WINDOWS SERVER 2008

Novedades de Windows Server 2008

1. Server Core: es una versin que nos permite instalar un sistema operativo sin interfaz grfica. 2. PowerShell: inclusin de una consola mejorada con soporte GUI para administracin. Permite programar scripts. 3. Virtualizacin de Windows Server: mejoras en el rendimiento de la virtualizacin. Nuevo motor de virtualizacin llamado Hyper-V (sustituye al VirtualPC). 4. Windows Hardware Error Architecture (WHEA): protocolo mejorado y estandarizado de reporte de errores. 5. Address Space Load Randomization (ASLR): proteccin contra malware en la carga de drivers en memoria. 6. Sistema de archivos SMB2: versin 2 de SMB, de 30 a 40 veces ms rpido el acceso a los servidores multimedia. 7. Kernel Transaction Manager: mejoras en la gestin concurrente de recursos. 8. Cierre limpio de Servicios: se acab el tiempo de espera antes de la finalizacin de servicios. 9. Creacin de sesiones de usuario en paralelo: reduce tiempos de espera en los Terminal Services y en la creacin de sesiones de usuario a gran escala. 10. Nuevo proceso de reparacin de sistemas NTFS: proceso en segundo plano que repara los archivos daados. 11. Arranque diferido de servicios: tambin incluido en Windows Vista y 7, permite hacer ms rpido el inicio de Windows ya que no se cargan todos los servicios al inicio, sino que alguno se cargan en una segunda fase. 12. Windows Deployment Services (WDS): permite instalar sistemas operativos Windows por red. Es el sucesor de Remote Installation Services (RIS). Inicialmente pensado para desplegar Windows Vista, 7 y 2008 Server, tambin se puede utilizar con sistemas Windows anteriores.

Ediciones
Web Editin: para albergar servidores web. A diferencia con Windows 2003, esta edicin permite arquitecturas de 64 bits. Contiene el IIS pero no servidores de archivos ni de impresin. Soporta hasta 4 procesadores (de 32 o 64 bits), hasta 4 GB de RAM en 32 bits y 32 GB en 64 bits. Standard Edition: para pequeas y medianas empresas. Soporta el mismo hardware que la Web Edition. Incluye servidor de archivos, de impresin y de comunicaciones, Directorio Activo y Terminal Server. Es la edicin ms utilizada. Slo permite utilizar una imagen virtual con hyper-V. Enterprise Edition: para medianas y grandes empresas. Soporta hasta 8 procesadores (de 32 o 64 bits), 64 GB de RAM en 32 bits y 2 TB en 64 bits. Permite aadir memoria en caliente. NUMA. Clster de hasta 16 nodos. No limita el nmero de conexiones VPN (como hace la versin standard). Permite ejecutar hasta 4 imgenes virtuales con hyper-V. Datacenter Edition: para grandes empresas de datos. Soporta hasta 32 procesadores de 32 bits y 64 procesadores de 64 bits; memoria igual que la versin anterior. Clster de 16 nodos. Conexin en caliente de memoria y procesadores. No limita la creacin de imgenes virtuales con hyper-V.

Funciones de un servidor
Servidor de archivos: facilita el acceso compartido de los datos a los usuarios aunque utilicen otro sistema operativo gracias al uso de NFS (Netword File System). Se permite compartir carpetas entre usuarios, fijar privilegios por usuario o por grupo, y establecer cuotas de disco por usuario. Con EFS (Encrypted File System) se mejora la seguridad cifrando el contenido. Con DFS (Distributed File System) se puede crear un sistema de archivos distribuido para que los usuarios accedan a los datos sin saber su ubicacin fsica. Tambin hace copias de seguridad. Servidor de impresin: publica las impresoras disponibles y establece privilegios de uso a los usuarios. Ofrece los drivers para los sistemas operativos que utilizarn la impresora liberando al administrador de tener que instalar los drivers localmente. Servidor de aplicaciones: con IIS 7.0. despliegue de servicios web usando UDDI. Servidor web 2

