70-412 Windows Server 2012 R2 - Configuración de Servicios Avanzados

Windows Server 2012 R2 - Configuración de servicios avanzados Preparación para la certificación MCSA - Examen 70-412

Prólogo Acerca de este libro A. Prólogo

16

1. Acerca del libro

16

B. Condiciones requeridas

17

1. Nivel/conocimientos 2. Certificaciones anteriores 3. Equipo necesario para los trabajos prácticos C. El plan de estudios de la certificación de Microsoft 1. Detalles del plan de estudios MCSA 2. Detalles del plan de estudios MCSE

17 17 17 18 19 19

Capítulo 1 Presentación de Windows Server 2012 R2 A. Windows Server 2012 R2

22

B. Nueva interfaz gráfica

23

1. Menú Inicio 2. Panel de control 3. Los programas 4. Los métodos abreviados de teclado

24 25 26 27

C. Despliegue de Windows Server 2012 R2

28

1. Instalación completa 2. Instalación mínima (Servidor Core) D. El direccionamiento IP

31

1. Direccionamiento IP dinámico 2. Direccionamiento IP estático

www.ediciones-eni.com

28 29

31 31

© Ediciones ENI

1/15


E. Los protocolos de red

31

1. Modelo TCP/IP 2. Protocolo IP a. Direccionamiento IPv4 b. Direccionamiento IPv6

31 32 32 32

F. La administración de Windows Server 2012 R2 1. La consola Administración de equipos 2. La consola Administrador del servidor 3. Las herramientas administrativas

33 33 35 35

G. Trabajos prácticos

36

H. Resumen del capítulo

62

I. Validación de conocimientos: preguntas/respuestas

63

Capítulo 2 Los servicios de dominio Active Directory A. Presentación de Active Directory

68

1. Servicio de directorio 2. Gestión del servicio de directorio a. Administrar Active Directory b. Particiones Active Directory 3. Gestión de identidades y de acceso 4. Administración de unidades organizativas a. Agregar una UO empleando la interfaz gráfica b. Agregar una UO empleando comandos DOS c. Agregar una UO con PowerShell 5. Directivas de grupo a. Administración de las directivas de grupo b. Solución de problemas de directivas de grupo


© Ediciones ENI

68 69 70 74 75 76 77 81 81 82 82 84

2/15


c. Novedad de las directivas de grupo B. Bosques y dominios Active Directory

86 89

1. Bosques 2. Dominios 3. Árboles de dominio

89 90 90

C. Niveles funcionales

91

1. Niveles funcionales de bosque 2. Niveles funcionales de dominio 3. Elevar el nivel funcional

91 92 93

D. Controladores de dominio

94

1. Roles FSMO 2. Catálogo global

95 98

E. Administración de cuentas de usuario 1. Administración de cuentas de usuario 2. Creación de cuentas de usuario a. Por línea de comandos DOS b. Por línea de comandos PowerShell F. Administración de grupos de seguridad 1. Grupos globales 2. Grupos de dominio local 3. Grupos universales

101 102 102 102 103 104 105 106 106

G. Trabajos prácticos

107

H. Resumen del capítulo

119

I. Validación de conocimientos: preguntas/respuestas

120


© Ediciones ENI

3/15


Capítulo 3 Los servicios avanzados de red A. Servicio DNS

124

1. Presentación del servicio DNS 2. Funcionamiento del servicio DNS a. Herramientas por línea de comandos DOS b. Principio de resolución de nombres DNS 3. Administración del servicio DNS a. Implementación de los registros detallados b. Registros DNS c. Limpieza de registros DNS d. Reenviadores del servicio DNS e. Copia de seguridad de la configuración DNS 4. Zonas DNS a. Zona principal b. Zona secundaria c. Zona de búsqueda inversa d. Zona de rutas internas e. Zona GlobalNames 5. DNS y Active Directory 6. Seguridad del servicio DNS a. Securizar la caché DNS b. Configurar el grupo de sockets DNS c. Implementar DNSSEC 7. Administración del servicio DNS mediante Windows PowerShell B. Servicio DHCP

159

1. Presentación del servicio DHCP 2. Administración del servidor DHCP 3. Funcionamiento del servicio DHCP a. Principio de asignación de una dirección IP IPv4 b. Principio de asignación de una dirección IP en IPv6 4. Opciones de configuración del servicio DHCP 5. Administración del servicio DHCP mediante Windows PowerShell 6. Alta disponibilidad del servicio DHCP


125 126 127 128 129 131 133 137 140 142 143 144 144 144 145 145 152 153 153 154 156 158

© Ediciones ENI

159 160 161 162 163 164 168 169

4/15


7. Copia de seguridad y restauración del servicio DHCP a. Copia de seguridad automática b. Copia de seguridad manual c. Restauración C. IPAM

170 170 171 171 172

1. Presentación del servidor IPAM 2. Administración del servidor IPAM 3. Instalar y configurar la gestión de direcciones IPAM 4. Administración del espacio de direcciones IP a. Intervalos de direcciones IP b. Direcciones IP c. Bloques de direcciones IP 5. Supervisar y administrar IPAM a. Servidores DNS y DHCP b. Ámbitos DHCP c. Supervisión de zonas DNS d. Grupos de servidores 6. Catálogo de eventos

172 173 175 182 182 184 185 186 186 187 187 188 188

D. Trabajos prácticos

189

E. Resumen del capítulo

247

F. Validación de conocimientos: preguntas/respuestas

247

Capítulo 4 Los servicios de archivos avanzados A. Presentación de los servicios de archivos 1. Funcionamiento de los servicios de archivos 2. Administración de los servidores de archivos a. Administrar los servicios de archivos b. Roles y servicios de almacenamiento


© Ediciones ENI

252 252 253 254 259

5/15


B. Almacenamiento en red

260

1. Almacenamiento SAN iSCSI a. Funcionamiento del almacenamiento iSCSI b. Gestión del almacenamiento iSCSI 2. Almacenamiento SAN FCoE 3. Almacenamiento NFS 4. Almacenamiento DAS 5. Almacenamiento NAS C. Optimizar el uso del almacenamiento

265

1. Administrador del recursos a. Funcionamiento FSRM b. Administración FSRM 2. Administración de cuotas a. Creación de una cuota b. Creación de una plantilla de cuota 3. Administración del filtrado de archivos a. Creación de un filtro de archivos b. Creación de una plantilla de filtro 4. Administración de la clasificación a. Creación de una propiedad de clasificación b. Creación de una regla de clasificación 5. Administración de informes de almacenamiento 6. Desduplicación de datos a. Instalar la desduplicación de datos b. Activar la desduplicación de datos c. Verificar la desduplicación D. BranchCache

265 265 267 267 268 273 275 276 278 281 282 283 286 287 288 289 291 291

1. Presentación de BranchCache a. Funcionamiento de BranchCache b. Administración de BranchCache 2. Modo de caché a. Modo de caché hospedada


260 261 263 264 265 265 265

© Ediciones ENI

291 292 293 295 295

6/15


b. Modo de caché distribuida 3. Implementar BranchCache

296 297

E. Trabajos prácticos

298

F. Resumen del capítulo

324

G. Validación de conocimientos: preguntas/respuestas

325

Capítulo 5 Control de acceso dinámico A. Control de acceso dinámico

330

1. Presentación de DAC 2. Funcionamiento de DAC a. Notificaciones b. Directiva de acceso central c. Regla de acceso central 3. Gestión del DAC 4. Implementación del DAC

330 330 332 332 333 333 335

B. Trabajos prácticos

335

C. Resumen del capítulo

360

D. Validación de conocimientos: preguntas/respuestas

360

Capítulo 6 Despliegue distribuido AD DS A. Presentación del despliegue distribuido AD DS

362

1. Administración de bosques Active Directory a. Gestión administrativa

362 362


© Ediciones ENI

7/15


b. Particiones 2. Administración de dominios Active Directory a. Gestión administrativa b. Particiones 3. Despliegue distribuido AD DS a. Dominios o bosques múltiples b. Actualización a Windows Server 2012 R2 c. Migración a Windows Server 2012 R2 d. Relaciones de confianza e. Enrutamiento de sufijo de nombre

363 363 363 363 363 364 365 366 367 371


374


383


384

Capítulo 7 Sitios y servicios Active Directory A. Presentación de los sitios Active Directory 1. Objetivo de los sitios a. Administración de los sitios b. Ubicación de los servicios 2. Los sitios 3. Las subredes 4. Los servidores de catálogo global 5. Las particiones Active Directory 6. Los vínculos de sitios a. Funcionamiento de los vínculos de sitios b. Administración de los vínculos de sitios 7. Los puentes de sitio B. Trabajos prácticos


388 388 389 390 390 391 391 392 393 393 394 396 396

© Ediciones ENI

8/15



405


405

Capítulo 8 Replicación de Active Directory A. Presentación de la replicación de Active Directory 1. Replicación de Active Directory a. Programación de la replicación b. Topología de replicación c. Objetos de conexión d. Replicación a los RODC e. Replicación de contraseñas (RODC) f. Los conflictos de replicación 2. Replicación SYSVOL a. Presentación de la carpeta SYSVOL b. Replicación de la carpeta SYSVOL 3. Supervisar y resolver problemas

408 408 409 410 412 416 417 419 420 420 422 423


424


439


440

Capítulo 9 Servicios de certificados AD CS A. Infraestructura de claves públicas

444

1. Presentación de PKI 2. Componentes de una PKI 3. Cifrado

444 445 447


© Ediciones ENI

9/15


B. Presentación de AD CS

447

1. Servicios de certificados AD CS a. CA independiente b. CA empresarial c. Administración de AD CS 2. Jerarquía de CA a. Infraestructura de dos capas b. Infraestructura de tres capas c. CA raíz d. CA intermedia e. CA emisora 3. Servicios de roles AD CS a. Entidad de certificación b. Solicitud de certificados a través de la Web c. Respondedor en línea d. Inscripción de dispositivos de red e. Inscripción de certificados f. Directiva de certificados 4. Certificados a. Plantillas de certificado b. Solicitud de certificado

447 448 448 448 450 450 451 453 454 454 454 454 455 455 455 455 456 456 457 459

C. Trabajos prácticos

459

D. Resumen del capítulo

490

E. Validación de conocimientos: preguntas/respuestas

491

Capítulo 10 Servicios de gestión de derechos A. Servicios de gestión de derechos

496

1. Presentación de AD RMS


496

© Ediciones ENI

10/15


a. Funcionamiento de AD RMS b. Administración de AD RMS c. Componentes de AD RMS 2. Instalar y configurar AD RMS a. Realizar el esquema de la infraestructura b. Requisitos previos de instalación 3. Proteger el contenido de los archivos

497 498 504 504 504 505 505


507


535


535

Capítulo 11 Servicios de federación AD FS A. Servicios de federación

538

1. Presentación de AD FS a. Funcionamiento de AD FS b. Administración de AD FS 2. Notificaciones 3. Infraestructura AD FS a. Infraestructura b. Componentes 4. Instalar y configurar AD FS

539 539 540 541 542 542 543


545


555


555


© Ediciones ENI

11/15


Capítulo 12 El reparto de carga A. El reparto de carga

558

1. Presentación del reparto de carga a. Tecnologías existentes b. Ventajas e inconvenientes B. El reparto de carga de red

558 559 559 561

1. Network Load Balancing 2. Diferentes modos de equilibrio de carga a. Prioritario b. Modo igual c. Modo manual 3. Modos de transmisión a. Unicast - Monodifusión b. Multicast - Multidifusión c. Multidifusión IGMP 4. Afinidad del equilibrio de carga 5. Convergencia y alta disponibilidad

561 562 562 563 563 564 564 565 565 565 566


567


588


588

Capítulo 13 Clústers y alta disponibilidad A. Alta disponibilidad

592

1. Presentación de la alta disponibilidad 2. Soluciones de alta disponibilidad


© Ediciones ENI

592 593

12/15


B. Clúster de conmutación por error

593

1. Presentación de los clústers 2. Funcionamiento de un clúster a. Redes b. Conmutación c. Volúmenes compartidos d. Consola de administración del clúster e. Administración de un clúster de conmutación por error f. Quórum g. Instalar y configurar un clúster h. Los roles i. Optimización de los CSV

593 593 594 595 596 598 599 603 604 606 607


607


618


618

Capítulo 14 Clúster de conmutación por error Hyper-V A. Virtualización con Hyper-V

622

1. Presentación de Hyper-V a. Instalación del rol Hyper-V b. Administración de Hyper-V c. Administración de Hyper-V a través de SCVMM B. Alta disponibilidad con Hyper-V

626

1. Replicación 2. Clúster de conmutación por error 3. Migración de las máquinas virtuales


622 624 625 626

© Ediciones ENI

626 626 627

13/15



628


643


643

Capítulo 15 Copia de seguridad y restauración A. Presentación de la recuperación de desastres 1. Recuperación de desastres 2. Presentación de la copia de seguridad 3. Copias de seguridad de Windows Server a. Gestión de la copia de seguridad de Windows Server b. Programar la copia de seguridad de Windows c. Configurar la copia de seguridad de Windows d. Configurar la restauración de datos B. Recuperación de datos

646 646 648 649 651 652 653 655 656

1. Instantáneas 2. Papelera de reciclaje de Active Directory

656 660


661


686


686


© Ediciones ENI

14/15


Tabla de objetivos

689

índice

691


© Ediciones ENI

15/15

Windows Server 2012 R2 MCSA 70-412 - Configuración de servicios avanzados El examen 70-412 "Configuración de servicios avanzados de Windows Server 2012 R2" es el último de los tres exámenes obligatorios para la obtención de la certificación MCSA Windows Server 2012 R2. Para ayudarle en una oficiales, tanto desde consultor , certificado conducen a un enfoque

preparación eficaz del examen, este libro cubre todos los objetivos un punto de vista teórico como práctico. Ha sido redactado por un por Microsoft. De esta forma, su saber hacer pedagógico y técnico claro y visual, de un alto nivel técnico.

Capítulo tras capítulo podrá validar sus conocimientos teóricos, empleando un gran número de preguntas-respuestas (150 en total) haciendo hincapié tanto en los elementos fundamentales como las características específicas de los conceptos cubiertos. Cada capítulo termina por unos trabajos prácticos (75 en total) que proporcionarán los medios para medir su autonomía. Estas operaciones en concreto, le permitirán forjar una primera experiencia significativa y adquirir verdaderas competencias técnicas acerca de un conjunto de situaciones reales, más allá de los objetivos fijados para el examen. A este dominio del producto y sus conceptos, se añade la preparación específica para la certificación: podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en condiciones cercanas a las de la prueba. En este sitio, cada pregunta está planteada dentro del espíritu de la certificación y, para cada una, se encuentran respuestas suficientemente comentadas para cubrir o identificar sus lagunas. Los capítulos del libro: Descripción - Acerca de este libro - Presentación de Windows Server 2012 R2 - Los servicios de dominio Active Directory - Los servicios avanzados de red - Los servicios de archivos avanzados Control de acceso dinámico - Despliegue distribuido AD DS - Sitios y servicios Active Directory Replicación de Active Directory - Servicios de certificados AD CS - Servicios de gestión de derechos - Servicios de federación AD FS - El reparto de carga - Clústers y alta disponibilidad - Clúster de conmutación por error Hyper-V - Copia de seguridad y restauración - Tabla de objetivos

Armelin ASIMANE Armelin ASIMANE es Ingeniero de sistemas, especializado en las tecnologías Microsoft y Citrix desde hace años. Después de haber obtenido varias certificaciones en estos dos dominios, creó en 2012 un blog informático (infonovice.fr) para compartir su conocimiento, experiencia y su pasión por el universo de las nuevas tecnologías.

Introducción El examen 70-412 "Configuración de servicios avanzados de Windows Server 2012 R2" es el último de los tres exámenes obligatorios para la obtención de la certificación MCSA Windows Server 2012 R2. Para asistirle en una preparación eficaz del examen, este libro cubre todos los objetivos oficiales, tanto desde un punto de vista teórico como práctico. Ha sido redactado por un consultor certificado técnicamente por Microsoft. De esta forma, su experiencia pedagógica y técnica se traduce en un enfoque claro y visual, de un alto nivel técnico. Capítulo tras capítulo podrá validar sus conocimientos teóricos, gracias a una gran cantidad de preguntas-respuestas (150 en total) que hacen hincapié tanto en los elementos fundamentales como en las características específicas de los conceptos abordados. Cada capítulo finaliza con un trabajo práctico (75 en total) que le proporcionará los medios necesarios para evaluar su autonomía. Estas operaciones concretas, que sobrepasan los objetivos fijados por el examen, le permitirán desarrollar una experiencia significativa y adquirir verdaderas competencias técnicas en situaciones reales. A este dominio del producto y sus conceptos, se añade la preparación específica para la certificación: podrá acceder de forma gratuita a 1 examen en línea, destinado a entrenarle en condiciones similares a las de la prueba. En este sitio, cada pregunta está planteada dentro del espíritu de la certificación y, para cada una, se proveen respuestas suficientemente comentadas para cubrir o identificar sus lagunas.

Prólogo Este libro pertenece a la colección Certificaciones de Ediciones ENI y tiene como objetivo la preparación para la certificación Microsoft 70-412: Configuración y administración avanzada de los servicios Windows Server 2012 y Windows Server 2012 R2.

1. Acerca del libro Este libro está compuesto por 15 capítulos que cubren el conjunto de los objetivos oficiales siguientes: Implementación de los servicios avanzados de red bajo Microsoft Windows Server 2012 R2 Implementación de los servicios de archivos avanzados Implementación del acceso dinámico Implementación del equilibrio de carga (NLB) Implementación del clúster Implementación del clúster con Hyper-V Implementación de la recuperación ante desastres Implementación del despliegue distribuido de AD DS Implementación de los sitios AD y su replicación Implementación de los servicios de certificados (AD CS) Implementación de la gestión de derechos (AD RMS) Implementación de los servicios de federación (AD FS) Los capítulos Presentación de Windows Server 2012 R2 y Los servicios de dominio Active Directory sirven de recordatorio básico de la administración de los servidores de Microsoft. Capítulo Presentación de Windows Server 2012 R2 Información del sistema operativo Presentación de la interfaz gráfica y los métodos abreviados de teclado Presentación de la instalación del sistema operativo Configuración y administración del sistema operativo Capítulo Los servicios de dominio Active Directory Presentación general de los servicios de directorio Active Directory Gestión estándar de los objetos usuarios, grupos y equipos Cada capítulo está compuesto por una parte teórica y una parte práctica con trabajos prácticos en condiciones de casos reales que puedan surgir en una empresa. Se puede consultar la tabla detallada con los objetivos oficiales de la certificación al final del libro.

Condiciones requeridas Antes de leer este libro, es importante saber a qué público está dirigido, así como el nivel requerido para el aprendizaje y poder aprobar la certificación Microsoft 70-412: Configuración y administración avanzada de los servicios Windows Server 2012 R2.

1. Nivel/conocimientos Este libro se dirige a toda persona que cuente con una experiencia significativa en entornos Windows. Sin embargo, se recordarán algunos conceptos básicos para refrescar la memoria de todos. Un administrador Windows podrá seguir fácilmente el contenido de este libro mientras que un técnico de sistemas y redes podrá posiblemente tener algunas lagunas sobre la parte de administración avanzada de Microsoft Windows Server 2012 R2. Se recomienda sin embargo partir de un conocimiento previo acerca de la gestión de servidores y equipos cliente en entornos Active Directory. Por esta razón este libro está redactado de manera que cualquier tipo de lector, dentro del mundo informático, pueda comprenderlo, aprender y seguirlo a su propio ritmo.

2. Certificaciones anteriores No es necesario haber obtenido las certificaciones particulares de versiones anteriores de Windows para seguir el plan de certificación MCSA o MCSE Windows Server 2012 R2. Para aquellos que ya cuenten con las certificaciones del entorno Windows Server 2008, es posible realizar una actualización aprobando un único examen (70-417).

3. Equipo necesario para los trabajos prácticos Este manual de ayuda a la preparación de la certificación 70-412 posee varios trabajos prácticos que permiten poner en práctica la parte teórica. Cada lector deberá procurarse previamente un entorno de pruebas de acuerdo a los requisitos mínimos que necesita el sistema operativo Windows Server 2012 R2. En caso de no contar con suficientes máquinas físicas para llevar a cabo los diferentes trabajos prácticos, es posible construir los laboratorios de ensayo en un entorno Hyper-V V3, VMware ESX 5.0, VMware Workstation 9.0, XenServer 6.1 u otras soluciones de virtualización que soporten Windows Server 2012 R2 y Windows 8.1. La máquina empleada para mi laboratorio cuenta con un procesador de 64 bits Intel Core i7 3630QM 2,4 GHz, 16 GB de RAM y 1 TB de disco duro. Sin embargo la instalación de Microsoft Windows Server 2012 R2 necesita las características mínimas siguientes: Un procesador de 1,4 GHz y una arquitectura de 64 bits. 512 MB de RAM (Microsoft recomienda un mínimo de 1024 MB de RAM). Un disco duro de 32 GB (en el marco de un entorno de prueba, 20 GB de disco duro por máquina son suficientes). Es preferible aislar la red de su entorno de laboratorio para no alterar otros componentes de red físicos de su empresa o su red doméstica. El laboratorio que servirá para trabajar en los diferentes trabajos prácticos estará compuesto por las máquinas siguientes: Máquina

IP

DC-01

192.168.0.100

DC-02

192.168.0.101

DC-CORE

192.168.0.102

IPAM-01

192.168.0.103

CLIENT1

192.168.0.104

OXYDC-01

192.168.0.105

ISCSI-01

192.168.0.106

CACHE-01

192.168.0.107

CLIENT2

192.168.0.108

FILES-01

192.168.0.109

DC-03

192.168.0.110

DC-04

192.168.0.111

CS-01

192.168.0.112

CS-02

192.168.0.113

NLB-01

192.168.0.114

NLB-02

192.168.0.115

El plan de estudios de la certificación de Microsoft Una certificación de Microsoft es un activo importante en el mundo empresarial, especialmente en los clientes de ”gran cuenta”. Afrontar la certificación le permite poner a prueba sus conocimientos y competencias técnicas acerca de un producto de la gama de software del fabricante. Microsoft ha actualizado su plan de estudios de certificación para el producto Windows Server 2012 R2. Aprobar el conjunto de las certificaciones proporciona acceso a dos títulos específicos: MCSA y MCSE.

1. Detalles del plan de estudios MCSA El plan MCSA (Microsoft Certified Solutions Associate) constituye la primera etapa de la certificación del sistema operativo Microsoft Windows Server 2012 R2. Este plan de estudios está compuesto por tres certificaciones que permiten validar los conocimientos de instalación, configuración y gestión de la administración avanzada de Windows Server 2012 R2. Estos tres niveles de certificación están diseñados para los administradores de sistemas:

A partir de enero de 2014, Microsoft ha actualizado el plan de certificación MCSA, teniendo en cuenta el contenido adicional de Windows Server 2012 R2.

2. Detalles del plan de estudios MCSE El plan MCSE (Microsoft Certified Solutions Expert) corresponde a la segunda etapa del plan de certificación del sistema operativo Microsoft Windows Server 2012 R2. Este plan de estudios se divide en dos partes en función de su orientación a la infraestructura de servidor (MCSE Server Infrastructure) o la infraestructura vinculada a los puestos de trabajo (MCSE Desktop Infrastructure). Cada una comprende dos pasos de certificación.

MCSE Desktop Infrastructure El plan MCSE Desktop Infrastructure está compuesto de las certificaciones 70-415 (Diseño e implementación de una infraestructura cliente Microsoft) y 70-416 (Implementación de entornos de puestos de trabajo Microsoft). Este conjunto de competencias permiten validar la capacidad de implementar un entorno de trabajo seguro para todo tipo de dispositivos (fijos o móviles).

MCSE Server Infrastructure El plan MCSE Server Infrastructure está compuesto por las certificaciones 70-413 (Diseño e implementación de una infraestructura de servidores Microsoft) y 70-414 (Implementación de una infraestructura de servidores Microsoft avanzada). Este conjunto de competencias permiten validar la capacidad de implementar una infraestructura compleja basada en Windows Server 2012 R2.

El conjunto de los exámenes del plan se presenta en forma de preguntas de selección múltiple. Para aprobar el examen, es necesario inscribirse en un centro concertado con Microsoft. A partir de abril de 2014, Microsoft ha actualizado el plan de certificación MCSE, teniendo en cuenta el contenido adicional de Windows Server 2012 R2.

Requisitos previos y objetivos 1. Requisitos previos Contar con un buen conocimiento de los entornos Windows. Saber instalar un sistema operativo Windows. Contar con una base general de entornos de sistema y red.

2. Objetivos Conocer las novedades del sistema operativo Windows Server 2012 R2. Instalar Windows Server 2012 R2 en instalación completa o mínima. Aprender a navegar a través de la nueva interfaz gráfica. Configurar la dirección IP de un servidor. Conocer los requisitos previos de instalación de Windows Server 2012 R2.

Windows Server 2012 R2 Windows Server 2012 R2 es un sistema operativo (orientado al Cloud) de la gama de servidores de Microsoft. Aparece en el mercado para remplazar a Windows Server 2008 R2 y Windows Server 2012 con el fin de aportar novedades tales como: Novedades en servicios de certificados Active Directory (AD CS) Novedades en Active Directory Domain Services (AD DS) Novedades en Active Directory Rights Management Services (AD RMS) Novedades en Dynamic Host Configuration Protocol (DHCP) Novedades en los servicios de nombres (Domain Name System - DNS) Novedades en la gestión de direcciones IP (IP Address Management - IPAM) Novedades en BranchCache Novedades en PowerShell v4 Novedades en la interfaz gráfica Novedades en Hyper-V Novedades en el Clúster de conmutación por error Para obtener más información sobre las novedades de Windows Server 2012 R2, puede consultar el sitio oficial de Microsoft en la siguiente dirección: http://technet.microsoft.com/es-es/library/dn250019 Existen cuatro ediciones de Microsoft Windows Server 2012 R2: Windows Server 2012 R2 Foundation: esta edición con funcionalidad limitada del sistema operativo servirá para las pequeñas organizaciones que deseen dotarse de una solución todoen-uno, ya que esta edición sólo está disponible en versión OEM (preinstalado en equipos nuevos). En esta edición, no es posible realizar virtualización con Hyper-V. Windows Server 2012 R2 Essentials: esta edición con funcionalidades limitadas del sistema operativo está más adaptada a las PYMES. En esta edición, tampoco es posible realizar virtualización con Hyper-V. Windows Server 2012 R2 Standard: esta edición más completa del sistema operativo corresponderá a estructuras más importantes. Se encuentran disponibles todas las funcionalidades a excepción de la virtualización con Hyper-V, que está limitada a solo dos máquinas virtuales. Windows Server 2012 R2 Datacenter: esta edición del nuevo sistema operativo para servidores de Microsoft es la más completa. Ofrece todas las funcionalidades existentes sin ninguna limitación a nivel de creación de máquinas virtuales. Esta edición corresponderá perfectamente a entornos complejos como, por ejemplo, estructuras Cloud. En el marco de los trabajos prácticos de este manual, utilizaremos las versiones Datacenter de Windows Server 2012 R2. La configuración de hardware mínima para instalar Windows Server 2012 R2 es la siguiente: Procesador: arquitectura de 64 bits exclusivamente, velocidad de 1,4 GHz como mínimo (es recomendable contar con un procesador multinúcleo). Memoria RAM: 512 MB mínimo (recomendado contar con al menos 1024 MB). Disco duro: 32 GB mínimo (la instalación real requiere en torno a 10 GB, es necesario que el sistema cuente con espacio para gestionar la memoria en el disco). Un monitor: una resolución mínima de 800 x 600 (es recomendable contar con una resolución mínima de 1024 x 768).

