Está en la página 1de 838

Windows Server 2012 R2Administracin

avanzada
Este libro est dirigido a aquellos administradores e ingenieros de sistemas que deseen
adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en
profundidad.

Responde a la necesidad de disponer de una mayor experiencia por parte del lector,
tratando con profundidad, desde un punto de vista terico y prctico, roles imprescindibles
tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso
la VPN. Tambin se describen todas las especificidades de Windows Server 2012 R2
(como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, los Work
Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials,
etc.), para permitirle aprovechar al mximo el potencial de esta versin.

Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el


compaero ideal para aprender hasta el ltimo detalle de esta versin de Windows Server.
Aporta un alto nivel de experiencia y su vocacin es convertirse en una obra de referencia.

Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft
(MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en
infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las
mejores prcticas del mundo profesional de la empresa.

Los captulos del libro:


Introduccin Dominio Active Directory Arquitectura distribuida de acceso a los
recursos Alta disponibilidad Implementar los servicios de Red de la empresa La
evolucin de la red Servicios de Escritorio remoto Acceso remoto Aplicaciones de
Internet Reducir la superficie de ataque Consolidar sus servidores Despliegue de
servidores y puestos de trabajo Securizar su arquitectura El ciclo de vida de su
infraestructura Prepararse para el futuro

Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD

Thierry DEMAN es Arquitecto de Sistemas y domina las tecnologas Microsoft tras


numerosos aos trabajando en el seno de Permis Informatique. Est reconocido como
Microsoft MVP (Most Valuable Professional) en Exchange tras varios aos. Est
certificado, entre otros, en MCSE Messaging 2013 y MCSA Windows Server 2008 et
2012.

Freddy ELMALEH es consultor freelance, experto en Seguridad y soluciones de


Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora con muchas
grandes empresas en servicios de consultora y auditora de sistemas y seguridad. Est
reconocido como Microsoft MVP (Most Valuable Professional) en Directory Services
desde 2007 gracias, en particular, a su activa participacin en el seno de la comunidad
Microsoft (Foro Technet y laboratorio Microsoft). Tambin est certificado en MCITP
Server Administrator para Windows Server 2012.

Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa de servicios.


Colabora como responsable de proyectos de Active Directory y Exchange y ha
participado en numerosos proyectos de despliegue y migracin de infraestructuras
Windows Server. Est certificado en MCSE y MCITP Server Administrator para
Windows Server 2008.

Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes, Jefe de


proyecto, formador MCT y fundador de MVJ CONSULTING. Interviene como experto
en proyectos de diseo de parques informticos, de virtualizacin y de securizacin
siempre en relacin con tecnologas Microsoft. Est, entre otros, certificado en MCITP
Enterprise Administrator para Windows Server 2008 y MCSA para Windows Server
2012.

Introduccin
Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server de
Microsoft

Se trata, evidentemente, de Windows Server 2012 R2.

Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo,


de este modo, definir un ciclo de vida ms corto a sus productos para aportar, de manera
regular, mejoras y evolutivos tcnicos adaptados al mercado.

Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin de
la versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin de
todos los profesionales.

Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y
completa que responda a las necesidades, cada vez ms exigentes, de las empresas. Esta
versin evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la
virtualizacin de servidores, al Cloud Computing y a la premisa "Bring Your Own Device".
Podr, de este modo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le
permitirn basar el conjunto de sus Sistemas de Informacin en una solucin Microsoft.

Las distintas ediciones de Windows Server


2012/2012 R2
Como es habitual, Microsoft Windows Server 2012 R2, as como Windows Server 2012,
est disponible en distintas versiones. La eleccin de una u otra edicin depender,
especialmente:

Del rol del servidor que prev instalar.


De la estrategia de virtualizacin empleada.
Del tipo de licencia utilizado.

Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2:

Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que


soporta hasta 64 procesadores. Se trata de una versin destinada a servidores
especialmente potentes que slo est disponible bajo un programa de clave de
licencia por volumen. Su modelo de licencia se calcula en funcin del nmero de
procesadores y del nmero de CAL. Permite alojar un nmero ilimitado de
mquinas virtuales.
Windows Server 2012 R2 Standard: se trata de una versin idntica a la edicin
Datacenter, salvo que slo permite el uso de dos instancias virtuales.
Windows Server 2012 R2 Essentials: esta versin remplaza a Small Business
Server Essentials. Algunos roles no estn disponibles en comparacin con una
versin Standard (Server Core, Hyper-V, etc.). Esta edicin est limitada a una
nica instancia fsica o virtual, con un mximo de 25 usuarios. Las versiones
Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente,
son propias de la versin Essentials (tales como la copia de seguridad de los equipos
cliente, los cuadros de mando, etc.).
Windows Server 2012 R2 Foundation: esta edicin no ofrece solucin de
virtualizacin (no es posible instalar Hyper-V), y est limitada a 15 usuarios. Es
posible obtener ms informacin sobre las especificaciones (idnticas entre las
versiones 2012 y 2012 R2) de esta versin en la siguiente direccin:
http://technet.microsoft.com/en-us/library/jj679892.aspx

Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est
preconfigurada para ejecutar una versin mnima (Core) de Windows Server 2012 y slo
puede alojar el rol Hyper-V. Es posible encontrar ms informacin en la siguiente
direccin: http://technet.microsoft.com/es-es/evalcenter/dn205299.aspx

Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de
32 bits e Itanium ya no estn disponibles.

Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas


versiones de Windows en la siguiente direccin (en ingls): http://www.microsoft.com/en-
us/server-cloud/windows-server/buy.aspx

La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012
Standard y Datacenter, el clculo de licencias "por servidor" cambia por licencias "por
procesador". Preste atencin, en adelante, al hardware de sus servidores. Por defecto, estas
versiones parten de una licencia para dos procesadores. La nica diferencia entre ambas
versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y de
dos mquinas virtuales en la versin Standard.

Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente


direccin: http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-
EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf

Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos


detalles se encuentran en la siguiente
documentacin:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-
B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf

Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la
empresa, este documento se centra en las ediciones Standard y Datacenter.

Los grandes ejes de Windows Server 2012


R2
Durante el estudio de los ejes principales de esta versin de Windows Server, Microsoft
tiene en consideracin la carga de trabajo, la presin creciente sobre el servicio IT de las
empresas y la explosin del Cloud Computing. El sistema operativo deber, por tanto, dar
respuesta a estas tres exigencias esenciales.

1. Un mejor control de la informacin

Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una
mayor eficacia en la administracin y, en consecuencia, una mejora en la productividad. La
nueva interfaz, de tipo mosaico, es coherente con el resto de la nueva gama de los OS
Windows. Aunque le pueda resultar algo desconcertante, Microsoft ha rectificado su
estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma de control
suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de
que no sea capaz de volver a reiniciar su servidor salvo por lnea de comando:
http://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_run

Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha


aumentado la capacidad de script y de automatizacin de tareas gracias al lenguaje de script
Windows PowerShell. La automatizacin de tareas corrientes de administracin se ve, de
este modo, mejorada enormemente gracias a esta nueva funcionalidad. Prcticamente todas
las acciones realizadas en el seno del sistema se pueden automatizar con PowerShell, y
existen muchos asistentes que proponen, como ltimo paso, recuperar la sintaxis
PowerShell equivalente a las acciones realizadas.

El servicio de directorio de Active Directory est dotado, desde Windows Server 2008
R2, de funcionalidades tales como la papelera de reciclaje de Active Directory, la
administracin automtica de cuentas de servicio o incluso la posibilidad de administrar de
forma grfica las directivas de contraseas mltiples, que encantarn a todo administrador.
El control de acceso dinmico permite controlar el acceso a los datos de forma dinmica.
Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a
continuacin, el control sobre el que se ubican en el seno del Sistema de Informacin.

La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin


del servidor, facilita la administracin. Los asistentes disponibles permiten limitar al
mximo los errores de configuracin gracias a sus numerosas explicaciones, que guan al
administrador en la etapa de instalacin de un componente Windows. La consola permite, a
su vez, instalar y administrar servidores fsicos remotos o virtuales, tanto desde un servidor
como desde un puesto de trabajo, mediante las herramientas de administracin RSAT. Es,
por tanto, fcil crear un grupo de servidores que tengan que gestionarse de manera
conjunta.

Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de
Windows Server 2012 R2, conocida con el nombre de Windows Server Core. Esta versin
funciona, de hecho, sin una interfaz grfica y todo debe configurarse por lnea de
comandos. La ventaja principal de este tipo de administracin reside en el hecho de que la
superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor
aquellos componentes imprescindibles. Los administradores agregarn, a continuacin, los
roles que deseen. La interfaz grfica se considera una caracterstica ms que es posible
desinstalar.

Consolas tales como el monitor de confiabilidad y rendimiento de Windows permite


detectar problemas de configuracin en sus sistemas operativos, e informar
automticamente al servicio informtico. Ofrece, a su vez, mucha informacin precisa
sobre el uso de componentes del sistema.

En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es


posible instalar impresoras automticamente sobre equipos de usuario mediante directivas
de grupo.

La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las
impresoras de su dominio.

Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker
permitirn realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows
Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1.

2. Una mejor proteccin del Sistema de Informacin orientada a la


movilidad y al Cloud

Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows


Server 2008. Existe un ncleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se
basaban en el ncleo NT 5.x). Windows 8 y 2012 se basan en el ncleo 6.2.
Este ncleo posee la tecnologa Patchguard, desarrollada por Microsoft para proteger al
mximo el sistema operativo y, de este modo, mantener una barrera para los rootkits o
cualquier otro ataque que trate de modificar el ncleo del sistema. Windows Server
2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidad ELAM (Early
Launch Anti-Malware) que permite cargarse nicamente a aquellos drivers firmados, tras el
arranque del sistema.

La proteccin de acceso a redes (NAP) est, tambin, accesible y le permite implementar


condiciones de uso de su sistema dentro de la empresa. Se terminaron las personas
externas que llegaban con un ordenador porttil que no cumpliera con las reglas de la
organizacin y los usuarios sin el antivirus actualizado! El acceso a la red se les denegar
mientras no cumplan con los criterios de conformidad que usted haya juzgado
convenientes.

El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la


implementacin de DirectAccess, que permite a los administradores aprovechar un control
mayor sobre los equipos, pudiendo, de este modo, administrarlos incluso antes de que se
conecte un usuario (GPO disponibles, etc.). Se termin la necesidad de tener una
infraestructura IPv6 para aprovechar esta solucin, como ocurra con Windows Server
2008 R2.

Los controladores de dominio de solo lectura (RODC) refuerzan la seguridad de sus


dominios Active Directory en la medida en que puede limitar la difusin de ciertas
contraseas en caso de que se vea comprometido algn controlador de dominio. stos
encontrarn, por ejemplo, su lugar en las pequeas redes de agencia donde la seguridad del
controlador de dominio no puede garantizarse.

El acceso VPN a travs de protocolos tales como SSL facilitan el acceso al Sistema de
Informacin y, tambin, intercambiar datos con otros equipos. La pasarela sitio-a-sitio
multi-inquilino provee, de este modo, la opcin de utilizar una misma pasarela Site To Site
para conectar clientes que posean el mismo plan de direccionamiento IP.

El firewall avanzado de Windows Server 2012 R2 permite limitar la superficie de ataque


de sus servidores realizando un filtrado de los puertos sobre el trfico de red entrante o
saliente. El firewall analiza el flujo a nivel de aplicacin, de modo que puede no autorizar el
trfico para un servicio especfico. Adems, la nueva consola de gestin MMC para el
firewall avanzado permite configurar los flujos IPsec para asegurar la integridad o cifrar el
flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio
o entre equipos de administracin y servidores de administracin.

El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el
acceso a los datos de su disco duro desde una instalacin paralela de otro sistema operativo.

Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su


infraestructura informtica. El rol AD CS (Active Directory Certificate Services) permite
difundir certificados basados en el nuevo modelo de certificados versin 4. El rol AD RMS
(Active Directory Rights Management Services) le da la posibilidad de controlar la difusin
de los documentos en su empresa. El rol AD FS permite favorecer enormemente los
intercambios de informacin con equipos asociados externos, o incluso mejorar el uso de
terminales personales para conectarse al Sistema de Informacin de la empresa (BYOD)
con un control mnimo sobre estos equipos gracias a Workplace Join.

Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de


Carpetas de trabajo permiten sincronizar archivos profesionales entre varios PC o
dispositivos que pertenezcan al mismo usuario, pertenezcan o no a la empresa.

Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por


tanto, limitar el riesgo de ataque sobre el servidor garantizando una productividad y una
flexibilidad importantes.

3. Una plataforma que evoluciona

Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las


necesidades de evolucin de una sociedad.

La tecnologa hypervisor (Hyper-V) responde a la necesidad, cada vez mayor, de las


empresas que desean virtualizar algunos de sus servidores. Esta tecnologa responde, de
este modo, de forma ultra-reactiva a los cambios de trabajo dinmicos y al desarrollo de la
cloud privada. Las rplicas de Hyper-V resultarn interesantes para ms de una PYME que
no disponga del presupuesto suficiente para la implementacin de una solucin de
replicacin para responder ante un desastre o siniestro. Una rplica de Hyper V permitir
replicar una mquina virtual hacia otra, ahorrando el mximo de ancho de banda, gracias a
una compresin y un registro de los cambios en un disco de una mquina virtual.

Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite


utilizar discos duros econmicos para crear zonas de almacenamiento. Esta zona puede, por
tanto, dividirse en espacios que se utilizarn como discos fsicos. Un poco de manera
similar a como ocurre con SAN, aunque de forma mucho menos onerosa, esta
funcionalidad permite incluir discos auxiliares en caliente y utilizar mtodos de
redundancia (paridad, mirroring, etc.).

El protocolo SMB (Server Message Block) pasa a la versin 3.0 y se ha visto mejorado
considerablemente. Tiene en cuenta funcionalidades tales como la conmutacin automtica
SMB, la consideracin de SMB, el testigo de carpeta, etc. Tiene en cuenta, tambin, el
almacenamiento en archivos VHD o un sistema de bases de datos SQL.

Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarn
enormemente la experiencia de usuario.

Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a


poco, el puesto de trabajo de las aplicaciones que son necesarias para los usuarios.
Tambin puede hacer disponibles aplicaciones (publicacin de aplicaciones) sin que tengan
que estar instaladas en el equipo del usuario. El acceso directo de la aplicacin aparece,
ahora, en el escritorio del usuario junto a las aplicaciones instaladas de manera local en su
equipo. El usuario no es capaz de distinguir, a primera vista, las aplicaciones locales de
aquellas remotas, lo que le permite ganar tiempo en trmino de formacin de los usuarios.
La funcionalidad RemoteFX, que haba hecho su aparicin con Windows Server 2008 R2,
se ha visto mejorada y ya no requiere ninguna configuracin particular para aprovechar una
calidad grfica excepcional mediante RDP (lectura de animaciones, webcam, etc.).

Un servicio de pasarela Terminal Services (tambin llamado RD Gateway) le permite no


tener que multiplicar los puertos a abrir en su red o a implementar una red privada virtual.
Basta con tener un nico punto de entrada, a travs de un portal Web, que le permite
acceder a su red privada virtual. El trfico RDP se encapsula, en efecto, de manera
transparente en un flujo SSL (HTTPS).

El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web
que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. Estas
aplicaciones estn, de este modo, accesibles desde su navegador de Internet. Esta solucin
se basa en IIS y puede, a su vez, integrarse en un portal SharePoint.

Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en


particular, administrar aplicaciones que requieran una alta disponibilidad.

El clster de servidores tiene como cometido contener varios a servidores con un mismo
rol. Si alguno de los servidores (llamados nodos del clster) no est disponible, el sistema
de clster bascula, automticamente, hacia otro nodo disponible. Esto se realiza sin ninguna
intervencin por parte de los administradores, lo que limita la duracin de la
indisponibilidad de una aplicacin.

El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un


reparto de la carga de red (llamada, a su vez, NLB por Network Load Balancing). Este
reparto o equilibrado de carga permite repartir la carga de red entre varios servidores que
presenten la misma informacin. El reparto de carga de red puede, de este modo, responder
a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo,
seleccionando dirigir las demandas de conexin al servidor Web en el servidor IIS menos
ocupado.

Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un


conjunto de herramientas adaptadas y tiles.

Entre todas ellas, podemos citar la caracterstica de copia de seguridad que le


permite administrar sus copias de seguridad y restauraciones gracias a asistentes muy
intuitivos. La tecnologa de las instantneas permite realizar copias de seguridad de sus
archivos en ejecucin de forma casi inmediata.
El servidor de actualizaciones WSUS3 permite administrar el conjunto de actualizaciones
(correctivos, parches de seguridad) de los sistemas operativos y de algunas aplicaciones
Microsoft en el seno de su red empresarial.

Este libro tiene tambin como objetivo presentarle las principales funcionalidades de
Windows Server 2012/2012 R2, insistiendo especialmente en aquellas novedades
aparecidas tras el salto tecnolgico que separa a Windows Server 2003 de Windows Server
2008.

Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se


dirige, de este modo, a aquellas personas que ya posean cierta experiencia. No obstante,
esta obra tambin pretende explicar los conceptos bsicos de modo que resulte accesible a
aquellas personas que no posean una experiencia notoria con la tecnologa de servidor de
Microsoft.

Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en
una webografa, disponible en la pgina Informacin.

Introduccin
Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio de
directorio de Microsoft resulta indispensable en la gestin de la informacin en el seno de
una empresa.

En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. A


continuacin, seguiremos con explicaciones sobre los principales componentes ligados al
servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al
propio directorio.

Presentacin del servicio de directorio de


Microsoft: Active Directory Domain
Services
Usted ya conocer, sin duda alguna, el principio de funcionamiento del directorio Active
Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo
que los principios generales de un directorio Active Directory (tambin llamado Active
Directory Domain Services o AD DS) se abordan de manera muy breve para, as, poder
centrar su atencin en las especificidades aportadas por Windows Server 2012 R2.
1. Definicin de un dominio de Active Directory

Active Directory es un servicio de directorio que permite referenciar y organizar objetos


tales como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante
grupos de dominio, etc. La informacin puede, as, centralizarse en un directorio de
referencia con el objetivo de facilitar la administracin del Sistema de Informacin.

Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:

El dominio es la unidad bsica encargada de agrupar los objetos que comparten un


mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente
sobre un sistema DNS que soporte actualizaciones dinmicas y registros de tipo
SRV).
Una arborescencia de dominios es la agrupacin jerrquica de varios dominios
que comparten un mismo espacio de nombres (por ejemplo, los dominios
madrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv).
Un bosque trata de reagrupar varias arborescencias de dominio que tienen en comn
un catlogo global y que no comparten, obligatoriamente, un espacio de nombres
comn.

Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:

Los controladores de dominio se encargan de almacenar el conjunto de los datos y


de administrar las interacciones entre los usuarios y el dominio (apertura de sesin,
bsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en
el dominio tiene lugar una replicacin multimaestro, lo que permite a cualquier
controlador poder iniciar una modificacin (agregar una cuenta de usuario, cambiar
una contrasea de usuario, etc.).
Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido
compartir la informacin en varias particiones para, as, limitar la extensin de los
datos que hay que replicar. Cada particin tiene, por tanto, su mbito de replicacin.
Todos los controladores de dominio de un mismo bosque tienen en comn las
particiones de esquema y de configuracin.

Todos los controladores de dominio de un mismo dominio comparten una particin


de dominio comn.

La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta


almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replica
sobre los controladores de dominio que usted elija que formen parte del mismo
bosque.

Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de un


mismo dominio. Debe, adems, asociar uno (o varios) controlador(es) de dominio a
un mismo sitio Active Directory si estos controladores de dominio se comunican
con un enlace de red que tenga una buena velocidad de transferencia. En efecto, los
controladores de dominio de un mismo sitio dialogan de manera mucho ms
frecuente que los controladores de dominio definidos en dos sitios de Active
Directory distintos. Esto le permite, tambin, reducir de manera importante el
trfico de red en un enlace que separe a dos sitios remotos.
Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno
de una infraestructura Active Directory. Estos roles deben estar contenidos en
controladores de dominio y son necesarios para el correcto funcionamiento de un
dominio de Active Directory.

Segn los roles, son nicos por dominio o bien por bosque. La siguiente tabla
muestra con detalle cada uno de estos cinco roles:

Nombre del rol


Ubicacin Rol
FSMO
Maestro de nico en el Se encarga de inscribir a los
nomenclatura de seno de un dominios en el bosque.
dominios bosque Gestiona la nomenclatura del
dominio.

Maestro de esquema nico en el Gestiona la modificacin del


seno de un esquema Active Directory.
bosque
Maestro RID nico en el Distribuye rangos de RID para los
seno de un SID.
dominio
Maestro de nico en el Gestiona los movimientos de objetos
infraestructura seno de un de un dominio a otro.
dominio
Emulador PDC nico en el Garantiza una compatibilidad con
seno de un los sistemas operativos anteriores
dominio (NT, en particular).
Sirve como servidor de tiempo de
referencia para el resto del dominio.
Sirve como punto de referencia
durante los procesos de cambio de
contrasea y bloqueo de cuentas.
2. Funcionalidades de Active Directory en Windows Server 2012 R2

Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cuales


gustarn tanto a aquellas personas que no tengan un conocimiento previo como a aquellas
que deseen poseer un conocimiento avanzado.

Se le explica cmo instalar un controlador de dominio de Active Directory con Windows


Server 2012 R2, cmo utilizar las directivas de contrasea especficas, etc.

Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulo


para que pueda constatar, usted mismo, la utilidad de estas ltimas.

a. Instalacin de un directorio de Active Directory

Desde un punto de vista general, los asistentes de configuracin se han visto mejorados
considerablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, que
estos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer
referencia a la mayora de las opciones avanzadas de instalacin del directorio Active
Directory desde el asistente creado a este efecto.

Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su
directorio Active Directory.

Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola para
agregar el rol Servicios de dominio de Active Directory (tambin conocido bajo el
nombre AD DS por Active Directory Domain Services). Volveremos un poco ms adelante
sobre las etapas detalladas ligadas a esta instalacin.

En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario
que posea los permisos de Administrador del servidor.

Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro
controlador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre,
definir estos parmetros antes de realizar la promocin de un servidor a controlador de
dominio.
Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le
permite configurar su servidor una vez instalado.

Haga clic en Configurar este servidor local (o Servidor local) para visualizar la
configuracin propia a este servidor y modificarla si fuera necesario.

Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se
encuentran en la misma fila que Ethernet y Nombre de equipo. Podr, de este modo,
definir una direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor.

En nuestro ejemplo, el nombre de equipo ser DC2012 (DC por Domain Controller o
controlador de dominio). A continuacin deber reiniciar el servidor.

Vuelva sobre Panel, siempre desde la consola Administrador del servidor.

Haga clic en Agregar roles y caractersticas.


A continuacin se abre el Asistente para agregar roles y caractersticas. La primera
pgina aparece, por defecto, con cada ejecucin del asistente. Tiene como
objetivo permitirle verificar un conjunto de buenas prcticas antes de continuar con la
instalacin de un rol en su servidor (contrasea fuerte, direccin IP esttica, parches de
seguridad al da). Haga clic en Siguiente.

Escoja la opcin Instalacin basada en caractersticas o en roles y, a continuacin, haga


clic en Siguiente.
Como es posible instalar, desde este asistente, roles o caractersticas sobre un servidor
definido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite
precisar el servidor o el disco duro virtual en cuestin. En nuestro ejemplo, se trata de un
servidor fsico. Seleccione la opcin Seleccionar un servidor del grupo de servidores y, a
continuacin, haga clic en Siguiente.

Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarse
de manera remota.
Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de la
instalacin de un controlador de dominio Active Directory, debe escoger la
opcin Servicios de dominio de Active Directory.
El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, al
menos, tiles) para este rol (Herramientas administrativas, Administracin de directivas de
grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en
funcin del rol seleccionado. Haga clic en Siguiente.

A continuacin se le pregunta si quiere aprovechar para instalar las caractersticas


suplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento de
Active Directory, las caractersticas necesarias ya se le han presentado en la ventana
anterior. Haga clic en Siguiente.
El asistente le explica, rpidamente, el rol de los servicios de dominio de Active Directory
as como la principal informacin a tener en cuenta. Le invita, a su vez, a consultar los
artculos disponibles en la ayuda de Windows para ms informacin. Haga clic en
Siguiente.
La ltima etapa consiste en confirmar la instalacin del rol en cuestin. Los mensajes de
informacin le avisan de que el servidor se reiniciar al finalizar la instalacin. Reinicio
que puede escoger que se realice automticamente o no. Haga clic en Instalar. Comienza la
instalacin del rol.
Es posible exportar los parmetros de configuracin. Esto ser til para poder reutilizarlos
mediante comandos PowerShell si fuera necesario.
Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalacin se
detenga. Puede ver el grado de avance de la instalacin en la consola Administracin del
servidor, dentro del rea marcada con la bandera de notificacin.

Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad


de los asistentes de Windows Server 2012 R2. Estos ltimos le guiarn de manera muy
intuitiva en las siguientes etapas a realizar.

En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo de


exclamacin que se corresponde con la Configuracin posterior a la instalacin que debe
realizar para continuar con la instalacin de Active Directory. Si no apareciera, aunque la
instalacin haya terminado, cierre el Administrador del servidor y, a continuacin, bralo
de nuevo (o haga clic en el botn Actualizar que se encuentra justo al lado (a la izquierda)
del icono con forma de bandera de notificacin). Haga clic en el enlace Promover este
servidor a controlador de dominio. Si bien sigue existiendo, el comando dcpromo ya no
se utiliza desde Windows Server 2012. Servir nicamente para facilitar la transicin de
algunas empresas que hayan desarrollado scripts con este comando. La norma es, ahora,
utilizar los scripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets
PowerShell que pueden resultar tiles son Install-ADDSForest, Install-ADDSDomain,
Install-ADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede
encontrar ms informacin en la siguiente direccin: http://technet.microsoft.com/en-
us/library/hh472162.aspx
Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivel
funcional del bosque deber ser, como mnimo, Windows Server 2008. A modo de
recordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso
que el nivel funcional de todos los dominios del bosque sean, como mnimo, Windows
Server 2008. Esto implica que ya no ser posible tener un controlador de dominio con
Windows Server 2003 en un bosque que tenga un DC con Windows Server 2012 R2.

Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012


y, a continuacin, actualizar el dominio funcional del (o de los) dominio(s) y el bosque
impactados.

Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrs
es compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft ha
optado por simplificar esta etapa integrando directamente la actualizacin del esquema y
del dominio en el asistente de promocin de un controlador de dominio desde el
Administrador del servidor.

El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario
para preparar un bosque y un dominio para la instalacin de un controlador de dominio de
una versin superior. Este comando slo est disponible en versin 64 bits.
Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es
posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versin
64 bits, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2
miembro del dominio, incluso aunque no se trate de un controlador de dominio. Adprep se
ubica en la carpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2.
Encontrar mucha ms informacin sobre la instalacin manual de adprep en la siguiente
direccin: http://technet.microsoft.com/en-us/library/hh472161.aspx

Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows
Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2
mediante la consola Dominios y confianzas de Active Directory o mediante el centro de
administracin de Active Directory (encontrar ms informacin en la direccin:
http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque,
todos los controladores de dominio funcionan con Windows Server 2012 R2 puede,
tambin, aumentar el nivel funcional de su bosque, siempre mediante alguna de estas
consolas (encontrar ms informacin en la direccin: http://technet.microsoft.com/es-
es/library/cc730985.aspx)

Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta,
la mayora de veces, funcionalidades y caractersticas suplementarias. Estas
funcionalidades se resumen en la siguiente direccin: http://technet.microsoft.com/en-
us/library/understanding-active-directory-functional-levels(v=ws.10).aspx

Observe, no obstante, que algunos componentes no requieren ms que la preparacin del


dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar
el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de
aplicacin (Web Application Proxy) que se basa nicamente en las clases del esquema
creadas tras la implementacin del esquema (mediante el comando adprep /forestprep) para
poder funcionar.

Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no


est activada) es posible disminuir el nivel funcional de un dominio o de un bosque de
Windows Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los
comandos PowerShell siguientes:

Import-Module ActiveDirectory
Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv
-domainmode
Windows2008Domain

Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv


-forestmode
Windows2008Forest

Haga clic, a continuacin, en el vnculo Promover este servidor a controlador de


dominio disponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en
Promover este servidor como controlador de dominio.
Se inicia el Asistente para instalacin de Servicios de dominio de Active Directory.

Seleccione una configuracin de despliegue. En nuestro ejemplo, seleccione: Agregar un


nuevo bosque. Observe que el asistente le indica un vnculo hacia el archivo de ayuda en
lnea de Windows que trata las distintas configuraciones de despliegue posibles.

Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendr la


posibilidad, ms adelante, de definir la instalacin del controlador de dominio a partir de un
medio externo (una copia de seguridad, por ejemplo). Esto resulta bastante til para sitios
remotos, por ejemplo, para evitar que se produzca un trfico de red demasiado elevado y se
sature el ancho de banda durante la primera sincronizacin entre los controladores de
dominio. Puede, si no, definir un controlador de dominio particular para la primera
sincronizacin del directorio de Active Directory para indicar un controlador de dominio
del mismo sitio y, de este modo, evitar que la sincronizacin no se realice desde un sitio
remoto que podra tener un ancho de banda limitado.

D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio ser
miempresa.priv y, a continuacin, haga clic en Siguiente.
Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.

No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombre
Miempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombre
de dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin este
carcter, que le generar una serie de inconvenientes en el futuro, especialmente con
Exchange.

Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de
dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque
ya existente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo
2008 R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft
KB300684 (http://support.microsoft.com/kb/300684) analiza este caso.

De aqu a dos aos, los fabricantes de certificados pblicos no certificarn ms dominios


con extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los
nombres de dominio interno y externo para evitar, en particular, tener que realizar una
gestin algo ms compleja en su zona DNS interna.

Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para
contactar con un eventual bosque ya existente.
Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin en
el captulo Implementar los servicios de red de la empresa - Implementar los sistemas de
resolucin de nombres.

Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2
dado que, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y
del bosque.

Deje marcada la opcin Servidor DNS para instalar este rol sobre el futuro controlador de
dominio. La opcin Catlogo global aparece marcada obligatoriamente puesto que todava
no existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear
un nuevo dominio en un nuevo bosque.

Defina una contrasea de restauracin de servicios de directorio. Se utilizar cuando se


acceda en modo de restauracin del directorio Active Directory pulsando la tecla [F8]
durante el arranque del sistema operativo. Esta contrasea deber responder a la
complejidad requerida por la directiva de contrasea.

Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de
Administrador actual por motivos de seguridad.

A continuacin, haga clic en Siguiente.


Aprovechar automticamente, de este modo, las ventajas ligadas al nuevo funcionamiento
del dominio de Windows Server 2012 R2, como las directivas de contrasea especfica
(disponibles desde el nivel funcional Windows Server 2012 y que ver, tambin, ms
adelante en la seccin Directivas de contrasea especfica y de bloqueo de cuenta granular
de este captulo).

El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de los
parmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio
Active Directory definido, y si no se ha instalado ningn servidor DNS, el asistente
mostrar el siguiente mensaje (haciendo clic en Ver ms en la barra de alerta de color
amarillo ubicada en la parte superior del asistente).
Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del
servidor, ste se borrar automticamente de estas propiedades de modo que el futuro
controlador de dominio ser cliente de su propio DNS. El anterior servidor DNS se
informar en la pestaa Reenviadores en las propiedades del servicio DNS.
Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic
en Siguiente.

Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la
base de datos, los archivos de registro y SYSVOL. En un entorno de produccin, se
recomienda encarecidamente separar la base de datos y los archivos de registro para, as,
evitar la saturacin de I/O (entradas/salidas). Haga clic en Siguiente.

Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las
etapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en un
archivo de respuestas.

Podr, de este modo, desplegar fcilmente otros controladores de dominio reduciendo el


riesgo de error durante la configuracin de este rol. El comando que debe utilizarse es, en
este caso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC
en Windows Server 2012 R2) o, directamente, mediante PowerShell mediante el script
disponible haciendo clic en la opcin Ver script.
Haga clic en Siguiente. El asistente realiza, a continuacin, una verificacin de requisitos
previos necesarios para la instalacin del rol de controlador de dominio sobre este servidor.
Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido al
enriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad
con un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo,
Windows NT 4.0 no podrn acceder a los recursos compartidos que se encuentren en un
servidor Windows Server 2008/2008 R2/2012 o 2012 R2.

Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic en
Instalar.

Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clic
en el vnculo que le permite volver a verificar si se cumplen los requisitos previos.

Haga clic en Instalar para arrancar la instalacin. El servidor reinicia, automticamente, al


finalizar la instalacin.

Enhorabuena! Acaba de instalar con xito un controlador de dominio en Windows Server


2012 R2.

Le faltar verificar la instalacin de Active Directory y realizar las primeras acciones


esenciales. El siguiente enlace le ofrece todos los elementos necesarios:
http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx
b. Presentacin de la auditora ligada al servicio de directorio

Auditar estos servidores es una actividad que consiste en censar los eventos que se
consideren interesantes en el registro de eventos. Esto le permitir evidenciar problemas de
configuracin o incluso verificar la seguridad de ciertos elementos crticos del sistema
operativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto
que el rendimiento del servidor se ver impactado inmediatamente.

Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando su
directiva de grupo (desde el men Inicio - Herramientas administrativas y Gestion des
Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers
Policy (Configuracin de equipo - Directivas - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Directivas de auditora).

La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho ms
preciso!

Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y los
parmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que
de una forma muy vasta la configuracin efectiva.
En Windows XP slo existen nueve categoras de evento que pueden auditarse. Desde
Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de
eventos distintos volviendo, de este modo, la creacin de objetos mucho ms granular.

La visualizacin y la configuracin de estos parmetros no son idnticos entre Windows


Server 2008 R2 y Windows Server 2012 R2.

En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puede
mostrar y aplicar de forma ms precisa las directivas de auditora realmente posibles
nicamente por lnea de comandos mediante el comando Auditpol.exe.

El siguiente comando permite mostrar las distintas categoras posibles para la auditora:

Auditpol.exe /get /Category:*

En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1


con las herramientas de administracin RSAT instaladas), es posible configurar, desplegar
y administrar la auditora detallada desde la consola GPMC. La configuracin de la
auditora detallada se realiza a nivel de Configuracin del equipo - Directivas -
Configuracin de Windows - Configuracin de seguridad - Configuracin de directiva
de auditora avanzada - Directivas de auditora.

Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar la
actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta
configuracin definida mediante GPO se ejecutar nicamente en equipos Windows Server
2008 R2/2012/2012 R2 o Windows 7/8/8.1.

Cabe destacar, tambin, que Microsoft desaconseja la configuracin de la auditora


simultneamente a nivel de Configuracin del equipo - Configuracin de Windows -
Configuracin de seguridad - Directivas locales - Directivas de auditora y de
Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -
Configuracin de directiva de auditora avanzada - Directivas de auditora. Para ello,
Microsoft recomienda configurar la opcin Auditora: forzar la configuracin de
subcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar
la configuracin de la categora de directiva de auditora que se define a nivel de
Configuracin del equipo - Configuracin de Windows - Configuracin de seguridad -
Opciones de seguridad. Si este parmetro no est habilitado, las opciones definidas a nivel
de la auditora bsica (las siete categoras histricas) podran entrar en conflicto con las
definidas de manera ms precisa en la directiva de auditora avanzada.

Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es preciso
utilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo
poner en marcha este despliegue.
Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la
posibilidad de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de
definir una directiva de auditora para un usuario particular sobre una accin precisa y para
un conjunto de servidores. Esto puede resultar muy prctico si tiene que justificar, en
particular, la auditora de la seguridad de un servidor de cara a afrontar una auditora SOX.

Los eventos generados por las auditoras de acceso a los archivos o al registro estarn
mucho ms detalladas si activa la opcin Auditar la manipulacin de identificadores
puesto que se mostrar el "motivo del acceso", que le permitir, en particular, poner de
relieve errores de configuracin (como, por ejemplo, un usuario que tiene acceso de
escritura en lugar de tener un acceso de slo lectura).

Con Windows Server 2012/2012 R2 es posible crear directivas de auditora basadas en


expresiones con el objetivo de precisar mejor la informacin que se quiere mostrar en
funcin de varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en
detalle en el captulo Securizar su arquitectura.

Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la
siguiente direccin: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx

Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a las
versiones anteriores de Windows.
Se han conservado las principales categoras, y muchas subcategoras enriquecen y
hacen que la recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por
tanto, mucho ms limpio de eventos intiles.

Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales
de auditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las
subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupo
activa, automticamente, las subcategoras.

Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar el
comando auditpol en los equipos o servidores seleccionados a travs de un script, por
ejemplo.

Si desea, en cambio, poder administrar la configuracin de las subcategoras de sus equipos


Windows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar el
comando auditpol en cada equipo), consulte la solucin provista en el siguiente artculo de
la Kb de Microsoft: http://support.microsoft.com/kb/921469

Una de estas nuevas subcategoras de auditora se ha creado especialmente desde Windows


2008 R2 para dar respuesta a una necesidad importante de los administradores de dominio
Active Directory.

Esta nueva subcategora se denomina Directory Service Changes (categora hija de DS


Access). Le permitir registrar los antiguos y los nuevos valores atribuidos a un objeto de
Active Directory y a sus atributos. A ttulo informativo, antes un controlador de dominio en
Windows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo
modificado, pero no los valores anterior y modificado del mismo.

Una vez configurada la auditora de esta subcategora, los eventos se almacenan en el


registro de Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los
objetos de Active Directory:

Nmero de evento Tipo de evento


5136 Modificacin con xito de un atributo de Active Directory.
5137 Creacin de un nuevo objeto de Active Directory.
5138 Restauracin de un objeto de Active Directory.
5139 Desplazamiento de un objeto de Active Directory.

Si desea, por ejemplo, activar la auditora para todas las subcategoras referentes al
acceso al directorio Active Directory, siga el procedimiento siguiente:
Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, el
siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las
subcategoras de auditora del acceso DS se activarn. Es posible activar nicamente la
subcategora que nos interese, en nuestro caso, ejecutando auditpol /set
/subcategory:"modificacin del servicio de directorio" /success:enable y auditpol /set
/subcategory:"Administracin de cuentas de usuario" /success:enable.

Existe un bug en la versin espaola de auditpol y todas las categoras o subcategoras que
posean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar este
problema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o
bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada del
smbolo.

Modifique, a continuacin, la fecha de caducidad de una cuenta de usuario de Active


Directory mediante la consola Centro de administracin de Active Directory, tambin
llamada ADAC (Active Directory Administrative Center) en el resto del libro (desde el
men Inicio - Ejecutar - dsac.exe).

Abra el registro de eventos de su controlador de dominio (desde el men Inicio - Ejecutar


- Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores
que acaban de modificarse, en nuestro ejemplo el valor Expiracin de cuenta:.
Por otro lado, Windows Server 2012 ha introducido las directivas de auditora de seguridad
basadas en las expresiones que permiten acotar los eventos a informar utilizando
expresiones basadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta
mejora est ligada a otra novedad: el control de acceso dinmico, del que hablaremos con
detalle en el captulo Securizar su arquitectura.

Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios
que traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por
el contrario, administradores que utilicen sus permisos de manera abusiva.

Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas:

Desde Configuracin del equipo - Directivas - Configuracin de Windows -


Configuracin de seguridad - Configuracin de directiva de auditora avanzada -
Directivas de auditora - Acceso a objetos, a nivel de parmetro Auditar sistema de
archivos y del parmetro Auditar almacenamiento provisional de directiva de acceso
central, active la auditora Correcto y error.

A nivel de la carpeta a auditar:


Desde las Propiedades de la carpeta a auditar (una carpeta sensible accesible nicamente
por el servicio financiero de la empresa, por ejemplo), pestaa Seguridad - Opciones
avanzadas - pestaa Auditora - Agregar - Seleccionar una entidad de seguridad,
escoja un grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-
RW.

Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada -
Valor - [Administradores de dominio] y [Administradores].

Si un administrador accede a algn archivo de esta carpeta, se registrar un evento en el


registro de eventos de seguridad.
Los eventos 4656 y 4663 pueden generarse durante la activacin de la auditora de la
manipulacin de identificadores o de la SAM. Estos eventos son propios de Windows 2012
R2 y Windows 8/8.1.

Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los
proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no
trabajen. La auditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor
AND User.Project Not_AnyOf Resource.Project.

Si un usuario del servicio financiero trata de acceder, no se registrar ningn evento en el


registro de seguridad, lo que evitar reportar accesos vlidos. Tambin es posible asociar la
auditora de acceso global a los objetos con directivas de auditora basadas en expresiones,
lo que permite fusionar las directivas de auditora mltiples ubicadas en varios clientes.

De este modo el administrador de un permetro limitado podr definir una directiva de


auditora de acceso global a los objetos correspondientes a su permetro mientras que un
administrador global podr, por su parte, definir otra directiva de acceso global para un
permetro ms amplio.

Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar,
tambin, que es posible configurar el parmetro Auditar los inicios de sesin
(Configuracin de directiva de auditora avanzada - Inicio y cierre de sesin).

Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local o
remoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguiente
direccin: http://technet.microsoft.com/es-es/library/hh831382.aspx

Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en el
captulo Securizar su arquitectura.

c. Controlador de dominio de solo lectura

Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura
(llamados, tambin, RODC por Read Only Domain Controller). Un controlador de
dominio de solo lectura contiene toda la informacin de un controlador de dominio clsico
salvo la contrasea de los usuarios. Esta informacin se almacena en solo
lectura nicamente y no es posible iniciar ninguna modificacin a nivel de dominio desde
un RODC.

Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC es
posible modificar las propiedades del mismo para limitar su replicacin nicamente a
aquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valor
searchFlags del atributo que desee a nivel de particin de esquema. El rol maestro de
esquema tendr que encontrar, preferentemente, la informacin sobre algn controlador de
dominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a este
respecto en la siguiente direccin (en ingls):
http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-
440026f585e91033.mspx?mfr=true
Microsoft ha diseado una solucin adaptada a las necesidades de las empresas que posean
sitios remotos con pocos usuarios para:

mejorar la seguridad de los sitios;


mejorar la autenticacin de los usuarios de un sitio remoto sin tener que iniciar un
trfico WAN con el controlador de dominio del sitio principal;
acceder a los recursos de la red con mayor rapidez.

Aumentar la seguridad de estos sitios

Antes, en efecto era necesario instalar un controlador de dominio suplementario sobre un


sitio remoto si no quera que ciertos usuarios se quejaran de mal rendimiento y una alta
latencia en la autenticacin o el acceso a recursos del dominio. El problema que se
planteaba era que estos sitios no tenan los medios o la necesidad de tener un administrador
a tiempo completo, ni podan invertir en un local protegido para dotar de seguridad a su
servidor. En caso de robo o de corrupcin del controlador de dominio del sitio, el atacante
poda recuperar, potencialmente, todos los nombres de usuario de la empresa y sus
contraseas.

En lo sucesivo, es posible limitar las consecuencias de una corrupcin de un controlador de


dominio sobre estos sitios puesto que puede definir, con precisin, qu cuentas tienen sus
contraseas almacenadas sobre este controlador de dominio de solo lectura. Esto se realiza
mediante la pertenencia a uno de los dos grupos de seguridad llamados Grupo con
permiso para replicar contraseas en RODC (su contrasea se replica en el RODC) y
Grupo sin permiso para replicar contraseas en RODC (su contrasea no se replica en
el RODC). Tan solo tiene que escoger aquellas cuentas de usuario y agregarlas al grupo que
usted elija. En caso de conflicto (si un usuario perteneciera a ambos grupos, por ejemplo),
el permiso "Sin permiso" es prioritario. Por defecto, se almacenan dos instancias de la
contrasea sobre el RODC. La corres-pondiente a la cuenta krbtgt_xxxx y la
correspondiente a la cuenta de equipo. La cuenta krbtgt_xxxx es propia de cada RODC.
Permite entregar tickets Kerberos a los clientes que realicen la demanda. En caso de robo
del controlador de dominio de un sitio, basta con reinicializar las contraseas de estas
cuentas, como ver ms adelante.

Mejorar la autentificacin de los usuarios

Un RODC trata de autentificar una cuenta respecto a las contraseas que posee en cach. Si
no se encuentra en su cach, contactar con un controlador de dominio inscribible para
autentificar al usuario. Al mismo tiempo, consultar si la directiva de replicacin de
contraseas autoriza que se aloje en la cach del RODC la contrasea de esta cuenta o no.
De este modo, si la directiva lo permite, las consultas de autentificacin se ejecutarn
directamente en el RODC.

Tenga en mente que jams hay que abrir sesin en un RODC con una cuenta miembro del
grupo Administradores de dominio (o equivalente), pues un ataque permitira obtener estas
credenciales.
Acceder a los recursos de red ms rpidamente

Entre las dems especificaciones de un controlador de dominio de solo lectura, sepa que
este ltimo slo puede, por naturaleza, recibir el trfico de replicacin entrante (replicacin
unidireccional). No puede, por tanto, definirse como servidor inicial de una directiva de
replicacin de dominio en la medida en que simplemente sufre las modificaciones, sin
poder iniciarlas.

Es, tambin, posible instalar el servicio DNS sobre el RODC de un sitio. Esto evita tiempos
de latencia repetitivos cuando un usuario trata de realizar una resolucin de nombres sin
tener un DNS prximo a l. Este servicio ser, tambin, de solo lectura en un RODC y los
equipos no tendrn la posibilidad de insertar sus propios registros de forma dinmica sobre
este servidor DNS. Sus consultas de escritura se redirigirn a un servidor DNS sobre el que
se permita realizar escrituras. Para limitar la primera replicacin de un controlador de
dominio suplementario, es posible instalarlo desde un medio extrable y, de este modo,
preservar el ancho de banda al mximo. En el caso de un RODC, es posible realizar esta
accin utilizando el comando ntdsutil ifm, que tiene como efecto eliminar las contraseas
alojadas en cach presentes en el controlador de dominio. Puede obtener ms informacin
acerca de la instalacin de un controlador de dominio desde un medio externo en la
siguiente direccin: http://technet.microsoft.com/en-us/library/cc816722(v=ws.10).aspx

Entre los requisitos previos de instalacin de un RODC, sepa que:

El controlador de dominio debe ser capaz de transferir las consultas de


autentificacin hacia un controlador de dominio en Windows Server 2008 o
superior.
El nivel funcional del bosque y del dominio deben estar configurados en Windows
Server 2003 o superior.
Debe ejecutarse el comando adprep /rodcprep una nica vez en el bosque. Permite
actualizar el conjunto de dominios del bosque para modificar los permisos en la
particin del directorio de la aplicacin DNS. Ser preciso, por tanto, que cada
controlador de dominio con el rol "Maestro de infraestructura" est disponible en el
momento de ejecutar este comando.

Proceda como se indica a continuacin si desea instalar un controlador de dominio de solo


lectura:

La instalacin de un RODC es prcticamente idntica al procedimiento que ha utilizado


durante la instalacin de un controlador de dominio clsico. Debe, por tanto, instalar el rol
Servicios de dominio de Active Directory igual que para un controlador de dominio
clsico y, a continuacin, ejecutar la configuracin post-despliegue seleccionando la opcin
Promover este servidor a controlador de dominio.

En nuestro ejemplo, para instalar un RODC, seleccione Agregar un controlador de


dominio a un dominio existente. Haga clic en Siguiente.
Indique el nombre del dominio existente sobre el que desee instalar un RODC y, a
continuacin, haga clic en Seleccionar para especificar la contrasea de un administrador
de dominio o de la empresa. Haga clic en Siguiente (si apareciera algn error, compruebe
su configuracin DNS o autorice la apertura de puertos, pues su servidor RODC no llega a
conectarse con el servidor de dominio). Seleccione el dominio y, a continuacin, haga clic
en Siguiente.

En esta etapa, marque la opcin Controlador de dominio de solo lectura (RODC). Si lo


desea puede atribuir el rol de DNS y de catlogo global a este futuro controlador de
dominio (teniendo, siempre, en mente las limitaciones descritas anteriormente). Haga clic
en Siguiente.
Especifique a continuacin la Directiva de replicacin de contrasea agregando o
suprimiendo los grupos y las cuentas de usuario que estarn autorizados a replicar su
contrasea en este controlador de dominio de solo lectura. Seleccione, tambin, a quin
delegar la administracin del servidor RODC. En la prctica, los miembros de este grupo se
encuentran en el sitio remoto que alberga al propio controlador de dominio de solo lectura.
Haga clic en Seleccionar para agregar la cuenta o el grupo que desee. Una vez haya
terminado, haga clic en Siguiente.
Seleccione Replicar desde para seleccionar un controlador de dominio especfico si lo
desea. Haga clic en Siguiente.
Seleccione una carpeta de destino para los archivos de Active Directory. Para mejorar el
rendimiento, la base de datos de Active Directory y los archivos de registro no deberan
ubicarse en el mismo disco duro. Una vez definidas las carpetas, haga clic en Siguiente.

Aparece un resumen con las distintas opciones que ha seleccionado a lo largo del asistente.
Puede, tambin, visualizar los comandos PowerShell que se ejecutarn para realizar estas
acciones haciendo clic en Ver script. El archivo de respuestas creado permitir realizar la
instalacin de un servidor RODC por lnea de comandos sin intervencin por parte del
usuario (observe que la contrasea de restauracin del servicio de directorio no se
almacenar directamente en este archivo, y deber indicarla antes de utilizar el archivo de
instalacin sin que el asistente le solicite introducir la contrasea en el momento necesario).
Haga clic en Siguiente para ejecutar el asistente de verificacin. ste le avisar si existe
alguna configuracin incorrecta (direccin IP dinmica, etc.). Si bien no es obligatorio
resolver estos errores para ejecutar la instalacin del servidor RODC, es muy
recomendable. Haga clic en Instalar. Es necesario reiniciar el servidor para que se tengan
en cuenta las modificaciones. El servidor se agregar automticamente al dominio como
RODC.

Sepa que es posible Crear previamente una cuenta de controlador de dominio de slo
lectura desde un controlador de dominio existente. Esta opcin est disponible desde la
consola ADAC, seleccionando su dominio en Domain Controllers.

El servidor RODC est instalado. Debe, a continuacin, configurar la directiva de


replicacin de contrasea desde un controlador de dominio que permita la escritura. En
efecto, cuando un servidor RODC recibe una solicitud de autentificacin, consulta la
directiva de replicacin de contrasea para determinar si debe o no almacenar en memoria
la contrasea del usuario (o del equipo) que acaba de autentificarse. Por defecto, no se
almacena en memoria ninguna contrasea. Segn sus necesidades, puede escoger entre una
directiva de replicacin de contrasea ms o menos severa.

Para definir una directiva de replicacin de contrasea, proceda de la siguiente manera


desde un controlador de dominio (no RODC):

Abra el Centro de administracin de Active Directory y vaya al nivel correspondiente a la


unidad organizativa Domain Controllers. Haga clic con el botn derecho del ratn sobre el
controlador de dominio de solo lectura y, a continuacin, en Propiedades.

A nivel de Extensiones, haga clic en la pestaa Directiva de replicacin de contrasea.


Tal y como hemos visto anteriormente, un servidor RODC almacena nicamente aquellas
contraseas de cuenta de usuario o grupo que se definen con el valor Autorizar (para estar
autorizados a tener su contrasea replicada en el servidor RODC). Por defecto, la
replicacin de la contrasea se rechaza para las cuentas de administracin como Operadores
de cuenta, Operadores de copia de seguridad, Administradores, etc. Agregar la cuenta que
desee y seleccione si su contrasea se autoriza o no a replicarse en el servidor RODC y, a
continuacin, haga clic en Aceptar para seleccionar la cuenta de usuario o de grupo en su
dominio. Valide haciendo clic en Aceptar.

Haciendo clic en el botn Opciones avanzadas, puede mostrar el nombre de las Cuentas
cuyas contraseas estn almacenadas en este controlador de dominio de slo lectura.
Puede, tambin, seleccionar en la lista desplegable visualizar las Cuentas autenticadas en
este controlador de dominio de slo lectura. Resulta, en efecto, interesante conocer quin
est autentificado mediante este RODC y, de este modo, modificar la directiva de
replicacin de contrasea para alojar en cach la contrasea de estos usuarios y as evitar
consultas intiles hacia un controlador de dominio de escritura. Puede, tambin, seleccionar
la opcin de Rellenar contraseas previamente. Esto puede resultar muy til si instala su
RODC desde su sitio principal y rellena las contraseas que quiere alojar en cach de los
usuarios del sitio secundario (sobre el que se desplazar, a continuacin, el servidor
RODC). Habr, tambin, que rellenar las cuentas de equipo utilizadas por los usuarios
agregados. Esto evitar tener que utilizar la conexin WAN entre dos sitios durante la
primera autentificacin de los usuarios en el sitio secundario. Es decir, las cuentas
seleccionadas deber, previamente, agregarse a la directiva de replicacin de contrasea,
pues sin ello el rechazo implcito evitar que se almacene la contrasea en cach.

Sepa que es posible rellenar previamente las contraseas utilizando el siguiente comando:
repadmin /rodcpwdrepl [DSA_List] <Hub DC> <User1 Distinguished Name>
[<Computer1 Distinguished Name> <User2 Distinguished Name> ...]

Exemplo: para rellenar la contrasea de la cuenta de usuario Fernando ROMERO (y de su


equipo porttil LAP_FRO) sobre un servidor RODC llamada RODCSrv01 desde un
controlador de dominio de escritura llamado DCSrv02, el comando sera: Repadmin
/rodcpwdrep1 RODCSrv01 DCSrv02 "CN=FernandoROMERO, OU=Usuarios_IT,
DC=miempresa, DC=priv" "CN=LAP_FRO, OU=Equipos_IT, DC=miempresa, DC=priv"

En caso de robo de un servidor RODC, podr controlar de manera muy sencilla aquellas
cuentas impactadas y, de este modo, limitar los potenciales riesgos de seguridad debidos al
robo del servidor. Como administrador, aqu se muestra cmo debera reaccionar ante tal
situacin:

Desde un controlador de dominio de escritura, abra la consola Usuarios y equipos de


Active Directory (dsa.msc) y vaya al nivel de la unidad organizativa Domain Controllers.
Haga clic con el botn derecho sobre la cuenta de equipo del controlador de dominio de
solo lectura y, a continuacin, seleccione Eliminar. Confirme el borrado haciendo clic en
S.

Se muestra una ventana que le permite forzar la reinicializacin de la contrasea para las
cuentas de usuario y/o equipo. Tambin le permite exportar la lista de cuentas que estaban
en cach. Una vez seleccionadas las opciones, haga clic en Eliminar.

Su controlador de dominio RODC se suprime, incluso si un atacante trata de explotar las


contraseas almacenadas en el mismo, no tendrn ninguna utilidad puesto que se habran
modificado rpidamente.
d. Directivas de contrasea especfica y de bloqueo de cuenta granular

Una de las principales mejoras esperadas tras varios aos por los profesionales de la
informtica que utilizan el directorio de Microsoft es, sin duda alguna, la posibilidad de
poder definir directivas de contrasea mltiples sobre un dominio de Active Directoy. No
ha sido, en efecto, posible realizar esta operacin hasta Windows Server 2008.

Desde Windows Server 2008, existe una nueva clase de objetos llamada msDS-
PasswordSettings. Hace posible la multiplicacin de las directivas de contrasea en el
seno de un mismo dominio. Sobre un dominio de Active Directory existente, anterior a
Windows Server 2008, habr que actualizar el nivel funcional del dominio al menos a
Windows Server 2008 (todos sus controladores de dominio debern, por tanto, ejecutar
como mnimo Windows Server 2008).

De este modo, es posible definir un objeto "parmetros de contrasea" (llamado tambin


PSO por Password Settings Object) distinto entre los usuarios. En la prctica, puede tener
una duracin de vida mxima de contrasea de 30 das para las cuentas de
administrador. Las cuentas de servicio tendrn una longitud mnima de contrasea de 36
caracteres que jams expira.

Por defecto, slo los miembros del grupo Administradores de dominio tienen la
posibilidad de definir directivas de contrasea mltiples.

Tomemos el ejemplo de la definicin de una directiva de contrasea especfica para las


cuentas de usuario utilizadas para la administracin del sistema de informacin. Estas
cuentas de usuario forman parte de grupos de seguridad con muchos permisos sobre el
dominio y si se comprometiera la seguridad de su contrasea se permitira a un potencial
atacante tener acceso prcticamente a todos los servidores. Conviene, por tanto, dotar de
una seguridad especial a este tipo de cuentas de usuario algo especiales. Los parmetros de
contrasea sern los mismos que los definidos a nivel de la directiva Default Domain
Policy, a diferencia de la duracin de vida mxima de la contrasea que ser de 30 das en
lugar de 42 das. La longitud mnima de la contrasea pasar de 7 a 14 caracteres. La
cuenta se bloquear, a su vez, tras 10 intentos fallidos. Estos principios limitan los riesgos
de compromiso de la contrasea de los administradores.

Windows Server 2012 ha simplificado enormemente la configuracin de una directiva de


contrasea especfica. Ya no es necesario utilizar la consola Editor ADSI como ocurra con
las versiones anteriores de Windows.

Ejecutando la consola ADAC (forzosamente desde un servidor Windows Server 2012/2012


R2, o Windows 8/8.1 con las herramientas RSAT instaladas), es posible gestionar las
contraseas existentes, visualizarlas y aplicarlas a un usuario concreto.

Para configurar una directiva de contrasea especfica:


Abra la consola ADAC (dsac.exe) desde una cuenta de usuario miembro del grupo
"Administradores de dominio". Seleccione el modo Vista de rbol en la parte superior
izquierda y, a continuacin, despliegue su dominio y seleccione System - Password
Settings Container.

En la lista de tareas del panel derecho, haga clic en Nuevo y Configuracin de


contrasea. Se abre una ventana en la que debe definir los distintos parmetros de su
eleccin.
La informacin correspondiente se encuentra en el directorio Active Directory, y es posible
visualizarla con la consola adsiedit.msc, a nivel de
Nombre_FQDN_De_Dominio/CN=System/CN=Password Settings Container.

Nombre se corresponde con el atributo msDS-PasswordSettings.


Prioridad se corresponde con el atributo msDS-PasswordSettingsPrecedence.
Debe tener un valor superior a 0 y permite arbitrar en caso de conflicto cuando se
aplican dos objetos PSO sobre el mismo usuario o grupo. Cabe recordar dos reglas
en el caso de que se apliquen varios parmetros a un mismo objeto. Se aplicar el
objeto PSO que disponga del valor de precedencia ms dbil, y una directiva
aplicada a nivel Usuarios ser prioritaria sobre una directiva aplicada a nivel Grupo.

Prevea espaciar la numeracin del atributo msDS-PasswordSettingsPrecedence entre cada


directiva PSO para poder jugar con las prioridades en un futuro.

Longitud mnima de la contrasea: msDS-MinimumPasswordLength es una


cifra entera. El valor por defecto es 7 en el dominio. En nuestro ejemplo, se trata de
un PSO para las cuentas de administrador. El valor mnimo ser, por tanto,
de 14 caracteres.
Exigir historial de contraseas: msDS-PasswordHistoryLength define el nmero
de contraseas anteriores que no pueden utilizarse. Por defecto, su valor es de 24 en
el dominio.
Las contraseas deben cumplir con determinados requisitos de complejidad:
msDS-PasswordComplexityEnabled es un valor booleano que activa la
complejidad siempre que su valor sea TRUE (valor aconsejado).
Almacenar contraseas con cifrado reversible: msDS-
PasswordReversibleEncryptionEnabled. Se trata de un valor booleano. Es
preferible indicar el valor FALSE salvo si se tienen necesidades particulares.
Vigencia mnima de la contrasea: msDS-MinimumPasswordAge es una
duracin que indica la duracin de vida mnima de la contrasea para impedir al
usuario cambiar su contrasea de forma sucesiva hasta que supera el lmite del
histrico de contraseas para poder volver a utilizar su contrasea. El valor por
defecto es de 1 da. Su formato es 1:00:00:00.
Vigencia C de la contrasea: msDS-MaximumPasswordAge es una duracin que
indica la duracin de vida mxima de la contrasea. Por defecto, la contrasea debe
cambiarse cada 42 das. En este ejemplo, seleccione una duracin de vida mxima
de 30 das, es decir 30:00:00:00.
Umbral de bloqueo de cuenta: msDS-LockoutThreshold define el nmero de
contraseas errneas que puede introducir el usuario antes de que se bloquee el
objeto. Se corresponde con el parmetro Umbral de bloqueo de cuenta que es igual
a 0 (lo que indica que la cuenta no se bloquea nunca). Es preferible informar un
nmero de intentos restringido para evitar ataques sobre la contrasea. Indique el
valor 10, por ejemplo
Restablecer recuentos de bloqueo de cuenta tras (minutos): msDS-Lockout-
ObservationWindows permite Restablecer el contador de bloqueos de cuenta tras
la duracin que usted elija. Indique un valor de 10 minutos, por ejemplo,
escribiendo 10:00:00:00.
La cuenta se bloquear: Durante un periodo de (minutos): msDS-Lockout-
Duracin indica la duracin del bloqueo de la cuenta si el nmero de contraseas
errneas supera el valor de msDS-LockoutThreshold. Indique un valor de
10 minutos, por ejemplo, escribiendo 10:00:00:00 (observe que existen controles de
coherencia que le advierten siempre que trate de implementar una configuracin
irrealizable).
Se aplica directamente a equivalente a configurar el atributo msDS-
PSOAppliesTo, capaz de contener varios valores (y, por tanto, varios usuarios y
grupos). Es preciso seleccionar el o los grupos de seguridad para los que se quiere
aplicar esta directiva haciendo clic en Agregar.

Aplique, preferentemente, una directiva de contrasea a un grupo en lugar de a un usuario


para poder, de este modo, gestionarla ms fcilmente. Si desea conocer la directiva que se
aplica a un usuario, vaya a las propiedades de la cuenta en cuestin en la consola Centro de
administracin de Active Directory y, a continuacin, seleccione la opcin Ver
configuracin de contrasea resultante. Se lee el atributo msDS-ResultantPSO para
identificar la directiva asociada al usuario.
Si, desde el Centro de administracin de Active Directory, edita las propiedades de una
cuenta de usuario, no podr visualizar la PSO asociada al usuario si la PSO se ha definido
para un grupo. En este lugar ver, nicamente, el o las PSO que se han definido
directamente sobre el usuario.

e. Active Directory como servicio de Windows

Desde Windows Server 2008, es posible detener e iniciar el directorio Active Directory
desde cualquier controlador de dominio, pues se considera como un servicio de Windows.

Puede, por tanto, realizar operaciones de mantenimiento tales como la desfragmentacin


offline de la base de datos del directorio Active Directory sin tener que reiniciar el servidor
en modo de Restauracin del servicio de directorio.

Las actualizaciones de Windows que impactan al servicio de directorio ya no requieren


sistemticamente el reinicio completo del servidor. Bastar con un simple reinicio del
servicio Active Directory.

La principal ventaja ligada al funcionamiento de Active Directory como servicio es que los
dems servicios instalados sobre el controlador de dominio ya no estarn inaccesibles
cuando se quiera realizar alguna operacin de mantenimiento.

La desfragmentacin de la base de datos del directorio Active Directory no volver al


servicio DHCP (instalador sobre el mismo servidor) inaccesible.
Puede configurar el estado del servicio a nivel de la consola MMC Servicios, disponible en
las herramientas de administracin o bien escribiendo services.msc en el men Ejecutar.

El servicio aparece bajo el nombre completo Servicios de dominio de Active Directory.


El nombre del servicio es NTDS.

Cuando el estado del servicio se define como Detenido, los dems equipos ven al
controlador de dominio como un servidor miembro del dominio sobre el que las directivas
de grupo pueden aplicarse. El controlador de dominio se comporta igual que si estuviera en
modo Restauracin de servicio de directorio. Su archivo ntds.dit est libre y si no existe
ningn controlador de dominio disponible para autentificar su apertura de sesin, tendr
que utilizar la contrasea de la cuenta de administrador de restauracin de servicios de
directorio cuando promocione el servidor como controlador de dominio.

Es importante tener en cuenta que si bien el servicio NTDS puede detenerse, hay que tener
en cuenta unas precauciones mnimas:

El servicio NTDS no debe detenerse durante mucho tiempo. Por ejemplo, detener el
servicio sobre un controlador de dominio diciendo que el directorio se restablecer
en caso de que falle algn controlador de dominio. En efecto, segn la duracin de
la parada del servicio NTDS, los registros podran considerarse como demasiado
viejos y no se replicarn.
La parada del servicio NTDS no basta para realizar una restauracin del Active
Directory. Es preciso utilizar el modo de Restauracin de Servicios de Directorio
(Directory Services Restore Mode) DSRM para realizar una restauracin
(autoritaria o no).
No es posible abrir una sesin con la cuenta Administrador DSRM (que se
corresponde, en realidad, con la cuenta de Administrador local del controlador de
dominio) cuando se detiene el servicio NTDS y no existen ms controladores de
dominio disponibles durante el intento de autentificacin de cuenta. Es posible
modificar este comportamiento editando la clave
HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior
en su controlador de dominio.

Los posibles valores son los siguientes:

Clave DSRMAdminLogonBehavior
Valor 0 No permite abrir una sesin con la cuenta de administrador DSRM.
(por Para abrir una sesin con esta cuenta, ser preciso que otro
defecto) controlador dominio est disponible en el momento de realizar la
autentificacin.
Valor 1 La cuenta de Administrador DSRM puede utilizarse cuando se
detiene el servicio AD DS.

Este valor es especialmente interesante si solo dispone de un


controlador de dominio o si la resolucin de nombres definida sobre
el mismo apunta nicamente sobre s mismo.
Valor 2 La cuenta de Administrador DSRM puede utilizarse para realizar la
autentificacin en cualquier situacin.

Hay que tener en mente que esta cuenta no se somete a ninguna


directiva de contrasea.

Observe, tambin, que el reinicio en modo DSRM puede realizarse de varias formas:

Utilizando el comando shutdown con las opciones -o y -r.


Utilizando la combinacin de teclas [Windows] + C - Configuracin -
Iniciar/Apagar - haciendo clic en la tecla [Mays] haciendo clic en el botn
Reiniciar y seleccionar un motivo del tipo Recuperacin.

Durante el reinicio, el servidor le propondr varias opciones, entre ellas la opcin de


Solucionar problemas, que permite recuperar el sistema operativo a partir de una imagen
de sistema, la ejecucin de una consola de comandos o bien la opcin Configuracin que
le permitir acceder al men de inicio avanzado pudiendo, en particular, acceder al modo
DSRM.
Hay otro servicio que existe desde la aparicin de Windows Server 2012 R2.

Se trata del servicio Servidor de la funcin de DS (DsRoleSvc), que est configurado, por
defecto, en modo Manual Arrancar automticamente siempre que se le solicite durante la
configuracin de un nuevo controlador de dominio, se agregue un nuevo bosque, un
dominio o un controlador de dominio, se elimine el rol Active Directory en un servidor o
cuando se clone un controlador de dominio.

f. Clonado de un controlador de dominio Active Directory virtualizado

La virtualizacin se ha convertido, en el espacio de unos pocos aos, en un elemento


imprescindible en la mayora de SI.

El captulo Consolidar sus servidores est dedicado al hipervisor Hyper-V y sus novedades.

Windows Server 2012 incluye la posibilidad de virtualizar un controlador de dominio,


operacin que era tcnicamente posible en las versiones anteriores de Windows Server,
aunque estaba fuertemente desaconsejado puesto que Microsoft no daba soporte ni a los
snapshots, ni al clonado de un controlador de dominio (puede obtener ms informacin
sobre estos riesgos en la siguiente direccin: http://support.microsoft.com/kb/888794).

Asociado a la Rplica Hyper-V, permite incluir los controladores de dominio virtualizados


en el plan de recuperacin ante desastres (PRD) de las mquinas virtuales.

Un controlador de dominio puede, de este modo:

Ser clonado sin riesgo alguno.


Realizar una imagen instantnea (snapshot) de un controlador de dominio sin riesgo
de corromper el conjunto de la base de Active Directory.

Las ventajas de la virtualizacin de un controlador de dominio son:

Poder desplegar rpidamente un controlador de dominio en un nuevo bosque o un


nuevo dominio.
Poder remplazar con varios clics un controlador de dominio.
Una mejor capacidad de evolucin de la infraestructura de Active Directory si fuera
necesario.
Implementacin de manera sencilla de entornos de pruebas.

El controlador de dominio con el rol Emulador PDC debe utilizar Windows Server 2012
para poder implementar un controlador de dominio virtualizado (tambin llamado vDC).

El controlador de dominio de origen (el que se clonar) y el controlador de dominio


clonado deben tener el rol Hyper-V instalado y deben pertenecer al mismo dominio.
El controlador de dominio de origen debe ser un controlador de dominio virtualizado que se
ejecute como mnimo en un entorno Hyper-V 3 (y, por tanto, bajo Windows Server 2012).

El switch de la red virtual Hyper-V debe tener el mismo nombre en cada servidor Hyper-V.

Si ambos controladores de dominio no tuvieran el mismo procesador, desde el controlador


de dominio de origen, haga clic en su configuracin en Hyper-V y, a continuacin, en
Procesadores - Compatibilidad y seleccione la opcin Migrar a un equipo fsico con
una versin de procesador distinta.

Debe existir un servidor Windows Server 2012 R2 con el rol Hyper-V para albergar el
vDC. Si utilizara otro hipervisor, tendr que ponerse en contacto con su proveedor para
verificar si este hipervisor tiene en cuenta el ID de generacin de mquina virtual (tambin
llamado VM-Generation-ID). Este VM-Generation ID es un identificador nico de 128 bits
que gestiona el hipervisor.

El controlador de dominio que quiere virtualizar debe disponer de los permisos suficientes
para ello (formando parte del grupo "Controladores de dominio clonables").

Observe que ciertos roles no pueden estar presentes en un servidor clonado, como por
ejemplo el servicio DHCP, AD CS y AD LDS.

Para crear un clon del controlador de dominio, debe realizar las siguientes etapas:

Desde un controlador de dominio que no se preste a clonarse, preferentemente, abra el


Centro de administracin de Active Directory y agregue el controlador de dominio que se
virtualizar al grupo "Controladores de dominio clonables" (los grupos se encuentran en el
contenedor "Usuarios").

Existe un bug en Windows Server 2012 y 2012 R2 que le obligar a renombrar el grupo
"Controladores de dominio clonables" a "Clonable Domain Controllers", cambio sin el cual
el comando PowerShell que se ejecuta ms adelante (New-ADDCCloneConfigFile) fallar.

Ejecute el comando Get-ADDCCloningExcludedApplicationList desde el controlador de


dominio que quiere virtualizar para identificar los servicios y programas que no son
clonables. Observe la lista devuelta y tome las medidas necesarias (elimine los elementos
afectados o cree una lista de exclusin) y, a continuacin, ejecute el comando Get-
ADDCCloningExcludedApplicationList -Generate - Xml. Esto provoca que se agreguen
los servicios y programas suplementarios que no estn presentes por defecto en la lista
provista en el archivo CustomDCCloneAllowList.xml (presente en %windir%\NTDS).

Ejecute el comando New-ADDCCloneConfigFile sobre el controlador de dominio de


origen. Esto provoca la creacin del VM-Generation ID y crea un archivo
DCCloneConfig.xml en %windir%\NTDS. Este comando PowerShell permite predefinir
muchos elementos tales como la direccin IP, el nombre del servidor, etc. Todos los
parmetros posibles estn disponibles en la siguiente direccin:
http://technet.microsoft.com/en-us/library/jj158947.aspx

Por ejemplo:

New-ADDCCloneConfigFile -Static -IPv4Address "172.16.0.3"


-IPv4DNSResolver "172.16.0.2" -IPv4SubnetMask "255.255.0.0"
-CloneComputerName "VirtualDC2" -IPv4DefaultGateway "172.16.0.254"
-SiteName "MADRID"

Por defecto, el controlador de dominio clonado pertenecer al mismo sitio de Active


Directory que el controlador de dominio inicial, a menos que lo defina en el archivo
DCCloneConfig.xml.

Copie este archivo en la carpeta donde se encuentra la base de datos de Active Directory
sobre el controlador de dominio de origen (por defecto %windir%\NTDS).

El archivo DCCloneConfig.xml es uno de los componentes que permite iniciar el clonado


de un controlador de dominio.

Un controlador de dominio clonado se basa en dos elementos para detectar que es el


resultado de la copia de otro controlador de dominio:

El VM-Generation-ID de la mquina virtual es distinto al que hay almacenado en la


base de datos Directory Information Tree (DIT) (%windir%\NTDS).
Existe un archivo DCCloneConfig.xml presente en la ubicacin de la DIT o en la
raz de algn lector extrable (lector DVD, por ejemplo).

El controlador de dominio clonado contacta, entonces, con el controlador de dominio que


alberga el rol emulador PDC (Windows Server 2012 como mnimo) utilizando el contexto
de seguridad del controlador de dominio de origen. ste crea, a continuacin, los objetos
necesarios en el Active Directory y, a continuacin, el controlador de dominio clonado crea
los archivos de su base de datos y limpia su estado con ayuda del comando sysprep.

Para finalizar la implementacin de un vDC:

Deje el vDC inactivo y exprtelo o cpielo (cree un ID nico).

Cree una nueva mquina virtual importando la que acaba de exportar. Se configurar
automticamente como controlador de dominio completo y se integrar perfectamente en su
infraestructura (a ttulo informativo, sepa que en este momento se ejecuta el comando
sysprep sobre el nuevo controlador de dominio y lo instala como lo hara tras una
instalacin a partir de un medio extrable).

Preste atencin: realizar un snapshot del vDC no remplaza a la copia de seguridad regular
del Active Directory.
He aqu una lista de los comandos PowerShell utilizados para realizar la gestin de
snapshots: Checkpoint-VM, Export-VMSnapshot, Get-VMSnapshot, Remove-
VMSnapshot, Rename-VMSnapshot y Restore-VMSnapshot.

g. Instantnea de Active Directory

Dejando a un lado los snapshots (o instantneas) de los vDC; es posible, desde Windows
Server 2008, crear instantneas de un Active Directory. La tecnologa se basa en la API
VSS (Volume Shadow Copy o instantnea de volumen). Para ayudarle con las bsquedas
en ingls en Internet, sepa que esta funcionalidad tambin se denomina Database Mounting
Tool.

La principal ventaja es que es posible realizar una copia de seguridad de este tipo
incluso sobre archivos bloqueados. No es necesario, por tanto, detener el servicio de Active
Directory (para liberar los archivos asociados) para poder salvaguardar el archivo ntds.dit,
por ejemplo.

Puede acoplar el uso de instantneas con el uso de la herramienta dsamain.exe para


evidenciar cualquier cambio a realizar en el Active Directory.

Por defecto, slo los usuarios miembro del grupo Administradores de dominio y
Administradores de empresas estn autorizados a acceder a las instantneas creadas.

Para sacar el mximo provecho a las instantneas para Active Directory, existen tres
herramientas indispensables:

El comando ntdsutil para crear, eliminar, enumerar, montar, desmontar una copia de
seguridad (llamada, en esta ocasin, instantnea).
El comando dsamain que se utiliza para mostrar las diferencias entre dos
instantneas, por ejemplo.
La herramienta ldp.exe para visualizar los datos de una instantnea de forma
grfica.

El usuario solamente podr acceder a aquellos datos salvaguardados sobre los que disponga
de permisos. Los permisos sobre los objetos de la copia de seguridad no pueden
modificarse, puesto que son de slo lectura.

Para crear una instantnea del directorio Active Directory, utilice el comando ntdsutil.
Sepa, no obstante, que existen otros muchos programas comerciales que se basan en la
tecnologa de instantneas.

El comando que debe utilizar es:

ntdsutil snapshot "activate instance ntds" create


Puede planificar la copia de seguridad de estas instantneas mediante el Programador de
tareas. El comando que debe definir ser, en este caso, ligeramente diferente, pues debe
salir del contexto ntdsutil.

ntdsutil snapshot "activate instance ntds" create quit quit

Una vez terminada la instantnea, puede seleccionar la opcin de mostrar todas las
instantneas creadas. Si ya se encuentra en el nivel instantnea, escriba nicamente List All
(en caso contrario el comando completo es ntdsutil snapshot "activate instance ntds" "List
All").

Tendr, a continuacin, que montar la instantnea que desee para poder leer los datos
salvaguardados:

mount x (donde x se corresponde con el nmero de instantnea).

Una vez montada la instantnea, escriba quit dos veces seguidas para volver a una lnea de
comandos clsica.

Creacin de una instantnea del directorio Active Directory y montaje de una de sus copias
de seguridad.

A continuacin es preciso asociar esta copia de seguridad con un servidor LDAP virtual
mediante el comando dsamain.
Abra una ventana de comandos con una cuenta de usuario miembro del grupo
Administradores de dominio o Administradores de empresas y escriba el siguiente
comando:

dsamain /dbpath <Ruta de la base de datos de AD>


/ldapport <nmero de puerto no utilizado>

La ruta de la base de datos se encuentra a nivel del comando ejecutado anteriormente y


tiene el formato C:\$SNAP_XXXXXX_VOLUMEC$\ sobre el que deber agregar la ruta
completa hacia la base de datos de Active Directory, generalmente
WINDOWS\NTDS\NTDS.dit

Si el firewall est activado, obtendr, probablemente, un mensaje de advertencia para


agregar una regla para el ejecutable dsamain, puesto que pone al puerto LDAP especificado
en escucha.

Si el dominio desde el que haba creado la instantnea no existe, tendr que agregar el
argumento /allowNonAdminAccess.

Su servidor LDAP virtual est, ahora accesible mientras tenga la ventana de comandos
abierta.

Conctese a travs de un cliente capaz de acceder a los datos de este servidor LDAP. En
este ejemplo, utilizar la herramienta ldp.exe, disponible, por defecto, en Windows.

Desde el men Inicio - Ejecutar, escriba el comando ldp.exe.

Haga clic, a continuacin, en Conexin y Conectar. En la direccin del servidor, escriba


la direccin IP del servidor e indique el puerto definido anteriormente en dsamain (51389
en nuestro caso). A continuacin, haga clic en OK.
Verifique el tipo de enlace mediante el men Conexin - Enlazar. Asegrese de definir
una cuenta de usuario con los permisos suficientes. Una vez configurado, haga clic en
Aceptar para autentificarse sobre este archivo de directorio.

Haga clic, a continuacin, en Ver - rbol, y defina el nombre nico de la base de datos
correspondiente con su nombre de dominio; en el ejemplo DC=miempresa, DC=priv.

Puede, a continuacin, navegar en la copia de seguridad de su directorio a travs de esta


herramienta.

Si le parece que el acceso a los datos no es muy amigable a travs de la herramienta


ldp.exe, sepa que puede, si sus necesidades son ms limitadas, ver sus datos directamente
desde la consola Usuarios y equipos de Active Directory. Para ello, haga clic con el botn
derecho del ratn en la raz de la consola y, a continuacin, seleccione la opcin Cambiar
el controlador de dominio. Haga clic en el mensaje <Escriba aqu un nombre de
servidor de directorio[:puerto]> para informar el nombre de su controlador de dominio y
el puerto definido anteriormente. Acceder, as, a su directorio de forma ms sencilla que
con la herramienta ldp.exe. Para complementar esta informacin, no hay que olvidar la
fabulosa herramienta ADExplorer (http://technet.microsoft.com/en-
us/sysinternals/bb963907.aspx). Le permitir comparar fcilmente dos instantneas
(creadas mediante esta herramienta), lo cual puede resultar extremadamente til.

Una vez haya finalizado, no olvide cerrar la herramienta dsamain ([Ctrl] C dos veces) y
desmontar el directorio mediante el comando ntdsutil snapshot "activate instance ntds"
"unmount x" donde x es el nmero de instantnea.

Observe que la herramienta DSCT (Directory Service Comparison Tool) ser muy til si
utiliza instantneas. Le permite, entre otros, comparar un snapshot con la base de datos de
Active Directory actual y visualizar todas las diferencias entre ambos estados (elementos
agregados, eliminados, etc.). No se trata de una herramienta oficial de Microsoft. Est
disponible en la siguiente direccin: http://blog.frli.se/p/dsct.html

h. Las cuentas de servicio administradas

Habitualmente, durante la instalacin por defecto de una aplicacin, el administrador puede


configurar la misma para ejecutar su servicio asociado como Local System, Local Service o
Network Service.

Tambin es posible informar una cuenta de dominio para ejecutar este servicio, aunque esta
cuenta de dominio debe, generalmente, tener una contrasea que jams expire. Adems, la
seguridad de esta cuenta deja mucho que desear, puesto que la contrasea se encuentra en la
cach LSA, que resulta fcilmente accesible.
Se han creado dos nuevas cuentas de servicio con la salida de Windows Server 2008 R2 (y
Windows 7). Se trata de las "cuentas de servicio administradas autnomas" (tambin
llamadas Standalone Managed Service Accounts o sMSA) y las cuentas virtuales (virtual
accounts). Un tercer tipo de objeto ha aparecido con Windows Server 2012, las cuentas de
servicio administradas de grupo (Group Managed Service Accounts, o incluso gMSA).

Gracias a estos nuevos tipos de cuenta, puede extender la gestin de las contraseas puesto
que estos ltimos objetos se renovarn automticamente. Ya no es preciso tener que definir
una cuenta de servicio con una contrasea que no expire jams, puesto que el sistema la
renovar automticamente, de forma transparente, sin interrupcin en el servicio.

Las sMSA son dos tipos de cuenta de dominio que se utilizan para ejecutar
servicios. Se utilizan para que su contrasea se cambie automticamente, de cara a
simplificar la gestin de los SPN (Service Principal Name). Recuerde que el SPN es
necesario para la autenticacin Kerberos.

Esto permite, adems, mejorar la seguridad de la contrasea de la cuenta de dominio


utilizada para la ejecucin de aplicaciones como SQL Server, IIS, Exchange, o
cualquier otro servicio, con la condicin de que las cuentas sMSA estn soportadas
por el fabricante de su aplicacin asociada.

Las cuentas de mquinas virtuales son cuentas de servicio locales que no


requieren una gestin de su contrasea. Los identificadores de la cuenta de equipo
se utilizan cuando el servicio debe acceder a los recursos presentes en el dominio.
Estas cuentas se definen a nivel de las propiedades del servicio desde la consola
Servicios (services.msc), pestaa Conexin y, a continuacin, indicando el nombre
de usuario NT Service\NombreDeCuenta, sin contrasea. Tras reiniciar el
servicio, se ejecutar con un nombre de usuario que incluir el nombre del servicio.

El inconveniente de los sMSA y de las cuentas virtuales es que no son capaces de compartir
su cuenta en varios equipos. Observe que son compatibles nicamente con clientes
Windows 7/8/8.1/2008 R2/2012/2012 R2.

Las gMSA(group Managed Service Account o cuentas de servicio administradas de


grupo) han aparecido con Windows Server 2012 y permiten, a diferencia de las
xMSA, estar asociadas a un servicio (o una tarea programada, o incluso un pool de
aplicaciones IIS, SQL Server, etc.) que se utilizar sobre varios servidores (una
granja de servidores con el servicio de Equilibrio de carga de red, por ejemplo). El
uso de un gMSA est condicionado por el hecho de que todas las instancias de los
servicios utilizan el mismo principal. Para ello, esta nueva tecnologa se basa en el
nuevo servicio de distribucin de claves de Microsoft, que se encarga de proveer
una clave a una cuenta basada en un secreto compartido con este ltimo. Windows
Server 2012/2012 R2 calcula la contrasea sobre la clave provista y slo los clientes
Windows 8/8.1/2012/2012 R2 son capaces de obtener los valores de la contrasea
de estas cuentas.
Vamos a centrarnos aqu, en particular, en el uso de las cuentas de servicio administradas
de grupo, pues presentan ventajas importantes en grandes entornos informticos.

Principio general

La cuenta de servicio administrada utiliza el mismo funcionamiento y la misma frecuencia


de refresco de contrasea que la cuenta de equipo, es decir, cada 30 das, por defecto,
aunque veremos ms adelante que esta opcin es configurable. No responde a ninguna regla
de su poltica de contrasea de dominio ni a ningn PSO (directiva de contrasea nica).
No puede, tampoco, bloquearse ni es posible abrir una sesin con esta cuenta.

La contrasea auto-generada utiliza un cifrado seguro que permite generar una contrasea
de 240 caracteres aleatorios (120 para una gMSA).

En trminos de limitacin del uso de esta cuenta, sepa que no puede utilizarse en todos los
servicios de Windows (es posible que obtenga el error 1297 durante el arranque del
servicio, por ejemplo).

Una cuenta sMSA puede utilizarse, nicamente, sobre un equipo cada vez (aunque puede
ejecutar varios servicios sobre este mismo equipo). No ser, por tanto, posible utilizar una
MSA para clsteres o servicios de equilibrio de carga de red. En estos casos ser preciso
utilizar una cuenta gMSA tal y como se ha visto anteriormente.

El Service Pack 1 de Windows Server 2008 R2 permite, a su vez, definir una MSA
asociada a un servicio instalado sobre un servidor miembro del dominio y que se encuentra
sobre una red delimitada (DMZ, extranet, etc.). Antes del SP1, esta operacin fallaba si el
nico controlador de dominio presente en la misma red que el servidor que ejecutaba la
MSA era un RODC (controlador de dominio de solo lectura). En lo sucesivo, las MSA
funcionan, pues los RODC estn preparados para redirigir la consulta de la MSA hacia un
controlador de dominio de escritura.

Requisitos previos

Los requisitos previos que permiten utilizar las MSA son los siguientes:

Un dominio Active Directory con, al menos, un controlador de dominio en


Windows Server 2012.
Una actualizacin del esquema en versin 2008 R2 para las sMSA y las cuentas de
equipo virtuales. No es preciso tener un nivel funcional de dominio o del bosque en
2008 R2 para que la renovacin automtica de la contrasea funcione. Por el
contrario, si el nivel funcional es 2003 o 2008, el administrador deber definir
manualmente el SPN de estas cuentas MSA. Con un nivel funcional 2008 R2 o
superior, el SPN se define automticamente.
Un equipo con Windows Server 2008 (o superior) o Windows 7 (o superior) que
contengan el servicio a configurar, si se trata de una sMSA, o Windows Server
2012/Windows 8 (o posterior) para configurar una gMSA.
Disponer de las funcionalidades PowerShell, el mdulo Active Directory para
PowerShell (disponible en las herramientas de administracin RSAT para
Windows 7 en la siguiente direccin: http://www.microsoft.com/es-
es/download/details.aspx?id=7887 y para Windows 8 en:
http://www.microsoft.com/es-es/download/details.aspx?id=28972) y, si fuera
necesario, al menos el .NET Framework 4.5 instalado en los ordenadores
encargados de configurar las cuentas MSA. Con Windows Server 2012/2012 R2, es
posible agregar el mdulo Active Directory para PowerShell desde el
Administrador del servidor - Administrar - Agregar roles y caractersticas.

En la medida en que la gMSA debe configurarse desde un controlador Windows


Server 2012 (o posterior), el hecho de agregar este mdulo slo es til en el caso de
que se quiera crear una sMSA desde una versin anterior.

Observe, por ltimo, que un vDC (controlador de dominio virtual) soporta


nicamente las gMSA pero no las sMSA.

Un servicio de Windows que soporte el uso de una cuenta MSA.

Instalacin y configuracin
Tras la extensin del esquema a 2008, se crea una nueva clase de objetos. Se trata de la
clase llamada msDS-ManagedServiceAccount. Si quiere delegar la creacin de esta
cuenta, tendr que verificar, previamente, que el usuario que crea la cuenta MSA posee los
permisos Create/Delete msDS-ManagedServiceAccount.

Tras la extensin del esquema en 2012, se crea otra clase de objetos. Se trata de la clase
msDS-GroupManagedServiceAccount.

Viendo los requisitos previos para instalar PowerShell, habr comprendido que los pasos se
desarrollarn, a continuacin, por lnea de comandos en lugar de mediante interfaz grfica.

Veremos, por tanto, las etapas detalladas que permiten crear una cuenta MSA y utilizarla
para ejecutar una tarea programada. Esta tarea programada es un script que debe ejecutarse
sobre todos los controladores de dominio que utilicen una cuenta con los permisos de
Administrador. Antes, era obligatorio definir una cuenta con permisos muy amplios y cuya
contrasea no cambiara jams. Ahora, es posible utilizar una gMSA para ello. Las etapas
principales son:

La creacin de la clave de raz principal de los servicios de distribucin de claves


(Key Distribution Services KDS Root key).
La creacin de la cuenta MSA en el Active Directory.
La asociacin de la cuenta MSA con un equipo que sea miembro del Active
Directory.
La instalacin de la cuenta MSA sobre el equipo asociado.
La configuracin del servicio para que este ltimo utilice la cuenta MSA.

Para crear, en primer lugar, una cuenta gMSA, conctese a su controlador de dominio
Windows Server 2012/2012 R2 y cree sus claves de distribucin raz para estar seguro de
poder crear una cuenta gMSA. En efecto, a diferencia de las sMSA, las gMSA las gestiona
y mantiene el KDS (Key Distribution Service) desde un controlador de dominio Windows
Server 2012/2012 R2.

Ejecute la consola PowerShell. El mdulo PowerShell Active Directory se cargar


automticamente. Ejecute el siguiente comando sobre su entorno de produccin para
generar una clave raz, necesaria para la creacin de una contrasea para una cuenta gMSA:

Add-KdsRootKey -EffectiveImmediately

Slo podr finalizar el resto del procedimiento tras esperar 10 horas, de cara a dejar tiempo
a la clave generada para que se replique sobre todos los controladores de dominio
(evitando, de este modo, que falle la autenticacin en caso de que sta no se replique).

Si se encuentra en un entorno de pruebas, he aqu el comando que puede ejecutar para


poder continuar de inmediato con el resto del procedimiento:

Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))


Cree un grupo de seguridad y agregue todas las cuentas de equipo que estn autorizadas a
utilizar la gMSA. Se trata de una buena prctica que permite una mejor gestin de estos
accesos. Sepa que si elimina un equipo de este grupo, tendrn que reiniciarlo para que se
tenga en cuenta la modificacin.

En nuestro ejemplo, crearemos un grupo "Domain Controllers" y haremos miembros del


mismo a todos los controladores de dominio afectados.

Cree, ahora, la cuenta gMSA desde la consola PowerShell. Tendr que indicar, al menos,
un nombre (SamAccountName) y un nombre de DNS. Opcionalmente, aunque muy til, el
parmetro PrincipalsAllowedToRetrieveManagedPassword que le permite especificar el
grupo autorizado a utilizar la cuenta gMSA. Es posible utilizar el SPN, eventualmente.

New-ADServiceAccount -Name <Nombre De Cuenta MSA>


-DNSHostName <Nombre FQDN>
-PrincipalsAllowedToRetrieveManagedPassword <Grupo>
-ServicePrincipalNames <SPN1, SPN2,...>

Por ejemplo:

New-ADServiceAccount MiMSA -DNSHostname MiCuenta.MiEmpresa.Priv


-PrincipalsAllowed-PrincipalsAllowedToRetrieveManagedPassword
"Domain Controllers"

Si quiere definir un intervalo particular para el cambio de la contrasea de la cuenta gMSA,


tendr que definirla obligatoriamente durante la creacin de la cuenta; en caso contrario, se
ver obligado a tener que volver a crear una cuenta con el parmetro conveniente. Por
defecto, el valor es de 30 das, y puede modificarlo mediante el parmetro
ManagedPasswordIntervalInDays.

Para evitar cualquier error a la hora de introducir los comandos en PowerShell, puede
utilizar la opcin de auto-completar presionando la tecla [Tab] tras escribir las primeras
letras del comando. Sepa, tambin, que una vez creada la cuenta MSA, ser visible desde la
consola Usuarios y equipos de Active Directory o desde el Centro de administracin de
Active Directory a nivel del contenedor Managed Service Accounts.

