WS2016LABS — Winoows Staves 2016 - nm cneves 4 copyricnT 2 ri NES Y Mt 4 & sistema, wo 6.1. Winbows SeavER 2016 Vs WINDOWS 10 (62. CAMnI0S EN CONHOST.EXE 663. Vensiones DE reRviLes 64. Cantos pROoTOCOLO SI 65. Active MeMoRY DUMP ¥'1POS DEDU {6.6 ORDEN ENLACE ADAPTADORES DE RED. 6:7, NUEVOS PARAMETROS COMANDO COMPACT 671. CowPRESIONLZX. 55.7.2, PARAMETRO"CoMPACTOS_— ‘68, SecuRiDAD: Device GUARD V CREDENTIAL GUARD, (68.1 (PARA QUE SIRVEN? 682. Reguistos (683. ;COMO FUNGIONAN? 6.84. {COMOSECONFIGURAN? G85, TRESPUNTOS HAsiCos 69. SEGURIDAD: ANTIVIRUS 6:10, "ACTUALIZACION ENCIAI™ A 6.1, ViRTUALIZACION ANIDADA SAL. sTRODUCCION 6.112 Mara concerniAaL ca (6113 Exrowan FLAG OF CPU REFERENIES ALA VIRIUALIZACION CHYPERCV™ ¥ 016 “VniWane™) 6.114 CONSIDERACIONES ADICIONALES 612. Wee (6.13. WNDOWSTNIAGING AND CONFIGURATION DESIGNER (CD). 2, POWERSHELL Vs 45 Ei Vanswonie v9 fs cA EV CID SA 72.1. MaNIMULACiON DEL TORTAPAPELESDE WINDOWS 45 122. Compare yDESCOMPRIMI 46 723, FoaMaroNEXADECIMAL a 124 LiMPIAR PAPELERA DE RECICUATE a7 7225, SxILAST DE sELECr-owtEcr a7 1216 SYMLINK, HARDLINK ¥ JUNCTION 8WS2016LABS ~ Winoows SenveR 2016 ~ cranes 72.7, Pawkmerko Der 49 128. Visor DE Loa DE WINDOWSUPDATE ~ 129, Gev-tremPRoPeRTYVALUE iO) 13. GPOS RELACIONADAS CON POWERSHEL 50 ra psc. 83 18. ONeGET 86 751. INTRODICGION 36 7552. FuNcIONAMIENTO 37 1753, ERODE FUNCIONAMIENTO T PSMODULE 38 7554, Byer De FUNGIONAMIENTO 2: CHOCOLATE 59 7 PoweRsimeL Dinzcr st [NANOSERVER. a 1, CaRACTERISTICAS 6 £82, LABORATORIO: NSTALAGION SOBRE VMWARE (WORKSTATION VIO ESXI), se 5.3, LAHORATORIO: ADMINISTRACION REMOTA 7 ef LABORATORIO: INSTALACION ROLES 78 BL INSTALAGION OFFLINE 15 1.4.2. INSTALACION ONLINE 76 5, SYSINTERNALS PARA NANOSERVER 7 % ConrENEDoRES —____ 9:1. MAQuINAS VIRTUALES VS ConTeNEpoRES____ 8 92. IMAGENES y IPOSDE-CONTENEDOR, at 83. INSTALACION. 83 94, PRU De CONCEFTO: CONTENIDOR CON TS 86 95, ADMINISTRACION 88 951, VER VERSION CLINE ¥ SERVIDOR 88 95.2. INFORMACION SORE EL SERVICIO 88 9553. LISta DE CONTAIERS ACTIVOS 99 954, Lista 8 70008108 CONTAINES 9 95'S, DETENER UN CONTAINER 99 9.5.5, BORRAR UN CONTAINER 9 95.7, CREAR UN CONTENEDOR A PARTIR DE OTRO. 89 958 Vek Los PROCESS DBL INTERIOR DE UN CONTENEDOR. 90 95.9, EXPORTAR/IMPORTAR UNA IMAGEN A FICHERO 90 95:10, DescanGn,INSTALACION ¥ EJECUCION DE OTRAS MIAGENES DE CONTAINERS 91 96, WINDOWS SERVER CONTAINERS VS. HYPER-V CONTAINERS, 3 40, Muwaryponsp 93 94 103. Lanoratonvo. 4 “UL, DNSSERVER, 99 114, SucERENCIAS RAIZIPV6 99 113: Resrose RATE LIMITING 00WS2016LABS - Winoows SeRvER 2016 ~ um cn 113. Pouicies 102 13.1, CaNDICIONES FOSBLES EN LOS FILTROS 102 1.32, PASOS GENERALE A SECUIR tec 133, ESCENARIODE EIEMPLO I: DISTINTA RISPURSTA SEGU® RED TPP ORIGEN 1.34, EscENARIODE EMPLO 2: RECURSIVIDAD SELECTIVA 1.35, ESCENARIODE BIEMPLO 3+ BALANCED DE CARGA. 7 wa tt 2A INSTALACION ¥ CONFIGURACION INICIAL 114 12.1: PaSO1:INSTALACION i 18 12.12! Paso2: PROVISIONAR IPAM. us 12.13. Paso3: SenvER DIscovERY 116 12.1 Paso: GPOS. 6 1.15. PaS05: CONFIGURAMOS SERVIDORES A NONTORTZAR ut 12.2, FUNCIONALIDADES CON WINDOWS SERVER 2016 ue 1221, DNS SeaveR us 122° ROLES POLICIES 9 13 uso 2 13.1. TARLA DE VERSIONE 132.Soronre “HTTP” TRB AcERCADE*HTTP™ 13:22. BlewPLo ne pevecewN HTTP 133 Noveoaoes, |B, ENCABEZADO DE HOST CON COMODINES 15.32. No MOSTRAR EL SERVERHEADER, mugenyeR 14.1, GPO: ENABLE WINS? LONG PAHS 17 142'Stowoine 129 143 REFS 130 14.3.1, NUBVA VERSION WIS 130 1432."BLock CLONING” 132 1456, Depurticacton 134 14.4.1 FUNCIONAMIENTO V FUESTA EN MARCHA Be 1184.2, PUNTOSA TENER ENCUENTA Y RECOMENGACIONES in 145. Stonace REPLICA mat 1451, CaRAcTERISTICAS REQUITOSY Hpos tT 18552, LanoRATORIO: STORAGE REPLICA: SERVER TO SERVER 13 14.6 SroRaGE Sraces 147 1.6.1, LaaoieaTOao: INTRODUCEION V CONFIGURAGION FASDA PASO a7 15.6.2, LABORATORIO: PRUERA Y DETECCIONDE LA REDUNDANCIA 155, 14.62, LaaowaToaio: AMPLIAR EL VIRTUAL DISK. 137 18.64, Orrize-STORAGEPOOL EN WINDOWS SERVER 2016 159 14.65, Stone DeRs Orrizarion zi 160 19466. FRMWARE UPDATE DE Los DISCOS 162 143. MSCs“WS2016LABS - winoows SexvER 2016 — um cone 15:1, SouRE NIVELES FUNCIONALES EN WINDOWS SERVER 2016, 168 182, SOBRE LA REPLICA DEL SYSVOL EN WINDOWS SERVER 2076 19 182.1-CRoNOLOGIA DH FRS Y DES-RENSYSVOL. 170 15.22. ,S1 No TENEMoS DCS CON WIN2003, NO TENEMOS REPLICA FRG? m1 1523. Veuineacion oe. no De REPLICA DeL SYSVOL. 13 152. Minearionsn nftien SYSVOLnF FRS A DFS-A 176 183, LaboeaORIO: MIGRAR DC WIN 2008 2 4 DC WIN20T6 182 15331, BSCENARIO 182 133.2. VeRInCACIONES PREVA 182 1533, PRonociOn DC2 (W206) PASOS A SEGUE 185, 133.4: DNS: PRE-Deserowoci6w De DCI (Wr2008R2) 193, 1535: REPLica: PRE-DeSmROMOCION DE_DCI (WIs2008H) 194 1536, ROLES FSMO: PRE-DesrgoMoCiON DE DCI (WIN200872) 195, 153.7. CarALoco GLOBAL: PRE-DEsHoMOCION O& DCI (WIN200ERD) 197 15.38, DespnoMociON DCI (Win2008R2): PASOS ASEGUIR, 198 15:4 UNC HARDENING. 200 185, NOVEDAD: CADUCIDAD EN LA PERTENENGIA A UN GRUPO. 202 “16, PROXIMAS PUBLICACIONES 2042. PROLOGO En el ano 2012 pubique mi primer sibro sobre Windows Server 2012 y le lame weszarzass, ‘Antes de que lo pubicase, en esa ézoce, impartia cursos sobre Windows Server 2008, Exchange Server 2007 y empezaron a aparece ls versiones beta de Windows Server 2012 las empece a pobsr Como tengo bastante mala memoria, tendo a documenta todo aqualo que voy ‘prendiondo y por oo lado también tania en mente que seria necesario rehacer tod temario del curso de Windows Server, nuevos laboraloros, nuevos concepios, nuevas. funcionalidedes, [Asi que poco a poco fue aparecienco un documento de Word con todos mis apuntes y ppens6: so mejoramos, Io expicamos con ms detale, podrlamos hacer un ibro ast fue. {Donde pubiicaro?, deci uitzr la edtorial de autopublicacén Lulu, donde Josep. Fos habia publcaco su ibto sobre vituaizacién y al ue agradezco una vez mas Su estuerzo desinteresado de dtusion de todos mis Horo. “También aprovecho para agradecer otros bloggers por su Wabalo desinteresado en la dtusion Ge mis lidos, muchas gracias a todos! Como WS2012LABS tuvo mucho éuitoy yo tenia que rehacer temario de otros cursos, {ui trabajando con otros tiles: Exchange, GPOS, Linux, FleServer. Veeam, te Todos tuvieron mucho mas éxito del que yo me esperaba, ast que fue faci! encontrar motwvacion para eserbiendo nuevos tule. ‘Siempre en cada publcacién, el principal objetivo es que el lector pueda aplicar los ‘onocimiantos adguiridos en el entorno empresa, Y legamos ls sctuaidad, nueva version de Windows Server y nuevo lero: ws20ToLABs. Un vez mas, encontrareis un libro basado en laboratoros paso a paso para explcar as oveddes inrocucisas en Windows Server 2016 ‘Como acurrié en ol tro WS2012LABS no 8s posible recoger todas las novedades que ‘ncorpora esta nueva versin de Windows Server explcadas con detalle y mediate el {uso de laboratorios con ejemplos pracicos, asi que se ha realizado una seleccion de las nuevas funcionaldades a expicar,siguiendo ol crtero de priorizar todas aquellas ovedades que podames implementar en nvesto enor de laberatono y empresa, ‘spre que distteis sulecturat3. PRESENTACION ECuél es el objetivo del bro? + El objetivo de esta publicacién es formar al lector para disenar, implementer yy administer de forma préctica las novedades iniroducidas con Windows Server 2016, construyendo una infraestructura sélida, robusta y fable Cus es a estructura del libro? “+ El libro esté estructurado en varios médulos donde se abordan- las novedades introducidas con Windows Server 2016, siempre desde un punto de vista practico y orientado a empresa. Sobre 6! autor? + Administador de sistemas: Entomos Microsoft, GNU/Linux, VMware, entre ‘lros desde el afio 2000. + Formador de tecnologia: Windows Server, Exchange, VMware, entre otros desde el afio 2006. ‘+ Autor del blog: hitpiliwi.sysadmit.com + Escritor de libros sobre IT: WS2012LABS, EX2013ADM, GPOIT, WFS, ADIT, LinuXe, VBESXi, EX2016ADM desde el afio 2012. £Guél 6s el enfoque del oro? + ES = Libro de trabajo, en formato Ad, de cémoda lecture, = Fundamentalmentapréctico, claro y concise. = Laboratori y escenaros propuestos de fécl despliegue. = Otientado a la posterior implementaci6n en una red pequefia, mediana © oranda, + NOES: = No se recogen todas las funcionalidades del producto. ~ No esté orientado @ la cartificacién oficial, pero si encontrarés contenido para complemantar cierios temas de la cerificacionWS2016LABS ~ Winoows Senvex 2018 — 4. COPYRIGHT WS2016LABS ~ Windows Server 2016 ISBN 978-1-326-81623-0 ©2016 - Xavier Genestés Git Reservades todos los derechos. Esta publicacion esta protegida por las leyes de propiedad intelectual. 'No se permite distrbuir ni parcialmente, ni totalmente, la publicacién a través de cualquier medio, soporte, sin autorizacion expresa del autor. Todas las marcas, nombres propios, que aparecen en el libro son marcas registradas de sus respectivos propiolaros, siendo su utlizacién realizada ‘exclusivamente a modo de referencia El autor del libro no se hace responsable de los problemas que pueda causar fen su infraestructura, siendo responsabilidad de los administradores. de sistemas realizar las copias de soguridad, planes de contingencia y laboratorio de pruebas previo antes de aplicar cualquier cambio en los servidores de produccign.WS2016LABS - winoows Senven 2016 ~ san cme 5. EDICIONES Y LICENCIAMIENTO Con Windows Server 2016 se presentan las siguientes ediciones: Windows Server 2016 Datacenter Windows Server 2016 ‘Standard ‘Windows Server 2016 Essentials Lcenciamiento por core. Se requieren CALs de Windows Server, Licenciamiento por core. ‘So requioren CALs de Windows Server, Licenciamiento por socket. No se requieren CALs de Windows Server. Hasta 25 usuarios / Hasta 50 dispostvos. Windows Server 2016 Licenciamiento por socket. Se requieren CALs de Windows Server. Entomo académico. Solo disponible con licenc -volumen, icenciamiento por socket. No se requieren CALs de Windows Server. Solo disponible con licencia OEM. Producto gratuito: El sistema operativo con ‘lol de Hyper-V. Las VMs con Windows dentro de Hyper-V, deben lcenciarse. ‘Windows Storage Server 2016 MultPoint Premium Server | Microsoft Hyper-V Server 2016 . Licenciamento por “core’, significa que hemos de licenciar cada “socket” teniendo en cuenta el numero de “cores” que tiene cada “socket” licenciamiento por ‘core’, lo encontraromos en las ediciones: “Standard” y ‘Datacanter’ ‘Si comparamos con versiones anteriores de Windows Server, existen dos ‘grandes cambios respecto al licenciamiento: 1 Funcionalidades distintes entre Standard y Datacenter En Windows Server 2012 y Windows Server 2012 R2, las ediciones Standard y Datacenter alsponian oe las mismas funcionalidaces, solo cambiaba el numero «de maquinas vituales que era posible licenciar por socket. Con Windows Server 2016, ademés del niimero de maquinas vituales que es posible licenciar, las funcionalidades diferen entre la edicion Standard. y Datacenter,WS2016LABS - Winoows Serves 2016 Funclonalidades: Standard VS Datacenter Datacenter Gore fonctonalty of Windows Sever Direct and Storage Replica ‘Shielded Virtual Machines ‘Networking stack 2) Licenciamiento por Core: Standard y Datacenter Por primera vez, Microsoft licencia Windows Server por “core” en vez de por socket” Las reglas para licenciar por “core” son las siguiertes: = Todos los “cores” de un servidorfisico deben ieenciarse ~ Anivel de licenciamiento: Es indiferente si el servidor fico dispone 0 no de hypertheading | minimo de cores a licenciar por cada host fisico son 16 y el minimo de cores por cada socket es de 8, La equivalencia a nivel de costes es: = Elcoste de licenciar 1 socket de Windows Server 2012 R2 equivale al coste de licenciar 8 cores en Windows Server 2016. En servidores donde tengamos mas de dos sockets fisicos 0 donde se disponga de mas de 8 cores por socket es donde existe un sobrecoste en relacion al icenciamiento de Windows Server 2012 R2. Algunas consideraciones adicionales. Los contenedores de Hyper-V (no los Windows Server containers) requieren ‘del mismo licenciamiento que si se tratara de una maquina virtual = Nano Server es considerado come si fuera un nuevo método de instalacién {de Windows Server y por tanto requiere de licencia, = Igual que con versiones anteriores de Windows Server, es necesario ‘comprar CALS.WS2016LABS - winoows Senven 2016 ~ sae coer 6, SISTEMA 6.1. WINDOWS SERVER 2016 Vs WINDOws 10 La version RTM (release to manufacturing) de Windows Server 2016 no integra luna serie de componentes que si integra Windows 10. La idea es que con Windows Server 2016 no so intogren componentes de la versién desktop sobre los cuales Microsoft reaiice acivalizaciones constants. Ejemplos de componentes que no encontraremos en Windows Server 2016 y sien Windows 10: ~ Navegador Edge: Con Windows Server 2016 RTM solo encontraremos: Internet Explorer, ya que Edge recibe muchas actualizaciones, = Cortana: Este componente recibe actualizaciones constantes, asi que no lo ‘encontraremos en Win2016. = Siore_v Madam Apos: En Win2016 no disponemos ni de la tienda de apps, fl de las apps instaladas en Win10 como: Mail, calculadora, calendario, entre otras. Si que encontraremos las aplicaciones desktop, como nepaint .exe, calc.exe, etc. La diferencia entre las “modem apps" y las aplicaciones de desktop es que las "modem apps" se actualizan muy menudo, ‘A pesar de no encontrar instalados estos componentes en Windows Server 2016, si encontraremos GPOs (directivas de grupo) para desplegar ‘configuraciones de estos componentes sobre sistemas operativos Windows 10. 6.2. CAMBIOS EN CONHOST.EXE Tanto los intérpretes de linea de comandos: cnd.exe como powershel1.exe, ublizan: conhost .exe, EI proceso conhost.exe (Console Window Host), es el encargado de ‘administrar la entrada y salida de caracteres hacia la consola, Conhost.exe s@ introduce por primera vez en Windows Vista y Windows ‘Server 2008 y se comparte el proceso para todas las sesiones de cmd.oxe y powershell .exe, A partir de Windows 7 y Windows Server 2008 2, al lanzar una ventana de cond .exe 0 powershe!1.exe, se lanza también para cada sesién, un proceso conhost exe -10-WS2016LABS ~ vinoows Seaver 2016 Por ejemplo: Si abrimes dos ventanas cnd.exe y dos ventanas de PowerShell .exe, tendremos cuatro procesos coniost .exe En Windows Server 2016 y Windows 10 se intraducen una serie de mejoras en dentro de conhast .exe Podremas examinar las mejoras si realizamos un a:ceso directo a cnd..exe 0 bien a powershell.exe, hacemos propiedades sobre el mismo y ‘examinamos las opciones de cada pestafa, Propledades sobre un acceso directo a: CW. exe Postafia “Opcio Windows 01, Windows Server 2012 Re ‘Windova 70, Windows Sover 2076 \Veamos una lista de los cambios: 41) Modo edicidn rpida (quickedit) activado por defecto: En versiones anteriores @ Windows Server 2016 0 Windows 10, el modo edicién répida (quickedit) estaba disponible, pero esiaba desactivado. woe ae Modo edicién rape (auicked) Nos permite seleccionar texto} con tan solo hacer clic con el botén izquierdo del ratén. Ya no es necesario acudir al ‘mend, “Editar, "Marcar’. -1tWSZ2016LABS - winoous Server 2016 2) Habiltar accosos ditectos con ta tecla ctr: Nuova funcionalidad introducida y activada por defecto en Windows Server 2016 y Windows 10. Nos permite hace" uso de las combinaciones de teclas: CONTROIAC y CONTROL para hacer “copiar-pegar” de texto en la consola, Sin esta funcionaldad, al hacer CoNTROL‘V en la consola, aparecia el siguiente simbolo: "v pre-WintO/ pre-Win2016: CONTROL en una ventana CMD Peo i ins Ry Pee aa coisa Igual que en versiones anteriores, también podemos utilizar la combinacién de ‘teclas: CONTROL+C para cancelar un proceso. ‘Ademds de CONTRCLIC y CONTROL+V, disponemos de mas combinaciones de ‘teclas para realizar ditintas acciones, veamos algunos ejemplos: ‘Combinaclones de teclas con CONTROL [+ Muestra el cvadro de didlogo de buscar. (CTRL + Flecha sriba |» Realize un scroll de una linea hacia ariba. = Realiza un scroll de una lines hacia abajo er * Realiza un scroll de pantalla hacia el inicio Tee ie) de la sesién de console, cane > Cambia al modo “pantalla completa’ o sale’ CTRL + Enter del modo “pantalla completa’. Jems hacer lo mismo, con Ia tects Ft, * Cambia al modo “seleccién de texto’, all s no tnomos acvado el mado ecictn ride CTRL#SHIFT+ Flecha arriba > Seleccion de texto: Selecciona linea de abajo. CTRL+SHIFT+ Flecha abajo -12-WS2016LABS ~ winoows Senver 2016 ~ 3) Autoajuste del texto ala ventana: De forma predeterminada, l redimensionar la ventana, se ajusta el texto de su interior al nuevo tamafio. En las propiedades de! acceso directo, pestafia “disefio", encontraremos la ‘opeién marcada: “Ajustar la salida de texto al cambiar de tarmac’ A) Aiuste de linea (Word wrap): De forma predeterminada, se efectuaré ajuste de linea para que no sea ecesario realizar scroll para leer toda la informacion mostrada. 