Si desea emplear el sistema operativo para la funcionalidad de virtualización de servidor (HyperV), es preciso asegurar que el procesador cuenta con el juego de instrucciones dedicadas a la virtualización (AMD-V para los procesadores AMD e INTEL-VT para los procesadores INTEL).

Nueva interfaz gráfica Microsoft, que nos había habituado a la interfaz gráfica presente en las anteriores versiones de Windows, cambia de rumbo presentando, con la llegada de Windows 8, una nueva interfaz gráfica. Esta nueva interfaz, que supone cambiar bastantes hábitos, comienza de forma notable eliminando el tradicional menú Inicio. Microsoft justifica la opción gráfica de Windows 8 refiriéndose al hecho de que el menú Inicio está anticuado, se utiliza poco y no se adapta bien a la evolución de las pantallas táctiles. Los usuarios y empresas han respondido negativamente a esta revolución, lo que podría frenar significativamente el despliegue masivo de este nuevo sistema operativo. Frente a esta protesta, Microsoft ha decidido escuchar las necesidades de sus usuarios, reintegrando el menúInicio en Windows 8.1 y Windows Server 2012 R2. Para acceder a las aplicaciones instaladas en el equipo debemos, en lo sucesivo, pasar por el menú Inicio. Este menú se estructura empleando grandes cuadros que representan las aplicaciones y es completamente personalizable (cambiar el tamaño de los cuadros, desplazar los iconos, etc.). Ejemplo de la interfaz gráfica de Windows 8.1:

1. Menú Inicio El tradicional botón Inicio vuelve a aparecer en Windows Server 2012 R2 y Windows 8.1. Haciendo clic con el botón izquierdo del ratón en él podemos acceder a la pantalla de inicio de la nueva interfaz gráfica, mientras que un clic con el botón derecho hará aparecer el menú Inicio.

2. Panel de control El acceso al panel de control también ha sido rediseñado. Existen varias formas de acceder: mediante el menú Inicio, la pantalla de inicio o a través de accesos directos en la pantalla. Por ejemplo, es posible acceder pasando el cursor de su ratón por la esquina superior derecha y luego desplazando el cursor hacia abajo. Esta acción hace aparecer un menú en el que vemos un engranaje titulado Configuración. Después de hacer clic sobre él, podemos acceder al menú Panel de control.

El acceso al Panel de control puede, también, realizarse a través de la lista de aplicaciones presente en la pantalla de inicio o realizando una búsqueda en la nueva barra de herramientas escribiendo panel.

3. Los programas El acceso a las aplicaciones se realiza mediante la pantalla de inicio o el menú Inicio.

Por defecto, varias aplicaciones están ocultas. Para mostrar todas las aplicaciones instaladas, haga

clic en el botón

.

El escritorio de Windows se visualiza como una aplicación del sistema operativo.

4. Los métodos abreviados de teclado Para ganar un tiempo precioso durante la administración de un entorno Windows Server 2012 R2 o Windows 8.1, es importante conocer el conjunto de métodos abreviados funcionales en el nuevo SO. Durante la administración de un servidor remoto, el manejo de la interfaz a veces puede ser difícil porque no siempre es fácil señalar con el cursor del ratón sobre los bordes de las pantallas para mostrar los distintos menús y opciones. Por ello resultará muy útil aprender algunos métodos abreviados. Tecla

+ D: muestra el escritorio de Windows (Desktop).

Tecla

+ E: muestra el explorador de Windows (Explorer).

Tecla

+ R: muestra el cuadro de diálogo "Ejecutar" (Run).

Tecla

+ F: permite realizar una búsqueda de archivos (Find).

Tecla

+ Q: permite efectuar una búsqueda de tipo completo (búsqueda completa en el

servidor). Tecla

+ W: permite realizar una búsqueda de configuración.

Tecla

+ X: muestra el menú Inicio.

Tecla

+ C: muestra el panel de menú Windows de la derecha.

Tecla

+ P: permite configurar una segunda pantalla.

Tecla

+ M: reduce la ventana activa (Miniatura).

Despliegue de Windows Server 2012 R2 El procedimiento de instalación del sistema operativo Windows Server 2012 R2 ofrece la posibilidad de desplegar un servidor de dos formas diferentes:

1. Instalación completa La instalación completa de Windows Server 2012 R2 corresponde a la instalación del sistema operativo integrando la interfaz gráfica de usuario. La administración de un servidor instalado en este modo podrá llevarse a cabo mediante las herramientas de administración estándar y la navegación en el SO se realizará empleando las tradicionales ventanas de Windows además de la nueva interfaz gráfica. En adelante es posible desinstalar la parte gráfica desde la línea de comandos PowerShell o empleando la interfaz gráfica: PowerShell: abra un símbolo de sistema PowerShell y escriba el siguiente comando (con permisos de Administrador): Uninstall-WindowsFeature User-InterfacesInfra, Server-Gui-Mgmt-Infray, a continuación, reinicie el servidor. Interfaz gráfica: desde el Administrador del servidor, haga clic en Administrar y, a continuación, en Quitar roles y funciones. En la etapa Quitar características, desmarque la opción Infraestructura e Interfaces de usuario.

2. Instalación mínima (Servidor Core) La instalación mínima de Windows Server 2012 R2, también llamada Instalación Server Core, corresponde a la instalación del sistema operativo desprovisto de su interfaz gráfica de usuario. La administración de un servidor instalado en modo Server Core se realizará por línea de comandos una vez conectado en local al equipo. Sin embargo, será posible administrar un Server Core

empleando las herramientas de administración gráfica desde otro equipo de la red que tenga previamente instalados los componentes RSAT (Remote Server Administration Tools). Cuando se instala un servidor en modo Server Core, solo se pueden implementar los roles y características de servidor siguientes: Servicio Active Directory (AD DS) Servicio Active Directory Lightweight Directory Services (AD LDS) Servicio Active Directory Certificate Services (AD CS) Servicio DHCP Servicio DNS Servidor de archivos y almacenamiento Servicio de transferencia inteligente en segundo plano (BITS) BranchCache Hyper-V Internet Information Services (IIS) Servicios de impresión Streaming Media Services iSCSI Equilibrio de carga de red (Load Balancing) MPIO (Multipath I/O) Experiencia de calidad de audio y vídeo de Windows (qWave) Servidor Telnet Migración Unix Por defecto, los roles y características de servidor no se instalan en el disco duro durante la instalación del sistema operativo en modo de instalación mínima. Para instalar un componente, se deberá contar con acceso a una conexión a Internet en la máquina para que el sistema pueda descargar automáticamente los componentes restantes. Si no existe un acceso a Internet disponible, es posible cargar las fuentes de instalación de Windows a partir de un DVD-ROM de instalación escribiendo el comando PowerShell siguiente: Get-windowsimage -imagepath \sources\install.wim

Es preciso memorizar el número de índice correspondiente a la versión de instalación del sistema operativo y, a continuación, escribir el siguiente comando para instalar un rol o característica de servidor: Install-WindowsFeature -Source wim:: Para conocer el nombre de un rol o característica de servidor, bastará con escribir el comando PowerShell siguiente: Get-WindowsFeature

El direccionamiento IP Para poder comunicarse en una red, un servidor provisto de un sistema operativo Microsoft debe tener una dirección IP configurada y conforme a la subred en la que se encuentre. La dirección IP de un equipo se configura en los parámetros de la tarjeta de red.

1. Direccionamiento IP dinámico Por defecto, un sistema operativo no posee una dirección IP después de su instalación. La direción IP se configura automáticamente mediante un servideor DHCP (Dynamic Host Configuration Protocol) que se encarga de atribuir todos los parámetros de la configuración de red.

2. Direccionamiento IP estático Si deseamos configurar el equipo con parámetros específicos, es posible desactivar la opción de configuración automática para introducir manualmente los parámetros de configuración de una tarjeta de red. Hablamos, en este caso, de una dirección IP estática.

Los protocolos de red Los protocolos de red permiten definir la manera en que se efectuarán las comunicaciones y otras transferencias de datos. Estos protocolos están estructurados en varias capas donde cada una tiene un alcance y un rol determinado. Es posible encontrar el detalle de las capas en forma de modelos centrándonos específicamente en el modelo OSI (Open Systems Interconnection, que presenta siete capas de comunicación) y en el modelo TCP/IP (Transfer Configuration Protocol/Internet Protocol, que cuenta con cuatro capas de comunicación). Existen varios protocolos de transferencia de datos, pero el seleccionado para la red Internet es el protocolo TCP/IP, que cuenta con las versiones IPv4 e IPv6.

1. Modelo TCP/IP El modelo TCP/IP constituye un conjunto de protocolos organizados en cuatro capas de comunicación distintas. Encontramos, en particular, las capas siguientes: La capa de Red: correspondiente a la capa física, o el adaptador de red para la comunicación mediante el envío y la recepción de paquetes de datos. La capa Internet: es la encargada de proporcionar el paquete de datos (datagrama). La capa de Transporte: correspondiente a los protocolos de comunicación encargados de transportar los datos en la red. Encontramos, en particular, dos protocolos de transporte: TCP: garantiza el transporte de los datos en modo conectado (con acuses de recibo). Se dice que las comunicaciones garantizadas mediante el protocolo de transporte TCP son fiables. Mediante el sistema de acuses de recibo, dos equipos que se comunican conjuntamente pueden garantizar que el conjunto de datos se ha recibido correctamente. UDP: garantiza el transporte de los datos en modo sin conexión (sin acuses de recibo). Se dice que las comunicaciones garantizadas mediante el protocolo de transporte UDP no son fiables. Sin control de errores, la comunicación es más rápida. La capa de Aplicación: agrupa las aplicaciones estándar de red tales como TELNET, FTP, SMTP.

2. Protocolo IP Para comunicarse en la red, un equipo debe estar provisto físicamente de una tarjeta de red y lógicamente de una dirección IP. La dirección IP permite identificar a un host en la red para comunicarse con él. Existen dos tipos de direcciones IPv4. Las direcciones que emplean el protocolo IPV4 y las direcciones que emplean el protocolo IPv6.

a. Direccionamiento IPv4 Una dirección IPv4 está codificada en 32 bits, con 4 bytes separados por un punto. Cada byte representa un número decimal con un valor entre 0 y 255. Una dirección IPv4 posee una máscara de subred que define por una parte la dirección de red (los primeros bytes) y, por otra parte, la dirección de la máquina en la red (los últimos bytes). Existen dos tipos de direcciones IPv4: Las direcciones IPv4 privadas: permiten comunicarse en una red de área local. Las direcciones IPv4 públicas: permiten comunicarse en Internet. Las direcciones IPv4 privadas tienen cinco tipos de clase no direccionables en Internet para definir direcciones IP de red de área local:

Inicio

Fin

Notación CIDR

Máscara de subred

Clase A

0.0.0.0

127.255.255.255

/8

255.0.0.0

Clase B

128.0.0.0

191.255.255.255

/16

255.255.0.0

Clase C

192.0.0.0

223.255.255.255

/24

255.255.255.0

Clase D: utilizada para la multidifusión (Multicast)

224.0.0.0

239.255.255.255

/4

Indefinida

Clase E: reservada

240.0.0.0

255.255.255.255

Indefinida

b. Direccionamiento IPv6 Una dirección IPv6 está codificada en 128 bits, equivalentes a 16 bytes en grupos de dos separados por dos puntos (:) y representados en hexadecimal. Una dirección IPv6 no posee máscara de subred, sino prefijos que definen el ID de red de la misma forma que una dirección IPv4.

La dirección IPv6 posee ciertas similitudes con la dirección IPv4. Por ejemplo: Una dirección no especificada: 0.0.0.0 (IPv4) :: (IPv6) Una dirección de bucle local (Loopback): 127.0.0.1 (IPv4) ::1 (IPv6) Una dirección APIPA: 169.254.0.0/16 (IPv4) ::64 (IPv6) Una dirección de difusión (Broadcast): ::255.255.255.255 (IPv6) Sin broadcast. Se utilizan direcciones de multidifusión (IPv6) Una dirección de multidifusión (Multicast): 224.0.0.0/4 (IPv4) FF00::/8 (IPv6) Existen varios tipos de direcciones cuando se utiliza el protocolo IPv6. Cada tarjeta de red posee varias direcciones IPv6. Encontramos, en particular, las direcciones IPv6 de tipo:

monodifusión multidifusión

La administración de Windows Server 2012 R2 El sistema operativo Windows Server 2012 R2 puede administrarse de diferentes maneras. Para facilitar la administración, es importante conocer y saber manipular las principales herramientas gráficas dedicadas a la gestión del servidor.

1. La consola Administración de equipos La consola Administración de equipos es un complemento que permite gestionar los componentes principales de un servidor. Se encuentra accesible desde una MMC (Microsoft Management Console) añadiendo el componente Administración de equipos, empleando las herramientas de administración en la carpeta de aplicaciones instalada en el servidor o mediante el comando DOScompmgmt.msc. Desde esta consola será posible también administrar Windows Server 2012 R2 empleando diferentes herramientas agrupadas en tres categorías.

Las herramientas del sistema Esta categoría agrupa: El Programador de tareas: permite planificar la ejecución de scripts y otras tareas de administración. El Visor de eventos: permite consultar los registros de eventos de Windows. Las Carpetas compartidas: permite consultar los diferentes recursos compartidos activos en el servidor o crear nuevos recursos compartidos de red. Los Usuarios y grupos locales: permite gestionar las cuentas y grupos de usuarios locales, definirlos o restablecer las contraseñas. La herramienta Rendimiento: permite consultar mediante una herramienta gráfica el rendimiento de un servidor en función de ciertos criterios. El Administrador de dispositivos: permite administrar el conjunto de componentes del servidor y gestionar los controladores de los diferentes dispositivos. El almacenamiento Esta categoría agrupa: La herramienta Copias de seguridad de Windows Server: permite configurar la copia de seguridad del servidor en una ubicación local, un disco duro o dispositivos externo o incluso una ubicación en línea empleando la herramienta Windows Azure Online Backup. La herramienta Administración de discos: permite configurar los diferentes dispositivos de almacenamiento para gestionar el formato o el particionado de los discos, la asignación de las letras de unidad o la configuración de los puntos de montaje NFS (Network File System). Los servicios y Aplicaciones La herramienta Enrutamiento y acceso remoto: permite, si el servidor se convierte en un router, configurar la conversión de puertos (NAT) o configurar posibles accesos VPN. Los Servicios: permiten verificar el estado de cada servicio de Windows en ejecución en el

sistema, configurarlos o incluso, arrancarlos o detenerlos. La herramienta Control WMI: permite configurar la infraestructura de gestión de Windows.

2. La consola Administrador del servidor Desde la aparición de Windows Server 2008, Microsoft ha centralizado la administración de los principales componentes del servidor en una consola denominada Administrador del servidor. Esta consola permite a su vez agrupar, en una interfaz intuitiva, los principales accesos a los elementos de configuración y gestión del servidor. Desde esta interfaz es posible agregar roles y características al servidor. Es posible acceder esta consola mediante el icono Administrador del servidor ubicado en la barra de tareas, o a través de las herramientas administrativas.

3. Las herramientas administrativas Las herramientas administrativas son esencialmente componentes disponibles, también, en la consola MMC. Estas herramientas están disponibles desde la ventana de inicio de Windows Server 2012 R2 haciendo clic en Herramientas administrativas:

Trabajos prácticos La empresa INFONOVICE desea instalar nuevos servidores. Para ello, solicitará sus servicios con el objetivo de instalar y configurar el sistema operativo Windows Server 2012 R2. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 DC-CORE: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.102 Máscara de subred: 255.255.255.0 Para realizar los siguientes trabajos prácticos, bastará una máquina virtual con las características mínimas para ejecutar Windows Server 2012 (una vCPU a 1,4 GHz en arquitectura de 64 bits, un disco duro de 20 GB como mínimo (suficiente para nuestro entorno de prueba) y 1024 GB de RAM). Habrá que asegurarse que la BIOS de la máquina virtual esté configurada para arrancar desde la unidad de CD-ROM:

La máquina virtual deberá, a su vez, contar con una tarjeta de red que podremos configurar posteriormente.

1. Instalar Windows Server 2012 R2 en modo gráfico Paso 1: después de arrancar desde un CD de instalación de Windows Server 2012 R2, seleccione el idioma Español y, a continuación, haga clic en Siguiente:

Paso 2: haga clic en Instalar ahora:

Paso 3: introduzca el número de serie del producto Windows Server 2012 R2 y haga clic enSiguiente:

Paso 4: seleccione la edición que especifica servidor con una GUI y haga clic en Siguiente:

Paso 5: marque la opción Acepto los términos de licencia y haga clic en Siguiente:

Paso 6: haga clic en Personalizada: instalar solo Windows (avanzado):

Paso 7: seleccione el disco duro de 20 GB (tamaño válido para un entorno de prueba/maqueta) y haga clic en Siguiente para iniciar la instalación de Windows Server 2012 R2:

Paso 8: escriba una contraseña para la cuenta Administrador (ejemplo: P@ssw0rd) y haga clic en Finalizar:

Paso 9: presione [Ctrl][Alt][Supr]:

Paso 10: escriba la contraseña de la cuenta Administrador para iniciar una sesión:

Paso 11: al iniciar la sesión, la consola Administrador del servidor se abre automáticamente. Haga clic en Configurar este servidor local:

Paso 12: a continuación, haga clic en el nombre del servidor:

Paso 13: haga clic en Cambiar:

Paso 14: substituya el nombre de equipo por defecto por DC-01 y haga clic en Aceptar:

Paso 15: haga clic en Aceptar para reiniciar el equipo:

Paso 16: haga clic en Cerrar:

Paso 17: haga clic en Reiniciar ahora:

En este punto, el sistema operativo Microsoft Windows Server 2012 R2 se encuentra instalado con la interfaz gráfica y el nombre del servidor configurado.

2. Instalar Windows Server 2012 R2 en modo Server Core Paso 1: después de arrancar desde un CD de instalación de Windows Server 2012 R2, repita las mismas operaciones que para la instalación con interfaz gráfica, salvo en la etapa 4, donde deberá seleccionar la edición que especifica Instalación Server Core:

Paso 2: una vez terminada la instalación del sistema operativo, se abrirá una simple ventana DOS:

Para administrar Windows Server 2012 R2 en modo Server Core, es posible utilizar comandos DOS o PowerShell.

Para modificar el nombre del equipo empleando comandos DOS Para conocer el nombre actual del equipo, escriba el comando DOS

hostname:

Para modificar el nombre del servidor y llamarlo DC-CORE, escriba el comando siguiente:netdom renamecomputer /NewName:DC-CORE a continuación, escriba spara confirmar la operación:

Escriba el comando

shutdown /r /f para reiniciar el servidor:

Haga clic en Cerrar:

DOS

Para modificar el nombre del equipo empleando comandos PowerShell Escriba

powershellen el símbolo del sistema DOS para cambiar a PowerShell:

Rename-Computer, indicando el nombre que desea atribuir al servidor como parámetro, por ejemplo DC-CORE: Escriba el comando

Escriba el comando

shutdown /r /f para reiniciar el servidor:

Haga clic en Cerrar:

Utilizando el método 1 o 2 puede modificar el nombre de un servidor, la modificación será tenida en cuenta únicamente tras el reinicio. Es posible verificar la modificación del nombre del equipo escribiendo de nuevo el comando hostnameen el símbolo del sistema DOS.

3. Configurar la interfaz de red En este taller, se configurará la interfaz de red en modo gráfico o Server Core.

Configuración en modo gráfico Paso 1: en la consola Administrador del servidor, haga clic en Configurar este servidor local:

Paso 2: a continuación, haga clic en Dirección IPv4 asignada por DHCP, IPv6 habilitado:

Paso 3: haga doble clic en la tarjeta de red a configurar:

Paso 4: haga clic en Propiedades de la tarjeta de red seleccionada:

Paso 5: seleccione el protocolo de red TCP/IPv4 y haga clic en Propiedades:

Paso 6: marque la opción Usar la siguiente dirección IP y configure la dirección IP de su tarjeta de red. Para este taller, utilizaremos una dirección IP de clase C con un servidor DNS externo. A continuación, haga clic en Aceptar para validar la nueva configuración:

Para respetar las buenas prácticas, si el servidor a configurar está destinado a convertirse en un controlador de dominio (rol Active Directory Domain Services), habrá que contar con la configuración de la sección Servidor DNS introduciendo la dirección IP de bucle invertido (127.0.0.1) como dirección IP del servidor DNS alternativo, o no preferido.

Paso 7: haga clic en Aceptar y por último en Cerrar.

Configuración en modo Servidor Core Configuración de la dirección IP por línea de comandos DOS Introduzca el comando netsh interface ipv4 show interfaces para identificar la interfaz de red a configurar. Apunte el número de la columna Índ:

Escriba el siguiente comando DOS para configurar la dirección IP de la interfaz de red

previamente identificada: netsh interface ipv4 set address name="<Índ>" source=static address= mask= gateway=

Para configurar la dirección IP del servidor DNS preferido, escriba el comando siguiente: netsh interface ipv4 add dnsserver name="<Índ>" address= index=1

Para configurar la dirección IP del servidor DNS auxiliar, escriba el comando siguiente: netsh interface ipv4 add dnsserver name="<Índ>" address= index=2

Para verificar su configuración IP, escriba

ipconfig /all.

Configuración de la dirección IP por línea de comandos PowerShell Escriba

PowerShellen el símbolo del sistema DOS para cambiar a PowerShell:

Introduzca el comando Get-NetIPInterfacepara identificar la interfaz de red a configurar. Apunte el número de la columna ifIndex:

Escriba el comando PowerShell para configurar la dirección IP de la interfaz de red previamente identificada: New-NetIPAddress -InterfaceIndex -IPAddress
configurar> -PrefixLength 24 -DefaultGateway

Escriba el comando PowerShell siguiente para configurar la dirección IP de la interfaz del servidor DNS: Set-DnsClientServerAddress -InterfaceIndex 12 -ServerAddresses "192.168.0.254","127.0.0.1"

Para

verificar

su

configuración

IP,

escriba

el

NetIPConfiguration

4. Cambiar nombre de un servidor con sconfig Paso 1: abra una sesión en el servidor Core. Paso 2: escriba el comando siguiente: sconfig

comando

PowerShell

siguiente:

Get-

Paso 3: para modificar el nombre de equipo, escriba

Paso 4: escriba

2y pulse la tecla [Intro]:

DC-CORE1 como el nuevo nombre a asignar al servidor DC-CORE, y valide

pulsando la tecla [Intro]:

Paso 5: escriba

INFONOVICE\Administrador, que es una cuenta con permisos de

administración en el servidor para poder efectuar la operación de cambio de nombre del equipo. Valide, a continuación, pulsando la tecla [Intro]:

Paso 6: escriba la contraseña de la cuenta Administrador del dominio INFONOVICE y, a continuación, valide pulsando la tecla [Intro]:

Paso 7: haga clic en Sí para reiniciar el servidor y aplicar la modificación:

Paso 8: al reiniciar el servidor, abra de nuevo una sesión en el servidor Core y, a continuación, escriba el comando hostname para validar que el nombre del servidor se ha cambiado correctamente:

5. Configurar la dirección IP con sconfig Paso 1: abra una sesión en el servidor Core. Paso 2: escriba el comando siguiente: sconfig

Paso 3: para configurar la dirección IP de un servidor, pulse

8y presione la tecla [Intro]:

Paso 4: escriba el número de índice de la tarjeta de red a configurar y pulse la tecla [Intro]:

Paso 5: teclee

1para definir los parámetros de la tarjeta de red:

Paso 6: teclee la letra

epara definir una dirección IP estática y valide pulsando la tecla [Intro]:

Paso 7: escriba la dirección IP que desea asignar a la tarjeta ejemplo:192.168.0.200) y, a continuación, valide pulsando la tecla [Intro]:

de

red

(por

Paso 8: escriba la dirección de la máscara de subred asociada a la tarjeta de red a configurar (por ejemplo: 255.255.255.0). Pulse a continuación la tecla [Intro] para validar:

Paso 9: escriba la dirección de la pasarela por defecto asociada a la tarjeta de red a configurar (por ejemplo: 192.168.0.254) y, a continuación, pulse la tecla [Intro] para validar:

Paso 10: teclee el número a configurar:

2para indicar la dirección de los servidores DNS asociados a la tarjeta

Paso 11: escriba la dirección IP del servidor DNS preferido (por ejemplo: 192.168.0.100) y, a continuación, pulse la tecla [Intro] para validar:

Paso 12: haga clic en Aceptar:

Paso 13: escriba la dirección IP del servidor DNS alternativo (por ejemplo: 192.168.0.101), y, a continuación, pulse la tecla [Intro] para validar:


Paso 15: la dirección IP de la tarjeta de red seleccionada está configurada en adelante de forma estática. Teclee 4para volver al menú principal:

La dirección IP está configurada y el servidor está listo para comunicarse en la red.

Resumen del capítulo Tras la lectura de este capítulo, hemos visto los conceptos básicos de la navegación en Windows Server 2012 R2 y la configuración mínima para empezar a utilizar el sistema operativo en una red. Podría resumirse de la manera siguiente: Al igual que Windows 8.1, Windows Server 2012 R2 cuenta con la nueva pantalla de inicio. Windows Server 2012 R2 cuenta con cuatro ediciones: Windows Server 2012 R2 Foundation Windows Server 2012 R2 Essentials Windows Server 2012 R2 Standard Windows Server 2012 R2 Datacenter La instalación de Windows Server 2012 R2 puede hacerse de dos maneras: Instalación completa Instalación mínima La consola Administrador del servidor permite administrar las características esenciales de Windows Server 2012 R2. Es posible configurar la dirección IP de un servidor de forma dinámica o estática utilizando IPv4 o IPv6.

Validación de conocimientos: preguntas/respuestas Si cree que sus conocimientos acerca de este capítulo son suficientes, responda a las siguientes preguntas.

1. Preguntas 1 ¿Cuáles son las cuatro ediciones de Windows Server 2012 R2? 2 ¿Qué combinación de teclas permite efectuar una búsqueda de aplicaciones? 3 ¿Qué combinación de teclas permite mostrar el panel del menú derecho de Windows? 4 ¿A qué corresponde la instalación mínima de Windows Server 2012 R2? 5 ¿A qué corresponde la instalación completa de Windows Server 2012 R2? 6 ¿Qué significa RSAT? ¿Para qué sirve RSAT? 7 ¿Es compatible el componente DNS con una instalación mínima de Windows Server 2012 R2? 8 ¿Qué es una dirección IP estática? 9 ¿Qué es una dirección IP dinámica? 10 ¿Qué comando permite mostrar el nombre de host de un equipo? 11 ¿Es posible instalar Windows Server 2012 R2 en una infraestructura de 32 bits? 12 ¿Qué comando PowerShell permite cambiar el nombre de un equipo? 13 ¿Qué comando permite configurar un Server Core mediante una interfaz básica? 14 ¿Cuáles son las características mínimas para instalar Windows Server 2012 R2? 15 ¿Qué comando PowerShell permite mostrar la configuración IP de un servidor? 16 ¿De cuántos bytes se compone una dirección IPv6? 17 ¿De cuántos bytes se compone una dirección IPv4? 18 En el modelo TCP/IP, ¿para qué sirve la capa de red?

2. Resultados Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, sume un punto. Número de puntos: /18 Para este capítulo, la puntuación mínima es de 14/18.

3. Respuestas 1 ¿Cuáles son las cuatro ediciones de Windows Server 2012 R2? Las cuatro ediciones de Windows Server 2012 son las siguientes: Windows Server 2012 R2 Foundation (versión OEM, limitada a 15 usuarios y sin Hyper-V) Windows Server 2012 R2 Essentials (limitada a 25 usuarios y sin Hyper-V) Windows Server 2012 R2 Standard (2 máquinas virtuales en Hyper-V) Windows Server 2012 R2 Datacenter (máquinas virtuales ilimitadas en Hyper-V) 2 ¿Qué combinación de teclas permite efectuar una búsqueda de aplicaciones?