La cuenta est creada y es posible visualizarla desde la consola ADAC, en la OU Managed


Service Accounts.
Puede agregar esta cuenta MSA a un grupo de seguridad Active Directory. Para ello, edite
el grupo deseado y agregue un miembro. Especifique, a continuacin, el nombre de la
cuenta MSA recin creada. El cmdlet PowerShell Add-ADGroupMember o el cmdlet
dsmod tambin permiten realizar esta accin.

Una vez creada la cuenta MSA, la buena prctica consiste en instalar y probar la cuenta
gMSA. Desde un comando PowerShell sobre el servidor que utilizar la cuenta gMSA:

Install-ADServiceAccount <Nombre de la cuenta MSA creada anteriormente>


Test-ADServiceAccount <Nombre de la cuenta MSA creada anteriormente>

Si obtuviera un mensaje de error, se debe a que hemos integrado nuestros controladores de


dominio (en el marco de este ejemplo, nicamente) con un grupo de seguridad; mientras no
reinicie el controlador de dominio desde el que est realizando la prueba, obtendr un
mensaje de error siempre que ejecute estos dos comandos.

En nuestro ejemplo, se trata de un controlador de dominio, pero segn sus necesidades


podra ser cualquier servidor con Windows Server 2012/2012 R2 o Windows 8/8.1 (para la
gMSA).

Si desea delegar esta etapa sin tener que otorgar permisos de administrador de dominio a su
usuario, puede delegar los permisos sobre la MSA especfica mediante el siguiente script,
que debe ejecutarse desde una ventana de lnea de comandos:

dsacls "CN=<Nombre de cuenta MSA creada en la etapa anterior>,


CN=Managed
Service Accounts,DC=miempresa,DC=local" /G
"DOMINIO\<Usuario o grupo>:SDRCLCRPLOCA"
"DOMINIO\<Usuario o grupo>:WP;Logon Information"
"DOMINIO\<Usuario o grupo>:WP;Description"
"DOMINIO\<Usuario o grupo>:WP;DisplayName"
"DOMINIO\<Usuario o grupo>:WP;Account Restrictions"
"DOMINIO\<Usuario o grupo>:WS;Validated write to DNS host name"
"DOMINIO\<Usuario o grupo>:WS;Validated write to service principal name"

La cuenta MSA puede, ahora, asociarse al servicio soportado mediante la interfaz grfica
abriendo la consola services.msc y, a continuacin, especificando el nombre de usuario en
la pestaa Iniciar sesin - Esta cuenta. La cuenta que debe indicar debe tener el siguiente
formato: Dominio\NombreDeMSA$ (no olvide el dlar) sin informar ninguna contrasea.

Windows ser capaz de asignar el permiso "Abrir una sesin como servicio" a la cuenta, si
no dispone de l.

Tambin es posible asociar esta cuenta MSA mediante un script PowerShell del siguiente
tipo:

$MSA="dominio\NombreDeMSA$"
$ServiceName="Nombre_Del_Servicio"
$Password=$null
$Service=Get-Wmiobject win32_service -filter "name=$ServiceName"
$InParams = $Service.psbase.getMethodParameters("Change")
$InParams["StartName"] = $MSA
$InParams["StartPassword"] = $Password
$Service.invokeMethod("Change",$InParams,$null)
Modifique y guarde a continuacin este archivo con ayuda de un editor de texto en un
archivo con extensin ps1.

Para ejecutar un script en PowerShell, habr que disminuir la poltica de seguridad por
defecto mediante el comando Set-ExecutionPolicy, ejecutar el script y, a continuacin,
redefinir la poltica de seguridad por defecto.

Set-ExecutionPolicy remotesigned
Script.ps1
Set-ExecutionPolicy restricted

En nuestro caso, queremos definir una tarea programada que utilizar una cuenta gMSA
para ejecutarse, proceda de la siguiente manera:

Como la interfaz grfica no permite definir una cuenta gMSA desde la interfaz grfica del
programador de tareas, va a ser preciso utilizar PowerShell:

$action = New-ScheduledTaskAction "E:\Scripts\backup.cmd"


$trigger = New-ScheduledTaskTrigger -At 8:00 -Daily
$principal = New-ScheduledTaskPrincipal -UserID Dominio\<Nombre de
cuenta
MSA creada anteriormente> -LogonType Password

Action: se corresponde con la accin ejecutada (el script backup.cmd).

Trigger: define la programacin de la tarea.

Principal: indica la cuenta utilizada. Aqu, cabe destacar que hay que especificar bien la
contrasea "Password" en el argumento -LogonType. Se trata de la palabra clave que el
sistema reconocer para ir a buscar la contrasea actual de la gMSA.

De este modo, para crear la tarea programada basndose en estas variables, es preciso
ejecutar el comando:

Register-ScheduledTask BackupViagMSA_Tarea -Action $action -Trigger


$trigger -Principal $principal

No olvide, tampoco, asignar el permiso a la cuenta gMSA para iniciar sesin como
proceso por lotes sobre los servidores (a travs de la consola Administracin de directivas
de grupo a nivel de Configuracin del equipo - Directivas - Configuracin de Windows
- Directiva de seguridad - Directiva local - Asignacin de derechos de usuario).

A continuacin, se crear la tarea y ser visible desde las Herramientas administrativas -


Programador de tareas.

Para eliminar una cuenta MSA, tendr que utilizar el siguiente comando PowerShell:

Remove-ADServiceAccount -identity <Nombre de la cuenta MSA>


Puede, tambin, eliminarla de Active Directory, mediante la consola Centro de
administracin de Active Directory. Tambin es posible eliminar la cuenta MSA del
servidor que la utiliza, mediante el siguiente comando:

Remove-ADComputerServiceAccount -Identity <Nombre NetBIOS del


equipo que utiliza la MSA> -ServiceAccount <Nombre de la cuenta MSA>

El comando Uninstall-AdServiceAccount desinstala la cuenta del servidor aunque no la


elimina de Active Directory, a diferencia del comando anterior.

Acaba de configurar su cuenta MSA para el equipo que lo necesita. De este modo, no
tendr que preocuparse de la gestin de la contrasea de este servidor.

Puede consultar ms informacin tcnica sobre la implementacin de las MSA en la


siguiente direccin: http://technet.microsoft.com/es-es/library/dd548356(WS.10).aspx

i. La papelera de reciclaje de Active Directory

Windows Server 2008 R2 introduce una funcionalidad que har feliz a ms un


administrador. Se trata de una papelera de reciclaje para objetos Active Directory!

En efecto, en lo sucesivo, es posible restaurar un objeto de Active Directory que se haya


eliminado sin tener que restaurar la ltima copia de seguridad, incluso sin tener que detener
el servicio de uno de sus controladores de dominio (teniendo que reiniciarlo en modo
DSRM y utilizando el comando NTDSUTIL). En lo sucesivo, es posible, gracias a esta
funcionalidad, restaurar un objeto creado tras su ltima copia de seguridad disponible de
Active Directory.

Observe que desde Windows Server 2003 es posible utilizar la reanimacin de objetos
eliminados (durante 180 das, por defecto). El inconveniente principal de esta solucin es
que no restaura algunos atributos a un valor vinculado sino no vinculado.

En concreto, esto significa que la restauracin de una cuenta de usuario siguiendo este
mtodo no restaura su pertenencia a los grupos de seguridad y es preciso, por tanto, conocer
esta informacin para agregarla a continuacin.

La papelera de reciclaje de Active Directory le simplificar enormemente esta tarea!

Antes de entrar en detalle a ver cmo puede implementarse, veamos, en primer lugar, su
principio de funcionamiento.

Principio general

La funcionalidad de la papelera de reciclaje Active Directory se basa en cuatro atributos de


Active Directory.

isDeleted
Este atributo existe desde Windows 2000 Server. Est presente sobre todos los objetos del
directorio. Indica si un objeto se ha eliminado pero puede ser restaurado.

isRecycled

Este atributo existe desde Windows Server 2008 R2. Est presente en todos los objetos
eliminados una vez se activa la funcin de papelera de reciclaje de Active Directory. Indica
que un objeto puede restaurarse utilizando la funcin de la papelera de reciclaje de Active
Directory.

msDS-DeletedObjectLifetime

Este atributo existe desde Windows Server 2008 R2. Su valor determina el tiempo (en das)
durante el que podr restaurarse un objeto eliminado. Por defecto, su valor es igual al valor
del atributo TombstoneLifetime.

TombstoneLifetime

Este atributo existe desde Windows 2000 Server. Desde Windows Server 2003 SP1, su
valor por defecto es de 180 das. Este nmero de das sirve para propagar la informacin
sobre un objeto eliminado a todos los controladores de dominio.

Veamos, por tanto, qu ocurre cuando se elimina un objeto (una cuenta de usuario, por
ejemplo) de Active Directory:

Cuando se elimina un objeto, ste se desplaza al contenedor Deleted Objects que se


encuentra en la raz del dominio (en nuestro ejemplo: CN=Deleted
Objects,DC=miempresa,DC=priv) y el atributo isDeleted toma el valor TRUE. El
administrador dispone, entonces, del nmero de das definido en el atributo msDS-
deletedOjectLifetime para restaurar el objeto mediante la funcionalidad de la
papelera de reciclaje de Active Directory. Por defecto, su valor es igual al valor del
atributo TombstoneLifetime, es decir, 180 das en la mayora de situaciones. Dicho
de otro modo, un objeto puede restaurarse mediante la papelera de reciclaje de
Active Directory hasta 180 das despus de su borrado, por defecto.
Una vez superado el nmero de das definido por el atributo msDS-Deleted-
ObjectLifetime, el atributo isRecycled recibe el valor TRUE. El objeto entra,
entonces, en un nuevo estado disponible desde Windows Server 2008 R2 llamado
"Recycled object" (disculpe el trmino anglosajn, pero no existe una traduccin al
castellano para este trmino en el momento de escribir estas lneas).

Llegado este momento, el objeto no puede restaurarse por completo (ni a travs de la
papelera de reciclaje de Active Directory, ni mediante una restauracin completa) y pierde
ciertos atributos cuyo valor estaba vinculado, a un estado no vinculado. El objeto queda,
entonces, en este estado durante el tiempo definido por el valor del atributo
TombstoneLifetime, de nuevo 180 das. El principal inters de este estado es avisar a los
dems controladores de dominio que se ha eliminado un objeto.
Una vez superado el nmero de das definido por el atributo TombstoneLifetime
(un total de 180 + 180 das, es decir, 360 das tras el borrado de la cuenta de
usuario), el objeto se elimina "realmente" de Active Directory.

He aqu un esquema resumen:

Requisitos previos

Los requisitos previos necesarios para utilizar la papelera de reciclaje de Active Directory
no son despreciables. En efecto, es preciso que todos los controladores de dominio del
bosque ejecuten, al menos, Windows Server 2008 R2.

Ser necesario, a continuacin, extender el esquema a Windows Server 2008 R2 o superior


(hemos explicado cmo hacerlo en la seccin Instalacin de un directorio de Active
Directory).

Cabe destacar, tambin, que activando la funcionalidad de papelera de reciclaje de Active


Directory, no ser posible disminuir el nivel funcional del dominio ni del bosque sin bajar
del nivel Windows Server 2008 R2.

Activacin y uso

La activacin de la papelera de reciclaje se realiza mediante PowerShell o desde la consola


Centro de administracin de Active Directory.

Mediante PowerShell:

Abra una sesin sobre el controlador de dominio que alberga el rol de Maestro de nombres
de dominio. Ejecute la consola PowerShell con una cuenta miembro del grupo de
Administradores de empresas.

Instale la funcionalidad PowerShell y el mdulo PowerShell para Active Directory si no


estuvieran presentes.
Ejecute, a continuacin, los siguientes comandos e indique "S" (S) para validar los
comandos.

import-module ActiveDirectory (opcional)

Enable-ADOptionalFeature Recycle Bin Feature


-Scope ForestOrConfigurationSet
-Target <nombre de dominio de la raz de su bosque>

Si no sabe si la papelera de reciclaje de Active Directory ya se encuentra activa, utilice el


siguiente comando PowerShell: Get-ADOptionalFeature -filter *

Si EnabledScopes posee algn valor, esto significa que la papelera de reciclaje de Active
Directory est activa. Si estuviera vaco { }, significa que la papelera de reciclaje de Active
Directory no se encuentra activa.

Tambin es posible activarla desde el Centro de administracin de Active Directory.

Pulse las teclas [Windows] R y ejecute el comando dsac.

Sitese a nivel de su dominio y haga clic en Habilitar papelera de reciclaje.


Haga clic en S en el mensaje de alerta que indica que una vez activada la papelera de
reciclaje no podr desactivarse.

Pulse la tecla [F5] en el teclado y compruebe que la opcin Habilitar papelera de


reciclaje queda sombreada en gris.

Ahora que la papelera de reciclaje de Active Directory est activa, veamos cmo utilizarla
reproduciendo distintos escenarios posibles en produccin.

Restauracin de un objeto especfico

Tomemos como ejemplo un usuario de Active Directory eliminado por error. La


replicacin se realiza sobre todos los controladores de dominio y no ha tenido, en una
situacin de trabajo normal, otra opcin que utilizar una copia de seguridad de su Active
Directory.

Gracias a la papelera de reciclaje de Active Directory, puede realizar esta operacin en


unos pocos minutos sin interrupcin del servicio.

En nuestro ejemplo, el usuario eliminado se llama "Fernando ROMERO" y su cuenta se


ubica en la unidad organizativa "Central". Esta cuenta de usuario era, tambin, miembro de
varios grupos de seguridad.

Utilice PowerShell para visualizar los objetos eliminados que podran restaurarse.

Get-ADObject -filter isdeleted -eq $true -and name -ne "Deleted


Objects"
-includeDeletedObjects -property * | Format-List
samAccountName,displayName,lastknownParent
La opcin | Format-List permite interpretar el resultado del comando Get-Object y
mostrar nicamente ciertos atributos que se devuelven en un formato fcilmente legible. Si
suprime los argumentos del comando anterior tras la barra (carcter "|"), PowerShell le
mostrar todos los atributos que se restaurarn para aquellos objetos que puedan
restaurarse.

Esto puede resultar interesante a ttulo informativo, pero se revela, rpidamente, demasiado
extenso para un entorno de produccin en el que tenga varias decenas de objetos
potencialmente restaurables.

Observe que un objeto solo puede restaurarse si se ha eliminado tras activar la papelera de
reciclaje de Active Directory. Si un objeto se hubiera eliminado antes, no podra restaurarse
con la papelera de Active Directory. Tendra, en tal caso, que restaurarlo utilizando una
restauracin estndar (mediante la herramienta ntdsutil.exe) partiendo de la ltima copia de
seguridad que contenga el objeto a restaurar.

Una vez identificado el objeto, puede restaurarlo mediante el comando PowerShell


Restore-ADObject:

Get-ADObject -Filter samaccountname -eq "fromero"


-IncludeDeletedObjects | Restore-ADObject

No aparece ninguna confirmacin, aunque si vuelve a su consola Usuarios y equipos de


Active Directory, ver que su cuenta de usuario se ha restaurado correctamente y sus
atributos, tales como la pertenencia a los grupos de seguridad, estn presentes.

Windows Server 2012 incluye la posibilidad de restaurar un objeto de Active Directory


mediante una interfaz grfica. Para ello, es necesario tener instalado el cliente ADAC
Windows 2012.

Abra el Centro de administracin de Active Directory (dsac.exe) y, a continuacin,


seleccione la visualizacin por arborescencia (en la parte superior izquierda) para visualizar
y seleccionar el contenedor Deleted Objects.
Escoja la o las cuentas que desea restaurar y seleccione Restaurar o Restaurar en... si
desea especificar un destino de restauracin concreto. A continuacin, se restaura la cuenta
junto a su pertenencia a los grupos, su directiva de contrasea asociada si la tuviera, etc.

Restauracin de una unidad organizativa

Tomemos, ahora, como ejemplo el borrado de una unidad organizativa, as como todos los
objetos contenidos en ella (lo cual no habra ocurrido si hubiera estado activa la opcin de
proteccin contra la eliminacin accidental estuviera activa sobre esta OU! Le invitamos
no obstante, de manera excepcional, a desmarcar esta opcin en las propiedades de la OU
para realizar esta prueba). Podr restaurar todos los objetos muy fcilmente. Sepa que, para
poder restaurar el contenido, el contenedor debe estar disponible. Dicho de otro modo, si ha
eliminado una OU y sus sub-OUs y quiere restaurar una cuenta concreta de una de las sub-
OUs, tendr que restaurar previamente la OU madre e hija. A menos, claro est, que escoja
la opcin de especificar un contenedor de restauracin distinto al que estuviera definido
inicialmente (mediante la opcin Restaurar en...).

La restauracin se desarrolla en dos etapas.

He aqu un primer mtodo que utiliza PowerShell, para los puristas:

En primer lugar, es necesario restaurar la unidad organizativa en su ubicacin original. En


nuestro ejemplo, restauraremos la OU "Central" que se encuentra en la raz del dominio:

Get-ADObject -filter msds-lastKnownRdn -eq


"Central" -and lastKnownParent -eq
"DC=miempresa,DC=priv" -includeDeletedObjects | Restore-ADObject
Una vez restaurada la unidad organizativa, puede ejecutar la restauracin de todos los
objetos que contena a travs de este comando:

Get-ADObject -filter lastKnownParent -eq


"OU=Central,DC=miempresa,DC=priv"
-includeDeletedObjects | Restore-ADObject

Veamos ahora cmo realizar esta operacin mediante el Centro de administracin de Active
Directory:

Abra el Centro de administracin de Active Directory y sitese a nivel del contenedor


Deleted Objects.

La columna Principal ltimo conocido ser muy til para poder clasificar y restaurar los
objetos de una misma OU, por ejemplo.

Seleccione la o las cuentas y OU que desee y haga clic en Restaurar.

Todos los objetos presentes en esta OU (usuarios, equipos, grupos, etc.) se restauran sin
problema alguno.

En lo sucesivo, ser capaz de utilizar la papelera de reciclaje de Active Directory en caso de


que se produzca alguna manipulacin incorrecta de su directorio Active Directory.

Tenga, no obstante, en mente que esta funcionalidad no debe eximirle de realizar copias de
seguridad peridicas de sus controladores de dominio y habilitar la proteccin contra la
eliminacin accidental de sus objetos de Active Directory (al menos sobre sus OU).
Nunca se es demasiado prudente!.
j. Otras especificaciones desde Windows Server 2008 R2

Conforme aparecen nuevas versiones de Windows aparecen funcionalidades muy


interesantes relacionadas con el directorio Active Directory.

He aqu una lista, no exhaustiva, de las principales mejoras que han tenido lugar desde
Windows Server 2008 R2:

Unirse a un dominio en modo sin conexin (Offline domain join): el comando


djoin permite pre-provisionar una cuenta de equipo sobre un controlador de dominio
y crear el bloque asociado (Binary Large Object). Este bloque podr, a
continuacin, desplegarse en el puesto cliente (mediante el registro o el archivo
VHD) habilitando as una unin al dominio automtica del puesto cliente al
dominio (tras su reinicio). Ser posible realizar esta unin incluso si el equipo no se
encuentra conectado a la red de la empresa durante su reinicio.
Windows Server 2012/2012 R2 y Windows 8/8.1 pueden utilizar djoin acoplndolo
a una conexin DirectAccess (conexin VPN transparente que se aborda en el
captulo Acceso remoto). Encontrar ms informacin sobre esta solucin en el
captulo Despliegue de servidores y puestos de trabajo y, tambin, en la siguiente
direccin: http://technet.microsoft.com/library/jj574150.aspx
Centro de administracin de Active Directory: con Windows Server 2008 R2
hace su aparicin una nueva consola de gestin del directorio Active Directory, con
el objetivo de remplazar a la consola Usuarios y equipos de Active Directory. Esta
consola es una interfaz grfica para PowerShell. Tambin llamada Active Directory
Administration Center o ADAC, puede ejecutarla a travs las herramientas
administrativas desde el administrador del servidor o ejecutando el comando
dsac.exe. Las bsquedas globales permiten, en particular, ejecutar consultas LDAP
predefinidas tales como el listado de usuarios cuya cuenta est desactivada o cuya
contrasea ha expirado.
Esta consola se instala, por defecto, sobre un controlador de dominio igual o posterior a
Windows Server 2008 R2. Requiere la presencia del mdulo AD para PowerShell as como
el servidor ADWS (Active Directory Web Service).

Service Active Directory Web Service (ADWS)

Este servicio est disponible desde Windows Server 2008 R2 y se instala por
defecto tras la promocin de un servidor como controlador de dominio.

Cuando un administrador ejecuta una consulta desde su consola de administracin


de Active Directory (dsac.exe), ste la traduce en un comando PowerShell mediante
los cmdlets del mdulo Active Directory PowerShell instalado.

El comando PowerShell se transmite, a continuacin, al servicio ADWS a travs del


puerto 9389/TCP mediante un protocolo WS-* (WS-Transfer, WS-Enumeration).

Observe que existe un servicio equivalente para las versiones anteriores de Windows
Server, a partir de Windows Server 2003 SP2. Para ello, es necesario descargar e instalar el
servicio Active Directory Management Gateway Service (ADMGS), con el que podr,
tambin, consultar a sus controladores de dominio utilizando comandos Power-Shell.

Ambos servicios son equivalentes a diferencia de que ADMGS no podr utilizar una
instancia de instantnea de Active Directory.

Active Directory Best Practices Analyzer Tool

Tras la instalacin del rol Active Directory, Windows Server 2012/2012 R2 instala,
tambin, la herramienta Best Practice Analyzer Tool. Esta herramienta permite
comprobar todo un conjunto de buenas prcticas a seguir y poner de manifiesto los
errores de configuracin de los controladores de dominio de su infraestructura, tanto
para los controladores de dominio con Windows Server 2012 R2 como para los
dems (2000/2003/2008/2008 R2/2012).

Las pruebas se ejecutan desde el Administrador del servidor o mediante comandos


PowerShell.
Mediante PowerShell, ejecute los siguientes comandos para ver el estado de las distintas
Best Practices para cada mdulo:

Import-Module ServerManager
Import-Module BestPractices
Get-BpaModel

Este comando permite recuperar el ID necesario para el comando siguiente. Seleccione el


ID correspondiente al rol para el que desea realizar un scan.

Invoke-BPAModel -BestPracticesModelId Microsoft/Windows/DirectoryServices

Este comando permite ejecutar la herramienta de buenas prcticas sobre el rol definido por
su ID.

Get-BpaResult -BestPracticesModelId Microsoft/Windows/DirectoryServices

Este comando permite visualizar los resultados del anlisis anterior.


Desde el Administrador del servidor, vaya a AD DS y, a continuacin, en la seccin
Analizador de procedimientos recomendados Tareas - Iniciar examen BPA.

Tenga en cuenta que esta herramienta tambin est disponible para los roles Active
Directory Certificate Services (AD CS), DNS, Terminal Server y algunos otros que es
posible visualizar mediante el cmdlet get-BPAModel.

Ahora que se ha familiarizado con la administracin del directorio Active Directory,


descubramos una presentacin en profundidad de las directivas de grupo.

Las directivas de grupo


Las directivas de grupo se utilizan en el seno de un dominio de Active Directory para
definir parmetros comunes a un conjunto de equipos.

Microsoft provee mejoras muy tiles relativas a la gestin de las directivas de grupo desde
Windows Server 2012. Se ponen a disposicin del administrador varias opciones
suplementarias, con esta nueva versin de Windows, cuyo objetivo es mejorar el buen
trabajo que ya se haba hecho con Windows Server 2008.

A continuacin se presentan las principales evoluciones de las directivas de grupo.


1. Deteccin de enlaces lentos

La deteccin de enlaces lentos (tambin llamados, en ocasiones, "vnculos de baja


velocidad", por Microsoft) permite limitar la aplicacin de algunas directivas de grupo
cuando el usuario se encuentra conectado mediante una red con baja tasa de transferencia.

Antes, esta deteccin se realizaba gracias al protocolo ICMP, con todas las limitaciones que
ello conllevaba. Por este motivo, Microsoft ha desarrollado el servicio de reconocimiento
de ubicacin de red (tambin llamado NLA por Network Location Awareness) para
Windows Vista y Windows Server 2008. Gracias al servicio NLA, el refresco como tarea
de fondo de su directiva de grupo ser mucho ms fiable, puesto que ya no se basa en el
protocolo ICMP sino en RPC, conocido por su fiabilidad. Si su equipo intenta refrescar las
directivas de grupo (por defecto, esto se produce cada 90 minutos), mientras el controlador
de dominio no est accesible en ese preciso instante (si el usuario no est conectado a la
red, por ejemplo), el refresco no se realizar en el prximo ciclo (90 minutos ms tarde)
sino cuando el controlador de dominio vuelva a estar disponible. El servicio NLA permite,
en efecto, detectar muy rpidamente la disponibilidad del controlador de dominio en este
caso concreto.

Por otro lado, se ha optimizado el servicio Cliente de directiva de grupo, presente en un


puesto Windows 8/2012 o versiones posteriores, y estar detenido la mayor parte del
tiempo de cara a optimizar recursos de CPU. El servicio se inicia automticamente durante
5 minutos y siempre respetando un retardo de 90 minutos, aproximadamente. Este inicio se
controla, en lo sucesivo, mediante una tarea programada que se ejecuta con la cuenta
SYSTEM (no puede, por tanto, visualizarla sino con la cuenta SYSTEM, utilizando el
comando psexec, por ejemplo).

Es posible volver al antiguo mtodo de funcionamiento de este servicio habilitando la


opcin Desactivar la optimizacin de AOAC del servicio Cliente de la directiva de
grupo en Configuracin del equipo - Directivas - Plantillas administrativas - Sistema -
Directiva de grupo.

Observe, tambin, que para los accesos mediante DirectAccess, se define un enlace por
defecto si la velocidad de la conexin no se considera lo suficientemente rpida. De este
modo, el inicio de sesin se ve mejorado, puesto que cuando se detecta un enlace lento, la
aplicacin de las GPO funciona de manera asncrona. Esta configuracin tambin es vlida
para conexiones 3G.

Tenga en mente, tambin, que la opcin Fast Startup de Windows 8 (opcin que permite
detener parcialmente el sistema operativo, hacindole ganar tiempo de cara a la parada y el
arranque del equipo) tiene consecuencias en los scripts de inicio y cierre de sesin, que no
se ejecutarn. Ser preciso habilitar la opcin Fast Startup si desea seguir aprovechando
este tipo de configuracin de GPO.
2. Almacenamiento en cach de las directivas de grupo

El almacenamiento en cach de las directivas de grupo est deshabilitado, por defecto, en


Windows 8.1 y Windows Server 2012 R2. La opcin no se aplica a las versiones
anteriores de sistema operativo.

La ventaja de esta funcionalidad es que acelera el proceso de inicio de sesin, pues el motor
de directivas de grupo de Windows carga la informacin de las directivas desde una cach
local, en lugar de descargarlas desde un controlador de dominio.

El parmetro est disponible en Configuracin del equipo - Directivas - Plantillas


administrativas - Sistema - Directivas de grupo. Ser necesario editar la opcin
Configurar almacenamiento en cach de directiva de grupo.

El almacenamiento en cach de las directivas de grupo permitir, a los usuarios, obtener un


mejor tiempo de inicio de sesin si las directivas se definen para ejecutarse en modo
Sncrono. El modo Sncrono, para una directiva de grupo, permite que su ejecucin se
realice en un orden bien definido antes de permitir al usuario iniciar la sesin en Windows.
Esto resulta til para la redireccin de carpetas, la instalacin de aplicaciones, la cuota
sobre un disco, etc.

Gracias a este parmetro, la informacin de las directivas se recuperar de manera local (a


nivel de la carpeta C:\Windows\System32\GroupPolicy\Datastore) y un evento (5216) le
confirmar el correcto funcionamiento de este almacenamiento en cach.

Esta opcin ser particularmente til para aquellos equipos conectados a redes con poco
ancho de banda, o desde Internet mediante una conexin DirectAccess, por ejemplo.

3. El formato ADMX

Con Windows Vista y Windows Server 2008 ha aparecido un nuevo formato de archivo, se
trata de los archivos ADMX. Estos archivos se utilizan para mostrar las distintas opciones
de las directivas de grupo.

Poseen numerosas ventajas, en comparacin a los formatos de archivos anteriores (los


archivos ADM). Entre las principales ventajas de este nuevo formato, cabe destacar:

El lenguaje utilizado en los archivos ADMX es el XML. Este formato est


destinado a convertirse en un estndar en el intercambio de informacin entre
aplicaciones, facilitando la interoperabilidad, etc.
La creacin de un almacn central que permita centralizar los archivos de plantillas
ADMX en la carpeta SYSVOL, mientras que antes los archivos ADM se
almacenaban con cada directiva de grupo de cada controlador de dominio (pudiendo
provocar un gran volumen de datos a replicar, fenmeno que se conoce como
Sysvol Bloat). Basta, entonces, con copiar/pegar los archivos ADMX de un puesto
cliente con Windows Vista o Windows Server 2008 (disponible en la carpeta
c:\Windows\PolicyDefinitions) a la carpeta PolicyDefinitions que habr creado en
el recurso compartido
\\<nombre_de_dominio>\SYSVOL\<nombre_de_dominio>\Policies. Los
administradores que quieran editar una directiva ya no tendrn que preocuparse por
saber si disponen del archivo correcto de plantilla de directiva, dado que se
recuperarn automticamente desde el recurso compartido. Debern, no
obstante, acceder todos ellos a las directivas de grupo desde una misma versin de
Windows y, si es posible, la ms reciente para poder visualizar los parmetros del
conjunto de puestos de trabajo. En efecto, si GPMC se ejecuta desde Windows
Vista y se configura para recuperar informacin desde un almacn central, no le ser
posible visualizar los valores REG_MULTI_SZ o REG_QWORD, presentes
nicamente desde Windows 7.
La independencia del archivo de idioma que contiene el texto de cada una de las
opciones de las directivas de grupo. Se asocia un archivo de idioma con la
extensin. ADML a cada archivo ADMX. Es posible editarlo con ayuda de un
simple editor de texto, puesto que tiene, tambin, formato XML. El detalle de las
modificaciones aportadas por el sistema al escoger una directiva no se almacena en
el archivo ADML sino en el archivo ADMX asociado.

Microsoft provee, por defecto, 146 archivos ADMX y otros tantos archivos ADML
correspondientes al idioma del sistema operativo. Si haba creado sus propios archivos de
plantilla de directiva, con formato ADM, puede convertirlos al formato ADMX gracias a la
herramienta ADMX Migrator que provee Microsoft en la siguiente
direccin: http://www.microsoft.com/downloads/details.aspx?FamilyId=0F1EEC3D-10C4-
4B5F-9625-97C2F731090C. Esta herramienta le permite, tambin, crear sus propios
archivos ADMX.

Observe que si el nivel funcional del dominio es, al menos, Windows Server 2008, ser
posible modificar la replicacin de la carpeta SYSVOL para que utilice DFSR en lugar de
FRS. Encontrar ms informacin acerca de los inconvenientes y, sobre todo, las ventajas
de la replicacin mediante DFSR en la siguiente direccin: http://technet.microsoft.com/en-
us/library/cc794837(WS.10).aspx

4. Registro de eventos

En las versiones anteriores a Windows 2008, los registros de eventos relativos a las
directivas de grupo no eran sencillos de interpretar, puesto que el formato era poco
comprensible para un administrador no iniciado.

En adelante, es posible mostrar los eventos relativos a las directivas de grupo directamente
desde el registro de eventos en un puesto con Windows Vista o Windows Server 2008 (o
versiones posteriores).

Windows Server 2012 R2 integra, a este respecto, eventos todava ms precisos, acerca de
la duracin de la descarga y la aplicacin de una directiva, lo que le resultar muy til para
analizar la causa de una duracin en la ejecucin de las GPO anormalmente elevada.

Para ello, haga clic en el men Administrador del servidor y, a continuacin, en


Herramientas y Visor de eventos.

Despliegue, a continuacin, el men Registros de aplicaciones y servicios - Microsoft -


Windows - GroupPolicy - Operativo.
Si utilizaba la herramienta Group Policy Log View para mostrar el archivo de registro de
las directivas de grupo con un formato TXT o similar, sepa que ya no necesitar hacerlo
con Windows Server 2012 R2 pues la opcin de registro del sistema de archivos le
permitir guardarlo en varios formatos (en particular CSV o XML!). Escoja, para ello, la
opcin Guardar eventos seleccionados....

Puede, de este modo, recuperar mucho ms fcilmente una gran cantidad de informacin
relativa al funcionamiento de los distintos parmetros de las directivas de grupo aplicadas.

5. Parmetros de las directivas de grupo que debe conocer

Con Windows Server 2008, se crearon nuevas categoras de directivas de grupo muy tiles,
tales como, por ejemplo, las Preferencias de directivas de grupo (GPP).

Las Preferencias de directivas de grupo ofrecen una alternativa a los scripts que se utilizan,
muy a menudo, para personalizar el entorno del usuario. Es, en efecto, posible utilizar las
directivas de grupo para configurar los lectores de red, los recursos compartidos, los
usuarios y grupos locales, las opciones de alimentacin, las impresoras que se quieren
instalar, las tareas programadas, etc.

Estos parmetros estn disponibles en la consola Administracin de directivas de grupo


(gpmc.msc). Seleccione la opcin de modificar una directiva existente, por ejemplo, en el
nivel Configuracin del equipo (o usuario) - Preferencias - Configuracin del Panel de
control.

Es posible, para cada parmetro definido, agregar condiciones de aplicacin del parmetro
en cuestin. Puede, de este modo, decidir que se apliquen los lectores de red apuntando a
un servidor en particular nicamente para aquellos usuarios con una direccin IP
comprendida en un rango de direcciones que haya definido previamente. Desde Windows
Server 2012 R2, este rango de direcciones puede definirse en formato IPv6.
Obtendr ms informacin acerca de las opciones de configuracin en la siguiente
direccin: http://technet.microsoft.com/es-es/library/cc733022.aspx

Las preferencias de directivas de grupo se han visto mejoradas desde Windows


Server 2012, en particular a la hora de considerar Internet Explorer 10 (disponible,
nicamente, en una GPP "Usuario").
Internet Explorer 11 todava no est integrado en las GPP, en el momento de escribir estas
lneas, aunque no debera tardar dado que los dems parmetros de configuracin de IE 11
ya estn disponibles a nivel de Configuracin del equipo (o Configuracin de usuario) -
Directivas - Plantillas administrativas - Componentes de Windows - Internet
Explorer.

Estas GPO de preferencias pueden modificarse mediante el cmdlet de PowerShell


GPPrefRegistryValue (o GPRegistryValue para los parmetros de GPO basados en
modificaciones del registro). Para ello, ser preciso importar el mdulo mediante el
comando Import-Module GroupPolicy.

Desde Windows 2008 R2, los parmetros de la directiva de firewall e IPsec se han
consolidado en una nica consola MMC, accesible, tambin, desde cualquier directiva de
grupo. Es, por lo tanto, posible definir reglas de trfico entrante, trfico saliente, y de
seguridad de conexin (utilizando el protocolo IPsec) para los clientes con Windows Vista
y Windows Server 2008 o versiones posteriores. Estos parmetros estn disponibles en
Configuracin del equipo - Directivas - Configuracin de Windows - Configuracin de
seguridad - Firewall de Windows con seguridad avanzada.

Los parmetros de las directivas para IPsec y el firewall de las anteriores versiones de
Windows estn, todava, disponibles en la antigua ruta Configuracin del equipo -
Directivas - Plantillas administrativas - Red - Conexiones de red - Firewall de
Windows.

6. La consola Administracin de directivas de grupo

La consola Administracin de directivas de grupo (conocida, tambin, por el nombre


GPMC por Group Policy Management Console) es una herramienta indispensable para
administrar las directivas de grupo de su dominio Active Directory.

Si el equipo desde el que desea editar las directivas de grupo no posee la consola GPMC,
puede instalar dicha caracterstica desde el Administrador del servidor - Agregar roles y
caractersticas, haciendo clic en Siguiente hasta llegar a la etapa Caractersticas y
marcando la opcin Administracin de las directivas de grupo.

La herramienta RSAT (por Remote Server Administration Tools) permite desplazar la


configuracin de las directivas de grupo (y, de manera general, la administracin de roles y
caractersticas de su servidor) desde un equipo cliente. Para Windows 8, es posible
descargar esta herramienta en la siguiente direccin: http://www.microsoft.com/es-
es/download/details.aspx?id=28972
Para acceder a la consola GPMC, abra el Administrador del servidor y, a continuacin,
seleccione Herramientas y Administracin de directivas de grupo.

La consola le presentar, a continuacin, la organizacin del o de los dominios del bosque


que desee, sus OU y sub-OU, as como los objetos de directiva de grupo definidos.

Esta consola le permite:

Crear, modificar, eliminar o vincular sus directivas de grupo con los contenedores
de los sitios, dominios o unidades organizativas del bosque que usted elija.
Forzar la actualizacin de las directivas a nivel de toda una OU (creando una tarea
programada en cada equipo). Es, tambin, posible realizar esta tarea mediante el
cmdlet Invoke-GPUpdate.
Configurar el filtrado de la aplicacin de una directiva (mediante el filtro WMI o
mediante la seguridad de la directiva).
Gestionar la delegacin.
Definir los resultados de la directiva de grupo para simular la aplicacin de una
directiva antes de su puesta en produccin.
Realizar copias de seguridad y restauraciones de las directivas de grupo.
etc.

Entre estas numerosas funcionalidades, no cabe olvidar dos opciones que han aparecido con
Windows Server 2008. Se trata de la posibilidad de realizar bsquedas y definir plantillas
de directivas.

La funcin Buscar est disponible a dos niveles en la consola GPMC.


Para las grandes empresas que deban gestionar una gran cantidad de objetos de directiva de
grupo, existe la funcin Buscar que est disponible haciendo clic con el botn derecho
sobre el bosque o el dominio que desee. Es, a continuacin, posible mostrar objetos de
directiva de grupo que respondan a ciertos criterios que haya considerado y definido. Es, de
este modo, posible mostrar las directivas para las que se ha definido alguna Configuracin
de seguridad.

La otra funcin Buscar disponible interesar a la mayora de administradores. Esta funcin,


accesible desde el editor de administracin de directivas de grupo, le permite filtrar la
visualizacin de las numerosas directivas ubicadas en el nodo Plantillas
administrativas en funcin de criterios especficos.

Puede, de este modo, encontrar los parmetros de directiva que respondan a sus
necesidades, sin tener que navegar entre los miles de parmetros posibles.

Para utilizar esta opcin, realice los siguientes pasos:


Desde la consola GPMC, haga clic con el botn derecho en el objeto de directiva de grupo
que desea modificar, seleccionando, a continuacin, la opcin Editar para acceder al
editor.

A continuacin se abre el editor de administracin de directivas de grupo. Vaya al nodo


Plantillas administrativas: definiciones de directivas... en Configuracin del equipo (o
Configuracin de usuario) - Directivas. Para iniciar una bsqueda entre todos estos
parmetros, haga clic con el botn derecho en el nodo principal (o en una de las
subcarpetas, aunque la bsqueda se realizar en todos los parmetros del nodo) y, a
continuacin, seleccione Opciones de filtro.

Las opciones de filtrado se dividen en tres categoras que le permiten afinar su bsqueda.
Puede, de este modo, seleccionar ver solamente los parmetros de la directiva que estn
configurados. Tambin es posible realizar un filtrado por palabras clave. Por ltimo, puede
seleccionar ver los parmetros definiendo filtros de condiciones para mostrar, en unos
pocos segundos, los parmetros aplicables a la familia Windows Vista, por ejemplo.

El siguiente ejemplo define un filtro que muestra todos los parmetros que contienen la
palabra clave activeX en el ttulo del parmetro de la directiva, en el texto de la explicacin
o en el comentario (la pestaa comentario le permite, en efecto, agregar el texto que desee
en la creacin de una directiva de grupo o en la activacin de algn parmetro). Haga clic, a
continuacin, en Aceptar para aplicar el filtro.
Una vez validado el filtro, la arborescencia del editor de directivas se actualiza
automticamente para mostrar nicamente aquellos parmetros que se corresponden con el
filtro definido. Estos parmetros se agrupan, tambin, en el nodo Todos los valores.
Para deshabilitar el filtro y volver a una representacin completa, haga clic con el botn
derecho del ratn sobre una de las carpetas de Plantillas administrativas: definiciones de
directivas y desmarque la opcin Filtro activado (el icono Plantillas administrativas
retomar su apariencia habitual).

Windows 2012 aporta, adems, dos funcionalidades importantes. Se trata de un


resultado mejorado en el informe de Resultados de directivas de grupo y una interfaz que
permite verificar el estado de las GPO en el conjunto del dominio.

El resultado de la directiva de grupo se ha visto mejorado. Permite, como siempre,


verificar las directivas que se aplican a un usuario y/o un equipo especfico y aporta
informacin suplementaria como, por ejemplo, eventuales errores detectados, el tipo
de enlace (lento o rpido), si se ha definido el bucle invertido, el tiempo de
aplicacin de cada CSE (un CSE es un motor que se aplica a un conjunto de
directivas).

Esta informacin est disponible en los Resultados de directivas de grupo.


Seleccione, a continuacin, la cuenta y el equipo que quiere analizar y debera ver
todos los parmetros definidos para el mismo.
La otra novedad interesante de la consola GPMC es la posibilidad de verificar el
estado de un objeto GPO en el seno de todo un dominio Active Directory. En
efecto, ya sabe que puede existir un pequeo retardo entre la modificacin de una
directiva en un controlador de dominio y su replicacin en el conjunto de los dems
controladores de dominio. En lugar de utilizar la herramienta GPOTool para
diagnosticar problemas vinculados con un usuario que ha actualizado sus directivas
GPO sobre un controlador de dominio que no ha recibido la ltima versin,
Microsoft ha mejorado la capacidad para identificar estos problemas integrando una
herramienta de diagnstico directamente en la consola de administracin de
directivas de grupo.

Para ello, haga clic en Objetos de directiva de grupo y, a continuacin, haga clic
en el nombre de una de sus directivas.

Se muestra una nueva pestaa, Estado. Puede hacer clic en Detectar ahora en la
zona inferior derecha para iniciar una verificacin del estado de esta GPO en el seno
de todos los controladores de dominio del dominio.

El filtrado est, de momento, limitado a los parmetros definidos en las Plantillas


administrativas. Si desea obtener una lista completa (aunque no exhaustiva) de los
parmetros que agrupan la Configuracin de seguridad, etc. descargue el archivo Group
Policy Settings Reference for Windows and Windows Server (vlido para Windows Server
2003 SP2/2008/2008 R2, 2012 y Windows Vista, Vista SP1, 7 y 8) con formato XLS o
XLSX (slo disponible en ingls):
http://www.microsoft.com/downloads/details.aspx?familyid=18C90C80-8B0A-4906-
A4F5-FF24CC2030FB&displaylang=en
7. Los objetos GPO Starter

Si es un poco observador, se habr dado cuenta, sin duda, editando sus directivas de grupo
mediante la consola GPMC desde un puesto de trabajo equipado con Windows Server 2008
o Windows Vista SP1 (o versiones superiores) que ha aparecido un nuevo parmetro. Se
trata del contenedor Objetos GPO Starter.

Esta opcin consiste en crear plantillas de directivas de grupo que se refieren a parmetros
disponibles en el nodo Plantillas administrativas nicamente (del lado Usuarios y
Equipos). De este modo, es muy fcil crear varios objetos de directiva de grupo que se
basarn en un conjunto de parmetros comunes, que deben definirse en sus directivas de
grupo.

De este modo, tras la creacin de una nueva GPO, puede seleccionar un objeto GPO Starter
Sourcer que haga referencia a un objeto GPO Starter existente.

Microsoft ofrece, por defecto, una lista de GPO Starter relativa a los parmetros
recomendados en su gua de securizacin de los distintos sistemas operativos. Provee, a su
vez, desde Windows Server 2012, dos GPO Starter que permiten crear reglas de firewall
adecuadas en los equipos cliente para permitir solicitar de manera remota un resultado o
una actualizacin de directiva de grupo.

Si edita un objeto GPO Starter desde un puesto con Windows Server 2008 R2 o Windows 7
(o versiones superiores) con las herramientas de administracin RSAT instaladas obtendr,
directamente, los parmetros de la directiva de grupo recomendados para los escenarios
descritos en las guas de seguridad de Windows Vista y XP.

Si desea ms informacin, en Windows 2008, puede obtener estos elementos despus de


descargarlos en la siguiente direccin:
http://www.microsoft.com/Downloads/details.aspx?familyid=AE3DDBA7-AF7A-4274-
9D34-1AD96576E823&displaylang=en

Tambin es posible exportar estas plantillas de GPO en un archivo CABinet (.CAB) para
importarlas, a continuacin, en un entorno totalmente diferente como, por ejemplo, su
entorno de preproduccin.

Tras la primera activacin de los objetos GPO Starter, se crea una carpeta llamada
StarterGPOs en la carpeta SYSVOL del controlador de dominio. Se crea una nueva
subcarpeta con un GUID asociado a cada nuevo objeto GPO Starter.

Para planificar una copia de seguridad del conjunto de sus directivas, no olvide marcar la
opcin Hacer copia de seguridad de todo disponible en el contenedor Objetos de directiva
de grupo y, a continuacin, Objetos GPO Starter.
Los dems componentes de Active
Directory
Existen otras cuatro funcionalidades principales nuevas, en lo que respecta a Active
Directory, disponibles en Windows Server 2012 R2.

Se trata de AD LDS, AD FS, AD RMS y AD CS.

1. Active Directory Lightweight Directory Services (o AD LDS)

El rol AD LDS disponible desde Windows Server 2008 R2 con este nombre es el
equivalente a ADAM (Active Directory Application Mode), que apareci con Windows
Server 2003 R2.

Se trata de una versin depurada del Active Directory Domain Services (AD DS, es
decir, el Active Directory "clsico" mencionado a lo largo de todo este captulo) que
descansa sobre los mismos principios (a saber una replicacin multipropsito, un
directorio dividido en particiones, etc.) pero que no almacena ningn componente de
seguridad de Windows (como las cuentas de usuario y ordenadores de dominio), las
directivas de grupo, etc.

El rol AD LDS permite, de este modo, distribuir la informacin necesaria a las aplicaciones
en un directorio centralizado antes que individualmente en cada aplicacin. Las ventajas de
no tener que integrar las aplicaciones en AD DS son diversas.

Una aplicacin podr actualizar el esquema en AD LDS en lugar de en AD DS, lo


que evitar riesgos intiles de corrupcin del esquema.
Una aplicacin accesible desde la extranet o mediante VPN ya no expondr el
conjunto del dominio AD DS si tiene como directorio de referencia a AD LDS.

Observe que es posible tener varias instancias de AD LDS en un mismo servidor, igual que
es posible tener el rol AD LDS instalado en un Windows Server 2008 R2/2012 y 2012 R2
con el rol AD DS. El nico requisito previo es que los puertos donde escuchan las distintas
instancias sean diferentes.

Encontrar ms informacin acerca de este tema en la siguiente direccin:


http://technet.microsoft.com/es-es/library/cc754361(v=ws.10).aspx

2. Active Directory Federation Services (o AD FS)

El componente Active Directory Federation Services permite implantar una solucin de


acceso securizado entre distintas plataformas Windows o no Windows para el acceso de las
aplicaciones Web (sobre una extranet, por ejemplo).
El uso tpico de implantar un AD FS en su empresa consiste en permitir a un cliente que
haya firmado recientemente un contrato para conectarse desde otra red (el caso de un
contrato B2C), a una empresa asociada (el caso de un contrato B2B) o a una federacin de
empresas (bosques mltiples) acceder a los recursos de su red de una forma simple y sin
tener que autenticarse en su base de datos de cuentas de usuario.

Se crea en efecto una relacin de aprobacin entre la red asociada y la suya con el
objetivo de proyectar la identidad de los usuarios y sus privilegios de acceso desde su red
hacia los socios reconocidos. De este modo el usuario no tendr que identificarse de nuevo
(principio de autenticacin nico tambin llamado SSO por Single Sign On).

Observe que, desde Windows Server 2012 R2, AD FS soporta el protocolo OAuth 2.0. Este
protocolo lo utilizan cada vez con mayor frecuencia los distintos fabricantes y proveedores
de servicios en Internet, pues permite publicar e interactuar con datos autenticando al
usuario de forma segura. Es, tambin, el caso de Windows Azure Authentication Library
(AAL), cuyo soporte se ha extendido a los directorios AD FS.

Tambin es conveniente saber que esta solucin est limitada nicamente al acceso a travs
de aplicaciones Web (con HTTPS) aunque como estas ltimas son cada vez ms potentes,
las posibilidades abiertas son tambin enormes. Es el caso por ejemplo con la integracin
de SharePoint Server 2007/2010/2013 o de AD RMS, que presentaremos ms adelante.

Para poder implantar un AD FS, existe un conjunto de funcionalidades y de servicios que


deben haberse implantado de forma previa:

El rol AD DS o AD LDS debe estar instalado en, al menos, una de las redes
implicadas.
Servidor de federacin de cuentas/recursos.
Servidor Web ADFS.
Cliente.

Encontrar ms informacin acerca del concepto AD FS en la siguiente direccin:


http://technet.microsoft.com/es-es/library/cc755828(v=ws.10).aspx

a. Workplace Join

Workplace Join es una de las mejoras ms destacadas de Windows Server 2012 R2.

BYOD (Bring Your Own Device) est al llegar. Consiste, para una empresa, en autorizar a
sus empleados a utilizar sus propios dispositivos personales (ordenadores, smartphones,
etc.) para conectarse a la red de la empresa.

Si bien esto representa un ahorro y una flexibilidad muy importantes para la empresa,
tambin puede conllevar inconvenientes en la medida en que la empresa no tiene control
sobre los equipos informticos en cuestin.
Consciente del problema, Microsoft se ha implicado en la cuestin y propone, en adelante,
el uso de los Workplace Join (trmino que todava no se ha traducido de manera oficial por
parte de Microsoft en el momento de escribir estas lneas).

De este modo, el equipo en cuestin, si bien es propiedad del empleado, podr declararse y
administrarse en un directorio AD FS. De este modo, el certificado permitir al terminal
conectarse a su directorio y autenticarse. Ser, entonces, posible solicitar a AD FS que
gestione el acceso a los recursos a travs de directivas globales de autenticacin, y tambin
gestionar la autenticacin y el control de acceso multipropsito. Observe que, en lo relativo
a smartphones, Microsoft soporta de momento los dispositivos que funcionan con Windows
(2012 R2 y 8.1) e iOS (Android no est soportado en el momento de escribir estas lneas,
aunque debera estarlo en breve).

Los servicios proporcionados por el Workplace Join son los siguientes:

Una mejor experiencia de usuario puesto que podr aprovechar el SSO (Single Sign
On) y, de este modo, no tener que volver a autenticarse con cada una de sus
aplicaciones desde su dispositivo personal.
Una mejor seguridad, puesto que la contrasea no se almacenar en el dispositivo
local sino que circular mediante un ticket de sesin que se pasar directamente a
las aplicaciones cuando se solicite realizar una autenticacin (siempre que se haya
configurado de este modo para utilizar SSO).
Un mejor manejo de los equipos que se conectan a recursos de la empresa puesto
que, como se ha explicado antes, cada equipo se registrar en AD FS y recuperar
un certificado que le permitir identificarse de forma nica en la red.

Workplace Join utiliza la funcionalidad Device Registration Service. Ligado al proxy web
de aplicacin (Web Application Proxy), ser posible utilizar Workplace Join con equipos
conectados desde Internet. Encontrar una presentacin ms completa del proxy web de
aplicacin en el captulo dedicado al Acceso remoto.

Por supuesto, esta funcionalidad no permite tener un control tan importante sobre los
puestos como si fueran miembros de un dominio de Active Directory, pero se trata de un
paso importante para controlar mejor los equipos en el marco de una iniciativa BYOD y
mejorar la experiencia del usuario reforzando la seguridad de acceso a sus aplicaciones.

Es, por otro lado, posible definir una poltica de bloqueo de las "cuentas utilizadas en la
extranet" y que no se conectan a travs del proxy web de aplicacin. De este modo, si el
nmero de intentos de autenticacin errneos supera un valor lmite definido mediante el
comando de PowerShell Set-ADFSProperties - ExtranetLockoutThreshold, entonces el
valor BadPassword de AD ya no se incrementar a nivel de controlador de dominio (con el
rol Emulador PDC) del AD vinculado a este AD FS. Esto evitar un gran nmero de
ataques tales como la denegacin de servicio, capaz de bloquear un gran nmero de cuentas
tras intentos de conexin intencionadamente errneos desde el exterior de la red de la
empresa.
Por ltimo, uno de los evolutivos ms importantes de AD FS con la aparicin de Windows
Server 2012 R2 es la autenticacin y el control multifactor.

La autenticacin multifactor consiste en forzar un mtodo de autenticacin suplementario


adems del que ya se utiliza por defecto con los terminales que utilizan el Workplace Join.
Esto resulta particularmente til para dotar de seguridad el acceso a una aplicacin sensible
que requiera, por ejemplo, la presencia de un certificado en el equipo de trabajo adems de
la contrasea, que seguir siendo necesaria para acceder a la aplicacin. Si posee
nicamente una de estas dos credenciales de autenticacin, no podr acceder a la aplicacin
(puede obtener ms informacin en la siguiente direccin: http://technet.microsoft.com/en-
us/library/dn280949.aspx).

El acceso multifactor permite dar acceso a recursos si, y solamente si, se cumplen varias
condiciones por parte del usuario (y no nicamente la tradicional pertenencia a un grupo de
seguridad). Esto mejora, en parte, la gestin de pertenencia que se aborda en el captulo
Securizar su arquitectura (a nivel del control de acceso dinmico). Para obtener ms
informacin acerca del acceso multifactor: http://technet.microsoft.com/en-
us/library/dn280937.aspx#BKMK_2

Encontrar todos los elementos necesarios para implementar Workplace Join en las
siguientes direcciones: http://technet.microsoft.com/en-us/library/dn280938.aspx y
http://technet.microsoft.com/en-us/library/dn280939.aspx

3. Active Directory Rights Management Services (o AD RMS)

AD RMS (Active Directory Rights Management Services) es un rol que permite limitar la
difusin y proteger archivos, correos electrnicos o sitios Web de su empresa.

AD RMS funciona con aplicaciones compatibles con RMS tales como Microsoft Office
Profesional 2003/2007/2010/2013, Internet Explorer 7.0 o superior, etc.

El principio de uso de las funcionalidades de AD RMS se basa en el principio de una


licencia de publicacin que se entrega con el archivo. El usuario indica el conjunto de
privilegios y de condiciones especficas para este documento. Estas propiedades lo
acompaarn protegindolo a lo largo de su ciclo de difusin. De este modo ser capaz de
controlar las posibles acciones sobre un archivo o su contenido, de definir una duracin de
validez (por ejemplo, para un presupuesto), etc.

As, cuando el archivo difundido se abra por primera vez en una aplicacin compatible AD
RMS, ste ltimo contacta con el servidor AD RMS que haya emitido la licencia de
publicacin asociada al archivo para pedir autorizacin de acceso a su contenido.

El servidor AD RMS verifica a continuacin si el usuario solicitante est autorizado a


visualizar el contenido del archivo, y en tal caso le enva una licencia de uso que le permita
acceder al contenido del documento. El usuario puede entonces abrir el archivo mediante la
aplicacin compatible RMS.
En Windows 2012, la instalacin de AD RMS se ha mejorado (es posible desplegarla en
servidores remotos, con permisos de instalacin ms flexibles, y compatible con SQL 2005
SP3, SQL 2008 SP3, SQL 2008 R2 SP1 y SQL Server 2012). Es, tambin, posible en lo
sucesivo delegar ms fcilmente los permisos de acceso a los documentos compartidos (en
el caso de una secretaria o asistente que deba acceder a los documentos de un responsable,
por ejemplo).

Observe que el rol puede, en lo sucesivo, instalarse en modo Server Core y es totalmente
instalable y configurable mediante PowerShell.

4. Active Directory Certificate Services (o AD CS)

Para completar este apartado, es importante mencionar el nico rol que no hemos visto
todava. Se trata del servicio de certificados de Active Directory (tambin conocido bajo el
nombre de Active Directory Certificate Server o AD CS).

Este rol le permitir instalar una entidad emisora de certificados en su red de empresa para
poder emitir certificados de forma sencilla a sus usuarios y equipos. Estos ltimos podrn a
su vez acceder a los sitios Web mediante el protocolo SSL sin tener que comprar
certificados (a menudo costosos) a una autoridad de certificacin pblica.

La ventaja de tener una entidad emisora de certificados de empresa basada en Windows


Server 2012 R2 consiste en el hecho de que el proceso de emisin y de renovacin de los
certificados se ve enormemente facilitado mediante la integracin de esta autoridad en
Active Directory.

Existen dos tipos de entidades emisoras de certificados.

Entidad emisora de certificados de empresa: requiere que el servidor que posee el


rol AD CS estn integrado en Active Directory y permite, de este modo, aprovechar
numerosas funcionalidades suplementarias (tales como la auto inscripcin) y
administrarse a travs de las directivas de grupo.
Entidad emisora de certificados independiente: que puede instalarse tanto en un
servidor miembro del dominio como en un servidor que no lo sea, aunque no
aprovechar las funcionalidades suplementarias.

La implementacin de esta solucin supera el alcance de este libro. He aqu, no


obstante algunas de las principales funcionalidades disponibles desde Windows Server
2008 en lo que respecta a este rol.

Desde Windows Server 2008:

La emisin de certificados a travs de su navegador se ha mejorado pues se basa en


un nuevo control llamado CertEnroll.dll.
Tiene en cuenta el protocolo NDES (Network Device Enrollment Service) que
permite a los dispositivos perifricos (routers, conmutadores, etc.) obtener
certificados X.509.
Tiene en cuenta el protocolo OSCP (Online Certificate Status Protocol) que permite
mejorar la gestin de la revocacin de los certificados.
En lo sucesivo, el modelo de certificado en la versin 3 disponible en las entidades
emisoras de certificados de empresa tiene en cuenta la criptografa de nueva
generacin (CNG Suite-B).
Una nueva consola MMC llamada PKIView est disponible para administrar de
forma ms eficaz los certificados a lo largo de su ciclo de vida.

Observe tambin que, desde Windows Server 2008 R2, se han incluido las siguientes
funcionalidades:

La auto inscripcin (es decir, la inscripcin automtica de una mquina en la


entidad emisora de certificados para obtener un certificado) es posible mediante una
conexin HTTP (con la condicin de tener el nivel funcional del esquema Active
Directory en 2008 R2). Esta opcin se ha mejorado con Windows Server 2012
(vase ms adelante).

Una de las ventajas principales es la posibilidad de solicitar un certificado desde un


bosque diferente al de la entidad emisora de certificados. Tambin es posible
publicar el servicio Web correspondiente sobre un servidor en DMZ para entregar
certificados a los usuarios de Internet. Este servicio Web ser el nico autorizado a
dialogar con la entidad emisora de certificados que se encuentre en su LAN.
Observe no obstante que tal configuracin slo est aconsejada para renovar los
certificados ya emitidos y no para emitir certificados a los clientes conectados desde
Internet.

Encontrar el manual de uso (en ingls) acerca de esta nueva funcionalidad en la


siguiente direccin: http://download.microsoft.com/download/C/2/2/C229E624-
36E4-4AD8-9D86-
F564ED539A16/Windows%20Server%202008%20R2%20Certificate%20Enrollme
nt%20Web%20Services.doc

y, tambin,
https://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-
enrollment-web-services-in-active-directory-certificate-services.aspx.

Requisitos previos: para+ permitir la unin desde un bosque diferente, se requiere


una entidad emisora de certificados de empresa en Windows Server
2003/2008/2008 R2/2012 y en versin Entreprise o Datacenter con cualquier
versin de Windows Server 2012/2012 R2; el nivel funcional del bosque debe ser
Windows Server 2008 R2 y los equipos cliente deben trabajar con Windows 7 o
versiones superiores.
Consolidacin de las entidades emisoras de certificados en el seno de la empresa
que posean varios bosques con relacin bidireccional.

En efecto, la entidad emisora de certificados en 2008 R2 soporta el uso de los


"LDAP Referals" lo que permite redirigir la consulta hacia el dominio correcto en el
bosque adecuado.

Requisitos previos: Entidad emisora de certificados de empresa en Windows


Server 2008 R2 o superior Entreprise o Datacenter; nivel funcional del bosque 2003
y relaciones de aprobacin inter-bosque bidireccionales.

Mejora de la entidad emisora de certificados que deba entregar una gran cantidad de
certificados.

Esto es especialmente vlido para clientes NAP basados en IPSec. En efecto, los
clientes deben solicitar varios certificados al da.

Si lo desea, puede escoger que no se guarde una copia de seguridad de los


certificados emitidos en la base de datos de la entidad emisora de certificados. La
etapa de copia de seguridad entraa a menudo un crecimiento exponencial de la
base de datos y por consiguiente un coste en su administracin.

Si elige no guardar una copia de seguridad de estos registros de certificados en la


base de datos, no le ser posible revocarlos. Este riesgo es no obstante aceptable en
la medida en que los certificados afectados tengan un tiempo de vida corto.

Requisitos previos: Entidad emisora de certificados de empresa en Windows


Server 2008 R2 o superior.

Desde Windows Server 2012:

Administracin y despliegue mediante Windows PowerShell (vase


http://go.microsoft.com/fwlink/p/?LinkID=242169 (cmdlets para el despliegue) y
http://go.microsoft.com/fwlink/p/?LinkID=242165 (cmdlets para la
administracin)).
AD CS y sus servicios asociados pueden ejecutarse sobre cualquier versin de
Windows Server 2012.
El modo Server Core permite instalar AD CS.
Se tiene en cuenta la renovacin automtica de los certificados para los equipos que
no son miembros de un dominio. Esta consideracin se basa en el nuevo modelo de
certificados (versin 4) y slo puede utilizarse en Windows 8/2012 y permite, en
particular, importar una renovacin de los certificados con la misma clave. Puede
encontrar ms informacin acerca del nuevo modelo de certificado v4 en la
siguiente direccin: http://go.microsoft.com/fwlink/p/?LinkId=242425
Se tienen en cuenta los nombres de dominios internacionales (es decir, que no
contengan caracteres que puedan representarse con formato ASCII) en ciertos
escenarios.
Una mayor seguridad activa por defecto en el servicio de rol Entidad emisora de
certificados; que impone, en particular, el cifrado de la consulta mediante
RPC_C_AUTHN_LEVEL_PKT (parmetro que no est habilitado en las versiones
anteriores de Windows; y que no es compatible con Windows XP).

Conclusin
En este captulo acaba de descubrir el conjunto de soluciones de gestin de la identidad y
de acceso que proporciona Windows Server 2012 R2. De este modo, podr abordar de la
mejor forma posible las necesidades en trminos de acceso a los recursos, tanto para
implementar una solucin de tipo SSO (Single Sign On o "identificacin nica") como para
controlar la difusin de los archivos en su empresa.

Introduccin
En este captulo se aborda la arquitectura distribuida (DFS) y se presenta la instalacin, la
configuracin de nodos raz, los enlaces, la replicacin DFS-R y las herramientas.

Descripcin de DFS
El acrnimo DFS significa Distributed File Systems.

Se trata de un sistema de archivos nico, lgico, jerarquizado, que estructura los


archivos compartidos entre varios equipos de la red bajo la forma de una arborescencia
lgica de recursos de sistema. El principal objetivo de DFS consiste en referenciar a todos
los recursos compartidos que queremos hacer accesibles de manera uniforme y centralizar
los espacios disponibles sobre los distintos espacios.

Esto permite obtener una vista uniforme y permanente de los datos que ya no estarn
vinculados con los servidores fsicos sobre los que se encuentran. Adems del ahorro en
unidades de red, puesto que una nica letra permite alcanzar todos los espacios
compartidos, las aplicaciones pueden configurarse, de una vez por todas, utilizando una
ruta nica y definida, que no cambiar, incluso aunque los datos se desplacen entre dos
servidores, en particular en el caso de que evolucione la volumetra necesaria.

Otra posibilidad, muy interesante, consiste en poder replicar los datos de una misma carpeta
sobre varios enlaces de red, es decir, sobre varios espacios compartidos. Esta tolerancia a
fallos aporta una funcionalidad muy prxima a la de un clster de archivos. Aunque es
preciso, no obstante, estudiar bien su modo de funcionamiento para evitar cualquier
sorpresa.
He aqu cmo organiza DFS los recursos que residen en distintos componentes de la red:

La arborescencia DFS constituye un punto nico de referencia. Sea cual sea su ubicacin,
los usuarios pueden acceder fcilmente a los recursos de la red. Sobre la red, las unidades
DFS se ven como unidades compartidas de red clsicas y se gestionan, por tanto, mediante
la funcin de redireccin de archivos utilizando los clientes de red clsicos.

Un usuario que navegue en una carpeta compartida DFS no tiene por qu conocer el
nombre ni la localizacin del servidor sobre el que se encuentra un recurso concreto. El
acceso a los recursos de red se ve, as, simplificado. Tras haberse conectado a una raz DFS,
puede recorrer la estructura y acceder a todos los recursos ubicados en esta raz. Un recurso
compartido DFS utiliza una estructura de arborescencia que contiene una raz y enlaces
DFS.

Para iniciar el uso de DFS, es necesario crear una raz DFS. Desde Windows Server 2003,
es posible crear varias races. Cada raz puede soportar varios enlaces, y cada una de ellas
puede apuntar a una carpeta compartida en red. Los enlaces DFS de la raz DFS representan
carpetas compartidas que pueden estar fsicamente ubicadas en distintos servidores de
archivos. Las ventajas ligadas a DFS son las siguientes.

Para resumir, he aqu todas las ventajas de esta solucin:


La administracin de la red se ve simplificada. En caso de que caiga algn servidor,
el enlace DFS puede desplazarse hacia otro servidor, modificando as la carpeta
DFS para indicar el nuevo servidor donde se ubican las carpetas compartidas. La
ruta sigue siendo la misma de cara a los usuarios.
El espacio de nombres permite acceder a todos los recursos utilizando un nombre
nico, sin tener que mapear una letra para cada recurso.
DFS se integra con los clientes Windows y no requiere ningn agente o el uso
suplementario de memoria.
Los servidores de archivos pueden remplazarse sin verse afectado el espacio de
nombres que utilizan los clientes.
El reparto de carga y la tolerancia a fallos pueden mejorarse en las races y en los
enlaces que se desee proteger indicando varios servidores y espacios compartidos
sobre cada recurso. Existen varios marcos de utilizacin de estas soluciones.
El espacio de nombres puede extenderse de manera dinmica para incluir un espacio
de disco complementario y para tener en cuenta nuevos requisitos.
DFS utiliza todas las autorizaciones existentes. No se necesita ninguna regla o
autorizacin suplementaria por parte de los usuarios. Las listas de control de acceso
(ACL) asociadas a las carpetas replicadas se replican de la misma manera que los
datos.
Para acelerar la bsqueda y recorrer ms rpidamente la arborescencia DFS, sta se
aloja automticamente en cach sobre los clientes tras su primer uso, hasta que
se detiene el cliente o expira la contrasea.

Instalacin
A diferencia de las versiones anteriores, los mdulos DFS ya no estn integrados ni se
inician automticamente sobre los servidores Windows. La nica excepcin, aunque
importante, es la referida a los controladores de dominio que utilizan la replicacin DFS
para las carpetas compartidas SYSVOL.

Los componentes DFS forman, ahora, parte del rol Servicios de archivos y
almacenamiento:

El mdulo FS-DFS-namespace aparecer bajo el nombre Espacios de nom-bres


DFS.
El mdulo FS-DFS-Replication aparecer bajo el nombre Replicacin DFS.

El comando SERVERMANAGERCMD.EXE ya no existe!

Es posible utilizar ambos mdulos por separado de cara a responder a necesidades


diferentes. Tambin es posible replicar carpetas, o publicar espacios de nombres, aunque lo
ideal es utilizar ambas funcionalidades al mismo tiempo.
1. El mdulo de espacio de nombres

Como con Windows 2003, es posible crear varios espacios de nombres. Estos espacios se
publican en Active Directory (AD).

La instalacin del mdulo de espacio de nombres puede realizarse a travs de PowerShell


mediante el comando:

Install-WindowsFeature FS-DFS-namespace

2. El mdulo de replicacin

El mdulo de replicacin permite crear grupos de replicacin de datos. Una replicacin


debe contener, al menos, dos recursos compartidos que provengan de dos servidores
diferentes. La instalacin del mdulo de replicacin puede hacerse mediante el comando
PowerShell:

Install-WindowsFeature FS-DFS-Replication

Observe que la replicacin mediante las herramientas Microsoft no es obligatoria. Es


posible utilizar enlaces DFS para apuntar sobre varios recursos compartidos. Pero, si desea
un contenedor idntico, tendr que replicarlo de manera explcita utilizando las
herramientas o los scripts adecuados.

3. La consola de administracin

Si lo requiere, la consola de administracin puede instalarse de manera separada a los


dems mdulos y funcionalidades.

La consola de administracin se encuentra en el Administrador del servidor, en el men


Herramientas, Administracin de DFS.

La instalacin puede realizarse tambin mediante el comando PowerShell:

Install-WindowsFeature RSAT-DFS-Mgmt-con

Tras ejecutar la consola, bastar con preguntar a Active Directory para obtener la lista de
races DFS existentes.

4. El caso de los controladores de dominio

Sobre un controlador de dominio, los servicios de espacio de nombres y de replicacin se


instalan automticamente, pero Active Directory gestiona directamente sus propias carpetas
compartidas. No es, por tanto, posible ver o modificar a este nivel la replicacin utilizada
por Active Directory para replicar el recurso compartido SYSVOL.
5. El procedimiento de instalacin grfica

La instalacin grfica permite agregar todos los componentes necesarios de una sola vez.
Esto se realiza a partir de la herramienta Administrador del servidor. En la visualizacin
por defecto del Panel se encuentra el botn Administrar, que da acceso a la opcin
Agregar roles y caractersticas.

He aqu las distintas etapas:

Haga clic en Siguiente.

Esta etapa puede ignorarse en futuras ocasiones marcando la opcin adecuada.

Seleccione la instalacin de un rol o una caracterstica. Es posible instalar varios roles o


caractersticas de una sola vez.
Una de las ventajas de Windows Server 2012 es que permite automatizar ciertas
operaciones sobre varios servidores a la vez, tales como el reinicio o la configuracin del
reporte de los errores. En cambio, la instalacin de un rol o una funcionalidad solo puede
realizarse sobre un nico servidor que debe seleccionar. Por defecto, se le propone realizar
la instalacin en el servidor local.
Sitese en el rol Servicios de archivos y almacenamiento y, a continuacin Servicios de
iSCSI y archivo.

Las opciones marcadas y sombreadas indican roles y componentes que ya estn presentes
en el servidor.

Basta, a continuacin, con seleccionar entre los Servicios de rol los componentes
deseados. Seleccionamos, en primer lugar, el mdulo Espacios de nombres DFS.
El hecho de marcar el componente Espacios de nombres DFS hace que se proponga,
automticamente, instalar la caracterstica de administracin correspondiente. Haga clic en
el botn Agregar caractersticas para aceptar y agregar el componente sugerido.
Marque el servicio de rol Replicacin DFS y haga clic, a continuacin, en Siguiente para
pasar a la instalacin de las caractersticas. En este ejemplo, ya est marcado debido a
nuestra seleccin anterior.
No hay caractersticas suplementarias que agregar. Haga clic en Siguiente.
Haga clic en Instalar. Evitaremos, generalmente, marcar la opcin Reiniciar
automticamente el servidor de destino en caso necesario.
Haga clic en Cerrar cuando le aparezca la opcin.
Tras la instalacin, los servicios arrancan automticamente. Si hace clic sobre el icono
Notificaciones en la barra de tareas, obtendr el estado de la tarea solicitada.
Configuracin del servicio DFS
1. Los distintos tipos de races distribuidas
a. Las races autnomas

Las races autnomas permiten crear arborescencias que estn vinculadas con un servidor
determinado. Estas races no estn securizadas, es decir, la raz DFS no estar accesible, ni
podr utilizarse, si el servidor que la contiene no funciona correctamente. En cambio, los
accesos directos a los recursos compartidos seguirn funcionando.

Observe que las carpetas (enlaces a recursos compartidos) pueden, no obstante, replicarse y
sincronizarse mediante un grupo de replicacin especfico.

Por otro lado, si la raz autnoma se configura sobre un clster de archivos, la raz DFS
aprovechar la misma tolerancia a fallos que la comparticin de archivos. No obstante slo
ser posible realizar esta operacin en un clster Windows Server 2008 o 2012.

He aqu el procedimiento de creacin de una raz autnoma. La consola Administracin de


DFS puede abrirse desde el men Herramientas del Administrador del servidor.

Utilizando el asistente de creacin de un espacio de nombres Nuevo espacio de nombres,


esta operacin puede llevarse a cabo muy rpidamente.

Haga clic con el botn derecho en Espacios de nombres para desplegar el men
contextual. A continuacin, haga clic en Nuevo espacio de nombres.

Los servidores de espacios de nombres no pretenden recibir directamente datos. Slo


contienen, por lo general, carpetas virtuales que apuntan sobre los datos reales. Se trata, a
menudo, de servidores controladores de dominio que se utilizan para seguir este tipo de
informacin.
Indique el nombre de servidor del espacio de nombres.

Indique el nombre de su espacio de nombres.

Haga clic en Editar configuracin... para indicar los permisos que se quiere asignar sobre
la raz RAZ AUTNOMA que se ver como un recurso compartido en el servidor
correspondiente.
Hay que prestar atencin a los permisos que se asignan a este nivel, pues los elementos
creados en la raz de este recurso compartido se encontrarn, efectivamente, en la carpeta
local indicada.
La eleccin del tipo de espacio es relevante, entre una raz que ser especfica a este
servidor y una raz llamada de nombres de dominio que podr verse y utilizarse en todo el
bosque. La raz autnoma slo podr verse en el servidor donde se aloja.

Seleccione el tipo de espacio de nombres que quiere crear, en este caso Espacio de
nombres independiente.
Esta pantalla resume las decisiones anteriores.

Haga clic en el botn Crear.


Esta pantalla confirma la creacin de la raz DFS. La pestaa Errores da acceso a los
eventuales errores que se produzcan. El registro de eventos ofrecer informacin
complementaria.
b. Las races de nombres de dominio

Las races de nombres de dominio se basan en la resolucin DNS del dominio. La principal
ventaja de esta solucin es la tolerancia a fallos, que puede asociarse a la raz mediante el
uso de, al menos, dos servidores vinculados a nivel de la misma raz.

Las races se inscriben en Active Directory, lo que permite a los administradores y a los
usuarios de todo el bosque acceder fcilmente a las unidades DFS.

He aqu el procedimiento de creacin de una raz de nombres de dominio.

Los primeros pasos son idnticos a la creacin de una raz autnoma.

Ejecute el asistente de creacin de un Nuevo espacio de nombres.


Indique el servidor que gestionar esta raz.
Indique el Nuevo espacio de nombres, teniendo en cuenta que el nombre debe escogerse
de manera lgica puesto que podrn verlo y usarlo todos los usuarios del bosque, o incluso
ms.

Haga clic en Editar configuracin para acceder a la configuracin de las autorizaciones


sobre la raz.
El espacio de nombres de dominio permite basarse en la resolucin del nombre de dominio
Active Directory para acceder a un espacio compartido fcil de encontrar.
Se recomienda utilizar el modo Windows 2008, seleccionado por defecto (siempre que se
lo permita el nivel funcional). El modo Windows 2008 activa el modo ABE (Access Based
Enumeration) y un nmero mucho mayor de races y destinos.

Haga clic en Crear si los parmetros de creacin son correctos.


Observe que la creacin de la raz de dominio estar vinculada con el modo de
funcionamiento del domino que lo alberga.

El uso de una raz de dominio supone que se quiere utilizar tolerancia a fallos y reparto de
carga sobre la raz DFS. Esto se consigue agregando un servidor de espacios de nombres
suplementario.

Haga clic en el espacio de nombres del tipo de dominio.


Haga clic en Agregar servidor de espacio de nombres.

Puede, tambin, seleccionar o indicar directamente el nombre del nuevo servidor a utilizar.

De hecho, puede haber ms de dos servidores que contengan informacin sobre los DFS.
2. Creacin de enlaces DFS y destinos DFS

El nombre de un enlace se corresponde con el nombre de la carpeta que aparece en el


espacio de nombres distribuido. Un enlace DFS se corresponde con una ruta de red, es
decir, un recurso compartido ubicado sobre no importa qu servidor (o estacin del
dominio) y que se asocia a un enlace DFS.

Es posible asociar un enlace DFS con varios destinos y, por tanto, a varios recursos
compartidos diferentes. Ser, por tanto, necesario configurar la replicacin de estas carpetas
para obtener un contenido idntico y sincronizado entre los distintos destinos.

He aqu el procedimiento que permite definir un destino sobre los recursos compartidos
CONTAB1 y CONTAB2 definidos sobre dos servidores distintos:

Seleccione el espacio de nombres deseado (autnomo o de dominio) y, a continuacin,


haga clic con el botn derecho para desplegar el men contextual.

Seleccione la opcin Nueva carpeta.

Indique el nombre del enlace DFS CONTAB.

Haga clic en Agregar para agregar los destinos asociados a este enlace.

Puede escribir directamente el nombre UNC de acceso al recurso bajo la forma


\\SERVIDOR\RECURSO_COMPARTIDO o hacer clic en Examinar.

En el segundo caso, se recomienda indicar el nombre del servidor y, a continuacin, hacer


clic en el botn Ver las carpetas compartidas.

Si se definen varios destinos, el asistente le propone crear un grupo de replicacin. A


continuacin, se ejecuta automticamente el asistente de creacin de un grupo de
replicacin.
En la siguiente seccin se describe el procedimiento de implantacin de la replicacin.

3. Replicacin

La replicacin se basa en un motor multimaestro que permite tener en cuenta


modificaciones de archivos simultneas que provengan de varios puntos diferentes y
sincronizar el conjunto. Esta replicacin se adapta a los enlaces lentos utilizando una
tecnologa de compresin diferencial llamada RDC.

Cada grupo de replicacin (conjunto de servidores) es capaz de tener en cuenta varias


carpetas replicadas.

Cada carpeta replicada puede tener sus propios parmetros, en particular filtros de
replicacin que permiten limitar los tipos de archivo y las subcarpetas que deben incluirse
en la replicacin.

a. Los filtros de replicacin

Por defecto, los filtros de archivo excluyen los filtros temporales que comienzan por el
carcter ~ as como las extensiones .BAK y .TMP.

Por otro lado, los siguientes archivos tambin se excluyen:

puntos de montaje NTFS;


archivos cifrados mediante EFS;
archivos definidos como temporales.

Es posible excluir tanto carpetas como archivos, en funcin de su nombre. Es posible


utilizar el carcter genrico *.

Las bases de datos, los archivos de vdeo y las imgenes de CD pueden, tambin, excluirse
de esta replicacin.

b. La implementacin grfica de la replicacin

He aqu el procedimiento grfico de implementacin de una replicacin.

Esta replicacin se implementa de la misma manera sobre una raz autnoma que sobre una
de dominio.

Seleccione el mdulo Replicacin y, a continuacin, haga clic con el botn derecho para
desplegar el men contextual. Seleccione la opcin Nuevo grupo de replicacin.

Esta opcin permite, principalmente, definir una replicacin ligada nicamente a dos
servidores, donde uno de ellos contendr los datos principales.
Asigne un nombre al grupo de replicacin.
Indique los servidores miembros.
Seleccione la tipologa que mejor se adapte a sus necesidades. La topologa en malla
completa est bien adaptada a las modificaciones autorizadas que provienen de todos los
servidores miembros.
Segn las caractersticas de su red, ser posible modular los horarios y la tasa de uso de la
red.
Ms adelante podr modificar fcilmente los parmetros de replicacin.

Es preferible iniciar la replicacin con carpetas vacas. En caso contrario, esta opcin
permite definir el servidor que contiene los datos iniciales.

Seleccione el servidor inicial que contiene los datos de referencia.


Indique el nombre concreto de la carpeta raz que se quiere replicar.
Es posible agregar otras carpetas a este grupo de replicacin de manera inmediata o ms
adelante.
Por cada servidor que contenga una rplica de los datos, active la replicacin indicando
una carpeta de destino. Seleccione el servidor y, a continuacin, haga clic en Editar.
Cabe destacar la posibilidad de configurar esta rplica en modo de slo lectura de manera
inmediata.

Esta opcin permite indicar el nombre de la carpeta principal y crearla, si fuera necesario.

Seleccione los servidores de destino.


Esta pantalla resume los principales parmetros de la replicacin.

He aqu el resultado de la implementacin de la replicacin.


La implementacin efectiva depender del funcionamiento de Active Directory y de la
planificacin de la replicacin que haya configurada entre los sitios.

c. La topologa de replicacin

Por defecto, se proponen dos tipos de topologa.

El modo Concentrador y radio, llamado en estrella, requiere, como mnimo, tres


miembros. Este modo es particularmente til cuando existe una fuente definida (el
Concentrador) y la replicacin se produce hacia mltiples destinos.
El modo malla completa autoriza a cada servidor replicarse hacia los dems. Se
aconseja utilizar este modo en el caso de instalaciones compuestas por una decena
de miembros como mximo.

La implementacin de una nueva topologa depende de la replicacin Active Directory y


puede, por tanto, tomar su tiempo antes de implementarse sobre cada miembro.

En cambio, la replicacin local de los archivos (de tamao razonable) puede resultar muy
rpida y, generalmente, instantnea.

Configuracin avanzada
1. Los mtodos de ordenacin

Los mtodos de ordenacin son muy importantes y deben tomarse en consideracin de cara
a optimizar el rendimiento y evitar futuros disgustos.

En efecto, cuando una misma carpeta est accesible en ubicaciones diferentes, situadas en
servidores distintos, ellos mismos alojados en sitios diferentes, la optimizacin lgica
consistira en utilizar el recurso compartido situado sobre el servidor del sitio local. Incluso
en este caso, resulta vital utilizar de forma prioritaria un servidor determinado que sirva
como referencia. En otros casos, ser conveniente forzar un servidor remoto que sirva como
referencia nica para evitar modificaciones simultneas sobre un documento.

a. Configuracin a nivel de las races DFS

La pestaa Referencias en las propiedades de las races DFS permite definir el valor por
defecto que se utiliza sobre todos los enlaces que pertenecen a esta raz.

Orden aleatorio
Coste ms bajo
Excluir destinos fuera del sitio cliente
El Orden aleatorio consiste en proveer, de manera aleatoria, todos los servidores situados
en el sitio del cliente y, a continuacin, y siempre de forma aleatoria, los dems servidores
presentes en los dems sitios sin tener en cuenta las diferencias de coste.

El Costo ms bajo presentar, en primer lugar, aquellos servidores ubicados en el sitio del
cliente de manera aleatoria. A continuacin, los servidores remotos se mostrarn segn su
coste, del menos elevado al ms elevado, aunque aquellos servidores que tengan un coste
idntico se presentarn aleatoriamente.

El ltimo modo, Excluir destinos fuera del sitio cliente mostrar, nicamente, aquellos
servidores ubicados en el sitio del cliente. Ms adelante veremos las posibles excepciones a
esta regla.

Si se fuerza, a este nivel, la restauracin automtica de clientes sobre los destinos


preferidos, se activar sobre todos los enlaces y destinos que dependan de esta raz.

En la pestaa Opciones avanzadas es, ahora, posible activar el modo ABE (Access Based
Enumeration) para ocultar aquellas carpetas sobre las que los usuarios no tienen permisos.
b. Configuracin a nivel de los enlaces DFS

Sobre cada carpeta que represente un enlace hacia uno o varios destinos, es posible
configurar una exclusin de los sitios remotos, en particular si no se ha indicado
anteriormente. Es posible, tambin, activar la restauracin automtica de los clientes hacia
un destino preferente (si no se hubiera configurado en un nivel superior).

c. Configuracin a nivel de los destinos DFS

Sobre cada destino, en la pestaa Opciones avanzadas, es posible configurar un


comportamiento particular.

Es posible dar preferencia al uso de un destino definindolo como Primero de todos los
destinos o Primero de los destinos de igual costo.

Puede, por el contrario, definir el destino como ltimo de todos los destinos incluidos en la
seleccin, o ltimo de los destinos de igual costo.
Preste atencin, estas reglas forzadas (Primero o ltimo) provocan la visualizacin
sistemtica de los destinos correspondientes.

2. Delegacin de la administracin

Por defecto, slo los administradores locales o de dominio pueden administrar los grupos
de replicacin. Sobre una raz de dominio, slo el grupo administradores de empresas
hereda, automticamente, permisos de administracin. Sobre una raz autnoma, el grupo
administradores local y la cuenta especial SYSTEM tienen permisos heredados.

Cuando un administrador crea una raz, ste, y el grupo administradores de dominio,


obtienen permisos explcitos. Esto quiere decir que es posible eliminar estos permisos.

Preste atencin, los administradores que reciben una delegacin siguen siendo propietarios
de los objetos, incluso aunque se los retire, a continuacin, un administrador.

Por otro lado, cualquier administrador de una raz DFS puede delegar la autorizacin de la
gestin.
Administracin de DFS con PowerShell
Todos los comandos de administracin DFSUTIL, DFSCMD, DFSRADMIN, DFSRDIAG,
DFSRMIG siguen existiendo. Aunque est previsto que desaparezcan en la prxima
versin, la administracin de todos los componentes y servicios de Windows se estn
estandarizando gracias al lenguaje PowerShell, que sirve de referencia.

La primera etapa consiste en importar el mdulo que contiene todos los comandos DFS:

Import-module DFSN

Observar que los comandos PowerShell se refieren, nicamente, a la gestin del


espacio de nombres .La gestin de la replicacin no se ve afectada. Las herramientas de
programacin WMI pueden ser tiles en este caso.

Todos los recursos compartidos basados en nombres de servidores que se utilizan en los
comandos siguientes deben crearse previamente.

Crear la carpeta
Crear un recurso compartido

El conjunto de comandos permite definir, mediante un script PowerShell, una


configuracin equivalente a la que se ha creado anteriormente mediante la interfaz de
administracin.

1. Administracin de los espacios de nombres con PowerShell


a. Gestin de races

Este comando permite enumerar todas las races registradas en el directorio.

Get-DfsnRoot | ft -auto -wrap

Resultado:

Path type Properties TimeToLiveSec State Descripti


on
---- ---- ---------- ------------- ----- ---------
--
\\MiEmpresa.Priv\RAIZ-DOMINIO Domain V2 Site Costing 300 Online

El comando FT utiliza detrs el carcter especial | que permite tabular el resultado y


mejorar su lectura.

Crear una raz de rbol de dominio nueva llamada RAIZ2-DOM2. Cada recurso
compartido utilizado debe existir previamente.
New-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 -Targetpath
\\SRVFIC01\RAIZ2 -Type domainV2

Resultado:

Path Type Properties TimeToLiveSec State Descripti


on
---- ---- ---------- ------------- ----- ---------
--
\\MiEmpresa.Priv\... Domain V2 300 Online

El parmetro PATH debe indicar el dominio y el nombre de la raz que utilizarn, a


continuacin, los usuarios.

El parmetro TARGETPATH debe apuntar hacia un servidor y un recurso compartido ya


existente.

El parmetro TYPE precisa que la raz se gestionar en modo 2008. Los dems valores
posibles son Standalone, para una raz autnoma, y DomainV1 para el modo 2003.

Observe que es necesario agregar manualmente la nueva raz en la herramienta de


administracin si queremos gestionarla grficamente!

Enumerar todos los servidores de nombres que soporten la raz RAIZE2-DOM2:

Get-DfsnRoot -Path \\MaSociete.Priv\RACINE2-DOM2|Get-DfsnRootTarget |


ft -auto

Resultado:

Path TargetPath State ReferralPriorityClass


ReferralPriorityRank
---- ---------- ----- --------------------- --------------------

\\MiEmpresa.Priv\RAIZ2-DOM2 \\SRVFIC01\RAIZ2 Online sitecost-normal 0

Agregar un nuevo servidor de espacios de nombres en una raz existente.

Get-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2|New-DfsnRootTarget


-Targetpath \\DC2012\RAIZ2 -ReferralPriorityClass "sitecostnormal"

Resultado:

Path TargetPath State ReferralPriorityClass


ReferralPriorityRank
---- ---------- ----- --------------------- --------------------

\\MiEmpresa.Priv\RAIZ... \\DC2012\RAIZ2 Online sitecost-normal 0

Preste atencin, el parmetro ReferralPriorityClass es obligatorio.


Enumerar y verificar la agregacin del servidor que administra una raz determinada:

Get-DfsnRoot -path \MiEmpresa.Priv\RAIZ2-DOM2|Get-DfsnRootTarget |ft


-auto

Resultado:

Path TargetPath State ReferralPriorityClass ReferralPriorityRank


---- ---------- ----- --------------------- --------------------

\\MiEmpresa.Priv\RAIZ2-DOM2 \\SRVFIC01\RAIZ2 Online sitecost-normal 0


\\MiEmpresa.Priv\RAIZ2-DOM2 \\DC2012\RAIZ2 Online sitecost-normal 0

Para eliminar un servidor que gestiona una de las races:

Get-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 |Remove-DfsnRootTarget


-TargetPath \\DC2012\RAIZ2 -Confirm:false

La opcin -confirm con valor False permite evitar la pregunta, que puede resultar
bloqueante en la ejecucin de un script.

Eliminar todos los servidores que gestionan una raz:

Get-DfsnRoot -Path \\MiEmpresa.Priv\RAIZ2-DOM2 | Get-DfsnRootTarget |


Remove-DfsnRootTarget -Confirm:false

Preste atencin, la eliminacin de todos los servidores que gestionan una raz equivale a
suprimir la propia raz. Por ello, las consolas de administracin DFS que contengan esta
raz obtendrn un error de acceso sobre esta raz. Si se trata de una raz que no va a volver a
utilizarse de forma permanente, basta, en tal caso, con eliminarla en la consola de
administracin DFS.

b. Gestin de los destinos (de carpetas) y de los accesos

Nunca hay que utilizar directamente las races DFS para almacenar datos en ellas.
Estas races se alojan, generalmente, en controladores de dominio que no tienen los
mecanismos de copia de seguridad bien adaptados, ni espacio para alojar informacin.

Crear un destino de carpeta en un espacio de nombres:

New-DfsnFolder -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO -TargetPath


\\SRVFIC1\INFORMATICA -Description "Departamento Informtico"
-EnableTargetFailback true

Agregar un destino suplementario en una carpeta existente:

New-DfsnFolderTarger -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO


targetPath \\DC2012\INFORMATICA
Path TargetPath State ReferralPriorityClass ReferralPriorityRank
---- ---------- ----- --------------------- --------------------

\\MiEmpresa.Priv\RAIZ... \\DC2012\INFORMATICA Online sitecost-normal 0

Eliminar un destino:

Remove-DfsnFolderTarget -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO


-TargetPath \\DC2012\INFORMATICA -Force

Eliminar la carpeta y los destinos correspondientes:

Remove-DfsnFolder -Path \\MiEmpresa.Priv\RAIZ2-DOM2\INFO -Force

Ninguna de las instrucciones anteriores elimina los datos de los usuarios, que siguen
estando en los recursos compartidos de los respectivos servidores.

