Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Windows Server 2012 R2 - Administración Avanzada PDF
Windows Server 2012 R2 - Administración Avanzada PDF
avanzada
Este libro está dirigido a aquellos administradores e ingenieros de sistemas que deseen
adquirir conocimientos avanzados sobre Windows Server 2012 R2 y dominarlo en
profundidad.
Responde a la necesidad de disponer de una mayor experiencia por parte del lector,
tratando con profundidad, desde un punto de vista teórico y práctico, roles imprescindibles
tales como Active Directory, DFS, Hyper-V, BitLocker, el reparto de carga o incluso
la VPN. También se describen todas las especificidades de Windows Server 2012 R2
(como, por ejemplo, los avances en términos de virtualización, de seguridad, los Work
Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials,
etc.), para permitirle aprovechar al máximo el potencial de esta versión.
Los autores ponen a disposición del lector sus conocimientos en tecnologías Microsoft
(MVP, MCSE y/o MCITP, MCSA) y su experiencia, muy significativa, en
infraestructuras integrales y complejas, para proveer un nivel de calidad que respete las
mejores prácticas del mundo profesional de la empresa.
Introducción
Este libro trata sobre la última versión del sistema operativo de la gama Windows Server de
Microsoft
Windows Server 2012 no se sale de esta norma, y algunos meses después de la aparición de
la versión R1, ha hecho su aparición Windows Server 2012 R2 y se pone a disposición de
todos los profesionales.
Microsoft ha diseñado Windows Server 2012 para ofrecer una plataforma flexible y
completa que responda a las necesidades, cada vez más exigentes, de las empresas. Esta
versión evoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la
virtualización de servidores, al Cloud Computing y a la premisa "Bring Your Own Device".
Podrá, de este modo, aprovechar las nuevas funcionalidades, útiles y prácticas, que le
permitirán basar el conjunto de sus Sistemas de Información en una solución Microsoft.
Para realizar esta elección, hay disponibles cuatro ediciones de Windows Server 2012 R2:
Observe que existe, a su vez, una versión gratuita llamada Hyper-V Server 2012. Está
preconfigurada para ejecutar una versión mínima (Core) de Windows Server 2012 y sólo
puede alojar el rol Hyper-V. Es posible encontrar más información en la siguiente
dirección: http://technet.microsoft.com/es-es/evalcenter/dn205299.aspx
Windows Server 2012 R2 está disponible únicamente en versión 64 bits; las versiones de
32 bits e Itanium ya no están disponibles.
Si desea información más precisa, encontrará una descripción detallada de las distintas
versiones de Windows en la siguiente dirección (en inglés): http://www.microsoft.com/en-
us/server-cloud/windows-server/buy.aspx
La gestión de las licencias se ha rediseñado por completo. Para Windows Server 2012
Standard y Datacenter, el cálculo de licencias "por servidor" cambia por licencias "por
procesador". Preste atención, en adelante, al hardware de sus servidores. Por defecto, estas
versiones parten de una licencia para dos procesadores. La única diferencia entre ambas
versiones reside en el derecho a la virtualización: ilimitado en la versión Datacenter y de
dos máquinas virtuales en la versión Standard.
Dado que las versiones Foundation y Essentials están mucho menos extendidas en la
empresa, este documento se centra en las ediciones Standard y Datacenter.
Windows Server 2012 R2 provee un mejor control de la información para garantizar una
mayor eficacia en la administración y, en consecuencia, una mejora en la productividad. La
nueva interfaz, de tipo mosaico, es coherente con el resto de la nueva gama de los OS
Windows. Aunque le pueda resultar algo desconcertante, Microsoft ha rectificado su
estrategia en la versión R2 reintegrando el botón Inicio. Es posible que la toma de control
suponga, todavía, algún problema, por ello le invito a leer la siguiente página, a riesgo de
que no sea capaz de volver a reiniciar su servidor salvo por línea de comando:
http://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_run
El servicio de directorio de Active Directory está dotado, desde Windows Server 2008
R2, de funcionalidades tales como la papelera de reciclaje de Active Directory, la
administración automática de cuentas de servicio o incluso la posibilidad de administrar de
forma gráfica las directivas de contraseñas múltiples, que encantarán a todo administrador.
El control de acceso dinámico permite controlar el acceso a los datos de forma dinámica.
Identifica la criticidad del dato (según los atributos que se hayan definido) y guarda, a
continuación, el control sobre el que se ubican en el seno del Sistema de Información.
Microsoft ofrece, a su vez, la opción de instalar por defecto una versión mínima de
Windows Server 2012 R2, conocida con el nombre de Windows Server Core. Esta versión
funciona, de hecho, sin una interfaz gráfica y todo debe configurarse por línea de
comandos. La ventaja principal de este tipo de administración reside en el hecho de que la
superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor
aquellos componentes imprescindibles. Los administradores agregarán, a continuación, los
roles que deseen. La interfaz gráfica se considera una característica más que es posible
desinstalar.
La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las
impresoras de su dominio.
Por último, y una buena noticia más para los administradores, las reglas Applocker
permitirán realizar un mejor control de las aplicaciones cuyo uso se autorice con Windows
Server 2008 R2/2012/2012 R2 y Windows 7/8/8.1.
El acceso VPN a través de protocolos tales como SSL facilitan el acceso al Sistema de
Información y, también, intercambiar datos con otros equipos. La pasarela sitio-a-sitio
multi-inquilino provee, de este modo, la opción de utilizar una misma pasarela Site To Site
para conectar clientes que posean el mismo plan de direccionamiento IP.
El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el
acceso a los datos de su disco duro desde una instalación paralela de otro sistema operativo.
El protocolo SMB (Server Message Block) pasa a la versión 3.0 y se ha visto mejorado
considerablemente. Tiene en cuenta funcionalidades tales como la conmutación automática
SMB, la consideración de SMB, el testigo de carpeta, etc. Tiene en cuenta, también, el
almacenamiento en archivos VHD o un sistema de bases de datos SQL.
Los servicios Terminal Server aportan una gran cantidad de innovaciones que mejorarán
enormemente la experiencia de usuario.
El acceso Web a los servicios Terminal Server (RD Web Access) es una interfaz Web
que le permite acceder a las aplicaciones RemoteApp que haya decidido publicar. Estas
aplicaciones están, de este modo, accesibles desde su navegador de Internet. Esta solución
se basa en IIS y puede, a su vez, integrarse en un portal SharePoint.
El clúster de servidores tiene como cometido contener varios a servidores con un mismo
rol. Si alguno de los servidores (llamados nodos del clúster) no está disponible, el sistema
de clúster bascula, automáticamente, hacia otro nodo disponible. Esto se realiza sin ninguna
intervención por parte de los administradores, lo que limita la duración de la
indisponibilidad de una aplicación.
Por último, el ciclo de vida de su servidor resulta más sencillo de gestionar gracias a un
conjunto de herramientas adaptadas y útiles.
Este libro tiene también como objetivo presentarle las principales funcionalidades de
Windows Server 2012/2012 R2, insistiendo especialmente en aquellas novedades
aparecidas tras el salto tecnológico que separa a Windows Server 2003 de Windows Server
2008.
Las numerosas direcciones de Internet provistas en las páginas de este libro se recopilan en
una webografía, disponible en la página Información.
Introducción
Este capítulo está dedicado al directorio de Microsoft Active Directory. El servicio de
directorio de Microsoft resulta indispensable en la gestión de la información en el seno de
una empresa.
Desde un punto de vista físico, cabe tener en cuenta tres elementos principales:
Según los roles, son únicos por dominio o bien por bosque. La siguiente tabla
muestra con detalle cada uno de estos cinco roles:
Desde un punto de vista general, los asistentes de configuración se han visto mejorados
considerablemente a lo largo de las versiones de Windows. Descubrirá, rápidamente, que
estos últimos son muy útiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer
referencia a la mayoría de las opciones avanzadas de instalación del directorio Active
Directory desde el asistente creado a este efecto.
Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar su
directorio Active Directory.
Puede acceder desde el Administrador del servidor. Utilizará, por tanto, esta consola para
agregar el rol Servicios de dominio de Active Directory (también conocido bajo el
nombre AD DS por Active Directory Domain Services). Volveremos un poco más adelante
sobre las etapas detalladas ligadas a esta instalación.
En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario
que posea los permisos de Administrador del servidor.
Asegúrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futuro
controlador de dominio, así como una dirección IP fija válida. Se recomienda, siempre,
definir estos parámetros antes de realizar la promoción de un servidor a controlador de
dominio.
Por defecto, el Administrador del servidor se ejecuta cada vez que inicia Windows, y le
permite configurar su servidor una vez instalado.
Haga clic en Configurar este servidor local (o Servidor local) para visualizar la
configuración propia a este servidor y modificarla si fuera necesario.
Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que se
encuentran en la misma fila que Ethernet y Nombre de equipo. Podrá, de este modo,
definir una dirección IPv4 fija, así como un nombre de equipo descriptivo para su servidor.
En nuestro ejemplo, el nombre de equipo será DC2012 (DC por Domain Controller o
controlador de dominio). A continuación deberá reiniciar el servidor.
Observe que todos los comandos de instalación se basan en PowerShell y pueden ejecutarse
de manera remota.
Seleccione, a continuación, el rol o la característica que desea instalar. Como se trata de la
instalación de un controlador de dominio Active Directory, debe escoger la
opción Servicios de dominio de Active Directory.
El asistente le invitará a agregar la instalación de varias características necesarias (o, al
menos, útiles) para este rol (Herramientas administrativas, Administración de directivas de
grupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinámica en
función del rol seleccionado. Haga clic en Siguiente.
Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrás
es compleja (habrá que restaurar, como mínimo, un dominio por bosque). Microsoft ha
optado por simplificar esta etapa integrando directamente la actualización del esquema y
del dominio en el asistente de promoción de un controlador de dominio desde el
Administrador del servidor.
El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario
para preparar un bosque y un dominio para la instalación de un controlador de dominio de
una versión superior. Este comando sólo está disponible en versión 64 bits.
Si sus antiguos controladores de dominio ejecutan, todavía, una versión de 32 bits, es
posible ejecutar adprep de manera remota desde un servidor Windows Server 2008 versión
64 bits, Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2
miembro del dominio, incluso aunque no se trate de un controlador de dominio. Adprep se
ubica en la carpeta soporte\adprep del DVD de instalación de Windows Server 2012 R2.
Encontrará mucha más información sobre la instalación manual de adprep en la siguiente
dirección: http://technet.microsoft.com/en-us/library/hh472161.aspx
Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows
Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2
mediante la consola Dominios y confianzas de Active Directory o mediante el centro de
administración de Active Directory (encontrará más información en la dirección:
http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque,
todos los controladores de dominio funcionan con Windows Server 2012 R2 puede,
también, aumentar el nivel funcional de su bosque, siempre mediante alguna de estas
consolas (encontrará más información en la dirección: http://technet.microsoft.com/es-
es/library/cc730985.aspx)
Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta,
la mayoría de veces, funcionalidades y características suplementarias. Estas
funcionalidades se resumen en la siguiente dirección: http://technet.microsoft.com/en-
us/library/understanding-active-directory-functional-levels(v=ws.10).aspx
Observe, no obstante, que algunos componentes no requieren más que la preparación del
dominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementar
el nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web de
aplicación (Web Application Proxy) que se basa únicamente en las clases del esquema
creadas tras la implementación del esquema (mediante el comando adprep /forestprep) para
poder funcionar.
Import-Module ActiveDirectory
Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv
-domainmode
Windows2008Domain
Dé nombre a la raíz del bosque. En nuestro ejemplo, el nombre del dominio será
miempresa.priv y, a continuación, haga clic en Siguiente.
Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.
No cree, por tanto, ningún dominio Active Directory que tenga, por ejemplo, el nombre
Miempresa. Piense, también, en prohibir el uso de un guión bajo (underscore) en su nombre
de dominio. Si se diera el caso, realice una migración a un nombre de dominio sin este
carácter, que le generará una serie de inconvenientes en el futuro, especialmente con
Exchange.
Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre de
dominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque
ya existente. Sí le dejará, por el contrario, agregar un nuevo controlador que se ejecute bajo
2008 R2 o superior en un dominio con un único nivel ya existente. La KB de Microsoft
KB300684 (http://support.microsoft.com/kb/300684) analiza este caso.
De aquí a dos años, los fabricantes de certificados públicos no certificarán más dominios
con extensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los
nombres de dominio interno y externo para evitar, en particular, tener que realizar una
gestión algo más compleja en su zona DNS interna.
Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio para
contactar con un eventual bosque ya existente.
Encontrará más información sobre los distintos tipos de zona DNS y sobre la replicación en
el capítulo Implementar los servicios de red de la empresa - Implementar los sistemas de
resolución de nombres.
Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2
dado que, en este ejemplo, se trata de un servidor que es el único controlador de dominio y
del bosque.
Deje marcada la opción Servidor DNS para instalar este rol sobre el futuro controlador de
dominio. La opción Catálogo global aparece marcada obligatoriamente puesto que todavía
no existe ningún catálogo en el dominio, dado que hemos seleccionado la opción de crear
un nuevo dominio en un nuevo bosque.
Si bien puede resultar tentador, no defina la misma contraseña que para la cuenta de
Administrador actual por motivos de seguridad.
El sistema trata, a continuación, de contactar con el servidor DNS definido a nivel de los
parámetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominio
Active Directory definido, y si no se ha instalado ningún servidor DNS, el asistente
mostrará el siguiente mensaje (haciendo clic en Ver más en la barra de alerta de color
amarillo ubicada en la parte superior del asistente).
Observe, también, que si se define un servidor DNS en las propiedades TCP/IP del
servidor, éste se borrará automáticamente de estas propiedades de modo que el futuro
controlador de dominio será cliente de su propio DNS. El anterior servidor DNS se
informará en la pestaña Reenviadores en las propiedades del servicio DNS.
Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuación, haga clic
en Siguiente.
Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la
base de datos, los archivos de registro y SYSVOL. En un entorno de producción, se
recomienda encarecidamente separar la base de datos y los archivos de registro para, así,
evitar la saturación de I/O (entradas/salidas). Haga clic en Siguiente.
Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de las
etapas del asistente. Es posible exportar estos parámetros para poder reutilizarlos en un
archivo de respuestas.
Recorra esta lista de advertencias y, si no existe ningún punto bloqueante, haga clic en
Instalar.
Observe que puede realizar las acciones correctivas necesarias y, a continuación, hacer clic
en el vínculo que le permite volver a verificar si se cumplen los requisitos previos.
Auditar estos servidores es una actividad que consiste en censar los eventos que se
consideren interesantes en el registro de eventos. Esto le permitirá evidenciar problemas de
configuración o incluso verificar la seguridad de ciertos elementos críticos del sistema
operativo. Preste atención, no obstante, a no definir demasiados objetos a auditar, puesto
que el rendimiento del servidor se verá impactado inmediatamente.
Antes de Windows Server 2008 R2, podía configurar los eventos de auditoría editando su
directiva de grupo (desde el menú Inicio - Herramientas administrativas y Gestion des
Directiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers
Policy (Configuración de equipo - Directivas - Configuración de Windows -
Configuración de seguridad - Directivas locales - Directivas de auditoría).
La información que se muestra es, no obstante, confusa, ¡pues es posible ser mucho más
preciso!
Las directivas de auditoría pueden, en efecto, definirse de forma mucho más precisa y los
parámetros visualizados a nivel de la directiva de grupo más arriba no representan más que
de una forma muy vasta la configuración efectiva.
En Windows XP sólo existen nueve categorías de evento que pueden auditarse. Desde
Windows Vista/Windows Server 2008, puede optar por auditar hasta 53 categorías de
eventos distintos volviendo, de este modo, la creación de objetos mucho más granular.
En Windows Server 2008 (o Vista con las herramientas de administración RSAT), puede
mostrar y aplicar de forma más precisa las directivas de auditoría realmente posibles
únicamente por línea de comandos mediante el comando Auditpol.exe.
El siguiente comando permite mostrar las distintas categorías posibles para la auditoría:
Estas directivas pueden aplicarse, de este modo, sobre OU específicas para controlar la
actividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que esta
configuración definida mediante GPO se ejecutará únicamente en equipos Windows Server
2008 R2/2012/2012 R2 o Windows 7/8/8.1.
Para desplegar estos parámetros en Windows Server 2008 o Windows Vista, es preciso
utilizar la opción auditpol.exe. Más adelante se ofrece un enlace a la KB que explica cómo
poner en marcha este despliegue.
Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la
posibilidad de auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de
definir una directiva de auditoría para un usuario particular sobre una acción precisa y para
un conjunto de servidores. Esto puede resultar muy práctico si tiene que justificar, en
particular, la auditoría de la seguridad de un servidor de cara a afrontar una auditoría SOX.
Los eventos generados por las auditorías de acceso a los archivos o al registro estarán
mucho más detalladas si activa la opción Auditar la manipulación de identificadores
puesto que se mostrará el "motivo del acceso", que le permitirá, en particular, poner de
relieve errores de configuración (como, por ejemplo, un usuario que tiene acceso de
escritura en lugar de tener un acceso de sólo lectura).
Encontrará la guía paso a paso para implementar una directiva de grupo avanzada en la
siguiente dirección: http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx
Observará, entonces, que las opciones de auditoría son mucho más ricas respecto a las
versiones anteriores de Windows.
Se han conservado las principales categorías, y muchas subcategorías enriquecen y
hacen que la recogida de eventos sea mucho más precisa. Su registro de eventos estará, por
tanto, mucho más limpio de eventos inútiles.
Sepa, no obstante, que si utiliza la directiva de grupo para definir las categorías principales
de auditoría, no tendrá la posibilidad de definir de forma más precisa los parámetros de las
subcategorías. Una directiva de auditoría configurada a nivel de las directivas de grupo
activa, automáticamente, las subcategorías.
Para configurar de forma más precisa la auditoría sobre los equipos tendrá que utilizar el
comando auditpol en los equipos o servidores seleccionados a través de un script, por
ejemplo.
Si desea, por ejemplo, activar la auditoría para todas las subcategorías referentes al
acceso al directorio Active Directory, siga el procedimiento siguiente:
Ejecute, desde una ventana de símbolo del sistema de un controlador de dominio, el
siguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas las
subcategorías de auditoría del acceso DS se activarán. Es posible activar únicamente la
subcategoría que nos interese, en nuestro caso, ejecutando auditpol /set
/subcategory:"modificación del servicio de directorio" /success:enable y auditpol /set
/subcategory:"Administración de cuentas de usuario" /success:enable.
Existe un bug en la versión española de auditpol y todas las categorías o subcategorías que
posean un apóstrofe no funcionarán si lo escribe. Existen dos soluciones para evitar este
problema: o bien copia/pega la opción desde una página web codificada correctamente, o
bien utiliza el código ASCII presionando [Alt] y 0146 para proveer la versión esperada del
símbolo.
Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuarios
que traten de acceder a recursos para los que no se ha definido ninguna habilitación o, por
el contrario, administradores que utilicen sus permisos de manera abusiva.
Agregue una condición que indique, por ejemplo: Usuario - Grupo - Miembro de cada -
Valor - [Administradores de dominio] y [Administradores].
Se podría, también, citar como ejemplo la posibilidad de poder auditar todos los
proveedores que traten de acceder a documentos vinculados a proyectos sobre los que no
trabajen. La auditoría sería: Auditar - Todos - Todo - User.EmploymentStatus=Vendor
AND User.Project Not_AnyOf Resource.Project.
Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar,
también, que es posible configurar el parámetro Auditar los inicios de sesión
(Configuración de directiva de auditoría avanzada - Inicio y cierre de sesión).
Se genera el evento 4624 cada vez que un usuario inicia una sesión sobre un equipo local o
remoto. Obtendrá más información sobre los nuevos eventos generados en la siguiente
dirección: http://technet.microsoft.com/es-es/library/hh831382.aspx
Estos parámetros pueden acoplarse con el control de acceso dinámico que se aborda en el
capítulo Securizar su arquitectura.
Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura
(llamados, también, RODC por Read Only Domain Controller). Un controlador de
dominio de solo lectura contiene toda la información de un controlador de dominio clásico
salvo la contraseña de los usuarios. Esta información se almacena en solo
lectura únicamente y no es posible iniciar ninguna modificación a nivel de dominio desde
un RODC.
Sepa, por otra parte, que si no desea que se replique algún atributo sensible en su RODC es
posible modificar las propiedades del mismo para limitar su replicación únicamente a
aquellos controladores de dominio inscribibles. Para ello, tendrá que modificar el valor
searchFlags del atributo que desee a nivel de partición de esquema. El rol maestro de
esquema tendrá que encontrar, preferentemente, la información sobre algún controlador de
dominio en Windows Server 2008 R2 como mínimo. Encontrará más información a este
respecto en la siguiente dirección (en inglés):
http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-
440026f585e91033.mspx?mfr=true
Microsoft ha diseñado una solución adaptada a las necesidades de las empresas que posean
sitios remotos con pocos usuarios para:
Un RODC trata de autentificar una cuenta respecto a las contraseñas que posee en caché. Si
no se encuentra en su caché, contactará con un controlador de dominio inscribible para
autentificar al usuario. Al mismo tiempo, consultará si la directiva de replicación de
contraseñas autoriza que se aloje en la caché del RODC la contraseña de esta cuenta o no.
De este modo, si la directiva lo permite, las consultas de autentificación se ejecutarán
directamente en el RODC.
Tenga en mente que jamás hay que abrir sesión en un RODC con una cuenta miembro del
grupo Administradores de dominio (o equivalente), pues un ataque permitiría obtener estas
credenciales.
Acceder a los recursos de red más rápidamente
Entre las demás especificaciones de un controlador de dominio de solo lectura, sepa que
este último sólo puede, por naturaleza, recibir el tráfico de replicación entrante (replicación
unidireccional). No puede, por tanto, definirse como servidor inicial de una directiva de
replicación de dominio en la medida en que simplemente sufre las modificaciones, sin
poder iniciarlas.
Es, también, posible instalar el servicio DNS sobre el RODC de un sitio. Esto evita tiempos
de latencia repetitivos cuando un usuario trata de realizar una resolución de nombres sin
tener un DNS próximo a él. Este servicio será, también, de solo lectura en un RODC y los
equipos no tendrán la posibilidad de insertar sus propios registros de forma dinámica sobre
este servidor DNS. Sus consultas de escritura se redirigirán a un servidor DNS sobre el que
se permita realizar escrituras. Para limitar la primera replicación de un controlador de
dominio suplementario, es posible instalarlo desde un medio extraíble y, de este modo,
preservar el ancho de banda al máximo. En el caso de un RODC, es posible realizar esta
acción utilizando el comando ntdsutil ifm, que tiene como efecto eliminar las contraseñas
alojadas en caché presentes en el controlador de dominio. Puede obtener más información
acerca de la instalación de un controlador de dominio desde un medio externo en la
siguiente dirección: http://technet.microsoft.com/en-us/library/cc816722(v=ws.10).aspx
Aparece un resumen con las distintas opciones que ha seleccionado a lo largo del asistente.
Puede, también, visualizar los comandos PowerShell que se ejecutarán para realizar estas
acciones haciendo clic en Ver script. El archivo de respuestas creado permitirá realizar la
instalación de un servidor RODC por línea de comandos sin intervención por parte del
usuario (observe que la contraseña de restauración del servicio de directorio no se
almacenará directamente en este archivo, y deberá indicarla antes de utilizar el archivo de
instalación sin que el asistente le solicite introducir la contraseña en el momento necesario).
Haga clic en Siguiente para ejecutar el asistente de verificación. Éste le avisará si existe
alguna configuración incorrecta (dirección IP dinámica, etc.). Si bien no es obligatorio
resolver estos errores para ejecutar la instalación del servidor RODC, es muy
recomendable. Haga clic en Instalar. Es necesario reiniciar el servidor para que se tengan
en cuenta las modificaciones. El servidor se agregará automáticamente al dominio como
RODC.
Sepa que es posible Crear previamente una cuenta de controlador de dominio de sólo
lectura desde un controlador de dominio existente. Esta opción está disponible desde la
consola ADAC, seleccionando su dominio en Domain Controllers.
Haciendo clic en el botón Opciones avanzadas, puede mostrar el nombre de las Cuentas
cuyas contraseñas están almacenadas en este controlador de dominio de sólo lectura.
Puede, también, seleccionar en la lista desplegable visualizar las Cuentas autenticadas en
este controlador de dominio de sólo lectura. Resulta, en efecto, interesante conocer quién
está autentificado mediante este RODC y, de este modo, modificar la directiva de
replicación de contraseña para alojar en caché la contraseña de estos usuarios y así evitar
consultas inútiles hacia un controlador de dominio de escritura. Puede, también, seleccionar
la opción de Rellenar contraseñas previamente. Esto puede resultar muy útil si instala su
RODC desde su sitio principal y rellena las contraseñas que quiere alojar en caché de los
usuarios del sitio secundario (sobre el que se desplazará, a continuación, el servidor
RODC). Habrá, también, que rellenar las cuentas de equipo utilizadas por los usuarios
agregados. Esto evitará tener que utilizar la conexión WAN entre dos sitios durante la
primera autentificación de los usuarios en el sitio secundario. Es decir, las cuentas
seleccionadas deberá, previamente, agregarse a la directiva de replicación de contraseña,
pues sin ello el rechazo implícito evitará que se almacene la contraseña en caché.
Sepa que es posible rellenar previamente las contraseñas utilizando el siguiente comando:
repadmin /rodcpwdrepl [DSA_List] <Hub DC> <User1 Distinguished Name>
[<Computer1 Distinguished Name> <User2 Distinguished Name> ...]
En caso de robo de un servidor RODC, podrá controlar de manera muy sencilla aquellas
cuentas impactadas y, de este modo, limitar los potenciales riesgos de seguridad debidos al
robo del servidor. Como administrador, aquí se muestra cómo debería reaccionar ante tal
situación:
Se muestra una ventana que le permite forzar la reinicialización de la contraseña para las
cuentas de usuario y/o equipo. También le permite exportar la lista de cuentas que estaban
en caché. Una vez seleccionadas las opciones, haga clic en Eliminar.
Una de las principales mejoras esperadas tras varios años por los profesionales de la
informática que utilizan el directorio de Microsoft es, sin duda alguna, la posibilidad de
poder definir directivas de contraseña múltiples sobre un dominio de Active Directoy. No
ha sido, en efecto, posible realizar esta operación hasta Windows Server 2008.
Desde Windows Server 2008, existe una nueva clase de objetos llamada msDS-
PasswordSettings. Hace posible la multiplicación de las directivas de contraseña en el
seno de un mismo dominio. Sobre un dominio de Active Directory existente, anterior a
Windows Server 2008, habrá que actualizar el nivel funcional del dominio al menos a
Windows Server 2008 (todos sus controladores de dominio deberán, por tanto, ejecutar
como mínimo Windows Server 2008).
Por defecto, sólo los miembros del grupo Administradores de dominio tienen la
posibilidad de definir directivas de contraseña múltiples.
Desde Windows Server 2008, es posible detener e iniciar el directorio Active Directory
desde cualquier controlador de dominio, pues se considera como un servicio de Windows.
La principal ventaja ligada al funcionamiento de Active Directory como servicio es que los
demás servicios instalados sobre el controlador de dominio ya no estarán inaccesibles
cuando se quiera realizar alguna operación de mantenimiento.
Cuando el estado del servicio se define como Detenido, los demás equipos ven al
controlador de dominio como un servidor miembro del dominio sobre el que las directivas
de grupo pueden aplicarse. El controlador de dominio se comporta igual que si estuviera en
modo Restauración de servicio de directorio. Su archivo ntds.dit está libre y si no existe
ningún controlador de dominio disponible para autentificar su apertura de sesión, tendrá
que utilizar la contraseña de la cuenta de administrador de restauración de servicios de
directorio cuando promocione el servidor como controlador de dominio.
Es importante tener en cuenta que si bien el servicio NTDS puede detenerse, hay que tener
en cuenta unas precauciones mínimas:
• El servicio NTDS no debe detenerse durante mucho tiempo. Por ejemplo, detener el
servicio sobre un controlador de dominio diciendo que el directorio se restablecerá
en caso de que falle algún controlador de dominio. En efecto, según la duración de
la parada del servicio NTDS, los registros podrían considerarse como demasiado
viejos y no se replicarán.
• La parada del servicio NTDS no basta para realizar una restauración del Active
Directory. Es preciso utilizar el modo de Restauración de Servicios de Directorio
(Directory Services Restore Mode) DSRM para realizar una restauración
(autoritaria o no).
• No es posible abrir una sesión con la cuenta Administrador DSRM (que se
corresponde, en realidad, con la cuenta de Administrador local del controlador de
dominio) cuando se detiene el servicio NTDS y no existen más controladores de
dominio disponibles durante el intento de autentificación de cuenta. Es posible
modificar este comportamiento editando la clave
HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior
en su controlador de dominio.
Clave DSRMAdminLogonBehavior
Valor 0 No permite abrir una sesión con la cuenta de administrador DSRM.
(por Para abrir una sesión con esta cuenta, será preciso que otro
defecto) controlador dominio esté disponible en el momento de realizar la
autentificación.
Valor 1 La cuenta de Administrador DSRM puede utilizarse cuando se
detiene el servicio AD DS.
Observe, también, que el reinicio en modo DSRM puede realizarse de varias formas:
Se trata del servicio Servidor de la función de DS (DsRoleSvc), que está configurado, por
defecto, en modo Manual Arrancará automáticamente siempre que se le solicite durante la
configuración de un nuevo controlador de dominio, se agregue un nuevo bosque, un
dominio o un controlador de dominio, se elimine el rol Active Directory en un servidor o
cuando se clone un controlador de dominio.
El capítulo Consolidar sus servidores está dedicado al hipervisor Hyper-V y sus novedades.
El controlador de dominio con el rol Emulador PDC debe utilizar Windows Server 2012
para poder implementar un controlador de dominio virtualizado (también llamado vDC).
El switch de la red virtual Hyper-V debe tener el mismo nombre en cada servidor Hyper-V.
Debe existir un servidor Windows Server 2012 R2 con el rol Hyper-V para albergar el
vDC. Si utilizara otro hipervisor, tendrá que ponerse en contacto con su proveedor para
verificar si este hipervisor tiene en cuenta el ID de generación de máquina virtual (también
llamado VM-Generation-ID). Este VM-Generation ID es un identificador único de 128 bits
que gestiona el hipervisor.
El controlador de dominio que quiere virtualizar debe disponer de los permisos suficientes
para ello (formando parte del grupo "Controladores de dominio clonables").
Observe que ciertos roles no pueden estar presentes en un servidor clonado, como por
ejemplo el servicio DHCP, AD CS y AD LDS.
Para crear un clon del controlador de dominio, debe realizar las siguientes etapas:
Existe un bug en Windows Server 2012 y 2012 R2 que le obligará a renombrar el grupo
"Controladores de dominio clonables" a "Clonable Domain Controllers", cambio sin el cual
el comando PowerShell que se ejecuta más adelante (New-ADDCCloneConfigFile) fallará.
Por ejemplo:
Copie este archivo en la carpeta donde se encuentra la base de datos de Active Directory
sobre el controlador de dominio de origen (por defecto %windir%\NTDS).
Cree una nueva máquina virtual importando la que acaba de exportar. Se configurará
automáticamente como controlador de dominio completo y se integrará perfectamente en su
infraestructura (a título informativo, sepa que en este momento se ejecuta el comando
sysprep sobre el nuevo controlador de dominio y lo instala como lo haría tras una
instalación a partir de un medio extraíble).
Preste atención: realizar un snapshot del vDC no remplaza a la copia de seguridad regular
del Active Directory.
He aquí una lista de los comandos PowerShell utilizados para realizar la gestión de
snapshots: Checkpoint-VM, Export-VMSnapshot, Get-VMSnapshot, Remove-
VMSnapshot, Rename-VMSnapshot y Restore-VMSnapshot.
Dejando a un lado los snapshots (o instantáneas) de los vDC; es posible, desde Windows
Server 2008, crear instantáneas de un Active Directory. La tecnología se basa en la API
VSS (Volume Shadow Copy o instantánea de volumen). Para ayudarle con las búsquedas
en inglés en Internet, sepa que esta funcionalidad también se denomina Database Mounting
Tool.
La principal ventaja es que es posible realizar una copia de seguridad de este tipo
incluso sobre archivos bloqueados. No es necesario, por tanto, detener el servicio de Active
Directory (para liberar los archivos asociados) para poder salvaguardar el archivo ntds.dit,
por ejemplo.
Por defecto, sólo los usuarios miembro del grupo Administradores de dominio y
Administradores de empresas están autorizados a acceder a las instantáneas creadas.
Para sacar el máximo provecho a las instantáneas para Active Directory, existen tres
herramientas indispensables:
• El comando ntdsutil para crear, eliminar, enumerar, montar, desmontar una copia de
seguridad (llamada, en esta ocasión, instantánea).
• El comando dsamain que se utiliza para mostrar las diferencias entre dos
instantáneas, por ejemplo.
• La herramienta ldp.exe para visualizar los datos de una instantánea de forma
gráfica.
El usuario solamente podrá acceder a aquellos datos salvaguardados sobre los que disponga
de permisos. Los permisos sobre los objetos de la copia de seguridad no pueden
modificarse, puesto que son de sólo lectura.
Para crear una instantánea del directorio Active Directory, utilice el comando ntdsutil.
Sepa, no obstante, que existen otros muchos programas comerciales que se basan en la
tecnología de instantáneas.
Una vez terminada la instantánea, puede seleccionar la opción de mostrar todas las
instantáneas creadas. Si ya se encuentra en el nivel instantánea, escriba únicamente List All
(en caso contrario el comando completo es ntdsutil snapshot "activate instance ntds" "List
All").
Tendrá, a continuación, que montar la instantánea que desee para poder leer los datos
salvaguardados:
Una vez montada la instantánea, escriba quit dos veces seguidas para volver a una línea de
comandos clásica.
Creación de una instantánea del directorio Active Directory y montaje de una de sus copias
de seguridad.
A continuación es preciso asociar esta copia de seguridad con un servidor LDAP virtual
mediante el comando dsamain.
Abra una ventana de comandos con una cuenta de usuario miembro del grupo
Administradores de dominio o Administradores de empresas y escriba el siguiente
comando:
Si el dominio desde el que había creado la instantánea no existe, tendrá que agregar el
argumento /allowNonAdminAccess.
Su servidor LDAP virtual está, ahora accesible mientras tenga la ventana de comandos
abierta.
Conéctese a través de un cliente capaz de acceder a los datos de este servidor LDAP. En
este ejemplo, utilizará la herramienta ldp.exe, disponible, por defecto, en Windows.
Haga clic, a continuación, en Ver - Árbol, y defina el nombre único de la base de datos
correspondiente con su nombre de dominio; en el ejemplo DC=miempresa, DC=priv.
Una vez haya finalizado, no olvide cerrar la herramienta dsamain ([Ctrl] C dos veces) y
desmontar el directorio mediante el comando ntdsutil snapshot "activate instance ntds"
"unmount x" donde x es el número de instantánea.
Observe que la herramienta DSCT (Directory Service Comparison Tool) será muy útil si
utiliza instantáneas. Le permite, entre otros, comparar un snapshot con la base de datos de
Active Directory actual y visualizar todas las diferencias entre ambos estados (elementos
agregados, eliminados, etc.). No se trata de una herramienta oficial de Microsoft. Está
disponible en la siguiente dirección: http://blog.frli.se/p/dsct.html
También es posible informar una cuenta de dominio para ejecutar este servicio, aunque esta
cuenta de dominio debe, generalmente, tener una contraseña que jamás expire. Además, la
seguridad de esta cuenta deja mucho que desear, puesto que la contraseña se encuentra en la
caché LSA, que resulta fácilmente accesible.
Se han creado dos nuevas cuentas de servicio con la salida de Windows Server 2008 R2 (y
Windows 7). Se trata de las "cuentas de servicio administradas autónomas" (también
llamadas Standalone Managed Service Accounts o sMSA) y las cuentas virtuales (virtual
accounts). Un tercer tipo de objeto ha aparecido con Windows Server 2012, las cuentas de
servicio administradas de grupo (Group Managed Service Accounts, o incluso gMSA).
Gracias a estos nuevos tipos de cuenta, puede extender la gestión de las contraseñas puesto
que estos últimos objetos se renovarán automáticamente. Ya no es preciso tener que definir
una cuenta de servicio con una contraseña que no expire jamás, puesto que el sistema la
renovará automáticamente, de forma transparente, sin interrupción en el servicio.
• Las sMSA son dos tipos de cuenta de dominio que se utilizan para ejecutar
servicios. Se utilizan para que su contraseña se cambie automáticamente, de cara a
simplificar la gestión de los SPN (Service Principal Name). Recuerde que el SPN es
necesario para la autenticación Kerberos.
El inconveniente de los sMSA y de las cuentas virtuales es que no son capaces de compartir
su cuenta en varios equipos. Observe que son compatibles únicamente con clientes
Windows 7/8/8.1/2008 R2/2012/2012 R2.
Principio general
La contraseña auto-generada utiliza un cifrado seguro que permite generar una contraseña
de 240 caracteres aleatorios (120 para una gMSA).
En términos de limitación del uso de esta cuenta, sepa que no puede utilizarse en todos los
servicios de Windows (es posible que obtenga el error 1297 durante el arranque del
servicio, por ejemplo).
Una cuenta sMSA puede utilizarse, únicamente, sobre un equipo cada vez (aunque puede
ejecutar varios servicios sobre este mismo equipo). No será, por tanto, posible utilizar una
MSA para clústeres o servicios de equilibrio de carga de red. En estos casos será preciso
utilizar una cuenta gMSA tal y como se ha visto anteriormente.
El Service Pack 1 de Windows Server 2008 R2 permite, a su vez, definir una MSA
asociada a un servicio instalado sobre un servidor miembro del dominio y que se encuentra
sobre una red delimitada (DMZ, extranet, etc.). Antes del SP1, esta operación fallaba si el
único controlador de dominio presente en la misma red que el servidor que ejecutaba la
MSA era un RODC (controlador de dominio de solo lectura). En lo sucesivo, las MSA
funcionan, pues los RODC están preparados para redirigir la consulta de la MSA hacia un
controlador de dominio de escritura.
Requisitos previos
Los requisitos previos que permiten utilizar las MSA son los siguientes:
Instalación y configuración
Tras la extensión del esquema a 2008, se crea una nueva clase de objetos. Se trata de la
clase llamada msDS-ManagedServiceAccount. Si quiere delegar la creación de esta
cuenta, tendrá que verificar, previamente, que el usuario que crea la cuenta MSA posee los
permisos Create/Delete msDS-ManagedServiceAccount.
Tras la extensión del esquema en 2012, se crea otra clase de objetos. Se trata de la clase
msDS-GroupManagedServiceAccount.
Viendo los requisitos previos para instalar PowerShell, habrá comprendido que los pasos se
desarrollarán, a continuación, por línea de comandos en lugar de mediante interfaz gráfica.
Veremos, por tanto, las etapas detalladas que permiten crear una cuenta MSA y utilizarla
para ejecutar una tarea programada. Esta tarea programada es un script que debe ejecutarse
sobre todos los controladores de dominio que utilicen una cuenta con los permisos de
Administrador. Antes, era obligatorio definir una cuenta con permisos muy amplios y cuya
contraseña no cambiara jamás. Ahora, es posible utilizar una gMSA para ello. Las etapas
principales son:
Para crear, en primer lugar, una cuenta gMSA, conéctese a su controlador de dominio
Windows Server 2012/2012 R2 y cree sus claves de distribución raíz para estar seguro de
poder crear una cuenta gMSA. En efecto, a diferencia de las sMSA, las gMSA las gestiona
y mantiene el KDS (Key Distribution Service) desde un controlador de dominio Windows
Server 2012/2012 R2.
Add-KdsRootKey -EffectiveImmediately
Sólo podrá finalizar el resto del procedimiento tras esperar 10 horas, de cara a dejar tiempo
a la clave generada para que se replique sobre todos los controladores de dominio
(evitando, de este modo, que falle la autenticación en caso de que ésta no se replique).
Cree, ahora, la cuenta gMSA desde la consola PowerShell. Tendrá que indicar, al menos,
un nombre (SamAccountName) y un nombre de DNS. Opcionalmente, aunque muy útil, el
parámetro PrincipalsAllowedToRetrieveManagedPassword que le permite especificar el
grupo autorizado a utilizar la cuenta gMSA. Es posible utilizar el SPN, eventualmente.
Por ejemplo:
Para evitar cualquier error a la hora de introducir los comandos en PowerShell, puede
utilizar la opción de auto-completar presionando la tecla [Tab] tras escribir las primeras
letras del comando. Sepa, también, que una vez creada la cuenta MSA, será visible desde la
consola Usuarios y equipos de Active Directory o desde el Centro de administración de
Active Directory a nivel del contenedor Managed Service Accounts.
Una vez creada la cuenta MSA, la buena práctica consiste en instalar y probar la cuenta
gMSA. Desde un comando PowerShell sobre el servidor que utilizará la cuenta gMSA:
Si desea delegar esta etapa sin tener que otorgar permisos de administrador de dominio a su
usuario, puede delegar los permisos sobre la MSA específica mediante el siguiente script,
que debe ejecutarse desde una ventana de línea de comandos:
La cuenta MSA puede, ahora, asociarse al servicio soportado mediante la interfaz gráfica
abriendo la consola services.msc y, a continuación, especificando el nombre de usuario en
la pestaña Iniciar sesión - Esta cuenta. La cuenta que debe indicar debe tener el siguiente
formato: Dominio\NombreDeMSA$ (no olvide el dólar) sin informar ninguna contraseña.
Windows será capaz de asignar el permiso "Abrir una sesión como servicio" a la cuenta, si
no dispone de él.
También es posible asociar esta cuenta MSA mediante un script PowerShell del siguiente
tipo:
$MSA="dominio\NombreDeMSA$"
$ServiceName="’Nombre_Del_Servicio’"
$Password=$null
$Service=Get-Wmiobject win32_service -filter "name=$ServiceName"
$InParams = $Service.psbase.getMethodParameters("Change")
$InParams["StartName"] = $MSA
$InParams["StartPassword"] = $Password
$Service.invokeMethod("Change",$InParams,$null)
Modifique y guarde a continuación este archivo con ayuda de un editor de texto en un
archivo con extensión ps1.
Para ejecutar un script en PowerShell, habrá que disminuir la política de seguridad por
defecto mediante el comando Set-ExecutionPolicy, ejecutar el script y, a continuación,
redefinir la política de seguridad por defecto.
Set-ExecutionPolicy remotesigned
Script.ps1
Set-ExecutionPolicy restricted
En nuestro caso, queremos definir una tarea programada que utilizará una cuenta gMSA
para ejecutarse, proceda de la siguiente manera:
Como la interfaz gráfica no permite definir una cuenta gMSA desde la interfaz gráfica del
programador de tareas, va a ser preciso utilizar PowerShell:
Principal: indica la cuenta utilizada. Aquí, cabe destacar que hay que especificar bien la
contraseña "Password" en el argumento -LogonType. Se trata de la palabra clave que el
sistema reconocerá para ir a buscar la contraseña actual de la gMSA.
De este modo, para crear la tarea programada basándose en estas variables, es preciso
ejecutar el comando:
No olvide, tampoco, asignar el permiso a la cuenta gMSA para iniciar sesión como
proceso por lotes sobre los servidores (a través de la consola Administración de directivas
de grupo a nivel de Configuración del equipo - Directivas - Configuración de Windows
- Directiva de seguridad - Directiva local - Asignación de derechos de usuario).
Para eliminar una cuenta MSA, tendrá que utilizar el siguiente comando PowerShell:
Acaba de configurar su cuenta MSA para el equipo que lo necesita. De este modo, no
tendrá que preocuparse de la gestión de la contraseña de este servidor.
Windows Server 2008 R2 introduce una funcionalidad que hará feliz a más un
administrador. ¡Se trata de una papelera de reciclaje para objetos Active Directory!
Observe que desde Windows Server 2003 es posible utilizar la reanimación de objetos
eliminados (durante 180 días, por defecto). El inconveniente principal de esta solución es
que no restaura algunos atributos a un valor vinculado sino no vinculado.
En concreto, esto significa que la restauración de una cuenta de usuario siguiendo este
método no restaura su pertenencia a los grupos de seguridad y es preciso, por tanto, conocer
esta información para agregarla a continuación.
Antes de entrar en detalle a ver cómo puede implementarse, veamos, en primer lugar, su
principio de funcionamiento.
Principio general
isDeleted
Este atributo existe desde Windows 2000 Server. Está presente sobre todos los objetos del
directorio. Indica si un objeto se ha eliminado pero puede ser restaurado.
isRecycled
Este atributo existe desde Windows Server 2008 R2. Está presente en todos los objetos
eliminados una vez se activa la función de papelera de reciclaje de Active Directory. Indica
que un objeto puede restaurarse utilizando la función de la papelera de reciclaje de Active
Directory.
msDS-DeletedObjectLifetime
Este atributo existe desde Windows Server 2008 R2. Su valor determina el tiempo (en días)
durante el que podrá restaurarse un objeto eliminado. Por defecto, su valor es igual al valor
del atributo TombstoneLifetime.
TombstoneLifetime
Este atributo existe desde Windows 2000 Server. Desde Windows Server 2003 SP1, su
valor por defecto es de 180 días. Este número de días sirve para propagar la información
sobre un objeto eliminado a todos los controladores de dominio.
Veamos, por tanto, qué ocurre cuando se elimina un objeto (una cuenta de usuario, por
ejemplo) de Active Directory:
Llegado este momento, el objeto no puede restaurarse por completo (ni a través de la
papelera de reciclaje de Active Directory, ni mediante una restauración completa) y pierde
ciertos atributos cuyo valor estaba vinculado, a un estado no vinculado. El objeto queda,
entonces, en este estado durante el tiempo definido por el valor del atributo
TombstoneLifetime, de nuevo 180 días. El principal interés de este estado es avisar a los
demás controladores de dominio que se ha eliminado un objeto.
• Una vez superado el número de días definido por el atributo TombstoneLifetime
(un total de 180 + 180 días, es decir, 360 días tras el borrado de la cuenta de
usuario), el objeto se elimina "realmente" de Active Directory.
Requisitos previos
Los requisitos previos necesarios para utilizar la papelera de reciclaje de Active Directory
no son despreciables. En efecto, es preciso que todos los controladores de dominio del
bosque ejecuten, al menos, Windows Server 2008 R2.
Activación y uso
Mediante PowerShell:
Abra una sesión sobre el controlador de dominio que alberga el rol de Maestro de nombres
de dominio. Ejecute la consola PowerShell con una cuenta miembro del grupo de
Administradores de empresas.
Si EnabledScopes posee algún valor, esto significa que la papelera de reciclaje de Active
Directory está activa. Si estuviera vacío { }, significa que la papelera de reciclaje de Active
Directory no se encuentra activa.
Ahora que la papelera de reciclaje de Active Directory está activa, veamos cómo utilizarla
reproduciendo distintos escenarios posibles en producción.
Utilice PowerShell para visualizar los objetos eliminados que podrían restaurarse.
Esto puede resultar interesante a título informativo, pero se revela, rápidamente, demasiado
extenso para un entorno de producción en el que tenga varias decenas de objetos
potencialmente restaurables.
Observe que un objeto solo puede restaurarse si se ha eliminado tras activar la papelera de
reciclaje de Active Directory. Si un objeto se hubiera eliminado antes, no podría restaurarse
con la papelera de Active Directory. Tendría, en tal caso, que restaurarlo utilizando una
restauración estándar (mediante la herramienta ntdsutil.exe) partiendo de la última copia de
seguridad que contenga el objeto a restaurar.
Tomemos, ahora, como ejemplo el borrado de una unidad organizativa, así como todos los
objetos contenidos en ella (¡lo cual no habría ocurrido si hubiera estado activa la opción de
protección contra la eliminación accidental estuviera activa sobre esta OU! Le invitamos
no obstante, de manera excepcional, a desmarcar esta opción en las propiedades de la OU
para realizar esta prueba). Podrá restaurar todos los objetos muy fácilmente. Sepa que, para
poder restaurar el contenido, el contenedor debe estar disponible. Dicho de otro modo, si ha
eliminado una OU y sus sub-OUs y quiere restaurar una cuenta concreta de una de las sub-
OUs, tendrá que restaurar previamente la OU madre e hija. A menos, claro está, que escoja
la opción de especificar un contenedor de restauración distinto al que estuviera definido
inicialmente (mediante la opción Restaurar en...).
Veamos ahora cómo realizar esta operación mediante el Centro de administración de Active
Directory:
La columna Principal último conocido será muy útil para poder clasificar y restaurar los
objetos de una misma OU, por ejemplo.
Todos los objetos presentes en esta OU (usuarios, equipos, grupos, etc.) se restauran sin
problema alguno.
Tenga, no obstante, en mente que esta funcionalidad no debe eximirle de realizar copias de
seguridad periódicas de sus controladores de dominio y habilitar la protección contra la
eliminación accidental de sus objetos de Active Directory (al menos sobre sus OU).
¡Nunca se es demasiado prudente!.
j. Otras especificaciones desde Windows Server 2008 R2
He aquí una lista, no exhaustiva, de las principales mejoras que han tenido lugar desde
Windows Server 2008 R2:
Este servicio está disponible desde Windows Server 2008 R2 y se instala por
defecto tras la promoción de un servidor como controlador de dominio.
Observe que existe un servicio equivalente para las versiones anteriores de Windows
Server, a partir de Windows Server 2003 SP2. Para ello, es necesario descargar e instalar el
servicio Active Directory Management Gateway Service (ADMGS), con el que podrá,
también, consultar a sus controladores de dominio utilizando comandos Power-Shell.
Ambos servicios son equivalentes a diferencia de que ADMGS no podrá utilizar una
instancia de instantánea de Active Directory.
Tras la instalación del rol Active Directory, Windows Server 2012/2012 R2 instala,
también, la herramienta Best Practice Analyzer Tool. Esta herramienta permite
comprobar todo un conjunto de buenas prácticas a seguir y poner de manifiesto los
errores de configuración de los controladores de dominio de su infraestructura, tanto
para los controladores de dominio con Windows Server 2012 R2 como para los
demás (2000/2003/2008/2008 R2/2012).
Import-Module ServerManager
Import-Module BestPractices
Get-BpaModel
Este comando permite ejecutar la herramienta de buenas prácticas sobre el rol definido por
su ID.
Tenga en cuenta que esta herramienta también está disponible para los roles Active
Directory Certificate Services (AD CS), DNS, Terminal Server y algunos otros que es
posible visualizar mediante el cmdlet get-BPAModel.
Microsoft provee mejoras muy útiles relativas a la gestión de las directivas de grupo desde
Windows Server 2012. Se ponen a disposición del administrador varias opciones
suplementarias, con esta nueva versión de Windows, cuyo objetivo es mejorar el buen
trabajo que ya se había hecho con Windows Server 2008.
Antes, esta detección se realizaba gracias al protocolo ICMP, con todas las limitaciones que
ello conllevaba. Por este motivo, Microsoft ha desarrollado el servicio de reconocimiento
de ubicación de red (también llamado NLA por Network Location Awareness) para
Windows Vista y Windows Server 2008. Gracias al servicio NLA, el refresco como tarea
de fondo de su directiva de grupo será mucho más fiable, puesto que ya no se basa en el
protocolo ICMP sino en RPC, conocido por su fiabilidad. Si su equipo intenta refrescar las
directivas de grupo (por defecto, esto se produce cada 90 minutos), mientras el controlador
de dominio no está accesible en ese preciso instante (si el usuario no está conectado a la
red, por ejemplo), el refresco no se realizará en el próximo ciclo (90 minutos más tarde)
sino cuando el controlador de dominio vuelva a estar disponible. El servicio NLA permite,
en efecto, detectar muy rápidamente la disponibilidad del controlador de dominio en este
caso concreto.
Observe, también, que para los accesos mediante DirectAccess, se define un enlace por
defecto si la velocidad de la conexión no se considera lo suficientemente rápida. De este
modo, el inicio de sesión se ve mejorado, puesto que cuando se detecta un enlace lento, la
aplicación de las GPO funciona de manera asíncrona. Esta configuración también es válida
para conexiones 3G.
Tenga en mente, también, que la opción Fast Startup de Windows 8 (opción que permite
detener parcialmente el sistema operativo, haciéndole ganar tiempo de cara a la parada y el
arranque del equipo) tiene consecuencias en los scripts de inicio y cierre de sesión, que no
se ejecutarán. Será preciso habilitar la opción Fast Startup si desea seguir aprovechando
este tipo de configuración de GPO.
2. Almacenamiento en caché de las directivas de grupo
La ventaja de esta funcionalidad es que acelera el proceso de inicio de sesión, pues el motor
de directivas de grupo de Windows carga la información de las directivas desde una caché
local, en lugar de descargarlas desde un controlador de dominio.
Esta opción será particularmente útil para aquellos equipos conectados a redes con poco
ancho de banda, o desde Internet mediante una conexión DirectAccess, por ejemplo.
3. El formato ADMX
Con Windows Vista y Windows Server 2008 ha aparecido un nuevo formato de archivo, se
trata de los archivos ADMX. Estos archivos se utilizan para mostrar las distintas opciones
de las directivas de grupo.
