciones ms precisas como la versin del
producto, etc.
Antes de crear sus propias reglas personalizadas, ser necesario comenzar creando las
reglas por defecto. En efecto, Applocker funciona un poco como un firewall, de modo que
todo lo que no est expresamente autorizado se rechaza.
Generar las reglas por defecto: para evitar efectos laterales indeseados, es preciso
administrar las reglas por defecto autorizando a todo el mundo a ejecutar los
programas que se encuentran en las carpetas Program Files y Windows.
Generar reglas automticas: a continuacin slo tendr que definir reglas para
bloquear lo que desee. Esta forma de proceder le evitar "auto-bloquearse" en
ciertas situaciones a causa de reglas mal definidas.
Auditar siempre las reglas Applocker antes de su despliegue masivo en produccin.
Para definir sus reglas por primera vez, utilice un puesto piloto (con Windows 7/8/8.1 o
2008 R2/2012/2012 R2) que sea el nico puesto presente en la unidad organizativa ligada a
la directiva de grupo que va a configurar. Instale las aplicaciones homologadas o aquellas
que desee autorizar. Instale a su vez las herramientas RSAT para crear la directiva y las
reglas Applocker directamente desde este puesto (enseguida ver por qu razn).
Siempre desde este puesto piloto, dirjase al nivel Configuracin del equipo - Directivas
- Configuracin de Windows - Configuracin de seguridad - Directivas de control de
aplicaciones - Applocker. Observe que hay tres subcategoras: Reglas ejecutables, Reglas
de Windows Installer y Reglas de scripts. Haga clic con el botn derecho del ratn sobre
cada una de estas subcategoras para crear la regla por defecto seleccionando la opcin
Crear reglas predeterminadas.
Esto tiene el efecto de crear reglas por defecto autorizando a "Todos los usuarios" a
ejecutar los programas que se encuentran en la carpeta %PROGRAMFILES% y
%WINDIR%. Habr que tenerlo en cuenta a la hora de realizar las primeras pruebas en
produccin. La prohibicin prevalece sobre la autorizacin, y podr Rechazar el acceso a
un programa especfico que se encuentre en alguna de estas carpetas.
La forma ms sencilla de definir las reglas para las aplicaciones existentes consiste en
utilizar el asistente. Permite generar reglas segn las especificidades de cada ejecutable que
se encuentra en la carpeta indicada. Para ello, haga clic con el botn derecho del ratn en la
categora Reglas ejecutables y elija Generar reglas automticamente....
Se abre un asistente que le permite indicar la carpeta a escanear, los usuarios afectados por
esta regla, as como el nombre de la regla.
Para poder simular el despliegue de las reglas Applocker sin que estas ltimas sean
realmente efectivas, haga clic con el botn derecho del ratn en Applocker (en
Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Directivas de control de aplicaciones - Applocker) y a continuacin en
Propiedades.
Para que esta configuracin pueda aplicarse en los puestos correspondientes, es preciso
modificar el tipo de inicio del servicio Identidad de aplicacin. ste se define, por
defecto, con arranque Manual y no Automtico. Puede configurarlo directamente desde el
puesto cliente o incluso mediante una directiva de grupo en Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Servicios del
sistema. Seleccione, a continuacin, el servicio Identidad de aplicacin y modifquelo
para un arranque automtico.
Una vez haya definido correctamente sus reglas, puede aplicarlas editando su directiva de
grupo creado precedentemente dirigindose al nivel Configuracin del equipo -
Directivas - Configuracin de Windows - Configuracin de seguridad - Directivas de
control de aplicaciones - Applocker y, a continuacin, Propiedades. En la lista
desplegable correspondiente a la categora de reglas que quiere aplicar realmente,
seleccione Aplicar reglas. Valide haciendo clic en Aceptar.
La mayor parte del tiempo, los servidores estn ubicados en un datacenter a menudo
llamado "bnker", de cara a implementar la seguridad fsica (cmaras, control de
acceso). No siempre es posible alcanzar este nivel de seguridad, especialmente en sitios
remotos, que cuentan nicamente con unos pocos usuarios. Si bien el nmero de usuarios
es, con frecuencia, poco elevado, resulta indispensable desplegar un servidor para ofrecer
ciertos servicios de manera local, en especial un controlador de dominio o un servicio
DHCP. En el primer caso, el servidor dispone por defecto de una copia del dominio y, por
tanto, de las contraseas de todos los usuarios. Como ha visto en el segundo captulo del
libro, la implementacin de un RODC (controlador de dominio de slo lectura) permite
superar este problema. Pero, cmo puede hacerse si se trata de un servidor de archivos o
de una base de datos?
En tal caso, ser interesante cifrar los datos para impedir que el atacante pueda recuperar
los datos y las contraseas contenidos en el equipo. El cifrado es un mtodo que permite
reforzar la seguridad de un mensaje o un archivo codificando su contenido de manera que
slo las personas que dispongan de la clave de cifrado apropiada para descifrarlos puedan
leerlo. Por ejemplo, si compra un producto en un sitio web, la informacin necesaria para
realizar la transaccin (como, por ejemplo, su direccin, su nmero de telfono y de tarjeta
bancaria) se cifra, por lo general, en el servidor con el objetivo de dotarlos de seguridad.
Por otro lado, el cifrado de los discos duros de los equipos porttiles resulta, tambin,
extremadamente interesante para las empresas, sobre todo dado que los usuarios son, cada
da, ms mviles y, en consecuencia, los datos de la empresa se ven cada vez ms
expuestos en caso de hurto.
Antes de que un disco cifrado con BitLocker se desbloquee, BitLocker autentica el disco
basndose en los datos de identificacin que el usuario, o el sistema operativo, proveen y
que autorizan a BitLocker a desbloquear el acceso al lector. BitLocker tiene en cuenta los
distintos mtodos de bloqueo en base al conocimiento por el usuario de una contrasea, la
presencia de un componente de hardware o claves de aplicacin, o una combinacin de
estos tres elementos. Puede seleccionar el mtodo de bloqueo cuando configura BitLocker.
Los mtodos de bloqueo disponibles difieren entre los discos del sistema operativo y los
discos de datos fijos o extrables. Por ejemplo, slo es posible proteger mediante TPM un
disco que contenga un sistema operativo. Sobre un disco que contenga un OS, puede
seleccionar utilizar uno de los mtodos de bloqueo siguientes:
Slo TPM.
Slo clave de arranque.
TPM + cdigo PIN.
TPM + clave de arranque.
TPM + cdigo PIN + clave de arranque.
En un disco de datos fijos o extrable, puede seleccionar los tres mtodos de bloqueo
siguientes:
contrasea.
tarjeta + cdigo PIN.
automtico.
Para los lectores de datos, el mtodo de bloqueo por tarjeta + cdigo PIN ofrece la mejor
proteccin.
Cuando quiere bloquear los datos protegidos mediante BitLocker con una tarjeta, debe
asegurarse de que sus usuarios tienen certificados compatibles con BitLocker cargados en
una tarjeta. Para generar estos certificados, puede utilizar una entidad de certificacin (CA),
crear certificados autofirmados, o configurar un certificado EFS existente para un uso con
BitLocker. Cuando utiliza tarjeta, tambin se recomienda disponer de una aplicacin de
gestin de tarjetas. Puede, por ejemplo, utilizar la funcionalidad de gestin de tarjetas que
ofrece Microsoft Forefront Identity Manager (FIM). El siguiente vnculo ofrece
informacin detallada acerca del uso de certificados con
BitLocker: http://technet.microsoft.com/en-us/library/dd875548%28WS.10%29.aspx
He aqu las principales etapas a realizar para poder utilizar BitLocker en el seno de su
empresa. En este ejemplo, se trata de desplegar esta funcionalidad en los equipos porttiles
de su AD.