2. Administracin de la replicacin con PowerShell

Los 42 nuevos comandos estn accesibles mediante la siguiente instruccin:

Get-Command -Module DFSR

He aqu un comando que permite obtener detalles sobre cada uno de los comandos:

Get-Command -Module DFSR | Get-Help | Select-Object Name, Synopsis |


Format-Table -Auto

a. Ejemplo de creacin de la infraestructura necesaria para un grupo de replicacin de


dos servidores

Crear el grupo de replicacin:

New-DfsReplicationGroup -GroupName "GrupoReplicacionContabilidad"

Observe que el grupo de replicacin no se mostrar en la consola de administracin, ser


preciso agregarlo para poder gestionarlo desde la consola.

Crear una carpeta en el grupo de replicacin:

New-DfsReplicatedFolder -GroupName "GrupoReplicacionContabilidad"


-FolderName "Contabilidad"

Agregar los servidores:

Add-DfsrMember -GroupName "GrupoReplicacionContabilidad"


-ComputerName SRVFIC01, DC2012

Verificar los miembros del grupo de replicacin:


Get-DfsrMember -GroupName GrupoReplicacionContabilidad

Agregar las conexiones de replicacin:

Add-DfsrConnection -GroupName "GrupoReplicacionContabilidad"


-SourceComputerName SRVFIC01 -DestinationComputerName DC2012

Se agrega una conexin en cada sentido.

Agregar las carpetas a replicar entre los servidores:

Set-DfsrMembership -GroupName "GrupoReplicacionContabilidad"


-FolderName "Contabilidad" -ContentPath "C:\CarpetasContabilidad"
-ComputerName SRVFIC01 -PrimaryMember /$True -force

Este comando agrega el contenido inicial que servir de referencia.

Set-DfsrMembership -GroupName "GrupoReplicacionContabilidad"


-FolderName "Contabilidad" -ContentPath " C:\CarpetasContabilidad"
-ComputerName DC2012 -force

Este comando agrega un miembro suplementario.

Actualizar los servidores a partir del directorio Active Directory:

Get-DfsrMember -GroupName "GrupoReplicacionContabilidad" |


Update-DfsrConfigurationFromAD

La siguiente etapa consiste en verificar que la replicacin est funcionando.

El evento 4104 en el registro especfico de la replicacin DFS indica que ha finalizado la


replicacin inicial.

b. El clonado de la base de DFSR

Se han agregado algunas instrucciones especficas para mejorar la replicacin inicial


cuando existe un conjunto importante de archivos iniciales:

He aqu las cuatro instrucciones que se utilizan:

Export-DfsrClone

Import-DfsrClone

Get-DfsrCloneState

Reset-DfsrCloneState
El objetivo de este clonado es ahorrar tiempo en el anlisis y la replicacin de una
arborescencia importante copiando la base de DFSR y los datos correspondientes en el
sistema de destino.

La primera etapa consiste en exportar la base de DFSR del volumen a una carpeta local.

Cree la carpeta de destino:

MD C:\ClonadoBaseDFSR

Exportar la base de DFSR del volumen E a la carpeta que acaba de crear:

Export-DfsrClone -Volume E: -Path C:\ClonadoBaseDFSR -force | Format-List

Este comando acepta dos opciones:

La opcin -validation, que acepta tres valores:

None: no se realiza ninguna verificacin de los archivos. Este valor no se aconseja,


pues supone que no se realizar ninguna modificacin.
Basic: este valor, por defecto, es el recomendado. Existe una serie de permisos
(ACL) que, junto al tamao y la fecha, determinan si el archivo se ha modificado.
Full: es el modo normal, utilizado por DFS, desaconsejado en una replicacin con
un volumen muy elevado (superior a 10 TB).

Por defecto, la exportacin funciona nicamente si la carpeta de destino de la base


est vaca. La opcin -AllowClober permite borrar los archivos presentes.

Supervisar la ejecucin y esperar el estado Ready:

Get-DfsrCloneState

En efecto, el grupo de replicacin debe existir antes de realizar la exportacin de su


configuracin. He aqu las instrucciones mnimas a realizar en el origen para obtener un
grupo de replicacin que contenga un nico miembro:

Crear el grupo de replicacin:


New-DfsReplicationGroup -GroupName "GrupoReplicacionContabilidad"

Agregar la carpeta de datos:


New-DfsReplicatedFolder -GroupName "GrupoReplicacionDATA"
-FolderName "DATA"

Agregar el servidor origen que contiene los datos:


Add-DfsrMember -GroupName "GrupoReplicacionDATA"
-ComputerName SRVFIC01
Agregar el recurso de datos a la carpeta de datos:
Set-DfsrMembership -GroupName "GrupoReplicacionDATA"
-ComputerName "SRVFIC01" -ContentPath E:\DATA
-PrimaryMember $True -FolderName "DATA" -force

Actualizar la configuracin a partir del directorio:


Update-DfsrConfigurationFromAD

Una vez exportada la base, la siguiente operacin consiste en replicar la base


salvaguardada, y tambin los datos correspondientes.

Robocopy.exe E:\Data \\DC2012\E$ \DATA /E /B /COPYALL /R:1 /W:1


/MT:64 /XD DfsrPrivate /TEE /LOG+:Precarga.log

Replicacin de la copia de seguridad de la base de DFSR correspondiente al


volumen a replicar:
Robocopy.exe C:\ClonadoBaseDFSR \\DC2012\C$\ClonadoBaseDFSR /B

Como precaucin, limpiar la base de DFSR que podra residir en el servidor de


destino:
RD "E:\system volume information\dfsr" -Force -Recurse

Es conveniente no realizar esta accin en el disco que contiene la replicacin de las


bases de DFSR de los controladores de dominio, u otras replicaciones de DFS.

Importar la base de DFSR en el nuevo volumen:


Import-DfsrClone -Volume E: -Path "C:\ClonadoBaseDFSR" -force

La opcin -force permite evitar que pida la confirmacin.

Verificar, a continuacin, que la integracin de la base est lista, mediante el estado


Ready:
Get-DfsrCloneState

Agregar el servidor de destino en el grupo de replicacin:


Add-DfsrMember -GroupName "GrupoReplicacionDATA"
-ComputerName "DC2012"

Indicar que el servidor pertenece al grupo de datos DATA, as como la ruta de los
datos en este servidor:
Set-DfsrMembership -GroupName "GrupoReplicacionDATA"
-ComputerName "DC2012" -ContentPath E:\DATA -FolderName "DATA"
-force

Por ltimo, agregar la conexin de replicacin entre los dos servidores:


Add-DfsrConnection -GroupName "GrupoReplicacionDATA"
-SourceComputerName "SRVFIC01" -DestinationComputerName "DC2012"
Actualizar el servidor de destino a partir de la informacin del directorio.
Update-DfsrConfigurationFromAD

Utilizando este mtodo de importacin de la base, la verificacin inicial puede pasar de 24


das a menos de 8 horas para un volumen de cerca de 10 TB, es decir, para obtener la
convergencia de 14 millones de archivos a verificar, utilizando el nivel de validacin "por
defecto".

Uso de DFS y buenas prcticas


El uso de DFS no requiere ninguna adaptacin en los puestos cliente.

En efecto, del lado del usuario (y de los clientes Windows), los recursos compartidos DFS
y las races se ven como recursos compartidos clsicos. Es frecuente, en el script de
conexin, realizar una conexin con la raz, a menudo remplazando todas las conexiones
anteriores.

Por otro lado, es importante tener en cuenta que las races DFS de dominio estn
disponibles para todos los usuarios del bosque. No obstante, todos los permisos asociados a
los recursos compartidos y a las carpetas NTFS siguen estando activos como si se tratase de
un acceso directo.

En cambio, el uso de DFS permite simplificar el nmero de unidades de disco y de recursos


compartidos utilizados. Esto permite federar el conjunto de espacios disponibles.

Las aplicaciones pueden configurarse sobre una ruta nica, que ser posible mantener a lo
largo de todo el ciclo de vida del bosque.

DFS, en su configuracin Hub & Spoke, se diferencia por la replicacin en varios sitios de
informacin que cambia poco con el tiempo o que tiene un nico punto de modificacin.
Documentos de referencia, noticias, actas de reunin o informacin general sern el tipo de
documento entrante en este tipo de configuracin.

DFS puede, tambin, utilizarse para salvaguardar los datos de usuario o los perfiles
itinerantes. Es preciso realizar una configuracin particular a nivel de los destinos DFS para
que se utilice siempre el mismo recurso compartido y el mismo servidor. Es decir, es
preciso utilizar el destino principal en primer lugar, y no proponer la copia (salvaguarda)
sino como ltimo destino.

Cuando se utiliza DFS para tareas ofimticas, con numerosos documentos de tipo Word o
Excel, actualizndose sobre distintos sitios, es importante gestionar bien el versionado de
los documentos para evitar cualquier modificacin simultnea del mismo documento. En
efecto, slo se conservar la ltima versin escrita. En ciertos casos, ser preferible forzar
el uso de un destino determinado que servir como referencia para las modificaciones de
este tipo, incluso si el sitio del usuario incluye una replicacin local de este destino. La
solucin ideal, cuando sea posible, consiste en utilizar el modo Solo lectura con todos los
destinos, salvo con el destino de referencia.

Con todo, aunque DFS no es la solucin universal, puede proveer muchos servicios que
merece la pena comparar con otras soluciones, por ejemplo, de gestin documental.

Interaccin con otros componentes


1. Los espacios de nombres DFS: deteccin del sitio por parte de los
clientes DirectAccess

Windows Server 2012 ofrece, ahora, la posibilidad a los usuarios remotos conectados
mediante DirectAccess de utilizar el mejor enlace DFS posible, segn el sitio.

Los usuarios remotos reciben referencias hacia los servidores de nombres y las carpetas
ms prximas a la ubicacin de la conexin.

Con las conexiones DFS realizadas por DirectAccess en Windows 7 o Windows


Server 2008 R2, los equipos remotos cuya direccin IP no forma parte de un sitio
especfico en Active Directory reciben una sola referencia. Esta referencia contiene
nicamente un nombre de servidor que proviene de cualquier sitio, local o remoto.

Cuando las conexiones DFS se realizan mediante DirectAccess en Windows 8 o Windows


Server 2012, el equipo provee un nombre de sitio en la solicitud de referencia (Request
Referral) que apunta a un servidor de espacios de nombres que utiliza Windows Server
2012. El servidor de espacios de nombres utilizar el sitio transmitido para proveer la
referencia hacia el sitio ms prximo disponible.

Para que esta deteccin funcione, el cliente debe ejecutar Windows 8 o Windows Server
2012, y el servidor trabajar con Windows Server 2012.

Observe que la instalacin de varios puntos de acceso basados en DirectAccess est, ahora,
mucho mejor gestionada que con Windows Server 2008, de ah el inters de apuntar al
servidor DFS mejor adaptado.

2. La replicacin DFS soporta los volmenes sobre los que se ha activado


la desduplicacin

De hecho, la desduplicacin permite ganar espacio sin tener ningn impacto sobre la
replicacin DFS. Cuando se activa la desduplicacin sobre un volumen, los archivos se
segmentan en bloques de tamao variable segn el tamao del archivo. La desduplicacin
gestiona un ndice sobre estos segmentos para detectar los segmentos idnticos y ocupar
una nica vez el espacio correspondiente. Una marca de desduplicacin
IO_REPARSE_TAG_DEDUP indicar cada archivo susceptible de incluir elementos
deduplicados.

La replicacin seguir a las marcas de desduplicacin de tipo


IO_REPARSE_TAG_DEDUP para reconstruir el archivo completo.

Que un archivo est desduplicado o no, no supone ninguna replicacin puesto que el
archivo, en s mismo, no cambia. La replicacin DFS se basa en el algoritmo RDC (Remote
Differential Compression) y no sobre los fragmentos de los archivos desduplicados, que se
ubican de forma separada. Que los volmenes estn desduplicados en el origen y/o en el
destino no cambia nada.

3. DFS dispone de un proveedor WMI completo (espacios de nombres y


replicacin)

Windows Server 2012 proporciona, ahora, un proveedor WMI que permite acceder y
realizar una configuracin completa de la replicacin DFS...

gwmi -list | ft name | findstr /I "dfs"

Win32_DfsNode
Win32_DfsTarget
Win32_DfsNodeTarget
Win32_PerfFormattedData_DFSNServerService_DFSNamespace
Win32_PerfRawData_DFSNServerService_DFSNamespace
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfFormattedData_dfsr_DFSReplicatedFolders
Win32_PerfRawData_dfsr_DFSReplicatedFolders
Win32_PerfFormattedData_dfsr_DFSReplicationConnections
Win32_PerfRawData_dfsr_DFSReplicationConnections
Win32_PerfFormattedData_dfsr_DFSReplicationServiceVolumes
Win32_PerfRawData_dfsr_DFSReplicationServiceVolumes

A continuacin, se muestra un ejemplo de acceso a la informacin de una de estas clases:

gwmi -class win32_dfsnode

__GENUS : 2
__CLASS : Win32_DfsNode
__SUPERCLASS : CIM_LogicalElement
__DYNASTY : CIM_ManagedSystemElement
__RELPATH : Win32_DfsNode.Name="\\\\SRVFIC01\\RAIZ-AUTONOMA"
__PROPERTY_COUNT : 8
__DERIVATION : {CIM_LogicalElement, CIM_ManagedSystemElement}
__SERVER : SRVFIC01
__NAMESPACE : root\cimv2
__PATH :
\\SRVFIC01\root\cimv2:Win32_DfsNode.Name="\\\\SRVFIC01\\
RAIZ-AUTONOMA"
Caption :
Description :
InstallDate :
Name : \\SRVFIC01\RAIZ-AUTONOMA
Root : True
State : 0
Status :
Timeout : 300
PSComputerName : SRVFIC01
...

Hoy en da, como existen los comandos PowerShell para la parte Espacios de nombres, es,
principalmente, la parte de replicacin la que se configurar mediante WMI. Sepa que el
acceso WMI puede invocarse, fcilmente, desde PowerShell, y ser posible integrar el
conjunto en un nico script.

WMI, a diferencia de PowerShell, permite administrar completamente la replicacin


mediante DFS: http://msdn.microsoft.com/en-
us/library/windows/desktop/bb540028(v=vs.85).aspx

He aqu las clases que se utilizan para ello:

DfsrConfig
DfsrConflictInfo
DfsrConnectionConfig
DfsrConnectionInfo
DfsrIdRecordInfo
DfsrIdUpdateInfo
DfsrInfo
DfsrLocalMemberConfig
DfsrLocalMemberInfo
DfsrMachineConfig
DfsrReplicatedFolderConfig
DfsrReplicatedFolderInfo
DfsrReplicationGroupConfig
DfsrSyncInfo
DfsrVolumeConfig
DfsrVolumeInfo

Una de las principales diferencias es que, ahora, el acceso WMI utiliza el protocolo
WinRM (Windows Remote Management) como protocolo de transporte.

BranchCache
Esta funcionalidad, aparecida con Windows Server 2008 R2, permite optimizar el acceso a
los recursos compartidos alojados en los recursos compartidos de los archivos o en
servidores Web internos de tipo documentario, tales como SharePoint, para los sitios
remotos.

La lgica de funcionamiento se parece bastante a la de los Proxy de Internet. Es decir,


durante la primera recuperacin de un documento (archivo o ejecutable), ste pasa una
nica vez por el enlace lento. Para los dems clientes de este documento, sobre este sitio,
tras realizar una verificacin de los permisos y de la no modificacin del documento, se
transmite directamente desde el equipo presente en el sitio que dispone de una copia. El
ahorro se realiza no nicamente en el ancho de banda del enlace, sino tambin en el tiempo
de acceso a los documentos y aplicaciones remotos que puede resultar muy similar al de un
acceso local.

Esta opcin tambin est disponible a partir de Windows 7 bajo la forma de una cach
repartida entre las distintas mquinas.

A partir de sistemas cliente Windows 7 y servidores 2008 R2, es posible utilizar la


tecnologa BranchCache. Para ello, basta con activar la directiva de Windows
correspondiente.

Preste atencin, en aquellos servidores de archivos donde quiera activar los recursos
compartidos y utilizar BranchCache, debe agregar un servicio de rol en el rol Servicios de
archivos y almacenamiento.

1. Instalacin de BranchCache

La primera etapa consiste en instalar la funcionalidad sobre cada servidor que comparte
recursos.

No obstante, todas las operaciones pueden realizarse a partir de una nica mquina que
posea el administrador del servidor 2012 instalado.

El asistente que permite agregar roles y caractersticas puede ejecutarse desde


distintos niveles del administrador del servidor. La opcin ms rpida es, a menudo, el
botn Administrar del men principal.
La instalacin de todos los roles y funcionalidades se realiza con una nica seleccin.
Seleccione el servidor que desea configurar. Preste atencin, por defecto, slo aparece el
servidor local. Los dems servidores deben agregarse previamente. La administracin
remota debe estar autorizada a nivel de firewall.
Cada servidor accesible por los clientes que utiliza la funcin de BranchCache debe
habilitar este modo. Esta opcin permite habilitar la cach sobre los archivos compartidos
de este servidor.
Seleccione la opcin BranchCache para archivos de red.

El servidor est, ahora, activo como cliente y servidor de BranchCache para los sitios Web
y cliente, nicamente, para los servidores de recursos compartidos de archivos.
Seleccione BranchCache.

El servidor est, ahora, activo como servidor de BranchCache para los archivos.

El servicio BITS (Servicio de transferencia inteligente en segundo plano) debe estar


iniciado si quiere utilizar BranchCache sobre los sitios Web de este servidor.

Confirme la seleccin.
Tras la instalacin, se inicia el servicio BranchCache, habitualmente sin necesidad de
reiniciar el servidor.
A continuacin, debe activar una directiva de grupo que permita, al servidor, utilizar las
funcionalidades de decodificacin de tipo "Hash coding". Esta funcionalidad permite
identificar cada documento de forma nica y detectar sus modificaciones basndose en el
hash nico para cada archivo.

Esta opcin autoriza la activacin de BranchCache sobre todos los recursos compartidos.
No olvide forzar la aplicacin de la directiva.

La gestin de las directivas de grupo se accede desde el men Herramientas de un


controlador de dominio.

La configuracin del servicio BranchCache se aplica sobre la directiva Equipo, en


Directivas - Plantillas administrativas - Red - BranchCache.
2. Configuracin de los recursos compartidos

Sobre cada recurso compartido, la opcin de cach puede accederse mediante el botn
Configuracin sin conexin.
La configuracin de los recursos compartidos puede realizarse desde la consola
Administracin de equipos - Carpetas compartidas - Administrar recursos
compartidos y almacenamiento o, simplemente, desde la propia carpeta, mediante la
pestaa Recursos compartidos - Uso compartido avanzado y, a continuacin, el botn
Cach.

Seleccione la opcin Habilitar BranchCache.


Preste atencin, a diferencia del modo sin conexin clsico, los documentos o programas
ejecutables slo estarn disponibles si el recurso compartido y el documento remoto estn,
efectivamente, accesibles. En efecto, antes de enviar el documento al usuario desde la
cach, es necesario verificar que el archivo no se ha modificado y que los permisos siguen
autorizando al usuario acceder al mismo.

3. Configuracin de los clientes

El servicio BranchCache viene instalado, por defecto, en los clientes Windows 7 y 8,


aunque deber iniciarlo para que la directiva de grupo sea eficaz.

Ejecute la herramienta de Administracin de directivas de grupo desde el


Administrador del servidor.

Cree una nueva directiva especfica en el contenedor Objetos de directiva de grupo.


Puede asociar, ms adelante, la directiva a la unidad organizativa que contiene los equipos
seleccionados.

He aqu la directiva de grupo que debe definir para configurar los clientes:
El parmetro Activar BranchCache permite habilitar el uso de la cach, aunque no
se produce el arranque del servicio BranchCache, que se configura para arrancar
automticamente sobre los equipos.

Su activacin se realiza mediante la directiva, y se proponen dos modos:

El modo distribuido, que se utiliza cuando no hay ningn servidor disponible en el


sitio.

En este modo, todas las estaciones del sitio activadas por el BranchCache
comparten la cach y verifican, de manera local, la presencia del documento
buscado en una de las cachs antes de ir a buscar el archivo original en el sitio
central.

El modo hospedado, a menudo recomendable cuando existe un servidor Windows


2008 R2 o superior en el sitio remoto.

En este modo, todas las estaciones del sitio activadas por el BranchCache utilizan el
servidor para verificar la presencia del documento y alojarlo en la cach si es
necesario.

La activacin del modo BranchCache para archivos de red permite indicar el


retardo a partir del cual se decide, efectivamente, poner en cach el archivo
afectado.
El valor 0 hace que se alojen en cach todos los archivos.

El parmetro Establecer el porcentaje de espacio en disco usado por la memoria


cach del equipo cliente define el porcentaje de espacio en disco autorizado para la
cach sobre las estaciones o los servidores definidos para el almacenamiento de los
archivos.
El valor por defecto es un 5 %.

Esta lgica significa que se preparar una directiva especfica para cada sitio remoto
que contenga bien un servidor, o bien una cach repartida entre las distintas
estaciones. Observe que el arranque automtico del servicio puede incluirse en la
misma directiva.

A partir del cliente Windows 8, se incluyen algunas novedades:

La activacin de deteccin automtica de la cach hospedada permite, al cliente,


buscar directamente el servidor hospedado correspondiente con el sitio de conexin,
lo que evita una configuracin por sitio.
El parmetro Establecer el vencimiento de los segmentos de la memoria cach
de datos define el periodo de tiempo durante el que se conservan los elementos
considerados como vlidos. La duracin por defecto es de 28 das.
El parmetro Configurar compatibilidad con versiones de clientes de
BranchCache permite, a los clientes Windows 8, ser compatibles con las versiones
anteriores de BranchCache. Si esta opcin no se utiliza, cada mquina utiliza su
propia versin y su propio formato, lo cual puede provocar incompatibilidades con
los datos hospedados en la cach por una versin diferente.
En definitiva, Microsoft refuerza la optimizacin de los sitios remotos, buscando, siempre,
mejorar el acceso remoto. En efecto, este tipo de funcionalidad permite considerar una
centralizacin mucho ms importante de recursos y archivos compartidos, limitando el
nmero de servidores necesarios para mantener el conjunto y facilitar la administracin y la
copia de seguridad del conjunto de informacin.

Las carpetas de trabajo


1. Presentacin

Se trata de un nuevo rol de servicio que depende del servicio de archivos y de


almacenamiento. El objetivo es permitir la sincronizacin de archivos profesionales entre
varios PC o dispositivos que pertenezcan al mismo usuario, pertenezcan o no a la empresa.
Los archivos los gestiona la empresa, que mantiene el control de la informacin definiendo
el marco de uso mediante directivas de encriptacin y de contrasea.
De momento, slo Windows 8.1 (versiones normal y RT) pueden utilizar esta funcionalidad
(el mdulo no existe en el servidor y, por tanto, no es compatible con Windows Server
2012 R2). Existe una aplicacin, Work Folders client for Devices, pero no se ha
proporcionado una fecha para su publicacin en el momento de escribir estas lneas.

Las carpetas de trabajo se ubican en una carpeta del servidor llamada Recurso compartido
de sincronizacin. La carpeta seleccionada puede contener documentos del usuario que
estarn disponibles, inmediatamente, para el usuario sin tener que realizar ninguna
migracin.

La administracin se lleva a cabo desde la interfaz del Administrador del servidor o


mediante comandos PowerShell.

He aqu la lista de comandos que puede es posible utilizar:

Comando
Descripcin
PowerShell
Enable-SyncShare Activar un recurso compartido de sincronizacin
Disable-SyncShare Desactivar un recurso compartido de sincronizacin
Get- Obtener la configuracin de un recurso compartido de
SyncServerSetting sincronizacin.
Get-SyncShare Obtener la lista de recursos compartidos
Get-SyncUserSetting Recuperar la configuracin del usuario desde el servidor de
sincronizacin.
Get-SyncUserStatus Recuperar el estado del usuario desde el servidor de
sincronizacin.
New-SyncShare Crear un recurso compartido de sincronizacin.
Remove-SyncShare Eliminar un recurso compartido de sincronizacin.
Repair-SyncShare Reinicializar los metadatos de un usuario de recurso
compartido de sincronizacin.
Set- Modificar la configuracin de un servidor de recursos
SyncServerSetting compartidos de sincronizacin.

2. Requisitos previos

En la red interna, he aqu los requisitos previos mnimos:

Un servidor Windows Server 2012 R2


Un volumen con formato NTFS

Para acceder desde Internet:


Se recomienda utilizar un certificado en el servidor (el acceso mediante http es
posible, aunque debe evitarse en produccin).
El servidor debe estar accesible mediante HTTPS (y/o http) desde Internet, a travs
de una publicacin de tipo ReverseProxy o Gateway.

De manera opcional, si los controladores de dominio no funcionan con Windows Server


2012 R2:

Una extensin del esquema para agregar un atributo que contenga el servidor de
sincronizacin.

Si esta extensin no se lleva a cabo, el usuario debe conocer e informar la URL de


acceso cuando se configure la configuracin del cliente.

Una infraestructura AD FS, si se utiliza autenticacin AD FS (consulte el captulo


Acceso remoto - seccin Rol Web Application Proxy).

En los equipos cliente:

Una versin de Windows adaptada (de momento Windows 8.1 o 8.1 RT).
El espacio suficiente en el disco local NTFS.

Por defecto, la carpeta %USERPROFILE%\Work Folders contiene los datos


sincronizados. Pero es posible seleccionar otra ubicacin, en un dispositivo USB o
MicroSD, por ejemplo. El tamao mximo de los archivos es de 10 GB. Es posible definir
cuotas mediante el FileServerResourceManager.

3. Instalacin en el servidor

La instalacin mediante PowerShell es relativamente sencilla:

Add-WindowsFeature FS-SyncShareService

Con una nica instruccin es posible implementar este nuevo tipo de recurso compartido.

New-SyncShare SyncDataUsuarios -path E:\ USERS


-User MiEmpresa\MiUsuario -RequireEncryption $true
-RequirePasswordAutoLock $true

Las distintas opciones de configuracin se detallan en la configuracin mediante el


asistente grfico. En concreto, encontraremos:

El uso de una subcarpeta determinada que podemos indicar, en caso contrario se


incluirn todas las carpetas.
El uso del nombre de login (NetBIOS) o el nombre nico, llamado UPN.
Desde el asistente para agregar roles y caractersticas es preciso seleccionar el rol Servicios
de archivos y almacenamiento y, a continuacin, Servicios de iSCSI y archivo.

Es probable que el servidor seleccionado ya tenga estos elementos instalados.

Seleccione, a continuacin, el rol de servicio Carpetas de trabajo entre los componentes


propuestos.

Valide para agregar la funcionalidad Ncleo de web hospedable IIS.


Esta funcionalidad habilita y utiliza, automticamente, los puertos 80 (HTTP) y 443
(HTTPS).

Tras validar la funcionalidad:


Observe que los dems componentes de IIS no son indispensables para el buen
funcionamiento.

Las carpetas de trabajo estn, ahora, instaladas.


La configuracin se encuentra, naturalmente, en la seccin Servicios de archivos y
almacenamiento del servidor local.

Haga clic en el vnculo Para crear un recurso compartido de sincronizacin para


Carpetas de trabajo.
Para simplificar seleccione, preferentemente, una carpeta nueva y especfica para este uso.

Cada usuario tendr su carpeta personal en la carpeta indicada; la solucin aqu diseada es
til nicamente para carpetas personales y, en ningn caso, para carpetas comunes.

La carpeta se crea si no existe.

Indique la nomenclatura utilizada para las carpetas, as como la carpeta que se desea
sincronizar, si no queremos sincronizar el total de carpetas presentes en la ubicacin
indicada.
Por ejemplo, si utilizamos la carpeta E:\USERS, esta carpeta se comparte para recibir todas
las carpetas personales bajo la forma \\servidor\USERS\%username%, mientras que puede
ser preferible limitar la replicacin de la carpeta de trabajo nicamente a una subcarpeta
concreta, nueva o existente.

Indique el nombre del recurso compartido de sincronizacin y su descripcin.


Agregue los usuarios o, mejor, los grupos autorizados que deben poder utilizar este recurso
compartido de sincronizacin.
A menudo es preferible deshabilitar la herencia de las autorizaciones a este nivel para evitar
cualquier riesgo de conflicto con permisos no deseados (la opcin correspondiente est
marcada por defecto). Esto es, sobre todo, importante si la carpeta seleccionada o una
carpeta superior estn compartidas y se han definido permisos sobre las carpetas superiores.

Indique la seguridad seleccionada para los datos.


Esta directiva debe aceptarla el usuario antes del primer uso de los grupos de trabajo,
incluidos ordenadores y dispositivos que no forman parte de la empresa (o del dominio) y
sobre los que el usuario desea realizar la sincronizacin.

Valide el conjunto de opciones configuradas.


La representacin del resultado final:
El acceso a las carpetas se vuelve lo ms seguro posible. Por defecto, slo el acceso
mediante el protocolo encriptado HTTPS est habilitado en el equipo cliente. Esto significa
que es preciso disponer de un certificado en el servidor.

Si el servidor recibe automticamente un certificado emitido por una entidad emisora


interna, las carpetas de trabajo pueden utilizarse automticamente.

A modo de prueba, es posible deshabilitar la obligacin de usar HTTPS en el equipo cliente


ejecutando el siguiente comando en el equipo cliente:

Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v


AllowUnsecureConnection /t REG_DWORD /d 1

Mejor que deshabilitar el uso de HTTPS, una solucin ms elegante consiste en generar un
certificado que contenga los nombres internos y externos, para permitir a los clientes
acceder a las carpetas de trabajo de forma segura tanto desde la red local (mediante la URL
WorkFolders.MiEmpresa.Priv) como desde una red externa (WorkFolders.MiEmpresa.Es),
que es el objetivo principal de esta funcionalidad.

El siguiente comando permite generar un certificado autofirmado con este fin. Sepa que es,
tambin, posible comprar un certificado emitido por un proveedor pblico si no dispone de
una PKI en su empresa o el despliegue de certificados autofirmados le resulta demasiado
complejo.

New-SelfSignedCertificate -DnsName
"WorkFolders.MiEmpresa.Priv","SrvFic01.MiEmpresa.Priv",
"WorkFolders.MiEmpresa.Es" -CertStoreLocation
cert:Localmachine\My

Tras crear el certificado, debe agregarlo en las entidades raz del servidor, y en los distintos
clientes.

El nombre DNS WorkFolders permite automatizar y facilitar la bsqueda, disponiendo de


una forma para descubrir automticamente la configuracin, a partir de la direccin de
mensajera indicada por el usuario una vez se establece la conexin. Se recomienda crear
una entrada de tipo CNAME (alias) para este nombre en la zona DNS interna, y hacerla
apuntar al registro A (Host) correspondiente al servidor de archivos.

Para habilitar el uso del certificado que acaba de instalar, es preciso afectar al proceso IIS
Core mediante el siguiente comando que puede ejecutar desde una ventana de comandos
CMD.

netsh http add sslcert ipport=0.0.0.0:443 certhash=<Cert thumbprint>


appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D}
certstorename=MY

El nmero de firma (thumbprint) que debe indicar en el comando puede obtenerse mediante
el siguiente comando PowerShell:

dir cert:\localmachine\my
Thumbprint Subject
---------- -------
EFEE6E02A04A2C1D18AF2B70B49103DF2E191ABC CN=WorkFolders.MiEmpresa.Priv

Para completar esta seccin sobre la configuracin, es posible modificar el esquema Active
Directory para agregar un campo suplementario que permita administrar la URL de acceso
a las carpetas de trabajo. Este campo puede resultar interesante si varias carpetas de trabajo
se definen en distintos servidores para asociar al usuario a una carpeta de trabajo concreta.

Esta extensin se agrega, por lo general, en el esquema tras su actualizacin, antes de


promover el primer controlador de dominio 2012 R2.

El siguiente enlace indica los elementos necesarios para administrar esta extensin sin tener
que preparar el dominio para Windows Server 2012 R2:
http://blogs.technet.com/b/filecab/archive/2013/10/09/a-new-user-attribute-for-work-
folders-server-url.aspx

Por otro lado, la gestin de la directiva de 2012 R2 permite modificar esta URL para el
usuario.
El parmetro Especificar configuracin de carpetas de trabajo se encuentra en Usuarios
- Directivas - Plantillas administrativas - Componentes de Windows - Carpetas de
trabajo.

Permite habilitar las carpetas de trabajo, indicar la direccin URL que debe utilizar, y forzar
la configuracin automtica.

4. Configuracin en el puesto cliente

El mdulo Carpetas de trabajo est integrado en Windows 8.1. Basta con configurarlo
desde el panel de control.

Acceda al Panel de control y seleccione Carpetas de trabajo.

Haga clic en Configurar carpetas de trabajo.


Indique su sufijo UPN (tiene el formato de una cuenta de correo electrnico).

La URL se configura automticamente si los equipos estn integrados en el directorio o si


la configuracin automtica est basada en el nombre WorkFolders.

Si la configuracin automtica no funciona, o si desea utilizar un servidor de sincronizacin


diferente, la opcin Indicar una URL de Carpetas de trabajo sirve para definir una
direccin de sitio web diferente.

En el caso de una estacin integrada en AD, se utiliza la autenticacin integrada.

Si todo funciona bien, la configuracin contina con la configuracin de la ubicacin de los


datos.
Acepte la directiva de empresa.

Este concepto es importante en trminos de permisos de datos, incluso para equipos


integrados en el dominio.

La configuracin de las carpetas de trabajo finaliza.


Es posible, a continuacin, administrar la configuracin de las carpetas de trabajo desde el
Panel de control.

Con el uso, es posible modificar ciertos parmetros de sincronizacin en el servidor y en el


puesto cliente.
Por defecto, las modificaciones locales sobre los dispositivos tienen preferencia e inician la
sincronizacin. Si las modificaciones provienen del servidor (o de la sincronizacin de otro
dispositivo), tardarn ms en tenerse en cuenta. Es, por tanto, posible configurar el
intervalo entre dos verificaciones de sincronizacin.

Por defecto, el intervalo de verificacin es de 5 minutos. El valor mnimo es de 1 minuto,


aunque si se disminuye este valor, no hay que olvidar tener en cuenta la potencia de CPU y
el disco necesarios para realizar esta operacin, que depende de la cantidad de archivos a
examinar.

He aqu la sentencia PowerShell que permite configurar este parmetro a tres minutos.

set-SyncServerSetting -MinimumChangeDetectionMins 3

Conclusin
Se han aportado numerosas mejoras relativas a DFS! Por ejemplo, el hecho de disponer de
comandos PowerShell para configurar la replicacin DFS permite utilizar Remote
PowerShell desde una mquina donde el componente no se encuentre instalado.

La existencia de un proveedor WMI para la replicacin mejora las nuevas herramientas de


gestin destinadas a controlar la replicacin.

Una base de DFSR corrupta puede reconstruirse sin riesgo de prdida de enlaces ligados a
una sincronizacin inicial no autoritativa. Ya no se corre el riesgo de perder,
arbitrariamente, los archivos en conflicto. Antes, en caso de producirse un error en la base
tras una sincronizacin inicial, la replicacin reiniciaba completamente desde el origen, sin
tener en cuenta archivos ms recientes que podran encontrarse.

El cross-file RDC se encuentra, ahora, deshabilitado. Por defecto, la replicacin puede


utilizar hasta cinco orgenes de un mismo archivo para generar un nuevo archivo sobre un
nuevo destino. Se obtiene, tambin, un ahorro en tiempo y en ancho de banda en redes
lentas o de tipo medio. En cambio, segn la configuracin de la red, si las redes son
rpidas, es posible que afecte al rendimiento y al tiempo que se pasa de manera local a
procesar la informacin cuando se tratan conjuntos importantes de archivos con muchas
similitudes. Los comandos SET-DFSRConnection y ADD-DFSRConnection soportan,
ahora, la opcin -DisableCrossFileRdc!

El file staging tuning permite definir el tamao mnimo a partir del cual se comprime un
archivo y se replica por partes, pasando por la etapa llamada Staging. El resultado es que,
por defecto, los archivos de menos de 64 KB no pasan por esta etapa de staging y no se
comprimen. Windows Server 2012 R2 permite indicar el tamao mnimo (entre 256 Kb y
512 TB) antes de que un archivo se procese y comprima. Los rendimientos se ven, de este
modo, mejorados en detrimento de un ancho de banda algo ms exigente.
Existen dos nuevos comandos PowerShell que facilitan la recuperacin de los archivos en
conflicto (ConflictAndDeleted) y carpetas preexistentes (PreExisting): Get-
DFSRPreservedFiles muestra los datos correspondientes y Restore-DFSRPreservedFiles
los recupera bien en su carpeta de origen, o bien en un nuevo destino

Tras un corte de corriente o un fallo inesperado, la base de datos de DFSR se repara y, a


continuacin, se reactivan automticamente las replicaciones una vez preparada la base de
datos.

En caso de deshabilitar un miembro de la replicacin DFSR, los datos presentes, incluidas


las carpetas ConflictAndDeleted y PreExisting, no se eliminan.

Esto representa muchas pequeas mejoras que, de manera global, aportan una fiabilidad
mucho mayor a los datos gestionados mediante DFS.

Introduccin
Este captulo est dedicado a la alta disponibilidad. Su objetivo es describir las posibles
ofertas en trminos de alta disponibilidad con Windows Server 2012 R2. Aumentar la
disponibilidad de los servicios que se ofrecen es un reto permanente en cualquier
departamento informtico.

Existen una serie de factores que favorecen esto:

Homogeneizar los servidores que se basan en una instalacin y una configuracin


idnticas (vase el captulo Despliegue de servidores y puestos de trabajo).
Centralizar la configuracin por GPO (consulte el captulo Dominio Active
Directory).
Salvaguardar y mantener actualizados los servidores (consulte el captulo El ciclo
de vida de su infraestructura).
Replicar los archivos ofimticos (consulte el captulo Arquitectura distribuida de
acceso a los recursos).
Duplicar los servicios de infraestructura de red (controladores de dominio,
servidores DNS, DHCP...).
Utilizar la versin Core de Windows Server 2012 R2 para limitar los tiempos de
indisponibilidad debidos a instalaciones o actualizaciones de seguridad.
Virtualizar el servicio y hospedar la mquina virtual en un clster Hyper-V.

Una vez llevadas a cabo todas estas acciones, algunos servicios crticos siguen dependiendo
de un servidor nico que, tarde o temprano, fallar o ser necesario reiniciar tras haber
instalado algn parche o correctivo. Es aqu donde entra en juego la alta disponibilidad, que
permite convertir un servicio necesariamente disponible en un servicio altamente
disponible. Es un buen complemento de los factores anteriores.
Los servidores que participan de la alta disponibilidad se designan como nodos de un
clster, y ste define al conjunto de servidores. El clster se prev para dar respuesta a
fuertes necesidades de disponibilidad y no debe considerarse a la ligera. Antes de decidir si
una solucin de tipo clster responde a esta necesidad, es necesario plantearse ciertas
preguntas:

Cul es la tasa de disponibilidad de la solucin actual?


Cul es la tasa de disponibilidad deseada/solicitada?
Cunto cuesta la prdida de la disponibilidad actual?
En caso de fallo, cunto tiempo hace falta para restaurar el servidor?
Est la solucin que presta el servicio preparada para funcionar en modo clster?
Un solo servidor es capaz de aportar todos los recursos de hardware necesarios o es
necesario disponer de varios servidores activos al mismo tiempo?

Elecciones de arquitectura
1. Las distintas arquitecturas

Tras los trminos de alta disponibilidad se esconden dos tipos de soluciones distintas:

Soluciones de tipo activo/pasivo.


Soluciones de tipo activo/activo.

La primera solucin aumenta la disponibilidad del servicio haciendo bascular los recursos
de un servidor a otro en caso de existir algn problema (solucin altamente disponible). La
segunda solucin permite tener varios servidores que responden a las solicitudes al mismo
tiempo (reparto de carga) y que pueden tolerar la prdida de algn miembro (solucin
altamente disponible).

Las soluciones de tipo activo/activo pueden parecer, a primera vista, ms interesantes,


aunque son, generalmente, mucho ms complejas y deben considerarse para dar respuesta a
un problema concreto de reparto de carga. En un entorno Microsoft, las soluciones son las
siguientes:

Solucin activo/pasivo: clster de conmutacin por error (MSCS - Microsoft


Cluster Service).
Solucin activo/activo: clster de reparto de carga de red (NLB, Network Load
Balancing).

Una aplicacin destinada a los usuarios debe ser compatible con una solucin de alta
disponibilidad. Dejando a parte los "grandes" desarrolladores de software, es habitual que
un proveedor de aplicaciones no haya probado, jams, su aplicacin en un entorno de alta
disponibilidad y que no pueda, por tanto, asegurar su funcionamiento. Como mnimo, cabe
analizar los siguientes puntos :
Puede residir el conjunto de datos en volmenes compartidos y, por tanto,
diferentes a las unidades locales C:, D...?
Deben replicarse algunas claves de registro entre ambos servidores?
La aplicacin utiliza algn dispositivo de proteccin fsica (dongle instalado en un
puerto USB o paralelo, por ejemplo) o se requiere una conexin fsica que no se
puede duplicar ni conectarse sobre dos servidores?
Los clientes pueden utilizar un nombre NetBIOS/DNS y una direccin IP distintos
del de la mquina fsica (nombre/IP virtuales)?
Cules son los mecanismos para detectar un fallo en la aplicacin y decidir
bascular al otro nodo?

Caso 1: solucin activo/pasivo

Un nico servidor hospeda un mismo recurso en un momento determinado. No existe


ninguna necesidad de sincronizar los datos de aplicacin con los dems servidores (hasta
64, como mximo). Si se produce un fallo, otro servidor inicia la aplicacin, que tendr
acceso a los mismos volmenes de disco que el servidor anterior, debiendo gestionar la
interrupcin brusca del servicio (registros de transacciones, en el caso de una base de datos,
por ejemplo). El almacenamiento puede suponer un punto de fallo nico en ciertos casos. El
almacenamiento corporativo (SAN, etc.) es caro, y generalmente se comparte entre varias
aplicaciones y plataformas. En contrapartida, todos los elementos se duplican,
especialmente los controladores. Si bien se tiene especial precaucin en que nunca se
produzca un fallo, sigue siendo posible. Otro problema es la corrupcin de algn volumen
(LUN) que hospede datos. Si fuera preciso realizar una verificacin de la particin
(chkdsk), cabra considerar la indisponibilidad durante la duracin de la misma (que
depende del nmero de archivos y no del tamao del volumen).

Caso 2: solucin activo/activo

N servidores (hasta 32, como mximo) responden a las solicitudes simultneamente. Los
servidores deben poder responder a todas las consultas y, por tanto, tener acceso al conjunto
de datos que permiten elaborar las respuestas. Su uso ms extendido son las granjas de
servidores Web. Todos los servidores tienen una copia del sitio Web y los datos se
almacenan en una base de datos que se hospeda fuera de la granja. La complejidad aparece
en la gestin de la sesin del usuario. El usuario puede tener un carrito de la compra (en un
sitio comercial) y/o estar autentificado en el sitio. Si el servidor que ha respondido a sus
consultas dejara de funcionar, otro servidor debera ser capaz de poder tomar el relevo,
preferentemente sin reenviar al usuario a su pgina de inicio. La sesin del usuario debe,
por tanto, conservarse de forma externa al servidor, por ejemplo utilizando una base de
datos.

Esto implica que el sitio web tiene que haber previsto este tipo de arquitectura y
almacenar la sesin de forma externa al servidor. Sobre un sitio comercial muy
frecuentado, esta gestin de la sesin tiene un impacto enorme en el consumo de recursos.
Es posible utilizar un clster de tipo NLB en modo activo/pasivo, aunque este modo de
funcionamiento supone un uso atpico respecto a la filosofa del producto.
He aqu una tabla que resume las principales diferencias entre ambas soluciones:

Ventajas Inconvenientes
Clster de No se produce ninguna Almacenamiento externo
conmutacin sincronizacin entre los mutualizado.
por error servidores.
Un nico servidor debe ser capaz
Es consciente del estado de de gestionar la carga (activo/pasivo
la aplicacin (funciona o por grupo de recursos).
no) y de los recursos
(saturados o no).
Clster NLB Reparto de carga Trabaja nicamente a nivel IP.
(activo/pasivo).
No es consciente del estado de la
Sin almacenamiento aplicacin.
mutualizado.

Observe que estas dos tecnologas no pueden estar soportadas en el mismo servidor, vase
el artculo 235305 (Interoperability between MSCS and NLB) de la base de conocimiento
Microsoft.

2. Alta disponibilidad, la panacea de su infraestructura?

Las promesas de la alta disponibilidad slo podrn materializarse si los equipos y los
procedimientos son coherentes con la necesidad a la que responden estas promesas. Si bien
el coste de la solucin es elevado, slo se ver amortizado si permite, efectivamente, evitar
interrupciones en el servicio. El coste de la solucin implica, como mnimo, los elementos
siguientes:

Inversiones en material (dos servidores, en lugar de uno, por ejemplo).


Volumen de espacio, consumo elctrico y de climatizacin suplementario.
El coste de "mantenimiento y gestin de infraestructura" (dos licencias de Windows
Server, los agentes de copia de seguridad...).
Licencias de las aplicaciones, algunos fabricantes obligan a pagar dos veces el
precio de la licencia de la aplicacin, incluso cuando se realiza un uso activo/pasivo.
La supervisin y la copia de seguridad se vuelven tareas ms complejas.
Necesidad de tener un almacenamiento compartido cuando se podra haber
trabajado con discos internos.
Coste de personal para formarse en esta tecnologa.
Coste de personal para mantener operativa toda la solucin.

Estos costes se producen por entorno y deben reportarse en cada entorno impactado
(preproduccin, certificacin...). El coste de una indisponibilidad debe, por tanto, ser
superior a todos estos costes.
El riesgo consiste en considerar un clster como un servidor clsico "mejorado". Este
enfoque es, a menudo, fatal en las versiones anteriores de Windows. Bastaba con que un
administrador borrara un recurso compartido de archivos desde el explorador en lugar de
hacerlo desde la consola de administracin del clster para hacer fallar este recurso de
clster y provocar, por defecto, una conmutacin por error del mismo. Microsoft ha
revisado a conciencia la integracin de la capa de clster en el sistema operativo. Este
mismo error en Windows Server 2012 R2 se gestiona, y el sistema elimina de hecho el
recurso de clster directamente sin provocar una incidencia. Esto provoca una importante
disminucin de los incidentes provocados por errores humanos debidos a un mal
conocimiento de las especificaciones de esta solucin.

La poltica de los fabricantes en lo relativo a las licencias evoluciona, aunque sigue


existiendo cierto desfase. Por ejemplo, ya no es necesario adquirir la versin Enterprise de
Microsoft SQL Server para implementar un clster, desde la versin 2005. En cambio, el
mismo producto sigue requiriendo una licencia Enterprise para formar un clster NLB de
servidores SSRS (SQL Server Reporting Services).

Un clster NLB presenta, tambin, problemas que no deben ignorarse. Se trata de un


administrador de la carga de red de nivel 3 (IP), que no tiene, por tanto, consciencia del
estado de las aplicaciones para las que reparte la carga. Si se trata de aplicaciones web, por
ejemplo, la parada de un IIS en uno de los servidores no lo sacar del clster. Tendr una
parte de los usuarios que no podr acceder al sitio Web, en particular si est habilitada la
afinidad. Esto le obliga a implementar un mecanismo de verificacin de la aplicacin, para
sacar de la granja a un nodo con error. El nico caso gestionado por un clster NLB es un
problema de nivel 3 o inferior. Por ejemplo, si el servidor pierde el acceso a la red, se
sacar automticamente de la granja y los usuarios se repartirn sobre los nodos restantes
(convergencia). Una excepcin la constituye, por ejemplo, Microsoft Forefront TMG, que
controla el clster NLB y sale del clster si encuentra algn problema.

La tecnologa NLB proporciona varias soluciones para crear una direccin IP virtual,
aunque todas presentan ventajas e inconvenientes. Algunos fabricantes de red (Cisco,
Enterasys...) requieren una configuracin especial para poder funcionar.

Un clster NLB est formado, a menudo, por dos servidores, con un mximo de 32
servidores. A diferencia del modo activo/pasivo, podemos encontrar una situacin en la que
uno de los nodos no pueda gestionar, por s mismo, toda la carga. La alta disponibilidad no
est, por tanto, asegurada, pues la prdida de un nodo genera una interrupcin del servicio o
una degradacin en el rendimiento. Es preciso, por tanto, prestar atencin a la carga que
debe absorber la granja para tolerar la prdida de un nodo. Este fenmeno tambin puede
darse en un clster de conmutacin por error, si los dos nodos trabajan en modo activo
sobre recursos diferentes (activo/activo en modo cruzado). Microsoft no recomienda
utilizar esta configuracin, y propone, en su lugar, utilizar un clster de tres nodos en este
caso (activo/activo/pasivo). El nodo pasivo se encuentra mutualizado con los otros dos
nodos activos.

Reparto de carga (clster NLB)


El reparto de carga resulta indispensable cuando no basta con un nico servidor para
gestionar toda la carga de la aplicacin o mantener unos tiempos de respuesta aceptables. Si
no existen requisitos suplementarios de disponibilidad, se recomienda agregar, en primer
lugar, recursos hardware al primer servidor antes de considerar una solucin con varios
servidores.

El reparto de carga no supone una capacidad de carga lineal. Si un servidor es capaz de dar
servicios a 200 usuarios, dos servidores no tienen por qu, necesariamente, ser capaces de
dar servicio a 400 usuarios. Todo va a depender de la naturaleza de la carga y del
comportamiento de las sesiones TCP generadas. La nocin de afinidad permite conservar a
un usuario sobre el mismo nodo mientras dure su interaccin. De este modo, se disminuyen
los cambios de sesin de usuario sobre los servidores. Para ello, la granja calcula un hash a
partir de la direccin IP del cliente y su destino. Si todos los clientes se presentan con la
misma direccin IP (por ejemplo, cuando se ubican tras un firewall con reglas NAT), sern
redirigidos hacia el mismo servidor, anulando, de este modo, el reparto de carga.

El reparto no se realiza en funcin de la carga de los servidores. Si algunos usuarios saturan


uno de los nodos, seguir recibiendo el mismo nmero de usuarios que los dems nodos. Si
la carga entre los nodos no es del todo uniforme, deber desarrollar una rutina encargada de
drenar los nodos a partir de cierta carga.

1. Requisitos previos de una solucin NLB

Si bien la instalacin de la funcionalidad de reparto de carga de red es sencilla, conviene


respetar ciertos requisitos previos para obtener el mejor rendimiento posible. La primera
etapa consiste en instalar las ltimas actualizaciones del sistema operativo. En efecto, sera
una pena hacerlo justo una vez puesto en produccin el clster... si bien no debera
producirse ninguna parada del servicio en este caso.

Los servidores que participan del clster no deben ser controladores de dominio. No
obstante, es necesario que sean miembros del mismo dominio Active Directory y que estn
en la misma subred.

Desde un punto de vista de hardware, el servidor, as como sus componentes, deben


disponer del logotipo Certificado para Windows Server 2012 R2 o, como mnimo,
Certificado para Windows Server 2012 para garantizar su estabilidad (y el soporte por parte
de Microsoft en caso de producirse cualquier problema).

Incluso si basta con una interfaz de red por nodo, se recomienda encarecidamente utilizar,
como mnimo, dos interfaces de red: la primera para el host como mquina nica, y la
segunda para el trfico del clster. Si una de las interfaces de red se dedica al trfico del
clster, sta debe tener una direccin IP fija. Adems, el registro automtico DNS de esta
interfaz debe estar deshabilitado, as como NetBIOS sobre TCP/IP. Todas las interfaces de
red que forman parte del clster, sea cual sea el nodo, deben tener una configuracin
idntica desde un punto de vista de los parmetros (control de flujo, modo dplex y tipo de
medio). Para terminar, es posible utilizar tarjetas de red configuradas en teaming.
Para realizar la instalacin, deben utilizar una cuenta que posea permisos de administrador
local. Necesitar, tambin, el nombre completo del clster as como su futura direccin IP.

2. Crear una granja NLB

La creacin de una granja NLB es, tcnicamente, una tarea rpida. Es preciso, no obstante,
verificar ciertos puntos previamente:

El modo de operacin del clster:

Monodifusin (misma direccin MAC en todos los nodos).


Multidifusin (direccin MAC nica por nodo).
Multidifusin IGMP (direccin MAC nica por nodo e inscripcin de la
direccin IGMP).

El modo de filtrado:

Host mltiple (reparto de carga).


Host nico (activo/pasivo).
Ninguno (bloquear el trfico correspondiente a la regla).

El modo de afinidad (host mltiple nicamente):

Ninguno (envo sobre un nodo aleatorio).


nico (mantenerse sobre el mismo nodo por direccin IP cliente).
Red (mantenerse sobre el mismo nodo por subred completa).

Eleccin del modo de operacin del clster

La eleccin del modo de operacin debe realizarse de forma coordinada con los
responsables de la red:

El modo monodifusin asigna la misma direccin MAC sobre todos los nodos del
clster. Esto va en contra del funcionamiento de los switches, que memorizan las
direcciones MAC por puerto, y para los que es imposible registrar dos veces la
misma direccin MAC. NLB mitiga este punto activando la clave
"MaskSourceMAC". El paquete llega con una direccin MAC de destino
correspondiente a la del clster, aunque el nodo responde con la suya propia. El
switch no puede, en este caso, asignar la direccin MAC al nodo que responde y
sigue enviando los paquetes a toda la red (inundacin). Este comportamiento es "por
diseo". Si el modo es obligatorio (lo era con Microsoft ISA Server, en un
principio), existen varias alternativas. Es posible situar un hub entre los servidores
del clster y el switch. De esta forma, el switch ve la direccin MAC del clster
desde un solo puerto (sin "MaskSourceMac"), lo cual evita la inundacin. Esto no
forma parte, no obstante, de las "buenas prcticas". El uso de un conmutador de
nivel 3 (router) no es posible, pues todos los nodos comparten la misma direccin IP
y el router enva los paquetes en funcin de la direccin IP. Los servidores no
pueden comunicarse entre ellos, puesto que tienen la misma direccin MAC. Los
paquetes se reenvan al servidor sin salir de la propia tarjeta de red.
El modo multidifusin resuelve el problema de la direccin MAC agregando una
direccin MAC de tipo multidifusin e impidiendo a los equipos de red memorizar
la direccin MAC del clster. El switch enva los paquetes al conjunto de puertos,
entre los que se encuentran los nodos del clster. Se produce, todava, una
inundacin del trfico sobre todos los puertos de la red. Algunos equipos (Cisco, en
particular) requieren convertir parcialmente el switch en un hub por configuracin,
indicndole que transfiera sistemticamente los paquetes para la direccin MAC del
clster a los puertos de todos los nodos. Es posible limitar este problema aislando
los servidores tras un router, en una VLAN dedicada.
El modo multidifusin IGMP se comporta como el anterior, aunque los nodos se
registran, tambin, con una direccin IP IGMP de clase D (de 224.0.0.0 a
239.255.255.255). Esto obliga que los equipos de red soporten la multidifusin
IGMP, aunque permite resolver lo ms elegantemente posible los distintos
problemas. Cada nodo tiene su propia direccin MAC, la direccin IP de
multidifusin y slo los nodos reciben el trfico de red del clster.

He aqu algunos artculos que tratan este asunto en funcin de los fabricantes:

Cisco:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_e
xample09186a0080a07203.shtml
Enterasys: http://www.enterasys.com/partners/microsoft/sa-nlb-tb.pdf

Eleccin del modo de filtrado

El modo de filtrado permite definir el modo de funcionamiento del clster, desde un punto
de vista de los flujos de red. Permite definir qu paquete de red (puerto y tipo) debe
enrutarse hacia qu nodo(s), o si se bloquea, simplemente.

El modo de filtrado ms interesante es host mltiple, que es de tipo activo/activo, lo que


significa que varios nodos trabajan simultneamente y, por tanto, se reparten la carga de
trabajo y, por tanto, los flujos de red. El modo host nico es de tipo activo/pasivo, con el
nodo que tiene menor ID activo, donde slo el nodo activo recibe el flujo de red. El modo
de filtrado Ninguno permite bloquear el trfico sobre ciertos puertos, en particular para
proteger los nodos.

Eleccin del modo de afinidad

Utilizando un modo de filtrado de host mltiple, existen tres modos de afinidad posibles:

Ninguno: con cada conexin TCP de un mismo cliente, se le redirigir hacia el


nodo que tenga menos clientes. Este modo asegura el mejor reparto posible,
especialmente cuando no hay datos de cliente que deban mantenerse (carrito de la
compra, sesin...).
nico: permite mantener a un cliente (segn su direccin IP) sobre el mismo nodo
mientras la topologa de la granja no se vea modificada (se agregue/elimine un
nodo). Cada cliente debe tener una direccin IP nica para tener un reparto eficaz
(sin NAT, proxy...).
Red: se comporta como el filtrado anterior, aunque en vez de utilizar directamente
la direccin IP del cliente, calcula la direccin de la red. Si, por ejemplo, un cliente
se conecta con la direccin IP 192.168.1.1, NLB la transformar en 192.168.1.0.
Todos los clientes que pertenezcan a esta red de clase C bascularn sobre el mismo
nodo. Este tipo de filtrado permite mantener a un conjunto de clientes que
provengan de una misma red sobre un mismo nodo.

De forma complementaria, en Windows Server 2012 R2 (desde Windows Server 2008 R2


para ser ms exactos), la afinidad nica puede sobrevivir a un cambio en la topologa
(convergencia), a diferencia que con las versiones anteriores, donde el cliente era redirigido
hacia otro nodo. Si un cliente X se conecta sobre un nodo A y se agrega o elimina un nodo
del clster, el clster mantendr la afinidad durante X minutos. Este retardo de expiracin,
expresado en minutos, comienza desde que el cliente est inactivo. El valor por defecto es:
no activo (0 sombreado). Esto significa que la afinidad expira desde que el cliente se
desconecta. Si fuera necesario, el clster puede disponer de varias direcciones IP virtuales.
Esto es necesario, en particular, si hospeda varios sitios web con certificados SSL. A menos
que tenga un certificado de tipo wildcard (*.MiEmpresa.Priv), cada sitio deber tener una
direccin IP dedicada para las conexiones SSL. A diferencia del protocolo HTTP, que
autoriza los host virtuales, el protocolo SSL comienza negociando la seguridad, en primer
lugar, y realizando una validacin de la URL solicitada por el cliente.

3. Configurar la granja

La implementacin consiste en:

Instalar la funcionalidad "reparto de carga de red".


Crear la granja con un nombre y, al menos, una direccin IP sobre, al menos, un
nodo.
Configurar las reglas para determinar el trfico a repartir.

La instalacin puede hacerse mediante el Administrador del servidor aunque, tambin, a


travs de PowerShell. Windows Server 2012 R2 se instala con la versin 4 de PowerShell,
que permite instalar esta funcionalidad sobre varios nodos mediante un nico comando:

Invoke-Command -ComputerName nodo1,nodo2 -Command


{install-WindowsFeature NLB,RSAT-NLB}
La granja NLB puede crearse de dos formas:

Con la interfaz clsica NLB.


Con PowerShell.

Configuracin de la granja con la interfaz grfica:

Haga clic en Inicio - Herramientas de administracin - Administrador de equilibrio de


carga de red.

A continuacin, haga clic en Clster y Nuevo.

Seleccione un primer nodo para configurarlo, as como una interfaz (la que recibir el flujo
de red proveniente de los clientes y tenga como destino la direccin IP del clster). Defina
su prioridad, su interfaz de administracin y su estado por defecto..

Agregue, a continuacin, al menos una direccin IP utilizada por la granja.

Determine la direccin IP principal del clster as como el nombre del clster.

La siguiente etapa es crtica, y consiste en seleccionar el modo de operacin del


clster (monodifusin, multidifusin con o sin IGMP). Por defecto, todos los puertos estn
configurados con reparto de carga, con una afinidad de tipo nica.

Llegados a este punto, se crea la granja con un nico servidor como miembro. Es posible
agregar un segundo nodo mediante el men Clster - Agregar host:
La interfaz de gestin de las reglas permite seleccionar la direccin IP del clster donde se
aplica, un puerto, o un rango de puertos, su naturaleza (TCP, UDP) y el modo de filtrado:

Configuracin de la granja con PowerShell:

#Creacin del clster sobre el primer nodo


New-NlbCluster -InterfaceName NLB -ClusterName cluster1.MiEmpresa.Priv
-ClusterPrimaryIP
172.16.0.25 -SubnetMask 255.255.0.0

#Agregar un segundo nodo tras la creacin del primer nodo


Add-NlbClusterNode -Interface NLB -NewNodeName nodo2.MiEmpresa.Priv
-NewNodeInterface NLB

#O Agregar un segundo nodo tras el segundo nodo


Get-NlbCluster -HomeName cluster1.MiEmpresa.Priv | Add-NlbClusterNode
-NewNodeName nodo2.MiEmpresa.Priv -NewNodeInterface NLB

Para obtener la lista completa de comandos PowerShell que permiten administrar un clster
NLB (35 en total), ejecute uno de los siguientes comandos PowerShell:

Get-Command *-NlbCluster*
#O
Get-Command -Module NetworkLoadBalancingClusters

4. Ejemplo: granja Web IIS

Una granja de servidores Web supone el uso tpico de una solucin NLB. IIS 8.5 gestiona
la nocin de configuracin compartida, que facilita la gestin de la granja centralizando la
configuracin IIS de todos los servidores Web sobre un almacn compartido de archivos
UNC. El siguiente artculo de la TechNet describe su implementacin:
http://technet.microsoft.com/en-us/library/jj635853.aspx

Las etapas son las siguientes:

Instalar el rol Servidor Web (Web-Server).


Crear, al menos, un clster NLB con dos nodos.
Modificar la regla por defecto, para equilibrar nicamente los puertos TCP 80
(HTTP) y 443 (HTTPS).

Llegados a este punto, tendr una granja formada por dos servidores Web con una afinidad
nica. Ya sabe que NLB no es consciente del estado de la aplicacin para la que realiza el
reparto de carga. En cambio, puede modificar el comportamiento de IIS para que tenga en
cuenta el clster NLB y modifique su comportamiento en caso de ocurrir algn problema.
Por defecto, IIS reenva un cdigo HTTP 503 en caso de fallo de algn pool de
aplicaciones. En el caso de una granja de servidores, es muy probable que slo este servidor
tenga el problema. Indicando al pool de aplicaciones que realice una respuesta a nivel TCP,
va a cerrar la conexin del cliente, que se ver redirigido hacia otro nodo de la granja.

Par modificar este comportamiento, vaya a la configuracin avanzada del pool de la


aplicacin:
5. Actualizacin de una granja NLB

La actualizacin de una granja NLB existente es ms sencilla que la creacin de una granja.
Los principales problemas son, generalmente, la compatibilidad de las aplicaciones y los
drivers, como con cualquier actualizacin sobre cualquier servidor de una infraestructura.

Una granja NLB bajo Windows Server 2012 R2 puede trabajar con nodos en alguna versin
anterior de Windows Server (Windows Server 2003 R2, como mnimo), y la actualizacin
necesaria es sencilla y no requiere crear ninguna granja nueva.

He aqu los posibles mtodos de actualizacin:


Parada total del clster: la parada total del clster permite realizar la actualizacin
en todos los nodos al mismo tiempo. Esto supone una parada total de los servicios
proporcionados por el clster.
Actualizacin por turnos (rolling update): se detiene uno de los nodos y se actualiza
a Windows Server 2012 R2. A continuacin, se realiza la misma operacin con otro
nodo del clster.
Agregar un nodo nuevo (nuevo hardware): se trata de una opcin comn puesto que,
por lo general, se aprovecha para renovar el hardware. Se agrega, simplemente, un
nodo nuevo que ya funciona con Windows Server 2012 R2. A continuacin, se
elimina el nodo de la generacin anterior.

Una vez realizada la actualizacin, conviene probar el conjunto de nodos as como la


tolerancia a fallos.

Clster de conmutacin por error


La tecnologa de clster de conmutacin por error tiene un enfoque distinto al de NLB. Su
objetivo consiste en mantener los recursos en lnea de forma permanente e ininterrumpida.
Cada recurso se instancia sobre un nico servidor a la vez, aunque varios servidores pueden
estar activos al mismo tiempo sobre recursos diferentes. Para garantizar un buen
funcionamiento, la capa de clster verifica una serie de puntos:

Funcionan la direccin IP y el nombre virtual?


Funciona el acceso al almacenamiento?
El nodo es capaz de comunicarse con los dems nodos (no est aislado)?
Los servicios que hay que mantener activos son funcionales?

Si se detecta algn incidente sobre alguno de los puntos anteriores, el clster bascula el
conjunto de recursos necesarios para el funcionamiento del (de los) servicio(s) sobre otro
nodo.

Como mnimo, un clster posee al menos un grupo (el grupo clster) que contiene:

Una direccin IP virtual.


Un nombre virtual.
Potencialmente, un volumen que forma parte de un qurum, o un disco testigo.

En caso de producirse algn problema en la red, el clster debe determinar qu nodos


funcionan correctamente y qu nodos deben retirarse del clster (y los recursos que los
hospedan deben conmutar). Los nodos que sean mayoritarios quedarn en lnea.

Existen cuatro modos de funcionamiento para determinar este comportamiento:

Mayora de nodo: el nodo que se comunica con la mayor parte de nodos resulta
ganador. Este modo funciona nicamente con un nmero impar de nodos.
Mayora de disco y nodo: cada nodo tiene su propio voto, as como el qurum de
disco. El nodo con ms votos gana. Windows Server 2012 R2 aporta una
modificacin en el clculo de votos (Dynamic withness) para obtener un resultado
impar de votos en cualquier situacin. Si el resultado del nmero de votantes (los
nodos, por tanto), es impar, entonces el voto del qurum se toma en consideracin.
Puede conocer el estado del voto del qurum mediante el cmdlet PowerShell: (Get-
Cluster). WithnessDynamicWeight. Si el valor es igual a "1", entonces el voto del
qurum se considera, si vale "0", el voto del qurum no se tiene en cuenta. Esta
configuracin no se recomienda para una configuracin multisitio (almacenamiento
replicado) y requiere que todos los nodos del clster estn instalados con Windows
Server 2012 R2.
Mayora de recurso compartido de archivos y nodo: idntico al anterior, aunque
utiliza un recurso compartido de archivos externo al clster en lugar del disco
qurum. Esta es la configuracin que utiliza Microsoft Exchange 2007 en su
configuracin en clster CCR (Cluster Continuous Replication) y por Microsoft
Exchange 2010 y 2013 para DAG (Database Availability Groups).
Sin mayora: slo disco: solamente un nodo puede poseer el volumen en un
momento determinado, y recupera el conjunto de los recursos. Esta solucin se
corresponde con el funcionamiento de un clster Windows Server 2000/2003. Ya no
es el modo recomendado, sobretodo en el caso de clster multisitio (con
almacenamiento replicado). No tolera la prdida del qurum de disco
(convirtindose en un punto de fallo nico).

Cada recurso hospedado en un clster (instancia SQL, comparticin de archivos,


Exchange...) dispone de uno o varios grupos que contienen un conjunto de recursos
dedicados a su funcionamiento.

Para poder definir un servicio o una aplicacin, hay que escoger entre las siguientes
opciones:

Aplicacin genrica
Servicio genrico
DTC (Distributed Transaction Coordinator)
Ordenador virtual (mquina virtual Hyper-V)
Message Queuing
Servidor de espacios de nombres DFS
Servidor de archivos
Servidor DHCP
Servidor de destino iSCSI
Servidor iSNS (Internet Server Name Service)
Servidor WINS
Otro tipo de servidor
Servicio de agente de conexin para los servicios de Escritorio remoto
Un script genrico. ste le permite utilizar un script para realizar verificaciones
especficas para determinar el estado del recurso y decidir o no conmutar el clster.

Una vez creado el grupo, pueden agregarse los siguientes recursos virtuales:
Aplicacin genrica
Punto de acceso de cliente (con un nombre y una direccin IP virtual)
Script genrico
Servicio genrico
Direccin de tnel de IPv6
Coordinador de transacciones distribuidas
Recurso compartido de NFS
Servidor DHCP, WINS
Carpeta compartida

En funcin del tipo de recurso, algunos parmetros estarn, o no, disponibles. Los
parmetros siguientes son comunes a todos los recursos:

Dependencias: este parmetro determina qu otros recursos deben estar operativos


para que este recurso funcione.

Este parmetro puede, a su vez, determinar en qu orden deben iniciarse los


recursos. Si alguna dependencia fallara, los recursos que dependan de ella se
detendrn.

Es posible utilizar los operadores lgicos "Y" y "O". El operador "O" permite
flexibilizar las dependencias, en la medida en que dos recursos pueden cumplir un
mismo rol. Es el caso, en particular, de un clster que tenga nodos sobre dos
subredes diferentes. Existen dos recursos de tipo direccin IP (una por cada
subred), aunque solamente habr operativo uno de ellos, en un instante T. El
operador lgico "O" permite satisfacer slo una de ambas dependencias.

Afectar al grupo: este parmetro est activo por defecto. Determina, en caso de que
falle algn recurso del grupo, si todo el grupo de recursos debe conmutar sobre otro
nodo. Si este recurso no es imprescindible para el funcionamiento del grupo
completo, puede considerarse el no conmutar y que el grupo no se vea afectado. Las
soluciones de copia de seguridad crean, por lo general, un recurso en el clster. Si se
produce algn problema (crash o una accin incorrecta en la solucin de seguridad),
todo el grupo conmutar. Una solucin de supervisin adecuada permite alertar
sobre el fallo de este recurso y dejar el tiempo suficiente para reparar el problema
antes de que empiece la copia de seguridad. Evitar, as, perturbar la disponibilidad
del clster de forma imprevista y no indispensable.
Intervalo de comprobacin: el intervalo entre dos verificaciones sobre la salud del
recurso. Puede ser necesario aumentar el tiempo por defecto en el caso de servidores
con mucha carga de trabajo.

En las versiones anteriores de Windows Server, era preciso tener una red privada,
dedicada a la comunicacin inter-nodo, llamada "heartbeat". Windows Server 2012 R2
ofrece una mayor flexibilidad y no impone esta restriccin. El motivo es no tener ningn
punto de fallo nico y, por tanto, disponer de, al menos, dos caminos de red entre los
nodos. Si utiliza iSCSI, las tarjetas de red deben estar dedicadas y la comunicacin inter-
nodo bloqueada. Si utiliza una red dedicada a la copia de seguridad, es, tambin, una buena
idea prohibir su uso al clster. El bloqueo se gestiona desde las propiedades de red, en la
consola Administrador de clster de conmutacin por error.

Es bastante comn que una aplicacin almacene ciertos parmetros en una base de registro.
Si fuera necesario, el clster puede replicar una arborescencia de la base de registro, situada
en HKEY_LOCAL_MACHINE. Esta configuracin puede estar ligada a un servicio de
Windows o a una aplicacin.

1. Validacin de su clster

En las versiones anteriores de Windows Server, el hardware deba estar certificado para
poder funcionar con el servicio de clster de conmutacin por error de Microsoft. En caso
contrario, Microsoft no garantizaba el soporte. Desde Windows Server 2008, este proceso
se ha simplificado. Para poder gozar de una configuracin soportada por Microsoft, basta
con que:

El hardware incluya el logotipo "certificado para Windows Server 2012 R2"


(certificado para Windows Server 2012, como mnimo).
La instalacin se valide mediante el asistente Validacin de una configuracin.

El asistente realiza una serie de comprobaciones sobre los siguientes dominios:

Configuracin del clster


Configuracin del sistema
Inventario
Red
Almacenamiento

Existen dos excepciones relativas a este asistente de validacin. Las configuraciones


siguientes no pasan la prueba relativa al almacenamiento:

Exchange en modo CCR (Cluster Continuous Replication). El clster no dispone de


un almacenamiento compartido, puesto que lo replica CCR. Esta comprobacin no
puede llevarse a cabo (http://technet.microsoft.com/en-us/library/bb676379.aspx).
Los clsteres que utilizan un almacenamiento replicado. Ambos nodos tienen
acceso al conjunto de volmenes incluido el qurum
(http://technet.microsoft.com/en-
us/library/cc732035(WS.10).aspx#BKMK_multi_site).

La prueba acerca del almacenamiento es la nica que podra interrumpir la disponibilidad.


Una vez tenga el clster en produccin, puede utilizar una LUN, de forma temporal, para
superar las pruebas relativas al almacenamiento, en lugar del set de pruebas completo.

Este asistente tiene como objetivo verificar un clster que se pone en produccin, aunque
tambin cada cambio significativo realizado sobre el mismo, como:
La actualizacin del firmware o de los controladores.
La agregacin o eliminacin de un nodo en el clster.
El cambio de hardware de almacenamiento.

Encontrar referencias a las pruebas a realizar en funcin de las modificaciones realizadas


sobre el clster en la siguiente direccin: http://technet.microsoft.com/en-
us/library/cc732035(WS.10).aspx#BKMK_validation_scenarios

2. Implementacin del clster

La implementacin del clster incluye las siguientes etapas:

Configurar las interfaces de red sobre los futuros nodos del clster.
Configurar el almacenamiento para el clster.
Instalar la funcionalidad de clster de conmutacin por error.
Configurar el clster:

Interfaz de red
Determinar la mayora (qurum, recurso compartido testigo...)

En funcin del objetivo del clster, instale el rol de alta disponibilidad sobre todos
los nodos (servidor de archivos, servidor WINS...).
Cree la aplicacin en el clster.
Bascule sobre cada uno de los nodos para validar el correcto funcionamiento de los
mismos.
Ejecute, de nuevo, el asistente de validacin del clster.

a. Configurar la red para el clster

La primera etapa consiste en configurar las interfaces de red de los nodos de su futuro
clster. Recuerde que se recomienda encarecidamente utilizar varias tarjetas de red, cada
una configurada sobre una subred o una VLAN diferentes, y dedicarles un rol bien
definido. En nuestro ejemplo, utilizaremos cuatro tarjetas de red por nodo, he aqu su
configuracin:

LAN (172.16.0.x/16): dedicada a la comunicacin entre los clientes y los nodos del
clster.
Clster (10.0.1.x/24): dedicado a las comunicaciones internas del clster.
Almacenamiento 1 (10.0.2.x/24): primera conexin al espacio SAN iSCSI.
Almacenamiento 2 (10.0.3.x/24): segunda conexin al espacio SAN iSCSI.

Todas las interfaces deben estar direccionadas convenientemente. Esta conectividad con la
red local (LAN), donde se encuentran los clientes, debe estar direccionada correctamente
(direccin IP y DNS). Para las dems interfaces, y salvo por algn motivo en especial,
debera dejar el mnimo imprescindible (direccin IP, deshabilitar el registro DNS y de
NetBIOS).
b. Configurar el almacenamiento para el clster

La segunda etapa consiste en conectar sus nodos a un espacio de direccionamiento, iSCSI


en nuestro ejemplo, teniendo en cuenta la duplicidad de equipos de red para la tolerancia a
fallos. Para poder gestionar varias rutas de red para alcanzar el almacenamiento, ser
preciso instalar la funcionalidad MPIO (MultiPath I/O).

La configuracin de los destinos iSCSI se realiza de la siguiente manera:

Abra el iniciador iSCSI desde las herramientas administrativas.

Vaya a la pestaa Deteccin, en la seccin Portales de destino, haga clic en el botn


Detectar portal..., escriba la direccin IP del espacio de almacenamiento y haga clic en
Aceptar.

Vaya a la pestaa Destinos, seleccione el destino correspondiente a la LUN para el qurum


y, a continuacin, haga clic en el botn Conectar.

En la ventana Iniciar sesin en el destino, marque la opcin Habilitar mltiples rutas y,


a continuacin, haga clic en Opciones avanzadas....

En la seccin Conectarse utilizando de la pantalla que muestra la configuracin avanzada,


realice los siguientes cambios:

Adaptador local: iniciador Microsoft iSCSI.


IP del iniciador: direccin IP del nodo de la primera red de almacenamiento.
IP del portal de destino: direccin IP del espacio de almacenamiento en la primera
red de almacenamiento.
A continuacin, haga clic en Aceptar dos veces.

Para gestionar rutas mltiples, deber repetir las etapas 3 a 5 utilizando las direcciones IP
de la segunda red de almacenamiento en la etapa 5.

Una vez configurado el iniciador iSCSI, debe instalarse la funcionalidad MPIO. Puede
hacerlo a travs del Administrador del servidor. A continuacin, para configurar la
funcionalidad MPIO:

Abra la consola MPIO desde las herramientas administrativas.

En la pestaa Detectar mltiples rutas, marque la opcin Agregar compatibilidad con


dispositivos iSCSI (si estuviera deshabilitada, significa que no ha conectado el destino
iSCSI) y haga clic en el botn Agregar (vea la siguiente captura de pantalla).

Para terminar, valide el reinicio haciendo clic en el botn S.


c. Configurar el qurum para el clster

En este ejemplo, vamos a configurar el clster en modo mayora de disco y nodo, lo que
implica que el qurum se define en un almacenamiento de red central, un espacio iSCSI,
FCo FCoE. Todos los nodos de su futuro clster deben tener acceso bien al qurum, o bien
a la propia LUN. Ahora que ha realizado la conexin con el almacenamiento, vamos a
preparar el volumen que queremos utilizar para el qurum del clster.

Para realizar esta preparacin, utilizaremos la LUN que ha conectado en la seccin anterior.
Configure el almacenamiento para el clster y realice esta tarea nicamente para el primer
nodo. Esta preparacin puede realizarse de varias formas:

Desde el Administrador del servidor.


Desde la consola Administrador de discos (diskmgmt.msc).
Mediante el comando DISKPART.EXE.
Utilizando los cmdlets PowerShell.

Utilizaremos la consola Administrador de discos:

Abra la consola Administrador de discos.

Haga clic, con el botn derecho, sobre el disco destinado a ser el volumen del qurum, que
normalmente aparecer como disco desconocido, y seleccione En lnea.

Haga, de nuevo, clic con el botn derecho sobre el disco del qurum, y seleccione
Inicializar el disco.

En la ventana Inicializar el disco, deje las opciones por defecto y valide haciendo clic en
el botn Aceptar.

En la zona no particionada del disco de qurum, haga clic con el botn derecho y
seleccione Nuevo volumen simple....

Mediante el asistente de Creacin de un volumen simple, cree un volumen utilizando la


totalidad del espacio disponible, asgnele la letra Q (se trata de una vieja convencin de
nomenclatura para el Qurum), asgnele el nombre qurum y realice un formato rpido en
NTFS.

d. Instalacin del clster

La instalacin de la funcionalidad de clster puede realizarse de varias formas:

Desde el Administrador del servidor.


Desde PowerShell:

Invoke-Command -ComputerName nodo3,nodo4 -Command {Install-Windows


Features -Name Failover-Clustering -IncludeManagementTools}
La configuracin puede hacerse de distintas formas, aunque le conviene utilizar una cuenta
con permisos de Administrador de dominio para realizar la creacin de la cuenta de equipo
que representa el clster:

La interfaz grfica: Administrador de clster de conmutacin por error.


Desde PowerShell.

Observe que la herramienta por lnea de comandos cluster.exe ya no se encuentra


soportada en Windows Server 2012 R2.

En este libro, vamos a explicar el primer y el ltimo mtodo para realizar la configuracin
de un clster.

Configuracin mediante la interfaz grfica:

Abra el Administrador de clsteres de conmutacin por error.

Haga clic en Validar configuracin en el panel Acciones.

El mensaje de bienvenida le recuerda tres aspectos muy importantes:


Incluso si su instalacin pasa la validacin, es preciso que todo el hardware incluya
una mencin "para Windows Server 2012 R2".
Es necesario ser, al menos, administrador local de cada uno de los nodos.
La validacin no puede interrumpirse tanto si realiza todas las pruebas (que
incluyen pruebas sobre el almacenamiento) como si realiza una prueba
personalizada seleccionando el almacenamiento, lo que significa una interrupcin
del servicio para el almacenamiento del clster de algunos segundos durante la
validacin.

Haga clic en Siguiente.


Agregue todos los nodos que van a formar parte del clster.

Seleccione la opcin Ejecutar todas las pruebas salvo si se trata de una excepcin, de
tipo clster Exchange CCR o clster multisitio. Haga clic en Siguiente.
El asistente muestra un resumen de las opciones anteriores. Haga clic en Siguiente.
Una vez realizadas las pruebas, se muestran los resultados. La primera frase del cuadro de
dilogo permite conocer inmediatamente si el conjunto de pruebas es concluyente. Si se han
detectado problemas, puede consultarlos mediante el informe.

Su instalacin se encuentra, ahora, certificada para funcionar en modo clster de


conmutacin por error. La siguiente etapa consiste en crear el clster.

Haga clic en Crear el clster desde el panel Acciones:


Haga clic en Siguiente.

Agregue los nodos que van a formar parte del clster. Haga clic en Siguiente.
Indique un nombre (virtual) y una direccin IP para el clster. Ambos recursos estarn
dedicados al funcionamiento del clster y no deberan utilizarse para ninguna otra tarea.
Haga clic en Siguiente.
El asistente le muestra un resumen de la configuracin que se aplicar antes de hacerlo
realmente. Haga clic en Siguiente y, a continuacin, haga clic en Finalizar.

Habramos podido llegar al mismo resultado con los siguientes comandos PowerShell:

Test-Cluster -Node nodo3,nodo4


New-Cluster -Name cluster02 -Node nodo3,nodp4 -StaticAddress
172.16.0.28

Puede recuperar la lista de comandos de gestin del clster con: get-command -module
FailoverClusters.

Por lo general, si se cumplen todos estos requisitos previos, su clster debera estar, de
manera automtica, configurado completamente por parte del asistente de instalacin del
clster. En nuestro ejemplo, el clster est configurado en modo Mayora de disco y nodo
utilizando para el qurum la LUN conectada en la seccin Configurar el almacenamiento
para el clster. Si lo requisitos previos no se cumplen, su clster se configurar en modo
Mayora de nodo.

Por defecto, la creacin de un clster de conmutacin por error a partir de la interfaz


grfica, o mediante el cmdlet PowerShell anterior, implica la creacin de la cuenta de
equipo para el clster en Active Directory. Windows Server 2012 R2 aporta una nueva
funcionalidad, Directory-Detached Cluster, que permite crear un clster de conmutacin
por error sin crear una cuenta de equipo en Active Directory, aunque los nodos formen
parte del dominio de Active Directory.

El despliegue de este tipo de clster se realiza, exclusivamente, por lnea de comandos


PowerShell, agregando el parmetro AdministrativeAccessPoint :

Test-Cluster -Node nodo5,nodo6


New-Cluster -Name cluster03 -Node nodo5,nodo6 -StaticAdress
172.16.0.29 -NoStorage -AdministrativeAccessPoint DNS

Conviene verificar la configuracin de las redes del clster para una mejor comunicacin
entre los nodos, pero tambin para el almacenamiento de red y el acceso por parte de los
clientes. Como se precisaba antes en este mismo captulo, nuestro ejemplo utiliza cuatro
tarjetas de red. He aqu la configuracin de las redes del clster (observe que hemos
renombrado las redes para una mejor comprensin):
Una vez haya verificado y corregido, si fuera necesario, los parmetros de su clster, y
antes de agregar los servicios, se recomienda validar el clster. Para realizar esta tarea, haga
clic en el enlace Validar el clster... que se encuentra en el panel Acciones y siga las
instrucciones del asistente de validacin del clster.

Llegados a este punto, tenemos un clster con mayora de disco y nodo operacional, aunque
todava no hospeda ningn servicio.

e. Implementar un clster de archivos

En una configuracin en clster, el servidor de archivos requiere un almacenamiento


compartido sobre un espacio de almacenamiento de red. Deber, ahora, agregar una
conexin a una nueva LUN sobre los nodos antes de agregar el servicio de Servidor de
archivos a su clster. Revise la seccin Configurar el almacenamiento para el clster en
este captulo.

Una vez conectada la LUN y creado el volumen (letra E:\ en nuestro ejemplo), debemos
agregar este volumen a los discos de nuestro clster.
En el Administrador del clster de conmutacin por error, vaya a la seccin
Almacenamiento y, a continuacin, Discos. En el panel Acciones haga clic en Agregar un
disco. Seleccione el disco que desea agregar y haga clic en Aceptar.

Ahora que el almacenamiento est configurado, es posible agregar el rol Servidor de


archivos al clster. Un pequeo matiz: para configurar un rol en un clster, debe
estar instalado el rol Windows equivalente.

Utilice la interfaz grfica para agregar un grupo servidor de archivos al clster:


Haga clic en Siguiente.
En la pantalla Tipo de servidor de archivos, puede escoger entre un servidor de archivos
para uso general o con escalabilidad horizontal para datos de aplicacin. Deje marcada la
opcin Servidor de archivos para uso general y haga clic en Siguiente.
Indique el nombre virtual del clster para este grupo, as como una direccin IP virtual.

Seleccione el o los volmenes que hospedan los datos.


El asistente muestra el resumen de la configuracin que se va a aplicar.

Haga clic en Siguiente.

El asistente muestra el informe de creacin.

El grupo que acaba de crear aparece en la arborescencia Roles:


Slo queda probar el clster reiniciando los nodos, cada uno en su turno y, a continuacin,
crear los recursos compartidos.

Sepa que este procedimiento es idntico para todos los roles de Windows que quiera
configurar en clster.

f. Casos particulares

Caso de SQL Server

En la instalacin en clster de una aplicacin Microsoft SQL Server, debe tener en cuenta:

Instalar el clster.
Instalar MSDTC como aplicacin clster (si fuera necesario).
Instalar Microsoft Framework 3.5 SP1.
Instalar Windows Installer 4.5.
Crear un grupo de clster vaco (uno por instancia a instalar).
Asignar volmenes de almacenamiento al grupo.
Ejecutar el programa de instalacin de SQL Server (como mnimo, SQL Server
2008 R2 SP1 o SQL Server 2012).
De preferencia a las versiones que ya incorporen los Service Packs mencionados, en
particular los que permitan evitar los problemas que se describen en los artculos 955725 y
973993 de la base de conocimiento.

Caso de Exchange

Microsoft Exchange Server 2010 est, oficialmente, soportado a partir del Service Pack 3.
Exchange Server 2013 tambin est soportado.

Caso de Hyper-V

Una de las principales novedades asociadas a Hyper-V y a los clsteres es la relativa al


almacenamiento de mquinas virtuales. El CSV (Cluster Shared Volume), que se incluye
con Windows Server 2008 R2, hace que no sea obligatorio disponer de un volumen por
mquina virtual (VM). Es posible hospedar un conjunto de mquinas virtuales sobre el
mismo volumen. Uno de los nodos realiza el rol de coordinador, siendo el nico que puede
crear archivos. Es l el encargado de gestionar el acceso de escritura a los archivos por
parte de los servidores, para que no haya dos servidores que modifiquen el mismo archivo.
Las ventajas son numerosas:

El espacio libre es comn a todas las VM. Este espacio pueden utilizarlo todas las
VM cuyo almacenamiento sea de tipo extensible, y tambin es posible agregar
nuevas VM. La eliminacin de una VM hace que su espacio quede disponible,
inmediatamente, para las dems VM.
El nmero de volmenes es considerablemente bajo. Habr menos intervenciones
sobre el almacenamiento central y, por tanto, menos riesgos derivados.
El tamao del volumen puede ser importante, y el tiempo de anlisis para realizar
un chkdsk est vinculado con el nmero de archivos y no con el tamao.
Con Windows Server 2012 R2, CSV soporta funcionalidades avanzadas de
administracin de archivos tales como la deduplicacin de datos y ReFS (Resilient
File System), de las que se habla en el captulo El ciclo de vida de su
infraestructura.

El modo CSV est soportado y se reserva, exclusivamente, para almacenar mquinas


virtuales Hyper-V. Jams debera utilizarse para almacenar otro tipo de objetos.

Es posible agregar volmenes CSV desde el Administrador de clster de conmutacin


por error o mediante comandos PowerShell:

$cluster = Get-Cluster cluster01


$cluster.EnableSharedVolume="Enabled"

Windows Server 2012 R2 aporta, a su vez, los discos virtuales VHDX compartidos (Shared
VHDX) que permiten el acceso al mismo disco virtual, en formato *.vhdx, a varios equipos
virtuales. Esto permite, por ejemplo, crear clsters compuestos por nodos formados por
mquinas virtuales. Se aborda la implementacin de un Shared VHDX en el captulo
Consolidar sus servidores.
3. Migracin de Windows Server 2008 a 2012 R2

Si bien este libro est orientado a Windows Server 2012, existen ciertas consideraciones
que debemos tener en cuenta si queremos migrar un clster desde una edicin anterior a
Windows Server 2012 R2:

Windows Server 2012 R2 existe, nicamente, en versin de 64 bits. Esto obliga a


que tanto el hardware como todas las aplicaciones del mismo deban ejecutarse sobre
64 bits o, al menos, mediante la emulacin de 32 bits WoW64 (Windows On
Windows).
La funcionalidad Compartir subdirectorios ya no est disponible desde Windows
Server 2012. Ser preciso crear cada recurso compartido. Esto se debe a una
limitacin tcnica de 900 recursos compartidos. Como ya no existe este problema,
esta funcionalidad se ha suprimido.
DFS y FRS ya no estn soportados en Windows Server 2012 R2 (salvo para
controladores de dominio). Debera migrar a DFSR, preferentemente. Esto implica
que los dems nodos DFS estn configurados, como mnimo, en Windows Server
2003 R2.
Utilice nombres virtuales y direcciones IP diferentes a las del grupo de clster para
sus recursos? Si no fuera el caso, la migracin implicar una interrupcin mayor del
servicio, pues ambos clsteres (el viejo y el nuevo) deben cohabitar durante la
migracin.

Existen dos enfoques para abordar la migracin:

Conservar el mismo hardware.


Migrar el clster a un nuevo clster fsico.

El primer enfoque consiste en:

Sacar un nodo del clster (vase el artculo 935197 de la base de conocimiento de


Microsoft).
Actualizarlo a Windows Server 2012 R2 o instalar de nuevo todo el sistema
operativo.
Crear un nuevo clster sobre este servidor.
Utilizar el asistente para migrar un clster.
Poner en lnea los recursos migrados.
Sacar el nodo 2008 del anterior clster y actualizarlo.

El segundo enfoque se utiliza muy a menudo, puesto que el cambio de sistema operativo
supone, a menudo, un cambio de generacin de hardware. El plan es muy similar, siempre
que no se degrade (en nmero de nodos) durante la migracin:

Instalar un clster Windows Server 2012 R2 sobre, al menos, uno de los nodos
(nuevo clster).
Utilizar el asistente para migrar un clster.
Decidir si se utiliza el mismo almacenamiento o no.
Poner en lnea los recursos migrados.
Eliminar el clster anterior.

4. Configurar un clster de conmutacin por error en modo multisitio

Si ocurre cualquier problema con el DRP (Plan de Recuperacin ante Desastres) o,


especialmente, del PSI (Plan de Seguridad Informtica) llevados a un situacin extrema,
algunas empresas implementan un entorno informtico idntico al entorno de produccin
sobre un sitio auxiliar (locales separados geogrficamente). El objetivo es que, si el sitio
principal dejara de estar disponible (debido a un fuego, a una inundacin...), los usuarios no
tengan ms que acudir al sitio secundario para poder seguir trabajando.

Para ello, es preciso, evidentemente, que los usuarios sean capaces de encontrar los mismos
datos y los mismos servicios que en el sitio principal, de la manera lo ms transparente
posible. En lo relativo a los propios datos, tiene varias posibilidades para replicarlos entre
los sitios (DFS-R por ejemplo). Pero, qu ocurre con un clster?