5) Conversion de comilas (“Ly eliminacion de tabulaciones: De forma predeterminada, disponemos de la siguiente opcién activada: “Firar el contenido del portapapeles al pegar” ‘Con esta opcién activada, al hacer copiar-pegar desde el portapapeles a la ‘consola, se corregiran dos aspectos: = Se eliminarén las tabulac = Se cambiaran la comillas 9s (TAB), ‘comillas regulares. Ejemplo: 7 Alatar copper dale nls a OUD, win i abdacn dries ja segunda ine, son His raul 6) Aumento de los valores predeterminados: buffer y tamafio de la ventana: Por defacto, en Windows Server 2018 y Windows 10, el tamaiio del buffer es de 9.000 y el tamario de la ventana es de 120x30. -13-WS2016LABS ~ Winoows SenveR 2016 ~ runes Propiedades sobre un acceso directo a: CW.exe Pestafa “Disoio™ Winds Wins Sonar 20T2 Ra [Wade Tons Saver Te fe ite sat — oe oto aa Re fore | hata stow eer ‘ated vote a a ee nes Re: be Ty Opacidad: En a pestaia "Colores", encontraremos una nueva opcién: “Opacidad’ Con esta opcién, podemos defnir la transparencia de la ventana. ‘Si configuramos su valor a: 100%, desactivaremos esta funcionelida. Postafa "Colores": Opacidad ‘También podemos configurar el % de opacidad, ullizando combinaciones de teclas: + Incrementar transparencia (reducir opacidad) CTRL#SHIFT+"Signo més" o bien: CTRL*SHIFT*rueda del ratén hacia arriba ‘+ Recudirtransparencia (eumentar opacidad): CTRL+SHIFT*"Signo menos’ o bien: CTRL+SHIFTrueda del ratén hacia abajo" iatWS2016LABS ~ Winoows Seaver 2018 ~ x 8) Rama cel coaisto: De forma predeterminada, todos los valores que configuremos en ta consola como la fuente, etc se guardan en forma de claves en el registro en la siguiente ([REY_CORREWT_USER\Console i Q)-Usar la consola heredada’ Para utlizar la consola sin todas las mejoras descritas en los puntos anteriores, podemes marcar la opcién: ‘Usar la consola heredada’ en la pestafia ‘Opciones De esta forma, dispondremos de las mismas opciones que con la consola de: versiones anteriores de sistema operative, 6.3. VERSIONES DE PERFILES Windows 10 y Windows Server 2016 introduce una nueva versién de perf, Si disponemos de perfiles méviles, estos no serén compalibles con versiones. anteriores. Correspondencia: Versiones de perfily sistemas operatives Version pert ‘Sisteme operative, Windows NT ‘Windows 2000, Windows Servar 2003, Windows XP ‘Windows Vista, Windows 7, Windows Server 2008 ‘Windows Server 2008 R2 Windows 8, Windows Server 2012 Windows 8.1, Windows Server 2012 R2. Windows 10, Windows Server 2016WS2016LABS ~ Wnnoows Setvek 2016 ~ va caerss 6.4. Campios pRoTocoLo SMB Con Windows Server 2016 y Windows 10 se introduce una nueva version de protocolo SMB:3.1.1 Canrespandancar Veteran de SHB y Sato SpeTATVON Taser Su Siero operative [344 | TWndows 10, Windows Sever 2076 ‘Windows 8.1, Windows Server 2012 R2 ‘Windows 8, Windows Server 2012 oa Windows 7, Windows Server 2008 R2 2.0.2 ‘Windows Vista, Windows Server 2008 41 \Versiones anteriores Cada versién de SMB, incorpora novedades respecto a la version anterior. ‘A partir de PowerShell version 3, incuida en Windows Server 2012 y Windows '8, dsponemos de varios cmel-ets para adminisrar el servicio. Con 01 cmdlet Get-snbserverConfiguration, podemos ver las propiedades de nuestro servidor SMB. a informacion de sada tras la ejecucién dal cmd-le, ha sido recortada ‘Sirevisamos la configuracién del protocolo, podemos ver: Gat-Sabserverconfiguration Por defecto, las conexiones SMB 1.0 Auditsnbinccess airy | aay ceterta es cone Eaableswbiprccoscl | True | E|protocolo SMB 1.0 esté activado, EnablosnbzProtoce: | T2ve [El protocolo SMB2.0 est actvado. Tnabledplocks ELbloqueo de fcheros esta acivado 7 |-ente2 06 = True Requiresecuritystonature | 7=%6 / |- En equpos affadides al dominio False -18-WS2016LABS ~ winoows SERVER 2016 ~ ann dren ‘Si quisiéramos aualtar las conexiones SMB 1.0, podriamos activar su auditoria de la siguiente forma: Las versiones de protocolo SMB se autonegocian entre clentey servidor SMB. Siempre se negocia a la version més pequeria. Por ejemplo, entre un Windows Server 2016 y un Windows 7, ls versién SMB. (ue se ulizara sera la version 2.1 La version negociada puede verse con el emd-let: Get~SnbConnection Si sobre un Windows Server 2016 0 Windows 10, realizamos una conexi6n ‘SMB local un recurso compartido y buscamos a propiedad ‘Dialect’ de la ‘conexion, veremos la versién 3.1.1 ears otro ejemplo: CConexién SMB al recurso compartido cs del equipo c7 (Windows 7), la versién negociada es 2.10. FE Gy Se GTS [Oem 7 ae Seance arenas TERR oeWS20161ABS ~ wnnoows Sener 2016 ~ rave cues 6.5. ACTIVE Memory DuMP Y TIPOS DE DUMP Con Windows Server 2016 y Windows 10 se introduce una nueva opcién en la lista de tipos de voleado de memoria disponible: “Active Dump. Los ficheros de volcado de memoria (+ .oMP) sirven para poder diagnosticar problemas después de un crash del sistema operativo. El tipo de volcade de memoria “Active Dump" esté pensado para hosts con el rol de Hyper-V. Si por ejemplo disponemos de un host con Windows Server y el rol de Hyper-V ‘con 128GB de RAN, un voleado de memoria completo, generaria un fichero de 12868, Con “Active dump" se fran muchas paginas de memoria ullizadas por maquinas virtuales, con lo que reduce el tamario dol fichero en ~aproximadamente un 10% respecto al tamario de un volcado completo, ‘Sistema > Configuracién iene emp avanzada del sistema > (Ce pan pen pestafia “Opciones favanzadas” > “inicio y ecuperacion’ > botén Birerinemie engined ‘Configuracion”. acne amasonet eee nos sitvamos en: “Inicio y recuperacion” > botén *Configuracién’. La configuracién dl tipo de volcado de memoria, queda quardada en la siguiente rama del registro: RIM: \System GcrrentcontreiSet Control Gra saa “También disponemos de los siguientes tipos de volcados de memoria -18-WS2016LABS ~ Winoows SenvEs 2016 — rn 1) Automatic Memory Dump. “Automatic memory dump" es la opcién predeterminada a pattir de Windows. Server 2012 y Windows 8. ‘Continua siendo la opcién predeterminada en Windows Server 2016 y Windows 10, Este tipo de volcado de memoria es igual que el "Kernel Memory Dump", pero a Su vez, es capaz de reduc el tamafo del fichero de paginacién (pagefite. sy) :\Windows emery. dap or defecto, la ubicacién del ichero de dump es: Enel siguiente volcado, se sobrescribir el fichero anterior. 2) Complete Memory Dump EI "Complete Memory Dump’, realiza un volcado completo del contenido de la RAM a fichero, El tamario del fchero seré el mismo que la memoria RAM ocupada, sumando 1MB. or defecto, la ubicacién del ichero de dump es: C: \Hindows Memory .dmp Enel siguiente volcado, se sobrescribir el fchero anterior. 3) Kern! Memory Dump EI "Kernel Memory Dump, realiza un volcado de solo las paginas de memoria asociadas al kernel-mode én el momento del crash. Las paginas de memoria asociadas al kernel-mode contienen una lista de pprocesos que estaban funcionando en ese momento, ademas de la lista de los ‘rivers que estaban cargados en ese momento. Normaimente et tamafio de un fichero de dump generado por un voleado "Kemel Memory Dump" es una tercera parte del tamafio de la memoria fsica. Por ejemplo: Un equipo que dispone de 128GB RAM, el "Kernel Memory Dump" generaria aproximadamento un fichero OMP de: 42GB (28GB / 3), Por defecto, la ubicacién del ichero de dump es: C: \Windowe\venory.dnp Enel siguiente volcado, se sobrescribra el fichero anterior, 19WS2016LABS — winoows Seaver 2016 ~ winx cines 4) smait Memory Dump. 1“Small Memory Bump" ocupa tan solo 64KB y contiene la informacion basica ¥y muy limitada det dump: el cOdigo de error, la lista de los drivers cargados, etc. Por defecto, Ia ubicacién del fichero de dump es la _carpeta: C:\Windows \Minidump y dantro de la misma, cada volcado corresponderd a un fchero. En 1 siguiente vaicado, no se sobrescribira el fichero anterior y se irén ‘acumulando. 6.6. ORDEN ENLACE ADAPTADORES DE RED En versiones anteriores @ Windows Server 2016 y Windows 10 es posible cambiar el orden delos adapladores de red de la siguiente forma: Ejecutamos: nepa.cpl, pulsamos la tecla ALT y apareceré el mend con “opciones. Nos situamos en las opciones avanzadas, y seleccionamos: "Configuracién avanzada’, a continuacion aparece una ventana donde podemos cambiar el ‘orden de los adapladores de red. coroners i terns daa de» Conon nt any cs nn ri lgacterpmzn sohdoin mgnbearainte Este método para cambiar el orden de los adapladores de red via GUI, ya no ‘funciona en Windows Server 2016 y Windows 10, SoneWS2016LABS ~ Winoows Seaver 2016 ~ Si cambiamos el orden de los adaptadores de red via GU y grabamos los. ‘cambios, al volver a abrir la ventana via GUI, veremos que no se han guardado- los cambios realizados. Para cambiar 1a prioridad de los interlaces de red, debersmos cambiar la métrica de los interfaces via PowerShell Por defecto, todos los interfaces de red tienen la misma métrica: Retetat ~rni Dy métrica de interfer Es importante tener en cuenta que un valor inferior de mirc, tiene més Prioridad que un valor de métrica mas alto. -24WS20161ABS — wnnoows Senvex 2016 - sue cnerse 6.7. NUEVOS PARAMETROS COMANDO COMPACT. Encontramas e! comando compact en cualquier sistema operative Windows ‘con soporte para sistemas de ficheros NTFS. sirve para aplicar compresién NTFS sobre las carpetas El comando comps Aue indiquernos. Con Windows Server 2016 y Windows 10, se introducen nuevos parémetros. Podemos ver una lista completa de los parémetros disponibles ejecutando: compact /? 6.7.1, Compresion LZX Uno de los parémetros nuevos del comando compact introducidos con Windows Server 2016 y Windows 10 es: /ExE Con el parametro /EXE, podemos comprimir Jos ficheros aplicando nuevos algoritmes de compresion ‘Se recomienda aplicar el pardmetro /#xe: sobre ficheros y drectorios donde no sea necesaria una escritura constante sobre los mismos. Un ejemplo de etlo, son los ficheros ejecutabes. Los ficheros ejecutables no acostumbran a ser modificados, solo via actualizaciones. Los algoritmos que permite el parémetto /EXE, son los siguientes: xPRESSAK, XPRESSSK, XPRESS16K, LZX Siendo el xeRESS4K ol més rSpido, mientras que 12x es el mas compacto. ‘Algunas considera | comando compact /EXE: = No es un tipo de compresién adecuado para ficheros que cambian ‘constantemente, por ejemplo: icheros temporales, ~ Al acoder a los ficheros comprimidos se produce una descompresién temporal, por lo ‘anto se ullizaran recursos de CPU, RAM y HDD. = Los ficheros comprimidos con el parémetro /EX8, no se mostrarén en azul ‘en el explorador de Windows. = Los ficheros conprimidas ullizando algun algoritmo especificado con el pardmetro /EXE, no podran ser leldos con versiones anteriores de Windows. -2-WS2016LABS - Winoows SenvEs 2016 ~ samc \Veamos un ejemplo: (Conpact VS compact /ExE: 12K peer ERM Sees] Algunos ejemplos mas del comando conpac = Comprimirutizando el algoriime LZX todos 's ficheros y subdirectorios de la carpeta c: \SvsaDuIT: SSAA Ts Fi Jexeilzx = Quitar la compresi6n al. fichero"c:\SySADMIT\SYSADMIT. tes anteriormente comprimido utlizando el algorimo LZX. ‘compact Ju /a Jens "Ci \SYSADMIT\SYSADMIT. pest” Quitar la compresién (algoritmo LZX) a todas los ficheros y subdirectorios. dela carpeta °c: \SYSADMIT" Compact Ju Ta [o Toxo * €r\SYSROUTE — 23WS2016LABS — winoows SeRvER 2016 ~ cum cere 6.7.2. Parkmterso “CompactOS" A partir de Windows Server 2016 y Windows 10, el comando compact .exe dispone de un nuevo parémetro: /Compactos Con “CompactOS", es posible aplicar compresién NTFS a los ficheros que Ccorresponden al sistema operativo. Si ejecutamos compact .exe /2, veremos que el parémetro /Conpactos, dispone de tres opciones: query, always y never. jer nde na vert de CMD come adda: ee oe (Compact.exe /CompactOSialways = Dechert compan eee pace oipadocon arta or eect de Windows 10364: 14368 ee El ahorro de espacio con "CompactOS" en un sistema Windows 10 x64 es de 2,668. Si realizamos el mismo proceso en un sistema operativo de 32bits, el ahorro ‘seré de aproximadamente: 1,5GB. -24-WS2016LABS — winoows Seaver 2016 6.8, SEGURIDAD: DEVICE GUARD Y CREDENTIAL GUARD. Dos funcionalidades sobre seguridad introducidas en Windows Server 2016 y Windows 10 son: Device Guard y Credential Guard, 6.8.1. PARA QUE SIRVEN? = Device Guard sirve para blindar el sistema a ataques de malware. La idea fs establecer un control stricto en la ejecucién de scripts, DLLs, eculables y drivers. . = Credential Guard sive para alslar los hash de los passwords (credenciales) en un contenedor y asi evtar ataques tipo: “Pass the Hash” Solo sirve para credenciales de cuentas de dominio de Active Directory, no para cuentas locales. 6.8.2. Reauisiros Ambas funcionalidades requieren: = Edicion “Enterprise” de Windows 10: Con edicién ‘Professional’, no ‘dspondremos de esta funcionalidad, ~ Sistema operatvo de 64 bits. ~ Femware UEFI version 2.3.1 0 posterior. ~ PU intel VT-x actvado. ~ Sscure Boot activado ~ Requiere habiltar Hyper-V en el sistema operative, 6.8.3. .COmo FUNCIONAN? ‘Ambas tecnologias: Device Guard 0 Credential Guard, utiizan Viral Secure Mode (VSM). \VSM es un contenedor de Hyper-V que aisla el proceso leass.exe (Local ‘Secuity Authority (LSA)) del Kernel del sistema operative, ‘A este contenedor no se tiene acceso ni por red ni con ninguna herramienta de ‘administracion Si el cernel de Windows queda comprometido los procesos y datos guardados ‘en elcontenedor VSM quedan seguros.WS2016LABS ~ winoows Server 2016 ~ uaa creme 6.8.4. {COMO SE CONFIGURAN? ‘Asummimos que disponemos de os requisitos indicados en el punto anterior. 1) Instalar caracteristicas de Windows trol de Hyper-V y ot modo do usuario alsiado, Dentro dal rol do Hyper Las management tools de AV ng ves necesario| Inslataras, — tampoco los componente 2) Configurar Vs Habilamos la siguiente GPO de equipo: Turn On Virtualization Based Security - Situada en: ‘Computer Configuration \ Administrative Templates \ Sysiem \ Device Guard 3) Activamos y configuramos: Device Guard (Opcional) Heabiltamos la siguiente GPO de equipo: Situada en: En la GPO, deberemos indicar la ruta de un fichero (Code Integrity Policy) que ppodremos generar con PowerShell Los cmd-lets de PowerShell para generar el fichero son: New-crPolicy, Merge-CiPolicy, Set-Ruleoption -26-WS2016LABS ~ Winoows SenvER 2016 ~ mana 4) activamos y configuramos: Credential Guard (Opcional) En la GPO de equipo indicada en el paso 2: “Tum On Virtualization Based ‘Secuniy’,disponemos de una opcién que indica: “Enabee Credential Guard Con esto conseguimos que las credenciales queden guardadas en el Contenedor aislado, totalmente separado del Kemel de Windows. Recordemos que solo es itl para credenciales de cuentas de dominio (entomos Active Directory) y que no funciona con cuentas locales. 5) Configuramos Windows 10 para que inicie VSM. vines n CHO como siirsder ecto: 6) Verificames su funcionamiento er ee Sistema > Wininit y veremos: Credential Guard (uca1s0.exe) was started and will protect LSA credentials. Opcién 2: Administrador de tareas (tasknar exe) Ena pestafia detalles veremos el proceso: Isalso.exe 6.8.5. TRES PUNTOS BASICOS 1- Tanto "Device Guard" como “Credential Guard", requieren “Virtual Secure ‘Mode (VSM), por lo tanto, es necesario configurarlo primero. 2. Para que tuncione "Virtual Secure Mode (VSMy" son necesanos una sene de requisites de hardware y de sistema operatvo: la gran pega es que es necesario Windows 10 Enterprise, con la edicién prcfesional no lo tenemos disponible. 3. Mientras que “Device Guard” requiere una configuracién posterior para Policies > Windows Components > Windows Defender ‘+ SiWindows Server esté castoliano: Configuracion del equipo > Direcivas > Plantilas administrativas > Windows | Defender Como existen muchas GPOs dentro del apartado "Windows Defender’, estas stn dvididas por categoria: ‘Actualizaciones de fima, amenazas, correccién, cuarentena, deteccion, texclusiones, exclusones del sistema de inspecci6n de red, informes, interfaz cliente, MAPS, proteccién en tiempo real, sistema de inspeccién de red. Muchas de estas G2Os se aplican también en versiones anteriores a Windows Server 2016 y Windows 10, por lo tanto, encontraremos estas GPOs en las plantilas administraivas de versiones anteriores de Windows Server, Ejemple: Windows Defender: Desacivar proiesdin on fempo eal -30-WS2016LABS ~ Winoows Seaver 2016 ~ tamncnerse 6.10. “ACTUALIZACION ENCIMA” A WIN2016 Una de las opciones disponibies en Windows Server 2016 y versiones. anteriores de Windows Server, es la “actualizacién encima’. Una ‘actualizacién encima” consiste en instalar una versién de sistema ‘operative més actual sobre un sistema operative que dsponga de una versién anterior. Todo y que el método mas adecuado y seguro para actualizar a una nueva version de Windows Server es realizar una instalacion limpia y migrar los sservicias, la "actualizacion encima’ es un método posible. Los requisitos para realizar una “actualizacion encima” z Windows Server 2016 son os siguientes: = Mismo idioma, entre la version origen y destino (Wincows Server 2016). ~ El servidor origen no debe ser un controlador de dominio (DC). = Mismo tipo de instalacon, entre Ia version origen y destino. Por ejemplo, de SorverCore a ServerCore o de ServerGUI a ServerGUl. ~ Misma edicion, entre la version origen y destino: Por sjemplo, de Standard a Standard 0 de DataCentor a DataCenter. ~ Vorsién_minima_de Windows Server_origen: Windows Server 2012. No. podemos realizar una “actualizacion encima’ de Windows Server 2008 R2 a ‘Windows Server 2016, -31-WS2016LABS ~ winoous SenveR 2016 ~ ans coarse 6.11. VIRTUALIZACION ANIDADA 6.11.4, InTRODUCCION Una de las novedades que introduce Windows Server 2016 es la capacidad de virtualizacién anidada, es decir, hacer funcionar un hipervisor dentro de otro hipervisor. Gracias a esta funcinalidad, por ejemplo, podemos configurar ~ Sobre_un hipervisor Hyper-V: Una VM en su interior con Windows Server ‘con el rol de Hyper-V y varias maquinas virtuales funcionando. — Sobre un hipenisor VMWare vSphere ESXi: Una VM en su interior con Windows Server con el rol de Hyper-V y varias maquinas virtuales funclonando. La viraizacién anidada también abre la puerta 2 poder hacer funcionar Contenedores de "Hyper-V" dentro de una VM, De hecho, los contenedoras de "Hyper-V" que veremos con més profundidad fen el apartado de “Contenedores’, son un ejemplo de vitalizacién anidada, Sin embargo, a pesar de que Windows Server 2016 soporta virtuaizacién ren el anidada, nos poderos encontrar con que al instar el rol de "Hyper. segundo hipervisor: Tnelucevanagement 001s Nos aparezca el siguionte error: Error al nstalar Hyper: Este error os debide a que el primer hipervisor no muestra las los flags de CPU: NXIXD al segundo tipervisor. 32+WS2016LABS ~ winoows Seaven 2016 ~ 6.11.2. MAPA CONCEPTUAL ‘Anivel conceptual, la virtualizacion anidada funciona de la siguiente forma: aT VS — [re |e one] a as ¥ S 1) Sobre et hardware, en la BIOS/UEFI, habiltamos la opci6n: VT-x para CPUs. Intel o bien AMD-v para CPUs AMD, ademas revisaremos y activaremos todas. las opciones roferentes al soporte para la vrtualizacién. a 2) Instatamos el *Hipervisor-1” sobre ol hardware. 3) Sobre el "Hipervsor-1" habiltamos la exposicién de los flags de CPU referentes a la vitualizacién, 4) Podemos instalar maquinas virtuales sobre el *Hipervisor-1” y también podemos instalar una maquina virtual con un segundo hipervisor, segin ol dibujo: “Hipenvisor-2", 5) Para instalar el “Hipervisor2°, seré necesario que el “Hipervisor-1* exponga. los flags de CPU referentes a la vitualizacién a las méqunas viruales, en concreto a la maquina vitual que serd el "Hipervisor 2" Dicho de otra forma: El “Hipervisor-2" tendra que poder leer los flags de CPU referentes a la vrtualizacion, para ello, el "Hipervisor-1" debera exponer los. flags de CPU referentes ala virtualizacién al "Hipervisor-2".WS2016LABS ~ Winoows SenveR 2016 ~ stan cmerie 6.11.3. EXPONER FLAGS DE CPU REFERENTES A LA VIRTUALIZACION HYPER-V" y “VMWARE") Exponer flags de CPU referentes ala virualizacion, sl hipervsor es: * Sagin ol dibujo anterer: A configurar en el “Hipervisor-1" Anstynaeve: Desde una ventana de PowerShell como administrador: ‘Vitware Workstation: Exponer flags de OPU sobre virtualizacion = Propledades sobre la maquina virlusl, pestalia “Hardware’, nos situamos sobre “Processors” y marcamos la opcién: “Virtualize Infel VT-x/EPT or| AMD-VIRVE. Utlizando “‘vSphere vCanter Web Client” 0 “VMWare Host Client” podremos activar la exposicién do lags de CPU sobre virualizacin. 'Si.no disponemos de ‘vSphere vCenter Web Client’, a partir de “VMWar ‘VSphere ESXi 6 Update 2°, se integra dentro del host ESXi la herramienta de ‘administracion: “VMWare Host Client. Con "VMWare Host Cilent” podremos administrar ol host ESXi via web sin Virtual Center y podremos activar la exposicién de flags de CPU sobre ‘virtualizacionWS2016LABS ~ Winoows Seaver 2016 El procedimianto de como activar la exposicion de flags de CPU sobre viualizacion es précticamente igual en "VMWare Host Client” que en “vSphere Center Web Client’, asi que mostraremos las capturas d2 pantalla de como ‘activar la opcién con: "VMWare Host Client”. En primer lugar accedemos con un navegador web a la URL, ¢ introducimos las ‘redenciales para iniciar sesién: Nos situamos sobre la maquina virtual (VM) que haré de segundo hipervisor y pulsamos sobre “Eat settings" ‘Viware ESX: Exponer flage de GPU sobre virtuallaacion (1 de 2) Ramee = 5 Pieee = Bie ‘A continuacién, nos situamos sobre e! apartado de CPU y marcamos la opcién’ “Expose hardware assisted virtualization to the guest OS”. 