Para buscar una aplicación, basta con pulsar simultáneamente las teclas

+ Q.

3 ¿Qué combinación de teclas permite mostrar el panel del menú derecho de Windows? Para mostrar el panel del menú derecho de Windows, basta con pulsar simultáneamente las teclas + C. 4 ¿A qué corresponde la instalación mínima de Windows Server 2012 R2? La instalación mínima de Windows Server 2012 R2 corresponde a la instalación del sistema operativo sin la interfaz gráfica de usuario. Otros módulos, como Internet Explorer, no vienen instalados en este tipo de instalación y tampoco se encuentran disponibles todos los roles y características del servidor. 5 ¿A qué corresponde la instalación completa de Windows Server 2012 R2? La instalación completa de Windows Server 2012 corresponde a una instalación del sistema operativo provista de una interfaz gráfica y del conjunto de componentes disponibles. 6 ¿Qué significa RSAT? ¿Para qué sirve RSAT? RSAT significa Remote Server Administration Tools. Si un administrador desea administrar servidores desde un servidor miembro del dominio o un puesto cliente como Windows 7 u 8.1, es posible añadir las herramientas de administración manualmente. La instalación de la herramienta RSAT en un puesto cliente permite añadir el conjunto de componentes necesarios para la administración de los servidores Windows. 7 ¿Es compatible el componente DNS con una instalación mínima de Windows Server 2012 R2? El componente DNS está disponible en la instalación mínima de Windows Server 2012 R2. 8 ¿Qué es una dirección IP estática? Una dirección IP estática representa una dirección IP fija asignada manualmente. 9 ¿Qué es una dirección IP dinámica? Una dirección IP dinámica representa una dirección IP asignada mediante un servidor DHCP. La dirección IP asignada posee una concesión durante la cual ningún otro equipo podrá recibir la dirección configurada. 10 ¿Qué comando permite mostrar el nombre de host de un equipo? El comando

hostnamepermite mostrar el nombre de equipo.

11 ¿Es posible instalar Windows Server 2012 R2 en una infraestructura de 32 bits? Uno de los requisitos para la instalación de Windows Server 2012 R2 consiste en instalar el sistema operativo en un procesador de arquitectura de 64 bits com o m ínim o. 12 ¿Qué comando PowerShell permite cambiar el nombre de un equipo? El comando PowerShell

Rename-Computerpermite cambiar el nombre de un equipo.

13 ¿Qué comando permite configurar un Server Core mediante una interfaz básica? El comando sconfigpermite llamar a una interfaz de fácil manejo para configurar los elementos básicos de un Servidor Core. 14 ¿Cuáles son las características mínimas para instalar Windows Server 2012 R2? Las características mínimas de instalación de Windows Server 2012 R2 son las siguientes: Un procesador de 64 bits a 1,4 GHz como mínimo. 512 MB de memoria RAM.

32 GB de disco duro. 15 ¿Qué comando PowerShell permite mostrar la configuración IP de un servidor? Se trata del comando

Get-NetIPConfiguration.

16 ¿De cuántos bytes se compone una dirección IPv6? Una dirección IPv6 está compuesta de 16 bytes o 128 bits. 17 ¿De cuántos bytes se compone una dirección IPv4? Una dirección IPv4 está compuesta de 4 bytes o 32 bits. 18 En el modelo TCP/IP, ¿para qué sirve la capa de red? La capa de red corresponde a la capa física del equipo (la tarjeta de red, por ejemplo).

Requisitos previos y objetivos 1. Requisitos previos Saber instalar el sistema operativo Windows Server 2012 R2. Conocer las bases de la autenticación de un usuario Microsoft. Conocer las bases de la gestión de grupos de seguridad. Conocer las bases de un directorio corporativo.

2. Objetivos Comprender el rol de un directorio Active Directory en una empresa. Comprender las nociones de dominios y controladores de dominio. Comprender la gestión de cuentas de usuario. Comprender la gestión de grupos de seguridad. Saber instalar un controlador de dominio Active Directory.

Requisitos previos y objetivos 1. Requisitos previos Conocer los fundamentos IPv4. Instalar y configurar la dirección IP de un equipo cliente. Instalar y configurar un controlador de dominio Active Directory. Conocer las bases de la gestión de un servidor DNS. Conocer las bases de la gestión de un servidor DHCP.

2. Objetivos Comprender el rol de un servidor DNS. Conocer las diferentes zonas DNS. Instalar el rol DNS. Configurar las opciones avanzadas de un servidor DNS. Optimizar un servidor DNS. Configurar DNSSEC. Comprender el rol de un DHCP. Instalar el rol DHCP. Configurar las opciones avanzadas de un servidor DHCP. Configurar la conmutación por error en caso de fallo de un servidor DHCP. Comprender el rol de gestión de direcciones IPAM. Instalar y configurar la gestión de direcciones IPAM.

Servicio DNS Todo equipo en una red posee una dirección IP (IPv4 o IPv6) para comunicarse. Las máquinas se adaptan perfectamente a la conservación de información en forma de bytes, mientras que un ser humano tiene grandes dificultades para retener un conjunto de direcciones IP para acceder a un servicio o un sitio web. Por este motivo, se creó el archivo de resolución de nombres llamado Hosts. Este archivo local (%SYSTEMROOT%\system32\drivers\etc\hosts) permite resolver los nombres de dominio en direcciones IP. Este archivo de sistema se limita a un uso local para cada equipo de la red. El servicio DNS se ha creado para ofrecer un sistema de resolución de nombres a escala de una red informática. Hoy en día, toda red informática emplea un servicio de resolución de nombres llamado DNS (Domain Name System).

1. Presentación del servicio DNS Un servidor DNS ofrece la posibilidad de traducir un nombre sencillo (más fácil de recordar) en una dirección IP. Varios componentes de una red informática no funcionarían sin DNS. Por ejemplo, un controlador de dominio (AD DS) no puede funcionar sin el componente de resolución de nombres ya que Active Directory funciona de manera conjunta con un servidor DNS. En Microsoft Windows Server 2012 R2, el servicio DNS se implementa como un rol de servidor integrado en el sistema operativo. Este rol de servidor (disponible en la instalación completa de Windows o en un servidor Core) puede implementarse en un servidor independiente del dominio (Standalone), en un servidor miembro de un dominio, o en un controlador de dominio. Sin embargo, un servidor DNS puede o no estar integrado en un dominio Active Directory. La implementación de DNS dentro de Active Directory aporta funcionalidades adicionales como, por ejemplo, una seguridad reforzada. Los servidores DNS en Internet están organizados de forma jerárquica. En la cima de esta jerarquía se encuentran los llamados servidores DNS raíz. Actualmente existen 13 servidores raíz a escala mundial. Los servidores raíz que representamos esquemáticamente por un punto redirigen las peticiones DNS a los servidores del nivel jerárquico inferior que cuenten con autoridad sobre los recursos solicitados. Los servidores DNS situados bajo los servidores raíz se conocen como servidores de primer nivel o, más exactamente, servidores TLD (Top Level Domains). Los servidores TLD gestionan los registros de más alto nivel del tipo *.com, *.net, *.org, etc. Cada país posee a su vez un registro de más alto nivel del tipo *.es (España), *.de (Alemania), *.it (Italia), *.nz (Nueva Zelanda), *.fr (United-Kingdom: Reino Unido), *.be (Bélgica), etc. Los servidores DNS situados en los servidores TLD se conocen como servidores de segundo nivel. Es en este nivel donde un proveedor de nombres de dominio podrá asignar un nombre de dominio único para empresas o particulares de tipo infonovice.es, infonovice.com. Para cada nombre de dominio, es posible crear un subdominio del tipo mail.infonovice.es, calendario.infonovice.es, etc. Esquema de la jerarquía de servidores DNS en Internet:

En el esquema anterior, podemos ver la estructura jerárquica de los servidores DNS de Internet. Si deseamos acceder a la resolución de nombres de subdominio mail.infonovice.es, será necesario realizar una búsqueda DNS recursiva de tres niveles.

2. Funcionamiento del servicio DNS El servicio DNS funciona en modo cliente/servidor. Todo equipo Windows posee un cliente DNS encargado de realizar las peticiones DNS destinadas a un servidor DNS configurado en los parámetros de la tarjeta de red.

El cliente DNS efectúa las peticiones DNS con destino al puerto UDP 53 de un servidor DNS (local o remoto). Cuando se realiza una solicitud de resolución de nombres por parte de un cliente a un servidor DNS, la respuesta se registra en la caché DNS. Esta operación se efectúa a través del servicio de nombres de Windows llamado Cliente DNS, que se encarga de actualizar la cache DNS y registrar el nombre de host del equipo en el servidor DNS local.

Si se detiene el Cliente DNS, el equipo no podrá registrarse a sí mismo en un servidor DNS ni podrá actualizar la caché con los resultados de solicitudes DNS.

a. Herramientas por línea de comandos DOS Para consultar el contenido de la caché DNS de un equipo cliente, basta con escribir el comando siguiente: ipconfig /displaydns

Para vaciar el contenido de la caché siguiente:ipconfig /flushdns

DNS de

un

equipo

cliente, escriba

el comando

Para registrar el nombre de host de un equipo en el servidor DNS local, escriba el comando siguiente: ipconfig /registerdns

b. Principio de resolución de nombres DNS Cuando un puesto cliente desea acceder a un servicio, tal como un sitio web, cuenta con un mecanismo de peticiones DNS que lo gestiona de forma completamente transparente para el usuario:

1.

Un usuario quiere acceder al sitio web infonovice.es empleando su navegador web. Una vez que se ha introducido la URL, el puesto cliente realiza una petición DNS al servidor DNS de su proveedor de acceso Internet (ISP) para saber si éste conoce la dirección IP del nombre de dominio infonovice.es.

2.

Si el servidor DNS del ISP desconoce la dirección IP del nombre de dominio solicitado, arranca un proceso de búsqueda recursiva. El servidor DNS del ISP solicita, a continuación, a los servidores raíz la dirección IP de los servidores DNS de la zona es.

3.

Uno de los 13 servidores raíz contactados responde al servidor DNS del ISP indicándole los servidores DNS con autoridad para la zona es.

4.

El servidor DNS del ISP contacta, a continuación, con uno de los servidores DNS de la zona es solicitándole la dirección IP de los servidores DNS que tengan el nombre de dominio infonovice.es.

5.

Uno de los servidor DNS de la zona es responde al servidor DNS del ISP indicándole el nombre y la dirección IP del servidor DNS que tiene autoridad en el dominio infonovice.es.

6.

El servidor DNS del ISP contacta, a continuación, con los servidores DNS con autoridad sobre el dominio infonovice.es solicitándole la dirección IP del nombre del dominio.

7.

Uno de los servidores DNS contactados con autoridad para el nombre de dominio infonovice.es, responde al servidor DNS del ISP indicándole la dirección IP del nombre de dominio.

8.

El servidor DNS del ISP responde al puesto cliente indicándole la dirección IP del nombre de dominio infonovice.es.

9.

El puesto cliente accede entonces al sitio web http://infonovice.es a partir de su dirección IP.

10.

El sitio web infonovice.es responde al puesto cliente proporcionándole la página web del sitio.

3. Administración del servicio DNS Durante la instalación del rol Servidor DNS se crea un servicio Windows llamado Servidor DNS con arranque automático. Este mismo servicio se encargará de responder a las peticiones DNS de los clientes de la red.

La instalación del rol DNS %SYSTEMROOT%\System32\dns\

se

realiza

en

la

siguiente

carpeta

de

sistema:

Esta carpeta de instalación contendrá los elementos siguientes: La caché DNS ubicada en ubicación:%SYSTEMROOT%\System32\dns\cache.dns.

la

siguiente

Los registros del servidor DNS contenidos en el archivo dns.log. La carpeta samples, que contiene ejemplos de archivos de configuración de DNS. La carpeta de copia de seguridad de los archivos de la configuración de DNS llamada Backup:

El proceso de instalación del rol de servidor copia a su vez el complemento llamado DNS, disponible en las herramientas administrativas o una nueva MMC. También es posible instalar estas consolas en un servidor que no cuente con el componente DNS, o en un puesto cliente como Windows 8.1, instalando las herramientas de administración RSAT (Remote Server Administration Tools). Para abrir esta consola podemos también escribir el comando

dnsmgmt.msc.

O hacer clic en DNS en la pantalla de inicio de Windows Server 2012 R2:

Es posible administrar un servidor DNS usando la consola gráfica (MMC) o por línea de comandos Dnscmd o PowerShell. Para acceder a la gestión de configuración de un servidor DNS de un dominio Active Directory, la cuenta de administrador debe pertenecer al grupo Admins. del dominio. Para administrar el conjunto de los servidores DNS de cualquier dominio del bosque Active Directory, la cuenta de administrador empleada debe pertenecer al grupo Administradores de empresas.

a. Implementación de los registros detallados De manera predeterminada un servidor DNS genera registros, que pueden consultarse mediante el complemento Visor de eventos, en la sección Registros de aplicaciones y servicios, del registroDNS Server (o directamente en la consola DNS, en la sección Registros globales del registroEventos DNS):

Estos registros realizados por el servidor DNS pueden servir para realizar diagnósticos en la resolución de problemas o simplemente para verificar el correcto funcionamiento del servicio. Los registros almacenados pueden ser de varios niveles: Información Advertencia Error Comentario Crítico Si se desea un diagnóstico más exacto, existe la posibilidad de activar registros más detallados. Esta acción tendrá como objetivo generar un registro suplementario que utilizará recursos complementarios del servidor. Estos registros son muy extensos, no es recomendable mantener esta opción activada mucho tiempo. Los registros de depuración se encuentran disponibles en las propiedades del servidor DNS:

La activación del registro de depuración requiere las siguientes acciones: Marque la opción Paquetes de registro para depuración. Marque las opciones deseadas. Indique la ruta completa del archivo de registro dedicado a la depuración. Indique el tamaño máximo del archivo de depuración.

b. Registros DNS Un servidor DNS puede gestionar varios tipos de registros llamados registros de recursos. Estos registros permiten identificar un equipo, un servidor, un servicio, un alias o un controlador de dominio. Estos recursos puede crearlos dinámicamente el sistema de instalación del rol de servidor DNS o un equipo cliente que se registre en el servidor DNS. También es posible que un administrador cree manualmente estos registros. No es posible crear un registro de recursos en una zona DNS. A continuación se enumeran los principales tipos de registros de recursos: Host A o AAAA: este tipo de registro de recursos permite identificar un equipo en la red empleando su dirección IP y su nombre de dominio FQDN. Un host A corresponde a un equipo identificado empleando su dirección IPv4, mientras que un host AAAA corresponde a un equipo identificado mediante su dirección IPv6.

Alias (CNAME): este tipo de registro se denomina también, nombre canónico. Permite identificar un equipo en la red mediante un nombre diferente al FQDN.

Intercambio de correo (MX): este tipo de registro de recursos identifica un servidor de correo electrónico en una red (MX = Mail eXchanger). Cuando un cliente emplea el protocolo SMTP (Simple Mail Transfer Protocol) para enviar e-mails, contacta con un servidor DNS para recuperar la lista de servidores de correo definidos en los registros de tipo MX. Si existen varios servidores de mensajería, se contactará en primer lugar con el servidor que tenga definida la máxima prioridad para enviar un e-mail. A menor valor numérico del campoPrioridad del servidor de correo, mayor será la prioridad del servidor de correo electrónico.

Registro de servicio (SRV): este tipo de registro de recursos permite identificar un servicio específico en la red (por ejemplo: un servidor Kerberos, un servidor de catálogo global, un servidor LDAP). Un equipo cliente puede preguntar a un servidor DNS para recuperar la lista de registros SRV que le permitirá conectarse a los recursos adecuados en función de su ubicación geográfica.

Inicio de autoridad (SOA): este tipo de registro se crea en primer lugar y permite indicar los parámetros de una zona (SOA = Start Of Authority). Encontraremos, en particular, los siguientes parámetros: Numero de serie: este número se incrementa con cada actualización del archivo. Servidor principal: servidor sobre el que se crea el registro SOA. Persona responsable: dirección de e-mail del responsable de la zona. Intervalo de actualización: indica la frecuencia de las solicitudes de actualización de una zona DNS de un servidor DNS secundario en un servidor DNS principal. Intervalo de reintento: indica el período durante el cual un servidor DNS secundario que no podía ponerse en contacto con el servidor DNS primario debe esperar antes de volver a solicitar la actualización de la zona para recuperar un registro SOA. Expira después de: indica el tiempo tras el que el servidor DNS secundario que no ha podido recuperar el registro SOA del servidor DNS principal deja de responder a las solicitudes de clientes para el nombre de la zona DNS. TTL mínimo: duración mínima de un registro DNS.

Servidor de nombres (NS): este tipo de registro permite identificar los servidores DNS del dominio (NS = Name Server).

Puntero (PTR): este tipo de registro permite realizar una correspondencia entre una dirección IP y un nombre de dominio FQDN empleando un registro de recursos presente en una zona de búsqueda inversa (PTR = Pointer Record).

c. Limpieza de registros DNS Un servidor DNS almacena diferentes tipos de registros en su base de datos (por ejemplo: registros de tipo A - Hostname). Cuando los registros dinámicos ya no sirven, se eliminan automáticamente. Por defecto, la opción de borrado de registros obsoletos se encuentra deshabilitada. Es posible (y especialmente recomendable) activarla en las propiedades del servidor DNS o en las propiedades de una zona. Para activar la limpieza de registros DNS hay que editar las propiedades del servidor DNS haciendo clic en Establecer caducidad/borrado para todas las zonas…:

Intervalo sin actualización: después de crear un registro DNS, este parámetro indica durante cuánto tiempo no es posible actualizar el registro. La marca de tiempo del registro permite calcular el tiempo durante el cual el cliente no ha renovado su registro. Intervalo de actualización: después de crear un registro DNS, éste no puede actualizarse durante el periodo sin actualización. Cuando finaliza este periodo de tiempo, este parámetro indica el tiempo durante el que el registro permanecerá almacenado en el servidor DNS. Durante el intervalo de actualización, los equipos cliente podrán actualizar los registros DNS y reiniciar su marca de tiempo. Si este no fuera el caso, los registros DNS se eliminarán al expirar el intervalo de actualización. Por defecto, un equipo cliente intentará renovar su registro DNS (refrescar su marca de tiempo) tras cada arranque, con cada expiración de la concesión de dirección IP asignada o cada 24 horas.

Para activar los parámetros de caducidad/borrado a nivel de zona, hay que editar las propiedades de la zona DNS haciendo clic en Caducidad… en la pestaña General:

No basta con habilitar el parámetro de borrado del servidor DNS o de las zonas para que el proceso arranque. Para ello, es preciso iniciarlo manualmente haciendo clic en Borrar registro de recursos obsoletos desde el menú contextual (haciendo clic con el botón derecho) en el servidor DNS seleccionado.

Para activar la limpieza automática de los registros obsoletos habrá que editar las propiedades del servidor DNS, pestaña Opciones avanzadas, y marcar la opción correspondiente:

Los registros DNS dinámicos se crean con una marca de tiempo. Los parámetros de caducidad/borrado se basan en esta marca de tiempo para establecer si el registro debe borrarse o no:

Los registros DNS estáticos no se crean con una marca de tiempo. En consecuencia, la opción de caducidad/borrado no podrá eliminar estos registros:

d. Reenviadores del servicio DNS Un servidor DNS se encarga de responder a los clientes DNS enviándoles la correspondencia IP / Nombre de equipo en el espacio de nombres donde tiene autoridad o en los resultados de otras búsquedas almacenadas en caché. Cuando un servidor DNS no puede encontrar correspondencias, llama a un sistema de redirección de peticiones, para que otro servidor DNS pueda ayudar a resolver la información desconocida. Este mecanismo puede utilizar dos tipos de redirección:

Los reenviadores Cuando no es posible resolver una petición DNS buscando información en el espacio de nombres configurado, el servidor DNS puede llamar a un reenviador. Un reenviador es un conjunto de servidores DNS que permiten al servidor DNS local transmitir todas sus peticiones DNS no resueltas. Si no es posible encontrar un servidor DNS disponible como reenviador, el servidor DNS local reenvía las consultas no resueltas a uno de los 13 servidores DNS raíz.

Generalmente, el administrador encargado del servidor DNS de un dominio configura los reenviadores indicando los servidores DNS del ISP (proveedor de acceso a Internet). Para acceder a este parámetro, hay que mostrar las propiedades del servidor DNS del dominio y, a continuación, seleccionar la pestaña Reenviadores. Existen también servidores DNS públicos (también llamados OpenDNS) como los famosos servidores DNS de Google cuyas direcciones IP son las siguientes: IP del DNS Google IPv4: 8.8.8.8 8.8.4.4 IP del DNS Google IPv6: 2001:4860:4860::8888 2001:4860:4860::8844 De esta forma, cuando una petición no puede resolverse, el servidor DNS del dominio transfiere la petición al servidor DNS del ISP o al que esté configurado en la pestaña Reenviadores.

Los reenviadores condicionales Los reenviadores condicionales tienen también como función transferir peticiones DNS a otros servidores DNS siempre que éstas tengan como destino un dominio en particular. De esta forma, toda petición DNS que posea el nombre de dominio configurado será siempre transferida a los

servidores DNS con autoridad sobre los registros de recursos. Para crear un redirector condicional, basta con indicar la dirección o direcciones IP de los servidores DNS del dominio de destino.

Un redirector condicional funciona de la misma forma que una zona de rutas internas a diferencia de que la configuración de los servidores DNS del dominio objetivo es estática, mientras que una zona de rutas internas actualizará de forma dinámica la lista de servidores DNS del dominio de destino. Es posible alojar un redirector condicional en una partición de directorio Active Directory (a nivel del bosque o del dominio).

e. Copia de seguridad de la configuración DNS La copia de seguridad de las zonas DNS es un aspecto importante para el administrador del sistema. En caso de siniestro, será muy importante disponer de una copia de seguridad de la configuración del servidor DNS para poder restablecer el servicio rápidamente. También se recomienda implementar una estrategia de copia de seguridad adecuada para evitar cualquier accidente. Una copia de seguridad completa del servidor basta para guardar la configuración DNS, pero también es posible guardar las zonas DNS integradas o no en Active Directory de forma individual. Las zonas DNS primarias no integradas en Active Directory se almacenan en forma de archivos en la carpeta %SYSTEMROOT%\System32\dns. Por ejemplo, la zona primaria (no integrada en Active Directory) llamada infonovice.local se copiará en el archivo infonovice.local.dns:

Realizar una copia de seguridad de las zonas primarias consistirá entonces en agregar a la directiva de copia de seguridad los archivos con extensión *.dns. Las zonas DNS integradas en Active Directory se almacenan en una partición del directorio. En otras palabras, la copia de seguridad completa de un controlador de dominio guarda a su vez las zonas DNS integradas en Active Directory. Es posible, sin embargo, almacenar una zona integrada en Active Directory por línea de comandos mediante PowerShell o Dnscmd. Copia de seguridad de una zona DNS integrada en Active Directory empleando PowerShell:

Export-DnsServerZone -Name -Filename

Copia de seguridad de una zona DNS integrada en Active Directory empleando Dnscmd: Dnscmd /ZoneExport

Los backups de las zonas de (%SYSTEMROOT%\Sytem32\dns).

DNS

se

realizan

en

el

directorio

raíz

de

DNS

4. Zonas DNS Un servidor DNS tiene como función gestionar los registros de recursos. Un recurso representa la asociación de una dirección IP y un nombre de dominio llamado FQDN (Fully Qualified Domain Name). Para albergar y gestionar mejor estos recursos, un servidor DNS almacena los registros en contenedores llamados zonas DNS. Una zona agrupa un conjunto de registros vinculados a un dominio o un espacio de nombres. Microsoft Windows Server 2012 R2 puede gestionar de forma nativa tres tipos de zona (las zonas principales, las zonas secundarias y las zonas de rutas internas), además de una zona especial llamada GlobalNames que no está disponible de manera predeterminada.

a. Zona principal Una zona principal contiene todos los registros DNS sobre los que el servidor tiene autoridad. Esta zona puede o no estar integrada en Active Directory. Una zona principal funciona en lectura o escritura, salvo si esta última está almacenada en un controlador de dominio de solo lectura (RODC: Read Only Domain Controller). Si la zona no está integrada en Active Directory, se almacenará en el servidor dentro de un archivo con la extensión *.dns en la carpeta%SYSTEMROOT%\System32\dns. Almacenar la zona principal en Active Directory asegura la actualización de los registros DNS así como la replicación nativa para todos los contralores de dominio del bosque.

b. Zona secundaria Una zona secundaria contiene una réplica de una zona principal. Una zona secundaria funciona en solo lectura. No es posible que un cliente la actualice. Para actualizarla, la zona secundaria interrogará a la zona principal para recuperar la información a actualizar. Esta zona se almacena en la carpeta %SYSTEMROOT%\System32\dns en un archivo con extensión *.dns. El inconveniente de una zona secundaria es que no puede almacenarse en una partición del directorio Active Directory. Por ello, el administrador de los servidores DNS de una empresa deberá crear en cada servidor una zona DNS secundaria que contenga un espacio de nombres de otro bosque.

c. Zona de búsqueda inversa Una zona de búsqueda inversa permite recuperar un nombre de host cuando solo se conoce su dirección IP. Por defecto, la zona de búsqueda inversa no se crea automáticamente durante la instalación del servidor DNS. Habrá que crearla y configurarla manualmente indicando la subred en la que debe crearse la zona.

d. Zona de rutas internas Una zona de rutas internas es, al igual que un reenviador condicional, un puntero que apunta a los servidores DNS de otro dominio o espacio de nombres. A diferencia de un reenviador condicional, la zona de rutas internas actualiza dinámicamente la lista de servidores DNS que tienen autoridad sobre el espacio de nombres remoto. Asimismo, se almacena una zona de rutas internas en la carpeta %SYSTEMROOT%\System32\dns en un archivo de extensión *.dns, aunque también puede estar integrada en Active Directory. Por ejemplo: el administrador del dominio infonovice.priv desea que los puestos cliente puedan resolver las peticiones destinadas al dominio oxylive.local ubicado en otro bosque. Podrá decidir crear una zona de rutas internas que tenga como objetivo reenviar todas las peticiones DNS destinadas a los servidores DNS con autoridad en el espacio de nombres oxylive.local.

e. Zona GlobalNames Una zona GlobalNames es un tipo de zona especial incorporada en Windows Server 2008. Su rol es realizar las mismas funciones que el tradicional servidor WINS (Windows Internet Name Service). Es decir, su objetivo es registrar las direcciones IP correspondientes a los nombres de equipos en formato NetBIOS y no FQDN. No es posible actualizar una zona GlobalNames dinámicamente. Solo puede almacenar registros estáticos. Por ello, la utilización de estas zonas debe limitarse a un número de equipos restringido. En cierto modo, un registro GlobalNames vuelve a crear un alias para un equipo existente declarado en una zona DNS principal. Por defecto, una zona GlobalNames no aparece en las opciones de configuración de un servidor DNS. Para emplear esta nueva funcionalidad, es preciso activarla manualmente siguiendo estas operaciones: Paso 1: abra un símbolo del sistema PowerShell haciendo clic en el icono asociado:

Paso 2: escriba el comando PowerShell siguiente para activar las zonas GlobalNames: Set-DnsServerGlobalNameZone -Enable $True -PassThru

opción PowerShell -PassThru permite ejecutar el comando GetDnsServerGlobalNameZoneal final del comando para verificar que la configuración de la La

zona GlobalNames se ha activado correctamente. También es zonaGlobalNames ejecutando el comando DNSCMD siguiente:

/EnableGlobalNamesSupport 1

posible

activar

dnscmd

una

/config

Paso 3: abra el administrador del servidor DNS:

Paso 4: haga clic con el botón derecho en el servidor y, a continuación, haga clic en Zona nueva…:

Paso 5: haga clic en Siguiente:

Paso 6: seleccione Zona principal y marque la opción Almacenar la zona en Active Directory. Haga clic en Siguiente:

Paso 7: marque la opción Para todos los servidores DNS que se ejecutan en controladores de dominio en este bosque: infonovice.priv y haga clic en Siguiente:

Paso 8: marque la opción Zona de búsqueda directa y haga clic en Siguiente:

Paso 9: escriba GlobalNames en el nombre de la zona y haga clic en Siguiente:

Paso 10: marque la opción No admitir actualizaciones dinámicas y haga clic en Siguiente:

Paso 11: haga clic en Finalizar:

Para ganar tiempo en la creación de la zona de búsqueda directa GlobalNames, podemos no utilizar la interfaz gráfica y ejecutar el siguiente comando PowerShell: Add-

DnsServerPrimaryZone -Name GlobalNames -ReplicationScope Forest

Llegados a este punto, la zona GlobalNames creada está operativa en lo sucesivo. Para probarla y verificar su funcionamiento, tendremos que realizar las operaciones siguientes: Paso 1: abra el administrador del servidor DNS:

Paso 2: despliegue el árbol del servidor para seleccionar la zona GlobalNames en la carpetaZonas de búsqueda directa:

Paso 3: haga clic con el botón derecho en GlobalNames y, a continuación, haga clic en Alias nuevo (CNAME):

Paso 4: haga clic en Examinar... para seleccionar un equipo cliente declarado en una de las zonas de búsqueda directa, escriba el nombre del alias (ejemplo: TestGlobalNames) que desea utilizar y haga clic en Aceptar:

Paso 5: abra un símbolo del sistema DOS y escriba el comando siguiente del alias GlobalNames previamente definido>: Por ejemplo

Ping TestGlobalNames:

Ping
Es posible confirmar que el alias definido en la zona GlobalNames lo resuelve correctamente cualquier host del bosque.