La implementacin de un clster de conmutacin por error en un multisitio supone que los


sitios estn conectados mediante una conexin fiable y rpida, e impone, a su vez, una
replicacin de datos del clster. Esta replicacin puede realizarse de distintas formas:

A nivel de hardware: a da de hoy, la mayora de espacios de almacenamiento


profesionales permiten replicarse entre s. Con algunos de ellos, es posible incluso
encriptar y comprimir los datos replicados. Con este tipo de replicacin, el espacio
de almacenamiento replica los bloques de datos sea cual sea el tipo o el sistema de
archivos.
A nivel lgico o sistema de archivos: la replicacin a nivel de aplicacin se basa, a
menudo, en el servicio DFS-R de Microsoft, si bien existen otras soluciones de
replicacin. Se trata de una replicacin basada en el sistema de archivos.
A nivel de aplicacin: en este tipo de replicacin, es la propia aplicacin la
encargada de replicar sus propios datos. Podemos citar a Microsoft Exchange 2007
como ejemplo, con una replicacin de tipo CCR.

A esto le acompaan dos modos de funcionamiento:

Una replicacin sncrona: en este modo, cuando un dato se encuentra en el


almacenamiento del sitio principal, la accin se considera como terminada cuando
todos los sitios reconocen la escritura de dicho dato. Esto puede suponer una fuerte
latencia de procesamiento si la replicacin utiliza una conexin lenta.
Una replicacin asncrona: aqu, el clster del sitio principal puede leer y escribir
sobre su almacenamiento sin tener por qu esperar a que los datos se repliquen
sobre el segundo sitio. La replicacin se efecta, en este caso, bien de forma
continua o bien de manera planificada. En caso de siniestro, puede haber cierta
diferencia entre los datos de ambos sitios.
Desde un punto de vista del clster, este comportamiento debe configurarse como Mayora
de nodo o Mayora de recurso compartido de archivos y nodo. En este ltimo modo, se
recomienda que el recurso compartido de archivos para el qurum est hospedado en un
servidor externo al clster. Esto permite aprovechar la conmutacin por error automtica
entre los sitios, si bien la mayora de administradores prefieren realizar esta conmutacin de
forma manual.

5. Actualizacin compatible con clsteres de conmutacin por error

Incluida con Windows Server 2012 R2, la funcionalidad Actualizacin compatible con
clsteres (CAU, Cluster-Aware Updating) permite automatizar la aplicacin de
actualizaciones de Microsoft (Windows Update) sobre los nodos del clster, conservando
un alto nivel de servicio.

El principio de funcionamiento es sencillo: se instalan las actualizaciones nodo a nodo. En


primer lugar, el primer nodo se pone en pausa, sus sesiones activas se drenan hacia otro
nodo y los roles basculan. A continuacin, se aplican las actualizaciones y se reinicia el
servidor, si fuera necesario. Para finalizar, el nodo se pone en funcionamiento dentro del
clster, recuperando los roles que tuviera antes de realizar las actualizaciones.

La actualizacin compatible con clsteres funciona siguiendo los siguientes dos modos:

Actualizacin remota: en este modo se utiliza un equipo Windows Server 2012 R2


o Windows 8.1 (Windows Server 2012 y Windows 8, como mnimo) con las
herramientas de administracin de Actualizacin compatible con clsteres
instaladas que no forme parte del clster. Este equipo permite verificar, aplicar y
realizar un seguimiento de la aplicacin de actualizaciones con una instalacin
mnima (Server Core) de Windows Server 2012 R2 o Windows Server 2012.
Actualizacin automtica: en este modo, es el clster quien administra,
directamente, las actualizaciones sobre los nodos. El primer nodo que se actualiza es
el que posee el rol de Actualizacin compatible con clsteres y, a continuacin, se
actualizan los dems nodos.

De hecho, el proceso de actualizacin adaptado a los clsteres ejecuta el cliente Windows


Update. De este modo, por defecto, es posible instalar todas las actualizaciones disponibles
en el sitio Windows Update de Microsoft. Es posible gestionar las actualizaciones que
quiere instalar sobre sus nodos con ayuda de un servidor WSUS interno y una GPO.

Puede configurar la actualizacin compatible con clsteres en modo automtico de dos


formas: utilizando el Administrador de clster de conmutacin por error, seleccionando
su clster y, a continuacin, haciendo clic en el enlace Actualizacin compatible con
clsteres que se encuentra en la seccin Configurar, o bien mediante comandos
PowerShell.
En el primer caso, en la zona Conectar a un clster de conmutacin por error, tendr
que seleccionar el nombre de su clster y, a continuacin, hacer clic en Conectar para que
aparezcan sus nodos.

Mediante la consola Actualizacin compatible con clsteres, podr:

Aplicar actualizaciones a este clster: con ayuda del asistente, puede instalar, de
manera inmediata, las actualizaciones disponibles para los nodos de su clster.
Vista previa de actualizaciones para este clster: le permite ver las
actualizaciones disponibles para los nodos de su clster.
Crear o editar perfil de ejecucin de actualizaciones: permite crear o modificar
un perfil de ejecucin de actualizaciones y almacenarlo en formato XML para
importarlo en otro servidor.
Generar informe sobre ejecuciones de actualizacin anteriores: permite generar
un informe acerca de la ejecucin e instalacin de las actualizaciones en su clster.
Configurar opciones de auto-actualizacin de clster: le permite habilitar,
deshabilitar, configurar y planificar la aplicacin de actualizaciones automticas en
su clster de forma automtica, mediante un simple asistente.
Analizar preparacin de la actualizacin del clster: permite verificar la correcta
configuracin del clster para instalar actualizaciones remotas.
Ejemplo de configuracin mediante PowerShell:

#Agregar un rol al clster


Add-CauClusterRole -ClusterName cluster02 -CauPluginName
Microsoft.WindowsUpdatePlugin
-MaxRetriesPerNode 3 -CauPluginArguments
@{IncludeRecommentedUpdate=True} -StartDate
"14/10/2012 03:00:00" -DaysOfWeek 4 -WeeksOfMonth @(3)
-EnableFirewallRules -Force

#Activacin del rol


Enable-CauClusterRole -ClusterName cluster02 -Force

Conclusin
Ahora, conoce las ventajas e inconvenientes de una solucin de alta disponibilidad y/o de
reparto de carga. Tiene las cartas en su mano para preparar su solucin y gestionarla una
vez puesta en produccin. Como con muchas otras soluciones, no debe esperar a tener
alguna necesidad tecnolgica concreta (una cada de algn servidor, por ejemplo) para
validar su buen funcionamiento. Debe planificar pruebas de forma regular, con el objetivo
de asegurar su correcto funcionamiento del da D. A diferencia de la mayora de proyectos,
es precisamente si ningn usuario se da cuenta de nada (comportamiento transparente),
cuando podremos decir que el proyecto ha sido un xito.

Introduccin
Este captulo est dedicado a la definicin y la configuracin de los componentes
necesarios para el correcto funcionamiento de la red de la empresa basada en Windows
Server 2012.

En l, se abordan los componentes IP, DNS, DHCP, WINS, as como la implementacin de


la cuarentena de red en DHCP, IPsec y 802.1x.

Seleccionar una infraestructura de red


La implementacin de toda la arquitectura de red supone realizar un anlisis de las redes
existentes. A menudo, es difcil modificar el conjunto de una sola vez. La migracin se
lleva a cabo, habitualmente, implementando un nuevo direccionamiento de red y
hacindolo cohabitar con las redes existentes. La modificacin del direccionamiento IP se
ve, a menudo, como una tarea costosa que aporta pocas ventajas suplementarias.

Es, por lo general, durante el desplazamiento o la creacin de un sitio cuando es fcil, o


incluso necesario, repensar el direccionamiento IP y planificar un nuevo sistema.

El cambio de un dominio DNS es, todava, ms complicado, sobre todo cuando dicho
dominio sirve como soporte a un dominio Active Directory. En este caso, una migracin
representa un estudio particular que se sale del marco de nuestra presentacin.

1. La eleccin de la arquitectura de red

A este nivel, cabe estudiar bien dos puntos:

La eleccin de la zona DNS.


La eleccin de la clase de red.

a. La zona DNS

Existen dos aspectos importantes a la hora de escoger la zona DNS.

El nombre escogido para la zona DNS debe corresponderse con la integridad de la entidad
(empresa, grupo, etc.) que se quiere gestionar. Este nombre debe poder ser aceptado por
todas las entidades dependientes que tengan que alcanzar esta zona. El problema es ms de
aspecto poltico que tcnico!
Si alguna entidad no se encuentra en este marco, quiere decir que debe asocirsele una zona
DNS especfica.

Si la zona DNS debe utilizarse en Internet, el dominio DNS tendr que ser,
obligatoriamente, pblico y estar registrado, es decir, debe utilizar una extensin
reconocida de tipo .es, .com, .info...

En una red interna, el dominio puede ser pblico o privado. La eleccin ms comn es, por
tanto, escoger un dominio DNS local con una extensin desconocida en Internet. La
extensin .local se utiliza muy a menudo bajo la forma miempresa.local. El desacople
entre la seccin interna y la externa resulta mucho ms fcil de llevar a cabo. Esta eleccin
se desaconseja, pues los proveedores de certificados han decidido, de acuerdo con los
grandes fabricantes, no distribuir ms certificados a partir del 1 de Enero de 2014 que
incluyan nombres de dominios DNS que no puedan verificarse. Esto tiene una
consecuencia directa en la configuracin de muchos servidores Exchange que trabajan con
este tipo de certificados. No obstante, es probable que algunos servidores Web visibles al
mismo tiempo en la Intranet y en Internet utilicen este tipo de funcionalidad.

En cambio, el uso del mismo nombre de dominio sobre la red interna y sobre Internet
obliga a tener servidores DNS diferentes para hacer visible sobre Internet nicamente la
parte que se desea exponer. Esto supone una doble administracin de las zonas DNS. Esta
solucin resulta muy compleja. En las nuevas instalaciones, las recomendaciones sern:

bien utilizar un dominio con una extensin conocida (y disponible en el registro) tal
como .org, .net, .info.
o bien definir un subdominio del dominio pblico que ya se est utilizando, de la
forma ad.miempresa.es.

En ambos casos, no supondr ningn problema obtener un certificado pblico.

b. La clase de red

Para todas las redes internas, la eleccin se realizar, evidentemente, sobre las clases de
redes privadas. Si no se quiere modificar la integridad de las redes existentes por motivos a
menudo histricos, es posible, al menos, crear todas las nuevas redes siguiendo esta regla.

La clase de red se escoge en funcin del nmero de mquinas presentes en la red, del
nmero de sitios, etc. Una red de clase C (192.168.0.X) representa, a menudo, una buena
eleccin inicial. Siempre es posible cambiar la clase de la red o incluso utilizar varias redes
en funcin de las necesidades.

El uso de TCP/IP v6 no est, todava, bien desarrollado, aunque ser necesario en un plazo
de dos a tres aos, principalmente en Internet. En la red local, siguen existiendo muchas
aplicaciones que no son compatibles, aunque deberan evolucionar rpidamente! La red
IPv6 se estudia en el captulo La evolucin de la red.
2. La instalacin de un servidor DHCP

El servidor DHCP permite implementar rpidamente la red seleccionada, y permite,


tambin, modificar rpidamente y de forma global una serie de parmetros. Las empresas
que, a da de hoy, no utilizan ningn servicio DHCP son ms bien raras.

Como muchos otros componentes de Windows Server 2012, el servicio DHCP es un rol.

a. Definicin

El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo proveer
una direccin IP y una mscara de subred a cualquier dispositivo de la red (estacin,
servidor u otro) que lo solicite. Segn la configuracin, es posible configurar tambin otros
parmetros importantes, tales como: las direcciones IP de la ruta por defecto, los servidores
DNS que debe utilizar, los servidores WINS y el sufijo del dominio, por citar algunos de
los ms importantes.

DHCP se reserva, a menudo, para las estaciones, las impresoras, y no debera servir, salvo
muy excepcionalmente, para los servidores.

b. Instalacin

Como con todos los dems componentes de Windows, la instalacin puede llevarse a cabo
de forma grfica o mediante un comando PowerShell sin tener que insertar ningn medio
extrable.

Instalacin mediante PowerShell :

Install-WindowsFeature DHCP

Preste atencin, el servicio se iniciar y configurar de manera inmediata con arranque


automtico! En cambio, la instalacin del componente DHCP mediante PowerShell slo
instala el servicio DHCP. Es preciso ejecutar el comando indicado a continuacin para
instalar la herramienta de administracin.

Install-WindowsFeature RSAT-DHCP

El servicio debe iniciarse para poder acceder y configurar DHCP.

Para que el servicio DHCP empiece a distribuir las direcciones, es imprescindible


configurar y habilitar un mbito.

Preste atencin, si el servidor que hospeda DHCP forma parte de un bosque Active
Directory, debe estar, adems, autorizado para los administradores miembros del grupo
Administradores de empresas y aquellos que hayan recibido los permisos de
administracin de DHCP.

El servicio DHCP, como los dems servicios de red de referencia (DNS, WINS), debera
instalarse siempre sobre servidores que utilicen una IP fija.

c. Configuracin

La consola de administracin de DHCP se encuentra en cualquier servidor con el rol DHCP


instalado mediante la interfaz grfica y en cualquier servidor donde se haya agregado,
especficamente, este componente de administracin.

Si el servidor local tiene el rol DHCP instalado, el servidor debera aparecer


automticamente en la consola.

Si el servidor no tiene el rol DHCP instalado, o no es el servidor que desea administrar,


utilice el botn derecho para agregar un servidor especfico o escogerlo entre los servidores
autorizados.
Para autorizar un servidor DHCP, utilice la opcin Administrar servidores autorizados.

Haga clic en el botn Autorizar, e indique el nombre o la direccin IP.


En un bosque Active Directory, slo aquellos servidores DHCP que estn autorizados a los
administradores de empresas tienen el permiso de asignar direcciones IP a partir de los
mbitos habilitados.

Confirme la direccin y el nombre propuestos haciendo clic en el botn Aceptar.

Cierre la ventana de los servidores autorizados haciendo clic en Cerrar.

Los servidores autorizados aparecen marcados con una flecha de color verde.
Cada servidor DHCP puede servir varios mbitos, aunque slo uno por cada red IP.

Utilice el asistente mbito nuevo que aparece haciendo clic con el botn derecho sobre
IPv4 para preparar el uso de la red deseada.
Defina el nombre y la descripcin del mbito.

Indique el mbito deseado.


He aqu un mbito clsico para una red 172.16.X.X de clase B que utiliza una mscara
estndar 255.255.0.0.

El rango utilizado no debe, obligatoriamente, utilizar la totalidad de la clase de red, de


modo que puede dejar algunas direcciones libres para los servidores, o direcciones IP
reservadas a impresoras u otros dispositivos.

Informe las excepciones y el eventual retardo.


Las exclusiones permiten bloquear el uso de direcciones cuyo grupo de direcciones ya est
en uso en el mbito seleccionado. Esta eleccin se utiliza, a menudo, cuando se quiere
recuperar direcciones excluidas. El retardo permite tener en cuenta los distintos mtodos de
conmutacin o escoger un servidor DHCP para que responda en primer lugar sobre un
segmento determinado.

Seleccione la duracin del contrato.


La duracin del contrato debe seleccionarse en funcin de la disponibilidad de direcciones.
Idealmente, el contrato ser lo ms largo posible (30 das) siempre y cuando existan las
suficientes direcciones disponibles. Si fuera necesario disminuir a menos de 3 das la
duracin del contrato, cabra considerar una ampliacin de la subred seleccionada.

Configure las opciones del mbito.


Defina la direccin IP de la pasarela por defecto (pasarela de red).
La pasarela por defecto forma parte de los parmetros que habitualmente estn ligados al
mbito. Salvo casos muy concretos, slo hay que incluir una direccin IP. Las direcciones
IP siguientes se utilizan nicamente si la primera no responde.

Indique el sufijo DNS y las direcciones IP de los servidores DNS.

Idealmente, todo dominio Active Directory debera incluir, al menos, dos controladores de
dominio y, por tanto, dos servidores DNS a este nivel.

Escriba las direcciones IP de los eventuales servidores WINS.


Como buena prctica, se recomienda no utilizar servidores WINS, salvo en caso necesario.
No hay que informar las direcciones IP de los servidores WINS salvo si el servicio tiene
que estar, efectivamente, instalado.

Active el mbito al finalizar el asistente


He aqu la visualizacin de las opciones del mbito tras su activacin. Observar que las
opciones a nivel de servidor se identifican mediante un icono especial que representa un
servidor. Son aquellas que contienen parmetros que son variables globales sobre todos los
mbitos.

Las opciones del servidor (006, 015, 042 y 046) sirven como valores por defecto, aunque se
reemplazan por las opciones del mbito, que son prioritarias.
La opcin Nombre de dominio DNS no permite especificar varios sufijos de
bsqueda DNS. Si fuera necesario, las directivas de grupo permiten agregar sufijos
de bsqueda.
El Tipo de nodo con el valor 0x8 configura el modo de resolucin hbrida. Es decir,
se realizar una bsqueda de servidores WINS en primer lugar, y se pasar al modo
Broadcast si falla.

Puede resultar muy interesante configurar ciertas propiedades avanzadas del servidor
DHCP.

Por ejemplo, cuando se configura la zona Intentos de deteccin de conflictos con un valor
superior a cero (generalmente 2), DHCP utilizar una consulta ICMP para determinar la
posible existencia de alguna mquina sobre esta direccin.

La actualizacin dinmica de los registros DNS es un elemento particularmente importante


que hay que configurar.
En la versin R2, es posible deshabilitar la actualizacin dinmica de los registros PTR.

El botn Configurar permite habilitar la proteccin de nombres durante la inscripcin, las


actualizaciones y las eliminaciones de registros de tipo A y PTR. Esta proteccin resulta
efectiva nicamente si est habilitado el modo Actualizaciones dinmicas seguras.

Cuando se crean y utilizan zonas de bsqueda inversa (Reverse DNS), es importante


actualizar los registros PTD y no ignorarlos cuando se elimina el contrato..

La duracin del contrato ser ms elevada conforme mayor sea el nmero de direcciones IP
disponibles y menor sea el riesgo de producirse algn conflicto.

La pestaa Filtros permite limitar la distribucin de direcciones DHCP, bien autorizando


ciertos tipos de hardware de red o bien excluyendo algunos otros. Estos tipos incluyen,
habitualmente, Token Ring, X25, ATM, Ethernet, Localtalk, Frame Relay, Fibre channel,
HDLC, LocalNet y Ethernet IEE 802.
d. Reservas

Incluso para aquellos administradores que quieran gestionar todas las mquinas con un
direccionamiento IP fijo, DHCP puede resultar muy til. En efecto, hay quien gestiona de
este modo la prctica totalidad del parque mediante una reserva para cada direccin IP,
incluso si esto supone una seguridad ms o menos ficticia.

Sin llegar al caso en que debamos gestionar as toda la red, las reservas resultan muy tiles
para las impresoras de red, los dispositivos administrables (tales como switch...) y, en
ocasiones, para ciertas mquinas cuya direccin IP se autorice y utilice en la configuracin
de alguna aplicacin.

Cada tarjeta de red dispone de una direccin fsica nica llamada direccin MAC y, de este
modo, es posible identificar una demanda proveniente de esta direccin y proveerle siempre
la misma direccin IP y la misma configuracin.

He aqu un ejemplo de definicin de una reserva:


Observe que las reservas deben formar parte de la red, aunque no tienen por qu formar
parte del mbito DHCP, lo cual puede resultar prctico en ciertas ocasiones. Si se utilizan
varios servidores DHCP para una misma subred (con restriccin de uso), las reservas deben
configurarse sobre todos los servidores.

Algunas herramientas proveen kits de recursos tales como DHCPCMD.EXE, o la librera


DHCPOBJS.DLL, que permiten desarrollar scripts para automatizar la creacin y
configuracin de los mbitos. El comando NETSH permite, tambin, realizar operaciones
de configuracin, importacin o exportacin.

Para exportar una configuracin existente, puede utilizar el comando NETSH:

NETSH DHCP SERVER DUMP >DHCPCONFIG.CMD

Adapte, a continuacin, el archivo DHCPCONFIG.CMD en funcin de las necesidades


eliminando las lneas intiles y modificando las dems.

La programacin de DHCP para PowerShell requiere que se cargue el mdulo


correspondiente mediante el siguiente comando:

Import-Module DHCPSERVER

La instruccin Get-Command -Module DHCPSERVER enumera todos los componentes


que incluye este mdulo.
He aqu un enlace hacia un primer ejemplo de uso prctico de los comandos PowerShell
para DHCP: http://blogs.technet.com/b/teamdhcp/archive/2012/07/15/bringing-powershell-
to-dhcp-server.aspx

e. Registros DNS basados en directivas DHCP

Las directivas DHCP permiten configurar de manera particular los dispositivos, por
ejemplo asignndoles una parte del rango IP, en base a los siguientes criterios:

La clase Vendor
La clase User
La direccin MAC
El identificador de cliente
La informacin relativa al agente de retransmisin

Estas directivas resultan particularmente interesantes para gestionar, de distinta manera:

Los tipos de dispositivos diferentes: impresoras, telfonos IP


El rol y el distinto uso de estos dispositivos: porttiles, PC fijos
Dispositivos virtuales: mquinas virtuales

El criterio ms sencillo que se puede utilizar es, a menudo, la direccin MAC cuyos 6
primeros caracteres hexadecimales identifican, generalmente de forma unvoca, al
fabricante y el modelo.

En el caso de mquinas virtuales, son los 6 ltimos caracteres los que pueden resultar tiles,
pues definen el direccionamiento definido a nivel de hypervisor.

Destacaremos que las directivas se gestionan bien a nivel del servidor o bien a nivel de un
mbito.

Cree una nueva directiva DHCP.


Asigne un nombre a la directiva.
Agregue una condicin.
Seleccione las condiciones de aplicacin de la directiva.
Haga clic en Agregar tras marcar la opcin Anexar o Anteponer.
Indique si desea utilizar un mbito concreto para esta directiva.
Preste atencin, este rango de direcciones IP debe formar parte del mbito DHCP
correspondiente.

Indique las propiedades DHCP que podran ser diferentes (Router, Servidor DNS).
Resumen de la configuracin inicial:
La direccin MAC puede obtenerse desde una ventana de comandos DOS mediante el
comando Ipconfig /ALL o mediante el comando PowerShell GET-NetAdapter.

Tras configurar una directiva, es posible configurar la actualizacin de DNS especfica


asociada a la misma.

A partir de las propiedades de la directiva, la pestaa DNS permite modificar el


comportamiento del registro DNS, por ejemplo para modificar el sufijo del dominio.
Observe que la pestaa General da acceso a la configuracin de una concesin
personalizada, incluso ilimitada.
f. Configuracin de la conmutacin por error del mbito DHCP

En las versiones anteriores, existan dos formas de garantizar la disponibilidad de la funcin


DHCP:

Instalar el servicio en un clster de Windows


Repartir el mbito DHCP entre varios servidores (habitualmente 70 %, 30 %)

Windows Server 2012 y 2012 R2 proporcionan la funcionalidad de DHCP Failover, es


decir, la conmutacin por error de DHCP evitando los problemas vinculados con las
soluciones anteriores.

Para simplificar, esta nueva configuracin permite a dos servidores DHCP gestionar la
misma red o el mismo mbito. Existen dos modos de funcionamiento: bien un modo de tipo
activo/pasivo, o bien un reparto de carga con un reparto de clientes. En ambos casos, la
informacin y los mbitos se replican entre los servidores, y los clientes conservan la
misma configuracin.

Observe que, para IPv6, este tipo de configuracin no resulta til. Basta con que ambos
servidores DHCP distribuyan las mismas opciones para obtener el mismo resultado.
Slo es posible instalar dos servidores DHCP. La nica restriccin es disponer de dos
servidores Windows Server 2012/2012 R2. stos no deben, obligatoriamente, formar parte
del dominio, en cambio no se garantiza el correcto funcionamiento si los relojes estn
desfasados ms de un minuto.

He aqu el procedimiento de configuracin:

La primera etapa consiste en verificar que ambos servidores DHCP estn instalados y
autorizados, si forman parte de un dominio.

Debe existir al menos un mbito sobre uno de los servidores antes de comenzar con el
procedimiento que permite configurar la conmutacin por error.

La opcin Configurar conmutacin por error se encuentra en el men contextual del


contenedor IPv4 o del mbito que se desea proteger.

Seleccione el mbito (o los mbitos) que desea configurar en alta disponibilidad.


Agregue el servidor DHCP asociado. Este puede escogerse entre los servidores autorizados
en el caso de un dominio, en caso contrario escriba su nombre.
Cree la relacin de conmutacin por error. Es importante seleccionar el modo de
proteccin!
Seleccionar el modo Equilibrio de carga o Espera activa.

El modo Equilibrio de carga repartir las peticiones en funcin del porcentaje indicado.

El modo Espera activa utiliza nicamente el servidor principal, aunque los datos se
replican en el segundo servidor, que toma el control en caso de cada del servidor principal.

Escriba una cadena de encriptacin en la zona Secreto compartido.

Esta cadena se utiliza para dotar de seguridad a la comunicacin entre ambos servidores,
que comparten esta misma clave.

Se muestran los detalles de la configuracin antes de su validacin.


Se muestra el resultado de la configuracin. Haga clic en Finalizar.
La replicacin de toda la configuracin de la zona, incluidos los rangos activos, se realiza
de manera inmediata.

He aqu alguna informacin complementaria relativa a la administracin:

Tras la configuracin, es posible forzar la replicacin del mbito o de la relacin.


Estas opciones resultan prcticas para asegurar una configuracin idntica en
ambos servidores DHCP, por ejemplo tras la parada de uno de los dos servidores.

La replicacin del mbito replica nicamente el mbito seleccionado.

La replicacin de la relacin replica todos los mbitos configurados con


conmutacin por error entre ambos servidores DHCP.

En caso de que se anule la configuracin, el servidor principal guarda la


configuracin, y el servidor Asociado se vaca de cualquier informacin relativa a
este mbito.

Implementar los sistemas de resolucin de


nombres
1. La resolucin DNS

DNS se ha convertido en la piedra angular del funcionamiento de una red Windows basada
en Active Directory, aunque no slo esto.

Muchas de las actividades actuales (mensajera, Internet) se basan en un buen


funcionamiento de la red y, en particular, del servicio DNS.
Ya no es, por tanto, posible obviar este sistema que hospeda cada vez ms informacin vital
para el buen funcionamiento del conjunto de la red.

a. Definicin

DNS (Domain Name Server) es un protocolo que permite a los clientes (de la red) consultar
una base de datos que contiene informacin sobre las mquinas y los servicios que
hospedan.

DNS es un sistema que permite establecer una correspondencia entre una direccin IP y un
nombre de dominio y, en trminos generales, encontrar cierta informacin a partir de un
nombre de dominio.

b. Instalacin

La instalacin del servicio DNS sobre una red Windows se hace, a menudo, en el marco de
instalacin del primer controlador de dominio Active Directory. Su configuracin inicial se
tiene en cuenta de manera automtica en el asistente DCPROMO. Por defecto, la zona DNS
utilizada por Active Directory est, ahora, integrada y administrada por Active Directory.

Para instalar el rol DNS mediante PowerShell:

Install-WindowsFeature DNS
Install WindowsFeature RSAT-DNS-Server

La segunda instruccin instala las herramientas de administracin de DNS.

Si el servicio DNS se agrega sobre un controlador de dominio, todas las zonas integradas
con Active Directory se conocen automticamente y se utilizan en el servicio DNS para
llevar a cabo la resolucin de nombres.

En los dems casos, el servicio DNS deber gestionarse como un servidor DNS clsico.
Podr, por tanto, hospedar zonas y servir de cach o de redirector hacia otros sistemas
DNS.

c. Los distintos tipos de zona

Zona de tipo principal

Este tipo de zona se utiliza principalmente para administrar zonas que no estn vinculadas a
Active Directory. Las zonas DNS pblicas, que contienen los servidores Web de la empresa
y los servidores de mensajera son los ejemplos de uso ms corrientes.

Cada zona se almacena en un archivo de texto especfico con formato estndar y


extensin .dns. Este tipo de archivo es compatible con los dems sistemas DNS tales como
BIND. Esto permite importar o exportar zonas DNS entre los distintos servidores.
El servidor que hospeda la zona principal es el nico que autoriza y valida las
actualizaciones de su zona. Esta es la principal diferencia con las zonas integradas en
Active Directory que autorizan, ellas, las modificaciones sobre cada controlador de
dominio.

Zona de tipo secundario

Una zona secundaria puede establecerse a partir de un servidor de zona principal, una zona
integrada en Active Directory o incluso otro servidor de zona secundaria. La zona
secundaria no es sino una rplica exacta de la zona de la que depende. En cambio, la
replicacin debe estar autorizada sobre el servidor que sirve como referencia.

En el mundo Windows, la zona de tipo secundario sirve, a menudo, para replicar la


informacin de otro dominio Active Directory para realizar una aprobacin entre dos
dominios. Las zonas secundarias se configuran, a menudo, sobre servidores BIND (Unix o
Linux) para obtener una resolucin indirecta de los dominios DNS administrados por
Active Directory.

Como ocurre con la zona principal, la informacin se almacena en un archivo de texto con
extensin .dns.

En caso de prdida del servidor principal, un servidor de zona secundario puede convertirse
en un nuevo servidor principal.

Las zonas secundarias presentan, a menudo, problemas de replicacin, de retardos en las


actualizaciones, de notificacin o de seguridad que hay que configurar. Es, por
tanto, preferible evitar el uso de zonas secundarias reemplazndolas por redirecciones
condicionales o zonas de rutas internas.

Zona integrada en Active Directory

Una zona integrada en Active Directory consiste, como su propio nombre indica, en utilizar
la base de datos de Active Directory como almacn principal de informacin. De entrada,
aprovecha todas las opciones de seguridad de Active Directory, as como la replicacin
incremental entre todos los controladores de dominio.

Todos los dominios DNS pueden integrarse con Active Directory, no slo aquellos usados
directamente por Active Directory.

A menos que su servidor DNS no se encuentre en su controlador de dominio, todas las


zonas DNS deberan estar integradas en Active Directory.

d. Los distintos tipos de replicacin

Slo se aplican a las zonas integradas en Active Directory, accediendo a las propiedades del
dominio seleccionado.
Seleccione la zona DNS y, a continuacin, haga clic con el botn derecho y seleccione
Propiedades en el men.

Haga clic en Modificar junto a Replicacin.

Aparecen los distintos tipos de replicacin.

Replicacin en todos los servidores DNS del bosque

De preferencia a este tipo de replicacin para los dominios que deban ser conocidos (y se
tengan que resolver) rpidamente en todos los dominios del bosque sin tener que transferir
las consultas hacia los redirectores (Forwarders). Esta eleccin debe aplicarse,
particularmente, al dominio raz del bosque.

Replicacin sobre todos los controladores de dominio

La replicacin sobre todos los controladores de dominio es el modo compatible con el que
exista en Windows 2000. Se trata de la eleccin lgica cuando los controladores de
dominio se utilizan como servidores DNS de referencia. En efecto, como los controladores
de dominio ya replican los datos de DNS al mismo tiempo que los dems datos del
directorio, basta con instalar el servicio DNS para que se asegure esta funcionalidad.

Replicacin sobre todos los servidores DNS del dominio

Esta eleccin se utiliza con poca frecuencia, y permite a los servidores DNS que no son
controladores de dominio recibir, tambin, la replicacin de una zona concreta.

Replicacin ligada a una particin de aplicacin

Por defecto, en un bosque Active Directory, existen dos particiones de aplicacin


particulares y que estn disponibles para realizar la replicacin:

la particin ForestDnsZones;
la particin DomainDnsZones.

Si se crea alguna otra particin de aplicacin, puede utilizarse para replicar la informacin
DNS (u otro tipo de informacin) sobre grupos de mquinas personalizados.

Observe que haciendo clic con el botn derecho sobre el servidor DNS, la opcin Crear
particiones de directorio de aplicaciones por defecto puede resultar muy til para recrear
una u otra particin.
e. Zonas de bsqueda inversa

Las zonas de bsqueda inversa DNS son capaces de resolver el nombre de una mquina a
partir de su direccin IP. La clasificacin se realiza, por lo tanto, en funcin del
direccionamiento IP de la red.

Este modo de bsqueda no es necesario, y no se utiliza en el funcionamiento normal de un


bosque Active Directory. Por este motivo Microsoft no crea zonas de bsqueda inversa de
manera automtica.

En cambio, el cliente DNS de Microsoft sabe cmo utilizarlas si se definen. Algunas


herramientas, tales como la copia de seguridad TINA (Time Navigator de ATEMPO)
necesitan este tipo de zonas para poder funcionar correctamente.

Cuando se resuelve un problema de red y se utiliza la herramienta NsLookup, es


imprescindible haber creado estas zonas de bsqueda inversa para que la herramienta
funcione correctamente y poder interpretar los resultados.

Cuando se crean estas zonas, es importante configurar DHCP para gestionar las
actualizaciones de los registros PTR, es decir, el nombre del host asociado con cada
direccin IP. La integracin de estas zonas con Active Directory se aplica, principalmente,
a las redes IP que contienen, en su mayor parte, equipos Windows.

Tras la creacin de una zona de bsqueda inversa, el nombre de la zona se basa en el


direccionamiento IP, tomando cada valor de forma inversa.

f. La zona GlobalNames o GNZ

Esta posibilidad no viene activada por defecto. Su objetivo consiste en obtener una
resolucin de nombres simples (llamados single-label name), sin dominio ni extensin,
sobre el conjunto del dominio o del bosque. Para algunos controladores, esto puede servir
para eliminar el servicio WINS sin tener que sufrir los inconvenientes de la replicacin y
las actualizaciones regulares propias del servicio WINS.

En particular, se trata de crear una zona DNS especial llamada GlobalNames en la cual se
incluyen todos los nombres para los que se quiere tener una resolucin inmediata sin tener
que buscar entre los distintos sufijos de dominio de bsqueda DNS.

Es posible, por tanto, crear entradas tales como www, smtp, pop, proxy... que apunten a
servidores bien conocidos o muy solicitados en el conjunto de la empresa. Estas entradas
pueden ser registros de tipo A que indican, directamente, la direccin IP, o de tipo
CNAME, es decir, un nombre completo que se resuelve de forma clsica.

Para configurar la GNZ, los servidores DNS autoritarios deben ser, como mnimo,
servidores Windows Server 2008. Sobre cada servidor DNS, active el modo GNZ
utilizando el siguiente comando PowerShell:
Set-DnsServerGlobalNameZone -Enable:$true

Por defecto, la zona GlobalNames no debe aceptar las actualizaciones dinmicas. En


cualquier caso, es algo que no se recomienda. Se aconseja crear una zona integrada con
Active Directory con replicacin a nivel del bosque o del dominio, segn el mbito
deseado.

add-dnsserverprimaryzone -name GlobalNames -ReplicationScope forest


-DynamicUpdate None

Agregue los registros que desee por lnea de comandos o a travs de la interfaz grfica. A
continuacin se muestra un ejemplo de cmo agregar un registro esttico que apunta a un
servidor Proxy.

Add-DnsServerResourceRecordA -zone GlobalNames -name Proxy


-IPv4address 172.16.1.5

Por defecto, la resolucin local DNS se utiliza antes que la de la zona global, si fuera
preciso utilice el siguiente comando para dar preferencia a la resolucin de nombres a partir
de la zona GlobalNames:

set-DnsServerGlobalNameZone -GlobalOverLocal $true

Esta configuracin slo se aplica a nivel de los servidores DNS. El objetivo es centralizar la
configuracin.

g. Pruebas y verificaciones

Existen diversas herramientas que permiten verificar el correcto funcionamiento de la


resolucin de nombres sobre los distintos dominios.

La herramienta ping es la primera que se utiliza para realizar pruebas de resolucin. Preste
atencin, el resultado de las pruebas puede verse alterado por el filtrado existente en los
firewall intermedios o sobre los propios sistemas. Utilice ping con el nombre corto, el
nombre completo (el nombre seguido del dominio DNS completo) y la direccin IP. Si se
obtiene una respuesta con cada una de las pruebas, significa que todo funciona
correctamente. En la prueba basada en la direccin IP, el argumento -a permite verificar
tambin la resolucin inversa.

Si aparece el nombre completo SRVFIC01.MiEmpresa.Priv, significa que la resolucin


inversa funciona correctamente, incluso en el caso de que no responda a un ping.

C:\Users\administrator.DOMINIOLOCAL>ping -a 172.16.1.184

Haciendo ping a SRVFIC01.MiEmpresa.Priv [172.16.1.184]


con 32 bytes de datos:
Respuesta desde 172.16.1.184: bytes=32 tiempo<1ms TTL=128
Respuesta desde 172.16.1.184: bytes=32 tiempo<1ms TTL=128
Respuesta desde 172.16.1.184: bytes=32 tiempo<1ms TTL=128
Respuesta desde 172.16.1.184: bytes=32 tiempo<1ms TTL=128

Estadsticas de ping para 172.16.1.184:


Paquetes: enviados = 4, recibidos = 4, perdidos = 0 (0% perdidos),
Tiempo aproximado de ida y vuelta en milisegundos:
Mnimo = 0ms, Mximo = 0ms, Media = 0ms

La herramienta NsLookup permite consultar a los servidores DNS los distintos campos y
registros de las zonas DNS accesibles.

Los dos comandos, Tracert y PathPing, son equivalentes al ping, aunque muestran todas
las etapas, las direcciones atravesadas y las duraciones de cada etapa.

Existen, adicionalmente, otras herramientas como netsh, dnscmd y dcdiag que


aumentan enormemente las posibilidades.

Encontrar informacin complementaria acerca de la implementacin de Active Directory


en el captulo Dominio Active Directory.

h. Los distintos tipos de registro

SOA: el registro de tipo SOA se corresponde con una fuente de autoridad de la zona
afectada. Todas las modificaciones en la zona incrementan el nmero de versin asociado a
esta zona.

NS: el registro NS contiene todos los servidores de nombres de servidores autorizados a


responder en el dominio,

A diferencia de los dems registros, los registros SOA y NS son nicos en cada zona.

A: el registro A define la direccin IP asociada a un nombre de mquina concreto (llamado


Host en ingls).

CNAME: el registro CNAME crea un nombre (llamado Alias) en una zona, que podr
asociarse a un registro de tipo A en la misma zona o en otra zona DNS.

MX: cada registro MX debe apuntar a un registro de tipo A en el que alguna mquina posea
un servicio SMTP activo. Este registro resulta intil para la mensajera interna basada en
Exchange. Cuando existen varios registros de tipo MX, el peso (prioridad) ms bajo
asociado a cada uno de ellos indica el servidor de mensajera que debe utilizarse de forma
prioritaria.

SRV: el registro SRV sirve para indicar un servicio particular en un puerto especfico. Los
registros LDAP, Catlogo Global, Kerberos, SIP y otros utilizan este tipo de registros.
PTR: el registro PTR (Puntero) indica el nombre completo (FQDN) asociado a la direccin
IP que se utiliza para la bsqueda. Slo existe en las zonas de bsqueda inversa y no son
indispensables en un entorno Microsoft.

Existen otros tipos de registro, tales como el campo TXT, que se utilizan con menor
frecuencia y son menos tiles para el funcionamiento de una red de equipos Windows.

i. Buenas prcticas

En el marco de un bosque Active Directory, las buenas prcticas tratan de evitar la


replicacin intil de la informacin y, por tanto, evitar el uso de zonas secundarias que son
origen de muchos problemas.

Las soluciones que se utilizan son las zonas de cdigo auxiliar (stub zones) o las
redirecciones condicionales.

En los bosques y redes completas, la simplificacin implica el uso de redirectores a nivel de


cada subdominio hacia el dominio raz de cada bosque.

A nivel de cada dominio raz de cada bosque, el uso de una redireccin condicional hacia
cada bosque bastar para resolver todo el bosque correspondiente.

j. DNSSEC

A partir de Windows Server 2008 R2 y Windows Server 2012, es posible aumentar la


fiabilidad de la informacin ofrecida y recibida por el servicio DNS. La condicin principal
para utilizad DNSSEC es disponer de, al menos, un servidor Windows Server 2008 R2 con
el rol DNS instalado. El servidor no tiene por qu formar parte, necesariamente, de Active
Directory. En cambio, si la zona DNS que se quiere firmar est integrada en Active
Directory, entonces todos los servidores DNS del dominio o del bosque que gestionan esta
zona DNS deben tener instalado, como mnimo, un sistema operativo Windows Server
2008 R2.

DNSSEC permite autentificar la informacin DNS. Las zonas pueden firmarse


digitalmente. Esta firma se enva a los clientes bajo la forma de registros de recursos desde
los servidores que gestionan estas zonas. El cliente puede, a continuacin, validar la
informacin como autntica desde los servidores DNS firmados. DNSSEC impide, as,
ataques de tipo Man in the Middle que se basan, entre otros, en corromper los registros en
cach de un servidor DNS para redirigir a los usuarios hacia direcciones IP controladas por
el atacante.

El nmero de DNSSEC de Windows 2008 estaba muy limitado y se basaba en tres tipos de
registro:

KEY: este registro contiene la clave pblica indicada en la zona DNS del dominio.
Esta clave puede corresponderse con un servidor, la zona u otra entidad. Los
registros KEY se autentifican mediante registros de tipo SIG.

NXT: este registro permite indicar el prximo registro firmado, si existe.


SIG: este registro contiene la firma digital de una zona o parte de la zona para
autentificar un recurso de un tipo concreto.

La implementacin DNSSEC de Windows 2008 no permita ni gestionar ni verificar la


informacin transmitida.

La norma utilizada actualmente por DNSSEC consiste en cuatro nuevos registros de


recursos:

DNSKEY: registro de una clave DNSSEC.


RRSIG: firma de los RR existentes con DNSSEC.
NSEC: Next SEC, firma de los RR inexistentes con DNSSEC.
DS: firma de las delegaciones de zona en DNSSEC.

Como con Windows Server 2008 R2, Windows Server 2012 puede no solo gestionar las
zonas firmadas, sino tambin recibir informacin firmada, validarla y transmitirla a sus
clientes. Sin embargo, DNSSEC puede configurarse de forma mucho ms sencilla,
directamente mediante la interfaz de administracin grfica.

He aqu las distintas etapas a seguir para implementar DNSSEC:

Verifique bien las condiciones de uso de DNSSEC en los puntos importantes que se
indican al final del procedimiento.

En este ejemplo, se dota de seguridad a una zona sencilla llamada MiEmpresa.es, esttica
y pblica, que contiene dos registros MiSitioWeb (de tipo A) y www (de tipo CNAME).

Preste atencin, el procedimiento es el mismo tanto si la zona DNS se integra con Active
Directory como si no. Sin embargo, la firma de la zona bloquea la zona, que ya no
podremos transformar.

La primera etapa consiste en autorizar DNSSEC sobre el servidor DNS.

DNSSEC est autorizado por defecto en Windows Server 2012. He aqu el comando que
permite verificar esto sobre el servidor DNS seleccionado:

Get-DnsServer -Computername DC2012 | FindStr /I "Enablednssec"


EnableDnsSec True

Si fuera necesario, utilice el siguiente comando de activacin (por lnea de comandos):


DnsCmd /config /EnableDnsSec 1

Esta activacin de DNSSEC se corresponde con la entrada Habilitar validacin DNSSEC


en las opciones avanzadas del servidor DNS.

Seleccione la zona que desea firmar y haga clic con el botn derecho para desplegar el
men que contiene la opcin DNSSEC.
Seleccione la opcin Firmar la zona y haga clic en Siguiente.
Configure y distribuya los puntos de validacin de DNSSEC.

Configure la clave KSK.


Agregue una clave de tipo KSK haciendo clic en Agregar.
Modifique los parmetros del certificado.

Se recomienda seleccionar una encriptacin de tipo NSEC3, que impide recorrer y


descubrir toda la zona.

La clave KSK se agrega a la lista, haga clic en Siguiente para continuar.


Haga clic en Agregar para crear una clave de zona.
Seleccione, de nuevo, el algoritmo NSEC3 y, a continuacin, haga clic en Siguiente en la
lista de claves de la zona.
Haga clic en Siguiente.

Seleccione la distribucin y la actualizacin de los anclajes de veracidad a nivel del


dominio y, a continuacin, haga clic en Siguiente.
Haga clic en Siguiente.

Haga clic en Siguiente para aprobar las modificaciones aportadas.


Haga clic en Finalizar.
Refresque la visualizacin haciendo pulsando la tecla [F5].
La zona MiEmpresa.es est, ahora, firmada.

Si la zona no est integrada en Active Directory, o si los anclajes de veracidad no aparecen,


es posible importar las claves DNSKEY desde el servidor DNS que ha servido para firmar
la zona en todos los servidores DNS que pudieran necesitarlo.

Seleccione el contenedor Puntos de confianza y, a continuacin, Importar. Seleccione


DNSKEY en la herramienta de administracin DNS.
Indique el archivo Keyset correspondiente a la zona DNS deseada.

Verifique la integracin de los certificados de tipo DNSKEY en la visualizacin de la


herramienta de administracin.

Preste atencin, esta configuracin no debe realizarse sobre el servidor primario, sino,
nicamente, sobre los dems servidores DNS que reciban las consultas para esta zona.

Si la zona est integrada y el servidor DNS es controlador de dominio, esta operacin slo
debe realizarse una nica vez para todo el bosque.

Verifique que la resolucin de la zona especial .trustanchors funciona para la zona que ha
firmado mediante el siguiente comando PowerShell.

resolve-dnsname -name MiEmpresa.Es.trustanchors -type dnskey -server


dc2012
Name Type TTL Section Flags Protocol Algorithm
Key
---- ---- --- ------- ----- -------- --------- -
--
MiEmpresa.Es.trustanchors DNSKEY 3600 Answer 257 DNSSEC
7
{3, 1, 0, 1...}
MiEmpresa.Es.trustanchors DNSKEY 3600 Answer 257 DNSSEC
7
{3, 1, 0, 1...}

Firmar una zona DNS integrada en Active Directory

El procedimiento es muy similar al anterior.

Durante la instalacin, el asistente pregunta si el servidor DNS en curso debe convertirse en


el maestro de claves.

Seleccione el servidor que va a actualizar las claves de la zona.

La nica diferencia es que los puntos de confianza aparecen de forma inmediata en el


contenedor correspondiente.
Los nuevos registros creados en la zona estn dotados, automticamente, de una
nueva clave.

Configuracin de servidores DNS integrados en Active Directory

Idealmente, si los servidores DNS son controladores de dominio, las directivas se aplican
directamente sobre la unidad organizativa de los controladores de dominio. Adems, una
unidad organizativa puede utilizarse para todos los servidores DNS miembros.

Los certificados que utilizan los servidores DNS integrados en Active Directory pueden,
tambin, entregarse de forma automtica a travs de una entidad emisora de certificados
interna utilizando el modelo Directory Service Email Replication para crear una nueva
plantilla que incluya el identificador del objeto 1.3.6.1.4.1.311.64.1.1.

Se aplica una configuracin particular para que el protocolo DNS pueda utilizarse de forma
annima y autentificada, con el objetivo de validar los certificados.

Configuracin de los clientes de DNSSEC

Las estaciones o servidores miembros previstos para utilizar DNSSEC deben estar
configurados para utilizar una NRPT (Name Resolution Policy Table), es decir, una tabla
que incluye una directiva de resolucin de nombres.

Es posible crear una directiva de grupo para las mquinas miembros. Las dems se
configuran directamente en las claves de registro.

La directiva de grupo consiste en un conjunto de reglas que se aplican a la totalidad o a una


parte de la zona correspondiente. Se puede configurar en Configuracin del equipo -
Directivas - Configuracin de Windows - Directiva de resolucin de nombres.
Cada regla puede aplicarse a distintas partes (configuracin de las distintas pestaas
DNSSEC, Configuracin DNS..., Servidor DNS genrico, Codificacin) segn los
criterios de la siguiente tabla:

Con cada regla, haga clic en el botn Crear para agregarla a la tabla de la directiva.
He aqu las distintas reglas que pueden habilitarse mediante esta directiva:

El prefijo se corresponde con el nombre de la mquina: MiSitioWeb.


El sufijo se corresponde con el nombre del dominio: MiEmpresa.es.
El nombre completo es la combinacin del prefijo y del sufijo:
MiSitioWeb.MiEmpresa.es.
La subred (IPv4) con aspecto 172.16.1.1/16 permite securizar la bsqueda a partir
de la direccin IP para la zona de bsqueda inversa: 16.172.in-addr.arpa.
La subred (IPv6) realiza esta misma operacin para IPv6.

Los botones Actualizar, Crear, Eliminar, y tambin Eliminar regla, Editar regla
permiten agregar, modificar o eliminar el conjunto de reglas de la lista asociada a la
directiva.

El botn Configuracin de directiva global avanzada permite acceder a las opciones


complementarias que indican cmo debe funcionar la resolucin de nombres DNS segn la
ubicacin de red, los fallos que se produzcan en las consultas y la resolucin de las mismas.
Para aquellas mquinas que no pertenezcan al dominio, es posible configurar la tabla NRPT
en la directiva local. Si se desea, es posible elaborar un script manual para aplicar esta
directiva. Basta, para ello, con exportar la clave
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient\DnsPolicy-Config en un
archivo NRPT.REG mediante la herramienta REGEDIT y, a continuacin, aplicarlo
mediante el comando REGEDIT /S NRPT.REG.

Hay varios puntos importantes que cabe tener en cuenta a la hora de utilizar DNSSEC:

Incluso si Windows Server 2012 incluye, ahora, una actualizacin (llamada


RollOver) automtica de los certificados para las zonas integradas en Active
Directory, es posible, aunque no recomendable, habilitar las actualizaciones
dinmicas sobre las zonas protegidas mediante DNSSEC.
Este tipo de zona la utilizarn, con mayor frecuencia, las races del bosque o las
zonas que se accedan a travs de Internet.

La renovacin de claves: el uso de claves seguras mediante certificados supone


configurar y verificar el mecanismo de renovacin regular de claves.
A diferencia de Windows Server 2008 R2, es posible agregar o eliminar registros en
cualquier momento y ya no requiere firmar de nuevo la zona. No es necesario
ningn certificado nuevo.
La seguridad que provee DNSSEC slo funciona con sistemas que tengan un cliente
DNS compatible y con sistemas que ejecuten Windows 7, Windows Server 2008 R2
y versiones superiores.

k. Administracin de DNS mediante PowerShell

PowerShell incluye numerosos comandos que permiten facilitar el conjunto de la


administracin del rol DNS.

Utilice el siguiente comando para obtener la lista de todos los comandos posibles.

Get-Command -Module DNSserver

Los comandos permiten crear, modificar y eliminar zonas, registros, as como configurar la
prctica totalidad de los parmetros de un servidor DNS, incluido DNSSEC.

He aqu la lista de comandos:

Expo Impo Clea Convert Enabl Disab


DnsServer Add Set Get Remove Invoke
rt rt r To e le
X X
Cache X X X
Conditiona
l
X
Forwarder
Zone X
Diagnostic
s X X
Directory
X
Partition X X
DnsSec
PublicKey X
DnsSecZo
ne Setting X X
DsSetting X X
EDns X X
Forwarder X X X X
Global
NameZone X X
Global-
Query-
BlockList X X
Key-
Storage-
Provider
Primary
X
Zone X X
Recursion X X
Resource-
X
Record X
Resource-
X
RecordA
Resource-
Record- X
AAAA
Resource-
Record-
Aging X
Resource-
Record- X
CName
Resource-
Record- X
DnsKey
Resource-
X
RecordDS X
Resource-
RecordM X
X
Resource-
X
RecordPtr
RootHint X X X X X
Scavengin
g X X
Secondary X X X
Zone
Setting X X
SigningKe
X
y X X X
SigningKe
y-Rollover X X X
Statistics X X
StubZone X X
Trust
Anchor X X X X X
TrustPoint X
Zone X X X X
ZoneAgin
g X X
Zone
Delegation X X X X
ZoneKey-
MasterRol
e
ZoneSign X
Zone
Transfer
Zone
Unsign X
Regist Res Restau Resu Suspen Syn Unregiste Updat
DnsServer Show Start Test
er et re me d c r e
X
Cache X
Condition
al
Forwarder
Zone
Diagnosti
cs
Directory
Partition X X
DnsSec
PublicKey
DnsSecZo X
ne Setting
DsSetting
EDns
Forwarder
Global
NameZon
e
Global-
Query-
BlockList
Key-
Storage-
Provider X
Primary
Zone X
Recursion
Resource-
Record
Resource-
RecordA
Resource-
Record-
AAAA
Resource-
Record-
Aging
Resource-
Record-
CName
Resource-
Record-
DnsKey
Resource-
RecordDS
Resource-
RecordM
X
Resource-
RecordPtr
RootHint
Scavengin
g X
Secondary
Zone X
Setting
SigningKe
y
SigningKe
y-
Rollover
Statistics
StubZone
Trust
Anchor
TrustPoint X
Zone X X X
ZoneAgin
g
Zone
Delegatio
n
ZoneKey-
MasterRol
e X
ZoneSign
Zone
Transfer X
Zone
Unsign
He aqu un enlace que le permite acceder a numerosos ejemplos de scripts PowerShell
adaptados al rol DNS: http://gallery.technet.microsoft.com/scriptcenter/DNS-Server-
PowerShell-afc2142b

l. Mejoras aportadas por la versin R2 de Windows 2012

Las estadsticas de DNS estn mucho ms detalladas:

El comando Get-DnsServerStatistics incluye una opcin -ZoneName que permite


obtener las estadsticas especficas de esta zona.
A nivel del servidor, las estadsticas incluyen la siguiente lista de secciones:
CacheStatistics, DatabaseStatistics, DnssecStatistics, DsStatistics, ErrorStatistics,
MasterStatistics, MemoryStatistics, NetBiosStatistics, PacketStatistics,
PrivateStatistics, Query2Statistics, QueryStatistics, RecordStatistics,
RecursionStatistics, SecondaryStatistics, SecurityStatistics, TimeoutStatistics,
TimeStatistics, UpdateStatistics y WinsStatistics.

El soporte de zonas protegidas mediante DNSSEC se ve mejorada:

El rol Key Master es, ahora, posible de configurar en las zonas multimaestro
gestionadas en los archivos (no integradas en Active Directory).
Por otro lado, todas las tareas de administracin pueden realizarse en el servidor
KeyMaster sin impactar a los dems DNS primarios que no son KeyMaster. Este
aislamiento permite realizar todas las operaciones de generacin de claves,
almacenamiento, reemplazo y eliminacin mientras que los dems servidores siguen
firmados en la zona mediante estas claves.

Se han agregado o extendido algunos comandos PowerShell:

El comando Step-DnsServerSigningKeyRollover fuerza la renovacin de KSK


mientras se espera una actualizacin de una firma de delegacin.
Se ha agregado la opcin -root al comando add-DnsServerTrustAnchor para
recuperar los puntos de anclaje a partir de la URL indicada en la propiedad
RootTrustAnchorsURL. Observe que el comando Retrieve-
DnsServerRootTrustAnchor es un alias.
La propiedad RootTrustAnchorURL forma parte de los elementos devueltos por
los comandos Get-DnsServerSetting y Set-DnsServerSetting.

2. La resolucin WINS
En teora, esta resolucin no debera utilizarse ms, salvo para integrar dominios antiguos
NT4. En la prctica, suele ser necesario (incluso muy prctico) para ciertas aplicaciones
heredades (Microsoft o no), y tambin para aplicaciones recientes tales como Exchange
2007 (en casos muy particulares).

Cuando se realiza una migracin o cuando existe alguna duda sobre el funcionamiento de
ciertas aplicaciones, es habitual mantener uno o dos servidores WINS en el sitio central.
Las estaciones y servidores que utilizan este tipo de aplicacin apuntarn, directamente,
sobre este servidor WINS. De este modo, es intil mantener y replicar los servidores WINS
por toda la red.

a. Definicin

WINS (Windows Internet Name Service) es un servicio basado en una base de datos Jet
que permite encontrar la direccin IP asociada a un nombre NetBIOS, y viceversa.
A diferencia de DNS, WINS mantiene informacin sobre los grupos de mquinas (llamados
grupos de trabajo cuando los ordenadores no pertenecen a un dominio), y tambin sobre los
usuarios conectados a dichas mquinas.

b. Instalacin

La instalacin de WINS se realiza agregando la funcionalidad correspondiente desde


PowerShell:

Install-WindowsFeature WINS

En este caso, el componente de administracin no se instala automticamente y puede


agregarse mediante el componente RSAT-WINS:

Install-WindowsFeature RSAT-WINS

En cualquier caso, es posible, tambin, agregar todas estas funcionalidades mediante el


Administrador del servidor.

c. Configuracin

Salvo en casos excepcionales en los que hay que informar manualmente un nombre
(llamado esttico) y una direccin IP, no es necesario configurar un servidor WINS, que
recibe dinmicamente toda la informacin necesaria desde los servidores y clientes que se
inscriben, de forma automtica, en la base de datos.

La nica particularidad consiste en replicar la base de datos entre dos servidores WINS, o
ms, dependiendo del caso.

d. La replicacin entre servidores WINS

La replicacin WINS se basa en dos operaciones: la emisin y la extraccin.

Para que una replicacin WINS funcione en un sentido, es preciso que el servidor WINS
est configurado para emitir las modificaciones que recibe hacia otro servidor WINS,
aunque tambin es necesario que el otro servidor WINS est configurado para recuperar la
informacin que proviene del servidor emisor en cuestin.

Para que la replicacin funcione bien en ambos sentidos entre dos servidores WINS, es
preciso que cada servidor est configurado como Emisin/Extraccin con el servidor
remoto.

e. Cundo y por qu utilizar WINS?

Preste atencin, ya no hay que ver a WINS como una solucin de resolucin completa. A
da de hoy, DNS resulta imprescindible.
WINS es, simplemente, una solucin que permite resolver problemas marginales de
funcionamiento de las aplicaciones o de acceso que sera demasiado complejo resolver de
otro modo.

El caso ms comn es una aplicacin que utilice, nicamente, nombres de servidores


sencillos y relativamente cortos. Es el caso, por ejemplo, de algunas funcionalidades de
Exchange.

La instalacin de un servicio WINS nico, centralizado, que utilizarn nicamente


algunas estaciones o servidores que tengan una verdadera necesidad del mismo responde
perfectamente a este tipo de problemtica.

Implementar la cuarentena de red


La cuarentena de red no es una verdadera solucin de seguridad, sino un elemento cuyo
objetivo es mantener en un buen estado de mantenimiento los elementos presentes en la
red.

Este componente NAP (Network Access Protection) est, todava, presente aunque
debera considerarse como obsoleto a partir de Windows Server 2012 R2. Microsoft
recomienda el uso de DirectAccess, que permite gestionar el equipo conectado "como" las
dems mquinas de la red (AV, WSUS...). La solucin aportada por DirectAccess es, por
tanto, algo diferente al control de conformidad que proporciona el componente NAP.

1. Preparar el entorno comn para los distintos tipos de cuarentena

El uso del cliente NAP se basa en el uso de un servidor NPS (Network Policy Server), es
decir, un servidor de directivas de red, que permite definir las restricciones deseadas.

Es, por lo tanto, necesario instalar y configurar este rol a partir del comando PowerShell:

Install-WindowsFeature NPAS-Policy-Server

La herramienta de administracin Servidor NPS (Network Policy Server) no se instala


automticamente, y debemos agregarla.

Install-WindowsFeature RSAT-NPAS

Una vez terminada la instalacin, es necesario definir algunos puntos para las directivas
funcionales:

Un sistema de validacin (SHV), es decir, pruebas que deben realizarse para


verificar un sistema.
Windows Server 2008 R2 y Windows Server 2012 autorizan, ahora, varias
configuraciones diferentes del sistema de validacin. Una vez configurada la
directiva de mantenimiento de la integridad del sistema, es posible seleccionar una
de las configuraciones. Cada directiva de red puede configurarse para utilizar una o
varias directivas de mantenimiento.

Un grupo de servidores de remedio: son los servidores que vern aquellas


estaciones que no cumplan con la conformidad para poder actualizarse y cumplir
con la poltica de seguridad configurada.
Las directivas de mantenimiento, que se definen como SHVs, y sern
interpretadas.
Directivas de red.

Es posible descargar el kit de integracin ForeFront for NAP (gratuito) para disponer de
un sistema de validacin complementario. Deben cargarse varios mdulos en los equipos
en funcin del tipo de procesador (32 o 64 bits), el mdulo SHV sobre los servidores NPS,
el mdulo SHA sobre los clientes que se quiere validar (http://www.microsoft.com/en-
us/download/details.aspx?id=15887).

La primera etapa consiste en definir las pruebas que se quieren realizar sobre los equipos
que disponen de un cliente NAP, es decir, Windows XP SP3, Windows Vista o superior.

En la consola de administracin del servidor NPS, NAP, seleccione el contenedor SHV.

Configure, a continuacin, el sistema de validacin provisto por defecto llamado


Validador de mantenimiento de seguridad de Windows y, a continuacin, haga clic en
Configuracin. El contenedor Configuracin contiene una configuracin llamada
Configuracin predeterminada que podemos utilizar. Es posible, tambin, definir nuevas
configuraciones.

En el contenedor Cdigos de error, se asume que si los programas de validacin de


integridad no responden o no pueden responder, el cliente se clasificar como No
compatible. Aunque, para cada situacin, es posible adaptar su estado mediante el men
Propiedades de la carpeta Cdigos de error.

Seleccione la configuracin que desea personalizar y haga doble clic para acceder a las
distintas propiedades que se comprobarn. Observe que existe una pestaa para Windows
XP y otra para Windows Vista y versiones superiores.

En el marco de esta implementacin de prueba, utilizaremos una configuracin simplificada


basada en la existencia de un firewall.
La segunda etapa consiste en definir un grupo que contenga los servidores autorizados para
configurar la conformidad con las normas definidas en los grupos de servidores de
actualizaciones.
Las mquinas no conformes pueden conectarse con los servidores indicados si estn
autorizadas las actualizaciones automticas (que sirven como remedio) en la directiva de
red.

La tercera etapa consiste en crear al menos dos directivas de mantenimiento diferentes en


las directivas de mantenimiento.

Una para los equipos conformes:

Slo aquellos validadores habilitados, es decir, los programas de mantenimiento instalados


y activos, forman parte de la regla de conformidad.
Si se crean varias configuraciones, seleccione aquella configuracin que le interesa, entre
las propuestas y configuradas anteriormente.

Haga clic en Aceptar para terminar con esta primera directiva.

Una para los equipos no conformes:

Seleccione el mismo validador que para una mquina conforme, pero defina la regla como
El cliente no supera ninguna de las comprobaciones de SHV.
La cuarta etapa consiste en la creacin de directivas de red.

Creacin de la directiva de red para los equipos conformes:

Haga clic con el botn derecho en Directivas de red y, a continuacin, en Nuevo en el


men.

Llame a la directiva Acceso completo para los equipos conformes, y deje el tipo de red
como No especificada.

No especificada significa que la directiva se aplicar sea cual sea el tipo de acceso de red
utilizado.

En la pantalla Especificar condiciones, es obligatorio precisar sobre qu elementos se


aplicar la directiva, haga clic en Agregar.

Es posible aplicar mltiples condiciones, seleccione Directivas de manteni-miento.


Seleccione, en la lista, la opcin Equipo conforme, y pase a la siguiente pantalla.

Indique Acceso concedido, lo cual resulta evidente para las mquinas conformes!

No se requiere ninguna autenticacin para este tipo de cuarentena, seleccione la opcin


Realizar slo comprobacin de mantenimiento del equipo.

En la pantalla Configurar restricciones, no hay que modificar ningn valor.

En la pantalla Configurar opciones, se trata de aplicar una configuracin (modificacin)


del cliente de red. Aqu, en la seccin NAP, se conserva el valor Permitir acceso completo
a la red.

Haga clic en Finalizar en la pantalla final que resume los valores de la directiva.

Creacin de la directiva de red para los equipos no conformes:

Haga clic con el botn derecho en Directivas de red y, a continuacin, seleccione Nueva
en el men.
Llame a la directiva Acceso completo para los equipos no conformes, deje el tipo de red
en No especificada como hizo con las mquinas conformes.

En la pantalla Especificar condiciones, debe precisar sobre qu equipos se aplica esta


directiva, haga clic en Agregar.

Es posible aplicar numerosas condiciones, seleccione Directivas de mantenimiento y, a


continuacin, seleccione la directiva Mquina no conforme de la lista. Pase a la siguiente
pantalla.

Indique Acceso concedido. En efecto, incluso para aquellas mquinas no conformes, se


trata de una regla que va a autorizar un acceso a la red, aunque slo a aquellos elementos
autorizados!

No se requiere ninguna autenticacin para este tipo de cuarentena, seleccione Realizar


slo comprobacin de mantenimiento del equipo como con las mquinas conformes.

En la pantalla Configurar restricciones, no modifique ningn valor.

En la pantalla Configurar opciones, se trata de aplicar una configuracin (modificacin)


del cliente de red. Aqu, en la seccin NAP, seleccione Permitir acceso limitado.

La opcin Permitir acceso limitado no debe aplicarse si no estamos seguros de los efectos
de la directiva. Es, a menudo, preferible autorizar un acceso completo en primer lugar y
utilizar el modo informe para hacerse una idea del conjunto de equipos que se vern
impactados.

Si queremos autorizar las actualizaciones automticas (y, por tanto, habilitar los servidores
de conformidad), debemos marcar la opcin Habilitar correccin automtica de equipos
cliente.
Haga clic en Configurar para especificar un Grupo de servidores de actualizaciones as
como la direccin de una pgina Web opcional que le d instrucciones al usuario.
En los clientes restantes, cada servidor indicado en el grupo dispone de su propia ruta con
una mscara 255.255.255.255. Lgicamente, los dems servidores no estn accesibles.

Haga clic en Finalizar en la pantalla final que resume el conjunto de parmetros de la


directiva.

Observe que, segn el reparto de roles en los distintos servidores autorizados, las
actualizaciones automticas pueden requerir un acceso completo.

El cliente Agente de Proteccin de acceso a redes debe estar habilitado sobre los puestos
cliente, es decir, el servicio debe estar configurado con arranque automtico.

El Centro de seguridad debe estar habilitado, algo que puede llevarse a cabo mediante una
directiva.

La consola del cliente NAP (NAPCLCFG.MSC) permite verificar las restricciones


impuestas.

El comando Napstat permite verificar la conformidad respecto a las reglas establecidas.


2. Implementar NAP mediante DHCP

Una vez realizadas las preparaciones previas descritas anteriormente, quedan pocas etapas
para que NAP funcione sobre DHCP.

El mbito DHCP debe, en primer lugar, estar habilitado para utilizar la seguridad basada en
NAP.

En las propiedades del mbito, encontrar la pestaa Proteccin de acceso a redes.

Las mquinas que cumplen con los requisitos previos utilizan las opciones que ha
configurado en las Opciones estndar de DHCP (Clase de proveedor), para la Clase de
usuario predeterminada.

El perfil predeterminado de proteccin de acceso a redes se corresponde con la clase de


usuario Clase de proteccin de acceso a red predeterminada que est accesible en la
configuracin avanzada de las propiedades del mbito. Las mquinas no conformes
utilizarn las opciones definidas a nivel de esta clase.

Slo es necesario definir las opciones deseadas, por ejemplo:


Un servidor DNS especfico o que no permita alcanzar o resolver ciertos nombres.
Una zona DNS ficticia o no, pero especfica para identificar rpidamente las
mquinas no conformes.
No informar ningn router, para impedir a la mquina acceder a secciones de la red
que se desean proteger.

Aparecen las opciones concretas con una clase de red especfica.

Ahora, podemos habilitar la directiva de cuarentena de DHCP, bien utilizando una


directiva, o bien directamente en la herramienta de administracin del cliente NAP que
podemos abrir mediante el comando NAPCLCFG.MSC.

En caso de que se detenga el servicio de Firewall de Windows, la estacin de trabajo no


estar conforme con las reglas definidas. Si estn autorizadas las actualizaciones
automticas, y el servidor de resolucin de problemas es accesible, las reparaciones se
realizan de manera inmediata. En nuestro caso, el reinicio inmediato del servicio Firewall
permite devolver a la mquina a la conformidad.
Utilice el comando napstat.exe para verificar el estado de conformidad de las estaciones
respecto a las directivas en uso. Existe un icono situado en el rea de notificacin que
permanece ah hasta que cerremos la herramienta.

La cuarentena de red basada en DHCP es la ms dbil de las protecciones posibles, y es


fcilmente eludible por parte de cualquier usuario que tenga permisos de administrador
local sobre su equipo.

3. Implementacin de NAP mediante IPsec


a. Instalacin del servicio Autoridad HRA

Esta seguridad requiere la instalacin del servicio Autoridad HRA (Health Registration
Authority) a travs del siguiente comando PowerShell:

Install-WindowsFeature NPAS-Health

Es preciso instalar una entidad emisora de certificados de tipo Entreprise si no existe


ningn otro sistema de distribucin de claves (PKI). El uso del rol Microsoft
correspondiente simplifica enormemente la tarea. Se recomienda encarecidamente utilizar
la interfaz grfica y, a continuacin, utilizar el asistente de creacin del certificado raz.

Para limitar la aplicacin de la cuarentena de red basada en IPsec, es prudente crear grupos
de equipos para cada categora.

Equipos clientes de NAP IPsec: es decir, todas aquellas estaciones que deban
cumplir con las normas de seguridad (CLIENTES-NAP).
Aquellos servidores llamados "de frontera" (Boundary) que reciben,
automticamente, un certificado de salud y que sirven para autentificar a los
clientes. Los controladores de dominio, los servidores DNS y los servidores de
reparacin deben formar parte de este grupo (SERVIDORES-FRONTERA).
Los equipos protegidos por NAP IPsec: reciben, tambin, automticamente un
certificado y slo autorizan la conexin desde las mquinas autentificadas
(SERVIDORES-NAP).

Cada mquina (estacin o servidor) debe poder recibir un certificado. Ahora bien, el
certificado emitido por defecto a las estaciones no contiene la directiva de autenticacin
adecuada.

Cree un nuevo certificado Autenticacin de estacin de trabajo duplicando el modelo


existente a partir de la consola de Plantillas de certificado que podemos abrir
directamente mediante el comando certtmpl.msc.

Tras la duplicacin, seleccione la compatibilidad Windows 2003 o Windows 2008. En


cualquier caso, es necesario disponer de una entidad emisora de certificados de tipo
Enterprise para que la distribucin de certificados sea automtica.
Aproveche para modificar algunos parmetros, tales como la duracin de la validez de los
certificados.

D nombre al certificado, modifique el periodo de validez y publquelo en Active


Directory.

Los servidores implicados en la validacin tienen, efectivamente, un certificado vlido


durante dos aos. En cambio, los equipos que soliciten la validacin obtendrn un
certificado con un tiempo de vida de cuatro horas.

En la pestaa Extensiones, seleccione Directivas de aplicacin y agregue la directiva


Autenticacin del agente SHA (System Health).

En la pestaa Seguridad, agregue los grupos de servidores de tipo frontera y los servidores
protegidos, y asigne los permisos Inscribirse e Inscripcin automtica.
En la consola Entidad emisora de certificados, en el contenedor de las plantillas de
certificado, haga clic con el botn derecho y seleccione Plantilla de certificado que se va
a emitir y, a continuacin, la plantilla Autenticacin de sistemas sanos.

Como la validacin de los clientes requiere, de manera regular, certificados de buena


salud, es importante verificar que el mdulo de directiva (sobre el certificado raz) est
configurado a Emitir certificado automticamente.

Los clientes deben configurarse para solicitar automticamente los certificados. En la


herramienta GPMC (Administracin de directivas de grupo), configure la peticin de
certificados automtica en la Default Domain Policy. Este parmetro se encuentra en la
seccin Configuracin de Windows - Configuracin de seguridad - Directivas de clave
pblica.

Haga clic con el botn derecho en Configuracin del equipo - Configuracin de


Windows - Configuracin de seguridad - Directivas de clave pblica - Configuracin
de la solicitud de certificados automtica - en la directiva Cliente de servicios de
servidor de certificados - Inscripcin automtica.

Los parmetros de inscripcin y renovacin automtica estn habilitados por defecto en las
Propiedades.

La cuenta SERVICIO DE RED (si la CA y la HRA se encuentran en la misma mquina) o


el equipo sobre el que se encuentra instalado el sistema de validacin (HRA) deben obtener
los siguientes permisos:
El siguiente comando permite al sistema validador solicitar los certificados con una
duracin distinta a la validez de dos aos definida e impuesta en el modelo.

certutil -setreg policy\editflags +EditF_attributeEndDate

b. Configuracin del sistema de validacin (HRA)

En el men Inicio, busque y ejecute la herramienta Autoridad HRA.

Es posible, tambin, abrir una consola MMC y agregar el componente Autoridad HRA
(Health Registration Authority).

Agregue la entidad emisora de certificados a partir de Active Directory.

Modifique las propiedades de la entidad emisora de certificados, en particular para validar


la entidad emisora de certificados de la empresa, y las plantillas de certificado que se van a
utilizar.
En la herramienta de administracin NPS, debe estar deshabilitada la reparacin
automtica. Esto puede configurarse en los parmetros del validador de mantenimiento del
sistema dentro de la configuracin por defecto. La opcin Configuracin de
Actualizaciones automticas debe estar desmarcada.

En el puesto cliente, para habilitar IPsec, es necesario hacerlo desde la lnea de comandos
mediante la siguiente instruccin:

netsh nap client set enforcement ID =79619

Cada cumplimiento (Enforcement) dispone de un identificador especfico:

DHCP = 79617
RAS = 79618
IPsec = 79619
TS Gateway = 79621
EAP = 79623

Observe que si el equipo no est conforme, el certificado que reciba se ver invalidado
inmediatamente sin esperar las cuatro horas.
De momento, no se impone ningn cumplimiento salvo el hecho de disponer de un
certificado. Estos cumplimientos los aportan tres directivas basadas en los grupos de
seguridad creados al principio.

c. Definicin de las reglas de seguridad de conexin

Estas directivas pueden definirse en la raz del dominio siempre que se implemente un
filtrado sobre los grupos de seguridad.

Los servidores frontera deben solicitar, pero no imponer, certificados vlidos. Los
servidores protegidos y los puestos cliente deben utilizar certificados, aunque es preferible
utilizar directivas diferentes para asociar una configuracin especfica para los clientes
(URL de configuracin HRA).

He aqu la directiva que debe implementar sobre los servidores frontera (Boundary):

En Configuracin del equipo - Directivas - Configuracin de Windows -


Configuracin de seguridad - Firewall de Windows con seguridad avanzada - Firewall
de Windows con seguridad avanzada - LDAP... cree una nueva regla de seguridad en
Reglas de seguridad de conexin, y seleccione Aislamiento.
Seleccione Solicitar autenticacin para conexiones entrantes y salientes y, a
continuacin, el mtodo de autenticacin modo avanzado.

Haga clic en Personalizar.

Haga clic en Agregar en la seccin Primera autenticacin.


Seleccione el modo Certificado de equipo y, a continuacin, Examinar para indicar su
entidad emisora de certificados. Haga clic en Aceptar solo certificados de
mantenimiento.
Haga clic en Aceptar para terminar de personalizar los modos de autenticacin y, a
continuacin, en Siguiente.

Deje marcados todos los perfiles que se aplicarn: Dominio, Privado, Pblico.

D nombre a la regla REGLA NAP IPSEC Frontera.

En la pestaa mbito de la directiva, agregue un filtrado de seguridad para el grupo


Servidores IPSEC de Frontera (SERVIDORES-FRONTERA) y elimine el grupo por
defecto Usuarios autenticados.

He aqu la nueva directiva que debe implementarse en los clientes y los servidores
protegidos.

Aunque la configuracin sea idntica, cree dos directivas independientes para poder
habilitar y modificar la configuracin segn las necesidades.

Utilice el mismo procedimiento que con los servidores frontera, seleccionando la opcin
Requerir autenticacin para las conexiones entrantes y solicitar autenticacin para las
conexiones salientes, en lugar de Solicitar.
Indique su entidad emisora de certificados de dominio, y marque la opcin Slo aceptar
certificados de mantenimiento.

Deje marcados todos los perfiles que se aplicarn: Dominio, Privado, Pblico.

D nombre a esta regla REGLA NAP IPSEC Client.

En la pestaa mbito de la directiva, agregue un filtrado de seguridad para el grupo


Clientes IPSEC (CLIENTES-NAP).

Se crear una directiva idntica para los servidores que se quieren proteger.

Utilizando la instruccin ping -t sobre un servidor frontera o un servidor protegido, ser


posible verificar la autenticacin por certificado mediante la herramienta Firewall de
Windows con seguridad avanzada.

Se utiliza una asociacin de seguridad basada en los certificados para llevar a cabo la
comunicacin.

Efectivamente, esta es tan solo una posibilidad de implementacin de seguridad basada en


la cuarentena de IPsec. Sera prudente maquetar el conjunto de la red antes de implementar
dichos cambios sobre una red en produccin.

Preste atencin, el hecho de imponer una autenticacin hace que no sea posible conectarse
con mquinas que no tengan un certificado vlido o que no cumplan la directiva de
seguridad para los sistemas conformes.

4. Implementar NAP sobre 802.1x

802.1X estaba, hasta el momento, reservado principalmente a los puntos de acceso


inalmbricos.

Actualmente, NAP permite, tambin, utilizar fcilmente esta autenticacin directamente


sobre la red local. Esta implementacin supone el uso de RADIUS para procesar la
solicitud, y la creacin de una VLAN especfica mediante un switch que acepte VLAN.
Son necesarios, por tanto, tres elementos:

un servidor de autenticacin;
un agente de autenticacin (switch o punto de acceso inalmbrico) ;
el solicitante.

El cliente solicitante utiliza el protocolo EAP (EAP over LAN) para enviar la solicitud al
agente de autenticacin (Pass-Through). El agente Pass-Through puede, a continuacin,
consultar al servidor RADIUS para validar o no la conexin.

A partir de Windows Server 2008/2008 R2/2012, el servidor NPS remplaza la tecnologa


IAS, aunque sigue utilizando el protocolo RADIUS para comunicarse. Si los clientes
cumplen con la conformidad relativa a la seguridad demandada, se les asigna una VLAN
especfica o un filtrado por IP.

a) Configuracin del switch (o punto de acceso):

He aqu la configuracin de las distintas VLAN que deben configurarse en el switch (o


punto de acceso) para llevar a cabo nuestro ejemplo:

VLAN ID 1 es la VLAN por defecto.


VLAN ID 2 para las mquinas que no cumplen con la conformidad.
VLAN ID 3 para las mquinas conformes.

Es necesario deshabilitar la comunicacin inter-VLAN entre las VLAN 2 y 3.

Los puertos del switch utilizados para conectar el servidor NPS y los controladores de
dominio deben configurarse para no imponer la autenticacin 802.1X. Todas las solicitudes
de autenticacin del switch deben redirigirse hacia el servidor NPS.

b) En el bosque Active Directory, ser preciso tener una entidad emisora de certificados
raz de tipo Enterprise. El servidor NPS debe haber recibido un certificado de equipo y el
certificado raz deber agregarse a las principales entidades de confianza en todas las
mquinas.

Es posible crear un grupo de seguridad especfico llamado Clientes NAP 802.1X para los
clientes NAP 802.1X, con el objetivo de restringir la aplicacin de las directivas en las
mquinas que pertenezcan a este grupo.

La mayora de elementos (Controladores de dominio, Servidor NPS, Entidad emisora de


certificados, Administracin de directivas de grupo) pueden instalarse sobre el mismo
servidor, lo cual nos simplificar en gran medida la configuracin de las pruebas. Si los
sistemas de cuarentena anteriores se han probado con xito, todos los elementos necesarios
se encuentran ya instalados. En cambio, ser preferible, en primer lugar, eliminar o
deshabilitar las directivas de grupo y las directivas de red que ya estn configuradas.
c) Configuracin del servidor NPS como servidor de directivas de mantenimiento
(Health Policy Server):

Lo ms sencillo es utilizar el asistente de configuracin de NAP.

A partir de la raz (NPS Local):

Haga clic en Configurar NAP en la seccin Configuracin estndar.

En Mtodo de conexin de red, seleccione IEE 802.1X (cableada).

En los Clientes RADIUS, agregue la direccin IP o los switch RADIUS, as como el


secreto compartido que utilizar el cliente RADIUS.

En la pantalla Grupos de equipos y usuarios, no indique nada.

En lo relativo al mtodo de autenticacin, haga clic en Seleccionar, seleccione el


certificado (vlido) emitido por el servidor que hospeda NPS y valide el modo PEAP-MS-
CHAP v2.

A continuacin, debe configurar las dos redes locales virtuales (VLAN) tal y como se
indica a continuacin, haciendo clic en Configurar.

La VLAN de la red de organizacin que se obtiene modificando el atributo estndar:


Debe agregarse un atributo (tag) especfico:
La VLAN de la red restringida:
El atributo indicado Tunnel-Tag debe tener el valor 1.

En Definir directivas de mantenimiento de NAP, seleccione el sistema de validacin


deseado, es decir, Validador de mantenimiento de seguridad de Windows, en nuestro
caso.
Por defecto, el acceso completo a la red no est permitido para aquellos clientes no
conformes.

Todas las directivas se crean en la pantalla final haciendo clic en Finalizar.


d) Una vez finalizada la configuracin a travs del asistente, es interesante verificar cada
parmetro.

Para realizar pruebas, el validador de mantenimiento de seguridad de Windows est


configurado para verificar nicamente el arranque del servicio de firewall.
Las directivas de control de integridad (definir los validadores a utilizar).
Las directivas de solicitud de conexin (verifique el orden de ejecucin, observe
que la directiva NAP 802.1X slo se aplica a conexiones de tipo Ethernet).
Las directivas de red y, en particular, la directiva NAP 802.1X (cableada) No
compatible con NAP.

En efecto, tras la implementacin de directivas de red, es primordial considerar la


existencia de mquinas Unix, Linux, Mac u otros, que no sern compatibles con NAP.
Estas mquinas deben seguir funcionando y comunicndose en la red, bien a partir de
exclusiones, o bien a partir de reglas especficas.
e) Para aquellos clientes NAP declarados como conformes, es necesario que los clientes
tengan la configuracin adaptada. Para las mquinas integradas en el dominio, es lgico
utilizar directivas de grupo para forzar su correcta configuracin.

He aqu los principales puntos de esta directiva:

Inicie automticamente el servicio Agente de proteccin de acceso a redes.

Inicie automticamente el servicio de Configuracin automtica de redes cableadas.

Habilite el Cliente de aplicacin de cuarentena de EAP en la seccin Configuracin de


Windows- Configuracin de seguridad - Proteccin de acceso a redes - Configuracin
del cliente NAP - Clientes de cumplimiento.

Todos estos elementos pueden configurarse y automatizarse mediante una directiva.

Habilite el Centro de seguridad (solo equipos de dominio).

En Directivas de red cableada (IEEE 802.3), cree una directiva de red cableada con la
siguiente configuracin:
Haga clic en Propiedades y deje la opcin Verificar la identidad del servidor validando
el certificado marcada, as como el mtodo de autenticacin EAP-MSCHAP versin 2
por defecto.

Desmarque la opcin Habilitar reconexin rpida.

Marque la opcin Aplicar Proteccin de acceso a redes.

Si queremos restringir esta directiva a un grupo de equipos concreto, retire el grupo


Usuarios autenticados en la seccin Filtro de seguridad y agregue el grupo Clientes
NAP 802.1X que se ha creado al principio del procedimiento.

El botn Opciones avanzadas, en la pestaa Seguridad, permite acceder a una


configuracin avanzada de 802.1X.
Preste atencin, no olvide integrar los clientes en este grupo!

Observe que estos parmetros pueden tambin configurarse de manera manual en el equipo
de trabajo, a condicin de iniciar manualmente todos los servicios indicados en la directiva.

5. Conclusin

He aqu los resultados obtenidos con los distintos tipos de cuarentena.

Reglas Cliente correcto Cliente incorrecto


DHCP Direccin IP completa y acceso Rutas restringidas.
completo.
802.1X Acceso completo. Acceso a la VLAN restringida o a los
puertos autorizados.
IPsec Comunicacin con cualquier Los elementos de confianza rechazan las
elemento de confianza. conexiones de sistemas no seguros.
La mejor seguridad es la que aporta 802.1X, seguida de la que ofrece IPsec, siendo DHCP
una barrera fcilmente franqueable.

En cualquier caso, la cuarentena de red no supone una seguridad absoluta, aunque mejora
enormemente la seguridad global favoreciendo la uniformidad a nivel del conjunto de la
red.

Existen otros tipos de cuarentena, aunque no se aplican a la totalidad de la red: se trata de la


cuarentena VPN, Acceso Remoto o Escritorio remoto.

Una de las principales restricciones ligadas al uso de la cuarentena consiste en utilizar


Windows XP SP3, Windows Vista, o superior, e iniciar los servicios de proteccin de red
necesarios. No obstante, es importante destacar que existen numerosos fabricantes que
ofrecen productos compatibles con NAP y existen, en particular, clientes NAP para Linux y
Mac.

La consola IPAM
La instalacin de la funcionalidad IPAM (IP Address Management) tiene como objetivo
centralizar la administracin del direccionamiento IP utilizando por el conjunto de
elementos dependientes de la infraestructura de red de Microsoft.

La herramienta est basada en una base de datos que permite administrar el descubrimiento,
la supervisin y la auditora del direccionamiento. Esta base de datos conserva y registra la
informacin durante 3 aos a partir de criterios tales como las direcciones IP, los nombres
de las mquinas o de los usuarios. A partir de esta informacin centralizada y agregada, la
consola permitir modificar la configuracin DNS, DHCP de manera remota teniendo en
cuenta todos los elementos necesarios.

Las funcionalidades que se tienen en cuenta son:

DHCP
DNS
NPS

Esta consola no puede instalarse sobre un controlador de dominio. En cambio, s es posible


instalar la consola de administracin remota de IPAM sobre un controlador de dominio.

1. Ventajas de esta solucin

Supervisar y administrar el direccionamiento IP sobre una red de empresa es un elemento


crtico en la administracin de la red, conforme sta se va haciendo ms grande y compleja.

Muchos administradores utilizan, todava, tablas o bases de datos personalizadas para


realizar un seguimiento manual del lugar y el uso de las direcciones IP. Generalmente, esto
consume bastante tiempo y suele producir errores de tipo humano. El servidor IPAM es una
herramienta que trata de dar solucin, precisamente, a esta necesidad.

En trminos de planificacin, IPAM remplaza herramientas manuales y scripts.


Permite evitar anlisis costosos durante las expansiones o modificaciones del nivel
de actividad, o durante cambios de configuracin o de tecnologa.
IPAM provee una plataforma de gestin nica para la administracin de las
direcciones IP de la red. Permite optimizar el uso y las capacidades de los servicios
DHCP y DNS en un entorno multi-sitio.
IPAM permite trazar y prever el uso del conjunto de direcciones IP utilizadas. El
anlisis de la tendencia general permitir prever mejor ciertos incidentes.
La auditora realizada por IPAM ayuda a cubrir ciertas exigencias legales asociadas
a leyes tales como HIPAA y Sarbanes-Oxley, y provee informes que permiten
investigar y gestionar los cambios.

2. La arquitectura IPAM

Segn el tamao de la empresa y sus necesidades, el despliegue puede ser distribuido (un
servidor IPAM por sitio) o centralizado (un nico servidor para toda la empresa), o incluso
una combinacin de ambos. El lmite de cobertura de un servidor IPAM es el bosque del
que forma parte.

Cada servidor IPAM se configura para administrar un mbito especfico. El mbito puede
ser un dominio, un sitio y puede tambin limitarse a una lista filtrada de servidores
administrados. Un servidor IPAM puede, tambin, definirse en la copia de seguridad.

IPAM se comunica de manera regular con los controladores de dominio, los servidores
DNS y DHCP de la red que estn en su dominio de cobertura. Cada servidor debera
definirse como administrado o no administrado!

Para que un servidor pueda ser administrado por IPAM, es necesario configurar la
seguridad sobre dicho servidor, de modo que el servidor IPAM pueda realizar la
supervisin y modificar la configuracin si fuera necesario. Las directivas de grupo son,
por tanto, la herramienta ideal para automatizar esta configuracin segn si el servidor est
administrado o no.

He aqu los protocolos que se utilizan segn los servicios solicitados:

Protocolos de acceso Servicios


IPAM Server RPC WMI SMB WS-Mgmt DHCP
RPC WMI WS-Mgmt DNS
RPC WMI LDAP Controladores de dominio
RPC NPS
3. Instalacin

Como con los dems elementos, la instalacin puede hacerse de forma grfica o mediante
comandos PowerShell.

Seleccione la funcionalidad Servidor de administracin de direcciones IP (IPAM).

Valide la lista de las dems funcionalidades necesarias haciendo clic en Agregar


caractersticas.
Observe que se necesita la base de datos interna de Windows para la primera instalacin.
IPAM para Windows Server 2012 R2 soporta la migracin de MS SQL, aunque no lo
propone, por defecto, durante su instalacin. La migracin se describe al final del mdulo.

Haga clic en Siguiente.


Haga clic en Instalar.
Instale la consola sobre otro servidor 2012 reservado para la administracin o sobre el
controlador de dominio.

Si el componente IPAM se instala sobre un servidor, el componente se muestra en el


administrador del servidor, aunque slo puede utilizarse si el cliente de gestin IPAM est
instalado. He aqu el comando que debe utilizar en este caso:

Install-WindowsFeature IPAM-Client-Feature

4. Configuracin inicial

Acceda a la consola de administracin, desde el administrador del servidor, que contiene la


herramienta IPAM/Informacin general.
La configuracin se realiza en seis etapas.

Haga clic en Conectar con servidor IPAM (etapa nmero 1 del asistente).

Seleccione el servidor IPAM deseado y haga clic en Aceptar:

Haga clic en Aprovisionar el servidor IPAM (etapa nmero 2 del asistente) y, a


continuacin, en Siguiente.
Seleccione la configuracin bsica que desea.
Seleccione el modo Microsoft SQL Server y, a continuacin, indique:

el nombre del servidor SQL


el nombre de la base de datos SQL
el puerto 1433
y si es necesario crear el esquema en la base de datos.

A continuacin, valide haciendo clic en Siguiente.

Observe que, utilizando la base de datos Interna, ahora es posible cambiar la ubicacin de
dicha base de datos.

Configure la cuenta de acceso a SQL.


Para que el acceso y la creacin de la base de datos se realicen correctamente, verifique
bien los siguientes puntos:

El firewall debe autorizar la conexin sobre el puerto SQL (1433).


El servidor IPAM debe tener permisos para conectarse.

La solucin ms sencilla consiste en crear un grupo de ACCESO_IPAM_SQL que


contenga al servidor IPAM en Active Directory y, a continuacin, crear un login en SQL
para dicho grupo. Asigne, a continuacin, el rol DbCreator a dicho login.

Seleccione el mtodo de aprovisionamiento por directiva de grupo e indique el prefijo


seleccionado.
Observe el comando que tendr que ejecutar mediante PowerShell:

Invoke-IpamGpoProvisioning

Si no utiliza las directivas de grupo propuestas, deber configurar manualmente los


recursos compartidos, las reglas de firewall y los grupos de seguridad necesarios.

Haga clic en Aplicar para confirmar los parmetros.


Haga clic en Cerrar.
Cree las directivas mediante el comando Invoke-IpamGpoProvisioning.

Invoke-IpamGpoProvisioning -Domain MiEmpresa.Priv -GpoPrefixName IPAM


-force

Es importante especificar el mismo prefijo de dominio que el que ha indicado en el


asistente!