La primera etapa consiste en activar la tarjeta TPM en los equipos pues, como hemos visto,
no es prctico almacenar la informacin en una llave USB o tener que escribirla con cada
arranque del equipo
Esta etapa se desarrolla a nivel de BIOS del equipo y puede necesitar, segn los fabricantes,
dos reinicios sucesivos del ordenador. El primero permite activar la funcionalidad de
Seguridad TPM y el segundo realiza la activacin de la opcin de la tarjeta TPM en la
placa base.
Es, tambin, posible configurar los equipos para que la clave de cifrado de BitLocker se
almacene como propiedad del equipo directamente en Active Directory.
Para ello, si tiene un controlador de dominio con Windows Server 2008 o superior, es
posible almacenar esta informacin en Active Directory. En caso contrario, instale, al
menos, un controlador de dominio con esta versin y actualice el esquema de Active
Directory para que la informacin BitLocker pueda tenerse en cuenta.
Cree, a continuacin, una nueva directiva de grupo y edite los parmetros que se
encuentran en Configuracin del equipo - Directivas - Plantillas administrativas -
Componentes de Windows - Cifrado de unidad BitLocker.
Ver varios parmetros de configuracin as como tres carpetas suplementarias que
configuran la forma en que Windows procesa la informacin de BitLocker segn se trate de
un lector de datos extrable, de un disco fijo o de un sistema operativo.
Seleccione las siguientes opciones y repita esta operacin segn el tipo de informacin que
desea proteger:
Elegir cmo se pueden recuperar unidades del sistema operativo protegidas por
BitLocker
Habilite la opcin Activar copia de seguridad del TPM en los Servicios de dominio de
Active Directory.
Observe que, si BitLocker ya est activo en los equipos, las claves de recuperacin as
como la informacin TPM no se almacenar en Active Directory, puesto que se realiza en
el momento en que se activa la tarjeta TPM y, por tanto, se activa BitLocker.
Puede obtener la contrasea digital del lector y "empujarla" a Active Directory mediante el
comando manage-bde-protectors -adbackup c: -id {contrasea digital}.
Para visualizar las claves de recuperacin de BitLocker, tendr que utilizar las herramientas
RSAT, o bien agregar la funcionalidad Cifrado de unidad BitLocker.
El lector puede leerse automticamente en un equipo Windows 7/8 una vez que se haya
informado la contrasea de cifrado. Las versiones anteriores de Windows, como por
ejemplo Vista y XP, pueden leer los datos cifrados en los perifricos, con la condicin de
que los datos estn almacenados en FAT (y no NTFS); gracias a la herramienta BitLocker
To Go Reader almacenada sobre el dispositivo. La herramienta no permitir, sin embargo,
leer el contenido de la clave ni escribir datos en el dispositivo. Puede descargar la
herramienta de la siguiente direccin: http://www.microsoft.com/en-
us/download/details.aspx?id=24303
Add-WindowsFeature BitLocker
Get-BitLockerVolume |FL
Esta lnea de comando configura el cifrado del lector C que contiene al sistema operativo
en una mquina que no disponga de un mdulo TPM.
La opcin -rp se corresponde con una contrasea de recuperacin; la opcin -sk con la
ubicacin E: (llave USB) se corresponde con la ubicacin de almacenamiento de una clave,
necesaria con cada reinicio.
Por ltimo, sepa que Windows 8.1 y Windows Server 2012 R2 aprovechan la aparicin del
soporte del cifrado de los dispositivos. Como ejemplo, cuando un equipo se instala con
Windows 8.1, la fase de preparacin para el primer uso se encarga de inicializar, tambin,
el cifrado del disco duro externo mediante una clave sin cifrar (equivalente al estado
suspendido de BitLocker).
Siempre partiendo del principio del menor privilegio, Windows Server, desde el Service
Pack 1 de Windows Server 2003, proporciona un asistente de configuracin de la seguridad
(llamado SCW por Security Configuration Wizard). Su objetivo es crear una directiva que
habilite los servicios, las reglas de firewall y los parmetros necesarios para cubrir los roles
especficos (controlador de dominio, servidor de impresin, etc.).
No se trata, por tanto, de aplicar un modelo de seguridad (archivo INF) sino ms bien de
configurar el sistema operativo de manera ms cercana a las verdaderas necesidades del
servidor. Esto supone deshabilitar todos aquellos servicios intiles, agregar reglas
necesarias en el firewall de Windows, etc.
Para acceder al asistente, en Windows Server 2012 R2, vaya al Administrador del
servidor - Herramientas - Asistente para configuracin de seguridad.
La primera etapa consiste en definir la accin que se desea realizar. Puede bien crear una
directiva, modificarla, aplicarla o bien hacer una marcha atrs en alguna directiva aplicada
con anterioridad.
En este ejemplo, vamos a crear una nueva directiva. Hacemos clic en Siguiente.
La siguiente ventana resume las modificaciones que se realizarn en los servicios del
servidor en cuestin. Valide la configuracin haciendo clic en Siguiente.
La siguiente etapa se refiere a la configuracin automtica de las reglas para el Firewall
de Windows. Es posible ignorar esta etapa marcando la opcin adecuada. Haga clic en
Siguiente para iniciar este asistente. Puede seleccionar y enumerar las reglas modificadas
por el asistente de configuracin, o incluso, por ejemplo, agregar una regla especfica que
no se haba identificado previamente. Una vez finalizada esta etapa, haga clic en Siguiente.
A continuacin puede editar la configuracin del registro. En esta aplicacin, se trata, en
realidad, de configurar los protocolos autorizados para comunicar con los dems equipos
(exigir la firma SMB, exigir la firma LDAP y los mtodos de autenticacin entrante y
saliente). Aparece una pgina que le resume todas las modificaciones que se efectuarn en
el servidor. Esta configuracin resulta muy interesante y permite aumentar,
significativamente, la seguridad de los intercambios entre el servidor y sus clientes. Las
modificaciones propuestas requieren, no obstante, disponer de un parque informtico
relativamente moderno.
Lo que resulta interesante con este asistente es que puede crear un archivo de plantilla, tal y
como hemos hecho, y a continuacin convertirlo en un objeto de directiva de grupo, que
ser ms fcil de desplegar en los equipos que elija.
Se crea automticamente una GPO llamada SecureDC donde se definirn los parmetros
de la plantilla. Deber, a continuacin, vincular esta GPO con la OU que desee.
Microsoft pone, tambin, a disposicin del usuario y de manera gratuita una lista de
referencias de los parmetros de seguridad para sus productos, especialmente para
Windows Server 2012. Estos parmetros se proveen a travs de una herramienta
llamada Security Compliance Manager, accesible en la siguiente direccin:
http://technet.microsoft.com/en-us/library/jj898542.aspx
SCM permite evaluar y corregir la conformidad de sus polticas de seguridad mediante las
siguientes operaciones:
Existe otra herramienta, muy popular entre los equipos encargados de la seguridad. Se trata
de Microsoft Security Assessment Tool (MSAT), disponible en la siguiente
direccin: http://www.microsoft.com/en-
us/download/details.aspx?displaylang=en&id=12273. Se analizan una serie de cuestiones
(ms de un centenar), que le permiten evaluar la seguridad de su infraestructura segn las
respuestas indicadas. Tras el formulario, se generan 3 informes, ms un informe completo
que incluye una gua de procedimientos y un listado de las acciones principales.
Estos ltimos aos hemos organizado toda nuestra seguridad de datos (nuestros recursos)
en base a la asignacin de permisos (ACL) y a usuarios segn su pertenencia a tal o cual
grupo.
