Embed Size (px)
Citation preview
“Windows Server 2008”
Materia: Taller de Sistemas Operativos.
Prof. Oscar Olivares.
Alumno:
Lucas Cornejo Jonathan
Grupo: 3621.
Carrera: ISC.
11-NOVIEMBRE-2013
Introducción a Windows Server 2008Windows Server 2008 es el sistema operativo de Servidor Windows más avanzado hasta el momento y cuyo predecesor es Windows Server 2003. Este nuevo
sistema operativo está diseñado para aprovechar plenamente la nueva generación de servicios de redes, aplicaciones y web e incorpora las tecnologías de virtualización, una mayor seguridad y nuevas herramientas web y de administración. Con Windows Server 2008 es posible desarrollar y gestionar aplicaciones avanzadas para el usuario, disponer de una infraestructura de red de alta seguridad e incrementar la eficiencia tecnológica y el valor de las tecnologías de información en las organizaciones. Además ofrece una plataforma segura y de fácil administración para el desarrollo y alojamiento fiable de aplicaciones y servicios web.
En cuanto a las mejoras en control es destacable lo siguiente:
Más control sobre servidores e infraestructura de red. Capacidades mejoradas en secuencias de comandos y automatización de
tareas a través de Windows PowerShell. Automatización más sencilla de las tareas comunes de tecnologías de la
información. Instalación y administración basadas en funciones con Administración del
servidor para facilitar la tarea de administrar y proteger las múltiples funciones de servidor en una empresa.
La nueva consola de Administrador del servidor proporciona un único origen para administrar la configuración del servidor y la información del sistema.
Es posible instalar solo las funciones y características que sean necesarias, y hay asistentes que automatizan muchas de las tareas de implementación de sistemas que tardan más tiempo.
Herramientas mejoradas de administración del sistema, como el Monitor de rendimiento y fiabilidad, ofrece información sobre sistemas y alertan a los administradores sobre problemas potenciales antes de que sucedan.
En cuanto a las mejoras en protección sobresale lo siguiente:
Windows Server 2008 proporciona una serie de tecnologías de seguridad nuevas y mejoradas, que aumentan la protección del sistema operativo.
Incluye innovaciones de seguridad como PatchGuard, que reducen la exposición a ataques del núcleo, lo que produce un entorno de servidor más seguro y estable.
El sistema de protección de servicios de Windows ayuda a mantener más seguros los sistemas al evitar que los servicios críticos de servidor estén en riesgo por actividades anormales en el sistema de archivos, registro, o red.
La seguridad también se mejora en el sistema operativo Windows Server 2008 por medio de Protección de acceso a redes (NAP), Controlador de dominio de solo lectura (RODC), mejoras en la infraestructura de clave pública (PKI), un nuevo firewall de Windows bidireccional y compatibilidad con criptografía de última generación.
En cuanto a las mejoras en flexibilidad es destacable lo siguiente:
Windows Server 2008 está diseñado para permitir que los administradores modifiquen su infraestructura para adaptarla a las necesidades cambiantes.
Se mejora la flexibilidad para trabajadores móviles mediante tecnologías que permiten que los usuarios ejecuten programas desde cualquier ubicación remota, como RemoteApp y Terminal Services Gateway.
Windows Server 2008 acelera la implantación y el mantenimiento de sistemas de tecnologías de la información con Servicios de Implementación de Windows (WDS) y ayuda en la consolidación de servidores con Windows Server virtualización (WSv).
Para organizaciones que necesitan controladores de dominio en sucursales, Windows Server 2008 ofrece una nueva opción de configuración: el Controlador de dominio de solo lectura (RODC), que evita exponer las cuentas si el Controlador de dominio estuviera en riesgo.
HistoriaWindows 2000 Servidor de Centro de datos fue una versión de primer nivel especializada para Windows 2000 Servidor, que admite el multiprocesamiento simétrico (SMP) de 32 vías y hasta 64 GB de memoria física. Al igual que Windows 2000 Advanced Server, proporciona los servicios de clústeres y equilibrio de carga al igual que las funciones estándar. Está destinado a servidores muy potentes, pensado para, por ejemplo simulaciones espaciales, cálculos matemáticos complejos, simulaciones de ingeniería, etc. También se lo utiliza para manejar grandes volúmenes de datos, como por ejemplo procesamiento de transacciones en línea, proyectos de consolidación de servidor así como para ISP a gran escala y alojamiento de sitios Web (de allí su nombre Datacenter Server).
Figura 1.1 Interfaz gráfica de Windows 2000 Server
Windows Server 2003
Windows Server 2003 es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año 2003. Está basada en tecnología NT y su versión del núcleo NT es la 5.2.
En términos generales, Windows Server 2003 se podría considerar como un Windows XP modificado para labores empresariales, no con menos funciones, sino que estas están deshabilitadas por defecto para obtener un mejor rendimiento y para centrar el uso de procesador en las características de servidor; por ejemplo, la interfaz gráfica denominada Luna de Windows XP viene desactivada por lo que sólo se utiliza la interfaz clásica de Windows.
Figura 1.2 Interfaz gráfica de Windows Server 2003
Windows Server 2008
Windows Server 2008 es el nombre de un sistema operativo de Microsoft diseñado para servidores.
Figura 1.3 Interfaz gráfica de Windows Server 2008
Es el sucesor de Windows Server 2003, distribuido al público casi cinco años después. Al igual que Windows 7, Windows Server 2008 se basa en el núcleo Windows NT 6.1. Entre las mejoras de esta edición, se destacan nuevas
funcionalidades para el Active Directory, nuevas prestaciones de virtualización y administración de sistemas, la inclusión de IIS 7.5 y el soporte para más de 256 procesadores. Hay siete ediciones diferentes: Foundation, Standard, Enterprise, Datacenter, Web Server, HPC Server y para Procesadores Itanium.
Windows Server 2012
Windows Server 2012 es la última edición lanzada por Microsoft Corporation del sistema operativo Windows Server. Es la versión para servidores de Windows 8 y es el sucesor de Windows Server 2008 R2. El software está disponible para los consumidores desde el 4 de septiembre de 2012.
A diferencia de su predecesor, Windows Server 2012 no tiene soporte para computadoras con procesadores Intel Itanium y se venden cuatro ediciones. Se han agregado o mejorado algunas características comparado con Windows Server 2008 R2, como una actualización de Hyper-V, un rol de administración de direcciones IP, una nueva versión del Administrador de Tareas de Windows, y se presenta un nuevo sistema de archivos: ReFS.
Figura 1.4 Interfaz gráfica de Windows Server 2012
EvoluciónWindows 2000 Server
Windows 2000 es un sistema operativo de Microsoft que se puso en circulación el 17 de febrero de 2000 con un cambio de nomenclatura para su sistema NT. Así, Windows NT 5.0 pasó a llamarse Windows 2000. Fue sucedido por Windows XP para equipos de escritorio en octubre de 2001 y Windows Server 2003 para servidores en abril de 2003.Su creación represento un esfuerzo por la unificación de hasta ese momento dos sistemas operativos distintos, Windows 9x y Windows NT. Dos años antes de su salida se sabía que Windows NT 5.0 estaba en proyecto, pero Windows 2000 llegó a resolver de una vez por todas las dudas.
Windows 2000 era un sistema operativo para empresas y para ejecutar servidores de red o los servidores de archivo. Dentro de las tareas que puede realizar se incluyen: crear cuentas de usuarios, asignar recursos y privilegios, actuar como servidor web, FTP, servidor de impresión, DNS o resolución de nombres de dominio, servidor DHCP, entre otros servicios básicos. Otra de las funciones que tiene, es como en todo sistema Windows la opción de utilizarlo como una estación de trabajo más de la red. Dicho sistema operativo es muy eficiente y su principal punto fuerte es el Active Directory (Directorio Activo), herramienta desde la cual se puede administrar toda la infraestructura de una organización.
En este sistema operativo, se introdujeron algunas modificaciones respecto a sus predecesores como el sistema de archivos NTFS 5, con la capacidad de cifrar y comprimir archivos. Introdujo también las mejoras en el sistema de componentes COM, introduciendo COM+ que unificó en un solo paquete de los servicios anexados y la tecnología COM y MTS de Windows NT4, con nuevas ventajas en el ámbito empresarial.
Windows Server 2003
Windows Server 2003 es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año 2003. Está basada en tecnología NT y su versión del núcleo NT es la 5.2.
En términos generales, Windows Server 2003 se podría considerar como un Windows XP modificado para labores empresariales, no con menos funciones, sino que estas están deshabilitadas por defecto para obtener un mejor rendimiento y para centrar el uso de procesador en las características de servidor; por ejemplo, la interfaz gráfica denominada Luna de Windows XP viene desactivada por lo que sólo se utiliza la interfaz clásica de Windows.
Windows Server 2008
Windows Server 2008 es el nombre de un sistema operativo de Microsoft diseñado para servidores.
Es el sucesor de Windows Server 2003, distribuido al público casi cinco años después. Al igual que Windows 7 , Windows Server 2008 se basa en el núcleo Windows NT 6.1. . Entre las mejoras de esta edición, se destacan nuevas funcionalidades para el Active Directory, nuevas prestaciones de virtualización y administración de sistemas, la inclusión de IIS 7.5 y el soporte para más de 256 procesadores. Hay siete ediciones diferentes: Foundation, Standard, Enterprise, Datacenter, Web Server, HPC Server y para Procesadores Itanium.
Windows Server 2012
Windows Server 2012 es la última edición lanzada por Microsoft Corporation del sistema operativo Windows Server. Es la versión para servidores de Windows 8 y es el sucesor de Windows Server 2008 R2. El software está disponible para los consumidores desde el 4 de septiembre de 2012.
A diferencia de su predecesor, Windows Server 2012 no tiene soporte para computadoras con procesadores Intel Itanium y se venden cuatro ediciones. Se han agregado o mejorado algunas características comparado con Windows Server 2008 R2, como una actualización de Hyper-V, un rol de administración de direcciones IP, una nueva versión del Administrador de Tareas de Windows, y se presenta un nuevo sistema de archivos: ReFS.
Requisitos del SistemaWindows Server 2008 exige unos requisitos mínimos para su instalación cuyo incumplimiento determina la imposibilidad del trabajo con este sistema operativo. Estos requisitos varían según la configuración del sistema y las aplicaciones y características que instale.
En cuanto al procesador, su rendimiento depende no solo de la frecuencia de su reloj, sino también del número de núcleos de procesador y del tamaño de cache del procesador. En cuanto a la frecuencia se necesita un mínimo de 1 GHz (para procesadores x86) o 1,4 GHz (para procesadores x64), pero se recomiendan 2GHz o mas rápidos. Es necesario un procesador Intel Itanium 2 para Windows Server 2008 para sistemas basados en Itanium.
En cuanto a la memoria RAM, se necesita un mínimo de 512 MB, pero se recomiendan 2 GB o más. En los sistemas de 32 bits se direcciona un máximo de 4 GB (para Windows Server 2008 Standard) o 64 GB (para Windows Server 2008 Enterprise o Windows Server 2008 Datacenter). En los sistemas de 64 bits se direcciona un máximo de 32 GB (para Windows Server 2008 Standard) o 2 TB (para Windows Server Enterprise, Windows Server 2008 Datacenter o Windows Server 2008 para sistemas basados en Itanium).
En cuanto a los requisitos de espacio en disco se necesitan un mínimo de 10 GB, siendo recomendables 40 GB o más. En el caso de los sistemas operativos basados en Itanium y x64, los requisitos necesarios diferirán de estos requisitos aproximados. Es posible que se necesite espacio en disco adicional si instala el sistema en una red. Los equipos con más de 16 GB de RAM necesitaran más espacio en disco para los archivos de paginación, hibernación y volcado.
