WINDOWS SERVER 2008

Novedades de Windows Server 2008
1. Server Core: es una versión que nos permite instalar un sistema operativo sin interfaz gráfica. 2. PowerShell: inclusión de una consola mejorada con soporte GUI para administración. Permite programar scripts. 3. Virtualización de Windows Server: mejoras en el rendimiento de la virtualización. Nuevo motor de virtualización llamado Hyper-V (sustituye al VirtualPC). 4. Windows Hardware Error Architecture (WHEA): protocolo mejorado y estandarizado de reporte de errores. 5. Address Space Load Randomization (ASLR): protección contra malware en la carga de drivers en memoria. 6. Sistema de archivos SMB2: versión 2 de SMB, de 30 a 40 veces más rápido el acceso a los servidores multimedia. 7. Kernel Transaction Manager: mejoras en la gestión concurrente de recursos. 8. Cierre limpio de Servicios: se acabó el tiempo de espera antes de la finalización de servicios. 9. Creación de sesiones de usuario en paralelo: reduce tiempos de espera en los Terminal Services y en la creación de sesiones de usuario a gran escala. 10. Nuevo proceso de reparación de sistemas NTFS: proceso en segundo plano que repara los archivos dañados. 11. Arranque diferido de servicios: también incluido en Windows Vista y 7, permite hacer más rápido el inicio de Windows ya que no se cargan todos los servicios al inicio, sino que alguno se cargan en una segunda fase. 12. Windows Deployment Services (WDS): permite instalar sistemas operativos Windows por red. Es el sucesor de Remote Installation Services (RIS). Inicialmente pensado para desplegar Windows Vista, 7 y 2008 Server, también se puede utilizar con sistemas Windows anteriores.

1

fijar privilegios por usuario o por grupo. Clúster de 16 nodos.0. memoria igual que la versión anterior. Soporta el mismo hardware que la Web Edition. esta edición permite arquitecturas de 64 bits. Servidor web 2 - - - . Permite ejecutar hasta 4 imágenes virtuales con hyper-V. A diferencia con Windows 2003. y establecer cuotas de disco por usuario.Ediciones Web Editión: para albergar servidores web. Soporta hasta 8 procesadores (de 32 o 64 bits). hasta 4 GB de RAM en 32 bits y 32 GB en 64 bits. Es la edición más utilizada. Sólo permite utilizar una imagen virtual con hyper-V. Datacenter Edition: para grandes empresas de datos. Permite añadir memoria en caliente. No limita el número de conexiones VPN (como hace la versión standard). No limita la creación de imágenes virtuales con hyper-V. Servidor de aplicaciones: con IIS 7. NUMA. Directorio Activo y Terminal Server. Standard Edition: para pequeñas y medianas empresas. Enterprise Edition: para medianas y grandes empresas. - - Funciones de un servidor Servidor de archivos: facilita el acceso compartido de los datos a los usuarios aunque utilicen otro sistema operativo gracias al uso de NFS (Netword File System). Servidor de impresión: publica las impresoras disponibles y establece privilegios de uso a los usuarios. Con DFS (Distributed File System) se puede crear un sistema de archivos distribuido para que los usuarios accedan a los datos sin saber su ubicación física. 64 GB de RAM en 32 bits y 2 TB en 64 bits. También hace copias de seguridad. de impresión y de comunicaciones. despliegue de servicios web usando UDDI. Soporta hasta 4 procesadores (de 32 o 64 bits). Soporta hasta 32 procesadores de 32 bits y 64 procesadores de 64 bits. Contiene el IIS pero no servidores de archivos ni de impresión. Incluye servidor de archivos. Clúster de hasta 16 nodos. Con EFS (Encrypted File System) se mejora la seguridad cifrando el contenido. Conexión en caliente de memoria y procesadores. Ofrece los drivers para los sistemas operativos que utilizarán la impresora liberando al administrador de tener que instalar los drivers localmente. Se permite compartir carpetas entre usuarios.