Microsoft provee, por defecto, 146 archivos ADMX y otros tantos archivos ADML
correspondientes al idioma del sistema operativo. Si había creado sus propios archivos de
plantilla de directiva, con formato ADM, puede convertirlos al formato ADMX gracias a la
herramienta ADMX Migrator que provee Microsoft en la siguiente
dirección: http://www.microsoft.com/downloads/details.aspx?FamilyId=0F1EEC3D-10C4-
4B5F-9625-97C2F731090C. Esta herramienta le permite, también, crear sus propios
archivos ADMX.
Observe que si el nivel funcional del dominio es, al menos, Windows Server 2008, será
posible modificar la replicación de la carpeta SYSVOL para que utilice DFSR en lugar de
FRS. Encontrará más información acerca de los inconvenientes y, sobre todo, las ventajas
de la replicación mediante DFSR en la siguiente dirección: http://technet.microsoft.com/en-
us/library/cc794837(WS.10).aspx
4. Registro de eventos
En las versiones anteriores a Windows 2008, los registros de eventos relativos a las
directivas de grupo no eran sencillos de interpretar, puesto que el formato era poco
comprensible para un administrador no iniciado.
En adelante, es posible mostrar los eventos relativos a las directivas de grupo directamente
desde el registro de eventos en un puesto con Windows Vista o Windows Server 2008 (o
versiones posteriores).
Windows Server 2012 R2 integra, a este respecto, eventos todavía más precisos, acerca de
la duración de la descarga y la aplicación de una directiva, lo que le resultará muy útil para
analizar la causa de una duración en la ejecución de las GPO anormalmente elevada.
Puede, de este modo, recuperar mucho más fácilmente una gran cantidad de información
relativa al funcionamiento de los distintos parámetros de las directivas de grupo aplicadas.
Con Windows Server 2008, se crearon nuevas categorías de directivas de grupo muy útiles,
tales como, por ejemplo, las Preferencias de directivas de grupo (GPP).
Las Preferencias de directivas de grupo ofrecen una alternativa a los scripts que se utilizan,
muy a menudo, para personalizar el entorno del usuario. Es, en efecto, posible utilizar las
directivas de grupo para configurar los lectores de red, los recursos compartidos, los
usuarios y grupos locales, las opciones de alimentación, las impresoras que se quieren
instalar, las tareas programadas, etc.
Es posible, para cada parámetro definido, agregar condiciones de aplicación del parámetro
en cuestión. Puede, de este modo, decidir que se apliquen los lectores de red apuntando a
un servidor en particular únicamente para aquellos usuarios con una dirección IP
comprendida en un rango de direcciones que haya definido previamente. Desde Windows
Server 2012 R2, este rango de direcciones puede definirse en formato IPv6.
Obtendrá más información acerca de las opciones de configuración en la siguiente
dirección: http://technet.microsoft.com/es-es/library/cc733022.aspx
Desde Windows 2008 R2, los parámetros de la directiva de firewall e IPsec se han
consolidado en una única consola MMC, accesible, también, desde cualquier directiva de
grupo. Es, por lo tanto, posible definir reglas de tráfico entrante, tráfico saliente, y de
seguridad de conexión (utilizando el protocolo IPsec) para los clientes con Windows Vista
y Windows Server 2008 o versiones posteriores. Estos parámetros están disponibles en
Configuración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad - Firewall de Windows con seguridad avanzada.
Los parámetros de las directivas para IPsec y el firewall de las anteriores versiones de
Windows están, todavía, disponibles en la antigua ruta Configuración del equipo -
Directivas - Plantillas administrativas - Red - Conexiones de red - Firewall de
Windows.
Si el equipo desde el que desea editar las directivas de grupo no posee la consola GPMC,
puede instalar dicha característica desde el Administrador del servidor - Agregar roles y
características, haciendo clic en Siguiente hasta llegar a la etapa Características y
marcando la opción Administración de las directivas de grupo.
• Crear, modificar, eliminar o vincular sus directivas de grupo con los contenedores
de los sitios, dominios o unidades organizativas del bosque que usted elija.
• Forzar la actualización de las directivas a nivel de toda una OU (creando una tarea
programada en cada equipo). Es, también, posible realizar esta tarea mediante el
cmdlet Invoke-GPUpdate.
• Configurar el filtrado de la aplicación de una directiva (mediante el filtro WMI o
mediante la seguridad de la directiva).
• Gestionar la delegación.
• Definir los resultados de la directiva de grupo para simular la aplicación de una
directiva antes de su puesta en producción.
• Realizar copias de seguridad y restauraciones de las directivas de grupo.
• etc.
Entre estas numerosas funcionalidades, no cabe olvidar dos opciones que han aparecido con
Windows Server 2008. Se trata de la posibilidad de realizar búsquedas y definir plantillas
de directivas.
Puede, de este modo, encontrar los parámetros de directiva que respondan a sus
necesidades, sin tener que navegar entre los miles de parámetros posibles.
Las opciones de filtrado se dividen en tres categorías que le permiten afinar su búsqueda.
Puede, de este modo, seleccionar ver solamente los parámetros de la directiva que están
configurados. También es posible realizar un filtrado por palabras clave. Por último, puede
seleccionar ver los parámetros definiendo filtros de condiciones para mostrar, en unos
pocos segundos, los parámetros aplicables a la familia Windows Vista, por ejemplo.
El siguiente ejemplo define un filtro que muestra todos los parámetros que contienen la
palabra clave activeX en el título del parámetro de la directiva, en el texto de la explicación
o en el comentario (la pestaña comentario le permite, en efecto, agregar el texto que desee
en la creación de una directiva de grupo o en la activación de algún parámetro). Haga clic, a
continuación, en Aceptar para aplicar el filtro.
Una vez validado el filtro, la arborescencia del editor de directivas se actualiza
automáticamente para mostrar únicamente aquellos parámetros que se corresponden con el
filtro definido. Estos parámetros se agrupan, también, en el nodo Todos los valores.
Para deshabilitar el filtro y volver a una representación completa, haga clic con el botón
derecho del ratón sobre una de las carpetas de Plantillas administrativas: definiciones de
directivas y desmarque la opción Filtro activado (el icono Plantillas administrativas
retomará su apariencia habitual).
Para ello, haga clic en Objetos de directiva de grupo y, a continuación, haga clic
en el nombre de una de sus directivas.
Se muestra una nueva pestaña, Estado. Puede hacer clic en Detectar ahora en la
zona inferior derecha para iniciar una verificación del estado de esta GPO en el seno
de todos los controladores de dominio del dominio.
Si es un poco observador, se habrá dado cuenta, sin duda, editando sus directivas de grupo
mediante la consola GPMC desde un puesto de trabajo equipado con Windows Server 2008
o Windows Vista SP1 (o versiones superiores) que ha aparecido un nuevo parámetro. Se
trata del contenedor Objetos GPO Starter.
Esta opción consiste en crear plantillas de directivas de grupo que se refieren a parámetros
disponibles en el nodo Plantillas administrativas únicamente (del lado Usuarios y
Equipos). De este modo, es muy fácil crear varios objetos de directiva de grupo que se
basarán en un conjunto de parámetros comunes, que deben definirse en sus directivas de
grupo.
De este modo, tras la creación de una nueva GPO, puede seleccionar un objeto GPO Starter
Sourcer que haga referencia a un objeto GPO Starter existente.
Microsoft ofrece, por defecto, una lista de GPO Starter relativa a los parámetros
recomendados en su guía de securización de los distintos sistemas operativos. Provee, a su
vez, desde Windows Server 2012, dos GPO Starter que permiten crear reglas de firewall
adecuadas en los equipos cliente para permitir solicitar de manera remota un resultado o
una actualización de directiva de grupo.
Si edita un objeto GPO Starter desde un puesto con Windows Server 2008 R2 o Windows 7
(o versiones superiores) con las herramientas de administración RSAT instaladas obtendrá,
directamente, los parámetros de la directiva de grupo recomendados para los escenarios
descritos en las guías de seguridad de Windows Vista y XP.
Si desea más información, en Windows 2008, puede obtener estos elementos después de
descargarlos en la siguiente dirección:
http://www.microsoft.com/Downloads/details.aspx?familyid=AE3DDBA7-AF7A-4274-
9D34-1AD96576E823&displaylang=en
También es posible exportar estas plantillas de GPO en un archivo CABinet (.CAB) para
importarlas, a continuación, en un entorno totalmente diferente como, por ejemplo, su
entorno de preproducción.
Tras la primera activación de los objetos GPO Starter, se crea una carpeta llamada
StarterGPOs en la carpeta SYSVOL del controlador de dominio. Se crea una nueva
subcarpeta con un GUID asociado a cada nuevo objeto GPO Starter.
Para planificar una copia de seguridad del conjunto de sus directivas, no olvide marcar la
opción Hacer copia de seguridad de todo disponible en el contenedor Objetos de directiva
de grupo y, a continuación, Objetos GPO Starter.
Los demás componentes de Active
Directory
Existen otras cuatro funcionalidades principales nuevas, en lo que respecta a Active
Directory, disponibles en Windows Server 2012 R2.
El rol AD LDS disponible desde Windows Server 2008 R2 con este nombre es el
equivalente a ADAM (Active Directory Application Mode), que apareció con Windows
Server 2003 R2.
Se trata de una versión depurada del Active Directory Domain Services (AD DS, es
decir, el Active Directory "clásico" mencionado a lo largo de todo este capítulo) que
descansa sobre los mismos principios (a saber una replicación multipropósito, un
directorio dividido en particiones, etc.) pero que no almacena ningún componente de
seguridad de Windows (como las cuentas de usuario y ordenadores de dominio), las
directivas de grupo, etc.
El rol AD LDS permite, de este modo, distribuir la información necesaria a las aplicaciones
en un directorio centralizado antes que individualmente en cada aplicación. Las ventajas de
no tener que integrar las aplicaciones en AD DS son diversas.
Observe que es posible tener varias instancias de AD LDS en un mismo servidor, igual que
es posible tener el rol AD LDS instalado en un Windows Server 2008 R2/2012 y 2012 R2
con el rol AD DS. El único requisito previo es que los puertos donde escuchan las distintas
instancias sean diferentes.
Se crea en efecto una relación de aprobación entre la red asociada y la suya con el
objetivo de proyectar la identidad de los usuarios y sus privilegios de acceso desde su red
hacia los socios reconocidos. De este modo el usuario no tendrá que identificarse de nuevo
(principio de autenticación único también llamado SSO por Single Sign On).
Observe que, desde Windows Server 2012 R2, AD FS soporta el protocolo OAuth 2.0. Este
protocolo lo utilizan cada vez con mayor frecuencia los distintos fabricantes y proveedores
de servicios en Internet, pues permite publicar e interactuar con datos autenticando al
usuario de forma segura. Es, también, el caso de Windows Azure Authentication Library
(AAL), cuyo soporte se ha extendido a los directorios AD FS.
También es conveniente saber que esta solución está limitada únicamente al acceso a través
de aplicaciones Web (con HTTPS) aunque como estas últimas son cada vez más potentes,
las posibilidades abiertas son también enormes. Es el caso por ejemplo con la integración
de SharePoint Server 2007/2010/2013 o de AD RMS, que presentaremos más adelante.
• El rol AD DS o AD LDS debe estar instalado en, al menos, una de las redes
implicadas.
• Servidor de federación de cuentas/recursos.
• Servidor Web ADFS.
• Cliente.
a. Workplace Join
Workplace Join es una de las mejoras más destacadas de Windows Server 2012 R2.
BYOD (Bring Your Own Device) está al llegar. Consiste, para una empresa, en autorizar a
sus empleados a utilizar sus propios dispositivos personales (ordenadores, smartphones,
etc.) para conectarse a la red de la empresa.
Si bien esto representa un ahorro y una flexibilidad muy importantes para la empresa,
también puede conllevar inconvenientes en la medida en que la empresa no tiene control
sobre los equipos informáticos en cuestión.
Consciente del problema, Microsoft se ha implicado en la cuestión y propone, en adelante,
el uso de los Workplace Join (término que todavía no se ha traducido de manera oficial por
parte de Microsoft en el momento de escribir estas líneas).
De este modo, el equipo en cuestión, si bien es propiedad del empleado, podrá declararse y
administrarse en un directorio AD FS. De este modo, el certificado permitirá al terminal
conectarse a su directorio y autenticarse. Será, entonces, posible solicitar a AD FS que
gestione el acceso a los recursos a través de directivas globales de autenticación, y también
gestionar la autenticación y el control de acceso multipropósito. Observe que, en lo relativo
a smartphones, Microsoft soporta de momento los dispositivos que funcionan con Windows
(2012 R2 y 8.1) e iOS (Android no está soportado en el momento de escribir estas líneas,
aunque debería estarlo en breve).
• Una mejor experiencia de usuario puesto que podrá aprovechar el SSO (Single Sign
On) y, de este modo, no tener que volver a autenticarse con cada una de sus
aplicaciones desde su dispositivo personal.
• Una mejor seguridad, puesto que la contraseña no se almacenará en el dispositivo
local sino que circulará mediante un ticket de sesión que se pasará directamente a
las aplicaciones cuando se solicite realizar una autenticación (siempre que se haya
configurado de este modo para utilizar SSO).
• Un mejor manejo de los equipos que se conectan a recursos de la empresa puesto
que, como se ha explicado antes, cada equipo se registrará en AD FS y recuperará
un certificado que le permitirá identificarse de forma única en la red.
Workplace Join utiliza la funcionalidad Device Registration Service. Ligado al proxy web
de aplicación (Web Application Proxy), será posible utilizar Workplace Join con equipos
conectados desde Internet. Encontrará una presentación más completa del proxy web de
aplicación en el capítulo dedicado al Acceso remoto.
Por supuesto, esta funcionalidad no permite tener un control tan importante sobre los
puestos como si fueran miembros de un dominio de Active Directory, pero se trata de un
paso importante para controlar mejor los equipos en el marco de una iniciativa BYOD y
mejorar la experiencia del usuario reforzando la seguridad de acceso a sus aplicaciones.
Es, por otro lado, posible definir una política de bloqueo de las "cuentas utilizadas en la
extranet" y que no se conectan a través del proxy web de aplicación. De este modo, si el
número de intentos de autenticación erróneos supera un valor límite definido mediante el
comando de PowerShell Set-ADFSProperties - ExtranetLockoutThreshold, entonces el
valor BadPassword de AD ya no se incrementará a nivel de controlador de dominio (con el
rol Emulador PDC) del AD vinculado a este AD FS. Esto evitará un gran número de
ataques tales como la denegación de servicio, capaz de bloquear un gran número de cuentas
tras intentos de conexión intencionadamente erróneos desde el exterior de la red de la
empresa.
Por último, uno de los evolutivos más importantes de AD FS con la aparición de Windows
Server 2012 R2 es la autenticación y el control multifactor.
El acceso multifactor permite dar acceso a recursos si, y solamente si, se cumplen varias
condiciones por parte del usuario (y no únicamente la tradicional pertenencia a un grupo de
seguridad). Esto mejora, en parte, la gestión de pertenencia que se aborda en el capítulo
Securizar su arquitectura (a nivel del control de acceso dinámico). Para obtener más
información acerca del acceso multifactor: http://technet.microsoft.com/en-
us/library/dn280937.aspx#BKMK_2
Encontrará todos los elementos necesarios para implementar Workplace Join en las
siguientes direcciones: http://technet.microsoft.com/en-us/library/dn280938.aspx y
http://technet.microsoft.com/en-us/library/dn280939.aspx
AD RMS (Active Directory Rights Management Services) es un rol que permite limitar la
difusión y proteger archivos, correos electrónicos o sitios Web de su empresa.
AD RMS funciona con aplicaciones compatibles con RMS tales como Microsoft Office
Profesional 2003/2007/2010/2013, Internet Explorer 7.0 o superior, etc.
Así, cuando el archivo difundido se abra por primera vez en una aplicación compatible AD
RMS, éste último contacta con el servidor AD RMS que haya emitido la licencia de
publicación asociada al archivo para pedir autorización de acceso a su contenido.
Observe que el rol puede, en lo sucesivo, instalarse en modo Server Core y es totalmente
instalable y configurable mediante PowerShell.
Para completar este apartado, es importante mencionar el único rol que no hemos visto
todavía. Se trata del servicio de certificados de Active Directory (también conocido bajo el
nombre de Active Directory Certificate Server o AD CS).
Este rol le permitirá instalar una entidad emisora de certificados en su red de empresa para
poder emitir certificados de forma sencilla a sus usuarios y equipos. Estos últimos podrán a
su vez acceder a los sitios Web mediante el protocolo SSL sin tener que comprar
certificados (a menudo costosos) a una autoridad de certificación pública.
Observe también que, desde Windows Server 2008 R2, se han incluido las siguientes
funcionalidades:
y, también,
https://social.technet.microsoft.com/wiki/contents/articles/7734.certificate-
enrollment-web-services-in-active-directory-certificate-services.aspx.
• Mejora de la entidad emisora de certificados que deba entregar una gran cantidad de
certificados.
Esto es especialmente válido para clientes NAP basados en IPSec. En efecto, los
clientes deben solicitar varios certificados al día.
Conclusión
En este capítulo acaba de descubrir el conjunto de soluciones de gestión de la identidad y
de acceso que proporciona Windows Server 2012 R2. De este modo, podrá abordar de la
mejor forma posible las necesidades en términos de acceso a los recursos, tanto para
implementar una solución de tipo SSO (Single Sign On o "identificación única") como para
controlar la difusión de los archivos en su empresa.
Introducción
En este capítulo se aborda la arquitectura distribuida (DFS) y se presenta la instalación, la
configuración de nodos raíz, los enlaces, la replicación DFS-R y las herramientas.
Descripción de DFS
El acrónimo DFS significa Distributed File Systems.
Esto permite obtener una vista uniforme y permanente de los datos que ya no estarán
vinculados con los servidores físicos sobre los que se encuentran. Además del ahorro en
unidades de red, puesto que una única letra permite alcanzar todos los espacios
compartidos, las aplicaciones pueden configurarse, de una vez por todas, utilizando una
ruta única y definida, que no cambiará, incluso aunque los datos se desplacen entre dos
servidores, en particular en el caso de que evolucione la volumetría necesaria.
Otra posibilidad, muy interesante, consiste en poder replicar los datos de una misma carpeta
sobre varios enlaces de red, es decir, sobre varios espacios compartidos. Esta tolerancia a
fallos aporta una funcionalidad muy próxima a la de un clúster de archivos. Aunque es
preciso, no obstante, estudiar bien su modo de funcionamiento para evitar cualquier
sorpresa.
He aquí cómo organiza DFS los recursos que residen en distintos componentes de la red:
La arborescencia DFS constituye un punto único de referencia. Sea cual sea su ubicación,
los usuarios pueden acceder fácilmente a los recursos de la red. Sobre la red, las unidades
DFS se ven como unidades compartidas de red clásicas y se gestionan, por tanto, mediante
la función de redirección de archivos utilizando los clientes de red clásicos.
Un usuario que navegue en una carpeta compartida DFS no tiene por qué conocer el
nombre ni la localización del servidor sobre el que se encuentra un recurso concreto. El
acceso a los recursos de red se ve, así, simplificado. Tras haberse conectado a una raíz DFS,
puede recorrer la estructura y acceder a todos los recursos ubicados en esta raíz. Un recurso
compartido DFS utiliza una estructura de arborescencia que contiene una raíz y enlaces
DFS.
Para iniciar el uso de DFS, es necesario crear una raíz DFS. Desde Windows Server 2003,
es posible crear varias raíces. Cada raíz puede soportar varios enlaces, y cada una de ellas
puede apuntar a una carpeta compartida en red. Los enlaces DFS de la raíz DFS representan
carpetas compartidas que pueden estar físicamente ubicadas en distintos servidores de
archivos. Las ventajas ligadas a DFS son las siguientes.
Instalación
A diferencia de las versiones anteriores, los módulos DFS ya no están integrados ni se
inician automáticamente sobre los servidores Windows. La única excepción, aunque
importante, es la referida a los controladores de dominio que utilizan la replicación DFS
para las carpetas compartidas SYSVOL.
Los componentes DFS forman, ahora, parte del rol Servicios de archivos y
almacenamiento:
Como con Windows 2003, es posible crear varios espacios de nombres. Estos espacios se
publican en Active Directory (AD).
Install-WindowsFeature FS-DFS-namespace
2. El módulo de replicación
Install-WindowsFeature FS-DFS-Replication
3. La consola de administración
Install-WindowsFeature RSAT-DFS-Mgmt-con
Tras ejecutar la consola, bastará con preguntar a Active Directory para obtener la lista de
raíces DFS existentes.
La instalación gráfica permite agregar todos los componentes necesarios de una sola vez.
Esto se realiza a partir de la herramienta Administrador del servidor. En la visualización
por defecto del Panel se encuentra el botón Administrar, que da acceso a la opción
Agregar roles y características.
Las opciones marcadas y sombreadas indican roles y componentes que ya están presentes
en el servidor.
Basta, a continuación, con seleccionar entre los Servicios de rol los componentes
deseados. Seleccionamos, en primer lugar, el módulo Espacios de nombres DFS.
El hecho de marcar el componente Espacios de nombres DFS hace que se proponga,
automáticamente, instalar la característica de administración correspondiente. Haga clic en
el botón Agregar características para aceptar y agregar el componente sugerido.
Marque el servicio de rol Replicación DFS y haga clic, a continuación, en Siguiente para
pasar a la instalación de las características. En este ejemplo, ya está marcado debido a
nuestra selección anterior.
No hay características suplementarias que agregar. Haga clic en Siguiente.
Haga clic en Instalar. Evitaremos, generalmente, marcar la opción Reiniciar
automáticamente el servidor de destino en caso necesario.
Haga clic en Cerrar cuando le aparezca la opción.
Tras la instalación, los servicios arrancan automáticamente. Si hace clic sobre el icono
Notificaciones en la barra de tareas, obtendrá el estado de la tarea solicitada.
Configuración del servicio DFS
1. Los distintos tipos de raíces distribuidas
a. Las raíces autónomas
Las raíces autónomas permiten crear arborescencias que están vinculadas con un servidor
determinado. Estas raíces no están securizadas, es decir, la raíz DFS no estará accesible, ni
podrá utilizarse, si el servidor que la contiene no funciona correctamente. En cambio, los
accesos directos a los recursos compartidos seguirán funcionando.
Observe que las carpetas (enlaces a recursos compartidos) pueden, no obstante, replicarse y
sincronizarse mediante un grupo de replicación específico.
Por otro lado, si la raíz autónoma se configura sobre un clúster de archivos, la raíz DFS
aprovechará la misma tolerancia a fallos que la compartición de archivos. No obstante sólo
será posible realizar esta operación en un clúster Windows Server 2008 o 2012.
Haga clic con el botón derecho en Espacios de nombres para desplegar el menú
contextual. A continuación, haga clic en Nuevo espacio de nombres.
Haga clic en Editar configuración... para indicar los permisos que se quiere asignar sobre
la raíz RAÍZ AUTÓNOMA que se verá como un recurso compartido en el servidor
correspondiente.
Hay que prestar atención a los permisos que se asignan a este nivel, pues los elementos
creados en la raíz de este recurso compartido se encontrarán, efectivamente, en la carpeta
local indicada.
La elección del tipo de espacio es relevante, entre una raíz que será específica a este
servidor y una raíz llamada de nombres de dominio que podrá verse y utilizarse en todo el
bosque. La raíz autónoma sólo podrá verse en el servidor donde se aloja.
Seleccione el tipo de espacio de nombres que quiere crear, en este caso Espacio de
nombres independiente.
Esta pantalla resume las decisiones anteriores.
Las raíces de nombres de dominio se basan en la resolución DNS del dominio. La principal
ventaja de esta solución es la tolerancia a fallos, que puede asociarse a la raíz mediante el
uso de, al menos, dos servidores vinculados a nivel de la misma raíz.
Las raíces se inscriben en Active Directory, lo que permite a los administradores y a los
usuarios de todo el bosque acceder fácilmente a las unidades DFS.
El uso de una raíz de dominio supone que se quiere utilizar tolerancia a fallos y reparto de
carga sobre la raíz DFS. Esto se consigue agregando un servidor de espacios de nombres
suplementario.
Puede, también, seleccionar o indicar directamente el nombre del nuevo servidor a utilizar.
De hecho, puede haber más de dos servidores que contengan información sobre los DFS.
2. Creación de enlaces DFS y destinos DFS
Es posible asociar un enlace DFS con varios destinos y, por tanto, a varios recursos
compartidos diferentes. Será, por tanto, necesario configurar la replicación de estas carpetas
para obtener un contenido idéntico y sincronizado entre los distintos destinos.
He aquí el procedimiento que permite definir un destino sobre los recursos compartidos
CONTAB1 y CONTAB2 definidos sobre dos servidores distintos:
Haga clic en Agregar para agregar los destinos asociados a este enlace.
3. Replicación
Cada carpeta replicada puede tener sus propios parámetros, en particular filtros de
replicación que permiten limitar los tipos de archivo y las subcarpetas que deben incluirse
en la replicación.
Por defecto, los filtros de archivo excluyen los filtros temporales que comienzan por el
carácter ~ así como las extensiones .BAK y .TMP.
Las bases de datos, los archivos de vídeo y las imágenes de CD pueden, también, excluirse
de esta replicación.
Esta replicación se implementa de la misma manera sobre una raíz autónoma que sobre una
de dominio.
Seleccione el módulo Replicación y, a continuación, haga clic con el botón derecho para
desplegar el menú contextual. Seleccione la opción Nuevo grupo de replicación.
Esta opción permite, principalmente, definir una replicación ligada únicamente a dos
servidores, donde uno de ellos contendrá los datos principales.
Asigne un nombre al grupo de replicación.
Indique los servidores miembros.
Seleccione la tipología que mejor se adapte a sus necesidades. La topología en malla
completa está bien adaptada a las modificaciones autorizadas que provienen de todos los
servidores miembros.
Según las características de su red, será posible modular los horarios y la tasa de uso de la
red.
Más adelante podrá modificar fácilmente los parámetros de replicación.
Es preferible iniciar la replicación con carpetas vacías. En caso contrario, esta opción
permite definir el servidor que contiene los datos iniciales.
Esta opción permite indicar el nombre de la carpeta principal y crearla, si fuera necesario.
c. La topología de replicación
En cambio, la replicación local de los archivos (de tamaño razonable) puede resultar muy
rápida y, generalmente, instantánea.
Configuración avanzada
1. Los métodos de ordenación
Los métodos de ordenación son muy importantes y deben tomarse en consideración de cara
a optimizar el rendimiento y evitar futuros disgustos.
En efecto, cuando una misma carpeta está accesible en ubicaciones diferentes, situadas en
servidores distintos, ellos mismos alojados en sitios diferentes, la optimización lógica
consistiría en utilizar el recurso compartido situado sobre el servidor del sitio local. Incluso
en este caso, resulta vital utilizar de forma prioritaria un servidor determinado que sirva
como referencia. En otros casos, será conveniente forzar un servidor remoto que sirva como
referencia única para evitar modificaciones simultáneas sobre un documento.
La pestaña Referencias en las propiedades de las raíces DFS permite definir el valor por
defecto que se utiliza sobre todos los enlaces que pertenecen a esta raíz.
• Orden aleatorio
• Coste más bajo
• Excluir destinos fuera del sitio cliente
El Orden aleatorio consiste en proveer, de manera aleatoria, todos los servidores situados
en el sitio del cliente y, a continuación, y siempre de forma aleatoria, los demás servidores
presentes en los demás sitios sin tener en cuenta las diferencias de coste.
El Costo más bajo presentará, en primer lugar, aquellos servidores ubicados en el sitio del
cliente de manera aleatoria. A continuación, los servidores remotos se mostrarán según su
coste, del menos elevado al más elevado, aunque aquellos servidores que tengan un coste
idéntico se presentarán aleatoriamente.
El último modo, Excluir destinos fuera del sitio cliente mostrará, únicamente, aquellos
servidores ubicados en el sitio del cliente. Más adelante veremos las posibles excepciones a
esta regla.
En la pestaña Opciones avanzadas es, ahora, posible activar el modo ABE (Access Based
Enumeration) para ocultar aquellas carpetas sobre las que los usuarios no tienen permisos.
b. Configuración a nivel de los enlaces DFS
Sobre cada carpeta que represente un enlace hacia uno o varios destinos, es posible
configurar una exclusión de los sitios remotos, en particular si no se ha indicado
anteriormente. Es posible, también, activar la restauración automática de los clientes hacia
un destino preferente (si no se hubiera configurado en un nivel superior).
Es posible dar preferencia al uso de un destino definiéndolo como Primero de todos los
destinos o Primero de los destinos de igual costo.
Puede, por el contrario, definir el destino como Último de todos los destinos incluidos en la
selección, o Último de los destinos de igual costo.
Preste atención, estas reglas forzadas (Primero o Último) provocan la visualización
sistemática de los destinos correspondientes.
2. Delegación de la administración
Por defecto, sólo los administradores locales o de dominio pueden administrar los grupos
de replicación. Sobre una raíz de dominio, sólo el grupo administradores de empresas
hereda, automáticamente, permisos de administración. Sobre una raíz autónoma, el grupo
administradores local y la cuenta especial SYSTEM tienen permisos heredados.
Preste atención, los administradores que reciben una delegación siguen siendo propietarios
de los objetos, incluso aunque se los retire, a continuación, un administrador.
Por otro lado, cualquier administrador de una raíz DFS puede delegar la autorización de la
gestión.
Administración de DFS con PowerShell
Todos los comandos de administración DFSUTIL, DFSCMD, DFSRADMIN, DFSRDIAG,
DFSRMIG siguen existiendo. Aunque está previsto que desaparezcan en la próxima
versión, la administración de todos los componentes y servicios de Windows se están
estandarizando gracias al lenguaje PowerShell, que sirve de referencia.
La primera etapa consiste en importar el módulo que contiene todos los comandos DFS:
Import-module DFSN
Todos los recursos compartidos basados en nombres de servidores que se utilizan en los
comandos siguientes deben crearse previamente.
• Crear la carpeta
• Crear un recurso compartido
Resultado:
Crear una raíz de árbol de dominio nueva llamada RAIZ2-DOM2. Cada recurso
compartido utilizado debe existir previamente.
New-DfsnRoot -Path ’\\MiEmpresa.Priv\RAIZ2-DOM2’ -Targetpath
’\\SRVFIC01\RAIZ2’ -Type domainV2
Resultado:
El parámetro TYPE precisa que la raíz se gestionará en modo 2008. Los demás valores
posibles son Standalone, para una raíz autónoma, y DomainV1 para el modo 2003.
Resultado:
Resultado:
Resultado:
La opción -confirm con valor False permite evitar la pregunta, que puede resultar
bloqueante en la ejecución de un script.
Preste atención, la eliminación de todos los servidores que gestionan una raíz equivale a
suprimir la propia raíz. Por ello, las consolas de administración DFS que contengan esta
raíz obtendrán un error de acceso sobre esta raíz. Si se trata de una raíz que no va a volver a
utilizarse de forma permanente, basta, en tal caso, con eliminarla en la consola de
administración DFS.
Nunca hay que utilizar directamente las raíces DFS para almacenar datos en ellas.
Estas raíces se alojan, generalmente, en controladores de dominio que no tienen los
mecanismos de copia de seguridad bien adaptados, ni espacio para alojar información.
Eliminar un destino:
Ninguna de las instrucciones anteriores elimina los datos de los usuarios, que siguen
estando en los recursos compartidos de los respectivos servidores.
He aquí un comando que permite obtener detalles sobre cada uno de los comandos:
Export-DfsrClone
Import-DfsrClone
Get-DfsrCloneState
Reset-DfsrCloneState
El objetivo de este clonado es ahorrar tiempo en el análisis y la replicación de una
arborescencia importante copiando la base de DFSR y los datos correspondientes en el
sistema de destino.
La primera etapa consiste en exportar la base de DFSR del volumen a una carpeta local.
MD C:\ClonadoBaseDFSR
Get-DfsrCloneState
• Indicar que el servidor pertenece al grupo de datos DATA, así como la ruta de los
datos en este servidor:
• Set-DfsrMembership -GroupName "GrupoReplicacionDATA"
• -ComputerName "DC2012" -ContentPath E:\DATA -FolderName "DATA"
• -force
En efecto, del lado del usuario (y de los clientes Windows), los recursos compartidos DFS
y las raíces se ven como recursos compartidos clásicos. Es frecuente, en el script de
conexión, realizar una conexión con la raíz, a menudo remplazando todas las conexiones
anteriores.
Por otro lado, es importante tener en cuenta que las raíces DFS de dominio están
disponibles para todos los usuarios del bosque. No obstante, todos los permisos asociados a
los recursos compartidos y a las carpetas NTFS siguen estando activos como si se tratase de
un acceso directo.
Las aplicaciones pueden configurarse sobre una ruta única, que será posible mantener a lo
largo de todo el ciclo de vida del bosque.
DFS, en su configuración Hub & Spoke, se diferencia por la replicación en varios sitios de
información que cambia poco con el tiempo o que tiene un único punto de modificación.
Documentos de referencia, noticias, actas de reunión o información general serán el tipo de
documento entrante en este tipo de configuración.
DFS puede, también, utilizarse para salvaguardar los datos de usuario o los perfiles
itinerantes. Es preciso realizar una configuración particular a nivel de los destinos DFS para
que se utilice siempre el mismo recurso compartido y el mismo servidor. Es decir, es
preciso utilizar el destino principal en primer lugar, y no proponer la copia (salvaguarda)
sino como último destino.
Cuando se utiliza DFS para tareas ofimáticas, con numerosos documentos de tipo Word o
Excel, actualizándose sobre distintos sitios, es importante gestionar bien el versionado de
los documentos para evitar cualquier modificación simultánea del mismo documento. En
efecto, sólo se conservará la última versión escrita. En ciertos casos, será preferible forzar
el uso de un destino determinado que servirá como referencia para las modificaciones de
este tipo, incluso si el sitio del usuario incluye una replicación local de este destino. La
solución ideal, cuando sea posible, consiste en utilizar el modo Solo lectura con todos los
destinos, salvo con el destino de referencia.
Con todo, aunque DFS no es la solución universal, puede proveer muchos servicios que
merece la pena comparar con otras soluciones, por ejemplo, de gestión documental.
Windows Server 2012 ofrece, ahora, la posibilidad a los usuarios remotos conectados
mediante DirectAccess de utilizar el mejor enlace DFS posible, según el sitio.
Los usuarios remotos reciben referencias hacia los servidores de nombres y las carpetas
más próximas a la ubicación de la conexión.
Para que esta detección funcione, el cliente debe ejecutar Windows 8 o Windows Server
2012, y el servidor trabajar con Windows Server 2012.
Observe que la instalación de varios puntos de acceso basados en DirectAccess está, ahora,
mucho mejor gestionada que con Windows Server 2008, de ahí el interés de apuntar al
servidor DFS mejor adaptado.
De hecho, la desduplicación permite ganar espacio sin tener ningún impacto sobre la
replicación DFS. Cuando se activa la desduplicación sobre un volumen, los archivos se
segmentan en bloques de tamaño variable según el tamaño del archivo. La desduplicación
gestiona un índice sobre estos segmentos para detectar los segmentos idénticos y ocupar
una única vez el espacio correspondiente. Una marca de desduplicación
IO_REPARSE_TAG_DEDUP indicará cada archivo susceptible de incluir elementos
deduplicados.
Que un archivo esté desduplicado o no, no supone ninguna replicación puesto que el
archivo, en sí mismo, no cambia. La replicación DFS se basa en el algoritmo RDC (Remote
Differential Compression) y no sobre los fragmentos de los archivos desduplicados, que se
ubican de forma separada. Que los volúmenes estén desduplicados en el origen y/o en el
destino no cambia nada.
Windows Server 2012 proporciona, ahora, un proveedor WMI que permite acceder y
realizar una configuración completa de la replicación DFS...
Win32_DfsNode
Win32_DfsTarget
Win32_DfsNodeTarget
Win32_PerfFormattedData_DFSNServerService_DFSNamespace
Win32_PerfRawData_DFSNServerService_DFSNamespace
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceAPIRequests
Win32_PerfFormattedData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfRawData_DFSNServerService_DFSNamespaceServiceReferrals
Win32_PerfFormattedData_dfsr_DFSReplicatedFolders
Win32_PerfRawData_dfsr_DFSReplicatedFolders
Win32_PerfFormattedData_dfsr_DFSReplicationConnections
Win32_PerfRawData_dfsr_DFSReplicationConnections
Win32_PerfFormattedData_dfsr_DFSReplicationServiceVolumes
Win32_PerfRawData_dfsr_DFSReplicationServiceVolumes
__GENUS : 2
__CLASS : Win32_DfsNode
__SUPERCLASS : CIM_LogicalElement
__DYNASTY : CIM_ManagedSystemElement
__RELPATH : Win32_DfsNode.Name="\\\\SRVFIC01\\RAIZ-AUTONOMA"
__PROPERTY_COUNT : 8
__DERIVATION : {CIM_LogicalElement, CIM_ManagedSystemElement}
__SERVER : SRVFIC01
__NAMESPACE : root\cimv2
__PATH :
\\SRVFIC01\root\cimv2:Win32_DfsNode.Name="\\\\SRVFIC01\\
RAIZ-AUTONOMA"
Caption :
Description :
InstallDate :
Name : \\SRVFIC01\RAIZ-AUTONOMA
Root : True
State : 0
Status :
Timeout : 300
PSComputerName : SRVFIC01
...
Hoy en día, como existen los comandos PowerShell para la parte Espacios de nombres, es,
principalmente, la parte de replicación la que se configurará mediante WMI. Sepa que el
acceso WMI puede invocarse, fácilmente, desde PowerShell, y será posible integrar el
conjunto en un único script.
• DfsrConfig
• DfsrConflictInfo
• DfsrConnectionConfig
• DfsrConnectionInfo
• DfsrIdRecordInfo
• DfsrIdUpdateInfo
• DfsrInfo
• DfsrLocalMemberConfig
• DfsrLocalMemberInfo
• DfsrMachineConfig
• DfsrReplicatedFolderConfig
• DfsrReplicatedFolderInfo
• DfsrReplicationGroupConfig
• DfsrSyncInfo
• DfsrVolumeConfig
• DfsrVolumeInfo
Una de las principales diferencias es que, ahora, el acceso WMI utiliza el protocolo
WinRM (Windows Remote Management) como protocolo de transporte.
BranchCache
Esta funcionalidad, aparecida con Windows Server 2008 R2, permite optimizar el acceso a
los recursos compartidos alojados en los recursos compartidos de los archivos o en
servidores Web internos de tipo documentario, tales como SharePoint, para los sitios
remotos.
Esta opción también está disponible a partir de Windows 7 bajo la forma de una caché
repartida entre las distintas máquinas.
Preste atención, en aquellos servidores de archivos donde quiera activar los recursos
compartidos y utilizar BranchCache, debe agregar un servicio de rol en el rol Servicios de
archivos y almacenamiento.
1. Instalación de BranchCache
La primera etapa consiste en instalar la funcionalidad sobre cada servidor que comparte
recursos.
No obstante, todas las operaciones pueden realizarse a partir de una única máquina que
posea el administrador del servidor 2012 instalado.
El servidor está, ahora, activo como cliente y servidor de BranchCache para los sitios Web
y cliente, únicamente, para los servidores de recursos compartidos de archivos.
Seleccione BranchCache.
El servidor está, ahora, activo como servidor de BranchCache para los archivos.
Confirme la selección.
Tras la instalación, se inicia el servicio BranchCache, habitualmente sin necesidad de
reiniciar el servidor.
A continuación, debe activar una directiva de grupo que permita, al servidor, utilizar las
funcionalidades de decodificación de tipo "Hash coding". Esta funcionalidad permite
identificar cada documento de forma única y detectar sus modificaciones basándose en el
hash único para cada archivo.
Esta opción autoriza la activación de BranchCache sobre todos los recursos compartidos.
No olvide forzar la aplicación de la directiva.
Sobre cada recurso compartido, la opción de caché puede accederse mediante el botón
Configuración sin conexión.
La configuración de los recursos compartidos puede realizarse desde la consola
Administración de equipos - Carpetas compartidas - Administrar recursos
compartidos y almacenamiento o, simplemente, desde la propia carpeta, mediante la
pestaña Recursos compartidos - Uso compartido avanzado y, a continuación, el botón
Caché.
He aquí la directiva de grupo que debe definir para configurar los clientes:
• El parámetro Activar BranchCache permite habilitar el uso de la caché, aunque no
se produce el arranque del servicio BranchCache, que se configura para arrancar
automáticamente sobre los equipos.
En este modo, todas las estaciones del sitio activadas por el BranchCache
comparten la caché y verifican, de manera local, la presencia del documento
buscado en una de las cachés antes de ir a buscar el archivo original en el sitio
central.
En este modo, todas las estaciones del sitio activadas por el BranchCache utilizan el
servidor para verificar la presencia del documento y alojarlo en la caché si es
necesario.
Esta lógica significa que se preparará una directiva específica para cada sitio remoto
que contenga bien un servidor, o bien una caché repartida entre las distintas
estaciones. Observe que el arranque automático del servicio puede incluirse en la
misma directiva.
Las carpetas de trabajo se ubican en una carpeta del servidor llamada Recurso compartido
de sincronización. La carpeta seleccionada puede contener documentos del usuario que
estarán disponibles, inmediatamente, para el usuario sin tener que realizar ninguna
migración.
Comando
Descripción
PowerShell
Enable-SyncShare Activar un recurso compartido de sincronización
Disable-SyncShare Desactivar un recurso compartido de sincronización
Get- Obtener la configuración de un recurso compartido de
SyncServerSetting sincronización.
Get-SyncShare Obtener la lista de recursos compartidos
Get-SyncUserSetting Recuperar la configuración del usuario desde el servidor de
sincronización.
Get-SyncUserStatus Recuperar el estado del usuario desde el servidor de
sincronización.
New-SyncShare Crear un recurso compartido de sincronización.
Remove-SyncShare Eliminar un recurso compartido de sincronización.
Repair-SyncShare Reinicializar los metadatos de un usuario de recurso
compartido de sincronización.
Set- Modificar la configuración de un servidor de recursos
SyncServerSetting compartidos de sincronización.
2. Requisitos previos
• Una extensión del esquema para agregar un atributo que contenga el servidor de
sincronización.
• Una versión de Windows adaptada (de momento Windows 8.1 o 8.1 RT).
• El espacio suficiente en el disco local NTFS.
3. Instalación en el servidor
Add-WindowsFeature FS-SyncShareService
Con una única instrucción es posible implementar este nuevo tipo de recurso compartido.
Cada usuario tendrá su carpeta personal en la carpeta indicada; la solución aquí diseñada es
útil únicamente para carpetas personales y, en ningún caso, para carpetas comunes.
Indique la nomenclatura utilizada para las carpetas, así como la carpeta que se desea
sincronizar, si no queremos sincronizar el total de carpetas presentes en la ubicación
indicada.
Por ejemplo, si utilizamos la carpeta E:\USERS, esta carpeta se comparte para recibir todas
las carpetas personales bajo la forma \\servidor\USERS\%username%, mientras que puede
ser preferible limitar la replicación de la carpeta de trabajo únicamente a una subcarpeta
concreta, nueva o existente.
Mejor que deshabilitar el uso de HTTPS, una solución más elegante consiste en generar un
certificado que contenga los nombres internos y externos, para permitir a los clientes
acceder a las carpetas de trabajo de forma segura tanto desde la red local (mediante la URL
WorkFolders.MiEmpresa.Priv) como desde una red externa (WorkFolders.MiEmpresa.Es),
que es el objetivo principal de esta funcionalidad.
El siguiente comando permite generar un certificado autofirmado con este fin. Sepa que es,
también, posible comprar un certificado emitido por un proveedor público si no dispone de
una PKI en su empresa o el despliegue de certificados autofirmados le resulta demasiado
complejo.
New-SelfSignedCertificate -DnsName
"WorkFolders.MiEmpresa.Priv","SrvFic01.MiEmpresa.Priv",
"WorkFolders.MiEmpresa.Es" -CertStoreLocation
cert:Localmachine\My
Tras crear el certificado, debe agregarlo en las entidades raíz del servidor, y en los distintos
clientes.
Para habilitar el uso del certificado que acaba de instalar, es preciso afectar al proceso IIS
Core mediante el siguiente comando que puede ejecutar desde una ventana de comandos
CMD.
El número de firma (thumbprint) que debe indicar en el comando puede obtenerse mediante
el siguiente comando PowerShell:
dir cert:\localmachine\my
Thumbprint Subject
---------- -------
EFEE6E02A04A2C1D18AF2B70B49103DF2E191ABC CN=WorkFolders.MiEmpresa.Priv
Para completar esta sección sobre la configuración, es posible modificar el esquema Active
Directory para agregar un campo suplementario que permita administrar la URL de acceso
a las carpetas de trabajo. Este campo puede resultar interesante si varias carpetas de trabajo
se definen en distintos servidores para asociar al usuario a una carpeta de trabajo concreta.
El siguiente enlace indica los elementos necesarios para administrar esta extensión sin tener
que preparar el dominio para Windows Server 2012 R2:
http://blogs.technet.com/b/filecab/archive/2013/10/09/a-new-user-attribute-for-work-
folders-server-url.aspx
Por otro lado, la gestión de la directiva de 2012 R2 permite modificar esta URL para el
usuario.
El parámetro Especificar configuración de carpetas de trabajo se encuentra en Usuarios
- Directivas - Plantillas administrativas - Componentes de Windows - Carpetas de
trabajo.
Permite habilitar las carpetas de trabajo, indicar la dirección URL que debe utilizar, y forzar
la configuración automática.
El módulo Carpetas de trabajo está integrado en Windows 8.1. Basta con configurarlo
desde el panel de control.
He aquí la sentencia PowerShell que permite configurar este parámetro a tres minutos.
set-SyncServerSetting -MinimumChangeDetectionMins 3
Conclusión
¡Se han aportado numerosas mejoras relativas a DFS! Por ejemplo, el hecho de disponer de
comandos PowerShell para configurar la replicación DFS permite utilizar Remote
PowerShell desde una máquina donde el componente no se encuentre instalado.
Una base de DFSR corrupta puede reconstruirse sin riesgo de pérdida de enlaces ligados a
una sincronización inicial no autoritativa. Ya no se corre el riesgo de perder,
arbitrariamente, los archivos en conflicto. Antes, en caso de producirse un error en la base
tras una sincronización inicial, la replicación reiniciaba completamente desde el origen, sin
tener en cuenta archivos más recientes que podrían encontrarse.
El file staging tuning permite definir el tamaño mínimo a partir del cual se comprime un
archivo y se replica por partes, pasando por la etapa llamada Staging. El resultado es que,
por defecto, los archivos de menos de 64 KB no pasan por esta etapa de staging y no se
comprimen. Windows Server 2012 R2 permite indicar el tamaño mínimo (entre 256 Kb y
512 TB) antes de que un archivo se procese y comprima. Los rendimientos se ven, de este
modo, mejorados en detrimento de un ancho de banda algo más exigente.
Existen dos nuevos comandos PowerShell que facilitan la recuperación de los archivos en
conflicto (ConflictAndDeleted) y carpetas preexistentes (PreExisting): Get-
DFSRPreservedFiles muestra los datos correspondientes y Restore-DFSRPreservedFiles
los recupera bien en su carpeta de origen, o bien en un nuevo destino
Esto representa muchas pequeñas mejoras que, de manera global, aportan una fiabilidad
mucho mayor a los datos gestionados mediante DFS.
Introducción
Este capítulo está dedicado a la alta disponibilidad. Su objetivo es describir las posibles
ofertas en términos de alta disponibilidad con Windows Server 2012 R2. Aumentar la
disponibilidad de los servicios que se ofrecen es un reto permanente en cualquier
departamento informático.
Una vez llevadas a cabo todas estas acciones, algunos servicios críticos siguen dependiendo
de un servidor único que, tarde o temprano, fallará o será necesario reiniciar tras haber
instalado algún parche o correctivo. Es aquí donde entra en juego la alta disponibilidad, que
permite convertir un servicio necesariamente disponible en un servicio altamente
disponible. Es un buen complemento de los factores anteriores.
Los servidores que participan de la alta disponibilidad se designan como nodos de un
clúster, y éste define al conjunto de servidores. El clúster se prevé para dar respuesta a
fuertes necesidades de disponibilidad y no debe considerarse a la ligera. Antes de decidir si
una solución de tipo clúster responde a esta necesidad, es necesario plantearse ciertas
preguntas:
Elecciones de arquitectura
1. Las distintas arquitecturas
Tras los términos de alta disponibilidad se esconden dos tipos de soluciones distintas:
La primera solución aumenta la disponibilidad del servicio haciendo bascular los recursos
de un servidor a otro en caso de existir algún problema (solución altamente disponible). La
segunda solución permite tener varios servidores que responden a las solicitudes al mismo
tiempo (reparto de carga) y que pueden tolerar la pérdida de algún miembro (solución
altamente disponible).
Las soluciones de tipo activo/activo pueden parecer, a primera vista, más interesantes,
aunque son, generalmente, mucho más complejas y deben considerarse para dar respuesta a
un problema concreto de reparto de carga. En un entorno Microsoft, las soluciones son las
siguientes:
Una aplicación destinada a los usuarios debe ser compatible con una solución de alta
disponibilidad. Dejando a parte los "grandes" desarrolladores de software, es habitual que
un proveedor de aplicaciones no haya probado, jamás, su aplicación en un entorno de alta
disponibilidad y que no pueda, por tanto, asegurar su funcionamiento. Como mínimo, cabe
analizar los siguientes puntos :
• ¿Puede residir el conjunto de datos en volúmenes compartidos y, por tanto,
diferentes a las unidades locales C:, D...?
• ¿Deben replicarse algunas claves de registro entre ambos servidores?
• ¿La aplicación utiliza algún dispositivo de protección física (dongle instalado en un
puerto USB o paralelo, por ejemplo) o se requiere una conexión física que no se
puede duplicar ni conectarse sobre dos servidores?
• ¿Los clientes pueden utilizar un nombre NetBIOS/DNS y una dirección IP distintos
del de la máquina física (nombre/IP virtuales)?
• ¿Cuáles son los mecanismos para detectar un fallo en la aplicación y decidir
bascular al otro nodo?
N servidores (hasta 32, como máximo) responden a las solicitudes simultáneamente. Los
servidores deben poder responder a todas las consultas y, por tanto, tener acceso al conjunto
de datos que permiten elaborar las respuestas. Su uso más extendido son las granjas de
servidores Web. Todos los servidores tienen una copia del sitio Web y los datos se
almacenan en una base de datos que se hospeda fuera de la granja. La complejidad aparece
en la gestión de la sesión del usuario. El usuario puede tener un carrito de la compra (en un
sitio comercial) y/o estar autentificado en el sitio. Si el servidor que ha respondido a sus
consultas dejara de funcionar, otro servidor debería ser capaz de poder tomar el relevo,
preferentemente sin reenviar al usuario a su página de inicio. La sesión del usuario debe,
por tanto, conservarse de forma externa al servidor, por ejemplo utilizando una base de
datos.
Esto implica que el sitio web tiene que haber previsto este tipo de arquitectura y
almacenar la sesión de forma externa al servidor. Sobre un sitio comercial muy
frecuentado, esta gestión de la sesión tiene un impacto enorme en el consumo de recursos.
Es posible utilizar un clúster de tipo NLB en modo activo/pasivo, aunque este modo de
funcionamiento supone un uso atípico respecto a la filosofía del producto.
He aquí una tabla que resume las principales diferencias entre ambas soluciones:
Ventajas Inconvenientes
Clúster de No se produce ninguna Almacenamiento externo
conmutación sincronización entre los mutualizado.
por error servidores.
Un único servidor debe ser capaz
Es consciente del estado de de gestionar la carga (activo/pasivo
la aplicación (funciona o por grupo de recursos).
no) y de los recursos
(saturados o no).
Clúster NLB Reparto de carga Trabaja únicamente a nivel IP.
(activo/pasivo).
No es consciente del estado de la
Sin almacenamiento aplicación.
mutualizado.
Observe que estas dos tecnologías no pueden estar soportadas en el mismo servidor, véase
el artículo 235305 (Interoperability between MSCS and NLB) de la base de conocimiento
Microsoft.
Las promesas de la alta disponibilidad sólo podrán materializarse si los equipos y los
procedimientos son coherentes con la necesidad a la que responden estas promesas. Si bien
el coste de la solución es elevado, sólo se verá amortizado si permite, efectivamente, evitar
interrupciones en el servicio. El coste de la solución implica, como mínimo, los elementos
siguientes:
Estos costes se producen por entorno y deben reportarse en cada entorno impactado
(preproducción, certificación...). El coste de una indisponibilidad debe, por tanto, ser
superior a todos estos costes.
El riesgo consiste en considerar un clúster como un servidor clásico "mejorado". Este
enfoque es, a menudo, fatal en las versiones anteriores de Windows. Bastaba con que un
administrador borrara un recurso compartido de archivos desde el explorador en lugar de
hacerlo desde la consola de administración del clúster para hacer fallar este recurso de
clúster y provocar, por defecto, una conmutación por error del mismo. Microsoft ha
revisado a conciencia la integración de la capa de clúster en el sistema operativo. Este
mismo error en Windows Server 2012 R2 se gestiona, y el sistema elimina de hecho el
recurso de clúster directamente sin provocar una incidencia. Esto provoca una importante
disminución de los incidentes provocados por errores humanos debidos a un mal
conocimiento de las especificaciones de esta solución.