Adicionalmente, se necesita una unidad de DVD, pantalla Super VGA (800 x 600) o de mayor resolución y teclado y ratón de Microsoft (u otro dispositivo señalador compatible).
Componente RequisitoProcesador Mínimo: 1 GHz
Recomendado: 2 GHz Óptimo 3 GHz o más
Nota: Windows Server 2008 para sistemas basados en Itanium precisa un procesador Intel Itanium 2.
Memoria Mínimo: 512 MB de RAM Recomendado: 1 GB de RAM Óptimo: 2 GB de RAM
(instalación completa) o 1 GB de RAM (instalación de Server Core) o más
Máximo (sistemas de 32 bits): 4 GB (Standard) o 64 GB (Enterprise y Datacenter)
Máximo (sistemas de 64 bits): 32 GB (Standard) o 2 TB (Enterprise, Datacenter y sistemas basados en Itanium)
Espacio en disco disponible Mínimo: 8 GB Recomendado: 40 GB
(instalación completa) o 10 GB (instalación de Server Core)
Óptimo: 80 GB (instalación completa) o 40 GB (instalación de Server Core) o más
Nota: los equipos con más de 16 GB de RAM requerirán más espacio en disco para la paginación, para la hibernación y para los archivos de volcado
Unidad Unidad de DVD-ROMPantalla y periféricos Super VGA (800 x 600) o
monitor con una resolución mayor
Teclado Mouse de Microsoft o
dispositivo señalador compatible
Características, Ventajas y Desventajas
Características
Windows Server 2008 es el sistema operativo de Servidores Windows más avanzado hasta el momento y cuyo predecesor es Windows Server 2003. Este nuevo sistema operativo está diseñado para aprovechar plenamente la nueva generación de servicios de redes, aplicaciones y web e incorpora las tecnologías de virtualización, una mayor seguridad y nuevas herramientas web y de administración. Las mejoras en control, protección y flexibilidad son características esenciales de este nuevo sistema operativo de Microsoft.
En cuanto a las mejoras en control es destacable lo siguiente:
Más control sobre servidores e infraestructura de red.
Capacidades mejoradas en secuencias de comandos y automatización de tareas a través de Windows PowerShell.
Automatización más sencilla de las taras más comunes de tecnologías de la información.
Instalación y administración basada en funciones con Administrador del servidor para facilitar la tarea de administrar y proteger las múltiples funciones de servidor en una empresa
La nueva consola del Administrador del servidor proporciona un único origen para administrar la configuración del servidor y la información del sistema.
Es posible instalar sólo las funciones y características que sean necesarias, y hay asistentes que automatizan muchas de las tareas de implementación de sistemas que tardan más tiempo.
Herramientas mejoradas de administración del sistema, como el monitor de rendimiento y fiabilidad, ofrecen información sobe sistemas y alertan a los administradores sobre problemas potenciales antes de que sucedan.
En cuanto a las mejoras en protección sobresale lo siguiente:
Windows Server 2008 proporciona una serie de tecnologías de seguridad nuevas y mejoradas, que aumentan la protección del sistema operativo.
Incluye innovaciones de seguridad, como PatchGuard, que reducen la exposición a ataques del núcleo, lo que produce un entorno de servidores más seguro y estable.
El sistema de protección de servidores de Windows ayuda a mantener más seguros los sistemas al evitar que los servicios críticos de los servidores estén en riesgo por actividades anormales en el sistema de archivos, registros, o red.
La seguridad también se mejora con el sistema operativo Windows Server 2008 por medio de Protección de acceso a redes (NAP), Controlador de dominio de sólo lectura (RODC), mejoras en la infraestructura de clave pública (PKI), un nuevo firewall de Windows bidireccional con criptografía de última generación.
En cuanto a las mejoras en flexibilidad es destacable lo siguiente:
Windows Server 2008 está diseñando para permitir que los administradores modifiquen su infraestructura para adaptarla a las necesidades cambiantes.
Se mejora la flexibilidad para trabajos móviles mediante tecnologías que permiten que los usuarios ejecuten programas desde cualquier ubicación remota, como RemoteApp y Terminal Services Gateway.
Windows Server 2008 acelera la implementación y el mantenimiento de sistemas de tecnologías de la información con Servicios de Implementación de Windows (WDS) y ayuda en la consolidación de servidores con Windows Server virtualización (WSv).
Para organizaciones que necesitan controladores de dominio en sucursales, Windows Server 2008 ofrece una nueva opción de configuración: el control dominio de sólo lectura (RODC), que evita exponer las cuentas se el Controlador de dominio estuviera en riesgo.
Seguridad y Cumplimiento de Directivas
Windows Server incorpora características de seguridad basadas en directivas, como la protección de acceso a redes, que mejoran la evaluación y el control del estado de la seguridad de los equipos conectados y nuevas interfaces para simplificar la administración. Entre las características que mejoran la seguridad y el cumplimiento de directivas, las más importantes son éstas:
Estado de cliente obligatorio: Protección de acceso a redes (NAP), que permite que los administradores configuren y apliquen requisitos de estado y seguridad antes de permitir el acceso de los clientes a la red.
Supervisión de entidades de certificación: PKI de empresa, que mejora la capacidad de supervisar y solucionar problemas de múltiples entidades de certificación (CA).
Mejoras de firewall: el nuevo Firewall de Windows con seguridad avanzada ofrece varias mejoras de seguridad.
Cifrado y protección de datos: BitLocker protege datos confidenciales mediante cifrado de la unidad de disco.
Aislamiento de servidor y dominio: Los recursos de servidor y dominio se pueden aislar para limitar el acceso a equipos autenticados y autorizados.
Estas mejoras ayudan a los administradores a aumentar el nivel de seguridad de su organización y simplifican la administración y la implementación de configuraciones y opciones relacionadas con la seguridad.
El concepto de Virtualización
La virtualización de Microsoft Windows Server 2008 combina características encaminadas a la construcción de servidores. Mediante Windows Server virtualización (WSv), una tecnología eficaz con solidas características de administración y seguridad, se resuelven muchos problemas de protección de servidores consolidados, respuesta a cargas de trabajo dinámicas, obtención de alto rendimiento y administración simplificada. (WSv) aumenta la seguridad de servidores consolidados y resuelve la separación de funciones de administrador mediante las siguientes características:
Particiones Fuertes: Una máquina virtual funciona como un contenedor independiente de sistema operativo, completamente aislad de otras máquinas virtuales que se ejecutan en el mismo servidor físico
Seguridad para el Hardware. Características como prevención de ejecución de datos (DEP) se encuentran disponibles en el hardware más reciente para servidores y ayudan a evitar a ejecución de los virus y los gusanos más predominantes.
Windows Server virtualización ayuda a evitar la exposición de las VM que contienen información confidencial y protege también al sistema operativo host subyacente del riesgo que comparta un sistema operativo invitado.
Ventajas
Windows Server 2008 R2 es la mejor actualización de versión para su centro de datos Windows Server, lo cual le ayuda a mantener la potencia de su infraestructura, que hoy en día se encuentra bien administrada y protegida, mientras habilita nuevos paradigmas, como la computación en la nube pública y privada para el mañana.
Transforme su centro de datos
El panorama de la tecnología de hoy está cambiando tan rápido y de forma tan radical como en cualquier momento en su historia. La virtualización y la computación en la nube reciben la mayor parte de la atención de la prensa, pero otras tecnologías, incluyendo el acceso remoto y la conectividad entre sucursales, la seguridad del servidor, e incluso el rendimiento de computación sin formato también están avanzando con rapidez. Para conservar la competitividad de su negocio, considere la transformación de su centro de datos.
Reduzca los costos con la virtualización
La virtualización, uno de los nuevos desarrollos de TI más profundos en años recientes, ha cambiado los centros de datos modernos: la forma en que se diseñan, organizan, apalancan y administran.
Hyper-V puede generar un impacto en su centro de datos desde el fondo.
Con Hyper-V usted puede consolidar los servidores para entregar ahorros importantes en los costos que afectan directamente los costos de sus instalaciones, como la energía y la refrigeración.
Hyper-V puede mejorar la confiabilidad y redundancia al aminorar las cargas administrativas causadas por los servidores reflejados, los servidores en clúster, y la reconstrucción de servidores por medio de plantillas de software en lugar de los largos procesos de instalación y migración.
Hyper-V puede combinarse con el paquete de administración de virtualización de System Center de Microsoft para administrar otros
hipervisores y máquinas virtuales que ejecutan sistemas operativos distintos a Windows, incluyendo las plataformas VMware y Citrix.
Simplifique la administración del centro de datos
Los nuevos avances, como la virtualización, indican que las plataformas de servidor necesitan actualizar e incluso cambiar sus características de administración para mantener el ritmo, y Windows Server 2008 R2 entrega esos requisitos en abundancia. En el paquete de Windows Server 2008 usted descubrirá un gran número de capacidades de administración nuevas que no están disponibles en las versiones previas.
Mejore la seguridad del Centro de datos
Las amenazas relacionadas con la piratería informática, el malware, los virus, e incluso con el uso indebido de los recursos de computación por parte de los empleados hacen que la seguridad sea un punto importante a considerar para cada gerente de centro de datos. Windows Server 2008 R2 está equipado con nuevas y potentes características de seguridad diseñadas para mantener su centro de datos y negocio protegidos del peligro tanto de forma interna como externa.
Incremente el rendimiento de las aplicaciones
El sector del hardware de servidor ha distribuido por mucho tiempo CPUs con capacidad para la computación de 64 bits. Windows Server 2008 R2 fue la primera plataforma de productos de Microsoft en mudarse a un modelo sólo para 64 bits. Eso no significa que usted no pueda ejecutar aplicaciones para 32 bits en Windows Server 2008 R2, pero sí significa que las aplicaciones para 64 bits se ejecutarán significativamente más rápido y manejarán cargas de cómputo más grandes que las plataformas previas de Windows Server.
Desventajas
A pesar de ser un sistema de servidores muy productivo y con muchas ventajas, también posee algunas desventajas que se comparten con sus antecesores tal vez como
Si hubiera alguna falla en servicio DHCP, significaría que todos los equipos conectados a este servicio se verían afectados.
Al entregar números IP dentro de la red, habiendo un DNS, no hay un puente intermedio entre DNS y DHCP directo. Es decir, hay que agregar las máquinas manualmente en el DNS
Los mensajes tienden a fallar sobre todo si las tarjetas de red hacen la negociación de velocidad.
Proceso de Instalación
El proceso de instalación comienza automáticamente al insertar el CD del Sistema Operativo en la unidad de CD del equipo y la primera pantalla que se obtiene es la que muestra la figura 5.1
Figura 5.1
Al hacer clic en Instalar ahora se obtiene la pantalla de la figura 5.2 en la que hay que escribir la clave del producto para realizar la
activación para comprobar que la copia de Windows es auténtica y no ha sido usada en más
Equipos.
Figura 5.2
Despues de introducir la clave del product en la figura 5.2, se pulsa el boton de siguiente para obtener la pantalla de la fugura 5.3 en la que elegiremos entre instalacion complete e intalacion Server Core. Eelegimos instalación Completa y al pulsar siguiente será necesario aceptar los términos de licencia de Microsoft como Lo muestra la figura 5.3.
Figura 5.3
Figura 5.4
Al pulsar siguiente en la figura 5.4, se obtiene la pantalla de la figura 5.5 en la que hay que elegir entre realizar una actualización de un sistema operativo previo manteniendo los archivos, la configuración y los programas actuales o realizar una instalación personalizada avanzada que instala una copia limpia de Windows Server 2008.
Figura 5.5
Si en la figura 5.5 elegimos la opcion Personalizada(avanzada), se realiza una instalacion limpia de Windows Server 2008 en una unidad o particion especifica, que eliminará la información contenida actualmente en la unidad o partición elegida.