5. DNS y Active Directory El servicio de directorio de Microsoft funciona dentro de una red basándose en el espacio de nombres. Active Directory no puede funcionar sin el servicio DNS. Al instalar una infraestructura Active Directory, es recomendable instalar el servicio DNS integrado de Microsoft. Esto no es una regla absoluta. Es perfectamente posible utilizar un servidor DNS externo con Active Directory pero esto complica más la administración. Cuando el servicio DNS se encuentra integrado con Active Directory, el asistente de configuración va a crear automáticamente dos zonas de búsqueda directa: La zona _msdcs.: esta zona contiene los diferentes registros a escala del bosque que permiten a los equipos cliente descubrir los controladores de dominio de la red, los controladores de dominio que implementan el catálogo global, los servidores Kerberos para la autenticación o el emulador PDC. Esta zona aporta a su vez información de geolocalización. Asimismo, un usuario asignado a un sitio Active Directory remoto no tendrá ningún problema para ubicar los recursos cercanos a su sitio.

La zona que lleva el nombre del dominio Active Directory: esta zona contendrá los registros de los distintos servicios de red, como la zona _msdcs, así como los registros de los clientes DNS.

6. Seguridad del servicio DNS Como puede ver, el servidor DNS es un componente muy importante de una red. Su objetivo es resolver las solicitudes para proporcionar a los clientes la correspondencia entre nombre de dominio FQDN y dirección IP. Cada solicitud resuelta se almacena, a continuación, en la caché del servidor DNS. Por este motivo es importante tener en cuenta la seguridad de su mecanismo para evitar que un individuo malintencionado contamine el DNS (DNS Cache Poisoning) o intercepte los datos enviados por un servidor DNS. Para proteger y asegurar un servidor DNS, Microsoft pone a disposición de los administradores de sistemas las herramientas para securizar la caché y firmar, mediante criptografía, los registros DNS.

a. Securizar la caché DNS La caché DNS permite acelerar el tratamiento de peticiones DNS dentro de una red. La securización por bloqueo de caché DNS es una funcionalidad aparecida con Windows Server 2012. La función de bloqueo de caché permite prohibir la actualización de un registro ya existente. De esta forma, una persona malintencionada no podrá modificar un registro de caché para dirigir a los clientes DNS a un sitio web fraudulento. Para funcionar, esta opción se basa en la duración de un registro también llamada TTL (Time To Live). La función de bloqueo de caché permite de esta forma que un registro no sea eliminado antes de que expire su duración. Es, no obstante, posible ajustar esta opción indicando en qué momento es posible sobrescribir un registro DNS en caché mediante una actualización. La opción de bloqueo de caché está configurada de forma predeterminada con un parámetro fijo del 100%. Esto quiere decir que un registro DNS en caché no puede ser sobrescrito mientras su duración no haya expirado. Para conocer los parámetros de bloqueo de caché de un servidor DNS, basta con escribir el comando PowerShell siguiente: Get-DnsServerCache

El parámetro EnablePollutionProtection: está activo en el servidor DNS.

Trueindica que el bloqueo de cache

El parámetro LockingPercent: 100 indica en qué porcentaje, de la duración del registro, debe funcionar la característica de bloqueo de caché. Para configurar el bloqueo de caché DNS, hay que utilizar los comandos PowerShell o DnsCmd siguientes: Modificación del porcentaje de bloqueo de caché empleando PowerShell: Set-DnsServerCache -LockingPercent -PassThru

En el ejemplo anterior, se protege contra escritura, los registros de caché hasta que su duración haya llegado al 60%.

Modificación del porcentaje de bloqueo de caché empleando DnsCmd: Dnscmd /Config /CacheLockingPercent

En el ejemplo anterior, se protege contra escritura, los registros de caché hasta que su duración haya llegado al 50%.

b. Configurar el grupo de sockets DNS Para reforzar la seguridad de la caché de un servidor DNS Microsoft ha introducido la función del grupo de sockets DNS. Esta tecnología permite configurar un servidor DNS para que pueda utilizar un único puerto aleatorio disponible dentro de un intervalo de puertos y de esta forma realizar peticiones DNS. Un socket corresponde a la asociación de una dirección IP y un puerto de comunicaciones. Los equipos, para comunicarse dentro de la misma red, utilizan sockets que sirven como conectores de red. El uso de un grupo de sockets permite al servidor DNS obtener un puerto de comunicación aleatorio dentro de un intervalo de puertos dedicados. Por defecto, el grupo de sockets está disponible dese la instalación del rol de servidor DNS en Windows Server 2012 R2. Su tamaño inicial tiene un valor fijo en 2500, pero es posible ajustar este tamaño modificando el parámetro asociado de 0 a 10000. La configuración del grupo de sockets DNS contiene también una lista de exclusión que comprende un intervalo de puertos fuente que no se utilizarán.

Los parámetros vinculados al grupo de sockets DNS son los siguientes: SocketPoolSize Valor predeterminado: 2500 Valores posibles: 0 a 10000 SocketPoolExcludedPortRanges Valor predeterminado: Ninguno Valores posibles: 1 a 65535 Es posible configurar el grupo de sockets DNS empleando herramientas tales como: DnsCmd El registro de Windows Para configurar el grupo de sockets DNS empleando DnsCmd: Escriba el comando siguiente para verificar los parámetros del grupo de sockets: dnscmd /Info /SocketPoolSize Escriba el comando siguiente para configurar el tamaño del grupo de sockets: dnscmd /Config/SocketPoolSize Escriba el comando siguiente para configurar la lista de exclusión del grupo de sockets: dnscmd /Config/SocketPoolExcludedPortRange Para configurar el grupo de sockets DNS empleando el registro de Windows: Ubicación de la configuración asociada al grupo de sockets: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters Cree la clave REG_DWORD: SocketPoolSize Tipo de clave: Valor DWORD 32 bits Base: Decimal Ejemplo de valor: 5600 Cree la clave REG_MULTI_SZ: SocketPoolExcludedPortRanges Tipo de clave: Valor de cadena múltiple Ejemplo de valor: 4500-5500

c. Implementar DNSSEC La seguridad del servicio DNS no se limita solo a su caché. El conjunto de solicitudes enviadas por un servidor DNS a sus clientes es también vulnerable. Para proteger este flujo de datos, es posible

implementar DNSSEC (Domain Name System Security Extension), un protocolo estandarizado por la IETF que ha llegado con Windows Server 2012 (esta funcionalidad existía previamente en Microsoft Windows Server 2008 R2 pero se ha visto mejorada con Windows Server 2012). Esta funcionalidad aporta un nivel de seguridad adicional permitiendo la firma digital de una zona. Para firmar una zona DNS, bastará con mostrar el menú contextual de una zona y hacer clic en DNSSEC / Firmar la zona:

Cuando una zona ha sido firmada por DNSSEC, las peticiones DNS enviadas como respuesta a los clientes dispondrán de una clave cifrada que certifica que la información proporcionada es correcta y no se ha visto alterada por una persona malintencionada.

1.

Un usuario desea acceder al sitio web http://infonovice.es. El equipo cliente emite entonces una solicitud destinada a un servidor DNS para recuperar la dirección IP del sitio Web.

2.

El registro para el dominio infonovice.es figura en el servidor DNS en una zona firmada por DNSSEC. El servidor DNS reenvía entonces la dirección IP solicitada con la firma digital que garantiza que la dirección IP asociada al nombre de dominio infonovice.es es correcta.

3.

El equipo cliente emplea la clave pública contenida en la firma digital y la presenta al servidor para descifrar y autenticar la información recibida después de comparar la clave privada. El usuario puede en adelante acceder al sitio web http://infonovice.es estando seguro de que accede al sitio web correcto.

Cuando un servidor DNS no cuenta con la autoridad para el registro solicitado esto le lleva a hacer una búsqueda recursiva para consultar otros servidores DNS, la implementación de DNSSEC permite garantizar la integridad de los datos recibidos por otros servidores DNS. Cuando una zona DNS está firmada digitalmente, todos los registros DNS de la zona se firman automáticamente. Cada registro de recursos del servidor DNS firmado por DNSSEC se verá completado por un nuevo registro llamado RRSIG (Resource Record SIGnature). Este registro

contendrá la firma asociada al registro DNS original. Si es necesario actualizar un registro ya firmado por DNSSEC, es imperativo firmar el nuevo registro después de la modificación. La firma de una zona crea una clave privada en el servidor y luego almacena una clave pública en cada registro de recurso (como para una infraestructura PKI con una asociación de claves públicas/privadas). Este proceso permite a su vez, a los clientes, verificar una respuesta recibida comparando la clave pública con la clave privada del servidor DNS. Para que un equipo cliente verifique las respuestas aportadas por un servidor DNS hay que configurar su tabla de resolución de nombres (NRPT, Name Resolution Policy Table). Una tabla NRPT contiene el conjunto de reglas de gestión que definen la manera en que un equipo cliente debe validar las respuestas a peticiones DNS. La configuración de este parámetro en el conjunto de los equipos cliente de un dominio se puede hacer empleando una GPO (Group Policy Object, u objeto de directiva de grupo).

Por defecto, al firmar una zona, el servidor DNS sobre el que se realiza la operación se convierte en el maestro de claves. Esto quiere decir que el servidor DNS realizará la gestión de las claves de cifrado de la zona. Los equipos cliente que deseen resolver una respuesta de petición DNS firmada deben poseer la clave pública de la firma digital. Para recuperar esta clave pública, los equipos cliente podrán hacer una llamada al nuevo registro DNS llamado DNSKEY. Este registro permite publicar la clave pública necesaria para descifrar un registro firmado. La clave privada KSK (Key Signing Key) es una clave de autenticación que permite, como su nombre indica, firmar otras claves encargadas de firmar una zona. La clave privada ZSK (Zone Signing Key) es una clave de autenticación que permite, como su nombre indica, firmar los registros de una zona. Los registros NSEC (Next Secure): cuando un cliente DNS hace una petición para resolver un nombre de recurso no existente en el dominio, el servidor DNS no puede firmar la respuesta para un registro inexistente. Por ello, se emplean los registros NSEC, que permiten firmar las respuestas realizadas para los registros de recursos que no existen. La firma de estas respuestas sin seguimiento permite certificar a un cliente que el registro de recursos buscado no existe. El aspecto negativo de este registro, es que permite la enumeración de los dominios padres. Si un cliente hace una petición a un nombre de dominio no existente, el registro NSEC creado de esta forma, empleando un registro RRSIG, deja aparecer sistemáticamente el nombre del dominio padre y así sucesivamente. Esto puede causar un fallo de seguridad cuando no deseamos que un cliente pueda enumerar la totalidad de los dominios de una infraestructura. Por este motivo se han creado los registros NSEC3, con el fin de corregir este fallo de seguridad. Los registros NSEC3 (Next Secure 3) permiten, al igual que los registros NSEC, firmar las respuestas de registro no existentes en la zona DNS. La diferencia estriba en el hecho de que este registro no permite numerar los dominios padre mediante un sistema de cifrado que permite presentar al cliente solo una parte de la información solicitada. Para que una infraestructura DNSSEC esté operativa, es necesario que un servidor establezca relaciones de confianza con el conjunto de servidores DNS que la componen. Para ello, empleamos un procedimiento llamado Anclaje de veracidad (Trust Anchor). Un anclaje de veracidad define los

servidores o entidades aprobados empleando un registro DNS del tipo DNSKEY o DS que indica dónde se encuentra la clave pública. Los anclajes de veracidad se guardan en las zonas especiales, almacenadas en el archivo de configuración TrustAnchors.dns. Los anclajes de veracidad pueden crearse en la carpeta Puntos de confianza del árbol de la consola DNS.

7. Administración del servicio DNS mediante Windows PowerShell La consola gráfica permite administrar la mayoría de las funciones de DNS. Esta gestión manual puede resultar muy engorrosa en grandes infraestructuras. Para facilitar ciertas tareas de administración, es posible utilizar PowerShell v4 para gestionar las funcionalidades del servicio DNS (siempre es posible administrar un servidor DNS empleando comandos DnsCmd). Mostrar los parámetros de configuración del servidor DNS: Get-DnsServer Crear una zona de búsqueda directa integrada en Active Directory: Replicada en el conjunto de controladores de dominio del bosque: Add-DnsServerPrimaryZone -Name -ReplicationScope Forest Replicada en el conjunto de controladores de dominio del dominio: Add-DnsServerPrimaryZone -Name -ReplicationScope Domain Crear una zona de búsqueda inversa: Add-DnsServerPrimaryZone 0.168.192.in-addr.arpa -ZoneFile 0.168.192.in-addr.arpa.dns

Servicio DHCP DHCP (Dynamic Host Configuration Protocol) es un protocolo de red encargado de distribuir las direcciones IP a los clientes que lo solicitan. Se presenta como un rol de servidor que proporciona un servicio importante en el núcleo de una infraestructura informática basado en el protocolo Ipv4 (DHCPv4) o (DHCPv6).

1. Presentación del servicio DHCP Cuando se instala un equipo en una red, éste no posee una dirección IP por defecto para comunicarse. La tarjeta de red se configura en modo dinámico para recibir automáticamente una configuración de red mediante un servidor dedicado a la distribución de direcciones IP (servidor DHCP). El rol de un servidor DHCP es el de distribuir la dirección de red adecuada para que los clientes que lo soliciten puedan comunicarse. Generalmente, un servidor DHCP proporciona los elementos de configuración de red tales como la dirección IP, la puerta de enlace predeterminada, la máscara de subred, el sufijo DNS del dominio, la dirección IP de los servidores WINS y DNS. Si un puesto cliente no está configurado de forma dinámica, habrá que configurar manualmente la dirección IP así como las distintas opciones de configuración de red que le permiten comunicarse. Esta operación manual permite configurar una dirección IP en modo estático. Si opta por emplear direcciones IP estáticas para el conjunto de sus equipos, las acciones repetitivas y manuales de la configuración de las tarjetas de red son susceptibles de generar errores humanos. La implementación de un servidor DHCP dentro de una red permite centralizar la configuración IP y, de esta manera, limitar los riesgos debidos a errores de configuración. Mediante esta herramienta de administración será posible difundir automáticamente los cambios de configuración de red al implementar actualizaciones al conjunto de los equipos cliente. Los clientes DHCP pueden ser de diferentes tipos. Todo periférico susceptible de comunicarse a través de una red es un cliente potencial de DHCP. Los principales dispositivos DHCP que lo emplean con mayor frecuencia son: un smartphone (Wi-Fi), una impresora (Ethernet o Wi-Fi), una televisión conectada (Ethernet o Wi-Fi), un ordenador (Ethernet o Wi-Fi), una consola de videojuegos (Ethernet o Wi-Fi), un servidor, etc. Los sistemas operativos integran un cliente DHCP, versión 4 o 6 (el cliente DHCPv6 está incluido a partir de Windows Vista), para poder contactar con un servidor DHCP. El rol de servidor DHCP (disponible en una instalación completa de Windows o en un servidor Core) puede implementarse en un servidor independiente del dominio (Standalone), en un servidor miembro de un dominio, o en un controlador de dominio. Sin embargo, un servidor DHCP instalado dentro de un dominio, Active Directory o no, debe estar autorizado antes de poder distribuir direcciones IP en un dominio. Si un administrador olvida autorizar un servidor DHCP, no podrá distribuir las direcciones IP dentro de un dominio Active Directory.

2. Administración del servidor DHCP Durante la instalación del rol Servidor DHCP, se crea un servicio Windows llamado Servidor DHCPcon arranque automático. Este servicio se encargará de distribuir a los clientes su configuración de red.

La instalación del rol DHCP se sistema:%SYSTEMROOT%\System32\dhcp\

realiza

en

la

siguiente

carpeta

de

Esta carpeta de instalación contendrá los elementos siguientes: La base de datos del servidor DHCP situada ubicación:%SYSTEMROOT%\System32\dhcp\dhcp.mdb

en

la

siguiente

Los registros del servidor DHCP tienen la extensión *.log. El archivo j50.log es un archivo que contiene el registro de transacciones. El archivo j50.chk es transaccionesj50.log.

un

archivo

de

control

que

funciona

con

el

registro

de

El archivo tmp.edb es un archivo que almacena los datos temporales. La carpeta de copia de seguridad de los archivos de la configuración de DHCP se llamaBackup.

El proceso de instalación del rol de servidor copiará a su vez el complemento llamado DHCP, disponible en las herramientas administrativas o una nueva MMC. También es posible instalar estas consolas en un servidor que no cuente con el componente DNS, o en un puesto cliente como Windows 8.1 instalando las herramientas de administración RSAT (Remote Server Administration Tools). Para llamar a esta consola, también podemos escribir el comando dhcpmgmt.msc.

Es posible, también, hacer clic en el botón DHCP de la pantalla de inicio de Windows Server 2012 R2:

Es posible administrar un servidor DHCP mediante la consola gráfica (MMC) o por línea de comandos Netsh o PowerShell.

3. Funcionamiento del servicio DHCP Las direcciones IP proporcionadas por un servidor DHCP se asignan durante una duración limitada llamada concesión (Lease Time). Al igual que un contrato de alquiler de un apartamento, una concesión corresponde a la duración que permite a un cliente conservar la dirección IP asignada. De manera predeterminada, una concesión está configurada para una duración de 8 días. Si un equipo itinerante obtiene una dirección IP y no vuelve a conectarse a la red hasta la expiración de la concesión, la dirección IP asignada podrá redistribuirse a otro equipo. Cuando una concesión alcance el 50% de su duración, el cliente DHCP hará una solicitud de renovación automática. La concesión se renueva, además, al reiniciar el sistema operativo de manera predeterminada. Por consiguiente, un cliente DHCP que se mantiene conectado a la red está seguro de conservar la misma dirección IP. Un servidor DHCP está configurado para escuchar las peticiones de cliente en el puerto 67.

a. Principio de asignación de una dirección IP IPv4 Para obtener una dirección IP, un equipo cliente que utilice el protocolo de red IPv4 efectuará las siguientes acciones:

1.

El equipo cliente envía una solicitud de difusión (Broadcast) con destino a un servidor DHCP disponible en la red (en el puerto 67 del servidor DHCP). El mensaje enviado contiene la dirección MAC del equipo solicitante. Esta petición se llama DHCP-DISCOVER (descubrimiento) y, como su nombre indica, tiene como objetivo descubrir los servidores DHCP en una red.

2.

Los servidores DHCP (cuyo rango de direcciones IP les permite distribuir direcciones en la red) que hayan recibido el mensaje responden del mismo modo empleando una petición de difusión (en el puerto 68 del equipo cliente). La respuesta enviada contiene la dirección MAC del equipo cliente solicitante, la dirección IP del servidor DHCP, así como una dirección IP y una máscara de subred propuestas al cliente. Solo el equipo cuya dirección MAC se encuentra en esta petición responderá. Esta respuesta se llama DHCP-OFFER (oferta) y, como su nombre indica, tiene como objetivo ofrecer una configuración IP al equipo cliente solicitante.

3.

El equipo cliente recibe todas las peticiones entrantes y, a continuación, responde enviando una nueva petición de difusión. Esta petición contiene la dirección IP del servidor DHCP que haya respondido primero, así como la configuración IP propuesta. Esta petición se llama DHCP-REQUEST (solicitud), y tiene como objetivo configurar la información de configuración propuesta y aceptar la concesión. Los otros servidores DHCP que intercepten esta petición comprenderán que no está dirigida a ellos si su dirección IP no se encuentra en el contenido del mensaje.

4.

El servidor DHCP seleccionado responde al equipo cliente con un datagrama de acuse de recibo. Contiene la información de configuración de red además de la concesión asignada. En este punto, el servidor DHCP escribe la información de la concesión en su base de datos para no volver a proporcionar la dirección IP distribuida. Este datagrama se llama DHCP-ACK (ACKnowledgement of Receipt, acuse de recibo). El equipo cliente podrá en adelante comunicarse en la red.

Un cliente DHCP Windows registrará por defecto su nombre de host en el servidor DNS asociado a su configuración IP y el servidor DHCP registrará el PTR (Pointer Records, registro de puntero) del equipo cliente en el servidor DNS. Cada cliente Windows tendrá en las propiedades de la conexión de red, un parámetro que indica que el cliente es responsable de registrarse en el servidor DNS.

Cuando la concesión asignada expira, el servidor DNS no borra automáticamente el registro DNS asociado al equipo cliente. Se puede configurar un servidor DHCP para que gestione el registro de los nombres de host y los PTR así como la eliminación de los registros DNS cuando las concesiones han caducado. Bastará con añadir la opción 081 en la configuración del servidor DHCP para que este último pueda registrar los nombres de host A y los registros PTR.

b. Principio de asignación de una dirección IP en IPv6 Todas las tarjetas de red cliente emplean de forma predeterminada el protocolo de red IPv6, configurando una dirección local llamada Link local. Esta dirección, equivalente a las direcciones APIPA en el protocolo IPv4, permite comunicar con otros equipos ubicados en la misma red local. Esta dirección de enlace local no es direccionable desde el exterior de la red.

Con la aparición del protocolo IPv6, las peticiones de difusión ya no se utilizan, dando paso a otros mecanismos de descubrimiento en la red. A diferencia del protocolo IPv4 que emplea las peticiones de descubrimiento para localizar un servidor DHCP, el protocolo IPv6 puede llamar a otro protocolo de red como NDP (Neighbor Discovery Protocol, protocolo de descubrimiento de vecinos). Este protocolo será el encargado de localizar los diferentes hosts de la red local, en particular los routers. Un servidor DHCP ya no es un componente indispensable para que un cliente que emplee el protocolo IPv6 pueda comunicarse. Se trata ahora de un proceso de autoconfiguración. Un servidor DHCPv6 tiene en cuenta dos tipos de proceso de autoconfiguración en Windows Server 2012. La autoconfiguración con estado (Stateful Configuration): En este modo, el servidor DHCPv6 se encargará de proporcionar a los clientes que realicen una solicitud toda la información de configuración de las interfaces de red (dirección IPv6, máscara de subred, servidores DNS, puerta de enlace, etc.). La autoconfiguración sin estado (Stateless Configuration): En este modo, el servidor DHCPv6 se encargará solamente de distribuir las opciones de configuración suplementarias a los clientes DHCPv6, y no las direcciones IP y la información de direccionamiento. Los clientes DHCPv6 contactarán con un router compatible IPv6 para recuperar el ID de red, la máscara de subred y la puerta de enlace. Estos elementos distribuidos por el router permitirán al equipo cliente DHCPv6 construir los 64 primeros bits de la dirección IPv6. Para configurar y generar automáticamente los 64 bits restantes de la dirección IPv6 el cliente utilizará un algoritmo basado en la dirección MAC. Por defecto, un equipo cliente que utilice el protocolo IPv6 empezará configurando su interfaz de red sin estado (Stateless mode) y tratará de contactar con un router. Si no hay ningún router que proporcione información de comunicación de red IPv6, la interfaz de red procederá entonces a realizar una autoconfiguración con estado (Stateful mode) conectando con un servidor DHCPv6. Un servidor DHCPv6 puede, también, proporcionar direcciones IP globales. Estas direcciones globales están consideradas como direcciones IP públicas en IPv4. Para distribuir este tipo de dirección IP hay que comprar un bloque de direcciones IPv6 a través de un organismo regional o de registro Internet.

4. Opciones de configuración del servicio DHCP Durante la instalación del servicio DHCP en un servidor, éste ofrece la configuración de un ámbito para los protocolos IPv4 y IPv6:

Para cada protocolo es posible configurar las siguientes opciones: Los ámbitos DHCP: esta opción de configuración permite crear un rango de direcciones IP asociado a una subred. Cada equipo que realice una petición de dirección IP dinámica recibirá una dirección perteneciente al ámbito configurado. Un ámbito se define mediante un nombre, una descripción, un rango de direcciones IP a distribuir y una subred. Un ámbito puede, también, definir un rango de direcciones IP excluidas del rango a distribuir a los clientes, una duración de concesión, al igual que las opciones DHCP. Un único servidor DHCP puede poseer varios ámbitos, pero el servidor DHCP debe estar conectado a cada subred y disponer de un agente de retransmisión DHCP instalado para poder acceder a las demás subredes. Un ámbito DHCP permite centralizar los parámetros de configuración de red de un equipo cliente. Para crear un nuevo ámbito hay que hacer clic con el botón derecho en el protocolo a configurar y, a continuación, en el menú contextual hacer clic en Ámbito nuevo...:

Un ámbito DHCP posee las siguientes opciones de configuración:

Conjunto de direcciones: el conjunto de direcciones indica el rango de direcciones disponibles para el ámbito DHCP seleccionado. Este grupo se caracteriza por una Dirección IP inicial y una Dirección IP final. Cada equipo cliente que solicita una dirección IP dinámica podrá obtener una IP incluida en este rango de direcciones:

Concesiones de direcciones: las concesiones indican la lista de equipos cliente que han obtenido una dirección IP. En esta vista, será también posible ver el detalle de cada concesión concedida, como la dirección IP asignada, el nombre del equipo cliente y la fecha de expiración.

Reservas: la reserva permite asignar siempre a un cliente la misma dirección IP. Para ver un ejemplo concreto de este uso específico, permite a un cliente albergar un servicio como un

sitio web, accesible permanentemente en la misma IP. Por lo tanto, si el servicio es accesible desde el exterior, no habrá ningún problema para hacer una traducción de puertos (NAT) en el firewall. Para realizar una reserva de dirección IP debemos indicar la dirección IP a reservar así como la dirección MAC del equipo cliente al que se le asignará.

Opciones de ámbito: las opciones de ámbito permiten indicar la información de configuración de red que un equipo cliente podrá obtener. Por defecto, los clientes DHCP obtienen las siguientes opciones de ámbito: Enrutador, Servidores DNS y Nombre de Dominio DNS:

Para agregar nuevas opciones al ámbito, bastará con hacer clic con el botón derecho enOpciones de ámbito y, a continuación, hacer clic en Configurar opciones....