Servidor de terminales: permite que los clientes abran sesin en el servidor y ejecuten sus aplicaciones de forma remota. Terminal server. Servidor de acceso y directivas de red: puede trabajar como servidor de acceso remoto (RAS) utilizando VPN y NAP (Network Access Protection) para crear una red virtual entre un usuario remoto y el servidor de forma que este tenga acceso a los recursos de la red como si estuviera en la LAN. Tambin puede funcionar como un servidor de tipo RADIUS para autenticar y autorizar a usuarios de conexiones remotas como VPN o redes inalmbricas. Servidor de Directorio Activo: administracin centralizada de la red. Servidor DNS: proporciona a los clientes las direcciones IP de los servidores de la empresa. Normalmente con WINS es suficiente, pero si la empresa es grande y requiere acceso desde el exterior puede ser necesario instalar un servidor DNS. La instalacin de un controlador de dominio implica la instalacin de un servidor DNS que se ocupar de resolver las direcciones de los equipos del dominio. Aunque dicho servidor no tiene porque ser Windows, puede estar instalado en otro equipo de la red con otro sistema operativo. Servidor DHCP Servidor WDS (Windows Deployment Service): sustituye a RIS (Remote Installation Service) de Windows 2003. Permite instalar sistemas operativos Windows en los clientes desde el servidor de forma desatendida. Servidor de enrutamiento de trfico: Windows Server 2008 puede funcionar como un router y, por tanto, puede hacer NAT, convirtiendose as en un servidor de acceso a Internet.

DIRECTORIO ACTIVO
Controladores de dominio
Una de las principales funciones del servidor es la autenticacin y la autorizacin de los usuarios para acceder a los recursos y la comunicacin entre los clientes. El sistema tendr una base de datos con informacin de todos los objetos del dominio. Los servidores que tienen dicha base de datos son los controladores de dominio (DC), y deben tener instalado el servicio de directorio activo. El directorio activo se basa en el estandar LDAP. Los DC tienen la base de datos del dominio (ntds.util), un archivo de registro y una carpeta compartida (SYSVOL) donde se guarda todo el contenido pblico del dominio y que se replicar por todos los DC del dominio. Esta carpeta compartida

contiene datos como las polticas de grupo, secuencias de comandos de inicio y fin de sesin, etc. Windows Server 2008 utiliza un modelo de replicacin multimaestro, segn el cual cualquier DC es capaz de procesar cambios en el dominio y propargarlos automticamente al resto de DC.

Estructura del Directorio Activo

Un dominio se identifica por un nombre del tipo banpato.patosa.com. Los dominios pueden contener unidades organizativas, grupos, equipos, usuarios y directivas de grupo. Puede haber ms de un dominio, cada uno con su DC, existiendo una relacin de confianza entre ellos y compartiendo una rplica de la base de datos (el esquema). La estructura que forman es de rbol.

En la imagen tenemos un rbol, con 3 dominios: uno riz y 2 subdominios. No se puede utilizar un servidor como controlador de 2 dominios. Varios rboles forman un bosque. Entre rboles se puede crear una relacin de confianza. El primer dominio que se cree en el bosque ser la raz del bosque. Todos los rboles de un bosque comparten un catlogo global, la base de datos y los datos del 4

directorio, y cuentan con relaciones de confianza lo que permite que un usuario de un dominio inicie sesin en otro dominio del bosque.

Unidades Organizativas
Contenedor que puede tener usuarios, equipos, grupos y otras unidades organizativas. Permite organizar los objetos simulando su estructura real, por ejemplo, en departamentos. Son el elemento ms pequeo al que pueden aplicarse directivas de grupo. Tambin permiten dividir las tareas de administracin.