Si el equipo dispone de un único disco duro con una sola partición se seleccionará toda la partición por defecto como partición principal Figura 5.6
Figura 5.6
Al pulsar siguiente comenzara la instalacion de Windows Server 2008 mediante los procesos que se indicant en la figura 5.7
Figura 5.7
El programa de instalacion copia una imagen del disco Windows Server 2008 en la ubuiccacion seleccionada, después de varios reinicios configura el equipo y completa la instalación del sistema operativo figura 5.8
Figura 5.8
Finalizada la instalación es necesario asignar un nombre de ususario y una contraseña de administrador antes de iniciar por primera vez Figura 5.9
Figura 5.9
Una vez cambiada la contraseña, se inicia el proceso de preparación del escritorio Figura 5.10 y finalmente aparece el escritorio de Windows Server 2008 Figura 5.11
Figura 5.10
Figura 5.11
Configuración de Dominio.
Se va a crear un dominio en la instalación de Windows Server 2008 para administrar los recursos que hay en la red, es decir, un controlador de dominio el cual será el que nos otorgue los permisos para acceder a los diferentes recursos que hay en la red.
En Windows Server 2008 lo primero que tenemos que hacer instalar los archivos necesarios para promocionar el servidor (en Server 2000 y 2003 lo están por defecto), es decir, indicar que roles va a tener el servidor dentro de la red. Para ello hay que acceder al “Administrador del Servidor”, pulsando en Inicio –> Herramientas administrativas -> Administrador del servidor.
Una vez en la ventana del “Administrador del Servidor” seleccionar “Funciones” (izquierda) y pulsar sobre “Agregar funciones” (derecha).
Figura 7.1 Administrador de Servidor
La primera pantalla que sale, informa de los requisitos que debe de cumplir nuestro ordenador para poder instalar funciones en nuestro servidor. Entre ellas importante es que las IPs estén configuradas de manera estática, y no servidas por un servidor DHCP. Si todo está correcto, pulsar en “Siguiente”.
Figura 7.2 Asistente de Funciones
Seguidamente aparecen los servicios que se pueden instalar en la máquina. Seleccionar “Servicios de Dominio de Active Directory” y pulsar en “Siguiente”.
Figura 7.3 Servicios de Dominio
Aparece una pequeña descripción sobre las características de un dominio. Pulsar en el botón “Siguiente”.
Figura 7.4 Características de Dominio
El siguiente paso es confirmar la instalación de los servicios de dominio (tras instalar los servicios el ordenador se reiniciará). Pulsar otra vez en “Siguiente” y empezará a instalarse el servicio.
Una vez finalizada la instalación nos aparece una ventana de resultados y hay que pulsar sobre “Cerrar”.
Figura 7.5 Ventana de Resultados
Figura 7.6 Características Instaladas
Ahora volver de nuevo al “Administrador del servidor”. Desplegar “Funciones” y ahora podemos ver que ya se pueden ver los “Servicios de Dominio”.
Para promocionar el servidor ir a Inicio y en el cuadro de búsqueda introducir “dcpromo”y pulsar “Enter”. Comienza el asistente para la instalación de Active Directory.
Permite elegir utilizar una instalación en modo avanzado, marcando la casilla. En este caso no, pulsar en “Siguiente”.
Figura 7.7 Asistente de Instalación de Dominio
Sale una pantalla de información sobre compatibilidad de Windows Server 2008. Volver a pulsar en “Siguiente”.
Figura 7.8 Ventana de Compatibilidad con Server
Da dos opciones: unirse a un bosque que existente y en él crear un dominio, o agregarse a uno que ya existe; o en el caso, crear el dominio en un bosque nuevo. Por tanto, seleccionar la opción “Crear un Dominio nuevo en un bosque nuevo”, y otra vez a “Siguiente”.
Figura 7.9 Creación de Dominio
Preguntará el nombre que dar al dominio. Escoger uno y dar a “Siguiente”.
Figura 7.10 Nombrar el Dominio
En la siguiente pantalla se elige la compatibilidad del dominio con la red en la que se va a implementar. Es decir la compatibilidad de nuestro servidor, con los servidores con los que se comunicará. Elegir “Windows Server 2008” y “Siguiente”.
Figura 7.11 Selección de Servidor para Dominio
Aparece ahora la pantalla de opciones para el controlador de dominio. Por defecto sale marcado “Servidor DNS”. Si en la red no existe ningún servidor DNS, marcar esta opción (se necesita para resolver los nombres). Normalmente el servidor DNS está instalado en el mismo ordenador que el servicio de dominio, para ahorrar tráfico en la red.
Existen 2 opciones más:
Catálogo global.- No permite cambiarlo ya que al ser un controlador de dominio tiene que tener obligatoriamente un catálogo global.
Controlador de dominio de sólo lectura (RODC).- Al instalar el primer controlador de dominio no se puede instalarlo.
Figura 7.12 Selección de Servidor DNS
El siguiente mensaje avisa de que por el momento no hay ningún servidor DNS porque que todavía no se ha instalado. Se instalará automáticamente durante el proceso de instalación del servicio de dominios. Pulsar sobre “Sí”.
Figura 7.13 Aceptar instalación de Dominio
Ahora se eligen las carpetas donde se van a ir almacenando los datos del dominio: usuarios, scripts, registros, grupos, equipos registrados en el dominio, etc. Pulsar en “Siguiente”.
Figura 7.14 Carpetas de Almacenamiento de Datos
Seguidamente pide la asignación de una contraseña para el Modo de restauración para el caso de que haya algún error grave en el servidor y se tenga que arrancar en ese modo.
Figura 7.15 Contraseña de Seguridad de Administrador
Aparece una pantalla resumen donde nos permite para utilizarla en otro equipo, y hacer todo el proceso que se ha hecho de manera desatendida. Pulsar en “Siguiente”.
Figura 7.16 Pantalla de Resumen
En este paso, tanto el Dominio como el Servidor DNS comienzan a instalarse.
Figura 7.17 Instalación de DNS
Una vez acaba la instalación pulsar en “Finalizar”. Seguidamente pedirá que se reinicie el sistema.
Figura 7.18 Finalización de Asistente
Al entrar de nuevo solicitará el usuario y contraseña de Administrador (al realizar el controlador de dominio ha transformado el usuario administrador local en administrador del dominio).
Figura 7.19 Inicializar Usuario Administrador
Al volver a entrar en “Administrador de Servidor” se podrá comprobar que se dispone de los roles instalados y funcionales de Active Directory y de DNS.
Figura 7.20 Funciones Activas Creadas
Directorio Activo (AD) y servivios.
Hoy en día, los ordenadores existentes en cualquier organización se encuentran formando parte de redes de ordenadores, de forma que pueden intercambiar información. Desde el punto de vista de la administración de sistemas, la mejor forma de aprovechar esta característica es la creación de un dominio de sistemas, en donde la información administrativa y de seguridad se encuentra centralizada en uno o varios servidores, facilitando así la labor del administrador. Windows 2003 utiliza el concepto de directorio para implementar dominios de sistemas Windows 2003.
En el ámbito de las redes de ordenadores, el concepto de directorio (o almacén de datos) es una estructura jerárquica que almacena información sobre objetos en la red, normalmente implementada como una base de datos optimizada para operaciones de lectura y que soporta búsquedas de grandes datos de información y con capacidades de exploración.
Active Directory es el servicio de directorio de una red de Windows 2003. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar centralizadamente el acceso a los recursos de la red.
Al instalar el Directorio Activo en uno o varios sistemas Windows 2003 (Server) de nuestra red, convertimos a dichos ordenadores en los servidores del dominio, o más correctamente, en los denominados Controladores de Dominio (Domain Controllers) o simplemente “DCs”. El resto de los equipos de la red pueden convertirse entonces en los clientes de dicho servicio de directorio, con lo que reciben toda la información almacenada en los controladores. Esta información incluye no sólo las cuentas de usuario, grupo, equipo, etc., sino también los perfiles de usuario y equipo, directivas de seguridad, servicios de red, etc. El Directorio Activo se convierte así en la herramienta fundamental de administración de toda la organización.
Una de las ventajas fundamentales del Directorio Activo es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red). Ello permite, por una parte, independizar la estructuración de dominios de la organización de la topología de la(s) red(es) que interconectan los sistemas; y, por otra parte, permite administrar la estructura física explícitamente cuando es necesario, de forma independiente de la administración de los dominios. Más adelante en este capítulo se exponen ambas estructuras detalladamente.
A diferencia de su antecesor NT 4.0, Windows 2008 proporciona compatibilidad con un buen número de protocolos y estándares existentes, ofreciendo interfaces
de programación de aplicaciones que facilitan la comunicación con otros servicios de directorio. Entre ellos, podemos destacar los siguientes:
DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica de ordenadores, que permite la administración desatendida de direcciones de red.
DNS (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación y resolución de nombres (traducción de nombres simbólicos a direcciones IP) en Internet.
SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido.
LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y modifican la información existente en el directorio.
Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas.
Certificados X.509. Estándar que permite distribuir información a través de la red de una forma segura.
De entre todos ellos, es imprescindible que el administrador conozca en detalle la relación entre el Directorio Activo y DNS. A continuación se exponen los aspectos fundamentales de esta relación.
El Directorio Activo y DNS
El Directorio Activo y DNS son espacios de nombres. Podemos entender un espacio de nombres como un área delimitada en la cual un nombre puede ser resuelto. La resolución de nombres es el proceso de traducción de un nombre en un objeto o información que lo representa. Por ejemplo, el sistema de ficheros NTFS puede ser considerado un espacio de nombres en cual un fichero puede ser resuelto en el fichero propiamente dicho.
DNS es el sistema de nombres de facto para redes basadas en el protocolo TCP/IP y el servicio de nombres que se usa para localizar equipos en Internet. Windows 2003 utiliza DNS para localizar equipos y controladores de dominio. Una estación de trabajo o servidor miembro busca un controlador de dominio preguntando a DNS.
Cada dominio de Windows 2003 se identifica unívocamente mediante un nombre DNS, por ejemplo:
miempresa.com
Y cada equipo basado en Windows 2003 que forma parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de dicho dominio.
pc0100.miempresa.com
De esta forma vemos que dominios y equipos se representan como objetos en Active Directory y como nodos en DNS. Por tanto resulta fácil confundir ambos espacios de nombres ya que comparten idénticos nombres de dominio. La diferencia es que aunque comparten la misma estructura, almacenan información diferente: DNS almacena zonas y registros de recursos y el Directorio Activo guarda dominios y objetos de dominio.
Como conclusión diremos que Directorio Activo utiliza DNS, para tres funciones principales:
1. Resolución de nombres: DNS permite realizar la resolución de nombres al convertir los nombres de host a direcciones IP.
2. Definición del espacio de nombres: Directorio Activo utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios.
3. Búsqueda de los componentes físicos de AD: para iniciar una sesión de red y realizar consultas en Directorio Activo, un equipo con Windows 2003 debe encontrar primero un controlador de dominio o servidor de catálogo global para procesar la autenticación de inicio de sesión o la consulta. La base de datos DNS almacena información acerca de qué equipos realizan estas funciones para que se pueda atender la solicitud adecuadamente. En concreto, esto se lleva a cabo mediante registros de recursos SRV
Figura 8.1 Dominio de Red y Directorio Activo
Que especifican el servidor (o servidores) del dominio que proporcionan los servicios de directorio correspondientes.
Las cuentas de usuarios que gestiona Active Directory son almacenadas en la base de datos SAM (Security Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que también mantiene información sobre servidores, estaciones de trabajo, recursos, aplicaciones, directivas de seguridad, etc., que hacen imprescindible la instalación del Directorio Activo en Windows Server 2008 si queremos sacar a nuestro sistema operativo servidor todo el partido posible.
Controlador de Dominio.- Es un equipo Windows Server 2008 con AD instalado que almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red.