35-WS2016LABS — winoows Senver 2016 ~ rise Guents 6.11.4, CONSIDERACIONES ADICIONALES: 1) Contenesiores de “Hyoer-V" desde una VM = Vitualizacién anidada, La vitualizacion anidada es intoresante no solo para méquinas virtuales si no {ue también lo es para contenedores. “Windows Server 2016" incluye dos tipos de contenedores, los contenedores de ‘windows Server y los. contenedores de “Hyper-v~.’En el capitulo de contenedores de est libro veremos con delalle sus caracteristicas funcionamiento. Si iniciamos un contensdor de "Hyper-V" desde una maquina virtual estaremos haciendo uso de fa viruaizacion anidada, Maquina vial con: | Sy Windows Server 2016 2) virtaizacién anidada = Perdida de rendimiento, ‘Situar una maquina vitual dentro de un hipervisor que a la vez esté uncionande dentro de ato hipervisor provoca una pérdida de rendimiento, Desde un punto de vista de rendimiento hemos de tratar de evitar la vvitualizacion anidada 3):VM Hyper-V" dentro de “VM Hyper-V" = Lit ‘Si utlizamos la vitualizacién anidada sobre un hipervisor "Hyper-V", las ‘maquinas virtuales que residan en el segundo hipervisortendran las siguientes Timitaciones: ‘+ "Dynamic memory cebe estar configurado a OFF. La opcién de “Dyramic memory" la encontraremos a partir de Windows Server 2008 R2 SPI y permite establecer un porceniaje y unos valores rminimos y méximos de RAM a la maquina virtual de forma que asignacion de RAMse realiza bajo demanda, Para configurar ‘Dynamic memory" a OFF desde PowerShell: -36-WS2016LABS — Wincows SenvEn 2018 ~ samscnene “Memory Resize" no funcionard "Memory Resize” permite afiadir RAM en caliente a las VMs. Las VMs deben ser Windows Server 2016 0 Windows 10. “Live migration” no funcionard, “Live migration” permite mover de ubicacién méquinas viruales en caliente. "MAC spoofing” debe ser habiltado en las VMs (propiedades en las NICs virtuales de "Hyper-V", La opcién de "MAC spoofing” a encontraremos a partir de Windows Server 2008 R2 SPI La opcién de “MAC spoofing” permite generar trfico de red utlizando otra ireccién MAC distnta a la asignada a la maquina vir Para configurar "MAC spoofing” a ON desde PowerShell Get-weietworiAdapter —Watane Nombrattt macaddrensspooting’ On snalatvoskAdapter El uso de checkpoints (snapshots), no funcionaran No podremos situar un segundo hipervisor en un host con “Device Guard” habilitago. Hosts con “Device Guard" habiltado, no pueden exponer los flags de CPU referentes a la vitualzacién a las VMs. No podremos situar un segundo hipervisor en un host con “Virtualization Based Security (VBS) habiltado. Hosts con “Virtualization Based Security (VBS)" habillado, no pueden ‘exponer los flags de CPU referentes a la vituaizacion a las VMs. Por el momento, solo se soportan CPUs con Intel VI-x. No'se soporta AMD. jaciones Debido a toda Ia lista de limitaciones y la pérdida de rendimiento 1Comienda "Hyper-V" dentro de "Hyper-V" solo en entornos de laboratori, -37-WS2016LABS ~ Winoows Senver 2016 ~ sean cmerie 6.12. Wer La herramienta WPR.exe (Windows Performance Recorder) permite al ‘administrador diagnosticar problemas de rendimiento en un equipo realizando ‘capturas del estado de cierto recurso (CPU, RAM, disco, red, etc) para realizar ‘un analisis a posterior. En versiones anteriores a Windows Server 2016 y Windows 10, podiamos ‘encontrar esta herramienta dentro del apartado "Windows Performance Toolkit” ‘en el paquete "Windows SDK”, Podemos descargar el paquete “Windows SDK" de la web de Microsoft de forma gratuita “Windows SOK" es un conjunto de herramientas y librerias gratuites que Microsoft proporciona a los desarroladores para ayuderles a Interactuar con el sistema operatvo, La novedad en Windows Server 2016 y Windows 10 es que la herramienta WPR.exe esti integrada en el sistema operative en el directorio: SsystenRoot#\systen32 WDR.exe es @! “Tecolacto” de Ia informacion, asi que ol hecho de que la herramienta WER.exe este integrada en o! sistema operativo, nos ahorra ol trabajo de despiegaria en al equipo a analizer. \Veamos cbmo funciona We. exe con un ejemplo: Woniterizacion de CPU con WPRoxe wpr -atart cpu Defamos pasar tempo... \WPRLogs \WERLogs\CPU. et En este ejemplo, iniciamos la monitorizacién de CPU, dejamos pasar cierto tiempo y cerramos la moritrizacion grabando el resultado en un fichero de extansion ETL, ‘Ademés de CPU, podemos monitorizar varios tipos de recursos como red, disco, memoria, y otros may interesantes como la actividad en el registro de Windows, uso de video 0 audio, uso de Internet Explorer 0 Edge, actividad de NET, etc -38-/S2016LABS Para ver los lipos de recursos que es posible monitorizar de forma directa, bastard con ejecutar: wpe profiles Me Caan También es posible realizar una captura de varios elementos a la vez, por ejemplo: Monitorizacién de disco, ficheros y red con NPR.oxe start DiskIO -start Filelo -start Network wer Dejamos pasar tiempo. Ma C:\WPRLOgs lpr ~stop C:\WPRLogs\Disco-ficheros-red.atl Una vez disponemos del fichero ETL del equipo que hemos moritorizado, podemos ulilzar la herramienta: "Windows Performance Analyzer" (upa.exe) para analizar el resultado. La herramienta ‘Windows Performance Analyzer’ (vpa.exe), no la fencontraremos_Integrada en el sistema operativo, pero ferma parte del ‘apartado "Windows Performance Toolkit” dal paquete "Windows SDK" que podemos descargar de forma gratuita de la web de Microsoft hitps:idev windows.com/en-us/downloadshwindows-10-sdk Una vez descargado e instalado, nos situaremos en el siguiente directorio: 39 -WS2016LABS - winoows Serves 2016 ~ raven cures e:\Progean Files (x86) \Hindove Kite\20\Windows Pe En esta ubicacién, encontraremos el ejecutable xpa.exe y podremos abrir y ejecutar el ichero ETL generado con wpr-exe. ‘Apertura del fichero de extension BTL con wpa.oxe ‘Aprovechanda que tenemos instalado el "Windows Performance Took sisponemos de la horramenta wprui -exe situada en el directorio anterior. La herramienta wpruiexe os la equivalente a la wpr.exe pero en entorno grafico. Con pri .exe, podremos defnir los datos a monitorizar e inicar y detener la captura a fichoro ETL, 40WS2016LABS - winoows Seaver 2016 ~ es 6.13. WINDOWS IMAGING AND CONFIGURATION DESIGNER (ico) Con Windows 10, se introduce por primera vez una nueva herramienta otientada a la automatizacién del despliegue y configuracién del sistema ‘perativo: “Windows Imaging and Configuration Designer (ICD)". Esta herramienta est pensada para realizar despliegues del sistema operativo © configuraciones del mismo en entornos donde no podemos. automatizar configuraciones via GPOs (Group Policy Objects) de dominio, ni utiizando "Windows Deployment Services" ni similares, "Windows Imaging and Configuration Designer (ICD) es una herramienta muy interesante en entomoa de grupo de trabeje (workgroup). La herramienta “Windows Imaging and Configuration Designer (ICD)" no esta integrada en el sistema operativ. Windows Imaging and Configuration Designer (ICD)" forma parte del paquete “Windows Assessment and Deployment Kit (Windows ADK)’ que podemos descargar de forma gratuita de la web de Microsoft hitps:/developer microsoft. comles-esiwindows/hardwarelwindows-assessment- deployment-kit Una vez descargado e instalado, ejecutaremos la herramienta “Windows Imaging and Configuration Designer” (icd. exe) Situada en el director: Nimaging and configuration Bootgner El funcionamiento general de la aplicactén, lo podriamos resumir en: ‘Al Iniciar la apicacion, disponemos de dos posibidades: 1+ ‘New provisioning package” 2: ‘New Windows image customization’ La diferencia entre ambas opciones es que con la primera opcién estaremos personalizando una serie de opciones genéricas de Windows 10, mientras que nat-WS2016LABS — winoows SeRvER 2016 ~ xem cine con la segunda opcién, exploraremos el fichero de instalacion WiM (Windows Imaging Format) que indiquemos y veremos las opciones de personalizacion el fichero WIM en concreto. Encontraremos al fchero WIM en el directorio \sources del interior de los ‘medios de instalacién de Windows 10 (ichero. ISO), Una vez selaccionadas todas las opciones de personalizacién, ambas opciones anteriores nos prmiiran seleccionar alguna de estas posibiidades: 4- Generar un fichero naka: El fichero de extensién poka, al ejecutarse sobre lun Windows 10, se ejecutardn todas las opciones seleccionadas antes de generar el paquets. 2. Personalizar el instalador: Indicando como origen el fichero WIM de la instalacién de Windows 10, nos permite generar un USB 0 un directorio donde ppodemos encontar todas las modiicaciones realizadas, \Veamos un pequefo laboratorio de su funcionamiento: ied exe: "Nuevo paquete. ak Iniciamos la aplicacién "Windows Imaging and Configuration Designer (ICD)" y seloccionamos la opciin: "New Provisioning package’. ‘A continuacién irdicamas el nombre del proyecto, segin la siguiente captura "sysapur7-IC0" y el directorio donde se ubicaré el proyecto, segin el ejemplo: “c: \s¥sanurr—rcD" {ss exe: St ms et tipo de edicion a 10 rice El asistente nos offece varias posibilidades a logit: todas las ediciones, ‘ediciones de desttop, de movil o edicién oT (internet of things). 42+WS2016LABS - winoows Senver 2015, La dlerencia entre seleccionar una opcién u otra reside en las opciones. disponibles que nos aparecerdn para poder personalizar la nstalacion de Windows 10, (Choose which settings view and configure 3) ica.cxe: Selaccion do un paquete va croado: El asstente nos ofrece la posibilidad de importar un paquete ya creado con anterridad para su edicion, Come vamos a crear un paquete nuevo, ignaramos la opcién. Import provisioning package (options eee) | 4) ica exe: Configuracién de items: ‘A cortinuacién disponemos de un editor donde podemos seleccionar y editar los ftems que queremos configurar de forma automata, Tem Ubicacion ‘Aplicaciones APPX, Deployment assets > Applications, | brvers__ | Deployment assets > Drivers / Driver set “etateacones Se WrdOr | pepoynentasets> Windows updates Equipo al dominio de Active Directory | Runtime settings > Accounts > Cuenta)OUmosinamelusuarioipassword | ComputerAccount {Usuarios locales Runtime stings > Accounts > Users 43WS2016LABS ~ Winows SeRvER 2016 - acne Carioados (CA, certicados rai, certiicados | Runtime settings > Certificates lente, Conesiones deal Exch, VPNS [Runtime setings > GonectviyPreies (GPOs locales Runtime setings > Policies 5) icd.exe: “Deploy” o “export Una vez realizadas las configuraciones en el apartado anterior, disponemos de la posibildad de generar unos medios de instalacién nuevos o bien un paquete de provisionado (ichero de extensin: ppka). Ambas opciones inclurén las configuraciones realizadas en el punto antaror. = ‘Nos_pedrd tos_medos de lor sing nd Cringe tes gece a sea co fee | EBB] pe de Windows 10 senpd BUS comet der an La sada puede sor un bien un USB boot 'No nos pediré los medios de] <2 We nage eign ee Windows 10, rms | 2) ey a La salida sera un fictero de| extension ppkg, ejecutable | desde Windows 10, i por ejemplo elegimos “Export, “Provision package", so generara un fchero. de extension pps. El ichero lo podremas ejecutar en un Windows 10 ya instalado y se efectuardn todas las configuraciones indicadas en el punto anterior. Recomendaciones: = En entomos de dominio de Active Directory hemos de intentar evitar la personalizacion de las configuraciones con herramientas tipo IDC o simiares e. intentar_utlizar drectivas de grupo (GPOs) para estanderizar las. ‘configuraciones, ‘Con CPOs diapondremos de las configuracionca decumentades. on la soncola de administracion de directivas de grupo y si son pollticas, podremos revertir Jas configuraciones desde una consola ceniralizada. - 44WS2016LABS - Winoows Seaver 2016 7. POWERSHELL V5.1 7.1. VERSIONES Y SO ‘Se integran las siguientes versiones de PowerShell en los siguientes sistemas. operatives: 7 50 Winans Sorvr 2008, Wows Vala Windows Server 2008 R2, Windows 7 Windows Server 2072, Windows 8 Winows Sener 2012 Ra, Wows 87 Windows Server 2016, Windows 10 7.2. NUEVOS CMD-LET 7.2.4. MANIPULACION DEL PORTAPAPELES DE WINDOWS. Con los omd-et: Set-clipboard y Get~clipboard, podemos manipular et Portapapeles de Windows. ~ Con set-ciipboara, guardamos en el portapapeles, ~ Con cet-ciipboard, mostramos el contenido del portapapeles. Ejomplo Set-clipboardy Get-chipboara > Set-Clipboard SYSADMIT > Gat-Clipboard [SYSADMIT En e! portapapeles de Windows, no solo quedan guardadas cadenas de texto: Cuando hacemos botin derecho, “Copiar” sobre un fichero, este queda registrado en el portapapetes. Podemos ver los ficheros registrados en el portapapeles de Windows con el emddet: Get-Clipboard y el parémetro: -Fornat FileDropList -45-WS2016LABS - Winoows SERVER 2016 ~ xm cre Ejornplo de funclonamlontor Gat-ciipboard Format Pileproplist 7.2.2. COMPRIMIR Y DESCOMPRIMAR ‘Con los cmd-lets compress-Archive y ‘comprimir y descomprimir ZIPs, Ejemplo compresion: Compr PS C:\> Compress-Archive ~Path "¢:\TES2\SYSADMIZ. zip" ~Vexbo: \FOLDER -DestinationPath Ejemplo descompresion: Exp: ra [es c:\> Expand-Archive "C:\TEST\SYSADMIT. zip" BagsWS2016LABS ~ winoows Senven 2018 ~ 7.2.3. FORMATO HEXADECIMAL Con fo:mat-hox podemos convertir a Hexadecimal Ejemplo conversion a hexadecimal: Formathex PS C:\> echo SYSADMIT |format-hex 40 01 02 03 08 05 06 07 08 09 0A aB 0c OD OF OF Ejemplo, binario ca:1c .exe, en formato hexadecimal: Get-ContentC:\Windows\systen32\cale. exe | format-hex|more zm:Sfalse ~verbose clear-Recy ‘Con ~cenfirm:$£213e, no pide confirmacién 7.2.5, SKIPLAST DE SELECT-OBJECT Encontremos el cmdlet select-object, en la primera version de PowerShell -47-WS2016LABS - winoows SERVER 2016 ~ sa cme Select-object nos permite fra la salida de un emd-et. En la vorsién 5 de PowerShell, se afiade el parémotro Skiplast al omddet Select-object. Skiplast X, permte omit las ultimas x lines. ‘Veamos un ejemplo: notepad.exe regedit exe spluowsi exe }wintip32 exe feitesexe [Get-chitartem c:\windows\*.oxe |Select-Object Nane ~Skiplast 6 vam Jprsve-exe explorer.exe HelgPane.exe = Con Skiplase;los ultimos 6 ficheros * exe no son mostrados, 7.2.6. SYMLINK, HARDLINK Y JUNCTION Como vimos en el fbro: “WFS - Windows File Server, el sistema de ficheros NTFS permite Syminks, Hardlinks y Junctions. A partir de PowerShell v.5, podemos administrar este tipo de elementos con PowerShell Sobre el cméd-let New-1ten, al pardmetro -Itemtype, se ha afiadido! Synbolichink, HardLink y Junction, Ejemplo de creacién de Junction: Now-Itom -Itemtyse Junction ~Path C:\TEST\WIN -Value C:\Windows -48-WS2016LABS 7.2.7. PARAMETRO DEPTH Con el pardmetro -Depth, podemos definir el nivel de profundidad de rocursividad, Por ejemplo: chitarton, eolo nos mostraré los fichoros y directofos del directorio. C:\Program Files y os del siguiente subdirectorio (-Depth 1). 7.2.8. VISOR DE LOG DE WiNDOWSUPDATE. ‘Sobre Windows 10 0 Windows Server 2016, los logs de Windows Update, uedan almacenados en el siguiente directorio: C:\Windows \Logs\Windowstpdate Ys ficheros de log estan en formato ETL (Event Trace Log). Los ficheros en formato ETL pueden leerse desde el Visor de eventos (eventvwr.me. ‘Con PowerShell v.6, también disponemos del omdet: Got~ WindowsUpdatelog Con Get-Windowspdateliog, podemos generar un fichere de texto a partir de los fcheros ETL. Por defecto, el fichero de texto generado quedara ubicado en el escritorio con el nombre: Windowstipdate. log -49-WS2016LABS ~ Winoows Seaver 2016 ~ xen cents 7.2.9. Ger-IreMPRoPERTWVALUE Utiizando el emd-et Get-rtenPropertyValue, nos dewelve directamente l valor de una cave del registro: Ejemplo, consulta de clave en el registro para averiguar si tenemos activado ROP: TE GIS Gab TiaabiapgrtVValus “WHDU SPER CentContoi 7.3. GPOS RELACIONADAS CON POWERSHELL En versiones ansriores de Windows Server, es posible realizar GPOs que Policies > Administratve templates > Windows ‘Components > Windows PowerShell + Para GPOs de usuario User Configuraton > Policies > Administrative templates > Windows ‘Components > Windows PowerShell En Windows Server 2016, se incluyen nuevas GPOs relacionadas con PowerShell ‘Veamos dos ejenplos: + Tum on PowerShell Scit Block Legging: Nos permite registrar an ol visor 4e evonios (eventvre.mec) los bloqué0s debido 8 la politea de ejecucion de scripts En el siguiente ejemplo, donde tenemos la GPO aplicada, vemos: = La poltica de resticcién de serpts esta en modo "Restricted" = Se ejecutaun script de PowerShell y aparece un error. = El error queda registrado en forma de evento dentro del apartado: Microsoft-Windows-Powershel1/Operational. -50-WS2016LABS Gi fret roperis- Event 10 Powerell Mirset WndowPoweShe) | Genet [aie ror Mesage = Fe CAPS Sept Te pl cant Be ade Bacau nrg [asbied on ths ssten. For more information se abo featon Pat teas merce com be 3570 Merah Windows Poweshel/Opentions PoweShel Micrsoh Wied logget 1408/2056 a0, Tak Cotegeny facing inte ‘+ Tum on PowerShell Transcription: Nos permite activar los transcriptions de las consolas de PowerShell y especifcar una ruta donde ubicaries. Como vimos en el libro "WS2012LABS — Windows Server 2012’, los transcritions se introducen en la version de PowerShell 3.0 y permiten ‘guardar en un fichero de texto todas las acciones realizadas en la sesion de Poworsholl Enel siguiente ejemplo vemos: En el lado servidor (controlador de dominio), configuramos la GPO sobre el objeto, en este caso: un equipo, indicando una ruta de recurso compartdo: \\s1\GPO-PS-Transcripts, = En el lado cliente, abrimos una sosi6n de PowerShell, ejecutamos algin cemdset y abrimos el fichero de texto ubicado en el recurso compartido ‘especificado en la GPO. 51WS2016LABS — Winoows Senven 2016 - wet ners Vista dol ojomplo de funcionamiento de ‘Turn on PowerShell Transcription (lado servido! = Si activamos “Tum on PowerShell Transcription’, debemos controlar el | ‘erecimianto de los fcheros de texto generados en el recurso compartido.. -52-WS2016LABS - winoows Server 2016 - 7.4, DSC Deste State Configuration (DSC) es una extensi6n de PowerShell introducida fen at versfn & Recordemos que la versién 4 de PowerShell se integra an Windows Server 2012 R2 y Windows 8.1 DSC permite estandarizar configuraciones y mantener una documentacién sobre las mismas en el propio cédigo generado. DSC sobre PowerShell 5 permite trabajar con una serie de recursos Predefnidos: Archivos, variables de entornes, grupos, logs, claves en el registro, scripts, servicios, usuarios, roles, procesos (lambién se permite defiir recursos a mano), Los recursos predetinidos son las siguientes: Archive Environment Fle Referencia:hlips/msdn microsoft com/en-us/powershalldsc/buliaResourca Podemos obtener la sintaxis completa de cada recurso cen el emdlet: Get~ DecResource! Ejemplo de sintaxis del recurso "WindowsFeatare™ TS C\> Get-DecResource —Hane WindowaFeature ~Syntax WindowsFeature [String] #ResourceNane t Nane ~ [atring) (credential = (PScredentiai}) [Deperdson = (steingi 11] (Ensure = {string]{ Absent | Present }) [IncladeaLLsubPeature = {b001]] [Logpath = [string] [PsDscRunAsCredential ~ (PSCredential]] [source = (string) | -53-WS2016LABS ~ Winoows Server 2016 ~ rane concs “También podemos ver todos los emd-ets relacionados con DSC ejecutando: Get-Conmand “Noun DSC Para entender la dea, veamos un laboratorio de su funcionamiento: 1) Creamos un fichero (Instalar_115_con_NET.ps1) con el siguiente contenido: Configuration Instalar_IIS_con_NET c param ($MachineNane) Node $MachineName i finstalar el rol de 11S WindowsFeature IIS 1 Ensure = “Present” Name = °Web-Server” finstalar .NET 4.5 WindoweFeature ASP Ensure = “Present” Name = “Web-Asp-Net45” , , Inetalar_I1S_con NET ~MachineName "Si" Analizando el cortenido, podemos ver: + configuration: Corresponde al nombre de la funcion, + ode sMachineName: Corresponde a las maquinas a las que ira dirigida la ‘configuracién, © WindowsFeature: Tipo de recurso: "WindowsFeature’, que itd acompafiado del nombre del rol o caracterisica. Si ejaculamos Get~ WindowsFeature |Out-GriaViex, podremos ver todos los disponibles. aeWS2016LABS - winoous SenvER 2016 - Hun cnenee ee | Fier 10 Fmt ie wana (1s Howat veh Coe Web ne ale ee Ses = ‘+ En la columna "Name", podemos ver todos los nombres disponibles para| poder utilizar. + Instalar_IIs_con NBT -Machinetlame "Si": Generaré un fishero MOF (Managed Object Format) para el nombre de servidor St 2) ejecutamos el ener: .