Cuentas de usuario
Se utilizan para permitir que usuarios inicien sesin en la red y accedan a recursos compartidos. Pueden ser locales o de dominio. Tienen una serie de atributos, por ejemplo, nombre, contrasea, direccin y telefono. Las cuentas se crean a nivel de dominio o de OU y una cuenta siempre pertenece a un dominio. Una cuenta permite la autenticacin del servidor y tambin define unos permisos por defecto a parte de los definidos en los grupos a los que pertenezca. La autenticacin consta de 2 partes: por un lado el inicio de sesin y por otro la autenticacin de red. Cuando un usuario inicia sesin con una cuenta de usuario de dominio, el sistema comprueba su identidad y le da acceso a los servicios del AD. Despus, cuando el usuario intenta acceder a los recursos de la red, la autenticacin comprueba si el usuario tiene permisos. Windows Server 2008 admite muchos protocolos de autenticacin de red, por defecto, utiliza Kerberos v5.

Cuentas de grupos o grupos

Son conjuntos de atributos a los que otros objetos pueden pertenecer. Se utilizan para gestionar los recursos de varios usuarios a la vez. Un grupo afecta a la seguridad del dominio mientras que la OU afecta a la funcionalidad. Un usuario de un grupo tiene unos privilegios para acceder a unos recursos. Un usuario puede pertenecer a varios grupos. Los permisos asignados a las cuentas de usuario y de grupo determinan qu acciones podrn llevar a cabo los usuarios, as como a qu equipos y recursos tendrn acceso. Existen tres tipos de grupos en Windows Server: Grupos locales: slo vlidos en un equipo local. Grupos de distribucin: definidos en el dominio, se utilizan como listas de distribucin de correo electrnico. No pueden tener asociados descriptores de seguridad, no se utilizan para la asignacin ni la administracin de acceso. 5

Grupos de seguridad: definidos en el dominio y se utilizan para asignar permisos a los recursos compartidos. Pueden ser tambin grupos de distribucin. mbitos de un grupo Dentro del AD los grupos pueden tener varios mbitos:

Grupos locales de dominio: se utilizan para asignar permisos de acceso a recursos dentro de un nico dominio. Sus miembros pueden ser cuentas, grupos globales y universales de cualquier dominio, grupos locales de dominio slo del mismo dominio. Grupos globales: se utilizan para definir conjuntos de usuarios o equipos del mismo dominio que comparten una funcin o trabajo similar. Sus miembros pueden ser cuentas de grupos globales del mismo dominio. Grupos universales: se utilizan para definir conjuntos de usuarios o equipos que deberan tener permisos aplicables a todo un dominio o bosque. Sus miembros pueden ser cuentas de cualquier dominio y grupos globales y universales de cualquier dominio. Son tiles en grandes organizaciones con muchos dominios, ya que simplifican la administracin del sistema.

Utilizacin de los grupos de dominio local, global y universal: Grupos locales de dominio: utilcelos para administrar el acceso a los recursos, como por ejemplo, impresoras o carpetas compartidas. Grupos globales: utilcelos para administrar cuentas de usuario y de grupo de un dominio concreto. Entonces, para conceder permiso de acceso a un recurso slo tendr que hacer miembro del grupo local de dominio al grupo global. Grupos universales: utilcelos para consolidar grupos que se extienden por varios dominios. Esto se consigue aadiendo gupos globales como miembros.

Cuentas de equipo

Sitios
Un sitio es una agrupacin de subredes. Normalmente se utilizan los sitios para optimizar el trfico de replicacin entre los DC. Existen dos tipos de replicacin: Intrasite: se realiza entre DC del mismo sitio. Esta replicacin se activa por un evento, a los 15 segundos de producirse un cambio se activa la replicacin. Intersite: se realiza entre DC de distintos sitios. Esta replicacin es programada cada cierto tiempo y se realiza exista o no cambios. 6

Por tanto, con los sitios reducimos la transferencia de informacin entre los DC de distintos sitios. Otra ventaja para crear sitios es que, cuando un equipo realiza una llamada a un DC lo har preferentemente a un DC de su propio sitio. De esta forma, garantizamos que los usuarios se autentificarn a DC de su propia red o subred. Si no existen sitios, un usuario se autentificar a cualquiera de los DC del dominio, aunque se encuentren en otra red o en una ubicacin lejana. Un equipo reconoce a un DC de su red por la direccin IP.