La tecnología NLB proporciona varias soluciones para crear una dirección IP virtual,
aunque todas presentan ventajas e inconvenientes. Algunos fabricantes de red (Cisco,
Enterasys...) requieren una configuración especial para poder funcionar.
Un clúster NLB está formado, a menudo, por dos servidores, con un máximo de 32
servidores. A diferencia del modo activo/pasivo, podemos encontrar una situación en la que
uno de los nodos no pueda gestionar, por sí mismo, toda la carga. La alta disponibilidad no
está, por tanto, asegurada, pues la pérdida de un nodo genera una interrupción del servicio o
una degradación en el rendimiento. Es preciso, por tanto, prestar atención a la carga que
debe absorber la granja para tolerar la pérdida de un nodo. Este fenómeno también puede
darse en un clúster de conmutación por error, si los dos nodos trabajan en modo activo
sobre recursos diferentes (activo/activo en modo cruzado). Microsoft no recomienda
utilizar esta configuración, y propone, en su lugar, utilizar un clúster de tres nodos en este
caso (activo/activo/pasivo). El nodo pasivo se encuentra mutualizado con los otros dos
nodos activos.
El reparto de carga no supone una capacidad de carga lineal. Si un servidor es capaz de dar
servicios a 200 usuarios, dos servidores no tienen por qué, necesariamente, ser capaces de
dar servicio a 400 usuarios. Todo va a depender de la naturaleza de la carga y del
comportamiento de las sesiones TCP generadas. La noción de afinidad permite conservar a
un usuario sobre el mismo nodo mientras dure su interacción. De este modo, se disminuyen
los cambios de sesión de usuario sobre los servidores. Para ello, la granja calcula un hash a
partir de la dirección IP del cliente y su destino. Si todos los clientes se presentan con la
misma dirección IP (por ejemplo, cuando se ubican tras un firewall con reglas NAT), serán
redirigidos hacia el mismo servidor, anulando, de este modo, el reparto de carga.
Los servidores que participan del clúster no deben ser controladores de dominio. No
obstante, es necesario que sean miembros del mismo dominio Active Directory y que estén
en la misma subred.
Desde un punto de vista de hardware, el servidor, así como sus componentes, deben
disponer del logotipo Certificado para Windows Server 2012 R2 o, como mínimo,
Certificado para Windows Server 2012 para garantizar su estabilidad (y el soporte por parte
de Microsoft en caso de producirse cualquier problema).
Incluso si basta con una interfaz de red por nodo, se recomienda encarecidamente utilizar,
como mínimo, dos interfaces de red: la primera para el host como máquina única, y la
segunda para el tráfico del clúster. Si una de las interfaces de red se dedica al tráfico del
clúster, ésta debe tener una dirección IP fija. Además, el registro automático DNS de esta
interfaz debe estar deshabilitado, así como NetBIOS sobre TCP/IP. Todas las interfaces de
red que forman parte del clúster, sea cual sea el nodo, deben tener una configuración
idéntica desde un punto de vista de los parámetros (control de flujo, modo dúplex y tipo de
medio). Para terminar, es posible utilizar tarjetas de red configuradas en teaming.
Para realizar la instalación, deben utilizar una cuenta que posea permisos de administrador
local. Necesitará, también, el nombre completo del clúster así como su futura dirección IP.
La creación de una granja NLB es, técnicamente, una tarea rápida. Es preciso, no obstante,
verificar ciertos puntos previamente:
• El modo de filtrado:
La elección del modo de operación debe realizarse de forma coordinada con los
responsables de la red:
• El modo monodifusión asigna la misma dirección MAC sobre todos los nodos del
clúster. Esto va en contra del funcionamiento de los switches, que memorizan las
direcciones MAC por puerto, y para los que es imposible registrar dos veces la
misma dirección MAC. NLB mitiga este punto activando la clave
"MaskSourceMAC". El paquete llega con una dirección MAC de destino
correspondiente a la del clúster, aunque el nodo responde con la suya propia. El
switch no puede, en este caso, asignar la dirección MAC al nodo que responde y
sigue enviando los paquetes a toda la red (inundación). Este comportamiento es "por
diseño". Si el modo es obligatorio (lo era con Microsoft ISA Server, en un
principio), existen varias alternativas. Es posible situar un hub entre los servidores
del clúster y el switch. De esta forma, el switch ve la dirección MAC del clúster
desde un solo puerto (sin "MaskSourceMac"), lo cual evita la inundación. Esto no
forma parte, no obstante, de las "buenas prácticas". El uso de un conmutador de
nivel 3 (router) no es posible, pues todos los nodos comparten la misma dirección IP
y el router envía los paquetes en función de la dirección IP. Los servidores no
pueden comunicarse entre ellos, puesto que tienen la misma dirección MAC. Los
paquetes se reenvían al servidor sin salir de la propia tarjeta de red.
• El modo multidifusión resuelve el problema de la dirección MAC agregando una
dirección MAC de tipo multidifusión e impidiendo a los equipos de red memorizar
la dirección MAC del clúster. El switch envía los paquetes al conjunto de puertos,
entre los que se encuentran los nodos del clúster. Se produce, todavía, una
inundación del tráfico sobre todos los puertos de la red. Algunos equipos (Cisco, en
particular) requieren convertir parcialmente el switch en un hub por configuración,
indicándole que transfiera sistemáticamente los paquetes para la dirección MAC del
clúster a los puertos de todos los nodos. Es posible limitar este problema aislando
los servidores tras un router, en una VLAN dedicada.
• El modo multidifusión IGMP se comporta como el anterior, aunque los nodos se
registran, también, con una dirección IP IGMP de clase D (de 224.0.0.0 a
239.255.255.255). Esto obliga que los equipos de red soporten la multidifusión
IGMP, aunque permite resolver lo más elegantemente posible los distintos
problemas. Cada nodo tiene su propia dirección MAC, la dirección IP de
multidifusión y sólo los nodos reciben el tráfico de red del clúster.
He aquí algunos artículos que tratan este asunto en función de los fabricantes:
• Cisco:
http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_e
xample09186a0080a07203.shtml
• Enterasys: http://www.enterasys.com/partners/microsoft/sa-nlb-tb.pdf
El modo de filtrado permite definir el modo de funcionamiento del clúster, desde un punto
de vista de los flujos de red. Permite definir qué paquete de red (puerto y tipo) debe
enrutarse hacia qué nodo(s), o si se bloquea, simplemente.
El modo de filtrado más interesante es host múltiple, que es de tipo activo/activo, lo que
significa que varios nodos trabajan simultáneamente y, por tanto, se reparten la carga de
trabajo y, por tanto, los flujos de red. El modo host único es de tipo activo/pasivo, con el
nodo que tiene menor ID activo, donde sólo el nodo activo recibe el flujo de red. El modo
de filtrado Ninguno permite bloquear el tráfico sobre ciertos puertos, en particular para
proteger los nodos.
Utilizando un modo de filtrado de host múltiple, existen tres modos de afinidad posibles:
3. Configurar la granja
Seleccione un primer nodo para configurarlo, así como una interfaz (la que recibirá el flujo
de red proveniente de los clientes y tenga como destino la dirección IP del clúster). Defina
su prioridad, su interfaz de administración y su estado por defecto..
Determine la dirección IP principal del clúster así como el nombre del clúster.
Llegados a este punto, se crea la granja con un único servidor como miembro. Es posible
agregar un segundo nodo mediante el menú Clúster - Agregar host:
La interfaz de gestión de las reglas permite seleccionar la dirección IP del clúster donde se
aplica, un puerto, o un rango de puertos, su naturaleza (TCP, UDP) y el modo de filtrado:
Para obtener la lista completa de comandos PowerShell que permiten administrar un clúster
NLB (35 en total), ejecute uno de los siguientes comandos PowerShell:
Get-Command *-NlbCluster*
#O
Get-Command -Module NetworkLoadBalancingClusters
Una granja de servidores Web supone el uso típico de una solución NLB. IIS 8.5 gestiona
la noción de configuración compartida, que facilita la gestión de la granja centralizando la
configuración IIS de todos los servidores Web sobre un almacén compartido de archivos
UNC. El siguiente artículo de la TechNet describe su implementación:
http://technet.microsoft.com/en-us/library/jj635853.aspx
Llegados a este punto, tendrá una granja formada por dos servidores Web con una afinidad
única. Ya sabe que NLB no es consciente del estado de la aplicación para la que realiza el
reparto de carga. En cambio, puede modificar el comportamiento de IIS para que tenga en
cuenta el clúster NLB y modifique su comportamiento en caso de ocurrir algún problema.
Por defecto, IIS reenvía un código HTTP 503 en caso de fallo de algún pool de
aplicaciones. En el caso de una granja de servidores, es muy probable que sólo este servidor
tenga el problema. Indicando al pool de aplicaciones que realice una respuesta a nivel TCP,
va a cerrar la conexión del cliente, que se verá redirigido hacia otro nodo de la granja.
La actualización de una granja NLB existente es más sencilla que la creación de una granja.
Los principales problemas son, generalmente, la compatibilidad de las aplicaciones y los
drivers, como con cualquier actualización sobre cualquier servidor de una infraestructura.
Una granja NLB bajo Windows Server 2012 R2 puede trabajar con nodos en alguna versión
anterior de Windows Server (Windows Server 2003 R2, como mínimo), y la actualización
necesaria es sencilla y no requiere crear ninguna granja nueva.
Una vez realizada la actualización, conviene probar el conjunto de nodos así como la
tolerancia a fallos.
Si se detecta algún incidente sobre alguno de los puntos anteriores, el clúster bascula el
conjunto de recursos necesarios para el funcionamiento del (de los) servicio(s) sobre otro
nodo.
Como mínimo, un clúster posee al menos un grupo (el ”grupo clúster”) que contiene:
En caso de producirse algún problema en la red, el clúster debe determinar qué nodos
funcionan correctamente y qué nodos deben retirarse del clúster (y los recursos que los
hospedan deben conmutar). Los nodos que sean mayoritarios quedarán en línea.
• Mayoría de nodo: el nodo que se comunica con la mayor parte de nodos resulta
ganador. Este modo funciona únicamente con un número impar de nodos.
• Mayoría de disco y nodo: cada nodo tiene su propio voto, así como el quórum de
disco. El nodo con más votos gana. Windows Server 2012 R2 aporta una
modificación en el cálculo de votos (Dynamic withness) para obtener un resultado
impar de votos en cualquier situación. Si el resultado del número de votantes (los
nodos, por tanto), es impar, entonces el voto del quórum se toma en consideración.
Puede conocer el estado del voto del quórum mediante el cmdlet PowerShell: (Get-
Cluster). WithnessDynamicWeight. Si el valor es igual a "1", entonces el voto del
quórum se considera, si vale "0", el voto del quórum no se tiene en cuenta. Esta
configuración no se recomienda para una configuración multisitio (almacenamiento
replicado) y requiere que todos los nodos del clúster estén instalados con Windows
Server 2012 R2.
• Mayoría de recurso compartido de archivos y nodo: idéntico al anterior, aunque
utiliza un recurso compartido de archivos externo al clúster en lugar del disco
quórum. Esta es la configuración que utiliza Microsoft Exchange 2007 en su
configuración en clúster CCR (Cluster Continuous Replication) y por Microsoft
Exchange 2010 y 2013 para DAG (Database Availability Groups).
• Sin mayoría: sólo disco: solamente un nodo puede poseer el volumen en un
momento determinado, y recupera el conjunto de los recursos. Esta solución se
corresponde con el funcionamiento de un clúster Windows Server 2000/2003. Ya no
es el modo recomendado, sobretodo en el caso de clúster multisitio (con
almacenamiento replicado). No tolera la pérdida del quórum de disco
(convirtiéndose en un punto de fallo único).
Para poder definir un servicio o una aplicación, hay que escoger entre las siguientes
opciones:
• Aplicación genérica
• Servicio genérico
• DTC (Distributed Transaction Coordinator)
• Ordenador virtual (máquina virtual Hyper-V)
• Message Queuing
• Servidor de espacios de nombres DFS
• Servidor de archivos
• Servidor DHCP
• Servidor de destino iSCSI
• Servidor iSNS (Internet Server Name Service)
• Servidor WINS
• Otro tipo de servidor
• Servicio de agente de conexión para los servicios de Escritorio remoto
• Un script genérico. Éste le permite utilizar un script para realizar verificaciones
específicas para determinar el estado del recurso y decidir o no conmutar el clúster.
Una vez creado el grupo, pueden agregarse los siguientes recursos virtuales:
• Aplicación genérica
• Punto de acceso de cliente (con un nombre y una dirección IP virtual)
• Script genérico
• Servicio genérico
• Dirección de túnel de IPv6
• Coordinador de transacciones distribuidas
• Recurso compartido de NFS
• Servidor DHCP, WINS
• Carpeta compartida
En función del tipo de recurso, algunos parámetros estarán, o no, disponibles. Los
parámetros siguientes son comunes a todos los recursos:
• Dependencias: este parámetro determina qué otros recursos deben estar operativos
para que este recurso funcione.
Este parámetro puede, a su vez, determinar en qué orden deben iniciarse los
recursos. Si alguna dependencia fallara, los recursos que dependan de ella se
detendrán.
Es posible utilizar los operadores lógicos "Y" y "O". El operador "O" permite
flexibilizar las dependencias, en la medida en que dos recursos pueden cumplir un
mismo rol. Es el caso, en particular, de un clúster que tenga nodos sobre dos
subredes diferentes. Existen dos recursos de tipo ”dirección IP” (una por cada
subred), aunque solamente habrá operativo uno de ellos, en un instante T. El
operador lógico "O" permite satisfacer sólo una de ambas dependencias.
• Afectar al grupo: este parámetro está activo por defecto. Determina, en caso de que
falle algún recurso del grupo, si todo el grupo de recursos debe conmutar sobre otro
nodo. Si este recurso no es imprescindible para el funcionamiento del grupo
completo, puede considerarse el no conmutar y que el grupo no se vea afectado. Las
soluciones de copia de seguridad crean, por lo general, un recurso en el clúster. Si se
produce algún problema (crash o una acción incorrecta en la solución de seguridad),
todo el grupo conmutará. Una solución de supervisión adecuada permite alertar
sobre el fallo de este recurso y dejar el tiempo suficiente para reparar el problema
antes de que empiece la copia de seguridad. Evitará, así, perturbar la disponibilidad
del clúster de forma imprevista y no indispensable.
• Intervalo de comprobación: el intervalo entre dos verificaciones sobre la salud del
recurso. Puede ser necesario aumentar el tiempo por defecto en el caso de servidores
con mucha carga de trabajo.
En las versiones anteriores de Windows Server, era preciso tener una red privada,
dedicada a la comunicación inter-nodo, llamada "heartbeat". Windows Server 2012 R2
ofrece una mayor flexibilidad y no impone esta restricción. El motivo es no tener ningún
punto de fallo único y, por tanto, disponer de, al menos, dos caminos de red entre los
nodos. Si utiliza iSCSI, las tarjetas de red deben estar dedicadas y la comunicación inter-
nodo bloqueada. Si utiliza una red dedicada a la copia de seguridad, es, también, una buena
idea prohibir su uso al clúster. El bloqueo se gestiona desde las propiedades de red, en la
consola Administrador de clúster de conmutación por error.
Es bastante común que una aplicación almacene ciertos parámetros en una base de registro.
Si fuera necesario, el clúster puede replicar una arborescencia de la base de registro, situada
en HKEY_LOCAL_MACHINE. Esta configuración puede estar ligada a un servicio de
Windows o a una aplicación.
1. Validación de su clúster
En las versiones anteriores de Windows Server, el hardware debía estar certificado para
poder funcionar con el servicio de clúster de conmutación por error de Microsoft. En caso
contrario, Microsoft no garantizaba el soporte. Desde Windows Server 2008, este proceso
se ha simplificado. Para poder gozar de una configuración soportada por Microsoft, basta
con que:
Este asistente tiene como objetivo verificar un clúster que se pone en producción, aunque
también cada cambio significativo realizado sobre el mismo, como:
• La actualización del firmware o de los controladores.
• La agregación o eliminación de un nodo en el clúster.
• El cambio de hardware de almacenamiento.
• Configurar las interfaces de red sobre los futuros nodos del clúster.
• Configurar el almacenamiento para el clúster.
• Instalar la funcionalidad de clúster de conmutación por error.
• Configurar el clúster:
• Interfaz de red
• Determinar la mayoría (quórum, recurso compartido testigo...)
• En función del objetivo del clúster, instale el rol de alta disponibilidad sobre todos
los nodos (servidor de archivos, servidor WINS...).
• Cree la aplicación en el clúster.
• Bascule sobre cada uno de los nodos para validar el correcto funcionamiento de los
mismos.
• Ejecute, de nuevo, el asistente de validación del clúster.
La primera etapa consiste en configurar las interfaces de red de los nodos de su futuro
clúster. Recuerde que se recomienda encarecidamente utilizar varias tarjetas de red, cada
una configurada sobre una subred o una VLAN diferentes, y dedicarles un rol bien
definido. En nuestro ejemplo, utilizaremos cuatro tarjetas de red por nodo, he aquí su
configuración:
• LAN (172.16.0.x/16): dedicada a la comunicación entre los clientes y los nodos del
clúster.
• Clúster (10.0.1.x/24): dedicado a las comunicaciones internas del clúster.
• Almacenamiento 1 (10.0.2.x/24): primera conexión al espacio SAN iSCSI.
• Almacenamiento 2 (10.0.3.x/24): segunda conexión al espacio SAN iSCSI.
Todas las interfaces deben estar direccionadas convenientemente. Esta conectividad con la
red local (LAN), donde se encuentran los clientes, debe estar direccionada correctamente
(dirección IP y DNS). Para las demás interfaces, y salvo por algún motivo en especial,
debería dejar el mínimo imprescindible (dirección IP, deshabilitar el registro DNS y de
NetBIOS).
b. Configurar el almacenamiento para el clúster
Para gestionar rutas múltiples, deberá repetir las etapas 3 a 5 utilizando las direcciones IP
de la segunda red de almacenamiento en la etapa 5.
Una vez configurado el iniciador iSCSI, debe instalarse la funcionalidad MPIO. Puede
hacerlo a través del Administrador del servidor. A continuación, para configurar la
funcionalidad MPIO:
En este ejemplo, vamos a configurar el clúster en modo mayoría de disco y nodo, lo que
implica que el quórum se define en un almacenamiento de red central, un espacio iSCSI,
FCo FCoE. Todos los nodos de su futuro clúster deben tener acceso bien al quórum, o bien
a la propia LUN. Ahora que ha realizado la conexión con el almacenamiento, vamos a
preparar el volumen que queremos utilizar para el quórum del clúster.
Para realizar esta preparación, utilizaremos la LUN que ha conectado en la sección anterior.
Configure el almacenamiento para el clúster y realice esta tarea únicamente para el primer
nodo. Esta preparación puede realizarse de varias formas:
Haga clic, con el botón derecho, sobre el disco destinado a ser el volumen del quórum, que
normalmente aparecerá como disco desconocido, y seleccione En línea.
Haga, de nuevo, clic con el botón derecho sobre el disco del quórum, y seleccione
Inicializar el disco.
En la ventana Inicializar el disco, deje las opciones por defecto y valide haciendo clic en
el botón Aceptar.
En la zona no particionada del disco de quórum, haga clic con el botón derecho y
seleccione Nuevo volumen simple....
En este libro, vamos a explicar el primer y el último método para realizar la configuración
de un clúster.
Seleccione la opción Ejecutar todas las pruebas salvo si se trata de una excepción, de
tipo clúster Exchange CCR o clúster multisitio. Haga clic en Siguiente.
El asistente muestra un resumen de las opciones anteriores. Haga clic en Siguiente.
Una vez realizadas las pruebas, se muestran los resultados. La primera frase del cuadro de
diálogo permite conocer inmediatamente si el conjunto de pruebas es concluyente. Si se han
detectado problemas, puede consultarlos mediante el informe.
Agregue los nodos que van a formar parte del clúster. Haga clic en Siguiente.
Indique un nombre (virtual) y una dirección IP para el clúster. Ambos recursos estarán
dedicados al funcionamiento del clúster y no deberían utilizarse para ninguna otra tarea.
Haga clic en Siguiente.
El asistente le muestra un resumen de la configuración que se aplicará antes de hacerlo
realmente. Haga clic en Siguiente y, a continuación, haga clic en Finalizar.
Habríamos podido llegar al mismo resultado con los siguientes comandos PowerShell:
Puede recuperar la lista de comandos de gestión del clúster con: get-command -module
FailoverClusters.
Por lo general, si se cumplen todos estos requisitos previos, su clúster debería estar, de
manera automática, configurado completamente por parte del asistente de instalación del
clúster. En nuestro ejemplo, el clúster está configurado en modo Mayoría de disco y nodo
utilizando para el quórum la LUN conectada en la sección Configurar el almacenamiento
para el clúster. Si lo requisitos previos no se cumplen, su clúster se configurará en modo
Mayoría de nodo.
Conviene verificar la configuración de las redes del clúster para una mejor comunicación
entre los nodos, pero también para el almacenamiento de red y el acceso por parte de los
clientes. Como se precisaba antes en este mismo capítulo, nuestro ejemplo utiliza cuatro
tarjetas de red. He aquí la configuración de las redes del clúster (observe que hemos
renombrado las redes para una mejor comprensión):
Una vez haya verificado y corregido, si fuera necesario, los parámetros de su clúster, y
antes de agregar los servicios, se recomienda validar el clúster. Para realizar esta tarea, haga
clic en el enlace Validar el clúster... que se encuentra en el panel Acciones y siga las
instrucciones del asistente de validación del clúster.
Llegados a este punto, tenemos un clúster con mayoría de disco y nodo operacional, aunque
todavía no hospeda ningún servicio.
Una vez conectada la LUN y creado el volumen (letra E:\ en nuestro ejemplo), debemos
agregar este volumen a los discos de nuestro clúster.
En el Administrador del clúster de conmutación por error, vaya a la sección
Almacenamiento y, a continuación, Discos. En el panel Acciones haga clic en Agregar un
disco. Seleccione el disco que desea agregar y haga clic en Aceptar.
Sepa que este procedimiento es idéntico para todos los roles de Windows que quiera
configurar en clúster.
f. Casos particulares
En la instalación en clúster de una aplicación Microsoft SQL Server, debe tener en cuenta:
• Instalar el clúster.
• Instalar MSDTC como aplicación clúster (si fuera necesario).
• Instalar Microsoft Framework 3.5 SP1.
• Instalar Windows Installer 4.5.
• Crear un grupo de clúster vacío (uno por instancia a instalar).
• Asignar volúmenes de almacenamiento al grupo.
• Ejecutar el programa de instalación de SQL Server (como mínimo, SQL Server
2008 R2 SP1 o SQL Server 2012).
De preferencia a las versiones que ya incorporen los Service Packs mencionados, en
particular los que permitan evitar los problemas que se describen en los artículos 955725 y
973993 de la base de conocimiento.
Caso de Exchange
Microsoft Exchange Server 2010 está, oficialmente, soportado a partir del Service Pack 3.
Exchange Server 2013 también está soportado.
Caso de Hyper-V
• El espacio libre es común a todas las VM. Este espacio pueden utilizarlo todas las
VM cuyo almacenamiento sea de tipo extensible, y también es posible agregar
nuevas VM. La eliminación de una VM hace que su espacio quede disponible,
inmediatamente, para las demás VM.
• El número de volúmenes es considerablemente bajo. Habrá menos intervenciones
sobre el almacenamiento central y, por tanto, menos riesgos derivados.
• El tamaño del volumen puede ser importante, y el tiempo de análisis para realizar
un chkdsk está vinculado con el número de archivos y no con el tamaño.
• Con Windows Server 2012 R2, CSV soporta funcionalidades avanzadas de
administración de archivos tales como la deduplicación de datos y ReFS (Resilient
File System), de las que se habla en el capítulo El ciclo de vida de su
infraestructura.
Windows Server 2012 R2 aporta, a su vez, los discos virtuales VHDX compartidos (Shared
VHDX) que permiten el acceso al mismo disco virtual, en formato *.vhdx, a varios equipos
virtuales. Esto permite, por ejemplo, crear clústers compuestos por nodos formados por
máquinas virtuales. Se aborda la implementación de un Shared VHDX en el capítulo
Consolidar sus servidores.
3. Migración de Windows Server 2008 a 2012 R2
Si bien este libro está orientado a Windows Server 2012, existen ciertas consideraciones
que debemos tener en cuenta si queremos migrar un clúster desde una edición anterior a
Windows Server 2012 R2:
El segundo enfoque se utiliza muy a menudo, puesto que el cambio de sistema operativo
supone, a menudo, un cambio de generación de hardware. El plan es muy similar, siempre
que no se degrade (en número de nodos) durante la migración:
• Instalar un clúster Windows Server 2012 R2 sobre, al menos, uno de los nodos
(nuevo clúster).
• Utilizar el asistente para migrar un clúster.
• Decidir si se utiliza el mismo almacenamiento o no.
• Poner en línea los recursos migrados.
• Eliminar el clúster anterior.
Para ello, es preciso, evidentemente, que los usuarios sean capaces de encontrar los mismos
datos y los mismos servicios que en el sitio principal, de la manera lo más transparente
posible. En lo relativo a los propios datos, tiene varias posibilidades para replicarlos entre
los sitios (DFS-R por ejemplo). Pero, ¿qué ocurre con un clúster?
Incluida con Windows Server 2012 R2, la funcionalidad Actualización compatible con
clústeres (CAU, Cluster-Aware Updating) permite automatizar la aplicación de
actualizaciones de Microsoft (Windows Update) sobre los nodos del clúster, conservando
un alto nivel de servicio.
La actualización compatible con clústeres funciona siguiendo los siguientes dos modos:
• Aplicar actualizaciones a este clúster: con ayuda del asistente, puede instalar, de
manera inmediata, las actualizaciones disponibles para los nodos de su clúster.
• Vista previa de actualizaciones para este clúster: le permite ver las
actualizaciones disponibles para los nodos de su clúster.
• Crear o editar perfil de ejecución de actualizaciones: permite crear o modificar
un perfil de ejecución de actualizaciones y almacenarlo en formato XML para
importarlo en otro servidor.
• Generar informe sobre ejecuciones de actualización anteriores: permite generar
un informe acerca de la ejecución e instalación de las actualizaciones en su clúster.
• Configurar opciones de auto-actualización de clúster: le permite habilitar,
deshabilitar, configurar y planificar la aplicación de actualizaciones automáticas en
su clúster de forma automática, mediante un simple asistente.
• Analizar preparación de la actualización del clúster: permite verificar la correcta
configuración del clúster para instalar actualizaciones remotas.
Ejemplo de configuración mediante PowerShell:
Conclusión
Ahora, conoce las ventajas e inconvenientes de una solución de alta disponibilidad y/o de
reparto de carga. Tiene las cartas en su mano para preparar su solución y gestionarla una
vez puesta en producción. Como con muchas otras soluciones, no debe esperar a tener
alguna necesidad tecnológica concreta (una caída de algún servidor, por ejemplo) para
validar su buen funcionamiento. Debe planificar pruebas de forma regular, con el objetivo
de asegurar su correcto funcionamiento del día D. A diferencia de la mayoría de proyectos,
es precisamente si ningún usuario se da cuenta de nada (comportamiento transparente),
cuando podremos decir que el proyecto ha sido un éxito.
Introducción
Este capítulo está dedicado a la definición y la configuración de los componentes
necesarios para el correcto funcionamiento de la red de la empresa basada en Windows
Server 2012.
En él, se abordan los componentes IP, DNS, DHCP, WINS, así como la implementación de
la cuarentena de red en DHCP, IPsec y 802.1x.
El cambio de un dominio DNS es, todavía, más complicado, sobre todo cuando dicho
dominio sirve como soporte a un dominio Active Directory. En este caso, una migración
representa un estudio particular que se sale del marco de nuestra presentación.
a. La zona DNS
El nombre escogido para la zona DNS debe corresponderse con la integridad de la entidad
(empresa, grupo, etc.) que se quiere gestionar. Este nombre debe poder ser aceptado por
todas las entidades dependientes que tengan que alcanzar esta zona. ¡El problema es más de
aspecto político que técnico!
Si alguna entidad no se encuentra en este marco, quiere decir que debe asociársele una zona
DNS específica.
Si la zona DNS debe utilizarse en Internet, el dominio DNS tendrá que ser,
obligatoriamente, público y estar registrado, es decir, debe utilizar una extensión
reconocida de tipo .es, .com, .info...
En una red interna, el dominio puede ser público o privado. La elección más común es, por
tanto, escoger un dominio DNS local con una extensión desconocida en Internet. La
extensión .local se utiliza muy a menudo bajo la forma miempresa.local. El desacople
entre la sección interna y la externa resulta mucho más fácil de llevar a cabo. Esta elección
se desaconseja, pues los proveedores de certificados han decidido, de acuerdo con los
grandes fabricantes, no distribuir más certificados a partir del 1 de Enero de 2014 que
incluyan nombres de dominios DNS que no puedan verificarse. Esto tiene una
consecuencia directa en la configuración de muchos servidores Exchange que trabajan con
este tipo de certificados. No obstante, es probable que algunos servidores Web visibles al
mismo tiempo en la Intranet y en Internet utilicen este tipo de funcionalidad.
En cambio, el uso del mismo nombre de dominio sobre la red interna y sobre Internet
obliga a tener servidores DNS diferentes para hacer visible sobre Internet únicamente la
parte que se desea exponer. Esto supone una doble administración de las zonas DNS. Esta
solución resulta muy compleja. En las nuevas instalaciones, las recomendaciones serán:
• bien utilizar un dominio con una extensión conocida (y disponible en el registro) tal
como .org, .net, .info.
• o bien definir un subdominio del dominio público que ya se esté utilizando, de la
forma ad.miempresa.es.
b. La clase de red
Para todas las redes internas, la elección se realizará, evidentemente, sobre las clases de
redes privadas. Si no se quiere modificar la integridad de las redes existentes por motivos a
menudo históricos, es posible, al menos, crear todas las nuevas redes siguiendo esta regla.
La clase de red se escoge en función del número de máquinas presentes en la red, del
número de sitios, etc. Una red de clase C (192.168.0.X) representa, a menudo, una buena
elección inicial. Siempre es posible cambiar la clase de la red o incluso utilizar varias redes
en función de las necesidades.
El uso de TCP/IP v6 no está, todavía, bien desarrollado, aunque será necesario en un plazo
de dos a tres años, principalmente en Internet. En la red local, siguen existiendo muchas
aplicaciones que no son compatibles, ¡aunque deberían evolucionar rápidamente! La red
IPv6 se estudia en el capítulo La evolución de la red.
2. La instalación de un servidor DHCP
Como muchos otros componentes de Windows Server 2012, el servicio DHCP es un rol.
a. Definición
El protocolo DHCP (Dynamic Host Configuration Protocol) tiene como objetivo proveer
una dirección IP y una máscara de subred a cualquier dispositivo de la red (estación,
servidor u otro) que lo solicite. Según la configuración, es posible configurar también otros
parámetros importantes, tales como: las direcciones IP de la ruta por defecto, los servidores
DNS que debe utilizar, los servidores WINS y el sufijo del dominio, por citar algunos de
los más importantes.
DHCP se reserva, a menudo, para las estaciones, las impresoras, y no debería servir, salvo
muy excepcionalmente, para los servidores.
b. Instalación
Como con todos los demás componentes de Windows, la instalación puede llevarse a cabo
de forma gráfica o mediante un comando PowerShell sin tener que insertar ningún medio
extraíble.
Install-WindowsFeature DHCP
Preste atención, ¡el servicio se iniciará y configurará de manera inmediata con arranque
automático! En cambio, la instalación del componente DHCP mediante PowerShell sólo
instala el servicio DHCP. Es preciso ejecutar el comando indicado a continuación para
instalar la herramienta de administración.
Install-WindowsFeature RSAT-DHCP
Preste atención, si el servidor que hospeda DHCP forma parte de un bosque Active
Directory, debe estar, además, autorizado para los administradores miembros del grupo
Administradores de empresas y aquellos que hayan recibido los permisos de
administración de DHCP.
El servicio DHCP, como los demás servicios de red de referencia (DNS, WINS), debería
instalarse siempre sobre servidores que utilicen una IP fija.
c. Configuración
Los servidores autorizados aparecen marcados con una flecha de color verde.
Cada servidor DHCP puede servir varios ámbitos, aunque sólo uno por cada red IP.
Utilice el asistente Ámbito nuevo que aparece haciendo clic con el botón derecho sobre
IPv4 para preparar el uso de la red deseada.
Defina el nombre y la descripción del ámbito.
Idealmente, todo dominio Active Directory debería incluir, al menos, dos controladores de
dominio y, por tanto, dos servidores DNS a este nivel.
Las opciones del servidor (006, 015, 042 y 046) sirven como valores por defecto, aunque se
reemplazan por las opciones del ámbito, que son prioritarias.
• La opción Nombre de dominio DNS no permite especificar varios sufijos de
búsqueda DNS. Si fuera necesario, las directivas de grupo permiten agregar sufijos
de búsqueda.
• El Tipo de nodo con el valor 0x8 configura el modo de resolución híbrida. Es decir,
se realizará una búsqueda de servidores WINS en primer lugar, y se pasará al modo
Broadcast si falla.
Puede resultar muy interesante configurar ciertas propiedades avanzadas del servidor
DHCP.
Por ejemplo, cuando se configura la zona Intentos de detección de conflictos con un valor
superior a cero (generalmente 2), DHCP utilizará una consulta ICMP para determinar la
posible existencia de alguna máquina sobre esta dirección.
La duración del contrato será más elevada conforme mayor sea el número de direcciones IP
disponibles y menor sea el riesgo de producirse algún conflicto.
Incluso para aquellos administradores que quieran gestionar todas las máquinas con un
direccionamiento IP fijo, DHCP puede resultar muy útil. En efecto, hay quien gestiona de
este modo la práctica totalidad del parque mediante una reserva para cada dirección IP,
incluso si esto supone una seguridad más o menos ficticia.
Sin llegar al caso en que debamos gestionar así toda la red, las reservas resultan muy útiles
para las impresoras de red, los dispositivos administrables (tales como switch...) y, en
ocasiones, para ciertas máquinas cuya dirección IP se autorice y utilice en la configuración
de alguna aplicación.
Cada tarjeta de red dispone de una dirección física única llamada dirección MAC y, de este
modo, es posible identificar una demanda proveniente de esta dirección y proveerle siempre
la misma dirección IP y la misma configuración.
Import-Module DHCPSERVER
Las directivas DHCP permiten configurar de manera particular los dispositivos, por
ejemplo asignándoles una parte del rango IP, en base a los siguientes criterios:
• La clase Vendor
• La clase User
• La dirección MAC
• El identificador de cliente
• La información relativa al agente de retransmisión
El criterio más sencillo que se puede utilizar es, a menudo, la dirección MAC cuyos 6
primeros caracteres hexadecimales identifican, generalmente de forma unívoca, al
fabricante y el modelo.
En el caso de máquinas virtuales, son los 6 últimos caracteres los que pueden resultar útiles,
pues definen el direccionamiento definido a nivel de hypervisor.
Destacaremos que las directivas se gestionan bien a nivel del servidor o bien a nivel de un
ámbito.
Indique las propiedades DHCP que podrían ser diferentes (Router, Servidor DNS…).
Resumen de la configuración inicial:
La dirección MAC puede obtenerse desde una ventana de comandos DOS mediante el
comando Ipconfig /ALL o mediante el comando PowerShell GET-NetAdapter.
Para simplificar, esta nueva configuración permite a dos servidores DHCP gestionar la
misma red o el mismo ámbito. Existen dos modos de funcionamiento: bien un modo de tipo
activo/pasivo, o bien un reparto de carga con un reparto de clientes. En ambos casos, la
información y los ámbitos se replican entre los servidores, y los clientes conservan la
misma configuración.
Observe que, para IPv6, este tipo de configuración no resulta útil. Basta con que ambos
servidores DHCP distribuyan las mismas opciones para obtener el mismo resultado.
Sólo es posible instalar dos servidores DHCP. La única restricción es disponer de dos
servidores Windows Server 2012/2012 R2. Éstos no deben, obligatoriamente, formar parte
del dominio, en cambio no se garantiza el correcto funcionamiento si los relojes están
desfasados más de un minuto.
La primera etapa consiste en verificar que ambos servidores DHCP están instalados y
autorizados, si forman parte de un dominio.
Debe existir al menos un ámbito sobre uno de los servidores antes de comenzar con el
procedimiento que permite configurar la conmutación por error.
El modo Equilibrio de carga repartirá las peticiones en función del porcentaje indicado.
El modo Espera activa utiliza únicamente el servidor principal, aunque los datos se
replican en el segundo servidor, que toma el control en caso de caída del servidor principal.
Esta cadena se utiliza para dotar de seguridad a la comunicación entre ambos servidores,
que comparten esta misma clave.
DNS se ha convertido en la piedra angular del funcionamiento de una red Windows basada
en Active Directory, aunque no sólo esto.
a. Definición
DNS (Domain Name Server) es un protocolo que permite a los clientes (de la red) consultar
una base de datos que contiene información sobre las máquinas y los servicios que
hospedan.
DNS es un sistema que permite establecer una correspondencia entre una dirección IP y un
nombre de dominio y, en términos generales, encontrar cierta información a partir de un
nombre de dominio.
b. Instalación
La instalación del servicio DNS sobre una red Windows se hace, a menudo, en el marco de
instalación del primer controlador de dominio Active Directory. Su configuración inicial se
tiene en cuenta de manera automática en el asistente DCPROMO. Por defecto, la zona DNS
utilizada por Active Directory está, ahora, integrada y administrada por Active Directory.
Install-WindowsFeature DNS
Install WindowsFeature RSAT-DNS-Server
Si el servicio DNS se agrega sobre un controlador de dominio, todas las zonas integradas
con Active Directory se conocen automáticamente y se utilizan en el servicio DNS para
llevar a cabo la resolución de nombres.
En los demás casos, el servicio DNS deberá gestionarse como un servidor DNS clásico.
Podrá, por tanto, hospedar zonas y servir de caché o de redirector hacia otros sistemas
DNS.
Este tipo de zona se utiliza principalmente para administrar zonas que no estén vinculadas a
Active Directory. Las zonas DNS públicas, que contienen los servidores Web de la empresa
y los servidores de mensajería son los ejemplos de uso más corrientes.
Una zona secundaria puede establecerse a partir de un servidor de zona principal, una zona
integrada en Active Directory o incluso otro servidor de zona secundaria. La zona
secundaria no es sino una réplica exacta de la zona de la que depende. En cambio, la
replicación debe estar autorizada sobre el servidor que sirve como referencia.
Como ocurre con la zona principal, la información se almacena en un archivo de texto con
extensión .dns.
En caso de pérdida del servidor principal, un servidor de zona secundario puede convertirse
en un nuevo servidor principal.
Una zona integrada en Active Directory consiste, como su propio nombre indica, en utilizar
la base de datos de Active Directory como almacén principal de información. De entrada,
aprovecha todas las opciones de seguridad de Active Directory, así como la replicación
incremental entre todos los controladores de dominio.
Todos los dominios DNS pueden integrarse con Active Directory, no sólo aquellos usados
directamente por Active Directory.
Sólo se aplican a las zonas integradas en Active Directory, accediendo a las propiedades del
dominio seleccionado.
Seleccione la zona DNS y, a continuación, haga clic con el botón derecho y seleccione
Propiedades en el menú.
De preferencia a este tipo de replicación para los dominios que deban ser conocidos (y se
tengan que resolver) rápidamente en todos los dominios del bosque sin tener que transferir
las consultas hacia los redirectores (Forwarders). Esta elección debe aplicarse,
particularmente, al dominio raíz del bosque.
La replicación sobre todos los controladores de dominio es el modo compatible con el que
existía en Windows 2000. Se trata de la elección lógica cuando los controladores de
dominio se utilizan como servidores DNS de referencia. En efecto, como los controladores
de dominio ya replican los datos de DNS al mismo tiempo que los demás datos del
directorio, basta con instalar el servicio DNS para que se asegure esta funcionalidad.
Esta elección se utiliza con poca frecuencia, y permite a los servidores DNS que no son
controladores de dominio recibir, también, la replicación de una zona concreta.
• la partición ForestDnsZones;
• la partición DomainDnsZones.
Si se crea alguna otra partición de aplicación, puede utilizarse para replicar la información
DNS (u otro tipo de información) sobre grupos de máquinas personalizados.
Observe que haciendo clic con el botón derecho sobre el servidor DNS, la opción Crear
particiones de directorio de aplicaciones por defecto puede resultar muy útil para recrear
una u otra partición.
e. Zonas de búsqueda inversa
Las zonas de búsqueda inversa DNS son capaces de resolver el nombre de una máquina a
partir de su dirección IP. La clasificación se realiza, por lo tanto, en función del
direccionamiento IP de la red.
Cuando se crean estas zonas, es importante configurar DHCP para gestionar las
actualizaciones de los registros PTR, es decir, el nombre del host asociado con cada
dirección IP. La integración de estas zonas con Active Directory se aplica, principalmente,
a las redes IP que contienen, en su mayor parte, equipos Windows.
Esta posibilidad no viene activada por defecto. Su objetivo consiste en obtener una
resolución de nombres simples (llamados single-label name), sin dominio ni extensión,
sobre el conjunto del dominio o del bosque. Para algunos controladores, esto puede servir
para eliminar el servicio WINS sin tener que sufrir los inconvenientes de la replicación y
las actualizaciones regulares propias del servicio WINS.
En particular, se trata de crear una zona DNS especial llamada GlobalNames en la cual se
incluyen todos los nombres para los que se quiere tener una resolución inmediata sin tener
que buscar entre los distintos sufijos de dominio de búsqueda DNS.
Es posible, por tanto, crear entradas tales como www, smtp, pop, proxy... que apunten a
servidores bien conocidos o muy solicitados en el conjunto de la empresa. Estas entradas
pueden ser registros de tipo A que indican, directamente, la dirección IP, o de tipo
CNAME, es decir, un nombre completo que se resuelve de forma clásica.
Para configurar la GNZ, los servidores DNS autoritarios deben ser, como mínimo,
servidores Windows Server 2008. Sobre cada servidor DNS, active el modo GNZ
utilizando el siguiente comando PowerShell:
Set-DnsServerGlobalNameZone -Enable:$true
Agregue los registros que desee por línea de comandos o a través de la interfaz gráfica. A
continuación se muestra un ejemplo de cómo agregar un registro estático que apunta a un
servidor Proxy.
Por defecto, la resolución local DNS se utiliza antes que la de la zona global, si fuera
preciso utilice el siguiente comando para dar preferencia a la resolución de nombres a partir
de la zona GlobalNames:
Esta configuración sólo se aplica a nivel de los servidores DNS. El objetivo es centralizar la
configuración.
g. Pruebas y verificaciones
La herramienta ping es la primera que se utiliza para realizar pruebas de resolución. Preste
atención, el resultado de las pruebas puede verse alterado por el filtrado existente en los
firewall intermedios o sobre los propios sistemas. Utilice ping con el nombre corto, el
nombre completo (el nombre seguido del dominio DNS completo) y la dirección IP. Si se
obtiene una respuesta con cada una de las pruebas, significa que todo funciona
correctamente. En la prueba basada en la dirección IP, el argumento -a permite verificar
también la resolución inversa.
C:\Users\administrator.DOMINIOLOCAL>ping -a 172.16.1.184
La herramienta NsLookup permite consultar a los servidores DNS los distintos campos y
registros de las zonas DNS accesibles.
Los dos comandos, Tracert y PathPing, son equivalentes al ping, aunque muestran todas
las etapas, las direcciones atravesadas y las duraciones de cada etapa.
SOA: el registro de tipo SOA se corresponde con una fuente de autoridad de la zona
afectada. Todas las modificaciones en la zona incrementan el número de versión asociado a
esta zona.
A diferencia de los demás registros, los registros SOA y NS son únicos en cada zona.
CNAME: el registro CNAME crea un nombre (llamado Alias) en una zona, que podrá
asociarse a un registro de tipo A en la misma zona o en otra zona DNS.
MX: cada registro MX debe apuntar a un registro de tipo A en el que alguna máquina posea
un servicio SMTP activo. Este registro resulta inútil para la mensajería interna basada en
Exchange. Cuando existen varios registros de tipo MX, el peso (prioridad) más bajo
asociado a cada uno de ellos indica el servidor de mensajería que debe utilizarse de forma
prioritaria.
SRV: el registro SRV sirve para indicar un servicio particular en un puerto específico. Los
registros LDAP, Catálogo Global, Kerberos, SIP y otros utilizan este tipo de registros.
PTR: el registro PTR (Puntero) indica el nombre completo (FQDN) asociado a la dirección
IP que se utiliza para la búsqueda. Sólo existe en las zonas de búsqueda inversa y no son
indispensables en un entorno Microsoft.
Existen otros tipos de registro, tales como el campo TXT, que se utilizan con menor
frecuencia y son menos útiles para el funcionamiento de una red de equipos Windows.
i. Buenas prácticas
Las soluciones que se utilizan son las zonas de código auxiliar (stub zones) o las
redirecciones condicionales.
A nivel de cada dominio raíz de cada bosque, el uso de una redirección condicional hacia
cada bosque bastará para resolver todo el bosque correspondiente.
j. DNSSEC
El número de DNSSEC de Windows 2008 estaba muy limitado y se basaba en tres tipos de
registro:
• KEY: este registro contiene la clave pública indicada en la zona DNS del dominio.
Esta clave puede corresponderse con un servidor, la zona u otra entidad. Los
registros KEY se autentifican mediante registros de tipo SIG.
Como con Windows Server 2008 R2, Windows Server 2012 puede no solo gestionar las
zonas firmadas, sino también recibir información firmada, validarla y transmitirla a sus
clientes. Sin embargo, DNSSEC puede configurarse de forma mucho más sencilla,
directamente mediante la interfaz de administración gráfica.
Verifique bien las condiciones de uso de DNSSEC en los puntos importantes que se
indican al final del procedimiento.
En este ejemplo, se dota de seguridad a una zona sencilla llamada MiEmpresa.es, estática
y pública, que contiene dos registros MiSitioWeb (de tipo A) y www (de tipo CNAME).
Preste atención, el procedimiento es el mismo tanto si la zona DNS se integra con Active
Directory como si no. Sin embargo, la firma de la zona bloquea la zona, que ya no
podremos transformar.
DNSSEC está autorizado por defecto en Windows Server 2012. He aquí el comando que
permite verificar esto sobre el servidor DNS seleccionado:
Seleccione la zona que desea firmar y haga clic con el botón derecho para desplegar el
menú que contiene la opción DNSSEC.
Seleccione la opción Firmar la zona y haga clic en Siguiente.
Configure y distribuya los puntos de validación de DNSSEC.
Preste atención, esta configuración no debe realizarse sobre el servidor primario, sino,
únicamente, sobre los demás servidores DNS que reciban las consultas para esta zona.
Si la zona está integrada y el servidor DNS es controlador de dominio, esta operación sólo
debe realizarse una única vez para todo el bosque.
Verifique que la resolución de la zona especial .trustanchors funciona para la zona que ha
firmado mediante el siguiente comando PowerShell.
Idealmente, si los servidores DNS son controladores de dominio, las directivas se aplican
directamente sobre la unidad organizativa de los controladores de dominio. Además, una
unidad organizativa puede utilizarse para todos los servidores DNS miembros.
Los certificados que utilizan los servidores DNS integrados en Active Directory pueden,
también, entregarse de forma automática a través de una entidad emisora de certificados
interna utilizando el modelo Directory Service Email Replication para crear una nueva
plantilla que incluya el identificador del objeto 1.3.6.1.4.1.311.64.1.1.
Se aplica una configuración particular para que el protocolo DNS pueda utilizarse de forma
anónima y autentificada, con el objetivo de validar los certificados.
Las estaciones o servidores miembros previstos para utilizar DNSSEC deben estar
configurados para utilizar una NRPT (Name Resolution Policy Table), es decir, una tabla
que incluye una directiva de resolución de nombres.
Es posible crear una directiva de grupo para las máquinas miembros. Las demás se
configuran directamente en las claves de registro.
Con cada regla, haga clic en el botón Crear para agregarla a la tabla de la directiva.
He aquí las distintas reglas que pueden habilitarse mediante esta directiva:
Los botones Actualizar, Crear, Eliminar, y también Eliminar regla, Editar regla
permiten agregar, modificar o eliminar el conjunto de reglas de la lista asociada a la
directiva.
Hay varios puntos importantes que cabe tener en cuenta a la hora de utilizar DNSSEC:
Utilice el siguiente comando para obtener la lista de todos los comandos posibles.
Los comandos permiten crear, modificar y eliminar zonas, registros, así como configurar la
práctica totalidad de los parámetros de un servidor DNS, incluido DNSSEC.
• El rol Key Master es, ahora, posible de configurar en las zonas multimaestro
gestionadas en los archivos (no integradas en Active Directory).
• Por otro lado, todas las tareas de administración pueden realizarse en el servidor
KeyMaster sin impactar a los demás DNS primarios que no son KeyMaster. Este
aislamiento permite realizar todas las operaciones de generación de claves,
almacenamiento, reemplazo y eliminación mientras que los demás servidores siguen
firmados en la zona mediante estas claves.
2. La resolución WINS
En teoría, esta resolución no debería utilizarse más, salvo para integrar dominios antiguos
NT4. En la práctica, suele ser necesario (incluso muy práctico) para ciertas aplicaciones
heredades (Microsoft o no), y también para aplicaciones recientes tales como Exchange
2007 (en casos muy particulares).
Cuando se realiza una migración o cuando existe alguna duda sobre el funcionamiento de
ciertas aplicaciones, es habitual mantener uno o dos servidores WINS en el sitio central.
Las estaciones y servidores que utilizan este tipo de aplicación apuntarán, directamente,
sobre este servidor WINS. De este modo, es inútil mantener y replicar los servidores WINS
por toda la red.
a. Definición
WINS (Windows Internet Name Service) es un servicio basado en una base de datos Jet
que permite encontrar la dirección IP asociada a un nombre NetBIOS, y viceversa.
A diferencia de DNS, WINS mantiene información sobre los grupos de máquinas (llamados
grupos de trabajo cuando los ordenadores no pertenecen a un dominio), y también sobre los
usuarios conectados a dichas máquinas.
b. Instalación
Install-WindowsFeature WINS
Install-WindowsFeature RSAT-WINS
c. Configuración
Salvo en casos excepcionales en los que hay que informar manualmente un nombre
(llamado estático) y una dirección IP, no es necesario configurar un servidor WINS, que
recibe dinámicamente toda la información necesaria desde los servidores y clientes que se
inscriben, de forma automática, en la base de datos.
La única particularidad consiste en replicar la base de datos entre dos servidores WINS, o
más, dependiendo del caso.
Para que una replicación WINS funcione en un sentido, es preciso que el servidor WINS
esté configurado para emitir las modificaciones que recibe hacia otro servidor WINS,
aunque también es necesario que el otro servidor WINS esté configurado para recuperar la
información que proviene del servidor emisor en cuestión.
Para que la replicación funcione bien en ambos sentidos entre dos servidores WINS, es
preciso que cada servidor esté configurado como Emisión/Extracción con el servidor
remoto.
Preste atención, ya no hay que ver a WINS como una solución de resolución completa. A
día de hoy, DNS resulta imprescindible.
WINS es, simplemente, una solución que permite resolver problemas marginales de
funcionamiento de las aplicaciones o de acceso que sería demasiado complejo resolver de
otro modo.
El caso más común es una aplicación que utilice, únicamente, nombres de servidores
sencillos y relativamente cortos. Es el caso, por ejemplo, de algunas funcionalidades de
Exchange.
Este componente NAP (Network Access Protection) está, todavía, presente aunque
debería considerarse como obsoleto a partir de Windows Server 2012 R2. Microsoft
recomienda el uso de DirectAccess, que permite gestionar el equipo conectado "como" las
demás máquinas de la red (AV, WSUS...). La solución aportada por DirectAccess es, por
tanto, algo diferente al control de conformidad que proporciona el componente NAP.
El uso del cliente NAP se basa en el uso de un servidor NPS (Network Policy Server), es
decir, un servidor de directivas de red, que permite definir las restricciones deseadas.
Es, por lo tanto, necesario instalar y configurar este rol a partir del comando PowerShell:
Install-WindowsFeature NPAS-Policy-Server
Install-WindowsFeature RSAT-NPAS
Una vez terminada la instalación, es necesario definir algunos puntos para las directivas
funcionales:
Es posible descargar el kit de integración ForeFront for NAP (gratuito) para disponer de
un sistema de validación complementario. Deben cargarse varios módulos en los equipos
en función del tipo de procesador (32 o 64 bits), el módulo SHV sobre los servidores NPS,
el módulo SHA sobre los clientes que se quiere validar (http://www.microsoft.com/en-
us/download/details.aspx?id=15887).
La primera etapa consiste en definir las pruebas que se quieren realizar sobre los equipos
que disponen de un cliente NAP, es decir, Windows XP SP3, Windows Vista o superior.
Seleccione la configuración que desea personalizar y haga doble clic para acceder a las
distintas propiedades que se comprobarán. Observe que existe una pestaña para Windows
XP y otra para Windows Vista y versiones superiores.
Seleccione el mismo validador que para una máquina conforme, pero defina la regla como
El cliente no supera ninguna de las comprobaciones de SHV.