\rnstalar_11S con NEP.ps1 ‘Y vemos que nos cea una carpeta y en su interior, tenemos el fichero MOF: 3) Cargamos ia configuracion DSC: *Elparimetro Path, indica la carpeta donde esta situado el fchero MOF. 4) Resultado: Tencremos configurado iS y NET en el equipo St. -58-WS2016LABS — winoows SenvER 2016 ~ xx cmers 7.5. ONEGET 7.5.1. INTRODUCCION En sistemas Windows, cada fabricante de software, empaqueta y distribuye su software de forma distin, es decr, sitia su instalador y emplea el método de instalacién que decide. Desde Windows Server 2000, en entomos de Active Directory, es posible desplegar paqueies de instalacion MSI (Microsoft Installer) de forma masiva utlizando directvas de grupo (GPO). Aigunos de los problemas que se encuentra el administrador con de los paquetes MSI, es que = No todos los fabrcantas de software preparan paqueles MSI = No se encuertran de una ubicacién centralizada. Por ejemplo, {Cual es la URL del paquate MSI de Google Chrome?, no lo sabemos a prior. = Distincién x86 o x64: Para aplicar ol paquete x86 sobre equipos de 32bits y cel paquele x64 en equipos de 6ébits, debemos utlizar o bien un fitro WMI de GPO o situar los equipos en OU distintas y emplear GPOs distintas, etc. = No podemes aplicar GPO de instalacién de software en grupos de trabajo. = Para aplicar las GPO de instalacion de software es necesario vsibilidad con €l controlador de dominio (DC) en su aplicacién. ‘Muchos se preguntarn, {Por qué no existen repositorios de software Windows como ocurre en Linux? ‘Como explicamos en el libro “LinuXe ~ Linux para omproaas", muchos do loc fabricantes de software publican el cédigo fuente de su software (apache, bind, ttc) y son las distrbuciones que compilan y cuelgan los binarios en su repositori, El sistema operatvo, con un gestor de paquetes, descarga ¢ instala de forma desatencida el binari. Evidentemente, este circulto se rompe en cuanto queremos instalar software ue reside fuera del repositorio de paquetes de la distribucién. Es en este punto donde debemos 0 compilar 0 descargar el binario compilado de la web del fabricante 0 bier configurar un repositorio del fabricante compatible para nuestra distibucion Para sistemas Windows, se ha introducido una primera aproximacién para Instalacion desatendida de aplicaciones de fabricantes de software distintos ‘con PowerShell y OneGet. -56-WS2016LABS ~ Winoows SexvER 2016 ~ runnin 7.5.2. FUNCIONAMIENTO OneGet es un médulo introducido en PowerShell 5 que nos permite conectar ‘con repositorios de software e instalar o desinstalar aplicaciones, El funcionamiento de OneGet es muy distnto a los repositorios de paquetes Linux que adminisramos con los comandos yum (RHEL/Ceni0S) 0 apt-get (Ubuntu/Debian) De hecho, para entender su funcionamiento, veamos lo que no es OneGet + Noes un gestor de paquetes. + No es un repositorio de paquetes. + Noinstala sctware, Desde PowerShell, disponemos del médulo OneGet: ‘omd-lets del médulo OneGet (PackageManagement) Got-Comand -nodule PackageManagenent. Podemos ver los proveedores de paqueles conectados con OneGet, ‘elecutando el cmddet: Get-PackageProvider [PS CP Get-PackageProvider| Seiect-Ghject Name Para probar su funcionamiento, deberemos: + Ejecutar la sesién de PowerShell “como administrador’ + Deshabiitar a politica de restriccién de ejecucién de scripts: set~ Executionolicy Renotesigned -57-WS2016LABS — winoows Senver 2016 ~ earners 7.5.3, EJeMpLo ne Funcionauienro 4: PsMoouLe En el apartado anterior, hemos visto como ver los proveedores de paquetes conectados con OneGet “Vemos que uno de ells, so lama Powershe11Get, alli podemos encontrar un repositorio de scripts de PowerShell Este rapositorio de serps, después de instalar uno de ellos, pasa a convertirse fen un médulo, asi que cada script contiene un gran nimero de nuevos emd- lets. Podemos buscar paquetes utlizando el emd-et: Pind-Package! Biiequeda de paquoles sobre el repositorio PowerSheliGet Hind-Package provider Powershelldet| Out-Gridvies SD. PScoey Forges FveS bh 5 et don e W ae 1803 PS kev Denes ate onion mal Nts order Usiy 220. FSlay Ageing cn om SRW ‘nnensbacesin 10a. Modi OSCnouete sn cee es Para instaar el paquete, por ejemplo: SSH Install-Package -Provider PoxershellGet SSH Para ver los cmd ets inluidos en el méduto: Get-Conmand -module $5iWS2016LABS ~ winoows SeavER 2016 ~ tomnenerss 7.5.4. EJEMPLO DE FUNCIONAMIENTO 2: CHOCOLATEY chocolatey. Chocolatey 6s un repositorio de scripts mantenido por la comunidad, Oto ejemplo de uso de One En el repostorio Chocotatey encontraremos scripts para realizar instalaciones y desinstalacones desatendidas de la mayoria de aplicaciones conocidas: Java, Flash, Chrome, Firefox, Adobe Reader, otc. El funcionamiento es el siguer ‘Repostono de software Fabrcante de software 1) Desde Powershell, disponemos del médulo OneGet (A), desde e! médulo, fexisten una serie de plugins predefinidos (B), también podemos instalar nosotros plugin. 2) EI plugin (B), conecta con el repositorio de software (C), cada plugin, ‘conecta con su repositorio de software. (1) 3) E1 plugin (8). descarga los ficheros necesarios (scripts, paquetes) para la instalacion ta aplicacién, pero no el instalador. Los (scripts, paquetes), estan tubicados en el repositorio de software (C) -59-WS2016LABS ~ winnows Seaver 2016 ~ xmencnses 4) Al ejecutar of script, ol script se descarga los ficheros: EXE, MSI, etc del ‘abricante de software (D). Laboratorio: Existe un proveedor ccullo llamado Bootstrap, este conoce los proveedores rhuget y chocolatey. Ps C:\> Find-package -provider Rootatrap|Select-cbjact Nana, Version fuget2.8.5.127 chocolatey 218.5.130 Podemos buscar e instalar paquetes de este proveedor, ejemplos Find-Package provider chocolatey] Out-Grtdview Pind-package provider chocolatey WinRAR Find-Package Provider chocolatey “Wane adcbereader, WinBAR, VIC, skype, Blashpla Instalaci6n masiva: Find-Package -Provider chocolatey “Wane Adobereader, WinRAR, VEC, Skype | Tnatall-Package Force Desinstatacin: Hontnaean.-1 -60-7.6. POWERSHELL DIRECT AA partir de la versién 2 de PowerShell encontramos el emeélet Enter= El cmd-et Enter-PsSeseion nos permite abrir una sesién remota de PowerShellen otto equipo. En Windows Server 2016 y Windows 10 se intraduce una nueva tuncionalidad llamada “PowerShell Direct’ que permite la conexién a otro equipo sin configuracién previa en el equipo remoto. El roquisito para utiizar “PowerShell Direct” es que el destino ha de ser una méquina virual de "Hyper-V" o un contenedor. Utiizar “PowerShell Direct’, es ullizar el cmdet Enter alguno de es siguientes parémetros: -vtitd, ~vovare, + Veamos cémo funciona Enter-Pssession sin “PowerShell Direct” * Configuracién en al equipo destino: Abrimos una sesién de PowerShell como administrador y ejacutamos: 1) Havittamos "PSRemoting’WSZ016LABS ~ Winoows Serves 2016 ~ asm corse 2) Configuracién "WinRM' El servicio “WinRM" es requerido para que funcione el cmd-let: Enter- PsSeeaion, Este servicio se encuentra instalado por defecto a partir de Windows Server 2008 R2 y Windows 7, en versiones anteriores, es necesario descargario & instalaro, Si el equipo al que queremos conectar esta en un grupo de trabajo (workgroup), deberemos defnir el equipo origen como "Trusted host’ Por ejemplo, pare definir cualquier equipo como “Trusted host’, ejecutaremos: ‘et-Teem waman: \locaThost\client\trustedhosta = Od) *Y reiniciamos el servicio: ‘También nos aseguramos que el servicio est6 configurado como automatica: [Bet-Service win ~Starenose Dutomatie—————] 3) Rogas eno rewat 5% ol frewal de Windows ests acivad, deberemos aseguramos que os puertos: 135, 445 estén visibles desde el equipo que queremos abrir la sesién ‘de PowerShell remota, Enter-PSSession ~Conputeniane NOWBRE-BOU O bien: ‘Yavoke-Cosnand “Computerane WORSRE-EQUIPO ~SeriptBlock | Gat= gnelatven C2\_} -eredential USUARIO * En este caso elomd-et a ejocutar es un Get-chi dz tem. + Veamos cémo funciona Enter-Pssession con “PowerShell Direct Con “PowerShell Dict", para conectar a un equipo remolo, no son necesarios ringuno de los roqusits indicados en el punto anterior. Con “PowerShell Direct’, podremos conectar a una VM de Hyper-V 0 un contenedor sin tener en cuenta: Networking, Firewall ni WinRM, solo -62-WS2016LABS - winoows Server 2016 ~ ran necesitaremos indicar credenciales con derechos de administrador en la maquina remota. Ejemplo: REEOUIPO ~Credential USUARIO 8. NANOSERVER 8.1. CARACTERISTICAS Windows Server 2016 integra un nuevo tipo de instalacion: NanoServer. La idea de NanoServer es parecida a Server Core: reduci Windows Server a la minima expresion para ganar velocidad, menos parches, boot mas rapido, et. ioServer, ServerCore y ServerGUL Algunas caracteristicas sobre NanoServer: + NanoServer_no_existe como opcién_en el asistenie de instalacién_de Windows Server pera instalar NanoServer es necesario crear un fichero de imagen WIM, afiadire drivers, roles y caracterisicas, todo ello con PowerShell + Construido con .NET Framework. El footprint del sistema operative ocupa S5MB: Core |45MB) + PowerShell (GMB) + Médulos (2B). - La PowerShell sobre un NanoServer no permite el 100% de las funcionalidades comparado con la PowerShell de un ServerCore 0 ServerGUL Es posible aisponer de un NanoServer en: Equipo fisco, maquina virtual 0 contenedor. -63-WS2016LABS ~ Winvows Serves 2016 ~ vex conse = Los drivers de Windows que utiiza NanoServer son los mismos que con la versién GUI 0 Server Core. No es posible niinicar sesion local, ni por ROP. 1 soporte de administacién local muy limitado: La mayoria de Cconfiguraciones deben realizarse con herramientas de administracién remota No soporta la instalacion de paquetes MSI (Microsoft Installer). = NanoServer no tiene soporte para emulacién de aplicaciones de 32 bits, solo admite aplicaciones de 64 bits. = Un equipo NanoServer puede ser afadido a un dominio de Active Directory, pero no se le puaden aplicar GPOs. Para desplegar cambios masivos sobre ‘equipos con Naroserver, podemos utlizar PowerShell DSC. 8.2. LABORATORIO: INSTALACION SOBRE VMWARE (WORKSTATION Y/o ESXI) ‘Objetivo: = Queremos inst#ar une maquina vitual con NanoServer sobre "VMWare Workstation” y olra sobre “VMWare vSphere ESX" Qué debemos tener on cuenta sobre NanoServer? ~ Debemos erear una imagen VHOX desde un script de PowerShell situado ‘en el DVD de instalacion, ~ Para ejecutar el script de PowerShell, deberemos dlisponer de la PowerShell ineluida en Windows Server 2016. .£Qué debemos tener en cuenta sobre VMWare Workstation y ESXi? = El tipo de disco virtual que utiliza “VMware Workstation” y “VMWare ‘Sphere ESXi" es: VMDK: Deberemos convertir el fichero VHDX a VMDK. Para ello, podemos utlizar la herramienta: “StarWind V2V Converter” o “qemuimg" = La NIC y disco de una VM con “VMWare Workstation’ es "LSI SAS" y “E1000e", dentre de los drivers de Windows, estarén includ. ~ La NIC y disco de una VM con "VMWare vSphere ESXi" puede ser “LSI SAS" y "E1002" (incluidos dentro de los dtivers de Windows) o bien "VMXNETS" y "VMWare Paravirual’, drivers incluidos dentro de. las ‘VMWare Tools’. En el caso de ‘que queramos utlizar hardware: “VMXNET3" o “VMWare Paravirual’, deberemos integrar los drivers dents de la imagen de NanoServer. -64-WS2016LABS ~ winoows Seaves 2016- Pasos a seguir: Realizamos los siguientes pasos en un sistema operativo Windows Server 2016: puede ser una maquina fisicao virtual 1Descaraamos y descomprimimos las "VMWare Tools” en un directorio: * Paso necesario si queremos que NanoServer funcione sobre “VMWare Sphere ESXi" con hardware vitual “VMXNET3" 0 “VMWare Paravirual + Descargamos la ultima version de las “VMWare Tools" ‘+ Descomprimimos las “VMWare Tools” en un directorio: Ejecutamos el instalador con el parémetro /2 ¢ indicamos un directorio donde descomprimir el ejecutable, En el ejemplo, descomprimiremos las “VMWare Tools" en el directorio: Cr \Wiiiareools ‘VilWare Tools: Descompresion en: \WNWarevools stained cng ce eaten en Speck olga seenencts panes alesse cain dere pee 2) Copiamos los drivers de red (VMXNET3) y disco (VMWare Pe un cloro: * Paso necesario si queremos que NanoServer funcione sobre “VMWare Sphere ESXT' con hardware virtual "VMXNET3" o "VMWare Paravirtual’. ~ Creamos ol directorio: C: \NanoServerimage\Drivers -65-WS2016LABS ~ Winoows Sexven 2016 ~ seam cots = Nos situamos el directorio de drivers de las ‘VMWare Tools’ (Directorio creado en el paso anterior). CCopiamos los drivers de “VMWare Paravitual” y “VMXNETS" al directorio: rimage\ Drivers ‘También podemos afadir al resto de drivers incuidos en las “VMware Tools" copy uneh \devioe\*.+ Ce \Nonoserverinage\s 3) creamos la imagen de NanoServer a fichero VHDX Introducimas la ISO 0 DVD de instalacién de Windows Server 2016 en un Windows y exploramos la unidad Veremos la carpeta NanoServer: aeWS2016LABS — Winoows Seaver 2016 ~ | mapa de directorios es el siguiente: ‘Mapa de directorios y unidades Unidad de OVD, con la 1S0 de Windows] Server 2016 montada aaa Direciono donde se encuentran jos binaros| para const la imagen de NanoServr. Directorio. donde se encveriran los méduTos| para consul la magen de NanoServer Directorio generado en el paso anterior (paso nesereeimovioeivrs 12) contene les divers a itegrar en Ia Los pasos a seguir, son los siguientes: ~ Abrimos una sesién de PowerShell como administrador. = Cargamos el médulo de PowerShell de NanoServer:Indicamos la ruta del fichero— d2extension. PSM, ubicado en D:\NanoServer\NanoServerInagaGenerator. A partir de este ‘momento dispondremos de los cmé-ats necesarios para generar la imagen ~ Utiizando el omd-et: New-NanoServer Image, gensramos la imagen, con los siguientes pardmetros: raring "2 formato To delermina Ts tstnsion dl feheo: "win, hie Nombre del equipo del NanoServe Hablamos et puero de adminsracon remola, Esa acc6n puede rostzares poteriordesdels conse Este permet opciona,inaca & ntegramos be Giver do views en ie nape 6 no * Roquerito si vamos @ despega’ la imagen sobre VMWare Workstation Tnccaros ints donde se Wear fo Givers quo quereTae Posies valor: Hosto Guest equivalonte en “Hyper-V"de is “Vier TooWS2016LABS ~ winoous SenvER 2016 ~ ans core Generacién de imagen, jomplo de ejecuctén: Ds \anoServer \anoserver InageGenerator\WanoServer imageGenerator sm New-vanoServertnage -MediaPath 9:\ ~BasoFath C:\NanoServerinage\Sase Targetzath cf WunoberverTange\anoserversmage wide “compitertane HOt ~ EriNanoserverinage\orivers “AdminiserstorParevard (ConvertTo- Seourestring “string *bepronol™ -AsPisintext force) “DesloymentType * Indicamos como password: Dcpronot Una vez elecutado el proceso de generacién de imagen, encontramos el fichero ‘VHIDX en la siguiente ubicacin: Desde el explorador de Windows, podemos examinar el contenido del fichero "VHX, con botén derecho, montar o bien desde el administrador de discos. 4) convertimes de VOX a VMK: Para convertir de VHOX a VMDK, podemos utlizar la herramienta gratuita: “StarWind V2V Converter’ rienero ras instalar y ejecutar la herramienta, seleccionaremos como origen, ‘VHDX generado en el paso anterior. A continuacién elegremos el formato destino: ‘StarWind V2v Converter, Formatos destino + Onemaeceeme -63-WS2016LABS — Winoows Seaver 2016 ~ x Entre los formatos destino de VMWare, podemos elagir ESXi o VMWare. Workstation, = Para VMWare Workstation: Seleccionamas: “VMware growable image". - Para VMWare ESXi: Seleccionamos: “VMWare ESX server imag} Si seleccionamos "VMWare Workstation’, nos apareceré el ipa de disco, donde seleccionaremos SCSI ‘StarWind V2V Converter: Proceso de conversion de VHOX a VHDK 8 ene conte ‘Ademas de “StarWind V2V Image Converter’, disponemos de otras alternalivas, para convertr discos virtualos en formato VHD © VHDX a VMOK. Podemos ver el detale en http: wwe.sysadmit. com/2016/08/vmware-converti-vhdx-en-vndk himl Una alternativa también gratuita es: gemu-img gemu-ing dispone de una implementacién gratuita y portable que funciona ‘sobre Windows y permite realizar conversiones entre dstintos formatos, Funciona desde linea de comandos, Ejemplo: Para convertr de VHDX a VMDK: -69-'WS2016LABS — Winoows SexveR 2016 - sar crerie “VMWare Workstation": Genoramos fa maquina virtual @ parti col VMDK creado, En el apartado: “A) Convertimos de VHOX a VMDK.", hemos generado el disco \VMDK seleccionance: "VMware growable image’ En el equipo donde esta instalado "VMWare Workstation’, situamos el fichero “VMDK en una carpeta: G: \NanoServer\NanoServerInage.vndk Iriciamos ol asistere para crear una maquina vitual: ~ Seleccionamos el modo avanzado. ~ Soloceionamos ol sistoma oparativo: Windows Server 2016. = Indicamos ol nombre y la ubicacién de la VM: G: \Nanosexver = Seleccionamos ‘firmware type": EFI (seleccionamos EFI, ya que la imagen generada con elemd-let: New-NanoServertnage era VHDX). = Controladora virtual: LSI Logic SAS. = Tipo de disco: SCs = Seleccionar disco: Indicamos la opcién: “Use an existing virtual disk” y seleccionamos la uta yfichero VMDK. t 3 a partir del VMK sreado, En el apartado: “4) Convertimos de VHOX a VMDK:", hemos generado el disco “VMK seleccionanco: "VMWare ESX server image" En el equipo donde ests instalado "VMWare vSphere Client’ 6.1. Creamos la méquina virtual ~ Nos situamos sobre un host VMWare ESXi, botén derecho, “New Virtual Machine’ Configuration: “Custom ~ Name and locaton: NanoServer ~ Storage: Seleccionamos el datastore donde se ubicaré la VM. Virtual Machine Version: Seleccionamos por ejemplo: Hardware version 11 = Guest Operating System: Seleccionamos Windows Server 2016, -70-WS2016LABS — winoows Stave 2016 ~ tamncnn ~ CPUs: Seleccionamas: Viual sockes: 1 / Cores per vidual socket: 2 + Memory: 268 ~ Network: Seleccionamos "VMXNETS" = SCSI Controller: "VMware Paraviual” = Sdoct a Disk: Do not create disk ~ Editamos la maquina vital, cambiamos fimware a EFI + Cambiamos el tipo de boot fimware a EFI Pestafa “Options”, apartado “Boot Options” ‘eleccionamos: EFI ae “Specify the boot firmwares", ‘etinos Genel options Nanoserer are Tooke Sut Dow PomerManagemert Sandy Advan Genera Normal cou Mik rporenefiagts z Disabled Roy te bot fore 6.3.