Referencias a objeto
Para hacer referencia a un objeto podemos utilizar una referencia absoluta o relativa. Relativa: si estamos dentro de un dominio o de una OU podemos efectuar una bsqueda usando el nombre relativo. Ejemplo: CN=nombre. Absoluta: debemos ir desde la raz del dominio superior hasta llegar al dominio, OU y el objeto. Los dominios se identifican con DC, las OU con OU y el objeto con CN. Ejemplo: CN=francisco, OU=formacion, OU=patosoft, DC=patosa, DC=com Esto recuperara la cuenta de usuario francisco. Otra forma sera: Patosoft.patosa.com/formacion/francisco Esta forma se llama nombre cannico.

Esquema del Directorio Activo

El esquema del directorio activo es el esquema de la base de datos donde podemos ver una definicin formal de todas las clases de objetos que se pueden crear dentro del bosque as como de sus atributos. Los dominios de un bosque comparten el mismo esquema, por tanto, si se modifica el esquema en un dominio lo estoy haciendo para todos los dominios del bosque. Por ejemplo, si quisiesemos aadir un nuevo atributos a la clase usuarios, este cambio afectara a todos los usuarios del Active Directory y se aplicara a todos los usuarios del bosque. El esquema se modifica desde la consola de esquema. Para habilitarla es necesario registrar la dll regsvr32schmmgmt.dll.

Maestros de operaciones
Existen algunas funciones que slo pueden ser realizadas por un servidor dentro del dominio y otras que slo pueden ser realizadas por un servidor dentro del bosque. A esos servidores se les llama maestros.

Funciones que deben estar disponibles dentro del bosque de un AD y que slo podr haber un equipo que realice cada una de estas funciones (puede que las realice un nico equipo):

Maestro de esquema: controla las actualizaciones y cambios del esquema. El esquema slo se puede modificar desde un CD, normalmente el primero en ser creado. Maestro de nombres de dominio: controla la incorporacin o eliminacin de dominios al bosque. Entre otras cosas, se encarga de validar los nombres de los nuevos CD para que no coincidan con otros.

Funciones que deben estar disponibles en todos los dominios AD, pero que slo va a poder realizar un equipo:

Maestro ID relativo o Maestro RID: asigna identificadores relativos a los CD. Los CD asignan un id de seguridad a cada usuario, grupo o equipo que se cree. Ese ID est formado por el id. de seguridad del dominio y el id. relativo. El ID de un objeto debe ser nico dentro del dominio. Para que no se pueda dar el caso de que dos CD le den el mismo ID a dos objetos, existe un maestro RID nico en el dominio que se encarga de darle rangos de id.relativos a cada CD de forma que un CD utilizar un rango ID distinto al de cualquier otro CD. Cuando un CD acaba su rango de ids le hace una peticin al maestro para que le asigne un nuevo rango de ids. Maestro emulador de PDC (Primary Domain Controller): permite compatibilidad con Windows NT. Procesa los inicios de sesin desde Windows NT, los cambios de contrasea y replica las actualizaciones en los BDC (Backup Domain Controller). Tambin gestiona las directivas de contrasea, si cambiamos una contrasea, nuestro CD recibe la peticin de cambio y se la enva al maestro PDC para que sea l el que realice el cambio, de esta forma centralizamos la tarea y evitamos problemas de incoherencia. Tambin se encarga de gestionar la marca horaria que se utiliza para la sincronizacin de los CD. Y algunas tareas ms. Maestro de infraestructura: tiene informacin parcial de todos los objetos del bosque para sincronizar cambios en los dominios del bosque. Si hay cambios en un objeto, el maestro de infraestructura los notifica al resto de maestros de

infraestructura de los otros dominios, de esta forma el bosque se mantiene actualizado. En un dominio slo puede haber un Maestro ID relativo, Maestro emulador de PDC y un Maestro de infraestructura.