Nombre de Dominio.- Son las denominaciones asignadas a los ordenadores de la red, hosts, y routers, que equivalen a su dirección IP. En nuestro caso llamaremos a nuestro dominio "MICENTRO.EDU", que será el dominio raíz.
Árbol de Dominio.- Es el conjunto de dominios formado por el nombre de dominio raíz (MICENTRO.EDU) y el resto de dominios cuyos nombres constituyen un espacio contiguo con el nombre raíz (por ejemplo si tuviéramos un subdominio "DPTO_LENGUA", se nombraría como "DPTO_LENGUA.MICENTRO.EDU", y formaría un árbol de dominios con el dominio raíz).
Bosque de Árboles de Dominios.- Es el conjunto de árboles de dominio que no constituyen un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raíz de nombre "OTROCENTRO.EDU", este nuevo dominio, junto con el anterior "MICENTRO.EDU", formarían el bosque de árboles de dominios).
Figura 8.2 Mapa de Directorio de Dominio
Bueno, además de utilizar la vieja y conocida consola Active Directory Users and Computers (ADUC), tenemos la opción de utilizar una nueva consola, que realmente no es muy conocida por los administradores, o si la conocen no suelen utilizarla para gestionar y administrar sus entornos corporativos (y, en mi opinión personal, es una pena). Esta consola se llama Active Directory Administrative Center (ADAC).
Esta nueva herramienta se basa en los cmdlets y nos muestra la sintaxis de las tareas en Windows PowerShell que corresponden a las tareas realizadas con la interfaz gráfica de usuario.
Podemos utilizar Active Directory Administrative Center (ADAC), para realizar tareas de administración de objetos comunes de Active Directory a través de la navegación de los datos y tareas.
Con esta consola podemos realizar alguna de las siguientes tareas:
Crear nuevas cuentas de usuario o gestionar cuentas de usuarios existentes
Crear nuevos grupos o administrar los grupos existentes
Crear nuevas cuentas de equipo o administrar las cuentas existentes de equipo
Crear nuevas unidades organizativas (OU) y los contenedores o administrar las unidades organizativas existentes
Conectarse a uno o varios dominios o controladores de dominio en la misma instancia del Centro de administración de Active Directory, y ver o administrar la información del directorio de los dominios o controladores de dominio
Filtrar los datos de Active Directory mediante la creación de consultas de búsqueda
Además, podemos utilizar la interfaz gráfica de usuario mejorada para personalizar la consola Active Directory Administrative Center según nuestras necesidades de administración. Esto puede ayudarnos a mejorar la productividad y la eficiencia al realizar tareas comunes de Active Directory.
Podemos instalar la consola Active Directory Users and Computers (ADUC) en Windows Server 2008 R2 de las siguientes maneras:
Por defecto, en un servidor Windows Server 2008 R2 al instalar los Servicios de dominio de Active Directory (AD DS) por medio del Server Manager
Por defecto, cuando promovemos un servidor Windows Server 2008 R2 como controlador de dominio
Con el kit de herramientas: Remote Server Administration Tools (RSAT) en un servidor Windows Server 2008 R2 o en Windows 7.
Algunas consideraciones que debemos tener:
Solo puede ser instalado en equipos que ejecuten Windows Server 2008 R2 o Windows 7; por ende quedan excluidos todos los equipos con Windows 2000, Windows Server 2003, Windows Server 2008, o Windows Vista.
En Windows Server 2008 R2, no podemos utilizarlo para administrar instancias y configuraciones deActive Directory Lightweight Directory Services (AD LDS).
La consola Active Directory Administrative Center está disponible en estas versiones de Sistema Operativo:
Windows Server 2008 R2 Standard, Enterprise o Datacenter
Y, no se encuentra disponible en las siguientes versiones:
Windows Server 2008 R2 for Itanium-Based Systems
Windows Web Server 2008 R2
Windows Server 2008 R2 Core Edition
Iniciamos la consola:
Figura 8.3 Iniciar la Consola
Figura 8.4 Administración de Directorio Activo
En el lado izquierdo de la página general de Administración, se encuentran los nodos de navegación, que se puede ver en la vista de lista o vista de árbol. Por defecto se ve en modo lista, se puede cambiar haciendo un clic en la vista árbol, como podemos ver en la siguiente captura:
Figura 8.5 Lista de Árbol de AD
Si bien esta vista es similar a la que utilizábamos en la consola ADUC, en esta consola podremos realizar una búsqueda directamente en el contenedor que hayamos seleccionado, escribiendo algún criterio de búsqueda en el campo de búsqueda.
En la parte derecha de la página general de Administración, se encuentran tres secciones por defecto: Restablecer contraseña, búsqueda global, y la introducción. Estas secciones pueden ser añadidas o eliminadas mediante el uso de los contenidos adicionales desplegable en la esquina superior derecha de la página general de Administración.
La vista en modo lista proporciona una serie de nuevas características y funcionalidades. Por ejemplo, podemos navegar a través de los distintos niveles de la jerarquía, mostrando todos los contenedores secundarios de un contenedor padre. Además, esta vista mantiene una lista de los contenedores usados más recientemente (MRU), como observamos en la siguiente captura:
Figura 8.6 Lista de Contenedores
En esta consola, se simplifico mucho el tema de restablecer un password. Ahora podemos hacerlo mucho más rápido, solo basta con ingresar el nombre de usuario, la contraseña nueva, y las opciones deseadas en cuenta, y pulsar Apply.
Figura 8.7 Iniciar Cuenta de Usuario
Si nos equivocamos en algo veremos un Warning, antes de hacer cualquier cosa:
Figura 8.8 Posible Mensaje de Error de Usuario
Podemos crear una consulta de búsqueda global mediante el uso de palabras clave y los criterios de búsqueda disponibles o mediante el Lightweight Directory
Access Protocol (LDAP) el tipo de búsqueda. Las posibilidades de búsqueda en el ADAC son muy superiores a ADUC; ya que por ejemplo, podemos seleccionar de
un conjunto predeterminado de criterios a usar en nuestra consulta:
Figura 8.9 Protocolo de Acceso al Directorio
Como en el resto de las consolas, tenemos la parte de Tares; en donde dependiendo del objeto que tenemos seleccionado, veremos distintas opciones de “tareas” que podemos hacer.
Figura 8.10 Tareas para trabajar en el Directorio
Cuando creamos un elemento nuevo, como pudiera ser un usuario, vemos que los cambios son significativos en comparación con la consola que veníamos utilizando hasta ahora (Consola ADUC). Esta nueva ventana tiene varias secciones y una función de vista previa. También nos muestra el FQDN de la ubicación en donde estará el objeto; la cual, obviamente, podemos cambiar.
Figura 8.11 Ubicación de Objeto a trabajar
Podemos también agregar nuevas secciones, haciendo un clic en Add Sections:
Figura 8.12 Agregar acciones que tendrá nuestro directorio
También, como mencionamos anteriormente tenemos tareas asociadas, que cambian de acuerdo al objeto que tenemos seleccionado, si tuviéramos abierto las propiedades de una cuenta que ya está creada las opciones serian:
Figura 8.13 Propiedades aplicables a nuestro dominio
Al seleccionar una cuenta de usuario, podemos ver el preview de las propiedades, en donde vemos datos importantes como ser el GUID, o el SID del usuario entre otras cosas.
Figura 8.14 Propiedades de nuestro Usuario Administrador
También por medio de esta consola podemos administrar otros dominios del bosque, para agregarlos debemos hacer un clic en:
Figura 8.15 Bosque con todos nuestros dominios creados
Y luego, en Connect to other domains…
Figura 8.16 Opción para conectar con el Dominio
PASOS PARA LA INSTALCION DE UN SERVIDOR DNS EN SERVER 2008
1. Como primer paso se debe instalar las funciones para el servidor DNS, para ello vamos a inicio>herramintas administrativas>administrador del servidor (como se muestra en la Fig 9.1) .
Fig 9.1
En la figura 9.2 vamos a funciones>agregar funciones.
Fig 9.2
Después en la Fig 9.3 Seleccionamos la opcion servidor DNS. Presionamos la opción siguiente.
Fig 9.3
En la siguiente ventana (Fig. 9.4) aparece un resumen del proceso de instalación. Si todo esta correcto presionamos el botón instalar.
Fig. 9.4
Esperamos a que el proceso se complete.
PASOS PARA LA CONFIGURACION DE UN SERVIDOR DNS (CLIENTE)
Nos dirigimos a inicio>herramientas administrativas y seleccionamos DNS como se muestra en la siguiente figura (10.1).
Fig 10.1
En este punto entraremos a configurar las zonas. En las zonas es donde especificamos, nombre de dominio, tipo de servidor si es maestro o esclavo y ruta del archivo.
Existen diferentes zonas con sus perspectivas configuraciones las cuales son:
Zona directa:
La zona directa nos permite crear zonas primarias y segundarias. En dichas zonas podemos crear distintos tipos de registro tales como: A, CNAME, NS, MX, y asociarlos con una dirección Ip.
Las resoluciones de esta zona devuelven la Ip correspondiente al nombre de dominio solicitado.
Registro A: este registro se usa para traducir nombres de servidores de alojamiento a direcciones IPv4.
Registro CNAME: Se usa para crear nombres de servidores de alojamiento adicionales, o alias, para los servidores de alojamiento de un dominio.
Registro NS: Define la asociación que existe entre un nombre de dominio y los servidores de nombres que almacenan la información de dicho dominio.
Registro MX: Asocia un nombre de dominio a una lista de servidores de intercambio de correo para ese dominio.
Zona inversa: nos permite por el contrario crear registros PTR, los cuales nos permiten asociar una Ip con un nombre. Es como hacer una pregunta ¿Cuál es el nombre DNS del equipo que utiliza la dirección IP 172.16.200.2?”.
Registro PTR: También conocido como ‘registro inverso’, funciona a la inversa del registro A, traduciendo IPs en nombres de dominio.
Ya teniendo claro las zonas y cada uno de los registros procedamos a la configuración les las zonas.
6. Para crear una nueva zona directa, damos clic derecho en zona de búsqueda directa>nueva zona y seguimos el asistente como en la (Fig. 10.2)
Fig. 10.2
En la siguiente figura 10.3 se nos da una introducción al asistente de configuración de la zona directa. Presionamos el botón siguiente.
Fig. 10.3
En la Imagen 10.4 Nos aparecerá entonces un cuadro de dialogo que nos preguntara el tipo de zona que queremos crear (zona principal, zona secundaria o zona de rutas internas) y nos dan una especificación de cada una. En este caso crearemos una zona principal. Presionamos el botón siguiente.
Fig 10.4
En la imagen 10.5 se nos muestra el siguiente cuadro de dialogo debemos dar nombre a la zona, el cual puede ser el nombre de dominio o el nombre de un subdominio. En este caso ser el nombre del dominio abc.com. Presionamos el botón siguiente.
Fig. 10.5
En la siguiente imagen (Fig. 10.6) nos muestra nuevamente un cuadro de dialogo debemos crear o dar la ruta a un archivo de zona. En este caso crearemos uno nuevo que se llamará abc.com.dns.Presionamo el botón siguiente.
Fig 10.6
En la siguiente ventana (Fig. 10.7) debemos especificar si el servidor DNS tendrá actualizaciones dinamicas seguras, no seguras o no dinámicas.
Nota: Las actualizaciones dinámicas seguras solo se activan si la zona está integrada en active directory, por ende en este caso esta deshabilitada.
En este caso seleccionamos la opción Permitir todas las actualizaciones dinámicas (seguras y no seguras). Presionamos el botón siguiente.
Fig. 10.7
En la siguiente pantalla (Fig. 10.8) nos aparece un resumen de la configuración de nuestra nueva zona. Si todo está correctamente presionamos el botónfinalizar.