La cuarta etapa consiste en la creación de directivas de red.
Llame a la directiva Acceso completo para los equipos conformes, y deje el tipo de red
como No especificada.
No especificada significa que la directiva se aplicará sea cual sea el tipo de acceso de red
utilizado.
Indique Acceso concedido, ¡lo cual resulta evidente para las máquinas conformes!
Haga clic en Finalizar en la pantalla final que resume los valores de la directiva.
Haga clic con el botón derecho en Directivas de red y, a continuación, seleccione Nueva
en el menú.
Llame a la directiva Acceso completo para los equipos no conformes, deje el tipo de red
en No especificada como hizo con las máquinas conformes.
En la pantalla Especificar condiciones, debe precisar sobre qué equipos se aplica esta
directiva, haga clic en Agregar.
La opción Permitir acceso limitado no debe aplicarse si no estamos seguros de los efectos
de la directiva. Es, a menudo, preferible autorizar un acceso completo en primer lugar y
utilizar el modo informe para hacerse una idea del conjunto de equipos que se verán
impactados.
Si queremos autorizar las actualizaciones automáticas (y, por tanto, habilitar los servidores
de conformidad), debemos marcar la opción Habilitar corrección automática de equipos
cliente.
Haga clic en Configurar para especificar un Grupo de servidores de actualizaciones así
como la dirección de una página Web opcional que le dé instrucciones al usuario.
En los clientes restantes, cada servidor indicado en el grupo dispone de su propia ruta con
una máscara 255.255.255.255. Lógicamente, los demás servidores no están accesibles.
Observe que, según el reparto de roles en los distintos servidores autorizados, las
actualizaciones automáticas pueden requerir un acceso completo.
El cliente Agente de Protección de acceso a redes debe estar habilitado sobre los puestos
cliente, es decir, el servicio debe estar configurado con arranque automático.
El Centro de seguridad debe estar habilitado, algo que puede llevarse a cabo mediante una
directiva.
Una vez realizadas las preparaciones previas descritas anteriormente, quedan pocas etapas
para que NAP funcione sobre DHCP.
El ámbito DHCP debe, en primer lugar, estar habilitado para utilizar la seguridad basada en
NAP.
Las máquinas que cumplen con los requisitos previos utilizan las opciones que ha
configurado en las Opciones estándar de DHCP (Clase de proveedor), para la Clase de
usuario predeterminada.
Esta seguridad requiere la instalación del servicio Autoridad HRA (Health Registration
Authority) a través del siguiente comando PowerShell:
Install-WindowsFeature NPAS-Health
Para limitar la aplicación de la cuarentena de red basada en IPsec, es prudente crear grupos
de equipos para cada categoría.
• Equipos clientes de NAP IPsec: es decir, todas aquellas estaciones que deban
cumplir con las normas de seguridad (CLIENTES-NAP).
• Aquellos servidores llamados "de frontera" (Boundary) que reciben,
automáticamente, un certificado de salud y que sirven para autentificar a los
clientes. Los controladores de dominio, los servidores DNS y los servidores de
reparación deben formar parte de este grupo (SERVIDORES-FRONTERA).
• Los equipos protegidos por NAP IPsec: reciben, también, automáticamente un
certificado y sólo autorizan la conexión desde las máquinas autentificadas
(SERVIDORES-NAP).
Cada máquina (estación o servidor) debe poder recibir un certificado. Ahora bien, el
certificado emitido por defecto a las estaciones no contiene la directiva de autenticación
adecuada.
En la pestaña Seguridad, agregue los grupos de servidores de tipo frontera y los servidores
protegidos, y asigne los permisos Inscribirse e Inscripción automática.
En la consola Entidad emisora de certificados, en el contenedor de las plantillas de
certificado, haga clic con el botón derecho y seleccione Plantilla de certificado que se va
a emitir y, a continuación, la plantilla Autenticación de sistemas sanos.
Los parámetros de inscripción y renovación automática están habilitados por defecto en las
Propiedades.
Es posible, también, abrir una consola MMC y agregar el componente Autoridad HRA
(Health Registration Authority).
En el puesto cliente, para habilitar IPsec, es necesario hacerlo desde la línea de comandos
mediante la siguiente instrucción:
• DHCP = 79617
• RAS = 79618
• IPsec = 79619
• TS Gateway = 79621
• EAP = 79623
Observe que si el equipo no está conforme, el certificado que reciba se verá invalidado
inmediatamente sin esperar las cuatro horas.
De momento, no se impone ningún cumplimiento salvo el hecho de disponer de un
certificado. Estos cumplimientos los aportan tres directivas basadas en los grupos de
seguridad creados al principio.
Estas directivas pueden definirse en la raíz del dominio siempre que se implemente un
filtrado sobre los grupos de seguridad.
Los servidores frontera deben solicitar, pero no imponer, certificados válidos. Los
servidores protegidos y los puestos cliente deben utilizar certificados, aunque es preferible
utilizar directivas diferentes para asociar una configuración específica para los clientes
(URL de configuración HRA).
He aquí la directiva que debe implementar sobre los servidores frontera (Boundary):
Deje marcados todos los perfiles que se aplicarán: Dominio, Privado, Público.
He aquí la nueva directiva que debe implementarse en los clientes y los servidores
protegidos.
Aunque la configuración sea idéntica, cree dos directivas independientes para poder
habilitar y modificar la configuración según las necesidades.
Utilice el mismo procedimiento que con los servidores frontera, seleccionando la opción
Requerir autenticación para las conexiones entrantes y solicitar autenticación para las
conexiones salientes, en lugar de Solicitar.
Indique su entidad emisora de certificados de dominio, y marque la opción Sólo aceptar
certificados de mantenimiento.
Deje marcados todos los perfiles que se aplicarán: Dominio, Privado, Público.
Se creará una directiva idéntica para los servidores que se quieren proteger.
Se utiliza una asociación de seguridad basada en los certificados para llevar a cabo la
comunicación.
Preste atención, el hecho de imponer una autenticación hace que no sea posible conectarse
con máquinas que no tengan un certificado válido o que no cumplan la directiva de
seguridad para los sistemas conformes.
• un servidor de autenticación;
• un agente de autenticación (switch o punto de acceso inalámbrico) ;
• el solicitante.
El cliente solicitante utiliza el protocolo EAP (EAP over LAN) para enviar la solicitud al
agente de autenticación (Pass-Through). El agente Pass-Through puede, a continuación,
consultar al servidor RADIUS para validar o no la conexión.
Los puertos del switch utilizados para conectar el servidor NPS y los controladores de
dominio deben configurarse para no imponer la autenticación 802.1X. Todas las solicitudes
de autenticación del switch deben redirigirse hacia el servidor NPS.
b) En el bosque Active Directory, será preciso tener una entidad emisora de certificados
raíz de tipo Enterprise. El servidor NPS debe haber recibido un certificado de equipo y el
certificado raíz deberá agregarse a las principales entidades de confianza en todas las
máquinas.
Es posible crear un grupo de seguridad específico llamado Clientes NAP 802.1X para los
clientes NAP 802.1X, con el objetivo de restringir la aplicación de las directivas en las
máquinas que pertenezcan a este grupo.
En los Clientes RADIUS, agregue la dirección IP o los switch RADIUS, así como el
secreto compartido que utilizará el cliente RADIUS.
A continuación, debe configurar las dos redes locales virtuales (VLAN) tal y como se
indica a continuación, haciendo clic en Configurar.
En Directivas de red cableada (IEEE 802.3), cree una directiva de red cableada con la
siguiente configuración:
Haga clic en Propiedades y deje la opción Verificar la identidad del servidor validando
el certificado marcada, así como el método de autenticación EAP-MSCHAP versión 2
por defecto.
Observe que estos parámetros pueden también configurarse de manera manual en el equipo
de trabajo, a condición de iniciar manualmente todos los servicios indicados en la directiva.
5. Conclusión
En cualquier caso, la cuarentena de red no supone una seguridad absoluta, aunque mejora
enormemente la seguridad global favoreciendo la uniformidad a nivel del conjunto de la
red.
La consola IPAM
La instalación de la funcionalidad IPAM (IP Address Management) tiene como objetivo
centralizar la administración del direccionamiento IP utilizando por el conjunto de
elementos dependientes de la infraestructura de red de Microsoft.
La herramienta está basada en una base de datos que permite administrar el descubrimiento,
la supervisión y la auditoría del direccionamiento. Esta base de datos conserva y registra la
información durante 3 años a partir de criterios tales como las direcciones IP, los nombres
de las máquinas o de los usuarios. A partir de esta información centralizada y agregada, la
consola permitirá modificar la configuración DNS, DHCP de manera remota teniendo en
cuenta todos los elementos necesarios.
• DHCP
• DNS
• NPS
2. La arquitectura IPAM
Según el tamaño de la empresa y sus necesidades, el despliegue puede ser distribuido (un
servidor IPAM por sitio) o centralizado (un único servidor para toda la empresa), o incluso
una combinación de ambos. El límite de cobertura de un servidor IPAM es el bosque del
que forma parte.
Cada servidor IPAM se configura para administrar un ámbito específico. El ámbito puede
ser un dominio, un sitio y puede también limitarse a una lista filtrada de servidores
administrados. Un servidor IPAM puede, también, definirse en la copia de seguridad.
IPAM se comunica de manera regular con los controladores de dominio, los servidores
DNS y DHCP de la red que están en su dominio de cobertura. ¡Cada servidor debería
definirse como administrado o no administrado!
Para que un servidor pueda ser administrado por IPAM, es necesario configurar la
seguridad sobre dicho servidor, de modo que el servidor IPAM pueda realizar la
supervisión y modificar la configuración si fuera necesario. Las directivas de grupo son,
por tanto, la herramienta ideal para automatizar esta configuración según si el servidor está
administrado o no.
Como con los demás elementos, la instalación puede hacerse de forma gráfica o mediante
comandos PowerShell.
Install-WindowsFeature IPAM-Client-Feature
4. Configuración inicial
Haga clic en Conectar con servidor IPAM (etapa número 1 del asistente).
Observe que, utilizando la base de datos Interna, ahora es posible cambiar la ubicación de
dicha base de datos.
Invoke-IpamGpoProvisioning
Las directivas se crean en la raíz del dominio correspondiente. Se aplican, por tanto, a todos
los servidores DNS, DHCP y DC (para acceder a la configuración de NPS) del dominio.
Idealmente, es posible desplazar la aplicación de dichas directivas sobre las unidades
organizativas que contengan únicamente los servidores correspondientes. No hay que
olvidar que los controladores de dominio pertenecen a un contenedor específico.
Por defecto, los tres roles (DNS, DHCP, Controladores de dominio) están seleccionados, lo
cual resulta aconsejable. Haga clic en Aceptar.
Haga clic en Iniciar detección de servidores (etapa número 4 del asistente).
Seleccione el servidor o los servidores que desea configurar y, a continuación, haga clic
con el botón derecho para desplegar el siguiente menú contextual:
Fuerce la aplicación de las directivas IPAM en cada servidor DC, DHCP o DNS mediante
el comando GPUPDATE /FORCE.
Puede ocurrir, generalmente en Windows Server 2008 R2, que el acceso al servicio DHCP
se mantenga bloqueado. En este caso, verifique que el recurso compartido DHCPAUDIT
está creado correctamente en la carpeta C:\Windows\system32\ dhcp.
Los siguientes grupos de seguridad se crean en la base de datos local de cuentas del
servidor IPAM:
• Usuarios IPAM: los miembros de este grupo pueden ver toda la información
disponible en el inventario de servidores, el espacio de direccionamiento IP y el
análisis de la gestión de la consola IPAM así como los eventos operacionales IPAM
y DHCP que forman parte del catálogo de eventos, aunque no consultar la
información de seguimiento de las direcciones IP.
• Administradores IPAM MSM: los miembros del grupo Administradores MSM
(Multi-Server Management, gestión multiservidor) tienen los mismos permisos que
los usuarios IPAM y, además, pueden realizar tareas de gestión IPAM corrientes y
tareas de análisis y de administración.
• Administradores IPAM ASM: los miembros del grupo de Administradores ASM
(Address Space Management, gestión del espacio de direccionamiento) tienen los
mismos permisos que los usuarios IPAM y, además, pueden realizar tareas de
gestión IPAM corrientes así como tareas ligadas al espacio de direccionamiento IP.
• Administradores de auditoría IPAM IP: los miembros del grupo de
administradores de auditoría IPAM tienen los mismos privilegios que los usuarios
IPAM. Pueden realizar tareas de gestión IPAM corrientes y, además, ver la
información de seguimiento de las direcciones IP.
• Administradores IPAM: los miembros de este grupo tienen permisos sobre todos
los datos IPAM y pueden realizar cualquier tarea.
Existe un grupo de seguridad universal IPAMUG que se crea sobre el dominio tras la
primera instalación:
Haga clic en el menú ACCIONES para obtener las operaciones habituales sobre las
direcciones IP:
• La instalación puede ahora utilizar la base de datos interna de Windows o una base
de datos ubicada en un servidor MS SQL 2008 o superior. Preste atención, la base
de datos integrada en Windows está limitada a 4 GB.
• Un servidor IPAM es capaz de gestionar hasta 150 servidores DHCP, 500
servidores DNS, 6000 ámbitos DHCP y 150 zonas DNS.
• La base de datos almacena tres años de información histórica (contratos, direcciones
MAC, conexiones y desconexiones de los usuarios) de hasta 100000 usuarios. No
existe ninguna estrategia de purgado automático, de modo que tendrá que hacerse
manualmente si fuera necesario.
• El análisis de tendencias sobre el uso de direcciones IP y de solicitudes sólo está
disponible para IPv4.
• No existe ningún procesamiento especial para direcciones de tipo IPv6
autoconfiguradas sin estado, ni sobre la migración de máquinas virtuales.
• IPAM no permite auditar direcciones IPv6 autoconfiguradas sobre un equipo que no
esté administrado para seguir un usuario.
• IPAM no verifica la coherencia de las direcciones IP con los routers y switchs de la
red.
8. La migración de IPAM a IPAM 2012 R2
La gestión de los roles se ve mejorada con Windows Server 2012 R2, y es mucho más
granular.
Por defecto, existe un único ámbito llamado Global, que incluye todos los recursos.
He aquí la lista de roles que se ofrecen por defecto. Cabe destacar que los roles no se
corresponden, exactamente, con los grupos creados por IPAM. Además, es posible crear
nuestros propios roles:
Este rol integrado provee los permisos requeridos para gestionar los ámbitos DHCP.
Este rol integrado provee los permisos requeridos para gestionar las reservas DHCP.
Este rol integrado provee los permisos requeridos para gestionar las direcciones IP,
en particular la búsqueda de direcciones IP no asignadas, así como la creación y la
eliminación de instancias de direcciones IP.
Este rol integrado provee los permisos requeridos para gestionar los registros de
recursos DNS.
Este rol integrado provee los permisos especificados por los roles Administrador
ASM IPAM y Administrador MSM IPAM, además de los permisos necesarios para
gestionar ámbitos de acceso, directivas de acceso y grupos lógicos.
Este rol integrado provee los permisos requeridos para gestionar completamente los
servidores DHCP, los ámbitos globales DHCP, los ámbitos DHCP, los filtros de
direcciones MAC, las directivas DHCP, las zonas DNS y los registros de recursos
DNS.
El botón TAREAS (ubicado arriba a la derecha) permite abrir el asistente para Agregar un
rol de usuario.
Escriba un Nombre y, opcionalmente, una Descripción del rol.
El botón TAREAS (ubicado arriba a la derecha) permite abrir el asistente Agregar ámbito
de acceso.
El ámbito puede ubicarse directamente bajo el ámbito Global, o en otro nivel si se desea
crear una arborescencia más compleja.
A continuación es posible asociar este ámbito a los recursos u objetos correspondientes.
Si desea delegar la zona pública MiEmpresa.es, haga clic en el botón derecho en la zona
miempresa.es y seleccione la opción definir ámbito de acceso.
Hasta ahora, no ha tenido lugar, realmente, ninguna delegación. Agregando los usuarios o
los grupos es como se otorgan los permisos reales de administración.
Como con Exchange, y con muchos otros productos, la tendencia es hacia la granularidad
en la delegación de la administración mediante el uso de roles personalizados que gestionan
un ámbito. El objetivo es no asignar más que aquellos permisos necesarios relativos a las
acciones y ámbitos deseados.
El protocolo IPv6
Poco a poco, la tecnología IPv6 se va introduciendo en nuestro día a día. Esto es así debido
a la inercia que adquiere todo en Internet, porque ya no existe otra opción en ciertas zonas
de Internet (África, Asia...) y, también, para conseguir una mejora progresiva a la hora de
adquirir nuevos dispositivos y componentes.
Microsoft está actualizando, de manera progresiva, todos sus productos para soportar los
estándares de la industria. Esto incluye a IPv6, que será el nuevo protocolo obligatorio en el
acceso a Internet, y que supone una evolución de IPv4, protocolo que se utiliza a día de
hoy.
El objetivo de esta parte no es presentar la integridad de IPv6 (lo que podría llevarnos
varios libros), sino disponer de los comandos básicos de referencia para comprender y
adaptarse al nuevo entorno.
Ejemplo ::ffff:172.16.1.1
Representación de las Notación decimal o Únicamente la longitud del
redes y subredes longitud del prefijo. prefijo.
(Máscara de red)
Resolución de nombres Registro de tipo (A) Registro de tipo (AAAA) que
DNS que contiene una contiene una dirección IPv6.
dirección IPv4.
Resolución DNS Dominio de tipo IN- Dominio de tipo IP6.ARPA.
inversa ADDR.ARPA.
2. Comandos principales
La mayoría de comandos son idénticos y funcionan a la vez sobre IPv4 e IPv6, por ejemplo
los comandos ipconfig /flushdns y /registerdns.
Ping -4 DC2012
Ping -6 DC2012
Preste atención, en este resultado, la parte %13 no forma parte de la dirección IP, sino que
se corresponde con el número del itinerario (interfaz) utilizado.
Cuando una tarjeta de red soporta los dos protocolos IP, no es obligatorio configurar DHCP
sobre ambos protocolos. Cuando se quiere utilizar el protocolo IPv6, o bien que el
protocolo DHCP se base en IPv6, he aquí algunos comandos prácticos:
Ipconfig /release6
Ipconfig /renew6
Observe que los comando /release y /renew sólo funcionan para IPv4.
3. La configuración de DHCP v6
El inconveniente es que los servidores, en particular los servidores DNS y los controladores
de dominio, tendrán, también, una dirección algo compleja y difícil de memorizar. En el
marco de las directivas los scripts, o la configuración de ciertos componentes tales como
firewalls, puede ser deseable configurar uno mismo esta parte de DHCP. Sabiendo que se
puede escoger la dirección IP de su servidor DNS; de su proxy, será mucho más fácil
utilizar información fija en los scripts de conexión o de personalización del entorno.
El funcionamiento de DHCPv6 está ligado a varios valores del entorno definidos sobre las
tarjetas de red. Cuando se habilita IPv6 en una tarjeta de red, la configuración se realiza,
por defecto, en modo StateLess (sin estado). Esto quiere decir que la configuración de la
dirección (flag llamado M), tiene el valor Disabled, y no está administrado. La
configuración de cada sitio la aportan los routers.
He aquí la lista de comandos que debe utilizar para gestionar, de manera efectiva, un
direccionamiento IPv6 basado en DHCPv6.
En los siguientes comandos, LAN se corresponde con el nombre de la tarjeta de red.
Utilice el comando netsh interface ipv6 show interface LAN para confirmar las opciones en
curso.
La duración válida se corresponde con la duración máxima, si no existe una renovación del
contrato.
Preste atención, la activación del modo IPv6 completo no tiene sino ventajas. La estación
recibe una dirección IPv6 aunque no funcionará plenamente en este modo sino tras haber
deshabilitado IPv4. Es preciso probar bien el conjunto antes de utilizarlo en una red de
producción.
He aquí las etapas que permiten crear una zona de búsqueda inversa de tipo IPv6:
Seleccione Zonas de búsqueda inversa y, a continuación, haga clic con el botón derecho
y seleccione Zona nueva... en el menú contextual.
Inicie el asistente Nueva zona y haga clic en Siguiente.
Seleccione el tipo de zona y haga clic en Siguiente.
Teniendo en cuenta el número casi ilimitado de redes y de máquinas, nos limitaremos a una
red en la que queremos recibir y actualizar la información.
5. TEREDO
Teredo es una tecnología que facilita la transición entre IPv6 e IPv4, permitiendo a las
aplicaciones IPv6 comunicarse a través de una red IPv4, incluso a través de redes que
utilizan NAT, es decir, traducción de direcciones. Esta capa es válida y está lista para
utilizarse en Windows Server 2012. DirectAccess puede utilizar esta solución, aunque
requiere dos direcciones IP públicas simultáneas consecutivas.
6. ISATAP
64-bits_Unicast_Prefix:0:5efe:w.x.y.z
64-bits_Unicast_Prefix:200:5efe:w.x.y.z
Seleccione el nombre de la futura tarjeta, e indique las tarjetas que forman parte de la
asociación.
Haga clic en Propiedades adicionales para adaptar la configuración.
El modo de formación de equipos y el modo de equilibrio de carga no se pueden modificar
en una máquina virtual. En cambio, es posible definir una VLAN específica, o la tarjeta que
se deja como reserva.
Los otros dos modos de asociación requieren una configuración específica sobre los
switchs.
El modo de equilibrio de carga por defecto se basa en una tabla hash de las direcciones, es
decir, un reparto basado en las direcciones IP recibidas. El otro modo propuesto se basa en
los puertos Hyper-V.
Las tarjetas utilizadas para la asociación se marcarán como Habilitado. La tarjeta Team1
incluye, ahora, la configuración del protocolo TCP/IP.
Presentación de SMBv3
SMB 3.0 es la nueva versión, incluida desde Windows Server 2012 y Windows 8.
Observe que se llamaba SMB 2.2 durante su periodo Beta. La mayor parte de novedades
funcionan únicamente con estas versiones de Windows. Este nuevo protocolo debería
incluirse en la próxima versión de Samba 4.0, y ahora mismo se encuentra en desarrollo por
parte de NetApp y EMC.
1. Características de SMBv3
SMB 3.0 aporta las siguientes mejoras respecto a versiones anteriores del protocolo:
• SMB multicanal
Todos los enlaces de red disponibles entre dos equipos serán evaluados y utilizados.
El número de conexiones establecidas está vinculado entre dos sistemas. Depende
del número de interfaces y del tipo de tarjeta. Una tarjeta que soporte RSS
autorizaría cuatro conexiones, con un máximo de ocho de manera global. Incluso un
sistema que posea una sola tarjeta puede utilizar esta funcionalidad y repartir su
actividad entre varios procesadores.
Esta funcionalidad supone una ventaja respecto a las dos anteriores (Failover y
Multicanal). Cuando un recurso compartido SMB 3.0 se instala en un clúster, todos
los nodos y todas las tarjetas de red se utilizan para optimizar la transferencia de
datos.
• SMB directo
Esta funcionalidad permite a los equipos que poseen tarjetas de red RDMA
transferir datos de memoria a memoria entre ellos sin tener que pasar por el
procesador.
• Encriptación SMB
Todos los datos enviados por SMB 3.0 entre los equipos se encriptan,
automáticamente, por defecto.
• VSS sobre los recursos compartidos de archivos SMB
SMB aloja en caché todos los metadatos de los documentos accesibles, en particular
a través de BranchCache. Esto disminuye el número de consultas de ida y vuelta y
el tiempo de latencia en el acceso inicial a las propiedades de un archivo.
Para probar y utilizar SMB 3.0 es necesario disponer de, al menos, dos equipos con
Windows Server 2012/2012 R2 o Windows 8/8.1. Para aprovecharlo plenamente, hace
falta:
Observe que las máquinas virtuales (Windows 8/8.1 o Windows Server 2012/2012 R2)
creadas por Hyper-V soportan, de forma nativa, RSS. Esto resulta muy práctico, y explica
también, en parte, las transmisiones tan rápidas entre sistemas hospedados en un mismo
servidor host.
Cada tarjeta que soporta RSS autoriza un máximo de cuatro conexiones TCP.
b. Comandos PowerShell
Get-SmbServerConfiguration
AnnounceServer : False
AsynchronousCredits : 64
AutoShareServer : True
AutoShareWorkstation : True
CachedOpenLimit : 5
AnnounceComment :
EnableDownlevelTimewarp : False
EnableLeasing : True
EnableMultiChannel : True
EnableStrictNameChecking : True
AutoDisconnectTimeout : 0
DurableHandleV2TimeoutInSeconds : 30
EnableAuthenticateUserSharing : False
EnableForcedLogoff : True
EnableOplocks : True
EnableSecuritySignature : False
ServerHidden : True
IrpStackSize : 15
KeepAliveTime : 2
MaxChannelPerSession : 32
MaxMpxCount : 50
MaxSessionPerConnection : 16384
MaxThreadsPerQueue : 20
MaxWorkItems : 1
NullSessionPipes :
NullSessionShares :
OplockBreakWait : 35
PendingClientTimeoutInSeconds : 120
RequireSecuritySignature : False
EnableSMB1Protocol : True
EnableSMB2Protocol : True
Smb2CreditsMax : 2048
Smb2CreditsMin : 128
SmbServerNameHardeningLevel : 0
TreatHostAsStableStorage : False
ValidateAliasNotCircular : True
ValidateShareScope : True
ValidateShareScopeNotAliased : True
ValidateTargetName : True
EncryptData : False
RejectUnencryptedAccess : True
Get-SmbClientConfiguration
ConnectionCountPerRssNetworkInterface : 4
DirectoryCacheEntriesMax : 16
DirectoryCacheEntrySizeMax : 65536
DirectoryCacheLifetime : 10
EnableBandwidthThrottling : True
EnableByteRangeLockingOnReadOnlyFiles : True
EnableLargeMtu : True
EnableMultiChannel : True
DormantFileLimit : 1023
EnableSecuritySignature : True
ExtendedSessionTimeout : 1000
FileInfoCacheEntriesMax : 64
FileInfoCacheLifetime : 10
FileNotFoundCacheEntriesMax : 128
FileNotFoundCacheLifetime : 5
KeepConn : 600
MaxCmds : 50
MaximumConnectionCountPerServer : 32
OplocksDisabled : False
RequireSecuritySignature : False
SessionTimeout : 60
UseOpportunisticLocking : True
WindowSizeThreshold : 8
Get-SmbServerNetworkInterfaceGet-SmbClientConfiguration
Scope Name Interface Index RSS Capable RDMA Capable Speed IpAddress
---------- --------- ----- --- ------- ------------ ----- ---------
* 12 True False 10 Gbps
172.16.1.184
* 12 True False 10 Gbps
fe80::4eb:1e38:4cf5...
* 12 True False 10 Gbps fec0::12
Get-SmbClientNetworkInterface| ft -auto
Interface Index RSS Capable RDMA Capable Speed IpAddresses Friendly
Name
--------------- ----------- ------------ ----- ----------- --------
-----
12 True False 10 Gbps {fec0::12,
fe80::4eb:1e38:4cf5:cfc0,
172.16.1.184} LAN
17 False False 0 bps
{fe80::5efe:172.16.1.184}
isatap.MiEmpresa.Priv
14 False False 0 bps {fe80::100:7f:fffe}
do Tunneling
Pseudo-Interface
Get-SmbMultichannelConnection |ft -auto
Server Name Selected Client IP Server IP Client Interface Index Server
Interface Index Client RSS Capable Client RDMA Capable
----------- -------- --------- --------- ---------------------- -----
----------------- ------------------ -------------------
dc2012 True 172.16.1.184 172.16.1.1 12 13 True False
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 1
Para comprobar el uso del modo multicanal, basta con copiar una pequeña herramienta.
Get-SmbMultichannelConnection |fl
ServerName : dc2012
Selected : True
Failed : False
FailureCount : 0
ClientInterfaceIndex : 12
ClientRSSCapable : True
ClientRdmaCapable : False
ClientLinkSpeed : 10 Gbps
ClientIpAddress : 172.16.1.184
ServerInterfaceIndex : 13
ServerRSSCapable : True
ServerRdmaCapable : False
ServerLinkSpeed : 10 Gbps
ServerIpAddress : 172.16.1.1
MaxChannels : 4
CurrentChannels : 4
Observe que existe un máximo de cuatro canales activos simultáneamente entre ambos
equipos.
Por último, destacaremos que, incluso habiendo probado las reglas por defecto del grupo
para ser lo más favorables posibles en los casos más comunes, es posible parametrizar el
número de conexiones utilizadas mediante los siguientes comandos:
3. Observaciones
• El rendimiento es mucho mejor para las tarjetas que soportan RDMA (SMB over
RDMA), principalmente para las de tipo 40 Gbps Ethernet o 56 Gbps InfiniBand.
A día de hoy, éste no es el único uso para esta pasarela, que permite interconectar distintos
tipos de redes físicas y virtuales, segmentando si fuera necesario la comunicación.
Según la arquitectura, esta funcionalidad debe complementarse con otros productos para
crear puentes, separar los flujos mediante tags (VLAN) y enrutar correctamente los flujos
una vez que se ha eliminado la máquina virtual.
• La compartición de una Cloud privada entre varias entidades (Dev, PreProd, Prod).
• El acceso a infraestructuras externas (Cloud hybride).
• La intercomunicación entre distintas redes o arquitecturas que provengan de
distintas entidades.
De manera esquemática, se trata de un router por software basado en una máquina virtual.
Aun así, el uso de una máquina virtual permite gestionar el filtrado de las conexiones
(aislamiento) a nivel del servidor físico, y etiquetar los paquetes a su paso.
1. Instalación
Hablando con propiedad, no existe, como tal, una instalación sino simplemente una
configuración.
Dejando a un lado la configuración del entorno de red, esta configuración se realiza a dos
niveles en Windows Server 2012 R2:
• En el servidor Hyper-V
• En la máquina virtual
a. En el servidor Hyper-V
He aquí las instrucciones de optimización (todas las tarjetas no aceptan los mismos
parámetros):
Enable-NetAdapterRss LAN
Enable-NetAdapterVmq "Teaming1"
La configuración de ambas tarjetas de red y la ruta por defecto puede definirse mediante la
interfaz gráfica.
En la tarjeta que permite acceder a la red virtual o remota, es preciso especificar esta red
remota y la dirección IP concreta que se desea utilizar.
Configuración de la ruta estática hacia la red virtual (es posible, también, utilizar el
comando route add):
Para que los paquetes se encaminen desde la máquina virtual hacia la o las redes remotas,
se agrega una ruta estática sobre el router por defecto para que los paquetes cuyo destino
sea 172.17.100.0 se envíen a la dirección IP de la pasarela. La configuración dependerá del
router utilizado.
2. Esquema de un ejemplo de uso
La red virtual indicada aquí estará, a menudo, vinculada con otra tarjeta de red física que
permitirá acceder a otros recursos internos o externos según la configuración. Es posible,
también, instalar una VPN para acceder a otras redes que no estarán accesibles más que por
esta pasarela.
Es posible realizar una configuración idéntica sobre el sitio remoto para recibir y
repartir los flujos.
Si tiene lugar, la conexión intersitio utilizará mecanismos de tipo Tunnel para encapsular
los paquetes de red que, de otro modo, no podrían enrutarse directamente. Si el número de
la red gestiona el nivel 3, estos mecanismos pueden ser GRE o IP-in-IP tunneling. A nivel
2, existen las VLAN de tipo Q-in-Q.
3. Conclusión
Con todas estas mejoras, Windows Server 2012 R2 incluye muchos usos que cambian muy
rápido. La interconexión de nubes privadas, públicas, la virtualización en varios niveles, las
facilidades de conexión y la velocidad permiten adoptar nuevas arquitecturas que facilitan
la administración de un conjunto de componentes muy diverso.
Este rol le aporta el mismo nivel de facilidad en la administración que el proporcionado por
SBS, dejando a un lado la mensajería, que no está incluida en este rol. En cambio, se ha
hecho lo posible para poder integrar fácilmente la mensajería correspondiente a Office 365,
y la mensajería de tipo Exchange.
Preste atención, como con SBS, este rol incluye sus restricciones, en particular a la hora de
tener en cuenta bosques mono-dominios únicamente.
1. Instalación
3. Administración
Para instalar el cliente que permite interactuar con esta funcionalidad, utilice la URL
http://NombreDelServidor/CONNECT, que da acceso a un enlace de descarga de la
herramienta llamada Conector, compatible con Windows 7 SP1, Windows 8, Windows 8.1
y Mac OS X 10.6 a 10.8.
Descargue la herramienta.
Preste atención, tras la primera conexión se realiza una copia de seguridad de la estación…
Las copias de seguridad de los equipos cliente están ubicadas en archivos especiales con
extensión de tipo DAT en el servidor, en la carpeta C:\ServerFolders\Copias de seguridad
de equipos cliente.
5. Uso
Si se ha configurado para todos los usuarios del puesto de trabajo, cualquier usuario que
inicie sesión se conectará, automáticamente, al servidor.
El entorno del usuario incluye dos elementos para acceder a los datos:
Éste contiene dos accesos directos que apuntan a carpetas de trabajo a través del
recurso compartido Carpetas compartidas sobre el servidor.
6. Conclusión
Ahora es posible realizar una pequeña maqueta para afinar la configuración y adaptarla a
las necesidades concretas del proyecto. Por ejemplo, las carpetas compartidas se crean por
defecto en el disco C: del servidor.
Introducción
Este capítulo está dedicado al rol Servicios de Escritorio remoto (Remote Desktop
Services) de Windows Server 2012 R2. Probablemente ya utiliza este servicio para
administrar su parque de servidores de forma cotidiana. Tras revisar este uso simple
aunque, ciertamente, crítico, veremos la potencia del rol RDS. Esto incluye, en particular,
la publicación de aplicaciones, del escritorio en modo sesión o virtual, así como el acceso a
estas aplicaciones a través de una pasarela Web.
Como podrá observar, el cambio principal es que se ha remplazado "Terminal Services" por
"servicios de Escritorio remoto".
Esta obra, centrada en Windows Server 2012 R2, utiliza la nueva nomenclatura en lo
sucesivo. Aquellas funcionalidades que sólo existan en una versión se destacarán. La
denominación "Escritorio remoto" se remplazará, a menudo, por la voz inglesa RDS
(Remote Desktop Services) con el objetivo de hacer más legible el texto.
Windows 8.1 y Windows Server 2012 R2 incluyen el cliente Remote Desktop Client
(RDC) en su versión 8.0. El objetivo consiste en mejorar la experiencia de usuario
proporcionando:
• Soporte multi-touch.
• Redirección dinámica de USB mediante RemoteFX.
• Gestión de la reconexión automática para aplicaciones RemoteApp y conexiones de
Escritorio remoto.
• Integración de una autenticación única (Single Sign-on).
• Integración de una API mediante RemoteFX para VoIP.
• Integración de sesiones anidadas.
• Un verdadero soporte multipantalla (en lugar de la extensión habitual).
• Soporte a pantallas con cambio de representación apaisada/vertical.
• Soporte a la hora de agregar o eliminar una pantalla en caliente (conexión a un
proyector de vídeo, por ejemplo) en una sesión y las aplicaciones RemoteApp.
• Securización de las conexiones de administración mediante el modo
RestrictedAdmin, que permite realizar una autenticación mediante un ticket
Kerberos y un token de autenticación de la sesión interactiva sin necesidad de
volver a introducir las credenciales tras la conexión. No se envía ninguna
contraseña, encriptada o en claro, al servidor, y no existe, por tanto, la posibilidad
de que un pirata nos robe la contraseña (ni siquiera el hash de la contraseña). Los
sistemas operativos compatibles son únicamente Windows Server 2012 R2 y
Windows 8.1 (tanto del lado cliente como servidor de conexión). Además, sólo
aquellos usuarios miembros del grupo local Administradores (directa o
indirectamente) podrán conectarse en modo RestrictedAdmin. Para abrir una
conexión en modo RestrictedAdmin necesita escribir el comando mstsc.exe
/restrictedAdmin. Observe que el parámetro /admin viene implícito con el
parámetro /restrictedAdmin.
RemoteFX, incluido por primera vez con Windows Server 2008 R2 SP1, ha visto
evolucionar sus funcionalidades gracias a Windows Server 2012 R2. He aquí las
principales mejoras de RemoteFX:
• Soporte de DirectX 11.1: en una sesión, RemoteFX gestiona, ahora, DirectX 11.1
sobre los procesadores gráficos virtuales (vGPU) con el objetivo de mejorar la
calidad gráfica y dar soporte, también, a la visualización 3D, siempre basada en
DirectX 11.1.
• Soporte de aplicaciones Metro RemoteFX gestiona las aplicaciones Metro
introducidas con Windows 8.
• Soporte extendido de dispositivos USB: RemoteFX puede, ahora, redirigir varios
tipos de dispositivos USB, tales como impresoras, teléfonos móviles,
lectores/grabadoras de CD, lectores de smartcard, webcams u otros dispositivos
USB. Además, los dispositivos USB pueden redirigirse en mitad de una sesión, de
forma dinámica, y no sólo durante la apertura de la sesión.
• Mejora de las conexiones WAN y externas: gracias a las funcionalidades de
RemoteFX Adaptative Graphics, RemoteFX Media Streaming y RemoteFX for
WAN, se hace mucho más cómodo trabajar a distancia.
Para aprovechar todas las mejoras aportadas por RemoteFX, es preciso utilizar el cliente
RDP 8.1.
En una infraestructura de servicios de Escritorio remoto con Windows Server 2012 R2, los
servicios de rol Agente de conexión a Escritorio remoto son el pilar fundamental.
Este servicio de rol permite gestionar el conjunto de sesiones de usuario sobre varios
servidores RDS. Esto mejora, a su vez, la experiencia de usuario, agregando las
publicaciones RemoteApp, escritorio remoto y escritorio virtual en una vista única. Para
ello, almacena el estado de todas las sesiones de todos los servidores, información que
recibe mediante servidores RDS. Cuando un usuario se conecta por primera vez sobre un
servidor, el Agente de sesiones memoriza esta conexión. Si el usuario pierde la conexión de
red, su sesión TS permanece activa sobre el servidor, aunque en estado desconectado.
Cuando vuelva a tener conexión de red, y vuelva a conectarse con el servidor, el Agente de
sesiones detectará que ya existe una sesión existente y enviará al usuario sobre este servidor
RDS. De este modo, el usuario volverá a su sesión anterior en lugar de creársele,
potencialmente, una sesión nueva.
Estos tres privilegios no deben eliminarse de la cuenta (mediante una GPO...), o existe el
riesgo de no poder ejecutar más estos servicios. Desde Windows Server 2008 es, no
obstante, posible detener el servicio RDS, lo que no podía hacerse antes. Puede comprobar
el estado actual del servicio así como los estados aceptados por el servicio utilizando el
siguiente comando (el nombre corto del servicio no se ha modificado):
sc query TermService
El servicio RDS utiliza, por defecto, el puerto TCP 3389. Mientras el acceso remoto no se
haya autorizado de manera explícita, el servidor no escucha en el puerto TCP para no
exponer los servicios sobre la red. El siguiente comando permite verificar que el puerto
TCP 3389 no escucha nada sobre el servidor, por el momento:
Los servicios de rol que componen este rol de Servicios de Escritorio remoto son:
Si bien el servicio de Windows ya está instalado, éste no se inicia por defecto. En efecto, el
servicio de Escritorio remoto (TermService) está configurado con un arranque Manual, y
se configura automáticamente con arranque Automático cuando se habilita la
Administración remota o se instalan los servicios de rol Host de sesión de Escritorio
remoto o Host de virtualización de Escritorio remoto. De momento no puede utilizarlo
para administrar sus servidores de forma remota, es preciso autorizar explícitamente el
acceso remoto mediante el Administrador del servidor.
Abra la consola Administrador del servidor y haga clic en Servidor local en la zona de
navegación.
Se abre una ventana de Propiedades del sistema, donde la pestaña Acceso remoto
permite habilitar el escritorio remoto, con o sin NLA, así como autorizar a ciertos usuarios
a conectarse. Escoja la opción Permitir las conexiones remotas a este equipo.
Esta interfaz modifica dos claves del registro: fDenyTSConnections y User-
Authentication, ubicadas en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server.
La primera bloquea cualquier conexión TS, será necesario asignarle un valor 0 para
autorizar las conexiones, y la segunda exige la autenticación NLA siempre que su valor sea
1.
Deje la opción Permitir sólo las conexiones desde equipos que ejecuten Escritorio
remoto con Autenticación a nivel de red (recomendado) marcada. A continuación, haga
clic en Aplicar.
NLA significa Network Level Authentication. El objetivo consiste en luchar contra los
ataques llamados hombre en el medio (man in the middle) autenticando al servidor RD
antes de que se conecte el usuario. Es posible utilizar varios protocolos para realizar esta
tarea: kerberos, TLS/SSL, NTLM. Técnicamente, se basa en el proveedor CredSSP, que
utiliza SSPI (Security Service Provider Interface). Una vez superada la fase de
autenticación mutua, el cliente provee las credenciales del usuario, que se encriptan dos
veces con las claves de sesión SPNEGO y TLS.
Haga clic en el botón Aceptar para cerrar la ventana de las propiedades del sistema
Ahora que el acceso remoto está abierto, el servicio RDS está iniciado y escuchando en el
puerto TCP y UDP 3389 (una línea para IP versión 4 y otra para IP versión 6):
En efecto, Windows Server 2012 R2 gestiona, ahora, el protocolo UDP para los servicios
de Escritorio remoto. La conexión inicial se realiza siempre sobre el puerto 3389 TCP.
UDP entra en juego una vez establecida la conexión inicial, para acelera la tasa de
transferencia.
Sobre una red local, la tasa de transferencia es generalmente buena, entre los 100 Mb/s y
1000 Mb/s. El protocolo UDP no aporta, necesariamente, una mejora importante en el
rendimiento, salvo para el uso de RemoteFX. Por el contrario, UDP adquiere sentido
cuando hablamos de conexiones de tipo WAN o mediante una puerta de enlace de servicios
de Escritorio remoto, donde la tasa de transferencia se ve limitada a la velocidad de su
conexión a Internet.
Para aprovechar el protocolo UDP, es preciso utilizar, como mínimo, el cliente RDP 8.0.
Puede, ahora, utilizar el escritorio remoto para administrar su servidor. Esta funcionalidad
no requiere la instalación del rol Escritorio remoto. La administración remota se considera
algo indispensable en cualquier servidor, sea cual sea su uso, y no se caracteriza por un rol
determinado.
Windows Server 2012 R2 utiliza una nueva forma (incluida con Windows Server 2012) de
instalar los servicios de Escritorio remoto basada en escenarios que simplifican, así, la
instalación de los distintos servicios de rol de Escritorio remoto sobre varios servidores.
Este modo de instalación instala y configura también el protocolo de despliegue de
Escritorio remoto que permite administrar el servidor mediante la nueva interfaz de gestión
de servicios de Escritorio remoto RDMS.
Sigue siendo posible instalar los servicios de Escritorio remoto mediante la instalación
basada en roles o características. No obstante, este modo de instalación requiere una
administración por GPO o directamente en la base de registro. En efecto, las consolas de
administración tsadmin.msc y tsconfig.msc ya no existen en Windows Server 2012 R2.
Además, si prevé agregar su servidor RDS 2012 R2 a una granja RDS 2008 R2, tendrá que
seleccionar este modo de instalación.
Si bien todos los servicios de rol de Escritorio remoto pueden instalarse sobre el mismo
servidor, se recomienda separarlos. En la mayoría de casos, los servicios de rol Host de
sesión y Host de virtualización se instalan sólo sobre un servidor, el Administrador de
licencias se instala, a menudo, sobre un controlador de dominio, y el Acceso Web y la
Puerta de enlace se agrupan en otro servidor.
¿Por qué separar los servicios de rol de Escritorio remoto? Desde un punto de vista
práctico, es obligatorio para poder configurar en clúster los servidores Host de sesión (RD
Session Host) y el Acceso Web (RD Web Access). Otro ejemplo es que, si su
infraestructura RDS soporta un gran número de usuarios que utilizan la misma puerta de
enlace de los servicios de Escritorio remoto, esta última consumirá bastante tiempo de
procesador para el cifrado de los flujos SSL y, por tanto, ralentizará a los usuarios que
trabajan en la parte Host de sesión si estos servicios de rol están instalados en el mismo
servidor.
Observe que la instalación del rol Connection Broker sobre un controlador de dominio está,
ahora, soportada, aunque no es una buena práctica.
He aquí las principales posibilidades para instalar los servicios de Escritorio remoto:
Antes de proceder con la instalación de los servicios de Escritorio remoto, debe asegurar
que se respetan, como mínimo, los siguientes requisitos previos:
• Los servidores afectados por la instalación deben ser miembros del dominio Active
Directory.
• Los servidores afectados por la instalación deben tener una dirección IP fija.
Para instalar los servicios de Escritorio remoto, debe utilizar una cuenta de usuario que
posea, al menos, permisos de Administrador local sobre los servidores afectados por la
instalación.
Aparece un icono en la barra de tareas que le advierte sobre la ausencia de licencias. Será
preciso disponer de un servidor de licencias, con un periodo de prueba de 120 días. Tendrá
que instalar el administrador de licencias de servicios de Escritorio remoto, habilitarlo e
instalar las licencias de acceso cliente a los servicios de Escritorio remoto.
Cabe indicar que la instalación en modo Inicio rápido crea, por defecto, una colección de
escritorios virtuales en Pool.
Recuerde que, a diferencia de las sesiones basadas en un servidor host de sesión donde
todos los usuarios abren una sesión sobre la misma máquina, gestionados por el servidor
host de sesión, las sesiones basadas sobre escritorios virtuales se abren sobre máquinas
virtuales donde se conecta un único usuario.
En la pantalla Seleccionar una plantilla de escritorio virtual, escriba la ruta completa del
archivo de disco duro virtual que servirá como modelo y habrá creado previamente y, a
continuación, haga clic en Siguiente.
Como con una instalación de los servicios de Escritorio remoto basada en sesiones y en
modo de inicio rápido, su servidor está listo para aceptar conexiones de usuario. No
obstante, estará limitado en cuanto al número de usuarios que pueden conectarse
simultáneamente, puesto que sólo se ha creado una VM durante la instalación.
# Creación de la colección
New-RDVirtualDesktopCollection -CollectionName QuickVMCollection
-PooledManaged -VirtualDesktopTemplateName "Win8.1 Ent"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation
@{"rdvh1.MiEmpresa.Priv" = 1} -StorageType LocalStorage
-VirtualDesktopNamePrefix Win81ent -ConnectionBroker
rdvh1.MiEmpresa.Priv
c. Implementación estándar
A continuación se describe cómo proceder para realizar una instalación de los servicios de
Escritorio remoto basada en sesiones, sobre varios servidores (para dos servidores RDSH,
rds1.MiEmpresa.Priv y rds2.MiEmpresa.priv, y un servidor RDWA y RDCB,
rdsgw.MiEmpresa.Priv en este ejemplo):
Tras finalizar la instalación, se reiniciará el servidor. Una vez reiniciado, abra de nuevo
una sesión con la cuenta de usuario que haya utilizado para realizar la instalación y, a
continuación, abra el Administrador del servidor para que finalice el asistente de
instalación y configuración de los servicios de Escritorio remoto. Haga clic en Cerrar.
Una vez terminada la instalación de los servicios de Escritorio remoto, sólo los usuarios
miembros del grupo Administradores de dominio podrán abrir una sesión sobre los
servidores RD Session Host. El motivo es bien simple, el asistente de instalación no ha
creado ninguna colección, ni existen aplicaciones publicadas por RemoteApp.
Ejemplo con un servidor Host de sesión, rds1, que también es servidor de Acceso Web y
Agente de conexión
Este cmdlet le permite instalar roles (y/o características) que siguen al atributo Name, así
como su consola de administración asociada. Si se requiere el reinicio del servidor, se podrá
automatizar gracias al atributo Restart. Es, también, importante destacar que cualquier rol o
servicio de rol necesario para el rol especificado por el atributo Name se instalarán de
manera automática, tales como RPC over HTTP, IIS, .NET Framework 4.5...
Es posible especificar varios roles al mismo tiempo separándolos por comas (por ejemplo:
RDS-SessionHost, RDS-Web-Access, RDS-ConnectionBroker).
Para obtener la lista de roles RDS posibles, instalados o no, puede ejecutar el siguiente
cmdlet:
Get-WindowsFeature *RDS*
Aparece un mensaje de advertencia que le indica que es necesario reiniciar para tener en
cuenta la instalación del rol. Si realiza esta instalación desde el Administrador del
servidor, y el servidor tiene, también, el rol de controlador de dominio, aparecerá una
alerta que le indicará que no se recomienda realizar esta acción. En efecto, instalar el rol de
Escritorio remoto sobre un controlador de dominio conlleva verdaderos riesgos que debe
evaluar cuidadosamente.
Una vez ejecutado el cmdlet, los roles y servicios de rol están instalados, aunque su
servidor no podrá, de momento, responder a las consultas de los clientes puesto que falta,
todavía, configurar los servicios de Escritorio remoto. Esta acción puede realizarse
mediante RDM (Remote Desktop Manager), por directiva de grupo (GPO) o incluso
mediante PowerShell.
Además, para una instalación con varios servidores, con separación de roles, habrá que
utilizar varios cmdlets PowerShell del tipo:
El cmdlet PowerShell más eficaz para instalar los servicios de Escritorio remoto basado en
sesiones es el siguiente:
Tiene la ventaja de instalar y pre-configurar los servicios de Escritorio remoto sobre uno o
varios servidores de forma simultánea, con un único cmdlet.
Para conocer más cmdlets relacionados con la instalación, consulte las secciones
Instalación Inicio rápido e Implementación estándar en este mismo capítulo.
Para tener una idea de todos los cmdlets posibles puede utilizar el siguiente comando
PowerShell:
Get-Command *-RD*
Como hemos visto durante la instalación, por defecto, una infraestructura de Escritorio
remoto en Windows Server 2012 R2 requiere, como mínimo, tres servicios de rol de
Escritorio remoto:
Con Windows Server 2012 R2, los servicios de Escritorio remoto se articulan en torno al
servicio de rol Agente de conexión, incluso aunque sólo tenga un servidor host (de sesión o
de virtualización), y aunque no utilice la gestión de los perfiles de usuario. El servidor que
posee el servicio de rol Agente de conexión es, también, el servidor de implementación de
los servicios de Escritorio remoto, servicio que permite, en particular, configurar el
conjunto de servicios de Escritorio remoto.
La primera sección Información general le ofrece, como su propio nombre indica, una
vista general de su infraestructura de servicios de Escritorio remoto. Esta pantalla le
permite agregar servidores a los servicios de Escritorio remoto y, también, administrar la
configuración de alta disponibilidad del servicio de rol Connection Broker. Veremos esto
un poco más adelante en este capítulo.
La segunda sección Servidores le permite ver la lista de servidores que forman parte de su
infraestructura RDS, y le permite, también, agregar roles y características sobre estos
servidores y recopilar eventos. Encontrará, también, la herramienta Best Practice Analyzer
para los servicios de Escritorio remoto, que conviene ejecutar una vez terminadas la
instalación y configuración.
La siguiente sección, Colecciones, le permite modificar, mediante el menú Tareas en la
sección Colecciones, los parámetros de implementación comunes a toda la infraestructura
RDS conectada a su servidor de Agente de conexión, tales como: el método de
autentificación, el modo de licenciamiento, los certificados... También podrá agregar
nuevas colecciones. La sección Conexiones le mostrará todas las conexiones activas sea
cual sea su colección de origen, y desde aquí podrá enviar un mensaje, tomar el control
sobre la sesión (Instantánea en el submenú), forzar la desconexión o cerrar la sesión del
usuario conectado.
Para terminar con la lista de secciones, encontrará, a continuación, la lista de colecciones
disponibles. Con una instalación en modo Inicio rápido, se crea una colección llamada
QuickSessionCollection si su instalación se basa en hosts de sesión o QuickVMCollection
si su instalación se basa en hosts de virtualización. Con cualquier otro modo de instalación,
tendrá que crear una nueva colección para que los usuarios puedan conectarse.
Desde la pantalla de una colección, es posible modificar las propiedades de dicha colección
y gestionar las aplicaciones RemoteApp. Si se trata de una colección de sesión, podrá
agregar servidores host de sesión suplementarios o administrar las conexiones de dicha
colección. Si se trata de una colección de escritorios virtuales, podrá agregar un escritorio
virtual o recrear todos los escritorios virtuales de la colección.
Configuración
1. Propiedades de implementación
Los parámetros de despliegue afectan a todas las colecciones y todos los servidores
asociados a esta implementación. Todos estos parámetros afectan, por tanto, a la
implementación de los servicios de Escritorio remoto en su conjunto.
En un entorno RDS en Windows Server 2012 R2, todos los servidores host de sesión de
una misma colección comparten los mismos parámetros de sesión, de seguridad,
de administración de dispositivos...
Observe que un servidor host de sesión no puede pertenecer a más de una colección.
He aquí el procedimiento que debe seguir si ha realizado una instalación en
Implementación estándar o si ha eliminado la colección por defecto o, simplemente, si
desea crear una nueva colección:
Se abre el asistente Crear colección y aparece la pantalla Antes de comenzar, haga clic
en Siguiente.