Las directivas se crean en la raz del dominio correspondiente. Se aplican, por tanto, a todos
los servidores DNS, DHCP y DC (para acceder a la configuracin de NPS) del dominio.
Idealmente, es posible desplazar la aplicacin de dichas directivas sobre las unidades
organizativas que contengan nicamente los servidores correspondientes. No hay que
olvidar que los controladores de dominio pertenecen a un contenedor especfico.

Haga clic en la etapa siguiente en Configurar deteccin de servidores (etapa nmero 3


del asistente).
Haga clic en Agregar sobre cada dominio que quiera administrar y, a continuacin, valide
haciendo clic en Aceptar.

Seleccione aquellos roles que desea descubrir.

Por defecto, los tres roles (DNS, DHCP, Controladores de dominio) estn seleccionados, lo
cual resulta aconsejable. Haga clic en Aceptar.
Haga clic en Iniciar deteccin de servidores (etapa nmero 4 del asistente).

La ejecucin de la tarea aparece hasta el final de la ejecucin. El trfico no ser importante


en un primer momento, puesto que se trata de consultas LDAP en el directorio.

Haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso


de IPAM (etapa nmero 5 del asistente).
Es preciso definir el estado de gestin de cada servidor, es decir, si se desea administrarlo o
no. Es importante considerar bien la accin recomendada especificada junto a cada
servidor.

Seleccione el servidor o los servidores que desea configurar y, a continuacin, haga clic
con el botn derecho para desplegar el siguiente men contextual:

Haga clic en Editar servidor para obtener la siguiente pantalla:


Seleccione el modo Administrado y, a continuacin, haga clic en Aceptar.

El retardo en el estado de la comunicacin entre cada servidor y el servidor IPAM aparece


en la parte inferior de la pgina.
Existen varios elementos que podran impedir una correcta comunicacin sobre todos o
parte de los modos de acceso necesarios. Las directivas anteriores tienen como objetivo
autorizar IPAM a acceder a los servidores que posean los roles administrados.

Fuerce la aplicacin de las directivas IPAM en cada servidor DC, DHCP o DNS mediante
el comando GPUPDATE /FORCE.

Reinicie los servicios DHCP y DNS.

A continuacin, utilice la opcin Actualizar el estado de acceso del servidor. Si todo va


bien, el servidor pasa al estado desbloqueado (icono verde).

Cada uno de los componentes debera pasar al estado desbloqueado:

Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP
se mantenga bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT
est creado correctamente en la carpeta C:\Windows\system32\ dhcp.

Haga clic en Recuperar datos de servidores administrados (etapa nmero 6 del


asistente).

Ahora, todas las funcionalidades IPAM se encuentran habilitadas.

5. Grupos utilizados por IPAM

Los siguientes grupos de seguridad se crean en la base de datos local de cuentas del
servidor IPAM:
Usuarios IPAM: los miembros de este grupo pueden ver toda la informacin
disponible en el inventario de servidores, el espacio de direccionamiento IP y el
anlisis de la gestin de la consola IPAM as como los eventos operacionales IPAM
y DHCP que forman parte del catlogo de eventos, aunque no consultar la
informacin de seguimiento de las direcciones IP.
Administradores IPAM MSM: los miembros del grupo Administradores MSM
(Multi-Server Management, gestin multiservidor) tienen los mismos permisos que
los usuarios IPAM y, adems, pueden realizar tareas de gestin IPAM corrientes y
tareas de anlisis y de administracin.
Administradores IPAM ASM: los miembros del grupo de Administradores ASM
(Address Space Management, gestin del espacio de direccionamiento) tienen los
mismos permisos que los usuarios IPAM y, adems, pueden realizar tareas de
gestin IPAM corrientes as como tareas ligadas al espacio de direccionamiento IP.
Administradores de auditora IPAM IP: los miembros del grupo de
administradores de auditora IPAM tienen los mismos privilegios que los usuarios
IPAM. Pueden realizar tareas de gestin IPAM corrientes y, adems, ver la
informacin de seguimiento de las direcciones IP.
Administradores IPAM: los miembros de este grupo tienen permisos sobre todos
los datos IPAM y pueden realizar cualquier tarea.

Existe un grupo de seguridad universal IPAMUG que se crea sobre el dominio tras la
primera instalacin:

Este grupo de equipos contiene el primer servidor IPAM instalado.


Este grupo est incluido en los Event Log Readers y Usuarios DHCP del
dominio.

6. Tareas de administracin cotidianas

Haga clic en el men ACCIONES para obtener las operaciones habituales sobre las
direcciones IP:

Este men Acciones contiene, tambin, las distintas tareas planificadas:


7. Limitaciones a tener en cuenta

IPAM slo soporta controladores de dominio Microsoft, y servidores


Windows 2008 o superior, integrados en un bosque mediante servicios DHCP, DNS
y NPS.

Esto quiere decir que la herramienta no gestiona la administracin y la


configuracin de elementos no-Microsoft de la red. No obstante, es posible
incluirlos en la base de datos.

La instalacin puede ahora utilizar la base de datos interna de Windows o una base
de datos ubicada en un servidor MS SQL 2008 o superior. Preste atencin, la base
de datos integrada en Windows est limitada a 4 GB.
Un servidor IPAM es capaz de gestionar hasta 150 servidores DHCP, 500
servidores DNS, 6000 mbitos DHCP y 150 zonas DNS.
La base de datos almacena tres aos de informacin histrica (contratos, direcciones
MAC, conexiones y desconexiones de los usuarios) de hasta 100000 usuarios. No
existe ninguna estrategia de purgado automtico, de modo que tendr que hacerse
manualmente si fuera necesario.
El anlisis de tendencias sobre el uso de direcciones IP y de solicitudes slo est
disponible para IPv4.
No existe ningn procesamiento especial para direcciones de tipo IPv6
autoconfiguradas sin estado, ni sobre la migracin de mquinas virtuales.
IPAM no permite auditar direcciones IPv6 autoconfiguradas sobre un equipo que no
est administrado para seguir un usuario.
IPAM no verifica la coherencia de las direcciones IP con los routers y switchs de la
red.
8. La migracin de IPAM a IPAM 2012 R2

La actualizacin de Windows Server 2012 a 2012 R2 conserva la funcionalidad IPAM, as


como la mayora de componentes instalados y configurados. En cambio, la base de datos
IPAM debe actualizarse para poder continuar siendo administrada y, principalmente,
aprovechar las nuevas funcionalidades.

Al arrancar la herramienta de la consola IPAM, tras la conexin, aparece la opcin


Actualizar el servidor IPAM.

Haga clic en Actualizar el servidor IPAM.

Haga clic en Siguiente para iniciar el asistente.


El asistente realiza una verificacin de la base de datos. Una vez terminada, haga clic en
Siguiente.
Haga clic en Actualizar.
Haga clic, a continuacin, en Cerrar en el resumen de tareas de actualizacin.

Aparece la visualizacin clsica de todas las opciones de administracin de la consola


IPAM:

9. Los roles de IPAM 2012 R2

La gestin de los roles se ve mejorada con Windows Server 2012 R2, y es mucho ms
granular.

La administracin se divide, ahora, en:

Roles: conjunto de acciones autorizadas para usuarios concretos.


mbitos de acceso: conjunto de objetos o de recursos autorizados a los usuarios.

Por defecto, existe un nico mbito llamado Global, que incluye todos los recursos.

Directivas de acceso: combinacin de roles y de mbitos de acceso.

La delegacin granular de la administracin consiste en:

Agregar roles suplementarios si es necesario.


Crear y nombrar mbitos y, a continuacin, asociar estos mbitos a los objetos
correspondientes.
Agregar usuarios o grupos autorizados, asociarles su rol y su mbito de acceso.

a. La lista de roles integrados

He aqu la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se
corresponden, exactamente, con los grupos creados por IPAM. Adems, es posible crear
nuestros propios roles:

Rol Administrador ASM IPAM:

Este rol integrado provee las autorizaciones requeridas para gestionar


completamente los espacios de direccionamiento IP, los bloques de direcciones IP,
las subredes de direcciones IP, los rangos de direcciones IP y las direcciones IP.

Rol Administrador de mbitos DHCP IPAM:

Este rol integrado provee los permisos requeridos para gestionar los mbitos DHCP.

Rol Administrador de reservas DHCP IPAM:

Este rol integrado provee los permisos requeridos para gestionar las reservas DHCP.

Rol Administrador de registros de direcciones IP:

Este rol integrado provee los permisos requeridos para gestionar las direcciones IP,
en particular la bsqueda de direcciones IP no asignadas, as como la creacin y la
eliminacin de instancias de direcciones IP.

Rol Administrador de registros DNS:

Este rol integrado provee los permisos requeridos para gestionar los registros de
recursos DNS.

Rol Administrador DHCP IPAM:


Este rol integrado provee los permisos requeridos para gestionar completamente un
servidor DHCP, as como sus mbitos DHCP, sus filtros de direcciones MAC, sus
directivas DHCP y sus reservas DHCP.

Rol Administrador IPAM:

Este rol integrado provee los permisos especificados por los roles Administrador
ASM IPAM y Administrador MSM IPAM, adems de los permisos necesarios para
gestionar mbitos de acceso, directivas de acceso y grupos lgicos.

Rol Administrador MSM IPAM:

Este rol integrado provee los permisos requeridos para gestionar completamente los
servidores DHCP, los mbitos globales DHCP, los mbitos DHCP, los filtros de
direcciones MAC, las directivas DHCP, las zonas DNS y los registros de recursos
DNS.

b. Creacin de un rol personalizado

Si se quiere, por ejemplo, delegar la modificacin de registros DNS en la zona DNS


pblica nicamente, he aqu las etapas que debe seguir.

Para crear un rol personalizado, basta con ir a la carpeta IPAM/CONTROL DE


ACCESO/Roles de la consola.

El botn TAREAS (ubicado arriba a la derecha) permite abrir el asistente para Agregar un
rol de usuario.
Escriba un Nombre y, opcionalmente, una Descripcin del rol.

Seleccione, a continuacin, todas las operaciones autorizadas para este rol.

c. Creacin de un mbito de acceso

Para crear un mbito personalizado, basta con ir al a carpeta IPAM/CONTROL DE


ACCESO/mbito de acceso en la consola.

El botn TAREAS (ubicado arriba a la derecha) permite abrir el asistente Agregar mbito
de acceso.
El mbito puede ubicarse directamente bajo el mbito Global, o en otro nivel si se desea
crear una arborescencia ms compleja.
A continuacin es posible asociar este mbito a los recursos u objetos correspondientes.

Por defecto, todos los recursos dependen del mbito Global.

Si desea delegar la zona pblica MiEmpresa.es, haga clic en el botn derecho en la zona
miempresa.es y seleccione la opcin definir mbito de acceso.

Seleccione el mbito de acceso deseado.


d. Definicin de las directivas de acceso

Hasta ahora, no ha tenido lugar, realmente, ninguna delegacin. Agregando los usuarios o
los grupos es como se otorgan los permisos reales de administracin.

Vaya a IPAM/CONTROL DE ACCESO/Directivas de acceso.

Haga clic en el botn TAREAS y, a continuacin, seleccione Agregar directiva de


acceso.

Seleccione el grupo o el usuario desde el directorio.


Haga clic, a continuacin, en Configuracin de acceso para poder agregar combinaciones
de roles y mbitos.
Haga clic en el botn Agregar configuracin y, a continuacin, en Aplicar.

Como con Exchange, y con muchos otros productos, la tendencia es hacia la granularidad
en la delegacin de la administracin mediante el uso de roles personalizados que gestionan
un mbito. El objetivo es no asignar ms que aquellos permisos necesarios relativos a las
acciones y mbitos deseados.

El protocolo IPv6
Poco a poco, la tecnologa IPv6 se va introduciendo en nuestro da a da. Esto es as debido
a la inercia que adquiere todo en Internet, porque ya no existe otra opcin en ciertas zonas
de Internet (frica, Asia...) y, tambin, para conseguir una mejora progresiva a la hora de
adquirir nuevos dispositivos y componentes.
Microsoft est actualizando, de manera progresiva, todos sus productos para soportar los
estndares de la industria. Esto incluye a IPv6, que ser el nuevo protocolo obligatorio en el
acceso a Internet, y que supone una evolucin de IPv4, protocolo que se utiliza a da de
hoy.

IPv6 se concibe para dar respuesta a numerosos problemas vinculados a IPv4: la


configuracin automtica, la movilidad y, sobre todo, la extensibilidad del espacio de
direccionamiento, que se hace casi infinito en Internet.

La funcionalidad principal de IPv6 es el uso de direcciones de 128 bits (en lugar de


direcciones de 32 bits), lo cual permite explotar hasta 3.4 1038 direcciones, ms que
suficiente para gestionar las necesidades actuales y futuras.

IPv6 no asegura la compatibilidad hacia atrs con IPv4. Un nodo configurado


exclusivamente con IPv6 no puede comunicarse con un nodo que est configurado,
exclusivamente, en IPv4. Como consecuencia de ello, debe producirse una transicin
progresiva desde una red que funcione exclusivamente en IPv4 hacia una red que tenga en
cuenta al mismo tiempo IPv4 e IPv6 de forma nativa. A medida que el nmero de nodos y
de aplicaciones de la red que tengan en cuenta IPv6 aumente, el trfico de su red bascular,
con el tiempo, de un uso mayoritario de IPv4 a un uso mayoritario de IPv6. Se trata, por
tanto, del objetivo de transicin hacia IPv6.

Dado que actualmente prevalecen los nodos, dispositivos, aplicaciones y sistemas de


gestin de red que utilizan nicamente IPv4, salvo algunas excepciones, el objetivo de su
estrategia de transicin hacia IPv6 consistir en migran una red que trabaja exclusivamente
en IPv4 hacia una red que tenga en cuenta, al mismo tiempo, el trfico IPv4 y el trfico
IPv6, y no migrar hacia una red que trabaje exclusivamente con IPv6.

El objetivo de esta parte no es presentar la integridad de IPv6 (lo que podra llevarnos
varios libros), sino disponer de los comandos bsicos de referencia para comprender y
adaptarse al nuevo entorno.

1. Tabla de equivalencia entre IPv4 e IPv6

A continuacin se presentan algunos conceptos IPv4 y su equivalente en Ipv6:

Direccionamiento IPv4 Direccionamiento IPv6


Clases de direcciones 5 Clases: A a E. No existe una equivalencia en
de Internet IPv6
Direcciones MultiCast 224.0.0.0/4 FF00::/8
Direcciones de Todos los bits a 1 No se aplica en IPv6
BroadCast (255...)
Direccin no 0.0.0.0 ::
especificada
Direccin de bucle 127.0.0.1 ::1
local
Direcciones IP pblicas Clases A a C salvo las Direcciones de tipo Global
clases privadas. unicast.
Direcciones IP 10.0.0.0/8, Direcciones de Site-local
privadas 172.16.0.0/12, ULA=FC00::/7
192.168.0.0/16
Direcciones 169.254.0.0/16 Direcciones de Link-local
autoconfiguradas FE80::/64
(APIPA)
Representacin en Notacin decimal Notacin hexadecimal separada
modo Texto separada por puntos. por los smbolos ":", se eliminan
los ceros correspondientes a la
compresin.

Las direcciones compatibles


IPv4 se representan en notacin
decimal con puntos (para los 4
ltimos valores).

Ejemplo ::ffff:172.16.1.1
Representacin de las Notacin decimal o nicamente la longitud del
redes y subredes longitud del prefijo. prefijo.
(Mscara de red)
Resolucin de nombres Registro de tipo (A) Registro de tipo (AAAA) que
DNS que contiene una contiene una direccin IPv6.
direccin IPv4.
Resolucin DNS Dominio de tipo IN- Dominio de tipo IP6.ARPA.
inversa ADDR.ARPA.

2. Comandos principales

La mayora de comandos son idnticos y funcionan a la vez sobre IPv4 e IPv6, por ejemplo
los comandos ipconfig /flushdns y /registerdns.

En algunos casos, se desea forzar el uso de un protocolo, por ejemplo, en la resolucin de


nombres DNS.

Ping -4 DC2012

Envo de una consulta ping sobre DC2012.MiEmpresa.Priv [172.16.1.1] con 32 bytes de


datos:
Respuesta de 172.16.1.1: bytes=32 tiempo<1ms TTL=128

Ping -6 DC2012

Envo de una consulta ping sobre


DC2012.MiEmpresa.Priv[fe80::2d95:5a6:9b7d:f350%13] con 32 bytes de datos:

Respuesta de fe80::2d95:5a6:9b7d:f350%13: tiempo<1ms

Preste atencin, en este resultado, la parte %13 no forma parte de la direccin IP, sino que
se corresponde con el nmero del itinerario (interfaz) utilizado.

Cuando una tarjeta de red soporta los dos protocolos IP, no es obligatorio configurar DHCP
sobre ambos protocolos. Cuando se quiere utilizar el protocolo IPv6, o bien que el
protocolo DHCP se base en IPv6, he aqu algunos comandos prcticos:

Ipconfig /release6

Adaptador Ethernet LAN:

Sufijo DNS especfico para la conexin. . : MiEmpresa.Priv

Vnculo: direccin IPv6 local. . . . . . . . . . . : fe80::c969:22b:c9fc:8eb0%12

Direccin IPv4. . . . . . . . . . . . . . . . . . . . . . : 172.16.1.185

Mscara de subred. . . . . . . . . . . . . . . . . . . : 255.255.0.0

Pasarela por defecto. . . . . . . . . .. . . . . . . . . : 172.16.1.5

Ipconfig /renew6

Adaptador Ethernet LAN :

Sufijo DNS especfico para la conexin. . . . . . : MiEmpresa.Priv

Direccin IPv6. . . . . . . . . . . . . . . . . . . . . . : fd00::afbe:52a9:314e:e25c

Vnculo: direccin IPv6 local. . . . . . . . . . . . . . . : fe80::c969:22b:c9fc:8eb0%12

Direccin IPv4. . . . . . . . . . . . . . . . . . . . . . . . . . : 172.16.1.185

Mscara de subred. . . . . . . . . . . . . . . . . . . . . . . : 255.255.0.0

Pasarela por defecto. . . . . . . . . . . . . . . . . . . . . . : 172.16.1.5

Observe que los comando /release y /renew slo funcionan para IPv4.
3. La configuracin de DHCP v6

Por defecto, la configuracin de un servidor DHCP v6 no es obligatoria. Existen muchos


mecanismos para evitar la mayora de conflictos entre sitios, y sobre cada sitio. La
asignacin aleatoria de una parte del sitio entre millones de combinaciones posibles, y la
asignacin aleatoria de direcciones voluntarias repartidas tambin sobre varios millones de
combinaciones hacen que los problemas sean meramente tericos. En un sitio determinado,
la primera mquina define el direccionamiento nico que se utilizar y, a continuacin,
todas las dems mquinas se integran en el mismo direccionamiento. De hecho, la nocin
de sitio o, para ser ms exactos, de sub-sitio puede extraerse de las subredes IPv6 y
gestionarse, por defecto, mediante routers. Son ellos los encargados de configurar los
equipos de acuerdo con el prefijo de la subred correspondiente.

El inconveniente es que los servidores, en particular los servidores DNS y los controladores
de dominio, tendrn, tambin, una direccin algo compleja y difcil de memorizar. En el
marco de las directivas los scripts, o la configuracin de ciertos componentes tales como
firewalls, puede ser deseable configurar uno mismo esta parte de DHCP. Sabiendo que se
puede escoger la direccin IP de su servidor DNS; de su proxy, ser mucho ms fcil
utilizar informacin fija en los scripts de conexin o de personalizacin del entorno.

Esta eleccin supone utilizar, voluntariamente, una configuracin globalmente IPv6,


sabiendo que muchos dispositivos y aplicaciones no estn, todava, plenamente operativos
sobre este protocolo. Si bien el acceso de los clientes est, generalmente, bien administrado
en IPv6, es necesario en trminos de administracin y de funcionamiento de varias
aplicaciones importantes. Por ejemplo, en Exchange 2010, todos los protocolos de acceso
IMAP, POP, SMTP y MAPI estn preparados para funcionar en IPv6. En cambio, IPv4
sigue siendo indispensable para establecer la comunicacin entre servidores Exchange.

El funcionamiento de DHCPv6 est ligado a varios valores del entorno definidos sobre las
tarjetas de red. Cuando se habilita IPv6 en una tarjeta de red, la configuracin se realiza,
por defecto, en modo StateLess (sin estado). Esto quiere decir que la configuracin de la
direccin (flag llamado M), tiene el valor Disabled, y no est administrado. La
configuracin de cada sitio la aportan los routers.

Si se instala DHCPv6, puede utilizarse para distribuir otros elementos de configuracin


(por ejemplo, el servidor DNS, los sufijos de bsqueda...) a condicin de que el atributo
Otra configuracin con estado (flag llamado O) tenga el valor Enabled.

Si se habilitan ambos parmetros, la configuracin llamada StateFull se basa


completamente en DHCP.

a. Configuracin del cliente DHCPv6 sobre el servidor DHCP

He aqu la lista de comandos que debe utilizar para gestionar, de manera efectiva, un
direccionamiento IPv6 basado en DHCPv6.
En los siguientes comandos, LAN se corresponde con el nombre de la tarjeta de red.

netsh interface ipv6 set interface LAN routerdiscovery=dhcp


netsh interface ipv6 set interface LAN managedaddress=enabled
netsh interface ipv6 set interface LAN otherstateful=enabled

La opcin routerdiscover puede valer Enabled si los routers estn, efectivamente,


configurados de forma que puedan aportar los elementos necesarios.

Utilice el comando netsh interface ipv6 show interface LAN para confirmar las opciones en
curso.

b. Configuracin del servicio DHCPv6

Abra la consola de administracin de DHCP.

Seleccione la opcin mbito nuevo en el men IPv6.

Haga clic en Siguiente para iniciar el asistente.


Asigne un nombre al mbito y haga clic en Siguiente.
Indique el prefijo de la red as como la posible preferencia.
El nmero de prefijo se debe escoger en el mbito previsto para las redes privadas. Como
con las redes IPv4, cada subred utiliza una parte fija que debe ser diferente!

La nocin de preferencia (valor de 0 a 255) permite repartir/optimizar el comportamiento


de DHCP entre varios servidores. Un cliente DHCP preferir un servidor que tenga la
misma preferencia que el que haya obtenido la vez anterior.

Agregue las zonas o direcciones IP que desea excluir.


En este caso, se escogen las 255 primeras direcciones, aunque podemos ser ms generosos
sin que ello suponga un problema. Todos los servidores para los que se quiere asignar una
direccin IP fija, en particular servidores DNS y controladores de dominio, utilizarn,
principalmente, este tipo de direccin, que podremos informar en las opciones.

Indique la duracin deseada para los contratos.


La duracin preferida se corresponde con el retardo normal deseado de conservacin de una
direccin.

La duracin vlida se corresponde con la duracin mxima, si no existe una renovacin del
contrato.

Habilite el mbito y valide al final del asistente.


Configure, a continuacin, las opciones del mbito o la configuracin a nivel de servidor.
Las opciones 23 (servidores DNS que se usarn para la resolucin de nombres) y 24
(sufijos de bsqueda) son las opciones ms interesantes que se pueden configurar.

Preste atencin, la activacin del modo IPv6 completo no tiene sino ventajas. La estacin
recibe una direccin IPv6 aunque no funcionar plenamente en este modo sino tras haber
deshabilitado IPv4. Es preciso probar bien el conjunto antes de utilizarlo en una red de
produccin.

4. Configuracin DNS v6 de la zona de bsqueda inversa

La zona de bsqueda DNS directa no necesita ninguna configuracin particular.


Los registros siguen la misma lgica que los registros clsicos.

He aqu las etapas que permiten crear una zona de bsqueda inversa de tipo IPv6:

Seleccione Zonas de bsqueda inversa y, a continuacin, haga clic con el botn derecho
y seleccione Zona nueva... en el men contextual.
Inicie el asistente Nueva zona y haga clic en Siguiente.
Seleccione el tipo de zona y haga clic en Siguiente.

Seleccione el tipo de replicacin y haga clic en Siguiente.


Seleccione el tipo Zona de bsqueda inversa para IPv6.
Escriba el prefijo y el tamao de la zona que se desea, en bits.

Teniendo en cuenta el nmero casi ilimitado de redes y de mquinas, nos limitaremos a una
red en la que queremos recibir y actualizar la informacin.

Seleccione el tipo de actualizacin y haga clic en Siguiente.


Finalice la creacin de la zona haciendo clic en Finalizar.
Los registros DNS inversos aparecen una vez actualizada la zona, tarea que podemos forzar
mediante el comando ipconfig /registerdns.

5. TEREDO

Teredo es una tecnologa que facilita la transicin entre IPv6 e IPv4, permitiendo a las
aplicaciones IPv6 comunicarse a travs de una red IPv4, incluso a travs de redes que
utilizan NAT, es decir, traduccin de direcciones. Esta capa es vlida y est lista para
utilizarse en Windows Server 2012. DirectAccess puede utilizar esta solucin, aunque
requiere dos direcciones IP pblicas simultneas consecutivas.

6. ISATAP

ISATAP (Intra-site Automatic Tunnel Addressing Protocol) es una tecnologa de transicin


definida en la RFC 4214. El inters de ISATAP consiste en utilizar la infraestructura IPv4
tal como es, sin ningn hardware suplementario ni modificacin en la configuracin de los
routers. Las nuevas aplicaciones que utilizan IPv6 pueden instalarse sobre IPv4 gracias a
esta capa suplementaria adaptndose al direccionamiento existente. Esta capa es, de hecho,
vlida y est lista para utilizarse en Windows Server 2012.

El direccionamiento de ISATAP est compuesto por un prefijo, un valor fijo (0:5efe o


200:5efe) y termina con el direccionamiento IPv4.

64-bits_Unicast_Prefix:0:5efe:w.x.y.z

Este formato de direccin se utiliza cuando la direccin IPv4 es privada.

64-bits_Unicast_Prefix:200:5efe:w.x.y.z

Este formato de direccin se utiliza cuando la direccin IPv4 es pblica.

Esta combinacin permite utilizar IPv6 manteniendo sus equivalentes en IPv4.


Asociacin de tarjetas de red en equipo
(Teaming)
Windows Server 2012 soporta ahora, de forma nativa, la combinacin de varias tarjetas de
red. Las soluciones que daban antes los fabricantes suponan utilizar tarjetas de red
idnticas, del mismo proveedor, y no estaban soportadas directamente por Microsoft en
configuraciones de virtualizacin, soluciones que son exigentes, por lo general, en cuanto a
la necesidad de tarjetas de red.

La asociacin (hasta 32 tarjetas de red) realiza, principalmente, la agregacin del ancho de


banda y la tolerancia a fallos. Es posible asociar tarjetas de distintas velocidades, y crear,
por lo tanto, tantas asociaciones de tarjetas como sea necesario. El asistente propone
integrar las tarjetas fsicas, o incluso las tarjetas virtuales creadas por Hyper-V. Esto resulta,
por otro lado, muy prctico cuando se desea desplazar tarjetas Hyper-V hacia nuevas
tarjetas de forma asociada. Este tipo de configuracin no requiere la configuracin de un
switch, y permite conectarse directamente a varios switchs diferentes, lo que mejora la
tolerancia a fallos. Por supuesto, es mejor utilizar tarjetas que dispongan de las mismas
propiedades.

He aqu el procedimiento de instalacin, que es relativamente sencillo.

Abra el Administrador del servidor y sitese en el Servidor local.

Puede, tambin, configurar asociaciones sobre un servidor remoto, aunque no se


recomienda.

Haga clic en Deshabilitado junto a la propiedad Formacin de equipos de NIC.


Agregue una asociacin seleccionando la opcin TAREAS en EQUIPOS y, a
continuacin, Nuevo equipo.

Podemos, tambin, utilizar el men TAREAS de una tarjeta disponible o en la seccin


ADAPTADORES E INTERFACES.

Seleccione el nombre de la futura tarjeta, e indique las tarjetas que forman parte de la
asociacin.
Haga clic en Propiedades adicionales para adaptar la configuracin.
El modo de formacin de equipos y el modo de equilibrio de carga no se pueden modificar
en una mquina virtual. En cambio, es posible definir una VLAN especfica, o la tarjeta que
se deja como reserva.

El modo Independiente del conmutador funciona en cualquier caso, y no requiere ni un


switch particular, ni disponer de una configuracin particular. Permite, tambin, conectar
cada tarjeta a switchs diferentes, con el objetivo de gestionar, de este modo, los fallos o el
reinicio de un switch.

Los otros dos modos de asociacin requieren una configuracin especfica sobre los
switchs.

El modo Formacin de equipos esttica obliga a identificar los enlaces que


componen la asociacin a nivel de switch.
El modo LACP es un protocolo estndar que permite negociar con los dems
equipos el funcionamiento ptimo agrupando los puertos configurados de la misma
manera (velocidad, modo Duplex, VLAN, Trunk).

El modo de equilibrio de carga por defecto se basa en una tabla hash de las direcciones, es
decir, un reparto basado en las direcciones IP recibidas. El otro modo propuesto se basa en
los puertos Hyper-V.

La asociacin de tarjetas en una mquina virtual es til solamente si no se ha creado


ninguna asociacin sobre la mquina host. O bien asociamos dos tarjetas sobre el servidor
host, o bien asociamos dos tarjetas a la mquina virtual. Preste atencin, es necesario
modificar las opciones de las tarjetas de red en la configuracin de la mquina virtual.
La asociacin de la tarjeta ha concluido.

La administracin de las tarjetas permite habilitar, deshabilitar, agregar o eliminar nuevas


tarjetas.

Preste atencin, la nueva tarjeta creada no recupera la configuracin TCP/IP de ninguna de


las tarjetas anteriores, y se basa, por tanto, en DHCP. Las tarjetas que forman parte de la
asociacin pierden su configuracin especfica. En cambio, cabe destacar que esta
configuracin especfica se recupera siempre que la tarjeta salga de la asociacin.

Configure la nueva tarjeta llamada Team1.

Las tarjetas utilizadas para la asociacin se marcarn como Habilitado. La tarjeta Team1
incluye, ahora, la configuracin del protocolo TCP/IP.
Presentacin de SMBv3
SMB 3.0 es la nueva versin, incluida desde Windows Server 2012 y Windows 8.
Observe que se llamaba SMB 2.2 durante su periodo Beta. La mayor parte de novedades
funcionan nicamente con estas versiones de Windows. Este nuevo protocolo debera
incluirse en la prxima versin de Samba 4.0, y ahora mismo se encuentra en desarrollo por
parte de NetApp y EMC.

1. Caractersticas de SMBv3

SMB 3.0 aporta las siguientes mejoras respecto a versiones anteriores del protocolo:

Conmutacin transparente de SMB (Transparent Failover - Node Fault Tolerance)

Un mismo recurso compartido puede proveerse por varios servidores o nodos


diferentes de un clster. La parada de un nodo ya no implica una desconexin y una
reconexin.

SMB multicanal

Todos los enlaces de red disponibles entre dos equipos sern evaluados y utilizados.
El nmero de conexiones establecidas est vinculado entre dos sistemas. Depende
del nmero de interfaces y del tipo de tarjeta. Una tarjeta que soporte RSS
autorizara cuatro conexiones, con un mximo de ocho de manera global. Incluso un
sistema que posea una sola tarjeta puede utilizar esta funcionalidad y repartir su
actividad entre varios procesadores.

Agrupaciones de servidores SMB (ScaleOut)

Esta funcionalidad supone una ventaja respecto a las dos anteriores (Failover y
Multicanal). Cuando un recurso compartido SMB 3.0 se instala en un clster, todos
los nodos y todas las tarjetas de red se utilizan para optimizar la transferencia de
datos.

SMB directo

Esta funcionalidad permite a los equipos que poseen tarjetas de red RDMA
transferir datos de memoria a memoria entre ellos sin tener que pasar por el
procesador.

Encriptacin SMB

Todos los datos enviados por SMB 3.0 entre los equipos se encriptan,
automticamente, por defecto.
VSS sobre los recursos compartidos de archivos SMB

Los recursos compartidos pueden, en lo sucesivo, salvaguardarse gracias a una


herramienta compatible con VSS. El servicio de instantneas de Microsoft realizar,
bajo demanda, los snapshots necesarios.

Concesin de directorio SMB (SMB directory leasing)

SMB aloja en cach todos los metadatos de los documentos accesibles, en particular
a travs de BranchCache. Esto disminuye el nmero de consultas de ida y vuelta y
el tiempo de latencia en el acceso inicial a las propiedades de un archivo.

PowerShell para SMB

Todas las propiedades de SMB son, ahora, accesibles y configurables a partir de


comandos PowerShell.

2. Caso prctico: implementar el modo Multicanal


a. Requisitos previos

Para probar y utilizar SMB 3.0 es necesario disponer de, al menos, dos equipos con
Windows Server 2012/2012 R2 o Windows 8/8.1. Para aprovecharlo plenamente, hace
falta:

Varias tarjetas de red.


O, al menos, una tarjeta que soporte el modo RSS (Receive Side Scaling).
O, al menos, una tarjeta que soporte el modo RDMA (Remote Direct Memory
Access).

Observe que las mquinas virtuales (Windows 8/8.1 o Windows Server 2012/2012 R2)
creadas por Hyper-V soportan, de forma nativa, RSS. Esto resulta muy prctico, y explica
tambin, en parte, las transmisiones tan rpidas entre sistemas hospedados en un mismo
servidor host.

Cada tarjeta clsica autoriza una conexin TCP.

Cada tarjeta RDMA autoriza dos conexiones RDMA.

Cada tarjeta que soporta RSS autoriza un mximo de cuatro conexiones TCP.

b. Comandos PowerShell

Verificar la configuracin del servidor:

Get-SmbServerConfiguration
AnnounceServer : False
AsynchronousCredits : 64
AutoShareServer : True
AutoShareWorkstation : True
CachedOpenLimit : 5
AnnounceComment :
EnableDownlevelTimewarp : False
EnableLeasing : True
EnableMultiChannel : True
EnableStrictNameChecking : True
AutoDisconnectTimeout : 0
DurableHandleV2TimeoutInSeconds : 30
EnableAuthenticateUserSharing : False
EnableForcedLogoff : True
EnableOplocks : True
EnableSecuritySignature : False
ServerHidden : True
IrpStackSize : 15
KeepAliveTime : 2
MaxChannelPerSession : 32
MaxMpxCount : 50
MaxSessionPerConnection : 16384
MaxThreadsPerQueue : 20
MaxWorkItems : 1
NullSessionPipes :
NullSessionShares :
OplockBreakWait : 35
PendingClientTimeoutInSeconds : 120
RequireSecuritySignature : False
EnableSMB1Protocol : True
EnableSMB2Protocol : True
Smb2CreditsMax : 2048
Smb2CreditsMin : 128
SmbServerNameHardeningLevel : 0
TreatHostAsStableStorage : False
ValidateAliasNotCircular : True
ValidateShareScope : True
ValidateShareScopeNotAliased : True
ValidateTargetName : True
EncryptData : False
RejectUnencryptedAccess : True

Verificar la configuracin del cliente:

Get-SmbClientConfiguration
ConnectionCountPerRssNetworkInterface : 4
DirectoryCacheEntriesMax : 16
DirectoryCacheEntrySizeMax : 65536
DirectoryCacheLifetime : 10
EnableBandwidthThrottling : True
EnableByteRangeLockingOnReadOnlyFiles : True
EnableLargeMtu : True
EnableMultiChannel : True
DormantFileLimit : 1023
EnableSecuritySignature : True
ExtendedSessionTimeout : 1000
FileInfoCacheEntriesMax : 64
FileInfoCacheLifetime : 10
FileNotFoundCacheEntriesMax : 128
FileNotFoundCacheLifetime : 5
KeepConn : 600
MaxCmds : 50
MaximumConnectionCountPerServer : 32
OplocksDisabled : False
RequireSecuritySignature : False
SessionTimeout : 60
UseOpportunisticLocking : True
WindowSizeThreshold : 8
Get-SmbServerNetworkInterfaceGet-SmbClientConfiguration
Scope Name Interface Index RSS Capable RDMA Capable Speed IpAddress
---------- --------- ----- --- ------- ------------ ----- ---------
* 12 True False 10 Gbps
172.16.1.184
* 12 True False 10 Gbps
fe80::4eb:1e38:4cf5...
* 12 True False 10 Gbps fec0::12
Get-SmbClientNetworkInterface| ft -auto
Interface Index RSS Capable RDMA Capable Speed IpAddresses Friendly
Name
--------------- ----------- ------------ ----- ----------- --------
-----
12 True False 10 Gbps {fec0::12,
fe80::4eb:1e38:4cf5:cfc0,
172.16.1.184} LAN
17 False False 0 bps
{fe80::5efe:172.16.1.184}
isatap.MiEmpresa.Priv
14 False False 0 bps {fe80::100:7f:fffe}
do Tunneling
Pseudo-Interface
Get-SmbMultichannelConnection |ft -auto
Server Name Selected Client IP Server IP Client Interface Index Server
Interface Index Client RSS Capable Client RDMA Capable
----------- -------- --------- --------- ---------------------- -----
----------------- ------------------ -------------------
dc2012 True 172.16.1.184 172.16.1.1 12 13 True False
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 1
Para comprobar el uso del modo multicanal, basta con copiar una pequea herramienta.

PS C:\sources> copy .\admtsetup32.exe x:\

Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 4

Observe que existe un mximo de cuatro canales activos simultneamente entre ambos
equipos.

Por ltimo, destacaremos que, incluso habiendo probado las reglas por defecto del grupo
para ser lo ms favorables posibles en los casos ms comunes, es posible parametrizar el
nmero de conexiones utilizadas mediante los siguientes comandos:

Set-SmbClientConfiguration -MaximumConnectionCountPerServer <n>


Set-SmbClientConfiguration -ConnectionCountPerRssNetworkInterface <n>

Tambin es posible personalizar el comportamiento del multicanal entre varios servidores


para forzar el uso de ciertas tarjetas y excluir algunas otras. Ser preciso, entonces, utilizar
los siguientes comandos:

New-SmbMultichannelConstraint -ServerName <miservidor> -InterfaceAlias


<mitarjeta1>, <mitarjeta2>

En trminos de optimizacin y de seguridad, deshabilitar el protocolo SMB 1.0 es ms que


aconsejable:

Set-SmbServerConfiguration -EnableSMB1Protocol :$false

3. Observaciones

Destacaremos que la prctica totalidad de las ventajas de SMB 3.0 no requieren, en


realidad, ninguna configuracin especfica. Si los servidores poseen las tarjetas de red
adecuadas y la negociacin se lleva a cabo con xito, se utilizar la mejor opcin de entre
las posibles. En un futuro prximo, sern los servidores Windows Server 2012 fsicos o
virtuales los que aprovecharn un mejor rendimiento con una configuracin que utilice los
roles y caractersticas de Hyper-V, el clustering, y el almacenamiento compartido de tipo
CSV basado en SMB 3.0. Los servidores de recursos compartidos tendrn que esperar,
seguramente, algo ms de tiempo antes de que un gran nmero de estaciones de trabajo con
Windows 8 aprovechen estas nuevas mejoras de rendimiento.

4. Las modificaciones de SMB en Windows Server 2012 R2

La modificacin ms inmediata es SMB 1, que ya no es necesario en el funcionamiento


normal. Sigue estando activo, por defecto, aunque puede deshabilitarse, lo cual elimina
tambin el servicio llamado Explorador de red (Computer Browser) y el protocolo de
administracin a distancia (Remote Administration Protocol).

El rendimiento se ve mejorado en el marco de los servidores de recursos compartidos


utilizados bajo la forma de granja de servidores (Scale-Out File server) y, por extensin,
aquellos que sirven para alojar a los servidores virtualizados. Cabe destacar:

La conmutacin automtica de los clientes en funcin de los archivos compartidos y


no en funcin del servidor para obtener el mejor acceso posible.
El uso de archivos VHDX compartidos en recursos compartidos CSV o SMB Scale-
Out para gestionar los clsters. La nocin de Scale-out consiste en poder repartir la
carga sobre varios servidores.
La migracin Over SMB de mquinas virtuales utilizando SMB Direct y SMB
Multichannel, para una migracin ms rpida y con menor consumo de procesador.
El soporte de varias instancias SMB diferentes sobre un servidor de archivos Scale-
Out: por defecto, una instancia administra los accesos estndar a los archivos
compartidos, y se crea una instancia suplementaria por cada nodo del clster para
gestionar el trfico CSV inter-nodo.

Existen otras pequeas mejoras:

El rendimiento es mucho mejor para las tarjetas que soportan RDMA (SMB over
RDMA), principalmente para las de tipo 40 Gbps Ethernet o 56 Gbps InfiniBand.

Las tarjetas RDMA permiten la transferencia direct de memoria a memoria, entre


dos equipos que disponen de este tipo de tarjeta.

Los eventos SMB estn mejor detallados.


La gestin del ancho de banda permite definir lmites sobre los distintos tipos de
trfico: Default, Live Migration y mquinas virtuales.

Windows Server Gateway


Esta funcionalidad es un elemento clave en las redes hbridas, que va a ayudar a las
empresas a conectarse con los proveedores de servicios a travs de una red privada de tipo
punto a punto.

Como tal, la mquina virtual realiza solamente el enrutamiento, es decir, la transferencia de


los paquetes entre dos tarjetas de red. El resto del trabajo lo aseguran las capas de red
incluidas con Hyper-V, que encapsulan, etiquetan y segmentan los paquetes.

A da de hoy, ste no es el nico uso para esta pasarela, que permite interconectar distintos
tipos de redes fsicas y virtuales, segmentando si fuera necesario la comunicacin.

Segn la arquitectura, esta funcionalidad debe complementarse con otros productos para
crear puentes, separar los flujos mediante tags (VLAN) y enrutar correctamente los flujos
una vez que se ha eliminado la mquina virtual.

En la empresa, esto puede aportar:

La comparticin de una Cloud privada entre varias entidades (Dev, PreProd, Prod).
El acceso a infraestructuras externas (Cloud hybride).
La intercomunicacin entre distintas redes o arquitecturas que provengan de
distintas entidades.

Para proveedores de Cloud pblica, esto facilita:

El aislamiento de las comunicaciones.


La comparticin de recursos de hardware de red (routers/switchs/).
La continuidad del direccionamiento de red del cliente que puede interconectar, sea
cual sea su direccionamiento.

De manera esquemtica, se trata de un router por software basado en una mquina virtual.
Aun as, el uso de una mquina virtual permite gestionar el filtrado de las conexiones
(aislamiento) a nivel del servidor fsico, y etiquetar los paquetes a su paso.

1. Instalacin

Hablando con propiedad, no existe, como tal, una instalacin sino simplemente una
configuracin.

Dejando a un lado la configuracin del entorno de red, esta configuracin se realiza a dos
niveles en Windows Server 2012 R2:

En el servidor Hyper-V
En la mquina virtual
a. En el servidor Hyper-V

Algunos comandos indicados aqu son opcionales y dependen de la configuracin de la red,


otros optimizan el rendimiento, y muy pocos son indispensables.

Otros es posible ejecutarlos solamente si se dispone de tarjetas de red que soportan la


funcionalidad correspondiente.

He aqu las instrucciones de optimizacin (todas las tarjetas no aceptan los mismos
parmetros):

Aumentar los buffers de recepcin:

Set-NetAdapterAdvancedProperty "LAN" -DisplayName "Receive Buffers"


-DisplayValue 3000

Aumentar los buffers de transmisin:

Set-NetAdapterAdvancedProperty "LAN" -DisplayName "Transmit Buffers"


-DisplayValue 3000

Activacin del modo RSS:

Enable-NetAdapterRss LAN

Activacin del Queuing:

Enable-NetAdapterVmq "Teaming1"

Si fuera necesario, indique la VLAN que desea utilizar en la tarjeta externa:

Set-VMNetworkAdapterVlan -VMName "WSG" -Name "VIRTUAL" -Access


-VlanId 5

Activar el aislamiento en la tarjeta de red LAN:

Set-VmNetworkAdapterIsolation -VMName WSG -VMNetworkAdapterName "LAN"


-IsolationMode NativeVirtualSubnet -MultiTenantStack Off

Es posible deshabilitar el modo de aislamiento mediante el comando:

Set-VmNetworkAdapterIsolation -VMName WSG -VMNetworkAdapterName "LAN"


-IsolationMode None

b. Configuracin de la pasarela WSG

He aqu los comandos de optimizacin de las tarjetas de red en la mquina virtual.


Definicin del nmero mximo de procesos a utilizar en funcin de la configuracin:

Set-NetAdapterRss "LAN", "VIRTUAL" -MaxProcessorNumber 8

Tamao mximo de los buffers que se utilizan en entrada y salida:

Set-NetAdapterAdvancedProperty "LAN","VIRTUAL" -DisplayName


"Send Buffer Size" -DisplayValue "32MB"

Set-NetAdapterAdvancedProperty LAN, VIRTUAL -DisplayName


"Receive Buffer Size" -DisplayValue "16MB"

La configuracin de ambas tarjetas de red y la ruta por defecto puede definirse mediante la
interfaz grfica.

En la tarjeta que permite acceder a la red virtual o remota, es preciso especificar esta red
remota y la direccin IP concreta que se desea utilizar.

Configuracin de la ruta esttica hacia la red virtual (es posible, tambin, utilizar el
comando route add):

New-NetRoute -InterfaceAlias VIRTUAL -DestinationPrefix


172.17.100.1.0/24 -NextHop 172.17.100.254

Ejemplo de configuracin de la ruta por defecto:

New-NetRoute -InterfaceAlias LAN -DestinationPrefix 0.0.0.0/0 -NextHop


172.16.254.254

La parte ms importante consiste en activar el enrutamiento entre ambas redes:

Set-NetIPInterface -InterfaceAlias LAN -Forwarding Enabled


Set-NetIPInterface -InterfaceAlias VIRTUAL -Forwarding Enabled

Ahora el enrutamiento debera estar activo!

La desactivacin del enrutamiento se realiza mediante el comando:

Set-NetIPInterface -InterfaceAlias VIRTUAL -Forwarding Disabled

c. La configuracin del router interno

Para que los paquetes se encaminen desde la mquina virtual hacia la o las redes remotas,
se agrega una ruta esttica sobre el router por defecto para que los paquetes cuyo destino
sea 172.17.100.0 se enven a la direccin IP de la pasarela. La configuracin depender del
router utilizado.
2. Esquema de un ejemplo de uso

La red virtual indicada aqu estar, a menudo, vinculada con otra tarjeta de red fsica que
permitir acceder a otros recursos internos o externos segn la configuracin. Es posible,
tambin, instalar una VPN para acceder a otras redes que no estarn accesibles ms que por
esta pasarela.

Es posible realizar una configuracin idntica sobre el sitio remoto para recibir y
repartir los flujos.

Si tiene lugar, la conexin intersitio utilizar mecanismos de tipo Tunnel para encapsular
los paquetes de red que, de otro modo, no podran enrutarse directamente. Si el nmero de
la red gestiona el nivel 3, estos mecanismos pueden ser GRE o IP-in-IP tunneling. A nivel
2, existen las VLAN de tipo Q-in-Q.

Para saber ms, el siguiente enlace presenta la mayora de combinaciones posibles:


http://technet.microsoft.com/es-es/library/jj618319.aspx

3. Conclusin

He aqu algunos elementos de reflexin suplementarios que cabe tener en cuenta.

La capa Hyper-V Network Virtualization (HNV) puede soportar en esta versin:


50 dominios de enrutamiento (red de mquinas virtuales)
500 subredes virtuales (subredes en las redes de mquinas virtuales)
200 conexiones VPN punto a punto

He aqu un procedimiento que indica las distintas etapas de la implementacin:


http://geekswithblogs.net/KeithMayer/archive/2012/10/08/step-by-step-implementing-
hyper-v-network-virtualization-with-windows-server-2012.aspx

Desafortunadamente, no existe, a da de hoy, una herramienta de administracin integrada


en Windows Server 2012 R2 para administrar la pasarela. La gama System Center contiene
la mayora de elementos necesarios para controlar la construccin de soluciones basadas en
la WSG.

Con todas estas mejoras, Windows Server 2012 R2 incluye muchos usos que cambian muy
rpido. La interconexin de nubes privadas, pblicas, la virtualizacin en varios niveles, las
facilidades de conexin y la velocidad permiten adoptar nuevas arquitecturas que facilitan
la administracin de un conjunto de componentes muy diverso.

Experiencia con Windows Server


Essentials
Se trata de un nuevo rol de Windows Server 2012 R2. Este rol ayuda a proteger los datos,
ofreciendo un acceso a la informacin desde casi cualquier dispositivo.

Este servicio le ayuda a conectarse rpidamente a las aplicaciones de gestin de su empresa


y a los servicios asociados - accesibles desde este servidor.

Este rol le aporta el mismo nivel de facilidad en la administracin que el proporcionado por
SBS, dejando a un lado la mensajera, que no est incluida en este rol. En cambio, se ha
hecho lo posible para poder integrar fcilmente la mensajera correspondiente a Office 365,
y la mensajera de tipo Exchange.

Preste atencin, como con SBS, este rol incluye sus restricciones, en particular a la hora de
tener en cuenta bosques mono-dominios nicamente.

1. Instalacin

En la ventana del Asistente para agregar roles y caractersticas, seleccione el rol


Experiencia con Windows Server Essentials de la lista.
Este rol integra toda una serie de componentes. Haga clic en Agregar caractersticas.
Podemos observar la instalacin automtica de numerosos componentes relacionados con el
rol IIS as como la herramienta de copia de seguridad.

No hay que agregar ninguna caracterstica adicional.


Haga clic en Siguiente.
El rol IIS se instala automticamente!
Valide la lista de componentes IIS instalados, y agrguelos si fuera necesario.
Confirme la instalacin de los componentes haciendo clic en Instalar.
Valide el resultado de la instalacin.
2. Configuracin inicial

Tras la instalacin de la funcionalidad, la consola de gestin de servidores pide realizar la


configuracin.

Haga clic en el enlace Ms... junto al mensaje Requiere configuracin para:....


Haga clic en la accin Configurar Windows Server Essentials en el detalle de las tareas.

Si la configuracin es vlida, haga clic en Configurar.


Haga clic en Cerrar.
Observe que el sistema puede reiniciar en cualquier momento.

Si todo va bien, ver aparecer el siguiente mensaje:


Preste atencin, Windows Server Essentials se configura por defecto en los puertos 80 y
443. Entrar, por tanto, en conflicto con cualquier otro servicio Web ya instalado, as como
con la funcin Carpetas de trabajo, que utiliza los mismos puertos!

Por otro lado, el servicio entidad de certificados se instala automticamente, y se solicita


automticamente un certificado a esta entidad.

3. Administracin

La herramienta de administracin principal se llama Panel, para la que existe un


acceso directo en el escritorio. Observe que no hay que confundirlo con el cuadro de mando
de administracin de servidores.

He aqu el panel de Windows Server Essentials:


Aqu encontrar la lista esencial de tareas a manejar para obtener las funcionalidades
deseadas:

Administrar las cuentas y las carpetas


Administrar el acceso desde cualquier lugar
Configurar la copia de seguridad
Integrar equipos

La ventaja consiste en obtener, a continuacin, rpidamente el estado de seguimiento, de


los servidores, etc.

Es posible, a continuacin, integrar distintos servicios locales o remotos (Cloud):


En las aplicaciones, existe la posibilidad de conectarse a Microsoft Pinpoint. Se trata de
una ubicacin donde podemos encontrar herramientas complementarias que se integran con
Windows Server Essentials.
4. Configuracin del cliente en el equipo del usuario

Para instalar el cliente que permite interactuar con esta funcionalidad, utilice la URL
http://NombreDelServidor/CONNECT, que da acceso a un enlace de descarga de la
herramienta llamada Conector, compatible con Windows 7 SP1, Windows 8, Windows 8.1
y Mac OS X 10.6 a 10.8.

Tras la instalacin, el equipo se integra al dominio, si no lo estuviera ya.

Descargue la herramienta.

Ejecute el asistente de instalacin.


Siga la instalacin.
Indique su nombre de usuario y contrasea.
Se muestra una alerta de seguridad sobre la cuenta Administradores.

Seleccione la opcin apropiada. Haga clic en No si configura el cliente para el conjunto de


usuarios del equipo.
La primera opcin est, principalmente, adaptada a equipos porttiles y equipos personales,
la segunda opcin a equipos de empresa.

Configure el modo de copia de seguridad del equipo.


Valide la configuracin.
Una vez terminada la instalacin, se agrega un componente a la barra de tareas.

Preste atencin, tras la primera conexin se realiza una copia de seguridad de la estacin

Las copias de seguridad de los equipos cliente estn ubicadas en archivos especiales con
extensin de tipo DAT en el servidor, en la carpeta C:\ServerFolders\Copias de seguridad
de equipos cliente.

5. Uso

Si se ha configurado para todos los usuarios del puesto de trabajo, cualquier usuario que
inicie sesin se conectar, automticamente, al servidor.
El entorno del usuario incluye dos elementos para acceder a los datos:

El acceso directo en el Escritorio.

ste contiene dos accesos directos que apuntan a carpetas de trabajo a travs del
recurso compartido Carpetas compartidas sobre el servidor.

El icono de la aplicacin Launchpad, instalado por el conector, aparece en la barra


de tareas.

Si se abre el LaunchPad, se obtiene la lista de aplicaciones disponibles.

Por defecto, aparece la siguiente pantalla:


El usuario puede, de este modo, iniciar una copia de seguridad, acceder de manera remota
si el mdulo se ha configurado para obtener las carpetas compartidas, as como las
aplicaciones agregadas tales como el correo electrnico, si se hubiera configurado.

La aplicacin Panel est accesible nicamente a aquellos usuarios declarados como


administradores en la consola de administracin de Windows Server Essentials.

6. Conclusin

La administracin aprovecha una herramienta que le permite implementar rpidamente toda


una infraestructura comparable a la que se provee con SBS o en la versin especfica de
Windows Server 2012 Essentials, salvo en lo relativo al correo electrnico, que se propone
como una integracin con Office 365.

Ahora es posible realizar una pequea maqueta para afinar la configuracin y adaptarla a
las necesidades concretas del proyecto. Por ejemplo, las carpetas compartidas se crean por
defecto en el disco C: del servidor.

Introduccin
Este captulo est dedicado al rol Servicios de Escritorio remoto (Remote Desktop
Services) de Windows Server 2012 R2. Probablemente ya utiliza este servicio para
administrar su parque de servidores de forma cotidiana. Tras revisar este uso simple
aunque, ciertamente, crtico, veremos la potencia del rol RDS. Esto incluye, en particular,
la publicacin de aplicaciones, del escritorio en modo sesin o virtual, as como el acceso a
estas aplicaciones a travs de una pasarela Web.

Antes de empezar, vamos a realizar algunas aclaraciones sobre la nomenclatura. El nombre


de los servicios se ha visto modificado desde Windows Server 2008 R2, y encontramos
nuevos nombres en Windows Server 2012 R2:

Antes de Windows Windows Server 2012 R2 Tambin llamado


Server 2008
Terminal Services Servicios de Escritorio RDS
remoto (Remote Desktop
Services)
Terminal Server Host de sesin de Escritorio RDSH
remoto
no exista Host de virtualizacin de RDVH o VDI
Escritorio remoto
Administracin de Administracin de licencias
licencias TS de Escritorio remoto
Service Broker TS Agente de conexin a RDCB (Connection Broker)
Escritorio remoto RDSB (Service Broker) o
Broker
Acceso Web TS Acceso Web para los RDWA o RDWEB
servicios de Escritorio remoto
Puerta de enlace de Puerta de enlace de Escritorio
TS remoto

Como podr observar, el cambio principal es que se ha remplazado "Terminal Services" por
"servicios de Escritorio remoto".

Esta obra, centrada en Windows Server 2012 R2, utiliza la nueva nomenclatura en lo
sucesivo. Aquellas funcionalidades que slo existan en una versin se destacarn. La
denominacin "Escritorio remoto" se remplazar, a menudo, por la voz inglesa RDS
(Remote Desktop Services) con el objetivo de hacer ms legible el texto.

Windows Server 2012 R2 incluye su conjunto de mejoras en los servicios de Escritorio


remoto respecto a las versiones anteriores. En particular, destacaremos:

Una consola de administracin que le permitir administrar sus servidores de


Escritorio remoto o escritorios virtuales de forma sencilla y centralizada.
Los discos de perfil de usuario que permiten ampliar la gestin de los perfiles
mviles.
La gestin automatizada de los escritorios virtuales que permite recrear escritorios
virtuales, una vez aplicadas las actualizaciones de seguridad instaladas en el modelo
de escritorio virtual.
La instalacin simplificada de los servicios de Escritorio remoto en modo sesin o
en modo de escritorios virtuales (VDI).
Una mejora en la compresin de los flujos de audio y vdeo con una reduccin del
ancho de banda de casi el 50% en algunos casos.
La posibilidad de visualizar las sesiones (Session Shadowing), que permite
supervisar y controlar la sesin de otro usuario conectado a un servidor host de
sesin de los servicios de Escritorio remoto o a un escritorio virtual que se ejecuta
sobre un servidor host de virtualizacin de los servicios de Escritorio remoto.
Una mejor tasa de compresin de los flujos RDP, que mejora el uso del ancho de
banda.
Una mejora en el tiempo de reconexin (Quick reconnect), tras la prdida de la
conexin mediante un escritorio virtual, una sesin o una aplicacin RemoteApp.
La posibilidad de instalar el rol Connection Broker en un servidor controlador de
dominio.

Sera demasiado extenso enumerar la lista completa.

Windows 8.1 y Windows Server 2012 R2 incluyen el cliente Remote Desktop Client
(RDC) en su versin 8.0. El objetivo consiste en mejorar la experiencia de usuario
proporcionando:

Soporte multi-touch.
Redireccin dinmica de USB mediante RemoteFX.
Gestin de la reconexin automtica para aplicaciones RemoteApp y conexiones de
Escritorio remoto.
Integracin de una autenticacin nica (Single Sign-on).
Integracin de una API mediante RemoteFX para VoIP.
Integracin de sesiones anidadas.
Un verdadero soporte multipantalla (en lugar de la extensin habitual).
Soporte a pantallas con cambio de representacin apaisada/vertical.
Soporte a la hora de agregar o eliminar una pantalla en caliente (conexin a un
proyector de vdeo, por ejemplo) en una sesin y las aplicaciones RemoteApp.
Securizacin de las conexiones de administracin mediante el modo
RestrictedAdmin, que permite realizar una autenticacin mediante un ticket
Kerberos y un token de autenticacin de la sesin interactiva sin necesidad de
volver a introducir las credenciales tras la conexin. No se enva ninguna
contrasea, encriptada o en claro, al servidor, y no existe, por tanto, la posibilidad
de que un pirata nos robe la contrasea (ni siquiera el hash de la contrasea). Los
sistemas operativos compatibles son nicamente Windows Server 2012 R2 y
Windows 8.1 (tanto del lado cliente como servidor de conexin). Adems, slo
aquellos usuarios miembros del grupo local Administradores (directa o
indirectamente) podrn conectarse en modo RestrictedAdmin. Para abrir una
conexin en modo RestrictedAdmin necesita escribir el comando mstsc.exe
/restrictedAdmin. Observe que el parmetro /admin viene implcito con el
parmetro /restrictedAdmin.

RemoteFX, incluido por primera vez con Windows Server 2008 R2 SP1, ha visto
evolucionar sus funcionalidades gracias a Windows Server 2012 R2. He aqu las
principales mejoras de RemoteFX:

Soporte de DirectX 11.1: en una sesin, RemoteFX gestiona, ahora, DirectX 11.1
sobre los procesadores grficos virtuales (vGPU) con el objetivo de mejorar la
calidad grfica y dar soporte, tambin, a la visualizacin 3D, siempre basada en
DirectX 11.1.
Soporte de aplicaciones Metro RemoteFX gestiona las aplicaciones Metro
introducidas con Windows 8.
Soporte extendido de dispositivos USB: RemoteFX puede, ahora, redirigir varios
tipos de dispositivos USB, tales como impresoras, telfonos mviles,
lectores/grabadoras de CD, lectores de smartcard, webcams u otros dispositivos
USB. Adems, los dispositivos USB pueden redirigirse en mitad de una sesin, de
forma dinmica, y no slo durante la apertura de la sesin.
Mejora de las conexiones WAN y externas: gracias a las funcionalidades de
RemoteFX Adaptative Graphics, RemoteFX Media Streaming y RemoteFX for
WAN, se hace mucho ms cmodo trabajar a distancia.

Para aprovechar todas las mejoras aportadas por RemoteFX, es preciso utilizar el cliente
RDP 8.1.

En una infraestructura de servicios de Escritorio remoto con Windows Server 2012 R2, los
servicios de rol Agente de conexin a Escritorio remoto son el pilar fundamental.

Este servicio de rol permite gestionar el conjunto de sesiones de usuario sobre varios
servidores RDS. Esto mejora, a su vez, la experiencia de usuario, agregando las
publicaciones RemoteApp, escritorio remoto y escritorio virtual en una vista nica. Para
ello, almacena el estado de todas las sesiones de todos los servidores, informacin que
recibe mediante servidores RDS. Cuando un usuario se conecta por primera vez sobre un
servidor, el Agente de sesiones memoriza esta conexin. Si el usuario pierde la conexin de
red, su sesin TS permanece activa sobre el servidor, aunque en estado desconectado.
Cuando vuelva a tener conexin de red, y vuelva a conectarse con el servidor, el Agente de
sesiones detectar que ya existe una sesin existente y enviar al usuario sobre este servidor
RDS. De este modo, el usuario volver a su sesin anterior en lugar de crersele,
potencialmente, una sesin nueva.

Tambin se utiliza, por defecto, el servidor de administracin de la implementacin como


punto de unin con la nueva consola de gestin de los servicios de Escritorio remoto.

No podr tener una infraestructura de servicios de Escritorio remoto en Windows Server


2012 R2 sin tener este rol instalado. Es obligatorio, aunque casi transparente.
Implementar los Servicios de Escritorio
remoto
Desde un punto de vista tcnico, los servicios de Escritorio remoto ya estn instalados, por
defecto, aunque detenidos, con Windows Server 2012 R2. A diferencia de las versiones
anteriores a Windows Server 2008 R2, esto servicios se ejecutan, en lo sucesivo, con la
cuenta "Servicio de red" en lugar de como local system. La seguridad del sistema se ha
visto mejorada y, de este modo, un fallo en el servicio tiene un impacto menor que antes.
Como se explica en la base de conocimientos de Microsoft (KB946399), la cuenta
"Servicio de red" necesita tres privilegios para ejecutar los servicios de Escritorio remoto:

Ajustar las cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege).


Generar auditoras de seguridad (SeAuditPrivilege).
Remplazar un token a nivel de proceso (SeAssignPrimaryTokenPrivilege).

Estos tres privilegios no deben eliminarse de la cuenta (mediante una GPO...), o existe el
riesgo de no poder ejecutar ms estos servicios. Desde Windows Server 2008 es, no
obstante, posible detener el servicio RDS, lo que no poda hacerse antes. Puede comprobar
el estado actual del servicio as como los estados aceptados por el servicio utilizando el
siguiente comando (el nombre corto del servicio no se ha modificado):

sc query TermService

El servicio RDS utiliza, por defecto, el puerto TCP 3389. Mientras el acceso remoto no se
haya autorizado de manera explcita, el servidor no escucha en el puerto TCP para no
exponer los servicios sobre la red. El siguiente comando permite verificar que el puerto
TCP 3389 no escucha nada sobre el servidor, por el momento:

netstat -an | findstr 3389


Para aprovechar el conjunto de funcionalidades que ofrece Windows Server 2012 R2, se
requiere el cliente RDP versin 8.1 (realmente, la versin 6.3.9600, aunque no se
corresponde con el sistema operativo). Ya est incluido en Windows 8.1 y Windows Server
2012 R2. En el momento de escribir estas lneas, no existe un cliente RDP 8.1 para sistemas
anteriores a Windows 8.1, aunque las versiones 8.0 y 7.0 del cliente RDP siguen siendo
compatibles con los servicios de Escritorio remoto de Windows Server 2012 R2, sin las
mejoras aportadas por la versin 8.1 del cliente RDP.

Los servicios de rol que componen este rol de Servicios de Escritorio remoto son:

Host de sesin: permite, a un servidor, hospedar aplicaciones o el escritorio


completo de Windows. Todos los usuarios pueden conectarse, no slo los
administradores. Se ha eliminado la limitacin a dos sesiones concurrentes.
Host de virtualizacin: los servicios de Escritorio remoto se integran con Hyper-V
y permiten implementar escritorios o aplicaciones virtuales, en modo pool o
personalizado, y presentarlas a los clientes mediante el cliente RDP, RemoteApp o
mediante acceso Web.
Administrador de licencias: gestiona la asignacin de licencias CAL por
dispositivo o usuario con el objetivo de conectarse a un servidor RDSH o RDVH.
Agente de sesiones: permite repartir las sesiones TS en una infraestructura (o granja
de servidores) RDS, as como la reconexin a una sesin existente en una granja.
Gestiona, a su vez, el reparto de carga entre los servidores del mismo grupo siempre
que no exista una sesin abierta para un usuario determinado.
Puerta de enlace: permite a los usuarios habilitados consumir recursos desde
Internet siempre que el perifrico ejecute el cliente RDC. El flujo RDP (Remote
Desktop Protocol), inicialmente sobre el puerto TCP 3389, se encapsula en un canal
HTTPS (puerto TCP 443) entre el cliente y la puerta de enlace de los servicios de
Escritorio remoto. Esto le va a permitir utilizar una conexin VPN para acceder a
los recursos ofrecidos por los servicios de Escritorio remoto.
Acceso Web: permite presentar las aplicaciones y los escritorios remotos a los
usuarios mediante un simple sitio Web. Est acoplado a la Puerta de enlace de
Escritorio remoto, lo que permite aumentar las posibilidades de acceso por parte
de los usuarios, en particular desde hoteles, estaciones u otras empresas, donde el
acceso a Internet est, a menudo, limitado a un flujo HTTP (TCP 80) y HTTPS
(TCP 443).
1. Administracin remota

Si bien el servicio de Windows ya est instalado, ste no se inicia por defecto. En efecto, el
servicio de Escritorio remoto (TermService) est configurado con un arranque Manual, y
se configura automticamente con arranque Automtico cuando se habilita la
Administracin remota o se instalan los servicios de rol Host de sesin de Escritorio
remoto o Host de virtualizacin de Escritorio remoto. De momento no puede utilizarlo
para administrar sus servidores de forma remota, es preciso autorizar explcitamente el
acceso remoto mediante el Administrador del servidor.

Abra la consola Administrador del servidor y haga clic en Servidor local en la zona de
navegacin.

En la parte principal de la consola, dentro de Propiedades para NombreDeServidor, haga


clic en Deshabilitado donde indica Escritorio remoto.

Se abre una ventana de Propiedades del sistema, donde la pestaa Acceso remoto
permite habilitar el escritorio remoto, con o sin NLA, as como autorizar a ciertos usuarios
a conectarse. Escoja la opcin Permitir las conexiones remotas a este equipo.
Esta interfaz modifica dos claves del registro: fDenyTSConnections y User-
Authentication, ubicadas en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server.
La primera bloquea cualquier conexin TS, ser necesario asignarle un valor 0 para
autorizar las conexiones, y la segunda exige la autenticacin NLA siempre que su valor sea
1.

Aparece el siguiente mensaje informativo, haga clic en Aceptar.


La gestin del Firewall de Windows se describe en el captulo Securizar su arquitectura.

Deje la opcin Permitir slo las conexiones desde equipos que ejecuten Escritorio
remoto con Autenticacin a nivel de red (recomendado) marcada. A continuacin, haga
clic en Aplicar.

NLA significa Network Level Authentication. El objetivo consiste en luchar contra los
ataques llamados hombre en el medio (man in the middle) autenticando al servidor RD
antes de que se conecte el usuario. Es posible utilizar varios protocolos para realizar esta
tarea: kerberos, TLS/SSL, NTLM. Tcnicamente, se basa en el proveedor CredSSP, que
utiliza SSPI (Security Service Provider Interface). Una vez superada la fase de
autenticacin mutua, el cliente provee las credenciales del usuario, que se encriptan dos
veces con las claves de sesin SPNEGO y TLS.

El Escritorio remoto, destinado especialmente a la administracin remota, permite, por


defecto, acceder nicamente a los miembros de los grupos Administrador local y
Administrador de dominio. Puede agregar otras cuentas haciendo clic en el botn
Seleccionar usuarios.

Haga clic en el botn Aceptar para cerrar la ventana de las propiedades del sistema

Ahora que el acceso remoto est abierto, el servicio RDS est iniciado y escuchando en el
puerto TCP y UDP 3389 (una lnea para IP versin 4 y otra para IP versin 6):
En efecto, Windows Server 2012 R2 gestiona, ahora, el protocolo UDP para los servicios
de Escritorio remoto. La conexin inicial se realiza siempre sobre el puerto 3389 TCP.
UDP entra en juego una vez establecida la conexin inicial, para acelera la tasa de
transferencia.

Sobre una red local, la tasa de transferencia es generalmente buena, entre los 100 Mb/s y
1000 Mb/s. El protocolo UDP no aporta, necesariamente, una mejora importante en el
rendimiento, salvo para el uso de RemoteFX. Por el contrario, UDP adquiere sentido
cuando hablamos de conexiones de tipo WAN o mediante una puerta de enlace de servicios
de Escritorio remoto, donde la tasa de transferencia se ve limitada a la velocidad de su
conexin a Internet.

Para aprovechar el protocolo UDP, es preciso utilizar, como mnimo, el cliente RDP 8.0.

Puede, ahora, utilizar el escritorio remoto para administrar su servidor. Esta funcionalidad
no requiere la instalacin del rol Escritorio remoto. La administracin remota se considera
algo indispensable en cualquier servidor, sea cual sea su uso, y no se caracteriza por un rol
determinado.

La administracin remota es muy til, aunque no supone un avance destacado. Es


momento de explotar todo el potencial del rol! Para ello, tras haber instalado los
componentes del rol, se configurarn en el marco de ejemplos concretos.

2. Instalacin de los servicios de Escritorio remoto

Windows Server 2012 R2 utiliza una nueva forma (incluida con Windows Server 2012) de
instalar los servicios de Escritorio remoto basada en escenarios que simplifican, as, la
instalacin de los distintos servicios de rol de Escritorio remoto sobre varios servidores.
Este modo de instalacin instala y configura tambin el protocolo de despliegue de
Escritorio remoto que permite administrar el servidor mediante la nueva interfaz de gestin
de servicios de Escritorio remoto RDMS.

Sigue siendo posible instalar los servicios de Escritorio remoto mediante la instalacin
basada en roles o caractersticas. No obstante, este modo de instalacin requiere una
administracin por GPO o directamente en la base de registro. En efecto, las consolas de
administracin tsadmin.msc y tsconfig.msc ya no existen en Windows Server 2012 R2.
Adems, si prev agregar su servidor RDS 2012 R2 a una granja RDS 2008 R2, tendr que
seleccionar este modo de instalacin.

Si bien todos los servicios de rol de Escritorio remoto pueden instalarse sobre el mismo
servidor, se recomienda separarlos. En la mayora de casos, los servicios de rol Host de
sesin y Host de virtualizacin se instalan slo sobre un servidor, el Administrador de
licencias se instala, a menudo, sobre un controlador de dominio, y el Acceso Web y la
Puerta de enlace se agrupan en otro servidor.

Por qu separar los servicios de rol de Escritorio remoto? Desde un punto de vista
prctico, es obligatorio para poder configurar en clster los servidores Host de sesin (RD
Session Host) y el Acceso Web (RD Web Access). Otro ejemplo es que, si su
infraestructura RDS soporta un gran nmero de usuarios que utilizan la misma puerta de
enlace de los servicios de Escritorio remoto, esta ltima consumir bastante tiempo de
procesador para el cifrado de los flujos SSL y, por tanto, ralentizar a los usuarios que
trabajan en la parte Host de sesin si estos servicios de rol estn instalados en el mismo
servidor.

Observe que la instalacin del rol Connection Broker sobre un controlador de dominio est,
ahora, soportada, aunque no es una buena prctica.

He aqu las principales posibilidades para instalar los servicios de Escritorio remoto:

Mediante la instalacin de Escritorio remoto: este modo de instalacin, tambin


llamado modo escenario, permite implementar sobre uno o varios servidores los
servicios de rol de Escritorio remoto mediante un asistente de instalacin grfico.
Permite instalar los servicios de rol RD Session Host, RD Web Access y RD
Session Broker.
Mediante la instalacin basada en roles o caractersticas: este modo de
instalacin, idntico a las versiones anteriores de Windows Server, permite instalar
cada servicio de rol de Escritorio remoto de forma unitaria. Ser preciso utilizar este
modo de instalacin para instalar los servicios de rol de Escritorio remoto
siguientes: Administrador de licencias de Escritorio remoto y Puerta de enlace
de Escritorio remoto.
Mediante PowerShell: con PowerShell, veremos que es posible reproducir los dos
tipos de instalacin anteriores.
a. Requisitos previos

Antes de proceder con la instalacin de los servicios de Escritorio remoto, debe asegurar
que se respetan, como mnimo, los siguientes requisitos previos:

Los servidores afectados por la instalacin deben ser miembros del dominio Active
Directory.
Los servidores afectados por la instalacin deben tener una direccin IP fija.

Es tambin aconsejable crear una jerarqua de unidades organizativas dedicada a los


servicios de Escritorio remoto en el seno de Active Directory. El objetivo consiste en poder
aplicar las directivas de grupo nicamente a aquellos servidores y equipos virtuales que
formen parte de los servicios de Escritorio remoto (principalmente servidores RD Session
Host). Otra ventaja "oculta" es que esto le va a permitir organizar mejor su arborescencia de
servidores en el seno de su Active Directory.

Para instalar los servicios de Escritorio remoto, debe utilizar una cuenta de usuario que
posea, al menos, permisos de Administrador local sobre los servidores afectados por la
instalacin.

b. Instalacin Inicio rpido

Como ya hemos mencionado, la instalacin de los servicios de Escritorio remoto es algo


sencillo, sobre todo utilizando el asistente de instalacin en modo Inicio rpido. Este tipo de
instalacin implementar los servicios de rol necesarios (RDWEB, Agente de conexin y, o
bien RDSH, o bien RDVH) sobre el mismo servidor.

Instalacin basada en sesiones

A continuacin, se muestra cmo instalar los servicios de Escritorio remoto basados en


sesiones:

Desde el futuro servidor de servicios de Escritorio remoto, abra el Administrador del


servidor, haga clic en el men Administrar y, a continuacin, Agregar roles y
caractersticas.

Se abre el Asistente para agregar roles y caractersticas y le muestra la pantalla Antes


de comenzar, haga clic en el botn Siguiente.

En la pantalla Seleccionar el tipo de instalacin, marque Instalacin de Servicios de


Escritorio remoto y, a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar tipo de implementacin, marque Inicio rpido y, a


continuacin, haga clic en Siguiente.

En la pantalla Seleccionar escenario de implementacin, marque Implementacin de


escritorio basada en sesin y, a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar un servidor, seleccione el nombre del servidor afectado por la


instalacin de los servicios de Escritorio remoto en la columna Grupo de servidores, y
haga clic en la flecha situada en el centro para desplazarlo a la columna Seleccionado. Si
realiza la instalacin desde otro servidor, puede que el nombre del servidor afectado por la
instalacin no aparezca en la lista Pool de servidores. Ser preciso anular la instalacin de
los servicios de Escritorio remoto, volver al Administrador del servidor, abrir el men
Administrar y seleccionar Agregar servidores para incluir su servidor. Haga clic en el botn
Siguiente para continuar con la instalacin.

En la pantalla Confirmar selecciones, marque la opcin Reiniciar automticamente el


servidor de destino en caso necesario y haga clic en el botn Implementar.

El Asistente para agregar roles y caractersticas le muestra, a continuacin, la pgina


Ver progreso que le permite implementar roles y servicios de rol. Una vez se haya
reiniciado automticamente el servidor, abra de nuevo una sesin con la cuenta de usuario
que haya utilizado para realizar la instalacin de los servicios de Escritorio remoto y, a
continuacin, abra el Administrador del servidor para terminar la instalacin. Este ltimo
abrir, automticamente, la ventana del Asistente para agregar roles y caractersticas en
la pgina Ver progreso. Una vez terminadas las etapas de la instalacin con xito, haga
clic en el botn Cerrar.
Una vez finalizado el procedimiento de instalacin, su servidor est listo para recibir
sesiones de usuario. En efecto, el modo de instalacin inicio rpido instala y configura los
roles necesarios para los servicios de Escritorio remoto sobre un entorno Windows Server
2012 R2 (servicios de sesin de agente de conexin, acceso Web, servidores host de
sesin), la consola de administracin de los servicios de Escritorio remoto (RDMS, Remote
Desktop Management Service), configura el punto de implementacin de los servicios de
Escritorio remoto, y crea una coleccin para el servicio de sesin de Escritorio remoto
llamada QuickSessionCollection. Puede, tambin, observar que este modo de instalacin
publica de manera automtica tres aplicaciones a travs de RemoteApp: Calculadora, Paint,
WordPad.

Vista del conjunto de una implementacin en modo rpido.


Vista de la coleccin creada por defecto por una implementacin en modo rpido.

Aparece un icono en la barra de tareas que le advierte sobre la ausencia de licencias. Ser
preciso disponer de un servidor de licencias, con un periodo de prueba de 120 das. Tendr
que instalar el administrador de licencias de servicios de Escritorio remoto, habilitarlo e
instalar las licencias de acceso cliente a los servicios de Escritorio remoto.

Tambin tendr que obtener (o administrar) y asociar al servidor RD Session Broker y al


servidor RD Session Host certificados digitales, y precisar, si fuera necesario, la
configuracin de los parmetros de la coleccin del servicio de implementacin de
Escritorio remoto, las conexiones, las aplicaciones publicadas mediante RemoteApp... Y,
para finalizar, tendr evidentemente que instalar las aplicaciones sobre las que podrn
acceder los usuarios de los servicios de escritorio remoto.

He aqu el equivalente en PowerShell:

# Instalacin en modo roles y caractersticas (opcional)


Install-WindowsFeature RDS-RD-Server,RDS-Web-Access,RDS-Connection-
Broker -IncludeManagementTools

# Instalacin en modo escenario servicio de Escritorio remoto


New-RDSessionDeployment -ConnectionBroker rds1.MiEmpresa.Priv
-WebAccessServer rds1.MiEmpresa.Priv -SessionHost rds1.MiEmpresa.Priv
# Creacin de la coleccin
New-RDSessionCollection -CollectionName QuickSessionCollection -Session
Host rds1.MiEmpresa.Priv -ConnectionBroker rds1.MiEmpresa.Priv

# Publicacin de la calculadora mediante RemoteApp


New-RDRemoteApp -CollectionName QuickSessionCollection -Connection
Broker rds1.MiEmpresa.Priv -DisplayName Calculadora -Alias
Calculadora -FilePath "C:\Windows\system32\calc.exe"
-ShowInWebAccess $true -RequiredCommandLine $false

# Publicacin de WordPad mediante RemoteApp


New-RDRemoteApp -CollectionName QuickSessionCollection -Connection
Broker rds1.MiEmpresa.Priv -DisplayName WordPad -Alias WordPad
-FilePath "C:\Program Files\Windows NT\Accesorios\wordpad.exe"
-ShowInWebAccess $true -RequiredCommandLine $false

# Publicacin de Paint mediante RemoteApp


New-RDRemoteApp -CollectionName QuickSessionCollection -Connection
Broker rds1.MiEmpresa.Priv -DisplayName Paint -Alias Paint
-FilePath "C:\Windows\system32\mspaint.exe" -ShowInWebAccess $true
-RequiredCommandLine $false

Observe que la instruccin Install-WindowsFeatures... no es obligatoria. En efecto, la


instruccin New-RDSessionDeployment instalar todos los roles y servicios necesarios,
como IIS, por ejemplo.

Instalacin basada en escritorios virtuales

La instalacin basada en escritorios virtuales no es complicada. No obstante, es


preferible crear un disco virtual que contenga una instalacin de un cliente Windows. En
nuestro caso, utilizaremos un disco virtual que contenga una instalacin de Windows 8,
instalado y con el sistema preparado.

Cabe indicar que la instalacin en modo Inicio rpido crea, por defecto, una coleccin de
escritorios virtuales en Pool.

Recuerde que, a diferencia de las sesiones basadas en un servidor host de sesin donde
todos los usuarios abren una sesin sobre la misma mquina, gestionados por el servidor
host de sesin, las sesiones basadas sobre escritorios virtuales se abren sobre mquinas
virtuales donde se conecta un nico usuario.

A continuacin se muestra cmo instalar los servicios de Escritorio remoto basados en


escritorios virtuales (VDI) en modo Pool:

Abra el Administrador del servidor, haga clic en el men Administrar y seleccione


Agregar roles y caractersticas.

Se abre el Asistente para agregar roles y caractersticas. En la pantalla Antes de


comenzar, haga clic en Siguiente.
En la pantalla Seleccionar el tipo de instalacin, marque Instalar los servicios de
Escritorio remoto y, a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar tipo de implementacin, marque Inicio rpido y, a


continuacin, haga clic en Siguiente.

En la pantalla Seleccionar escenario de implementacin, marque Implemen-tacin de


escritorio basada en mquina virtual y, a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar un servidor, seleccione el servidor sobre el que desea instalar


los servicios de Escritorio remoto y haga clic en Siguiente.

En la pantalla Seleccionar una plantilla de escritorio virtual, escriba la ruta completa del
archivo de disco duro virtual que servir como modelo y habr creado previamente y, a
continuacin, haga clic en Siguiente.

En la pantalla Confirmar selecciones, marque la opcin Reiniciar automticamente el


servidor de destino en caso necesario y haga clic en el botn Implementar.

El Asistente para agregar roles y caractersticas le muestra, a continuacin, la pgina


Ver progreso que le permite implementar roles y servicios de rol. Una vez se haya
reiniciado automticamente el servidor, abra de nuevo una sesin con la cuenta de usuario
que haya utilizado para realizar la instalacin de los servicios de Escritorio remoto y, a
continuacin, abra el Administrador del servidor para terminar la instalacin. Este ltimo
abrir, automticamente, la ventana del Asistente para agregar roles y caractersticas en
la pgina Ver progreso. Una vez terminadas las etapas de la instalacin con xito, haga
clic en el botn Cerrar.

Si durante la instalacin de los servicios de Escritorio remoto en modo Implementacin de


escritorio basada en mquina virtual observa que se detiene en la etapa Coleccin de
escritorios virtuales - Creacin de la coleccin de escritorios virtuales..., que abriendo
el Administrador de Hyper-V, existe alguna mquina virtual adems de la mquina
virtual QuickMasterVM, en estado iniciado, y que su instalacin dura ms de 10 minutos,
entonces probablemente no tenga ningn servidor DHCP configurado en su red, o bien no
es accesible desde las mquinas virtuales que est tratando de implementar (mquina virtual
ubicada sobre el switch incorrecto, por ejemplo). Conviene, evidentemente, resolver este
problema, de modo que pueda finalizar su implementacin.

Como con una instalacin de los servicios de Escritorio remoto basada en sesiones y en
modo de inicio rpido, su servidor est listo para aceptar conexiones de usuario. No
obstante, estar limitado en cuanto al nmero de usuarios que pueden conectarse
simultneamente, puesto que slo se ha creado una VM durante la instalacin.

He aqu el equivalente en PowerShell:


# Instalacin en modo roles y caractersticas (opcional)
Install-WindowsFeature Hyper-V,RDS-Virtualization,RDS-Web-Access,
RDS-Connection-Broker -IncludeManagementTools -Restart

# Instalacin en modo escenario servicio de Escritorio remoto,


# debe realizarse desde otro equipo.
New-RDVirtualDesktopDeployment -ConnectionBroker rdvh1.MiEmpresa.Priv
-WebAccessServer rdvh1.MiEmpresa.Priv -VirtualizationHost
rdvh1.MiEmpresa.Priv -CreateVirtualSwitch

# Atribucin de permisos de creacin y eliminacin de VM


# sobre la OU Equipos
Grant-RDOUAccess -Domain MiEmpresa.Priv -OU "Computers"
-ConnectionBroker rdvh1.MiEmpresa.Priv

# Creacin de la coleccin
New-RDVirtualDesktopCollection -CollectionName QuickVMCollection
-PooledManaged -VirtualDesktopTemplateName "Win8.1 Ent"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation
@{"rdvh1.MiEmpresa.Priv" = 1} -StorageType LocalStorage
-VirtualDesktopNamePrefix Win81ent -ConnectionBroker
rdvh1.MiEmpresa.Priv

c. Implementacin estndar

Primera instalacin de los servicios de Escritorio remoto en modo sesin

La instalacin en modo Implementacin estndar le permitir instalar los servicios de rol


Escritorio remoto sobre varios servidores, con el objetivo de separar o instalar varios
servidores host simultneamente, aprovechando una instalacin ms sencilla.

A continuacin se describe cmo proceder para realizar una instalacin de los servicios de
Escritorio remoto basada en sesiones, sobre varios servidores (para dos servidores RDSH,
rds1.MiEmpresa.Priv y rds2.MiEmpresa.priv, y un servidor RDWA y RDCB,
rdsgw.MiEmpresa.Priv en este ejemplo):

Abra el Administrador del servidor, haga clic en el men Administrar y, a


continuacin, en Agregar roles y caractersticas, y seleccione la opcin Agregar
servidores para agregar los servidores que van a contener, al menos, un servicio de rol de
Escritorio remoto

En el Administrador del servidor, haga clic en Administrar y, a continuacin, en


Agregar roles y caractersticas.

Se abre el Asistente para agregar roles y caractersticas. En la pantalla Antes de


comenzar, haga clic en Siguiente.

En la pantalla Seleccionar el tipo de instalacin, marque Instalar los servicios de


Escritorio remoto y, a continuacin, haga clic en Siguiente.
En la pantalla Seleccionar tipo de implementacin, marque Implementacin estndar y,
a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar escenario de implementacin, marque Implementacin de


escritorio basada en sesin y, a continuacin, haga clic en Siguiente.

En la pantalla Revisar servicios de rol, haga clic en Siguiente.

En la pantalla Especificar servidor de Agente de conexin a Escritorio remoto,


seleccione el servidor que ser el RD Connection Broker en la columna Pool de servidores
y, a continuacin, haga clic en la flecha situada en el centro para deslizarlo en la columna
Seleccionado (el servidor rdsgw.MiEmpresa.Priv en nuestro ejemplo). A continuacin,
haga clic en Siguiente.

En la pantalla Especificar servidor de acceso Web de conexin a Escritorio remoto,


seleccione el servidor que ser el RD Web Acces en la columna Pool de servidores y, a
continuacin, haga clic en la flecha situada en el centro para deslizarlo en la columna
Seleccionado (el servidor rdsgw.MiEmpresa.Priv en nuestro ejemplo). A continuacin,
haga clic en Siguiente.

En la pantalla Especificar servidores host de sesin de Escritorio remoto, seleccione el


o los servidores que sern RD Session Host en la columna Pool de servidores y, a
continuacin, haga clic en la flecha situada en el centro para deslizarlo en la columna
Seleccionado (los servidores rds1.MiEmpresa.Priv y rds2.MiEmpresa.Priv en nuestro
ejemplo). A continuacin, haga clic en Siguiente.

En la pantalla Confirmar selecciones, marque la opcin Reiniciar automticamente el


servidor de destino en caso necesario y haga clic en el botn Implementar.

Tras finalizar la instalacin, se reiniciar el servidor. Una vez reiniciado, abra de nuevo
una sesin con la cuenta de usuario que haya utilizado para realizar la instalacin y, a
continuacin, abra el Administrador del servidor para que finalice el asistente de
instalacin y configuracin de los servicios de Escritorio remoto. Haga clic en Cerrar.

Una vez terminada la instalacin de los servicios de Escritorio remoto, slo los usuarios
miembros del grupo Administradores de dominio podrn abrir una sesin sobre los
servidores RD Session Host. El motivo es bien simple, el asistente de instalacin no ha
creado ninguna coleccin, ni existen aplicaciones publicadas por RemoteApp.

Adems de seguir las mismas recomendaciones que con la post-instalacin de la


instalacin de los servicios de Escritorio remoto - Inicio rpido, tendr que crear una
coleccin.

A continuacin se muestran los comandos equivalentes en PowerShell (basados en


sesiones):

# Instalacin en modo escenario del servicio de Escritorio remoto


New-RDSessionDeployment -ConnectionBroker rdsgw.MiEmpresa.Priv
-WebAccessServer rdsgw.MiEmpresa.Priv -SessionHost
rds1.MiEmpresa.Priv,rds2.MiEmpresa.Priv

Primera instalacin de los servicios de Escritorio remoto en modo escritorio virtual

La instalacin basada en escritorios virtuales con una implementacin estndar es


prcticamente idntica, de modo que no vamos a describirla con detalle. He aqu los
comandos equivalentes en PowerShell para un servidor RDVH, rdvh1.MiEmpresa.Priv y
un servidor RDWA y RDCB, rdsgw.MiEmpresa.Priv en este ejemplo):

# Instalacin en modo roles y caractersticas (opcional)


Install-WindowsFeature Hyper-V,RDS-Virtualization,RDS-Web-Access,
RDS-Connection-Broker -IncludeManagementTools -Restart

# Instalacin en modo escenario del servicio de Escritorio remoto,


# debe realizarse desde otro puesto.
New-RDVirtualDesktopDeployment -ConnectionBroker rdsgw.MiEmpresa.Priv
-WebAccessServer rdsgw.MiEmpresa.Priv -VirtualizationHost
rdvh1.MiEmpresa.Priv -CreateVirtualSwitch

Agregar un tipo de implementacin

Una instalacin basada en un despliegue de sesin puede, tambin, gestionar un despliegue


de escritorios virtuales. Para ello, basta con proceder como si se tratara de una nueva
instalacin:

Abra el Administrador del servidor, haga clic en el men Administrar y seleccione


Agregar roles y caractersticas.

Se abre el Asistente para agregar roles y caractersticas. En la pantalla Antes de


comenzar, haga clic en Siguiente.

En la pantalla Seleccionar el tipo de instalacin, marque Instalar los servicios de


Escritorio remoto y, a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar tipo de implementacin, marque Implementacin estndar y,


a continuacin, haga clic en Siguiente.

En la pantalla Seleccionar escenario de implementacin, marque Implemen-tacin de


escritorio basada en mquina virtual y, a continuacin, haga clic en Siguiente.

.En la pantalla Revisar servicios de rol, haga clic en Siguiente.

En la pantalla Especificar servidor de Agente de conexin a Escritorio remoto,


verifique que est seleccionado correctamente su servidor de agente de conexin y haga
clic en Siguiente.
En la pantalla Especificar servidor de acceso Web de conexin a Escritorio remoto,
verifique que est seleccionado correctamente su servidor de acceso web y haga clic en
Siguiente.

En la pantalla Especificar servidor host de virtualizacin de Escritorio remoto,


seleccione el servidor que ser host de virtualizacin para los servicios de Escritorio remoto
y marque la opcin Crear un nuevo conmutador virtual en los servidores seleccionados
y, a continuacin, haga clic en Siguiente.

En la pantalla Confirmar selecciones, marque la opcin Reiniciar automticamente el


servidor de destino en caso necesario y haga clic en el botn Implementar.

El Asistente para agregar roles y caractersticas le muestra, ahora, la opcin Ver


progreso que le permite supervisar el despliegue de roles y servicios de rol. El servidor
host de virtualizacin reiniciar dos veces durante la instalacin, debido a la instalacin del
rol Hyper-V. Cuando finalicen todas las etapas de instalacin con xito, haga clic en
Cerrar.