- Afiedimos disco virtual VMDK de! NanoServer ~ Subimos el ichero VMDK al datastore, en la carpeta donde reside la VM, = Afiadimos un disco a la VM con la opcién: “Use an existing virtual disk” y ‘selaccionamos el ichero VMDK. = Al afiair et disco, volvemos a cambiar el adaptador a “VMware ParavrtualWSZ01GLABS - Winoows SeRvER 2016 ~ ence Cambio de tipo de controladora; “VMware Paravirtual™ -72-WS2016LABS ~ Wincows Seaver 2016 ~ tances, 8.3. LABORATORIO: ADMINISTRACION REMOTA Podemos administrar NanoServer abriendo una sesién remota de Powe-Shell En el caso que el NanoServer no disponga de direccién IP, podemos asignaria, or consola, ‘Ejemplo de administracién remota de NanoServer via PowerShell: Si a direcci6n IP del NanoServer es: 10.48.1106 y las credencialss para iniciar sesi6n local son: Adninistrator, password: Ocpronot, el emd-et a ‘*jecutar desde otro equipo seria: “popronoi" =AaPlainfext “Fores}}; ‘Sin embargo, al ojecutar el cmelet, es posible que nos encontremos con el Siguiente error: Enter-PSSession: Connecting to remote server 10.48.1.106 failed with the following error message : The WinRM client cannot process the request. If the ‘authentication scheme Is diffrent from Kerberos, orf the client computer's not Joined to a domain, El error anterior es debido a que la direccién IP del NanoServer no est incluida ‘como “Trusted Host” en el equipo que queremos utlizar para conectar al mismo. Para ver la configuracién: Para establocer la IP del NanoServer como Trusted Host Set-Iten Path witian\localnost \Client\trvstedioats "Value 10.48.2.108 Ejecutando el cmd-et: set-iten, si queremos afiadir mis de una IP como “Trusted Host’, podemos utilizar el parémetro ~Concatenate “73WS2016LABS ~ winoows Senvek 2016 ~ ane cnerie ‘Si hemos iniciado una sesién remota de PowerShell a un equipo con Windows Server instalado, podemos saber si se trata de un NanoServer 0 no cexaminando una clave en ol registro: easy EE reso | ‘Primera ventana de PowerShell: NanoServer ‘Segunda ventana de PowerShell: Server GUL También, ible admis noServer_utl ServerManager oconsolas MMC de forma remota, Por ejemplo: [Abrimos la consol MMC de: “Administracion de equipos": conpmgnt msc ‘Si nos situamos sobre “Administracion de equipos”, bolén derecho, “Conectar ‘on otro equipo” e introducimos la direccién IP del NanoServer, podremos administra, 'Si desde la consola MMC, intentamos conectar al NanoServer y nos aparece tun mensaje similar a est: ‘Computer "XX.XX.XX.XX" cannot be managed. Verity that the network path is ‘correct, the comguter 1s available on the network, and the appropiate Windows rowall 74.WS2016LABS ~ Winoows Seaver 2016 ~ tancnenss Es posible que se trate de un problema con el frewall de Windows que odremos resolver o bien configurando las reglas de conexion o bien desactivando el firewall Para desactivar por completo el firewall de Windows en un NanoServer, una de las formas es ejecutar via PowerShell remota (habiendo ejecutado antes Enter-PSSession conta el NanoServer): 8.4. LABORATORIO: INSTALACION ROLES 8.4.1, INSTALACION OFFLINE Si examinamos la carpeta NanoServer situada en la ISO de instalacion de. Windows Server 2016, nos encontramos con la carpela: Packages En la carpeta Packages, vemos todos los roles posibles que podemos instalar ‘on nuestro NanoServer: -75-WS2016LABS — Winoows SeRvER 2016 ~ sucmine Si queremas instalar alguno de los roles, deberemos mocificar ta imagen original VHD o VHDX. Por ejemplo, para afiadir el rol de IIS @ nuestra imagen de NanoServer eberemos ejecutarlos siguientes pasos: Imaginemos que nusstra imagen de NanoServer est ubicada en: ¥ la ISO de Windows Server 2016 esta conectada en la unidad Ejecutamos: cal DilWtanoderver\onctesverimgeGenerator\anoserverinageGenera-or.pamt ed C:\Wanoservertnage\ er anosecveriaage Nanos th .\bese -Targetath 8.4.2, INSTALACION ONLINE Cra forma de instalar paquetes dentro de NanoServer es utilizar OneGet, pero ‘equeriemos de conoxion a internet Intalames ¢ impos ol proveeder de paquetes Buncaron poqusit Instalamos paquete: Tastall-WancServertackags “Hane *cronafe-Nenoserver-conealare= -76-WS2016LABS ~ winoows Semven 2015 ~ 8.5. SYSINTERNALS PARA NANOSERVER: La compania Sysinternals fue fundada por Mark Russinovich en 1996 y en 2006 fue comprada por Microsoft Lae Ferramiontes de Syalnternals son muy conocidas entre los administradores. de sistemas, seguro que en muchas ocasiones hemos tabajado con herramientas de Sysintemals como: peexec, contig, adexplorer, entre muchas otras. Todas las herramientas son portables, de tamatio muy reducido y han sido. desarroliadas con C, C++ 0 ensambladcr. Las utlidades y el desarrollo de las mismas contindan a dia de hoy y las odemos descargar y utlizar de forma gratuita, La novedad en 2016 es que Sysinternals ha lanzado una suite de herramientas ‘espexiticas para NanoServer, Estas herramiontas pueden también descargarse de la web de Sysinternals de forma gratuita y las podemos probar no solo en NanoServer sino que también fen cualquier equipo con Windows de 64bits. Todas las herramientas de Sysinternals para NanoServer son en entorno de linea de comandos y han sido compiladas @ G4bits, recordemos que NanoServer no dispone de soporte para 32bit. Ly ne a) Le Sen oe one a] ot La prmera vez que queramos utizar cada herramionta, deberomos ejecutaria con elpardmetto: -accepteula “7WS2016LABS — Winoows SexveR 2016 ~ sum cnerte Ejemplo: DUG4: Tamafo una carpeta o unidad CCon la herramienta usa, podemos ver el tamafio en disco de una ruta que ‘especiiquemos como parémetro, or ejemplo: En esta compllacién de NanoServer que hemos realizado, el ‘espacio en disco ocupado por todo el sistema operatvo es inferior a 1GB, TE. T8.0.2]" FS CGY Dv vi.6 - Directory disk usage reporter Copyzigte (cl 2005-2016 Mark Ruseinevich Directories: 2228 Size on disk: 790,684,382 byses 9, CONTENEDORES ‘9.1. MAQUINAS VIRTUALES VS CONTENEDORES En Windows Server 2016, se introducen los contenedores, sin embargo, esta ‘tecnologia no es algo nuevo. La idea principal acerca de los contenedores es que el sistema operativo sea ‘capaz de ofrecer miliples instancias. de usuario (contenedores) aislidas entre El nivel de aislamiento de los contenedores siempre seré inferior al de las méquinas vituales (VM), ya que con contenedores se comparten elementos ‘comunes con e! sistema operative que iniia y gestiona los contenedores. ‘Si hemos tocado sistemas Linux o Unix, una de las primeras implementaciones, ‘de contenedor es chroot (1982) y otra ya mas actual es Docker (2013). Uno de los elementos que diferencian Ia evolucién de las distintas implementaciones de contenedores es el nivel de aislamiento, por ejemplo, ‘mientras que chroot no permite que cada instancia disponga de una red distinta ‘© un limite de RAM ullizada, Docker si Los contenedores ton una alternativa a la vitualizacién a nivel de maquina ‘virtual (VM), es virtvalizacion a nivel de aplicacion. -78-WS2016LABS ~ winoows Seaver 2016 — 1 Los contenedores permiten paquetizar aplicaciones y asi poderlas moverias de. servidor utiizando menos recursos (CPU, espacio en disco, etc) que la virtuaizacién a nivel de méquina virtual Por oro lado, #1 desplieaue, inicio o parada de un contenedor es mucho mas. rpide que el de una msquina virtua Vis (miquinas viruales) VS contenedores ‘Cada VM tiene un SO propio: Kernel, pagefile. sys, DLLs, etc. que carga e! contenedor. Zlatan os a rve de SO_—| ETajameio es arivel de apioac@n La implementacon de contenedores que encontramos en Windows Server 2016 olrece dos tipos de contenedores: ‘Windows Server Containers" y “Hyper- \V Containers ‘Se comparte Kemel, DLLs, del SO La diferencia entre ambos es e1 nivel de aislamiento que ofrece cada tipo: Los “Hyper-V Containers” ofrecen un mayor nivel de aislamiento que los “Windows Server Containers" Ejemplo practico: + Descripién del escenario: Debemos implementar el siguiente escenario con los requerimientos Ingicados: = Tres sorvidores web IIS (Intemet Information Serves) dstintos para hacer funcionar tres aplicaciones web distintas. No queremos un solo IIS con tres sitios web cenfigurados ya que requerimos un cierto nivel de aislamiento entre las tres aplicaciones. * Opciones: Con Windows Server 2016, disponemos de las siguiewes opciones para Immplementar of escenario: 1. Server GUI Disponible en versiones anteriores @ Wir2016. 2. Server Core: Disponible en versiones anteriores a Win2016. 3. Nano Server: Disponible a patr de Win2016. 4. Contenedr de Hypa-V: Disponible a partir de Win2016. 5. Contenedor de Windows Server Disponible a partir de Win2016, -79-WS2016LABS — Winoows Seaver 2016 - sn crete * No en todos las escenarios que nos encontremos, dispondremos de las 5 opciones. Por ejemplo: Existen roles que no funcionan en “Server Core", "Nano Server" o en contenedores. Consideraciones: ~ bes 11.2.3 60 implementacin. vitual (VM) Esto significa que cada maquina virtual dispondra de su propio sistema ‘operative completo: kemel, drivers, librerias. Et nivel de aistamiento que se consigue implementando las opciones 1,2 y Ses el mismo, ~ La.diferencia fundamental entre tas opciones 1,2 y 3 es lo pecuefio que ‘uede hacerse el sistema operativo: “Server GUM sera més grande que “Server Core’, mientras que “Nano ‘Server" seré mas pequefio que "Server Core’. CContra mas pequefio, menos consumo de recursos: CPU, RAM, HDD, parches, etc, ~ Nivales de aislamianta: Las opciones 4 y 5 compart elementos del sistema operativo que inicia Y gestiona fos contenedores, por lo tanto, el nivel de aislamiento entre ios contenedores no es toal como en las opciones 1,23. ~ Diferencia entre es opciones 4 5 La diferencia entro las opciones 4 y 6 o¢ ol nivel do aislamionto y el ‘consumo de recursos. Partimos de la base de que un contenedor siempre necesitaré menos recursos para funcionar que una VM. Los contenedores de "Hyper-V" requieren més recursos que los Contenedores de Windows Server, sin embargo los contenedores de Hyper-V" offecen un mayor aisiamiento que los contenedores de Windows Server. ~80-WS2016LABS - Wnoows Seuves 2016 + Conclusion ‘Ademas de elementos como la comodidad, faciidad, estandatzacién, entre: ‘otros, para tomar una decisién, deberiamas tener en cuenta: ‘Nel de aislamiento: Deberemos analizar el nivel de aislamiento que queramos entre las 3 ‘aplicaciones web, para un aislamiento total: Implementar 3 maquinas. vituales (opciones 1, 2 y 3), mientras que para offecer un asiiamiento- parcial: 3 contenedores (opciones 4 y 5). Hay que tener en cuenta que la opcién de contenedor de "Hyper-V" offece lun mayor grado de aislamiento que e! contenedor de Windows Server. ~ Consumo de recursos: Por otro lado est el consumo de recursos, Si requerimos de un nivel de aislamiento total: Opciones 1, 2 y 3, deberemos elegir teniondo en cuenta el consumo de recursos @ utizar Mayor consumo: ServerGUI, menor consumo: NanoServer. ‘Si por el contrario, decidimes usar contenedores: Mayor consume: Ceentenedor de Hyper-V, menor consumo: contenedor de Windows Server. 9.2. IMAGENES Y TIPOS DE CONTENEDOR \Vearros la siguiente taba: pessoas Ee puede iniciar contenedores con. ‘Windows Server Containers | Windows Server Containers win2016 GUI | Hyper-V Containers Win2016 | Windows Server Containers | Windows Server Containers ServerCore Hyper-V Conta perV Containers ingots Hyperv Containers | Windows Sever Containers lor Hyper-V Container Para unlender el significado de ta tabla, hemos de entender dos conceptos sobre os contenedores:WS2016LABS - winoows Server 2016 — saucer 1) Limitacion por el "Host Operating System’: El sistema operativo que inicia y gestiona los contenedores puede cargar dos tipos de imagenes. La imagen asada en Servercore y la imagen basada en NanoServer. Fiémonos que existe la siguiente timitacion Un ‘Host Operating System” con NanoServer, no puede iniciar una imagen de ‘SarverCore basada en el tipo de contenedor: “Windows Server Container’, en cambio si puede iniciar una imagen de ServerCore basada en el tipo de Contenedor de "Hyper-V" 2) Limitaci6n por el tivo de imagen: Una imagen de contenedor estaré limitada alo que se puede eecutar en ella, es deci, estaré limitada al sistema operativo del que se basa la imagen, Por ejemplo: Una imagen de NenoServer aunque sea iniciada desde un “Host Operating ‘System de ServerCore, nunca podré ejecutar aplicaciones de 32bits, ya que la imagen de NanoSever se basa en el sistema operativo "Windows Server 2016 NanoServer que no soporta emulacion para aplicaciones de 32bits. 3) Sxston dos toos de contenedo: Contenedores de Whdows Server y Contenedores de Hype, u diferencia reside en el grado de asamieno. Los Contenedores de Hyper ‘ofecan un mayer grado de. alslamiento. En un Sprtado posterior vrorose dete de as erences ene ambos tos. aeWS2016LABS - Senven 2016 9.3. INSTALACION Pasos previos: 41) Scbre el equipo que iniciara los contenedores: Deberemos asegurarnos de {ue hemos realizado un “Windows Update” y que hemos aplicamos los uitimos. parctes. 2) Si vamos a probar los contenedores sobre una maquina vival, deberemos ‘asegurarnos que tenemos la virtualizacion anidada activada, ‘Sobre un sistema operativo Windows Server 2016 fisico o virtual, seguimos los siguientes pasos: 1) Atadimos ta caracteristica de contenedores: ‘Abrimos una ventana de PowerShell como administrador y ejecutamos: “Esta accién también la podemos realizar desde GUI con: servertanager. ex Une vez instalada la caracterstca, veremos instalado en el equipo un nuevo interfaz de roa ‘Adaptadores do red después de in LE: \>ipcontig Cee carters eae eae an Sees Pea erty Rares See a) eee SPH at r tr an Coe a Los containers que creemos, se comunicardn por NAT con este nuevo interfaz de red,"WS2016LABS - winoows Senven 2016 — sane cane También es buena idea instalar el rol de Hyper-V, asi podemos niciar contenadores Hyper-V: instoll-hindowsPesture “Mane Hyper-V -Restatt ~InclodeallsubFeature ~ Ineludewanagemen®To01s 2) Instalamos Decker (requerimos conexién a Internet). Descargamos Docker: ‘hetps://down Lead. dockercon/ components /engine/windows~ Lii2/docker2ip" “outsila "senveTEMP\docker.tip" "Useba: rvar/oe- Descomprimimos el ZIP descargado: Expand-archive ~path "Senv:TENP\docker.2ip" ~Dostinationeath Somv:FrogranPiies Aiadimos el directorio de Docker al path del sistema: [environment]: setEnvirormentVariable("Path*, Senv:Fath +" Flles\bocker", [BnvivonnentvVariabletarget) :zhackine} “Para que of cambio tenga efecto, deberios cerrar la ventana de Powershell y volveria abrir Afiadimas Docker como servicio: Iniciamos ol servicio de Docker: ‘Verificamos si el servicio de docker est correctamente instalado BS Ci decker version APL version: 1,2 -84-WS2016LABS ~ winoows Seaver 2016 ~ tances Ele connie: G2a3e89 otis Fri Sep 23 20:50:29 2016 Os/arch: windows /amd6a Os/Arch: windows /anae 3) instalamos imagenes (requerimos conexién a Intemet) Pera instar las imégenes uiizaremos el comando docker pul. Con docker pull, el cliente de docker se conectaré al servidor publico de decker ino Paused® 0 Stoppeds 2 Storage river swarms inactive Kernel Verelon: 10,0 14399 (24399.206.and64ére.z01_releaco.160915~ beta) Jcperacing System: Windows Server 2016 Datacenter Bvaluation foStypes windows” Gros: 2 Gotal Memory: 3.966 GiB Mane: WiN-3QrOoR7 EER Ie AFIT 250: 1NO1- HAV HUGQ: MORI: ANDY NANT sRKPEC GWG: V227 NORE Goons Rose bist Cs\Progeanbara\dokor Debug node (elient)+ false Debug Node (server): false Roghatry: heepet/ index. dockor 10/21/ windowoti leer -88-WS2016LABS — Winoows Seaven 2016 ~ 127-0-0.0/8 19.5.3. LISTA DE CONTAINERS ACTIVOS. [essen eee cr] 9.5.4, LISTA DE TODOS LOS CONTAINERS a 9.5.5. DETENER UN CONTAINER ae eT > 9.5.6. BORRAR UN CONTAINER (| 9.5.7. CREAR UN CONTENEDOR A PARTIR DE OTRO El procecimiento es el siguiente: 4- Obtenemos el identticador (ContaineriD) del contenedor orien: [ise ps recreate er] 2- Detenemos el contenedor origen [ ot otter] 3- Reaizamos el commit del contenedor, para ello deberemos saber ol identicador (ContainerO). Para. saber el’ ContainerD, podemos. ejeutar: docke= ps -a (Heer comme com veroorerveraioal ———] Sil cantenedor no esté detenido, recibiremos este mensaje: “Error response from daemon: Windows does not support commit of @ running container” Podemos ver el resultado, ejecutando: docker imases -89-WS2016LABS ~ Winoows SeRvER 2016 - sana cmerez Si al eaesr of commit (docker_ comet), no hamosespectcadoverstn la Imagen garerad sera consierade como le iia (atone) 8.5.8, Ver 0s PROCESOS DEL NTERIOR DE UN CONTENEDOR Cbtenemos el Contino do un corenedor ques ind Examinamos los pocasos dl intro de contenedor jemplo de salide de ejecucion: FECA decker top ailimaabTe Working set tneo.one eos 234 250 xe Gera-oxe roe 103 $95.3 a6 Sininie owe eae 062 yee ts ervlees.exe tas 218 2136 We ene Sse 296 3268 svenost ene eae 038 1706 i ‘svchost.exe 3232 250 3.035 MB svenost ene Gat 750 22598 me Svenost one G36 062 3.199 ivenost ene 3300 O18 bares ee 9.5.9. EXPORTAWIMPORTAR UNA IMAGEN A FICHERO Para exportar una imagen a fichero y asi poderla transportar a otros equipos, ejecutaremos: docker save no e:\Costainers\sysadmit.tar sysadsit/vindowsservercore \y para cargar uns imagen de cantenadar que prnviamante ha sido exportado: docker load -4 ¢:\coneainers\aysadait tar Al set un fichero de extensién TAR, no dispone de compresin pero podemos “Ver su interior con un compresor de ficheros, por ejemplo WinRAR. -90-WS20161ABS - 9.5.10. DESCARGA, INSTALACION Y EJECUCION DE OTRAS INAGENES DE CONTAINERS Ejomple Hai 9.6. WINDOWS SERVER CONTAINERS VS. HYPER-V CONTAINERS Existen dos implementaciones de contenedores sobre Windows Server 2016: “Windows Server Containers” y “Hyper-V Containers” La principal diferencia entre ambos os que’ ~ “Windows Server Containers": Se comparte el mismo niicleo que el sistema ‘operative que gestiona el contenedor. "Hyper-V Containers”: Se dispone de un ndcleo distinto al del sistema ‘operative que gestiona el contenedorutiizando e! rol de "Hyper-V"WS2016LABS - winoows SeRvER 2016 ~ ances Con “Hyper-V Containers’ disponemes de un mayor nivel de aisiamiento, sin embargo consumen mas recursos y ocupan mas tamafio que los “Windows Server Containers" Microsoft recomienda el uso de “Hyper-V Containers” en escenarios mult- tenant, por ejemplo, en nubes pablicas. Los “Hyper-V Containers", no son VMs funcionando bajo el rot de Hyper-V, pero para que funcionen los "Hyper-V Containers” es necesario disponer del rl de Hyper-V instalado. De hecho, si ejecutamos un Hyper-V Container’ dentro de una maquina virtual, tendremos virualzecion anidada. Para iniciar un conlenedor de Hyper-V, basta con iniciar el contenedor con el pardmetro: Por ejemplo: Gosker von “Ie —-Taolatlonshyperw =p OUT ‘Sysninit /indowsservercore:versionl” povorsholl Recordemos: = Un contenedor tpo "Hyper:V", necesitaré el rol de "Hyper-V" instalado en el ‘equipo donde iniciemos el contenedor. = Un contenedor ‘po "Windows Server Containers", no necesita el rol de "Hyper-V" instaledo en el equipo donde iniciemos el contenedor = Si.es una VM la que lanza contenedores tipo "Hyper-V", se ullizara la lizacion anidada. es decir. un hipervisor dentro de oto hipervisor. Esta Tuncionalidad esia soportada a partir de Windows Server 2016. SoreWS2016LABS — Winoows Seaver 2016 ~ xa ci 10. MULTIPOINT 10.1. INTRODUCCION ‘Multipoint Server es un producto basado en Windows Server que permite. ‘Compartir monitor, teclado y ratén entre los clientes. La idea de Multipoint Server es utlizaro en entornos educalivos, por ejemplo: Proyectar una sesion a los demas, La novedad es que con Windows Server 2016, se incluye como rol dentro del sistema operativo, La comunizacién entre cliente y servidor puede realizarse utizando alguno de estos métedos: 1) conectando fisicamente: Se utiizarian cables USB y VGA al equipo donde sd instalado Multipoint Server 2) Utlizando_un_hub USB: EI método de conexién seria muy parecido al anterior. La idea seria conectar a un hub USB todos los equipos cliente y servider. 