Directivas: las directivas permiten asignar una dirección IP a un equipo cliente en función de ciertos criterios tales como su dirección MAC, su clase de proveedor o usuario, su identificador o información de agente de retransmisión:

Si la directiva cumple el conjunto de condiciones, el equipo cliente podrá obtener una dirección IP. Existen sin embargo otros dos tipos de ámbito:

Los superámbitos: permiten agrupar dos o más ámbitos existentes en servidor DHCP dentro

del mismo nombre. Un superámbito agrupa, en este caso, una colección de ámbitos del servidor DHCP.

Los ámbitos de multidifusión: este ámbito comprende un rango de direcciones IP de multidifusión (Multicast), es decir de clase D del tipo 224.0.0.0 a 239.255.255.255 (224.0.0.0/4). Las aplicaciones que necesitan una dirección IP de este ámbito deben ser compatibles con multicast mediante la API MADCAP (por ejemplo: WDS (Windows Deployment Services) es compatible con Multicast).

Por defecto, la concesión asignada a un puesto cliente multidifusión es de 30 días. Las Opciones del servidor: además de asignar una dirección IP a un cliente, el servidor DHCP permite distribuir varios parámetros de configuración de red tales como la puerta de enlace predeterminada, la IP del servidor DNS, el sufijo DNS del dominio, los servidores WINS, etc. Es posible asignar los parámetros a todos los ámbitos o únicamente a los ámbitos especificados mediante filtros. También es posible utilizar filtros para aplicar parámetros a los clientes que tengan reservas de direcciones IP específicas.

Los Filtros: permiten autorizar o denegar la atribución de una dirección IP a un equipo cliente en función de su dirección MAC. Si los filtros por dirección MAC están activos dentro del servidor DHCP, solo los equipos cuyas direcciones MAC figuren en la lista de los clientes autorizados podrán utilizar los servicios ofrecidos por el servidor DHCP.

El servicio DHCP en Microsoft Windows Server 2012 R2 ofrece las siguientes funcionalidades aparecidas con Windows Server 2012: La Protección de nombres: permite proteger los registros DNS de los clientes DHCP. En la práctica, un equipo cliente no Windows puede registrar su nombre de host en un servidor DNS no seguro. Si el nombre ya existe, se sobrescribe con la nueva información. Para evitarlo, la función de protección de nombres puede funcionar de forma tal que sea el servidor DHCP

quien realice los registros A y PTR de los clientes DHCP. Si el nombre de host ya existe en el servidor DNS seguro, la actualización no tendrá lugar. Para hacer funcionar la opción Protección de nombres, el servidor DHCP utiliza un registro llamado DHCID (Dynamic Host Configuration IDentifier). Este registro adicional contiene la información de un host que haya hecho una solicitud de dirección IP antes de que el servidor DHCP se haya registrado en el servidor DNS. Cuando se hace una nueva solicitud de dirección IP, el servidor DHCP interroga al servidor DNS para saber si el registro DHCID se corresponde con un nombre ya registrado. Si el nombre de host existe, el servidor DHCP puede rápidamente identificar si se trata de la máquina original que creó el DHCID o no. Si no fuera el caso, el registro DNS no se sobrescribirá. La protección de nombres DHCP es válida para los protocolos IPv4 e IPv6. Este último puede activarse a nivel del nodo del protocolo correspondiente en la consola DHCP o a nivel de un ámbito. Para que la función de Protección de nombres funcione, hace falta que la actualización dinámica esté habilitada en el servidor DNS.

Los Ámbitos divididos (Split-mode): permiten dividir un ámbito DHCP para que sea gestionado por dos servidores DHCP diferentes. Para hacer esto, el servidor DHCP sobre el que ejecutamos la operación conservará el ámbito a gestionar y, a continuación, creará un ámbito de exclusión con las direcciones IP que gestionará el segundo servidor DHCP. En el segundo servidor DHCP, el ámbito principal se configurará como ámbito de exclusión y el ámbito previamente excluido se configurará como un ámbito gestionado por el segundo servidor DHCP. Esta función tiene como objetivo aumentar la tolerancia a fallos.

5. Administración del servicio DHCP mediante Windows PowerShell En las anteriores versiones de Windows Server, los administradores empleaban las líneas de comandos netsh para administrar un servidor DHCP. A partir de Windows Server 2012 es posible gestionar un servidor DHCP empleando las 105 líneas de comandos Windows PowerShell. Con la llegada de Windows Server 2012 R2, Microsoft ha agregado o mejorado cerca de una veintena de comandos adicionales. Para obtener más us/library/jj590751.aspx

información

visite

6. Alta disponibilidad del servicio DHCP

el

sitio:

http://technet.microsoft.com/en-

Si el servidor DHCP de una infraestructura de red no responde, ningún equipo cliente DHCP nuevo podrá recibir una dirección IP para comunicarse. Los equipos cliente que ya cuenten con una concesión no la podrán renovar. Por ello resulta útil implementar una solución de alta disponibilidad en un servidor DHCP. La opción de conmutación por error del servicio DHCP en caso de error es una nueva característica de Windows Server 2012. En Windows Server 2012 R2, la alta disponibilidad del servidor DHCP funciona con dos servidores DHCP que sincronizarán sus concesiones de direcciones IP. Esta funcionalidad de conmutación automática solo funciona con el protocolo IPv4. La funcionalidad de conmutación automática por error del servicio DHCP es sensible a la sincronización horaria. Para que el proceso de sincronización funcione, los dos servidores DHCP no deben tener más de un minuto de desfase en su configuración horaria.

La función de conmutación automática por error puede funcionar en dos modos de configuración diferentes: Espera activa y Equilibrio de carga. El modo Espera activa: en este modo, es el primer servidor DHCP quien distribuye las direcciones IP a los clientes mientras que el segundo servidor solo interviene si el primer servidor deja de responder. El primer servidor DHCP tiene en cuenta la distribución del 95% de las direcciones IP presentes en el ámbito y el segundo toma el 5% restante. Cuando el primer servidor no responde, el servidor secundario se hace cargo para entregar las direcciones IP en el grupo de direcciones IP 5% a su cargo. Cuando se termina el 5% de las direcciones del grupo de direcciones IP, el segundo servidor gestiona entonces el 100% del grupo de direcciones. Por defecto, si el servidor DHCP principal está fuera de línea más de una hora, el segundo servidor DHCP toma el control del rango completo de direcciones IP. Es posible modificar este valor predeterminado modificando la opción Plazo máximo para clientes o MCLT (Maximum Client Lead Time). El modo Equilibrio de carga: en este modo, los servidores DHCP configurados garantizan cada uno el 50% de la distribución de las direcciones del ámbito. Cuando uno de los servidores falla, el servidor DHCP restante proporciona el 100% de la distribución de las direcciones IP del ámbito. Se puede ajustar el porcentaje de gestión de las IP en los dos servidores (por ejemplo un 80% para el primer servidor DHCP y un 20% para el segundo). En una infraestructura DHCP con alta disponibilidad, el servicio empleará el puerto TCP 647 para escuchar el tráfico proveniente del segundo servidor. Al activar esta funcionalidad, el servicio DHCP creará automáticamente dos reglas de entrada/salida en el firewall para autorizar la escucha en los puertos TCP. Para implementar esta funcionalidad, bastará con hacer clic con el botón derecho en el ámbito a cubrir y, a continuación, hacer clic en Configurar conmutación por error. Por último, será necesario asignar un servidor asociado para la sincronización de las concesiones de direcciones IP:

7. Copia de seguridad y restauración del servicio DHCP El rol DHCP posee dos tipos de copia de seguridad: manual o automática.

El conjunto de la configuración del servidor DHCP se copiará durante el tiempo de ejecución del mecanismo de copia de seguridad (las concesiones, los ámbitos, etc.). Las copias de seguridad de la configuración DHCP se almacenan de forma predeterminada en la carpeta %SYSTEMROOT%\System32\dhcp\backup.

Es importante no olvidar, en una estrategia de copia de seguridad de un servidor, seleccionar la carpeta de instalación de DHCP para poder efectuar una restauración en caso de fallo.

a. Copia de seguridad automática Esta última está planificada cada 60 minutos. En función de las necesidades de una infraestructura, es también posible modificar la planificación por defecto modificando la clave del registro siguiente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\ Parameters\BackupInterval

Cada nueva copia de seguridad automática sobrescribe sistemáticamente la anterior.

b. Copia de seguridad manual La copia de seguridad manual se realiza empleando la consola de administración MMC (Microsoft Management Console) de DHCP seleccionando el servidor a copiar y, a continuación, haciendo clic en el menú Acción y en Copia de seguridad.

Deberá tener precaución y no guardar nunca la configuración de DHCP mediante una copia de seguridad manual en la carpeta de backup por defecto, con el riesgo de ver su copia sobrescrita por la planificación automática.

c. Restauración La restauración de la configuración de un servidor DHCP se realiza empleando el archivo de base de datos dhcp.mdb previamente guardado. En la consola de administración MMC, bastará con hacer clic en el menú Acción y, a continuación, en Restaurar. Una vez restaurada la base de datos el administrador recuperará la configuración de sus ámbitos y otras opciones de su servidor DHCP tal y como se había guardado antes del accidente.

IPAM Un administrador de sistemas y redes debe manejar y conocer sus equipos como la palma de su mano. Para hacer esto, empleará diferentes herramientas que le permitirán inventariar y gestionar su red, su parque de hardware y su software. La gestión de direcciones IP empleando IPAM (IP Address Management) es una nueva característica de servidor integrada a partir de Microsoft Windows Server 2012.

1. Presentación del servidor IPAM IPAM es una característica que permite inventariar y gestionar las direcciones IP utilizadas en su infraestructura de red (compatible con IPv4 e IPv6). IPAM permite a su vez gestionar los roles de servidores DNS y DHCP desde una única consola de administración. Gracias a este componente, será más fácil gestionar grandes arquitecturas de red, ya que IPAM aporta soluciones para las siguientes necesidades: Realizar un inventario automático de los servicios de red. Recopilar información sobre los controladores de dominio. Centralizar la gestión de los servicios de red DNS, DHCP, NPS (Network Policy Server) y Active Directory. Supervisar el uso y la asignación de direcciones IP. Generar informes personalizados sobre la utilización de los recursos. Realizar auditorías sobre los cambios en la configuración. Un servidor de gestión de direcciones IPAM puede implementarse de tres formas diferentes: Distribuido: un servidor IPAM en cada sitio del bosque Active Directory. Centralizado: un servidor IPAM para la totalidad del bosque Active Directory. Híbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del bosque Active Directory. Un servidor IPAM posee las siguientes características: Gestión de un único bosque Active Directory. Gestión de 150 servidores DHCP con 6000 ámbitos configurados. Gestión de 500 servidores DNS con 150 zonas configuradas. Gestión de direcciones IPv4 e IPv6. La base de datos IPAM debe purgarse manualmente porque no existen parámetros para configurar una limpieza automática.

2. Administración del servidor IPAM Después de la instalación de la funcionalidad de servidor de administración de direcciones IP (IPAM), aparece una nueva pestaña IPAM en el panel de la consola Administrador del servidor:

IPAM puede gestionarse mediante la interfaz gráfica del Administrador del servidor o por línea de comandos Windows PowerShell. Con Windows Server 2012 R2, Microsoft ha agregado 55 nuevos comandos PowerShell para mejorar la gestión y administración de un servidor IPAM.

Para obtener más información puede consultar el vínculo siguiente:http://technet.microsoft.com/library/jj553807.aspx La instalación de la funcionalidad de siguiente:%SYSTEMROOT%\System32\ipam\

servidor

(IPAM)

se

hace

en

la

carpeta

de

sistema

Esta carpeta de instalación contendrá los elementos siguientes:

La carpeta de almacenamiento de los registros de auditoría está situada en la siguiente ubicación: %SYSTEMROOT%\System32\ipam\Auditlogs La carpeta de almacenamiento de la base de datos está situada en la siguiente ubicación:%SYSTEMROOT%\System32\ipam\Database

La base de datos IPAM está almacenada bajo el nombre ipam.mdf, acompañada del archivo de registro de transacciones llamado ipam_log.ldf.

El proceso de instalación de IPAM creará automáticamente las reglas de firewall para autorizar al servidor IPAM a comunicarse con los clientes empleando el puerto de comunicaciones 48885. Para ello, se crearán en el firewall las dos reglas siguientes: Regla de firewall para tráfico entrante: Servidor IPAM (TCP de entrada)

Regla de firewall para tráfico saliente: Servidor IPAM (TCP de salida)

El proceso de instalación de IPAM creará también los elementos siguientes: Las GPO para configurar los servicios DNS, DHCP y NPS:

Los grupos de seguridad para la gestión de IPAM (creados localmente en el servidor IPAM):

3. Instalar y configurar la gestión de direcciones IPAM La instalación de un servidor de administración de direcciones IP necesita sin embargo los siguientes requisitos previos: IPAM necesita un servidor dedicado que no debe ser controlador de dominio. El servidor seleccionado debe ser miembro del dominio infonovice.priv. Necesita al menos un procesador de doble núcleo a 2 GHz. Se necesitan al menos 4 GB de RAM (Random Access Memory). Necesita al menos 80 GB de espacio en disco. El servidor IPAM debe ser miembro de un dominio (pero no controlador de dominio). Se debe utilizar solamente una cuenta de administración del dominio (y no una cuenta local). Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se cumplan los siguientes requisitos previos: Instalación del Service Pack 2. Instalación del componente .NET Framework 3.0 Beta y 4.0 Full. Instalación del paquete Windows Management Framework Core. WinRM (Windows Remote Management) debe estar activado.

Instalar la funcionalidad de servidor IPAM Paso 1: abra una sesión en el servidor IPAM-01 y abra la consola Administrador del servidor. Paso 2: haga clic en Agregar roles y características y agregue la característica de servidorServidor de administración de direcciones IP (IPAM), a continuación haga clic en Siguiente:

Paso 3: haga clic en Instalar. Paso 4: haga clic en Cerrar al terminar la instalación de IPAM. Paso 5: en la consola Administrador del servidor, en el panel derecho, haga clic en la secciónIPAM. Paso 6: haga clic en Aprovisionar el servidor IPAM:

Paso 7: en la ventana Aprovisionar IPAM, haga clic en Siguiente. Paso 8: seleccione el método de aprovisionamiento Basado en la directiva de grupo, escriba el prefijo GPO-IPAM y haga clic en Siguiente:

Paso 9: verifique los parámetros de configuración y, a continuación, haga clic en Aplicar:

Paso 10: haga clic en Cerrar cuando el aprovisionamiento se haya efectuado correctamente. Paso 11: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga clic en Configurar detección de servidores:

Paso 12: haga clic en el botón Agregar para agregar el dominio infonovice.priv en la lista de dominios a descubrir. Paso 13: verifique que los servicios Controlador de dominio, Servidor DHCP y Servidor DNSestán correctamente marcados y, a continuación, haga clic en Aceptar. Paso 14: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga clic en Iniciar detección de servidores:

Paso 15: una banda amarilla aparece durante la ejecución del descubrimiento de servidores. Haga clic en Más para ver el detalle de la tarea, a continuación cierre la ventana de detalle cuando la etapa indique que el descubrimiento de servidores se ha Completado. Paso 16: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga clic en Seleccionar o agregar servidores para administrar y comprobar el acceso de IPAM. Paso 17: los servidores descubiertos anteriormente aparecen en la sección INVENTARIO DE SERVIDOR con un Estado de acceso IPAM Bloqueado y un Estado de manejabilidad Sin especificar.

Paso 18: abra un símbolo del sistema PowerShell en el servidor IPAM como administrador y, a continuación, escriba el siguiente comando: Invoke-IpamGpoProvisioning -Domain infonovice.priv -GpoPrefixName GPO-IPAM -IpamServerFqdn IPAM-01.infonovice.priv A continuación, valide escribiendo: s

Esta acción tendrá como resultado crear las GPO del grupo en el dominio infonovice.priv.

Paso 19: abra una sesión en el controlador de dominio DC-01, abra la consola de Administración de directivas de grupo. En el árbol de consola, deberá ver aparecer las tres GPO siguientes en la raíz del dominio: GPO-IPAM_DC_NPS GPO-IPAM_DHCP GPO-IPAM_DNS

Paso 20: abra una sesión en el servidor IPAM-01 para navegar en la consola Administrador del servidor IPAM y, a continuación, INVENTARIO DE SERVIDOR. Haga clic con el botón derecho en el servidor DC-01 y, a continuación, haga clic en Editar servidor.... Paso 21: en la sección Estado de capacidad de administración, seleccione Administrado y haga clic en Aceptar.

Repita las operaciones 20-21 en el servidor DC-02.

Paso 22: cambie al servidor DC-01, abra un símbolo del sistema DOS como administrador y escriba gpupdate /force. Paso 23: cambie al servidor DC-02, abra un símbolo del sistema DOS como administrador y escriba gpupdate /force. Las etapas 22 y 23 tienen como objetivo aplicar las directivas de grupo creadas previamente.

Paso 24: seleccione un servidor, haga clic con el botón derecho y haga clic en Actualizar el estado de acceso del servidor. Repita la operación en el segundo servidor y pulse a continuación la tecla [F5] para actualizar la vista. Deberá ver aparecer los dos servidores con un estado Desbloqueado:

Paso 25: en la consola Administrador del servidor, en la vista general del servidor IPAM, haga clic en Iniciar detección de servidores:

Su servidor IPAM está en adelante instalado y listo para ser utilizado para la gestión de direcciones IP de los diferentes servicios de red DHCP y DNS de su empresa.

4. Administración del espacio de direcciones IP El espacio de direcciones IP permite realizar un inventario y gestionar las direcciones IP de una red empresarial. Es, de este modo, posible tener un control global de una infraestructura de red compleja. La sección Bloques de direcciones IP permite identificar los ámbitos creados en los servidores DHCP gestionados por IPAM. Esta vista permite visualizar directamente el número de direcciones IP disponibles en cada ámbito, su tasa de utilización así como el rango de direcciones IP cubierto. Un bloque de direcciones IP comprende un ámbito DHCP que contiene sus direcciones IP. Cuando seleccionamos un bloque de direcciones IP es posible personalizar su visualización según varias vistas.

a. Intervalos de direcciones IP Esta vista permite visualizar los intervalos de direcciones IP que representan los ámbitos configurados en los servidores DHCP:

Aquí recuperamos el detalle del intervalo de direcciones IP disponible con la dirección IP inicial y la dirección IP final, el servidor DHCP a cargo de la gestión del ámbito, así como las estadísticas de uso y asignación de las direcciones IP disponibles en los intervalos de direcciones IP. La asignación de direcciones IP está representada bajo la forma de un porcentaje de uso del intervalo de direcciones disponible. A partir de esta vista, podemos crear ámbitos DHCP haciendo clic en TAREAS y, a continuación, enAgregar intervalo de direcciones IP:

Habrá que introducir los diferentes atributos que constituyen un ámbito:

Detalle de los campos principales: Identidad de red (Id de red): corresponde a la dirección de red. Longitud del prefijo: corresponde a la clase de IP. Máscara de subred: calculada automáticamente en función de la longitud de prefijo. Dirección IP inicial: corresponde a la primera dirección IP disponible en el intervalo del ámbito. Dirección IP final: corresponde a la última dirección IP disponible en el intervalo del ámbito. Administrado por servicio: define el tipo de servicio encargado de gestionar el ámbito. Puede tratarse del mismo servidor IPAM o un servidor DHCP. Instancia de servicio: representa el servidor que gestiona el servicio. Tipo de asignación: define si la asignación de las direcciones será estática, dinámica o reservada a un host. Cálculo de uso: define si las estadísticas de uso del ámbito se calcularán automáticamente o manualmente por el administrador.

b. Direcciones IP Esta vista permite visualizar las direcciones IP creadas manualmente o importadas desde un archivo Excel, de cara a confeccionar un inventario de las direcciones IP utilizadas en la red empresarial.

Es posible crear una dirección IP para inventariar haciendo clic en TAREAS y, a continuación,Agregar dirección IP:

c. Bloques de direcciones IP Esta vista permite visualizar los diferentes bloques de direcciones IP creados que corresponden a los ámbitos gestionados en un dominio público o privado.

Es posible crear un bloque de direcciones IP haciendo clic en TAREAS y, a continuación, enAgregar bloque de direcciones IP:

5. Supervisar y administrar IPAM Esta sección de IPAM permite supervisar y configurar los servicios de red como DHCP o DNS. Existen varias vistas que permiten tener acceso rápidamente a los diferentes elementos de configuración.

a. Servidores DNS y DHCP En esta vista podemos verificar el estado de los servicios DNS y DHCP y acceder a los principales parámetros de configuración haciendo clic con el botón derecho en cada servidor.

También será posible crear un ámbito DHCP, modificar las opciones de un servidor DHCP o finalmente sus diferentes propiedades. Si desplegamos el menú contextual de un servidor DNS será incluso posible arrancar la consola MMC de administración de un servidor DNS:

b. Ámbitos DHCP En esta vista podemos visualizar los ámbitos creados en el servidor DHCP. También es posible configurarlos o duplicarlos para crear un nuevo ámbito, que podremos modificar:

c. Supervisión de zonas DNS Esta vista permite visualizar el estado de las zonas de búsqueda directa:

d. Grupos de servidores Igual que con la vista Servidores DHCP y DNS, esta vista permite ver el conjunto de servidores asociados al servicio de red gestionado por IPAM. Con la diferencia de que es posible, esta vez, crear grupos lógicos que permiten identificar los servicios por zona geográfica, roles, entidades, o según los criterios definidos por un administrador:

6. Catálogo de eventos Esta sección agrupa simplemente el registro de eventos de los diferentes cambios de configuración de los servicios de red empleando IPAM. Esto permite registrar los responsables de las posibles modificaciones de la infraestructura para identificar rápidamente qué se ha modificado en la configuración y, especialmente quién lo ha modificado:

También es posible realizar un seguimiento de las direcciones IP gracias a los eventos de BAIL. De este modo, será posible recuperar fácilmente información del tipo: ¿qué usuario ha recibido qué dirección IP y en qué puesto?

Trabajos prácticos La empresa INFONOVICE desea crear un departamento informático dedicado con un dominio Active Directory. Para ello, solicita sus servicios para instalar los controladores de dominio y configurar los principales componentes de red tales como DNS, DNSSEC, DHCP e IPAM. OXYLIVE es una nueva filial. Los equipos cliente de la empresa INFONOVICE deberán poder resolver los nombres de equipo que albergan los recursos en el dominio de esta filial. El servicio DHCP deberá configurarse para cambiar a un servidor DHCP de seguridad en caso de error. Para terminar, la empresa INFONOVICE desea implantar un servidor de gestión de direcciones IP. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 DC-02: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.101 Máscara de subred: 255.255.255.0 IPAM-01: servidor IPAM para el dominio infonovice.priv Dirección IP: 192.168.0.103 Máscara de subred: 255.255.255.0 CLIENT1: cliente DNS y DHCP Dirección IP: 192.168.0.150 Máscara de subred: 255.255.255.0 OXYDC-01: controlador de dominio oxylive.local, servidor DNS Dirección IP: 192.168.0.105 Máscara de subred:255.255.255.0

1. Instalar y configurar el servicio DNS Este taller permite instalar y configurar las principales opciones del rol de servidor DNS. En este punto, el dominio infonovice.priv todavía no se ha creado.

Instalar el rol de servidor DNS Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y características.




Paso 5: marque la opción correspondiente al rol de Servidor DNS:

Paso 6: haga clic en Agregar características:

Paso 7: haga clic tres veces en Siguiente:

Paso 8: haga clic en Instalar:

Paso 9: haga clic en Cerrar cuando la instalación termine:

Crear zonas de búsqueda DNS Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en DNS:

Paso 2: despliegue el árbol de la consola y seleccione Zonas de búsqueda directa:

Paso 3: despliegue el menú contextual y haga clic en Zona nueva…:


Paso 5: seleccione Zona principal y haga clic en Siguiente:

Paso 6: escriba como nombre de zona infonovice.priv y haga clic en Siguiente:

Paso 7: deje las opciones por defecto y haga clic en Siguiente:

Paso 8: marque la opción Permitir todas las actualizaciones dinámicas (seguras y no seguras)y haga clic en Siguiente:


Paso 10: despliegue el árbol de la consola y seleccione Zonas de búsqueda inversa:

Paso 11: despliegue el menú contextual y haga clic en Zona nueva…:



Paso 14: seleccione Zona de búsqueda inversa para IPv4 y haga clic en Siguiente:

Paso 15: introduzca el ID de red 192.168.0 y haga clic en Siguiente:


Paso 17: marque la opción Permitir todas las actualizaciones dinámicas (seguras y no seguras) y haga clic en Siguiente:


Llegados a este punto, las zonas de búsqueda directas e inversas para el dominio infonovice.priv están creadas (en forma de archivo *.dns porque estas zonas no están integradas en Active Directory). Antes de avanzar al siguiente taller, puede instalar el rol de servidor AD DS.

Paso 19: agregar el rol de servidor AD DS para crear un nuevo bosque cuyo dominio raíz seráinfonovice.priv:

Paso 20: marque la opción Crear delegación DNS e indique la información de conexión de la cuenta Administrador local del servidor:

Complete las siguientes ventanas para poder instalar Active Directory.

Integrar una zona en Active Directory Paso 1: una vez instalado el dominio Active Directory, vaya a la pantalla de inicio y haga clic enDNS:

Paso 2: despliegue el árbol para seleccionar la zona de búsqueda directa infonovice.priv:

Paso 3: abra el menú contextual y haga clic en Propiedades:

Paso 4: haga clic en Cambiar:

Paso 5: marque la opción Almacenar la zona en Active Directory y haga clic en Aceptar:

Paso 6: haga clic en Sí:

Paso 7: en las propiedades de la zona, haga clic de nuevo en Cambiar…:

Paso 8: marque la opción Para todos los servidores DNS que se ejecutan en controladores de dominio en este bosque: infonovice.priv y haga clic en Aceptar:

Paso 9: en las propiedades de la zona, seleccione las actualizaciones dinámicas Solo con seguridad:


Paso 11: repita las etapas del 1 al 9 seleccionando la zona de búsqueda inversa 0.168.192.inaddr.arpa:

Configurar la limpieza automática de zonas Paso 1: vaya a la pantalla de inicio y haga clic en DNS:

Paso 2: despliegue el árbol de la consola y seleccione el servidor DNS DC-01:

Paso 3: despliegue el menú contextual y haga clic en Establecer caducidad/borrado para todas las zonas…:

Paso 4: marque la opción Borrar registros de los recursos obsoletos y haga clic en Aceptar:

Paso 5: marque la opción Aplicar esta configuración a las zonas integradas en Active Directory existentes y haga clic en Aceptar:

Paso 6: despliegue de nuevo el menú contextual del servidor DNS y, a continuación, haga clic enPropiedades:

Paso 7: seleccione la pestaña Opciones avanzadas, marque la opción Habilitar la limpieza automática de los registros obsoletos y haga clic en Aceptar:

En adelante está activa la limpieza automática de los registros DNS para todas las zonas. Este parámetro será efectivo para todas las nuevas zonas DNS que se creen en adelante.

Configurar un reenviador condicional Paso 1: vaya a la pantalla de inicio y haga clic en DNS:

Paso 2: despliegue el árbol de la consola y seleccione la carpeta Reenviadores condicionales:

Paso 3: despliegue el menú contextual y haga clic en Nuevo reenviador condicional…:

Paso 4: informe el nombre DNS del dominio Active Directory de la empresa OXYLIVE, es deciroxylive.local, en el campo Dominio DNS. A continuación, escriba la dirección IP de un servidor DNS del dominio oxylive.local, es decir 192.168.0.105 y haga clic en Aceptar:

Paso 5: en el servidor DNS del dominio oxylive.local OXYDC- 01, cree un registro DNS de tipo CNAME llamado archivos con dirección IP 192.168.0.105:

Paso 6: conéctese

al

equipo

CLIENT1

y

escriba

archivos.oxylive.local

el

comando

DOS

siguiente:

ping

El puesto cliente consigue resolver el alias archivos.oxylive.local porque el reenviador condicional redirige todas las peticiones DNS al destino del servidor DNS del dominio oxylive.local. Los equipos cliente del dominio infonovice.priv podrán, de este modo, resolver los nombres FQDN asociados a los diferentes servicios albergados en otro bosque.