Fig. 10.8
Veremos entonces nuestra nueva zona directa en la figura 10.9
Fig. 10.9
Procedemos entonces a configurar una nueva zona inversa. damos clic derecho en zona de búsqueda inversa>nueva zona y seguimos el asistente como en la diguiente imagen (Fig. 10.10)
Fig. 10.10
Fig. 10 se nos da una introducción al asistente de configuración de la zona directa. Presionamos el botón siguiente.
Fig. 10.11
Nos aparecerá entonces un cuadro de dialogo que nos preguntara el tipo de zona que queremos crear (zona principal, zona secundaria o zona de rutas internas) y nos dan una especificación de cada una. En este caso crearemos una zona principal. Presionamos el botón siguiente.
En el siguiente cuadro de dialogo (Fig. 10.12) debemos configurar el nombre de nuestra zona inversa. Como las zonas inversas hacen la traducción de IP a Nombre de dominio, el nombre de la zona debe ir ligado a los octetos de red del Identificador de nuestra red. En este caso el direccionamiento esIP V4. Presionamos el botón siguiente.
Fig. 10.12
En el siguiente cuadro de dialogo(Fig. 10.13) debemos ingresar los valores del ID de nuestra red que pertenezcan a la porcion red, en este caso 172.16.1pues la máscara es de /24. Podemos ver como se autocompleta el nombre de la zona de búsqueda inversa. Presionamos el botón siguiente.
Fig 10.13
En el cuadro de dialogo que nos muestra la (Fig. 10.14) debemos crear o dar la ruta a un archivo de zona. En este caso crearemos uno nuevo que se llamará 1.16.172.in-addr.arpa.dns. Presionamos el botón siguiente.
Fig. 10.14
En la siguiente ventana (Fig 10.15) debemos especificar si el servidor DNS tendrá actualizaciones dinamicas seguras, no seguras o no dinámicas.
Nota: Las actualizaciones dinámicas seguras solo se activan si la zona está integrada en active directory, por ende en este caso esta deshabilitada.
En este caso seleccionamos la opción Permitir todas las actualizaciones dinámicas (seguras y no seguras). Presionamos el botón siguiente.
Fig 10.15
En la siguiente pantalla (Fig 10.16) nos aparece un resumen de la configuración de nuestra nueva zona inversa . Si todo está correctamente presionamos el botónfinalizar.
Fig. 10.16
Figura 10.17 Después de haber creado la zona inversa, damos doble clic sobre ella (1.16.172.in-addr arpa).
Fig. 10.17
Podemos observar dos registros (SOA y NS). Seleccionamos la primera opción (registro SOA).
Debe salir un cuadro donde podemos especificar el nombre del servidor primario en este caso dns.abc.com. y el correo de la persona responsable de la configuración de la zona en este caso webmaster.abc.com. Figura 10.18
Los demás valores los dejaremos por defecto. Presionamos el botón aceptar.
Fig. 10.18
Ahora nos situamos en Zonas de búsqueda directa y abrimos la zona abc.com. como se muestra en la siguiente pantalla (Fig. 10.19)
Fig. 10.19
Nos Debe salir un cuadro donde podemos especificar el nombre del servidor primario en este caso dns.abc.com. y el correo de la persona responsable de la configuración de la zona en este caso webmaster.abc.com como en la siguiente imagen (Fig 10.20)
Los demás valores los dejaremos por defecto. Presionamos el botón aceptar.
Fig. 10.20
Ahora crearemos los registros A para el DNS. Para ello damos clic derecho sobre algún lugar del cuadro perteneciente a la zona abc.com como se ve en la figura. Seleccionamos Host Nuevo (A o AAA) como en la imagen (Fig. 10.21)
Fig. 10.21
En el nuevo cuadro de dialogo debemos especificar el nombre de host en este caso dns, además de la dirección IP del host, en este caso 172.16.1.2.
Seleccionamos la opción Crear registro del puntero (PTR) asociado para que automáticamente se agregar en la zona inversa el registro PTR para este host. Presionamos el botón Agregar host. Véase la imagen siguiente: (Fig. 10.22)
Fig. 10.22
Nos aparecerá un aviso que nos informa que el registro fue creado exitosamente. Presionamos el botón aceptar.
Debemos configurar entonces la interface de red adecuadamente.
Nos dirigimos a:
inicio>
panel de control>
centro de redes y recursos compartidos
>administrar conexiones de red.
Alli damos clic derecho en el
adaptador>
propiedades>
protocolo de internet TCP/IPv4>
propiedades.
Configuramos en este caso la interface como se observa en la imagen.(Fig. 10.23)
Fig. 10.23
Verificación del funcionamiento del servidor DNS.
Usaremos un cliente bajo Windows Seven que se encuentra en red con el servidor DNS.
Realizamos entonces una búsqueda directa buscando con el nombre del host la dirección IP del mismo. Procedemos a abrir la consola cmd.exe y allí ejecutamos el comando nslookup dns.abc.com y nos aparecerá el nombre y la dirección del servidor nos responde la solicitud, además de la IP del host que se llama dns.abc.com. (Fig. 11.1)
Fig. 11.1
Podemos además hacer una consulta inversa buscando con la dirección IP, el nombre del host como en la (Fig.11.2).Para ello ejecutamos el comando nslookup 172.16.1.2 y podemos observar el nombre y la dirección del servidor nos responde la solicitud, además del nombre del host que tiene como IP172.16.1.2
Fig.11.2
SERVICIO ASIGNADO AL EQUIPO
Microsoft Windows Server 2008 está diseñado para ofrecer a las organizaciones la plataforma más productiva para virtualización de cargas de trabajo, creación de aplicaciones eficaces y protección de redes. Ofrece una plataforma segura y de fácil administración, para el desarrollo y alojamiento confiable de aplicaciones y servicios web. Del grupo de trabajo al centro de datos, Windows Server 2008 incluye nuevas funciones de gran valor y eficacia y mejoras impactantes en el sistema operativo base.
Más control.
Windows Server 2008 proporciona a los profesionales de TI más control sobre sus servidores e infraestructura de red y les permite centrarse en las necesidades críticas del negocio. Capacidades mejoradas en secuencias de comandos y automatización de tareas, como las que ofrece Windows PowerShell, ayudan a los profesionales de TI a automatizar tareas comunes de TI. La instalación y administración basadas en funciones con Administrador del Servidor facilita la tarea de administrar y proteger las múltiples funciones de servidor en una empresa. La nueva consola del Administrador del servidor proporciona un único origen para administrar la configuración del servidor y la información del sistema. El personal de TI puede instalar sólo las funciones y características que sean necesarias, y hay asistentes que automatizan muchas de las tareas de implementación de sistemas que tardan más tiempo. Herramientas mejoradas de administración del sistema, como el Monitor de rendimiento y confiabilidad, ofrecen información sobre sistemas y alertan al personal de TI sobre problemas potenciales antes de que sucedan.
Mayor protección.
Windows Server 2008 proporciona una serie de tecnologías de seguridad nuevas y mejoradas, que aumentan la protección del sistema operativo al ofrecer una base sólida para la dirigir y construir un negocio. Incluye innovaciones de seguridad, como PatchGuard, que reducen la exposición a ataques del núcleo, lo que produce un entorno de servidor más seguro y estable. El sistema de protección de servicios de Windows ayuda a mantener más seguros los sistemas al evitar que los servicios críticos de servidor estén en riesgo por actividades anormales en el sistema de archivos, registro, o red. La seguridad también se mejora en el sistema operativo Windows Server 2008 por medio de protección de
acceso a redes (NAP), controlador de dominio de sólo lectura (RODC), mejoras en la infraestructura de clave pública (PKI), un nuevo firewall de Windows bidireccional y compatibilidad con criptografía de última generación.
Mayor flexibilidad.
Windows Server 2008 está diseñado para permitir que los administradores modifiquen su infraestructura para adaptarla a las necesidades cambiantes del negocio y continuar siendo ágiles. Se mejora la flexibilidad para trabajadores móviles mediante tecnologías que permiten que los usuarios ejecuten programas desde cualquier ubicación remota, como RemoteApp y Terminal Services Gateway. Windows Server 2008 acelera la implementación y el mantenimiento de sistemas de TI con Servicios de Implementación de Windows (WDS) y ayuda en la consolidación de servidores con Windows Server virtualization (WSv). Para organizaciones que necesitan controladores de dominio en sucursales, Windows Server 2008 ofrece una nueva opción de configuración: el Controlador de Dominio de sólo lectura (RODC), que evita exponer las cuentas si el Controlador de Dominio estuviera en riesgo.
Seguridad
La seguridad es un desafío fundamental en cada implementación de servidor. Un servidor que aloja múltiples máquinas virtuales (VM), también conocidos como servidores consolidados, está expuesto a los mismos riesgos de seguridad que los servidores no consolidados, pero agrega el desafío de separación de funciones de administrador. WSv ayuda a aumentar la seguridad de servidores consolidados y resuelve el desafío de separación de funciones de administrador. WSv lo lleva a cabo por medio de las siguientes características:
• Particiones fuertes: una máquina virtual (VM) funciona como un contenedor independiente de sistema operativo, completamente aislado de otras máquinas virtuales que se ejecutan en el mismo servidor físico.
• Seguridad para el hardware: características como prevención de ejecución de datos (DEP) se encuentran disponibles en el hardware más reciente para servidores y ayudan a evitar la ejecución de los virus y los gusanos más predominantes.
• Windows Server virtualization: WSv ayuda a evitar la exposición de las VM que contienen información confidencial y protege también al sistema operativo host subyacente del riesgo que comporta un sistema operativo invitado.
• Características de seguridad de red: permite la traducción de direcciones de red (NAT) automática, firewall y protección de acceso a redes (NAP).
• Base de equipos de confianza mínima: ofrece una superficie de ataque reducida y una arquitectura de virtualización simplificada y ligera. Esta característica mejora la confiabilidad de equipos virtuales basados en WSv.
La configuración de un servidor consolidado que ofrezca los mejores entornos de seguridad y sistema operativo para cada aplicación puede presentar en ciertas ocasiones un desafío difícil. Debido a que WSv crea un entorno donde es posible configurar cada carga de trabajo con un entorno de sistema operativo y perfil de seguridad ideales, WSv resuelve el desafío de la separación de funciones en un servidor consolidado. WSv protege a las VM del sistema operativo host y viceversa, al permitir que las VM se ejecuten en una cuenta de servicio sólo con los privilegios necesarios. Con WSv, el sistema operativo host está protegido y una VM en riesgo está limitada en el daño que podría causar a otras VM.
Fuerte aislamiento.
La virtualización del servidor permite que coexistan cargas de trabajo con requisitos de recursos diferentes en el mismo servidor host. WSv ofrece varias características que facilitan el uso eficaz de los recursos físicos del servidor host:
• Asignación flexible de memoria: se puede asignar una cantidad máxima y una cantidad mínima de memoria RAM garantizada a las máquinas virtuales. Esta característica permite que los administradores creen una configuración de WSv que equilibre las necesidades individuales del recurso de VM frente al rendimiento total del servidor de WSv.
• Adición dinámica de hardware: WSv puede agregar dinámicamente procesadores lógicos, memoria, adaptadores de red y almacenamiento a sistemas operativos invitados compatibles, mientras se encuentran en ejecución. Esta característica facilita la asignación granular de capacidades de procesamiento host de WSv a los sistemas operativos invitados.
• Configuración flexible de red: WSv ofrece características avanzadas de red para las VM, que incluyen NAT, firewall y asignación de VLAN. Esta flexibilidad se puede usar para crear una configuración de WSv más compatible con los requisitos de seguridad de red.
Las características de asignación flexible de memoria, adición dinámica de hardware y configuración flexible de red de WSv facilitan una respuesta más eficaz a las cargas dinámicas de servidor. Por ejemplo, la carga de trabajo de procesamiento de fin de período es con frecuencia varias veces mayor que el
promedio en algunas aplicaciones de línea de negocios (LOB). WSv se puede usar con sistemas operativos invitados compatibles, para asignar dinámicamente recursos adicionales de memoria y procesador a una VM en ejecución y administrar los requisitos ampliados de procesamiento sin reiniciar el sistema operativo invitado. Con suficientes recursos de servidor host, este cambio no disminuye el rendimiento de las demás VM que se ejecutan en el host.