3) uttizando ROP sobre LAN: La idea seria utiizar el protocolo ROP (Remote Desktop Protoco) para conectar al servidor Mutipoint. Si se utliza este imétodo, serén necesarias lcencios RDS (Remote Desktop Services) ‘Antes de ser incluido en Windows Server 2016 como un rol: Multipoint server ta un producto separado, este es el historal de versiones: Windows MultiPoint Server Version Windows Server 2008 R2 Sobre Windows Server 2016, una vez instalado el rol desde ServerManager.exe, encontraremos el siguiente directorio de binarios y Hibrerias: +93WS2016LABS - Winoows Senven 2016 - sar omarse Las herramientas para administrar al rol de MulPoint, sarin as siguientes: Horramientas rol Multipoint MulPoint Op [progenies winds malensint Sever ogo ota -8" Collector ‘ TaeptaF leh nde RIGLSISE SONeE OEE OT 10.2. MULTIPOINT VS RDS Las principales dferencias entre Multipoint y RDS (Remote Desktop Services) ‘Multipoint esté pensado para entornos pequefos. = Con Multpoin’ es posible conectar via hubs USB, con RDS no. En una implementacién Multipoint con RDP, no serén necesarios los siguientes componentes: Remote Desktop Broker y RD Gateway. 10.3. LABORATORIO 1) Instalacion det rot Desde servermenager exe, instalamos ol rol "Multipoint Services” Recordemos que para instalar este rol no es necesario que el equipo esté safiadido a un dominio de Active Directory, puede estar en un grupo de trabajo. Al seleccionar el rol de “Mullpoint Services", nos seleccionaré aulométicamente tuna serie de caracteristicas. Entre las caraceristicas seleccionadas, vemos como los componentes necesarios de! servicio ROS (Remote Desktop Services) son dos: = Remote Desktop Licensing, Remote Desktop Session Host. Hemos de tener on cuenta: = Sila conexién a nuestro Multipoint Server se realizaré utlizando USB: No ser necesario el servicio RDS. -94-WS2016LABS - wine Si la conexién a nuestro Multipoint Server se realizaré vie ROP: Los dos ‘componentes seran necesarios y ademas necesitaremos licencias RDS, = Igualmente podremos probar su funcionamionto ya que las licencias RDS. {uncionan por defecto en modo prueba de 120 dias, sin realizar ninguna ‘accign, Una vez fnalizada la instalacién del rol, deberemos reiniciar el equipo, 2) crear usuario Si nos situamos en: \Veremos los accesos directos @ las herramientas de administracion de nuestro ‘Mutioint Server. ‘Abrimos la herramionta: MultiPoint Manager (vinsttanager .exe) 'Nos situamos sobre "Users", seleccionamos “Add user account” e inroducimos el nombre de usuario y contrasefa:WS2016LABS ~ wnnoows Server 2016 ~ rene censs “Multipoint Manager" Afiadir cuenta de usuario, oar connate Toivonen (9 hasten : %]| sso serscune fa ical ‘A continuacion, seleccionamos el rl del usuario: “Multipoint Manager Seleccion del rol del usuario Whatlevet of aces doyou manta give this user? © standard ser ~ tion Dsehboard ue anagem rom ay sation and se the 0 Adminitrative see ‘amine hae complet cer to Muon Sener, nd can make ny etanges onthe compute ‘A partir de este momento, el usuario ya tiene acceso via ROP y consola al servidor Multipoint. ‘Prueba de funcionalidaces Conectamos por ROP al servidor Multipoint con el usuario y contrasenta creado fen ol paso anterior. A continuacién, en el servdor de Multipoint, conectados como Administrado, abrimos la herramienta: MultiPoint Dashboard (Wmsbashboard.exe) veremos la sesién conecteda, si ejecutamas, botén derecho sobre la misma, jobtendremos todas las opciones disponibes: -95-WS2016LABS - winoows Seaver 2016 ~ ‘Mullipoint Dashboard": Opciones disponibl ‘Aigunas de las opciones que podemos encontrar: ~ Enlarge Selected: Veremos la pantalla completa de la sesién remota, CCualquier accion que se realice en la sesién remota la veremos. Block Selected Desktop(s): Bloquears la sesién @ impediré que el usuario pueda conectarse, = Take Control: Tomamos el control de la sesién. El usuario podré ver ruestras acciones. ~ IM Selected Desktop User: Chat con el usuario, podremos enviar y recibir mensajes de texto con el usuario. 4) Modo proyector sobre miitples sesiones CCreamos un segundo usuario, siguiendo los pasos indicados en el ‘Paso2" ‘Abrimos dos sesiones de RDP: Una con el primer usuario y otra con el segundo ‘A continuacién, en el servidor de Multipoint, conactados como Administrador, ‘abrimos. la herramienta: MuléPoint Dashboard (timsDachboard.exe) seleccionamos ambas sesiones, 97WS2016LABS ~ Winoows SeRvER 2016 ~ x1mcans Nos situamos sobre el botén “Project” y pulsamos sobre la opcién: “Project Your Desktop to All Desktops”. a Ie De ‘meng weiimieg —__vstsone_| | sng etn exon Dae Las dos sesiones soleccionadas, verdn nuestra sesin. oaWS2016LABS ~ winoaws Seaver 2016 ~ sa 11. DNS SERVER En el rol de DNS Server de Windows Server 2016, podsmos encontrar las siguientes novedades: 11.1. SUGERENCIAS RAIZ IPV6 El ichero referente a “Root Hints” (sugerencias raiz) se ha actualizado y ahora ‘ena lista de servidores, encontramos servidores IPv6: ‘GUI del DNS Server (dnongat mac) Fatt Sever ey oe suns Fame organ ss So {ROOT SERVERS NET 01004) (CROOTSERVERS NET (por stn2:e) ROOT SERVERS NET ‘Si hemos desactivado el soporte IPv8 del servidor, no hay problema ya que si ‘examinamos el fichero correspondiente a los "Root Hints, vemos que para ‘cada registro que apunta a una direccion IPv6, hay un registro que apunta a la dlireccion IPv4' Vista fichero “Root Hints™ 2.ROOT-SERVERS. NET. 3.ROOT-SERVERS.NET. 192.58, 128.30 2001150316271:2:30 5 OPERATED BY RIPE NEC ROOT -SERVERS.NET. 193.0.14.129, BABA 20011746012WS2016LABS ~ winpows Senven 2016 ~ sar curse Hemos de recordar que solo se ullizara el método de resolucién de nombres bbasado en sugerencias raz si: ‘+ No thay configurados reenviadores, ‘+ Hay configurados reenviadores, no se puede contactar con ellos y esti marcada la opcién en la pestafia “Forwarders “Use root hints. If no forwarders are available" (ia opcién est marcada por defect). 11.2. RESPONSE RATE LIMITING El rol de ONS de Windows Server 2016 introduce la caracterisica Response Rate Limiting (RRL). Response Rate Limiting (RRL) es muy util si nuestro ONS Server es visible desde redes no confables como Internet. A rivel conceptual, RRL, entre otras funcionalidades, nos permite establecer limites en et nimero de consultas que nuestro DNS Server puede contestar en tn determinado intervalo de tiempo. Gracias a RRL podremos por ejemplo mitigar ataques de denegacién de servicio (DoS - Denial of Service). Por defecto: RRL viene conigurado pero desectivado, ‘Viene configurado, significa que ya existen una serie de valores configurados, sin embargo la funcionalidad esta desactivada por defecto, Para ver la configuracion de RRL, debemos ejecutar desde una ventana de PowerShell BS i> Got-ENGGasverRL Tewteregsiongth Tbvebretinuength Node Podemos cambiar al valor de los parémetros con el siguiente cmd-iet: Set~ DusserverRRL -100-WS2016LABS ~ winoows SenvEn 2015 ~ saci La explicacion de cada parémetro es el siguiente (ente paréntesis, valores por detect + ResponsesPersec: Nimero de veces que ol servidor envia al cliente la ‘misma respuesta en un intervalo de un segundo, (5) + ErrorsPersec: Nimero maximo de veces que sl servider puede enviar luna respuesta de error (REFUSED, FORMERR, SERVFAIL) al cliente en un intervalo de un segundo. (6) ‘+ Windowznsec: "Tiempo de la ventana’: Periodo en segundos durante el ‘ual se miden las tasas y promedio para RRL Se aplica RRL si las consultas vienen de la misma subred, con la misma respuesta, Este ferémetro funciona conjuntamente | con: 2Fv4Prefixbength y aximumResonsesPerWindox (5) + lpvaPretixtength: Longitud del prefjo IPv4 en formato CIDR: Indica el ymafio de la subred en la que se agfupan las consultas entrantes, Por ejemplo, un valor de 24, indicaria: 255.255,255,0, Esta parametto funciona ‘conjuntamente con: Windowinsec y HaximunResoneesPerWindow (24) + IPvoPrefixtength: Exactamente la misma ‘uncionalidad que con: IPvdPrefixtength, pero con redes IPv6, (56) + Leakkate: Especifica las veces en que el servidor responderé a consultas ‘ue acaben con un DROP. El valor puedes oscilar de 2 a 10. Por ejemplo, un valor de 3 significa que el servidor contestara a una de cada 3 consultas @) + TruncateRate: Especifica las veces en que el servidor responderd a ‘consultas que acaben con un TRUNCATE. Funciona exactamente igual que LeakRate. (2) ‘+ MaximunRosonsesPeritindow: Nomero méximo de respuestas en las que © servidor puede enviar respuestas a una subred (pardmetro: ievéPrefixLength) en el tiempo de ventana especificado en el parémetro: Windowinsec (1028) ‘+ Node: Habilta 0 deshabilta la funcionalidad de RRL (Disable) “También tenemos disponibles una serie de cmd-ets para administrar una “sta bianca’ o lista de excepciones a la configuracién general RRL: Get-Conmand *oneserverkesponsekatel.imitingkixeeptionList -1n1-WS2016LABS — winnows SenveR 2016 ~ sum counes Por ejemplo: Add-DnsServerResponseRateLimitingBxceptionlist -Name "ListaBancaDominiol" ~Fqdn "EQ, *-SYSADMIT..con" Add-DneServerResponseRateLimitingexceptionlist -Name "ListaBancalnterfacel" -Serverinterface "EQ, 172.19.0.1" 11.3. POLICIES Las "DNS Policies’, es una nueva funcionalidad incivida en el rol de “DNS Server" que enconiramos en Windows Server 2010. La idea es que nuestro “ONS Server" conteste una cosa u otra dependiendo de tuna serie de parametros. 11.3.4. CONDICIONES POSIBLES EN LOS FILTROS [A configurar las “DNS Policies", podemos realizar reglas segin las siguientes Condiciones que se enumeran a continuacién A nivel conceptual: Podemos configurar nuestro DNS Server para que cuando '8@ le realicen consultas, segin la “CONDICION" especificada, este conteste Una respuesta u ota + Subred cliente (Client Subre Nombre de una subred, Indicamos el TCPIIP de la consulta DNS origen que {queremos utlizar como condicién + Protocolo de transporte (Transport Protocol): Protocolo de transporte utllzado en la consulta: puede ser UDP 0 TCP. + Protocolo interne internet Protocol Protocolo de red ulizado on la consulta: puede ser IPv4 o IP. + Ditoceldn 1 dol intetaz de! servidor (Server Interface IP adress) Interfaz de red dol servidor sobre el que Hlegaré a consulta DNS, + FODN (tully qualified domain sams} FODN del registo DNS de la consulta, Es posible utilizar comodines (*) - 102-WS2016LABS - winoows Senves 2016 + Tino de registro (Query type): Tipo de registro DNS: (A, MX, SRV, TXT...) + Time of Day Hora del diay: Horas en que la consultas ONS son recbides. 11.3.2. PASOS GENERALES A SEGUIR Para trabajar con las “DNS Policies’, es buena idea trabajar con subredes. (subrets) y amoitos de zona (zone scopes). rear subredes (ub. Las subredes nos sirven para definir segmentos de red distintos @ los cuales aplicr la politica. Ejemplo: Creamos dos subredes: Add-nsserverclientsubset -Mane "Subnet?" ~1Pvisubnet °172.19.0.0/16" 2) crear ambitos de zona (Zone Scones): Los ambitos de zona sirven para dofinir Ambitos distintos sobre una misma zona DNS. ‘Sobre estos émbitos podremos configurar a posterior las politcas, Ejompto: ‘Creamos dos émbitos de zona (zone scope) en la zona SYSADMIT.com: Add-onsServorzoneScope ~ZoneNane "SYSADNIT.com* Rane "ZoneSeopel" - 103 -"WS2016LABS - winoows Senvek 2016 ~ ance ‘3) Anadir reaistros sobre al émbito de zona (Zone Scope) ‘Sobre ol émbito de la zona, podemos crear registos: Ejemplo: CCreamos un registro tipo A en cada ambito de zona (zone scope): EDvanddreos *172,18-0-1" “Zonescope "ZoneScopel™ Add-OneserveckesourceRecord ~Zonelane “SYSADKIT com” -A Tovanddress *172-19-0-1" “Zonescope "tonescope2 ‘4, creamos hn eltica (ONS Poi Para administar las polticas de ONS, disponemos de los siguientes cmd-lets de PowerShet: ‘Get-DneserverQuezyResolutionPolicy Tenove-bnaservergueryRessluttonPOlLey ‘Si procedemes a crear una politica de DNS, utllzaremos el emd-et: Este cmd-et, dispone de una serie de parémetros comunes que podiemos utilizar: ‘Gambia la configuracion ds una politics de DNS. Pardmetros comunes al definir una politica de DNS: comd-let: Add-DnsServerqueryk [sane ae “Rosin a tomar si se cumple fa reglar ae ALLON, DENY, IGNORE, Baie Estado de la regia, por defecto estard habiltada, ta Enable, Disabled Pardmetro indicado en ef punto 7 ciientsubset | Definimos sobre que subred queremos apiicar la regla, or ejemplo, para indicar la subnelt: eq, Subnet” eioasABS — winoows Senven 2016 Pardmatro indicado en ol punto 2 Definimos sobre que émbito queremos aplicar Ia regia. or ejemplo, para indicar el Ambito sea ZoneScopet “zoneScopel, 1" ‘Orden de procesado ae la polica Por ejemplo, para que le politica se procese en primer lugar, indicamas como parametro: 1 Las condiciones que hemos visto en el punto anterior ("Condiciones posibles en los ftros") pueden concatenarse con un AND 0 un OR @ iran precedidas de un. 9 (igual) y un ns (no igual) seguido de un crite: Ejempios: plos de uso de EQy NE Iguala a subrod: 192,168.10) 255.255.255.0 50, TCP Tgual al protocole TCP. BO, 192.168.1-10 Tgualala drecoén iP. 192160/1 10 Tgual a cualquier cosa delante de la cadena sysadmitcon, TEM ‘Gualquier tipo de registro que no sea Na Enir as horas del dia: 20:00 y 22:00 £9, * -eysadmit.com 11.3.3. ESCENARIO DE EJEMPLO 1: DISTINTA RESPUESTA SEGUN RED TCP/IP. ORIGEN Ejemplo de diagrama de funcionamiento: Diagrama de funclonamlentor Distinta respuesta segiin IP origen Zona SYSADMIT.com ‘ane A 272,19.0.2, [fesuesn sree 105WSZ2016LABS ~ Winoows SeRVER2016 ~ arm cmare Ullizando “DNS Policies’, podemos conseguir que: ‘+ Sise progurta al ONS Server por el registo www .2ysadeit .com desde el ssegmento de red 172.18.0.0, contestar 172.18.0.1 ‘+ Sise pregurta al DNS Server por el registro www .eysadmit .com desde el ssegmento de red 172.13.0.0, contestaré 172.19.0.1 + Si se pregunta al ONS Server por ol registro www. sysadmit.com desde ‘cualquier red distinta a 172.18.0.0 © 172.19.0.0, na devolverd ningin resullado. ‘Sin ‘ONS Policies”, ‘Si creamos una zona DNS donde dos registros A con el mismo nombre (wi) apuntan a direcciones IP distintas, conseguiremos configurar un “DNS round robin’ ‘Ejemplo de DNS round-robin ee — cola a s7ealras ee “Sgeueet ie oem ce ‘Sin embargo, el objativo es que dependiondo del segmenio de red desde el ‘cual se realice la consulta, responda una IP u otra. Nocesitaremos: = Crear dos subnets. = Crear dos sc2pes dentro de a zona SYSADMIT.com = Crear los registros x dentro de cada scope. = Crear dos paces indicando subnet y scope. - 106 -WS2016LABS ~ wixoows Sexvex 2016 ~ \Veamos et paso a paso: 1) Disponemos de una zona en el DNS llamada “SYSADMIT.com’, si {queremos crearla con Powershell 2) creamos dos subnets: Con el cmd-let Acdd-Dnsserverclientsubnet, definmos las dos subnets ‘con la mascara en formato CIDR (Classless Inter-Domain Routing) EE Pequerta ayuda sobre ol formato CIDR: Formato CIDR Pw as [Mascara | | 255.0.0.0 — 8 & 255.255.0.0, c 255.255 255.0, 3) creamos dos scope sobre la zona “SYSADMIT. com’ 4) Creamos los registros A en la zona "SYSADMIT.com’, dentro de cada scone:WS2016LABS ~ Winoows SeRveR 2016 ~ wer cme * Si los registros a, Jos creamos fuera de los scopes, no se aplicardn las Policies que confguraremos en el siguiente punto, 5) Contiguramos las policies: + Policy: ALLOW - Subnet! - Scopet (zona SYSADMIT.com) + Policy2: ALLOW - Subnet2 - Scope? (zona SYSADMIT.com) Pruebas de funcionamiento: 72.18.0115 772.18.0.1 T27.0.0.1 () | iecalhost can't find www.sysadnit.con: Non-existent domain [ Prusba realizada desde o| propio DNS Server, indicando como servidor DNS: 127.0.0.1 sear poe ene \ddress: 172.19.0.1 Soa Sobrenems cote \ddress: 127.0.0.1 Ber Sarees er) - 108-11.3.4. ESCENARIO DE EJEMPLO 2: RECURSIVIDAD SELECTIVA La recursvidad de ONS esti activada por defecto en todas las versiones de Windows Server en el ol de ONS Server. La recursividad permite que nuestro DNS Server, resuelva consultas. sobre zonas que no son propias. Ejemplo de recursivided DNS: Desactivada Soo eee or henereaet annette reread TORE eet oan na Srna ree einer SEEisee ee we Scsc Senet rene earermeC eT enY ee ee eee) Tequierda: Consola DNS Server GUI (cnsmgnt .izc) , zonas configuradas fen el ONS Server: DI.local, S¥SADMIT.com Derecha: nslookup, Consulta al registro: nw. yaroo.es: se consulta por Lun registro de una zona que no esta configurada en el DNS Server Habillar o deshabiitar la recursividad * Con PowerShell: ( deshabilia/~enable 1, habilta) * Con CMD: (/ttoRecursion 1, deshabilta //toRecureion 0, habila) ‘Sobre in recursividad selectiva DNS: Con Windows Server 2016, es posible convigurar la recursivdad selectva, es decir actvar la recursvidad de DNS si se cumple una condiciénWS2O16LA3S ~ Windows SERVER 2016 ~ aon cms Ejemplo de diagrama de funcionamiento: Diagrama do funcionamiento: Preah wn oyenanie com + EI DNS Server dispone de dos interfaces de rec: 172.18.0.1 y 172.19.0.1 ‘+ Las consuites al ONS Server sobre zonas que no sean propias por el interfaz 172.18.0.1 serdn contestadas. ‘+ Las consuites al DNS Server sobre zonas que no sean_propias por interfaz 172.19.0.1 n0-serén contestadas. Implementaci: 1) Deshabilitamos la recursividad DNS a nivel de Scope: 2) ariadimos con un scope de recursividad llamado "Scope" wwe "Scope! -EnablaRecursion $trse = 110-WS2016LABS ~ wo 3) Permitimos ta recursividad sobre el scope en el interfaz 172.18.0.1 del DNS Server: 1, SCENARIO DE EJEMPLO 3: BALANCEO DE CARGA, Una forma de balancear la carga utlizando DNS es con “DNS Round Robin’. "DNS Round Robin” consiste en crear varios registros con el mismo nombre en Ja misma zona apuntando a distntas direcciones IP. En todas las versiones de DNS Server’ encontraremos la posibiidad de ‘onfigurar “DNS Round Robin’. El problema de “DNS Round Robin” es que todos los ragistros configurados, tendran ta misma priridad, Por ejemplo, si configuramos cuatro registros con el mismo nombre a IPs dlstntas, la prioridad de resuelva cada uno de lo registros sera del 25%, 25% [25%] 25% ww 172. 