2. Configurar el servicio DNS con DNSSEC Firmar una zona con DNSSEC Paso 1: vaya a la pantalla de inicio y haga clic en DNS:

Paso 2: despliegue el árbol de la consola y seleccione la zona infonovice.priv:

Paso 3: despliegue el menú contextual, haga clic en DNSSEC y, a continuación, en Firmar la zona:


Paso 5: marque la opción Personalizar los parámetros de firma de zona y haga clic enSiguiente:

Paso 6: marque la opción El servidor DNS DC-01 es el maestro de claves y haga clic enSiguiente:


Paso 8: haga clic en Agregar:

Paso 9: verifique los parámetros de la clave de autenticación (KSK) y, a continuación, haga clic enAceptar:



Paso 12: haga clic en Agregar:

Paso 13: verifique los parámetros de la clave de autenticación (ZSK) y, a continuación, haga clic en Aceptar:


Paso 15: marque la opción Usar NSEC3 y, a continuación, haga clic en Siguiente:

Los parámetros de iteraciones y salt permiten limitar los ataques por diccionario o por fuerza bruta para descifrar la encriptación.

Paso 16: marque la opción Habilitar la actualización automática de anclajes de veracidad en la sustitución de claves (RFC 5011) y haga clic en Siguiente:



Paso 19: verifique que la zona seleccionada incluye un pequeño logotipo en forma de candado que indica que la zona está firmada y, a continuación, que los registros RRSIG, DNSKEY yNSEC3 se han creado correctamente:

Paso 20: podemos constatar que después de la firma de la zona se han creado dos archivos en la carpeta %SYSTEMROOT%\System32\dns: dsset-infonovice.priv y keyset-infonovice.priv.

Configurar la tabla NRPT de los clientes DNS Paso 1: en la pantalla de inicio de Microsoft Windows Server 2012 R2, haga clic en el iconoAdministración de directivas de grupo:

Paso 2: despliegue el árbol y seleccione el objeto de directiva de grupo (GPO) llamado Default Domain Policy:

Paso 3: abra el menú contextual y haga clic en Editar:

Paso 4: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo\Directivas\Configuración de Windows\Directiva de resolución de nombres:

Paso 5: complete la regla de la directiva de resolución de nombres para alimentar la tabla NRPT y haga clic en Crear: En el campo ¿A qué parte del espacio de nombres se aplica esta seleccione FQDNde la lista desplegable, a continuación, escriba infonovice.priv.

regla?,

En la pestaña DNSSEC, marque las opciones Habilitar DNSSEC en esta regla y Requerir a los clientes DNS que comprueben que el servidor DNS haya validado el nombre y la dirección.

Paso 6: verifique que la regla creada previamente figura en la tabla de directiva de resolución de nombres (NRPT) y haga clic en Aplicar:

Paso 7: cierre el editor de administración de directivas de grupo y ejecute el comando DOSgpupdate /force. Paso 8: conéctese al equipo CLIENT1, abra una ventana DOS y ejecute el comando gpupdate /force. Esta operación tiene como objetivo actualizar las directivas de seguridad del dominio. Paso 9: siempre en el equipo CLIENT1, abra una ventana PowerShell y escriba el comando Resolve-dnsname -name CLIENT1.infonovice.priv -type dnskey server DC-01 -dnssecok. De esta forma interrogamos los registros DNSSEC de la zonainfonovice.priv.

3. Instalar y configurar el servicio DHCP Este taller permite instalar y configurar las principales opciones del rol de servidor DHCP. En este punto, el dominio infonovice.priv debe estar creado.

Instalar el rol de servidor DHCP Paso 1: en el servidor DC-01, abra el Administrador del servidor y haga clic en Agregar roles y características:

Paso 2: haga clic en Siguiente en la ventana Antes de comenzar. Paso 3: haga clic en Siguiente en la etapa Seleccionar tipo de instalación. Paso 4: haga clic en Siguiente en la etapa Seleccionar servidor de destino. Paso 5: en la ventana Seleccionar roles de servidor, marque la opción correspondiente al rolServidor DHCP. Paso 6: haga clic en Agregar características:


Paso 8: haga clic en Siguiente en la etapa Seleccionar características. Paso 9: haga clic en Siguiente:

Paso 10: haga clic en Instalar:


Paso 12: en el panel de la consola Administrador del servidor, haga clic en el panel de información amarillo con un signo de exclamación y haga clic en Completar configuración de DHCP:


Paso 14: haga clic en Confirmar para autorizar el servidor DHCP en Active Directory:


El servicio DHCP está en adelante instalado y autorizado en Active Directory para la distribución de direcciones IP en la red.

Paso 16: repita los pasos 1 al 15 para instalar el rol de servidor DHCP en el servidor DC-02.

Crear un nuevo ámbito DHCP - IPv4 Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el

iconoDHCP:

Paso 2: despliegue el árbol de la consola y seleccione el protocolo IPv4:

Paso 3: despliegue el menú contextual y haga clic en Ámbito nuevo…:

Paso 4: en la ventana Asistente para ámbito nuevo, haga clic en Siguiente. Paso 5: en el campo Nombre escriba Ámbito DHCP INFONOVICE y, a continuación, en el campoDescripción escriba Servidor: DC-01:

Paso 6: en el campo Dirección IP inicial escriba 192.168.0.150, a continuación en el campoDirección IP final escriba 192.168.0.250 y haga clic en Siguiente:

Paso 7: en la sección Agregar exclusiones y retraso, haga clic en Siguiente. Paso 8: deje la duración de concesión DHCP por defecto y haga clic en Siguiente:

Paso 9: marque la opción Configurar estas opciones ahora y haga clic en Siguiente:

Paso 10: en el campo Dirección IP escriba la dirección de la puerta de enlace predeterminada que se configurará en todos los clientes DHCP, a continuación haga clic en Agregar y haga clic enSiguiente:



Paso 13: marque la opción Activar este ámbito ahora y haga clic en Siguiente:


Paso 15: verifique en la consola que el ámbito creado previamente aparece con estado Activo:

Crear una reserva DHCP Paso 1: despliegue el árbol de la consola y seleccione la carpeta Reservas:

Paso 2: despliegue el menú contextual y haga clic en Reserva nueva…:

Paso 3: escriba el nombre de la reserva Equipo CLIENT1, la dirección IP 192.168.0.155, la dirección MAC 00-0C-29-4D-2A-5F y la descripción IP CLIENT1 y, a continuación, haga clic enAgregar y en Cerrar:

Paso 4: verifique que la reserva de la dirección IP para el equipo CLIENT1 aparece:

Paso 5: conéctese al equipo CLIENT1 y verifique que la tarjeta de red está configurada para recibir una dirección IP de forma automática. A continuación, escriba el comando ipconfig /renew. Paso 6: escriba el comando

ipconfigy verifique que la dirección IP es 192.168.0.155.

4. Instalar y configurar la alta disponibilidad del servicio DHCP Paso 1: vaya a la pantalla de inicio de Microsoft Windows Server 2012 R2 y haga clic en el iconoDHCP. Paso 2: despliegue el árbol de la consola y seleccione el protocolo IPv4:

Paso 3: despliegue el menú contextual y haga clic en Configurar conmutación por error.


Paso 5: haga clic en Agregar servidor:

Paso 6: marque la opción Este servidor DHCP autorizado, seleccione el servidor DHCP dc-

02.infonovice.priv y haga clic en Aceptar:

Paso 7: verifique que está seleccionado algún servidor asociado y haga clic en Siguiente:

Paso 8: marque la opción Habilitar autenticación de mensajes y escriba una contraseña en el campo Secreto compartido. Haga clic en Siguiente.

Paso 9: verifique los datos del resumen y haga clic en Finalizar. Paso 10: asegúrese que cada etapa de verificación de la conmutación por error se lleva a cabo correctamente y, a continuación, haga clic en Cerrar:

Paso 11: en el árbol de consola, seleccione DHCP y haga clic en Agregar servidor...:

Paso 12: marque la opción Este servidor DHCP autorizado, seleccione el servidor dc02.infonovice.priv y haga clic en Aceptar:

Paso 13: despliegue el árbol del servidor dc-02.infonovice.priv hasta el protocolo IPv4 para verificar que el ámbito creado en el servidor DC-01 se ha replicado correctamente:

Paso 14: abra una sesión en el equipo CLIENT1 y, a continuación, despliegue los detalles de conexión de la tarjeta de red. Identifique y recuerde la dirección IP del servidor DHCP IPv4:

Paso 15: cambie al servidor DC-01 y, a continuación, en la consola DHCP, detenga el servicio en el servidor dc-01.infonovice.priv:

Paso 16: cambie de nuevo al equipo CLIENT1 y ejecute los siguientes comandos DOS:ipconfig /releasee ipconfig /renew.

Paso 17: abra las propiedades de la tarjeta de red para confirmar que el servidor DHCP IPv4 ha cambiado correctamente al servidor de espera activa ubicado en dc-02.infonovice.priv (192.168.0.101):

Resumen del capítulo A lo largo de este capítulo hemos podido ver todos los aspectos de los servicios de red avanzados de Microsoft Windows Server 2012 R2. Se podría resumir de la manera siguiente: Los servidores DNS permiten realizar la correspondencia entre un nombre de dominio y una dirección IP. Los servidores DNS de Internet están estructurados según una jerarquía donde la raíz está representada por un punto. El borrado de los registros DNS no está activado de forma predeterminada. Hay que hacerlo manualmente. La implementación de los registros detallados debe realizarse manualmente en previsión de una depuración. Los registros detallados consumen recursos, no hay que dejar esta opción activa mucho tiempo en un entorno de producción. Un servidor DNS posee varias zonas. Las zonas de búsqueda principales, secundarias, de búsqueda inversa, de rutas internas o GlobalNames. Para mejorar la seguridad de un servidor DNS es posible implementar la securización de la caché DNS. DNSSEC es una tecnología que permite firmar las peticiones DNS. Un servidor DHCP asigna las direcciones IP a los clientes que realizan una petición. Una novedad del servidor DHCP es la implementación de la alta disponibilidad. IPAM permite gestionar el direccionamiento IP de un parque informático y espacios de direcciones de servidores DHCP.


1. Preguntas 1 ¿Para qué sirve un servidor DNS? 2 ¿Cuántos servidores DNS raíz existen? 3 Especifique tres métodos de securización de un servidor DNS. 4 ¿Cuál es la duración predeterminada de una concesión DHCP? 5 ¿Cuáles son los dos modos de funcionamiento de la conmutación por error automática en caso de fallo de un servidor DHCP? 6 ¿Se realiza copia de seguridad de un servidor DHCP de forma automática por defecto o es necesario configurar una directiva de copia de seguridad manualmente? 7 ¿Cuáles son los tres métodos de implementación de un servidor IPAM? 8 Enumere al menos tres funciones de un servidor IPAM. 9 ¿Cuáles son las características mínimas para la instalación de un servidor IPAM? 10 ¿Qué comando permite borrar la caché DNS de un equipo cliente? 11 ¿Cuál es el procedimiento para activar los registros de depuración de un servidor DNS? 12 ¿Qué tipo de registro DNS permite identificar un servidor de correo electrónico? 13 Su red cuenta con dos servidores de correo electrónico. El servidor A posee un registro DNS de prioridad 5 mientras que el servidor B posee una prioridad 10. ¿Qué servidor de correo electrónico contactarán los usuarios para enviar e-mails? 14 ¿Para qué sirve un registro DNS de tipo NS? 15 ¿Para qué sirven los reenviadores de un servidor DNS? 16 ¿Para qué sirven los reenviadores condicionales? 17 ¿Qué comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv integrada en Active Directory? 18 ¿Qué comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS infonovice.priv integrada en Active Directory?

2. Resultados Consulte las páginas siguientes para verificar sus respuestas. Por cada respuesta correcta, cuente un punto. Número de puntos: /18 Para este capítulo, la puntuación mínima es de 14/18.

3. Respuestas 1 ¿Para qué sirve un servidor DNS? Un servidor DNS permite realizar la correspondencia entre nombres de dominio y direcciones IP. 2 ¿Cuántos servidores DNS raíz existen? Existen 13 servidores DNS raíz, repartidos a través del mundo.

3 Especifique tres métodos de securización de un servidor DNS. Para securizar un servidor DNS, podemos implementar la securización de caché DNS, la configuración del grupo de sockets DNS y la implementación de DNSSEC firmando digitalmente las zonas DNS. 4 ¿Cuál es la duración predeterminada de una concesión DHCP? Cuando un cliente solicita una dirección IP a un servidor DHCP obtiene una concesión con una validez de 8 días. 5 ¿Cuáles son los dos modos de funcionamiento de la conmutación por error automática en caso de fallo de un servidor DHCP? La función de conmutación automática por error puede funcionar en dos modos de configuración diferentes: Espera activa y Equilibrio de carga. 6 ¿Se realiza copia de seguridad de un servidor DHCP de forma automática por defecto o es necesario configurar una directiva de copia de seguridad manualmente? Por defecto, la configuración de un servidor DHCP se copia automáticamente cada 60 minutos. Es posible modificar este valor ajustando los parámetros del registro de Windows. 7 ¿Cuáles son los tres métodos de implementación de un servidor IPAM? Los tres métodos de implementación de un servidor IPAM son los siguientes: Distribuido: un servido IPAM en cada sitio del bosque Active Directory. Centralizado: un servidor IPAM para el conjunto del bosque Active Directory. Híbrido: un servidor IPAM centralizado y servidores IPAM distribuidos en cada sitio del bosque Active Directory. 8 Enumere al menos tres funciones de un servidor IPAM. Un servidor IPAM permite efectuar las tareas de administración y gestión siguientes: Realizar un inventario automático de los servicios de red. Recopilar información sobre los controladores de dominio. Centralizar la gestión de los servicios de red DNS, DHCP, NPS (Network Policy Server) y Active Directory. Supervisar el uso y la asignación de direcciones IP. Generar informes personalizados sobre la utilización de los recursos. Realizar auditorías de las modificaciones de la configuración. 9 ¿Cuáles son las características mínimas para la instalación de un servidor IPAM? La instalación de un servidor IPAM debe respetar los siguientes requisitos previos: IPAM necesita un servidor dedicado que no debe ser controlador de dominio. El servidor seleccionado debe ser miembro del dominio infonovice.priv. Necesita al menos un procesador Dual Core de 2 GHz. Se requiere al menos 4 GB de RAM (Random Access Memory). Se requiere al menos 80 GB de espacio en disco libre. El servidor IPAM debe ser m iem bro de un dom inio (y no controlador de dominio). Se debe utilizar solamente una cuenta de administración del dominio (y no una cuenta local).

Es posible instalar IPAM en un sistema operativo Windows Server 2008 o 2008 R2 siempre que se respeten los siguientes requisitos previos: Instalación del Service Pack 2 Instalación del componente .NET Framework 3.0 Beta y 4.0 Full Instalación del paquete Windows Management Framework Core WinRM (Windows Remote Management) debe estar activado 10 ¿Qué comando permite borrar la caché DNS de un equipo cliente? Para eliminar el contenido de la caché DNS de un equipo cliente basta con escribir el comando siguiente: ipconfig /flushdns 11 ¿Cuál es el procedimiento para activar los registros de depuración de un servidor DNS? Para activar los registros de depuración de un servidor DNS debemos: Acceder a las propiedades del servidor DNS en la consola Administrador DNS. Hacer clic en la pestaña Registro de depuración. Marcar la opción Paquetes de registro para depuración. Indicar la ruta del archivo de registro. 12 ¿Qué tipo de registro DNS permite identificar un servidor de correo electrónico? Los registros DNS de tipo MX permiten indicar los servidor de correo electrónico de la red. 13 Su red cuenta con dos servidores de correo electrónico. El servidor A posee un registro DNS de prioridad 5 mientras que el servidor B posee una prioridad 10. ¿Qué servidor de correo electrónico contactarán los usuarios para enviar e-mails? Para enviar e-mails, se contactará primero con el servidor A porque, cuanto mayor es el número que indica la prioridad de un servidor de correo electrónico, menor es su importancia. 14 ¿Para qué sirve un registro DNS de tipo NS? Un registro DNS de tipo NS permite indicar los servidores de nombres de la red. 15 ¿Para qué sirven los reenviadores de un servidor DNS? Los reenviadores de un servidor DNS permiten indicar a qué servidores DNS reenviar las peticiones que no se han podido resolver. 16 ¿Para qué sirven los reenviadores condicionales? Los reenviadores condicionales permiten redirigir las peticiones DNS de un dominio en particular a los servidores que cuenten con autoridad para la zona. 17 ¿Qué comando dnscmd permite hacer una copia de seguridad de la zona DNS infonovice.priv integrada en Active Directory? Para hacer una copia de seguridad de una zona DNS integrada en Active Directory basta con ejecutar el comando dnscmd siguiente: dnscmd /ZoneExport infonovice.priv

Infonovice.BackupZone

18 ¿Qué comando Windows PowerShell permite hacer una copia de seguridad de la zona DNS infonovice.priv integrada en Active Directory? Para hacer una copia de seguridad de una zona DNS integrada en Active Directory, basta con ejecutar el comando Windows PowerShell siguiente: Export-DnsServerZone -Name

infonovice.priv -Filename Infonovice.BackupZone

Requisitos previos y objetivos 1. Requisitos previos Conocer las bases de un sistema de archivos NTFS. Conocer las bases de una red LAN y WAN. Conocer las bases de los recursos compartidos en Windows. Conocer las bases de la gestión de un servidor de archivos.

2. Objetivos Conocer los diferentes sistemas de archivo gestionados por Windows. Aprender a optimizar el almacenamiento de datos. Saber utilizar la consola Administrador de recursos. Comprender las nociones de clasificación de datos. Saber configurar la clasificación de archivos. Comprender la noción de almacenamiento iSCSI. Saber configurar un almacenamiento iSCSI. Comprender la noción de almacenamiento NFS. Saber configurar un almacenamiento NFS. Comprender la utilidad de la funcionalidad BranchCache. Saber configurar la funcionalidad BranchCache.

Presentación de los servicios de archivos Los servicios de archivo en Microsoft Windows Server 2012 R2 permiten implementar y gestionar fácilmente una unidad de almacenamiento local o en red. Microsoft soporta varias tecnologías para adaptarse a las diferentes topologías y necesidades de una red informática. El conocimiento de las diferentes tecnologías permite a un administrador optimizar la gestión del almacenamiento de datos para que el acceso sea más sencillo y rápido para los usuarios.

1. Funcionamiento de los servicios de archivos Durante la instalación del sistema operativo Windows Server 2012 R2, el rol de servidor Servicios de archivos y de almacenamiento se instala de forma predeterminada, igual que los roles y servicios siguientes: Servicios de almacenamiento Los siguientes servicios se instalan cuando compartimos archivos o cuando se promueve un servidor a controlador de dominio: Servicios de iSCSI y archivos (Small Computer System Interface) Servidor de archivos Estos roles y características permiten, también, tener un servidor de archivos de forma nativa listo para almacenar y compartir datos con los usuarios y equipos de la red. Cada volumen o partición montado en el sistema operativo puede estar formateado en uno de los sistemas de archivo siguientes: NTFS (New Technology File System) ReFS (Resilient File System) FAT32 (File Allocation Table 32 bits - solamente para discos extraibles) Sin agregar componentes adicionales, Windows Server 2012 R2 permite: Compartir datos Implementar cuotas Implementar instantáneas Gestionar discos, volúmenes y particiones Gestionar permisos de acceso empleando la seguridad NTFS Auditar el acceso y uso de los recursos compartidos

2. Administración de los servidores de archivos El rol de servidor dedicado al almacenamiento de datos aporta un conjunto de servicios Windows dedicado a la gestión de archivos de un servidor Windows Server 2012 R2. Los servicios Windows siguientes, dedicados a las funcionalidades de servicios de archivos, se instalan de manera predeterminada: Instantáneas de volumen (gestión de las instantáneas). Cliente de seguimiento de vínculos distribuidos (gestión de los vínculos entre archivos NTFS). Disco virtual (gestión

de

discos,

volúmenes,

sistemas

de

archivos

y

grupos

de

almacenamiento). Espacio de nombres DFS (gestión de los espacios de nombres para las carpetas compartidas). Proveedor de instantáneas de software de Microsoft (gestión de las instantáneas creadas por el servicio de instantánea). Optimización de unidades (gestión de la optimización de los archivos en almacenamientos remotos). Publicación de recurso de detección de función (gestión de la publicación de los recursos locales en la red). Replicación de archivos (gestión de la sincronización de los archivos con el servicio de replicación FRS - File Replication Service). Replicación DFS (gestión de la sincronización de los archivos con el servicio de replicación DFS-R - Distributed File Service Replication). Servidor (gestión de la compartición de archivos e impresoras en la red).

a. Administrar los servicios de archivos La administración de los servicios de archivos se realiza a través de las diferentes consolas de administración siguientes que se implementan por defecto con el sistema operativo Windows Server 2012 R2:

Administrador del servidor En la consola Administrador del servidor es posible ver, de un solo vistazo, el estado del rolServicios de archivos y de almacenamiento partiendo del panel:

Estado: muestra gestionados.

información

complementaria

sobre

el

estado

de

los

servidores

Eventos: provee un acceso directo al Visor de eventos para observar posibles registros de error, críticos o advertencias, vinculados al rol Servicios de archivos y almacenamiento. Servicios: muestra los detalles sobre el estado de los servicios Windows vinculados al rol del servidor. Rendimiento: muestra una vista del visor de rendimiento para consultar el uso de los recursos procesador y memoria vinculados al rol del servidor. Resultados de BPA: muestra una vista con el resultado de la ejecución de la herramienta Best Practice Analyzer. Esta vista se encuentra disponible para el conjunto de servidores administrados empleando la consola Administrador del servidor.

El panel de la consola Administrador del servidor incluye un acceso para administrar los servicios de archivos y almacenamiento:

La sección Servicios de archivos y de almacenamiento permite gestionar los componentes siguientes en el conjunto de servidores gestionados: Volúmenes: permite gestionar los volúmenes administración frecuentes tales como:

existentes

Crear una carpeta compartida Crear un disco virtual iSCSI Verificar y corregir los errores de los sistemas de archivos Modificar la letra de unidad Formatear Extender o eliminar un volumen Configurar la desduplicación de datos

para

efectuar tareas

de

Discos: permite gestionar los discos existentes para efectuar tareas de administración frecuentes tales como: Crear un nuevo volumen Poner en línea o desconectar un disco Inicializar un disco

Grupos de almacenamiento: permite gestionar los grupos de almacenamiento para efectuar tareas de administración frecuentes tales como:

Crear un grupo de almacenamiento Crear un disco virtual Agregar o eliminar discos físicos a un grupo de almacenamiento existente

Un grupo de almacenamiento es una agrupación de varios discos físicos que permite crear discos virtuales. Estos discos se ven como discos lógicos por el sistema operativo y podemos crear en ellos particiones.

Recursos compartidos: permite gestionar los recursos compartidos de archivos en la red: Recurso compartido SMB (Server Message Block): crea un recurso compartido utilizando el protocolo SMB. Recurso compartido NFS (Network File System): crea un recurso compartido utilizando el protocolo NFS.

iSCSI: permite gestionar los discos virtuales iSCSI, con la condición de agregar el rol de servicio Servidor de destino iSCSI.

Administración del equipo En la consola Administrador de equipos, disponible en las herramientas administrativas o abriendo el complemento compmgmt.msc, encontramos componentes de gestión similares a los que ofrece la consola Administrador del servidor. La sección Herramientas del sistema alberga la gestión de las Carpetas compartidas(compartición de carpetas, visualización de sesiones activas y archivos abiertos en el servidor):

La sección Almacenamiento alberga la Administración de discos (formatear, extender o reducir un volumen, modificar la letra de unidad):

Iniciador iSCSI Esta consola permite gestionar las conexiones a los grupos de almacenamiento iSCSI.

b. Roles y servicios de almacenamiento Es posible visualizar y añadir roles y servicios de rol dedicados al almacenamiento desde la consola Administrador del servidor. Microsoft Windows Server 2012 R2 gestiona los roles y los siguientes servicios dedicados al rol Servicios de iSCSI y archivos: Servidor de archivos BranchCache para archivos de red Desduplicación de datos Carpetas de trabajo Espacios de nombres DFS Proveedor de almacenamiento de destino iSCSI Administrador de recursos del servidor de archivos Replicación DFS Servidor del destino iSCSI Servidor para NFS Servidor del agente VSS del servidor de archivos

También es posible visualizar los roles y servicios de rol instalados empleando los comandos PowerShell siguientes: Para verificar la presencia del rol Servidor del servicio de archivos y almacenamiento: Get-WindowsFeature | Where-Object { $_.Name -like "File*" }

Para verificar la presencia de los servicios del rol Servicio de archivos y almacenamiento: Get-WindowsFeature | Where-Object { $_.Name -like "FS-*" }

Almacenamiento en red El almacenamiento en red consiste en emplear un servidor o un dispositivo de almacenamiento dedicado para almacenar los archivos que serán accesibles a través de la red. El sistema operativo Microsoft Windows Server 2012 R2 gestiona varias tecnologías y protocolos de almacenamiento de red como iSCSI, NFS, DAS, SAN o NAS.

1. Almacenamiento SAN iSCSI La tecnología SAN iSCSI (Storage Area Network internet Small Computer System Interface) permite a los servidores acceder a dispositivos de almacenamiento en red iSCSI (LAN o WAN) utilizando el protocolo de transporte TCP/IP. Se trata de una solución práctica para centralizar los datos en un servidor de archivos o una cabina de almacenamiento con un coste inferior, ya que es posible utilizar el entorno existente para implementar una infraestructura iSCSI. La implementación de este tipo de almacenamiento ofrece funcionalidades de redundancia con múltiples rutas de acceso para acceder a los datos. iSCSI es una tecnología SAN, más económica que Fibre Channel. iSCSI funciona empleando un almacenamiento por bloque, también llamado LUN (Logical Unit Number). El primer disco virtual creado en un servidor de destino lleva el número de LUN 0. El segundo disco virtual se llama LUN 1. El rendimiento de una infraestructura iSCSI en una red Ethernet es menor en comparación con la tecnología SAN en una red de fibra óptica. Por este motivo, no es recomendable emplear una infraestructura iSCSI en un entorno de producción, sino mejor en el marco de una maqueta o un laboratorio de pruebas. Las mejores prácticas de Microsoft recomiendan el uso de una red Gigabit para el despliegue de una infraestructura iSCSI.

a. Funcionamiento del almacenamiento iSCSI Este protocolo de almacenamiento de red funciona en modo cliente/servidor. Los clientes se llaman iniciadores y se benefician de la consola de administración Iniciador iSCSI, disponible en las herramientas administrativas:

La consola Iniciador iSCSI funciona de manera conjunta con un servicio Windows llamado Servicio del Iniciador iSCSI de Microsoft:

Este servicio se instala por defecto al instalar el sistema operativo, pero debe arrancarse con la primera ejecución de la consola:

Si el servicio Iniciador iSCSI de Microsoft no está arrancado, no es posible configurar la conexión a un servidor de destino iSCSI. Una vez configurado, el cliente envía los comandos iSCSI a los servidores de destino empleando la red IP utilizando el puerto de comunicaciones predeterminado3260. Este servicio utiliza el archivo C:\Windows\System32\iscsiexe.dll para gestionar el descubrimiento y las conexiones a los servidores de destino. Los servidores o dispositivos de almacenamiento iSCSI se denominan Servidores de destino oTargets. Para transformar un servido en dispositivo de almacenamiento iSCSI, el rol de servidorServidor de destino iSCSI debe estar instalado previamente. El iniciador iSCSI permite entonces configurar un servidor cliente para hacer de puntero a un dispositivo de almacenamiento iSCSI llamado Target. Durante la conexión de un cliente iniciador mediante una tarjeta de red Ethernet, el sistema operativo utiliza un controlador de sistema encargado de transportar los datos de la pila de almacenamiento a la pila de red. Este controlador se almacena en la siguiente ubicación:C:\Windows\System32\Drivers\msiscsi.sys.