# Creación de la colección
New-RDSessionCollection -CollectionName MiColeccionDeSesiones
-CollectionDescription "" -SessionHost rds1.MiEmpresa.Priv
-ConnectionBroker rds1.MiEmpresa.Priv
Tendrá, ahora, una colección de servidores de sesión configurada de forma sencilla, sin
aplicaciones RemoteApp.
He aquí una descripción de las propiedades de una colección de servidores host de sesión:
• Pestaña Sesión: puede definir la duración de las sesiones inactivas, así como el
comportamiento que desea cuando se alcanza el tiempo de inactividad. ¿Por qué
gestionar estos elementos? Si algún usuario no se desconecta, su sesión, así como
los programas en memoria, permanecen en el servidor. El consumo de recursos del
sistema, mantenido, provoca que el servidor no pueda aceptar conexiones de otros
usuarios.
La situación es la siguiente:
Observará que el usuario dispone, todavía, de 2 horas potenciales para volver a conectarse
sin perder su sesión.
# Valores admisibles
# los valores numéricos se definen en minutos
# -BrokenConnectionAction None/Disconnect/LogOff
# Security
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-SecurityLayer Negociate
-EncryptionLevel ClientCompatible
-AuthenticateUsingNLA $true
# Valores admisibles
# -SecurityLayer RDP/Negociate/SSL (por defecto Negociate)
# -EncryptionLevel Low/ClientCompatible/High/FipsCompliant
(por defecto: ClientCompatible)
$LoadBalanceObjectsArray.Add($LoadBalanceSessionHost1)
# Valores admisibles
# -LoadBalancing Array[CollectionName,Weight,NumberOfSessions,
RDSessionHost]
# Configuración de cliente
Set-RDSessionCollectionConfiguration -CollectionName
MiColeccionDeSesiones
-ClientDeviceRedirectionOptions AudioVideoPlayBack,
AudioRecording,SmartCard,PlugAndPlayDevice,Drive,ClipBoard
-ClientPrinterRedirected $true
-ClientPrinterAsDefault $true
-RDEasyPrintDriverEnable $true
-MaxRedirectedMonitors 16
# Valores admisibles
# Varias opciones separadas por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording/
# SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone-MaxRedirectedMonitors [1-16], 16 por defecto
Cuando un usuario abre una sesión sobre uno de los servidores de la colección, el
servidor monta el disco de perfil de usuario directamente en su carpeta de perfil (por
defecto: C:\Usuarios) mediante un enlace simbólico. Esto resulta transparente al
usuario, y a las aplicaciones.
# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
Cuando instala una aplicación sobre un servidor RDS, debe indicar que va a tener lugar una
instalación. Para ello, puede utilizar el comando:
Windows Server 2012 existe, únicamente, en versión de 64 bits. Wow64 permite ejecutar
aplicaciones de 32 bits mediante emulación. Esto supone, en cualquier caso, una carga
complementaria y no permite aprovechar al máximo la capacidad de la plataforma técnica.
Verifique sistemáticamente si existe una versión de 64 bits antes de instalar el componente
o la aplicación en cuestión.
A diferencia de un servidor Web, por ejemplo, pasar un servidor host de sesiones al modo
de mantenimiento es más complicado de cara a los usuarios. Pueden tener documentos
abiertos, no salvaguardados, correos electrónicos en curso, etc. Afortunadamente, existen
herramientas adaptadas a estas situaciones disponibles para cortar el servicio de forma
controlada.
Para cerrar todas las conexiones a la vez, puede utilizar el siguiente script:
El comando query session permite enumerar todas las sesiones de usuario del servidor.
Una vez se obtiene la lista de sesiones, anote el número de sesión para el que desea realizar
alguna acción. A continuación, podrá:
• Cerrar la sesión (cierra todas las aplicaciones abiertas, sin realizar una copia de
seguridad): logoff XXX
• Desconectar al usuario (todas las aplicaciones siguen abiertas, aunque el usuario se
desconecta): tsdiscon XXX
• Eliminar una sesión por la fuerza: session reset XXX
• Conectarse a esta sesión: tscon XXX
• Enviar un mensaje al usuario: msg XXX « Cierre, por favor, su sesión »
Para aprovechar todo esto, instale las características Experiencia de escritorio y Servicios
de Escritura con lápiz y Escritura a mano. Reinicie el servidor.
Para aprovechar plenamente las mejoras gráficas aportadas por la activación de la
experiencia del usuario (del lado servidor), necesitará una conexión con alta tasa de
trasferencia entre el cliente y el servidor (como mínimo 10 Mb/s) y configurar el cliente
RDP.
Activación de la experiencia del usuario auditiva
Para aprovechar completamente el uso del sonido en una sesión de Escritorio remoto, es
necesario iniciar el servicio Audio de Windows y configurarlo en arranque automático.
Es posible, incluso necesario, recurrir a una directiva de grupo para modificar el entorno de
los usuarios que abran una sesión sobre el host de sesión. Será posible mostrar u ocultar
iconos en el escritorio o prohibir el acceso a ciertos dispositivos, o configurar los
parámetros de Internet Explorer, por ejemplo.
Para ello, tendrá que crear una nueva directiva de grupo y asociarla a la unidad organizativa
que contenga sus servidores de host de sesión. Defina los parámetros de usuario de la
directiva tal y como desee, y habilite la opción Configurar el modo de procesamiento de
bucle invertido de la directiva de grupo de usuario seleccionando el modo Combinar.
Encontrará este parámetro en Configuración del equipo - Directivas - Plantillas
administrativas - Sistema/Directiva de grupo.
Administración de la impresión
Observe que, si el cliente no cumple estos requisitos previos, será preciso instalar los
controladores de impresión sobre el servidor.
De otro modo, Easyprint permite ver, desde el servidor RDS, el conjunto de propiedades de
la impresora, sin tener que instalar el controlador en el propio servidor. Para ello, se
comporta como un proxy y redirige todas las llamadas a la interfaz sobre el controlador del
lado cliente. Convierte la impresión de un formato GDI a un formato XPS (siempre que no
se trate ya de un formato XPS) sobre el servidor, y lo envía al cliente en la sesión RDP, a
través de un canal virtual (XPS over RDP). Una vez en el puesto cliente, si el controlador
de impresión es compatible con XPS, el documento se imprime directamente. En caso
contrario, se convierte de nuevo del formato XPS al formato GDI y se imprime.
Ahora, es posible restringir el número de impresoras que se conectan desde el puesto
cliente mediante una GPO. El inicio de sesión se ve, así, acelerado, y la impresora por
defecto del puesto cliente basta en la mayoría de casos.
Para aplicar esta restricción mediante GPO, debe habilitar el parámetro: Configuración del
equipo - Plantillas administrativas - Componentes de Windows - Servicios de
Escritorio remoto - Host de sesión de Escritorio remoto - Redirección de impresora.
• Un servidor que juega el rol de agente de conexión y despacha las conexiones de los
usuarios (RDS-Connection-Broker).
• Uno o varios servidores Hyper-V que albergan máquinas virtuales. Estas máquinas
deben ser estrictamente idénticas (con los mismos programas instalados).
• Las máquinas virtuales deben ser de primera generación, pues las máquinas
virtuales de segunda generación no están soportadas.
Como con las colecciones de sesiones, con un entorno RDS en Windows Server 2012,
todos los servidores host de virtualización de una misma colección comparten los mismos
parámetros de sesión, de seguridad, de gestión de dispositivos...
Se abre el asistente Crear una colección y aparece la pantalla Antes de empezar, haga
clic en Siguiente.
# Creación de la colección
New-RDVirtualDesktopCollection -CollectionName MiColeccionDeVMs
-Description ""
-PooledManaged
-VirtualDesktopTemplateName "Windows 8.1 Ent - Sysprep"
-VirtualDesktopTemplateHostServer rdvh1.MiEmpresa.Priv
-VirtualDesktopAllocation @{"rdvh1.MiEmpresa.Priv" = 2}
-Domain "MiEmpresa.Priv"
-OU "OU=Escritorios virtuales,DC=miempresa,DC=priv"
-UserGroup "MIEMPRESA\Usuarios de dominio"
-StorageType LocalStorage
-VirtualDesktopNamePrefix Win8ent
-ConnectionBroker rds1.MiEmpresa.Priv
-UserProfileDiskPath \\DC2012\UserProfilDisk
-MaxUserProfileDiskSizeGB 5
Una vez ejecutado este cmdlet, las cuentas de equipo para los escritorios virtuales se crean
correctamente en la unidad organizativa Escritorios virtuales.
Propiedades de una colección de Host de virtualización
• Pestaña General: esta pestaña presenta la misma información que para una
colección de sesiones con algunos datos suplementarios, tales como la posibilidad
de habilitar el retraso de guardado.
# Valores posibles
# -SaveDelayMinutes
• Pestaña Escritorios virtuales: todos los campos son de solo lectura. Algunos
pueden configurarse durante la creación de la colección, y otros en la configuración
de la implementación.
• Pestaña Grupos de usuarios: esta herramienta es idéntica a la pestaña Grupos de
usuarios para una colección de sesiones.
• Pestaña Cliente: encontrará en esta pestaña la misma información que para una
colección de sesiones.
# Valores posibles
# Es posible seleccionar varios separados por comas
# -ClientDeviceRedirectionOptions None/AudioVideoPlayBack/AudioRecording
# /SmartCard/PlugAndPlayDevice/Drive/ClipBoard/COMPort/LPTProt/USBPort/
# TimeZone
# Valores posibles :
# -IncludeFolderPath "RutaDeLaCarpeta"
# -ExcludeFolderPath "RutaDeLaCarpeta"
# -IncludeFilePath "RutaDelArchivo"
# -ExcludeFilePath "RutaDelArchivo"
a. Agregar escritorios virtuales a una colección - Creación de un escritorio virtual
Puede resultar útil saber cómo agregar escritorios virtuales a una colección de escritorios
virtuales. Para ello, simplemente hay que seguir el siguiente procedimiento sencillo:
Este servicio de rol hace RDS muy atractivo. Permite publicar aplicaciones en lugar de un
escritorio completo. Esta capacidad para publicar una aplicación permite una mejor
integración de dicha aplicación en el entorno habitual del usuario, que tendrá la impresión
de que la aplicación se ejecuta, directamente, en su puesto (como si fuera una ventana más).
Ya no es posible crear el archivo.rdp o el paquete .msi con Windows Server 2012 R2,
tendrá que crearlo a mano si no quiere utilizar la configuración del cliente RemoteApp en
los puestos cliente.
Con Windows Server 2012 R2, las aplicaciones RemoteApp se publican a nivel de la
colección.
A continuación se muestra cómo configurar una aplicación RemoteApp que se publica en
un escritorio virtual:
Si publica una aplicación en un escritorio virtual, debe escoger el escritorio virtual sobre el
que se encuentra la aplicación que quiere publicar. Es lo que le permite hacer la siguiente
pantalla Seleccionar escritorio virtual. Una vez lo haya seleccionado, haga clic en
Siguiente.
Observe que la publicación de una aplicación oculta, automáticamente, el acceso web del
escritorio, mientras que muestra la aplicación publicada mediante RemoteApp.
Del lado del puesto cliente, la configuración del cliente RemoteApp es muy sencilla y
puede hacerse mediante la interfaz gráfica o mediante GPO. No obstante, si el certificado
de su servidor Broker es autorfirmado, tendrá que instalarlo en la Entidad de certificación
raíz de confianza del equipo cliente.
A continuación se muestra cómo realizar la configuración del cliente Remote App mediante
la interfaz gráfica:
Abra Conexiones remotas accesible en el Panel de control y haga clic en el enlace Acceso
a los programas RemoteApp y servicios de Escritorio remoto.
Este parámetro de directiva de grupo sólo se aplica a aquellos sistemas operativos Windows
Server 2012, Windows 8 y Windows RT. Con sistemas operativos anteriores, tendrá que
realizar una configuración manual.
Configuración avanzada
1. Configuración del Acceso Web de los servicios de Escritorio remoto
El uso de RDS se ha extendido mucho más allá de un simple escritorio remoto. Windows
Server 2012 ofrece, ahora, un medio para centralizar los recursos publicados sobre un
portal Web. Desde el punto de vista del cliente, siguen siendo necesarios dos criterios:
• Poder acceder al sitio Web que ofrece el acceso Web desde un navegador de
Internet, con o sin proxy.
• Tener instalado el cliente RDC 7.0 como mínimo.
Este servicio de rol puede instalarse sobre un servidor que tenga o no otros servicios de rol
de Escritorio remoto. Requiere, no obstante, como mínimo IIS 8.5 para poder funcionar y
una relación de confianza con los servidores host de sesión para poder enumerar las
aplicaciones RemoteApp. Generalmente, ya viene instalado si ha realizado la instalación
Inicio rápido o Implementación estándar.
Es posible agregar el servicio de rol Acceso Web para Escritorio remoto mediante la
interfaz gráfica o mediante PowerShell.
El nuevo portal de Acceso Web gestiona, ahora, navegadores como Mozilla Firefox o
Google Chrome así como Microsoft Internet Explorer (si bien este último presenta ciertas
ventajas tales como una mejor gestión de la autenticación, por ejemplo).
ShowDesktops: con el valor true por defecto. Esta variable controla el hecho de que se
muestre o no la pestaña Escritorio remoto en el sitio Web.
xClipboard: con el valor true por defecto. Bloquea el uso del portapapeles de Windows si
su valor es false.
xDriveRedirection: con el valor false por defecto. Autoriza la redirección de los lectores
locales si su valor es true.
xPortRedirection: con el valor false por defecto. Autoriza la redirección de los puertos
COM y LPT si su valor es true.
Utilizar el archivo XML web.config presenta la ventaja de que se tiene acceso a los
comentarios que explican los distintos valores, por ejemplo, para
GatewayCredentialsSource:
Por defecto, las aplicaciones RemoteApp están habilitadas para el Acceso Web. Esta
autorización puede gestionarse por aplicación, desde la consola Administrador de
RemoteApp.
El uso de RDS se ha extendido más allá de los límites de la empresa. Una vez fuera del
lugar de trabajo, no controlamos la infraestructura implementada, así como sus
restricciones. La apertura de una conexión sobre el puerto 3389 TCP desde otra empresa,
desde un hotel o desde cualquier otro lugar público puede estar bloqueada por firewalls, lo
cual limita la aplicación de los servicios de Escritorio remoto. Windows Server 2012 R2
ofrece un medio de transporte adaptado a este contexto para acceder a los recursos: HTTPS.
El primer requisito previo consiste en disponer de un certificado SSL válido, bien emitido
por un tercero de confianza, o bien desde su propia infraestructura de PKI. Windows Server
2012 R2 le permite generar un certificado auto-firmado, aunque esto implica poder agregar
este certificado raíz en los equipos que se utilizan para conectarse. Esta solución puede
resultar algo excesiva, aunque la experiencia del usuario no es óptima, y va a ser
problemática para la conexión desde un equipo sencillo desde un hotel, por ejemplo. Lo
principal es que el puesto cliente considere su certificado como digno de confianza.
A continuación se muestran los atributos del certificado y las reglas que deben respetar:
Una vez terminada la instalación, en la pantalla Ver progreso, haga clic en el botón
Cerrar.
# Depuración...
Set-RDDeploymentGatewayConfiguration -GatewayMode Custom
-GatewayExternalFqdn webapp.MiEmpresa.es -LogonMethod GatewayAuthMode
-UseCachedCredentials $true -BypassLocal $true -Force
Observe que el cmdlet Add-Server instala el servicio de rol Puerta de enlace de Escritorio
remoto, así como todas las dependencias tales como RPC over HTTP e IIS, sobre el o los
servidores afectados. Crea, también, un certificado autofirmado y lo asocia con el servicio
Puerta de enlace de Escritorio remoto. No obstante, con Windows Server 2012, este cmdlet
finaliza con dos errores ligados a dos comandos incorrectos en el archivo de script
Despliegue del módulo PowerShell. Por este motivo, proporcionamos un segundo cmdlet
que termina el trabajo... Este cmdlet no es inútil, por el contrario, en un servidor Windows
Server 2012 R2 puesto que se ha corregido el error en esta versión.
Por defecto, la instalación genera un certificado autofirmado que resulta útil para una fase
de pruebas. Para un entorno de producción, se recomienda encarecidamente utilizar un
certificado obtenido a través de una entidad emisora de certificados reconocida.
En el panel izquierdo, haga clic con el botón derecho sobre el nombre de su servidor y, a
continuación, haga clic en Propiedades. He aquí algunas pestañas interesantes:
En la pestaña Puerta de enlace de Escritorio remoto, verifique que la opción Usar esta
configuración del servidor de puerta de enlace de Escritorio remoto está marcada y el
nombre completo de su servidor de puerta de enlace bien informado. Si no fuera el caso,
hágalo así.
La pasarela RDS está, ahora, operativa. Posee un certificado SSL autogenerado y se han
definido dos directivas. Todos los usuarios del dominio pueden utilizar la puerta de enlace
para acceder a cualquier equipo de la red.
• Por dispositivo, sea cual sea el número de usuarios que utilicen este dispositivo para
acceder a los recursos RDS.
• Por usuario, sea cual sea el dispositivo utilizado para acceder a recursos RDS.
Una vez terminada la instalación, en la pantalla Ver progreso haga clic en el botón
Cerrar.
Esto no supone sino la primera etapa, registrar su servidor con Microsoft. Ahora es posible
agregar licencias TS, seleccionando el programa de licencias. Una vez provistos los
números necesarios, las licencias TS se muestran en el Administrador de licencias. Para
ello, haga clic con el botón derecho en el servidor y seleccione la opción Instalar licencias
en el menú contextual.
Observaciones:
• Este servicio de rol consume muy pocos recursos, aunque debe instalarse sobre un
servidor estable. Las licencias no podrán entregarse a otro servidor fácilmente, y la
ausencia de este rol hace que el conjunto de hosts pasen al periodo de prueba de 120
días.
• Un servidor RDS Windows 2012 Server puede, únicamente, comunicarse con un
servidor de licencias Windows 2012 Server.
• Por defecto, se crea una base de datos en el servidor en la siguiente ruta:
%systemroot%\system32\lserver
• Un servidor de licencias Windows Server 2012 R2 puede proveer licencias RDS a
servidores RDS Windows Server 2008/2008 R2, siempre que posea RDS Cal
Windows Server 2008/2008 R2.
• El administrador de licencias permite seguir el consumo de licencias en modo
usuario, y generar informes. Para utilizar esta funcionalidad, el objeto equipo del
servidor debe ser miembro del grupo Active Directory Servidores de licencias de
Terminal Server. Si el servidor es, también, controlador de dominio, entonces la
cuenta Servicio de Red debe formar parte, también, de este grupo.
RemoteFX, que se incluye desde Windows Server 2008 R2 Service Pack 1, es una
funcionalidad que permite mejorar de forma significativa la experiencia de usuario y
permite mostrar gráficos en 3D de buena calidad, a través de una conexión de Escritorio
remoto desde un puesto con un cliente RDP 8.1 u 8.0. El cliente RDP 7.1 también está
soportado, aunque con menos funcionalidades. Además, la tecnología incluye el soporte de
Aero, animaciones Flash o Silverlight con un rendimiento muy bueno (siempre que la tasa
de transferencia de la red sea lo suficientemente buena, por supuesto). Con la aparición de
HTML5 y la multiplicación de empresas que utilizan clientes ligeros para conectarse a su
infraestructura, no cabe duda de que a RemoteFX le espera un buen porvenir.
Observe que RemoteFX permite, también, aumentar las posibilidades de redirección de los
dispositivos USB.
Los equipos cliente que acceden mediante esta infraestructura aprovechan la aceleración
gráfica de la tarjeta física del servidor Hyper-V, permitiendo así aprovechar las ventajas
que ofrece RemoteFX. La tarjeta gráfica está, en efecto, virtualizada y está accesible a
todas las máquinas virtuales hospedadas.
Los requisitos previos que permiten implementar dicha infraestructura son numerosos:
• El procesador debe ser compatible SLAT (Second Level Address Translation). Esta
funcionalidad se denomina EPT (Extended Page Tables) en los procesadores Intel y
NPT (Nested Page Tables) en los procesadores AMD. Los procesadores Intel
Nehalem como los Xeon X5540, Xeon E5530, con núcleo Sandy Bridge e Ivy
Bridge Intel i3, i5 o Intel i7 y los procesadores AMD con núcleo Barcelona,
Shanghaï, Istanbul o Magny-Cours como Opteron 2356 forman parte de los
modelos compatibles.
• Se necesita una tarjeta gráfica (CPU) sobre el servidor que hospeda RemoteFX. El
controlador debe soportar DirectX 11.1 y disponer de, al menos, 1 GB de memoria
dedicada al vídeo.
Observe que las tarjetas de supervisión remota (tarjeta ILO, iDrac, IMM, KVM sobre IP,
etc.), que sirven habitualmente para tomar el control sobre un servidor y configurar su
BIOS o acceder a la consola, pueden presentar problemas de compatibilidad.
RemoteFX utiliza, en efecto, los controladores WDDM cuando se instala una tarjeta GPU,
mientras que las tarjetas de supervisión utilizan, en su mayoría, el controlador XPDM.
Estos dos controladores no pueden funcionar de manera simultánea, si un controlador
intenta conectarse a través de la tarjeta de supervisión mientras el controlador RemoteFX
está cargado, la consola del servidor no será visible cuando se tome el control remoto de un
sistema operativo con sesión iniciada.
Encontrará una guía paso a paso del despliegue de RemoteFX para un host de virtualización
de Escritorio remoto en la siguiente dirección:
http://go.microsoft.com/fwlink/?LinkId=177903
Los requisitos previos de instalación de RemoteFX sobre un servidor que hospeda el rol de
host de sesión de Escritorio remoto son un poco menos exigentes que en el caso de una
infraestructura VDI.
Para disfrutar una mejor experiencia de usuario puede, también, seguir esta etapa
opcional configurando el parámetro Optimizar la experiencia visual al usar
RemoteFX con una tasa de captura de pantalla Máximo (calidad óptima) en la
Configuración del equipo - Plantillas administrativas - Componentes de Windows -
Servicios de Escritorio remoto - Host de sesión de Escritorio remoto - Entorno de
sesión remota. Tras reiniciar el equipo para confirmar los cambios en algún equipo (y
siempre que la conexión de red tenga una buena tasa de transferencia), apreciará todavía un
mejor rendimiento de las animaciones remotas.
Encontrará una guía paso a paso del despliegue de RemoteFX para un host de sesión de
Escritorio remoto en la siguiente dirección:
http://go.microsoft.com/fwlink/?LinkId=192436
Observe que la redirección USB no funciona si RemoteFX está hospedado sobre un host de
sesión de Escritorio remoto. La redirección sólo será efectiva si RemoteFX está instalado
sobre un host de virtualización de Escritorio remoto.
Puede utilizar esta funcionalidad en un equipo virtual con Windows 7 SP1, Windows 8 o
Windows 8.1 mediante una conexión de escritorio remoto, mediante un acceso Web RDS, o
incluso mediante una RemoteApp.
Encontrará una guía paso a paso para configurar la redirección USB en la siguiente
dirección: http://go.microsoft.com/fwlink/?LinkId=192432
Conclusión
Ahora ya sabe cómo implementar el rol de Escritorio remoto y el conjunto de sus
componentes. Puede implementar distintos métodos de acceso, adaptados a cada contexto
(desde la red local, Internet, hacia un servidor o VDI) sin reducir la seguridad del
sistema de información. Sería una pena privar a los usuarios, y por lo tanto clientes, de una
tecnología así de rápida y eficaz.
Introducción
Este capítulo está dedicado a las distintas formas que existen para acceder a los servicios de
su empresa si se encuentra fuera de ella.
La primera parte aborda los distintos medios que permiten este acceso remoto. A
continuación, se describen los distintos servicios que ofrece Windows Server 2012 para
responder a necesidades de movilidad cada vez más exigentes.
Este acceso remoto puede realizarse a través de dos tipos de enlace. Bien mediante un
enlace de tipo Conexiones de acceso telefónico (llamadas con frecuencia Dial-up), o viene
estableciendo una red privada virtual (VPN: Virtual Private Network).
1. Acceso telefónico
a. Generalidades sobre las conexiones telefónicas Dial-up
Utilizar una conexión de tipo Dial-up permite acceder a la red de la empresa mediante una
simple línea telefónica, desde cualquier sitio. La contrapartida de esta facilidad de acceso es
que se trata de una tecnología que ya es vieja y que ofrece un rendimiento muy limitado,
con una tasa de transferencia de información muy baja.
Ventajas
• No se necesita una conexión a Internet: basta con una simple línea telefónica
clásica.
• Confidencialidad de los datos: la información no transita a través de Internet, de
modo que los datos no son objetivo de todos los ataques propios de este medio
de comunicación a través de la red mundial. La seguridad es, por lo tanto máxima,
puesto que la red local no tiene por qué estar abierta al mundo exterior.
Inconvenientes
• Muy poco ancho de banda. Basada en la tecnología telefónica, las tasas de
transferencia de este tipo de conexión es bastante limitada. En efecto, la red
telefónica se ha diseñado para poder reproducir la voz humana, y nada más. Las
frecuencias que pueden transitar por este medio de transmisión son, de hecho, muy
limitadas.
• Para aumentar la tasa de transferencia que encontramos (56K), existen líneas de
transmisión digitales (128K). No obstante, siguen representando una inversión
importante.
• Coste elevado. Las comunicaciones telefónicas tienen un coste que no es
despreciable, recuperar un simple archivo de 10 MB supondrá una inversión
considerable de tiempo necesario para descargarlo (cerca de cuarenta minutos si la
tasa de transferencia media es de 4 kB/s).
• Además, para poder proveer conexiones remotas múltiples se requieren tantas líneas
telefónicas como usuarios nómadas puedan conectarse simultáneamente.
Si bien el coste es bastante elevado de esta tecnología hace que su uso no parezca muy
atractivo, puede resultar muy útil en ciertos casos concretos. Si no es, en efecto, extraño
tener problemas de conexión a Internet, es mucho menos habitual tener cortes de la línea
telefónica. Puede resultar, de este modo, bastante interesante aprovechar este tipo de acceso
en ciertas empresas de administración de servidores. En efecto, un administrador podrá
seguir gestionando, de manera remota, sus servidores a través de la línea telefónica, aunque
no estén disponibles a través de Internet.
La segunda tecnología que permite realizar un acceso remoto utiliza la red Internet y no la
red telefónica. A diferencia de las conexiones bajo demanda que le permiten conectar
directamente con la red de la empresa, en este caso es necesario pasar "a través" de Internet.
La tecnología que se utiliza se denomina VPN (Virtual Private Network o Red Privada
Virtual, en castellano). Aquí, la comunicación se establece directamente a nivel IP.
A continuación se dan algunas explicaciones relacionadas con la terminología Red Privada
Virtual:
La conexión es virtual en cuanto a que el equipo que establece una conexión VPN a través
de Internet se va a comportar como si estuviera directamente conectado a la red de área
local, como si se tratase de un cable de red directamente conectado a ella. El usuario va a
poder, de este modo, acceder a los mismos recursos que si estuviera físicamente conectado
a la red. Esta conexión se considera, no obstante, virtual, precisamente porque no existe tal
enlace físico Ethernet con la red de destino. Es privada en cuanto a que se trata de una
conexión punto a punto entre el origen y el destino. Los datos que se intercambian están
cifrados. De este modo, si alguien interceptara los datos, no se podrían descifrar sin conocer
la clave privada de la transacción.
Las VPN se utilizan, a menudo, para conectar sitios remotos completos. Hablamos,
entonces, de VPN sitio a sitio. El objetivo de este tipo de conexiones es poder vincular
lógicamente redes remotas sin tener que realizar un enlace de red directo (Ethernet, Wi-Fi,
etc.).
b. Los distintos tipos de VPN que ofrece Windows Server 2012 R2
Windows Server 2012, como sus predecesores, soporta los siguientes tipos de VPN:
PPTP es el método más sencillo para implementar y utilizar una VPN. El cifrado de
los datos interviene después del proceso de autentificación mediante el protocolo
PPP. Utilice, preferentemente, una autentificación MS-CHAPv2 con una
autenticación basada en PAP (Password Authentication Protocol) o CHAP
(Challenge Handshake Authentication Protocol) para no dejar que la contraseña
transite sin cifrar por la red.
También llamado PPP/SSL, este protocolo permite utilizar PPP y EAP para realizar
la autenticación y hacer que la conexión sea todavía más segura.
Ventajas
• Coste reducido: todas las empresas y todos los usuarios ya están equipados, por lo
general, con una conexión a Internet. El coste de la implementación es por lo tanto
mínimo, pues basta con aprovisionar un servidor que haga las veces de servidor
VPN. Además, con una única conexión a Internet es posible dar servicio a varias
conexiones remotas simultáneas sin tener que adquirir una línea suplementaria.
• Ancho de banda elevado: la tecnología VPN se apoya directamente en IP y, por
tanto, sobre una infraestructura Internet. Con la extensión de ADSL y la explosión
del ancho de banda asociado, esta tecnología es mucho más rápida que las
conexiones de tipo Dial-Up.
• VPN Anywhere: supone una pequeña analogía con la tecnología empleada en
Exchange (RPC over HTTPS) donde se encapsula el tráfico de Outlook a través de
tráfico Web seguro (HTTPS). Como se ha explicado antes, aquí es el tráfico VPN el
que está encapsulado en HTTPS. La seguridad de las redes es por lo general una
prioridad, y es corriente bloquear el tráfico de salida que no se corresponda con las
necesidades de la empresa. Por el contrario es raro ver el tráfico HTTPS saliente
bloqueado. De este modo, gracias a SSTP, el usuario debe poder conectarse desde
cualquier red de empresa o punto de acceso a Internet.
Inconvenientes
• Dependiente de la red: a diferencia de las conexiones bajo demanda, el
rendimiento de una conexión a Internet desde una de las dos partes (empresa o
usuario nómada) tienen un impacto nada despreciable en la calidad de la
transmisión. Cualquier problema en el proveedor de acceso de una u otra parte
puede provocar una incapacidad total para comunicarse.
• Confidencialidad de los datos: aunque se utilizan sistemas de cifrado no queda
más remedio que los datos transiten a través de Internet. Esto los vuelve
potencialmente visibles para todo el mundo aunque estén cifrados.
d. DirectAccess, el "VPN-Killer"
El objetivo del lado del cliente consiste en mejorar su experiencia como usuario nómada
proporcionándole condiciones de trabajo totalmente idénticas a las que disfruta en los
edificios de su empresa
Los administradores de sistemas sacarán buen partido a esta tecnología. En adelante serán
capaces de administrar íntegramente los equipos situados fuera de la empresa: despliegue
de actualizaciones de software, actualización del antivirus, aplicación de las directivas de
grupo, etc.
Por defecto, y a diferencia de las tecnologías VPN habituales, sólo el tráfico de destino de
la empresa pasará a través de Direct Access, de forma que no ralentice el tráfico de Internet.
Siempre es posible hacer transitar la totalidad del tráfico por Direct Access, con el objetivo
de controlar de principio a fin la seguridad del acceso.
Su capacidad para gestionar la alta disponibilidad se ha visto mejorada con la llegada del
Service Pack 1 de Windows Server 2008 R2 pues incluye el soporte del direccionamiento
6to4 e ISATAP cuando se utiliza DirectAccess mediante un clúster NLB (Network Load
Balancing). Si desea más información acerca del clúster NLB, consulte el capítulo Alta
disponibilidad.
He aquí las etapas del proceso de conexión a la red gracias a DirectAccess con Windows
Server 2008/2008 R2/2012/2012 R2:
Este proceso es ligeramente diferente con Windows Server 2012 puesto que ya no se utiliza
IPsec y, en lo sucesivo, la conexión externa se establece directamente mediante HTTPS. La
etapa 3 de intento de conexión IPsec e IPv6 ha desaparecido, pasando directamente de la
etapa 2 a la etapa 4.
WAP requiere poseer una granja de AD FS para poder funcionar. Sin AD FS, el asistente
no puede completar las etapas de configuración.
Se recomienda desplegar este rol en una red perimétrica (entre el firewall conectado a
Internet y el conectado a la red de la empresa). A diferencia de una publicación web
"clásica", WAP corta el tráfico entrante del cliente para iniciar una nueva sesión con la
aplicación final. De este modo, el usuario no se comunicará, jamás, directamente con la
aplicación, sino que accederá a través del componente WAP.
En resumen, WAP provee funcionalidades de publicación de aplicaciones similares a
Microsoft Forefront Unified Access Gateway (UAG). No obstante, WAP interactúa con
otros servidores y servicios (AD FS) para proveer un despliegue simplificado. No
reemplaza totalmente a UAG, pues sólo las aplicaciones web con autenticación Kerberos o
por notificación pueden aprovechar una publicación mediante WAP.
WAP puede, por ejemplo, resultar útil para publicar el acceso remoto web de un servidor
Exchange (OWA) o un servidor Lync (Lync Web app). Al gestionarse la autenticación en
AD FS, el usuario recibirá un token único y podrá aprovechar el SSO (Single Sign On) para
acceder a las dos aplicaciones gracias a una única autenticación.
Encontrará, en el siguiente enlace, las etapas que permiten implementar una publicación
mediante el componente WAP: http://technet.microsoft.com/en-us/library/dn383650.aspx
f. ¿Cuáles son las novedades de Windows Server 2012 y Windows Server 2012 R2?
Windows Server 2012 combina la funcionalidad de Direct Access con el rol RRAS
(Remote and Routing Access Service) en un nuevo rol que permite administrar de manera
centralizada, configurar y supervisar a la vez Direct Access y los servicios de VPN. La
mayor mejora reside en las numerosas actualizaciones y mejoras de Direct Access para
prevenir bloqueos ligados al despliegue, y simplificar su gestión.
En el caso de una VPN PPTP o L2TP es técnicamente posible tener una única tarjeta de
red. Esto se sale, no obstante, del marco de buenas prácticas recomendadas por Microsoft y
el rendimiento puede verse afectado.
En la sección Roles del servidor, marque la opción Acceso remoto tal y como indica la
siguiente captura de pantalla:
Deje las opciones por defecto de los servicios de rol marcadas y, a continuación, haga clic
en Siguiente.
Si bien ya no resulta útil con Windows Server 2012, si lo desea puede crear un certificado
autofirmado para L2TP/IPsec o SSTP con Windows Server 2008/2008 R2: abra la consola
Administrador de Internet (IIS) y, en la parte central, haga doble clic en Certificados de
Servidor. En la sección Acciones, haga clic en Crear un certificado autofirmado... y, a
continuación, asígnele un nombre descriptivo.
Ahora que ha instalado el rol de servidor de acceso remoto, puede configurar sus
parámetros asociados.
Seleccione Acceso remoto (acceso telefónico o red privada virtual) y haga clic en
Siguiente.
Marque la opción VPN y haga clic en Siguiente.
Si desea que el servidor VPN asigne las direcciones, le aparece la siguiente pantalla:
Haga clic en Nuevo y, a continuación, defina un rango que contenga suficientes
direcciones de red. Valide haciendo clic en Siguiente.
Preste atención y especifique un rango que se corresponda con su red local. Sin ello, la
comunicación no funcionará.
En la pantalla Administrar servidores de acceso remoto múltiples, si dispone de un
servidor RADIUS marque Sí, en caso contrario marque No.
Aquí, marcaremos No puesto que la seguridad con RADIUS se aborda más adelante en este
capítulo.
Una vez terminado este asistente, Windows Server 2012 crea automáticamente 128 puertos
para cada una de las tres tecnologías de VPN que conoce .Cada conexión requiere un puerto
único. Para obtener una mayor seguridad, conviene deshabilitar los puertos inútiles.
Una vez configurado para aceptar conexiones VPN entrantes, Windows Server 2012
bloquea automáticamente todo el tráfico entrante sobre la interfaz pública que no se
corresponde con el tráfico VPN.
Para modificar los paquetes autorizados (por ejemplo: para poder tomar el control sobre el
servidor por escritorio remoto):
Haga clic con el botón derecho sobre su interfaz pública y, a continuación, seleccione
Propiedades.
Haga clic en Filtros entrantes....
Sólo falta autorizar el tráfico deseado (puerto 3389 TCP por ejemplo para el escritorio
remoto).
Ahora que sabe cómo configurar Windows Server 2012 R2 como servidor de acceso
remoto, sin duda querrá controlar la forma en la que se conectan los usuarios. Cuentas de
usuario, franjas horarias, grupos y muchos otros parámetros son configurables.
Con Windows Server 2012 y Windows Server 2012 R2, el rol de servidor NPS (Network
Policy Server) se instala automáticamente cuando se agrega el rol de acceso remoto, a
diferencia de lo que ocurría en las versiones anteriores de Windows Server.
Lo más práctico es que cree sus propias directivas de acceso a la red para controlar bien su
contenido. He aquí el procedimiento a seguir para crear una directiva que autoriza al grupo
Comerciales a conectarse a la red entre semana de 9h a 18h:
Haga clic con el botón derecho en la carpeta Directivas de red y, a continuación, haga clic
en Nuevo. Especifique un nombre para su directiva. Preste atención a elegir nombres
explícitos, de este modo si sus directivas se multiplican ganará en claridad.
La lista desplegable Tipo de servidor de acceso a la red se refiere a la tecnología NAP
(Network Access Protection) que se ha abordado en el capítulo Implementar los servicios
de red de la empresa. Aquí, sólo se administra la seguridad de acceso al servidor VPN, y
dejaremos la opción como No especificado.
Aparece, a continuación, una página que le permite definir las condiciones. Haga clic en
Agregar.
A continuación tiene la posibilidad de elegir entre una gran variedad de criterios agrupados
en siete categorías diferentes:
En este libro no se abordan con detalle todas estas condiciones, teniendo en cuenta su
elevado número. Podrá no obstante encontrar más detalle en la TechNet de Microsoft en la
siguiente dirección: http://technet.microsoft.com/en-us/library/cc731220.aspx
Las condiciones son acumulables, puede por ejemplo autorizar a un único grupo de
usuarios y sobre una franja horaria muy precisa.
Una vez haya agregado las condiciones, tiene la posibilidad de Conceder acceso, de
Denegar acceso o incluso hacer que sean las propiedades de marcado del usuario las
que determinen el acceso (en este caso, son las propiedades definidas en la cuenta del
usuario las que se tienen en cuenta). En este ejemplo, seleccione Acceso concedido y, a
continuación, haga clic en Siguiente.
Debe seleccionar al menos uno. Preste atención, las opciones sin marcar en la siguiente
imagen representan autenticaciones poco seguras y no deberían estar marcadas en la
medida de lo posible.
Aquí, deje las opciones marcadas por defecto.
En la última página del asistente, verifique bien la información y haga clic en Finalizar.
Su nueva directiva aparece con una cifra asignada automáticamente para el orden de
procesamiento. A continuación puede modificar este orden haciendo clic con el botón
derecho del ratón sobre la directiva y seleccionando una de las opciones, Aumentar o
Disminuir. Esto le permite definir su prioridad y, por consiguiente, el orden en el que se va
a verificar durante la petición de conexión.
3. Administración de la autenticación RADIUS
En la sección anterior hemos visto cómo configurar una directiva de conexión para el
acceso mediante VPN gracias a la consola NPS. Si bien es posible técnicamente, se vuelve
rápidamente difícil de gestionar cuando tiene varios servidores de acceso a la red
(servidores VPN, accesos Wi-Fi, etc.).
Los equipos cliente no son clientes RADIUS. Son los equipos a los que se conectan
(servidor VPN, punto de acceso Wi-Fi) los que lo son.
La configuración de las directivas de acceso (horarios, usuarios, etc.) se realiza del mismo
modo que para un servidor VPN (visto anteriormente en este mismo capítulo). En lo
sucesivo puede configurar su servidor NPS para que se comporte como un servidor
RADIUS o incluso como Proxy RADIUS.
Un servidor RADIUS permite realizar la autentificación, la autenticación y la gestión de los
clientes RADIUS. Un cliente RADIUS puede ser un servidor de acceso, tal como un
servidor de acceso remoto o un punto de acceso inalámbrico, o un proxy RADIUS.
Un proxy RADIUS asegura la distribución de los mensajes RADIUS entre los clientes
RADIUS (servidores de acceso) y los servidores RADIUS que realizan la autenticación de
los usuarios, su autorización y la gestión de cuentas durante los intentos de conexión.
Puede ser interesante utilizar un servidor proxy RADIUS en los siguientes casos:
• Si quiere ofrecer una autenticación para las cuentas que no sean miembro del
dominio del que forma parte el servidor NPS.
• Si quiere ofrecer una autenticación basada en una base de datos diferente a la de
Windows.
• Si desea poder gestionar una gran cantidad de consultas de conexión. El proxy
RADIUS se comportará como un distribuidor de carga.
• Si desea dotar de seguridad al acceso a su base de datos de usuarios situando un
proxy RADIUS en una DMZ.
Para que un dispositivo pueda acceder y utilizar su servidor como servidor RADIUS tendrá
que haberlo autorizado previamente. Para ello, siga los siguientes pasos:
Haga clic con el botón derecho del ratón en Clientes RADIUS y seleccione Nuevo.
Basta con declarar el dispositivo dándole un Nombre descriptivo y su Dirección IP.
• El Nombre del proveedor (la lista desplegable ofrece muchos actores importantes
en el mundo informático tales como Cisco, etc.).
• Un secreto compartido que configurará también en el dispositivo de acceso.
Declarar su servidor como Servidor proxy RADIUS es, también, muy sencillo. En su
consola NPS basta con:
Con DirectAccess para Windows Server 2008 R2, era obligatorio poseer una dirección IP
pública (y, por lo tanto, dos tarjetas de red: una pública y una privada) sobre el servidor de
acceso remoto y DirectAccess no soportaba NAT. En lo sucesivo, es posible publicar un
servidor de acceso DirectAccess que posea una única tarjeta de red y que se encuentre
detrás de un firewall.
Escriba el nombre público o la dirección IPv4 que utilizan los clientes para conectarse al
servidor DirectAccess.
Haga clic en Siguiente.
Dado que esta plataforma no dispone de una infraestructura de clave pública (PKI) el
asistente generará automáticamente un certificado autofirmado para HTTPS y habilitará el
proxy Kerberos. También habilitará los protocolos de traducción NAT64 y DNS64 en el
entorno. Preste atención, este certificado se instalará sobre las máquinas cliente para que
DirectAccess funcione.
DirectAccess está, ahora, instalado. Basta con definir los equipos autorizados para
conectarse a este servicio.
Desmarque la opción Habilitar DirectAccess solo para equipos móviles (en un ámbito
profesional, y fuera del perímetro de esta maqueta, es preferible dejar esta opción marcada).
Marque la opción Permitir que los clientes de DirectAccess usen la resolución local de
nombres y, a continuación, haga clic en Finalizar.
Esta opción permite al usuario utilizar los servidores DNS locales y, por tanto, que no todas
las consultas DNS se envíen a los servidores DNS internos de la red de la empresa.
Preste atención, si desea trabajar con esta maqueta sobre un servidor Hyper-V, tendrá que
configurar las tarjetas de red del servidor DirectAccess como tarjeta heredada (o Legacy) si
encuentra problemas de flujo.
Todas las soluciones de acceso remoto deben permitir saber qué usuario se conecta y qué
acciones realiza mientras está conectado. Si bien las herramientas DirectAccess de
Windows Server 2012 no permiten tener un nivel de información tan detallado como el que
ofrece un servidor Forefront TMG, sí permiten supervisar mejor la actividad y el uso que
las versiones anteriores de Windows Server.
Windows Server 2012 incluye una nueva consola de supervisión que proporciona
información útil acerca de los usuarios que se conectan de manera remota. La siguiente lista
presenta la información que puede obtenerse en esta consola (información que proviene, de
hecho, de los contadores de rendimiento de Windows Server).
• Nombre de usuario.
• Nombre de host.
• Dirección del ISP.
• Protocolo/Túnel.
• Duración de la conexión.
Conclusión
Acaba de ver en este capítulo que, para proporcionar un acceso remoto a sus usuarios,
tendrá que configurar un servidor de acceso remoto. Cuando sus usuarios se encuentren
fuera de la empresa podrán acceder a los recursos internos utilizando bien una conexión de
tipo Dial-up, una conexión VPN, o bien DirectAccess.
Windows Server 2012 R2 sabe cómo gestionar las tres soluciones. Permite, además,
agrupar los servidores de VPN y DirectAccess sobre el mismo servidor, lo cual presentaba
problemas en ediciones anteriores de Windows Server.
Incluye toda una serie de mejoras en el servicio de enrutamiento y en el acceso remoto que
hace el despliegue de DirectAccess lo más sencillo posible y fácil de integrar con una
solución VPN clásica.
Windows Server 2012 R2 también le permite, gracias a las nuevas directivas de acceso,
definir de forma muy precisa quién se conecta, cuándo y de qué manera.
Si desea centralizar la seguridad de las conexiones de sus equipos, Windows Server 2012 le
proporciona el rol de concentrador gracias a sus funciones RADIUS.
1. Presentación de IIS 8
a. Presentación general
IIS 8 (Internet Information Services) es la última versión del servidor Web de Microsoft. Se
incluye de forma completa con Windows Server 2012, y proporciona una plataforma segura
y fácil de administrar para albergar servicios Web y aplicaciones Web enriquecidas. Con
Windows Server 2012 R2, se proporciona la versión 8.5 de la aplicación. IIS 8 es una
plataforma Web unificada que integra IIS, ASP.NET, PHP, servicios FTP y Windows
Communication Foundation (WCF: el modelo de programación de WCF es una capa de
abstracción que unifica y simplifica el mecanismo de integración de los servicios Web,
.NET Remoting, Microsoft Transaction Server y Microsoft Message Queuing).
La compatibilidad hacia atrás de IIS 8.5 permite migrar con facilidad los sitios Web
hospedados en versiones anteriores de IIS sin encontrar problema alguno.
Como con IIS 6, IIS 7 e IIS 7.5, puede instalarse en el sistema operativo cliente (Windows
8) en su versión ligera. Windows 8 y Windows Server 2012 comparten el mismo núcleo,
por lo que es sencillo desplegar aplicaciones desde su puesto de trabajo para, a
continuación, hospedarlas en un servidor.
Observe que Windows Server 2012 y Windows Server 2012 R2 no tienen una edición Web,
puesto que la experiencia previa con los clientes de Microsoft indicaba que preferían
utilizar una versión estándar antes que verse limitados en términos de funcionalidades.
IIS 8.5 puede, también, instalarse en la versión mínima (Core) de Windows Server 2012 R2
(Windows Server 2012 ya permitía instalar IIS 8 en modo Core). Como con Windows
Server 2008 R2 y a diferencia de Windows Server 2008, Windows Server 2012 y Windows
Server 2012 R2 permiten instalar .NET Framework en modo core.
b. Arquitectura heredada
Estos módulos están desacoplados en cinco categorías para la parte Servidor Web.
El servicio FTP (File Transfer Protocol) está separado de la parte servidor Web puesto que
se trata, en lo sucesivo, de un servicio de rol aparte. Los módulos Servidor FTP y Consola
de administración FTP están asociados a él.
c. Administración
Existe una jerarquía entre los distintos archivos de configuración. Define una herencia de
parámetros como pasaría con los permisos de seguridad NTFS. Esta jerarquía comienza por
el archivo machine.config y sigue el orden siguiente: web.config (de primer nivel),
applicationHost.config y por último un archivo web.config opcional situado en la ruta del
sitio o de la carpeta virtual. De este modo, se heredan las propiedades desde el archivo
machine.config hasta el último archivo web.config del árbol.
Como hemos visto antes, Windows Server 2012 y Windows Server 2012 R2 proporcionan,
respectivamente, las versiones 8 y 8.5 de IIS. Esta versión aporta un número de mejoras
esperadas respecto a la versión anterior, pero también algunas novedades.
La consola MMC IIS resulta obsoleta con Windows Server 2012. Se eliminará en las
sucesivas versiones de Windows Server.
2. Instalación del rol Servidor Web (IIS) en modo Windows Server mínimo
a. Instalación por defecto
Para realizar una instalación por defecto en un servidor Windows Server 2012 R2 en modo
Core, utilice el comando PowerShell siguiente:
Install-WindowsFeature Web-Server
b. Instalación completa
Para realizar una instalación completa de IIS 8.5 (con todas las funcionalidades) sobre un
servidor Core Windows Server 2012 R2, utilice el siguiente comando PowerShell:
Puede verificar que el rol está bien instalado utilizando el comando Get-WindowsFeature.
Si lo ejecuta verá la lista de roles de servidor disponibles. Para cada uno de ellos verá una
indicación Installed o Available. Para los servidores de rol instalados, se representa un sub-
árbol con el estado de la instalación de cada servicio de rol.
3. Instalación del rol Servidor Web (IIS) en modo gráfico
A continuación se muestran las distintas etapas a seguir para instalar el rol Servidor Web
(IIS) en modo gráfico:
Marque la opción Servidor web (IIS) como se muestra y, a continuación, haga clic en
Siguiente.
En el cuadro de diálogo Agregar características requeridas para Servidor Web (IIS),
haga clic en Agregar características.
Haga clic en Siguiente.
Lea la descripción del rol de Servidor Web y, a continuación, haga clic en Siguiente.
En el ejemplo en curso, solamente utilizará las funciones básicas de IIS. Deje marcadas las
opciones por defecto y, a continuación, haga clic en Siguiente.
Verifique las opciones marcadas y, a continuación, haga clic en Instalar.
Verifique que la instalación se ha desarrollado correctamente y, a continuación, haga clic
en Cerrar.
Para verificar que IIS 8.5 está operativo, abra Internet Explorer y, a continuación, en la
barra de direcciones escriba la URL: http://localhost.
Por defecto la consola de administración de IIS se conecta al servidor local. Esto le permite
cambiar la configuración y los parámetros del servidor.
En el panel izquierdo, haga clic en el nombre de su servidor (aquí DC2012) para mostrar la
lista de funcionalidades disponibles.
La primera vez que se conecte, se abre un asistente que le permite instalar Microsoft Web
Platform. Microsoft Web Platform Installer es una herramienta gratuita que permite instalar
componentes, aplicaciones web o gestores de contenidos de manera gratuita y con un solo
clic. Puede hacer clic en Sí en la maqueta aunque no vayamos a utilizar esta funcionalidad
en las siguientes etapas.
Por defecto, la página muestra las funcionalidades agrupadas por Área. Puede cambiar esta
representación mediante la lista desplegable ubicada en la sección superior del panel
central. De este modo, es posible agrupar por Área (por defecto), por Categoría o incluso
sin agrupar.
Desde la consola Administrador de Internet Information Services (IIS), haga clic con
el botón derecho del ratón sobre el nombre de su servidor y, a continuación, seleccione la
opción Agregar sitio Web (es posible realizar esta misma operación desde otros lugares.
Por ejemplo, directamente desde el árbol de Sitios).
En este ejemplo, no informe el nombre del host y deje los parámetros del enlace por
defecto. Estos parámetros de enlace sirven para definir sobre qué puerto y/o con qué
nombre va a acceder al sitio (encontrará más detalles en la sección Uso de los
encabezados host de este capítulo).
Una vez haya completado los campos, haga clic en Aceptar. Aparece el siguiente mensaje:
La razón por la que aparece este mensaje es porque IIS ya hospeda un sitio que utiliza el
puerto 80 en la misma dirección IP. Se trata del sitio Web por defecto. No es posible, para
una única dirección IP y un mismo puerto, tener varios sitios Web (salvo que utilicemos
encabezados HTTP; este punto se aborda en la sección Uso de los encabezados host de este
capítulo).
Si trata de levantar el sitio Web obtendrá un mensaje de error. Para confirmarlo, siga los
siguientes pasos:
En el panel izquierdo, extienda el árbol Sitios para mostrar el sitio que acaba de crear y, a
continuación, selecciónelo.
Escriba 8080 en el campo Puerto y, a continuación, haga clic en Aceptar para validar. A
continuación, haga clic en Cerrar.
Este puerto se define de forma arbitraria puesto que no está siendo utilizado por los
servidores que sirven como ejemplo. Generalmente se utiliza para servidores de tipo proxy
como puerto estándar.
Tendrá que mostrar algún documento en su sitio web. Para crearlo, abra el Bloc de notas y,
a continuación, escriba el código siguiente:
<HTML>
<head>
<Title>Sitio web de mi Empresa</Title>
</head>
<body>
He aquí mi primer sitio Web en IIS 8.5
</body>
</HTML>
Si bien es posible utilizar puertos de escucha distintos para cada sitio Web, en la
práctica esto no resulta una solución viable cuando varios sitios Web están hospedados
sobre el mismo servidor. Este problema se presenta, en particular, para los sitios Web
públicos. Los internautas no saben en qué puerto está configurado el servicio de su sitio
Web y, por lo tanto, no es factible demandarles que indiquen el puerto concreto al que
quieren conectarse para acceder a un sitio Web en Internet.
Una de las soluciones que permiten resolver este problema de puertos consiste en
configurar varias direcciones IP sobre su servidor Web. Cada IP se asocia, a continuación,
con un sitio único. Si bien esta solución puede sacarnos del apuro en un uso interno, se
convierte en una solución muy costosa para un uso público (las direcciones IP fijas en
Internet representan una inversión y se proporcionan de forma limitada).
Para poder administrar de forma óptima la ubicación de varios sitios Web, tendrá que
utilizar los encabezados host. Estos encabezados permiten utilizar varios nombres de host
para una única dirección IP. IIS escuchará las solicitudes entrantes y revisará la
información enviada por el navegador. En función del nombre de host recibido, redirigirá la
consulta del navegador hacia el sitio Web correspondiente.