Si bien este mtodo ha resultado til, posee sus lmites pues, de hecho, se trata de un acceso
que se resume en autorizado o no segn la pertenencia del usuario a los grupos definidos o
a la aplicacin de ciertas ACL sobre una carpeta o archivo concretos. La seguridad se
centraba, principalmente, en los usuarios que podan acceder a ciertos recursos, ms que a
la criticidad de los propios recursos accedidos.
Con Windows Server 2012 R2, es posible mejorar considerablemente esta gestin de los
datos a travs de una nueva nocin llamada Control de acceso dinmico (o
Dynamic Access Control - DAC).
b. Terminologa
Antes de poder abordar el DAC, veamos los distintos trminos que conviene conocer:
Reglas de acceso central (Central Access Rules): se trata de una expresin de reglas
de autorizacin que incluye una o varias condiciones. Estas condiciones afectan a
los grupos de usuarios, a las propiedades de los recursos, a las notificaciones del
usuario o del dispositivo.
La directiva de acceso central debe agregarse a una regla de acceso central. La regla
de acceso central debe, por tanto, aplicarse a todos los archivos afectados.
Como podr ver, existen varias nociones nuevas que debe aprehender, aunque la ganancia
en trminos de seguridad resulta muy interesante.
Tomemos como ejemplo el departamento Recursos Humanos (RRHH) de una gran empresa
con varios pases agrupados en el mismo dominio Active Directory. Los archivos de RRHH
de cada pas no deberan poder consultarse, salvo en modo de slo lectura, por parte del
departamento de RRHH local de cada pas, respectivamente.
Como en todo proyecto, es necesario realizar un estudio previo. Se trata de identificar los
datos sensibles y las reglas que autorizarn el acceso a los mismos.
En los valores sugeridos, haga clic en Se sugieren los valores siguientes y agregue ES (en
valor y nombre completo), JP, US, GB.
Etapa 3: Definir las propiedades de los recursos
Hay que empezar definiendo las propiedades de los recursos (Resource Properties).
Aqu se configuran las propiedades que se descargarn los servidores de archivos para
clasificar los archivos.
Los futuros accesos de control dinmico tendrn como objetivo comparar los atributos del
usuario con las propiedades de los recursos.
Se establece una lista previa de propiedades de los recursos por Microsoft, aunque es
posible crear las propias si fuera necesario. Esto es lo que hemos hecho con el atributo
Country, que no existe por defecto.
Etapa 4: Definir una regla de acceso central (Central Access Rule o CAR)
Es, de algn modo, el equivalente a las ACL, incluso aunque no las remplaza por completo.
Una CAR describe las condiciones que deben cumplirse para permitir el acceso a un
recurso (un archivo, por ejemplo).
Descripcin: (opcional).
En las autorizaciones, seleccione el valor Usar los siguientes permisos como permisos
actuales.
En las Permisos actuales, haga clic en Editar y, a continuacin, agregue los Usuarios
autentificados como Principal. Es preciso crear, a continuacin, las condiciones que se
refieren a las necesidades expresadas en el estudio para "Todos" los usuarios. En nuestro
ejemplo, los Usuarios autentificados responden a ciertos criterios que pueden acceder a
los archivos en modo lectura, por lo que debemos definir la siguiente regla:
Ahora, tiene una regla de acceso central que limita el acceso a los archivos de RRHH a un
mismo pas y un mismo departamento. El grupo RRHH_Admin puede editar los archivos y
el grupo RRHH_Excepcion puede leerlos.
Observe que slo los archivos clasificados como Human Resources estarn afectados por
esta regla.
A continuacin, es preciso asociar las reglas creadas a una directiva de acceso central que
desplegaremos mediante una GPO.
Para ello, desde el Centro de administracin de Active Directory abra Central Access
Policies - Nuevo - Directiva de acceso central y asocie la regla de acceso central que
acaba de crear.
Etapa 6: Desplegar la directiva de acceso central en los servidores de archivos mediante una
GPO
La CAP puede desplegarse mediante una GPO en los servidores de archivos Windows
Server 2012 que posean el rol FSRM (este rol se agrega al servidor en Seleccionar roles de
servidor - Servidor de archivos y almacenamiento - Servicios de iSCSI y archivo y
marcando Servidor de archivos y Administrador de recursos del servidor de archivos).
Es preciso crear una nueva GPO para desplegar la directiva de acceso central (CAP) en los
servidores de archivos.
Esta directiva de grupo deja disponible la poltica de acceso central, aunque no forzar su
aplicacin.
Etapa 7: Configurar los controladores de dominio y los clientes para que tengan en cuenta
las notificaciones
Para que un controlador de dominio sea apto para gestionar las notificaciones, hay que
configurarlo definiendo una GPO que se aplica a nivel de la OU Domain Controllers.
La opcin FAST por Flexible Authentication Secure Tunneling, tambin conocida con el
nombre de Kerberos Armoring" (o blindaje Kerberos), debe estar habilitada en los
controladores de dominio para ser compatible con DAC. FAST provee, en particular, un
canal seguro entre el cliente y el KDC.
Cree una GPO, en lugar de utilizar la GPO por defecto Default Domain Controllers
Policy.
Fuerce las GPO en los controladores de dominio a travs del comando gpupdate /force.
A nivel de su dominio (o de sus equipos cliente, nicamente), defina una GPO que permita
utilizar notificaciones. Esto tiene como efecto extender el ticket Kerberos gestionado por el
cliente.
Esta etapa debe realizarse desde el explorador de archivos en el servidor de archivos con el
rol FSRM.
En primer lugar, deber clasificar los archivos del recurso compartido especificando las
propiedades de los recursos definidas anteriormente.
En las propiedades de aquellos recursos compartidos que deban protegerse, haga clic con el
botn derecho sobre l y, a continuacin, en Propiedades. Vaya a la pestaa Clasificacin.
Ver aparecer todas las propiedades de los recursos definidas anteriormente.
Si no fuera el caso, desde el servidor de archivos, abra una ventana de PowerShell y escriba
el comando Update-FSRMClassificationPropertyDefinition. Este comando forzar el
refresco de las propiedades de los recursos definidas.
Ahora que todo est implementado, la ltima etapa consiste en verificar que los accesos
estn bien definidos.
Para ello, no tendr que conectarse con la cuenta de tal o cual usuario para hacer esta
verificacin. La pestaa Acceso efectivo se ha actualizado en Windows Server 2012 y tiene
en cuenta las notificaciones.
Seleccione la cuenta de usuario que desee y haga clic en Ver acceso efectivo.
Aqu, si bien todos los usuarios autenticados estn definidos a nivel NTFS, slo aquellos
que respondan a los criterios definidos en la DAC estn autorizados a acceder a los
recursos.
Seleccione, a continuacin, el grupo que desea auditar, por ejemplo el grupo habilitado
para acceder a esta carpeta.
Puede, a continuacin, agregar una condicin que indique, por ejemplo: Usuario - Grupo -
Miembro de cada - Valor - [Admins de Dominio] y [Administradores].
Si desea acoplar DAC a RMS, esto le permitir cifrar sus documentos sensibles En
base, por ejemplo, a su clasificacin podr mantener el control sobre los
documentos clasificados en cualquier momento.
El control de acceso dinmico supone una mejora importante en Windows Server 2012. Si
bien es necesario realizar un gran trabajo inicial, la seguridad de los datos de la empresa se
ver mejorada considerablemente.
Podr acoplarle una directiva de auditora basada en expresiones, tal y como se describe en
el captulo Dominio Active Directory.
Delegacin de la administracin en Active
Directory
Una de las principales ventajas de un dominio Active Directory es poder tener un directorio
comn para varias entidades en el seno de la misma empresa. Este directorio compartido
permite reducir costes de administracin asociados al mantenimiento de la infraestructura.