El directorio activo se basa en el estandar LDAP. pero si la empresa es grande y requiere acceso desde el exterior puede ser necesario instalar un servidor DNS. puede hacer NAT. puede estar instalado en otro equipo de la red con otro sistema operativo. La instalación de un controlador de dominio implica la instalación de un servidor DNS que se ocupará de resolver las direcciones de los equipos del dominio. Servidor de acceso y directivas de red: puede trabajar como servidor de acceso remoto (RAS) utilizando VPN y NAP (Network Access Protection) para crear una red virtual entre un usuario remoto y el servidor de forma que este tenga acceso a los recursos de la red como si estuviera en la LAN. Los servidores que tienen dicha base de datos son los controladores de dominio (DC). El sistema tendrá una base de datos con información de todos los objetos del dominio. Servidor DHCP Servidor WDS (Windows Deployment Service): sustituye a RIS (Remote Installation Service) de Windows 2003. Los DC tienen la base de datos del dominio (ntds. Normalmente con WINS es suficiente. por tanto. un archivo de registro y una carpeta compartida (SYSVOL) donde se guarda todo el contenido público del dominio y que se replicará por todos los DC del dominio. y deben tener instalado el servicio de directorio activo. Servidor de enrutamiento de tráfico: Windows Server 2008 puede funcionar como un router y. Terminal server. También puede funcionar como un servidor de tipo RADIUS para autenticar y autorizar a usuarios de conexiones remotas como VPN o redes inalámbricas. - - - - DIRECTORIO ACTIVO Controladores de dominio Una de las principales funciones del servidor es la autenticación y la autorización de los usuarios para acceder a los recursos y la comunicación entre los clientes.- Servidor de terminales: permite que los clientes abran sesión en el servidor y ejecuten sus aplicaciones de forma remota. Permite instalar sistemas operativos Windows en los clientes desde el servidor de forma desatendida.util). Servidor de Directorio Activo: administración centralizada de la red. convirtiendose así en un servidor de acceso a Internet. Esta carpeta compartida 3 . Aunque dicho servidor no tiene porque ser Windows. Servidor DNS: proporciona a los clientes las direcciones IP de los servidores de la empresa.

equipos. Varios árboles forman un bosque. Estructura del Directorio Activo Un dominio se identifica por un nombre del tipo banpato. Los dominios pueden contener unidades organizativas. La estructura que forman es de árbol. usuarios y directivas de grupo. Windows Server 2008 utiliza un modelo de replicación multimaestro. secuencias de comandos de inicio y fin de sesión. El primer dominio que se cree en el bosque será la raíz del bosque. grupos. En la imagen tenemos un árbol. cada uno con su DC. existiendo una relación de confianza entre ellos y compartiendo una réplica de la base de datos (el esquema).contiene datos como las políticas de grupo. No se puede utilizar un servidor como controlador de 2 dominios. Puede haber más de un dominio. la base de datos y los datos del 4 . etc.patosa. Entre árboles se puede crear una relación de confianza. Todos los árboles de un bosque comparten un catálogo global. con 3 dominios: uno ráiz y 2 subdominios.com. según el cual cualquier DC es capaz de procesar cambios en el dominio y propargarlos automáticamente al resto de DC.