19.6.5 wow 1729.64 SYSADMIT.com Con "DNS Policies" es posible balancear la carga entre direcciones IP lndcando pdordades ditnasWS2016LA3S ~ Wincows Serves 2016 ~ xu comers Por ejemplo: Balanceo DNS con “DNS Policies” [tera] _SYSADMIT.com | Para implementar este escenario con “DNS Policies’, deberemos crear cuatro. Ambitos de zona ONS (Zone Scope) y situar un registro en cada Ambito de “zona, en total catto registro. Finalmente, crearemos la "DNS Policy’ con los cuatro ambos y la priridad en. ‘cada uno de elles, El detalle de Ia implementacion seria el siguiento: 1) Creamos una zona ONS: SYSADUTT. com: 2) Creamos cuatro émbitos de zona DNS: Add-DnsServeronescope ~ZoneName "SYSADWIT.com* wae *ZoneScope2" dd-DnaServertonescope ~doneName "SYSADMNTT tonescope3" -112-WS2016LABS ~ winoows Senven 2016 ~ xan cris 3) Atadimos un registro ww @ cada Ambito apuntando a una direction IP stint: ‘Add-DnaServerResourceRsoord ~Zonelane “SYSAOWIT, con” -A “Wane Neva" = Tevsaadross "272,19.0.2" =ZoneScope "ZoneScape2™ TPvahsdrese "172-19-0.3" Zoneseope *ZoneSeoped™ 4) Creamos la peitica: Add-nasorverQueryesolutsonPolicy ‘"Zonescopel, 50; Zonescop02, 15; ZoneScope3, 151 ZoneScopes, 20" ~ZoneName lame "Policy" -Action ALLOW -FODN Para realizar la prueba bastaria con realizar consultas al ONS Server por el registro: www. sysadinit.com y podremos verificar el % de as respuestas. -113-WS2016LABS - Winoows SenvER 2016 - rans course 12. IPAM 12.1. INSTALACION Y CONFIGURACION INICIAL, La funcionalidad IPAM (IP Address Management) se introduce por primera ‘casién en Windows Server 2012. IPAM permite la monitrizacién y administracion de la infraestructura IP de a red. 42.4.1. PASOM: INSTALACION Podomos instalar IPAM, desde ol ServerManager: Select features Select one or more festue fo sal nthe selected Insisaton ype Features ae (Dw Howae Web Core ME ces ring cet otter > Manage > Add (les and feaures > Panlala "Features> Selecconamos: “IP Address Management (/PAM) Server. ‘0 bien con PowerShell Install-WindowsFeature IPAM ~IncludeManagenent Tools EL servidor donde instalar IPAM, co queda sac un controlador de dominio, debe ‘ser un servidor miembro. ‘Sise requiere monitorizer DHCP. no instalar IPAM en ol DHCP Server, 'Una vez instalado IPAM, procedemos a su configuracién -u4-WS2016LABS ~ winsows Senven 2016 12.1.2. PASO: PROVISIONAR IPAM ServerManager > IPAM > (2) Provision the IPAM server, [> Podemos elegir Utlizar un motor de base de datos propio o bien coneciar a Lun "SOL Server” existente amos uso WI0) > Configuracion manual o basada en GPO, (Seleccionamos GPO), -115-WS2016LABS — Winoows SeRvER 2016 - xm cars Una vez fnalizado el asistente, el sistema creard: ‘+ Base de datos IPAM en fornato WID. ‘+ Tareas programadas en el IPAM Server para recopilar datos. + Grupos de seguridad locales en el IPAM Server para asignar derechos de administrador. ‘+ Activacion del IP address tracking en IPAM Server. 12.1.3, PASO: SERVER DISCOVERY ‘ServerManager > IPAM > (3) Configure Server Discovery Seleccionamos et dominio de AD y los elementos a monitorizar: DC, ONS y DHCP. 12.1.4, Paso4: GPOS Iniciamos ol procedimiento de generacion de GPOs: Datos de ejemplo: *+ Profi de las GPOs (defnido en el paso 2): TPAM ‘+ Nombre de dominio de AD: D1 ..ocat + Nombre del servidor de IPAM: $2.01. Local Ejecutamos emd-let de Powershell Invoke-IpenGpoP orisoning -Donain D1. local ~GpoPrefiaieme IPAM - Ipanserverrain §2-D1-local Ejecucion de: invoke-IpanGpoProvisioning Por defecto, las GPOs serdin creadas en dentro de Group Policy Objects y ‘vineuladas a nivel de dominio. -116-WS2016LABS ~ © A Fores Di loc de Domains| of Dllec Deut omin Poy aw. . NS D mawconce AMON Reboot del IPAM Server y Reboot del DC, DHCP y ONS para forzar que se apliquen las GPOs Je equipo, 12.4.8, Pasos: {ONFIGURAMOS SERVIDORES A MONITORIZAR, ‘Server ManagenIPAMISERVER INVENTORY PV4 ‘Sobre IPv4, botén derecho, “Add Server” y configuramos: ‘+ Server name (FQDN): $1 = Server type: Seleccionamas Dc, DNS Server + Manageability status: vanaged jezvermanager exe: PAM, afladir servidor. -17-WS2016LABS ~ Wrnoows SenveR 2916 ~ sence 12.2. FUNCIONALIDADES CON WINDOWS SERVER 2016 12.2.1. DNS SERVER 1) Permite editar de ta zona DNS: Nos situamos en: (SYSADMIT.com, es ol nombre de fa zona) ‘Server Manager\IPAM\MONITOR AND MANAGENDNS Zones\Forward LookupiSYSADMIT.com ere 2) Permite realizar fitros de zona DNS: Utiizando fitros, podemas fitrar la salida utlizando una serie de exterios y ‘encontrar de forma répida los registros que busquemos. Es posible anidar varios fitos, [Nos situamos en: (SYSADMIT.com, es el nombre de la zona) ‘Server ManagenIPAM\MONITOR AND MANAGEIDNS Zones\Foward LookupiSYSADMIT.com = 118-WS2016LABS ~ winpows SeaveR 2016 ~ xtc 12.2.2. ROLES ¥ POLICIES Utlizando roles y policies, podemos delegar parte de la administracion de nuestro DNS Server y DHCP Server. El funcionamiento es muy sencilo: ‘+ Rok: Definimos las funciones que queremos delegar. Podemos utlizar 10s Toles predeterminados o bien definir roles con las caracteristicas concretas ‘que queremos delegar su administracén. ‘+ Palicy: Asignamos a un usuario / grupo local o de Active Directory el rol a delegar. \Veamos un ejemplo: 1) crear rot Nos situamos en: ‘Server Manager\IPAM\ACCESS CONTROLIRoles Botén derecho > “Add User Role...” Especiicamos el nombre del oly las funciones: Ser bee neat 4 ons eons armies Boman 2) crear poticy Nos situamos en: ‘Server Manager\IPAMACCESS CONTROL\Access Polcies 119-WS2016LABS ~ Winoows Seeven 2016 ~ nan cores Botén derecho > “Add Access Policy -120-2016 LABS ~ Winoows Staves 2016 13.11S 10 13.1. TABLA DE VERSIONES ‘Con Windows Server 2016 y Windows 10, se introduce una nueva versién de IIS (Internet Information Services), al versi¢n 10. ‘Windows 2000 Windows XP Professional Windows Server 2003 y Windows XP Professional 64 Windows Vista (Business y Ultimate) y Windows Server 2008 ‘Windows 7 y Windows Server 2008 R2 Windows & y Windows Server 2012 Windows 8.1 y Windows Server 2012 R2 US 8.5 Windows 10 y Windows Server 2076 US 40 13.2. SOPORTE “HTTP/2” 13.2.1. ACERCA DE “HTTPI2" El protocolo hiip’2 es una evolucién del protocolo hitp'.1 publicado en 1999. pondencia versiones-afios protocolo HTTP. HTTP/1.0, HTTP 4 Las mejoras introducidas en HTTPI2 son las siguiantes: ‘+ Multipexacion y concurrencia: Se envian varias peticones en la misma ‘conexién TCP y las respuestas pueden ser recibidas sin respetar el orden {e envio de ias petciones, + Clisnte_y orden de recursos: EI cliente puede indicar al servider que recursos son mas importantes que otros. 12WS2016LABS ~ wonoows SeaveR 2016 ~ rancor + Compresi6n_cabecera HTTP: El tamafio de la cabecera HTTP se ha reducido aplicando compresién, ‘+ Server push: El servidor puede enviar recursos que el cliente todavia no ha pedido. Gracias a estas mejoras, se reduce considerablemente ol tiempo de carga de las paginas web. ‘Algunas consideraciones précticas importantes: + Algo bastante obvio, lanto_el_servidor (webserver) como el_ cliente (navegador) han de soportar HTTP/2 + Servidores: IS 10 / Apache 2.4.12 0 superior. = Clientes: Chrome 41 / Firefox 36 / IE 11 (solo en W10 est hablitado por efecto) Edge Safar. + Solo funciona sobre HTTPs: A pesar de que ol protocolo esta pensado para {ue funcione sobre HTTP y HTTPs, es decir, no requiere encriptacion, las implementaciones cliente (Firefox, Chrome, IE), solo soportan HTTPI2 sobre Ts. = Si hemos de instalar Exchange Server, sogin la version y nivel de parches del mismo, podemos legit instalrio sobre sistema operaivo Windows. Server 2016, de esta forma tendremos IIS 10. La implementaciones de Exchange Tequieren HTTPS y al estar activado el protocolo HTTPI2, la navegacién por OWA y los acces0s via puerto 443 serdin mucho més rapidos.. 13.2.2. EJEMPLO DE DETECCION HTTPI2 Para veriicar que nuestro servider web utiiza ol protocolo HTTP/2, realizaremos los siguientes pasos: Configuracién webserver (I 1) Instataremos et rol de IIS y habilitaremos el médulo de soporte para .NET. Si disponemos ya del rol de IIS, podemos instalar el médulo de soporte para INET de la siguiente forma: ([Giaw Tonline Tenabie-featore [featorenaperIiS-AsPVeris Tan] = 122-WS2016LABS ~ wi 2) Configuraremos un registro DNS de test apuntando a nuestio webserver: Vista consola DNS (Gnangmt msc) Toe i wee Om aa FElcame ss pier. St of Author SOK) ML edo, host © 2 Fomarstcckop zones | F]samenspuen. NameSenerhS) ———shdliea vmadesDulea Elen Hosa) vayeate 5 sysa0Net com 3) Crearemos un site y activaremos HTTPs sobre et mismo. Para activar HTTPs, serd necesario un cerificado digital. Si ne disponemos de rringuno, podemos srear un certficade autotirmado desde la consola de II: Proceso de creacion de ceriicado autofirmade iar 7 Sm 2eNAeninwen | Be lO cate tpetcesen = Consola de administacion GUI ivan = _Gonsola de administracion GUI wsnairaysyarenan instar \Tne 123WS2016LABS ~ Winoows Senvek 2016 - sara coeses 4) Croamos un fichero .ASPX de prueba con el siguiente contenido: Seenter> ” Sntnl> Configuracién y prueba cliente (IE): 1) Verifcamos que nuestro navegador disponga de soporte para KTTPI2 y este esté activado. Ejemplo opciones avanzadas de Internet Explorer (IE) 2) Accedemes al site con IE y pulsamos #12 (herramientas de desarrclo). En la pestaia "Network", columna “Protocol, podemos ver HTTP/2, ‘Web TEST - Sysadmit.com roewnors 21440 -124-WS2016LABS - wixoows Server 2016 ~ sav one 13.3. NOVEDADES: 13.3.1. ENCABEZADO DE HOST CON COMODINES Es posible configurar encabezados de host con comdines. Por ejemplo, si configuramos un site con el siguente encabezado de host: ‘.sysadnit.com, — tesponderé. a: uww.sysadmit.com blog. sysadmit .com, mail. sysadmit .com, et. Ejemplo de configuracion de encabezado de host ‘con comodines on un sits. ‘También podemos realizar la configuracién, ulizando PowerShel! [New-wobsinding —Nane “oetault web Site” —TPaddreve "-™ “For #0 >] Hoseleeder’ 13.3.2. NO MOSTRAR EL SERVERHEADER Utiizando la herramienta appena.exe es posible esconder el “ServerHeader” E1"ServerHeader’ muestra la versién de IIS en las conexiones hitp/https Podemos hacer la prueba con la herramienta teine=: 1) Instalamos el cliente de ceinee (no instalado por defecto desde Windows ‘Server 2008) 125-WS2016LABS ~ Wonoows SeavER 2016 ~ um caer: 2) ceinet a.un servidor web: [eainet wetearver 80 neap / uree/ Pulsamos ENTER dos veces Fjemplo de respuesta sin o con ServerHeader Cemetery Pastel 3) Para oliminar el ServerHeader: + Renoveserveriieader, no s@ aplica desde localhost, es decir, para realizar la prueba, no.ulizar: telnet 127.0.0.1 80 = 125-WS2016LABS ~ winoows Senver 2016 ~ aye one 14, FILESERVER 14.1. GPO: ENABLE WIN32 LONG PATHS Todo administrador da sistemas se ha encontrado an alguna ocasién con t sigtiente problema: "ruta demasiado larga”. A intentar crear 0 eliminar 0 incluso leer una estructura de directorios de mas. all de 256 caracteres, nos podemos encontrar con alguno de estos errores: “No se puede toner acceso a esta carpta” “Ruta de acceso es demasiado larga "No se puede crear la carpeta XXXX" "E] nombre de archivo ola extensién es demasiado argo.” En inglés: “fle name oo ong” o ben “path 00 long’ Una vez nos encontramos con el error, si lo que queremos es elimi estructura, podemos utilizar la siguiente técnica 3y Cs\CARPETA-VACIA D:\PILES\ yyy /MIR /XID PIF (REL fst Se utiiza et comando rabocopy con el parémetro wR y realza una copia ‘espejo donde el origen quedara sincronizado con el destino: Sila ruta origen es ‘una carpeta vacia (C: \CARP=:7A-VACTA), se eliminarin todos los ficheros del destno (D: \PrLES\yyyyy) aunque existan rutas demasiado largas. Mas deta en: httpstwww.sysadmit.con/2015/08windows-borrar-rutas-largas html ero de hecho el problema de “Ruta de acceso es demasiado larga" y los 256 ccaracteres no ocurre debido a una limitacion en el sistema de ficheros NTFS. El sistema de ficheros NTFS no tiene la limitacion de los 256 caracteres, El problema reside en la API de Windows y la variable MAX_PATH def 260 caracteres como maximo, ida a ‘Si para administrar la estructura (crear, eliminar, ber) la_herramienta on -cuesiién ulliza la API de Windows con la variable MAX PATH tendremos el problema, por ejemplo, utiizando et “Explorador de Wirdows”. 127-‘WS2016LABS - Winoows SeavER 2016 ~ xxmcmne Gon Windows 10 a partir de los parches publicados en agosto de 2016 (Asmiversary Update) © ein Windows Server 2016 RTM se incorpora lo que podria resuitar la solucién dafiniva del problema: Ultiizar una directiva de ‘grupo (GPO) de equipo. Esta GPO de equipo la podremos encontrar como GPO local (gpedit msc) 0 ‘como GPO de dominio (gpnc.nse) Ubicacion de la. GPO en inglés: Policies > Computer Configuration > Administrative Templates > System > FileSystem > Enable Win32 long paths BF eoaievint mare Lobes aes] Tse] =? Ei Oates iSite scig torr og Polticas > Configuracion de equipo > Plantilas administrativas > Sistema > ‘Sistema de ficheros > Habiltar rulas de acceso Wind? largas rAtenet Especial atencién con esta GPO porque si la activamos: La configuracion queda guardeda fuera de la zona del registro dedicada a las poliicas. Esto significa que la administracién de la politica deberd realizarse como si se twalase de una preferencia, por lo tanto, una vez activada y aplicada la para deshacer los cambios, serd necasario realizar una GPO contadictoria, = 128-Ws2016LABS ~ 14.2. STORDIAG Stordiag.exe es una nueva herramienta de linea de comandos introducida ‘por primera vez en Windows Server 2016 y Windows 10. Con stordiag.exe podemos recolectar eventos, logs y registos relacionados: con el storage. Podemos ver los parametros disponibles ejecutando: stordiag.exe /? ‘Su funcionamiento es muy sencillo, si por ejemplo, ejecutamos: Tr \Satardiag —checkFaGoneiatency ‘Veremos como en el directorio indicado, disponemos de un fichero ZIP y en su interior, los registros, logs, recolectados. Interior Storbiag.2ip dl Podriamos clasificar los fcheros generados en tres tipos: 1) Ficheros EVI: Eventos generados, podemos ver su contenido con el visor 4e eventos (event vur-mec) 2) Ficheros TXT: Salida de ejecucién de varios comandos relacionados con el Storage y el sistema de ficheros: chkdsk, fsutil y emlets de PowerShell Podemos ver su contenido con el bloc de notas. 3) Ficheros REG: Ramas del registro con informacion acerca del storage, Podemos ver su contenido con el bloc de notas. -129-WS2016LABS ~ Winoows SERVER 2016 ~ xvna cinta 14.3. REFS 14.3.1, NUEVA VERSION Y USC Con Windows Server 2016 se introduce Ia versién 3.1 dol sistema de ficheros ReFS (Resilient File System). Podemos ver la versién de un volumen formateado con sistema de ficheros REFS, ejeculando: fours1 fino refeinfo unidad Ejecuclén feutil fainfo eefainto sobre un Volumen REFS (@: Creer ase) Peet se Per Physical sector Seapets eet El sistema de ficheros ReFS s2 Introduce por primera vez en Windows Server 2012. Las caracteristicas clave del sistema de ficheros ReFS son: Incorpora verificacién y corrccién automética de errores en caliente, = Esté pensado para aloergar grandes vokimenes do datos. ‘Sobre un volumen ReFSS, ya nc es necesario ejecutar chkdsk Fjecuclén feutil sefeinto sobre un volumen RoFS (1) ee ieee eae ice tei ce ‘Sin embargo ReFS ain dispone de numerosas limitaciones. ReFS no permite: Deduplicacién, compresién nis, cirado de disco, hardlnks, cuotas Tampoco esta permitide instal el sistema operalivo en un volumen REFS. -130-Podemos comparar las caracterisicas generales de ReFS con NTFS, ‘ejecutando el comando: fsutil fsinfo voluneinfo seguido de la letra de. ‘unidad de un volumen NTFS y otro volumen con ReFS. AA pesar de sus limitaciones, desde su salida, ya se han realizado avances en la adopcidn de ReFS. Por ejemplo: Exchange Server 2013 y Exchange Server 2016 ya soportan volmenes con el sistema de ficheros REFS para albergar ficheros de base de datos (C.EDB), logs de transacciones y indices. Cuidado porque hay que desactvar el “integity bit” a nivel de fchero EDB 0 volumen: Get-Filetntegrity (para ver), Set-Fiieintegrity (para cambiar). Continua. siendo un requisito que la ubicecién de los binarios esté un volumen NTFS. = Es un sistema de ficheros soportado si vamos a utlizar “Storage Spaces’ ‘Veremos el funcionamiento de "Storage Spaces" en un apartado del iro, Una de las nuevas caractersticas que inciuye el sistema de ficheros ReFS len Windows Server 2016 es “Block Cloning’WS2016LABS ~ Winoous SeRveR 2016 ~ racers 14.3.2. “BLock CLonine” Come hemos visto en el punto anterior, si ejecutamos fsutil tsinfo vvollumein£o scbre un volumen, podemos ver sus caracterstcas. Entre las caracteristicas de un volumen ReFS formateado con Windows Server 2016 podemos ver la siguiente: “Block Cloning” Block cloning” permite clonar cualquier bloque de un fichero en cualquier otro bloque de cualquier otro fichero. “Block cloning” realize un remapeo con punters de clisleres Iégicos, (ubicactones fisicas en un volumen) del origen de una regi61 al destino de otra region. Después realiza un mecanismo llamado “allocate-on-write", que permite el asilamiento ene las dos regiones, de esta forma las regiones pueden ser Iguales o distintas. ‘A nivel concept.al este seria el diagrama de funcionamiento. “Block Cloning” Antes de clonar Region | Reference Count 1 “Block Cloning’: Después de clonar a Region| Reference Count c A 8 ¢ D -132-WS2016LABS ~ winoows Stavex 2016 “ “Block Cloning”: Al modificar los detos grabados Reference Count 1 2 1 1 1 Con "Block clonina” se consigue: = Ganar espacio libre: Clonacion de bloques ullizando punteros, es decir, no se “graba dos veces" = Volocidad: Al realizar “movimientas” de datos iquales se va mucho mas: ‘pido. ‘Muy importante: Las han de utilizar de forma expresa: = "Block Cloning” estaré disponible en el volumen ReFS pat programas, aplicaciones que decidan utlizar la funcionalidad aquellos. ~ Es decir, no todos los programas van a ullizar “Block Cloning” por el hecho. do situar los ficheros en un volumen ReFS formateado con Windows Server 2016. = Cada programa hard su implementacion especifica de “Block Cloning’. Veamos do 41) Con Hyper-V: Al realizar un *merge” de ficheros VHX, por ejemplo al eliminar un checkpoint (snapshot). 2) Veeam Backup v9.6: Al realizar un “Synthetic ful Veoam Backup: Synthetic Full Backup (RoFS) Synthetic Full Backup (ReFS)