RendimientoLos avances e integración del diseño con hardware que reconoce la virtualización permite a WSv virtualizar cargas de trabajo mucho más exigentes que en versiones anteriores y con mayor flexibilidad en la asignación de recursos.
Los avances de rendimiento incluyen:
• Arquitectura de virtualización ligera, de baja sobrecarga, basada en Hypervisor de 64 bits: hardware preparado para virtualización (Intel VT y la tecnología "Pacifica" de AMD) que permite rendimientos mayores del sistema operativo invitado.
• Compatibilidad con múltiples núcleos. A cada VM se le pueden asignar hasta ocho procesadores lógicos: esto permite la virtualización de grandes cargas de trabajo, con cálculo intensivo, que aprovechan los beneficios del procesamiento en paralelo de núcleos de VM con procesadores múltiples.
• Compatibilidad de sistemas operativos host e invitado de 64 bits: WSv se ejecuta en la versión de 64 bits de Windows Server 2008 para ofrecer acceso a grandes grupos de memoria para las VM invitadas. Cargas de trabajo intensivas en memoria que se verían muy afectadas por extensas paginaciones si se ejecutaran en sistemas operativos de 32 bits, se pueden virtualizar correctamente en WSv. WSv también es compatible con sistemas operativos invitados de 64 y 32 bits que se ejecutan en el mismo servidor consolidado.
• Compatibilidad con Server Core. WSv puede usar una instalación Server Core de Windows Server 2008 como sistema operativo host. La superficie mínima de instalación y baja sobrecarga de Server Core dedica la mayor cantidad posible de la capacidad de procesamiento de servidor host a las VM en ejecución.
• Acceso a disco de paso. Los sistemas operativos invitados se pueden configurar para tener acceso de forma directa a almacenamiento local o de red de área de almacenamiento (SAN) iSCSI, lo que ofrece mayores rendimientos en aplicaciones con muchas operaciones de E/S, como SQL Server o Microsoft Exchange.
Muchas cargas de trabajo de servidor demandan mucho procesamiento de servidor y subsistemas de E/S. Cargas de trabajo como SQL Server y Microsoft Exchange normalmente consumen mucha memoria y lastran el rendimiento de disco, y ha habido resistencia a virtualizar estas cargas de trabajo. El Hypervisor
de 64 bits en WSv junto con características como el acceso a disco de paso hace posible y con frecuencia deseable virtualizar grandes cargas de trabajo.
Administración simplificadaEn las instalaciones de centros de datos y sucursales remotas donde es posible implementar WSv, se necesitan fuertes capacidades de administración y automatización para ser totalmente concientes del potencial de reducción de costos de la virtualización. WSv satisface este desafío con las siguientes capacidades de administración y automatización:
• Administración extensible: WSv está diseñado para funcionar con Microsoft System Center Operations Manager (SCOM) y System Center Virtual Machine Manager (SCVMM). Estas herramientas de administración ofrecen informes, automatización, implementación y herramientas autoservicio de usuario para WSv.
• Interfaz MMC 3.0 para administración de VM: la familiar interfaz Microsoft Management Console (MMC) se usa para administrar la configuración de WSv y los valores de VM, reduciendo sensiblemente el proceso de aprendizaje de WSv.
• Interfaz del instrumental de administración de Windows (WMI): WSv incorpora un proveedor WMI que ofrece acceso a información de sistema y administración mediante secuencias de comandos.
• Secuencias de comandos de PowerShell: la configuración de host y VM de WSv se configura a través de Windows PowerShell.
• Administración de objetos de directivas de grupo (GPO): WSv usa las capacidades de administración de configuración de GPO para administrar la virtualización del host WSv y la configuración del equipo virtual.
Las capacidades de administración de SCOM y SCVMM hacen posible administrar de forma eficaz tanto instalaciones de centros de datos como instalaciones sumamente distribuidas de WSv. Por ejemplo, el acceso de secuencias de comandos al proveedor WMI en WSv se puede usar para automatizar las ventanas de mantenimiento en varios servidores host de WSv, al apagar VM invitadas, encenderlas en un servidor en espera, realizar el mantenimiento en el servidor host y, a continuación, restaurar las VM a su host original. Con la adición de System Center Virtual Machine Manager, esta operación se puede automatizar y realizar sin ningún tiempo de inactividad perceptible para muchas aplicaciones.
Plataforma web y de aplicaciones
Internet Information Services 7.0 (IIS7)
Windows Server 2008 proporciona una plataforma unificada para publicación en la Web que integra Internet Information Services 7.0 (IIS7), ASP.NET, Windows Communication Foundation y Microsoft Windows SharePoint Services. IIS7 constituye un gran avance sobre el servidor web IIS existente y desempeña una función central en la integración de tecnologías de plataforma web. Los beneficios clave de IIS7 incluyen características más eficientes de administración, mejor seguridad y costos reducidos de soporte técnico. Estas características ayudan a crear una plataforma unificada que proporciona un modelo único y coherente de desarrollo y administración para soluciones web.
Herramientas de administración mejoradas
La nueva utilidad de administración en IIS7, Administrador de IIS, es una herramienta más eficiente para la administración del servidor web. Ofrece compatibilidad para configuraciones de IIS y ASP.NET, datos de usuario e información de diagnósticos en tiempo de ejecución. La nueva interfaz de usuario permite también que quienes alojan o administran sitios web deleguen el control administrativo a desarrolladores o propietarios de contenido, reduciendo así el costo de propiedad y la carga administrativa para el administrador. La nueva interfaz de Administrador de IIS admite administración remota sobre HTTP y permite administración local, remota e incluso entre Internet de forma integrada, sin necesidad de abrir puertos DCOM u otros puertos administrativos en el firewall.
Se incluye también una nueva herramienta de línea de comandos, appcmd.exe, para la administración de servidores, sitios y aplicaciones web. La interfaz de línea de comandos simplifica a los administradores las tareas comunes de administración de servidores web. Por ejemplo, appcmd.exe se podría usar para incluir una lista de solicitudes de servidores web forzados a esperar más de 500 milisegundos. Esta información se puede usar para solucionar problemas de aplicaciones con bajo rendimiento. La salida de appcmd.exe se puede canalizar en otros comandos para procesamiento adicional.
Instalación modular basada en características
IIS7 está compuesto por más de 40 módulos de características independientes. Sólo la mitad de los módulos se instala de forma predeterminada y los administradores pueden instalar o eliminar de forma selectiva cualquier módulo de característica que elijan. Este enfoque modular permite a los administradores instalar sólo las opciones que necesitan y ahorrar tiempo, al limitar el número de características que se necesitan administrar y actualizar. Además, debido a que no se ejecuta ningún software innecesario, se reduce la superficie de ataque del servidor web y se mejora la seguridad.
Modelo de configuración distribuida
IIS7 presenta mejoras principales en la manera en que se almacenan sus datos de configuración y se obtiene acceso a los mismos. Uno de los objetivos clave del lanzamiento de IIS7 es habilitar la configuración distribuida de las configuraciones de IIS, que permite a los administradores especificar configuraciones de IIS en archivos que se almacenan con el código y contenido.
La configuración distribuida permite a los administradores especificar opciones de configuración para un sitio o aplicación web en el mismo directorio donde se almacena el código o contenido. Al especificar en un único archivo las opciones de configuración, la configuración distribuida permite a los administradores delegar a otros la administración de características seleccionadas de sitios o aplicaciones web. Por ejemplo, un sitio web se podría delegar para que el desarrollador de aplicaciones pueda configurar el documento predeterminado que se usa en ese sitio web. Los administradores también pueden bloquear opciones de configuración específicas para que nadie pueda cambiarlas. Esta característica se puede usar para garantizar que una directiva de seguridad, que evita la ejecución de secuencia de comandos, no sea sobrescrita por un desarrollador de contenidos al que se le delega acceso administrativo al sitio web. Mediante el uso de configuraciones distribuidas, las opciones de configuración de un sitio o aplicación específicos se pueden copiar de un equipo a otro de la misma manera que una aplicación pasa de desarrollo a prueba y, finalmente, a producción.
Diagnósticos y solución de problemas& IIS7 hace más sencilla que nunca la solución de problemas del servidor web con soporte de seguimiento y diagnósticos integrados y permite que el administrador mire de cerca el servidor web y consulte información detallada de diagnóstico, en tiempo real. Los diagnósticos y solución de problemas permiten que un desarrollador o administrador consulten las solicitudes que se ejecutan en el servidor. IIS7 incluye también nuevos objetos de estado y control de tiempo de ejecución, que ofrecen información en tiempo real
del estado de grupos de aplicaciones, procesos de trabajo, sitios, dominios de aplicación e incluso de solicitudes en ejecución. Esta información se puede usar para determinar, por ejemplo, qué solicitud de un proceso de trabajo consume el 100 por ciento de la CPU.
IIS7 incluye también eventos de seguimiento detallado a través de la ruta de solicitud y respuesta, que permite que desarrolladores y administradores puedan realizar un seguimiento de una solicitud a medida que ésta avanza a través de la canalización de procesamiento de solicitudes de IIS, en cualquier código de página existente y regresa a la respuesta. Estos eventos de seguimiento detallado permiten que los desarrolladores entiendan no sólo la ruta de acceso de la solicitud y cualquier información de errores generada como resultado de misma, sino también el tiempo transcurrido e información adicional de depuración para asistirlos en la resolución de todo tipo de errores.
IIS7 simplifica también la solución de problemas al proporcionar mensajes de error mucho más detallados y que se pueden procesar. El nuevo módulo personalizado de errores en IIS7 permite devolver información de errores detallada al explorador (de forma predeterminada a localhost) y configurable para enviar a otros clientes remotos. En vez de consultar un breve código de error, ahora los administradores pueden ver información detallada sobre la solicitud, qué problemas potenciales pueden haber originado el error y también sugerencias sobre cómo corregirlo.
Una de las características más importantes que ayudan a mejorar el soporte de resolución de problemas IIS7 es la API de estado y control de tiempo de ejecución (RSCA), que está diseñada para ofrecer información detallada de tiempo de ejecución del servidor desde el interior de IIS7. Con RSCA, es posible inspeccionar y administrar varias entidades incluidos sitios, grupos de aplicaciones e incluso dominios de aplicaciones .NET. RSCA también saca a relucir, en tiempo real, las solicitudes actualmente en ejecución en el servidor. Los datos de RSCA están disponibles desde el proveedor WMI y la API administrada (Microsoft.Web.Administration). La GUI de administración de IIS 7 y la herramienta de línea de comandos también revelan estos datos a los administradores.
Arquitectura modular extensible
En versiones anteriores de IIS, toda la funcionalidad estaba integrada de forma predeterminada y no existía una manera fácil de extender ni de reemplazar ninguna de esta funcionalidad. Como se indicó anteriormente, en IIS7, el núcleo está dividido en más de 40 módulos de características independientes. El núcleo también incluye una nueva API Win32 para construir módulos de servidor de núcleo. Los módulos de servidor de núcleo son reemplazos nuevos y más eficaces de los filtros y las extensiones de la Interfaz de programación de Aplicación de
Servidor de Internet (ISAPI). Los filtros y las extensiones de ISAPI todavía son admitidos en IIS7. Debido a que todas las características de servidor de núcleo de IIS fueron desarrolladas mediante la nueva API de Módulo Win32 de IIS7 como módulos de características discretas, los usuarios pueden agregar, eliminar o incluso reemplazar módulos de características de IIS.