utiliza Kerberos v5. Un grupo afecta a la seguridad del dominio mientras que la OU afecta a la funcionalidad. y cuentan con relaciones de confianza lo que permite que un usuario de un dominio inicie sesión en otro dominio del bosque. en departamentos. Tienen una serie de atributos. nombre. 5 . por defecto. Windows Server 2008 admite muchos protocolos de autenticación de red. por ejemplo. No pueden tener asociados descriptores de seguridad. Una cuenta permite la autenticación del servidor y también define unos permisos por defecto a parte de los definidos en los grupos a los que pertenezca. Existen tres tipos de grupos en Windows Server: Grupos locales: sólo válidos en un equipo local. La autenticación consta de 2 partes: por un lado el inicio de sesión y por otro la autenticación de red. grupos y otras unidades organizativas. Se utilizan para gestionar los recursos de varios usuarios a la vez. Los permisos asignados a las cuentas de usuario y de grupo determinan qué acciones podrán llevar a cabo los usuarios. no se utilizan para la asignación ni la administración de acceso. También permiten dividir las tareas de administración. Son el elemento más pequeño al que pueden aplicarse directivas de grupo. Cuentas de grupos o grupos Son conjuntos de atributos a los que otros objetos pueden pertenecer. el sistema comprueba su identidad y le da acceso a los servicios del AD. Cuando un usuario inicia sesión con una cuenta de usuario de dominio. se utilizan como listas de distribución de correo electrónico. cuando el usuario intenta acceder a los recursos de la red. Las cuentas se crean a nivel de dominio o de OU y una cuenta siempre pertenece a un dominio. así como a qué equipos y recursos tendrán acceso. Pueden ser locales o de dominio.directorio. Un usuario de un grupo tiene unos privilegios para acceder a unos recursos. Después. por ejemplo. dirección y telefono. contraseña. la autenticación comprueba si el usuario tiene permisos. Grupos de distribución: definidos en el dominio. equipos. Permite organizar los objetos simulando su estructura real. Unidades Organizativas Contenedor que puede tener usuarios. Un usuario puede pertenecer a varios grupos. Cuentas de usuario Se utilizan para permitir que usuarios inicien sesión en la red y accedan a recursos compartidos.

Grupos universales: se utilizan para definir conjuntos de usuarios o equipos que deberían tener permisos aplicables a todo un dominio o bosque. ya que simplifican la administración del sistema. Son útiles en grandes organizaciones con muchos dominios. Sus miembros pueden ser cuentas. impresoras o carpetas compartidas. grupos globales y universales de cualquier dominio. Sus miembros pueden ser cuentas de grupos globales del mismo dominio. como por ejemplo. grupos locales de dominio sólo del mismo dominio. - - Utilización de los grupos de dominio local. Intersite: se realiza entre DC de distintos sitios. Pueden ser también grupos de distribución. Grupos globales: se utilizan para definir conjuntos de usuarios o equipos del mismo dominio que comparten una función o trabajo similar. Sus miembros pueden ser cuentas de cualquier dominio y grupos globales y universales de cualquier dominio. Esto se consigue añadiendo gupos globales como miembros. Grupos globales: utilícelos para administrar cuentas de usuario y de grupo de un dominio concreto. para conceder permiso de acceso a un recurso sólo tendrá que hacer miembro del grupo local de dominio al grupo global. Normalmente se utilizan los sitios para optimizar el tráfico de replicación entre los DC. Ámbitos de un grupo Dentro del AD los grupos pueden tener varios ámbitos: - Grupos locales de dominio: se utilizan para asignar permisos de acceso a recursos dentro de un único dominio. Esta replicación es programada cada cierto tiempo y se realiza exista o no cambios. Existen dos tipos de replicación: Intrasite: se realiza entre DC del mismo sitio. Esta replicación se activa por un evento. 6 .- Grupos de seguridad: definidos en el dominio y se utilizan para asignar permisos a los recursos compartidos. Grupos universales: utilícelos para consolidar grupos que se extienden por varios dominios. Cuentas de equipo … Sitios Un sitio es una agrupación de subredes. a los 15 segundos de producirse un cambio se activa la replicación. Entonces. global y universal: Grupos locales de dominio: utilícelos para administrar el acceso a los recursos.