Dado que las polticas de seguridad estn bien diferenciadas en las distintas divisiones de la
empresa y que los equipos IT no son los mismos, conviene encontrar una solucin que
permita delegar las tareas necesarias para el trabajo de cada uno sin comprometer la
seguridad de la totalidad del dominio Active Directory.
Existen distintas maneras de delegar los permisos a los usuarios. Algunas autorizaciones
pueden asignarse, fcilmente, a travs de grupos de seguridad ya existentes. Es el caso, por
ejemplo, de la delegacin de la administracin de un servicio como DHCP (mediante el
grupo DHCPAdmins) o DNS (mediante el grupo DNSAdmins), o incluso la posibilidad de
consultar los registros de eventos (mediante el grupo Event Log readers), etc.
Pasemos, ahora, a la prctica delegando dos acciones especialmente tiles para una hotline
y equipo de soporte informtico de la empresa. Estos equipos no tienen la vocacin de
realizar tareas administrativas ligadas al Active Directory, sera excesivo agregarlos al
grupo "Administradores del dominio" por ejemplo.
Entre las necesidades que expresan ms a menudo estos equipos para responder a las
peticiones de los usuarios, encontrar en especial la solicitud de permiso para agregar un
usuario a un dominio Active Directory y el permiso para reinicializar las contraseas de los
usuarios.
Las delegaciones se realizan, por lo general, sobre el total o sobre una parte de los
objetos de una unidad organizativa (u OU por Organizational Unit) o de un dominio. Esto
tiene como objetivo simplificar la administracin y la gestin de los permisos de su Active
Directory. Est de ms recordarle que es obligatorio guardar una traza de las delegaciones
realizadas para facilitar la administracin cotidiana y las operaciones de recuperacin en
caso de problemas.
Tomemos como ejemplo el departamento de hotline que quiere poder reinicializar las
contraseas de los usuarios y desbloquear sus cuentas. Todos los usuarios de la hotline
forman parte del mismo grupo llamado HotlineUsers.
Para ello, desde la consola Centro de administracin de Active Directory (dsa.msc), sitese
en el objeto del contenedor padre desde el nivel en que quiera realizar la delegacin de
permisos. En la mayora de casos, esta delegacin se realiza a nivel de una unidad
organizativa. Haga clic con el botn derecho del ratn en el objeto y seleccione Delegar
control.
Haga clic en Siguiente en la pantalla de bienvenida. El asistente le pide a continuacin
seleccionar los usuarios o grupos para los que quiere asignar los permisos delegados. Haga
clic en Agregar y, a continuacin, escriba el nombre de su grupo y haga clic en
Comprobar nombres. A continuacin, haga clic en Aceptar.
Una vez agregado el o los grupos, haga clic en Siguiente.
Puede seleccionar, ahora, el nivel de permisos que quiere aplicar al objeto delegado. Puede
seleccionar entre las delegaciones predefinidas para tareas corrientes o bien Crear una
tarea personalizada para delegar.
En nuestro ejemplo, podramos escoger las tareas predefinidas aunque stas ofrecen
demasiados permisos en comparacin con lo que queremos autorizar. Elija la opcin Crear
una tarea personalizada para delegar para poder realizar una delegacin ms granular, y
haga clic en Siguiente.
Seleccione delegar Slo los siguientes objetos en la carpeta, marque Objetos Usuario y,
a continuacin, haga clic en Siguiente.
Seleccione, a continuacin, el o los tipos de autorizacin que quiere delegar a los usuarios.
En nuestro ejemplo, el atributo Restablecer contrasea (o Reset Password, en ingls) se
utiliza para reiniciar la contrasea y los atributos Leer lockoutTime (o Read lockout Time)
y Escribir lockoutTime (o Write lockout Time) se utilizan para desbloquear una cuenta de
usuario. Los dos ltimos slo estn visibles marcando la opcin Especfico de la propiedad
pues, como su propio nombre indica, son especficos del objeto usuario.
Una vez marcadas las tres opciones, haga clic en Siguiente.
Aparece una ventana que resume las opciones seleccionadas durante el asistente de
delegacin. Haciendo clic en Finalizar se modifican las ACL en el contenedor
seleccionado.
Puede enumerar y definir una autorizacin directamente desde la consola de Usuarios y
Equipos Active Directory. Para ello debe activar las Caractersticas avanzadas en el men
Ver de la consola. A continuacin, visualizando las Propiedades del controlador o del
objeto delegado, aparece una pestaa Seguridad que le permite visualizar y modificar la
seguridad directamente desde este lugar.
Observe, tambin, que desde el Centro de administracin de Active Directory (DSAC.exe),
no existe ningn asistente de delegacin disponible, aunque puede visualizar la seguridad
implementada en una OU especfica seleccionando la opcin Ver de las propiedades de la
OU en cuestin.
Una vez realizada la delegacin, es habitual que se distribuya una consola MMC
personalizada a los usuarios afectados. Para ello es necesario tener instaladas las
herramientas RSAT en los puestos de administracin.
La ventaja de tener una consola MMC personalizada es que estos usuarios slo tienen
acceso a una visin limitada del Active Directory. Tambin es posible definir de forma
exhaustiva las acciones disponibles (en nuestro ejemplo, seran las opciones de
reinicializar las contraseas de los usuarios y desbloquear su cuenta). Encontrar ms
informacin acerca de la forma de crear una consola MMC personalizada en la siguiente
direccin (en ingls): http://technet.microsoft.com/en-
us/library/bb742441.aspx#XSLTsection126121120120 o tambin
http://social.technet.microsoft.com/wiki/contents/articles/2816.how-to-create-custom-mmc-
and-add-taskpad.aspx
Aun habiendo configurado todas sus delegaciones, se dar cuenta rpidamente de que no
siempre es sencillo encontrar el documento correcto para saber "quin tiene el permiso para
hacer qu". Microsoft incluye para ello una pestaa que le permite listar las autorizaciones
efectivas de una cuenta o de un grupo de usuarios sobre el objeto que elija (opcin
disponible tanto a nivel de los permisos NTFS como a nivel de directorio). Esta opcin
puede resultar muy prctica para ver con mayor claridad la delegacin implementada, pero
tambin para paliar problemas de permisos a menudo heredados desde objetos padre
difcilmente identificables. Gracias a esta herramienta, podr identificar fcilmente los
problemas.
Abra las Propiedades de una cuenta de usuario presente en el contenedor que desee (por
ejemplo la unidad organizativa sobre la que haya definido su delegacin en el ejercicio
anterior) y a continuacin haga clic en la pestaa Seguridad - Opciones avanzadas -
Permisos efectivos. Recuerde que si utiliza la consola Usuarios y equipos de Active
Directory (dsa.msc), y la pestaa Seguridad no est presente, es necesario seleccionar las
Caractersticas avanzadas dentro de las opciones de visualizacin). Desde la consola
Centro de administracin de Active Directory (dsac.exe), tendr que ir a la opcin
Extensiones en las Propiedades de la cuenta.
Haga clic en Seleccionar e indique la cuenta de un usuario (en nuestro ejemplo se trata de
una cuenta de usuario miembro del grupo HotlineUsers).
Se muestran, a continuacin, todos los permisos que posee la cuenta de usuario sobre el
objeto seleccionado. En la captura de pantalla siguiente, vemos cmo el permiso Cambiar
contrasea est habilitado.
La delegacin de tareas administrativas es, como hemos visto, un elemento importante que
puede integrar en sus procesos administrativos para delimitar de la mejor forma posible el
rol de cada uno.