Ejemplo de directorio activo

La empresa Patosa tiene empresas en la banca, BANPATO, en las telecomunicaciones, PATOTEL, de software, PATOSOFT, en automovilismo, AUZDA y de catering, CATEL a travs de la filial LCL. El dominio raz del bosque sera patosa.com, con subdominios para cada empresa, as como un rbol separado para la filial LCL con sus subdominios. La configuracin lgica sera:

BANPATO tiene sucursales en varios paises, para facilitar un rpido inicio de sesin y asegurar la disponibilidad en caso de que fallen las lneas de comunicacin necesitaramos un DC en cada pas. Vamos a implementar el dominio raz, un subdominio y el dominio raz de otro rbol del bosque. Cada uno de ellos es un servidor diferente y en localizaciones distintas, pero con la infraestructura necesaria para comunicarse.

El primer paso ser registrar los dominios y subdominios que vamos a utilizar. Los dominios de primer nivel (patosa.com y lcl.com) deberan registrarse en un servidor DNS pblico, mientras que los subdominios se registraran en un servidor DNS propio. Nuestro server DNS puede estar instalado en cualquier ordenador con cualquier sistema operativo, lo nico necesario es que los servidores que sean DC estean configurados de forma que puedan utilizar esos servidores de DNS. Instalacin del DC raz: ser la raz del primer rbol y del bosque de dominios de la empresa. Ser patosa.com. es necesario tener al menos una unidad de almacenamiento con NTFS. Al crear el nuevo DC, que ser la raz del rbol y del bosque, le damos el nombre patosa.com, este nombre debe estar ya registrado en el servidor DNS (en el pblico). El DA crea en cada DC una base de datos con informacin de todos los objetos que se van definiendo y un archivo de registro. Tambin se necesita una carpeta compartida donde se almacena el contenido pblico del dominio. Lo recomendable es que la base de datos est en una unidad de almacenamiento distinta a la del registro, de esta forma se mejora el rendimiento del dominio. La carpeta compartida sirve para almacenar elementos pblicos del dominio como polticas de grupo, que se replicarn entre todos los DC. Una vez instalado el DC raz pasaremos a instalar los controladores de los subdominios, por ejemplo, patosoft.patosa.com. al crear el subdomoino debemos indicar el dominio raz del que formar parte, es decir, patosa.com. Ahora tenemos en la organizacin un bosque con un rbol compuesto por un dominio raz del que formar parte, es decir, patosa.com. Ahora tenemos en la organizacin un bosque con un rbol compuesto por un dominio raz y un sudominio. Vamos a aadir un nuevo rbol al bosque, lcl.com. Tambin podramos instalar nuevos DC para un dominio, por ejemplo, porque el dominio abarca varias localizaciones geogrficas. Debemos indicar para que dominios queremos crear el DC. El nuevo DC puede configurarse como de slo lectura de manera que ser una copia idntica del primer DC pero no permitir realizar modificaciones.

Administracion de la seguridad
Los DC alojan la informacin y las funciones para autenticar los inicios de sesin y autorizar el acceso a los recursos. Ahora debemos crear las OU y cuentas de equipos y usuarios. El DC contendr OU y stas a su vez podrn contener ms OU. El aspecto ms interesante de las OU es enlazar directivas de grupo, de forma que stas recaigan sobre los objetos de la OU. En una OU podemos meter de todo, excepto dominios.

Gestin de grupos
Cada cuenta de usuario puede formar parte de varios grupos. Existen grupos ya predefinidos y podemos crear otros. 10

Cuentas de usuario
Dentro de las OU crearemos las cuentas de usuario (tambin se pueden crear fuera de la OU). Podemos agregarle a las cuentas de usuario grupos. El siguiente paso sera establecer los recursos compartidos, carpetas, impresoras que pueden estar en el DC o en cualquier equipo del dominio.