Otra forma sería: Patosoft. Por ejemplo.Por tanto.com/formacion/francisco Esta forma se llama nombre canónico. Ejemplo: CN=nombre. garantizamos que los usuarios se autentificarán a DC de su propia red o subred. Ejemplo: CN=francisco. cuando un equipo realiza una llamada a un DC lo hará preferentemente a un DC de su propio sitio. Los dominios de un bosque comparten el mismo esquema. Los dominios se identifican con DC. DC=patosa. Absoluta: debemos ir desde la raíz del dominio superior hasta llegar al dominio.dll. Maestros de operaciones Existen algunas funciones que sólo pueden ser realizadas por un servidor dentro del dominio y otras que sólo pueden ser realizadas por un servidor dentro del bosque. - Esquema del Directorio Activo El esquema del directorio activo es el esquema de la base de datos donde podemos ver una definición formal de todas las clases de objetos que se pueden crear dentro del bosque así como de sus atributos. aunque se encuentren en otra red o en una ubicación lejana. las OU con OU y el objeto con CN. Para habilitarla es necesario registrar la dll regsvr32schmmgmt. OU=patosoft. Un equipo reconoce a un DC de su red por la dirección IP. Relativa: si estamos dentro de un dominio o de una OU podemos efectuar una búsqueda usando el nombre relativo. A esos servidores se les llama maestros. si se modifica el esquema en un dominio lo estoy haciendo para todos los dominios del bosque. con los sitios reducimos la transferencia de información entre los DC de distintos sitios. DC=com Esto recuperaría la cuenta de usuario francisco. Otra ventaja para crear sitios es que. este cambio afectaría a todos los usuarios del Active Directory y se aplicaría a todos los usuarios del bosque. 7 . OU=formacion. Referencias a objeto Para hacer referencia a un objeto podemos utilizar una referencia absoluta o relativa.patosa. si quisiesemos añadir un nuevo atributos a la clase usuarios. Si no existen sitios. por tanto. El esquema se modifica desde la consola de esquema. un usuario se autentificará a cualquiera de los DC del dominio. De esta forma. OU y el objeto.

los cambios de contraseña y replica las actualizaciones en los BDC (Backup Domain Controller). grupo o equipo que se cree. Ese ID está formado por el id. Y algunas tareas más. El ID de un objeto debe ser único dentro del dominio. Procesa los inicios de sesión desde Windows NT. relativo. Entre otras cosas.Funciones que deben estar disponibles dentro del bosque de un AD y que sólo podrá haber un equipo que realice cada una de estas funciones (puede que las realice un único equipo): - Maestro de esquema: controla las actualizaciones y cambios del esquema. Maestro de infraestructura: tiene información parcial de todos los objetos del bosque para sincronizar cambios en los dominios del bosque. normalmente el primero en ser creado. de esta forma centralizamos la tarea y evitamos problemas de incoherencia. Maestro emulador de PDC (Primary Domain Controller): permite compatibilidad con Windows NT. El esquema sólo se puede modificar desde un CD.relativos a cada CD de forma que un CD utilizará un rango ID distinto al de cualquier otro CD. - Funciones que deben estar disponibles en todos los dominios AD. existe un maestro RID único en el dominio que se encarga de darle rangos de id. de seguridad del dominio y el id. el maestro de infraestructura los notifica al resto de maestros de - - 8 . si cambiamos una contraseña. Para que no se pueda dar el caso de que dos CD le den el mismo ID a dos objetos. pero que sólo va a poder realizar un equipo: - Maestro ID relativo o Maestro RID: asigna identificadores relativos a los CD. Los CD asignan un id de seguridad a cada usuario. se encarga de validar los nombres de los nuevos CD para que no coincidan con otros. nuestro CD recibe la petición de cambio y se la envía al maestro PDC para que sea él el que realice el cambio. Cuando un CD acaba su rango de ids le hace una petición al maestro para que le asigne un nuevo rango de ids. También se encarga de gestionar la marca horaria que se utiliza para la sincronización de los CD. Maestro de nombres de dominio: controla la incorporación o eliminación de dominios al bosque. Si hay cambios en un objeto. También gestiona las directivas de contraseña.