Securizacin de la red
La securizacin de la red de empresa es, tambin, una etapa primordial de la securizacin
general de su infraestructura. Esta seccin tiene como objetivo presentar las
funcionalidades ms interesantes de Windows Server 2012 que le permitirn implementarlo
de la mejor forma posible en su infraestructura de red existente.
1. Network Access Protection
Con Windows Server 2008 R2 apareci una capa suplementaria de red llamada NAP (por
Network Access Protection). Se realiza un control de conformidad sobre todos los
servidores y puestos de trabajo (que soporten esta funcionalidad) antes de realizar cualquier
conexin a la red de produccin.
2. El Firewall de Windows
Este mdulo de firewall no debe confundirse con el firewall "bsico", conocido en entornos
XP y accesible mediante el comando firewall.cpl. El firewall bsico no permite definir
reglas para el trfico saliente, sino nicamente excepciones para el trfico entrante.
Desde Windows Server 2008 R2, la consola del firewall bsico ha evolucionado y
permite habilitar la proteccin dependiendo del tipo de red a la que est conectada la tarjeta
de red, a saber: "Dominio", "Privada" o "Pblica". Cada interfaz de red tendr asignado un
perfil de-pendiendo de las caractersticas definidas por el servicio Reconocimiento de
ubicacin de red.
A continuacin, seleccione las aplicaciones para las que desea autorizar el trfico entrante.
Esto presenta una ventaja en comparacin a la apertura de un puerto, pues una aplicacin
autorizada abre una "brecha" nicamente durante el tiempo de ejecucin de la aplicacin
mientras que una regla aplicada sobre un puerto deja este puerto abierto durante todo el
tiempo y nada garantiza que la aplicacin que escucha en el puerto no es, en realidad, un
malware.
Tambin es posible configurar reglas de firewall desde una consola MMC que permita
configurar, de forma muy precisa y granular, los flujos, tanto entrantes como salientes. Esto
permite adaptarse mejor a la realidad de los requisitos en produccin.
Es posible definir una configuracin de firewall distinta para cada uno de los tres perfiles
de red existentes en Windows Server. La eleccin del tipo de perfil se realiza tras la
primera conexin de la tarjeta de red y puede encontrarse en la consola Centro de redes y
recursos compartidos. Puede cambiar esta definicin ms tarde, desde el Administrador
del servidor - Herramientas - Directiva de seguridad local - Directivas de gestin de
listas de red (ser necesario ejecutar un "gpupdate /force" para que se tengan en cuenta, de
manera inmediata, las modificaciones realizadas en el entorno).
Tambin puede conocer el perfil activo (y para el que se aplicarn las reglas de firewall
asociadas) directamente desde la consola MMC de configuracin del firewall avanzado.
Va a configurar, aqu, las opciones de manera local en un equipo, pero sepa que podr
realizar la misma operacin editando una directiva de grupo en el almacn descrito ms
arriba.
Conctese de forma local a un servidor o desde puesto cliente con Windows 7/8 con las
RSAT y, a continuacin:
Abra la consola Firewall de Windows con seguridad avanzada (wf.msc desde el men
Inicio - Ejecutar), y haga clic con el botn derecho del ratn en Reglas de entrada y, a
continuacin, Nueva regla.
Se abre un asistente que le permite elegir el tipo de regla de firewall que desea crear. Se
ofrecen cuatro opciones:
Observe que tambin es posible definir una franja de puertos para abrir.
Es posible configurar el mbito de la regla indicando las direcciones IP origen y destino
para las que se le quieren aplicar. En este ejemplo, puede abrir un acceso completo para
Cualquier direccin IP. Haga clic en Siguiente.
En Windows Server 2008 R2/2012, si elige Permitir la conexin si es segura para una
regla especfica, entonces es posible editar esta regla para definir los usuarios y equipos
para los que no se aplicar esta regla.
Observe que si est habilitada la auditora de las modificaciones de las directivas (mediante
la directiva de grupo Configuracin del equipo - Directivas - Configuracin de
Windows - Configuracin de seguridad - Directivas locales - Directivas de auditora),
se genera un evento con el nmero 2004, visible desde la consola Eventvwr.msc en el
registro Firewall que se encuentra en Registros de aplicaciones y servicios - Microsoft -
Windows - Windows Firewall With Advanced Security.
Acceso a objetos:
Cambio en directivas:
Sistema:
Con esta directiva (en particular, Auditar conexin de plataforma de filtrado y Auditar
colocacin de paquetes de plataforma de filtrado habilitadas), se produce un evento
4946 presente en el registro de Seguridad cuando se cree alguna regla de firewall.
Ver que muchos de estos elementos afectan, tambin, a IPsec, puesto que ambos mdulos
estn integrados en la misma aplicacin. Este tema se aborda un poco ms adelante en este
captulo.
Tambin es interesante saber que no se crea ningn archivo de registro por defecto. Puede
resultar til configurarlo para facilitar la deteccin de cualquier ataque en su servidor
(escaneo de puertos abiertos), o la depuracin que permita encontrar los puertos que es
necesario autorizar para una aplicacin concreta (bastar con tener una conexin y
supervisar en el archivo de registro los paquetes que no han sido autorizados).
Para configurar el archivo de registro, haga clic con el botn derecho del ratn en Firewall
de Windows con seguridad avanzada en Equipo local - Propiedades. Haga clic en
Personalizar dentro de Registro. A continuacin, puede definir una ruta y un nombre para
el archivo de registro, un tamao mximo y el tipo de eventos que desea registrar (paquetes
ignorados y/o conexiones de red).
Observe que esta manipulacin puede realizarse, tambin, desde la directiva de grupo y, de
este modo, desplegarla al mismo tiempo que las dems reglas configuradas.
El cifrado de las conexiones mediante IPSec hace mucho ms complicado atacar un sistema
orientado a la red. Si un atacante quisiera, por ejemplo, escuchar (mediante un sniffer) la
red durante la transferencia de un archivo entre dos equipos configurados para utilizar el
cifrado IPSec, le ser imposible descifrar los archivos intercambiados!
La segunda ventaja del protocolo IPSec consiste en proveer una autenticacin de los
participantes y garantizar la integridad de los datos durante el cifrado de red. IPSec puede,
as, autenticar a un cliente de red (mediante una autenticacin Kerberos o un certificado,
por ejemplo) antes de permitir inicializar la conexin de red. El ataque de tipo "Man in the
middle" consiste en que un atacante se hace pasar por el servidor a los ojos del cliente y a la
inversa para el cliente a los ojos del servidor. De este modo puede escuchar todo el trfico
entre ambos participantes (remitindolo inmediatamente al verdadero destinatario) y a
continuacin recuperar la contrasea del usuario en una fase de autenticacin en el dominio
Active Directory por ejemplo.
La autenticacin IPSec permite impedir este tipo de ataque autenticando los participantes y
asegurando que los datos no han sido modificados durante su transporte.
Esta autenticacin tambin puede ser muy til para definir una replicacin entre los
controladores de dominio que se encuentran en sitios diferentes y as garantizar la
integridad de la transaccin.
Es preciso, tambin, saber que el protocolo IPSec funciona segn dos modos posibles. El
modo transporte o el modo tnel.
El modo transporte de IPSec permite proteger las comunicaciones entre dos hosts de una
misma red privada o entre dos hosts que no estn separados por ninguna traduccin de
direcciones de red (NAT). En este ltimo caso, puede implantar IPSec Nat Traversal (NAT-
T) con la condicin de que el servidor NAT y los hosts soportan NAT-T (consulte la RFC
3947).
El modo tnel de IPSec protege las comunicaciones entre un host y una red, o de red a red.
Este modo es ms flexible que el modo transporte.