Infraestructura iSCSI:

Para implementar la alta disponibilidad en una infraestructura iSCSI, los clientes iniciadores pueden configurarse con varias rutas de acceso a los servidores de destino. Al no poder contar con conmutadores para redes de fibra óptica, una red Gigabit será muy apreciada para conservar las mínimas ganancias de rendimiento. Para que un cliente que utiliza la consola Iniciador iSCSI pueda comunicarse con un dispositivo de almacenamiento que emplee el servicio de rol Servidor de destino iSCSI, el administrador debe configurar en los servidores de destino identificadores únicos llamados IQN (iSCSI Qualified Name). Si la resolución de nombres de los servidores de destino no está disponible empleando los IQN, también es posible configurar la consola Iniciador iSCSI indicando la dirección IP o el nombre FQDN de los servidores de destino. Una infraestructura iSCSI funciona perfectamente con las aplicaciones que necesitan almacenamiento por bloque tales como los hipervisores Citrix XenServer, VMware vSphere (ESX) o Microsoft Hyper-V. La ventaja de esta infraestructura es que es escalable. Además de ofrecer alta disponibilidad al ofrecer redundancia de discos y de rutas de acceso, también es posible extender la capacidad de almacenamiento de un disco virtual en caliente.

b. Gestión del almacenamiento iSCSI La configuración de una infraestructura iSCSI se lleva a cabo empleando dos consolas de administración: Clientes: el administrador utiliza la consola Iniciador iSCSI para configurar las conexiones a los servidores de destino. Esta consola se instala por defecto con el sistema operativo a partir de Windows Server 2008. Para asegurar la alta disponibilidad de una infraestructura iSCSI, la consola Iniciador iSCSI es capaz de gestionar 32 rutas de acceso diferentes a los servidores de destino empleando la tecnología Microsoft MPIO (Multipath I/O). La consola Iniciador iSCSI presenta dos funcionalidades a partir de Windows Server 2012: La autenticación CHAP (Challenge Handshake Authentication Protocol): permite autenticar la conexión de los clientes iniciadores a los discos virtuales del almacenamiento iSCSI. Solicitud de ID (no funciona con las versiones del sistema operativo anteriores a Windows 8 para los clientes y Windows Server 2012 para los servidores): permite identificar de forma más sencilla un cliente iSCSI agregando automáticamente el ID de iniciador (IQN) a un host seleccionado en el dominio. Servidores: el administrador utiliza la consola Administrador del servidor para configurar el servicio de rol y configurar los destinos iSCSI así como los discos virtuales. Esta consola requiere la instalación del rol de servicio Servidores del destino iSCSI. Los datos de un almacenamiento iSCSI se almacenan en un disco virtual en el servidor de destino. El servicio de rol crea un archivo *.vhd que representa el disco virtual creado en la siguiente ubicación: :\iSCSIVirtualDisks\.vhd

2. Almacenamiento SAN FCoE

La tecnología SAN FCoE (Storage Area Network Fibre Channel over Ethernet) permite a su vez acceder a dispositivos de almacenamiento en red utilizando un sistema de almacenamiento por bloques al igual que el almacenamiento iSCSI. El administrador de una cabina SAN debe crear las LUN, que serán visibles por los servidores como unidades de almacenamiento locales. La diferencia con el almacenamiento SAN iSCSI es que una infraestructura SAN utiliza un equipamiento hardware adicional basado en fibra óptica y una cabina de almacenamiento SAN compatible. Los costes de esta tecnología son, de hecho, muy elevados ya que es necesario modificar el sistema de información (añadir tarjetas de red de fibra en cada servidor con acceso a la cabina de almacenamiento, conmutadores para la red de fibra óptica, etc.). El almacenamiento SAN FCoE es una solución escalable y segura. Es posible agregar discos para extender la capacidad de almacenamiento y la infraestructura puede ser redundante duplicando cada elemento conectado a la red de fibra óptica. Esto ofrece capacidades de alta disponibilidad y de rutas múltiples para acceder a una cabina de almacenamiento redundante para los servidores autorizados. Si los componentes están duplicados en la red de fibra óptica, los servidores conectados deberán poseer dos interfaces de red cada uno para conectarse a los diferentes conmutadores de fibra óptica redundantes. La identificación de los elementos en la red no se hace empleando un IQN como en la tecnología iSCSI, sino empleando un World Wide Name (WWW) único para la red.

3. Almacenamiento NFS Inicialmente la tecnología NFS (Network File System) consistía en instalar un servidor de archivos para compartir los datos entre servidores UNIX/Linux utilizando el protocolo de transporte TCP/IP para el transporte de los datos. Hoy en día, NFS existe también en los sistemas operativos Windows o Macintosh, para compartir datos con servidores UNIX/Linux. En Microsoft Windows Server 2012 R2, la implementación de un servidor NFS se realiza a través del servicio de rol Servidor para NFS. Para un equipo que ejecute el sistema operativo Windows Server 2012, la conexión a una cabina de almacenamiento NFS se realiza utilizando la característica de servidor Cliente para NFS.

4. Almacenamiento DAS La tecnología de almacenamiento DAS (Direct Attached Storage) corresponde a la conexión de un dispositivo de almacenamiento directamente a un servidor, sin pasar por la red. Todo disco interno, externo o extraíble (por ejemplo un dispositivo USB como una llave o tarjeta de memoria) es considerado como un almacenamiento DAS, es decir directamente conectado al servidor.

5. Almacenamiento NAS La tecnología NAS (Network Attached Storage) corresponde a un servidor de archivos donde los volúmenes o carpetas se comparten a través de la red mediante protocolos de compartición tales como CIFS (Common Internet File System) o SMB (Server Message Block).

Optimizar el uso del almacenamiento Hoy en día, todas las empresas poseen en sus infraestructuras informáticas un servidor de archivos que los administradores deben gestionar para optimizar el acceso de los usuarios. Este capítulo detalla lo esencial de las funcionalidades vinculadas a la gestión de un servidor de archivos para optimizar mejor los datos almacenados en la red.

1. Administrador del recursos El sistema operativo Windows Server 2012 R2 incluye el servicio de rol Administrador de recursos del servidor de archivos (en la versión inglesa, este servicio de rol se llama FSRM - File Server Resource Management), que permite agregar una consola de gestión que simplifica y centraliza las opciones de administración de datos almacenados en el servidor.

a. Funcionamiento FSRM Al agregar el servicio de rol FSRM se agrega la consola Administrador de recursos del servidor de archivos en las herramientas administrativas:

Esta consola de administración es un complemento llamado fsrm.msc, accesible desde una MMC. Este complemento se almacena en la ubicación siguiente: %Windir%\system32\fsrm.msc

Agregar el servicio de rol nos permite, también, agregar siguiente:Administrador de recursos del servidor de archivos.

el

servicio

Windows

Este servicio Windows, una vez arrancado, permite gestionar cuotas, filtros, informes de almacenamiento y la clasificación de los archivos.

b. Administración FSRM La herramienta de administración Administrador de recursos del servidor de archivos permite gestionar los siguientes componentes:

Administración de cuotas Administración del filtrado de archivos Administración de informes de almacenamiento Administración de clasificaciones Tareas de administración de archivos

2. Administración de cuotas La sección Administración de cuotas de la consola Administrador de recursos del servidor de

archivos permite implementar la funcionalidad de cuotas en el servidor de archivos. Las cuotas permiten limitar el uso del espacio en disco de un volumen lógico o de una carpeta:

Al implementar cuotas en un volumen, todas las nuevas carpetas creadas en él tendrán una limitación relativa al espacio en disco disponible. Las plantillas de cuota agrupan plantillas predefinidas de reglas de cuota aplicables directamente en un volumen o archivo.

La limitación de uso del espacio de almacenamiento de una carpeta o de un volumen utilizando cuotas puede implementarse mediante dos opciones: Cuota máxima: esta opción permite impedir almacenamiento fijado por el administrador.

a

los

usuarios

superar

el límite

de

Cuota de advertencia: esta opción permite a los usuarios superar el límite de almacenamiento fijado por el administrador con objeto de analizar el uso del espacio de almacenamiento. Cada cuota puede configurarse con un umbral de notificación que advierte al administrador cuando el espacio de almacenamiento de un volumen o carpeta se ha alcanzado. Es posible enviar una alerta por e-mail o empleando el visor de eventos automáticamente cuando el espacio en disco disponible alcanza un umbral definido en función del porcentaje de espacio en disco utilizado.

a. Creación de una cuota Para crear una cuota en la carpeta C:\Compartir para que los usuarios de la red no puedan almacenar más de 3 MB de datos, bastará con realizar el siguiente procedimiento: Abra la consola de administración Administrador de recursos del servidor de archivos. Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos Administración de cuotas - Cuotas. Haga clic con el botón derecho en Cuotas y, a continuación, haga clic en Crear cuota. En la ventana Crear cuota haga clic en Examinar en la sección Ruta de acceso de cuota. Seleccione la carpeta C:\Compartir y haga clic en Aceptar para validar. Marque las opciones Crear cuota en la ruta de acceso y, a continuación, marque la opciónDefinir propiedades de cuota personalizadas y haga clic en Propiedades personalizadas:

La opción Derivar propiedades de esta plantilla de cuota permite aplicar una de las plantillas de cuota existentes, cuyas propiedades se encuentran predefinidas.

En la ventana Propiedades de cuota de C:\Compartir, escriba un límite de 3 MB en la secciónLímite de espacio. Marque a continuación la opción Cuota máxima y haga clic en el botónAgregar en la sección Umbrales de notificación:

Escriba 80 en el campo Generar notificaciones cuando el uso alcance (%) y, a continuación, marque la opción Enviar advertencia al registro de eventos en la pestaña Registro de eventos. Deje las demás opciones por defecto y haga clic en Aceptar:

Haga clic en Aceptar en la ventana Propiedades de cuota de C:\Compartir y, a continuación, haga clic en Crear en la ventana Crear cuota. Marque la opción Guardar la cuota personalizada sin crear una plantilla y haga clic enAceptar. La cuota aparece, a continuación, en la ventana de la sección Cuota del Administrador de recursos del servidor de archivos:

Copie el archivo C:\Windows\explorer.exe en la carpeta C:\Compartir y actualice la ventana de administración de cuotas. Vemos inmediatamente que el espacio utilizado en la carpeta alcanza el 75% de utilización:

En este punto, no se envía ninguna notificación porque el umbral de 80% del espacio en disco utilizado no se ha alcanzado.

Copie el archivo C:\Windows\System32\netlogon.dll en la carpeta C:\Compartir y actualice la ventana de administración de cuotas. El espacio en disco utilizado en la carpeta alcanza, ahora, el 96%. Se genera una notificación y se envía al registro de eventos. Abra la consola Visor de eventos ubicada en las Herramientas administrativas, despliegue el árbol de la consola para seleccionar el registro Aplicación de la sección Registros de Windows. El ID de evento 12325 aparece con un nivel que muestra una Advertencia. Seleccione el ID para ver sus propiedades. Se comprueba, así, que el espacio de almacenamiento disponible en la carpeta C:\Compartir ha superado el umbral de utilización fijado por la cuota en 80%:

Copie el archivo C:\Windows\regedit.exe en la carpeta C:\Compartir. Se abre una ventana que indica que no es posible copiar el archivo porque se ha superado el espacio en disco asignado a esa carpeta. Este bloqueo se debe a la gestión de cuotas en la carpeta y a la aplicación de una regla de cuota máxima.

b. Creación de una plantilla de cuota Para crear una plantilla de cuota que permita a los usuarios de red almacenar 1 GB de datos en una carpeta determinada dentro del servidor de archivos, basta con realizar el siguiente procedimiento: Abra la consola de administración Administrador de recursos del servidor de archivos. Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos Administración de cuotas - Plantillas de Cuota. Haga clic con el botón derecho en Plantillas de Cuota y, a continuación, haga clic en Crear plantilla de cuota. En el campo Nombre de plantilla escriba Límite de 1 GB, configure el límite de la cuota a 1 GB y marque, a continuación, la opción Cuota máxima y haga clic en Aceptar:

La plantilla de cuota creada aparece, a continuación, en la lista de plantillas de cuota disponibles:

También será posible crear una nueva cuota empleando este modelo predefinido.

3. Administración del filtrado de archivos La sección Administración del filtrado de archivos de la consola Administrador de recursos del servidor de archivos permite implementar una funcionalidad útil para gestionar grandes conjuntos de datos almacenados en un servidor de archivos. El filtrado permite limitar el almacenamiento de

ciertas categorías de archivos en el espacio en disco de un volumen lógico o de una carpeta:

Al implementar una regla de filtrado en una carpeta, se excluirán automáticamente todos los archivos nuevos que se correspondan con la regla creada y asignada a la carpeta. Las plantillas de cuota agrupan plantillas predefinidas de filtrado de archivos que pueden aplicarse directamente en un volumen o archivo:

Con una regla de filtrado es posible prohibir que se almacenen archivos de los siguientes tipos, agrupados en la sección Grupos de archivos: Archivos de sistema (por ejemplo: *.dll, *.ocx) Archivos de audio y vídeo (por ejemplo: *.avi, *.mkv) Archivos comprimidos (por ejemplo: *.zip, *.rar) Archivos de correo electrónico (por ejemplo: *.eml, *.idx) Archivos de página web (por ejemplo: *.html, *.php) Archivos de copia de seguridad (por ejemplo: *.bck, *.old) Archivos ejecutables (por ejemplo: *.exe, *.bat) Archivos de imagen (por ejemplo: *.jpeg, *.png) Archivos Office (por ejemplo: *.doc, *.xls) Archivos temporales (por ejemplo: *.temp, *.tmp) Archivos de texto (por ejemplo: *.txt, *.text) Si alguna extensión de archivo concreta no existiese en ninguno de los grupos de archivos predefinidos, es posible editar un grupo para añadir la extensión que falta, o crear un nuevo grupo de archivos.

Es posible configurar el filtrado de archivos de una carpeta o de un volumen empleando una regla de filtrado de dos maneras distintas: Filtrado activo: esta opción permite impedir a los usuarios almacenar los archivos no autorizados detallados en la regla de filtrado. Filtrado pasivo: esta opción permite a los usuarios almacenar los archivos no autorizados por el administrador. La ausencia de bloqueo permite analizar el uso del almacenamiento de los archivos con la posibilidad de editar los informes. Estos informes permiten detallar aquellos usuarios que almacenan archivos no deseados en la red. Las reglas de filtrado determinan así el tipo de archivos que los usuarios pueden almacenar en la

red.

a. Creación de un filtro de archivos Para crear un filtro de archivos que permita excluir automáticamente los contenidos de tipo audio y vídeo en el servidor de archivos, basta con realizar el siguiente procedimiento: Abra la consola de administración Administrador de recursos del servidor de archivos. Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos Administración del filtrado de archivos - Filtros de archivos. Haga clic con el botón derecho en Filtros de archivos y, a continuación, haga clic en Crear filtro de archivos. En la ventana Crear filtro de archivos, haga clic en Examinar de la sección Ruta de acceso al filtro de archivos. Seleccione la carpeta C:\Compartir y haga clic en Aceptar para validar. En la ventana Crear filtro de archivos, marque la opción Derivar propiedades de esta plantilla de filtro de archivos y seleccione la plantilla Bloquear archivos de audio y vídeo. A continuación, haga clic en el botón Crear.

El filtro aparece, a continuación, en la ventana de la sección Administrador de recursos del servidor de archivos:

Cuando un usuario de red intente grabar archivos de audio o vídeo en la carpeta compartidaC:\Compartir, aparecerá el siguiente mensaje:

b. Creación de una plantilla de filtro Para crear una plantilla de filtro de archivos que nos permita prohibir el almacenamiento de archivos de tipo AutoCAD, bastará con seguir el procedimiento siguiente: Abra la consola de administración Administrador de recursos del servidor de archivos. Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos Administración del filtrado de archivos - Plantillas de filtro de archivos. Haga clic con el botón derecho en Plantillas de filtro de archivos y, a continuación, haga clic en Crear plantilla de filtro de archivos. En la ventana Crear plantilla de filtro de archivos, escriba el texto Bloquear archivos AUTOCAD en el campo Nombre de plantilla, marque a continuación la opción Filtrado activoy haga clic en el botón Crear de la sección Mantener grupos de archivos:

En la ventana Crear propiedades del grupo de archivos, escriba Archivos AUTOCAD en el campo Nombre del grupo de archivos. Escriba a continuación *.dwg en el campo Archivos incluidos y haga clic en el botón Agregar. Repita la operación para la extensión *.dxf. Haga clic en Aceptar para crear el grupo de archivos AutoCAD:

En la ventana Crear plantilla de filtro de archivos, marque la opción Archivos AUTOCAD en la sección Grupos de archivos y haga clic en Aceptar para validar la creación de la plantilla de filtro:

La plantilla de filtro aparece, a continuación, en la ventana de la consola Administrador de recursos del servidor de archivos:

En esta vista es posible ver que la plantilla de filtro llamada Bloquear archivos AUTOCAD emplea un filtrado de tipo Activo y utiliza el grupo de archivos llamado Archivos AUTOCAD.

Una vez creada la plantilla de filtro, puede crear un filtro de archivos que empleará la plantilla de filtro Bloquear archivos AUTOCAD. Los usuarios no podrán almacenar ningún archivo de extensión *.dwg o *.dxf en las carpetas cubiertas por el filtro.

4. Administración de la clasificación

La sección Administración de clasificaciones de la consola Administrador de recursos del servidor de archivos permite definir reglas de clasificación de cara a configurar las propiedades de los archivos o carpetas almacenados en el servidor a partir de condiciones definidas por el administrador.

Las propiedades de la clasificación: permiten definir las propiedades de clasificación de un archivo o carpeta en función de diferentes criterios como el contenido, el tamaño, el tipo de archivo u otros atributos de almacenamiento. Las reglas de clasificación: permiten examinar los datos de un servidor para modificar las propiedades de clasificación en función del contenido. El conjunto de archivos o carpetas de un servidor posee en adelante en sus propiedades una pestaña Clasificación. Una vez que el archivo o carpeta ha sido examinado por una regla de clasificación, se actualizarán las propiedades de clasificación del objeto pertinente.

De esta forma es posible asignar una propiedad de clasificación a un objeto almacenado si contiene, por ejemplo, una palabra determinada. Estas propiedades de clasificación se pueden utilizar para otras funciones de Windows Server 2012 R2 como el control de acceso dinámico. La clasificación de archivos ya existía en Windows Server 2008 R2. El sistema operativo Windows Server 2012 aporta sin embargo algunas novedades, como por ejemplo la posibilidad de personalizar el error mostrado en la pantalla cuando un usuario no puede acceder a un recurso que posee un tipo de clasificación que indica que los archivos están reservados estrictamente a la dirección. Para poner en práctica el uso de la clasificación de archivos podemos, por ejemplo, tomar la carpeta C:\Compartir y crear un conjunto de archivos de texto que contengan diferentes valores. Crearemos a continuación un archivo de texto llamado C:\Compartir\Documentos.txt que contenga las palabras "DIRECCIÓN INFONOVICE". Vamos también a crear una propiedad de clasificación y una regla de clasificación que permita examinar los archivos de texto de la carpeta C:\Compartir. Si el examen descubre la cadena "DIRECCIÓN INFONOVICE", la regla de clasificación asignará el valor "VERDADERO" a la propiedad de clasificación creada.

a. Creación de una propiedad de clasificación Para crear una propiedad de clasificación del tipo VERDADERO/FALSO para saber si el archivo examinado contiene la frase "DIRECCIÓN INFONOVICE", basta con realizar el procedimiento siguiente: Abra la consola de administración Administrador de recursos del servidor de archivos. Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos Administración de clasificaciones - Propiedades de la clasificación. Haga clic con el botón derecho en Propiedades de la clasificación y, a continuación, haga clic en Crear propiedad local. En el campo Nombre de la pestaña General, escriba DIRECCIÓN INFONOVICE, seleccione el tipo de propiedad Sí/No y haga clic en Aceptar:

La propiedad de clasificación creada aparece, en lo sucesivo, en la consola:

b. Creación de una regla de clasificación Para crear una regla de clasificación aplicable sobre un conjunto de datos respetando la propiedad de clasificación "DIRECCIÓN INFONOVICE", basta con seguir el procedimiento siguiente: Abra la consola de administración Administrador de recursos del servidor de archivos. Despliegue el árbol de la consola: Administrador de recursos del servidor de archivos Administración de clasificaciones - Reglas de clasificación. Haga clic con el botón derecho en Reglas de clasificación y, a continuación, haga clic en Crear regla de clasificación. En la pestaña General de la ventana Crear regla de clasificación escriba REGLA DIRECCIÓN INFONOVICE y, a continuación, marque la opción Habilitada. En la pestaña Ámbito de la ventana Crear regla de clasificación haga clic en el

botónAgregar para seleccionar la en Aceptar para validar.

carpeta

C:\Compartir y,

a

continuación,

haga

clic

En la pestaña Clasificación de la ventana Crear regla de clasificación, seleccioneClasificador de contenido en la sección Método de clasificación. Seleccione después la propiedad DIRECCIÓN INFONOVICE y haga clic en el botón Configurar. En la ventana Parámetros de clasificación, seleccione un tipo de expresión Cadena en la sección Parámetros y escriba la expresión DIRECCIÓN INFONOVICE. Haga clic en Insertar y, a continuación, en Aceptar:

En la pestaña Tipo de evaluación de la ventana Crear regla de clasificación, marque la opción Volver a evaluar los valores de propiedad existentes y, a continuación, marque la opción Sobrescribir el valor existente. Haga clic en Aceptar para validar la regla de clasificación. La regla de clasificación creada aparece, a continuación, en la consola:

En la consola Administrador de recursos del servidor de archivos, sección Reglas de clasificación, haga clic en el menú Acción y, a continuación, Ejecutar clasificación con todas las reglas ahora. En la ventana Ejecutar clasificación, marque la opción Esperar a que termine la

clasificacióny haga clic en Aceptar:

Al terminar la ejecución, se abre un informe en formato HTML indicando el número de archivos encontrados en el directorio C:\Compartir que contienen la cadena de caracteres "DIRECCIÓN INFONOVICE":

Navegue hasta la carpeta C:\Compartir y edite las propiedades de cada archivo para verificar la propiedad de la pestaña Clasificación. Constatamos así que solo el archivo de texto C:\Compartir\Documentos.txt posee el valorVERDADERO en la propiedad de clasificación DIRECCIÓN INFONOVICE, porque la cadena de caracteres existe en este archivo. Los otros archivos poseen un valor fijo Ninguna en la misma propiedad de clasificación:

La clasificación permite, de forma similar a un sistema de gestión electrónica de documentos (GED), definir propiedades adicionales en los archivos y carpetas. Esto permite clasificar mejor o gestionar los permisos de acceso empleando el control de acceso dinámico.

5. Administración de informes de almacenamiento La sección Administración de informes de almacenamiento de la consola Administrador de recursos del servidor de archivos permite generar informes relativos al uso del almacenamiento y los archivos almacenados. Los informes permiten destacar una gran cantidad de información, como los archivos de mayor tamaño, el uso de cuotas o los archivos duplicados.

6. Desduplicación de datos La desduplicación de datos es un servicio de rol del Servicio de archivos y almacenamiento. La desduplicación de datos permite buscar y eliminar los datos duplicados sin comprometer su integridad. Para ahorrar espacio en el almacenamiento asignado, esta función elimina los duplicados conservando una única copia y sustituyendo los duplicados por enlaces simbólicos que hacen referencia al archivo guardado. No es posible habilitar la desduplicación de datos en un volumen que contenga el sistema operativo.

Esta funcionalidad solo puede activarse en un volumen de datos. La activación de la desduplicación de datos puede hacerse en dos niveles: Durante la creación de un nuevo volumen de datos:

En la sección Volúmenes del Administrador del servidor:

La activación de la desduplicación de datos presenta varias opciones de configuración: Indicar la antigüedad de los archivos a duplicar

Especificar las extensiones de los archivos a excluir Especificar las carpetas a excluir Planificar la desduplicación de datos

a. Instalar la desduplicación de datos Para agregar este componente, basta con abrir el Administrador del servidor, hacer clic enAgregar roles y características y, a continuación, marcar el servicio de rol siguiente: Servicio de archivos y almacenamiento - Servicios de iSCSI y archivo - Desduplicación de datos.

Para instalar la desduplicación de datos empleando PowerShell, basta con escribir el comando siguiente: Add-WindowsFeature -name FS-Data-Deduplication

b. Activar la desduplicación de datos Para activar la desduplicación de datos, basta con realizar el procedimiento siguiente: Abra el Administrador del servidor, haga clic en la sección Servicio de archivos y almacenamiento y, a continuación, seleccione la sección Volúmenes. Haga clic con el botón derecho en el volumen de datos de su servidor de archivos y, a continuación, haga clic en Configurar desduplicación de datos.

Seleccione en la opción desplegable, Desduplicación de datos: Servidor de archivos de uso general y, a continuación, escriba el nombre de las extensiones que desea excluir del proceso de desduplicación separándolas con una coma (por ejemplo: bat,ps1,vbs). A continuación, haga clic en Siguiente:

En esta ventana, también es posible seleccionar las carpetas a excluir del proceso de desduplicación para que el contenido no sea tenido en cuenta. El botón Establecer programación de desduplicación permite planificar la ejecución del proceso en un periodo de la semana bien definido. También es posible seleccionar los días de ejecución y la hora de inicio del proceso de desduplicación. Para activar la desduplicación empleando PowerShell, basta con escribir el comando siguiente: Enable-DedupVolume Por ejemplo: Enable-DedupVolume E:

c. Verificar la desduplicación Para validar que el proceso de desduplicación de datos ha funcionado, basta con realizar el

procedimiento siguiente: Descargue el archivo ALTools.exe del sitio Web de Microsoft en la siguiente:http://www.microsoft.com/en-us/download/confirmation.aspx?id=18465

dirección

Copie el archivo ALTools.exe en la carpeta E:\Compartir, E:\Copia y la raíz de la unidad del volumen de datos. En el Administrador del servidor, sección Servicios de archivos y almacenamiento Volúmenes, configure la desduplicación para archivos de más de 0 días (valor seleccionado en el cuadro de texto). Escriba, a continuación, el comando PowerShell siguiente: Start-DedupJob -Volume E: -Type Optimization

Escriba el comando Get-DedupJobpara garantizar que el estado de la tarea ha cambiado de Running a Completed:

Verifique el tamaño del archivo ALTools.exe en cada carpeta. En las propiedades del archivo, el tamaño en el disco deberá ser más pequeño que al principio.

BranchCache BranchCache es una tecnología de Microsoft que permite reducir el tráfico de red WAN (Wide Area Network) entre los sitios, permitiendo alojar en caché aquellos archivos que se utilicen con mayor frecuencia.