Ejemplo con un servidor Host de sesin, rds1, que tambin es servidor de Acceso Web y
Agente de conexin

# Nuevo despliegue de sesiones.


New-RDSessionDeployment -ConnectionBroker rds1.MiEmpresa.Priv
-WebAccessServer rds1.MiEmpresa.Priv -SessionHost rds1.MiEmpresa.Priv

Ejemplo con un servidor Host de virtualizacin, rdvh1, y un servidor de Acceso Web y


Agente de conexin, rds1.

# Instalacin en modo servicio de Escritorio remoto,


# debe instalarse desde otro puesto.
New-RDVirtualDesktopDeployment -ConnectionBroker rds1.MiEmpresa.Priv
-WebAccessServer rds1.MiEmpresa.Priv -VirtualizationHost
rdvh1.MiEmpresa.Priv -CreateVirtualSwitch

# Atribucin de permisos de creacin y eliminacin de VM


# sobre la OU Computers
Grant-RDOUAccess -Domain MiEmpresa.Priv -OU "Computers"
-ConnectionBroker rdvh1.MiEmpresa.Priv

d. Instalacin mediante PowerShell

Instalacin de los servicios de Escritorio remoto mediante PowerShell

# Instalacin en modo roles y caractersticas


Install-WindowsFeature -Name NombreDelRol -IncludeManagementTools -
Restart

Este cmdlet le permite instalar roles (y/o caractersticas) que siguen al atributo Name, as
como su consola de administracin asociada. Si se requiere el reinicio del servidor, se podr
automatizar gracias al atributo Restart. Es, tambin, importante destacar que cualquier rol o
servicio de rol necesario para el rol especificado por el atributo Name se instalarn de
manera automtica, tales como RPC over HTTP, IIS, .NET Framework 4.5...

Es posible especificar varios roles al mismo tiempo separndolos por comas (por ejemplo:
RDS-SessionHost, RDS-Web-Access, RDS-ConnectionBroker).

Para obtener la lista de roles RDS posibles, instalados o no, puede ejecutar el siguiente
cmdlet:

Get-WindowsFeature *RDS*

Aparece un mensaje de advertencia que le indica que es necesario reiniciar para tener en
cuenta la instalacin del rol. Si realiza esta instalacin desde el Administrador del
servidor, y el servidor tiene, tambin, el rol de controlador de dominio, aparecer una
alerta que le indicar que no se recomienda realizar esta accin. En efecto, instalar el rol de
Escritorio remoto sobre un controlador de dominio conlleva verdaderos riesgos que debe
evaluar cuidadosamente.

Una vez ejecutado el cmdlet, los roles y servicios de rol estn instalados, aunque su
servidor no podr, de momento, responder a las consultas de los clientes puesto que falta,
todava, configurar los servicios de Escritorio remoto. Esta accin puede realizarse
mediante RDM (Remote Desktop Manager), por directiva de grupo (GPO) o incluso
mediante PowerShell.

Adems, para una instalacin con varios servidores, con separacin de roles, habr que
utilizar varios cmdlets PowerShell del tipo:

# Instalacin en modo roles y caractersticas (remoto)


Invoke-Command -ComputerName NombreDeServidor -Command{Install-
WindowsFeature -Name NombreDeRol -IncludeManagementTools -Restart }

El cmdlet PowerShell ms eficaz para instalar los servicios de Escritorio remoto basado en
sesiones es el siguiente:

# Instalacin del servicio de Escritorio remoto


New-RDSessionDeployment -ConnectionBroker rds1.MiEmpresa.Priv
-WebAccessServer rds1.MiEmpresa.Priv -SessionHost rds1.MiEmpresa.Priv

Tiene la ventaja de instalar y pre-configurar los servicios de Escritorio remoto sobre uno o
varios servidores de forma simultnea, con un nico cmdlet.

Para conocer ms cmdlets relacionados con la instalacin, consulte las secciones


Instalacin Inicio rpido e Implementacin estndar en este mismo captulo.

Para tener una idea de todos los cmdlets posibles puede utilizar el siguiente comando
PowerShell:

Get-Command *-RD*

3. Presentacin del Administrador de Servicios de Escritorio remoto

En un entorno de Escritorio remoto Windows Server 2012 R2, lo esencial de la


configuracin y de la administracin de los servicios de Escritorio remoto se realiza
mediante la nueva consola de administracin de servicios de Escritorio remoto (RDMS,
Remote Desktop Management Services), o por lnea de comando PowerShell.

Como hemos visto durante la instalacin, por defecto, una infraestructura de Escritorio
remoto en Windows Server 2012 R2 requiere, como mnimo, tres servicios de rol de
Escritorio remoto:

RD Connection Broker, que gestiona la infraestructura RDS, las conexiones de los


usuarios y el reparto de carga de red.
RD Web Access, que se encarga de proveer a los usuarios un portal de acceso Web
para la presentacin de las aplicaciones y escritorios pblicos.
Y, o bien RD Session Host (servidor de sesin), o bien RD Virtualization Host
(servidor de escritorio remoto virtual).

A todo esto se le debe agregar, obligatoriamente, un servidor de licencias de servicios de


Escritorio remoto (RD Licensing).

Con Windows Server 2012 R2, los servicios de Escritorio remoto se articulan en torno al
servicio de rol Agente de conexin, incluso aunque slo tenga un servidor host (de sesin o
de virtualizacin), y aunque no utilice la gestin de los perfiles de usuario. El servidor que
posee el servicio de rol Agente de conexin es, tambin, el servidor de implementacin de
los servicios de Escritorio remoto, servicio que permite, en particular, configurar el
conjunto de servicios de Escritorio remoto.

La consola de administracin de servicios de Escritorio remoto RDMS, integrada con el


Administrador del servidor, le obligar a abrir este ltimo para acceder a la consola RDMS
y configurar, as, su infraestructura RDS.

La primera seccin Informacin general le ofrece, como su propio nombre indica, una
vista general de su infraestructura de servicios de Escritorio remoto. Esta pantalla le
permite agregar servidores a los servicios de Escritorio remoto y, tambin, administrar la
configuracin de alta disponibilidad del servicio de rol Connection Broker. Veremos esto
un poco ms adelante en este captulo.

La segunda seccin Servidores le permite ver la lista de servidores que forman parte de su
infraestructura RDS, y le permite, tambin, agregar roles y caractersticas sobre estos
servidores y recopilar eventos. Encontrar, tambin, la herramienta Best Practice Analyzer
para los servicios de Escritorio remoto, que conviene ejecutar una vez terminadas la
instalacin y configuracin.
La siguiente seccin, Colecciones, le permite modificar, mediante el men Tareas en la
seccin Colecciones, los parmetros de implementacin comunes a toda la infraestructura
RDS conectada a su servidor de Agente de conexin, tales como: el mtodo de
autentificacin, el modo de licenciamiento, los certificados... Tambin podr agregar
nuevas colecciones. La seccin Conexiones le mostrar todas las conexiones activas sea
cual sea su coleccin de origen, y desde aqu podr enviar un mensaje, tomar el control
sobre la sesin (Instantnea en el submen), forzar la desconexin o cerrar la sesin del
usuario conectado.
Para terminar con la lista de secciones, encontrar, a continuacin, la lista de colecciones
disponibles. Con una instalacin en modo Inicio rpido, se crea una coleccin llamada
QuickSessionCollection si su instalacin se basa en hosts de sesin o QuickVMCollection
si su instalacin se basa en hosts de virtualizacin. Con cualquier otro modo de instalacin,
tendr que crear una nueva coleccin para que los usuarios puedan conectarse.

Desde la pantalla de una coleccin, es posible modificar las propiedades de dicha coleccin
y gestionar las aplicaciones RemoteApp. Si se trata de una coleccin de sesin, podr
agregar servidores host de sesin suplementarios o administrar las conexiones de dicha
coleccin. Si se trata de una coleccin de escritorios virtuales, podr agregar un escritorio
virtual o recrear todos los escritorios virtuales de la coleccin.

La vista de una coleccin de sesin QuickSessionCollection:


Vista de una coleccin de virtualizacin QuickVMCollection:

Configuracin
1. Propiedades de implementacin

Para acceder a las propiedades de implementacin, abra el Administrador del servidor,


vaya a la seccin Servicios de escritorio remoto, Colecciones y, a continuacin, en el
men Tareas seleccione la opcin Editar propiedades de la implementacin:

Pestaa Puerta de enlace de Escritorio remoto: permite definir el nombre de la


puerta de enlace de los servicios de Escritorio remoto que debe utilizarse as como
el mtodo de autenticacin.
Pestaa Administracin de licencias de Escritorio remoto: permite definir el
modo de licenciamiento (por usuario o por dispositivo) y el servidor de licencias
que se debe utilizar.
Pestaa Acceso Web a Escritorio remoto: muestra, simplemente, la lista de
servidores de Acceso Web.
Pestaa Certificados: le permite importar certificados o generar certificados auto-
firmados para los servicios de Escritorio remoto.
Pestaa Active Directory (requiere, al menos, un despliegue virtual): permite
indicar la unidad organizativa donde se crearn las cuentas de equipos
correspondientes a los escritorios virtuales de los servicios de Escritorio remoto.

Pestaa Ubicacin de exportacin de escritorio virtual (requiere, al menos, un


despliegue virtual): permite especificar la ubicacin donde se almacenarn los
modelos de escritorio virtual.

Los parmetros de despliegue afectan a todas las colecciones y todos los servidores
asociados a esta implementacin. Todos estos parmetros afectan, por tanto, a la
implementacin de los servicios de Escritorio remoto en su conjunto.

2. Configuracin de una coleccin de sesiones

En un entorno RDS en Windows Server 2012 R2, todos los servidores host de sesin de
una misma coleccin comparten los mismos parmetros de sesin, de seguridad,
de administracin de dispositivos...

Observe que un servidor host de sesin no puede pertenecer a ms de una coleccin.


He aqu el procedimiento que debe seguir si ha realizado una instalacin en
Implementacin estndar o si ha eliminado la coleccin por defecto o, simplemente, si
desea crear una nueva coleccin:

Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto,


Colecciones y, a continuacin, en el men Tareas, seleccione Crear coleccin de
sesiones.

Se abre el asistente Crear coleccin y aparece la pantalla Antes de comenzar, haga clic
en Siguiente.

En la pantalla Nombre de coleccin, escriba el nombre de su coleccin y, eventualmente,


una descripcin. A continuacin, haga clic en Siguiente.

En la pantalla Especificar servidores host de sesin de Escritorio remoto, seleccione el


o los servidores que formarn parte de dicha coleccin y, a continuacin, haga clic en
Siguiente.

En la pantalla Especificar grupos de usuarios, agregue los grupos de usuarios que


tendrn autorizacin de acceso sobre la coleccin y, a continuacin, haga clic en Siguiente.

En la pantalla Especificar discos de perfil de usuario, desmarque la opcin Habilitar


discos de perfil de usuario, y haga clic en Siguiente.

En la pantalla Confirmar selecciones, haga clic en el botn Crear.

Para finalizar, en la pantalla Ver progreso, haga clic en Cerrar.

He aqu el equivalente en PowerShell:

# Creacin de la coleccin
New-RDSessionCollection -CollectionName MiColeccionDeSesiones
-CollectionDescription "" -SessionHost rds1.MiEmpresa.Priv
-ConnectionBroker rds1.MiEmpresa.Priv

Tendr, ahora, una coleccin de servidores de sesin configurada de forma sencilla, sin
aplicaciones RemoteApp.

Propiedades de una coleccin de Hosts de sesin

He aqu una descripcin de las propiedades de una coleccin de servidores host de sesin:

Pestaa General: en esta pestaa puede modificar el nombre y la descripcin de la


coleccin. La opcin Mostrar la coleccin de sesiones en Acceso Web de
Escritorio remoto le permitir mostrar o no la coleccin en el Acceso Web.
Observe que esta opcin no estar disponible si se han publicado aplicaciones
RemoteApp en dicha coleccin.
#Ejemplo de modificacin de la descripcin en PowerShell
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones -CollectionDescription "Nueva descripcin"

Pestaa Grupos de usuarios: le permite administrar los grupos de usuarios que


pueden conectarse a los servidores host de sesin y a las aplicaciones RemoteApp
de la coleccin. Preste atencin a los permisos suplementarios que deben aplicarse
para RemoteApp, para saber ms consulte la seccin que aborda RemoteApp.

# Agregar autorizaciones de conexin para el grupo Usuarios de


# dominio (para definir ms grupos, seprelos con comas).
Set-RDSessionCollectionConfiguration -CollectionName MiColeccionDe
Sesiones -UserGroup "MIEMPRESA\Usuarios de dominio"

Pestaa Sesin: puede definir la duracin de las sesiones inactivas, as como el


comportamiento que desea cuando se alcanza el tiempo de inactividad. Por qu
gestionar estos elementos? Si algn usuario no se desconecta, su sesin, as como
los programas en memoria, permanecen en el servidor. El consumo de recursos del
sistema, mantenido, provoca que el servidor no pueda aceptar conexiones de otros
usuarios.

He aqu una explicacin y una recomendacin para la configuracin:


Finalizar una sesin desconectada: cierra de forma arbitraria cualquier sesin
desconectada. Valor propuesto: 2 horas.
Lmite de la sesin activa: obliga al usuario a cerrar su sesin incluso si est
activo. Esto permite luchar contra fugas de memoria en las aplicaciones, y evitar
que un usuario no cierre jams su sesin. Valor propuesto: 12 horas.
Lmite de la sesin inactiva: cierra de forma arbitraria cualquier sesin mantenida
por un cliente pero que no tiene actividad en el teclado/ratn. Valor propuesto:
4 horas.
Cuando se alcanza el lmite de una sesin o se pierde la conexin: accin que
desea realizar cuando se produce una de ambas situaciones. Valor sugerido
Desconectar de la sesin.

La situacin es la siguiente:

El tiempo mximo, antes del cierre de una sesin, es igual a:

Lmite de sesin activa + Finalizar una sesin desconectada = 14 horas.

Observar que el usuario dispone, todava, de 2 horas potenciales para volver a conectarse
sin perder su sesin.

Antes de salvaguardar un servidor de host de sesin por la noche, se recomienda cerrar


todas las sesiones de Escritorio remoto del servidor de forma arbitraria. Esto evita que se
produzcan errores sobre los archivos abiertos en modo exclusivo y permite salvaguardar
perfiles RDS que se copian tras el cierre de sesin sobre su carpeta).

He aqu los comandos equivalentes en PowerShell:


# Lmite de sesin y carpeta temporal
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-ActiveSessionLimiteMin 720
-IdleSessionLimitMin 240
-BrokenConnectionAction Disconnect
-AutomaticReconnectionEnable $true
-DisconnectedSessionLimitMin 120
-TemporaryFoldersDeletedOnExit $true
-TemporaryFoldersPerSession $true

# Valores admisibles
# los valores numricos se definen en minutos
# -BrokenConnectionAction None/Disconnect/LogOff

Pestaa Seguridad: esta pestaa le permite administrar la capa de seguridad y el


nivel de cifrado del protocolo RDP.

He aqu los comandos equivalentes en PowerShell:

# Security
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-SecurityLayer Negociate
-EncryptionLevel ClientCompatible
-AuthenticateUsingNLA $true

# Valores admisibles
# -SecurityLayer RDP/Negociate/SSL (por defecto Negociate)
# -EncryptionLevel Low/ClientCompatible/High/FipsCompliant
(por defecto: ClientCompatible)

Pestaa Equilibrio de carga: si dispone de varios servidores host de sesin en su


coleccin y stos no tienen el mejor rendimiento, esta pestaa le ser til para
repartir la carga entre ellos, as como administrar el nmero mximo de sesiones por
servidor host de sesin.

He aqu los comandos equivalentes en PowerShell:

# Reparto de carga (ejemplo para 2 servidores host de sesin)


$LoadBalanceObjectsArray = New-Object System.Collections.
Generic.List[Microsoft.RemoteDesktopServices.Management.
RDSessionHostCollectionLoadBalancingInstance]

$LoadBalanceSessionHost1 = New-Object Microsoft.RemoteDesktopServices


.Management.RDSessionHostCollectionLoadBalancingInstance
("MiColeccionDeSesiones",80,500,"rds1.MiEmpresa.Priv")

$LoadBalanceObjectsArray.Add($LoadBalanceSessionHost1)

$LoadBalanceSessionHost2 = New-Object Microsoft.RemoteDesktopServices


.Management.RDSessionHostCollectionLoadBalancingInstance
("MiColeccionDeSesiones",100,700,"rds1.MiEmpresa.Priv")
$LoadBalanceObjectsArray.Add($LoadBalanceSessionHost2)
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones -LoadBalancing $LoadBalanceObjectsArray

# Valores admisibles
# -LoadBalancing Array[CollectionName,Weight,NumberOfSessions,
RDSessionHost]

Pestaa Configuracin de cliente: en esta pestaa puede administrar la redireccin


del lector de audio y vdeo, las tarjetas y dispositivos Plug-and-Play, etc. para las
conexiones. A esto se le aade la administracin de las redirecciones de las
impresoras y el nmero mximo de pantallas redirigidas.

He aqu los comandos equivalentes en PowerShell:

# Configuracin de cliente
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-ClientDeviceRedirectionOptions AudioVideoPlayBack,
AudioRecording,SmartCard,PlugAndPlayDevice,Drive,ClipBoard
-ClientPrinterRedirected $true
-ClientPrinterAsDefault $true
-RDEasyPrintDriverEnable $true
-MaxRedirectedMonitors 16

# Valores admisibles
# Varias opciones separadas por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording/
# SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone-MaxRedirectedMonitors [1-16], 16 por defecto

Las CustomRDPProperty son opciones que permiten, en particular, agregar parmetros


complementarios a la conexin RDS. Por ejemplo, un archivo RDP no es sino un conjunto
de CustomRDPProperty, para darse cuenta de esto, edite un archivo RDP con ayuda de
Notepad. Si desea ms informacin acerca de CustomRdpProperty:
http://go.microsoft.com/fwlink/?LinkId=139899

Pestaa Discos de perfil de usuario: Windows Server 2012 R2 implementa una


nueva forma de administrar los perfiles de los usuarios de los servicios de Escritorio
remoto: los discos de perfil de usuario.

Un disco de perfil de usuario se presenta bajo la forma de un disco virtual con un


formato *.vhdx y contiene, por defecto, los datos del perfil de un usuario, o el
equivalente al perfil de usuario que se encuentra, habitualmente, en
C:\Usuarios\%username%. A esto, puede incluirle carpetas externas al perfil o
excluir carpetas propias del perfil. Los discos del perfil de usuario permiten, por
ejemplo, resolver problemas de sincronizacin de ciertos tipos de archivos, tales
como los archivos PST de Outlook y los archivos de base de datos como Access.
Estos discos de perfil de usuario deben almacenarse sobre un recurso compartido
accesible por todos los servidores host de la coleccin y, preferentemente, por
enlaces de red rpidos. Adems, el conjunto de servidores de la coleccin deben
tener autorizacin Control Total sobre el recurso compartido y la carpeta asociada.

Cuando un usuario abre una sesin sobre uno de los servidores de la coleccin, el
servidor monta el disco de perfil de usuario directamente en su carpeta de perfil (por
defecto: C:\Usuarios) mediante un enlace simblico. Esto resulta transparente al
usuario, y a las aplicaciones.

He aqu los comandos equivalentes en PowerShell:

# Creacin de la carpeta de almacenamiento de discos virtuales


# de perfil de usuario (sobre DC2012, en este ejemplo)
mkdir
D:\UserProfileDisk
# Aplicacin de los permisos necesarios para usar los discos
# virtuales de perfil usuario (para DC2012 en este ejemplo)
# Permisos asignados en este ejemplo:
# - Control total para RDS1, nuestro servidor RDSH,
# - Control total para el grupo de Administradores de empresas,
# - Control total para la cuenta Sistema,
# - Control total para la cuenta Creador Propietario (slo
# para aquellas carpetas y archivos hijos).
$RepUserDisk = "D:\UserProfileDisk"
$acl = Get-Acl $RepUserDisk
$acl.SetAccessRuleProtection($True, $False)
$rule = new-object System.Security.AccessControl.
FileSystemAccessRule("MIEMPRESA\RDS1$",
"FullControl", "ContainerInherit, ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = new-object System.Security.AccessControl.FileSystemAccessRule
("MIEMPRESA\Administradores de empresas", "FullControl",
"ContainerInherit,
ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = new-object System.Security.AccessControl.FileSystemAccessRule
("Sistema", "FullControl", "ContainerInherit,
ObjectInherit", "None", "Allow")
$acl.AddAccessRule($rule)
$rule = new-object System.Security.AccessControl.FileSystemAccessRule
("CREADOR PROPIETARIO", "FullControl", "ContainerInherit,
ObjectInherit",
"InheritOnly", "Allow")
$acl.AddAccessRule($rule)
Set-acl $RepUserDisk $acl

# Creacin del recurso compartido Userdisk con autorizacin


# de control total (para DC2012 en este ejemplo)
New-SMBShare -Name UserProfileDisk -Path D:\UserProfileDisk -FullAccess
"MIEMPRESA\RDS1$","MIEMPRESA\Administradores de empresas"

# Configuracin de los discos de perfil de usuario


# para una coleccin de sesiones
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-EnableUserProfileDisk
-DiskPath \\DC2012\UserProfileDisk
-MaxProfileDiskSizeGB 5

# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"

a. Instalacin de una aplicacin sobre un servidor de sesiones

Cuando instala una aplicacin sobre un servidor RDS, debe indicar que va a tener lugar una
instalacin. Para ello, puede utilizar el comando:

change user /install

Una vez terminada la instalacin, puede volver al modo estndar:

change user /execute

Si el instalador utiliza la tecnologa MSI, el comando change user no es necesario, puede


ejecutarlo directamente.

Esta manipulacin no es obligatoria en Windows Server 2012 R2 con las aplicaciones


certificadas para Windows Server 2012 o Windows Server 2012 R2, aunque supone una
buena prctica si la aplicacin que instala es anterior y no est certificada para Windows
Server 2012/2012 R2.

Windows Server 2012 existe, nicamente, en versin de 64 bits. Wow64 permite ejecutar
aplicaciones de 32 bits mediante emulacin. Esto supone, en cualquier caso, una carga
complementaria y no permite aprovechar al mximo la capacidad de la plataforma tcnica.
Verifique sistemticamente si existe una versin de 64 bits antes de instalar el componente
o la aplicacin en cuestin.

b. Mantenimiento de un servidor de sesiones

A diferencia de un servidor Web, por ejemplo, pasar un servidor host de sesiones al modo
de mantenimiento es ms complicado de cara a los usuarios. Pueden tener documentos
abiertos, no salvaguardados, correos electrnicos en curso, etc. Afortunadamente, existen
herramientas adaptadas a estas situaciones disponibles para cortar el servicio de forma
controlada.

Para empezar, puede autorizar o no el inicio de sesin de un usuario mediante el comando


change logon. Este comando acepta varios argumentos:
/QUERY: muestra el modo de inicio de sesin actual.
/ENABLE: autoriza los inicios de sesin de usuario.
/DISABLE: prohbe los inicios de sesin de usuario.
/DRAIN: prohbe los nuevos inicios de sesin de usuario, aunque autoriza las
reconexiones a las sesiones existentes.
/DRAINUNTILRESTART: prohbe los nuevos inicios de sesin de usuario hasta
que el servidor haya reiniciado, aunque autoriza las reconexiones a las sesiones
existentes.

Para cerrar todas las conexiones a la vez, puede utilizar el siguiente script:

for /f "skip=2 tokens=2," %i in (query session) do logoff %i

El comando query session permite enumerar todas las sesiones de usuario del servidor.

Una vez se obtiene la lista de sesiones, anote el nmero de sesin para el que desea realizar
alguna accin. A continuacin, podr:

Cerrar la sesin (cierra todas las aplicaciones abiertas, sin realizar una copia de
seguridad): logoff XXX
Desconectar al usuario (todas las aplicaciones siguen abiertas, aunque el usuario se
desconecta): tsdiscon XXX
Eliminar una sesin por la fuerza: session reset XXX
Conectarse a esta sesin: tscon XXX
Enviar un mensaje al usuario: msg XXX Cierre, por favor, su sesin

c. Mejora en la experiencia de usuario sobre un servidor de sesiones

Instalacin de la experiencia del usuario

La experiencia del usuario supone agregar la funcionalidad Experiencia de escritorio,


presente por defecto en una edicin cliente de Windows (como, por ejempo, Windows 8.1),
sobre los servidores host de sesin. Esto incluye, en particular, al lector Windows Media, la
reproduccin de archivos AVI, el centro de sincronizacin, la grabadora de Windows,
Herramientas de captura de pantalla, temas de Windows y la gestin multi-pulsacin.

Para aprovechar todo esto, instale las caractersticas Experiencia de escritorio y Servicios
de Escritura con lpiz y Escritura a mano. Reinicie el servidor.
Para aprovechar plenamente las mejoras grficas aportadas por la activacin de la
experiencia del usuario (del lado servidor), necesitar una conexin con alta tasa de
trasferencia entre el cliente y el servidor (como mnimo 10 Mb/s) y configurar el cliente
RDP.
Activacin de la experiencia del usuario auditiva

Para aprovechar completamente el uso del sonido en una sesin de Escritorio remoto, es
necesario iniciar el servicio Audio de Windows y configurarlo en arranque automtico.

Gestin del entorno mediante directivas de grupo

Es posible, incluso necesario, recurrir a una directiva de grupo para modificar el entorno de
los usuarios que abran una sesin sobre el host de sesin. Ser posible mostrar u ocultar
iconos en el escritorio o prohibir el acceso a ciertos dispositivos, o configurar los
parmetros de Internet Explorer, por ejemplo.

Para ello, tendr que crear una nueva directiva de grupo y asociarla a la unidad organizativa
que contenga sus servidores de host de sesin. Defina los parmetros de usuario de la
directiva tal y como desee, y habilite la opcin Configurar el modo de procesamiento de
bucle invertido de la directiva de grupo de usuario seleccionando el modo Combinar.
Encontrar este parmetro en Configuracin del equipo - Directivas - Plantillas
administrativas - Sistema/Directiva de grupo.
Administracin de la impresin

La gestin de la impresin y, en particular, de los controladores de las impresoras sigue


siendo un asunto importante en un entorno de Terminal Services. Windows Server 2012 R2
utiliza la funcionalidad Easyprint para superar los distintos problemas. Se implementa en
tsprint.dll, tanto en 32 como en 64 bits, del lado cliente o del lado servidor. Los requisitos
previos del lado cliente son los siguientes:

Cliente RDC 6.1 como mnimo.


Framework .Net 3.0 Service Pack 1.

Observe que, si el cliente no cumple estos requisitos previos, ser preciso instalar los
controladores de impresin sobre el servidor.

De otro modo, Easyprint permite ver, desde el servidor RDS, el conjunto de propiedades de
la impresora, sin tener que instalar el controlador en el propio servidor. Para ello, se
comporta como un proxy y redirige todas las llamadas a la interfaz sobre el controlador del
lado cliente. Convierte la impresin de un formato GDI a un formato XPS (siempre que no
se trate ya de un formato XPS) sobre el servidor, y lo enva al cliente en la sesin RDP, a
travs de un canal virtual (XPS over RDP). Una vez en el puesto cliente, si el controlador
de impresin es compatible con XPS, el documento se imprime directamente. En caso
contrario, se convierte de nuevo del formato XPS al formato GDI y se imprime.
Ahora, es posible restringir el nmero de impresoras que se conectan desde el puesto
cliente mediante una GPO. El inicio de sesin se ve, as, acelerado, y la impresora por
defecto del puesto cliente basta en la mayora de casos.

Para aplicar esta restriccin mediante GPO, debe habilitar el parmetro: Configuracin del
equipo - Plantillas administrativas - Componentes de Windows - Servicios de
Escritorio remoto - Host de sesin de Escritorio remoto - Redireccin de impresora.

3. Configuracin de una coleccin de escritorios virtuales

El Escritorio remoto y VDI (Virtual Desktop Infrastructure) resultan una solucin


integrada. A diferencia de los servicios de Escritorio remoto clsicos donde varios usuarios
abran una sesin sobre un servidor host de sesin, una infraestructura de escritorios
virtuales le permite dedicar una mquina virtual a cada usuario, y stos se conectan a su
mquina virtual a travs de los servicios de Escritorio remoto.

Hyper-V soporta los escritorios virtuales, en particular mediante el servicio de Agente de


conexin de los servicios de Escritorio remoto y, eventualmente, SCVMM (el
administrador de mquinas virtuales). El objetivo es complementario al de un servidor de
Escritorio remoto clsico: se trata de proveer un escritorio remoto sobre un cliente
Windows (Windows 8.1, por ejemplo) a un usuario. Esta asignacin puede ser temporal
(pool de VM) o permanente (escritorio personal).

Esta flexibilidad permite cubrir necesidades muy especficas:


Ciertas aplicaciones que no funcionan o no estn soportadas salvo en un OS cliente,
o donde el modelo de licenciamiento es ms ventajoso con OS de tipo cliente.
Ciertos usuarios deben tener privilegios de administrador sobre la mquina
(desarrolladores remotos, etc.). De este modo, no son administradores de servidores
de servidores RDS. Gracias a los escritorios virtuales personales, el usuario es
administrador de la mquina virtual donde est conectado, y ya no sobre el todo
servidor.
En el caso de aplicaciones temporales, cuando finaliza la solucin temporal, la
mquina virtual vuelve, automticamente, a su estado final (disco de rollback).

Este tipo de arquitectura est orientada a una solucin multiservidor:

Un servidor que juega el rol de agente de conexin y despacha las conexiones de los
usuarios (RDS-Connection-Broker).
Uno o varios servidores Hyper-V que albergan mquinas virtuales. Estas mquinas
deben ser estrictamente idnticas (con los mismos programas instalados).
Las mquinas virtuales deben ser de primera generacin, pues las mquinas
virtuales de segunda generacin no estn soportadas.

Como con las colecciones de sesiones, con un entorno RDS en Windows Server 2012,
todos los servidores host de virtualizacin de una misma coleccin comparten los mismos
parmetros de sesin, de seguridad, de gestin de dispositivos...

He aqu cmo crear una nueva coleccin de escritorios virtuales en pool:

Abra el Administrador del servidor, navegue a la seccin Servicios de Escritorio


remoto, Colecciones y, a continuacin, en el men Tareas seleccione la opcin Crear una
coleccin de escritorios virtuales.

Se abre el asistente Crear una coleccin y aparece la pantalla Antes de empezar, haga
clic en Siguiente.

En la pantalla Asignar nombre a la coleccin, escriba el nombre de su coleccin y,


eventualmente, una descripcin. A continuacin, haga clic en Siguiente.

En la pantalla Especifique el tipo de coleccin, seleccione el tipo de coleccin que desea


aplicar y haga clic en Siguiente.

En la pantalla Especifique la plantilla de escritorio virtual, seleccione un modelo que


haya creado previamente y, a continuacin, haga clic en Siguiente.

En la pantalla Especificar configuracin de escritorio virtual, seleccione la opcin


Proporcionar configuracin de instalacin desatendida y haga clic en Siguiente.
En la pantalla Especificar la configuracin de instalacin desatendida, seleccione el
huso horario, el dominio y, eventualmente, una unidad organizativa y, a continuacin, haga
clic en Siguiente.

En la pantalla Especifique los usuarios y grupos de usuarios, si fuera necesario, agregue


los grupos de usuario que tendrn permisos de acceso a la coleccin, modifique el nmero
de escritorios virtuales que desea crear y el prefijo del nombre. A continuacin, haga clic en
Siguiente.

En la pantalla Especificar asignacin de escritorio virtual, haga clic en Siguiente.

En la pantalla Especificar almacenamiento de escritorios virtuales, puede modificar el


tipo y la ubicacin del almacenamiento de los escritorios virtuales (archivos de las
mquinas virtuales). En nuestro ejemplo, mantendremos los valores por defecto, haciendo
clic en Siguiente.

En la pantalla Especificar discos de perfil de usuario, desmarque la opcin Habilitar


discos de perfil de usuario, y haga clic en Siguiente.

En la pantalla Confirmar selecciones, haga clic en el botn Crear, aparece la pantalla


Ver progreso que le muestra el grado de avance.

Para terminar, en la pantalla Ver resultados, haga clic en Cerrar.


He aqu los comandos equivalentes en PowerShell:

# Creacin de la coleccin
New-RDVirtualDesktopCollection -CollectionName MiColeccionDeVMs
-Description ""
-PooledManaged
-VirtualDesktopTemplateName "Windows 8.1 Ent - Sysprep"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation @{"rdvh1.MiEmpresa.Priv" = 2}
-Domain "MiEmpresa.Priv"
-OU "OU=Escritorios virtuales,DC=miempresa,DC=priv"
-UserGroup "MIEMPRESA\Usuarios de dominio"
-StorageType LocalStorage
-VirtualDesktopNamePrefix Win8ent
-ConnectionBroker rds1.MiEmpresa.Priv
-UserProfileDiskPath \\DC2012\UserProfilDisk
-MaxUserProfileDiskSizeGB 5

# El parmetro PooledManaged puede remplazarse por:


# -PooledManaged
# -PooledUnmanaged
# -PersonnalManaged
# -PersonnalUnmanaged
#
# El parmetro CustomSysprepUnattendFilePath permite indicar la
# ruta hacia un archivo de respuestas de sysprep de formato XML
# -CustomSysprepUnattendFilePath "RutaDelArchivoXML"

Una vez ejecutado este cmdlet, las cuentas de equipo para los escritorios virtuales se crean
correctamente en la unidad organizativa Escritorios virtuales.
Propiedades de una coleccin de Host de virtualizacin

Pestaa General: esta pestaa presenta la misma informacin que para una
coleccin de sesiones con algunos datos suplementarios, tales como la posibilidad
de habilitar el retraso de guardado.

He aqu los comandos equivalentes en PowerShell:

# Configuracin del cliente


Set-RDVirtualDesktopCollectionConfiguration
-CollectionName MiColeccionDeVMs
-CollectionDescription ""

# Valores posibles
# -SaveDelayMinutes

Pestaa Escritorios virtuales: todos los campos son de solo lectura. Algunos
pueden configurarse durante la creacin de la coleccin, y otros en la configuracin
de la implementacin.
Pestaa Grupos de usuarios: esta herramienta es idntica a la pestaa Grupos de
usuarios para una coleccin de sesiones.

He aqu los comandos equivalentes en PowerShell:


# Agregar autorizaciones de conexin para el grupo Usuarios de
# dominio (para definir varios grupos, seprelos por comas).
Set-RDVirtualDesktopCollectionConfiguration -CollectionName
MiColeccionDeVMs -UserGroup "MIEMPRESA\Usuarios de dominio"

Pestaa Cliente: encontrar en esta pestaa la misma informacin que para una
coleccin de sesiones.

He aqu los comandos equivalentes en PowerShell:

# Configuracin del cliente


Set-RDVirtualDesktopCollectionConfiguration
-CollectionName MiColeccionDeVMs
-ClientDeviceRedirectionOptions AudioVideoPlayBack,
AudioRecording,SmartCard,PlugAndPlayDevice,Drive,ClipBoard
-RedirectClientPrinter $true
-RedirectAllMonitors $true

# Valores posibles
# Es posible seleccionar varios separados por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording
# /SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone

Pestaa Discos de perfiles de usuario: esta pestaa es idntica a la pestaa Discos


de perfil de usuario de una coleccin de sesiones.

He aqu los comandos equivalentes en PowerShell:

# Creacin de la carpeta de almacenamiento de discos virtuales


# de perfil de usuario
mkdir UserProfileDisk on c:\
New-SMBShare -Path D:\UserProfileDisk -Name UserProfileDisk

# Agregar autorizaciones de conexin para el grupo de Usuarios de


# dominio (para definir varios grupos, seprelos por comas).
Set-RDVirtualDesktopCollectionConfiguration -CollectionName
MiColeccionDeVMs
-EnableUserProfileDisk
-DiskPath \\DC2012\UserProfileDisk
-MaxProfileDiskSizeGB 5

# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
a. Agregar escritorios virtuales a una coleccin - Creacin de un escritorio virtual

Puede resultar til saber cmo agregar escritorios virtuales a una coleccin de escritorios
virtuales. Para ello, simplemente hay que seguir el siguiente procedimiento sencillo:

Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto,


Colecciones, y el nombre de su coleccin (MiColeccionDeVMs, en nuestro ejemplo) y, a
continuacin, en la seccin Escritorios virtuales, haga clic en el men Tareas y seleccione
Agregar un escritorio virtual.

Se abre el asistente Agregar escritorios virtuales, indique el nmero de escritorios


virtuales que desea agregar y haga clic en Siguiente.

En la pantalla Especificar asignacin de escritorio virtual, haga clic en Siguiente.

En la pantalla Confirmar selecciones, haga clic en el botn Crear.

Para finalizar, en la pantalla Ver resultados, haga clic en el botn Cerrar.

He aqu los comandos equivalentes en PowerShell:

# Agregar escritorios virtuales a una coleccin


Add-RDVirtualDesktopToCollection -CollectionName MiColeccionDeVMs
-VirtualDesktopAllocation @{"rdvh1.MiEmpresa.Priv"=1}

4. Desplegar aplicaciones con RemoteApp

Este servicio de rol hace RDS muy atractivo. Permite publicar aplicaciones en lugar de un
escritorio completo. Esta capacidad para publicar una aplicacin permite una mejor
integracin de dicha aplicacin en el entorno habitual del usuario, que tendr la impresin
de que la aplicacin se ejecuta, directamente, en su puesto (como si fuera una ventana ms).

Con la configuracin del cliente RemoteApp, la aplicacin aparecer en la pantalla de


bienvenida (men inicio) y la asociacin de la extensin del archivo se realizar con el
puesto cliente. Por ejemplo, si Microsoft Visio slo est disponible mediante RemoteApp,
el cliente RemoteApp puede asociar la extensin.vsd con esta aplicacin publicada. De este
modo, cuando un usuario hace doble clic sobre un archivo local.vsd, Microsoft Visio se
abre automticamente como RemoteApp y abre el archivo solicitado. La operacin es, por
tanto, transparente de cara al usuario.

Ya no es posible crear el archivo.rdp o el paquete .msi con Windows Server 2012 R2,
tendr que crearlo a mano si no quiere utilizar la configuracin del cliente RemoteApp en
los puestos cliente.

Con Windows Server 2012 R2, las aplicaciones RemoteApp se publican a nivel de la
coleccin.
A continuacin se muestra cmo configurar una aplicacin RemoteApp que se publica en
un escritorio virtual:

Abra el Administrador del servidor y vaya a una coleccin de sesiones, o de escritorios


virtuales. A continuacin, en la zona principal de la ventana, haga clic en el men Tareas y
en la seccin RemoteApp, seleccionando la opcin Publicar programas RemoteApp.

Si publica una aplicacin en un escritorio virtual, debe escoger el escritorio virtual sobre el
que se encuentra la aplicacin que quiere publicar. Es lo que le permite hacer la siguiente
pantalla Seleccionar escritorio virtual. Una vez lo haya seleccionado, haga clic en
Siguiente.

En el asistente Publicar programas RemoteApp, en la pgina Seleccionar programas


RemoteApp, marque la opcin correspondiente al programa que desea publicar (la
calculadora, en este ejemplo) y, a continuacin, haga clic en Siguiente.

En la pantalla Confirmacin, haga clic en el botn Publicar.

Espere algunos segundos hasta que se publique la aplicacin y, a continuacin, en la


pgina ltima etapa haga clic en el botn Cerrar.

He aqu los comandos equivalentes en PowerShell:

# Publicacin de la Calculadora mediante RemoteApp


# por un servidor de sesiones
New-RDRemoteApp -CollectionName MiColeccionDeSesiones -ConnectionBroker
rds1.MiEmpresa.Priv -DisplayName Calculadora -Alias Calculadora
-FilePath "C:\Windows\system32\calc.exe" -ShowInWebAccess $true
-RequiredCommandLine $false

# Publicacin de la Calculadora mediante RemoteApp


# por un servidor de escritorio virtual
New-RDRemoteApp -CollectionName MiColeccionDeVMs -VirtualDesktopName
Win8Ent-0 -ConnectionBroker rds1.MiEmpresa.Priv -DisplayName
Calculadora -Alias Calculadora -FilePath
"C:\Windows\system32\calc.exe" -ShowInWebAccess $true
-RequiredCommandLine $false

Observe que la publicacin de una aplicacin oculta, automticamente, el acceso web del
escritorio, mientras que muestra la aplicacin publicada mediante RemoteApp.

Podr gestionar las propiedades de la aplicacin RemoteApp mediante la interfaz grfica o


mediante los siguientes cmdlets PowerShell:

Get-RemoteApp: muestra la lista de aplicaciones RemoteApp publicadas.


New-RemoteApp: publica una nueva aplicacin RemoteApp.
Set-RemoteApp: modifica las propiedades de una aplicacin RemoteApp.
Remove-RemoteApp: elimina una aplicacin RemoteApp.
Para finalizar, observe que es posible precisar los permisos de acceso de los usuarios a las
aplicaciones RemoteApp mediante la pantalla Asignacin de usuarios en las propiedades
de la aplicacin RemoteApp.

Del lado del puesto cliente, la configuracin del cliente RemoteApp es muy sencilla y
puede hacerse mediante la interfaz grfica o mediante GPO. No obstante, si el certificado
de su servidor Broker es autorfirmado, tendr que instalarlo en la Entidad de certificacin
raz de confianza del equipo cliente.

A continuacin se muestra cmo realizar la configuracin del cliente Remote App mediante
la interfaz grfica:

Abra Conexiones remotas accesible en el Panel de control y haga clic en el enlace Acceso
a los programas RemoteApp y servicios de Escritorio remoto.

En el campo Direccin URL de conexin o direccin de correo electrnico escriba la


URL https://NombreDeSuServidorRDS/rdweb/feed/webfeed.aspx (rds1.MiEmpresa.Priv en
nuestro ejemplo) y haga clic en Siguiente.

En la pantalla Listo para configurar la conexin, haga clic en Siguiente.

En la pantalla Configur correctamente la siguiente conexin, haga clic en Finalizar.


Si quiere configurar los puestos de cliente mediante una directiva de grupo, cree una nueva
directiva de grupo y vaya a Configuracin de usuario - Directivas - Plantillas
administrativas - Componentes de Windows - Servicios de Escritorio remoto -
Conexin de RemoteApp y Escritorio.
Habilite el parmetro Especificar la direccin URL de conexin predeterminada y
escriba la URL correspondiente a su servidor que posea el servicio de rol Agente de
conexin para los servicios de Escritorio remoto

Este parmetro de directiva de grupo slo se aplica a aquellos sistemas operativos Windows
Server 2012, Windows 8 y Windows RT. Con sistemas operativos anteriores, tendr que
realizar una configuracin manual.

Configuracin avanzada
1. Configuracin del Acceso Web de los servicios de Escritorio remoto

El uso de RDS se ha extendido mucho ms all de un simple escritorio remoto. Windows


Server 2012 ofrece, ahora, un medio para centralizar los recursos publicados sobre un
portal Web. Desde el punto de vista del cliente, siguen siendo necesarios dos criterios:

Poder acceder al sitio Web que ofrece el acceso Web desde un navegador de
Internet, con o sin proxy.
Tener instalado el cliente RDC 7.0 como mnimo.

Este servicio de rol puede instalarse sobre un servidor que tenga o no otros servicios de rol
de Escritorio remoto. Requiere, no obstante, como mnimo IIS 8.5 para poder funcionar y
una relacin de confianza con los servidores host de sesin para poder enumerar las
aplicaciones RemoteApp. Generalmente, ya viene instalado si ha realizado la instalacin
Inicio rpido o Implementacin estndar.

Es posible agregar el servicio de rol Acceso Web para Escritorio remoto mediante la
interfaz grfica o mediante PowerShell.

# Agregar un servidor de Acceso Web


Add-RDServer -Server MiServidorWebRDS -Role rds-web-access
-ConnectionBroker rds1.MiEmpresa.Priv

Para acceder al servicio, abra un navegador Web en la siguiente direccin, remplazando


MiServidorWebRDS por el nombre del servidor que tenga dicho servicio de rol:
http://MiServidorWebRDS/RDWeb/

El nuevo portal de Acceso Web gestiona, ahora, navegadores como Mozilla Firefox o
Google Chrome as como Microsoft Internet Explorer (si bien este ltimo presenta ciertas
ventajas tales como una mejor gestin de la autenticacin, por ejemplo).

Por defecto, la autenticacin se realiza mediante un portal (formulario):


Una vez autentificado, se muestra la siguiente pgina:
Se presentan dos pestaas. La pestaa RemoteApp y escritorios se configura
dinmicamente con las aplicaciones y escritorios a los que tiene permisos para acceder si la
funcionalidad RemoteApp se ha configurado. La pestaa Conectarse a un equipo remoto
permite abrir una sesin RDP completa sobre el servidor especificado en el sitio Web.

La pestaa Conectarse a un escritorio remoto ofrece varias opciones, aunque no permite


escoger el servidor sobre el que abrir una conexin. Para configurar el servicio, tiene dos
opciones posibles:

Dejar que el Administrador de servicios de Escritorio remoto se las apae l solo


(opcin recomendada).
Utilizar la MMC IIS 8.5.
Editar el archivo de configuracin XML, web.config, ubicado por defecto en la ruta
C:\Windows\Web\RDWeb\Pages.

Configuracin mediante IIS:

Abra la consola Administrador de servicios de Internet (IIS) desde la pantalla de


bienvenida, Herramientas administrativas y, a continuacin, Administrador de
servicios de Internet (IIS).

En la pestaa Conexiones, despliegue el nombre de su servidor y, a continuacin, Sitios -


Default Web Site - RDWeb y, por ltimo, la carpeta virtual Pages.

Haga clic dos veces en el icono Configuracin de aplicaciones en la parte central de la


pantalla:
El sitio de acceso RDWeb puede incorporarse en un sitio SharePoint, pues se trata de un
Webpart. Esta opcin no se aborda en este libro, puesto que SharePoint se sale de su
permetro.

Los parmetros configurables son los siguientes:


DefaultTSGateway: permite especificar la puerta de enlace por defecto que utilizarn las
conexiones. Por defecto, no existe ninguna puerta de enlace predeterminada. Una vez la
seleccionada la aplicacin RemoteApp o el escritorio remoto, se abre una conexin RDP
clsica sobre el puerto 3389 TCP.

GatewayCredentialsSource: puede tomar los valores 0, 1 o 4. El valor por defecto es 4,


que se corresponde con "preguntarme ms tarde".

ShowDesktops: con el valor true por defecto. Esta variable controla el hecho de que se
muestre o no la pestaa Escritorio remoto en el sitio Web.

xClipboard: con el valor true por defecto. Bloquea el uso del portapapeles de Windows si
su valor es false.
xDriveRedirection: con el valor false por defecto. Autoriza la redireccin de los lectores
locales si su valor es true.

xPnPRedirection: con el valor false por defecto. Autoriza la redireccin de dispositivos de


tipo plug & play si su valor es true. Esto aplica nicamente a los dispositivos multimedia
que trabajan con los protocolos Media Transfer Protocol, Picture Transfer Protocol o
Microsoft Point of Service (POS) for .NET 1.11.

xPortRedirection: con el valor false por defecto. Autoriza la redireccin de los puertos
COM y LPT si su valor es true.

xPrinterRedirection: con el valor true por defecto. Bloquea la redireccin de las


impresoras si su valor es false.

Utilizar el archivo XML web.config presenta la ventaja de que se tiene acceso a los
comentarios que explican los distintos valores, por ejemplo, para
GatewayCredentialsSource:

<!-- GatewayCredentialsSource: TS Gateway Authentication Type.


Admins can preset this.
0 = User Password
1 = Smartcard
4 = "Ask me later"
-->

Las modificaciones se aplican en caliente y no se requiere ningn reinicio. Basta con


refrescar la pgina Web para ver los cambios.

Por defecto, las aplicaciones RemoteApp estn habilitadas para el Acceso Web. Esta
autorizacin puede gestionarse por aplicacin, desde la consola Administrador de
RemoteApp.

2. Configuracin de la Puerta de enlace de Escritorio remoto

El uso de RDS se ha extendido ms all de los lmites de la empresa. Una vez fuera del
lugar de trabajo, no controlamos la infraestructura implementada, as como sus
restricciones. La apertura de una conexin sobre el puerto 3389 TCP desde otra empresa,
desde un hotel o desde cualquier otro lugar pblico puede estar bloqueada por firewalls, lo
cual limita la aplicacin de los servicios de Escritorio remoto. Windows Server 2012 R2
ofrece un medio de transporte adaptado a este contexto para acceder a los recursos: HTTPS.

El primer requisito previo consiste en disponer de un certificado SSL vlido, bien emitido
por un tercero de confianza, o bien desde su propia infraestructura de PKI. Windows Server
2012 R2 le permite generar un certificado auto-firmado, aunque esto implica poder agregar
este certificado raz en los equipos que se utilizan para conectarse. Esta solucin puede
resultar algo excesiva, aunque la experiencia del usuario no es ptima, y va a ser
problemtica para la conexin desde un equipo sencillo desde un hotel, por ejemplo. Lo
principal es que el puesto cliente considere su certificado como digno de confianza.

A continuacin se muestran los atributos del certificado y las reglas que deben respetar:

El certificado debe ser de tipo equipo.


El objetivo del certificado es la autenticacin del servidor. El atributo EKU es de
tipo Server Authentication (1.3.6.1.5.5.7.3.1).
El certificado no debe haber expirado.
No se requiere un OID de 2.5.29.15, aunque si quiere utilizarlo, debe tener tambin
uno de estos usos: CERT_KEY_ENCIPHERMENT_KEY_USAGE,
CERT_KEY_AGREEMENT_KEY_USAGE, y
CERT_DATA_ENCIPHERMENT_KEY_USAGE;
El nombre del certificado (CN) debe corresponderse con el nombre DNS utilizado
por el cliente que se conecta a la puerta de enlace.

Instalacin de la Puerta de enlace de Escritorio remoto:

Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto e


Informacin general y, a continuacin, haga clic en el icono con el signo + en la Puerta
de enlace de Escritorio remoto sobre el esquema central (o haga clic en el men Tareas de
la seccin Servidor de implementacin, y seleccione la opcin Agregar servidores de
puerta de enlace de Escritorio remoto).

En la pantalla Seleccionar servidor, seleccione el o los servidores que asegurarn el rol de


puerta de enlace, y haga clic en Siguiente.

En la pantalla Nombre del certificado SSL autofirmado, escriba el nombre de dominio


completo (FQDN) que utilizarn los clientes para conectarse (generalmente el nombre de
dominio pblico, webapp.MiEmpresa.es) y, a continuacin, haga clic en Siguiente.

En la pantalla Confirmar selecciones, haga clic en el botn Agregar.

Una vez terminada la instalacin, en la pantalla Ver progreso, haga clic en el botn
Cerrar.

He aqu los comandos equivalentes en PowerShell:

# Instalacin del servicio de rol RDS-Gateway


Add-RDServer -Role RDS-Gateway -GatewayExternalFqdn
webapp.MiEmpresa.es-Server rds1.MiEmpresa.Priv
-ConnectionBroker rds1.MiEmpresa.Priv

# Depuracin...
Set-RDDeploymentGatewayConfiguration -GatewayMode Custom
-GatewayExternalFqdn webapp.MiEmpresa.es -LogonMethod GatewayAuthMode
-UseCachedCredentials $true -BypassLocal $true -Force
Observe que el cmdlet Add-Server instala el servicio de rol Puerta de enlace de Escritorio
remoto, as como todas las dependencias tales como RPC over HTTP e IIS, sobre el o los
servidores afectados. Crea, tambin, un certificado autofirmado y lo asocia con el servicio
Puerta de enlace de Escritorio remoto. No obstante, con Windows Server 2012, este cmdlet
finaliza con dos errores ligados a dos comandos incorrectos en el archivo de script
Despliegue del mdulo PowerShell. Por este motivo, proporcionamos un segundo cmdlet
que termina el trabajo... Este cmdlet no es intil, por el contrario, en un servidor Windows
Server 2012 R2 puesto que se ha corregido el error en esta versin.

Por defecto, la instalacin genera un certificado autofirmado que resulta til para una fase
de pruebas. Para un entorno de produccin, se recomienda encarecidamente utilizar un
certificado obtenido a travs de una entidad emisora de certificados reconocida.

Para configurar la Puerta de enlace de Escritorio remoto:

Abra la consola Administrador de puerta de enlace de Escritorio remoto desde la


pantalla de inicio, Herramientas administrativas - Servicios de Escritorio remoto y, a
continuacin, Administrador de puerta de enlace de Escritorio remoto.

En el panel izquierdo, haga clic con el botn derecho sobre el nombre de su servidor y, a
continuacin, haga clic en Propiedades. He aqu algunas pestaas interesantes:

La pestaa General: permite limitar el nmero de conexiones simultneas o


prohibir nuevas conexiones.
La pestaa Certificado SSL: permite administrar el certificado que presenta la
puerta de enlace al cliente. Puede generar un certificado autofirmado mediante una
entidad emisora de certificados.
La pestaa Configuracin de transporte: permite modificar los puertos de red
utilizados por los protocolos HTTP y HTTPS. Observe la presencia del transporte
UDP sobre el puerto 3391, que permite optimizar los flujos de red
Cierre las propiedades del servidor.

Despliegue la carpeta Directivas, seleccione Directivas de autorizacin de conexiones y,


a continuacin, edite las propiedades de la directiva RDG_CAP_AllUsers.
En la pestaa Requisitos, puede modificar los usuarios y grupos de usuarios que
pueden conectarse mediante la puerta de enlace de Escritorio remoto.
La pestaa Redireccin de dispositivos le permite limitar la redireccin de
dispositivos cuando se est conectado a travs de la puerta de enlace.
La pestaa Tiempos de espera le permite limitar el tiempo de espera de inactividad
de una sesin o el tiempo de espera de expiracin de una sesin. Se recomienda
configurar un valor pequeo para el tiempo de espera de inactividad, 15 minutos es
incluso demasiado si una sesin se ha abierto desde un sitio pblico y no tiene
supervisin alguna.
Despliegue la carpeta Directivas, seleccione Directivas de autorizacin de recursos y, a
continuacin, edite las propiedades de la directiva RDG_AllDomainComputers.
En la pestaa Grupos de usuarios, puede modificar los usuarios y grupos de
usuarios que pueden conectarse a los equipos remotos mediante la puerta de enlace
de Escritorio remoto.
La pestaa Recurso de red le permite definir cules sern los equipos remotos a los
que podrn conectarse los usuarios a travs de la puerta de enlace. Es importante
definir los equipos a los que los usuarios pueden acceder a travs de la puerta de
enlace. Es posible definir un grupo de Active Directory, un grupo gestionado por la
puerta de enlace de Escritorio remoto, o bien todos los equipos. En produccin,
debera ser lo ms restrictivo posible a la hora de abrir el acceso.
La pestaa Puertos permitidos permite definir los puertos de red autorizados. Por
defecto, slo est autorizado el puerto TCP 3389, que es el puerto RDP por defecto.
Para terminar, verifique que su despliegue est bien configurado para utilizar la puerta de
enlace de Escritorio remoto:

Abra el Administrador del servidor - Servicios de Escritorio remoto - Colecciones y, a


continuacin, haga clic en el men Tareas y seleccione la opcin Editar propiedades de
la implementacin.

En la pestaa Puerta de enlace de Escritorio remoto, verifique que la opcin Usar esta
configuracin del servidor de puerta de enlace de Escritorio remoto est marcada y el
nombre completo de su servidor de puerta de enlace bien informado. Si no fuera el caso,
hgalo as.
La pasarela RDS est, ahora, operativa. Posee un certificado SSL autogenerado y se han
definido dos directivas. Todos los usuarios del dominio pueden utilizar la puerta de enlace
para acceder a cualquier equipo de la red.

3. Configuracin del Administrador de licencias de Escritorio remoto

Las licencias RDS propuestas son de dos tipos:

Por dispositivo, sea cual sea el nmero de usuarios que utilicen este dispositivo para
acceder a los recursos RDS.
Por usuario, sea cual sea el dispositivo utilizado para acceder a recursos RDS.

En su arquitectura, puede ser adecuado instalar, por ejemplo, el Administrador de


licencias sobre el servidor que ejecuta KMS (Key Management System). Si este servicio de
rol est instalado sobre un controlador de dominio, todos los servidores RDS del dominio
(independientemente de la versin) sern capaces de encontrarlo automticamente. Si su
infraestructura RDS slo incluye servidores Windows Server 2012 o Windows Server 2012
R2, es preferible instalar el Administrador de licencias sobre el servidor Agente de
conexin.

Para instalar el servidor de licencias RDS:

Abra el Administrador del servidor, vaya a la seccin Servicios de Escritorio remoto e


Informacin general y, a continuacin, haga clic en el icono con el signo "+" a nivel de
Administrador de licencias de Escritorio remoto sobre el esquema central (o haga clic en el
men Tareas en la seccin Servidor de implementacin, y seleccione la opcin Agregar
servidores de licencias de Escritorio remoto).

En la pantalla Seleccionar servidor, seleccione el o los servidores que proveern el rol de


servidor de licencias para Escritorio remoto y, a continuacin, haga clic en Siguiente.

En la pantalla Confirmar selecciones, haga clic en el botn Agregar.

Una vez terminada la instalacin, en la pantalla Ver progreso haga clic en el botn
Cerrar.

He aqu los comandos equivalentes en PowerShell:

# Instalacin del servicio de rol RDS-Licensing


Add-RDServer -Role RDS-Licencing -Server rds1.MiEmpresa.Priv
-ConnectionBroker rds1.MiEmpresa.Priv

Activacin del servidor de licencias de Escritorio remoto:

Abra el Administrador del servidor, haga clic en el men Herramientas - Terminal


Services y Administrador de licencias de Escritorio remoto.
Haga clic con el botn derecho en el servidor que desea activar y, a continuacin,
seleccione la opcin Activar servidor en el men.

Se abre el asistente de Activacin del servidor, haga clic en Siguiente.

En la pantalla Mtodo de conexin, los posibles mtodos de conexin son:

Conexin automtica: el servidor debe poder establecer una conexin con el


servidor Microsoft mediante el protocolo HTTPS.
Navegador Web: utiliza otro equipo que accede a Internet para realizar el
procedimiento de activacin.
Por telfono: intercambiar nmeros de serie con Microsoft por telfono.

Deje el mtodo de conexin en Conexin automtica (recomendado) y haga clic en


Siguiente.
En la pantalla Informacin de la empresa, incluya aquella informacin asociada a su
empresa (todos los campos son obligatorios) y haga clic en Siguiente.

En la segunda pantalla Informacin de la empresa, escriba la informacin opcional, y


haga clic en Siguiente.

En la pantalla Finalizacin del Asistente para activar servidor, desmarque la opcin


Iniciar el Asistente para instalar licencias ahora y haga clic en el botn Cerrar.

Esto no supone sino la primera etapa, registrar su servidor con Microsoft. Ahora es posible
agregar licencias TS, seleccionando el programa de licencias. Una vez provistos los
nmeros necesarios, las licencias TS se muestran en el Administrador de licencias. Para
ello, haga clic con el botn derecho en el servidor y seleccione la opcin Instalar licencias
en el men contextual.

Tenga en cuenta que Microsoft no ha modificado el contrato de licencia entre Windows


Server 2012 y Windows Server 2012 R2, en lo relativo a la licencia de acceso cliente a los
servicios de Escritorio remoto (RDS Cal). Esto significa que las licencias RDS Cal de
Windows Server 2012 son compatibles con los servidores RDS Windows Server 2012 R2
y, por tanto, no es necesario volver a comprar RDS Cals.

Observaciones:

Este servicio de rol consume muy pocos recursos, aunque debe instalarse sobre un
servidor estable. Las licencias no podrn entregarse a otro servidor fcilmente, y la
ausencia de este rol hace que el conjunto de hosts pasen al periodo de prueba de 120
das.
Un servidor RDS Windows 2012 Server puede, nicamente, comunicarse con un
servidor de licencias Windows 2012 Server.
Por defecto, se crea una base de datos en el servidor en la siguiente ruta:
%systemroot%\system32\lserver
Un servidor de licencias Windows Server 2012 R2 puede proveer licencias RDS a
servidores RDS Windows Server 2008/2008 R2, siempre que posea RDS Cal
Windows Server 2008/2008 R2.
El administrador de licencias permite seguir el consumo de licencias en modo
usuario, y generar informes. Para utilizar esta funcionalidad, el objeto equipo del
servidor debe ser miembro del grupo Active Directory Servidores de licencias de
Terminal Server. Si el servidor es, tambin, controlador de dominio, entonces la
cuenta Servicio de Red debe formar parte, tambin, de este grupo.

Para terminar la configuracin, debe seleccionar el modo de licenciamiento a aplicar (por


dispositivo o por usuario), que se utilizar en las propiedades de implementacin de
Escritorio remoto.
4. RemoteFX

RemoteFX, que se incluye desde Windows Server 2008 R2 Service Pack 1, es una
funcionalidad que permite mejorar de forma significativa la experiencia de usuario y
permite mostrar grficos en 3D de buena calidad, a travs de una conexin de Escritorio
remoto desde un puesto con un cliente RDP 8.1 u 8.0. El cliente RDP 7.1 tambin est
soportado, aunque con menos funcionalidades. Adems, la tecnologa incluye el soporte de
Aero, animaciones Flash o Silverlight con un rendimiento muy bueno (siempre que la tasa
de transferencia de la red sea lo suficientemente buena, por supuesto). Con la aparicin de
HTML5 y la multiplicacin de empresas que utilizan clientes ligeros para conectarse a su
infraestructura, no cabe duda de que a RemoteFX le espera un buen porvenir.

Observe que RemoteFX permite, tambin, aumentar las posibilidades de redireccin de los
dispositivos USB.

Es posible utilizar dos arquitecturas para aprovechar la tecnologa RemoteFX: o bien


mediante una infraestructura virtualizada VDI con Hyper-V, o bien a travs de una
conexin a un servidor que posea el rol host de sesin disponible desde Windows
Server 2008 R2 SP1.

a. RemoteFX para un host de virtualizacin de Escritorio remoto

RemoteFX puede utilizarse a travs de una infraestructura virtualizada hospedada en


Hyper-V a travs del rol de virtualizacin de Escritorio remoto.

Los equipos cliente que acceden mediante esta infraestructura aprovechan la aceleracin
grfica de la tarjeta fsica del servidor Hyper-V, permitiendo as aprovechar las ventajas
que ofrece RemoteFX. La tarjeta grfica est, en efecto, virtualizada y est accesible a
todas las mquinas virtuales hospedadas.

Los requisitos previos que permiten implementar dicha infraestructura son numerosos:

El procesador debe ser compatible SLAT (Second Level Address Translation). Esta
funcionalidad se denomina EPT (Extended Page Tables) en los procesadores Intel y
NPT (Nested Page Tables) en los procesadores AMD. Los procesadores Intel
Nehalem como los Xeon X5540, Xeon E5530, con ncleo Sandy Bridge e Ivy
Bridge Intel i3, i5 o Intel i7 y los procesadores AMD con ncleo Barcelona,
Shangha, Istanbul o Magny-Cours como Opteron 2356 forman parte de los
modelos compatibles.
Se necesita una tarjeta grfica (CPU) sobre el servidor que hospeda RemoteFX. El
controlador debe soportar DirectX 11.1 y disponer de, al menos, 1 GB de memoria
dedicada al vdeo.

Observe que el nmero de mquinas virtuales que permitan aprovechar la funcionalidad


RemoteFX depender directamente de la capacidad de memoria de la tarjeta grfica. Cada
mquina virtual requiere en torno a 200 MB de memoria (dependiendo de la resolucin de
pantalla y del nmero de monitores que se utilicen).

La tarjeta GPU instalada en el servidor debe poseer un nico procesador grfico. Si


una tarjeta grfica se instala en el servidor, habr que deshabilitarla para que la
tarjeta GPU sea la nica que se utiliza.
La funcionalidad Hyper-Threading debe estar habilitada sobre el servidor.
La mquina virtual a la que se accede debe ejecutar Windows 8/8.1 Professional o
Enterprise, Windows 7 Entreprise o Ultimate con el Service Pack 1 instalado. Si se
trata de una versin x86, la cantidad de memoria alojada debe ser de 1024 MB
como mnimo. Para un sistema operativo de 64 bits, ser preciso alojar 2048 MB de
memoria, como mnimo.
Deben cumplirse los requisitos previos de hardware del rol Hyper-V en el servidor,
tal y compo hemos visto anteriormente.
Los roles "Host de virtualizacin de Escritorio remoto" as como, evidentemente, el
rol "Hyper-V" deben estar instalados en el servidor que hospeda las mquinas
virtuales.
El cliente RDP utilizado para acceder a la mquina virtual debe tener la versin 7.1
(disponible, de momento, en Windows 7 SP1 y 2008 R2 SP1 nicamente) para
gestionar por aplicacin la compresin/descompresin/codificacin/decodificacin
de los flujos de audio y vdeo a nivel del protocolo RDP 7.1. Estas acciones pueden,
adems, realizarse mediante un componente de hardware dedicado (ASIC) que
estar instalado del lado del cliente y del lado servidor. Se recomienda utilizar la
versin 8.0 u 8.1, pues aportan una mejor compresin de los flujos de vdeo en el
protocolo RDP.

Observe que las tarjetas de supervisin remota (tarjeta ILO, iDrac, IMM, KVM sobre IP,
etc.), que sirven habitualmente para tomar el control sobre un servidor y configurar su
BIOS o acceder a la consola, pueden presentar problemas de compatibilidad.

RemoteFX utiliza, en efecto, los controladores WDDM cuando se instala una tarjeta GPU,
mientras que las tarjetas de supervisin utilizan, en su mayora, el controlador XPDM.
Estos dos controladores no pueden funcionar de manera simultnea, si un controlador
intenta conectarse a travs de la tarjeta de supervisin mientras el controlador RemoteFX
est cargado, la consola del servidor no ser visible cuando se tome el control remoto de un
sistema operativo con sesin iniciada.

La solucin consiste, por tanto, en deshabilitar la tarjeta de supervisin desde la BIOS o en


utilizar el controlador "cap" de RemoteFX. Encontrar ms informacin acerca de la
instalacin del controlador "cap" en la siguiente direccin: http://technet.microsoft.com/es-
es/library/gg607270(WS.10).aspx

Las principales etapas para implementar RemoteFX son:

Instalacin de RemoteFX en el servidor Hyper-V (abrir el Administrador del


servidor desde Agregar roles - Servicios de Escritorio remoto - RemoteFX).
Configuracin de la implementacin de RemoteFX en la mquina virtual (en la
configuracin de la mquina virtual, agregue la tarjeta de vdeo 3D RemoteFX y, a
continuacin, reinicie la mquina virtual).
Uso del cliente RDP 7.1 como mnimo, estando recomendado el cliente 8.0 o
superior. El cliente RDP 7.1 debe estar configurado para utilizar una conexin de
acceso remoto en modo LAN y con 32 bits de colores. Se genera, a continuacin, un
evento con ID 2 sobre la mquina virtual, en el registro de Microsoft-Windows-
RemoteDesktopServices-RdpCoreTS/Admin, que confirma que se ha conectado
correctamente sobre la mquina virtual utilizando RemoteFX. De este modo podr
aprovechar efectos 3D, Aero, etc.
Para disfrutar una mejor experiencia de usuario puede, tambin, seguir esta etapa opcional
configurando el parmetro Optimizar la experiencia visual al usar RemoteFX con una
tasa de captura de pantalla Mximo (calidad ptima) en la Configuracin del equipo -
Plantillas administrativas - Componentes de Windows - Servicios de Escritorio
remoto - Host de sesin de Escritorio remoto - Entorno de sesin remota. Tras reiniciar
el equipo para confirmar los cambios en algn equipo (y siempre que la conexin de red
tenga una buena tasa de transferencia), apreciar todava un mejor rendimiento de las
animaciones remotas.

Encontrar una gua paso a paso del despliegue de RemoteFX para un host de virtualizacin
de Escritorio remoto en la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=177903

b. RemoteFX para un host de sesin de Escritorio remoto

Los requisitos previos de instalacin de RemoteFX sobre un servidor que hospeda el rol de
host de sesin de Escritorio remoto son un poco menos exigentes que en el caso de una
infraestructura VDI.

Tendr, en efecto, que respetar las condiciones siguientes:

El procesador debe soportar SSE2 (Streaming SIMD Extensions 2).


Debe estar instalado el rol "Host de sesin de Escritorio remoto" en un servidor
Windows Server 2012 R2 o Windows Server 2012.
El cliente RDP que se utiliza para acceder a la mquina virtual debe tener, como
mnimo, la versin 7.1, estando recomendada la versin 8.0 u 8.1, para gestionar por
aplicacin la compresin/descompresin/codificacin/decodificacin de los flujos
de audio y vdeo a nivel del protocolo RDP 7.1. Estas acciones pueden, adems,
realizarse mediante un componente de hardware dedicado (ASIC) que estar
instalado del lado del cliente y del lado servidor.

Las principales etapas para implementar RemoteFX son:

Instalacin del rol "Host de sesin de Escritorio remoto" en su servidor Windows


Server 2012 R2 o Windows Server 2012.
Configuracin de la implementacin de RemoteFX en el servidor al que accede. Es
preciso, tambin, limitar el nmero mximo de colores a 32 bits por pxel, bien a
nivel de las propiedades de conexin RDP, o bien mediante una directiva de grupo
en Configuracin del equipo - Plantillas administrativas - Componentes de
Windows - Servicios de Escritorio remoto - Host de sesin de Escritorio remoto
- Entorno de sesin remota. El otro parmetro a habilitar se encuentra en el mismo
lugar y se llama Configurar RemoteFX.
Uso del cliente RDP 7.1 como mnimo, estando recomendada la versin 8.0 u 8.1.
El cliente RDP 7.1 debe estar configurado para utilizar una conexin de acceso
remoto en modo LAN y con 32 bits de colores. Se genera, a continuacin, un evento
con ID 2 sobre la mquina virtual, en el registro de Microsoft-Windows-
RemoteDesktopServices-RdpCoreTS/Admin, que confirma que se ha conectado
correctamente sobre la mquina virtual utilizando RemoteFX. De este modo podr
aprovechar efectos 3D, Aero, etc.

Para disfrutar una mejor experiencia de usuario puede, tambin, seguir esta etapa
opcional configurando el parmetro Optimizar la experiencia visual al usar
RemoteFX con una tasa de captura de pantalla Mximo (calidad ptima) en la
Configuracin del equipo - Plantillas administrativas - Componentes de Windows -
Servicios de Escritorio remoto - Host de sesin de Escritorio remoto - Entorno de
sesin remota. Tras reiniciar el equipo para confirmar los cambios en algn equipo (y
siempre que la conexin de red tenga una buena tasa de transferencia), apreciar todava un
mejor rendimiento de las animaciones remotas.

Encontrar una gua paso a paso del despliegue de RemoteFX para un host de sesin de
Escritorio remoto en la siguiente direccin:
http://go.microsoft.com/fwlink/?LinkId=192436

c. RemoteFX para la redireccin de USB

Si lo desea, puede, tambin, aprovechar la redireccin de dispositivos USB para redirigir


cualquier dispositivo USB hacia su escritorio remoto, hospedado sobre una mquina virtual
en Windows 7 SP1 como mnimo. Los dispositivos compatibles son numerosos (escner,
impresora multifuncin, webcam, etc.). Si dispone, fsicamente, de una webcam conectada
a su equipo cliente, puede exportar su uso sobre la mquina virtual remota, que se accede
mediante el escritorio remoto.

Observe que la redireccin USB no funciona si RemoteFX est hospedado sobre un host de
sesin de Escritorio remoto. La redireccin slo ser efectiva si RemoteFX est instalado
sobre un host de virtualizacin de Escritorio remoto.

Puede utilizar esta funcionalidad en un equipo virtual con Windows 7 SP1, Windows 8 o
Windows 8.1 mediante una conexin de escritorio remoto, mediante un acceso Web RDS, o
incluso mediante una RemoteApp.

Las principales etapas para implementar la redireccin de puertos USB son:

Habilitar la funcionalidad de redireccin USB mediante RemoteFX en la seccin


Configuracin del equipo - Plantillas administrativas - Componentes de
Windows - Servicios de Escritorio remoto - Cliente de conexin de Escritorio
remoto - Redireccin de dispositivos USB RemoteFX. El parmetro Permitir la
redireccin RDP de otros dispositivos USB RemoteFX compatibles desde este
equipo debe estar Habilitada con los Derechos de acceso a redireccin de USB
con RemoteFX definidos para Administradores y usuarios. Reinicie, a
continuacin, el puesto en cuestin.
Configurar el cliente RDP (7.1 como mnimo) para redirigir el dispositivo deseado.
El dispositivo deber estar conectado antes de que se inicie la conexin a escritorio
remoto. En la conexin de acceso remoto (mstsc.exe) en las Opciones - Recursos
locales - Otros, marque el dispositivo USB que desea redirigir. Una vez establecida
la conexin mediante escritorio remoto, el dispositivo estar disponible sobre el
equipo remoto.

Encontrar una gua paso a paso para configurar la redireccin USB en la siguiente
direccin: http://go.microsoft.com/fwlink/?LinkId=192432

Conclusin
Ahora ya sabe cmo implementar el rol de Escritorio remoto y el conjunto de sus
componentes. Puede implementar distintos mtodos de acceso, adaptados a cada contexto
(desde la red local, Internet, hacia un servidor o VDI) sin reducir la seguridad del
sistema de informacin. Sera una pena privar a los usuarios, y por lo tanto clientes, de una
tecnologa as de rpida y eficaz.

Introduccin
Este captulo est dedicado a las distintas formas que existen para acceder a los servicios de
su empresa si se encuentra fuera de ella.

La primera parte aborda los distintos medios que permiten este acceso remoto. A
continuacin, se describen los distintos servicios que ofrece Windows Server 2012 para
responder a necesidades de movilidad cada vez ms exigentes.

Principios bsicos del acceso remoto


A da de hoy, los usuarios itinerantes son cada vez ms exigentes y requieren poder acceder
a todos sus datos en cualquier momento (correo electrnico, archivos, etc.) de la misma
forma que si se encontraran en los locales de su empresa. Para poder satisfacer estas
necesidades, tendr que configurar, seguramente, una solucin de acceso remoto.

Este acceso remoto puede realizarse a travs de dos tipos de enlace. Bien mediante un
enlace de tipo Conexiones de acceso telefnico (llamadas con frecuencia Dial-up), o viene
estableciendo una red privada virtual (VPN: Virtual Private Network).
1. Acceso telefnico
a. Generalidades sobre las conexiones telefnicas Dial-up

Utilizar una conexin de tipo Dial-up permite acceder a la red de la empresa mediante una
simple lnea telefnica, desde cualquier sitio. La contrapartida de esta facilidad de acceso es
que se trata de una tecnologa que ya es vieja y que ofrece un rendimiento muy limitado,
con una tasa de transferencia de informacin muy baja.

En la prctica, es necesario que tanto el cliente como el servidor estn dotados de un


mdem. El usuario configura una conexin de acceso telefnico bajo demanda,
especificando un simple nmero telefnico. Cuando se inicia la conexin, se requiere un
nombre de usuario y una contrasea. El servidor que gestiona el acceso remoto (tambin
llamado RAS, Remote Access Server) ser contactado a travs de la lnea telefnica, a la
que se encuentra conectado a travs del mdem.

b. Ventajas e inconvenientes de las conexiones telefnicas Dial-up

Ventajas

No se necesita una conexin a Internet: basta con una simple lnea telefnica
clsica.
Confidencialidad de los datos: la informacin no transita a travs de Internet, de
modo que los datos no son objetivo de todos los ataques propios de este medio
de comunicacin a travs de la red mundial. La seguridad es, por lo tanto mxima,
puesto que la red local no tiene por qu estar abierta al mundo exterior.

Inconvenientes
Muy poco ancho de banda. Basada en la tecnologa telefnica, las tasas de
transferencia de este tipo de conexin es bastante limitada. En efecto, la red
telefnica se ha diseado para poder reproducir la voz humana, y nada ms. Las
frecuencias que pueden transitar por este medio de transmisin son, de hecho, muy
limitadas.
Para aumentar la tasa de transferencia que encontramos (56K), existen lneas de
transmisin digitales (128K). No obstante, siguen representando una inversin
importante.
Coste elevado. Las comunicaciones telefnicas tienen un coste que no es
despreciable, recuperar un simple archivo de 10 MB supondr una inversin
considerable de tiempo necesario para descargarlo (cerca de cuarenta minutos si la
tasa de transferencia media es de 4 kB/s).
Adems, para poder proveer conexiones remotas mltiples se requieren tantas lneas
telefnicas como usuarios nmadas puedan conectarse simultneamente.

Si bien el coste es bastante elevado de esta tecnologa hace que su uso no parezca muy
atractivo, puede resultar muy til en ciertos casos concretos. Si no es, en efecto, extrao
tener problemas de conexin a Internet, es mucho menos habitual tener cortes de la lnea
telefnica. Puede resultar, de este modo, bastante interesante aprovechar este tipo de acceso
en ciertas empresas de administracin de servidores. En efecto, un administrador podr
seguir gestionando, de manera remota, sus servidores a travs de la lnea telefnica, aunque
no estn disponibles a travs de Internet.

2. Acceso mediante Internet


a. Generalidades sobre las VPN

La segunda tecnologa que permite realizar un acceso remoto utiliza la red Internet y no la
red telefnica. A diferencia de las conexiones bajo demanda que le permiten conectar
directamente con la red de la empresa, en este caso es necesario pasar "a travs" de Internet.
La tecnologa que se utiliza se denomina VPN (Virtual Private Network o Red Privada
Virtual, en castellano). Aqu, la comunicacin se establece directamente a nivel IP.
A continuacin se dan algunas explicaciones relacionadas con la terminologa Red Privada
Virtual:

La conexin es virtual en cuanto a que el equipo que establece una conexin VPN a travs
de Internet se va a comportar como si estuviera directamente conectado a la red de rea
local, como si se tratase de un cable de red directamente conectado a ella. El usuario va a
poder, de este modo, acceder a los mismos recursos que si estuviera fsicamente conectado
a la red. Esta conexin se considera, no obstante, virtual, precisamente porque no existe tal
enlace fsico Ethernet con la red de destino. Es privada en cuanto a que se trata de una
conexin punto a punto entre el origen y el destino. Los datos que se intercambian estn
cifrados. De este modo, si alguien interceptara los datos, no se podran descifrar sin conocer
la clave privada de la transaccin.

Las VPN se utilizan, a menudo, para conectar sitios remotos completos. Hablamos,
entonces, de VPN sitio a sitio. El objetivo de este tipo de conexiones es poder vincular
lgicamente redes remotas sin tener que realizar un enlace de red directo (Ethernet, Wi-Fi,
etc.).
b. Los distintos tipos de VPN que ofrece Windows Server 2012 R2

Windows Server 2012, como sus predecesores, soporta los siguientes tipos de VPN:

PPTP (Point to Point Tunneling Protocol):

PPTP es el mtodo ms sencillo para implementar y utilizar una VPN. El cifrado de


los datos interviene despus del proceso de autentificacin mediante el protocolo
PPP. Utilice, preferentemente, una autentificacin MS-CHAPv2 con una
autenticacin basada en PAP (Password Authentication Protocol) o CHAP
(Challenge Handshake Authentication Protocol) para no dejar que la contrasea
transite sin cifrar por la red.

L2TP/IPsec (Layer 2 Tunneling Protocol):

Ms seguro que PPTP, L2TP/IPsec es el resultado de un desarrollo conjunto entre


Microsoft y Cisco.

A diferencia de PPTP, el cifrado incluye la fase de identificacin puesto que la


sesin IPsec se establece justo antes.

Adems, la autenticacin mutua de las mquinas (tambin llamada handshake)


impide a cualquier mquina desconocida conectarse. Esto evita, en particular,
ataques del tipo Man-in-the-Middle, que sufren las VPN basadas en PPTP.

Preste atencin, no obstante, puesto que es necesario evitar, tericamente el NAT


antes de IPsec puesto que modifica el contenido de los paquetes. Esta modificacin
es incompatible con los mecanismos de proteccin integrados de los datos IPsec. Si
se ve obligado a utilizar L2TP sobre una red "nateada", utilice la variante NAT-T
(NAT Traversal).

Desde Windows Server 2008, el sistema tambin ofrece:

SSTP (Secure Socket Tunneling Protocol):


SSTP es una nueva forma de tnel VPN que facilita el establecimiento de una
conexin VPN mediante un firewall o un dispositivo que realiza la traduccin de las
direcciones de red (NAT).

Esto es posible gracias a la encapsulacin de paquetes PPP (Point to Point Protocol)


en HTTPS. SSTP utiliza conexiones HTTP encriptadas con SSL para establecer
conexiones con las pasarelas VPN. De este modo, es posible establecer conexiones
VPN a travs de un proxy HTTP.

Del mismo modo que con L2TP/IPsec, slo se transmite la informacin de


identificacin una vez establecida la sesin SSL con la pasarela VPN.

Tambin llamado PPP/SSL, este protocolo permite utilizar PPP y EAP para realizar
la autenticacin y hacer que la conexin sea todava ms segura.

Slo disponible con la combinacin de versiones Windows Server 2008 R2/Windows 7 o


versiones superiores, la tecnologa VPN Reconnect permite hacer una reconexin
transparente mediante un enlace VPN. En caso de que se interrumpa la conexin a Internet,
por ejemplo, el sistema se encarga de recuperar la conexin VPN sin ninguna intervencin
por parte del usuario, y en unos pocos segundos.

c. Ventajas e inconvenientes de VPN

Ventajas

Coste reducido: todas las empresas y todos los usuarios ya estn equipados, por lo
general, con una conexin a Internet. El coste de la implementacin es por lo tanto
mnimo, pues basta con aprovisionar un servidor que haga las veces de servidor
VPN. Adems, con una nica conexin a Internet es posible dar servicio a varias
conexiones remotas simultneas sin tener que adquirir una lnea suplementaria.
Ancho de banda elevado: la tecnologa VPN se apoya directamente en IP y, por
tanto, sobre una infraestructura Internet. Con la extensin de ADSL y la explosin
del ancho de banda asociado, esta tecnologa es mucho ms rpida que las
conexiones de tipo Dial-Up.
VPN Anywhere: supone una pequea analoga con la tecnologa empleada en
Exchange (RPC over HTTPS) donde se encapsula el trfico de Outlook a travs de
trfico Web seguro (HTTPS). Como se ha explicado antes, aqu es el trfico VPN el
que est encapsulado en HTTPS. La seguridad de las redes es por lo general una
prioridad, y es corriente bloquear el trfico de salida que no se corresponda con las
necesidades de la empresa. Por el contrario es raro ver el trfico HTTPS saliente
bloqueado. De este modo, gracias a SSTP, el usuario debe poder conectarse desde
cualquier red de empresa o punto de acceso a Internet.

Inconvenientes
Dependiente de la red: a diferencia de las conexiones bajo demanda, el
rendimiento de una conexin a Internet desde una de las dos partes (empresa o
usuario nmada) tienen un impacto nada despreciable en la calidad de la
transmisin. Cualquier problema en el proveedor de acceso de una u otra parte
puede provocar una incapacidad total para comunicarse.
Confidencialidad de los datos: aunque se utilizan sistemas de cifrado no queda
ms remedio que los datos transiten a travs de Internet. Esto los vuelve
potencialmente visibles para todo el mundo aunque estn cifrados.

d. DirectAccess, el "VPN-Killer"

La tecnologa DirectAccess se denomina, a menudo, "VPN-Killer" por parte de muchos


profesionales de la informtica. Este sobrenombre proviene del hecho de que a diferencia
de las VPN habituales (PPTP, L2TP, etc.), Direct Access permite establecer una conexin a
la red de la empresa antes incluso de abrir una sesin sobre la mquina cliente.

El objetivo del lado del cliente consiste en mejorar su experiencia como usuario nmada
proporcionndole condiciones de trabajo totalmente idnticas a las que disfruta en los
edificios de su empresa

Los administradores de sistemas sacarn buen partido a esta tecnologa. En adelante sern
capaces de administrar ntegramente los equipos situados fuera de la empresa: despliegue
de actualizaciones de software, actualizacin del antivirus, aplicacin de las directivas de
grupo, etc.

Por defecto, y a diferencia de las tecnologas VPN habituales, slo el trfico de destino de
la empresa pasar a travs de Direct Access, de forma que no ralentice el trfico de Internet.
Siempre es posible hacer transitar la totalidad del trfico por Direct Access, con el objetivo
de controlar de principio a fin la seguridad del acceso.

Su capacidad para gestionar la alta disponibilidad se ha visto mejorada con la llegada del
Service Pack 1 de Windows Server 2008 R2 pues incluye el soporte del direccionamiento
6to4 e ISATAP cuando se utiliza DirectAccess mediante un clster NLB (Network Load
Balancing). Si desea ms informacin acerca del clster NLB, consulte el captulo Alta
disponibilidad.

He aqu las etapas del proceso de conexin a la red gracias a DirectAccess con Windows
Server 2008/2008 R2/2012/2012 R2:

El cliente detecta si tiene conexin de red.


Intenta establecer una sesin sobre un sitio Intranet SSL para determinar si se
encuentra en el seno de la red de la empresa o en el exterior.
El cliente se conecta al servidor Direct Access mediante IPSec e IPv6. Si no hay
disponible una conexin IPv6 nativa (ste es generalmente el caso si el equipo
cliente est conectado a Internet), el cliente establece un tnel IPv6 sobre IPv4
mediante 6To4 o Teredo (para ms informacin acerca de Teredo dirjase a la
pgina: http://technet.microsoft.com/en-us/network/cc917486.aspx).
Si el cliente no llega a establecer la conexin a causa de un cortafuegos o de un
proxy, intentar conectarse automticamente mediante el protocolo HTTPS.
El equipo cliente y el servidor Direct Access van a autenticarse mutuamente gracias
a los certificados de equipo. Este proceso forma parte de los mecanismos IPSec.
El servidor Direct Access va a verificar en sus reglas si el equipo est autorizado (o
forma parte de un grupo autorizado) para establecer una conexin Direct Access.
El servidor Direct Access va a redirigir el trfico del equipo cliente hacia los
servidores de la Intranet sobre los que est autorizado el acceso del usuario.

Este proceso es ligeramente diferente con Windows Server 2012 puesto que ya no se utiliza
IPsec y, en lo sucesivo, la conexin externa se establece directamente mediante HTTPS. La
etapa 3 de intento de conexin IPsec e IPv6 ha desaparecido, pasando directamente de la
etapa 2 a la etapa 4.

e. Rol Web Application Proxy

Web Application Proxy (o WAP) es un nuevo servicio de rol de Acceso remoto en


Windows Server 2012 R2. El proxy de aplicacin web provee una funcionalidad de proxy
inverso para las aplicaciones web presentes en su red de empresa permitiendo, as, a los
usuarios acceder desde el exterior de la empresa y desde cualquier dispositivo mvil (de
momento se soporta IOS y Android debera llegar prximamente).

WAP requiere poseer una granja de AD FS para poder funcionar. Sin AD FS, el asistente
no puede completar las etapas de configuracin.

Es posible proveer funcionalidades simples de proxy inverso utilizando una autenticacin


de tipo Pass-Through, que tiene, tambin, la capacidad de pasar informacin de
autenticacin del cliente hacia el servidor de destino sin pre-autenticacin. Puede, tambin,
proveer una autenticacin a AD FS (Active Directory Federation Service) agregando el rol
de proxy AD FS. Observe que, incluso para el Pass-Through, el asistente exige una granja
AD FS configurada.

El objetivo de WAP es publicar aplicaciones web internas en la red de la empresa para


hacer que estn disponibles desde el exterior, poco importa el cliente utilizado (equipo
porttil, Smartphone, etc.), proveyendo una autenticacin nica (SSO) que juega, as, el rol
de portal SSL.

Se recomienda desplegar este rol en una red perimtrica (entre el firewall conectado a
Internet y el conectado a la red de la empresa). A diferencia de una publicacin web
"clsica", WAP corta el trfico entrante del cliente para iniciar una nueva sesin con la
aplicacin final. De este modo, el usuario no se comunicar, jams, directamente con la
aplicacin, sino que acceder a travs del componente WAP.
En resumen, WAP provee funcionalidades de publicacin de aplicaciones similares a
Microsoft Forefront Unified Access Gateway (UAG). No obstante, WAP interacta con
otros servidores y servicios (AD FS) para proveer un despliegue simplificado. No
reemplaza totalmente a UAG, pues slo las aplicaciones web con autenticacin Kerberos o
por notificacin pueden aprovechar una publicacin mediante WAP.

WAP puede, por ejemplo, resultar til para publicar el acceso remoto web de un servidor
Exchange (OWA) o un servidor Lync (Lync Web app). Al gestionarse la autenticacin en
AD FS, el usuario recibir un token nico y podr aprovechar el SSO (Single Sign On) para
acceder a las dos aplicaciones gracias a una nica autenticacin.

Encontrar, en el siguiente enlace, las etapas que permiten implementar una publicacin
mediante el componente WAP: http://technet.microsoft.com/en-us/library/dn383650.aspx

f. Cules son las novedades de Windows Server 2012 y Windows Server 2012 R2?

Windows Server 2012 combina la funcionalidad de Direct Access con el rol RRAS
(Remote and Routing Access Service) en un nuevo rol que permite administrar de manera
centralizada, configurar y supervisar a la vez Direct Access y los servicios de VPN. La
mayor mejora reside en las numerosas actualizaciones y mejoras de Direct Access para
prevenir bloqueos ligados al despliegue, y simplificar su gestin.

Se han aportado las siguientes mejoras con Windows Server 2012:

Coexistencia de Direct Access y RRAS: ambas herramientas pueden, en lo


sucesivo, administrarse desde la misma interfaz, a saber: la consola de
Administracin de acceso remoto.
Simplificacin del despliegue de Direct Access para estructuras de tamao
pequeo o mediano: ya no es obligatorio disponer de dos direcciones IPv6
consecutivas. Basta con tener acceso al puerto TCP 443 desde el exterior, ya no es
preciso utilizar reglas IPsec complicadas.
Desaparecen los requisitos previos de clave pblica (PKI): gracias a la
delegacin Kerberos.
Integracin nativa del soporte NAT64 y DNS64 para acceder a recursos mediante
IPV4: antes, era preciso tener una intranet compatible con IPv6; en lo sucesivo basta
con IPv4.
Soporte de DirectAccess sobre un servidor a travs de NAT.
Simplificacin de la administracin de las directivas de seguridad.
Soporte de Load Balancing: ya no es necesario un servidor UAG (Unified Access
Gateway) como era el caso con la funcionalidad Direct Access en Windows 2008
R2.
Integracin de NAP (Network Access Protection): para asegurar la seguridad
verificando el estado de la seguridad en los puestos.
Soporte multidominio.
Soporte de Windows Server en modo Core.
Soporte OTP (One-Time Password).
Supervisin de los usuarios.
Herramientas de diagnstico.
Registro de eventos e Informes.
VPN sitio a sitio en modo IKEv2 IPsec: Windows Server 2008 R2 incluye el
soporte IKEv2 en las conexiones VPN cliente. El uso de IKEv2 y de IPsec ofrece
una autenticacin y mtodos de cifrado robustos. Windows Server 2012 incluye esta
funcionalidad reforzada para conexiones VPN de tipo sitio a sitio.
En lo sucesivo, es posible virtualizar el servidor que hospeda el rol de Acceso
remoto.