Esta configuracin puede realizarse de forma muy precisa en el mismo lugar que se haca
en las versiones anteriores de Windows Server, es decir en la directiva de grupo
Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Directivas de seguridad IP. La ventaja de esta consola es que puede definir el
tipo de trfico IP que desea autorizar.
Si, por el contrario, tiene necesidades mucho ms precisas que definir (como, por ejemplo,
implementar un filtrado IPsec en su red interna entre dos puestos de distintos
departamentos, entre controladores de dominio, etc.), las reglas de seguridad de conexin
estn mucho mejor adaptadas, pues son mucho ms fciles de implementar y permiten, en
particular, filtrar el flujo autorizado a travs de esta conexin IPsec.
Puede configurar sus propias reglas de seguridad de conexin desde la misma consola
MMC que el firewall de Windows avanzado.
Se le ofrecen varios tipos de regla. Para tener una visin completa de las posibilidades
seleccione Personalizada y, a continuacin, Siguiente.
Cuando est en este apartado, aproveche para definir la obligatoriedad del cifrado de los
datos haciendo clic en Personalizar en Proteccin de datos (modo rpido) y marcando la
opcin Requerir cifrado para todas las reglas de seguridad de conexin que usan esta
configuracin. Haga clic en Aceptar tres veces para volver a su asistente.
Tambin es posible definir desde la consola los Protocolos y puertos sobre los que se
aplicar esta regla, lo que permite definir, de una manera todava ms precisa, el tnel IPsec
creado. Esta operacin puede realizarse tambin mediante el comando netsh.
Defina los perfiles para los que quiere aplicar esta regla. Es posible marcar los tres perfiles.
Como hemos impuesto una autenticacin en las conexiones entrantes y salientes, a partir
del momento en que haga clic en Finalizar, ya no es posible mantener la conexin entre
ambos servidores. Conviene, por tanto, crear esta misma regla en el segundo servidor. Para
comprobarlo, trate de hacer ping al equipo que posee, de momento, la directiva IPsec desde
el segundo equipo, y comprobar que no hay respuesta al ping.
Conclusin
Como ha podido ver, Windows Server 2012 R2 posee numerosas funcionalidades de
seguridad avanzada. stas no tienen por qu suponer una prdida de productividad. En
efecto, muchos de estos parmetros de seguridad son fcilmente accesibles y
pueden administrarse de forma centralizada.
Introduccin
En este captulo aprender a implementar soluciones para garantizar el estado de salud de
su red una vez configurada y en produccin.
Si bien a primera vista puede parecer que las copias de seguridad incremental y diferencial
son muy parecidas, en la prctica cada una tiene sus ventajas y sus inconvenientes.
Una copia de seguridad diferencial necesita menos medios para realizar una restauracin.
En efecto, basta con usar la ltima copia de seguridad completa y la ltima copia de
seguridad diferencial.
La copia de seguridad incremental toma menos tiempo. Slo almacena aquellos elementos
que se hayan visto modificados desde la ltima copia de seguridad (completa o
incremental). El volumen de la copia de seguridad ser menor.
Ventajas: las copias de seguridad son ms rpidas y necesitan menos capacidad en los
medios de almacenamiento.
Windows integra, desde la versin 3.1, una herramienta de copia de seguridad llamada
NTBACKUP. Con la llegada de Windows Server 2008, se ha visto remplazada. El nombre
de su sucesor es: WSB (Windows Server Backup).
Windows Server Backup proporciona una solucin que permite responder a las necesidades
de copia de seguridad y de restauracin. Puede utilizarla para realizar una copia de
seguridad completa de un servidor, tambin para realizar una copia de seguridad de ciertos
volmenes, ciertas aplicaciones o incluso para guardar solamente el estado del sistema.
En caso de producirse algn problema grave, podr realizar una recuperacin bare metal
(restauracin partiendo de 0).
Puede utilizar Windows Server Backup para crear y administrar copias de seguridad de un
equipo local o un equipo remoto. Es posible planificar copias de seguridad para que se
ejecuten de manera automtica. Tambin es posible realizar copias de seguridad puntuales.
Requisitos previos: disponer de un segundo disco duro sobre el que realizar la copia de
seguridad.
En la lista desplegable Seleccionar hora del da, seleccione 23:00 y, a continuacin, haga
clic en Siguiente.
En la pantalla que permite seleccionar un tipo de destino, haga clic en realizar copia de
seguridad En un volumen y, a continuacin, haga clic en Siguiente.
Existen tres opciones:
El objetivo es, aqu, realizar una copia de seguridad slo de ciertas carpetas de la mquina
servidor. Esta copia de seguridad se realizar de forma completa todos los das a las 21h.
Deje la planificacin por defecto (Una vez al da a las 21h) y, a continuacin, haga clic en
Siguiente.
La copia VSS es til si utiliza otro sistema de copia de seguridad. En efecto, esto deja los
atributos de los archivos intactos. De este modo las copias de seguridad que se realicen con
su programa dedicado no se vern afectadas en su rotacin. VSS permite a su vez
salvaguardar archivos abiertos.
La copia de seguridad completa VSS es til cuando slo utiliza Windows Server Backup
para realizar sus copias de seguridad. ste, una vez terminada la ejecucin, actualiza el
histrico de copia de seguridad de los archivos.
La herramienta por lnea de comandos wbadmin est disponible con las versiones Core y
Completa de Windows Server 2012. Permite realizar las mismas tareas que con la interfaz
grfica (observar que el ttulo de la ventana de copia de seguridad Windows Server se
llama: wbadmin - Copia de seguridad de Windows Server) del asistente de copia de
seguridad o incluso ms.
Wbadmin tiene la ventaja de permitir incluir los comandos en procesos batch. Estos batch
pueden ejecutarse como tareas programadas. A su vez, existe la posibilidad de ejecutar
rpidamente una copia de seguridad sobre un almacenamiento en red. Por ejemplo, la
siguiente lnea de comando permite realizar la copia de seguridad del volumen E en una
carpeta compartida de otro equipo:
e. Las instantneas
Como complemento a las copias de seguridad, puede utilizar las instantneas (llamadas
comnmente Volume Shadow Copy). Las instantneas permiten restaurar los archivos que
se encuentran en las carpetas compartidas de red. Esta restauracin se realiza de forma muy
simple y rpida.
Haga clic con el botn derecho en el volumen para el que quiere activar las instantneas y,
a continuacin, seleccione Propiedades.
Seleccione la ubicacin del almacenamiento (puede ser interesante seleccionar otro medio
de almacenamiento distinto al volumen desde el que se hacen las instantneas para utilizar
un medio de almacenamiento de bajo coste como, por ejemplo, un disco duro USB).
Ajuste estos valores en funcin de sus necesidades y teniendo en mente que slo se
conservarn 64 versiones de la instantnea.
Puede hacer clic en el botn Crear para crear una instantnea de manera inmediata.
Si intenta ver el contenido de esta instantnea, ver que est vaca. En efecto, las
instantneas utilizan una imagen en un instante T para realizar la copia de seguridad de los
datos que se han modificado desde la ltima instantnea. Un archivo que ya existiera en la
instantnea antes de implementar la copia de seguridad y que jams se haya modificado,
nunca podr verse en las versiones anteriores.
Para restaurar una instantnea, vaya a la pestaa Versiones anteriores en las propiedades
de una carpeta padre o, directamente, sobre el archivo deseado si todava est presente (a
continuacin se muestra una captura de pantalla que ilustra esta posibilidad).
Ahora que sabe cmo realizar una copia de seguridad de sus datos, vamos a ver cmo
restaurarlos. Para restaurar informacin utilizando WSB, debe ser miembro del grupo
Operadores de copia de seguridad o del grupo Administradores del equipo.