Cambio de contraseas
El cambio de las contraseas por parte de los usuarios es una tarea que se encuentra centralizada en un nico DC, es lo que se conoce como rol maestro. Por ejemplo, cuando un usuario desde un equipo cambia su contrasea, esta peticin es enviada hasta el DC correspondiente, si ese controlador de dominio no es el que tiene el rol maestro, va a redirigir dicha peticin hacia el DC que posee ese rol, que ser el nico que puede realizar el cambio de las contraseas. De esta forma, se evita el problema de que dos usuarios conectados con la misma cuenta intenten cambiar la contrasea de forma simultanea.

Contralodores de dominio de slo lectura

En Windows Server 2008 se introdujo el concepto de controlador de dominio de slo lectura (RODC). Estos DC tienen una copia de la base de datos (), pero esta informacin no puede ser modificada por este tipo de DC. Estos DC reciben los datos de replicacin desde otros DC pero ellos no replican la informacin. Para que existan este tipo de DC es necesario que exista previamente un DC normal. Los RODC no hacen cach de contraseas, slo almacenan las contraseas de los usuarios que se hayan establecido previamente. Se suelen utilizar este tipo de DC en oficinas donde no existe un administrador de sistemas y, por tanto, con este tipo de DC se garantiza la seguridad ya que nadie puede realizar cambios desde ellos.

Herramientas de administracin
MMC (Microsoft Management Console)
Interfaz grfica que nos permite agregar complementos para actuar sobre determinados objetos del sistema. Nos permite crear consolas personalizadas con los objetos que deseemos administrar. Se ejecuta con el comando mmc.

Existen 3 consolas creadas por defecto en el sistema operativo, son: Usuarios y equipos: para crear usuarios, grupos, equipos y OU, y gestionarlos. Dominios y relaciones de confianza: para crear dominios y relaciones de confianza entre dominios. 11

Sitios y servicios

Lnea de comandos
Permite administrar el sistema mediante la introduccin de comandos. Suele utilizarse por personal con un nivel tcnico alto y permite realizar ciertas tareas de una forma ms rpida que a travs de la mmc. Se ejecuta con el comando cmd.

WSH (Windows Scripting Host) o PowerShell

Permite crear archivos por lotes y secuencias de comandos para realizar tareas repetitivas. Un archivo por lotes es un fichero que contiene comandos (iguales que los que se introducen en la lnea de comandos) que se ejecutan como un lote. Una secuencia de comandos es un fichero que contiene un determinado lenguaje de script, como VBScript o JScript.

Servidor DNS
Para instalar un DC es necesario tener un servidor de DNS. Dicho servidor puede ser un servidor windows o cualquier otro. El nico requisito es que sea accesible desde el DC y que permita actualizaciones dinmicas, es decir, que permita registrar dominios. En el estndar DNS, uno de servidores ser de lectura y escritura (DNS primario) y el resto de servidores (DNS secundarios) copiarn la informacin del primario. En Windows Server 2008 podemos integrar el servicio de DNS con el DC. Con esto el DC integra el fichero de DNS dentro de la base de datos del controlador pasando a formar parte de la informacin del directorio activo y, por tanto, todos los DC pasan a compartir dicha informacin y a poder modificarla, es decir, trabajaran como servidores DNS primarios. El servicio de DNS es un servicio poco pesado y que normalmente puede funcionar perfectamente dentro del mismo servidor donde tenemos un DC.

Notas
SMB Server Message Block (SMB) es un protocolo de la capa de aplicacin que permite compartir archivos e impresoras entro los nodos de una red. Es utilizado principalmente en ordenadores con Microsoft Windows. Existe una implementacin libre del protocolo, Samba, que funciona sobre sistemas operativos GNU/Linux y otro UNIX.

12

Fuentes
Manual avanzado de Windows Server 2008. Francisco Chante Ojeda. ANAYA. 2008. Internet Acad. Postal

13