Windows Server 2012 R2 aporta, por su parte las siguientes mejoras:

Pasarela VPN sitio a sitio multiteniente (Multi-Tenant Site-to-Site VPN


Gateway): con Windows Server 2012 R2, es posible desplegar pasarelas sitio a sitio
multilocalidad (multicliente) para proveer una conectividad a los sitios locales hacia
las redes virtuales dedicadas en la red principal. Una pasarela (o Gateway: GW) es
capaz de dar servicio a varios clientes que posean direcciones IP que se solapen
(overlap). Para aclarar este punto, se muestra a continuacin un esquema que
muestra el caso de un anfitrin que aloja mquinas virtuales para clientes que
utilizan la virtualizacin de redes Hyper-V. Vemos cmo una nica pasarela S2S
GW (Site To Site Gateway) es capaz de dar servicio a dos clientes distintos que
posean la misma direccin IP (en este caso 10.10.10.0/24).
El servicio Enrutamiento y acceso remoto (RRAS) GW es una nica solucin
software que puede desplegarse en la mayora de instancias de servidores RRAS
multicliente para equilibrar la carga. El siguiente enlace le indicar las etapas de la
configuracin necesaria para su implementacin:
http://blogs.technet.com/b/networking/archive/2013/10/15/multi-tenant-vpn-with-
windows-server-2012-r2.aspx
Pasarela del acceso remoto VPN multicliente: para las pequeas y medianas
estructuras, no existe la obligacin de poseer dos direcciones IPv6 pblicas
consecutivas. El acceso al puerto TCP 443 desde el exterior es suficiente. El uso de
reglas IPsec complicadas ya no es necesario.
Border Gateway Protocol (BGP): Windows Server 2012 Border Gateway
Protocol (BGP) permite un reparto dinmico y el aprendizaje de las rutas mediante
interfaces de enrutamiento sitio-a-sitio (S2S) de RRAS. Esta funcionalidad permite,
a los anfitriones (principalmente proveedores de servicios (IaaS)) desplegar BGP en
las pasarelas S2S multi-cliente. De este modo, la pasarela puede saber qu paquetes
estn dirigidos a Internet, hacia las redes locales (clientes), hacia la red virtual del
cliente en el anfitrin y, de este modo, determinar los itinerarios de manera
consecuente. Las pasarelas RRAS con BGP habilitado puede, a su vez, desplegarse
en las empresas para distribuir rutas internas a otras pasarelas de la red de la
empresa sobre tneles seguros.

Implementar un acceso seguro a travs de


Internet
En esta seccin veremos cmo configurar un servidor como servidor de acceso remoto. En
primer lugar se describen los mtodos para configurar los distintos tipos de VPN ofrecidos
por Windows Server 2012 (PPTP, L2TP, SSTP). A continuacin se abordan los aspectos
relativos a la securizacin. No se mencionar la configuracin de un servidor RAS
mediante mdem, pues se trata de una tecnologa que apenas se utiliza.

1. Implementar un enlace VPN

Requisitos previos de hardware: el servidor debe estar integrado en el dominio


MiEmpresa.Priv y provisto de dos tarjetas de red. Una conectada a Internet y otra conectada
a una red local (LAN). La primera se encarga de aceptar las conexiones VPN entrantes y
necesita una IP fija (en nuestro caso configurada con la direccin IP 211.111.111.111/25,
preste atencin puesto que esta IP se utiliza como ejemplo, debera utilizar una IP pblica
en produccin). La segunda interfaz de red transfiere el trfico entre las conexiones VPN y
los recursos de red de la LAN.

En el caso de una VPN PPTP o L2TP es tcnicamente posible tener una nica tarjeta de
red. Esto se sale, no obstante, del marco de buenas prcticas recomendadas por Microsoft y
el rendimiento puede verse afectado.

a. Instalacin del rol Acceso remoto

La instalacin del rol se realiza desde la consola Administrador del servidor, en la


subcarpeta Roles, haciendo clic en Agregar roles.

He aqu las distintas etapas:

Abra la consola Administrador del servidor.

Haga clic en Administrar y, a continuacin, en Agregar roles y caractersticas.

Haga clic en Siguiente.

En Tipo de instalacin, seleccione Instalacin basada en roles o caracte-rsticas.

Haga clic en Siguiente.


En la pantalla Seleccionar servidor, haga clic en DC2012 en la lista y, a continuacin,
haga clic en Siguiente.

En la seccin Roles del servidor, marque la opcin Acceso remoto tal y como indica la
siguiente captura de pantalla:

Haga clic en Siguiente.

Lea la descripcin del rol y, a continuacin, haga clic en Siguiente.

Marque la opcin DirectAccess y VPN (acceso remoto).


En el cuadro de dilogo Asistente para agregar roles y caractersticas, haga clic en
Agregar caractersticas y, a continuacin, haga clic en Siguiente.
En la pantalla Rol de servidor web (IIS), haga clic en Siguiente.

Deje las opciones por defecto de los servicios de rol marcadas y, a continuacin, haga clic
en Siguiente.

En la pantalla de confirmacin, haga clic en Instalar.


En la pantalla de Resultados, verifique que la instalacin se desarrolla correctamente y
haga clic en Cerrar.

Si bien ya no resulta til con Windows Server 2012, si lo desea puede crear un certificado
autofirmado para L2TP/IPsec o SSTP con Windows Server 2008/2008 R2: abra la consola
Administrador de Internet (IIS) y, en la parte central, haga doble clic en Certificados de
Servidor. En la seccin Acciones, haga clic en Crear un certificado autofirmado... y, a
continuacin, asgnele un nombre descriptivo.

b. Configuracin de las funcionalidades VPN

Ahora que ha instalado el rol de servidor de acceso remoto, puede configurar sus
parmetros asociados.

El procedimiento de configuracin para las tres tecnologas VPN es idntico.

En la consola Administrador del servidor, haga clic en Herramientas y, a continuacin,


seleccione Administracin de acceso remoto.
En el panel de navegacin, dentro de Configuracin, haga clic en DirectAccess y VPN.

En la seccin central, haga clic en Ejecutar el Asistente para introduccin.

Se abre el asistente de instalacin, haga clic en Implementar solo VPN.


En la parte izquierda, haga clic con el botn derecho sobre su servidor y, a continuacin,
seleccione Configurar y habilitar Enrutamiento y acceso remoto como se indica a
continuacin:

Haga clic en Siguiente.

Seleccione Acceso remoto (acceso telefnico o red privada virtual) y haga clic en
Siguiente.
Marque la opcin VPN y haga clic en Siguiente.

Seleccione su interfaz pblica (aqu, de cara a simplificar, se han renombrado las


conexiones en funcin de su uso: se trata, por tanto, de la tarjeta WAN).
Haga clic en Siguiente.

En la pantalla Asignacin de direcciones IP, seleccione Automticamente si dispone de


un servidor DHCP. En caso contrario, seleccione De un intervalo de direcciones
especificado.

Haga clic en Siguiente.

Si desea que el servidor VPN asigne las direcciones, le aparece la siguiente pantalla:
Haga clic en Nuevo y, a continuacin, defina un rango que contenga suficientes
direcciones de red. Valide haciendo clic en Siguiente.

Preste atencin y especifique un rango que se corresponda con su red local. Sin ello, la
comunicacin no funcionar.
En la pantalla Administrar servidores de acceso remoto mltiples, si dispone de un
servidor RADIUS marque S, en caso contrario marque No.

Aqu, marcaremos No puesto que la seguridad con RADIUS se aborda ms adelante en este
captulo.

Haga clic en Siguiente.

Aparece el siguiente cuadro de dilogo que le informa del uso de un agente de


retransmisin DHCP.

El componente Agente de retransmisin DHCP es un agente que transfiere los mensajes


DHCP (Dynamic Host Configuration Protocol) entre los clientes y los servidores DHCP
sobre distintas redes IP. Resulta, por lo tanto, til cuando no existe ningn servidor DHCP
en el segmento fsico de una mquina.
Haga clic en Aceptar.

En la pantalla Resumen, verifique que la informacin de la configuracin es la deseada y,


a continuacin, haga clic en Finalizar. A continuacin, haga clic en Aceptar.

Una vez terminado este asistente, Windows Server 2012 crea automticamente 128 puertos
para cada una de las tres tecnologas de VPN que conoce .Cada conexin requiere un puerto
nico. Para obtener una mayor seguridad, conviene deshabilitar los puertos intiles.

Una vez configurado para aceptar conexiones VPN entrantes, Windows Server 2012
bloquea automticamente todo el trfico entrante sobre la interfaz pblica que no se
corresponde con el trfico VPN.

Para modificar los paquetes autorizados (por ejemplo: para poder tomar el control sobre el
servidor por escritorio remoto):

Desde la consola Administrador del servidor, haga clic en Herramientas y, a


continuacin, en Enrutamiento y acceso remoto.

Despliegue la arborescencia Nombre de su servidor - IPv4 (o IPv6 segn su


configuracin) - General.

Haga clic con el botn derecho sobre su interfaz pblica y, a continuacin, seleccione
Propiedades.
Haga clic en Filtros entrantes....
Slo falta autorizar el trfico deseado (puerto 3389 TCP por ejemplo para el escritorio
remoto).

2. Administracin de la seguridad de los accesos

Ahora que sabe cmo configurar Windows Server 2012 R2 como servidor de acceso
remoto, sin duda querr controlar la forma en la que se conectan los usuarios. Cuentas de
usuario, franjas horarias, grupos y muchos otros parmetros son configurables.

En las versiones anteriores a Windows Server 2008, estos parmetros se administraban a


travs de la consola Directivas del acceso remoto. Desde Windows Server 2008, debe
utilizar la consola Servidor de directivas de redes (Network Policy Server). Esta consola
le permite administrar la seguridad de los accesos a su red de forma centralizada.

Con Windows Server 2012 y Windows Server 2012 R2, el rol de servidor NPS (Network
Policy Server) se instala automticamente cuando se agrega el rol de acceso remoto, a
diferencia de lo que ocurra en las versiones anteriores de Windows Server.

Para modificar una directiva existente:

En la consola Administrador del servidor, haga clic en Herramientas y, a continuacin,


en Servidor de directivas de redes (Network Policy Server).

Despliegue el nodo Directivas - Directivas de red.


Encontrar dos directivas por defecto con valores mximos para la columna Orden de
procesamiento. Debe prestar atencin a este orden. En efecto, las directivas de red se
procesan en orden creciente. El servidor va a recorrer las directivas partiendo del menor
valor de prioridad. Si encuentra una que corresponde con criterios de peticin de conexin,
autoriza o no el trfico. De este modo, si una directiva est configurada para rechazar el
acceso, tras la verificacin de las directivas el acceso estar automticamente bloqueado
incluso si hay otra directiva ms tarde que lo autoriza.

Lo ms prctico es que cree sus propias directivas de acceso a la red para controlar bien su
contenido. He aqu el procedimiento a seguir para crear una directiva que autoriza al grupo
Comerciales a conectarse a la red entre semana de 9h a 18h:

En la consola Servidor de directivas de redes (Network Policy Server), vaya a


Directivas de red.

Haga clic con el botn derecho en la carpeta Directivas de red y, a continuacin, haga clic
en Nuevo. Especifique un nombre para su directiva. Preste atencin a elegir nombres
explcitos, de este modo si sus directivas se multiplican ganar en claridad.
La lista desplegable Tipo de servidor de acceso a la red se refiere a la tecnologa NAP
(Network Access Protection) que se ha abordado en el captulo Implementar los servicios
de red de la empresa. Aqu, slo se administra la seguridad de acceso al servidor VPN, y
dejaremos la opcin como No especificado.

Haga clic en Siguiente.

Aparece, a continuacin, una pgina que le permite definir las condiciones. Haga clic en
Agregar.
A continuacin tiene la posibilidad de elegir entre una gran variedad de criterios agrupados
en siete categoras diferentes:

Grupo (grupo de equipos, de usuarios, etc.).


HCAP (grupos que se corresponden con servidores de acceso a la red de terceros).
Restricciones horarias (das de la semana, intervalos horarios, etc.).
Proteccin de acceso (sistema operativo, compatibilidad NAP, etc.).
Propiedades de la conexin (direccin IP del cliente, tipo de autenticacin, etc.).
Propiedades del cliente (nombre del cliente RADIUS, IP del cliente RADIUS, etc.).
Puerta de enlace (nmero de telfono del servidor Dial-Up, nombre del dispositivo
de red que transmite la solicitud).

En este libro no se abordan con detalle todas estas condiciones, teniendo en cuenta su
elevado nmero. Podr no obstante encontrar ms detalle en la TechNet de Microsoft en la
siguiente direccin: http://technet.microsoft.com/en-us/library/cc731220.aspx

Las condiciones son acumulables, puede por ejemplo autorizar a un nico grupo de
usuarios y sobre una franja horaria muy precisa.

Seleccione Grupos de usuarios y, a continuacin, haga clic en Agregar.

En el cuadro de dilogo que se abre, haga clic en Agregar grupos y, a continuacin,


escriba el nombre del grupo (Comerciales, en nuestro ejemplo) y valide haciendo clic en
Aceptar.
Valide haciendo clic en Aceptar y, a continuacin, haga clic en Siguiente.

Una vez haya agregado las condiciones, tiene la posibilidad de Conceder acceso, de
Denegar acceso o incluso hacer que sean las propiedades de marcado del usuario las
que determinen el acceso (en este caso, son las propiedades definidas en la cuenta del
usuario las que se tienen en cuenta). En este ejemplo, seleccione Acceso concedido y, a
continuacin, haga clic en Siguiente.

A continuacin puede elegir entre los distintos Mtodos de autenticacin.

Debe seleccionar al menos uno. Preste atencin, las opciones sin marcar en la siguiente
imagen representan autenticaciones poco seguras y no deberan estar marcadas en la
medida de lo posible.
Aqu, deje las opciones marcadas por defecto.

Haga clic en Siguiente.

La pgina de restricciones permite aplicar restricciones suplementarias como la franja


horaria autorizada (en nuestro ejemplo).

Haga clic en Restricciones de da y hora y, a continuacin, marque la opcin Permitir


acceso solo en estos das y horas.
Haga clic en Editar y, a continuacin, rellene la informacin tal y como se muestra a
continuacin para autorizar los das entre semana de 9h a 18h.
Valide haciendo clic en Aceptar y, a continuacin, haga clic en Siguiente.

En esta ventana puede configurar los parmetros suplementarios para securizar la


conexin. En efecto, si la conexin responde a los criterios anteriores, a saber condiciones y
restricciones, es preciso aplicar parmetros suplementarios, que van desde la Proteccin de
acceso a redes (NAP), hasta el cifrado de la conexin, o incluso una restriccin sobre los
protocolos utilizados durante la conexin. En nuestro ejemplo, no especifique ningn
parmetro y haga clic en Siguiente.

En la ltima pgina del asistente, verifique bien la informacin y haga clic en Finalizar.

Su nueva directiva aparece con una cifra asignada automticamente para el orden de
procesamiento. A continuacin puede modificar este orden haciendo clic con el botn
derecho del ratn sobre la directiva y seleccionando una de las opciones, Aumentar o
Disminuir. Esto le permite definir su prioridad y, por consiguiente, el orden en el que se va
a verificar durante la peticin de conexin.
3. Administracin de la autenticacin RADIUS

En la seccin anterior hemos visto cmo configurar una directiva de conexin para el
acceso mediante VPN gracias a la consola NPS. Si bien es posible tcnicamente, se vuelve
rpidamente difcil de gestionar cuando tiene varios servidores de acceso a la red
(servidores VPN, accesos Wi-Fi, etc.).

Para centralizar la administracin de las reglas de acceso de la autenticacin necesita el


componente de servicio NPS (Network Policy Server). Este rol se conoca en las versiones
anteriores a Windows Server 2008 con el nombre de IAS (Internet Authentication Service).

Para centralizar la autenticacin, utilice la funcin RADIUS (Remote Authentication Dial-


In User Service) de su servidor NPS. El inters de la tecnologa RADIUS consiste en
centralizar la administracin de la seguridad de los equipos informticos que no son
Microsoft. En efecto, puede por ejemplo configurar un punto de acceso Wi-Fi para utilizar
el servidor NPS Windows Server 2012 para administrar la autenticacin.

He aqu las funciones que le ofrece el Servidor NPS en materia de seguridad:

Network Policy Server (NPS): autenticacin, autorizacin, servicios de acceso


remoto, VPN, punto de acceso Wi-Fi, puerta de enlace TS.
NPS Accounting (o registro): auditora y registro de las autenticaciones y las
peticiones de cuenta en una base de datos SQL o en un archivo local. Windows
Server 2008 R2 integra un nuevo asistente que le permite configurar fcilmente este
registro creando automticamente las bases de datos asociadas.
NPS RADIUS Proxy: permite encadenar mensajes entre los clientes RADIUS (los
servidores de acceso y los servidores RADIUS que se ocupan de la autenticacin).
NPS NAP: dirjase al captulo Implementar los servicios de red de la empresa -
Implementar la cuarentena de red.
NPS RADIUS server: gestiona la autenticacin, la autorizacin y el registro de las
peticiones de los clientes RADIUS.
NPS RADIUS client: servidor de acceso remoto que utiliza un servidor RADIUS
para realizar la autenticacin.

Los equipos cliente no son clientes RADIUS. Son los equipos a los que se conectan
(servidor VPN, punto de acceso Wi-Fi) los que lo son.

La configuracin de las directivas de acceso (horarios, usuarios, etc.) se realiza del mismo
modo que para un servidor VPN (visto anteriormente en este mismo captulo). En lo
sucesivo puede configurar su servidor NPS para que se comporte como un servidor
RADIUS o incluso como Proxy RADIUS.
Un servidor RADIUS permite realizar la autentificacin, la autenticacin y la gestin de los
clientes RADIUS. Un cliente RADIUS puede ser un servidor de acceso, tal como un
servidor de acceso remoto o un punto de acceso inalmbrico, o un proxy RADIUS.

Un proxy RADIUS asegura la distribucin de los mensajes RADIUS entre los clientes
RADIUS (servidores de acceso) y los servidores RADIUS que realizan la autenticacin de
los usuarios, su autorizacin y la gestin de cuentas durante los intentos de conexin.

Puede ser interesante utilizar un servidor proxy RADIUS en los siguientes casos:

Si quiere ofrecer una autenticacin para las cuentas que no sean miembro del
dominio del que forma parte el servidor NPS.
Si quiere ofrecer una autenticacin basada en una base de datos diferente a la de
Windows.
Si desea poder gestionar una gran cantidad de consultas de conexin. El proxy
RADIUS se comportar como un distribuidor de carga.
Si desea dotar de seguridad al acceso a su base de datos de usuarios situando un
proxy RADIUS en una DMZ.

Para que un dispositivo pueda acceder y utilizar su servidor como servidor RADIUS tendr
que haberlo autorizado previamente. Para ello, siga los siguientes pasos:

En la consola NPS, vaya a Clientes y servidores RADIUS.

Haga clic con el botn derecho del ratn en Clientes RADIUS y seleccione Nuevo.
Basta con declarar el dispositivo dndole un Nombre descriptivo y su Direccin IP.

Si fuera necesario, haga clic en la pestaa Opciones avanzadas y especifique:

El Nombre del proveedor (la lista desplegable ofrece muchos actores importantes
en el mundo informtico tales como Cisco, etc.).
Un secreto compartido que configurar tambin en el dispositivo de acceso.

Tambin puede elegir los protocolos de autenticacin y especificar si el cliente RADIUS es


compatible NAP o no.
Una vez declarado el dispositivo, puede habilitarlo o deshabilitarlo haciendo clic con el
botn derecho y marcando una opcin. Para ello, basta, en la seccin Clientes RADIUS, ir
a las propiedades del dispositivo que acaba de crear. Slo falta seleccionar entre Activado
o Desactivado.

A continuacin se muestra un ejemplo de uso de un servidor RADIUS.

Declarar su servidor como Servidor proxy RADIUS es, tambin, muy sencillo. En su
consola NPS basta con:

Navegar a Clientes y servidores RADIUS.


Hacer clic con el botn derecho en Grupos de servidores remotos RADIUS y, a
continuacin, Nuevo.
Indicar un nombre de grupo y, a continuacin, hacer clic en Agregar.
Informar el nombre o la direccin IP de un servidor RADIUS.
Especificar si el proxy RADIUS debe autenticarse mediante un secreto compartido
desde el servidor RADIUS, o incluso configurar el reparto de carga.
Agregar varios servidores RADIUS en un mismo grupo para asegurar su tolerancia
a fallos.
4. Implementacin de DirectAccess tras un Firewall

Con DirectAccess para Windows Server 2008 R2, era obligatorio poseer una direccin IP
pblica (y, por lo tanto, dos tarjetas de red: una pblica y una privada) sobre el servidor de
acceso remoto y DirectAccess no soportaba NAT. En lo sucesivo, es posible publicar un
servidor de acceso DirectAccess que posea una nica tarjeta de red y que se encuentre
detrs de un firewall.

Requisitos previos: ya ha instalado el rol Acceso remoto siguiendo el mtodo


descrito anteriormente en este captulo (VPN no se ha configurado mediante el
asistente para Administrar el acceso remoto, vase la seccin Administracin de la
seguridad de los accesos).
El dominio interno se llama MiEmpresa.Priv y el servidor DirectAccess (llamado
DC2012) est integrado en el dominio.
Dispone de un firewall cuya direccin IP interna es 172.16.0.254 y publica el puerto
TCP 443 hacia la direccin 172.16.0.1.
El servidor DirectAccess posee una interfaz privada con la direccin IP
172.16.0.1/24.
Se ha instalado un certificado de tipo Web sobre el servidor DirectAccess con un
nombre descriptivo: IP-HTTPS.
Se ha creado un grupo DA_Clientes en el dominio y la mquina cliente
DirectAccess en es miembro del mismo. Este grupo servir para definir las
mquinas autorizadas a conectarse mediante DirectAccess.

He aqu las etapas que debe seguir para instalar DirectAccess:

En la consola Administrador del servidor, haga clic en Herramientas y, a continuacin,


seleccione Administracin de acceso remoto.

En el panel de navegacin, en Configuracin, haga clic en DirectAccess y VPN.


En la parte central, haga clic en Ejecutar el Asistente para introduccin.

Haga clic en Implementar solo DirectAccess.

En la etapa Topologa de red, seleccione la opcin Tras un dispositivo perimetral (con


un solo adaptador de red).

Escriba el nombre pblico o la direccin IPv4 que utilizan los clientes para conectarse al
servidor DirectAccess.
Haga clic en Siguiente.

Haga clic en Finalizar para aplicar la configuracin.

Dado que esta plataforma no dispone de una infraestructura de clave pblica (PKI) el
asistente generar automticamente un certificado autofirmado para HTTPS y habilitar el
proxy Kerberos. Tambin habilitar los protocolos de traduccin NAT64 y DNS64 en el
entorno. Preste atencin, este certificado se instalar sobre las mquinas cliente para que
DirectAccess funcione.

DirectAccess est, ahora, instalado. Basta con definir los equipos autorizados para
conectarse a este servicio.

Una vez aplicada la configuracin, haga clic en Cerrar.


En la parte central, en la seccin Paso 1 - Clientes remotos, haga clic en Editar.

Seleccione la opcin Implementar DirectAccess completo para acceso de clientes y


administracin remota y, a continuacin, haga clic en Siguiente.

Elimine el grupo Equipos del dominio (MIEMPRESA\Equipos del dominio) y agregue


el grupo DA_Clientes que ha creado en Active Directory como requisito previo a este
ejemplo.

Desmarque la opcin Habilitar DirectAccess solo para equipos mviles (en un mbito
profesional, y fuera del permetro de esta maqueta, es preferible dejar esta opcin marcada).

Haga clic en Siguiente.


Escriba la direccin de correo electrnico del equipo de soporte tcnico y defina un
nombre de conexin DirectAccess.

Marque la opcin Permitir que los clientes de DirectAccess usen la resolucin local de
nombres y, a continuacin, haga clic en Finalizar.

Esta opcin permite al usuario utilizar los servidores DNS locales y, por tanto, que no todas
las consultas DNS se enven a los servidores DNS internos de la red de la empresa.

En la seccin bsica de la parte central, haga clic en Finalizar para aplicar la


configuracin.

Verifique los parmetros y haga clic en Aplicar.

Una vez aplicada la configuracin, haga clic en Cerrar.

En el panel izquierdo de la consola de administracin del acceso remoto, seleccione


Estado de las operaciones y espere a que el estado cambie a: funciona correctamente.
Slo queda probar desde un puesto cliente accediendo a un servidor Web interno o incluso
a la carpeta SYSVOL del dominio (\\miempresa.priv\sysvol).

Para verificar que se puede conectar mediante DirectAccess o, simplemente, que ha


configurado correctamente DirectAccess desde la red local, siga las etapas siguientes desde
un equipo con Windows 8:

En el rea de notificacin de Windows, haga clic en el smbolo de red .

Aparece la siguiente informacin:

Existe una gua de depuracin (disponible nicamente en ingls en el momento de escribir


estas lneas) en el sitio Web de Microsoft en la siguiente direccin:
http://technet.microsoft.com/en-us/library/ee624056(WS.10).aspx

Preste atencin, si desea trabajar con esta maqueta sobre un servidor Hyper-V, tendr que
configurar las tarjetas de red del servidor DirectAccess como tarjeta heredada (o Legacy) si
encuentra problemas de flujo.

5. Supervisin de las conexiones

Todas las soluciones de acceso remoto deben permitir saber qu usuario se conecta y qu
acciones realiza mientras est conectado. Si bien las herramientas DirectAccess de
Windows Server 2012 no permiten tener un nivel de informacin tan detallado como el que
ofrece un servidor Forefront TMG, s permiten supervisar mejor la actividad y el uso que
las versiones anteriores de Windows Server.

Windows Server 2012 incluye una nueva consola de supervisin que proporciona
informacin til acerca de los usuarios que se conectan de manera remota. La siguiente lista
presenta la informacin que puede obtenerse en esta consola (informacin que proviene, de
hecho, de los contadores de rendimiento de Windows Server).

Esta informacin est accesible desde la Consola de administracin de acceso remoto. A


continuacin, en el panel izquierdo, haciendo clic en Panel accede al siguiente informe:

Total de clientes activos: incluye a los clientes de DirectAccess y VPN. Permite


conocer cuntas conexiones simultneas estn en curso a travs de VPN o
DirectAccess.
Total de clientes de DirectAccess activos: permite conocer cuntas conexiones
simultneas estn en curso a travs de DirectAccess.
Total de clientes de VPN activos: permite conocer cuntas conexiones simultneas
estn en curso a travs de VPN.
Total de conexiones acumuladas: permite conocer el nmero de conexiones
remotas que se han realizado desde el ltimo reinicio del servidor.
Total de datos transferidos: permite conocer el volumen total de datos que han
transitado por el servidor de acceso remoto desde su ltimo reinicio.
Mximo de conexiones de cliente: permite conocer el nmero mximo de
conexiones simultneas que han tenido lugar despus del ltimo reinicio del
servidor de acceso remoto.

Tambin puede encontrar informacin individual detallada acerca de los clientes en el


men Estado de cliente remoto, siempre en la Consola de administracin de
acceso remoto.

Entre la informacin disponible, encontrar, por ejemplo:

Nombre de usuario.
Nombre de host.
Direccin del ISP.
Protocolo/Tnel.
Duracin de la conexin.
Conclusin
Acaba de ver en este captulo que, para proporcionar un acceso remoto a sus usuarios,
tendr que configurar un servidor de acceso remoto. Cuando sus usuarios se encuentren
fuera de la empresa podrn acceder a los recursos internos utilizando bien una conexin de
tipo Dial-up, una conexin VPN, o bien DirectAccess.

Windows Server 2012 R2 sabe cmo gestionar las tres soluciones. Permite, adems,
agrupar los servidores de VPN y DirectAccess sobre el mismo servidor, lo cual presentaba
problemas en ediciones anteriores de Windows Server.

Incluye toda una serie de mejoras en el servicio de enrutamiento y en el acceso remoto que
hace el despliegue de DirectAccess lo ms sencillo posible y fcil de integrar con una
solucin VPN clsica.

Windows Server 2012 R2 tambin le permite, gracias a las nuevas directivas de acceso,
definir de forma muy precisa quin se conecta, cundo y de qu manera.

Si desea centralizar la seguridad de las conexiones de sus equipos, Windows Server 2012 le
proporciona el rol de concentrador gracias a sus funciones RADIUS.

Trabajando junto a la ltima versin del OS cliente de Microsoft (Windows 8.1),


aprovechar tambin nuevas funcionalidades:

Auto-triggered (inicio automtico): permite a las aplicaciones predefinidas


conectarse automticamente a redes de empresa iniciando una conexin VPN.
Configuracin avanzada de clientes VPN en PowerShell: permite utilizar un juego
nico de comandos PowerShell para configurar las conexinoes VPN (mediante el
comando Add-VpnConnection).

Implementar un servidor Intranet/Internet


En este captulo aprender a instalar y configurar un servidor Web gracias al rol de servidor
IIS (Internet Information Services).

1. Presentacin de IIS 8
a. Presentacin general

IIS 8 (Internet Information Services) es la ltima versin del servidor Web de Microsoft. Se
incluye de forma completa con Windows Server 2012, y proporciona una plataforma segura
y fcil de administrar para albergar servicios Web y aplicaciones Web enriquecidas. Con
Windows Server 2012 R2, se proporciona la versin 8.5 de la aplicacin. IIS 8 es una
plataforma Web unificada que integra IIS, ASP.NET, PHP, servicios FTP y Windows
Communication Foundation (WCF: el modelo de programacin de WCF es una capa de
abstraccin que unifica y simplifica el mecanismo de integracin de los servicios Web,
.NET Remoting, Microsoft Transaction Server y Microsoft Message Queuing).

La compatibilidad hacia atrs de IIS 8.5 permite migrar con facilidad los sitios Web
hospedados en versiones anteriores de IIS sin encontrar problema alguno.

Como con IIS 6, IIS 7 e IIS 7.5, puede instalarse en el sistema operativo cliente (Windows
8) en su versin ligera. Windows 8 y Windows Server 2012 comparten el mismo ncleo,
por lo que es sencillo desplegar aplicaciones desde su puesto de trabajo para, a
continuacin, hospedarlas en un servidor.

Observe que Windows Server 2012 y Windows Server 2012 R2 no tienen una edicin Web,
puesto que la experiencia previa con los clientes de Microsoft indicaba que preferan
utilizar una versin estndar antes que verse limitados en trminos de funcionalidades.

IIS 8.5 puede, tambin, instalarse en la versin mnima (Core) de Windows Server 2012 R2
(Windows Server 2012 ya permita instalar IIS 8 en modo Core). Como con Windows
Server 2008 R2 y a diferencia de Windows Server 2008, Windows Server 2012 y Windows
Server 2012 R2 permiten instalar .NET Framework en modo core.

b. Arquitectura heredada

La arquitectura de IIS se ha repensado en IIS 7 para facilitar la implementacin de las


funcionalidades y tambin la extensin de las posibilidades del servidor. En IIS 6, la
estructura estaba compuesta por un nico bloque que obligaba a instalar todo para utilizar el
servidor Web. Con IIS 7 / 7.5, las funcionalidades se han desacoplado de forma que es
posible cargar los mdulos correspondientes a sus necesidades.

Estos mdulos estn desacoplados en cinco categoras para la parte Servidor Web.

Funcionalidades HTTP comunes (contenido esttico, documentos por defecto, etc.).


Desarrollo de aplicaciones (lenguajes incluidos: ASP.NET, ASP, CGI, etc.).
Integridad y diagnsticos (registro, visor de peticiones, seguimiento, etc.).
Seguridad (autenticacin bsica, autenticacin Windows, autorizacin Digest, etc.).
Rendimiento (compresin del contenido esttico o dinmico).

Para la parte de Herramientas de administracin, encontramos:

La consola de administracin de IIS.


Los scripts y herramientas de administracin de IIS.
El servicio de administracin.
La administracin de la compatibilidad con IIS 6.

El servicio FTP (File Transfer Protocol) est separado de la parte servidor Web puesto que
se trata, en lo sucesivo, de un servicio de rol aparte. Los mdulos Servidor FTP y Consola
de administracin FTP estn asociados a l.

c. Administracin

IIS 7 y 8 difieren de las versiones anteriores por la implementacin de una nueva


administracin. La nueva consola de administracin que centraliza la administracin del
conjunto de mdulos del servidor ya no es un simple mdulo. En efecto, se trata de una
consola completa que se conecta sobre el servicio de administracin

La configuracin tambin ha cambiado. En IIS 6, estaba almacenada en una metabase con


formato XML. IIS 7 / 7.5 facilitan la implementacin y sobretodo el mantenimiento de los
servidores, desagregando esta configuracin en varios archivos XML:

applicationhost.config: contiene la configuracin global (lista de sitios, pools de


aplicaciones, parmetros por defecto, etc.).
redirection.config: contiene la informacin de redireccin (utilizada por ejemplo
cuando el contenido del sitio se encuentra en otro servidor o incluso cuando parte
del sitio no debe estar disponible en caso de mantenimiento, etc.).
web.config: contiene la configuracin global ASP.NET del servidor (es posible
crear un archivo individual por cada sitio que necesite una configuracin especfica;
esto es til cuando debe especificar parmetros diferentes a los de la configuracin
global del servidor). Esto permite realizar una administracin ms precisa de los
parmetros de los sitios Web.
machine.config: contiene las propiedades requeridas por las funcionalidades del
Framework.

applicationHost.config y redirection.config se ubican en la ruta %windir%\system32\


inetsrv\config. Los archivos web.config y machine.config se encuentran en la carpeta
%windir%\Microsoft.NET\Framework\version_framework\CONFIG.

Existe una jerarqua entre los distintos archivos de configuracin. Define una herencia de
parmetros como pasara con los permisos de seguridad NTFS. Esta jerarqua comienza por
el archivo machine.config y sigue el orden siguiente: web.config (de primer nivel),
applicationHost.config y por ltimo un archivo web.config opcional situado en la ruta del
sitio o de la carpeta virtual. De este modo, se heredan las propiedades desde el archivo
machine.config hasta el ltimo archivo web.config del rbol.

El almacenamiento de la configuracin de sitios en archivos XML distintos (tambin


llamada configuracin distribuida) permite facilitar el despliegue o la copia de aplicaciones.
Podr copiar aplicaciones entre dos servidores frontales mediante un simple xcopy evitando
cualquier error debido a una replicacin o a cualquier sincronizacin.

En lo sucesivo es posible automatizar las tareas administrativas gracias, principalmente, a


PowerShell, a un nuevo proveedor WMI, a una nueva API.NET y sobre todo gracias a la
herramienta AppCMD. AppCMD.exe permite realizar la mayora de las tareas
administrativas con ayuda de una sintaxis muy simple.

La administracin tambin puede delegarse. Puede especificar cuales son las


funcionalidades que los usuarios no administradores deben gestionar. Esto permite por
ejemplo configurar los parmetros ASP.NET de un sitio sin tener que usar privilegios de
administrador.

d. Novedades aportadas por IIS 8 en Windows Server 2012

Como hemos visto antes, Windows Server 2012 y Windows Server 2012 R2 proporcionan,
respectivamente, las versiones 8 y 8.5 de IIS. Esta versin aporta un nmero de mejoras
esperadas respecto a la versin anterior, pero tambin algunas novedades.

Evolucin de la configuracin: los archivos de configuracin de IIS voluminosos


pueden, en lo sucesivo, gestionarse fcilmente. Se han aportado un gran nmero de
mejoras para optimizar el rendimiento de los servidores y las granjas de servidores
que hospedan una gran cantidad de sitios.
Evolucin SSL: en las versiones anteriores de IIS, soportar un gran nmero de
sitios web seguros mediante un certificado requera una direccin IP para cada sitio.
Adems, cuanto mayor era el nmero de sitios, ms memoria se necesitaba. Antes,
tras la primera visita, todos los certificados quedaban cargados. En lo sucesivo, los
certificados se cargan nicamente cuando se accede al sitio y, a continuacin, se
eliminan de la memoria tras un periodo de inactividad.
Centralizacin de certificados: provee un almacenamiento nico para los
certificados SSL de una granja y simplifica la gestin de enlaces SSL.
Server Name Indication (SNI): el nombre de dominio virtual se incluye, en
adelante, en la negociacin SSL de forma que ya no es necesario disponer de una
pareja direccin IP - puerto 443 para hospedar un sitio SSL y tener que dedicar una
direccin IP para dotar de seguridad a un sitio.
Restriccin de direcciones IP dinmicas: esta funcionalidad que permite bloquear
el acceso a los sitios desde ciertas direcciones IP ya exista en IIS 7 y las versiones
anteriores, aunque obligaba a los administradores a introducirlas de forma manual.
Con IIS 8, es posible bloquear estas direcciones IP en funcin de un nmero
mximo de consultas. En adelante, es posible configurar el servidor de modo que
bloquee la conexin de un usuario en lugar de mostrarle una pgina de tipo 403.6:
Acceso denegado: direccin IP rechazada.
Restricciones de intentos de conexin FTP: permite configurar el nmero de
intentos fallidos de realizar una conexin FTP antes de bloquear el acceso.
Inicializacin de aplicaciones: permite a los administradores configurar pginas
temporales hasta que una aplicacin haya terminado de iniciarse y se proporcione el
acceso al "verdadero" sitio.
Compatibilidad con dispositivos NUMA (Non Uniform Memory Access): esto
permite evitar una degradacin del rendimiento con la multiplicacin de los ncleos
del procesador y cuando no se ha optimizado la pareja ncleos/RAM del servidor.
CPU Throttling: limita la CPU, la memoria y el ancho de banda que utiliza un pool
de aplicaciones en un entorno. IIS 8 incluye ocho opciones adicionales.
Soporte Mixto ASP.NET 3.5 y 4.5: IIS 8 para Windows Server 2012 permite
ejecutar aplicaciones sobre todas las versiones del .NET Framework soportadas por
Windows Server 2012.

La consola MMC IIS resulta obsoleta con Windows Server 2012. Se eliminar en las
sucesivas versiones de Windows Server.

e. Novedades aportadas por IIS 8.5 en Windows Server 2012 R2

Tras su aparicin, Windows Server 2012 incluye numerosas mejoras en trminos de


seguridad, mientras que Windows Server 2012 R2 se centra en la evolucin y la
supervisin con las siguientes funcionalidades:

Registro global avanzado: muchos campos pueden seleccionarse para registrarse


gracias a los campos personalizados. Puede, de este modo, crear sus propios
criterios de registro gracias a los orgenes de encabezado de la consulta, de
encabezado de la respuesta o incluso de variables de servidor (por ejemplo:
HTTP_ACCEPT ; LOGON_USER ; etc.).
Registro en el registro de eventos Windows ETW (Event Tracing for
Windows): enviar los eventos de registro hacia el registro ETW permite, al
administrador, utilizar herramientas estndar de consulta o incluso distribuir vistas
personalizadas para seguir, en tiempo real, el registro en ETW. Puede, a
continuacin, consultar los eventos en el registro Microsoft-Windows-IIS-Logging.
Activacin dinmica de sitios Web: con IIS 8.5, cuando el nmero de sitios
configurados es importante (el valor por defecto es de 100), IIS no activa ningn
sitio para no consumir recursos intilmente. Cada sitio se inicia tras la primera
consulta. Esto permite reducir, de manera significativa, la cantidad de recursos de
sistema necesarios para su funcionamiento.
Pausa de los procesos inactivos: con IIS 8.5, el administrador tiene la posibilidad
de suspender un proceso de trabajo (worker process) inactivo en lugar de detenerlo.
Un proceso de trabajo suspendido sigue vivo, paginado en disco, lo cual reduce los
recursos de sistema que consume. Cuando algn usuario acceda de nuevo al sitio, el
proceso de trabajo volver a memoria y estar, rpidamente, disponible de nuevo.

2. Instalacin del rol Servidor Web (IIS) en modo Windows Server mnimo
a. Instalacin por defecto

Para realizar una instalacin por defecto en un servidor Windows Server 2012 R2 en modo
Core, utilice el comando PowerShell siguiente:

Install-WindowsFeature Web-Server

b. Instalacin completa

Para realizar una instalacin completa de IIS 8.5 (con todas las funcionalidades) sobre un
servidor Core Windows Server 2012 R2, utilice el siguiente comando PowerShell:

Install-WindowsFeature -Name Web-Server -IncludeAllSubFeatures

Puede verificar que el rol est bien instalado utilizando el comando Get-WindowsFeature.
Si lo ejecuta ver la lista de roles de servidor disponibles. Para cada uno de ellos ver una
indicacin Installed o Available. Para los servidores de rol instalados, se representa un sub-
rbol con el estado de la instalacin de cada servicio de rol.
3. Instalacin del rol Servidor Web (IIS) en modo grfico

A continuacin se muestran las distintas etapas a seguir para instalar el rol Servidor Web
(IIS) en modo grfico:

En la consola Administrador del servidor, haga clic en Administrar - Agregar roles y


caractersticas.

Seleccione la opcin Instalacin basada en roles o caractersticas y, a continuacin,


haga clic en Siguiente.

Seleccione su servidor en la lista (aqu DC2012) y, a continuacin, haga clic en Siguiente.

Marque la opcin Servidor web (IIS) como se muestra y, a continuacin, haga clic en
Siguiente.
En el cuadro de dilogo Agregar caractersticas requeridas para Servidor Web (IIS),
haga clic en Agregar caractersticas.
Haga clic en Siguiente.

En la pantalla Caractersticas, haga clic en Siguiente.

Lea la descripcin del rol de Servidor Web y, a continuacin, haga clic en Siguiente.

En el ejemplo en curso, solamente utilizar las funciones bsicas de IIS. Deje marcadas las
opciones por defecto y, a continuacin, haga clic en Siguiente.
Verifique las opciones marcadas y, a continuacin, haga clic en Instalar.
Verifique que la instalacin se ha desarrollado correctamente y, a continuacin, haga clic
en Cerrar.

Para verificar que IIS 8.5 est operativo, abra Internet Explorer y, a continuacin, en la
barra de direcciones escriba la URL: http://localhost.

Debera aparecer la ventana siguiente:


Crear un sitio Web
Ahora que ha instalado su rol de Servidor Web (IIS), veremos cmo crear nuevos sitios y
administrarlos fcilmente. En este captulo configurar un sitio para su empresa (el
contenido del sitio ser mnimo, pues el objetivo de este libro no es formarle en los
lenguajes de desarrollo Web).

1. Creacin y configuracin de un sitio

En la consola Administrador del servidor, haga clic en Herramientas - Administrador


de Internet Information Services (IIS).

Por defecto la consola de administracin de IIS se conecta al servidor local. Esto le permite
cambiar la configuracin y los parmetros del servidor.

En el panel izquierdo, haga clic en el nombre de su servidor (aqu DC2012) para mostrar la
lista de funcionalidades disponibles.
La primera vez que se conecte, se abre un asistente que le permite instalar Microsoft Web
Platform. Microsoft Web Platform Installer es una herramienta gratuita que permite instalar
componentes, aplicaciones web o gestores de contenidos de manera gratuita y con un solo
clic. Puede hacer clic en S en la maqueta aunque no vayamos a utilizar esta funcionalidad
en las siguientes etapas.

Por defecto, la pgina muestra las funcionalidades agrupadas por rea. Puede cambiar esta
representacin mediante la lista desplegable ubicada en la seccin superior del panel
central. De este modo, es posible agrupar por rea (por defecto), por Categora o incluso
sin agrupar.

He aqu las distintas etapas para crear un nuevo sitio:

Requisitos previos: debe haber creado una carpeta Empresa en la carpeta


C:\inetpub\wwwroot.

Desde la consola Administrador de Internet Information Services (IIS), haga clic con
el botn derecho del ratn sobre el nombre de su servidor y, a continuacin, seleccione la
opcin Agregar sitio Web (es posible realizar esta misma operacin desde otros lugares.
Por ejemplo, directamente desde el rbol de Sitios).

Indique los datos como se muestra a continuacin:


El nombre del sitio es meramente informativo, los espacios en blanco no suponen ningn
problema.

En este ejemplo, no informe el nombre del host y deje los parmetros del enlace por
defecto. Estos parmetros de enlace sirven para definir sobre qu puerto y/o con qu
nombre va a acceder al sitio (encontrar ms detalles en la seccin Uso de los
encabezados host de este captulo).

Una vez haya completado los campos, haga clic en Aceptar. Aparece el siguiente mensaje:
La razn por la que aparece este mensaje es porque IIS ya hospeda un sitio que utiliza el
puerto 80 en la misma direccin IP. Se trata del sitio Web por defecto. No es posible, para
una nica direccin IP y un mismo puerto, tener varios sitios Web (salvo que utilicemos
encabezados HTTP; este punto se aborda en la seccin Uso de los encabezados host de este
captulo).

Si trata de levantar el sitio Web obtendr un mensaje de error. Para confirmarlo, siga los
siguientes pasos:

Haga clic en S en la ventana que presenta la advertencia del enlace duplicado.

En el panel central, seleccione su sitio Web y, a continuacin, en el panel derecho, haga


clic en Iniciar. Aparecer el siguiente mensaje.

En este ejemplo, cambiar el puerto sobre el que escucha el sitio Web.

En el panel izquierdo, extienda el rbol Sitios para mostrar el sitio que acaba de crear y, a
continuacin, seleccinelo.

En el panel derecho, en la seccin Acciones, haga clic en Enlaces.


Seleccione el enlace HTTP y, a continuacin, haga clic en Modificar.

Escriba 8080 en el campo Puerto y, a continuacin, haga clic en Aceptar para validar. A
continuacin, haga clic en Cerrar.

Este puerto se define de forma arbitraria puesto que no est siendo utilizado por los
servidores que sirven como ejemplo. Generalmente se utiliza para servidores de tipo proxy
como puerto estndar.

En el panel de acciones, haga clic en Iniciar.

Tendr que mostrar algn documento en su sitio web. Para crearlo, abra el Bloc de notas y,
a continuacin, escriba el cdigo siguiente:
<HTML>
<head>
<Title>Sitio web de mi Empresa</Title>
</head>

<body>
He aqu mi primer sitio Web en IIS 8.5
</body>
</HTML>

Gurdelo como archivo en la ubicacin: C:\inetpub\wwwroot\Empresa\default.htm

Para comprobar su funcionamiento, abra Internet Explorer y, a continuacin, escriba la


direccin: http://localhost:8080

2. Uso de los encabezados host

Si bien es posible utilizar puertos de escucha distintos para cada sitio Web, en la
prctica esto no resulta una solucin viable cuando varios sitios Web estn hospedados
sobre el mismo servidor. Este problema se presenta, en particular, para los sitios Web
pblicos. Los internautas no saben en qu puerto est configurado el servicio de su sitio
Web y, por lo tanto, no es factible demandarles que indiquen el puerto concreto al que
quieren conectarse para acceder a un sitio Web en Internet.

Una de las soluciones que permiten resolver este problema de puertos consiste en
configurar varias direcciones IP sobre su servidor Web. Cada IP se asocia, a continuacin,
con un sitio nico. Si bien esta solucin puede sacarnos del apuro en un uso interno, se
convierte en una solucin muy costosa para un uso pblico (las direcciones IP fijas en
Internet representan una inversin y se proporcionan de forma limitada).

Para poder administrar de forma ptima la ubicacin de varios sitios Web, tendr que
utilizar los encabezados host. Estos encabezados permiten utilizar varios nombres de host
para una nica direccin IP. IIS escuchar las solicitudes entrantes y revisar la
informacin enviada por el navegador. En funcin del nombre de host recibido, redirigir la
consulta del navegador hacia el sitio Web correspondiente.
En el siguiente ejemplo va a configurar el sitio creado en la etapa anterior para que escuche
en la direccin www.miempresa.es.

Requisitos previos: disponer de un servidor DNS funcional que hospede la zona


MiEmpresa.es. En esta zona debe existir un registro de tipo A llamado www que apunte a
la direccin IP 172.16.0.1 (direccin IP de su servidor Web).

Consulte el captulo Implementar los servicios de red de la empresa - Implementar los


sistemas de resolucin de nombres para obtener ms informacin acerca de la
configuracin DNS.

En la consola Administrador del servidor, haga clic en Herramientas - Administrador


de Internet Information Services (IIS).

Despliegue el rbol Sitios para mostrar el sitio creado en la etapa anterior de este captulo
(sitio Web de mi empresa).

Seleccione su sitio y, a continuacin, en el panel derecho, haga clic en Enlaces.

En la ventana Enlaces de sitios, haga clic en Agregar.

Complete la informacin de los campos tal y como se muestra a continuacin:

Valide haciendo clic en Aceptar y, a continuacin, en Cerrar.


Tambin puede modificar el enlace existente para especificar estos parmetros. No
obstante, gracias a este ejemplo, comprobar que es posible asociar puertos distintos a un
mismo sitio incluso con nombres de host distintos.

Pruebe, a continuacin, la modificacin abriendo Internet Explorer y escribiendo la


direccin http://www.miempresa.es en la barra de direcciones.

Cada nombre de host que quiera utilizar en IIS debe existir. En un sitio Intranet, basta con
agregar registros en su zona DNS de dominio. Para un uso pblico, tendr que gestionar la
zona DNS pblica. O bien tiene acceso a una interfaz de administracin que se lo permite, o
bien solicita al administrador de su zona DNS crear los registros de acuerdo a las reglas.

3. Implementar una DMZ

Una DMZ (Demilitarized Zone) o Zona desmilitarizada es una zona de la red en la que los
usuarios de Internet pueden acceder a los servidores sin poner en peligro la seguridad de su
red local. El objetivo de esta zona es limitar la superficie de exposicin de sus redes.
Organizando los servidores de modo que aquellos que albergan aplicaciones pblicas estn
en la red perimtrica, no permitir el acceso a su red local desde Internet. De este modo,
reforzar la seguridad de su red local impidiendo la comunicacin con la misma.

Existen dos implementaciones tpicas de DMZ. La primera utiliza un firewall con tres
interfaces de red o ms (firewall multidominio).
La segunda utiliza dos firewalls. En el caso ideal, y para dotar de una mxima seguridad a
la infraestructura, es recomendable utilizar dos modelos de firewall distintos. En efecto, si
una persona malintencionada encuentra un fallo en el primero, ya tiene el trabajo
prcticamente hecho para llegar a abrir el segundo, si son idnticos.

A continuacin, slo le queda gestionar los flujos entre Internet y la DMZ, y entre la DMZ
y la LAN. En efecto, si sus servidores Web llaman a recursos de red, necesitarn un acceso
a la misma. Basta con autorizar a los servidores de la DMZ para comunicarse con la LAN
con los protocolos requeridos. A continuacin, podr restringir el acceso para mejorar la
seguridad tanto en la DMZ como en su red local.
Del lado del servidor, Windows Server 2012 configura automticamente las excepciones de
su firewall. Habiendo agregado el rol de servidor IIS, ya ha autorizado automticamente los
flujos http y HTTPS. Slo le falta gestionar los puertos abiertos en los equipos del firewall.

4. Implementacin del CPU Throttling

En un entorno multi-tenant (multicliente) es importante crear una maqueta ("sandbox" que


podramos considerar como un espacio dedicado) para cada cliente. Sin esta maqueta, un
cliente podra, de forma intencionada o no, impactar en los dems clientes de forma
negativa accediendo al contenido de los dems clientes o monopolizando recursos del
servidor como, por ejemplo, la memoria, la CPU o incluso el ancho de banda.

Desde IIS 8 para Windows Server 2012, esta maqueta se crea por pool de aplicaciones.
Ofrece, al mismo tiempo, un lmite a nivel de procesos Windows haciendo que cada cliente
se ejecute en entidades distintas y estableciendo un lmite en el uso de recursos para cada
proceso.

La funcionalidad de CPU Throttling no consiste en una reserva de recursos de CPU sino en


un lmite de uso mximo.

Para configurarlo en su sitio Web, creado en las etapas anteriores, siga los siguientes pasos:

En la consola Administrador del servidor, haga clic en Herramientas - Administrador


de Internet Information Services (IIS).

En la seccin Conexiones, despliegue su servidor (DC2012) y, a continuacin, seleccione


Grupos de aplicaciones.

En el panel central, seleccione su pool de aplicaciones (Sitio Web de mi Empresa).

En el panel Acciones, haga clic en Configuracin avanzada....

Vaya a los parmetros de CPU:


Afinidad del procesador habilitada: permite especificar si los procesos de trabajo
que utiliza este pool de aplicaciones deben ejecutarse sobre procesos especficos.
Esta opcin permite utilizar eficazmente las cachs de los procesadores en
servidores multiprocesadores.
Lmite (1/1000 de %): indica que el uso mximo de CPU (este valor se define
como 1/1000 de un %: en resumen, para definir un uso mximo del 10 %, habr que
escribir 10000 para que tenga en cuenta el 1/1000 de 10000, o bien el valor 10) para
este pool de aplicaciones. SI hay varios procesos asociados a este pool, el lmite se
aplica a la suma total de los procesos.
Accin de lmite: indica la accin que se quiere realizar si se supera este lmite:

NoAction: no realiza ninguna accin.


KillW3wp: IIS se detendr.
Throttle: esta opcin reduce el uso de CPU al valor definido como lmite.
ThrottleUnderLoad: esta opcin reduce el uso de CPU al valor definido como
lmite aunque nicamente cuando se alcanza la carga de CPU mxima. El pool de
aplicaciones podr utilizar ms recursos siempre que el procesador est inactivo.

Ejemplo de configuracin de CPU Throttling

Escriba 30000 en el campo Lmite (1/1000 de %) para obtener un 30 % como umbral.

Seleccione el valor Throttle para la opcin Accin de lmite.

Simule una carga o utilice una herramienta como WCAT


(http://www.iis.net/downloads/community/2007/05/wcat-63-%28x64%29) para hacerlo.

Instalar un sitio FTP con aislamiento de


usuarios
Para proporcionar un espacio de almacenamiento en Internet a sus usuarios, o incluso a los
clientes para los que hospeda sitios Web, seguramente necesitar proporcionarles un acceso
FTP.

Para restringir su campo de accin y asegurar que no ven las carpetas de otras personas,
tendr que configurar el aislamiento de usuarios.
Requisitos previos: disponer de una instalacin bsica de IIS; haber creado las cuentas
usuario1 y usuario2 en Active Directory.

1. Instalacin del rol Servidor FTP

En la consola Administrador del servidor, haga clic en Administrar - Agregar roles y


caractersticas.

Haga clic en Siguiente.

Seleccione la opcin Instalacin basada en un rol o una funcionalidad y, a


continuacin, haga clic en Siguiente.

Seleccione su servidor y, a continuacin, haga clic en Siguiente.

Despliegue el rbol Servidor Web (IIS).

Marque la opcin Servidor FTP y, a continuacin, haga clic en Siguiente.

Haga clic en Siguiente.

En la pgina que permite seleccionar las funcionalidades, haga clic en Siguiente.

Verifique las opciones de seleccin y, a continuacin, haga clic en Instalar.

Una vez terminada la instalacin, haga clic en Cerrar.

2. Configuracin del aislamiento de usuarios

Antes de pasar a la configuracin del servicio FTP, va a crear datos que permitirn
visualizar la correcta implementacin del aislamiento de usuarios.

Abra una ventana de comandos y escriba el siguiente comando:

CACLS "C:\inetpub\ftproot" /G IUSR:R /T /E

Este comando permite dar permisos de lectura a la cuenta annima IIS sobre la carpeta
ftproot.
Cree una carpeta LocalUser en la carpeta ftproot y, en esta nueva carpeta, cree la carpeta
Public. Esta carpeta servir para almacenar el contenido que se provee a los usuarios
annimos.

Cree un archivo de texto llamado archivopublico.txt en la carpeta Public.

Cree una carpeta MIEMPRESA (nombre NetBIOS de su dominio) en la carpeta ftproot.

Preste atencin, es importante que nombre esta carpeta con el nombre de su dominio. Si
no respeta esta condicin, el aislamiento de usuarios no funcionar correctamente y sern
incapaces de encontrar su carpeta raz.

Cree las carpetas usuario1 y usuario2 en la carpeta MIEMPRESA.

Cree un archivo de texto llamado archivousuario1.txt en la carpeta usuario1 y haga lo


mismo con un archivo llamado archivousuario2.txt en la carpeta usuario2.

En la consola Administrador del servidor, haga clic en Herramientas - Administrador


de Internet Information Services (IIS).

En el panel Conexiones, haga clic con el botn derecho sobre el nombre de su servidor y, a
continuacin, seleccione Agregar sitio FTP....

Rellene la informacin tal y como se describe ms abajo y, a continuacin, haga clic en


Siguiente.
Seleccione Sin SSL en la seccin SSL y, a continuacin, haga clic en Siguiente.

En este ejemplo, configurar el servidor FTP para que no exija el protocolo SSL. En la
prctica, como utiliza una cuenta de dominio, convendr dotar de seguridad a la
autenticacin. De este modo, tendr que adquirir un certificado SSL (o entregarlo mediante
una entidad emisora de certificados) y exigir SSL de forma que la informacin est cifrada
y evitar, de este modo, cualquier intercepcin de las credenciales.
Marque la opcin Annima, en la lista Autorizacin seleccione Usuarios annimos y
marque la opcin Leer.

Haga clic en Finalizar.

En la consola Administrador de Internet Information Services (IIS), en el panel


Conexiones, despliegue el rbol DC2012 - Sitios - Mi Sitio FTP.

En el panel central, haga doble clic en Autenticacin FTP.

En el panel central, haga clic con el botn derecho en Autenticacin bsica y, a


continuacin, seleccione Habilitar.

Vuelva a su sitio FTP y, a continuacin, haga doble clic en Reglas de autorizacin de


FTP en el panel central.

En la seccin Acciones, haga clic en Agregar regla de permiso....

Las reglas de autorizacin permiten autorizar o denegar el acceso a los usuarios. Es posible
precisar si un usuario tiene permisos de escritura o, simplemente, de lectura.
Seleccione Todos los usuarios y marque las opciones Leer y Escribir y, a continuacin,
valide haciendo clic en Aceptar.

Vuelva a su sitio FTP y, a continuacin, haga doble clic en Aislamiento de usuarios FTP.

Seleccione Directorio de nombres de usuario (deshabilitar los directorios virtuales


globales).
Esta opcin permite restringir el acceso de los usuarios a la carpeta fsica o virtual del FTP
que tiene el mismo nombre que su cuenta FTP. No podrn subir en la arborescencia FTP.
Las carpetas virtuales globales raz se ignoran (una carpeta virtual global sirve como acceso
directo hacia una carpeta fsica definida; esto permite dar acceso a una carpeta con un
nombre diferente o simplificando la ruta de acceso; esto permite tambin definir
autorizaciones de acceso distintas), los usuarios slo podrn acceder a las que estn
definidas explcitamente en su arborescencia.

Las otras posibilidades son:

Directorio fsico de nombres de usuario (habilitar los directorios virtuales globales):


esta opcin asla a los usuarios en la carpeta fsica que lleva el mismo nombre que su
cuenta FTP. Las carpetas virtuales globales estn accesibles en la medida en que el usuario
tenga las autorizaciones asociadas.

Directorio particular de FTP configurado en Active Directory: los usuarios estn


aislados en una carpeta base definida en las propiedades de su cuenta Active Directory.

En el panel de acciones haga clic en Aplicar.

Es momento de verificar el aislamiento de usuarios.

Abra el navegador Internet Explorer.

Escriba, en la barra de direcciones: ftp://dc2012.

Debera obtener el siguiente resultado:


Se trata del resultado esperado puesto que est habilitado el acceso annimo y no ha
especificado credenciales algunas.

Abra el explorador de Windows y escriba la direccin ftp://usuario1@dc2012 en la barra


de direcciones. A continuacin, valide.

Obtiene una ventana de identificacin, escriba el nombre de usuario usuario1 y su


contrasea asociada. A continuacin, haga clic en Iniciar sesin.

Comprobar que solamente ve el contenido de la carpeta individual de usuario1.


En este ejemplo, ha utilizado un dominio y, por tanto, creado una carpeta correspondiente
al nombre de dominio en ftproot. En el caso de que se utilice un servidor ftp autnomo,
utilice el nombre de la carpeta LocalUser para crear carpetas de usuario.

3. Configuracin de la restriccin de intentos de conexin

Una posible vulnerabilidad en un servidor consiste en un ataque del tipo "fuerza bruta" (un
ataque por fuerza bruta consiste en un mtodo utilizado para encontrar una contrasea o una
clave. Se trata de probar, una a una, todas las combinaciones posibles. Este mtodo de
bsqueda exhaustiva tiene xito en aquellas ocasiones en que la contrasea que se busca
est formada por pocos caracteres) mediante los servicios FTP. Partiendo del principio de
que las cuentas que utiliza FTP son, a menudo, cuentas de usuario fsicas del sistema
operativo resulta, tericamente, posible adivinar la cuenta de administrador una vez conoce
la versin del servidor FTP (por ejemplo: Administrador para un servidor Windows y root
para un servidor Linux).

Con IIS 8 y Windows Server 2012, Microsoft incluye la funcionalidad de dotar de


seguridad integrada con el objetivo de prevenir ataques de tipo "fuerza bruta" sobre el
servidor FTP. Observe que esta funcionalidad no se activa en el sitio FTP sino a nivel de
servidor.

Para implementarla, siga los pasos siguientes:

En la consola Administrador del servidor, haga clic en Herramientas - Administrador


de Internet Information Services (IIS).

En el panel izquierdo, seleccione su servidor (DC2012).

En el panel de funcionalidades, seccin FTP, haga doble clic en Restricciones de intento


de inicio de sesin de FTP.

Marque la opcin Habilitar restricciones de intento de (opcin que no ha sido del todo
bien traducida al castellano).

Defina el nmero mximo de intentos de conexin fallidos as como el periodo de tiempo


entre cada intento.

Deje marcada la opcin Denegar direcciones IP basndose en el nmero de intentos


fallidos de inicio de sesin.
Haga clic en Aplicar en el panel Acciones.

Conclusin
Acaba de ver en este captulo que para administrar sitios Internet y/o Intranet debe utilizar
el rol Servidor Web (IIS).

IIS 8 e IIS 8.5 conservan la arquitectura de su predecesor, as como las mejoras que se han
aportado en trminos de seguridad y de modularidad. Aportan, no obstante, varias mejoras
dedicadas a hospedar sitios Web y a la gestin multicliente.

La seguridad sigue siendo el ncleo principal de mejora. En particular, las restricciones


dinmicas de direcciones IP as como las restricciones de intentos de conexin FTP.

Se ha evolucionado tambin la gestin de SSL y, en particular, el hecho de que el dominio


virtual forme parte, en adelante, de la negociacin SSL. La gestin centralizada de
certificados permite, en s misma, simplificar la renovacin de los certificados; el nombre
DNS de los certificados se lee y asocia directamente al sitio correspondiente gracias a su
encabezado de host. Es, tambin, posible almacenar los archivos de certificados en un
recurso compartido de archivos en la red, en lugar de hacerlo de manera local sobre cada
servidor web para simplificar la administracin de certificados.
La diferencia entre IIS 8 e IIS 8.5 se pone de manifiesto principalmente en la optimizacin
del funcionamiento, aportando importantes mejoras, principalmente en lo relativo a
proveedores de soluciones Cloud.

Introduccin
Este captulo est dedicado a la securizacin de Windows Server 2012 R2. La seguridad se
encuentra en el ncleo de este sistema operativo, cuya implantacin ms evidente es la
instalacin llamada "mnima", de ah el nombre ingls "Core" para nombrarla. En este
captulo descubrir cmo administrar esta versin tan particular y tan til en un entorno
hostil.

Principios del servidor Core


Esta seccin presenta las principales caractersticas del servidor Core, los dominios para los
que ha sido previsto su uso, as como aquellos para los que no es posible utilizarlo.

1. Restricciones ligadas a una instalacin mnima

Con la opcin de instalacin mnima, la interfaz estndar de usuario (a saber, el intrprete


de comandos grfico de servidor) no est instalado. Por ello, las tareas de gestin del
servidor se realizan mediante herramientas de interfaz de usuario remotas (RSAT),
Windows PowerShell o, si tiene lugar, de forma local por lnea de comandos (o Windows
PowerShell).

Por analoga, esta instalacin mnima sigue llamndose Core, como en Windows 2008
Server y 2008 R2 Server, por parte de los usuarios.

El inters de una instalacin Core consiste en reducir la superficie de ataque, lo cual tiene
un impacto en los roles que pueden instalarse en el servidor. La aplicacin de las
actualizaciones tambin se ha visto reducida, lo que facilita el ciclo de vida del servidor.
Desde Windows Server 2008 R2, se incluye el Framework .NET en la edicin Core, lo cual
abre nuevos usos (PowerShell, sitios IIS...).

Es posible instalar los siguientes roles en un servidor Windows Server 2012 R2:

Controlador de dominio (tpicamente un RODC).


Servicios de Certificados de Active Directory.
Servicios AD LDS (Active Directory Lightweight Directory Services).
Servidor DHCP y DNS.
Servidor de archivos (y Administrador de recursos del servidor de archivos).
Hyper-V (una de sus especialidades).
Acceso remoto.
Servicios de impresin y de digitalizacin de documentos.
Servidor Web IIS (parte de ASP.NET):

BranchCache (retransmisin).
Servidor multimedia.
Servicios WSUS (Windows Server Update Services).

2. Instalacin mnima

La instalacin Core es sucinta, lo cual se pone de manifiesto desde la instalacin! Slo se


necesitan 5 minutos, aproximadamente, desde que se inserta el DVD de instalacin hasta
que aparece el prompt de autenticacin, incluso sin haber automatizado la instalacin

En esta etapa, nada indica que se trata de una instalacin mnima. Es una vez autenticados
cuando la diferencia se hace patente.

No se trata de una captura de pantalla parcial, sino de la pantalla completa. No hemos


ocultado Explorer en ningn sitio, su archivo ejecutable est completamente ausente en el
disco duro! El objetivo consiste en reducir al mximo los componentes y recursos, para
adecuarlos en trminos de seguridad y para las mquinas virtuales.
Desde el punto de vista de la seguridad, cuantos menos elementos instalados, ejecutndose
o accesibles haya, mayor ser el nivel de seguridad. Por ejemplo, y puesto que no es posible
disponer de Explorer.exe, cualquier fallo de seguridad que afecte a este componente no
tendr el ms mnimo efecto en un servidor Core. Ms all del hecho de que el fallo no sea
explotable, no es necesario instalar cualquier hotfix que lo corrija ms adelante. Si bien ya
exista una versin Core de Windows Server 2000, se ha reducido en torno al 60% el
nmero de actualizaciones a instalar, y en torno al 40% respecto a Windows Server 2003.
El impacto del sistema operativo se ha reducido considerablemente:

Tras el arranque, con una nica sesin abierta, se utilizan 300 MB de memoria
frente a los ms de 500 MB en una instalacin completa.
Se necesitan 6,3 GB de espacio en disco, frente a los casi 11 GB para una
instalacin completa. Windows Server 2012 R2 incluye, sistemticamente, una
particin de unos 350 MB.

Observe tambin que, con Windows Server 2012 R2, Windows Defender se instala
automticamente con la versin Core.

Configurar de manera local un servidor


Core
La ausencia de consolas de administracin no incita a administrar de forma local un
servidor Core, lo cual forma parte del objetivo. Una vez se ha realizado la configuracin
mnima, basta con conectarse desde un host de remoto que posea consolas de
administracin que permitan superar estas restricciones. Esta seccin cubre la
configuracin inicial para autorizar una administracin descentralizada.

Con Windows Server 2012 R2, tambin es posible utilizar la consola Administrador del
servidor para administrar un servidor Core (habilitando winrm en el servidor Core
previamente).

En el modo Core, cuando se abre una sesin, se utiliza la lnea de comandos como interfaz,
y sta se abre de forma automtica. Para que PowerShell sea la lnea de comandos por
defecto en Windows Server 2012 R2, ejecute el siguiente comando en una ventana
PowerShell:

$RegPath = "Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon"

Set-ItemProperty -Confirm -Path $RegPath -Name Shell -Value


PowerShell.exe -noExit -Command "$psversiontable

Restart-Computer
1. Sconfig

Para simplificar la configuracin inicial de un Servidor Core, a partir de Windows Server


2008 R2 se incluye una nueva herramienta: sconfig. Esta consola permite configurar los
siguientes elementos desde su men interactivo:

Unirse a un dominio o grupo de trabajo.


Cambiar el nombre del equipo.
Agregar un administrador local.
Configurar la administracin remota.
Conectarse a Windows Update.
Definir la configuracin de red.
Configurar la fecha y hora.

Abrir esta herramienta es tan sencillo como escribir su nombre en una ventana de
comandos: sconfig.

Habr comprendido, si tiene la suerte de poseer Windows Server 2012 R2, que no ser
necesario realizar la mayor parte de las configuraciones que siguen. No obstante, siempre
es interesante conocer los distintos mtodos que se ofrecen.

2. Configurar la fecha y la hora

Ciertas acciones, evidentes sobre un servidor clsico, pueden resultar desconcertantes en


esta versin depurada. Una de las primeras a realizar sobre un servidor consiste en
configurar la fecha y la hora. Incluso si se va a unir a un dominio, debe tener, por defecto,
un desfase menor a 5 minutos respecto a la fecha y hora del dominio para que Kerberos
funcione correctamente y permita su unin al dominio.
Existen varias soluciones (los comandos time y date siguen existiendo), aunque a
continuacin se presenta cmo abrir la interfaz grfica en un servidor Core:

Desde una lnea de comandos, ejecute controltimedate.cpl:

3. Parmetros regionales

Si desea modificar los parmetros regionales, puede utilizar el comando control intl.cpl.

4. Resolucin de pantalla

Para cambiar la resolucin de la pantalla ya no es preciso, como en la versin anterior,


utilizar la base de registro. Microsoft ha incorporado el comando Set-DisplayResolution.

Utilice, por tanto, el siguiente comando:

Set-DisplayResolution [-Width] <valorEnPixels> [-Height]


<valorEnPixels>
5. Salvapantallas

Tambin es posible modificar el salvapantallas por lnea de comandos. Para ello, abra el
editor regedit desde la lnea de comandos abierta en pantalla.

Navegue, en la arborescencia, hasta la ruta: HKEY_CURRENT_USER\Control


Panel\Desktop

Existen cuatro claves que le permiten administrar el nombre del salvapantallas, el


bloqueo automtico de la sesin tras el inicio del salvapantallas y el tiempo de espera antes
de su ejecucin:

ScreenSaveActive: permite habilitar o deshabilitar el salvapantallas de forma


global. Puede tomar los valores 1 (activo) o 0 (deshabilitado).
SCRNSAVE.EXE: indica la ruta del salvapantallas que se quiere utilizar. El
parmetro por defecto es C:\Windows\system32\logon.scr. El salvapantallas
scrnsave.scr est disponible en el servidor y evita un consumo del procesador
intil, especialmente en un entorno virtual.
ScreenSaverIsSecure: permite habilitar o no el bloqueo de la sesin tras la
ejecucin del salvapantallas. Su valor por defecto es 1, que habilita esta proteccin.
ScreenSaveTimeOut: nmero de segundos antes de que se ejecute el
salvapantallas. Por defecto, el valor est fijado a 600 segundos.

Con la instalacin slo est disponible la clave ScreenSaveActive. Las otras tres se crean
manualmente como "valores cadena" (REG_SZ).

En el marco de un dominio Active Directory, estos parmetros se administran mediante las


directivas de grupo de forma centralizada.

6. Nombre del servidor

Por defecto, al servidor se le asigna un nombre de mquina aleatorio, siempre con el prefijo
WIN-.

Para conocer el nombre actual, ejecute el siguiente comando desde la lnea de


comandos: hostname
Para cambiar el nombre del servidor, ejecute el comando siguiente desde la lnea de
comandos:

netdom renamecomputer <nombredesuservidor> /NewName:DC2012

Es preciso reiniciarlo para que se tenga en cuenta el cambio:

Por lnea de comandos:


shutdown /r /t 0 /C "renombrado del servidor"

Mediante PowerShell:

Restart-Computer

7. Administracin de controladores

Es posible administrar los controladores por lnea de comandos gracias a la herramienta


pnputil.

Puede enumerar los controladores instalados y que se estn ejecutando mediante el


comando:

Pnputil -e

Para agregar e instalar controladores suplementarios, hay que utilizar los parmetros -a y -i
y precisar la carpeta donde se encuentran:

Pnputil -a -i c:\miscontroladores\*.inf

Para obtener la lista de controladores habilitados, utilice el siguiente comando (no olvide el
espacio tras el signo =):

-sc query type= driver

8. Configuracin de red

El servidor utiliza, por defecto, un direccionamiento DHCP sobre todas las interfaces. Para
cambiar a un direccionamiento por IP esttica, tiene que utilizar el comando PowerShell
Set-NetIPAddress. Cada tarjeta de red posee un nmero atribuido que se utiliza en el
comando Get-NetIPInterface para determinar la tarjeta de red a la que se desea aplicar los
cambios. Para enumerar las tarjetas de red y ver los identificadores atribuidos por
Windows, ejecute el siguiente comando desde la lnea de comandos PowerShell:

Get-NetIPInterface

Por ejemplo, si desea configurar la tarjeta de red con un identificador 12 con un


direccionamiento por IP esttica, ejecute:

Set-NetIPAddress -InterfaceIndex 12 -IPAddress 172.16.0.1


-PrefixLength 16

Donde:

InterfaceIndex es el valor de la columna IfIndex detallada en la etapa 2 (en este


ejemplo, 12).
IPAddress es la direccin IP esttica que se quiere definir (en este ejemplo,
172.16.0.1).
PrefixLength es la longitud del prefijo (otra forma de mscara de subred) de la
direccin IP que ha definido (en este ejemplo, 16).

Para configurar la direccin 172.16.0.2 como servidor DNS primario, ejecute el siguiente
comando:

Set-DNSClientServerAddress -InterfaceIndex 12 -ServerAdresses 172.16.0.2

Debera obtener un resultado equivalente al siguiente:


Para configurar el sufijo DNS por defecto, hay que modificar la base de registro. Para ello,
ejecute desde la lnea de comandos:

reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v "NV


Domain" /d "MiEmpresa.Priv" /f

9. Activacin de Windows

La activacin de la licencia de Windows puede administrarse por lnea de comandos. El


script slmgr.vbs se instala con Windows en la ruta %systemroot%\System32 para ello.
Recuerde que, a diferencia de las versiones anteriores de Windows, la activacin es
obligatoria, incluso con una licencia por volumen. Este script funciona, tambin, con KMS
(Key Management Service).

Para verificar el estado de activacin actual, ejecute el comando:

cscript %systemroot%\System32\slmgr.vbs /dlv


En este ejemplo, la licencia expira en 180 das. Se trata de una versin de evaluacin de
Windows no registrada.

Si simplemente quiere conocer la fecha en la que expira la licencia, ejecute el script con el
parmetro /xpr.

cscript %systemroot%\System32\slmgr.vbs/xpr

Por defecto, el servicio KMS se encuentra automticamente en su dominio Active


Directory con la consulta DNS siguiente: _vlmcs._tcp.miempresa.local.

Si existe esta entrada DNS, el servidor intentar conectase al puerto TCP 1688. Puede, de
este modo, indicar manualmente el nombre del servidor KMS con el parmetro -skms.

Para iniciar manualmente la activacin de Windows, ejecute el comando:

cscript %systemroot%\System32\slmgr.vbs /ato


10. Gestin del informe de errores

El servicio de informe de errores puede configurarse por lnea de comandos.

Para verificar la configuracin actual, ejecute el comando: serverWerOptin /query

Para activar el informe de errores simple: serverWerOptin /summary

Para activar el informe de errores detallado: serverWerOptin /detailed

Para desactivar el informe de errores: serverWerOptin /disable

11. Configurar el archivo de paginacin

El archivo de paginacin (PageFile) se gestiona, automticamente, por defecto. Para


conocer la configuracin actual, puede utilizar el comando: wmic pagefile list /format:list
Antes de configurar manualmente el PageFile, es preciso deshabilitar la administracin
automtica:

wmic computersystem where name="%computername%" set


AutomaticManagedPagefile=False

Para forzar un tamao de PageFile de 2 GB:

wmic pagefileset where name="C:\\pagefile.sys" set InitialSize=2048,


MaximumSize=2048

Es necesario reiniciar el servidor para que el cambio tenga efecto.

12. Unirse a un dominio

El comando netdom permite unirse a un dominio Active Directory existente. Ejecute, desde
la lnea de comandos:

netdom join <nombredemiservidor> /domain:<miDominioAD>


/userd:<CuentaConPermisos> /password:*

El smbolo * indica que debe solicitarse la contrasea, evitando tener que escribirla en claro
en la consola.

El mismo comando permite sacar un equipo de un dominio Active Directory: netdom


remove

Igual que con Windows Server 2008 R2 y Windows Server 2012, es posible unirse a un
dominio sin estar conectado a la red del dominio en ese preciso momento. El captulo
Despliegue de servidores y puestos de trabajo cubre con detalle esta operativa (seccin
Unirse al dominio sin red).

13. Administrar el registro de eventos

Si bien la consola Visor de eventos permite visualizar los registros de un servidor remoto,
puede gestionarlos de forma local desde el servidor Core. Es posible mostrar la lista de los
registros de eventos en la consola mediante el comando: wevtutil el

La ventana Lnea de comando, sin ser ideal para una visualizacin masiva, ni muy rpida,
puede filtrar los resultados de salida especificando el nmero de eventos que se quiere
mostrar. Por ejemplo, para mostrar nicamente los cinco ltimos eventos: wevtutil qe
System /c:5 /f:Text

Tambin es posible visualizar solamente los cinco ltimos errores agregando el parmetro
"/q:*[System[(Level=1 or Level=2)]]".
El nivel 1 se corresponde con los eventos "crticos".
El nivel 2 se corresponde con los eventos de "error".
El nivel 3 se corresponde con los eventos de "advertencia".
El nivel 4 se corresponde con los eventos de "informacin".

El siguiente comando permite guardar el registro abierto en un archivo y comenzar as un


nuevo registro:

wevtutil cl system /bu:c:\MisDocumentos\syslog.evtx

Administracin remota
1. Activacin del Escritorio remoto

Como con la versin completa de Windows Server 2012, el acceso remoto no est activado
por defecto. Puede verificar el estado de su activacin con el siguiente comando:

cscript.exe c:\windows\system32\scregedit.wsf /AR /v

Como se explica en el captulo Servicios de Escritorio remoto, la clave fDeny-


TSConnections deshabilita el control remoto cuando su valor es 1, como es el caso por
defecto. El mismo script permite cambiar la clave a cero y autorizar las conexiones:

cscript.exe c:\windows\system32\scregedit.wsf /AR 0

En este estado, slo los clientes que ejecuten al menos Windows Vista o Windows Server
2008 podrn conectarse. Para autorizar la conexin de clientes de versiones anteriores:

cscript.exe c:\windows\system32\scregedit.wsf /cs 0

La siguiente captura de pantalla muestra los comandos descritos anteriormente y permite,


mediante el comando netstat y su filtro sobre el valor 3389 (puerto TCP de los servicios de
Escritorio remoto) darse cuenta de que el servicio Escritorio remoto no estaba habilitado
antes de ejecutar estos comandos.
2. Activacin de WinRM

WinRM es la implementacin de Microsoft del protocolo WS-Management. El objetivo


consiste en poder comunicar dos sistemas del sistema de informacin, pudiendo atravesar
correctamente los firewalls. Para instalar WinRM, ejecute el siguiente comando desde la
lnea de comandos: WinRM quickconfig.

Para verificar que WinRM est activo y escuchando ejecute el comando:

winrm enumerate winrm/config/listener

Quickconfig se encarga de agregar la excepcin sobre el firewall para que el servicio est
accesible a travs de la red.
Por defecto, WinRM utiliza el protocolo HTTP. Es posible utilizar HTTPS, con la
condicin de tener instalado un certificado vlido (que no haya expirado, y que no sea auto-
firmado). Para ello, basta con especificar el transporte HTTPS: WinRM quickconfig -
transport:https

Si desea utilizar WinRM para acceder a un servidor que no est en su dominio Active
Directory, debe utilizar un certificado SSL, o bien utilizar la lista de equipos aprobados.
Esta lista est situada del lado del cliente, y puede administrarla potencialmente mediante
una directiva de grupo, facilitando as las altas y las bajas de servidores en esta lista.

Si desea administrar localmente esta lista, puede utilizar el comando siguiente para agregar
servidores:

winrm set winrm/config/client @{TrustedHosts="<miLista>"}

Ser preciso reemplazar miLista por uno o varios elementos separados por comas. Es
posible utilizar direcciones IP y nombres DNS.

Para obtener la lista actual de hosts aprobados:

winrm get winrm/config/client

Si sus servidores pertenecen a un dominio Active Directory, puede administrar WinRM


desde las directivas de grupo:
Sera una pena mostrar este protocolo sin hablar, por ejemplo, de sus capacidades. He aqu
algunas posibilidades que ofrece WinRM.

Mostrar el resultado del comando ipconfig /all de un servidor remoto:

winrs -r:NombreDelServidor ipconfig /all

Especificar una cuenta de usuario y una contrasea (la contrasea se solicita a


continuacin):

winrs -r:NombreDelServidor -u miotracuenta ipconfig /all

Ejecutar una consulta WMI:

winrm get wmicimv2/win32_service?name=W32Time -r :NombreDelServidor

WinRM est, tambin, disponible en las versiones anteriores de Windows (XP, 2003) como
componente suplementario. Puede acceder a l descargndolo de la siguiente
direccin: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=8
45289ca-16cc-4c73-8934-dd46b5ed1d33

Dotar de seguridad al servidor Core


1. Administracin del firewall

Como en la versin completa, el firewall de Windows est habilitado por defecto en la


edicin mnima. Esto resulta bien visible pues el servidor no responde al comando ping,
mientras que la direccin MAC correspondiente a la IP est visible con el comando arp -a.
La gestin de las reglas de firewall puede volverse compleja, por lo que resulta til poder
administrarlas a distancia. Esto puede realizarse mediante las directivas de grupo, pero
tambin utilizando la consola adecuada de forma remota. Antes de ello, es necesario haber
autorizado la administracin de las reglas de firewall a distancia sobre el servidor,
ejecutando el siguiente comando:

netsh advfirewall set currentprofile settings remotemanagement enable

La consola Firewall de Windows con seguridad avanzada no permite seleccionar


directamente un equipo remoto. Para ello, es necesario ejecutar el administrador de consola
mmc y, a continuacin, agregar la consola Firewall de Windows con seguridad
avanzada y, a continuacin, tendr la posibilidad de seleccionar el equipo concreto.
Encontrar ms informacin acerca de la configuracin del firewall en modo grfico en el
captulo Securizar su arquitectura.

Las dems consolas mmc pueden estar autorizadas sobre el firewall para poder utilizarse de
forma remota. He aqu una lista de los elementos que se pueden visualizar con los nombres
correspondientes en las reglas:

Servicios: Administracin remota de los servicios.


Programador de tareas: Administracin remota de las tareas programadas.
Visor de eventos: Administracin remota de los visores de eventos.
Monitor de confiabilidad y rendimiento: Registro de alertas de rendimiento.
Administracin de almacenamiento y recursos compartidos: Comparticin de
archivos e impresoras.

Netsh advfirewall firewall set rule group="nombre_de_las_reglas"


new enable=yes

Para administrar IPsec de manera remota, es necesario habilitar, en primer lugar, su


administracin remota:

cscript \windows\System32\scregedit.wsf /im 1

Para que la administracin remota de volmenes funcione, es necesario iniciar,


previamente, el servicio de disco virtual: net start vds

2. Administracin automtica de las actualizaciones

La activacin o desactivacin de actualizaciones automticas puede administrarse de forma


local. Si el servidor forma parte de un dominio Active Directory, debera administrar
preferentemente esta configuracin mediante las directivas de grupo.

Para saber si estn habilitadas las actualizaciones:


cscript C:\Windows\System32\Scregedit.wsf /au /v

Para habilitar las actualizaciones:

cscript C:\Windows\System32\Scregedit.wsf /au 4

Si obtiene el siguiente mensaje de error: Scregedit.wsf(777, 3) (null): 0x80240037, elimine


la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Para deshabilitar las actualizaciones :

cscript C:\Windows\System32\Scregedit.wsf /au 1

Puede forzar la verificacin inmediata de las actualizaciones ejecutando el comando:


wuauclt /detectnow

Puede forzar la instalacin inmediata de las actualizaciones ejecutando el comando:


wuauclt /install

A pesar de estos comandos, el servicio de actualizaciones almacena la fecha y hora de la


ltima verificacin. Tambin, despus de la peticin inicial, se impone un tiempo de espera.
Para acelerar el proceso puede suprimir la clave del registro que contiene la fecha y hora de
la ltima y de la prxima verificacin:

net stop wuauserv


reg delete
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
WindowsUpdate\ Auto Update" /f
net start wuauserv
wuauclt /detectnow

Sigue existiendo un retardo de varios minutos.

Para consultar la lista de actualizaciones instaladas, utilice el comando siguiente:

wmic qfe list

3. Hacer una copia de seguridad del servidor

La instalacin Core se utiliza a menudo en un entorno hostil, de modo que es til poder
realizar al menos copias de seguridad locales del sistema. La administracin de las copias
de seguridad se realiza instalando la funcionalidad Windows Server Backup mediante
PowerShell:

Add-WindowsFeature Windows-Server-Backup

Para iniciar manualmente una copia de seguridad, es preciso utilizar el comando wbadmin.
En nuestro ejemplo, vamos a realizar una copia de seguridad del lector C:\ en la carpeta
compartida \\otroservidor\carpetascompartidas\copiasdeseguridad:

wbadmin start backup


-backuptarget :\\otroservidor\carpetascompartidas\copiasdeseguridad
-include:c: -allcritical -vssfull -quiet

Las rutas UNC pueden utilizarse directamente como destinos de la copia de seguridad. Se
crear una carpeta llamada "WindowsImageBackup". A continuacin se crear
automticamente una carpeta con el nombre del servidor. Cualquier copia de seguridad
anterior se borrar de forma automtica. La restauracin completa puede hacerse utilizando
el DVD de instalacin (opcin restauracin).

Para obtener ms informacin acerca del uso de Windows Server Backup, consulte el
captulo El ciclo de vida de su infraestructura.

Implementar un servidor Core y sus


aplicaciones asociadas
1. Instalacin de roles y caractersticas

Los comandos oclist y ocsetup presentes en Windows Server 2008/2008 R2 han dado paso,
en lo sucesivo, a los comandos PowerShell Get-WindowsFeature y Add-WindowsFeature
desde Windows Server 2012. El primero enumera los roles instalados o no, y el segundo
permite instalarlos. Para eliminar un rol o una caracterstica, ser preciso utilizar el cmdlet
PowerShell Remove-WindowsFeature.

Un ejemplo de salida por pantalla del comando Get-WindowsFeature es:

a. Roles de red

La instalacin de roles de red se limita a un simple comando. He aqu los comandos que
permiten realizar la instalacin de los distintos roles de red disponibles. Estos roles
consumen pocos recursos de sistema pero son necesarios permanentemente. Utilizar una
instalacin mnima permite dotarlos de seguridad y limitar los cortes de servicio gracias a la
reduccin del nmero de actualizaciones de seguridad a instalar.

Instalar el rol DHCP Server

Para instalar el rol DHCP Server, utilice los siguientes comandos:

Add-WindowsFeature DHCP

Para autorizar el servidor DHCP, ejecute:


Add-DhcpServerInDC -DnsName dc2012.MiEmpresa.Priv

Si el servidor se convierte, a continuacin, en controlador de dominio habr que autorizarlo


de nuevo.

Para crear un mbito sobre el servidor DHCP que incluye el rango de direcciones
172.16.0.100 a 172.16.0.250:

Add-DhcpServerv4Scope -Name "mbito de mi empresa" -StartRange


172.16.0.100 -EndRange 172.16.0.250 -SubnetMask 255.255.255.0

Para definir un rango de exclusin:

Add-DHCPServerV4ExclusionRange -ScopeId 172.16.0.0 -StartRange


172.16.0.100 -EndRange 172.16.0.120

Para proveer una direccin IP de la puerta de enlace por defecto y los servidores DNS en
los contratos DHCP:

Set-DhcpServerv4OptionDefinition -OptionId 3 -DefaultValue 172.16.0.254


Set-DhcpServerv4OptionDefinition -OptionId 6 -DefaultValue 172.16.0.1

Para proveer el sufijo DNS en el contrato DHCP:

Set-DhcpServerv4OptionDefinition -OptionId 15 -DefaultValue


MiEmpresa.Priv

Para habilitar el mbito:

Set-DhcpServerv4Scope -ScopeId 172.16.0 -Name "mbito de mi empresa"


-State Active

El comando netsh sigue existiendo, si no quiere utilizar PowerShell. Puede consultar la lista
de argumentos utilizando el comando netsh dhcp /?. A continuacin, puede obtener la
misma sintaxis para obtener ayuda sobre un argumento. Por ejemplo: para obtener ayuda
sobre la forma de agregar un mbito: netsh dhcp server add /?

Instalar el rol DNS server

Para instalar el rol DNS Server, utilice el comando siguiente:

Add-WindowsFeature DNS

Para agregar una zona DNS primaria local sobre el servidor:

Add-DnsPrimaryZone -Name MiEmpresa.Priv -Filezone MiEmpresa.Priv.dns


Es muy sencillo agregar entradas de forma manual. Por ejemplo, para declarar un segundo
servidor DNS para la zona:

Add-DnsServerResourceRecord -ZoneName MiEmpresa.Priv


-Name NombreDelServidor -A -IPV4Address 172.16.0.2
Add-DnsServerResourceRecord -ZoneName MiEmpresa.Priv -NS
-Name MiEmpresa.Priv -NameServer NombreDelServidor.MiEmpresa.Priv

La zona no acepta, por defecto, actualizaciones dinmicas. Para autorizarlas, es necesario


utilizar el comando:

Set-DnsServerPrimaryZone -Name MiEmpresa.Priv -DynamicUpdate


NonSecureAndSecure

Puede ver todas las entradas de una zona por lnea de comandos:

Get-DnsServerResourceRecord -Name MiEmpresa.Priv

Para enumerar todas las zonas declaradas en el servidor:

Get-DnsServerZone

Windows Server 2008 R2 incluye la securizacin del DNS (DNSSEC), lo que permite
verificar que la fuente es digna de confianza para la resolucin y la transferencia de zonas.
Una infraestructura de tipo PKI permitir proteger las entradas DNS.

b. El rol servidor de archivos

A diferencia de los roles de red, se proporcionan varios roles en funcin de sus necesidades.
Puede seleccionar instalar o no FRS, RFRS, DFS, SIS e incluso NFS. El captulo
Arquitectura distribuida de acceso a los recursos de este libro cubre con detalle la
administracin distribuida de recursos mediante DFS, por lo que aqu nos interesaremos por
las especificidades ligadas a la instalacin Core. Este tipo de instalacin es adecuado para
este rol, pues la disponibilidad es vital para la mayora de usuarios. Podr utilizarse una
mayor cantidad de memoria gracias al bajo perfil de consumo del sistema operativo, y la
reduccin del nmero de actualizaciones reduce los cortes del servicio.

Instalacin del servicio de comparticin de archivos con PowerShell:

Add-WindowsFeature FS-FileServer

Instalacin del servicio DFS:

Add-WindowsFeature FS-DFS-Namespace

Instalacin del servicio Replicacin DFS:


Add-WindowsFeature FS-DFS-Replication

Instalacin del servicio NFS:

Add-WindowsFeature FS-NFS-Service

Windows Server 2012 incluye el servicio FSRM (File Server Resource Manager) en su
edicin Core. Esto permite administrar el almacenamiento burocrtico (gestin de cuota,
bloqueo de archivos por extensin e informes sobre el consumo de espacio en disco) as
como tener en cuenta el control de acceso dinmico, que se aborda en el captulo Securizar
su arquitectura.