Modelo flexible de extensibilidad para personalización
IIS7 permite a los desarrolladores extender IIS para ofrecer funcionalidad personalizada de formas nuevas y más eficaces. Esto se debe, en parte, a la colección de la interfaz totalmente nueva de programación de aplicaciones de servidor de núcleo (API) que permite desarrollar módulos de características tanto en código nativo (C/C++) como en código administrado (lenguajes como C# y Visual Basic 2005, que usa .NET Framework). De hecho, gran parte del conjunto de características de IIS7 para procesamiento de solicitud y aplicaciones ha sido implementado mediante estas mismas API. IIS7 también permite la extensibilidad de la configuración, secuencias de comandos, registro de eventos y conjuntos de características de herramientas de administración, ofreciendo a los desarrolladores de software una plataforma completa de servidor en la cual construir las extensiones de servidor web.
Verdadera implementación de aplicaciones con xcopy
IIS7 permite almacenar las opciones de configuración en archivos web.config, lo que facilita el uso de xcopy para copiar aplicaciones entre múltiples servidores web, y evitar así réplicas costosas y propensas a errores, sincronización manual y tareas adicionales de configuración.
Seguridad y cumplimiento de directivas
IntroducciónWindows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento. Algunas mejoras clave incluyen:
• Estado de cliente obligatorio: Protección de acceso a redes (NAP), que permite que los administradores configuren y apliquen requisitos de estado y seguridad antes de permitir el acceso de los clientes a la red
• Supervisión de entidades de certificación: PKI de empresa, que mejora la capacidad de supervisar y solucionar problemas de múltiples entidades de certificación (CA)
• Mejoras de firewall: el nuevo Firewall de Windows con seguridad avanzada ofrece varias mejoras de seguridad
• Cifrado y protección de datos: BitLocker protege datos confidenciales mediante cifrado de la unidad de disco
• Herramientas criptográficas: la última generación de criptología ofrece una plataforma de desarrollo flexible de criptografía
• Aislamiento de servidor y dominio: los recursos de servidor y dominio se pueden aislar para limitar el acceso a equipos autenticados y autorizados
• Controlador de dominio de sólo lectura (RODC): el RODC es la nueva opción de instalación de controlador de dominio que se puede instalar en sitios remotos con niveles más bajos de seguridad física
Estas mejoras ayudan a los administradores a aumentar el nivel de seguridad de su organización y simplifican la administración e implementación de configuraciones y opciones relacionadas con la seguridad.
Protección de acceso a redes
La protección de acceso a redes (NAP) evita que equipos que no se encuentran en buen estado tengan acceso a la red de la organización y la pongan en peligro. NAP se usa para configurar y aplicar requisitos de estado de cliente, y para actualizar, o corregir, equipos cliente con incumplimiento antes que se puedan conectar a la red corporativa. Con NAP, los administradores pueden configurar directivas de estado que definen por ejemplo requisitos de software, requisitos de actualización de seguridad y opciones de configuración necesarias en equipos que se conectan a la red de la organización.
NAP aplica requisitos de estado evaluando el estado de los equipos cliente y limitando el acceso a la red ante incumplimientos de los equipos cliente. Componentes del cliente y del servidor participan en la corrección de equipos cliente en situación de incumplimiento, para que puedan obtener un acceso ilimitado a la red. Si se determina que un equipo cliente presenta incumplimientos, se le puede prohibir el acceso a la red o aplicarle de inmediato las revisiones para devolverlo al estado de cumplimiento.
Los métodos de cumplimiento de NAP admiten cuatro tecnologías de acceso a redes que funcionan junto con NAP para aplicar directivas de estado: El cumplimiento de seguridad de protocolo de Internet (IPSEC), el cumplimiento de 802.1X, el cumplimiento de red privada virtual (VPN) para enrutamiento y acceso remoto y el cumplimiento de protocolo de configuración dinámica de host (DHCP).
Funcionalidad de seguridad avanzada de Firewall de Windows
El Firewall de Windows con seguridad avanzada en Windows Server 2008 es un firewall con estado basado en host que permite o bloquea el tráfico de red según su configuración y las aplicaciones que se encuentran en ejecución, para proteger la red de usuarios y programas malintencionados.
Una nueva característica es la capacidad de permitir que el firewall intercepte tanto el tráfico entrante como el saliente. Un administrador de red puede, por ejemplo, configurar el nuevo Firewall de Windows con un conjunto de excepciones para bloquear todo el tráfico que se envía a puertos específicos, como puertos conocidos usados por software de virus o especificar direcciones que contengan contenido confidencial o no deseable. Esto protege al equipo de virus que podrían propagarse a través de la red y protegen a la red de virus que pueden intentar propagarse desde un sistema en riesgo.
Como el número de opciones de configuración del Firewall de Windows ha aumentado, se ha agregado un nuevo complemento de MMC denominado Firewall de Windows con seguridad avanzada para simplificar la administración. Con el nuevo complemento, los administradores de red pueden configurar de forma remota la configuración del Firewall de Windows en estaciones de trabajo clientes y en servidores (algo que no es posible en versiones anteriores sin una conexión a escritorio remoto), simplificando así la configuración y administración remotas.
En versiones anteriores de Windows Server, Firewall de Windows e IPsec se configuraban de forma independiente. Debido a que tanto un firewall basado en host como IPsec pueden bloquear o permitir en Windows el tráfico entrante, es posible crear excepciones de firewall y reglas de IPsec contradictorias o superpuestas. El nuevo Firewall de Windows en Windows Server 2008 han
combinado la configuración de ambos servicios de red mediante la misma GUI e iguales comandos de línea de comandos. Esta integración de la configuración de firewall e IPsec simplifica la configuración de firewall e IPsec y ayuda a evitar la superposición de directivas y las configuraciones contradictorias.
Cifrado de unidad BitLocker
El cifrado de unidad BitLocker es una nueva característica clave de seguridad en Windows Server 2008, que ayuda a proteger servidores, estaciones de trabajo y equipos móviles. También se encuentra disponible en las ediciones de Windows Vista Enterprise y Windows Vista Ultimate para proteger equipos cliente y equipos móviles. BitLocker cifra el contenido de una unidad de disco. Esto evita que un ladrón que ejecuta un sistema operativo paralelo u otras herramientas de software, se salte las protecciones de archivo y sistema, o que pueda realizar una visualización sin conexión de archivos almacenados en la unidad de disco protegida.
BitLocker mejora la protección de datos al reunir dos subfunciones principales: cifrado del volumen de sistema y comprobación de integridad en componentes de preinicio. Se cifra el volumen de sistema completo, incluidos los archivos de paginación e hibernación, lo que aumenta la seguridad de servidores remotos ubicados en sucursales. BitLocker resuelve las amenazas de robo o exposición de datos de un equipo perdido, robado o retirado de manera inapropiada de servicio activo. BitLocker también ayuda a las organizaciones a cumplir con disposiciones de organismos oficiales, como Sarbanes-Oxley y HIPAA, que requieren el mantenimiento de estándares muy altos de seguridad y protección de datos.
PKI de empresa (PKIView)
Hay varias mejoras en la infraestructura de claves públicas (PKI) en Windows Server 2008 y sistemas operativos Windows Vista. Se ha aumentado la capacidad de administración en todos los aspectos de Windows PKI, se han rediseñado las revocaciones de servicios y hay una disminución de la superficie de ataque para la inscripción. Las mejoras en PKI incluyen:
• PKI de empresa (PKIView): originalmente parte del Kit de recursos de Microsoft Windows Server 2003 y llamada herramienta PKI Health, PKIView es ahora un complemento Microsoft Management Console (MMC) de Windows Server 2008. Se usa para analizar el estado de las CA, y para consultar detalles de certificados de la entidad emisora publicados en AD CS.
• Protocolo de estado de certificados en línea (OCSP): un contestador conectado basado en el Protocolo de estado de certificados en línea (OCSP) se puede usar para administrar y distribuir información de estado de revocación en casos donde el uso de CRL convencionales no es una solución óptima. Los contestadores conectados se pueden configurar en un solo equipo o en una Matriz contestadores conectados.
• Servicio de inscripción de dispositivos de red (NDES): en Windows Server 2008, el Servicio de inscripción de dispositivos de red (NDES) es la implementación de Microsoft del Protocolo de inscripción de certificados simple (SCEP), un protocolo de comunicaciones que permite que software en ejecución en dispositivos de red, como enrutadores y conmutadores que de otro modo no se pueden autenticar en la red, se inscriban en certificados x509 de una entidad de certificación (CA).
• Inscripción web: el nuevo control de inscripción web es más seguro, más fácil de escribir en secuencia de comandos y de actualizar que la versión anterior.
• Directiva de grupo y PKI: la configuración de certificados en directivas de grupo permite a los administradores administrar configuración de certificados desde una ubicación central para todos los equipos del dominio.
Criptografía de nueva generación (CNG)
La Criptografía de nueva generación (CNG) ofrece una plataforma de desarrollo criptográfica flexible que permite a los profesionales de TI crear, actualizar y usar algoritmos personalizados de criptografía en aplicaciones relacionadas con criptografía, como Servicios de Certificate Server de Active Directory (AD CS), Capa de sockets seguros (SSL) y Seguridad de Protocolo Internet (IPSEC). CNG implementa los algoritmos cifrados de la Suite B del gobierno de los EE.UU., que incluyen algoritmos para cifrado, firmas digitales, intercambio de claves y hashing.
CNG ofrece un conjunto de API que se usan para realizar las operaciones básicas de criptografía, como creación, almacenamiento y recuperación de claves criptográficas. También admite la instalación y uso de proveedores de criptografía adicionales. CNG permite que las organizaciones y los desarrolladores usen sus propios algoritmos criptográficos o implementaciones de algoritmos criptográficos estándar.
CNG admite el conjunto actual de algoritmos CryptoAPI 1.0 y ofrece también compatibilidad con algoritmos de criptografía de curva elíptica (ECC). Varios algoritmos de ECC son obligatorios en la directiva Suite B del gobierno de los Estados Unidos.
Controladores de dominio de sólo lectura
Un controlador de dominio de sólo lectura (RODC) es un nuevo tipo de controlador de dominio disponible en el sistema operativo Windows Server 2008, diseñado para implementarse principalmente en entornos de sucursales. Un RODC puede reducir los riesgos de implementar un controlador de dominio en ubicaciones remotas, como sucursales, donde no se puede garantizar la seguridad física.
Excepto por las contraseñas de cuentas, un RODC dispone de todos los objetos y atributos de servicios de dominio de Active Directory de Microsoft (AD DS) de que dispone un controlador de dominio de escritura. No obstante los clientes, no pueden escribir cambios directamente en un RODC. Como los cambios no se escriben directamente al RODC y por lo tanto no se originan de forma local, los controladores de dominio de escritura que son asociados de replicación no tienen que extraer cambios del RODC. La separación de funciones del administrador especifica que a cualquier usuario del dominio se puede delegar la administración local de un RODC sin concederle ningún derecho de usuario del dominio propiamente dicho ni de otros controladores de dominio.
Aislamiento de servidor y dominio
En una red basada en Microsoft Windows, los administradores pueden aislar lógicamente los recursos de servidor y dominio para limitar el acceso a equipos autenticados y autorizados. Por ejemplo, se puede crear una red lógica dentro de la red física existente, donde los equipos compartan un conjunto común de requisitos para comunicaciones seguras. Cada equipo en esta red lógicamente aislada debe ofrecer credenciales de autenticación a otros equipos en la red aislada para establecer conectividad.
Este aislamiento evita que equipos y programas no autorizados obtengan acceso a recursos de manera inapropiada. Las solicitudes de equipos que no son parte de la red aislada se ignoran. El aislamiento de servidor y dominio puede ayudar a proteger servidores y datos específicos de gran valor así como proteger a equipos administrados de equipos y usuarios no administrados o invasores.