En el siguiente ejemplo va a configurar el sitio creado en la etapa anterior para que escuche
en la dirección www.miempresa.es.
Despliegue el árbol Sitios para mostrar el sitio creado en la etapa anterior de este capítulo
(sitio Web de mi empresa).
Cada nombre de host que quiera utilizar en IIS debe existir. En un sitio Intranet, basta con
agregar registros en su zona DNS de dominio. Para un uso público, tendrá que gestionar la
zona DNS pública. O bien tiene acceso a una interfaz de administración que se lo permite, o
bien solicita al administrador de su zona DNS crear los registros de acuerdo a las reglas.
Una DMZ (Demilitarized Zone) o Zona desmilitarizada es una zona de la red en la que los
usuarios de Internet pueden acceder a los servidores sin poner en peligro la seguridad de su
red local. El objetivo de esta zona es limitar la superficie de exposición de sus redes.
Organizando los servidores de modo que aquellos que albergan aplicaciones públicas estén
en la red perimétrica, no permitirá el acceso a su red local desde Internet. De este modo,
reforzará la seguridad de su red local impidiendo la comunicación con la misma.
Existen dos implementaciones típicas de DMZ. La primera utiliza un firewall con tres
interfaces de red o más (firewall multidominio).
La segunda utiliza dos firewalls. En el caso ideal, y para dotar de una máxima seguridad a
la infraestructura, es recomendable utilizar dos modelos de firewall distintos. En efecto, si
una persona malintencionada encuentra un fallo en el primero, ya tiene el trabajo
prácticamente hecho para llegar a abrir el segundo, si son idénticos.
A continuación, sólo le queda gestionar los flujos entre Internet y la DMZ, y entre la DMZ
y la LAN. En efecto, si sus servidores Web llaman a recursos de red, necesitarán un acceso
a la misma. Basta con autorizar a los servidores de la DMZ para comunicarse con la LAN
con los protocolos requeridos. A continuación, podrá restringir el acceso para mejorar la
seguridad tanto en la DMZ como en su red local.
Del lado del servidor, Windows Server 2012 configura automáticamente las excepciones de
su firewall. Habiendo agregado el rol de servidor IIS, ya ha autorizado automáticamente los
flujos http y HTTPS. Sólo le falta gestionar los puertos abiertos en los equipos del firewall.
Desde IIS 8 para Windows Server 2012, esta maqueta se crea por pool de aplicaciones.
Ofrece, al mismo tiempo, un límite a nivel de procesos Windows haciendo que cada cliente
se ejecute en entidades distintas y estableciendo un límite en el uso de recursos para cada
proceso.
Para configurarlo en su sitio Web, creado en las etapas anteriores, siga los siguientes pasos:
Para restringir su campo de acción y asegurar que no ven las carpetas de otras personas,
tendrá que configurar el aislamiento de usuarios.
Requisitos previos: disponer de una instalación básica de IIS; haber creado las cuentas
usuario1 y usuario2 en Active Directory.
Antes de pasar a la configuración del servicio FTP, va a crear datos que permitirán
visualizar la correcta implementación del aislamiento de usuarios.
Este comando permite dar permisos de lectura a la cuenta anónima IIS sobre la carpeta
ftproot.
Cree una carpeta LocalUser en la carpeta ftproot y, en esta nueva carpeta, cree la carpeta
Public. Esta carpeta servirá para almacenar el contenido que se provee a los usuarios
anónimos.
Preste atención, es importante que nombre esta carpeta con el nombre de su dominio. Si
no respeta esta condición, el aislamiento de usuarios no funcionará correctamente y serán
incapaces de encontrar su carpeta raíz.
En el panel Conexiones, haga clic con el botón derecho sobre el nombre de su servidor y, a
continuación, seleccione Agregar sitio FTP....
Rellene la información tal y como se describe más abajo y, a continuación, haga clic en
Siguiente.
Seleccione Sin SSL en la sección SSL y, a continuación, haga clic en Siguiente.
En este ejemplo, configurará el servidor FTP para que no exija el protocolo SSL. En la
práctica, como utiliza una cuenta de dominio, convendrá dotar de seguridad a la
autenticación. De este modo, tendrá que adquirir un certificado SSL (o entregarlo mediante
una entidad emisora de certificados) y exigir SSL de forma que la información esté cifrada
y evitar, de este modo, cualquier intercepción de las credenciales.
Marque la opción Anónima, en la lista Autorización seleccione Usuarios anónimos y
marque la opción Leer.
Las reglas de autorización permiten autorizar o denegar el acceso a los usuarios. Es posible
precisar si un usuario tiene permisos de escritura o, simplemente, de lectura.
Seleccione Todos los usuarios y marque las opciones Leer y Escribir y, a continuación,
valide haciendo clic en Aceptar.
Vuelva a su sitio FTP y, a continuación, haga doble clic en Aislamiento de usuarios FTP.
Una posible vulnerabilidad en un servidor consiste en un ataque del tipo "fuerza bruta" (un
ataque por fuerza bruta consiste en un método utilizado para encontrar una contraseña o una
clave. Se trata de probar, una a una, todas las combinaciones posibles. Este método de
búsqueda exhaustiva tiene éxito en aquellas ocasiones en que la contraseña que se busca
está formada por pocos caracteres) mediante los servicios FTP. Partiendo del principio de
que las cuentas que utiliza FTP son, a menudo, cuentas de usuario físicas del sistema
operativo resulta, teóricamente, posible adivinar la cuenta de administrador una vez conoce
la versión del servidor FTP (por ejemplo: Administrador para un servidor Windows y root
para un servidor Linux).
Marque la opción Habilitar restricciones de intento de (opción que no ha sido del todo
bien traducida al castellano).
Defina el número máximo de intentos de conexión fallidos así como el periodo de tiempo
entre cada intento.
Conclusión
Acaba de ver en este capítulo que para administrar sitios Internet y/o Intranet debe utilizar
el rol Servidor Web (IIS).
IIS 8 e IIS 8.5 conservan la arquitectura de su predecesor, así como las mejoras que se han
aportado en términos de seguridad y de modularidad. Aportan, no obstante, varias mejoras
dedicadas a hospedar sitios Web y a la gestión multicliente.
Introducción
Este capítulo está dedicado a la securización de Windows Server 2012 R2. La seguridad se
encuentra en el núcleo de este sistema operativo, cuya implantación más evidente es la
instalación llamada "mínima", de ahí el nombre inglés "Core" para nombrarla. En este
capítulo descubrirá cómo administrar esta versión tan particular y tan útil en un entorno
hostil.
Por analogía, esta instalación mínima sigue llamándose Core, como en Windows 2008
Server y 2008 R2 Server, por parte de los usuarios.
El interés de una instalación Core consiste en reducir la superficie de ataque, lo cual tiene
un impacto en los roles que pueden instalarse en el servidor. La aplicación de las
actualizaciones también se ha visto reducida, lo que facilita el ciclo de vida del servidor.
Desde Windows Server 2008 R2, se incluye el Framework .NET en la edición Core, lo cual
abre nuevos usos (PowerShell, sitios IIS...).
Es posible instalar los siguientes roles en un servidor Windows Server 2012 R2:
• BranchCache (retransmisión).
• Servidor multimedia.
• Servicios WSUS (Windows Server Update Services).
2. Instalación mínima
La instalación Core es sucinta, ¡lo cual se pone de manifiesto desde la instalación! Sólo se
necesitan 5 minutos, aproximadamente, desde que se inserta el DVD de instalación hasta
que aparece el prompt de autenticación, incluso sin haber automatizado la instalación
En esta etapa, nada indica que se trata de una instalación mínima. Es una vez autenticados
cuando la diferencia se hace patente.
• Tras el arranque, con una única sesión abierta, se utilizan 300 MB de memoria
frente a los más de 500 MB en una instalación completa.
• Se necesitan 6,3 GB de espacio en disco, frente a los casi 11 GB para una
instalación completa. Windows Server 2012 R2 incluye, sistemáticamente, una
partición de unos 350 MB.
Observe también que, con Windows Server 2012 R2, Windows Defender se instala
automáticamente con la versión Core.
Con Windows Server 2012 R2, también es posible utilizar la consola Administrador del
servidor para administrar un servidor Core (habilitando winrm en el servidor Core
previamente).
En el modo Core, cuando se abre una sesión, se utiliza la línea de comandos como interfaz,
y ésta se abre de forma automática. Para que PowerShell sea la línea de comandos por
defecto en Windows Server 2012 R2, ejecute el siguiente comando en una ventana
PowerShell:
$RegPath = "Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows NT\CurrentVersion\winlogon"
Restart-Computer
1. Sconfig
Abrir esta herramienta es tan sencillo como escribir su nombre en una ventana de
comandos: sconfig.
Habrá comprendido, si tiene la suerte de poseer Windows Server 2012 R2, que no será
necesario realizar la mayor parte de las configuraciones que siguen. No obstante, siempre
es interesante conocer los distintos métodos que se ofrecen.
3. Parámetros regionales
Si desea modificar los parámetros regionales, puede utilizar el comando control intl.cpl.
4. Resolución de pantalla
También es posible modificar el salvapantallas por línea de comandos. Para ello, abra el
editor regedit desde la línea de comandos abierta en pantalla.
Con la instalación sólo está disponible la clave ScreenSaveActive. Las otras tres se crean
manualmente como "valores cadena" (REG_SZ).
Por defecto, al servidor se le asigna un nombre de máquina aleatorio, siempre con el prefijo
WIN-.
Mediante PowerShell:
Restart-Computer
7. Administración de controladores
Pnputil -e
Para agregar e instalar controladores suplementarios, hay que utilizar los parámetros -a y -i
y precisar la carpeta donde se encuentran:
Pnputil -a -i c:\miscontroladores\*.inf
Para obtener la lista de controladores habilitados, utilice el siguiente comando (no olvide el
espacio tras el signo =):
8. Configuración de red
El servidor utiliza, por defecto, un direccionamiento DHCP sobre todas las interfaces. Para
cambiar a un direccionamiento por IP estática, tiene que utilizar el comando PowerShell
Set-NetIPAddress. Cada tarjeta de red posee un número atribuido que se utiliza en el
comando Get-NetIPInterface para determinar la tarjeta de red a la que se desea aplicar los
cambios. Para enumerar las tarjetas de red y ver los identificadores atribuidos por
Windows, ejecute el siguiente comando desde la línea de comandos PowerShell:
Get-NetIPInterface
Donde:
Para configurar la dirección 172.16.0.2 como servidor DNS primario, ejecute el siguiente
comando:
9. Activación de Windows
Si simplemente quiere conocer la fecha en la que expira la licencia, ejecute el script con el
parámetro /xpr.
cscript %systemroot%\System32\slmgr.vbs/xpr
Si existe esta entrada DNS, el servidor intentará conectase al puerto TCP 1688. Puede, de
este modo, indicar manualmente el nombre del servidor KMS con el parámetro -skms.
El comando netdom permite unirse a un dominio Active Directory existente. Ejecute, desde
la línea de comandos:
El símbolo * indica que debe solicitarse la contraseña, evitando tener que escribirla en claro
en la consola.
Igual que con Windows Server 2008 R2 y Windows Server 2012, es posible unirse a un
dominio sin estar conectado a la red del dominio en ese preciso momento. El capítulo
Despliegue de servidores y puestos de trabajo cubre con detalle esta operativa (sección
Unirse al dominio sin red).
Si bien la consola Visor de eventos permite visualizar los registros de un servidor remoto,
puede gestionarlos de forma local desde el servidor Core. Es posible mostrar la lista de los
registros de eventos en la consola mediante el comando: wevtutil el
La ventana Línea de comando, sin ser ideal para una visualización masiva, ni muy rápida,
puede filtrar los resultados de salida especificando el número de eventos que se quiere
mostrar. Por ejemplo, para mostrar únicamente los cinco últimos eventos: wevtutil qe
System /c:5 /f:Text
También es posible visualizar solamente los cinco últimos errores agregando el parámetro
"/q:*[System[(Level=1 or Level=2)]]".
• El nivel 1 se corresponde con los eventos "críticos".
• El nivel 2 se corresponde con los eventos de "error".
• El nivel 3 se corresponde con los eventos de "advertencia".
• El nivel 4 se corresponde con los eventos de "información".
Administración remota
1. Activación del Escritorio remoto
Como con la versión completa de Windows Server 2012, el acceso remoto no está activado
por defecto. Puede verificar el estado de su activación con el siguiente comando:
En este estado, sólo los clientes que ejecuten al menos Windows Vista o Windows Server
2008 podrán conectarse. Para autorizar la conexión de clientes de versiones anteriores:
Quickconfig se encarga de agregar la excepción sobre el firewall para que el servicio esté
accesible a través de la red.
Por defecto, WinRM utiliza el protocolo HTTP. Es posible utilizar HTTPS, con la
condición de tener instalado un certificado válido (que no haya expirado, y que no sea auto-
firmado). Para ello, basta con especificar el transporte HTTPS: WinRM quickconfig -
transport:https
Si desea utilizar WinRM para acceder a un servidor que no esté en su dominio Active
Directory, debe utilizar un certificado SSL, o bien utilizar la lista de equipos aprobados.
Esta lista está situada del lado del cliente, y puede administrarla potencialmente mediante
una directiva de grupo, facilitando así las altas y las bajas de servidores en esta lista.
Si desea administrar localmente esta lista, puede utilizar el comando siguiente para agregar
servidores:
Será preciso reemplazar miLista por uno o varios elementos separados por comas. Es
posible utilizar direcciones IP y nombres DNS.
WinRM está, también, disponible en las versiones anteriores de Windows (XP, 2003) como
componente suplementario. Puede acceder a él descargándolo de la siguiente
dirección: http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=8
45289ca-16cc-4c73-8934-dd46b5ed1d33
Las demás consolas mmc pueden estar autorizadas sobre el firewall para poder utilizarse de
forma remota. He aquí una lista de los elementos que se pueden visualizar con los nombres
correspondientes en las reglas:
La instalación Core se utiliza a menudo en un entorno hostil, de modo que es útil poder
realizar al menos copias de seguridad locales del sistema. La administración de las copias
de seguridad se realiza instalando la funcionalidad Windows Server Backup mediante
PowerShell:
Add-WindowsFeature Windows-Server-Backup
Para iniciar manualmente una copia de seguridad, es preciso utilizar el comando wbadmin.
En nuestro ejemplo, vamos a realizar una copia de seguridad del lector C:\ en la carpeta
compartida \\otroservidor\carpetascompartidas\copiasdeseguridad:
Las rutas UNC pueden utilizarse directamente como destinos de la copia de seguridad. Se
creará una carpeta llamada "WindowsImageBackup". A continuación se creará
automáticamente una carpeta con el nombre del servidor. Cualquier copia de seguridad
anterior se borrará de forma automática. La restauración completa puede hacerse utilizando
el DVD de instalación (opción restauración).
Para obtener más información acerca del uso de Windows Server Backup, consulte el
capítulo El ciclo de vida de su infraestructura.
Los comandos oclist y ocsetup presentes en Windows Server 2008/2008 R2 han dado paso,
en lo sucesivo, a los comandos PowerShell Get-WindowsFeature y Add-WindowsFeature
desde Windows Server 2012. El primero enumera los roles instalados o no, y el segundo
permite instalarlos. Para eliminar un rol o una característica, será preciso utilizar el cmdlet
PowerShell Remove-WindowsFeature.
a. Roles de red
La instalación de roles de red se limita a un simple comando. He aquí los comandos que
permiten realizar la instalación de los distintos roles de red disponibles. Estos roles
consumen pocos recursos de sistema pero son necesarios permanentemente. Utilizar una
instalación mínima permite dotarlos de seguridad y limitar los cortes de servicio gracias a la
reducción del número de actualizaciones de seguridad a instalar.
Add-WindowsFeature DHCP
Para crear un ámbito sobre el servidor DHCP que incluye el rango de direcciones
172.16.0.100 a 172.16.0.250:
Para proveer una dirección IP de la puerta de enlace por defecto y los servidores DNS en
los contratos DHCP:
El comando netsh sigue existiendo, si no quiere utilizar PowerShell. Puede consultar la lista
de argumentos utilizando el comando netsh dhcp /?. A continuación, puede obtener la
misma sintaxis para obtener ayuda sobre un argumento. Por ejemplo: para obtener ayuda
sobre la forma de agregar un ámbito: netsh dhcp server add /?
Add-WindowsFeature DNS
Puede ver todas las entradas de una zona por línea de comandos:
Get-DnsServerZone
Windows Server 2008 R2 incluye la securización del DNS (DNSSEC), lo que permite
verificar que la fuente es digna de confianza para la resolución y la transferencia de zonas.
Una infraestructura de tipo PKI permitirá proteger las entradas DNS.
A diferencia de los roles de red, se proporcionan varios roles en función de sus necesidades.
Puede seleccionar instalar o no FRS, RFRS, DFS, SIS e incluso NFS. El capítulo
Arquitectura distribuida de acceso a los recursos de este libro cubre con detalle la
administración distribuida de recursos mediante DFS, por lo que aquí nos interesaremos por
las especificidades ligadas a la instalación Core. Este tipo de instalación es adecuado para
este rol, pues la disponibilidad es vital para la mayoría de usuarios. Podrá utilizarse una
mayor cantidad de memoria gracias al bajo perfil de consumo del sistema operativo, y la
reducción del número de actualizaciones reduce los cortes del servicio.
Add-WindowsFeature FS-FileServer
Add-WindowsFeature FS-DFS-Namespace
Add-WindowsFeature FS-NFS-Service
Windows Server 2012 incluye el servicio FSRM (File Server Resource Manager) en su
edición Core. Esto permite administrar el almacenamiento burocrático (gestión de cuota,
bloqueo de archivos por extensión e informes sobre el consumo de espacio en disco) así
como tener en cuenta el control de acceso dinámico, que se aborda en el capítulo Securizar
su arquitectura.
Add-WindowsFeature FS-Resource-Manager
Import-module servermanager
Add-WindowsFeature RSAT-FSRM-Mgmt
Basta, a continuación, con agregar las excepciones sobre el firewall para administrar de
manera remota los recursos compartidos (sobre el servidor Core en entrada y sobre el
equipo que ejecuta el administrador del servidor):
Add-WindowsFeature Print-Services
Agregar una impresora al servidor:
Desde un equipo Windows 8 u otro Windows Server 2012 R2 que no sea la edición Core,
abra la consola administración de impresión. Si no se encuentra en un servidor Windows
Server 2012 R2, puede agregarla independientemente utilizando el comando:
Add-WindowsFeature RSAT-Print-Services
Add-WindowsFeature AD-Domain-Services
El rol servidor DNS se instala de manera automática y, una vez finalizada la instalación y la
creación del bosque, el servidor reinicia.
Remove-WindowsFeature Wow64-Support
Es, también, interesante saber que existe un modo intermedio llamado Servidor con
Interfaz básica. Este modo se sitúa entre los dos anteriores por el motivo siguiente: el
intérprete gráfico de comandos es, en lo sucesivo, una característica. Si bien la interfaz de
administración gráfica habitual (explorador de Windows, barra de herramientas, etc.) se
elimina y nos deriva a un modo Core, sí tiene, en cualquier momento, la posibilidad de
abrir herramientas de gestión gráfica tales como una consola MMC.
Para cambiar a este modo intermedio puede utilizar el siguiente comando PowerShell:
Uninstall-WindowsFeature Server-Gui-Shell -Restart, o bien utilizar la consola
Administrador del servidor y eliminar la característica ”Interfaz gráfica del servidor”.
1. Paso del modo GUI al modo Core
Si la idea de utilizar una línea de comandos para instalar las funcionalidades de Windows
no le agrada, o simplemente por sus aspectos prácticos prefiere instalar inicialmente su
servidor en modo gráfico, configurar los distintos servicios de rol y, a continuación, pasar a
un modo de servidor mínimo para dotarlo de seguridad, puede pasar del modo GUI al modo
Core ejecutando el siguiente comando desde una línea de comandos Windows PowerShell
con privilegios de administrador:
Esta misma operación puede realizarse desde la consola Administrador del servidor:
En ciertas situaciones, puede necesitar utilizar las interfaces de usuario gráficas que están
disponibles en los servidores en modo gráfico. Puede pasar de un servidor en instalación
mínima a un servidor en modo gráfico realizando las siguientes etapas (debe reiniciar el
equipo).
mkdir MountDir
Ejecute:
Ejecute:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart -Source c:\mountdir\windows\winsxs
O, si prefiere utilizar Windows Update como origen, en lugar del archivo WIM, ejecute el
siguiente comando Windows PowerShell:
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell
-Restart
Una vez terminadas las tareas de administración, puede volver al modo de instalación
mínima si lo necesita (debe reiniciar el equipo) utilizando el siguiente comando Windows
PowerShell:
En las versiones anteriores de Windows, cuando un rol o una característica del servidor no
estaba habilitado, los archivos binarios correspondientes se conservaban en disco, lo cual
consumía un espacio de disco innecesario. En Windows Server 2012 R2, cuando
deshabilita un rol o una característica, tiene la posibilidad de eliminar completamente los
archivos correspondientes, lo que se corresponde con el estado "eliminado" (removed) en el
Administrador del servidor o "deshabilitado con eliminación de la carga" en Dism.exe.
Para reinstalar un rol o una característica que haya sido completamente eliminado, debe
utilizar los archivos fuente de instalación.
donde:
• Puede, a su vez, especificar una fuente para los servidores que son miembros del
dominio mediante una directiva de grupo. Acceda a Configuración del equipo -
Plantillas administrativas - Sistema - Especificar parámetros para desinstalar
componentes opcionales y reparar componentes.
Ya lo conoce, a menos que no utilice las herramientas de gestión remota del servidor
(RSAT: Remote Server Administration Tools), pero puede utilizar PowerShell para
administrar su servidor de manera local. Windows PowerShell 4.0 se incluye con Windows
Server 2012 R2 y aporta un gran número de funcionalidades que extienden su uso,
mejorando su experiencia y permitiendo gestionar de forma mucho más sencilla y eficaz los
entornos Windows. Entre las novedades, encontrará:
Conclusión
Gracias a todas las etapas de configuración seguidas anteriormente, usted dispone, ahora,
de un servidor Core completamente funcional en su entorno. Se han presentado algunos de
sus uso principales, y otros, como Hyper-V, se han descrito en el capítulo Consolidar sus
servidores.
Esta edición se ha visto reforzada con, por ejemplo, la posibilidad de instalar SQL 2012
sobre un servidor Core: http://msdn.microsoft.com/en-us/library/hh231669.aspx
Las ventajas de esta instalación mínima son reales, y la principal dificultad consiste en
acostumbrarse a su administración cotidiana. ¿Supone el Server Core el final de la división
entre la interfaz Windows y el shell de Unix?
Introducción
Este capítulo está dedicado a la solución de virtualización de Microsoft, Hyper-V. A
diferencia de los productos anteriores de Microsoft sobre la materia, como Virtual Server,
la virtualización se ha pensado desde el diseño de un sistema operativo. Este verdadero
hipervisor está disponible de forma gratuita (sin compra de licencia Windows Server 2012
R2) con el nombre Microsoft Hyper-V Server 2012 R2 y puede descargarse del sitio de
Microsoft (http://www.microsoft.com/en-us/server-cloud/hyper-v-server/default.aspx). En
este capítulo, descubrirá cómo rentabilizar la infraestructura existente y volverla más
flexible de cara a los cambios.
• Fallos de hardware.
• Actualizaciones de la BIOS, firmwares, controladores.
• Ciclos de amortización.
En efecto, las soluciones a estos problemas son conocidas y pueden gestionarse sin
problemas en base a la metodología de trabajo actual. No obstante, siempre existe el riesgo
de que aparezca un nuevo modelo de servidor que reemplace al anterior para el que su
imagen de instalación de Windows no contenga el controlador adecuado. La virtualización
le proporciona los medios para enmascarar esta administración y así poder dedicarse
plenamente a tareas de mayor valor añadido.
• Reducción del conjunto de los costes vinculados con la sala de servidores: eléctrico,
climatización, cableado, alquiler del suelo...
• Reducción de costes de mantenimiento, proporcional al número de servidores
físicos que se ahorren.
b. Límites de la virtualización
No todos los equipos son buenos candidatos para la virtualización. La solución Hyper-V no
soporta, por ejemplo, el conjunto de sistemas operativos Microsoft. En el momento de
escribir este libro, se soportan las versiones siguientes:
Tipo servidor:
Tipo cliente:
Como cualquier sistema operativo instalado sobre un servidor físico, donde es necesario
instalar controladores para reconocer el hardware, los sistemas operativos instalados en las
máquinas virtuales necesitan, a su vez, controladores que les permitan reconocer el
hardware. Todo hipervisor posee controladores virtuales. Con Microsoft Hyper-V se llaman
Servicios de integración.
Salvo para Windows Server 2012 R2 y Windows 8.1, todos los demás sistemas operativos
necesitan que se instalen (o actualicen) los servicios de integración. Para sistemas
operativos como SUSE Linux, OpenSUSE, Ubuntu y Oracle Linux, no se requieren estos
servicios puesto que ya están integrados en estos sistemas, como con Windows Server 2012
R2 y Windows 8.1. Para CentOS (distinto a 5.9 y 6.4) y Red Hat (distinto a 5.9 y 6.4),
tendrá que descargar e instalar los servicios de integración 3.4:
http://www.microsoft.com/en-us/download/details.aspx?id=34603
2. Nuevas problemáticas
Sería ilusorio pensar que la virtualización sólo aporta ventajas y ningún inconveniente.
Como cualquier solución técnica, lo importante es dominarla para sacarle partido. Existen
dos cuestiones que precisan una atención particular: los impactos de la consolidación y la
copia de seguridad.
a. Entorno consolidado
Lo más típico es que los usuarios experimenten un mal rendimiento, que asocian
inmediatamente al hecho de que se trata de una máquina virtual. Se vuelven así reacios a su
uso, pensando que es la única causa de este mal rendimiento.
Este tipo de problema puede aparecer incluso de forma insidiosa con el tiempo. Esta
lentitud en el uso también aparece cuando, al contrario, el resultado es bueno y el éxito de
la solución incita a instalar todavía más máquinas virtuales de las que el dimensionamiento
de la infraestructura prevé.
También puede asignar un peso a cada máquina virtual, permitiendo así priorizar el acceso
a los recursos disponibles que no están reservados. Si por ejemplo dos máquinas virtuales
piden más recursos de procesador al mismo tiempo, la que tiene un peso mayor será
prioritaria. Puede asignar de 1 a 64 procesadores virtuales a cada máquina virtual
(dependiendo del sistema operativo hospedado), siempre que disponga de los núcleos
físicos correspondientes. En un servidor físico de cuatro núcleos, cada VM puede tener
como máximo cuatro procesadores lógicos. Los servidores actuales tienen por lo general al
menos dos o cuatro núcleos, lo cual resulta muy rentable en términos de virtualización. Si
asigna a cada VM dos procesadores lógicos, esto permite mantener un tiempo de respuesta
correcto en una VM, incluso si un procesador lógico está consumido por completo por un
programa o un proceso. Si sólo asigna un procesador lógico y un thread consume todos los
ciclos en bucle, le será complicado incluso acceder al sistema para parar este proceso. Este
fenómeno también es cierto sobre una máquina física con un único núcleo, pero la
virtualización acentúa este efecto que no está presente en la mente de los usuarios que
tienen por lo general dos núcleos en sus equipos (Hyper Threading o dual core).
La pérdida de un servidor físico Hyper-V tiene consecuencias mucho más graves que si se
trata de un servidor sin virtualización. En efecto, este tipo de servidores alberga
potencialmente varias VM (¿una decena, quizás?), y quedarán todas ellas indisponibles al
mismo tiempo. Es preciso prepararse para este escenario, para poder tomar las decisiones
correctas, como el orden en el que se va a volver a poner en servicio estas VM. Se
recomienda desplegar al menos dos servidores Hyper-V, con el objetivo de tener un plan de
recuperación rápido en caso de que ocurra un fallo grave en uno de los dos servidores.
b. Copia de seguridad
La copia de seguridad de una infraestructura virtual es una cuestión que merece una
atención particular. Existen varias implementaciones posibles, y debería encontrar la que le
aporte mayor flexibilidad, limitando las restricciones y los costes asociados. Su objetivo
debería ser poder responder a sus necesidades de una forma lo más adaptada posible al
contexto, respetando los compromisos de servicio con sus clientes.
La primera solución tiene la ventaja de ser muy clásica, aunque también es seguramente la
más costosa, pues no aporta ningún ahorro ligado a la virtualización. Ciertos fabricantes de
software de copia de seguridad proporcionan no obstante un precio por agente inferior
cuando se trata de máquinas virtuales.
Nos ceñiremos a las soluciones de copia de seguridad que tengan en cuenta las
funcionalidades ofrecidas por la virtualización. Una máquina virtual puede tener varios
estados:
• Encendida o Apagada.
• En pausa.
• Con uno o varios puntos de control (antes llamados "instantáneas").
Los puntos de control (antes llamados "instantáneas") permiten tomar una "foto" de la VM
en un momento dado. Para ello, Hyper-V crea un nuevo disco virtual (*.avhd) que
contendrá todas las diferencias generadas tras este punto de control. Esto no constituye en
sí mismo un mecanismo de copia de seguridad. El archivo maestro es indispensable para su
funcionamiento, y no puede estar fuera de la VM. Esta funcionalidad no está disponible
para los discos físicos ligados directamente a la VM (pass-through). Para ciertos roles,
como el controlador de dominio, esta funcionalidad no está soportada por Microsoft. En
cambio, esta funcionalidad es un verdadero "must" para realizar el mantenimiento, pues
permite instalar una nueva aplicación o las actualizaciones del sistema y poder hacer la
marcha atrás si algo no funciona. Si todo funciona correctamente, sólo tendrá que eliminar
el punto de control, que se fusionará automáticamente con el archivo .VHD o .VHDX de su
máquina virtual. El número máximo de puntos de control es de 50 por máquina virtual.
Las copias de seguridad en frío son la solución más sencilla, aunque implican un periodo de
parada que no siempre es posible. Un reinicio del sistema operativo puede generar pérdidas
de rendimiento si se utiliza una caché en memoria (SQL Server...).
Es posible que su solución de copia de seguridad proporcione un agente para Hyper-V. Este
mecanismo utiliza la tecnología VSS (Volume Shadowcopy Service). De este modo
obtendrá copias autónomas de las máquinas virtuales, que podrá copiar y conservar en una
cinta magnética. La solución de copia de seguridad Microsoft SCDPM (System Center
Data Protection Manager) así como la solución de copia de seguridad nativa de Windows
Server 20012 R2 son compatibles con este tipo de copia de seguridad. Para que este tipo de
solución funcione, es necesario cumplir ciertos requisitos previos:
Si no puede realizarse una copia de seguridad en línea, entonces se realizará una copia de
seguridad en frío del equipo. Para ello, su estado será en copia y, una vez terminada la
copia de seguridad, la VM se situará en el estado inmediatamente anterior a la copia de
seguridad. Este tipo de copia de seguridad permite restaurar por completo una máquina
virtual, aunque no parte de la misma (como por ejemplo un archivo del disco C:\ en este
equipo). No es apropiado ejecutar una copia de seguridad o su restauración a la vez sobre
una máquina virtual y sobre la partición raíz. Puede generar conflictos si cada instancia
intenta bloquear el registro VSS.
He aquí un comando útil para realizar la copia de seguridad integral de un servidor Hyper-
V así como el conjunto de sus máquinas virtuales en caliente:
3. Preparar el despliegue
a. Requisitos previos
Para poder tener el rol Hyper-V, un servidor físico debe tener las funcionalidades de
virtualización (Intel-VT o AMD-V), funcionalidades de prevención de ejecución de datos
(DEP) y de seguridad (Intel XD o AMD NX), todas ellas habilitadas. Esto como
complemento a las instrucciones de 64 bits, imprescindibles en Windows Server 2012 R2 y
para Hyper-V en términos generales. Hyper-V soporta hasta 320 procesadores sobre el
servidor físico (y no 16 como era el caso con Windows Server 2008), que provengan de
núcleos físicos o lógicos gracias a la tecnología Hyper Threading.
Windows Server 2012 R2, edición Estándar y Datacenter, así como Hyper-V Server 2012
R2 permiten utilizar como máximo 4 TB de memoria en el servidor host, es decir el
servidor físico (también llamada partición raíz) y hasta 1 TB de memoria en cada máquina
virtual.
El tamaño máximo para un disco duro virtual depende de su tipo, y será de 2040 GB para
un disco .VHD (antes esta limitación era de 127 GB para Windows Server 2012) y de 64
TB para un disco .VHDX, formato de disco duro virtual aparecido con Windows Server
2012.
Se recomienda disponer de al menos dos tarjetas de red físicas en el host físico (véase más
adelante la sección Respetar las buenas prácticas). Cada máquina virtual de primera
generación puede tener hasta 12 tarjetas de red virtuales (8 reales (tarjetas de red virtuales
que requieren la instalación de servicios de integración) + 4 emuladas), hasta 8 tarjetas de
red virtuales para máquinas de segunda generación (pues las tarjetas de red heredadas no
están soportadas), cada una con una dirección MAC estática o dinámica. Para las máquinas
de primera generación, las tarjetas de red reales están disponibles una vez instalados los
servicios de invitado virtual y los controladores adecuados. Esto significa que no pueden
hacer boot en la red. Las tarjetas de red emuladas tienen peores rendimientos, 100 Mb/s
frente a 10 Gb/s para las tarjetas reales. Utilizan un controlador estándar que no necesita
controladores Hyper-V, aunque permiten el boot PXE. Esto acentúa la importancia de
instalar únicamente sistemas operativos soportados por Hyper-V para tener una red virtual
con un buen rendimiento.
Un lector de DVD virtual puede utilizar imágenes ISO o el lector físico del servidor en el
caso de una máquina virtual de primera generación. Sin embargo, sólo una máquina virtual
puede acceder al lector físico al mismo tiempo. Se recomienda convertir los CD y DVD
necesarios en imágenes ISO. Además, el uso de imágenes ISO mejora el rendimiento de
uso; en efecto, las imágenes ISO, que se almacenan en el disco duro, aprovechan una tasa
de transferencia de lectura superior. Una máquina virtual de segunda generación utiliza,
exclusivamente, imágenes ISO.
b. Metodología de trabajo
Microsoft proporciona de forma gratuita una herramienta que le permite preparar y acelerar
su proyecto de virtualización: Microsoft Assessment and Planning Toolkit. Está disponible
para su descarga en la siguiente dirección: http://www.microsoft.com/en-
us/download/details.aspx?id=7826
• Crear una base de datos para el proyecto haciendo clic en Select a database.
• Crear manualmente un archivo de texto que contenga la lista de los servidores que
quiera examinar para su proyecto de virtualización (candidatos potenciales). Por
ejemplo, el siguiente script PowerShell exporta el nombre DNS de todos los
servidores de Active Directory en el archivo miextraccion.txt:
$buscar = New-Object
DirectoryServices.DirectorySearcher("[ADSI]")
$buscar.SizeLimit = 10000
$buscar.PropertiesToLoad.Add("dNSHostName")
$buscar.Filter =
"(&(objectClass=Computer)(operatingSystem=*Serve*r*))"
$buscar.FindAll() | foreach-object
{$objet=$_.GetDirectoryEntry();$objet.dNSHostName;} >>
miextraccion.txt
Especifique una o varias cuentas con permisos de administrador local sobre los servidores
de destino.
Indique una fecha de fin para la recogida de datos. La estación que realiza la recogida de
datos debe permanecer encendida todo el tiempo de la colecta.
A continuación, puede generar los informes.
He aquí algunas reglas consideradas como buenas prácticas que deberían respetarse por
defecto, salvo en casos muy concretos.
• Las buenas prácticas de Active Directory indican que es necesario disponer, como
mínimo, de dos controladores de dominio. Ambos controladores deberían residir en
hosts distintos.
• Seleccione cómo sincronizar el tiempo. Es crucial que el conjunto del dominio
utilice la misma hora. Por defecto, Kerberos no soporta un desfase superior a los 5
minutos. Puede o bien sincronizarlos en base al reloj del hardware del servidor a
través de los servicios de sistemas invitados virtuales, o bien sincronizarlos a través
de la red del dominio.
• Si su único controlador de dominio es una máquina virtual en Hyper-V, la partición
raíz (hipervisor) no debe unirse a este dominio. Cuando reinicie el servidor, la
partición raíz buscará un controlador de dominio que no podrá encontrar pues la
máquina no estará todavía levantada.
Puede implementar Exchange Server 2010 o Exchange Server 2013 en una máquina virtual.
En este caso, debe observar las siguientes recomendaciones:
• Para que la configuración esté soportada por Microsoft, instale el Service Pack 1
para Exchange 2010, Exchange 2013 RTM o superior.
• El uso de discos virtuales de tamaño dinámico está soportado únicamente con
VHDX, aunque se recomienda utilizar discos virtuales de tamaño fijo.
• El uso de funciones de puntos de control y diferenciales sobre los discos virtuales
no está soportado.
Install-WindowsFeature Hyper-V
Será necesario reiniciar para que se apliquen los cambios y poder utilizar este rol.
La consola permite administrar los servidores Hyper-V así como las máquinas virtuales que
las albergan. Abra la consola Administrador de Hyper-V disponible en la pantalla de
inicio de Windows, Herramientas administrativas y, a continuación, Administrador de
Hyper-V.
c. Configuración de las redes virtuales
• El switch virtual externo: vinculado con una tarjeta de red real sobre el host, este
tipo de switch virtual permite a las VM conectadas a él acceder a la red externa y,
por lo tanto, dialogar con el exterior. Es posible crear y asociar una tarjeta de red
virtual con un host vinculado a este tipo de switch virtual.
• El switch virtual interno: este tipo de switch virtual permite realizar una
comunicación entre las VM vinculadas a este switch, así como al host que posee,
automáticamente, una tarjeta de red virtual sobre este mismo switch.
• El switch virtual privado: las VM conectadas a este switch sólo pueden
comunicarse entre ellas.
• La tecnología PVLAN (Private Virtual Local Area Network), que permite aislar las
máquinas virtuales sobre una misma red local privada virtual aunque se hospeden en
hosts diferentes. Resulta muy práctica para servidores hospedados en Datacenters.
• La tecnología SR-IOV, que permite a la tarjeta de red enviar directamente los
paquetes de red en el espacio de memoria de la VM, sin pasar por la partición raíz.
Es necesario que la tarjeta de red del servidor físico gestione esta funcionalidad y es
posible que haga falta instalar controladores suplementarios en la máquina virtual.
Observe que el soporte de SR-IOV para el switch virtual se define durante la
creación de dicho switch virtual, no será posible modificar este parámetro tras una
ruptura (salvo creando otro switch virtual).
• El NIC Teaming, o agregación de varias tarjetas de red, que se gestiona de forma
nativa en los sistemas operativos. Un switch virtual puede vincularse a un equipo
para aumentar las tasa de transferencia y la tolerancia a fallos.
• Los switchs virtuales extensibles (Extensible vSwitch), que permiten agregar
extensiones al switch virtual. Algunos fabricantes de switch ya han anunciado
extensiones que permitirán soportar su tecnología en los switchs virtuales.
• Las tarjetas de red inalámbricas están soportadas, y es posible vincularlas con un
switch virtual externo. Resultan muy útiles en la versión de Hyper-V para Windows
8/8.1.
• La tecnología Jumbo Frames para las máquinas virtuales. Esta tecnología permite
aumentar la MTU (Maximum Transmission Unit) de 1500 (Ethernet) a 9014. La
misma cantidad de datos puede, de este modo, transmitirse con seis veces menos
intercambios de paquetes. Esto implica que todos los equipos de red soporten las
Jumbo Frames.
• La tecnología VMQ (Virtual Machine Queue), que permite a la tarjeta de red alojar,
en su propia memoria interna, un espacio dedicado a cada VM. Los datos se envían,
a continuación, directamente sobre el puerto conectado al VMBus del switch virtual
que permiten alcanzar la VM. Una especie de pre-enrutamiento interno en la tarjeta
de red. Esto evita, también, tener que verificar el enrutamiento en los switch
virtuales mediante los VMQ Queue ID. El objetivo es una mejora en el rendimiento
reduciendo el número de operaciones en las comunicaciones de red. Es necesario,
no obstante, que la tarjeta de red del host gestione esta funcionalidad.
• El TCP Offload permite descargar la gestión del tráfico TCP/IP de las máquinas
virtuales sobre una tarjeta física del servidor. Esta descarga aumenta el rendimiento
y reduce el consumo de procesador del servidor físico. La migración en caliente de
VM puede aprovechar esta funcionalidad.
Hyper-V soporta una gran variedad de soluciones para el almacenamiento de las máquinas
virtuales:
• Almacenamiento local del servidor (IDE/SATA/ESATA/USB/Firewire/SAS/SCSI).
• Almacenamiento en una SAN (con almacenamiento en clúster en modo Cluster
Shared Volumes).
• Almacenamiento mediante iSCSI o FCoE.
• Almacenamiento sobre una carpeta compartida de archivos.
• Almacenamiento en modo pass-through.
Puede incluso almacenar las VM en una llave USB, a condición de que tenga formato en
NTFS. Por defecto, debería utilizar discos virtuales. Existen no obstante ciertos casos
donde debería utilizar un almacenamiento en modo pass-through. Este método proporciona
a la VM acceso directo a una zona de almacenamiento, como si fuera una máquina física.
Una de las ventajas es que se obtiene un mejor rendimiento, ligado a la ausencia de la capa
de virtualización. He aquí algunas consideraciones a propósito del modo pass-through:
Otra decisión que hay que tomar atañe a la naturaleza de los controladores virtuales para las
máquinas virtuales. Pueden ser IDE o SCSI. El rendimiento no juega, de momento, un
papel importante cuando se instalan los servicios de sistemas invitados virtuales. Las
diferencias se centran en la volumetría, el número de discos virtuales asociados a la VM y
las funcionalidades propuestas (como el Shared VHDX).
• Es necesario tener un controlador MPIO (multipuerto), incluso con una única HBA.
• Deshabilite el montaje automático de volúmenes.
• Deje los discos en modo básico y no dinámico.
• Todos los archivos de VM deben estar en un único volumen.
• Agregue las LUN como recursos de disco al clúster antes de crear las VM.
Windows Server 2012 R2 incluye los Cluster Shared Volumes, que permiten tener
varias VM por LUN, teniendo estas VM en hosts diferentes.
Si las VM están almacenadas en modo pass-through sobre la SAN, se necesitan dos LUN,
una para el disco de inicio y otra para la configuración.
En el momento de escribir estas líneas, sólo Windows Server 2012 / 2012 R2 así como las
versiones de 64 bits de Windows 8/8.1 están soportadas como sistema operativo invitado.
He aquí una tabla con las diferencias de hardware entre ambas generaciones de máquina
virtual.
Generación 1 Generación 2
BIOS
Tipo Hyper-V BIOS-Based Hyper-V UEFI
Arranque sobre IDE CD, IDE HD, tarjeta de Tarjeta de red, SCSI HD,
red heredada y disquetera SCSI CD
Memoria RAM
Máximo 1 TB 1 TB
Memoria dinámica Windows Server 2012/ 2012 Windows Server 2012/
R2, Windows 8/8.1, y algunas 2012 R2, Windows 8/8.1
distribuciones de Linux
Procesador
Número máximo 64 64
Controlador IDE Sí No
Bootable Sí
Número máximo de 2
controladores IDE
Número máximo de 2
periféricos por
controlador
Tipo de disco VHD, VHDX, Pass-Through
soportado
Número máximo de 4 (si no tiene CD)
discos
Tamaño máximo por 2040 GB
disco
Tipo de CD ISO, Lector host
Número máximo de 4 (aunque 3, pues hace falta 1
CD HD para poder arrancar…)
Controlador SCSI Sí Sí
Bootable No Sí
Número máximo de 4 4
controladores SCSI
Número máximo de 64 64
dispositivos por
controlador
Tipo de disco VHD, VHDX, Pass-Through VHDX, Pass-Through
soportado
Número máximo de 256 256 (si no tiene CD)
discos
Tamaño máximo por 2040 GB en VHD o 64 TB en 64 TB
disco VHDX
Tipo de CD No soportado ISO
Número máximo de 256 (aunque 255, pues
CD hace falta 1 HD para
poder arrancar…)
Tarjeta de red sintética Sí Sí
Número máximo 8 8
Bootable No Sí
Tarjeta de red heredada Sí No
Número máximo 4 0
Bootable Sí
Adaptador Fibre
Channel
Número máximo 4 4
Tarjeta de vídeo 3D
RemoteFX
Número máximo 1 0
Puerto Com
Número máximo 2 0 (1 mediante cmdlets
PowerShell)
Disquetera Sí No
Número máximo 1 0
Puede conocer la generación de una máquina virtual de varias maneras. La primera consiste
en utilizar, sencillamente, el Administrador de Hyper-V y consultar el valor del campo
Generación presente en el panel de información de una máquina virtual.
Una segunda forma de verificar la generación de una máquina virtual consiste en editar sus
propiedades. En efecto, si observa la presencia de controladores IDE, se trata de una
máquina virtual de generación 1. La ausencia de controladores IDE pone de manifiesto una
máquina virtual de generación 2 .Otra forma de conocer la generación de una máquina
virtual consiste en utilizar el cmdlet de PowerShell Get-VM con una visualización de tipo
lista:
Este comando creará, simplemente, una máquina virtual de primera generación con el
mínimo imprescindible: 1 procesador y 512 MB de memoria RAM, sin ningún disco duro y
con una tarjeta de red real no conectada.
Este comando creará una máquina virtual de generación 2 con el mínimo vital, 1
procesador, 512 MB de memoria, aunque sin disco y una tarjeta de red sintética no
conectada.
Observe que no podrá cambiar la generación de la máquina virtual una vez creada.
Para acceder a la configuración de la máquina virtual, en el Administrador de Hyper-V,
basta con hacer clic con el botón derecho sobre la máquina virtual y seleccionar
Configuración en el menú contextual.
a. Dynamic Memory
Si una máquina virtual ejecuta un procesamiento específico que utiliza más memoria de la
que se le había asignado en un principio, Hyper-V podrá aumentar, momentáneamente, la
cantidad de memoria RAM asignada a esta máquina virtual bien directamente a partir de la
memoria libre del servidor Hyper-V o bien a partir de la memoria inutilizada en las demás
máquinas virtuales presentes en el mismo servidor.
Una vez finalice el proceso intensivo en memoria, ésta se libera si alguna otra máquina
virtual la solicita o tiene necesidad de ella.
La memoria se considera, de este modo, como un recurso compartido entre las máquinas
virtuales. Su asignación ya no requiere una parada de la máquina virtual para que se tenga
en cuenta la nueva capacidad de memoria.
b. Resource Metering
Windows Server 2012 R2 le permite, ahora, redimensionar sus discos duros virtuales en
caliente, lo que permite evitar tener que reiniciar la máquina virtual para realizar este tipo
de mantenimiento en el servidor.
El único requisito previo es que sus discos duros virtuales tengan el formato VHDX, que
estén conectados a un controlador SCSI, y que el sistema operativo alojado lo soporte.
Le bastará con utilizar el Asistente para editar discos duros virtuales, mediante el
Administrador de Hyper-V, para extender el disco duro virtual. Es, también, posible
realizar esta acción mediante el cmdlet PowerShell Resize-VHD.
Para terminar, bastará con utilizar el espacio que acaba de configurar, mediante el
Administrador de discos en su máquina virtual, siempre que la manipulación haya
consistido en extender el disco y no en reducirlo.
Puede llegar a ocurrir, en algunos sistemas operativos, que no se analicen bien los discos
disponibles y se muestren las modificaciones, como ocurre con algunas distribuciones de
Linux, por ejemplo.
Por ejemplo, en el caso de una mutualización de los recursos, como con un servidor host,
puede resultar práctico limitar los recursos de uso de disco. Otro ejemplo, si tiene una
aplicación que requiere una gran tasa de lectura/escritura en disco (como una base de datos
SQL), puede querer asignar un mínimo de E/S sobre el disco donde se almacenan los datos.
De este modo, la aplicación tendrá, en cualquier caso, una tasa de acceso a disco
garantizada.
Para configurar la calidad de servicio para un disco virtual, acceda a las Propieades de la
máquina virtual y, a continuación, en el disco duro afectado, haga clic en el sigo "+" y en
Características avanzadas.
Hasta Windows Server 2012, en este tipo de casos, tenía que activar sus máquinas virtuales
mediante la clave de licencia del host "Datacenter", dentro de sus máquinas virtuales, para
activarlas. ¿Qué ocurría con Live Migration? ¿Cómo era posible gestionar varias máquinas
virtuales alojadas en otro host? Además, la activación del sistema operativo invitado tenía
que realizarse bien manualmente (por Internet o por teléfono), o bien gracias a un servidor
KMS, o incluso, desde Windows Server 2012, mediante la funcionalidad de activación
basada en Active Directory (ADBA, Active Directory-Based Activation).
Con Windows Server 2012 R2 Datacenter, si el servidor host está activado, las máquinas
virtuales que contiene se activarán automáticamente gracias al hipervisor, mediante el
VMBus, incluso aunque no formen parte del dominio o no tengan ninguna conexión a
Internet.
Para implementar esta funcionalidad, basta con que el host sea un servidor Windows Server
2012 R2 "activado" (mediante una clave KMS o ADBA, Open Licence u OEM), y que el
sistema operativo de la máquina virtual sea Windows Server 2012 R2 (Datacenter,
Standard o incluso Essentials) con una clave AVMA. Las claves AVMA son públicas y
están disponibles en la dirección: http://technet.microsoft.com/en-us/library/dn303421.aspx
La máquina virtual se activará automáticamente por una duración de 7 días, tras los que la
máquina virtual validará automáticamente su activación por otros 7 días. Ocurrirá de este
modo mientras la máquina virtual resida sobre un host Windows Server 2012 R2
DataCenter.
Observe que es posible utilizar una clave AVMA en un archivo de respuesta de instalación
de Windows o en las plantillas de máquinas virtuales con SCVMM o SCCM.
Windows Server 2012 R2 incluye la posibilidad de exportar una máquina virtual, o uno de
sus puntos de control, en caliente sin tener que detener la máquina virtual. Esto permite
duplicar la máquina virtual para realizar pruebas, sin tener que detener el servidor de
producción, o incluso probar la migración de máquinas virtuales entre la Cloud privada y la
Cloud interna, siempre sin detener los servidores de máquinas virtuales de producción.
Además, cualquier exportación de una máquina virtual que esté en funcionamiento
exportará su estado de memoria.
Con las versiones anteriores de Windows Server e Hyper-V Server (versiones 2008 a
2012), VM Connect utilizaba una redirección básica de pantalla, teclado y ratón cuando se
conectaba a una máquina virtual.
Esto permite disponer de todas las ventajas del protocolo RDP (redirección de lectores,
impresoras…), pero obliga a la máquina virtual a tener conectividad de red. Otra
posibilidad consiste en compartir una carpeta entre el host y la máquina virtual mediante un
vswitch de tipo externo (el host y la máquina virtual pueden comunicarse mediante un
vswitch externo, pues el host posee una tarjeta de red virtual).
Con Windows Server 2012 R2 y Windows 8.1, Microsoft incluye una funcionalidad
avanzada al cliente de conexión a un equipo virtual Hyper-V (vmconnect.exe) para que
soporte, de forma nativa, el protocolo RDP sobre el VMbus de Hyper-V. Como resultado,
cuando se habilita esta funcionalidad (lo cual se aborda más adelante), se tiene una
conexión de tipo RDP con la máquina virtual. Esta conexión permite obtener las mismas
ventajas que una conexión RDP:
Resulta muy sencillo compartir datos entre el cliente y la máquina virtual, incluso sin una
conexión de red. Observe, no obstante, que sólo los hosts Windows Server 2012 R2,
Hyper-V Server 2012 R2 y Windows 8.1 soportan esta mejora. En el momento de escribir
estas líneas, los únicos sistemas operativos invitados que soportan esta funcionalidad son
Windows Server 2012 R2 (todas las versiones) y Windows 8.1 (también todas las
versiones). Además, deben disponer del servicio Servicios de Escritorio remoto iniciado y
la cuenta de usuario que se utiliza para conectarse a la máquina virtual debe formar parte
del grupo Usuarios de Escritorio remoto o Administradores locales en la máquina
virtual.
Para terminar, sepa que no necesita comprar una licencia de acceso a los Servicios de
Escritorio remoto (RDS CAL, Remote Desktop Services Client Access License). En efecto,
Microsoft incluye este tipo de conexiones directamente en el contrato de licencia de
Windows Server 2012 R2 y Windows 8.1, con una única conexión por máquina virtual.
He aquí los pasos a seguir para activar esta funcionalidad en el servidor host:
Mediante PowerShell:
Sólo queda conectarse a una máquina virtual, con un sistema operativo Windows
Server 2012 R2 o Windows 8.1, mediante el Administrador de Hyper-V de Windows
Server 2012 R2 o el cliente Hyper-V de Windows 8.1 (o mediante el comando
vmconnect.exe de estas mismas versiones de sistemas operativos). Se abrirá una nueva
ventana de conexión que le proporcionará la opción de ajustar la resolución de pantalla, así
como la posibilidad de utilizar todas las pantallas disponibles.