Especifique el servidor sobre el que se encuentra la copia de seguridad que se utilizar para
recuperar los datos y, a continuacin, haga clic en Siguiente.
Seleccione el tipo de dato que desea recuperar y, a continuacin, haga clic en Siguiente.
Seleccione los elementos que desea recuperar y, a continuacin, haga clic en Siguiente.
La restauracin del estado del sistema sobre un controlador de dominio realiza una
restauracin no autoritaria de Active Directory.
He aqu las etapas que debe seguir para restaurar el estado de su sistema:
Inicie su servidor desde una imagen de instalacin (DVD, llave USB, red) de Windows
Server 2012.
Al utilizarse una imagen almacenada en la red para restaurar el sistema, es preciso disponer
de un servidor DHCP que permita obtener una direccin IP vlida en la red de trabajo.
Espere a que el sistema reinicie automticamente para que la restauracin termine por
completo.
3. Almacenamiento
a. Conjunto RAID
Existe un mtodo alternativo de asegurar los datos. Muy extendida en los entornos de
servidores y en expansin en entornos particulares, esta tecnologa se llama RAID
(Redundant Array of Independent Disks).
En este captulo slo vamos a describir los tres niveles de RAID estndar propuestos por
Windows Server 2012 R2, a saber: RAID 0, RAID1 y RAID5. En funcin del nivel de
RAID elegido, obtendr:
Bien un sistema de reparto de carga que mejora su rendimiento (RAID 0).
Bien un sistema de redundancia que dota al almacenamiento de datos de cierta
tolerancia a fallos de hardware (RAID 1).
O bien ambas caractersticas a la vez (RAID 5).
El sistema RAID es capaz por tanto de gestionar el reparto de carga y la coherencia de los
datos. Este sistema de control puede ser puramente lgico, o utilizar un hardware dedicado.
En RAID lgico, el control del RAID se realiza ntegramente en la capa lgica del sistema
operativo. Esta capa se intercala entre la capa de abastecimiento de hardware (controlador)
y la capa del sistema de archivos.
En el caso de RAID por hardware, existe una tarjeta o un componente dedicado a la gestin
de las operaciones. Desde el punto de vista del sistema operativo, el controlador RAID por
hardware ofrece una virtualizacin completa del sistema de almacenamiento. El sistema
operativo considera cada volumen RAID como un disco que no conoce sus constituyentes
fsicos.
Para poder configurar volmenes en RAID en Windows Server 2012, es preciso haber
convertido los discos como dinmicos previamente.
Windows Server 2012 y Windows Server 2012 R2, igual que sus versiones anteriores, no
permite configurar el volumen de sistema en RAID 5.
b. Espacios de almacenamiento
Esta tecnologa permite agrupar discos fsicos y crear discos virtuales sobre ellos. Para las
pequeas empresas, los espacios de almacenamiento ofrecen la posibilidad de crear un
almacenamiento compartido de bajo coste.
Si bien las funcionalidades son parecidas a las de una SAN (Storage Area Network), los
espacios de almacenamiento son, no obstante, mucho ms flexibles de utilizar.
Otra ventaja del uso de espacios de almacenamiento se presenta cuando necesita reconstruir
un disco fsico defectuoso. En los sistemas RAID tradicionales, esto puede llevar un tiempo
considerable. Con Windows Server 2012 R2, ver estos tiempos considerablemente
reducidos gracias a una tcnica de reconstruccin en paralelo. Este proceso utiliza los
discos sanos restantes para reponer los datos que estaban almacenados sobre el disco
defectuoso. Resulta extremadamente prctico, en lugar de utilizar discos hot spare, utilizar
en su lugar discos de reserva en el espacio de almacenamiento, los cuales pueden
explotarse, de este modo, mediante procesos de reconstruccin en paralelo. Esto permite no
slo ofrecer un mejor rendimiento de entrada/salida para la actividad de almacenamiento de
la produccin (a diferencia de un RAID que suele degradar sobre un sistema SAN clsico)
sino tambin hacer que su empresa sea menos vulnerable mientras se ejecuta un proceso de
reconstruccin (por ejemplo, durante la reconstruccin de un RAID5 degradado debido a
que un segundo disco se ha vuelto irreparable). Como demostracin, Microsoft muestra, en
una sesin TechEd, la reconstruccin de un RAID compuesto por ocho discos de 3 TB en
50 minutos con una tasa de transferencia superior a 800 MB/s.
Windows Server 2012 R2 incluye otras mejoras con los espacios de almacenamiento, en
particular:
A pesar de las numerosas ventajas que ofrece NTFS respecto a los primeros sistemas de
archivos FAT, existe desde 1993. Muchos usuarios de productos Windows Server esperan,
desde hace ya bastante tiempo, una evolucin del sistema de archivos del sistema operativo
de Microsoft.
Windows Server 2012 aporta este nuevo sistema de archivos: ReFS, o sistema de
archivos resiliente, que tiene en cuenta muchas funcionalidades de NTFS aunque abandona
algunas de ellas como, por ejemplo, la compresin de archivos, el sistema EFS (Encrypting
File System) y las cuotas de disco. A cambio, ReFS ofrece la verificacin de datos y la
correccin automtica.
Las funcionalidades claves de ReFS son las siguientes (observe que algunas de estas
funcionalidades se ofrecen junto con los espacios de almacenamiento):
Cada archivo posee su propia informacin: nombre, atributos, permisos, etc. Pero tambin
su propio contenido. Si bien los archivos son, en parte, idnticos (secciones A y B), las
porciones similares se almacenan dos veces.
Windows Server 2012 R2 provee una desduplicacin de datos mejorada gracias a las
siguientes funcionalidades:
Las pruebas muestran buenos resultados en lo que afecta a la desduplicacin de datos (no
slo en tecnologas Microsoft), aunque se basan, sin duda, en casos particularmente
optimistas.
Haga clic con el botn derecho sobre el volumen en el que desea activar la desduplicacin
de datos y, a continuacin, seleccione Configurar desduplicacin de datos.
Cuando habilite la desduplicacin de datos con Windows Server 2012, el retardo por
defecto para realizar la operacin de desduplicacin de los archivos era de 5 das. Los
archivos se procesan, desde su escritura en el servidor, pasado cierto tiempo, que podr
adaptar en funcin de sus necesidades, recursos, y dems condiciones de trabajo.
Con Windows Server 2012 R2, el valor est fijado por defecto a 5 das, y no es posible
modificarlo. En efecto, con Windows Server 2012, los usuarios rebajaban este valor a 3
das, lo que impeda un funcionamiento correcto del proceso de desduplicacin, siendo el
valor demasiado bajo (vase la conclusin de los ingenieros de Microsoft al respecto como
resultado del feedback de sus clientes).
Tambin tiene la posibilidad de excluir archivos de este proceso. Por ejemplo, los archivos
mp3 y mp4, sobre los que ya se ha ejecutado un procesamiento previo similar mediante las
herramientas que los gestionan. No resulta, por tanto, til configurar la desduplicacin para
estas extensiones, y el proceso no permite liberar una cantidad de espacio significativa. Del
mismo modo, puede excluir carpetas completas.
Con Windows Server 2012 R2, existe una opcin en la configuracin de la desduplicacin.
Puede, en lo sucesivo, especificar si se trata de un servidor de archivos "clsico" o un
servidor VDI (Virtual Desktop Infrastructure). En funcin de la opcin elegida, las
extensiones de los archivos excluidas por defecto para adaptarse al tipo de servidor (de
archivos edb y jrs para un servidor de archivos; archivos bin, vsv, slp, xml, tmp, hrl y hru
para un servidor VDI).