La configuración lógica sería: BANPATO tiene sucursales en varios paises. Cada uno de ellos es un servidor diferente y en localizaciones distintas.com. 9 . pero con la infraestructura necesaria para comunicarse. de esta forma el bosque se mantiene actualizado. BANPATO. para facilitar un rápido inicio de sesión y asegurar la disponibilidad en caso de que fallen las líneas de comunicación necesitaríamos un DC en cada país. así como un árbol separado para la filial LCL con sus subdominios. de software. Maestro emulador de PDC y un Maestro de infraestructura. PATOSOFT. en las telecomunicaciones. en automovilismo. un subdominio y el dominio raíz de otro árbol del bosque. AUZDA y de catering. Ejemplo de directorio activo La empresa Patosa tiene empresas en la banca.infraestructura de los otros dominios. Vamos a implementar el dominio raíz. PATOTEL. CATEL a través de la filial LCL. con subdominios para cada empresa. El dominio raíz del bosque sería patosa. En un dominio sólo puede haber un Maestro ID relativo.

excepto dominios.patosa. porque el dominio abarca varias localizaciones geográficas. Instalación del DC raíz: será la raíz del primer árbol y del bosque de dominios de la empresa. patosa. este nombre debe estar ya registrado en el servidor DNS (en el público). Administracion de la seguridad Los DC alojan la información y las funciones para autenticar los inicios de sesión y autorizar el acceso a los recursos. patosa. Existen grupos ya predefinidos y podemos crear otros. Los dominios de primer nivel (patosa. lo único necesario es que los servidores que sean DC estean configurados de forma que puedan utilizar esos servidores de DNS. de esta forma se mejora el rendimiento del dominio. Lo recomendable es que la base de datos esté en una unidad de almacenamiento distinta a la del registro. Será patosa.com. le damos el nombre patosa. Ahora tenemos en la organización un bosque con un árbol compuesto por un dominio raíz y un sudominio. En una OU podemos meter de todo. que se replicarán entre todos los DC. lcl. por ejemplo. El DA crea en cada DC una base de datos con información de todos los objetos que se van definiendo y un archivo de registro. es decir. de forma que éstas recaigan sobre los objetos de la OU. También podríamos instalar nuevos DC para un dominio. por ejemplo.com. al crear el subdomoino debemos indicar el dominio raíz del que formará parte. Una vez instalado el DC raíz pasaremos a instalar los controladores de los subdominios. Ahora tenemos en la organización un bosque con un árbol compuesto por un dominio raíz del que formará parte. Nuestro server DNS puede estar instalado en cualquier ordenador con cualquier sistema operativo.com. patosoft. También se necesita una carpeta compartida donde se almacena el contenido público del dominio. es necesario tener al menos una unidad de almacenamiento con NTFS.com y lcl. Vamos a añadir un nuevo árbol al bosque. mientras que los subdominios se registrarían en un servidor DNS propio.com. Al crear el nuevo DC. Gestión de grupos Cada cuenta de usuario puede formar parte de varios grupos.com. La carpeta compartida sirve para almacenar elementos públicos del dominio como políticas de grupo.com.El primer paso será registrar los dominios y subdominios que vamos a utilizar. El aspecto más interesante de las OU es enlazar directivas de grupo. Debemos indicar para que dominios queremos crear el DC. Ahora debemos crear las OU y cuentas de equipos y usuarios. 10 . El nuevo DC puede configurarse como de sólo lectura de manera que será una copia idéntica del primer DC pero no permitirá realizar modificaciones. El DC contendrá OU y éstas a su vez podrán contener más OU.com) deberían registrarse en un servidor DNS público. que será la raíz del árbol y del bosque. es decir.