Haciendo clic en Mostrar (opciones avanzadas) en la esquina inferior izquierda, accede a
las opciones de redirección de recursos, similares a las del protocolo RDP.
En la sección Recursos locales, observará que la impresora principal del equipo cliente se
ha redirigido hacia la máquina virtual, así como el recurso compartido del portapapeles.
Haciendo clic en el botón Más…. tendrá la posibilidad de redirigir las unidades locales así
como los dispositivos USB y Plug-and-Play. En este ejemplo, hemos optado por hacer
disponible el lector E:\ de nuestro equipo cliente en la máquina virtual.
Una vez conectado a la máquina virtual, encontrará el lector presente en el explorador de
Windows.
Windows Server 2012 R2 soporta Live Migration entre hosts Windows Server 2012/2012
R2 así como Microsoft Hyper-V 2012/2012 R2. Windows Server 2008/2008 R2 o
Microsoft Hyper-V Server 2008/2008 R2 no están soportados para Live Migration con
Windows Server 2012 R2. Windows Server 2012 R2 incluye una optimización de
rendimiento tras la migración de una máquina virtual optimizando el desplazamiento de la
memoria de la máquina virtual.
La primera posibilidad, TCP/IP, copiará los archivos de memoria virtual directamente sobre
la red a través de una conexión TCP/IP.
La última posibilidad permite copiar archivos de memoria virtual sobre la red mediante una
conexión SMB 3.0. Se utiliza SMB Direct si las funcionalidades de acceso directo a la
memoria remota (RDMA, Remote Direct Access Memory) están habilitadas en las tarjetas
de red de origen y de destino. Esto permite obtener cieta mejora en la rapidez de hasta x10,
frente al x2 que se alcanza con una compresión sencilla mediante la opción SMB
Multichannel incluido en SMB 3.0.
El principio de funcionamiento de una migración requiere varias etapas:
• Creación de la VM en el destino.
• Copia de las páginas de memoria desde el origen hasta el destino. Las páginas
modificadas durante la transferencia se envían de nuevo (se marcan como "dirty"),
hasta 10 veces.
• La máquina virtual se pone en pausa en el origen.
• El acceso al almacenamiento (el disco virtual de la VM) se asigna al servidor de
destino.
• La máquina virtual se pone en funcionamiento de nuevo.
Las LUN pueden, también, cambiar su propietario sin interrupción, puesto que los
descriptores son persistentes.
Los servidores de origen y de destino deben utilizar procesadores del mismo fabricante. Si
los modelos de procesador no son estrictamente idénticos, Hyper-V puede enmascarar las
funciones que no sean comunes al conjunto de la plataforma. La opción Migrar a un
equipo físico con una versión de procesador distinta lo permite. Esta opción debe
configurarse en la configuración del procesador de la máquina virtual que se desea migrar.
b. Réplicas Hyper-V
Las Réplicas Hyper-V, incluidas con Windows Server 2012 e Hyper-V Server 2012,
permiten realizar una replicación síncrona de las máquinas virtuales entre dos servidores
host Hyper-V en el marco de un plan de recuperación de actividad. Esto permite, si
ocurriera algún incidente importante en el sitio principal, y gracias a la infraestructura
virtual replicada en el sitio secundario, retomar la carga de trabajo con una interrupción
mínima del servicio.
Las Réplicas Hyper-V son independientes del hardware. La infraestructura del servidor
físico no tiene por qué ser idéntico en el sitio secundario, aunque el espacio de
almacenamiento del sitio secundario debe ser, al menos, equivalente al del sitio principal, y
tener un ancho de banda de red adecuado para soportar el tráfico ligado a la replicación.
Un servidor host que se comporte como servidor de réplica puede sincronizar las VM que
provengan de varios sitios primarios, y puede replicar una máquina virtual recibida en un
servidor primario hacia un servidor secundario de réplica una vez terminada la replicación
inicial (Tiers Replica).
La configuración de las Réplicas Hyper-V se realiza en dos etapas, aunque es muy sencilla.
La primera etapa consiste en configurar los servidores para que acepten la replicación. Para
ello, mediante el Administrador de Hyper-V, acceda a las propiedades del servidor y vaya
a la sección Configuración de la replicación. Observe que es preciso configurar todos los
servidores Hyper-V que participan en la réplica
Es posible utilizar el protocolo HTTP con autenticación Kerberos o HTTPS con
autenticación basada en certificados. El primer método, la combinación de HTTP/Kerberos,
puede utilizarse entre servidores Hyper-V del mismo dominio o de dominios relacionados.
Observe que esta combinación HTTP/Kerberos no encripta los datos, de modo que sólo
debe utilizarse en una red de área local, una red extendida dedicada y dotada de seguridad o
bien será preciso encriptarla mediante IPsec. El segundo método, la combinación de
HTTPS/Certificado para una replicación entre el servidor Hyper-V de dominio no aprobado
o en workgroup.
Si quiere utilizar HTTPS, tendrá que utilizar un certificado válido que debe tener el atributo
de uso mejorado de la clave (EKU) de autenticación de cliente y servidor con clave privada,
el nombre FQDN del servidor debe estar presente como nombre principal o nombre
alternativo. Además, el certificado de la entidad emisora de certificados debe ser conocido
y válido.
Si el firewall de Windows está habilitado, tendrá que activas las reglas ”Escucha HTTP de
réplica de Hyper-V (TCP de entrada)” y/o ”Escucha HTTP de réplica de Hyper-V (TCP de
entrada)” en el firewall con opciones de seguridad avanzadas. Además, si replica las
máquinas virtuales hacia o desde el exterior de su red piense en abrir, y redirigir, el puerto
HTTPS (TCP 443) de su firewall.
La segunda etapa consiste en habilitar la replicación en las máquinas virtuales afectadas.
Desde el Administrador de Hyper-V, haga clic con el botón derecho en la máquina virtual
y seleccione la opción Habilitar replicación… en el menú contextual.
Una vez realizada la sincronización inicial, se realiza una replicación continua asíncrona
para replicar las modificaciones de la VM. Esta replicación tiene lugar, por defecto, cada 5
minutos y este valor puede modificarse entre tres valores: 30 segundos, 5 minutos o 15
minutos.
Para poder utilizar un disco virtual compartido, conviene, en primer lugar, crear un clúster
de servidores Hyper-V, con Windows Server 2012 R2 o Hyper-V Server 2012 R2, con un
almacenamiento CSV o SoFS. Para ello, consulte el capítulo que trata sobre la Alta
disponibilidad.
Una vez instalado el clúster, tendrá que crear un disco duro virtual, con formato VHDX y
almacenado en CSV o SoFS, y asociar las máquinas virtuales correspondientes. La creación
del disco duro virtual es sencilla:
Un disco duro virtual de diferenciación requiere la presencia de un disco duro virtual padre
que sirva como base, y contiene todas las diferencias que posea con su padre. Del mismo
modo que un disco AVHDX necesita un punto de control.
Tan sólo queda asociar este disco virtual a las máquinas virtuales a las que está destinado, y
habilitar el recurso compartido. Para ello, mediante el Administrador de Hyper-V, edite los
parámetros de una de las máquinas virtuales y agregue el disco creado al controlador SCSI.
Haga clic en el pequeño icono "+" correspondiente al disco agregado y seleccione
Características avanzadas.
Marque la opción Activar uso compartido de discos duros virtuales y, a continuación,
haga clic en Aplicar y Aceptar.
Puede, también, crear un disco compartido con PowerShell mediante el cmdlet ADD-
VMHardDiskDrive:
Sólo queda asociar, del mismo modo, su disco duro compartido a otras máquinas virtuales,
y crear un clúster compuesto de sus máquinas virtuales, por ejemplo.
5. SCVMM 2012 R2
SCVMM 2012 R2 (System Center Virtual Machine Manager) es necesario para administrar
los servidores Hyper-V con Windows Server 2012 R2. La instalación del módulo
complementario SCVMM 2012 R2 es muy sencilla y rápida de realizar. No cabe, por lo
tanto, sobrevalorar su aporte funcional en la administración de la infraestructura. No
obstante, tendrá que instalar previamente Windows ADK 8.1 (Windows Assessment and
Deployment Kit), puesto que es un requisito previo indispensable.
No obstante, no es posible instalarlo sobre una edición Core. Las únicas opciones reales que
tiene durante la instalación son las relativas a la base de datos de SCVMM 2012 R2 y las
cuentas sobre las que se ejecutará el servicio SCVMM. Ya no es posible utilizar un motor
SQL Express 2008/2008 R2/2012, sino que tendrá que utilizar, obligatoriamente, un
servidor SQL 2008 R2 SP2 o 2012:
Tiene dos posibilidades para administrar su entorno virtual con SCVMM 2012 R2:
• Declarar los servidores Hyper-V que quiere administrar (al menos uno).
• Declarar las redes virtuales.
• Crear las plantillas de los perfiles para las máquinas virtuales.
• Agregar las imágenes ISO a la biblioteca.
• Crear plantillas de discos duros virtuales.
La declaración de redes virtuales se realiza desde las propiedades del servidor virtual:
Tras una actualización de la biblioteca, Virtual Machine Manager indexa los archivos
registrados en las carpetas compartidas de la biblioteca, y a continuación actualiza la vista
Biblioteca y la lista de recursos. No todos los archivos están indexados y no todos los
archivos aparecen en la vista Biblioteca. El contenido de la biblioteca se refresca
automáticamente por defecto cada hora. El tipo de contenido que se indexa es el siguiente:
• discos duros virtuales: .vhdx y .vhd (Hyper-V, Virtual Server), .vmdk (VMware).
• disquetes virtuales: .vfd (Virtual Server), .flp (VMware).
• Imágenes ISO: .ISO.
• archivos de respuesta: .ps1 (Windows PowerShell); .inf o .xml.
• plantillas VMware: .vmtx.
$Credential = get-credential
Este conjunto de criterios se utiliza a continuación para sugerir el lugar donde almacenar y
desplazar las máquinas virtuales a través de una configuración en estrella.
6. Actualizaciones de Windows
Introducción
Este capítulo está dedicado al despliegue de servidores y puestos de trabajo. Contar con una
plantilla de instalación automatizada supone una ganancia importante en la productividad y
en la calidad. La instalación de servidores tiene poco valor añadido aunque debe hacerse
siempre de la misma forma, con las mismas versiones de componentes, para tener
coherencia entre todos los sistemas. Un despliegue comprende como mínimo el sistema
operativo, pero también generalmente el conjunto de controladores, herramientas del
sistema, o incluso el conjunto de aplicaciones necesarias.
La automatización de este proceso cobra mayor sentido con la virtualización, y los entornos
"a la carta". La preparación de este despliegue es un aspecto muy importante para el éxito
de su proyecto. La tecnología no supone ningún inconveniente, ¡no hay ningún motivo para
no usarla!
1. Definir el perímetro
Como en todo proyecto, el perímetro es aquí un elemento clave. Debería definir lo que es
"obligatorio" y lo que es "opcional". Para llevar a cabo esta reflexión, he aquí una lista de
elementos que pueden integrarse en su proyecto:
La respuesta a esta lista de preguntas cubre gran parte del perímetro. Las decisiones que
más impactarán al proyecto de despliegue son:
• el uso de SCCM 2012 SP1 o SCCM 2012 R2, que permiten realizar un despliegue
"zero touch";
• la integración de aplicaciones en la imagen;
• la elección del modo de transporte para el despliegue (red u otro).
El hecho de incluir más o menos tipos de hardware sólo tiene impacto en el tiempo
necesario para incluir los controladores adecuados. Se habrá dado cuenta de que se ha
empleado el término "imagen" para designar al método de despliegue. Se trata, en efecto,
de construir un modelo de servidor que se va a capturar en forma de imagen y a volver
genérico. Esto hace que la integración de las aplicaciones en el despliegue sea una tarea
muy sencilla, siempre y cuando su instalación sea genérica. Esta imagen puede desplegarse
a continuación mediante diversos medios, a través de la red o mediante un DVD.
Presentado con Windows Vista y Windows Server 2008, Windows 8.1 y Windows
Server 2012 R2 pueden utilizar el servicio de administración de licencias por volumen:
KMS (Key Management Service) para la activación de Windows. Se trata de un servicio de
infraestructura que debe implantar en su red para administrar las licencias de sus servidores
y puestos de trabajo. Si no implementa este servicio, cada equipo tendrá que conectarse de
forma individual a Microsoft a través de Internet para activarse. La activación mediante del
servicio KMS permite no tener que conectarse a Microsoft para activar Windows, y esta
activación es válida por 6 meses. Pasado este periodo, el sistema tiene que activarse de
nuevo por un periodo de 180 meses más conectándose a su red. KMS puede implementarse
a partir de 25 licencias Windows 8.1 o 5 licencias Windows Server 2012 R2. El servicio
KMS puede, también, activar Microsoft Office 2010 y 2013.
La instalación de KMS es tan sencilla como introducir la clave KMS, pues el servicio de
Windows asociado ya está instalado y activo por defecto (se trata del Servicio de licencias
de software):
A continuación, el servidor debe validar esta clave con Microsoft. Este proceso tiene lugar
una sola vez cada vez que se agrega una clave. Si el servidor tiene acceso a Internet:
Para detectar el servidor KMS, Windows utiliza el DNS, un recurso SRV en particular. Si
las actualizaciones dinámicas de DNS están autorizadas, el servicio crea automáticamente
los registros DNS adecuados. Si su entorno no las autoriza, podrá configurar KMS para que
deje de intentar crear el registro SRV ejecutando el comando:
El recurso SRV puede crearse de forma manual con los siguientes parámetros:
• Servicio: _VLMCS
• Protocolo: _TCP
• Puerto: 1688
• Host que ofrece el servicio: FQDN del host
Si el servicio DNS no está disponible desde el cliente, podrá especificar de forma manual la
dirección IP del servidor KMS que desee utilizar mediante el comando:
Si existe un firewall entre los equipos a activar y el servidor KMS, el puerto TCP 1688 (por
defecto) tiene que estar abierto (del lado cliente únicamente).
Si desea cambiar el puerto TCP es preciso modificar la siguiente clave tanto en el servidor
KMS como en los clientes:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL
Nombre: KeyManagementServicePort
Tipo: REG_SZ
Valor: XXXX (valor que representa el nuevo puerto de escucha TCP).
Para conocer el número de licencias que actualmente se están utilizando en su KMS, puede
ejecutar el siguiente comando:
Si no desea utilizar KMS sino que prefiere activar de forma masiva sus sistemas Windows,
puede utilizar VAMT (Volume Activation Management Tool). Puede descargar esta
herramienta desde MDT 2012, en el nodo Componentes.
El primer motivo es que la interfaz gráfica puede, ahora, instalarse o desinstalarse con total
sencillez. Se ha convertido en una característica más. Ya no hay, por lo tanto, necesidad de
tener una imagen particular para una instalación mínima.
Existe, en resumen, una menor cantidad de imágenes que gestionar, lo cual supone una
buena noticia.
Microsoft pone a su disposición de forma gratuita una herramienta que le permitirá acelerar
su proyecto de despliegue, MDT 2013. Éste soporta Windows 7 y Windows Server 2012
R2, gracias a WADK para Windows 8.1. MDT 2013 soporta, también, Office 2010, Office
365 y Zero-Touch Integratio (ZTI) con System Center 2012 R2. Observe que MDT 2013
no permite instalar Windows XP, Windows Vista, Windows Server 2003/2003 R2 o
incluso Windows Server 2008, para trabajar con estos sistemas operativos tendrá que
utilizar MDT 2012 SP1 CU2 con WADK para Windows 8 o WAIK para Windows 7.
MDT utiliza varios componentes, como WADK para Windows 8.1 (Windows Assessment
and Deployment Kit), que soporta desde Windows 7 SP1 y Windows Server 2008 R2 hasta
Windows 8.1 y Windows Server 2012 R2. WADK para Windows 8.1 necesita,
obligatoriamente, MDT 2013 para funcionar. Está disponible en la siguiente dirección:
http://www.microsoft.com/es-es/download/details.aspx?id=39982
He aquí una lista no exhaustiva de las herramientas que contienen WAIK y WADK:
• User State Migration Tool (USMT): esta herramienta permite migrar datos de un
perfil de usuario a otro.
• Application Compatibility Toolkit (ACT): aplicación que permite detectar
eventuales problemas de compatibilidad de sus aplicaciones y drivers antes de
realizar una actualización de Windows.
• Volume Activation Management Tool (VAMT): herramienta que permite
gestionar y centralizar la activación de Windows en la red.
• Herramientas de modificación de imagen: ImageX, que permite capturar y aplicar
las imágenes WIM, DISM, que permite modificar una imagen WIM...
• Windows Preinstallation Environment (Windows PE): ofrece un entorno
personalizable de instalación de Windows.
Una vez instalado WADK, el árbol Deployment Shares permite crear un espacio de
trabajo. Para ello, basta con hacer clic con el botón derecho, seleccionar la opción New
Deployment Share. La ubicación seleccionada debe tener suficiente espacio para contener
las fuentes y las imágenes generadas.
A continuación, podemos alimentar cada módulo de este espacio de trabajo:
Es muy sencillo agregar sistemas operativos. Una vez importado el CD o DVD, aparecerá
de la siguiente manera:
Observe que la lista comprende a la vez Windows Server 2012 R2 y Windows 8.1. MDT
2013 también permite desplegar Windows Server 2008 R2, Windows Server 2012 R2,
Windows 8 y Windows 7.
Una vez creada, hay que abrir las propiedades de la secuencia, en la pestaña Task
Sequence, para descubrir toda la capacidad real de las secuencias:
Las opciones están agrupadas por temática:
• General
• Discos
• Particionar y formatear un disco.
• Activar BitLocker.
• Crear discos virtuales VHD.
• Imágenes
• Configuración
• Roles
• {Número de secuencia}
El despliegue desde un medio portátil es el más básico, aunque es muy eficaz cuando la
conectividad de la red está limitada. En la carpeta de destino encontrará una imagen ISO de
arranque, LiteTouchPE_x86.iso o LiteTouchPE_x64.iso según su entorno.
La solución Lite Touch le permite industrializar el despliegue sin tener que disponer de la
infraestructura de gestión de Microsoft, System Center Configuration Manager 2012 R2. La
solución es sencilla de implantar pero mantiene su eficacia, pues utiliza el motor de
secuencia de esta última en versión autónoma. El despliegue debe iniciarse de forma
manual, pero se le guiará mediante pantallas gráficas para llevarlo a cabo.
Más allá del uso de una imagen ISO como se ha visto anteriormente, es posible realizar el
despliegue a través de la red utilizando WDS (cuya instalación se cubre más adelante). A
continuación, debe especificar en CustomSettings.ini la variable
DeployRoot=\\%WDSServer%\DeploymentShare$, en la sección [Default].
Antes de desplegar una imagen se plantean varias preguntas a través de la interfaz gráfica.
Es posible aumentar la automatización, evitándolas. Para ello tendrá que proporcionar la
respuesta a estas preguntas en el archivo CustomSettings.ini. He aquí las etapas que
pueden evitarse si las siguientes variables se informan a YES (en mayúsculas) en el archivo
CustomSettings.ini, sección [Default]. A cada pantalla le corresponde una variable para
omitirla y una o varias variables para informar los datos solicitados por pantalla:
Si desea realizar una copia de seguridad sobre la red, es preciso utilizar estas dos variables:
• BackupShare=\\DC2012\Backup$
• BackupDir=%ComputerName%
Para que funcione la copia de seguridad, es preciso asignar los siguientes permisos en el
recurso compartido utilizado:
• MachineObjectOU=OU=Mis_Servidores,DC=miempresa,DC=priv
• DomainAdmin=Administrador
• DomainAdminDomain=MIEMPRESA
• DomainAdminPassword=contraseñacompleja
Dado que la contraseña se almacena sin encriptar, debería utilizar una cuenta que sólo tenga
permisos para incluir equipos en el dominio.
• Automatizar mediante:
UserLocale=es-ES y UILanguage=es-ES
• UDShare=\\DC2012\Profiles$
• UDDir=%ComputerName%
Por último, para informa la cuenta que se utilizará para acceder al recurso compartido que
contiene los recursos MDT:
USERID=Administrador
UserPassword=contraseñacompleja
UserDomain=MIEMPRESA
[Settings]
Priority=Default
Properties=MyCustomProperty
[Default]
OSInstall=Y
SkipBDDWelcome= YES
SkipCapture=YES
SkipAppsOnUpgrade=YES
SkipFinalSummary=YES
SkipPackageDisplay= YES
SkipProductKey=YES
SkipSummary=YES
USERID=Administrador
UserPassword=contraseñacompleja
UserDomain=MIEMPRESA
SkipComputerBackup=YES
ComputerBackupLocation= NONE
SkipAdminPassword=YES
AdminPassword=micontraseñadeadministradorlocal
SkipApplications=YES
Applications001={73823faf-bb78-4491-a053-b47afb5553c4}
SkipTaskSequence=YES
TaskSequenceID= 001
SkipComputerName=YES
ComputerName=%SerialNumber%
SkipDeploymentType=YES
DeploymentType=NEWCOMPUTER
SkipDomainMembership=YES
JoinDomain=MIEMPRESA
MachineObjectOU=OU=Mis_Servidores,DC=miempresa,DC=priv
DomainAdmin=Administrador
DomainAdminDomain=MIEMPRESA
DomainAdminPassword=contraseñacompleja
SkipLocaleSelection=YES
KeyboardLocale=es-ES
UserLocale=es-ES
UILanguage=es-ES
SkipTimeZone=YES
TimeZoneName=Romance Standard Time"
SkipUserData=YES
UserDataLocation=NONE
DeployRoot=\\DC2012\DeploymentShare$
Por defecto, la máquina intentará conectarse a los servidores Microsoft Windows Update en
Internet. Si tiene un servidor WSUS, puede indicárselo a MDT agregando la variable
WSUSServer=http://miservidor en el archivo Custom- Settings.ini. Si especifica un
servidor WSUS pero el cliente no está actualizado, MDT intentará descargarlo desde
Internet.
Sólo queda activar las dos etapas de Windows Update en la secuencia (Pre y Post), pues
están desactivadas por defecto:
Otro enfoque consiste en desplegar totalmente un equipo, configurarlo completamente
instalando por ejemplo las aplicaciones y las actualizaciones, y a continuación capturarlo
con Lite Touch. Ésta será su imagen de referencia, que le bastará para desplegar haciendo
un sysprep. Sysprep permite hacer único un equipo, en lo que respecta a su nombre y su
SID (Security IDentifier). Por este motivo no puede asociarlo a un dominio Active
Directory durante la fase de captura. La fase de sysprep se incluye automáticamente en
MDT (fase Copy sysprep files). Un aspecto que requiere especial atención durante una
captura con Lite Touch es el uso del antivirus, que puede presentar problemas.
MDT ofrece la posibilidad de inventariar todas las máquinas desplegadas en una base de
datos SQL Server. Si lo desea, puede utilizar una base de datos SQL Express 2012. Esta
versión de SQL Server es gratuita y basta para cubrir esta necesidad. Puede
descargarla desde la página Web de Microsoft: http://www.microsoft.com/es-
es/download/details.aspx?id=29062
3. WDS
La instalación del rol WDS es muy sencilla. Como requisito previo debe disponer de los
servicios DNS y DHCP sobre la red, así como una partición NTFS para el almacenamiento.
Para instalar el rol puede utilizar el Administrador del servidor o hacerlo directamente
mediante el cmdlet PowerShell siguiente:
Una vez instalado el rol, puede gestionar WDS mediante PowerShell o mediante la interfaz
de gestión que se encuentra en el menú de inicio de Windows, Servicios de
implementación de Windows. Despliegue el árbol hasta llegar a su servidor y seleccione
Configurar el servidor. Seleccione, a continuación, una carpeta para almacenar las
imágenes (%systemdrive%\RemoteInstall, por defecto). El volumen de esta carpeta
puede llegar a ser importante, y aparece una alerta si se está utilizando la partición de
sistema. Si es necesario, es posible reducir en caliente el volumen desde el administrador de
discos, para disponer de un lector dedicado a este almacenamiento.
WDS puede restringirse para responder únicamente a clientes conocidos. Para que un
cliente sea conocido, es preciso que esté incluido en el Active Directory previamente, o que
se haya creado un objeto equipo manualmente en Active Directory con el identificador
correcto. El identificador utilizado se visualiza durante el arranque del equipo cliente, en el
momento de la búsqueda de PXE (GUID). También es posible tener un modo de
aprobación, donde el administrador visualiza las peticiones de los clientes desconocidos en
espera.
El modo multicast es el mejor adaptado para realizar un despliegue masivo. Evita el tener
que inundar la red enviando todos los bytes de forma individual a cada equipo. En su lugar,
los equipos se inscriben en la dirección multicast, y WDS envía los datos una sola vez a
esta dirección para todos los equipos. Tratándose de multicast IGMP, es necesario que sus
equipos de red soporten esta característica. Si no es el caso, el switch las procesará como
difusiones, e inundará toda la red.
Si llegan nuevos equipos durante el despliegue, comenzarán a recuperar los datos enviados
hasta el final y, a continuación, WDS enviará los datos restantes a estos equipos, que serán
capaces de recibir los datos de forma desordenada. Además del ahorro en ancho de banda,
el servidor será capaz de desplegar más máquinas a la vez puesto que sólo lee una vez los
datos de despliegue. Esto reduce de forma importante los accesos al almacenamiento en
disco. Es posible visualizar la lista de máquinas en curso de despliegue así como su
consumo de red en la consola WDS:
Para ello, basta con hacer clic con el botón derecho en la máquina y seleccionar la
opción Ignorar multidifusión:
En cambio, Windows Server 2012 R2 permite clasificar automáticamente en dos o tres
categorías los equipos (rápido, medio, lento). El servidor tendrá, al final, que enviar 2 ó 3
veces los datos, pero esto permitirá realizar un despliegue de equipos más rápido.
La transmisión por multidifusión, creada por defecto por MDT 2013, es de tipo automático.
Es decir el despliegue comienza cuando un cliente solicita una multidifusión. WDS permite
no obstante también realizar una multidifusión planificada. Esta planificación puede
realizarse en base a dos criterios:
WDS es compatible con la multidifusión IPv4, y también con IPv6; para ello tendrá,
obligatoriamente, que configurar el servicio DHCPv6.
Con la versión WDS de Windows Server 2012 R2, las BIOS de tipo UEFI (Unified
Extensible Firmware Interface) de los puestos clientes de 32 bits se gestionan para su
arranque en red (Boot on LAN) y para el despliegue.
Además de con las arquitecturas x86 y x64, WDS es compatible, también, con las
arquitecturas ARM para Windows RT (versión de Windows 8 para tabletas con
procesadores ARM).
Con Windows Server 2012, WDS es compatible con imágenes con los formatos .WIM,
.VHD y .VHDX para el despliegue.
Fuera del marco de uso de MDT, WDS para Windows Server 2012 permite:
Para facilitar el diagnóstico, el programa Standard User Analyzer Wizard le guía paso a
paso en:
2. Entorno a la carta
Podrá crear una secuencia para sus entornos virtuales con el objetivo de instalar
automáticamente las herramientas adicionales. Hyper-V, que es compatible con el arranque
PXE, le permite instalar máquinas virtuales directamente a través de la red con WDS. De
este modo tendrá un único punto central que contendrá todas las imágenes y aplicaciones
durante el despliegue, en vez de tener una imagen a parte para la generación de máquinas
virtuales.
3. ImageX
ImageX es una herramienta que funciona por línea de comandos y le permite administrar y
modificar las imágenes WIM. El formato WIM tiene en particular una propiedad
interesante: se basa en archivos y no en clústeres, como para los formatos ISO. Esto
permite en especial almacenar en la imagen un único ejemplar de cada archivo, incluso si
está presente varias veces desde el punto de vista lógico (Single Instance Storage).
Esta herramienta, que se ofrece de forma estándar con Windows 8.1 y Windows 2012 R2,
aunque también con Windows PE 4.1, combina las funciones antes mencionadas:
Desde Windows 7 y Windows Server 2008 R2, es posible unir una máquina a un dominio
AD sin que tenga que unirse a un controlador de dominio durante todo el procedimiento.
Esto abre nuevas perspectivas, como hemos visto en el capítulo dedicado al Dominio
Active Directory:
El comando que debe utilizar es djoin. Necesita, como mínimo, Windows 7 o Windows
Server 2008 R2 instalado en el equipo que prepara el Active Directory y sobre la máquina
que se va a unir al dominio sin red. El controlador de dominio puede estar configurado con
alguna versión anterior a Windows Server 2008 R2 (utilizando el argumento /downlevel de
djoin).
La informática está llena de sorpresas que condimentan nuestro trabajo cotidiano. Cuando
un despliegue no se realiza según lo previsto, he aquí algunas trazas que pueden
proporcionarle ayuda:
Este mensaje aparece cuando una secuencia utiliza una cuenta para conectarse a un
recurso compartido MDT diferente del definido en customsettings.ini. El equipo de
producto de MDT provee, en su blog, las modificaciones que es necesario realizar
(ztiutility.vbs): http://blogs.technet.com/msdeployment/archive/2009/09/18/fix-for-
multiple-connections-to-a-server-or-shared-resource-by-the-same-user-using-more-
than-one-user-name-are-not-allowed-problem-with-mdt-2010.aspx
Conclusión
Ya está preparado para desplegar sus servidores y puestos de trabajo. Desde un punto de
vista técnico, nunca había sido tan sencillo y flexible, en especial con MDT 2013. ¡Seguir
haciendo instalaciones a mano sería una verdadera pérdida de tiempo y de calidad!
Introducción
Este capítulo tiene como objetivo permitir abordar la seguridad de su arquitectura de la
mejor forma. En efecto, no es raro escuchar a los profesionales de la informática expresarse
en términos algo arcaicos acerca de la seguridad. Se trata de un área que evoluciona muy
regularmente y muy rápido, y no sería razonable pensar que la arquitectura informática y
las soluciones en términos de seguridad están actualizadas. Conviene estar informado
regularmente y respetar un conjunto de buenas prácticas.
Este capítulo está dedicado a describir las buenas prácticas al respecto y le presenta las
novedades funcionales que le permitirán ponerlas en marcha.
En la práctica, esto no siempre es factible, aunque conviene hacer siempre todo lo posible
para estar lo más cerca posible de la necesidad reduciendo al máximo la superficie de
ataque expuesta. Si un usuario no necesita permisos específicos, ¿por qué asignárselos? Y,
¿cómo asegurarse que el usuario no tiene más derechos de los que le hacen falta?
La superficie de ataque será mucho más reducida si actualiza, de manera regular, su parque
informático tanto a nivel de sistema operativo como de aplicaciones instaladas, sin olvidar a
los equipos de red. El capítulo El ciclo de vida de su infraestructura aborda, en particular, el
uso de WSUS (Windows Server Update Services) para desplegar actualizaciones en sus
sistemas Windows.
Es preciso dominar algunas nociones técnicas para poder realizar la mejor elección en cada
caso.
1. Los distintos tipos de cuenta
En Windows existen distintos tipos de cuentas de usuario. Cada uno de ellos define un
conjunto de permisos tales como el acceso a los archivos, las modificaciones que está
autorizado a realizar en el sistema operativo, etc. Desde un punto de vista genérico, según
el tipo de cuenta seleccionado, el usuario tendrá un nivel de acceso más o menos importante
en el sistema operativo.
• Invitado
• Estándar
• Administrador
Una cuenta de usuario con permisos de tipo Invitado autoriza el acceso a los recursos del
equipo sin autenticación en este último. Este tipo de cuenta se utiliza de manera muy
esporádica en la empresa, pues presenta riesgos no despreciables en términos de seguridad.
Por defecto, este tipo de cuenta está deshabilitado.
Una cuenta de usuario estándar permite utilizar la mayor parte de las funcionalidades del
sistema operativo mientras no afecten a la seguridad del equipo o a la configuración común
a todos los usuarios.
La principal diferencia entre una cuenta de usuario estándar y una cuenta de administrador
es el nivel de acceso del usuario a los lugares definidos como protegidos en el sistema
operativo.
Cuenta de administrador
Una cuenta de usuario con permisos de Administrador (y que por lo tanto forme parte, de
forma directa o no, del grupo Builtin\Administradores del equipo) está autorizado a
administrar la totalidad del sistema operativo y, por tanto, a definir configuración común a
todos los usuarios (instalación de programas, definición de la seguridad del equipo, etc.).
En la medida en que los permisos de esta cuenta son muy extensos, se desaconseja
encarecidamente utilizarla para sus tareas corrientes. Verá más adelante, en este mismo
capítulo, cómo Microsoft responde a la necesidad de dotar de seguridad este acceso de
Administrador gracias al UAC (User Account Control).
Por ejemplo, un usuario estándar no puede, por defecto, escribir en la carpeta de sistema
(C:\windows) o en la mayor parte del registro, mientras que un administrador sí puede
hacerlo. Un administrador puede también activar/desactivar el firewall, configurar las
políticas de seguridad, instalar un servicio o un controlador para todos los usuarios, etc.
Desde Windows Vista y Windows 2008, Microsoft ha mejorado bastante las cuentas de
usuario estándar, y ahora pueden realizar tareas que necesitan permisos de administrador
tales como:
Existen tareas programadas suplementarias que permiten, en lo sucesivo, definir una tarea
de defragmentación o de copia de seguridad automática. Antes, estas funcionalidades no
podían realizarse fácilmente y necesitaban, en su mayoría, privilegios de usuario
administrador.
He aquí una lista no exhaustiva de los distintos permisos para un usuario estándar y un
administrador, que le permitirá situar un poco mejor las autorizaciones de cada tipo de
cuenta.
Existe un cuarto tipo de cuenta que se utiliza a menudo en entornos como Windows
2000/XP. Se trata de cuentas que pertenecen al grupo de Usuarios avanzados. Este grupo
está a medio camino entre Usuarios y Administradores. Permite, en efecto, realizar algunas
tareas como, por ejemplo, escribir en ciertos lugares del registro y del sistema de archivos,
sin necesidad de tener permisos de administrador. Este tipo de grupo no responde a todas
las necesidades de las aplicaciones y ya no tiene ningún permiso particular por defecto
desde Windows Vista y Windows 7. Conviene saber, no obstante, que este grupo sigue
estando disponible con el objetivo de asegurar la compatibilidad de las aplicaciones que lo
necesitan. Para ello, es necesario cargar un modelo de seguridad particular (compatws.inf)
en Windows Vista y Windows 7 para modificar los permisos sobre ciertos archivos y
ciertas claves del registro para permitir al grupo Usuarios avanzados tener acceso.
Windows Server 2012 R2 propone utilizar un nuevo grupo de dominio que permite
habilitar una protección suplementaria en aquellos equipos que utilizan Windows Server
2012 R2 o Windows 8.1. Este grupo se encuentra en los controladores de dominio de
Windows Server 2012 R2 y se llama Protected Users.
Los miembros de este grupo sólo pueden utilizar métodos de autenticación considerados
como seguros para poder autenticarse. De este modo, los miembros de este grupo están
sometidos a las siguientes condiciones:
• No pueden autenticarse utilizando NTLM, Digest o incluso CredSSP. Por otro lado,
las contraseñas de las cuentas miembros de este grupo no están almacenadas en
caché si se utilizan en un equipo Windows 8.1 miembro del dominio.
• El protocolo Kerberos es el único protocolo autorizado y no puede basarse en un
cifrado DES o RC4 (débiles) para el proceso de pre-autenticación. Sólo es posible
utilizar el protocolo AES.
• La delegación Kerberos no está permitida.
• El tiempo de vida del ticket Kerberos (TGT) se puede modificar (por defecto, 4
horas) e implica una reautenticación por parte del usuario, pasado este tiempo.
Para poder aprovechar las ventajas de este grupo, debe actualizar su esquema de
Active Directory (mediante el comando adprep /forestprep), de cara a poder soportar las
nuevas clases incluidas en Windows Server 2012 R2 y el controlador de dominio que
alberga el rol de emulador PDC debe funcionar, como mínimo, con Windows Server 2012
R2.
Existe una novedad, llamada Directiva de silos de autenticación que le permite controlar
los equipos en los que un usuario puede iniciar sesión en el dominio. Si se acopla esta
funcionalidad con el grupo de tipo Protected Users, es posible aplicar condiciones de
control del acceso para la autenticación de cuentas. Las directivas de autenticación se
fuerzan en la etapa de intercambio de información de AS y TGT de los tickets Kerberos.
Los requisitos previos son los mismos que para los Protected Users, es preciso agregar un
nivel funcional del dominio Windows Server 2012 R2.
Esta directiva puede aplicarse a las cuentas de Equipos, Usuarios y a las cuentas de servicio
administradas.
El control de cuentas de usuario o User Account Control (UAC) es uno de los principales
avances de la nueva gama de sistemas operativos Microsoft Windows Vista y Windows
Server 2008.
Esta funcionalidad (activada, por defecto) permite informarle de cualquier acción que
requiera permisos del sistema. Se crea un token de acceso completo, con los permisos más
importantes del usuario, y se le pasa a la aplicación. Esto se llama una elevación de
privilegios. El UAC se caracteriza por una elevación de privilegios automática, apareciendo
un mensaje de advertencia cuando se produce esta elevación, y un escritorio securizado
dedicado a este mensaje de advertencia.
De este modo, será mucho más complicado para un programa espía instalarse en el sistema
o acoplarse a un proceso sin informarle antes.
Antes de que realizar la elevación de privilegios, Windows Server 2012 R2 muestra, por
defecto, la ventana de confirmación solicitando esta elevación de privilegios a un escritorio
virtual aislado (llamado también "Escritorio difuminado" desde Windows 7/2008 R2) y
securizado, de forma que el resto de aplicaciones continúe ejecutándose a nivel del
escritorio interactivo del usuario. Esto permite poder impedir a un proceso de usuario
(como, por ejemplo, una aplicación espía) interactuar con la solicitud de elevación de
privilegios y aceptar automáticamente la elevación.
Por otro lado, existe un modo particular llamado Modo de aprobación de administrador
que está activo para todos los miembros del grupo de Administradores (salvo la cuenta
Administrador integrado). Este modo muestra la elevación de privilegios cuando se ejecuta
una aplicación que necesita privilegios de administración.
Desde Windows Server 2008 R2, es posible tener una granularidad más precisa del UAC
para limitar las peticiones de la contraseña. Esto se detalla más adelante.
Descripción: los programas UIAccess como el asistente remoto pueden solicitar utilizar
esta opción.
Valor por defecto: Pedir consentimiento para ejecutables que no son de Windows.
Control de cuentas de usuario: comportamiento de la petición de elevación para los
usuarios estándar
Descripción: define si un usuario conectado con una cuenta estándar obtiene una ventana de
elevación de privilegios de ejecución de aplicaciones que requieren permisos de
administrador.
Por defecto, un usuario estándar tendrá la posibilidad de indicar la contraseña de una cuenta
de administrador. También es posible deshabilitar esta opción, aunque no impide al usuario
hacer clic con el botón derecho del ratón sobre el ejecutable y seleccionar la opción
Ejecutar como administrador.
Descripción: indica que sólo las aplicaciones que requieran un nivel de integridad UIAccess
(es decir especificando UIAccess=true en su manifiesto de aplicación) deben encontrarse en
un emplazamiento seguro en el sistema de archivos. Los emplazamientos seguros son:
Descripción: permite activar o desactivar el control de usuario para los usuarios que son
Administradores.
Descripción: esta opción asegura la compatibilidad con las antiguas aplicaciones que se
ejecutaban como administrador y escribían sus datos de ejecución de la aplicación en
%Program Files%, %Windir%, %Windir%\System32 o HKLM\Software.
Si utiliza una autenticación biométrica, sepa que Windows Server 2008 R2/2012 R2
permite simplificar la elevación de privilegios solicitada por el UAC mejorando la
experiencia de usuario.
Su dispositivo biométrico estará mejor gestionado en Windows Server 2008 R2/2012 que
en las versiones anteriores y podrá utilizar este medio de autenticación sin tener que
disponer necesariamente de una aplicación dedicada instalada a partir del momento en que
el driver descargado mediante Windows Update haya sido instalado.
Aunque es una fuente frecuente de controversia, pues modifica nuestros (¿malos?) hábitos,
UAC permite asegurar un nivel de seguridad muy superior comparado con las versiones
anteriores de Windows. Sus mejoras, evidentes deberían, en lo sucesivo, animarle a
adoptarlo rápidamente, si no lo ha hecho aún.
Los grupos restringidos le permiten administrar los miembros de grupos de seguridad con
el objetivo de asegurar el contenido de estos grupos. Esta configuración es muy interesante
y permite controlar mejor las personas y permisos asignados a un conjunto de equipos y
servidores miembros.
Configurando, por ejemplo desde la directiva de grupo, un grupo restringido como el grupo
local de los equipos llamado BUILTIN Administradores (haciendo clic con el botón
derecho del ratón en la directiva de los grupos restringidos y, a continuación, en Agregar
un grupo - Builtin\Administradores) e indicando un grupo de dominio como, por
ejemplo, MiEmpresa\AdminLocal en Miembros de este grupo, entonces todos los
usuarios del grupo MiEmpresa AdminLocal serán Administradores de los equipos que se
encuentran en el contenedor asociado a la directiva de grupo definida.
Imagine que este grupo restringido se define a nivel de los equipos de su Active Directory y
que un usuario necesita ser miembro del grupo Administradores de su equipo (no es raro
que los usuarios de equipos portátiles tengan este tipo de necesidad). Asociándolo al grupo
MiEmpresa\AdminLocal el usuario será, en efecto, miembro del grupo
BUILTIN\Administradores de su equipo, ¡pero también de todos los demás equipos!
Del mismo modo, si trata de agregar este mismo usuario de forma local al grupo
BUILTIN\Administradores de su equipo, la aplicación de la directiva de grupo tendrá como
efecto la limpieza de los miembros de los grupos locales y en consecuencia el usuario
perderá los permisos de administrador.
Como habrá comprendido, este tipo de configuración está poco adaptado a la definición de
los miembros de los grupos a nivel de puestos de trabajo, aunque puede ser muy interesante
para controlar los miembros de los grupos de servidores y controladores de dominio para
bloquear estos últimos.
Volviendo a nuestro usuario que quiere ser administrador de su equipo haciendo uso de los
grupos restringidos, y sin que impacte a la seguridad de los demás equipos, conviene definir
los grupos restringidos de forma ligeramente diferente.
En efecto hace falta definir un grupo restringido a partir del grupo de dominio seleccionado
(en nuestro ejemplo el grupo MiEmpresa\AdminLocal) y definir la configuración Este
grupo es miembro de: para agregar el grupo BUILTIN\Adminis- tradores (o
BUILTIN\Administrators dependiendo de si esta directiva de grupo se define en un equipo
en castellano o en inglés).
Como con las directivas de restricción de software, Applocker permite definir las
aplicaciones autorizadas a ejecutarse por parte de sus usuarios estándar en el seno de su
dominio desplegando sus parámetros mediante directivas de grupo.
Sepa, también, que si una directiva de grupo posee a la vez una directiva de restricción de
software y una directiva de control de aplicación (Applocker), sólo se aplicará la directiva
Applocker en el puesto.
Si todos los equipos clientes están en la misma OU, es posible utilizar filtros WMI sobre
ambas GPO para filtrar sobre qué tipo de sistema operativo se deben ejecutar.
Para Windows XP
• %Appdata%\*.exe
• %Appdata%\*.sys
• %Appdata%\*.dll
• %Appdata%\*\*.exe
• %Appdata%\*\*.sys
• %Appdata%\*\*.dll
• C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
• C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
• C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll
• %UserProfile%\Local Settings\*.exe
• %UserProfile%\Local Settings\*.sys
• %UserProfile%\Local Settings\*.dll
• %UserProfile%\Local Settings\*\*.exe
• %UserProfile%\Local Settings\*\*.sys
• %UserProfile%\Local Settings\*\*.dll
Bloqueo de la ejecución de archivos desde archivos WinRar, 7Zip, WinZip y el soporte Zip
integrado en Windows:
• %UserProfile%\Local Settings\Temp\Rar*\*.exe
• %UserProfile%\Local Settings\Temp\7z*\*.exe
• %UserProfile%\Local Settings\Temp\wz*\*.exe
• %UserProfile%\Local Settings\Temp\*.zip\*.exe
• %Appdata%\*.exe
• %Appdata%\*.sys
• %Appdata%\*.dll
• %Appdata%\*\*.exe
• %Appdata%\*\*.sys
• %Appdata%\*\*.dll
• C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
• C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
• C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll
• %LocalAppData%\*.exe
• %LocalAppData%\*.sys
• %LocalAppData%\*.dll
• %LocalAppData%\*\*.exe
• %LocalAppData%\*\*.sys
• %LocalAppData%\*\*.dll
Bloqueo de la ejecución de archivos desde archivos WinRar, 7Zip, WinZip y el soporte Zip
integrado en Windows:
• %LocalAppData%\Temp\Rar*\*.exe
• %LocalAppData%\Temp\7z*\*.exe
• %LocalAppData%\Temp\wz*\*.exe
• %LocalAppData%\Temp\*.zip\*.exe
Antes de comenzar es preciso saber que existen tres tipos de reglas posibles para evaluar si
una aplicación tiene autorización para ejecutarse o no.
• Ruta de acceso: esta regla permite identificar un ejecutable basándose en una ruta.
Puede, por ejemplo, definir una regla para autorizar el ejecutable C:\Windows\
calc.exe. Aunque esta solución no es la más eficaz, puesto que si un usuario
renombra un ejecutable prohibido como calc.exe en la carpeta C:\Windows será
capaz de ejecutar la aplicación. Es, por el contrario, un método interesante para
impedir la ejecución de un tipo de extensión de archivo en una carpeta conocida por
su riesgo (como, por ejemplo, la carpeta Temporal). La lista de estas carpetas
peligrosas se muestra más arriba e indica también, por ejemplo, que todos los
ejecutables que se encuentren en la carpeta %LocalAppData%\*.exe no puedan
ejeutarse.
• Hash de archivo: esta regla permite identificar un ejecutable basándose en un valor
de hash calculado. Cada archivo posee un valor de hash único, Windows calcula el
valor de hash de un archivo y lo compara con los valores definidos en las reglas de
Applocker para saber si la regla debe o no aplicarse. El inconveniente de esta
solución es que la regla debe implantarse con cada nueva versión del archivo que
quiere autorizar.
• Publisher: esta regla permite identificar un ejecutable en función del fabricante
(como era el caso con las reglas de certificado de las antiguas restricciones de
software) aunque agregando condiciones más precisas como la versión del
producto, etc.
Antes de crear sus propias reglas personalizadas, será necesario comenzar creando las
reglas por defecto. En efecto, Applocker funciona un poco como un firewall, de modo que
todo lo que no esté expresamente autorizado se rechaza.
• Generar las reglas por defecto: para evitar efectos laterales indeseados, es preciso
administrar las reglas por defecto autorizando a todo el mundo a ejecutar los
programas que se encuentran en las carpetas Program Files y Windows.
• Generar reglas automáticas: a continuación sólo tendrá que definir reglas para
bloquear lo que desee. Esta forma de proceder le evitará "auto-bloquearse" en
ciertas situaciones a causa de reglas mal definidas.
• Auditar siempre las reglas Applocker antes de su despliegue masivo en producción.
Para definir sus reglas por primera vez, utilice un puesto piloto (con Windows 7/8/8.1 o
2008 R2/2012/2012 R2) que sea el único puesto presente en la unidad organizativa ligada a
la directiva de grupo que va a configurar. Instale las aplicaciones homologadas o aquellas
que desee autorizar. Instale a su vez las herramientas RSAT para crear la directiva y las
reglas Applocker directamente desde este puesto (enseguida verá por qué razón).
Siempre desde este puesto piloto, diríjase al nivel Configuración del equipo - Directivas
- Configuración de Windows - Configuración de seguridad - Directivas de control de
aplicaciones - Applocker. Observe que hay tres subcategorías: Reglas ejecutables, Reglas
de Windows Installer y Reglas de scripts. Haga clic con el botón derecho del ratón sobre
cada una de estas subcategorías para crear la regla por defecto seleccionando la opción
Crear reglas predeterminadas.
Esto tiene el efecto de crear reglas por defecto autorizando a "Todos los usuarios" a
ejecutar los programas que se encuentran en la carpeta %PROGRAMFILES% y
%WINDIR%. Habrá que tenerlo en cuenta a la hora de realizar las primeras pruebas en
producción. La prohibición prevalece sobre la autorización, y podrá Rechazar el acceso a
un programa específico que se encuentre en alguna de estas carpetas.
La forma más sencilla de definir las reglas para las aplicaciones existentes consiste en
utilizar el asistente. Permite generar reglas según las especificidades de cada ejecutable que
se encuentra en la carpeta indicada. Para ello, haga clic con el botón derecho del ratón en la
categoría Reglas ejecutables y elija Generar reglas automáticamente....
Se abre un asistente que le permite indicar la carpeta a escanear, los usuarios afectados por
esta regla, así como el nombre de la regla.
Para poder simular el despliegue de las reglas Applocker sin que estas últimas sean
realmente efectivas, haga clic con el botón derecho del ratón en Applocker (en
Configuración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad - Directivas de control de aplicaciones - Applocker) y a continuación en
Propiedades.
Para que esta configuración pueda aplicarse en los puestos correspondientes, es preciso
modificar el tipo de inicio del servicio Identidad de aplicación. Éste se define, por
defecto, con arranque Manual y no Automático. Puede configurarlo directamente desde el
puesto cliente o incluso mediante una directiva de grupo en Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Servicios del
sistema. Seleccione, a continuación, el servicio Identidad de aplicación y modifíquelo
para un arranque automático.
Una vez haya definido correctamente sus reglas, puede aplicarlas editando su directiva de
grupo creado precedentemente dirigiéndose al nivel Configuración del equipo -
Directivas - Configuración de Windows - Configuración de seguridad - Directivas de
control de aplicaciones - Applocker y, a continuación, Propiedades. En la lista
desplegable correspondiente a la categoría de reglas que quiere aplicar realmente,
seleccione Aplicar reglas. Valide haciendo clic en Aceptar.
La mayor parte del tiempo, los servidores están ubicados en un datacenter a menudo
llamado "búnker", de cara a implementar la seguridad física (cámaras, control de
acceso…). No siempre es posible alcanzar este nivel de seguridad, especialmente en sitios
remotos, que cuentan únicamente con unos pocos usuarios. Si bien el número de usuarios
es, con frecuencia, poco elevado, resulta indispensable desplegar un servidor para ofrecer
ciertos servicios de manera local, en especial un controlador de dominio o un servicio
DHCP. En el primer caso, el servidor dispone por defecto de una copia del dominio y, por
tanto, de las contraseñas de todos los usuarios. Como ha visto en el segundo capítulo del
libro, la implementación de un RODC (controlador de dominio de sólo lectura) permite
superar este problema. Pero, ¿cómo puede hacerse si se trata de un servidor de archivos o
de una base de datos?
En tal caso, será interesante cifrar los datos para impedir que el atacante pueda recuperar
los datos y las contraseñas contenidos en el equipo. El cifrado es un método que permite
reforzar la seguridad de un mensaje o un archivo codificando su contenido de manera que
sólo las personas que dispongan de la clave de cifrado apropiada para descifrarlos puedan
leerlo. Por ejemplo, si compra un producto en un sitio web, la información necesaria para
realizar la transacción (como, por ejemplo, su dirección, su número de teléfono y de tarjeta
bancaria) se cifra, por lo general, en el servidor con el objetivo de dotarlos de seguridad.
Por otro lado, el cifrado de los discos duros de los equipos portátiles resulta, también,
extremadamente interesante para las empresas, sobre todo dado que los usuarios son, cada
día, más móviles y, en consecuencia, los datos de la empresa se ven cada vez más
expuestos en caso de hurto.
Antes de que un disco cifrado con BitLocker se desbloquee, BitLocker autentica el disco
basándose en los datos de identificación que el usuario, o el sistema operativo, proveen y
que autorizan a BitLocker a desbloquear el acceso al lector. BitLocker tiene en cuenta los
distintos métodos de bloqueo en base al conocimiento por el usuario de una contraseña, la
presencia de un componente de hardware o claves de aplicación, o una combinación de
estos tres elementos. Puede seleccionar el método de bloqueo cuando configura BitLocker.
Los métodos de bloqueo disponibles difieren entre los discos del sistema operativo y los
discos de datos fijos o extraíbles. Por ejemplo, sólo es posible proteger mediante TPM un
disco que contenga un sistema operativo. Sobre un disco que contenga un OS, puede
seleccionar utilizar uno de los métodos de bloqueo siguientes:
• Sólo TPM.
• Sólo clave de arranque.
• TPM + código PIN.
• TPM + clave de arranque.
• TPM + código PIN + clave de arranque.
En un disco de datos fijos o extraíble, puede seleccionar los tres métodos de bloqueo
siguientes:
• contraseña.
• tarjeta + código PIN.
• automático.
Para los lectores de datos, el método de bloqueo por tarjeta + código PIN ofrece la mejor
protección.
Cuando quiere bloquear los datos protegidos mediante BitLocker con una tarjeta, debe
asegurarse de que sus usuarios tienen certificados compatibles con BitLocker cargados en
una tarjeta. Para generar estos certificados, puede utilizar una entidad de certificación (CA),
crear certificados autofirmados, o configurar un certificado EFS existente para un uso con
BitLocker. Cuando utiliza tarjeta, también se recomienda disponer de una aplicación de
gestión de tarjetas. Puede, por ejemplo, utilizar la funcionalidad de gestión de tarjetas que
ofrece Microsoft Forefront Identity Manager (FIM). El siguiente vínculo ofrece
información detallada acerca del uso de certificados con
BitLocker: http://technet.microsoft.com/en-us/library/dd875548%28WS.10%29.aspx
He aquí las principales etapas a realizar para poder utilizar BitLocker en el seno de su
empresa. En este ejemplo, se trata de desplegar esta funcionalidad en los equipos portátiles
de su AD.