Haga clic en Aceptar y, de nuevo, en Aceptar para validar las opciones seleccionadas y,
de este modo, habilitar la desduplicacin de datos en el volumen seleccionado.
Recurrir a la desduplicacin de datos sobre archivos replicados mediante replicacin DFS
no supone ningn problema. Slo se actualizarn aquellas particiones de archivos que se
hayan modificado desde la ltima replicacin.
Siempre puede utilizar una herramienta de terceros para gestionar las actualizaciones de
aplicaciones externas. Tenga en mente que el navegador de Internet y los plugins asociados
(Adobe Flash Player, Adobe Reader, Java, etc.) son la principal puerta de entrada para un
virus. Es, por tanto, importante actualizar de manera regular estos componentes mediante
las directivas de grupo o herramientas externas.
Segn su infraestructura, WSUS puede actualizarse a travs del sitio Microsoft Update o
incluso con otro servidor WSUS. Los clientes compatibles con WSUS aparecen a partir de
Windows 2000 SP4. Adems de los sistemas operativos, WSUS permite gestionar las
actualizaciones de las aplicaciones de Microsoft ms corrientes (SQL Server, Exchange
Server, Office, etc.).
Observe que, del lado cliente, Windows 8.1 aporta una mejora. En efecto, cuando los
usuarios de dispositivos reportan o ignoran las actualizaciones del sistema, los dispositivos
pueden no estar en conformidad con las polticas de seguridad de la empresa. En Windows
8.1, Windows Update realiza automticamente las actualizaciones del sistema. Si es
necesario reiniciar, el usuario que est conectado al equipo se conecta, automticamente, de
nuevo, y las aplicaciones en curso antes de realizar la actualizacin se reinician, con la
sesin desbloqueada (utilizando Secure Desktop).
Este reinicio automtico requiere que las credenciales del usuario conectado puedan
almacenarse en cach, y que BitLocker est habilitado y soporte este tipo de reinicio sin
intervencin.
2. Instalacin de WSUS
A continuacin se muestran las etapas que debe realizar para instalar WSUS. Observe que
esta etapa tiene, como requisito previo, una conexin a Internet.
Deje marcadas las opciones WID Database y WSUS Services y, a continuacin, haga clic
en Siguiente.
Aqu, WID Database significa que se va a instalar la base de datos de configuracin
WSUS en la base de datos interna de Windows (WID por Windows Internal
Database). Para instalar la base de datos en un servidor SQL basta con marcar la opcin
Base de datos. Obviamente, no es posible marcar al mismo tiempo las opciones WID
Database y Base de datos. Los administradores que quieran tener un mayor control sobre
la base de datos preferirn utilizar SQL Server.
Haga clic en Iniciar conexin para que WSUS recupere la informacin disponible para la
descarga (esta etapa resulta algo larga). Una vez realizada la conexin, haga clic en
Siguiente.
Seleccione los idiomas utilizados por los distintos sistemas operativos (en nuestro ejemplo
el espaol) si no est hecho automticamente y, a continuacin, haga clic en Siguiente.
WSUS descargar, en lo sucesivo, las actualizaciones en todos los idiomas seleccionado.
Prevea, por lo tanto, un espacio en disco acorde al nmero de idiomas diferentes
seleccionados.
3. Uso de WSUS
Antes que nada, es preciso configurar los clientes para utilizar el servidor WSUS recin
instalado.
Si dispone de un dominio Active Directory, cree una nueva directiva de grupo GPO a nivel
de dominio o de una OU. Si su PC no est en un dominio, utilice el comando gpedit.msc.
Preste atencin, piense en especificar el puerto que utiliza el sitio Web de actualizaciones.
Elija a continuacin los das y las horas para instalar las actualizaciones.
En este caso se ha escogido la opcin 3 para aplicarla a los servidores. Este parmetro
permite gestionar, de manera manual, la instalacin de las actualizaciones y la hora de
reinicio posterior de los servidores. Para un equipo de usuario se optar por la opcin 4, con
el objetivo de estar seguro de que las actualizaciones se instalan. El usuario tendr, no
obstante, la posibilidad de posponer el reinicio del equipo si est conectado.
Para forzar la deteccin por WSUS de un equipo cliente, ejecute desde el puesto el
siguiente comando: wuauclt /detectnow.
Seleccionando una de las vistas preconfiguradas, o una de las que ha creado, tendr la
posibilidad de aprobar o rechazar las actualizaciones (una cada vez, o por lotes) para
permitir, a las mquinas cliente de WSUS, recuperarlas.
La lista desplegable Aprobacin permite ver las actualizaciones que ya han sido aprobadas
o no (en el ejemplo, lo estn para un grupo de equipos: Instalar (1/25).
La lista desplegable Estado permite ver las actualizaciones que no han podido instalarse en
todas las mquinas o que presentan algn problema en su instalacin
Tambin es posible obtener informes detallados acerca de las actualizaciones. Para ello
basta con ir a la pestaa asociada y seleccionar el informe a visualizar.
Es preciso haber instalado Microsoft Report Viewer 2008 para poder consultarlos. Est
disponible en la siguiente direccin: http://www.microsoft.com/es-
es/download/details.aspx?id=577. Aparecer un mensaje, de todas maneras, indicndole
que necesita esta herramienta si quiere visualizar un informe desde la consola de
administracin WSUS.
Existen informes preconfigurados a su disposicin. No tiene la posibilidad de crear nuevos.
Los modelos preexistentes se generan bajo demanda, de modo que se pueda disponer de la
informacin ms actualizada posible.
Conclusin
En este captulo ha visto los elementos esenciales para dotar de seguridad a su parque
informtico. En los aspectos relativos a la seguridad informtica es mejor adoptar una
actitud proactiva y anticipar los problemas e incidentes a los que deber hacer frente.
Ganar en rapidez para devolver su infraestructura a un estado productivo en caso de que
ocurra algn problema importante.
Prevenirse frente a amenazas como los virus, la explotacin de fallos del sistema y dems
contrariedades resulta tambin imprescindible. Conservar sus aplicaciones siempre
actualizadas permite corregir los defectos de las mismas. WSUS es gratuito, aprovchelo, le
facilitar en gran medida la difcil tarea de la gestin de parches de seguridad de Microsoft.
Ya no necesita acceder individualmente a cada PC para controlar el estado de las
actualizaciones, ni tampoco para forzarlas. Todo ello se puede administrar en lo sucesivo de
forma remota, centralizada y simplificada.
Ms all de Windows Server 2012 R2 y
Windows 8.1
En el momento de escribir estas lneas, existe poca informacin disponible sobre las
prximas versiones de Windows 8.1 y Windows Server 2012 R2.
Este enfoque, mucho ms modular, tiene la ventaja de que desvincula al sistema operativo
de las funcionalidades propuestas. Esto aportar una mejor reactividad y adaptacin a los
cambios para las empresas que ya no estarn obligadas a estudiar el impacto ligado a una
migracin de todo el OS sino, nicamente, del mdulo que se desea actualizar.
Por supuesto, esta informacin se ofrece con todas las reservas y es posible cualquier
enfoque cuando se trata de nuevos desarrollos y una adaptacin al mercado.
El calendario esperado
Microsoft pretende acortar el tiempo necesario entre la aparicin de una versin mayor o
menor de Windows: 2 aos entre una versin mayor (2003) y una versin menor (2003 R2,
parecida en 2005) y, a continuacin, otros 3 aos antes de la siguiente versin mayor
(2008), y as con periodos de 2 aos.
Si se mantiene esta cadencia, permitir evitar versiones intermedias, y evitar a los usuarios
que se habiten a una versin especfica como ocurri con Windows XP, pero tambin
responder a sistemas competidores como Apple donde aparecen nuevas versiones de forma
regular.