Se puede usar dos clases de aislamiento para proteger una red:
• Aislamiento de servidor: en un escenario de aislamiento de servidor, se configuran servidores específicos mediante directivas de IPsec para aceptar sólo comunicaciones autenticadas de otros equipos. Por ejemplo, el servidor de la base de datos se puede configurar para que sólo acepte conexiones del servidor de aplicaciones web.
• Aislamiento de dominio: para aislar un dominio, los administradores pueden usar la pertenencia al dominio de Active Directory para garantizar que los equipos que sean miembros de un dominio sólo acepten comunicaciones autenticadas y protegidas de otros equipos que son miembros del dominio. La red aislada sólo se compone de equipos que forman parte del dominio. El aislamiento de dominio usa directivas de IPsec para proporcionar protección para el tráfico que se envía entre miembros del dominio, incluidos todos los equipos cliente y servidor.
Alta disponibilidad
IntroducciónGarantizar que las aplicaciones fundamentales estén siempre disponibles es un servicio clave ofrecido por los departamentos de TI, y "Alta disponibilidad" es un tema central de muchas de las mejoras de Windows Server 2008. El clúster de conmutación por error, el equilibrio de carga de red y las nuevas características de copia de seguridad y restauración en Windows Server 2008 se combinan para ofrecer a las organizaciones una solución de "Alta disponibilidad" para garantizar que esas aplicaciones fundamentales, servicios e información permanecen disponibles para todos los usuarios.
Clúster de conmutación por error
Un clúster de conmutación por error, antes conocido como un clúster de servidor, es un grupo de equipos independientes que colaboran para aumentar la disponibilidad de aplicaciones y servicios. Los servidores del clúster, llamados nodos, se conectan tanto por medio de cables físicos como a través de software. Si uno de los nodos del clúster tiene errores, otro nodo en el clúster a través de un proceso conocido como conmutación por error, se hará cargo del nodo con error, con lo que se garantiza que los usuarios experimenten una mínima interrupción en el servicio. Los clústeres de conmutación por error los usan profesionales de TI que necesitan proporcionar alta disponibilidad para servicios y aplicaciones fundamentales.
En Windows Server 2008, las mejoras en clústeres de conmutación por error están destinadas a simplificar los clústeres, haciéndolos más seguros y a mejorar su estabilidad.
La instalación y configuración del clúster se simplificó en Windows Server 2008 con un nuevo asistente de validación que permite que los usuarios confirmen que la configuración de sistema, el almacenamiento y la configuración de la red son convenientes para un clúster. Algunas de las pruebas realizadas por el nuevo asistente de validación incluyen:
• Pruebas de nodo: confirma que los servidores ejecutan la misma versión de sistema operativo y tienen las mismas actualizaciones de software
• Pruebas de red: determinan si la red de clúster planeada cumple con requisitos específicos como disponer al menos de dos subredes independientes para redundancia de red
• Pruebas de almacenamiento: analizan si el almacenamiento está configurado correctamente para que todos los nodos del clúster tengan acceso a todos los discos compartidos y cumplan los requisitos especificados.
Windows Server 2008 incluye compatibilidad con discos de identificador único global o GPT (de tabla de particiones GUID) en almacenamiento de clúster. Los discos GPT pueden tener particiones mayores que dos terabytes y redundancia integrada, a diferencia de los discos con registro de arranque maestro (MBR). GPT ofrece más ventajas que las particiones de registro de arranque maestro (MBR) porque admite hasta 128 particiones por disco, ofrece compatibilidad para volúmenes de hasta 18 exabytes de tamaño, admite tablas de partición principales y de copia de seguridad para redundancia, e identificadores únicos de discos y particiones.
Para simplificar la administración de clústeres, se mejoraron las interfaces de administración para permitir que los administradores se centren en administrar las aplicaciones y los datos, no los clústeres. La nueva interfaz se basa en tareas y es más intuitiva, y ofrece el soporte de asistentes que guían a los administradores a través de operaciones que con anterioridad eran complejas.
Los clústeres de conmutación por error en Windows Server 2008 ofrecen mejor funcionalidad y confiabilidad que en versiones anteriores de clústeres de servidor. Las mejoras clave incluyen:
• Adición dinámica de recursos de disco: las dependencias de recursos se pueden modificar mientras los recursos están conectados, lo que significa que los administradores pueden poner a disposición almacenamiento de disco adicional sin interrumpir las aplicaciones que harán uso del mismo.
• Rendimiento y estabilidad mejorados con almacenamiento de datos: cuando un clúster de conmutación por error se comunica con una red de área de almacenamiento (SAN) o almacenamiento de conexión directa (DAS), usa los comandos menos disruptivos, con menos reinicializaciones de bus SCSI. Los discos nunca quedan en una condición no protegida, lo que significa que se reduce el riesgo de daño del volumen. Los clústeres de conmutación por error son también compatibles con métodos mejorados para descubrimiento y recuperación de discos. Los clústeres de conmutación por error admiten tres tipos de conexiones de almacenamiento: Serial Attached SCSI (SAS), iSCSI y Fibre Channel.
• Mantenimiento de discos más sencillo: el "modo de mantenimiento" se ha mejorado considerablemente, de forma que los administradores puedan ejecutar herramientas para comprobar, corregir, realizar copias de seguridad o restaurar discos más fácilmente e interrumpiendo menos el funcionamiento del clúster.
Para administradores que usan clústeres para proporcionar una solución de alta disponibilidad, Windows Server 2008 simplifica la implementación y administración de clústeres y mejora el rendimiento y la confiabilidad.
Equilibrio de carga de red
El equilibrio de carga de red (NLB) es una característica que distribuye la carga para aplicaciones de clientes y servidores en red a través de varios servidores en un clúster de NLB. NLB es importante para organizaciones que necesitan distribuir solicitudes de cliente a través de un conjunto de servidores. Es especialmente útil para garantizar que aplicaciones sin estado, como por ejemplo aplicaciones basadas en la Web que se ejecutan en Internet Information Services (IIS), se puedan escalar mediante la adición de servidores adicionales a medida que se incrementa la carga de trabajo. NLB ofrece escalabilidad al permitir que se agreguen servidores adicionales a medida que aumenta la carga. NLB ofrece confiabilidad al permitir que los usuarios reemplacen fácilmente un servidor con errores. Las mejoras a NLB en Windows Server 2008 incluyen:
• Compatibilidad con IPv6: NLB es compatible completamente con IPv6 para todas las comunicaciones
• Compatibilidad con NDIS 6.0: el controlador NLB ha sido reescrito completamente para usar el nuevo modelo de filtro ligero de NDIS 6.0. NDIS 6.0 retiene la compatibilidad con versiones anteriores de NDIS. Las mejoras en el diseño de NDIS 6.0 incluyen el rendimiento y escalabilidad mejorados del controlador y un modelo simplificado de controlador NDIS.
• Mejoras de WMI: las mejoras de WMI en el espacio de nombres MicrosoftNLB son para compatibilidad con IPv6 y múltiples direcciones IP dedicadas.
• Clases en el espacio de nombres MicrosoftNLB: admiten direcciones IPv6 (además de direcciones IPv4).
• La clase MicrosoftNLB_NodeSetting: admite múltiples direcciones IP dedicadas especificándolas en DedicatedIPAddresses y DedicatedNetMasks.
• Funcionalidad mejorada con ISA Server: ISA Server puede configurar múltiples direcciones IP dedicadas para cada nodo NLB en escenarios donde los clientes incluyen tanto tráfico IPv4 como IPv6. Tanto los clientes IPv4 como IPv6 necesitan tener acceso a un ISA Server específico que administre el tráfico. ISA
puede también ofrecer a NLB notificaciones de ataques SYN y privación de temporizadores (estos escenarios suceden normalmente cuando un equipo se sobrecarga o se infecta por un virus de Internet).
• Compatibilidad con múltiples direcciones IP dedicadas por nodo: NLB es totalmente compatible con la definición de más de una dirección IP dedicada por nodo (anteriormente, sólo se admitía una dirección IP dedicada por nodo), lo que permite que múltiples aplicaciones se alojen en el mismo clúster de NLB en escenarios donde aplicaciones independientes requieren su propia dirección IP dedicada.
Estas características ofrecen compatibilidad para nuevos estándares industriales, incremento del rendimiento, mejoras de interoperabilidad, mejor seguridad y mayor flexibilidad en la implementación y consolidación de la aplicación.
Copia de seguridad de Windows
Copia de seguridad es el tercer componente clave de Windows Server 2008 diseñado para ofrecer alta disponibilidad de servicios. La característica de copia de seguridad ofrece una solución de copia de seguridad y recuperación para el servidor en que está instalada. Presenta una tecnología de copia de seguridad y recuperación, que reemplaza a la característica de copia de seguridad anterior disponible en versiones anteriores del sistema operativo Windows.
La característica de copia de seguridad se puede usar para proteger el servidor completo con eficiencia y seguridad sin necesidad de preocuparse por las complejidades de la tecnología de la copia de seguridad y la recuperación. Asistentes sencillos guían al usuario a través de la configuración de una programación de copia de seguridad automática, creando copias de seguridad manuales si fuera necesario y recuperando elementos o volúmenes completos. La copia de seguridad en Windows Server 2008 se puede usar para realizar copias de seguridad de un servidor completo o de volúmenes seleccionados.
La copia de seguridad usa el servicio de instantáneas de volumen de Microsoft y la tecnología de copia de seguridad de bloque para realizar copias de seguridad y recuperar de forma eficiente el sistema operativo, archivos y carpetas, y volúmenes. Después de crear la primera copia completa de seguridad, se ejecutan automáticamente copias de seguridad incrementales guardando sólo los datos que se modificaron desde que ocurrió la última copia de seguridad. A diferencia de versiones anteriores, los administradores ya no tienen que preocuparse por programar manualmente las copias de seguridad completas e incrementales.
La restauración se ha mejorado y simplificado en Windows Server 2008. Los elementos ahora se pueden restaurar eligiendo una copia de seguridad de la cual
recuperar y seleccionando a continuación los elementos a restaurar. Se pueden recuperar archivos específicos o todo el contenido de una carpeta. Con respecto a las copias de seguridad incrementales, anteriormente, si un elemento se almacenaba en una copia de seguridad incremental, era necesario restaurar manualmente múltiples copias de seguridad. Ahora, el usuario puede elegir simplemente la fecha en que se realizó la copia de seguridad de la versión que desea restaurar.
Windows Server 2008 ofrece las soluciones de copia de seguridad y recuperación necesarias para completar una solución de alta disponibilidad que proteja tanto los datos de la organización como los sistemas operativos de los servidores en la red, mientras alivia la carga administrativa al garantizar que se realicen apropiadamente copias de seguridad de los datos fundamentales y se acelera la recuperación de los datos.
CONCLUCIONES
Alejandro Plata Carapia
Windows Server 2008 ofrece a los usuarios más control sobre su infraestructura de servidores y red, y les permite centrarse en las necesidades críticas del negocio. Aumenta la seguridad al proteger el sistema operativo y el entorno de red. También ofrece flexibilidad a los usuarios, al acelerar la implementación y el mantenimiento de sistemas, facilitar la consolidación y virtualización de servidores y aplicaciones, y ofrecer herramientas administrativas intuitivas. Windows Server 2008 ofrece la mejor base para cualquier servidor e infraestructura de red de la organización.
FUENTES:
Profesor: Oscar Olivares
http://admonredes.wordpress.com/dominios-windows-server-y-directorio-activo/
http://www.ite.educacion.es/formacion/materiales/85/cd/windows/5DirectorioActivo/
http://www.slideshare.net/iyepes/arquitectura-directorio-activo
http://cacharreopuroyduro.blogspot.mx/2010/04/practica-42-crear-un-dominio-en-windows.html
http://josecibernetico.bligoo.com/content/view/4940913/Windows-Server-2008.html#.UoADAHBLOrw