La primera etapa consiste en activar la tarjeta TPM en los equipos pues, como hemos visto,
no es práctico almacenar la información en una llave USB o tener que escribirla con cada
arranque del equipo…
Esta etapa se desarrolla a nivel de BIOS del equipo y puede necesitar, según los fabricantes,
dos reinicios sucesivos del ordenador. El primero permite activar la funcionalidad de
Seguridad TPM y el segundo realiza la activación de la opción de la tarjeta TPM en la
placa base.
Es, también, posible configurar los equipos para que la clave de cifrado de BitLocker se
almacene como propiedad del equipo directamente en Active Directory.
Para ello, si tiene un controlador de dominio con Windows Server 2008 o superior, es
posible almacenar esta información en Active Directory. En caso contrario, instale, al
menos, un controlador de dominio con esta versión y actualice el esquema de Active
Directory para que la información BitLocker pueda tenerse en cuenta.
Cree, a continuación, una nueva directiva de grupo y edite los parámetros que se
encuentran en Configuración del equipo - Directivas - Plantillas administrativas -
Componentes de Windows - Cifrado de unidad BitLocker.
Verá varios parámetros de configuración así como tres carpetas suplementarias que
configuran la forma en que Windows procesa la información de BitLocker según se trate de
un lector de datos extraíble, de un disco fijo o de un sistema operativo.
Seleccione las siguientes opciones y repita esta operación según el tipo de información que
desea proteger:
Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por
BitLocker
Habilite la opción Activar copia de seguridad del TPM en los Servicios de dominio de
Active Directory.
Observe que, si BitLocker ya está activo en los equipos, las claves de recuperación así
como la información TPM no se almacenará en Active Directory, puesto que se realiza en
el momento en que se activa la tarjeta TPM y, por tanto, se activa BitLocker.
Puede obtener la contraseña digital del lector y "empujarla" a Active Directory mediante el
comando manage-bde-protectors -adbackup c: -id {contraseña digital}.
Para visualizar las claves de recuperación de BitLocker, tendrá que utilizar las herramientas
RSAT, o bien agregar la funcionalidad Cifrado de unidad BitLocker.
El lector puede leerse automáticamente en un equipo Windows 7/8 una vez que se haya
informado la contraseña de cifrado. Las versiones anteriores de Windows, como por
ejemplo Vista y XP, pueden leer los datos cifrados en los periféricos, con la condición de
que los datos estén almacenados en FAT (y no NTFS); gracias a la herramienta BitLocker
To Go Reader almacenada sobre el dispositivo. La herramienta no permitirá, sin embargo,
leer el contenido de la clave ni escribir datos en el dispositivo. Puede descargar la
herramienta de la siguiente dirección: http://www.microsoft.com/en-
us/download/details.aspx?id=24303
Add-WindowsFeature BitLocker
Get-BitLockerVolume |FL
Esta línea de comando configura el cifrado del lector C que contiene al sistema operativo
en una máquina que no disponga de un módulo TPM.
La opción -rp se corresponde con una contraseña de recuperación; la opción -sk con la
ubicación E: (llave USB) se corresponde con la ubicación de almacenamiento de una clave,
necesaria con cada reinicio.
Por último, sepa que Windows 8.1 y Windows Server 2012 R2 aprovechan la aparición del
soporte del cifrado de los dispositivos. Como ejemplo, cuando un equipo se instala con
Windows 8.1, la fase de preparación para el primer uso se encarga de inicializar, también,
el cifrado del disco duro externo mediante una clave sin cifrar (equivalente al estado
suspendido de BitLocker).
Siempre partiendo del principio del menor privilegio, Windows Server, desde el Service
Pack 1 de Windows Server 2003, proporciona un asistente de configuración de la seguridad
(llamado SCW por Security Configuration Wizard). Su objetivo es crear una directiva que
habilite los servicios, las reglas de firewall y los parámetros necesarios para cubrir los roles
específicos (controlador de dominio, servidor de impresión, etc.).
No se trata, por tanto, de aplicar un modelo de seguridad (archivo INF) sino más bien de
configurar el sistema operativo de manera más cercana a las verdaderas necesidades del
servidor. Esto supone deshabilitar todos aquellos servicios inútiles, agregar reglas
necesarias en el firewall de Windows, etc.
Para acceder al asistente, en Windows Server 2012 R2, vaya al Administrador del
servidor - Herramientas - Asistente para configuración de seguridad.
La primera etapa consiste en definir la acción que se desea realizar. Puede bien crear una
directiva, modificarla, aplicarla o bien hacer una marcha atrás en alguna directiva aplicada
con anterioridad.
En este ejemplo, vamos a crear una nueva directiva. Hacemos clic en Siguiente.
La siguiente ventana resume las modificaciones que se realizarán en los servicios del
servidor en cuestión. Valide la configuración haciendo clic en Siguiente.
La siguiente etapa se refiere a la configuración automática de las reglas para el Firewall
de Windows. Es posible ignorar esta etapa marcando la opción adecuada. Haga clic en
Siguiente para iniciar este asistente. Puede seleccionar y enumerar las reglas modificadas
por el asistente de configuración, o incluso, por ejemplo, agregar una regla específica que
no se había identificado previamente. Una vez finalizada esta etapa, haga clic en Siguiente.
A continuación puede editar la configuración del registro. En esta aplicación, se trata, en
realidad, de configurar los protocolos autorizados para comunicar con los demás equipos
(exigir la firma SMB, exigir la firma LDAP y los métodos de autenticación entrante y
saliente). Aparece una página que le resume todas las modificaciones que se efectuarán en
el servidor. Esta configuración resulta muy interesante y permite aumentar,
significativamente, la seguridad de los intercambios entre el servidor y sus clientes. Las
modificaciones propuestas requieren, no obstante, disponer de un parque informático
relativamente moderno.
Lo que resulta interesante con este asistente es que puede crear un archivo de plantilla, tal y
como hemos hecho, y a continuación convertirlo en un objeto de directiva de grupo, que
será más fácil de desplegar en los equipos que elija.
Se crea automáticamente una GPO llamada SecureDC donde se definirán los parámetros
de la plantilla. Deberá, a continuación, vincular esta GPO con la OU que desee.
Microsoft pone, también, a disposición del usuario y de manera gratuita una lista de
referencias de los parámetros de seguridad para sus productos, especialmente para
Windows Server 2012. Estos parámetros se proveen a través de una herramienta
llamada Security Compliance Manager, accesible en la siguiente dirección:
http://technet.microsoft.com/en-us/library/jj898542.aspx
SCM permite evaluar y corregir la conformidad de sus políticas de seguridad mediante las
siguientes operaciones:
Existe otra herramienta, muy popular entre los equipos encargados de la seguridad. Se trata
de Microsoft Security Assessment Tool (MSAT), disponible en la siguiente
dirección: http://www.microsoft.com/en-
us/download/details.aspx?displaylang=en&id=12273. Se analizan una serie de cuestiones
(más de un centenar), que le permiten evaluar la seguridad de su infraestructura según las
respuestas indicadas. Tras el formulario, se generan 3 informes, más un informe completo
que incluye una guía de procedimientos y un listado de las acciones principales.
Estos últimos años hemos organizado toda nuestra seguridad de datos (nuestros recursos)
en base a la asignación de permisos (ACL) y a usuarios según su pertenencia a tal o cual
grupo.
Si bien este método ha resultado útil, posee sus límites pues, de hecho, se trata de un acceso
que se resume en autorizado o no según la pertenencia del usuario a los grupos definidos o
a la aplicación de ciertas ACL sobre una carpeta o archivo concretos. La seguridad se
centraba, principalmente, en los usuarios que podían acceder a ciertos recursos, más que a
la criticidad de los propios recursos accedidos.
Con Windows Server 2012 R2, es posible mejorar considerablemente esta gestión de los
datos a través de una nueva noción llamada Control de acceso dinámico (o
Dynamic Access Control - DAC).
b. Terminología
Antes de poder abordar el DAC, veamos los distintos términos que conviene conocer:
• Reglas de acceso central (Central Access Rules): se trata de una expresión de reglas
de autorización que incluye una o varias condiciones. Estas condiciones afectan a
los grupos de usuarios, a las propiedades de los recursos, a las notificaciones del
usuario o del dispositivo.
La directiva de acceso central debe agregarse a una regla de acceso central. La regla
de acceso central debe, por tanto, aplicarse a todos los archivos afectados.
Como podrá ver, existen varias nociones nuevas que debe aprehender, aunque la ganancia
en términos de seguridad resulta muy interesante.
Tomemos como ejemplo el departamento Recursos Humanos (RRHH) de una gran empresa
con varios países agrupados en el mismo dominio Active Directory. Los archivos de RRHH
de cada país no deberían poder consultarse, salvo en modo de sólo lectura, por parte del
departamento de RRHH local de cada país, respectivamente.
Como en todo proyecto, es necesario realizar un estudio previo. Se trata de identificar los
datos sensibles y las reglas que autorizarán el acceso a los mismos.
En los valores sugeridos, haga clic en Se sugieren los valores siguientes y agregue ES (en
valor y nombre completo), JP, US, GB.
Etapa 3: Definir las propiedades de los recursos
Hay que empezar definiendo las propiedades de los recursos (Resource Properties).
Aquí se configuran las propiedades que se descargarán los servidores de archivos para
clasificar los archivos.
Los futuros accesos de control dinámico tendrán como objetivo comparar los atributos del
usuario con las propiedades de los recursos.
Se establece una lista previa de propiedades de los recursos por Microsoft, aunque es
posible crear las propias si fuera necesario. Esto es lo que hemos hecho con el atributo
Country, que no existe por defecto.
Etapa 4: Definir una regla de acceso central (Central Access Rule o CAR)
Es, de algún modo, el equivalente a las ACL, incluso aunque no las remplaza por completo.
Una CAR describe las condiciones que deben cumplirse para permitir el acceso a un
recurso (un archivo, por ejemplo).
Descripción: (opcional).
En las autorizaciones, seleccione el valor Usar los siguientes permisos como permisos
actuales.
En las Permisos actuales, haga clic en Editar y, a continuación, agregue los Usuarios
autentificados como Principal. Es preciso crear, a continuación, las condiciones que se
refieren a las necesidades expresadas en el estudio para "Todos" los usuarios. En nuestro
ejemplo, los Usuarios autentificados responden a ciertos criterios que pueden acceder a
los archivos en modo lectura, por lo que debemos definir la siguiente regla:
Ahora, tiene una regla de acceso central que limita el acceso a los archivos de RRHH a un
mismo país y un mismo departamento. El grupo RRHH_Admin puede editar los archivos y
el grupo RRHH_Excepcion puede leerlos.
Observe que sólo los archivos clasificados como Human Resources estarán afectados por
esta regla.
A continuación, es preciso asociar las reglas creadas a una directiva de acceso central que
desplegaremos mediante una GPO.
Para ello, desde el Centro de administración de Active Directory abra Central Access
Policies - Nuevo - Directiva de acceso central y asocie la regla de acceso central que
acaba de crear.
Etapa 6: Desplegar la directiva de acceso central en los servidores de archivos mediante una
GPO
La CAP puede desplegarse mediante una GPO en los servidores de archivos Windows
Server 2012 que posean el rol FSRM (este rol se agrega al servidor en Seleccionar roles de
servidor - Servidor de archivos y almacenamiento - Servicios de iSCSI y archivo y
marcando Servidor de archivos y Administrador de recursos del servidor de archivos).
Es preciso crear una nueva GPO para desplegar la directiva de acceso central (CAP) en los
servidores de archivos.
Esta directiva de grupo deja disponible la política de acceso central, aunque no forzará su
aplicación.
Etapa 7: Configurar los controladores de dominio y los clientes para que tengan en cuenta
las notificaciones
Para que un controlador de dominio sea apto para gestionar las notificaciones, hay que
configurarlo definiendo una GPO que se aplica a nivel de la OU ”Domain Controllers”.
La opción FAST por Flexible Authentication Secure Tunneling, también conocida con el
nombre de ”Kerberos Armoring"” (o blindaje Kerberos), debe estar habilitada en los
controladores de dominio para ser compatible con DAC. FAST provee, en particular, un
canal seguro entre el cliente y el KDC.
Cree una GPO, en lugar de utilizar la GPO por defecto ”Default Domain Controllers
Policy”.
Fuerce las GPO en los controladores de dominio a través del comando gpupdate /force.
A nivel de su dominio (o de sus equipos cliente, únicamente), defina una GPO que permita
utilizar notificaciones. Esto tiene como efecto extender el ticket Kerberos gestionado por el
cliente.
Esta etapa debe realizarse desde el explorador de archivos en el servidor de archivos con el
rol FSRM.
En primer lugar, deberá clasificar los archivos del recurso compartido especificando las
propiedades de los recursos definidas anteriormente.
En las propiedades de aquellos recursos compartidos que deban protegerse, haga clic con el
botón derecho sobre él y, a continuación, en Propiedades. Vaya a la pestaña Clasificación.
Verá aparecer todas las propiedades de los recursos definidas anteriormente.
Si no fuera el caso, desde el servidor de archivos, abra una ventana de PowerShell y escriba
el comando Update-FSRMClassificationPropertyDefinition. Este comando forzará el
refresco de las propiedades de los recursos definidas.
Ahora que todo está implementado, la última etapa consiste en verificar que los accesos
están bien definidos.
Para ello, no tendrá que conectarse con la cuenta de tal o cual usuario para hacer esta
verificación. La pestaña Acceso efectivo se ha actualizado en Windows Server 2012 y tiene
en cuenta las notificaciones.
Seleccione la cuenta de usuario que desee y haga clic en Ver acceso efectivo.
Aquí, si bien todos los usuarios autenticados están definidos a nivel NTFS, sólo aquellos
que respondan a los criterios definidos en la DAC están autorizados a acceder a los
recursos.
• Las directivas de auditoría son mucho más eficaces cuando están basadas en
expresiones que se apoyan en notificaciones (claims) de usuario, de equipo y de
recurso, permitiendo así precisar los eventos que deben notificarse.
De este modo puede, por ejemplo, auditar todos los usuarios que intentan acceder a
recursos para los que no tienen habilitado el acceso o, al revés, administradores que usen
sus permisos de forma abusiva.
Seleccione, a continuación, el grupo que desea auditar, por ejemplo el grupo habilitado
para acceder a esta carpeta.
Puede, a continuación, agregar una condición que indique, por ejemplo: Usuario - Grupo -
Miembro de cada - Valor - [Admins de Dominio] y [Administradores].
• Para la clasificación de los archivos, una de las etapas más complejas, es posible
definir reglas de clasificación automática de los datos.
• Si desea acoplar DAC a RMS, esto le permitirá cifrar sus documentos sensibles En
base, por ejemplo, a su clasificación podrá mantener el control sobre los
documentos clasificados en cualquier momento.
El control de acceso dinámico supone una mejora importante en Windows Server 2012. Si
bien es necesario realizar un gran trabajo inicial, la seguridad de los datos de la empresa se
verá mejorada considerablemente.
Podrá acoplarle una directiva de auditoría basada en expresiones, tal y como se describe en
el capítulo Dominio Active Directory.
Delegación de la administración en Active
Directory
Una de las principales ventajas de un dominio Active Directory es poder tener un directorio
común para varias entidades en el seno de la misma empresa. Este directorio compartido
permite reducir costes de administración asociados al mantenimiento de la infraestructura.
Dado que las políticas de seguridad están bien diferenciadas en las distintas divisiones de la
empresa y que los equipos IT no son los mismos, conviene encontrar una solución que
permita delegar las tareas necesarias para el trabajo de cada uno sin comprometer la
seguridad de la totalidad del dominio Active Directory.
Existen distintas maneras de delegar los permisos a los usuarios. Algunas autorizaciones
pueden asignarse, fácilmente, a través de grupos de seguridad ya existentes. Es el caso, por
ejemplo, de la delegación de la administración de un servicio como DHCP (mediante el
grupo DHCPAdmins) o DNS (mediante el grupo DNSAdmins), o incluso la posibilidad de
consultar los registros de eventos (mediante el grupo Event Log readers), etc.
Es posible realizar, también, una delegación en el seno de Active Directory mucho más
granular, directamente a nivel de los objetos.
La siguiente lectura (en inglés) le permitirá ver un poco más clara la delegación de la
administración de un Active DirectoryDirectory y las buenas prácticas que debe aplicar.
Está disponible en la siguiente dirección: http://www.microsoft.com/en-
us/download/details.aspx?id=21678
Pasemos, ahora, a la práctica delegando dos acciones especialmente útiles para una hotline
y equipo de soporte informático de la empresa. Estos equipos no tienen la vocación de
realizar tareas administrativas ligadas al Active Directory, sería excesivo agregarlos al
grupo "Administradores del dominio" por ejemplo.
Entre las necesidades que expresan más a menudo estos equipos para responder a las
peticiones de los usuarios, encontrará en especial la solicitud de permiso para agregar un
usuario a un dominio Active Directory y el permiso para reinicializar las contraseñas de los
usuarios.
Las delegaciones se realizan, por lo general, sobre el total o sobre una parte de los
objetos de una unidad organizativa (u OU por Organizational Unit) o de un dominio. Esto
tiene como objetivo simplificar la administración y la gestión de los permisos de su Active
Directory. Está de más recordarle que es obligatorio guardar una traza de las delegaciones
realizadas para facilitar la administración cotidiana y las operaciones de recuperación en
caso de problemas.
Tomemos como ejemplo el departamento de hotline que quiere poder reinicializar las
contraseñas de los usuarios y desbloquear sus cuentas. Todos los usuarios de la hotline
forman parte del mismo grupo llamado HotlineUsers.
Para ello, desde la consola Centro de administración de Active Directory (dsa.msc), sitúese
en el objeto del contenedor padre desde el nivel en que quiera realizar la delegación de
permisos. En la mayoría de casos, esta delegación se realiza a nivel de una unidad
organizativa. Haga clic con el botón derecho del ratón en el objeto y seleccione Delegar
control.
Haga clic en Siguiente en la pantalla de bienvenida. El asistente le pide a continuación
seleccionar los usuarios o grupos para los que quiere asignar los permisos delegados. Haga
clic en Agregar y, a continuación, escriba el nombre de su grupo y haga clic en
Comprobar nombres. A continuación, haga clic en Aceptar.
Una vez agregado el o los grupos, haga clic en Siguiente.
Puede seleccionar, ahora, el nivel de permisos que quiere aplicar al objeto delegado. Puede
seleccionar entre las delegaciones predefinidas para tareas corrientes o bien Crear una
tarea personalizada para delegar.
En nuestro ejemplo, podríamos escoger las tareas predefinidas aunque éstas ofrecen
demasiados permisos en comparación con lo que queremos autorizar. Elija la opción Crear
una tarea personalizada para delegar para poder realizar una delegación más granular, y
haga clic en Siguiente.
Seleccione delegar Sólo los siguientes objetos en la carpeta, marque Objetos Usuario y,
a continuación, haga clic en Siguiente.
Seleccione, a continuación, el o los tipos de autorización que quiere delegar a los usuarios.
En nuestro ejemplo, el atributo Restablecer contraseña (o Reset Password, en inglés) se
utiliza para reiniciar la contraseña y los atributos Leer lockoutTime (o Read lockout Time)
y Escribir lockoutTime (o Write lockout Time) se utilizan para desbloquear una cuenta de
usuario. Los dos últimos sólo están visibles marcando la opción Específico de la propiedad
pues, como su propio nombre indica, son específicos del objeto usuario.
Una vez marcadas las tres opciones, haga clic en Siguiente.
Aparece una ventana que resume las opciones seleccionadas durante el asistente de
delegación. Haciendo clic en Finalizar se modifican las ACL en el contenedor
seleccionado.
Puede enumerar y definir una autorización directamente desde la consola de Usuarios y
Equipos Active Directory. Para ello debe activar las Características avanzadas en el menú
Ver de la consola. A continuación, visualizando las Propiedades del controlador o del
objeto delegado, aparece una pestaña Seguridad que le permite visualizar y modificar la
seguridad directamente desde este lugar.
Observe, también, que desde el Centro de administración de Active Directory (DSAC.exe),
no existe ningún asistente de delegación disponible, aunque puede visualizar la seguridad
implementada en una OU específica seleccionando la opción Ver de las propiedades de la
OU en cuestión.
Una vez realizada la delegación, es habitual que se distribuya una consola MMC
personalizada a los usuarios afectados. Para ello es necesario tener instaladas las
herramientas RSAT en los puestos de administración.
La ventaja de tener una consola MMC personalizada es que estos usuarios sólo tienen
acceso a una visión limitada del Active Directory. También es posible definir de forma
exhaustiva las acciones disponibles (en nuestro ejemplo, serían las opciones de
reinicializar las contraseñas de los usuarios y desbloquear su cuenta). Encontrará más
información acerca de la forma de crear una consola MMC personalizada en la siguiente
dirección (en inglés): http://technet.microsoft.com/en-
us/library/bb742441.aspx#XSLTsection126121120120 o también
http://social.technet.microsoft.com/wiki/contents/articles/2816.how-to-create-custom-mmc-
and-add-taskpad.aspx
Aun habiendo configurado todas sus delegaciones, se dará cuenta rápidamente de que no
siempre es sencillo encontrar el documento correcto para saber "quién tiene el permiso para
hacer qué". Microsoft incluye para ello una pestaña que le permite listar las autorizaciones
efectivas de una cuenta o de un grupo de usuarios sobre el objeto que elija (opción
disponible tanto a nivel de los permisos NTFS como a nivel de directorio). Esta opción
puede resultar muy práctica para ver con mayor claridad la delegación implementada, pero
también para paliar problemas de permisos a menudo heredados desde objetos padre
difícilmente identificables. Gracias a esta herramienta, podrá identificar fácilmente los
problemas.
Abra las Propiedades de una cuenta de usuario presente en el contenedor que desee (por
ejemplo la unidad organizativa sobre la que haya definido su delegación en el ejercicio
anterior) y a continuación haga clic en la pestaña Seguridad - Opciones avanzadas -
Permisos efectivos. Recuerde que si utiliza la consola Usuarios y equipos de Active
Directory (dsa.msc), y la pestaña Seguridad no está presente, es necesario seleccionar las
Características avanzadas dentro de las opciones de visualización). Desde la consola
Centro de administración de Active Directory (dsac.exe), tendrá que ir a la opción
Extensiones en las Propiedades de la cuenta.
Haga clic en Seleccionar e indique la cuenta de un usuario (en nuestro ejemplo se trata de
una cuenta de usuario miembro del grupo HotlineUsers).
Se muestran, a continuación, todos los permisos que posee la cuenta de usuario sobre el
objeto seleccionado. En la captura de pantalla siguiente, vemos cómo el permiso Cambiar
contraseña está habilitado.
La delegación de tareas administrativas es, como hemos visto, un elemento importante que
puede integrar en sus procesos administrativos para delimitar de la mejor forma posible el
rol de cada uno.
Securización de la red
La securización de la red de empresa es, también, una etapa primordial de la securización
general de su infraestructura. Esta sección tiene como objetivo presentar las
funcionalidades más interesantes de Windows Server 2012 que le permitirán implementarlo
de la mejor forma posible en su infraestructura de red existente.
1. Network Access Protection
Con Windows Server 2008 R2 apareció una capa suplementaria de red llamada NAP (por
Network Access Protection). Se realiza un control de conformidad sobre todos los
servidores y puestos de trabajo (que soporten esta funcionalidad) antes de realizar cualquier
conexión a la red de producción.
2. El Firewall de Windows
Este módulo de firewall no debe confundirse con el firewall "básico", conocido en entornos
XP y accesible mediante el comando firewall.cpl. El firewall básico no permite definir
reglas para el tráfico saliente, sino únicamente excepciones para el tráfico entrante.
Desde Windows Server 2008 R2, la consola del firewall básico ha evolucionado y
permite habilitar la protección dependiendo del tipo de red a la que está conectada la tarjeta
de red, a saber: "Dominio", "Privada" o "Pública". Cada interfaz de red tendrá asignado un
perfil de-pendiendo de las características definidas por el servicio Reconocimiento de
ubicación de red.
A continuación, seleccione las aplicaciones para las que desea autorizar el tráfico entrante.
Esto presenta una ventaja en comparación a la apertura de un puerto, pues una aplicación
autorizada abre una "brecha" únicamente durante el tiempo de ejecución de la aplicación
mientras que una regla aplicada sobre un puerto deja este puerto abierto durante todo el
tiempo y nada garantiza que la aplicación que escucha en el puerto no es, en realidad, un
malware.
También es posible configurar reglas de firewall desde una consola MMC que permita
configurar, de forma muy precisa y granular, los flujos, tanto entrantes como salientes. Esto
permite adaptarse mejor a la realidad de los requisitos en producción.
Es posible definir una configuración de firewall distinta para cada uno de los tres perfiles
de red existentes en Windows Server. La elección del tipo de perfil se realiza tras la
primera conexión de la tarjeta de red y puede encontrarse en la consola Centro de redes y
recursos compartidos. Puede cambiar esta definición más tarde, desde el Administrador
del servidor - Herramientas - Directiva de seguridad local - Directivas de gestión de
listas de red (será necesario ejecutar un "gpupdate /force" para que se tengan en cuenta, de
manera inmediata, las modificaciones realizadas en el entorno).
También puede conocer el perfil activo (y para el que se aplicarán las reglas de firewall
asociadas) directamente desde la consola MMC de configuración del firewall avanzado.
Va a configurar, aquí, las opciones de manera local en un equipo, pero sepa que podrá
realizar la misma operación editando una directiva de grupo en el almacén descrito más
arriba.
Conéctese de forma local a un servidor o desde puesto cliente con Windows 7/8 con las
RSAT y, a continuación:
Abra la consola Firewall de Windows con seguridad avanzada (wf.msc desde el menú
Inicio - Ejecutar), y haga clic con el botón derecho del ratón en Reglas de entrada y, a
continuación, Nueva regla.
Se abre un asistente que le permite elegir el tipo de regla de firewall que desea crear. Se
ofrecen cuatro opciones:
Observe que también es posible definir una franja de puertos para abrir.
Es posible configurar el ámbito de la regla indicando las direcciones IP origen y destino
para las que se le quieren aplicar. En este ejemplo, puede abrir un acceso completo para
Cualquier dirección IP. Haga clic en Siguiente.
En Windows Server 2008 R2/2012, si elige Permitir la conexión si es segura para una
regla específica, entonces es posible editar esta regla para definir los usuarios y equipos
para los que no se aplicará esta regla.
Observe que si está habilitada la auditoría de las modificaciones de las directivas (mediante
la directiva de grupo Configuración del equipo - Directivas - Configuración de
Windows - Configuración de seguridad - Directivas locales - Directivas de auditoría),
se genera un evento con el número 2004, visible desde la consola Eventvwr.msc en el
registro Firewall que se encuentra en Registros de aplicaciones y servicios - Microsoft -
Windows - Windows Firewall With Advanced Security.
• Acceso a objetos:
• Cambio en directivas:
• Sistema:
Con esta directiva (en particular, Auditar conexión de plataforma de filtrado y Auditar
colocación de paquetes de plataforma de filtrado habilitadas), se produce un evento
4946 presente en el registro de Seguridad cuando se cree alguna regla de firewall.
Verá que muchos de estos elementos afectan, también, a IPsec, puesto que ambos módulos
están integrados en la misma aplicación. Este tema se aborda un poco más adelante en este
capítulo.
También es interesante saber que no se crea ningún archivo de registro por defecto. Puede
resultar útil configurarlo para facilitar la detección de cualquier ataque en su servidor
(escaneo de puertos abiertos), o la depuración que permita encontrar los puertos que es
necesario autorizar para una aplicación concreta (bastará con tener una conexión y
supervisar en el archivo de registro los paquetes que no han sido autorizados).
Para configurar el archivo de registro, haga clic con el botón derecho del ratón en Firewall
de Windows con seguridad avanzada en Equipo local - Propiedades. Haga clic en
Personalizar dentro de Registro. A continuación, puede definir una ruta y un nombre para
el archivo de registro, un tamaño máximo y el tipo de eventos que desea registrar (paquetes
ignorados y/o conexiones de red).
Observe que esta manipulación puede realizarse, también, desde la directiva de grupo y, de
este modo, desplegarla al mismo tiempo que las demás reglas configuradas.
El cifrado de las conexiones mediante IPSec hace mucho más complicado atacar un sistema
orientado a la red. Si un atacante quisiera, por ejemplo, escuchar (mediante un sniffer) la
red durante la transferencia de un archivo entre dos equipos configurados para utilizar el
cifrado IPSec, ¡le será imposible descifrar los archivos intercambiados!
La segunda ventaja del protocolo IPSec consiste en proveer una autenticación de los
participantes y garantizar la integridad de los datos durante el cifrado de red. IPSec puede,
así, autenticar a un cliente de red (mediante una autenticación Kerberos o un certificado,
por ejemplo) antes de permitir inicializar la conexión de red. El ataque de tipo "Man in the
middle" consiste en que un atacante se hace pasar por el servidor a los ojos del cliente y a la
inversa para el cliente a los ojos del servidor. De este modo puede escuchar todo el tráfico
entre ambos participantes (remitiéndolo inmediatamente al verdadero destinatario) y a
continuación recuperar la contraseña del usuario en una fase de autenticación en el dominio
Active Directory por ejemplo.
La autenticación IPSec permite impedir este tipo de ataque autenticando los participantes y
asegurando que los datos no han sido modificados durante su transporte.
Esta autenticación también puede ser muy útil para definir una replicación entre los
controladores de dominio que se encuentran en sitios diferentes y así garantizar la
integridad de la transacción.
Es preciso, también, saber que el protocolo IPSec funciona según dos modos posibles. El
modo transporte o el modo túnel.
El modo transporte de IPSec permite proteger las comunicaciones entre dos hosts de una
misma red privada o entre dos hosts que no están separados por ninguna traducción de
direcciones de red (NAT). En este último caso, puede implantar IPSec Nat Traversal (NAT-
T) con la condición de que el servidor NAT y los hosts soportan NAT-T (consulte la RFC
3947).
El modo túnel de IPSec protege las comunicaciones entre un host y una red, o de red a red.
Este modo es más flexible que el modo transporte.
Esta configuración puede realizarse de forma muy precisa en el mismo lugar que se hacía
en las versiones anteriores de Windows Server, es decir en la directiva de grupo
Configuración del equipo - Directivas - Configuración de Windows - Configuración de
seguridad - Directivas de seguridad IP. La ventaja de esta consola es que puede definir el
tipo de tráfico IP que desea autorizar.
Si, por el contrario, tiene necesidades mucho más precisas que definir (como, por ejemplo,
implementar un filtrado IPsec en su red interna entre dos puestos de distintos
departamentos, entre controladores de dominio, etc.), las reglas de seguridad de conexión
están mucho mejor adaptadas, pues son mucho más fáciles de implementar y permiten, en
particular, filtrar el flujo autorizado a través de esta conexión IPsec.
Puede configurar sus propias reglas de seguridad de conexión desde la misma consola
MMC que el firewall de Windows avanzado.
Se le ofrecen varios tipos de regla. Para tener una visión completa de las posibilidades
seleccione Personalizada y, a continuación, Siguiente.
Cuando esté en este apartado, aproveche para definir la obligatoriedad del cifrado de los
datos haciendo clic en Personalizar en Protección de datos (modo rápido) y marcando la
opción Requerir cifrado para todas las reglas de seguridad de conexión que usan esta
configuración. Haga clic en Aceptar tres veces para volver a su asistente.
También es posible definir desde la consola los Protocolos y puertos sobre los que se
aplicará esta regla, lo que permite definir, de una manera todavía más precisa, el túnel IPsec
creado. Esta operación puede realizarse también mediante el comando netsh.
Defina los perfiles para los que quiere aplicar esta regla. Es posible marcar los tres perfiles.
Como hemos impuesto una autenticación en las conexiones entrantes y salientes, a partir
del momento en que haga clic en Finalizar, ya no es posible mantener la conexión entre
ambos servidores. Conviene, por tanto, crear esta misma regla en el segundo servidor. Para
comprobarlo, trate de hacer ping al equipo que posee, de momento, la directiva IPsec desde
el segundo equipo, y comprobará que no hay respuesta al ping.
Conclusión
Como ha podido ver, Windows Server 2012 R2 posee numerosas funcionalidades de
seguridad avanzada. Éstas no tienen por qué suponer una pérdida de productividad. En
efecto, muchos de estos parámetros de seguridad son fácilmente accesibles y
pueden administrarse de forma centralizada.
Introducción
En este capítulo aprenderá a implementar soluciones para garantizar el estado de salud de
su red una vez configurada y en producción.
Si bien a primera vista puede parecer que las copias de seguridad incremental y diferencial
son muy parecidas, en la práctica cada una tiene sus ventajas y sus inconvenientes.
Una copia de seguridad diferencial necesita menos medios para realizar una restauración.
En efecto, basta con usar la última copia de seguridad completa y la última copia de
seguridad diferencial.
La copia de seguridad incremental toma menos tiempo. Sólo almacena aquellos elementos
que se hayan visto modificados desde la última copia de seguridad (completa o
incremental). El volumen de la copia de seguridad será menor.
Ventajas: las copias de seguridad son más rápidas y necesitan menos capacidad en los
medios de almacenamiento.
Inconvenientes: la restauración es más lenta pues será necesario utilizar más medios. La
restauración requiere la última copia de seguridad completa, más todas las copias de
seguridad incrementales que le siguen hasta el punto en que sea necesario restaurar.
En cualquier caso, es necesario que preste mucha atención a sus copias de seguridad
completas. Son las que van a determinar el comportamiento de las siguientes copias de
seguridad.
Windows integra, desde la versión 3.1, una herramienta de copia de seguridad llamada
NTBACKUP. Con la llegada de Windows Server 2008, se ha visto remplazada. El nombre
de su sucesor es: WSB (Windows Server Backup).
Ya no vuelva a escribir más ntbackup en el menú Ejecutar, pues en caso contrario recibirá
un mensaje de error indicando que la herramienta ya no existe
Windows Server Backup proporciona una solución que permite responder a las necesidades
de copia de seguridad y de restauración. Puede utilizarla para realizar una copia de
seguridad completa de un servidor, también para realizar una copia de seguridad de ciertos
volúmenes, ciertas aplicaciones o incluso para guardar solamente el estado del sistema.
En caso de producirse algún problema grave, podrá realizar una recuperación bare metal
(restauración partiendo de 0).
Puede utilizar Windows Server Backup para crear y administrar copias de seguridad de un
equipo local o un equipo remoto. Es posible planificar copias de seguridad para que se
ejecuten de manera automática. También es posible realizar copias de seguridad puntuales.
Requisitos previos: disponer de un segundo disco duro sobre el que realizar la copia de
seguridad.
En la lista desplegable Seleccionar hora del día, seleccione 23:00 y, a continuación, haga
clic en Siguiente.
En la pantalla que permite seleccionar un tipo de destino, haga clic en realizar copia de
seguridad En un volumen y, a continuación, haga clic en Siguiente.
Existen tres opciones:
El objetivo es, aquí, realizar una copia de seguridad sólo de ciertas carpetas de la máquina
servidor. Esta copia de seguridad se realizará de forma completa todos los días a las 21h.
Deje la planificación por defecto (Una vez al día a las 21h) y, a continuación, haga clic en
Siguiente.
La copia VSS es útil si utiliza otro sistema de copia de seguridad. En efecto, esto deja los
atributos de los archivos intactos. De este modo las copias de seguridad que se realicen con
su programa dedicado no se verán afectadas en su rotación. VSS permite a su vez
salvaguardar archivos abiertos.
La copia de seguridad completa VSS es útil cuando sólo utiliza Windows Server Backup
para realizar sus copias de seguridad. Éste, una vez terminada la ejecución, actualiza el
histórico de copia de seguridad de los archivos.
La herramienta por línea de comandos wbadmin está disponible con las versiones Core y
Completa de Windows Server 2012. Permite realizar las mismas tareas que con la interfaz
gráfica (observará que el título de la ventana de copia de seguridad Windows Server se
llama: wbadmin - Copia de seguridad de Windows Server) del asistente de copia de
seguridad o incluso más.
Wbadmin tiene la ventaja de permitir incluir los comandos en procesos batch. Estos batch
pueden ejecutarse como tareas programadas. A su vez, existe la posibilidad de ejecutar
rápidamente una copia de seguridad sobre un almacenamiento en red. Por ejemplo, la
siguiente línea de comando permite realizar la copia de seguridad del volumen E en una
carpeta compartida de otro equipo:
e. Las instantáneas
Como complemento a las copias de seguridad, puede utilizar las instantáneas (llamadas
comúnmente Volume Shadow Copy). Las instantáneas permiten restaurar los archivos que
se encuentran en las carpetas compartidas de red. Esta restauración se realiza de forma muy
simple y rápida.
Haga clic con el botón derecho en el volumen para el que quiere activar las instantáneas y,
a continuación, seleccione Propiedades.
Seleccione la ubicación del almacenamiento (puede ser interesante seleccionar otro medio
de almacenamiento distinto al volumen desde el que se hacen las instantáneas para utilizar
un medio de almacenamiento de bajo coste como, por ejemplo, un disco duro USB).
Ajuste estos valores en función de sus necesidades y teniendo en mente que sólo se
conservarán 64 versiones de la instantánea.
Puede hacer clic en el botón Crear para crear una instantánea de manera inmediata.
Si intenta ver el contenido de esta instantánea, verá que está vacía. En efecto, las
instantáneas utilizan una imagen en un instante T para realizar la copia de seguridad de los
datos que se han modificado desde la última instantánea. Un archivo que ya existiera en la
instantánea antes de implementar la copia de seguridad y que jamás se haya modificado,
nunca podrá verse en las versiones anteriores.
Para restaurar una instantánea, vaya a la pestaña Versiones anteriores en las propiedades
de una carpeta padre o, directamente, sobre el archivo deseado si todavía está presente (a
continuación se muestra una captura de pantalla que ilustra esta posibilidad).
Ahora que sabe cómo realizar una copia de seguridad de sus datos, vamos a ver cómo
restaurarlos. Para restaurar información utilizando WSB, debe ser miembro del grupo
Operadores de copia de seguridad o del grupo Administradores del equipo.
Especifique el servidor sobre el que se encuentra la copia de seguridad que se utilizará para
recuperar los datos y, a continuación, haga clic en Siguiente.
Seleccione el tipo de dato que desea recuperar y, a continuación, haga clic en Siguiente.
Seleccione los elementos que desea recuperar y, a continuación, haga clic en Siguiente.
La restauración del sistema es la forma más práctica de reparar los roles de servidores
corruptos o incluso de restaurar Active Directory. Preste atención, no es posible realizar
una restauración parcial del estado del sistema.
La restauración del estado del sistema sobre un controlador de dominio realiza una
restauración no autoritaria de Active Directory.
He aquí las etapas que debe seguir para restaurar el estado de su sistema:
Inicie su servidor desde una imagen de instalación (DVD, llave USB, red) de Windows
Server 2012.
Al utilizarse una imagen almacenada en la red para restaurar el sistema, es preciso disponer
de un servidor DHCP que permita obtener una dirección IP válida en la red de trabajo.
Espere a que el sistema reinicie automáticamente para que la restauración termine por
completo.
3. Almacenamiento
a. Conjunto RAID
Existe un método alternativo de asegurar los datos. Muy extendida en los entornos de
servidores y en expansión en entornos particulares, esta tecnología se llama RAID
(Redundant Array of Independent Disks).
En este capítulo sólo vamos a describir los tres niveles de RAID estándar propuestos por
Windows Server 2012 R2, a saber: RAID 0, RAID1 y RAID5. En función del nivel de
RAID elegido, obtendrá:
• Bien un sistema de reparto de carga que mejora su rendimiento (RAID 0).
• Bien un sistema de redundancia que dota al almacenamiento de datos de cierta
tolerancia a fallos de hardware (RAID 1).
• O bien ambas características a la vez (RAID 5).
El sistema RAID es capaz por tanto de gestionar el reparto de carga y la coherencia de los
datos. Este sistema de control puede ser puramente lógico, o utilizar un hardware dedicado.
En RAID lógico, el control del RAID se realiza íntegramente en la capa lógica del sistema
operativo. Esta capa se intercala entre la capa de abastecimiento de hardware (controlador)
y la capa del sistema de archivos.
En el caso de RAID por hardware, existe una tarjeta o un componente dedicado a la gestión
de las operaciones. Desde el punto de vista del sistema operativo, el controlador RAID por
hardware ofrece una virtualización completa del sistema de almacenamiento. El sistema
operativo considera cada volumen RAID como un disco que no conoce sus constituyentes
físicos.
Para poder configurar volúmenes en RAID en Windows Server 2012, es preciso haber
convertido los discos como dinámicos previamente.
Windows Server 2012 y Windows Server 2012 R2, igual que sus versiones anteriores, no
permite configurar el volumen de sistema en RAID 5.
b. Espacios de almacenamiento
Esta tecnología permite agrupar discos físicos y crear discos virtuales sobre ellos. Para las
pequeñas empresas, los espacios de almacenamiento ofrecen la posibilidad de crear un
almacenamiento compartido de bajo coste.
Si bien las funcionalidades son parecidas a las de una SAN (Storage Area Network), los
espacios de almacenamiento son, no obstante, mucho más flexibles de utilizar.
Otra ventaja del uso de espacios de almacenamiento se presenta cuando necesita reconstruir
un disco físico defectuoso. En los sistemas RAID tradicionales, esto puede llevar un tiempo
considerable. Con Windows Server 2012 R2, verá estos tiempos considerablemente
reducidos gracias a una técnica de reconstrucción en paralelo. Este proceso utiliza los
discos sanos restantes para reponer los datos que estaban almacenados sobre el disco
defectuoso. Resulta extremadamente práctico, en lugar de utilizar discos hot spare, utilizar
en su lugar discos de reserva en el espacio de almacenamiento, los cuales pueden
explotarse, de este modo, mediante procesos de reconstrucción en paralelo. Esto permite no
sólo ofrecer un mejor rendimiento de entrada/salida para la actividad de almacenamiento de
la producción (a diferencia de un RAID que suele degradar sobre un sistema SAN clásico)
sino también hacer que su empresa sea menos vulnerable mientras se ejecuta un proceso de
reconstrucción (por ejemplo, durante la reconstrucción de un RAID5 degradado debido a
que un segundo disco se ha vuelto irreparable). Como demostración, Microsoft muestra, en
una sesión TechEd, la reconstrucción de un RAID compuesto por ocho discos de 3 TB en
50 minutos con una tasa de transferencia superior a 800 MB/s.
Windows Server 2012 R2 incluye otras mejoras con los espacios de almacenamiento, en
particular:
A pesar de las numerosas ventajas que ofrece NTFS respecto a los primeros sistemas de
archivos FAT, existe desde 1993. Muchos usuarios de productos Windows Server esperan,
desde hace ya bastante tiempo, una evolución del sistema de archivos del sistema operativo
de Microsoft.
Windows Server 2012 aporta este nuevo sistema de archivos: ReFS, o sistema de
archivos resiliente, que tiene en cuenta muchas funcionalidades de NTFS aunque abandona
algunas de ellas como, por ejemplo, la compresión de archivos, el sistema EFS (Encrypting
File System) y las cuotas de disco. A cambio, ReFS ofrece la verificación de datos y la
corrección automática.
Las funcionalidades claves de ReFS son las siguientes (observe que algunas de estas
funcionalidades se ofrecen junto con los espacios de almacenamiento):
Cada archivo posee su propia información: nombre, atributos, permisos, etc. Pero también
su propio contenido. Si bien los archivos son, en parte, idénticos (secciones A y B), las
porciones similares se almacenan dos veces.
Windows Server 2012 R2 provee una desduplicación de datos mejorada gracias a las
siguientes funcionalidades:
Las pruebas muestran buenos resultados en lo que afecta a la desduplicación de datos (no
sólo en tecnologías Microsoft), aunque se basan, sin duda, en casos particularmente
optimistas.
Haga clic con el botón derecho sobre el volumen en el que desea activar la desduplicación
de datos y, a continuación, seleccione Configurar desduplicación de datos.
Cuando habilite la desduplicación de datos con Windows Server 2012, el retardo por
defecto para realizar la operación de desduplicación de los archivos era de 5 días. Los
archivos se procesan, desde su escritura en el servidor, pasado cierto tiempo, que podrá
adaptar en función de sus necesidades, recursos, y demás condiciones de trabajo.
Con Windows Server 2012 R2, el valor está fijado por defecto a 5 días, y no es posible
modificarlo. En efecto, con Windows Server 2012, los usuarios rebajaban este valor a 3
días, lo que impedía un funcionamiento correcto del proceso de desduplicación, siendo el
valor demasiado bajo (véase la conclusión de los ingenieros de Microsoft al respecto como
resultado del feedback de sus clientes).
También tiene la posibilidad de excluir archivos de este proceso. Por ejemplo, los archivos
mp3 y mp4, sobre los que ya se ha ejecutado un procesamiento previo similar mediante las
herramientas que los gestionan. No resulta, por tanto, útil configurar la desduplicación para
estas extensiones, y el proceso no permite liberar una cantidad de espacio significativa. Del
mismo modo, puede excluir carpetas completas.
Con Windows Server 2012 R2, existe una opción en la configuración de la desduplicación.
Puede, en lo sucesivo, especificar si se trata de un servidor de archivos "clásico" o un
servidor VDI (Virtual Desktop Infrastructure). En función de la opción elegida, las
extensiones de los archivos excluidas por defecto para adaptarse al tipo de servidor (de
archivos edb y jrs para un servidor de archivos; archivos bin, vsv, slp, xml, tmp, hrl y hru
para un servidor VDI).
Haga clic en Aceptar y, de nuevo, en Aceptar para validar las opciones seleccionadas y,
de este modo, habilitar la desduplicación de datos en el volumen seleccionado.
Recurrir a la desduplicación de datos sobre archivos replicados mediante replicación DFS
no supone ningún problema. Sólo se actualizarán aquellas particiones de archivos que se
hayan modificado desde la última replicación.
Siempre puede utilizar una herramienta de terceros para gestionar las actualizaciones de
aplicaciones externas. Tenga en mente que el navegador de Internet y los plugins asociados
(Adobe Flash Player, Adobe Reader, Java, etc.) son la principal puerta de entrada para un
virus. Es, por tanto, importante actualizar de manera regular estos componentes mediante
las directivas de grupo o herramientas externas.
Según su infraestructura, WSUS puede actualizarse a través del sitio Microsoft Update o
incluso con otro servidor WSUS. Los clientes compatibles con WSUS aparecen a partir de
Windows 2000 SP4. Además de los sistemas operativos, WSUS permite gestionar las
actualizaciones de las aplicaciones de Microsoft más corrientes (SQL Server, Exchange
Server, Office, etc.).
Observe que, del lado cliente, Windows 8.1 aporta una mejora. En efecto, cuando los
usuarios de dispositivos reportan o ignoran las actualizaciones del sistema, los dispositivos
pueden no estar en conformidad con las políticas de seguridad de la empresa. En Windows
8.1, Windows Update realiza automáticamente las actualizaciones del sistema. Si es
necesario reiniciar, el usuario que está conectado al equipo se conecta, automáticamente, de
nuevo, y las aplicaciones en curso antes de realizar la actualización se reinician, con la
sesión desbloqueada (utilizando Secure Desktop).
Este reinicio automático requiere que las credenciales del usuario conectado puedan
almacenarse en caché, y que BitLocker esté habilitado y soporte este tipo de reinicio sin
intervención.
2. Instalación de WSUS
A continuación se muestran las etapas que debe realizar para instalar WSUS. Observe que
esta etapa tiene, como requisito previo, una conexión a Internet.
Deje marcadas las opciones WID Database y WSUS Services y, a continuación, haga clic
en Siguiente.
Aquí, WID Database significa que se va a instalar la base de datos de configuración
WSUS en la base de datos interna de Windows (WID por Windows Internal
Database). Para instalar la base de datos en un servidor SQL basta con marcar la opción
Base de datos. Obviamente, no es posible marcar al mismo tiempo las opciones WID
Database y Base de datos. Los administradores que quieran tener un mayor control sobre
la base de datos preferirán utilizar SQL Server.
Haga clic en Iniciar conexión para que WSUS recupere la información disponible para la
descarga (esta etapa resulta algo larga). Una vez realizada la conexión, haga clic en
Siguiente.
Seleccione los idiomas utilizados por los distintos sistemas operativos (en nuestro ejemplo
el español) si no está hecho automáticamente y, a continuación, haga clic en Siguiente.
WSUS descargará, en lo sucesivo, las actualizaciones en todos los idiomas seleccionado.
Prevea, por lo tanto, un espacio en disco acorde al número de idiomas diferentes
seleccionados.
3. Uso de WSUS
Antes que nada, es preciso configurar los clientes para utilizar el servidor WSUS recién
instalado.
Si dispone de un dominio Active Directory, cree una nueva directiva de grupo GPO a nivel
de dominio o de una OU. Si su PC no está en un dominio, utilice el comando gpedit.msc.
Preste atención, piense en especificar el puerto que utiliza el sitio Web de actualizaciones.
Elija a continuación los días y las horas para instalar las actualizaciones.
En este caso se ha escogido la opción 3 para aplicarla a los servidores. Este parámetro
permite gestionar, de manera manual, la instalación de las actualizaciones y la hora de
reinicio posterior de los servidores. Para un equipo de usuario se optará por la opción 4, con
el objetivo de estar seguro de que las actualizaciones se instalan. El usuario tendrá, no
obstante, la posibilidad de posponer el reinicio del equipo si está conectado.
Para forzar la detección por WSUS de un equipo cliente, ejecute desde el puesto el
siguiente comando: wuauclt /detectnow.
Seleccionando una de las vistas preconfiguradas, o una de las que ha creado, tendrá la
posibilidad de aprobar o rechazar las actualizaciones (una cada vez, o por lotes) para
permitir, a las máquinas cliente de WSUS, recuperarlas.
La lista desplegable Aprobación permite ver las actualizaciones que ya han sido aprobadas
o no (en el ejemplo, lo están para un grupo de equipos: Instalar (1/25).
La lista desplegable Estado permite ver las actualizaciones que no han podido instalarse en
todas las máquinas o que presentan algún problema en su instalación
También es posible obtener informes detallados acerca de las actualizaciones. Para ello
basta con ir a la pestaña asociada y seleccionar el informe a visualizar.
Es preciso haber instalado Microsoft Report Viewer 2008 para poder consultarlos. Está
disponible en la siguiente dirección: http://www.microsoft.com/es-
es/download/details.aspx?id=577. Aparecerá un mensaje, de todas maneras, indicándole
que necesita esta herramienta si quiere visualizar un informe desde la consola de
administración WSUS.
Existen informes preconfigurados a su disposición. No tiene la posibilidad de crear nuevos.
Los modelos preexistentes se generan bajo demanda, de modo que se pueda disponer de la
información más actualizada posible.
Conclusión
En este capítulo ha visto los elementos esenciales para dotar de seguridad a su parque
informático. En los aspectos relativos a la seguridad informática es mejor adoptar una
actitud proactiva y anticipar los problemas e incidentes a los que deberá hacer frente.
Ganará en rapidez para devolver su infraestructura a un estado productivo en caso de que
ocurra algún problema importante.
Prevenirse frente a amenazas como los virus, la explotación de fallos del sistema y demás
contrariedades resulta también imprescindible. Conservar sus aplicaciones siempre
actualizadas permite corregir los defectos de las mismas. WSUS es gratuito, aprovéchelo, le
facilitará en gran medida la difícil tarea de la gestión de parches de seguridad de Microsoft.
Ya no necesita acceder individualmente a cada PC para controlar el estado de las
actualizaciones, ni tampoco para forzarlas. Todo ello se puede administrar en lo sucesivo de
forma remota, centralizada y simplificada.
Más allá de Windows Server 2012 R2 y
Windows 8.1
En el momento de escribir estas líneas, existe poca información disponible sobre las
próximas versiones de Windows 8.1 y Windows Server 2012 R2.
Este enfoque, mucho más modular, tiene la ventaja de que desvincula al sistema operativo
de las funcionalidades propuestas. Esto aportará una mejor reactividad y adaptación a los
cambios para las empresas que ya no estarán obligadas a estudiar el impacto ligado a una
migración de todo el OS sino, únicamente, del módulo que se desea actualizar.
Por supuesto, esta información se ofrece con todas las reservas y es posible cualquier
enfoque cuando se trata de nuevos desarrollos y una adaptación al mercado.
El calendario esperado
Microsoft pretende acortar el tiempo necesario entre la aparición de una versión mayor o
menor de Windows: 2 años entre una versión mayor (2003) y una versión menor (2003 R2,
parecida en 2005) y, a continuación, otros 3 años antes de la siguiente versión mayor
(2008), y así con periodos de 2 años.
Si se mantiene esta cadencia, permitirá evitar versiones intermedias, y evitar a los usuarios
que se habitúen a una versión específica como ocurrió con Windows XP, pero también
responder a sistemas competidores como Apple donde aparecen nuevas versiones de forma
regular.