También podría gustarte

• C.SUBV 2022 JM Mark

  

  Documento3 páginas

  C.SUBV 2022 JM Mark

  Carlos Or

  Aún no hay calificaciones
• Surge SEO Contenidos

  

  Documento137 páginas

  Surge SEO Contenidos

  Carlos Or

  Aún no hay calificaciones
• Palmeras de Hojaldre

  

  Documento1 página

  Palmeras de Hojaldre

  Carlos Or

  Aún no hay calificaciones
• • Revistas
  • Podcasts
  • Partituras
• Catalogo Electronico Quesos España

  

  Documento3 páginas

  Catalogo Electronico Quesos España

  Carlos Or

  Aún no hay calificaciones
• Coulis de Frutas PDF

  

  Documento1 página

  Coulis de Frutas PDF

  Carlos Or

  Aún no hay calificaciones
• Salsa Caramelo PDF

  

  Documento1 página

  Salsa Caramelo PDF

  Carlos Or

  Aún no hay calificaciones
• Salsa Chocolate PDF

  

  Documento1 página

  Salsa Chocolate PDF

  Carlos Or

  Aún no hay calificaciones
• Merengue Suizo y Merengue Italiano

  

  Documento1 página

  Merengue Suizo y Merengue Italiano

  Carlos Or

  Aún no hay calificaciones
• Tronco de Navidad

  

  Documento1 página

  Tronco de Navidad

  Carlos Or

  Aún no hay calificaciones