Para instalar FSRM:

Add-WindowsFeature FS-Resource-Manager

La consola Administrador de recursos del servidor de archivos debe estar instalada en el


equipo utilizado para administrar FSRM:

Import-module servermanager
Add-WindowsFeature RSAT-FSRM-Mgmt

Basta, a continuacin, con agregar las excepciones sobre el firewall para administrar de
manera remota los recursos compartidos (sobre el servidor Core en entrada y sobre el
equipo que ejecuta el administrador del servidor):

netsh advfirewall firewall set rule group="Administracin remota de


recursos
del servidor de archivos" new enable="yes"
netsh advfirewall firewall set rule group="Administracin remota
de volmenes"
new enable="yes"

c. El rol servidor de impresin

El rol de servidor de impresin se instala por lnea de comandos PowerShell:

Add-WindowsFeature Print-Services
Agregar una impresora al servidor:

Desde un equipo Windows 8 u otro Windows Server 2012 R2 que no sea la edicin Core,
abra la consola administracin de impresin. Si no se encuentra en un servidor Windows
Server 2012 R2, puede agregarla independientemente utilizando el comando:

Add-WindowsFeature RSAT-Print-Services

A continuacin, basta con administrar el rol igual que en la edicin completa.

2. Servicio de directorio (AD)

El despliegue y la configuracin de los servicios de directorio se han simplificado con


Windows Server 2012, y esta simplificacin tambin se encuentra en la edicin mnima. En
efecto, si antes era necesario proporcionar los archivos de respuesta para el despliegue, en
lo sucesivo tiene a su disposicin un conjunto de comandos PowerShell para realizar el
despliegue. Para empezar, hay que instalar el servicio de rol Active Directory (AD DS):

Add-WindowsFeature AD-Domain-Services

A continuacin, es necesario desplegar un nuevo bosque:

Install-ADDSForest -DomainName "MiEmpresa.Priv" -DomainNetBIOSName


MIEMPRESA

El rol servidor DNS se instala de manera automtica y, una vez finalizada la instalacin y la
creacin del bosque, el servidor reinicia.

La instalacin de un nuevo dominio hijo o dominio en la arborescencia se realiza mediante


Windows PowerShell:
Install-ADDSDomain -NewDomainName hijo -ParentDomainName MiEmpresa.Priv

La instalacin de un controlador de dominio suplementario (rplica) mediante Windows


PowerShell se realiza mediante el siguiente comando:

Install-ADDSDomainController -DomainName miempresa.priv

3. Ejecutar aplicaciones de 32 bits

Windows Server 2012 es un sistema operativo que existe, nicamente, en 64 bits. No


obstante, las aplicaciones de 32 bits pueden ejecutarse gracias a una emulacin (Wow64
por Windows On Windows). Siendo el objetivo principal de un servidor Core reducir la
superficie de ataque y, en particular, evitar que los virus de 32 bits puedan funcionar, se le
aconseja desactivar la emulacin WoW64 si no tiene aplicaciones que la necesiten. Para
ello, basta con eliminar el paquete ServerCore-WOW64 mediante PowerShell:

Remove-WindowsFeature Wow64-Support

Flexibilidad de la administracin con el


modo Core
La instalacin mnima es la opcin por defecto desde Windows Server 2012. Windows
Server 2012 R2 ofrece la posibilidad de modificar ambas opciones en cualquier momento
una vez realizada la instalacin. En consecuencia, puede seleccionar, inicialmente, una
opcin de instalacin completa para poder configurar el servidor mediante las herramientas
grficas y, ms adelante, pasar a una opcin de instalacin mnima. La interfaz grfica ya
no est vinculada al modo de instalacin, aunque se considera una funcionalidad completa
del sistema operativo.

Es, tambin, interesante saber que existe un modo intermedio llamado Servidor con
Interfaz bsica. Este modo se sita entre los dos anteriores por el motivo siguiente: el
intrprete grfico de comandos es, en lo sucesivo, una caracterstica. Si bien la interfaz de
administracin grfica habitual (explorador de Windows, barra de herramientas, etc.) se
elimina y nos deriva a un modo Core, s tiene, en cualquier momento, la posibilidad de
abrir herramientas de gestin grfica tales como una consola MMC.

Para cambiar a este modo intermedio puede utilizar el siguiente comando PowerShell:
Uninstall-WindowsFeature Server-Gui-Shell -Restart, o bien utilizar la consola
Administrador del servidor y eliminar la caracterstica Interfaz grfica del servidor.
1. Paso del modo GUI al modo Core

Si la idea de utilizar una lnea de comandos para instalar las funcionalidades de Windows
no le agrada, o simplemente por sus aspectos prcticos prefiere instalar inicialmente su
servidor en modo grfico, configurar los distintos servicios de rol y, a continuacin, pasar a
un modo de servidor mnimo para dotarlo de seguridad, puede pasar del modo GUI al modo
Core ejecutando el siguiente comando desde una lnea de comandos Windows PowerShell
con privilegios de administrador:

Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -Restart

Esta misma operacin puede realizarse desde la consola Administrador del servidor:

Haga clic en Administrar - Eliminar roles o caractersticas.

Haga clic en Siguiente.

Seleccione su servidor y, a continuacin, haga clic en Siguiente.

En la etapa Roles del servidor haga clic en Siguiente.

En la lista de caractersticas, desmarque Infraestructura e interfaces de usuario.


En el cuadro de dilogo, haga clic en Quitar caractersticas.

Haga clic en Siguiente.

Haga clic en Eliminar para confirmar su eleccin.

Una vez realizada la modificacin, haga clic en Cerrar.

Reinicie su servidor para que se tengan en cuenta los cambios.

2. Paso del modo Core al modo GUI

En ciertas situaciones, puede necesitar utilizar las interfaces de usuario grficas que estn
disponibles en los servidores en modo grfico. Puede pasar de un servidor en instalacin
mnima a un servidor en modo grfico realizando las siguientes etapas (debe reiniciar el
equipo).

Para pasar de un servidor en modo de instalacin mnima al modo grfico cuando el


servidor se ha instalado, originalmente, en modo de instalacin mnima, los archivos
binarios correspondientes a la funcionalidad de consola grfica no estn presentes. Puede
utilizar los archivos fuentes de instalacin para realizar este cambio. Es necesario, para esta
operacin, crear un punto de montaje siguiendo los pasos que se describen a continuacin:

Cree una carpeta de montaje mediante el comando:

mkdir MountDir

Introduzca el DVD de instalacin de Windows Server 2012 (x: se corresponde con su


lector de DVD).

Las opciones de instalacin (mnima, grfica, Datacenter, Standard) poseen un ndice


asociado. Determine el ndice asociado a una imagen de servidor en modo grfico (por
ejemplo, SERVERDATACENTER, y no SERVERDATACENTERCORE) gracias al
comando.

Get-WindowsImage -ImagePath x:\sources\install.wim

Anote el nmero de ndice correspondiente a esta versin (4 en este ejemplo).

Ejecute:

Dism /mount-wim /WimFile:X:\sources\install.wim /Index:4 /MountDir:


c:\mountdir /readonly

Ejecute:

Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart -Source c:\mountdir\windows\winsxs

O, si prefiere utilizar Windows Update como origen, en lugar del archivo WIM, ejecute el
siguiente comando Windows PowerShell:

Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart

Una vez terminadas las tareas de administracin, puede volver al modo de instalacin
mnima si lo necesita (debe reiniciar el equipo) utilizando el siguiente comando Windows
PowerShell:

Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -restart

3. Uso de funcionalidades bajo demanda

En las versiones anteriores de Windows, cuando un rol o una caracterstica del servidor no
estaba habilitado, los archivos binarios correspondientes se conservaban en disco, lo cual
consuma un espacio de disco innecesario. En Windows Server 2012 R2, cuando
deshabilita un rol o una caracterstica, tiene la posibilidad de eliminar completamente los
archivos correspondientes, lo que se corresponde con el estado "eliminado" (removed) en el
Administrador del servidor o "deshabilitado con eliminacin de la carga" en Dism.exe.

Para eliminar completamente un rol o una caracterstica, ejecute, en Windows


PowerShell, el cmdlet Uninstall-WindowsFeature con el parmetro -Remove.

Por ejemplo, para eliminar completamente el Explorador de Windows, Internet


Explorer y los componentes relacionados, ejecute el siguiente comando Windows
PowerShell:

Uninstall-WindowsFeature Server-Gui-Shell -remove

Para reinstalar un rol o una caracterstica que haya sido completamente eliminado, debe
utilizar los archivos fuente de instalacin.

Para instalar un rol o una caracterstica habindolo eliminado completamente,


utilice el comando Install-WindowsFeature con el parmetro -Source. La opcin -
Source define una ruta de acceso a una imagen WIM y el nmero de ndice de la
imagen. Si no indica la opcin-Source, Windows utiliza Windows Update por
defecto.
Para instalar un rol o una caracterstica que se ha eliminado mediante una imagen
WIM, utilice el procedimiento y los comandos Windows PowerShell siguientes:
Get-WindowsImage -imagepath <ruta de acceso a wim>\install.wim
y, a continuacin, indique el ndice de la imagen de instalacin en modo grfico de
Windows Server 2012.

Install-WindowsFeature <nombre_caracterstica> -Source


wim:<ruta>:<ndice>

donde:

o nombre_caracterstica se corresponde con el nombre del rol o de la


caracterstica objeto de Get-WindowsFeature.
o ruta es la ruta de acceso al punto de montaje WIM.
o ndice es el ndice de la imagen de servidor que figura en la etapa en que ha
utilizado el comando Get-WindowsImage.

Por ejemplo, si la imagen de instalacin en modo grfico se encuentra en


D:\sources:

Install-WindowsFeature <nombre_caracterstica> -Source


wim:d:\sources\
install.wim:4

Puede, a su vez, especificar una fuente para los servidores que son miembros del
dominio mediante una directiva de grupo. Acceda a Configuracin del equipo -
Plantillas administrativas - Sistema - Especificar parmetros para desinstalar
componentes opcionales y reparar componentes.

4. Novedades aportadas a PowerShell

Ya lo conoce, a menos que no utilice las herramientas de gestin remota del servidor
(RSAT: Remote Server Administration Tools), pero puede utilizar PowerShell para
administrar su servidor de manera local. Windows PowerShell 4.0 se incluye con Windows
Server 2012 R2 y aporta un gran nmero de funcionalidades que extienden su uso,
mejorando su experiencia y permitiendo gestionar de forma mucho ms sencilla y eficaz los
entornos Windows. Entre las novedades, encontrar:

Windows PowerShell Desired State Configuration (DSC): se trata de un nuevo


sistema de gestin que permite desplegar y gestionar las configuraciones que se
aplican a los entornos. Por ejemplo, DSC permite instalar o eliminar roles y
caractersticas en los servidores, gestionar bases de registro, archivos y carpetas e
incluso grupos y usuarios locales. Encontrar ms detalles acerca de sus
caractersticas y cmo crear una configuracin en el blog technet siguiente:
http://blogs.technet.com/b/privatecloud/archive/2013/08/30/introducing-powershell-
desired-state-configuration-dsc.aspx
La directiva por defecto para ejecutar scripts est, ahora, fijada como
RemoteSigned (antes el valor por defecto era Restricted, impidiendo as la
ejecucin de scripts no firmados).
Se han aportado mejoras, tambin, a PowerShell Web Access, PowerShell Web
Services, PowerShell Workflow y PowerShell ISE. Encontrar la descripcin del
conjunto de actualizaciones en la siguiente direccin:
http://technet.microsoft.com/en-us/library/hh857339.aspx

Conclusin
Gracias a todas las etapas de configuracin seguidas anteriormente, usted dispone, ahora,
de un servidor Core completamente funcional en su entorno. Se han presentado algunos de
sus uso principales, y otros, como Hyper-V, se han descrito en el captulo Consolidar sus
servidores.

La opcin de instalacin mnima requiere menos espacio en disco, disminuye la superficie


expuesta a los atacantes y facilita considerablemente las operaciones de mantenimiento y de
reinicio del servidor. Por todos estos motivos, se recomienda escoger una instalacin
mnima siempre que no necesite utilizar los elementos de la interfaz de usuarios y las
herramientas de administracin grfica suplementarias en la opcin Servidor con una GUI
y si los roles y/o caractersticas que faltan en esta versin no le son imprescindibles.

Esta edicin se ha visto reforzada con, por ejemplo, la posibilidad de instalar SQL 2012
sobre un servidor Core: http://msdn.microsoft.com/en-us/library/hh231669.aspx

Las ventajas de esta instalacin mnima son reales, y la principal dificultad consiste en
acostumbrarse a su administracin cotidiana. Supone el Server Core el final de la divisin
entre la interfaz Windows y el shell de Unix?

Introduccin
Este captulo est dedicado a la solucin de virtualizacin de Microsoft, Hyper-V. A
diferencia de los productos anteriores de Microsoft sobre la materia, como Virtual Server,
la virtualizacin se ha pensado desde el diseo de un sistema operativo. Este verdadero
hipervisor est disponible de forma gratuita (sin compra de licencia Windows Server 2012
R2) con el nombre Microsoft Hyper-V Server 2012 R2 y puede descargarse del sitio de
Microsoft (http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx). En
este captulo, descubrir cmo rentabilizar la infraestructura existente y volverla ms
flexible de cara a los cambios.

Por qu consolidar?
La virtualizacin est cada vez ms extendida en las empresas. Aun as, no debera
implementarse como algo sistemtico. Antes de iniciar un proyecto de virtualizacin,
debera medir bien todas las consecuencias, as como las potenciales ventajas. Como ocurre
con muchas otras cosas, se recomienda pensar a lo grande pero comenzar dando pequeos
pasos.

1. Virtual frente a Fsico

En un primer enfoque, virtualizar permite superar ciertas restricciones relativas al


hardware, permitiendo obtener un mejor rendimiento. El enfoque de uso de servidores
fsicos es ms sencillo para comenzar, aunque se complica con el nmero de servidores.
Adems del mantenimiento de los sistemas operativos y sus aplicaciones es necesario
gestionar el ciclo de vida del material:

Fallos de hardware.
Actualizaciones de la BIOS, firmwares, controladores.
Ciclos de amortizacin.

En efecto, las soluciones a estos problemas son conocidas y pueden gestionarse sin
problemas en base a la metodologa de trabajo actual. No obstante, siempre existe el riesgo
de que aparezca un nuevo modelo de servidor que reemplace al anterior para el que su
imagen de instalacin de Windows no contenga el controlador adecuado. La virtualizacin
le proporciona los medios para enmascarar esta administracin y as poder dedicarse
plenamente a tareas de mayor valor aadido.

a. Optimizacin de los costes

Uno de los objetivos de la virtualizacin es la reduccin de costes en infraestructura. Para


ello, uno de los grandes ejes es la optimizacin de los recursos disponibles. La capacidad de
los servidores sigue creciendo de forma exponencial, aunque las necesidades de las
aplicaciones no siempre siguen la misma progresin. Incluso el servidor ms barato
disponible en los fabricantes de hardware tiene como mnimo un procesador con dos o
cuatro ncleos, algunos gigabytes de memoria RAM y almacenamiento SAS acorde. Si
algn servidor alberga una o incluso varias aplicaciones, seguramente no utilizar ms que
un modesto porcentaje de los recursos. La mayora de fabricantes de software siguen, por
otro lado, solicitando un servidor dedicado para asegurar el soporte para sus programas.
Como resultado se tienen salas de servidores con muchos equipos, aunque ninguno de ellos
est utilizado por encima del 10% de su capacidad. La virtualizacin permite mantener una
divisin lgica, en un sistema operativo dedicado, consolidando la infraestructura de
hardware. Esta consolidacin fsica ya tiene un impacto importante sobre los costes:

Reduccin del conjunto de los costes vinculados con la sala de servidores: elctrico,
climatizacin, cableado, alquiler del suelo...
Reduccin de costes de mantenimiento, proporcional al nmero de servidores
fsicos que se ahorren.

La virtualizacin tambin reduce los costes ligados a la inclusin de un nodo en la


infraestructura. La generacin de una mquina virtual no supone ningn coste de cableado
informtico, de puesta en rack... Este ahorro cobra todo el sentido en un entorno donde el
nmero de peticiones sea importante, como por ejemplo en entornos de desarrollo o de
pruebas. La solucin SCVMM (System Center Virtual Machine Manager) permite incluso
implementar un portal de autoservicio para la creacin de mquinas virtuales a la carta.

Un uso menos convencional consiste en utilizar la virtualizacin para mantener en


funcionamiento los sistemas obsoletos, donde el material ya no est en mantenimiento o
pueda mantenerse. La mayora de Sistemas de Informacin poseen algunos equipos
obsoletos, con aplicaciones para las que ya no existe documentacin ni fuentes. Migrarlas a
mquinas virtuales permite mantenerlas en el Sistema de Informacin evitando problemas
de hardware.

b. Lmites de la virtualizacin

No todos los equipos son buenos candidatos para la virtualizacin. La solucin Hyper-V no
soporta, por ejemplo, el conjunto de sistemas operativos Microsoft. En el momento de
escribir este libro, se soportan las versiones siguientes:

Tipo servidor:

Windows Server 2012 R2, Windows Server 2012.


Windows Server 2008 (en 32 y 64 bits) SP2, 2008 R2 SP1.
Windows 2003 SP2, 2003 R2 SP2 en 32 y 64 bits.
Windows Home Server 2011, Windows Small Business 2011.
CentOS 5.7 a 6.4.
Red Hat Enterprise Linux 5.7 a 6.4.
SUSE Linux Enterprise Server 11 SP 2 y SP3, en 32 y 64 bits.
OpenSUSE 12.1.
Ubuntu Server 12.04 LTS, 12.10, 13.04 y 13.10.
Debian 7.0
FreeBSD 8.2, 8.3 et 9.0.
Oracle Linux 6.4 (solo un kernel compatible con Red Hat).

Tipo cliente:

Windows 7, Windows 8 y Windows 8.1 en 32 y 64 bits.


Windows XP SP3, XP x64 SP2, Vista SP2.
CentOS 5.7 a 6.4.
Red Hat Enterprise Linux 5.7 a 6.4.
OpenSUSE 12.1.
Ubuntu 12.04, 12.10, 13.04 y 13.10.
Oracle Linux 6.4 (solo con un kernel compatible con Red Hat).

Como cualquier sistema operativo instalado sobre un servidor fsico, donde es necesario
instalar controladores para reconocer el hardware, los sistemas operativos instalados en las
mquinas virtuales necesitan, a su vez, controladores que les permitan reconocer el
hardware. Todo hipervisor posee controladores virtuales. Con Microsoft Hyper-V se llaman
Servicios de integracin.

En VMware ESX, son las VMware Tools.

Salvo para Windows Server 2012 R2 y Windows 8.1, todos los dems sistemas operativos
necesitan que se instalen (o actualicen) los servicios de integracin. Para sistemas
operativos como SUSE Linux, OpenSUSE, Ubuntu y Oracle Linux, no se requieren estos
servicios puesto que ya estn integrados en estos sistemas, como con Windows Server 2012
R2 y Windows 8.1. Para CentOS (distinto a 5.9 y 6.4) y Red Hat (distinto a 5.9 y 6.4),
tendr que descargar e instalar los servicios de integracin 3.4:
http://www.microsoft.com/en-us/download/details.aspx?id=34603

Encontrar en el sitio Web Windows Server Catalog la lista de dispositivos y aplicaciones


homologados para Hyper-V, en la siguiente direccin:
http://www.windowsservercatalog.com/svvp.aspx

Incluso aunque no estn oficialmente soportados, algunos otros sistemas operativos


funcionan sin problema sobre Hyper-V, tales como MS-DOS, Windows NT4, Windows
2000 Server, algunas distribuciones de Linux o incluso Sun Solaris 10, por ejemplo.

Ciertos elementos de la arquitectura no deben coexistir en la misma infraestructura, a


efectos de disponibilidad. Por ejemplo, no deberan existir dos servidores DNS o DHCP en
el mismo servidor Hyper-V. En caso contrario, si se produce un fallo en el servidor, ambos
servicios quedarn indisponibles al mismo tiempo aunque estn disponibles dos veces en la
misma red para prestar alta disponibilidad. Servicios diferentes que tengan una fuerte
actividad al mismo tiempo deberan estar situados sobre servidores Hyper-V distintos, con
el objetivo de no cargar negativamente la infraestructura virtual. Debera, por tanto, definir
reglas de afinidad y anti-afinidad. Por ltimo, las soluciones que necesiten tarjetas hardware
especiales (tarjetas digitales, acceso primario) o las soluciones que utilizan dispositivos
fsicos son difciles de migrar a un entorno virtual. Los puertos COM del servidor fsico no
estn accesibles desde las mquinas virtuales, as como el lector de disquetes.

2. Nuevas problemticas

Sera ilusorio pensar que la virtualizacin slo aporta ventajas y ningn inconveniente.
Como cualquier solucin tcnica, lo importante es dominarla para sacarle partido. Existen
dos cuestiones que precisan una atencin particular: los impactos de la consolidacin y la
copia de seguridad.

a. Entorno consolidado

La consolidacin es un eje clsico de rentabilizacin, aunque se vuelve mucho ms sensible


con la virtualizacin, pues la lleva al extremo. Parte de la base de que la mayora de
sistemas slo consumen una parte de los recursos de hardware que estn disponibles y los
consolidan para rentabilizarlos. Aun as raramente podemos predecir la carga que van a
generar los usuarios sobre el conjunto de sistemas virtuales en un momento dado. Puede
ocurrir que varias VM quieran consumir repentinamente lo mximo disponible,
perturbando as a las dems VM. El rendimiento puede convertirse rpidamente en un freno
a la virtualizacin si no est administrada correctamente.

Lo ms tpico es que los usuarios experimenten un mal rendimiento, que asocian


inmediatamente al hecho de que se trata de una mquina virtual. Se vuelven as reacios a su
uso, pensando que es la nica causa de este mal rendimiento.

Este tipo de problema puede aparecer incluso de forma insidiosa con el tiempo. Esta
lentitud en el uso tambin aparece cuando, al contrario, el resultado es bueno y el xito de
la solucin incita a instalar todava ms mquinas virtuales de las que el dimensionamiento
de la infraestructura prev.

Todo proyecto de virtualizacin debera tener un plan de capacidad, actualizado


permanentemente. Si el sistema que se quiere virtualizar ya est en uso, obtenga un registro
previo del uso de los recursos. Esto permitir predecir su impacto en la infraestructura
Hyper-V as como los recursos necesarios. Hyper-V permite limitar el consumo de cada
mquina virtual, con el objetivo de garantizar una cantidad de recursos en cada instante. La
reserva de recursos tiene el inconveniente de bloquearlos, incluso si la mquina virtual no
se utiliza. El lmite permite restringir una mquina virtual que no sea crtica, como una
mquina de pruebas, o una mquina que consuma todos los recursos disponibles, como un
servidor de procesamientos masivos.

Tambin puede asignar un peso a cada mquina virtual, permitiendo as priorizar el acceso
a los recursos disponibles que no estn reservados. Si por ejemplo dos mquinas virtuales
piden ms recursos de procesador al mismo tiempo, la que tiene un peso mayor ser
prioritaria. Puede asignar de 1 a 64 procesadores virtuales a cada mquina virtual
(dependiendo del sistema operativo hospedado), siempre que disponga de los ncleos
fsicos correspondientes. En un servidor fsico de cuatro ncleos, cada VM puede tener
como mximo cuatro procesadores lgicos. Los servidores actuales tienen por lo general al
menos dos o cuatro ncleos, lo cual resulta muy rentable en trminos de virtualizacin. Si
asigna a cada VM dos procesadores lgicos, esto permite mantener un tiempo de respuesta
correcto en una VM, incluso si un procesador lgico est consumido por completo por un
programa o un proceso. Si slo asigna un procesador lgico y un thread consume todos los
ciclos en bucle, le ser complicado incluso acceder al sistema para parar este proceso. Este
fenmeno tambin es cierto sobre una mquina fsica con un nico ncleo, pero la
virtualizacin acenta este efecto que no est presente en la mente de los usuarios que
tienen por lo general dos ncleos en sus equipos (Hyper Threading o dual core).

La prdida de un servidor fsico Hyper-V tiene consecuencias mucho ms graves que si se


trata de un servidor sin virtualizacin. En efecto, este tipo de servidores alberga
potencialmente varias VM (una decena, quizs?), y quedarn todas ellas indisponibles al
mismo tiempo. Es preciso prepararse para este escenario, para poder tomar las decisiones
correctas, como el orden en el que se va a volver a poner en servicio estas VM. Se
recomienda desplegar al menos dos servidores Hyper-V, con el objetivo de tener un plan de
recuperacin rpido en caso de que ocurra un fallo grave en uno de los dos servidores.
b. Copia de seguridad

La copia de seguridad de una infraestructura virtual es una cuestin que merece una
atencin particular. Existen varias implementaciones posibles, y debera encontrar la que le
aporte mayor flexibilidad, limitando las restricciones y los costes asociados. Su objetivo
debera ser poder responder a sus necesidades de una forma lo ms adaptada posible al
contexto, respetando los compromisos de servicio con sus clientes.

Existen tres grandes ejes de copia de seguridad:

Considerar las mquinas virtuales como si se tratara de servidores estndar,


instalando el agente de copia de seguridad tradicional en cada mquina virtual..
Implementar una copia de seguridad utilizando las posibilidades ofrecidas por la
infraestructura virtual.
Realizar una copia de seguridad de los discos virtuales de las VM en fro, es decir
con las VM paradas.

La primera solucin tiene la ventaja de ser muy clsica, aunque tambin es seguramente la
ms costosa, pues no aporta ningn ahorro ligado a la virtualizacin. Ciertos fabricantes de
software de copia de seguridad proporcionan no obstante un precio por agente inferior
cuando se trata de mquinas virtuales.

Nos ceiremos a las soluciones de copia de seguridad que tengan en cuenta las
funcionalidades ofrecidas por la virtualizacin. Una mquina virtual puede tener varios
estados:

Encendida o Apagada.
En pausa.
Con uno o varios puntos de control (antes llamados "instantneas").

Los puntos de control (antes llamados "instantneas") permiten tomar una "foto" de la VM
en un momento dado. Para ello, Hyper-V crea un nuevo disco virtual (*.avhd) que
contendr todas las diferencias generadas tras este punto de control. Esto no constituye en
s mismo un mecanismo de copia de seguridad. El archivo maestro es indispensable para su
funcionamiento, y no puede estar fuera de la VM. Esta funcionalidad no est disponible
para los discos fsicos ligados directamente a la VM (pass-through). Para ciertos roles,
como el controlador de dominio, esta funcionalidad no est soportada por Microsoft. En
cambio, esta funcionalidad es un verdadero "must" para realizar el mantenimiento, pues
permite instalar una nueva aplicacin o las actualizaciones del sistema y poder hacer la
marcha atrs si algo no funciona. Si todo funciona correctamente, slo tendr que eliminar
el punto de control, que se fusionar automticamente con el archivo .VHD o .VHDX de su
mquina virtual. El nmero mximo de puntos de control es de 50 por mquina virtual.

Las copias de seguridad en fro son la solucin ms sencilla, aunque implican un periodo de
parada que no siempre es posible. Un reinicio del sistema operativo puede generar prdidas
de rendimiento si se utiliza una cach en memoria (SQL Server...).
Es posible que su solucin de copia de seguridad proporcione un agente para Hyper-V. Este
mecanismo utiliza la tecnologa VSS (Volume Shadowcopy Service). De este modo
obtendr copias autnomas de las mquinas virtuales, que podr copiar y conservar en una
cinta magntica. La solucin de copia de seguridad Microsoft SCDPM (System Center
Data Protection Manager) as como la solucin de copia de seguridad nativa de Windows
Server 20012 R2 son compatibles con este tipo de copia de seguridad. Para que este tipo de
solucin funcione, es necesario cumplir ciertos requisitos previos:

Las herramientas Servicios de sistemas invitados virtuales deben estar instaladas,


y el servicio Backup integration debe estar activo.
Todos los volmenes utilizados por la VM deben estar en modo bsico y con
formato NTFS.
El servicio Windows VSS debe estar habilitado en todos los volmenes y cada
volumen debe disponer de su propio almacenamiento VSS.

Si no puede realizarse una copia de seguridad en lnea, entonces se realizar una copia de
seguridad en fro del equipo. Para ello, su estado ser en copia y, una vez terminada la
copia de seguridad, la VM se situar en el estado inmediatamente anterior a la copia de
seguridad. Este tipo de copia de seguridad permite restaurar por completo una mquina
virtual, aunque no parte de la misma (como por ejemplo un archivo del disco C:\ en este
equipo). No es apropiado ejecutar una copia de seguridad o su restauracin a la vez sobre
una mquina virtual y sobre la particin raz. Puede generar conflictos si cada instancia
intenta bloquear el registro VSS.

He aqu un comando til para realizar la copia de seguridad integral de un servidor Hyper-
V as como el conjunto de sus mquinas virtuales en caliente:

wbadmin start backup -backuptarget:\\


otroservidor\compartidos\copiasdeseguridad -include:c:,d:
-allcritical -vssfull -quiet

3. Preparar el despliegue
a. Requisitos previos

Para poder tener el rol Hyper-V, un servidor fsico debe tener las funcionalidades de
virtualizacin (Intel-VT o AMD-V), funcionalidades de prevencin de ejecucin de datos
(DEP) y de seguridad (Intel XD o AMD NX), todas ellas habilitadas. Esto como
complemento a las instrucciones de 64 bits, imprescindibles en Windows Server 2012 R2 y
para Hyper-V en trminos generales. Hyper-V soporta hasta 320 procesadores sobre el
servidor fsico (y no 16 como era el caso con Windows Server 2008), que provengan de
ncleos fsicos o lgicos gracias a la tecnologa Hyper Threading.

Windows Server 2012 R2 tambin es capaz de sacar partido de las funcionalidades de


parada de ncleo (Core Parking) y de un segundo nivel de traduccin, Extended Page
Tables (EPT) para Intel, Nested Page Tables (NPT) para AMD. El primero permite reducir
el consumo elctrico parando los ncleos que no estn utilizndose. El segundo permite
ahorrar en torno al 2% del tiempo de procesador y 1 MB por mquina virtual.

Se recomienda realizar una instalacin mnima (Core). El captulo Reducir la superficie de


ataque de este libro cubre este tipo de instalacin.

Windows Server 2012 R2, edicin Estndar y Datacenter, as como Hyper-V Server 2012
R2 permiten utilizar como mximo 4 TB de memoria en el servidor host, es decir el
servidor fsico (tambin llamada particin raz) y hasta 1 TB de memoria en cada mquina
virtual.

El tamao mximo para un disco duro virtual depende de su tipo, y ser de 2040 GB para
un disco .VHD (antes esta limitacin era de 127 GB para Windows Server 2012) y de 64
TB para un disco .VHDX, formato de disco duro virtual aparecido con Windows Server
2012.

Se recomienda disponer de al menos dos tarjetas de red fsicas en el host fsico (vase ms
adelante la seccin Respetar las buenas prcticas). Cada mquina virtual de primera
generacin puede tener hasta 12 tarjetas de red virtuales (8 reales (tarjetas de red virtuales
que requieren la instalacin de servicios de integracin) + 4 emuladas), hasta 8 tarjetas de
red virtuales para mquinas de segunda generacin (pues las tarjetas de red heredadas no
estn soportadas), cada una con una direccin MAC esttica o dinmica. Para las mquinas
de primera generacin, las tarjetas de red reales estn disponibles una vez instalados los
servicios de invitado virtual y los controladores adecuados. Esto significa que no pueden
hacer boot en la red. Las tarjetas de red emuladas tienen peores rendimientos, 100 Mb/s
frente a 10 Gb/s para las tarjetas reales. Utilizan un controlador estndar que no necesita
controladores Hyper-V, aunque permiten el boot PXE. Esto acenta la importancia de
instalar nicamente sistemas operativos soportados por Hyper-V para tener una red virtual
con un buen rendimiento.

La tecnologa VLAN est soportada por las tarjetas de red virtuales.

Un lector de DVD virtual puede utilizar imgenes ISO o el lector fsico del servidor en el
caso de una mquina virtual de primera generacin. Sin embargo, slo una mquina virtual
puede acceder al lector fsico al mismo tiempo. Se recomienda convertir los CD y DVD
necesarios en imgenes ISO. Adems, el uso de imgenes ISO mejora el rendimiento de
uso; en efecto, las imgenes ISO, que se almacenan en el disco duro, aprovechan una tasa
de transferencia de lectura superior. Una mquina virtual de segunda generacin utiliza,
exclusivamente, imgenes ISO.

b. Metodologa de trabajo

La metodologa es un aspecto fundamental en un proyecto de virtualizacin. Ciertas


cuestiones, tales como la copia de seguridad, deben tratarse cuidadosamente antes del paso
a produccin. Es posible aplicar las fases clsicas de un proyecto de infraestructura con
algunas especificidades:
Determinar el alcance (entornos, sistemas operativos...).
Comenzar la bsqueda de los mejores candidatos para la virtualizacin
implementando herramientas de medida (vase la seccin siguiente).
Determinar el nivel de servicio que se desea proporcionar en el permetro (SLA).
Montar una maqueta/POC (Proof Of Concept).
Utilizar la infraestructura de almacenamiento presente (interna, SAN, iSCSI,
comparticin de archivos...).
Medir la integracin en la arquitectura de red existente (VLAN, filtrado por
direccin MAC, proteccin en los conmutadores).
Implementar, al menos, un ejemplo de cada tipo de VM en el alcance (una VM de
cada OS y cada aplicacin).
Asegurar la capacidad para realizar la copia de seguridad y restaurar cada una de las
VM.
Generar la misma carga que en produccin con las mismas restricciones
(procesamientos, ventanas de copia de seguridad...).
Implementar una solucin de supervisin teniendo en cuenta la virtualizacin
(medir el uso de los procesadores disponibles en Hyper-V as como el consumo por
VM...).
Evaluar el inters de SCVMM en su contexto de trabajo.
Medir el impacto en la gestin de las actualizaciones de Windows (uso de Offline
Virtual Machine Servicing Tool como se explica en la seccin Configurar el
almacenamiento).
Medir el impacto en los procedimientos de explotacin (procedimientos de
parada/arranque...).
Evaluar el impacto en el coste.
Implementar un piloto, que supondr la puesta en produccin de una muestra del
permetro, para verificar las hiptesis.
Extender el piloto al conjunto de manera progresiva.

La prueba de concepto es decisiva, pues permite evaluar las nuevas funcionalidades, en


ocasiones importantes, de esta versin y verificar que la arquitectura actual soportar la
carga. Menospreciar esta fase conlleva el riesgo de fracasar una vez en produccin. La
duracin de esta fase debera permitir evaluar los impactos de la virtualizacin, as como
las optimizaciones que es necesario realizar, bien en Hyper-V, en las mquinas virtuales o
en los dems bloques del sistema de informacin. Con la prueba de concepto, todos los
participantes podrn tener una visin clara de las ventajas y los inconvenientes de la
virtualizacin para poder hacer una evaluacin completa. El piloto debe confirmar sin
reservas esta evaluacin antes de generalizar el despliegue.
c. Determinar los servidores y las aplicaciones adecuados para la virtualizacin

Microsoft proporciona de forma gratuita una herramienta que le permite preparar y acelerar
su proyecto de virtualizacin: Microsoft Assessment and Planning Toolkit. Est disponible
para su descarga en la siguiente direccin: http://www.microsoft.com/en-
us/download/details.aspx?id=7826

De este modo podr, fcilmente:

Realizar un inventario de los servidores.


Recoger datos sobre el consumo de recursos sobre estos servidores.
Generar informes Office con recomendaciones basadas en los datos recogidos.

Debe instalarse preferentemente en un puesto de trabajo, pues necesita Microsoft Office


(2003 o 2007), y una instancia de SQL Server o SQL Express (2008, 2008 R2 o 2012). La
instalacin de esta ltima puede evitarse si ya est presente, creando preferentemente una
instancia llamada "MAPS".
Una vez instalada la aplicacin, deber:

Crear una base de datos para el proyecto haciendo clic en Select a database.
Crear manualmente un archivo de texto que contenga la lista de los servidores que
quiera examinar para su proyecto de virtualizacin (candidatos potenciales). Por
ejemplo, el siguiente script PowerShell exporta el nombre DNS de todos los
servidores de Active Directory en el archivo miextraccion.txt:

$buscar = New-Object
DirectoryServices.DirectorySearcher("[ADSI]")
$buscar.SizeLimit = 10000
$buscar.PropertiesToLoad.Add("dNSHostName")
$buscar.Filter =
"(&(objectClass=Computer)(operatingSystem=*Serve*r*))"
$buscar.FindAll() | foreach-object
{$objet=$_.GetDirectoryEntry();$objet.dNSHostName;} >>
miextraccion.txt

En el panel de navegacin, haga clic en Server Virtualization y, a continuacin, haga clic


en Collect performance data.

Indique el archivo de texto creado anteriormente.

Especifique una o varias cuentas con permisos de administrador local sobre los servidores
de destino.

Indique una fecha de fin para la recogida de datos. La estacin que realiza la recogida de
datos debe permanecer encendida todo el tiempo de la colecta.
A continuacin, puede generar los informes.

d. Respetar las buenas prcticas

He aqu algunas reglas consideradas como buenas prcticas que deberan respetarse por
defecto, salvo en casos muy concretos.

De forma general, en Hyper-V:

Prevea al menos dos tarjetas de red fsicas sobre el servidor, aunque lo


conveniente es:

una para la administracin del hipervisor,


una o varias dedicadas a las mquinas virtuales,
una o varias para el iSCSI, si lo implementa,
una para las migraciones rpidas (live migration), si las implementa.

Conecte la tarjeta de red dedicada a la gestin del hipervisor a su red de


administracin.
Exponga nicamente las mquinas virtuales a la red Internet.
Incluya una excepcin en el antivirus para los archivos *.vhdx, *.avhdx, *.vhd y
*.avhd.
El lector de DVD no puede estar compartido por varias mquinas virtuales. D
prioridad a las imgenes ISO en su lugar.

De manera general, sobre las mquinas virtuales:

Instale, siempre que sea posible, las herramientas de administracin Servicios de


sistemas invitados virtuales.
Deshabilite el salvapantallas.
Defragmente siempre el disco fsico antes de crear un disco duro virtual.
Si migra las mquinas virtuales utilizando otras soluciones de virtualizacin, como
Virtual PC, Virtual Server, VMware, desinstale las VMadditions o las VMware
Tools. Elimine los puntos de control y comprima el disco duro virtual antes de
desplazarlo al Hyper-V.
Asegrese de que la visualizacin est optimizada para un buen rendimiento, y as
aprovechar la aceleracin de hardware.
Utilice, preferentemente, el nuevo formato de disco virtual de tipo *.vhdx de
tamao dinmico. El rendimiento es superior al de los discos *.vhd de tamao fijo.
Si utiliza discos dinmicos *.vhd, convirtalos en discos virtuales de tamao fijo, el
sistema estar menos fragmentado, la gestin del espacio ser mucho ms sencilla y
el rendimiento mejor respecto a los discos de tamao dinmico.
Cree discos virtuales de tamao fijo. El rendimiento es superior, el sistema de
archivos estar menos fragmentado, y la administracin del espacio ser ms
sencilla.
Si crea una VM Windows Server 2003, asgnele dos procesadores virtuales para
tener un HAL multiprocesador.
Utilice, en la medida de lo posible, controladores reales una vez instalados los
servicios de sistemas invitados virtuales, para mejorar el rendimiento.

Puede instalar un controlador de dominio Active Directory en el interior de una mquina


virtual Hyper-V. No obstante, se recomienda observar las siguientes reglas:

Las buenas prcticas de Active Directory indican que es necesario disponer, como
mnimo, de dos controladores de dominio. Ambos controladores deberan residir en
hosts distintos.
Seleccione cmo sincronizar el tiempo. Es crucial que el conjunto del dominio
utilice la misma hora. Por defecto, Kerberos no soporta un desfase superior a los 5
minutos. Puede o bien sincronizarlos en base al reloj del hardware del servidor a
travs de los servicios de sistemas invitados virtuales, o bien sincronizarlos a travs
de la red del dominio.
Si su nico controlador de dominio es una mquina virtual en Hyper-V, la particin
raz (hipervisor) no debe unirse a este dominio. Cuando reinicie el servidor, la
particin raz buscar un controlador de dominio que no podr encontrar pues la
mquina no estar todava levantada.

Windows Server 2012 R2 conserva la funcionalidad que permite clonar controladores de


dominio virtualizados, introducida con Hyper-V 3 para Windows Server 2012. Esta
funcionalidad se explica con detalle en el captulo Dominio Active Directory.

Puede implementar SQL Server en una mquina virtual. El almacenamiento es un elemento


crtico en una base de datos, y la virtualizacin no cambia nada. El almacenamiento sobre
el que residirn los datos y los registros debe proporcionar un rendimiento adecuado. Para
no disminuir este rendimiento con la virtualizacin, debera utilizar nicamente discos
virtuales de tamao fijo, utilizando un controlador SCSI virtual. La otra alternativa es
utilizar volmenes directamente en modo pass-through.

Puede implementar Exchange Server 2010 o Exchange Server 2013 en una mquina virtual.
En este caso, debe observar las siguientes recomendaciones:

Para que la configuracin est soportada por Microsoft, instale el Service Pack 1
para Exchange 2010, Exchange 2013 RTM o superior.
El uso de discos virtuales de tamao dinmico est soportado nicamente con
VHDX, aunque se recomienda utilizar discos virtuales de tamao fijo.
El uso de funciones de puntos de control y diferenciales sobre los discos virtuales
no est soportado.

En lo relativo a la seguridad, jams debera proporcionar permisos sobre la particin raz a


los administradores de las mquinas virtuales. Para respetar el clebre principio de otorgar
siempre el menor nivel de privilegios posible, debera darles acceso a lo estrictamente
necesario. Administrar esta seguridad puede convertirse en una tarea compleja, para la que
tambin puede utilizar la nocin de roles para clasificar los accesos.
Desplegar Hyper-V
1. Instalacin
a. Instalacin del rol Hyper-V

La instalacin es tan sencilla como agregar el rol en el servidor mediante el Administrador


del servidor, a partir de su interfaz grfica. Si est trabajando con una instalacin Core,
ejecute el siguiente comando PowerShell:

Install-WindowsFeature Hyper-V

Ser necesario reiniciar para que se apliquen los cambios y poder utilizar este rol.

b. Configuracin del rol

La configuracin del rol cubre diferentes aspectos:

creacin y configuracin de las redes virtuales;


preparacin de las imgenes ISO para las distintas instalaciones.

La consola permite administrar los servidores Hyper-V as como las mquinas virtuales que
las albergan. Abra la consola Administrador de Hyper-V disponible en la pantalla de
inicio de Windows, Herramientas administrativas y, a continuacin, Administrador de
Hyper-V.
c. Configuracin de las redes virtuales

En Hyper-V, la administracin de las redes se realiza mediante el Administrador de Hyper-


V o mediante PowerShell. Existen tres tipos de redes, tambin llamadas switchs virtuales:

El switch virtual externo: vinculado con una tarjeta de red real sobre el host, este
tipo de switch virtual permite a las VM conectadas a l acceder a la red externa y,
por lo tanto, dialogar con el exterior. Es posible crear y asociar una tarjeta de red
virtual con un host vinculado a este tipo de switch virtual.
El switch virtual interno: este tipo de switch virtual permite realizar una
comunicacin entre las VM vinculadas a este switch, as como al host que posee,
automticamente, una tarjeta de red virtual sobre este mismo switch.
El switch virtual privado: las VM conectadas a este switch slo pueden
comunicarse entre ellas.

Windows Server 2012 R2 soporta las tecnologas de red siguientes:

La tecnologa PVLAN (Private Virtual Local Area Network), que permite aislar las
mquinas virtuales sobre una misma red local privada virtual aunque se hospeden en
hosts diferentes. Resulta muy prctica para servidores hospedados en Datacenters.
La tecnologa SR-IOV, que permite a la tarjeta de red enviar directamente los
paquetes de red en el espacio de memoria de la VM, sin pasar por la particin raz.
Es necesario que la tarjeta de red del servidor fsico gestione esta funcionalidad y es
posible que haga falta instalar controladores suplementarios en la mquina virtual.
Observe que el soporte de SR-IOV para el switch virtual se define durante la
creacin de dicho switch virtual, no ser posible modificar este parmetro tras una
ruptura (salvo creando otro switch virtual).
El NIC Teaming, o agregacin de varias tarjetas de red, que se gestiona de forma
nativa en los sistemas operativos. Un switch virtual puede vincularse a un equipo
para aumentar las tasa de transferencia y la tolerancia a fallos.
Los switchs virtuales extensibles (Extensible vSwitch), que permiten agregar
extensiones al switch virtual. Algunos fabricantes de switch ya han anunciado
extensiones que permitirn soportar su tecnologa en los switchs virtuales.
Las tarjetas de red inalmbricas estn soportadas, y es posible vincularlas con un
switch virtual externo. Resultan muy tiles en la versin de Hyper-V para Windows
8/8.1.
La tecnologa Jumbo Frames para las mquinas virtuales. Esta tecnologa permite
aumentar la MTU (Maximum Transmission Unit) de 1500 (Ethernet) a 9014. La
misma cantidad de datos puede, de este modo, transmitirse con seis veces menos
intercambios de paquetes. Esto implica que todos los equipos de red soporten las
Jumbo Frames.
La tecnologa VMQ (Virtual Machine Queue), que permite a la tarjeta de red alojar,
en su propia memoria interna, un espacio dedicado a cada VM. Los datos se envan,
a continuacin, directamente sobre el puerto conectado al VMBus del switch virtual
que permiten alcanzar la VM. Una especie de pre-enrutamiento interno en la tarjeta
de red. Esto evita, tambin, tener que verificar el enrutamiento en los switch
virtuales mediante los VMQ Queue ID. El objetivo es una mejora en el rendimiento
reduciendo el nmero de operaciones en las comunicaciones de red. Es necesario,
no obstante, que la tarjeta de red del host gestione esta funcionalidad.
El TCP Offload permite descargar la gestin del trfico TCP/IP de las mquinas
virtuales sobre una tarjeta fsica del servidor. Esta descarga aumenta el rendimiento
y reduce el consumo de procesador del servidor fsico. La migracin en caliente de
VM puede aprovechar esta funcionalidad.

d. Configuracin del almacenamiento

Con la virtualizacin, el almacenamiento es el centro de la cuestin. Esto es todava ms


cierto si los servicios ofrecidos por las mquinas virtuales consumen muchos recursos de
entrada/salida de disco. Para poder reducir costes, es interesante utilizar almacenamiento
"low cost", aunque existe el riesgo de sufrir un mal rendimiento en las mquinas virtuales.
Ser preciso encontrar el justo equilibrio entre una solucin SAN y una carpeta compartida
de red.

Hyper-V soporta una gran variedad de soluciones para el almacenamiento de las mquinas
virtuales:
Almacenamiento local del servidor (IDE/SATA/ESATA/USB/Firewire/SAS/SCSI).
Almacenamiento en una SAN (con almacenamiento en clster en modo Cluster
Shared Volumes).
Almacenamiento mediante iSCSI o FCoE.
Almacenamiento sobre una carpeta compartida de archivos.
Almacenamiento en modo pass-through.

Puede incluso almacenar las VM en una llave USB, a condicin de que tenga formato en
NTFS. Por defecto, debera utilizar discos virtuales. Existen no obstante ciertos casos
donde debera utilizar un almacenamiento en modo pass-through. Este mtodo proporciona
a la VM acceso directo a una zona de almacenamiento, como si fuera una mquina fsica.
Una de las ventajas es que se obtiene un mejor rendimiento, ligado a la ausencia de la capa
de virtualizacin. He aqu algunas consideraciones a propsito del modo pass-through:

Los volmenes en modo pass-through no se incluyen en la copia de seguridad por


los mecanismos de Hyper-V. Necesitar realizar estas copias de seguridad
utilizando algn otro medio.
El mecanismo de puntos de control no est disponible en este tipo de volumen

Si elige almacenar las VM en una carpeta compartida de archivos o un almacenamiento


compartido con formato SMB 3.0, se recomienda configurar este recurso compartido con
alta disponibilidad.

El almacenamiento mediante ISCSI puede realizarse de dos maneras, desde la particin


raz, o desde la mquina virtual. Esta eleccin tiene varias consecuencias:

Si al almacenamiento ISCSI se accede desde la particin raz, el rendimiento es


mejor que desde la VM, y la copia de seguridad a travs del registro VSS est
soportado.
Las mquinas virtuales no pueden iniciarse desde un almacenamiento ISCSI
(administrado desde las VM en lugar de la particin raz). El almacenamiento ISCSI
que se accede desde las VM no puede incluirse en las copias de seguridad a travs
de VSS Hyper-V.

Otra decisin que hay que tomar atae a la naturaleza de los controladores virtuales para las
mquinas virtuales. Pueden ser IDE o SCSI. El rendimiento no juega, de momento, un
papel importante cuando se instalan los servicios de sistemas invitados virtuales. Las
diferencias se centran en la volumetra, el nmero de discos virtuales asociados a la VM y
las funcionalidades propuestas (como el Shared VHDX).

El controlador SCSI permite tener hasta 256 dispositivos de almacenamiento (4


controladores * 64 dispositivos). No obstante, permite arrancar nicamente en una mquina
virtual de segunda generacin. Los volmenes ligados al controlador IDE pueden ser 4
como mximo (contando el lector CD/DVD virtual), tienen un tamao mximo de 2040
gigabytes, aunque estn disponibles nicamente en una mquina virtual de primera
generacin.
El almacenamiento sobre una infraestructura SAN es generalmente la solucin competente,
y tambin la ms costosa. La tecnologa NPIV est disponible en las tarjetas HBA, lo que
permite respetar las buenas prcticas en lo que respecta al almacenamiento SAN (zoning...).
Para ello debera activar las WWN (World Wide Names) virtuales para las mquinas
virtuales. He aqu algunas consideraciones para el almacenamiento sobre una SAN:

Es necesario tener un controlador MPIO (multipuerto), incluso con una nica HBA.
Deshabilite el montaje automtico de volmenes.
Deje los discos en modo bsico y no dinmico.
Todos los archivos de VM deben estar en un nico volumen.
Agregue las LUN como recursos de disco al clster antes de crear las VM.
Windows Server 2012 R2 incluye los Cluster Shared Volumes, que permiten tener
varias VM por LUN, teniendo estas VM en hosts diferentes.

Si las VM estn almacenadas en modo pass-through sobre la SAN, se necesitan dos LUN,
una para el disco de inicio y otra para la configuracin.

2. Mquinas virtuales de nueva generacin

Windows Server 2012 R2 incluye un nuevo formato de mquina virtual, hablamos de


mquina virtual de generacin 2. Las mquinas virtuales de primera generacin siguen
estando soportadas, y ambas generaciones de mquina virtual pueden convivir en el mismo
servidor host. La generacin de la mquina virtual determina el tipo de componentes de
hardware y algunas funcionalidades de la mquina virtual.

Las mquinas virtuales de generacin 2 incluyen un modelo de hardware simplificado, pues


cierto nmero de componentes se han suprimido, como los controladores IDE y los
perifricos emulados (disquetera, tarjeta de red heredada). Adems, esta nueva
generacin de mquinas virtuales soporta, tambin, UEFI (Unified Extensible Firmware
Interface) en comparacin con el anterior tipo de BIOS.

En el momento de escribir estas lneas, slo Windows Server 2012 / 2012 R2 as como las
versiones de 64 bits de Windows 8/8.1 estn soportadas como sistema operativo invitado.

He aqu una tabla con las diferencias de hardware entre ambas generaciones de mquina
virtual.

Generacin 1 Generacin 2
BIOS
Tipo Hyper-V BIOS-Based Hyper-V UEFI
Arranque sobre IDE CD, IDE HD, tarjeta de Tarjeta de red, SCSI HD,
red heredada y disquetera SCSI CD
Memoria RAM
Mximo 1 TB 1 TB
Memoria dinmica Windows Server 2012/ 2012 Windows Server 2012/
R2, Windows 8/8.1, y algunas 2012 R2, Windows 8/8.1
distribuciones de Linux
Procesador
Nmero mximo 64 64
Controlador IDE S No
Bootable S
Nmero mximo de 2
controladores IDE
Nmero mximo de 2
perifricos por
controlador
Tipo de disco VHD, VHDX, Pass-Through
soportado
Nmero mximo de 4 (si no tiene CD)
discos
Tamao mximo por 2040 GB
disco
Tipo de CD ISO, Lector host
Nmero mximo de 4 (aunque 3, pues hace falta 1
CD HD para poder arrancar)
Controlador SCSI S S
Bootable No S
Nmero mximo de 4 4
controladores SCSI
Nmero mximo de 64 64
dispositivos por
controlador
Tipo de disco VHD, VHDX, Pass-Through VHDX, Pass-Through
soportado
Nmero mximo de 256 256 (si no tiene CD)
discos
Tamao mximo por 2040 GB en VHD o 64 TB en 64 TB
disco VHDX
Tipo de CD No soportado ISO
Nmero mximo de 256 (aunque 255, pues
CD hace falta 1 HD para
poder arrancar)
Tarjeta de red sinttica S S
Nmero mximo 8 8
Bootable No S
Tarjeta de red heredada S No
Nmero mximo 4 0
Bootable S
Adaptador Fibre
Channel
Nmero mximo 4 4
Tarjeta de vdeo 3D
RemoteFX
Nmero mximo 1 0
Puerto Com
Nmero mximo 2 0 (1 mediante cmdlets
PowerShell)
Disquetera S No
Nmero mximo 1 0

Observe que Remote FX no est soportado en las mquinas virtuales de generacin 2,


mientras que s lo est con las de generacin 1.

Puede vincular discos virtuales VHDX de generacin 1 a una mquina virtual de


generacin 2, y a la inversa. Si el disco virtual de generacin 1 es un VHD, tendr que
convertirlo al formato VHDX; en efecto, las mquinas virtuales de generacin 2
soportan nicamente discos con formato VHDX. Es posible realizar esta accin mediante la
consola de Hyper-V, con el asistente Editar disco que se encuentra en el panel de
Acciones, o mediante el cmdlet PowerShell Convert-VHD. Observe que el cmdlet
PowerShell Convert-VHD permite convertir un VHD en VHDX, y a la inversa.

No es posible convertir el disco virtual bootable de una mquina virtual de generacin 1 a


uno de generacin 2, es obligatorio partir de una nueva instalacin. Igual que un disco
bootable con formato VHDX instalado desde una generacin 2 no permitir arrancar una
mquina virtual de generacin 1.

En una infraestructura virtual de alta disponibilidad (clster de servidores Hyper-V, Live


Migration), las mquinas virtuales de generacin 2 estn soportadas nicamente en
Windows Server 2012 R2 y Microsoft Hyper-V 2012 R2, y no podrn migrarse a hosts
Windows Server 2012 R2 o Microsoft Hyper-V 2012 R2.

Puede conocer la generacin de una mquina virtual de varias maneras. La primera consiste
en utilizar, sencillamente, el Administrador de Hyper-V y consultar el valor del campo
Generacin presente en el panel de informacin de una mquina virtual.
Una segunda forma de verificar la generacin de una mquina virtual consiste en editar sus
propiedades. En efecto, si observa la presencia de controladores IDE, se trata de una
mquina virtual de generacin 1. La ausencia de controladores IDE pone de manifiesto una
mquina virtual de generacin 2 .Otra forma de conocer la generacin de una mquina
virtual consiste en utilizar el cmdlet de PowerShell Get-VM con una visualizacin de tipo
lista:

Get-VM -Name VM-Gen2 | fl


3. Creacin y configuracin de una mquina virtual

La creacin de una mquina virtual se realiza mediante el Administrador de Hyper-V, en


el panel accin, mediante el men Nueva y seleccionando Mquina virtual.... Le bastar
con seguir el asistente Nueva mquina virtual que le solicitar la generacin de la
mquina virtual que desea crear, as como alguna informacin bsica (el nombre, la
cantidad de memoria, la conexin de red de la primera tarjeta de red y el disco duro
virtual).

Tambin puede utilizar PowerShell:

New-VM -Name MaquinaVirtual01

Este comando crear, simplemente, una mquina virtual de primera generacin con el
mnimo imprescindible: 1 procesador y 512 MB de memoria RAM, sin ningn disco duro y
con una tarjeta de red real no conectada.

New-VM -Name MaquinaVirtual02 -Generation 2

Este comando crear una mquina virtual de generacin 2 con el mnimo vital, 1
procesador, 512 MB de memoria, aunque sin disco y una tarjeta de red sinttica no
conectada.

Observe que no podr cambiar la generacin de la mquina virtual una vez creada.
Para acceder a la configuracin de la mquina virtual, en el Administrador de Hyper-V,
basta con hacer clic con el botn derecho sobre la mquina virtual y seleccionar
Configuracin en el men contextual.

En esta ventana, puede administrar la configuracin del hardware de la mquina virtual, y


tambin las interacciones de los servicios de integracin con la mquina virtual, as como
las acciones que quiere llevar a cabo si debe detener el host. Todos estos parmetros estn
accesibles, tambin, mediante PowerShell, aunque la lista de comandos es muy extensa.

a. Dynamic Memory

Incluida con Windows Server 2008 R2 SP1, la administracin de la memoria dinmica


(Dynamic Memory) sigue estando presente. Esta tecnologa permite, al servidor Hyper-V,
alojar dinmicamente la memoria RAM de las mquinas virtuales segn las necesidades de
stas en funcin de los parmetros que defina.
Con Hyper-V para Windows Server 2012 R2 y Microsoft Hyper-V Server 2012 R2, es
posible definir la cantidad de memoria de arranque, adems de la memoria mnima y
mxima. Esta memoria de arranque se utilizar en la mquina virtual durante sus
arranques, reinicios, o vuelta a la actividad tras una suspensin.

Si una mquina virtual ejecuta un procesamiento especfico que utiliza ms memoria de la


que se le haba asignado en un principio, Hyper-V podr aumentar, momentneamente, la
cantidad de memoria RAM asignada a esta mquina virtual bien directamente a partir de la
memoria libre del servidor Hyper-V o bien a partir de la memoria inutilizada en las dems
mquinas virtuales presentes en el mismo servidor.

Una vez finalice el proceso intensivo en memoria, sta se libera si alguna otra mquina
virtual la solicita o tiene necesidad de ella.
La memoria se considera, de este modo, como un recurso compartido entre las mquinas
virtuales. Su asignacin ya no requiere una parada de la mquina virtual para que se tenga
en cuenta la nueva capacidad de memoria.

Los sistemas operativos de Microsoft que soportan la memoria dinmica son:

Windows Server 2012/2012 R2.


Windows Server 2008 SP2 (32 y 64 bits) / 2008 R2 SP1.
Windows Server 2003 SP2 (32 y 64 bits) / 2003 R2 SP2 (32 y 64 bits).
Windows 8/8.1 (32 y 64 bits).
Windows 7 SP1 (32 y 64 bits).
Windows Vista SP2 (32 y 64 bits).
Distribuciones de Linux recientes, con los ltimos servicios de integracin.

b. Resource Metering

Windows Server 2012 incluye la posibilidad de recuperar distintas estadsticas de cada


mquina virtual iniciada sobre un host con el rol Hyper-V instalado. Estas estadsticas
podrn utilizarse para gestionar una solucin de alta disponibilidad mediante SCOM 2012 o
SCVMM 2012, o simplemente para realizar una refacturacin de servicios en el caso de un
proveedor de infraestructura.

Las estadsticas que pueden recuperarse son:

Media de uso del procesador: en mega hertzios, durante un periodo de tiempo


determinado.
Media de uso de la memoria fsica: en megabytes.
Picos mnimo / mximo de memoria fsica utilizada: en megabytes.
Espacio de disco asignado a la mquina virtual.
Trfico total de red entrante: en megabytes.
Trfico total de red saliente: en megabytes.

La configuracin y la recuperacin de las estadsticas se realizan mediante PowerShell. He


aqu algunos ejemplos de cmdlets PowerShell tiles:

Para habilitar el Resource Metering en una mquina virtual:

Enable-VMResourceMetering -VMName NombreDeLaMaquinaVirtual

Para habilitar el Resource Metering en todas las mquinas virtuales de un host:

Get-VM -ComputerName NombreDelServidorHost | Enable-VMResourceMetering

Para configurar la frecuencia de muestreo, los valores admisibles estn


comprendidos entre 1 hora y 24 horas. El valor por defecto es de 1 hora. Por
ejemplo, para una muestra cada 2 horas:
Set-VMHost -ComputerName NombreDelServidorHost
-ResourceMeteringSaveInterval 02:00:00

Para ver las estadsticas de una mquina virtual en particular:

Measure-VM -Name NombreDeLaMaquinaVirtual

# O para obtener informacin ms detallada


Measure-VM -Name NombreDeLaMaquinaVirtual | fl

Para ver las estadsticas de todas las mquinas virtuales:

Get-VM -ComputerName NombreDelServidorHost | Measure-VM

Para reiniciar las estadsticas de una mquina en concreto:

Reset-VMResourceMetering -VMName NombreDeLaMaquinaVirtual


Para deshabilitar Resource Metering en una mquina virtual:

Disable-VMResourceMetering -VMName NombreDeLaMaquinaVirtual

c. Redimensionamiento del disco duro virtual en caliente

Windows Server 2012 R2 le permite, ahora, redimensionar sus discos duros virtuales en
caliente, lo que permite evitar tener que reiniciar la mquina virtual para realizar este tipo
de mantenimiento en el servidor.

El nico requisito previo es que sus discos duros virtuales tengan el formato VHDX, que
estn conectados a un controlador SCSI, y que el sistema operativo alojado lo soporte.

Le bastar con utilizar el Asistente para editar discos duros virtuales, mediante el
Administrador de Hyper-V, para extender el disco duro virtual. Es, tambin, posible
realizar esta accin mediante el cmdlet PowerShell Resize-VHD.

Para terminar, bastar con utilizar el espacio que acaba de configurar, mediante el
Administrador de discos en su mquina virtual, siempre que la manipulacin haya
consistido en extender el disco y no en reducirlo.

Puede llegar a ocurrir, en algunos sistemas operativos, que no se analicen bien los discos
disponibles y se muestren las modificaciones, como ocurre con algunas distribuciones de
Linux, por ejemplo.

d. Gestin de la QoS en el almacenamiento de una mquina virtual

Windows Server 2012 R2 incluye la posibilidad de gestionar la calidad de servicio acerca


del uso de discos duros virtuales (Storage QoS). Esta funcionalidad permite limitar, o
contener, las entradas y salidas por segundo (E/S) en los discos duros de las mquinas
virtuales.

Por ejemplo, en el caso de una mutualizacin de los recursos, como con un servidor host,
puede resultar prctico limitar los recursos de uso de disco. Otro ejemplo, si tiene una
aplicacin que requiere una gran tasa de lectura/escritura en disco (como una base de datos
SQL), puede querer asignar un mnimo de E/S sobre el disco donde se almacenan los datos.
De este modo, la aplicacin tendr, en cualquier caso, una tasa de acceso a disco
garantizada.

Para configurar la calidad de servicio para un disco virtual, acceda a las Propieades de la
mquina virtual y, a continuacin, en el disco duro afectado, haga clic en el sigo "+" y en
Caractersticas avanzadas.

Marque la opcin Habilitar la administracin de calidad de servicio, e indique el valor


deseado, que debe estar comprendido entre 0 y 1000000000 (mil millones). Slo queda
aplicar las modificaciones.
Tambin puede modificar estos parmetros mediante PowerShell:

# Para configurar el Storage QoS en el disco IDE 0 del controlador


# IDE 0 de una mquina virtual.
Set-VMHardDiskDrive -VMName VM-Gen1 -ControllerType IDE
-ControllerNumber 0 -ControllerLocation 0 -MinimumIOPS 8
-MaximumIOPS 1000

Observe que no es posible utilizar la calidad de servicio sobre el almacenamiento con


discos virtuales compartidos.

e. Activacin automtica de mquinas virtuales

Windows Server 2012 R2 edicin Datacenter incluye una funcionalidad de activacin


automtica de mquina virtual (AVMA, Automatic Virtual Machine Activation), que
resulta muy til en una infraestructura virtual, con la condicin de que est compuesta por
varios servidors host Hyper-V, instalados con esta edicin. En efecto, no debe olvidar que
la edicin Windows Server 2012 R2 Datacenter le permite ejecutar un nmero ilimitado de
mquinas virtuales Windows, que estn cubiertas con la licencia de esta edicin Datacenter.
La nica limitacin verdadera es la que imponga el hardware, en trminos de rendimiento.

Hasta Windows Server 2012, en este tipo de casos, tena que activar sus mquinas virtuales
mediante la clave de licencia del host "Datacenter", dentro de sus mquinas virtuales, para
activarlas. Qu ocurra con Live Migration? Cmo era posible gestionar varias mquinas
virtuales alojadas en otro host? Adems, la activacin del sistema operativo invitado tena
que realizarse bien manualmente (por Internet o por telfono), o bien gracias a un servidor
KMS, o incluso, desde Windows Server 2012, mediante la funcionalidad de activacin
basada en Active Directory (ADBA, Active Directory-Based Activation).

Con Windows Server 2012 R2 Datacenter, si el servidor host est activado, las mquinas
virtuales que contiene se activarn automticamente gracias al hipervisor, mediante el
VMBus, incluso aunque no formen parte del dominio o no tengan ninguna conexin a
Internet.

Para implementar esta funcionalidad, basta con que el host sea un servidor Windows Server
2012 R2 "activado" (mediante una clave KMS o ADBA, Open Licence u OEM), y que el
sistema operativo de la mquina virtual sea Windows Server 2012 R2 (Datacenter,
Standard o incluso Essentials) con una clave AVMA. Las claves AVMA son pblicas y
estn disponibles en la direccin: http://technet.microsoft.com/en-us/library/dn303421.aspx

Una vez posea la clave correspondiente a su edicin, conviene inscribirla en la mquina


virtual. Para ello, en la mquina virtual, abra una lnea de comandos (con elevacin de
privilegios de Administrador) e introduzca el siguiente comando:

slmgr /ipk <Clave_AVMA_DeSuEdicion>


slmgr /ato

La mquina virtual se activar automticamente por una duracin de 7 das, tras los que la
mquina virtual validar automticamente su activacin por otros 7 das. Ocurrir de este
modo mientras la mquina virtual resida sobre un host Windows Server 2012 R2
DataCenter.

Observe que es posible utilizar una clave AVMA en un archivo de respuesta de instalacin
de Windows o en las plantillas de mquinas virtuales con SCVMM o SCCM.

f. Exportacin de mquinas virtuales en caliente

Windows Server 2012 R2 incluye la posibilidad de exportar una mquina virtual, o uno de
sus puntos de control, en caliente sin tener que detener la mquina virtual. Esto permite
duplicar la mquina virtual para realizar pruebas, sin tener que detener el servidor de
produccin, o incluso probar la migracin de mquinas virtuales entre la Cloud privada y la
Cloud interna, siempre sin detener los servidores de mquinas virtuales de produccin.
Adems, cualquier exportacin de una mquina virtual que est en funcionamiento
exportar su estado de memoria.

Puede realizar una exportacin de la mquina virtual mediante la consola de


Administracin de Hyper-V o mediante PowerShell con el siguiente comando:

# Para exportar una mquina virtual llamada VM-Gen1 a la carpeta


# D:\ExportVM.
Export-VM -Name VM-Gen1 -Path D:\ExportVM

# Para exportar todas las mquinas virtuales a la carpeta


# D:\ExportVM.
Get-VM | Export-VM -Path D:\ExportVM

# Para exportar un punto de control, llamado VM-Gen1-chk1 de una mquina


# virtual llamada VM-Gen1, bajo la forma de una nueva mquina
# virtual, a la carpeta D:\ExportVM.
Export-VMSnapshot -Name VM-Gen1-chk -VMName VM-Gen1 -Path D:\ExportVM

g. Mejora de VM Connect (RDP over VMbus)

Con las versiones anteriores de Windows Server e Hyper-V Server (versiones 2008 a
2012), VM Connect utilizaba una redireccin bsica de pantalla, teclado y ratn cuando se
conectaba a una mquina virtual.

Para disponer de funcionalidades avanzadas (tales como la comparticin de datos entre el


cliente y la mquina virtual), es preciso disponer una conectividad de red entre la mquina
virtual y el cliente, adems de utilizar el cliente de Escritorio remoto estndar (cliente
RDP).

Esto permite disponer de todas las ventajas del protocolo RDP (redireccin de lectores,
impresoras), pero obliga a la mquina virtual a tener conectividad de red. Otra
posibilidad consiste en compartir una carpeta entre el host y la mquina virtual mediante un
vswitch de tipo externo (el host y la mquina virtual pueden comunicarse mediante un
vswitch externo, pues el host posee una tarjeta de red virtual).

Con Windows Server 2012 R2 y Windows 8.1, Microsoft incluye una funcionalidad
avanzada al cliente de conexin a un equipo virtual Hyper-V (vmconnect.exe) para que
soporte, de forma nativa, el protocolo RDP sobre el VMbus de Hyper-V. Como resultado,
cuando se habilita esta funcionalidad (lo cual se aborda ms adelante), se tiene una
conexin de tipo RDP con la mquina virtual. Esta conexin permite obtener las mismas
ventajas que una conexin RDP:

Configuracin avanzada de la visualizacin (soporte multi-pantlalla y pantalla


multi-touch).
Soporte del cortapapeles entre el cliente y la mquina virtual.
Redireccin del lector de tarjetas smartcard (con posibilidad de autenticacin).
Redireccin del audio.
Redireccin de impresoras.
Redireccin de lectores.
Redireccin de dispositivos USB.
Soporte de dispositivos Plug-and-Play.

Resulta muy sencillo compartir datos entre el cliente y la mquina virtual, incluso sin una
conexin de red. Observe, no obstante, que slo los hosts Windows Server 2012 R2,
Hyper-V Server 2012 R2 y Windows 8.1 soportan esta mejora. En el momento de escribir
estas lneas, los nicos sistemas operativos invitados que soportan esta funcionalidad son
Windows Server 2012 R2 (todas las versiones) y Windows 8.1 (tambin todas las
versiones). Adems, deben disponer del servicio Servicios de Escritorio remoto iniciado y
la cuenta de usuario que se utiliza para conectarse a la mquina virtual debe formar parte
del grupo Usuarios de Escritorio remoto o Administradores locales en la mquina
virtual.

Para terminar, sepa que no necesita comprar una licencia de acceso a los Servicios de
Escritorio remoto (RDS CAL, Remote Desktop Services Client Access License). En efecto,
Microsoft incluye este tipo de conexiones directamente en el contrato de licencia de
Windows Server 2012 R2 y Windows 8.1, con una nica conexin por mquina virtual.

He aqu los pasos a seguir para activar esta funcionalidad en el servidor host:

En el host Windows Server 2012 R2, abra el Administrador de Hyper-V y, a


continuacin, en el panel Acciones, haga clic en Configuracin de Hyper-V.

En la ventana de Configuracin de Hyper-V, vaya a la seccin Directiva de modo de


sesin mejorada, y habilite la opcin Permitir modo de sesin mejorada.
Aplique los parmetros y cierre la ventana de configuracin de Hyper-V.

Es todo. Simple, no?

Mediante PowerShell:

Set-VMHost -Name rdvh1.miempresa.priv -EnableEnhancedSessionMode $true

Slo queda conectarse a una mquina virtual, con un sistema operativo Windows
Server 2012 R2 o Windows 8.1, mediante el Administrador de Hyper-V de Windows
Server 2012 R2 o el cliente Hyper-V de Windows 8.1 (o mediante el comando
vmconnect.exe de estas mismas versiones de sistemas operativos). Se abrir una nueva
ventana de conexin que le proporcionar la opcin de ajustar la resolucin de pantalla, as
como la posibilidad de utilizar todas las pantallas disponibles.
Haciendo clic en Mostrar (opciones avanzadas) en la esquina inferior izquierda, accede a
las opciones de redireccin de recursos, similares a las del protocolo RDP.

En la seccin Recursos locales, observar que la impresora principal del equipo cliente se
ha redirigido hacia la mquina virtual, as como el recurso compartido del portapapeles.
Haciendo clic en el botn Ms. tendr la posibilidad de redirigir las unidades locales as
como los dispositivos USB y Plug-and-Play. En este ejemplo, hemos optado por hacer
disponible el lector E:\ de nuestro equipo cliente en la mquina virtual.
Una vez conectado a la mquina virtual, encontrar el lector presente en el explorador de
Windows.

Para terminar, volviendo a la primera pestaa Mostrar de la conexin, ver una


opcin para Guardar mi configuracin para conexiones futuras en esta mquina
virtual.
Esta opcin guardar los parmetros de la conexin (desde el equipo cliente hacia esta
mquina virtual nicamente) en la carpeta %AppData%\Roaming\Windows\Hyper-
V\Client\1.0\ de su perfil de usuario en el equipo cliente.
4. Gestin de la alta disponibilidad con Hyper-V
a. Live Migration

La migracin en caliente (Live Migration) permite desplazar una mquina virtual de un


servidor a otro sin prdida en el servicio (prdida de la conexin de red).

Es posible utilizar la migracin en caliente de tres formas:

Sin un almacenamiento comn, los archivos de la VM se almacenan en discos


internos del servidor host. En este caso, la migracin en caliente ser mucho ms
lenta debido al tiempo de copia de los archivos de disco duro virtuales (archivos
VHD y VHDX).
Con un recurso compartido SMB 3.0, en este caso, slo se migrarn los archivos de
memoria virtual a travs de la red. Los archivos con los discos duros siguen
almacenados en el recurso compartido SMB.
Con un almacenamiento basado en un array de discos, generalmente conectada en
forma de LUN. Slo se migran los archivos correspondientes a la memoria virtual,
los archivos de disco duro virtual siguen en la LUN del array de almacenamiento.
Es la solucin de migracin en caliente ms segura y la nica que no entraa
ninguna interrupcin en el servicio.

Windows Server 2012 R2 soporta Live Migration entre hosts Windows Server 2012/2012
R2 as como Microsoft Hyper-V 2012/2012 R2. Windows Server 2008/2008 R2 o
Microsoft Hyper-V Server 2008/2008 R2 no estn soportados para Live Migration con
Windows Server 2012 R2. Windows Server 2012 R2 incluye una optimizacin de
rendimiento tras la migracin de una mquina virtual optimizando el desplazamiento de la
memoria de la mquina virtual.

La primera posibilidad, TCP/IP, copiar los archivos de memoria virtual directamente sobre
la red a travs de una conexin TCP/IP.

La segunda posibilidad difiere de la primera en el sentido de que los archivos de la


memoria virtual se comprimen antes de enviarse sobre la red en la que se transitan gracias a
una conexin TCP/IP.

La ltima posibilidad permite copiar archivos de memoria virtual sobre la red mediante una
conexin SMB 3.0. Se utiliza SMB Direct si las funcionalidades de acceso directo a la
memoria remota (RDMA, Remote Direct Access Memory) estn habilitadas en las tarjetas
de red de origen y de destino. Esto permite obtener cieta mejora en la rapidez de hasta x10,
frente al x2 que se alcanza con una compresin sencilla mediante la opcin SMB
Multichannel incluido en SMB 3.0.
El principio de funcionamiento de una migracin requiere varias etapas:

Creacin de la VM en el destino.
Copia de las pginas de memoria desde el origen hasta el destino. Las pginas
modificadas durante la transferencia se envan de nuevo (se marcan como "dirty"),
hasta 10 veces.
La mquina virtual se pone en pausa en el origen.
El acceso al almacenamiento (el disco virtual de la VM) se asigna al servidor de
destino.
La mquina virtual se pone en funcionamiento de nuevo.

El Clustered Shared Volume (que se aborda en el captulo dedicado a la Alta


disponibilidad) permite a varios servidores acceder a los archivos en el interior de una
LUN. Un nodo es propietario del espacio de nombres y sigue siendo el maestro a la hora de
crear/eliminar los metadatos (carpetas...). No obstante, distintos nodos pueden acceder a
distintos archivos sobre la misma LUN de manera simultnea, en particular a los archivos
VHD y VHDX. Esto permite, por lo tanto, almacenar todos los archivos VHD y VHDX en
una nica LUN. Todos los nodos pueden acceder al conjunto de archivos, de modo que ya
no es necesario modificar el propietario de la LUN.

Las LUN pueden, tambin, cambiar su propietario sin interrupcin, puesto que los
descriptores son persistentes.

Los servidores de origen y de destino deben utilizar procesadores del mismo fabricante. Si
los modelos de procesador no son estrictamente idnticos, Hyper-V puede enmascarar las
funciones que no sean comunes al conjunto de la plataforma. La opcin Migrar a un
equipo fsico con una versin de procesador distinta lo permite. Esta opcin debe
configurarse en la configuracin del procesador de la mquina virtual que se desea migrar.

b. Rplicas Hyper-V

Las Rplicas Hyper-V, incluidas con Windows Server 2012 e Hyper-V Server 2012,
permiten realizar una replicacin sncrona de las mquinas virtuales entre dos servidores
host Hyper-V en el marco de un plan de recuperacin de actividad. Esto permite, si
ocurriera algn incidente importante en el sitio principal, y gracias a la infraestructura
virtual replicada en el sitio secundario, retomar la carga de trabajo con una interrupcin
mnima del servicio.

Las Rplicas Hyper-V son independientes del hardware. La infraestructura del servidor
fsico no tiene por qu ser idntico en el sitio secundario, aunque el espacio de
almacenamiento del sitio secundario debe ser, al menos, equivalente al del sitio principal, y
tener un ancho de banda de red adecuado para soportar el trfico ligado a la replicacin.

Un servidor host que se comporte como servidor de rplica puede sincronizar las VM que
provengan de varios sitios primarios, y puede replicar una mquina virtual recibida en un
servidor primario hacia un servidor secundario de rplica una vez terminada la replicacin
inicial (Tiers Replica).

Debe realizarse una sincronizacin inicial. sta puede realizarse mediante:

La red de replicacin de rplicas Hyper-V.


EL uso de una copia de seguridad del servidor primario.
La exportacin y la importacin de la VM y su transporte mediante un disco USB
externo, por ejemplo.

La configuracin de las Rplicas Hyper-V se realiza en dos etapas, aunque es muy sencilla.

La primera etapa consiste en configurar los servidores para que acepten la replicacin. Para
ello, mediante el Administrador de Hyper-V, acceda a las propiedades del servidor y vaya
a la seccin Configuracin de la replicacin. Observe que es preciso configurar todos los
servidores Hyper-V que participan en la rplica
Es posible utilizar el protocolo HTTP con autenticacin Kerberos o HTTPS con
autenticacin basada en certificados. El primer mtodo, la combinacin de HTTP/Kerberos,
puede utilizarse entre servidores Hyper-V del mismo dominio o de dominios relacionados.
Observe que esta combinacin HTTP/Kerberos no encripta los datos, de modo que slo
debe utilizarse en una red de rea local, una red extendida dedicada y dotada de seguridad o
bien ser preciso encriptarla mediante IPsec. El segundo mtodo, la combinacin de
HTTPS/Certificado para una replicacin entre el servidor Hyper-V de dominio no aprobado
o en workgroup.

Si quiere utilizar HTTPS, tendr que utilizar un certificado vlido que debe tener el atributo
de uso mejorado de la clave (EKU) de autenticacin de cliente y servidor con clave privada,
el nombre FQDN del servidor debe estar presente como nombre principal o nombre
alternativo. Adems, el certificado de la entidad emisora de certificados debe ser conocido
y vlido.

Puede autorizar la replicacin a partir de todos los servidores autenticados o especificar el o


los servidores de origen. En el ltimo caso, ser posible definir carpetas de almacenamiento
diferentes para las mquinas virtuales.

Si el firewall de Windows est habilitado, tendr que activas las reglas Escucha HTTP de
rplica de Hyper-V (TCP de entrada) y/o Escucha HTTP de rplica de Hyper-V (TCP de
entrada) en el firewall con opciones de seguridad avanzadas. Adems, si replica las
mquinas virtuales hacia o desde el exterior de su red piense en abrir, y redirigir, el puerto
HTTPS (TCP 443) de su firewall.
La segunda etapa consiste en habilitar la replicacin en las mquinas virtuales afectadas.
Desde el Administrador de Hyper-V, haga clic con el botn derecho en la mquina virtual
y seleccione la opcin Habilitar replicacin en el men contextual.

He aqu la informacin solicitada en el asistente Habilitar replicacin:

El nombre del servidor de destino.


El tipo de autenticacin HTTP/Kerberos o HTTPS/Certificado.
Los discos virtuales que desea replicar.
El nmero del punto de recuperacin.
El mtodo para la replicacin inicial, con posibilidad de planificacin.

Una vez realizada la sincronizacin inicial, se realiza una replicacin continua asncrona
para replicar las modificaciones de la VM. Esta replicacin tiene lugar, por defecto, cada 5
minutos y este valor puede modificarse entre tres valores: 30 segundos, 5 minutos o 15
minutos.

c. Comparticin de discos virtuales (Shared VHDX)

Windows Server 2012 R2 presenta la funcionalidad de comparticin de discos virtuales con


formato VHDX (Shared VHDX), que permite compartir un disco duro virtual entre varias
mquinas virtuales. Esto permite crear un clster de disco nico para el qurum con
mquinas virtuales, o incluso un clster s SQL Server basado en mquinas virtuales, por
ejemplo.
Los requisitos previos son los siguientes:

Disponer, al menos, de dos servidores con Windows Server 2012 R2 (o Microsoft


Hyper-V Server 2012 R2).
Los servidores host deben estar en el mismo dominio de Active Directory.
Los servidores host deben tener los roles Hyper-V y Failover Clustering instalados.
Los servidores host deben poder acceder a un sistema de almacenamiento a nivel de
bloque, de tipo CSV o SoFS. Este almacenamiento puede estar alojado en zonas
ISCSI, Fibre Channel, Direct Attached (SAS) o en espacios de almacenamiento en
clster (Clustered Storage Space).
Las mquinas virtuales deben estar instaladas con Windows Server 2012 R2.

La funcionalidad de comparticin de disco duro virtual soporta nicamente discos virtuales


en formato VHDX de tamao fijo o dinmico. Los archivos VHDX a compartir deben
estar, obligatoriamente, almacenados en un CSV (Cluster Shared Volume) o en una
particin SoFS (Scale-Out File Server con SMB 3.0). Los discos duros virtuales
estn disponibles para las mquinas virtuales de generacin 1 y de generacin 2, siempre
que se cumplan los requisitos previos y el disco duro virtual compartido est asociado a un
controlador SCSI en el seno de las mquinas virtuales.

Para poder utilizar un disco virtual compartido, conviene, en primer lugar, crear un clster
de servidores Hyper-V, con Windows Server 2012 R2 o Hyper-V Server 2012 R2, con un
almacenamiento CSV o SoFS. Para ello, consulte el captulo que trata sobre la Alta
disponibilidad.

Una vez instalado el clster, tendr que crear un disco duro virtual, con formato VHDX y
almacenado en CSV o SoFS, y asociar las mquinas virtuales correspondientes. La creacin
del disco duro virtual es sencilla:

Abra la consola Administrador de Hyper-V y, en el panel Acciones, haga clic en Nuevo


y Disco duro y, a continuacin, haga clic en Siguiente para pasar la primera pantalla del
asistente de creacin de un disco virtual.
Los discos virtuales compartidos se soportan nicamente con formato VHDX, seleccione
VHDX y haga clic en Siguiente.
Los discos virtuales compartidos no soportan los discos de diferenciacin.

Un disco duro virtual de diferenciacin requiere la presencia de un disco duro virtual padre
que sirva como base, y contiene todas las diferencias que posea con su padre. Del mismo
modo que un disco AVHDX necesita un punto de control.

Seleccione el tipo de disco duro entre Tamao fijo o Tamao dinmico y, a


continuacin, haga clic en Siguiente.
Indique el nombre del archivo as como su ubicacin. Esta puede tener el formato
"D:\SharedVD\" si se trata de un CSV, o formato UNC (en nuestro ejemplo
\\rdvh1\SharedVD\) con un SoFS. Haga clic en Siguiente para definir el tamao del disco
virtual y, a continuacin, haga clic de nuevo en Siguiente y en Finalizar.

He aqu la misma operacin con PowerShell mediante el comando New-VHD:

# Para un disco virtual de 40 GB de tipo dinmico almacenado en el


# recurso compartido\\rdvh1\SharedVD\.
New-VHD -Dynamic -Path \\rdvh1\SharedVD\SharedVolume.vhdx -SizeBytes 40GB

Tan slo queda asociar este disco virtual a las mquinas virtuales a las que est destinado, y
habilitar el recurso compartido. Para ello, mediante el Administrador de Hyper-V, edite los
parmetros de una de las mquinas virtuales y agregue el disco creado al controlador SCSI.
Haga clic en el pequeo icono "+" correspondiente al disco agregado y seleccione
Caractersticas avanzadas.
Marque la opcin Activar uso compartido de discos duros virtuales y, a continuacin,
haga clic en Aplicar y Aceptar.

Puede, tambin, crear un disco compartido con PowerShell mediante el cmdlet ADD-
VMHardDiskDrive:

# Para vincular un disco virtual en posicin (SCSI 0, Disk 1) con el


# parmetro "Compartir disco duro virtual", que se encuentra en el
# recurso compartido de tipo SoFS, a una mquina virtual
# llamada VM-Gen1.
Add-VMHardDiskDrive -VMName VM-Gen1 -ControllerType SCSI
-ControllerNumber 0 -ControllerLocation 1 -Path
\\rdvh1\SharedVD\SharedVolume.vhdx
-SupportPersistentReservations

# Observe que puede, tambin, utilizar el parmetro


# -ShareVirtualDisk que es un alias de
# -SupportPersistentReservations .

Slo queda asociar, del mismo modo, su disco duro compartido a otras mquinas virtuales,
y crear un clster compuesto de sus mquinas virtuales, por ejemplo.

5. SCVMM 2012 R2

SCVMM 2012 R2 (System Center Virtual Machine Manager) es necesario para administrar
los servidores Hyper-V con Windows Server 2012 R2. La instalacin del mdulo
complementario SCVMM 2012 R2 es muy sencilla y rpida de realizar. No cabe, por lo
tanto, sobrevalorar su aporte funcional en la administracin de la infraestructura. No
obstante, tendr que instalar previamente Windows ADK 8.1 (Windows Assessment and
Deployment Kit), puesto que es un requisito previo indispensable.

Las principales funcionalidades son:

Soporte de las caractersticas de Windows Server 2012 (mquina virtual de


generacin 2, redimensionamiento de disco en caliente, exportacin y clonado de
mquinas virtuales en caliente, etc.).
Centralizacin del despliegue y de la gestin de las mquinas virtuales para Hyper-
V, Virtual Server y VMware ESX.
Conversin P2P y P2V rpida y fiable, sin ninguna herramienta suplementaria.
Integracin con SCOM para la supervisin.
Optimizacin de los recursos y del rendimiento proporcionando desplazamientos y
una ubicacin de las mquinas virtuales teniendo en cuenta las funciones de red
TCP Chimney Offload y VMQ en las propuestas de ubicacin.
Administracin centralizada de una librera de componentes para las mquinas
virtuales.
Delegacin de ciertas tareas de administracin.
Integracin con los clsteres.
Automatizacin e industrializacin mediante scripts de PowerShell. SCBMM 2012
es completamente scriptable con PowerShell 4.0 (incluido en Windows Server 2012
R2). Los scripts PowerShell 3.0 estn soportados con ms del 90% de los cmdlets
de PowerShell en comn con PowerShell 4.0. En lo relativo a los scripts PowerShell
2.0, tendr que instalar la funcionalidad complementaria "Motor de Windows
PowerShell 2.0". Adems, sepa que dado que algunos cmdlets estn restringidos en
PowerShell 2.0, es preferible utilizar scripts PowerShell 3.0 o 4.0.
Administracin de varias soluciones de virtualizacin Microsoft (Virtual Server,
Hyper-V 1.0/2.0/3.0) y no Microsoft (Vmware ESX 3.5/4/5 a travs de Virtual
Center).
Generacin de informes acerca del estado de la infraestructura virtual.
Soporte de las migraciones de las VM ubicadas fuera de un clster hacia un clster,
y viceversa. Soporte de la migracin en caliente (live migration).
Soporte del almacenamiento dinmico en las VM en caliente (Windows
Server 2008 R2 como mnimo).
Soporte de las redes virtuales VMware ESX y de los grupos de puertos virtuales
(Windows Server 2008 R2 como mnimo).
Soporte del modo de mantenimiento (Windows Server 2008 R2 como mnimo). La
implementacin del mantenimiento de un host hace que las VM que hospeda se
pongan en pausa, impide la creacin de VM sobre el propio host, o el
desplazamiento de VM hacia el mismo.

No obstante, no es posible instalarlo sobre una edicin Core. Las nicas opciones reales que
tiene durante la instalacin son las relativas a la base de datos de SCVMM 2012 R2 y las
cuentas sobre las que se ejecutar el servicio SCVMM. Ya no es posible utilizar un motor
SQL Express 2008/2008 R2/2012, sino que tendr que utilizar, obligatoriamente, un
servidor SQL 2008 R2 SP2 o 2012:

Tiene dos posibilidades para administrar su entorno virtual con SCVMM 2012 R2:

Mediante su interfaz grfica, la Consola Virtual Machine Manager.


Mediante la extensin de PowerShell.

Antes de aprovisionar las mquinas virtuales, debera:

Declarar los servidores Hyper-V que quiere administrar (al menos uno).
Declarar las redes virtuales.
Crear las plantillas de los perfiles para las mquinas virtuales.
Agregar las imgenes ISO a la biblioteca.
Crear plantillas de discos duros virtuales.

La declaracin de redes virtuales se realiza desde las propiedades del servidor virtual:

De cara a simplificar y automatizar el despliegue de nuevas mquinas virtuales, es


posible definir distintos tipos de perfil: perfil de aplicacin, perfil de sistema operativo
invitado o incluso perfil SQL Server. Los perfiles de hardware permiten utilizar las
plantillas de configuracin en lugar de configurar manualmente los recursos para cada VM.
Ms all de la ganancia en eficacia a la hora de crear una VM, esto permite mantener una
consistencia en la configuracin entre dos mquinas virtuales, ganando, as, en calidad.
Para gestionar los perfiles de hardware, vaya a Biblioteca y, a continuacin, Perfiles.

Un perfil incluye los siguientes parmetros:


Agregar imgenes ISO consiste simplemente en copiar archivos ISO en la carpeta
compartida de la biblioteca SCVMM.

Tras una actualizacin de la biblioteca, Virtual Machine Manager indexa los archivos
registrados en las carpetas compartidas de la biblioteca, y a continuacin actualiza la vista
Biblioteca y la lista de recursos. No todos los archivos estn indexados y no todos los
archivos aparecen en la vista Biblioteca. El contenido de la biblioteca se refresca
automticamente por defecto cada hora. El tipo de contenido que se indexa es el siguiente:

discos duros virtuales: .vhdx y .vhd (Hyper-V, Virtual Server), .vmdk (VMware).
disquetes virtuales: .vfd (Virtual Server), .flp (VMware).
Imgenes ISO: .ISO.
archivos de respuesta: .ps1 (Windows PowerShell); .inf o .xml.
plantillas VMware: .vmtx.

Los siguientes tipos de archivos de configuracin tambin se indexan, aunque no se


agregan a la biblioteca como recursos:

Hyper-V: .exp (formato para exportar), .vsv (estado almacenado), .bin.


Virtual Server: .vmc (configuracin de la mquina virtual), .vsv (estado
almacenado).
VMware: .vmtx (configuracin de la mquina virtual), .vmx (formato de
exportacin).
Los discos duros virtuales, imgenes ISO y disquetes virtuales asociados a un
equipo virtual.

La administracin de las mquinas virtuales puede realizarse mediante PowerShell, lo que


abre las puertas necesarias a las planificaciones, automatizaciones y procesamientos
masivos.

He aqu algunos ejemplos de comandos PowerShell:

Recuperar una cuenta de acceso:

$Credential = get-credential

Recuperar