cuando un usuario desde un equipo cambia su contraseña. Los RODC no hacen caché de contraseñas. pero esta información no puede ser modificada por este tipo de DC. 11 . carpetas. Por ejemplo. Estos DC reciben los datos de replicación desde otros DC pero ellos no replican la información. Se suelen utilizar este tipo de DC en oficinas donde no existe un administrador de sistemas y. Para que existan este tipo de DC es necesario que exista previamente un DC normal. El siguiente paso sería establecer los recursos compartidos. Podemos agregarle a las cuentas de usuario grupos. sólo almacenan las contraseñas de los usuarios que se hayan establecido previamente. son: Usuarios y equipos: para crear usuarios. Dominios y relaciones de confianza: para crear dominios y relaciones de confianza entre dominios. Existen 3 consolas creadas por defecto en el sistema operativo. grupos. es lo que se conoce como rol maestro. va a redirigir dicha petición hacia el DC que posee ese rol. impresoras que pueden estar en el DC o en cualquier equipo del dominio. con este tipo de DC se garantiza la seguridad ya que nadie puede realizar cambios desde ellos. Contralodores de dominio de sólo lectura En Windows Server 2008 se introdujo el concepto de controlador de dominio de sólo lectura (RODC). Herramientas de administración MMC (Microsoft Management Console) Interfaz gráfica que nos permite agregar complementos para actuar sobre determinados objetos del sistema. esta petición es enviada hasta el DC correspondiente. equipos y OU. y gestionarlos. De esta forma. Cambio de contraseñas El cambio de las contraseñas por parte de los usuarios es una tarea que se encuentra centralizada en un único DC. Estos DC tienen una copia de la base de datos (…). Nos permite crear consolas personalizadas con los objetos que deseemos administrar. por tanto. que será el único que puede realizar el cambio de las contraseñas. si ese controlador de dominio no es el que tiene el rol maestro.Cuentas de usuario Dentro de las OU crearemos las cuentas de usuario (también se pueden crear fuera de la OU). se evita el problema de que dos usuarios conectados con la misma cuenta intenten cambiar la contraseña de forma simultanea. Se ejecuta con el comando mmc.

12 . “Samba”. El único requisito es que sea accesible desde el DC y que permita actualizaciones dinámicas. Existe una implementación libre del protocolo. Dicho servidor puede ser un servidor windows o cualquier otro. trabajarían como servidores DNS primarios. Es utilizado principalmente en ordenadores con Microsoft Windows. Se ejecuta con el comando cmd. es decir. En Windows Server 2008 podemos integrar el servicio de DNS con el DC. Notas SMB Server Message Block (SMB) es un protocolo de la capa de aplicación que permite compartir archivos e impresoras entro los nodos de una red. Una secuencia de comandos es un fichero que contiene un determinado lenguaje de script. que permita registrar dominios. uno de servidores será de lectura y escritura (DNS primario) y el resto de servidores (DNS secundarios) copiarán la información del primario. por tanto. es decir. En el estándar DNS. todos los DC pasan a compartir dicha información y a poder modificarla. Suele utilizarse por personal con un nivel técnico alto y permite realizar ciertas tareas de una forma más rápida que a través de la mmc. como VBScript o JScript. El servicio de DNS es un servicio poco pesado y que normalmente puede funcionar perfectamente dentro del mismo servidor donde tenemos un DC. WSH (Windows Scripting Host) o PowerShell Permite crear archivos por lotes y secuencias de comandos para realizar tareas repetitivas. Un archivo por lotes es un fichero que contiene comandos (iguales que los que se introducen en la línea de comandos) que se ejecutan como un lote. Servidor DNS Para instalar un DC es necesario tener un servidor de DNS. que funciona sobre sistemas operativos GNU/Linux y otro UNIX. Con esto el DC integra el fichero de DNS dentro de la base de datos del controlador pasando a formar parte de la información del directorio activo y.- Sitios y servicios Línea de comandos Permite administrar el sistema mediante la introducción de comandos.

Fuentes Manual avanzado de Windows Server 2008. Postal 13 . Francisco Chante Ojeda. Internet Acad. ANAYA. 2008.

Sign up to vote on this title
UsefulNot useful