1. Presentación de BranchCache La tecnología BranchCache apareció con el sistema operativo Windows Server 2008 R2 y el cliente Windows 7. La necesidad se ha acrecentado con el aumento de las estructuras que funcionan con sitios remotos (sucursales, usuarios desplazados, anexos...) donde los servidores de la infraestructura no se encuentran dentro de la empresa. Cada usuario que desea acceder a los recursos alojados en un sitio remoto puede sufrir lentitud y problemas de velocidad a través de una conexión de red remota. Microsoft ha renovado la implementación de la tecnología BranchCache en el sistema operativo Windows Server 2012 R2 como una funcionalidad de servidor. BranchCache permite alojar en caché de recursos consultados por los usuarios empleando los protocolos siguientes: SMB (Server Message Block): este protocolo lo utilizan los recursos compartidos en una red Microsoft. Cualquier recurso consultado por un usuario remoto a través de un recurso compartido de red puede almacenarse, potencialmente, en caché si se ha implementado BranchCache. BITS (Background Intelligent Transfer Service): este protocolo lo utilizan las aplicaciones (por ejemplo: Windows Update) para transferir en segundo plano los datos de un servidor a los clientes utilizando los momentos en los que el ancho de banda demandado es menor. Los datos transferidos a través del componente Windows BITS pueden almacenarse en caché en una infraestructura BranchCache. HTTP/HTTPS (HyperText Transfer Protocol): estos protocolos se utilizan para acceder a contenido web seguro o no desde un servidor Web como Microsoft IIS (Internet Information Services). El contenido recuperado a través del tráfico Web HTTP o HTTPS puede almacenarse en un servidor de caché de una infraestructura BranchCache, para que los usuarios puedan acceder más rápidamente al contenido del sitio Internet. Cuando un usuario intenta leer el contenido de un recurso empleando uno de estos protocolos, BranchCache se encarga de poner en caché el archivo en caso de que otro usuario de la red lo necesite. A día de hoy, solo los clientes Windows 7, 8 u 8.1 pueden utilizar las características de BranchCache instaladas en los servidores Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2. El uso de la funcionalidad BranchCache reduce de esta forma el tráfico en las redes WAN garantizando una buena conexión entre sitios.

a. Funcionamiento de BranchCache La tecnología BranchCache requiere agregar el servicio de rol BranchCache para archivos de reden el servidor de archivos o el servidor Web, accesible por los usuarios. A continuación, debe configurarse una GPO para activar BranchCache en el servidor. Si la infraestructura de red utiliza el modo de caché hospedada, la funcionalidad de servidor BranchCache debe estar agregada para transformar al servidor ubicado en el sitio remoto en servidor de caché para los usuarios. Debe crearse, también, una GPO para configurar el Firewall del servidor de caché y, de este modo, autorizarlo para aceptar el tráfico http entrante. Cuando agregamos la funcionalidad BranchCache en un servidor de caché, se crea el servicio Windows BranchCache con tipo de arranque automático. Este servicio tiene como objetivo escribir en caché los recursos consultados por los equipos cliente.

Cuando se configura un sitio remoto para utilizar el modo de caché distribuida, los equipos cliente emiten peticiones multicast en la red para saber qué equipo de la red cuenta con una copia en caché del recurso deseado por el usuario. Para no bloquear las peticiones multicast de los equipos cliente, el administrador del sitio remoto debe configurar una GPO para autorizar el tráfico http y WS-Discovery en el Firewall de los clientes Windows. Los clientes que ejecuten el sistema operativo Windows 7, Windows 8 o Windows 8.1 poseen un cliente nativo BranchCache configurado como un servicio Windows. Por defecto, este servicio se encuentra detenido y el tipo de arranque está configurado como Manual.

Cuando se crea una directiva de grupo para activar BranchCache en los equipos cliente Windows 8 u 8.1 el servicio Windows arranca en un modo de funcionamiento de caché hospedada. Esto quiere decir que los clientes comienzan buscando un servidor de caché en la red local. Si el servidor de caché no existe, los clientes cambian al modo de funcionamiento de caché distribuida. Esta configuración automática de los clientes Windows puede configurarse mediante una GPO para definir previamente el modo de caché distribuida u hospedada.

b. Administración de BranchCache Las carpetas compartidas Agregar el servicio de rol BranchCache en un servidor web no necesita ninguna configuración adicional. Sin embargo, para el caso de un servidor de archivos, las carpetas compartidas en la red deben configurarse previamente para indicar a los usuarios que los archivos pueden estar alojados en caché. BranchCache permite configurar una carpeta compartida en sus propiedades:

La activación de BranchCache Para utilizar BranchCache en los equipos cliente, debemos primero activarlo. La activación de esta característica se puede realizar por tres métodos: Directivas de grupo (GPO): bastará con editar una GPO vinculada a una UO que contenga los equipos deseados. Los parámetros de activación de BranchCache y configuración del modo de caché se encuentran en la siguiente ubicación: Configuración del equipo Directivas - Plantillas administrativas - Red - BranchCache. Comandos PowerShell: los comandos PowerShell BranchCache en un cliente o un servidor Windows.

siguientes

permiten

configurar

Verificar el modo de caché utilizado por el cliente: Get-BCClientConfiguration Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché hospedada: Enable-BCHostedClient -ServerNames

Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché distribuida: Enable-BCDistributed

Configurar un servidor para convertirse en servidor de caché y registrar el punto de conexión de servicio (SCP - Service Connection Point) en Active Directory: Enable-BCHostedServer -RegisterSCP

Para obtener más información, consulte el sitio de Microsoft en la dirección siguiente:http://technet.microsoft.com/en-us/library/hh848394%28v=wps.620%29.aspx

Comandos Netsh: los comandos Netsh siguientes permiten configurar BranchCache en un cliente Windows. Configurar un equipo cliente Windows 8 u 8.1 para utilizar el modo de caché hospedada: netsh branchcache set service mode=hostedclient location= Configurar un equipo cliente Windows 8 para utilizar el modo de caché distribuida: netsh branchcache set service mode=distributed No es posible aplicar los comandos netsh si alguna GPO ha configurado previamente el modo de caché a emplear para el host definido.

Configuración del Firewall Cuando los equipos cliente utilizan el modo de caché hospedada, el administrador debe configurar un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 80: Recuperación de contenido de BranchCache: permite la transferencia de datos en caché del servidor a los equipos cliente empleando el protocolo de transporte HTTP. Detección del mismo nivel de BranchCache: permite la detección de los equipos cliente que albergan contenido en caché empleando el protocolo WS-Discovery. Cuando los equipos cliente utilizan el modo de caché distribuida, el administrador debe configurar un objeto GPO que permita configurar el Firewall autorizando el puerto de entrada 3702.

Publicación de Hash Cuando un servidor de archivos posee el rol "BranchCache para archivos de red", es posible crear

una directiva de grupo con el objetivo de generar tablas de dispersión (hash) para los datos compartidos (las tablas de dispersión (hash) representan información del contenido).

2. Modo de caché Es posible configurar una infraestructura BranchCache según dos modos de caché. Caché hospedada o caché distribuida. Es posible utilizar ambos modos al mismo tiempo en una infraestructura de red compleja, pero solo uno de los dos modos puede estar activo en cada sitio remoto. En adelante, los datos puestos en caché se cifran de manera predeterminada.

a. Modo de caché hospedada El modo de caché hospedada consiste en implementar un servidor de caché en el sitio remoto. Cada recurso consultado por los usuarios en el servidor de archivos central (funciona también si se trata de un acceso http/https a un servidor Web) puede alojarse en la caché local del servidor de caché. Esto evita que otros usuarios descarguen de nuevo los archivos previamente consultados mediante el ancho de banda WAN que conecta ambos sitios, sino accediendo a través de la red local del sitio desplazado. Esta configuración de caché se utiliza con la tecnología BranchCache cuando el sitio remoto contiene varios equipos de usuario. Esquema de una infraestructura BranchCache empleando el modo de caché hospedada:

1.

Un usuario del sitio Anexo de la empresa INFONOVICE intenta acceder a un archivo compartido en el servidor de archivos de la central. El equipo cliente consulta en primer lugar si existe una copia del archivo en la caché del servidor de caché.

2.

Si el archivo solicitado por el usuario no se encuentra en el servidor de caché, el

equipo cliente se conecta directamente al servidor de archivos de la central para recuperar el recurso solicitado. 3.

El recurso solicitado se copia en el servidor de caché a través del ancho de banda WAN. El usuario accede, a continuación, a su archivo.

4.

Otro usuario intenta acceder al mismo archivo solicitado previamente por su colega. El equipo cliente de este usuario consulta el contenido del servidor de caché para acceder a la copia en caché del recurso solicitado.

b. Modo de caché distribuida El modo de caché distribuida consiste en autorizar a los equipos cliente a escribir en la caché local de su disco una copia de los recursos consultados en el servidor de archivos de la central (funciona también cuando se trata de un acceso http/https a un servidor Web). Este modo de escritura en caché no requiere un servidor de caché en el sitio remoto. No es aconsejable utilizar este modo de la tecnología BranchCache salvo que el sitio remoto cuente con pocos equipos de usuario. Esquema de una infraestructura BranchCache empleando el modo de caché distribuida:

1.

Un usuario del sitio Anexo de la empresa INFONOVICE intenta acceder a un archivo compartido en el servidor de archivos de la central.

2.

El archivo solicitado por el usuario se descarga a la caché local del equipo cliente y el usuario accede a su archivo.

3.

Otro usuario intenta acceder al mismo archivo solicitado previamente por su colega. El equipo cliente de este usuario realiza una petición multicast para saber qué equipo cliente de la red mantiene una copia del recurso en su caché local. Una vez recuperada la información, el equipo cliente consulta el contenido de la caché de su colega para acceder a la copia del archivo solicitado.

3. Implementar BranchCache Para implementar BranchCache configurando los equipos cliente de los sitios remotos para utilizar esta tecnología hay que configurar las directivas de grupo o ejecutar los comandos PowerShell o Netsh en cada equipo.

Para configurar BranchCache empleando directivas de grupo, hay que editar la sección siguiente de la GPO: Configuración del equipo - Directivas - Plantillas administrativas - Red - BranchCache.

Esta sección de la GPO permite: Activar BranchCache. Definir el modo de caché (distribuida u hospedada). Activar la detección automática. Configurar los servidores de caché hospedada. Configurar BranchCache para los archivos de red. Definir el porcentaje de espacio en disco asignado para la caché de un cliente. Definir la antigüedad de los segmentos en la caché de datos. Definir la actualización de la versión de BranchCache.

Trabajos prácticos La empresa INFONOVICE desea actualizar su parque informático implementando varias tecnologías relativas al almacenamiento de datos. Para satisfacer diversas necesidades, se le pedirá configurar una solución de almacenamiento de red segura y optimizar la gestión y los tiempos de acceso, tanto para los usuarios de la oficina central como en los sitios remotos. Para el almacenamiento de los datos, la empresa ha seleccionado centralizar los datos en un dispositivo de almacenamiento SAN. Al no poder probar esta tecnología en equipos físicos, una infraestructura iSCSI servirá de maqueta para validar la solución. En relación a la optimización del almacenamiento de datos, debemos prever la implementación de funciones de clasificación, filtrado y desduplicación de datos. Los equipos cliente ubicados en un sitio remoto se beneficiarán de un servidor de caché que permite mejorar los tiempos de acceso a aquellos archivos utilizados con mayor frecuencia. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 ISCSI-01: servidor de almacenamiento iSCSI para el dominio infonovice.priv Dirección IP: 192.168.0.106 Máscara de subred: 255.255.255.0 Disco de datos: 30 GB CLIENT1: cliente DNS y DHCP Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 CLIENT2: cliente DNS y DHCP Dirección IP: 192.168.0.108 Máscara de subred: 255.255.255.0 CACHE-01: servidor de caché de archivos para el dominio infonovice.priv Dirección IP: 192.168.0.107 Máscara de subred: 255.255.255.0 FILES-01: servidor de archivos Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0

1. Crear una infraestructura iSCSI Este taller permite instalar y configurar las principales opciones del rol de servidor de archivos para emplear iSCSI para convertir un servidor en un dispositivo de almacenamiento de red.

Configurar el servidor de destino Paso 1: en el servidor ISCSI-01, abra el Administrador del servidor y haga clic en Agregar roles

y características. Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, seleccione el tipo de instalación y el servidor de destino. Paso 3: en la ventana Seleccionar roles de servidor, despliegue el árbol del rol Servicios de archivos y almacenamiento, marque a continuación la opción correspondiente al servicio de rolServidor del destino iSCSI. Cuando el pop-up Agregar características para el Servidor del destino iSCSI aparezca, haga clic en Agregar características y haga clic en Siguiente:

Paso 4: en la ventana Seleccionar características, haga clic en Siguiente. Paso 5: en la página Confirmar selecciones de instalación, haga clic en Instalar y a continuación en Cerrar cuando la instalación haya terminado. Paso 6: en el panel del Administrador del servidor, haga clic en Servicios de archivos y almacenamiento. A continuación, seleccione iSCSI. Paso 7: en la sección Disco virtual iSCSI haga clic en Tareas y, a continuación, en Nuevo disco virtual iSCSI. Paso 8: en la ventana Seleccionar ubicación de disco virtual iSCSI seleccione el disco de DATOS de 30 GB, y haga clic en Siguiente.

Paso 9: escriba iSCSI1-INFONOVICE en el campo Nombre y, a continuación, Disco virtual 1en el campo Descripción y haga clic en Siguiente:

Paso 10: escriba 10 GB para el tamaño del disco virtual y, a continuación, haga clic en Siguiente:

Paso 11: seleccione Nuevo destino iSCSI y haga clic en Siguiente. Paso 12: en el campo Nombre escriba DC-01 y, a continuación, en campo Descripción escribaDisco virtual para el servidor DC-01 y haga clic en Siguiente:

el

Paso 13: en la sección Servidores de acceso, haga clic en Agregar para definir los servidores (Iniciador iSCSI) con autorización para conectarse al disco virtual. Paso 14: en la ventana Agregar id. de iniciador, seleccione la opción Consultar el id. al equipo de iniciador en el equipo iniciador y haga clic en Examinar. Paso 15: en la ventana Seleccionar Equipo, escriba el nombre del servidor DC-01 y, a continuación, haga clic en Aceptar dos veces. Paso 16: se genera el IQN del servidor iniciador, a continuación haga clic en Siguiente (recuerde apunta el IQN generado para el resto del taller). Paso 17: en la ventana Habilitar autenticación, haga clic en Siguiente y, a continuación, haga clic en Crear:

Paso 18: una vez creado el disco virtual, haga clic en Cerrar. Repita las etapas 6 a 18 para crear el disco virtual ISCSI-02 de 10 GB con iniciador autorizado, el servidor DC-01.

Configurar el cliente iSCSI Paso 1: en el servidor DC-01, vaya a las herramientas administrativas y arranque la consolaIniciador iSCSI, a continuación haga clic en Sí para iniciar el servicio Windows asociado. Paso 2: en la pestaña Destinos, sección Conexión rápida, escriba el nombre del servidor de destino (ISCSI-01), en el que los discos virtuales han sido creados, y haga clic en Conexión rápida. Paso 3: se abre la ventana Conexión rápida indicando el IQN descubierto en el destino. La consola se conecta automáticamente al servidor de destino. Haga clic en Cerrar. Paso 4: en la ventana Propiedades: Iniciador iSCSI, verifique que el IQN descubierto en el servidor de destino tiene un estado que muestra Conectado, en la sección Destinos detectados.

Paso 5: haga clic en Aceptar para cerrar la ventana Iniciador iSCSI. Paso 6: abra la consola Administrador del servidor, haga clic en Herramientas y, a continuación, en Administración de equipos. Paso 7: despliegue el árbol de la consola y, sección Almacenamientoseleccione Administración de discos.

a

continuación,

en

la

Paso 8: en el centro de la ventana de la consola Administración de equipos podemos ver los dos discos virtuales creados previamente en el servidor de destino. Estos discos están conectados pero aparecen en un estado Sin conexión.

Paso 9: haga clic con el botón derecho (en la parte gris, bajo el nombre de los discos) en cada disco virtual conectado y, a continuación, haga clic en En línea:

Paso 10: el estado de los discos se muestra como Sin inicializar. Haga de nuevo clic con el botón derecho en un disco virtual y haga clic en Inicializar disco:

Paso 11: verifique que los dos discos virtuales están seleccionados, marque a continuación la opción GPT (Tabla de particiones GUID) para seleccionar el tipo de partición y haga clic enAceptar:

Paso 12: los discos muestran ahora un estado en línea. Haga clic con el botón derecho sobre un disco y, a continuación, haga clic en Nuevo volumen simple...:

Paso 13: haga clic cuatro veces en Siguiente y haga clic en Finalizar para dar formato a los discos virtuales. Paso 14: el disco formateado estará visible, en lo sucesivo, en el explorador de Windows y listo para ser utilizado. Repita las etapas 12 y 13 para formatear el segundo disco virtual:

2. Implementar BranchCache Este taller permite instalar, configurar y hospedada en una red que posee un sitio INFONOVICE\Equipos para incluir aquí las continuación, la UO INFONOVICE\Servidores

desplegar BranchCache utilizando el modo de caché remoto. Para realizar este taller, tendrá que crear la UO cuentas de los equipos CLIENT1 y CLIENT2, y crear, a para incluir el servidor de archivos FILES-01.

Configurar el servidor de archivos Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y haga clic enAgregar roles y características. Paso 2: haga clic tres veces en Siguiente, despliegue el árbol del servicio de rol de archivosServicios de archivos y almacenamiento - Servicios de iSCSI y archivo y, a continuación, marque la opción BranchCache para archivos de red. En la ventana Asistente para agregar roles y características, haga clic en Agregar características.

Paso 3: haga clic dos veces en Siguiente y, a continuación, en Instalar.

Paso 4: haga clic en Cerrar una vez concluida la instalación.

Configurar el servidor de caché Paso 1: en el servidor CACHE-01 (situado en el sitio remoto), abra el Administrador del servidor y haga clic en Agregar roles y características. Paso 2: haga clic cuatro veces en Siguiente, marque la opción BranchCache y, a continuación, haga clic dos veces en Siguiente e Instalar:

Paso 3: haga clic en Cerrar cuando la instalación de la característica BranchCache haya terminado. Paso 4: abra un símbolo del sistema PowerShell y escriba el siguiente comando: Enable-BCHostedServer -RegisterSCP

Paso 5: verifique que el estado del servicio BranchCache es arrancado escribiendo el siguiente comando PowerShell: Get-BCStatus

El parámetro

BranchCacheIsEnableddebe devolver el valor: True

El parámetro

BranchCacheServiceStatusdebe devolver el valor: Running

Activar BranchCache Este procedimiento permite activar la funcionalidad BranchCache en los equipos cliente. Paso 1: en el controlador de dominio DC-01, abra la consola Administración de directivas de grupo empleando las herramientas administrativas. Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aquí.

en

la

Paso 3: escriba Activación - BranchCache en el campo Nombre y haga clic en Aceptar:

Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar. Paso 5: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo - Directivas - Plantillas administrativas - Red - BranchCache.

Paso 6: haga doble clic en el parámetro Activar BranchCache para editarlo y, a continuación, marque la opción Habilitada y haga clic en Aceptar:

Paso 7: haga doble clic en el parámetro Habilitar detección automática de caché hospedada mediante un punto de conexión de servicio para editarlo y, a continuación, marque la opciónHabilitada y haga clic en Aceptar:

Paso 8: cierre la consola Editor de administración de directivas de grupo. Paso 9: abra una ventana de símbolo del sistema en cada equipo cliente para escribir el siguiente comando: gpupdate /force.

Configurar el modo de caché Este procedimiento permite configurar el modo de caché utilizado por los clientes cuando se ha habilitado la funcionalidad BranchCache. Paso 1: en el controlador de dominio DC-01, abra la consola Administración de directivas de grupo empleando las herramientas administrativas. Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aquí.

en

Paso 3: escriba Modo de caché - BranchCache en el campo Nombre y haga clic en Aceptar:

la

Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar. Paso 5: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo - Directivas - Plantillas administrativas - Red - BranchCache. Paso 6: haga doble clic en el parámetro Establecer el modo Caché hospedada de BranchCachepara editarlo y, a continuación, marque la opción Habilitada. Escriba CACHE-01 en el campoEscribir el nombre del servidor de caché hospedada y haga clic en Aceptar:

Paso 7: haga doble clic en el parámetro Configurar BranchCache para archivos de red para editarlo y, a continuación, marque la opción Habilitada. Introduzca el valor 0 en el campo Escribir la latencia de red de ida y vuelta máxima tras la cual comienza el almacenamiento en cachépara forzar a BranchCache a actualizar la cache con todos los archivos recuperados de la red. Haga clic en Cerrar.

Paso 8: cierre la consola Editor de administración de directivas de grupo. Paso 9: en la consola Administración de directiva de grupo, seleccione la UO Equipos, haga clic con el botón derecho y haga clic en Actualización de directiva de grupo. Haga clic a continuación en Sí para aplicar la actualización de la directiva de grupo en los equipos cliente.

Configurar las carpetas compartidas Para autorizar la actualización en caché de una carpeta compartida, debemos activar BranchCache en la carpeta correspondiente. Paso 1: en el servidor de archivos FILES-01, cree una nueva carpeta llamada Compartidas en la raíz del disco C:\. Paso 2: haga clic con el botón derecho en la carpeta compartida y haga clic en Propiedades. Paso 3: seleccione la pestaña Compartir y haga clic en Uso compartido avanzado. Paso 4: en la ventana Uso compartido avanzado, marque la opción Compartir esta carpeta y, a continuación, en Permisos. Paso 5: marque la opción Permitir del permiso Control total para todos y, a continuación, haga clic en Aceptar.

Paso 6: en la ventana Uso compartido avanzado, haga clic en Caché. Paso 7: en la ventana Configuración sin conexión, marque la opción Habilitar BranchCache y haga clic en Aceptar:

Paso 8: haga clic dos veces en Aceptar para cerrar las ventanas de las propiedades de la carpeta compartida. Paso 9: repita los pasos 2 al 8 en el conjunto de las carpetas compartidas que desee hacer

compatibles con la tecnología BranchCache.

Configure el hash Para autorizar a un servidor de archivos que utiliza la tecnología BranchCache para generar la información de contenido llamada Hash, es necesario crear previamente la siguiente directiva de grupo y aplicarla a los servidores de archivos concernientes. Los servidores de archivos deben moverse y ubicarse en una nueva UO llamada Servidores. Paso 1: en el controlador de dominio DC-01, abra la consola Administración de directivas de grupo empleando las herramientas administrativas. Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho en la UO INFONOVICE\Servidores y haga clic en Crear un GPO en este dominio y vincularlo aquí. Paso 3: escriba Hash - BranchCache en el campo Nombre y haga clic en Aceptar:

Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar. Paso 5: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo - Directivas - Plantillas administrativas - Red - Servidor Lanman:

Paso 6: haga doble clic en el parámetro Publicación de hash para BranchCache para editarlo, marque la opción Habilitado y, a continuación, seleccione el valor Permitir la publicación de hash para todas las carpetas compartidas. Haga clic en Siguiente.

Paso 7: cierre la consola Editor de administración de directivas de grupo. Paso 8: en el servidor FILES-01 abra un símbolo del sistema DOS y, a continuación, escriba el siguiente comando gpupdate /forcey reinicie el equipo.

Configurar el firewall de los clientes Paso 1: en el controlador de dominio DC-01, abra la consola Administración de directivas de grupo empleando las herramientas administrativas. Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho UOINFONOVICE\Equipos y haga clic en Crear un GPO en este dominio y vincularlo aquí. Paso 3: escriba Firewall - BranchCache en el campo Nombre y haga clic en Aceptar:

en

la

Paso 4: haga clic con el botón derecho en el objeto GPO previamente creado y haga clic enEditar. Paso 5: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Firewall de Windows con seguridad avanzada - Firewall de Windows con seguridad avanzada - Reglas de entrada.

Paso 6: haga clic con el botón derecho en Reglas de entrada y, a continuación, haga clic enNueva regla. Paso 7: marque la opción Predefinida y, a continuación, seleccione la regla BranchCache recuperación de contenido (usa HTTP) y haga clic en Siguiente:

Paso 8: en la ventana Reglas predefinidas, verifique la información mostrada y haga clic enSiguiente. Paso 9: en la ventana Acción, marque la opción Permitir la conexión y, por último, en Finalizar. Paso 10: la regla aparece, a continuación, con una marca de verificación verde:

Paso 11: cree una nueva regla de entrada como se indica en los pasos 5 y 6. Marque la opciónPredefinida y, a continuación, seleccione la regla BranchCache - detección del mismo nivel (usa WSD) y haga clic en Siguiente:

Paso 12: en la ventana Reglas predefinidas, verifique la información mostrada y haga clic enSiguiente. Paso 13: en la ventana Acción, marque la opción Permitir la conexión y, a continuación, haga clic en Finalizar. Paso 14: la regla aparece, a continuación, con una marca de verificación verde:

Paso 15: cierre la consola Editor de administración de directivas de grupo. Paso 16: actualice las directivas de grupo en los comando gpupdate /forcedesde un símbolo del sistema.

equipos

cliente

ejecutando

el

Validar la configuración El siguiente procedimiento permite simular una conexión lenta con el sitio remoto. Esta operación solo se debe realizar en un entorno de prueba para validar el funcionamiento de BranchCache en una maqueta. Paso 1: en el servidor de archivos FILES-01, escriba el comando siguiente para abrir el Editor de directivas de grupo local: gpedit.msc. Paso 2: despliegue el árbol de la consola desde el nodo siguiente: Configuración del equipo Configuración de Windows. Seleccione QoS basada en directiva, haga clic con el botón derecho y haga clic en Crear nueva directiva:

Paso 3: en el campo Nombre de directiva escriba Prueba conexión lenta. Marque la opciónEspecificar velocidad de salida del acelerador y escriba el valor 56 Kbits/s para simular un sitio remoto conectado a la central a través de un modem de 56K. A continuación, haga clic tres veces en Siguiente y por último en Finalizar:

Paso 4: verifique que la directiva de QoS llamada Prueba conexión lenta aparece en la consolaEditor de directivas de grupo local y, a continuación, cierre la ventana:

Paso 5: en el servidor de archivos FILES-01, copie el archivo C:\Windows\System32\mmc.exe, en la carpeta C:\Compartir creada en la etapa 6.2.5. Paso 6: abra una sesión en el equipo CLIENT1 y navegue hasta la carpeta de red siguiente:\\FILES-01\Compartir\

Paso 7: copie el archivo mmc.exe en el escritorio del equipo CLIENT1. Preste atención, el archivo tardará un momento antes de copiarse en el escritorio debido a la directiva QoS implementada en copiar la etapa anterior. Paso 8: inicie una sesión en el equipo CLIENT2, navegue a la carpeta de red \\FILES01\Compartiry copie el archivo mmc.exe en el escritorio. Comprobará que el archivo tarda menos tiempo en copiarse.

Resumen del capítulo En este capítulo hemos visto todos los aspectos relacionados con los servicios de archivos avanzados en Microsoft Windows Server 2012 R2. Podría resumirse de la siguiente manera: Windows Server 2012 R2 gestiona varios tipos de formato de partición, tales como ReFS o NTFS. El complemento Administrador de recursos del servidor de archivos permite administrar todos los aspectos y tareas administrativas de un servidor de archivos. En particular, es posible gestionar cuotas, filtros, la clasificación o la desduplicación de datos. BranchCache es una tecnología que permite poner en caché los archivos más utilizados por los usuarios remotos. BranchCache puede funcionar según dos modos. El modo de caché hospedada, que necesita un servidor de caché en el sitio remoto, o el modo de caché distribuida, que consiste en poner en caché los archivos de manera local en el equipo cliente que haya realizado una petición de acceso al recurso.


1. Preguntas 1 ¿Qué es un grupo de almacenamiento? 2 ¿Cuál es el puerto de comunicaciones predeterminado del servicio Iniciador iSCSI? 3 ¿Cuántas rutas diferentes es capaz de gestionar la consola Iniciador iSCSI? 4 ¿Para qué se emplean las cuotas en un servidor de archivos? 5 ¿Para qué sirve la clasificación de archivos? 6 ¿Para qué sirve la desduplicación de archivos? 7 ¿Cómo se llama la consola de administración que permite conectarse con un servidor de destino iSCSI? 8 ¿Qué es un IQN? 9 ¿Qué es una cuota máxima? 10 ¿Qué es una cuota de advertencia? 11 ¿Qué es un filtrado activo? 12 ¿Qué es un filtrado pasivo? 13 ¿Para qué sirven los informes de almacenamiento? 14 ¿Qué es la tecnología BranchCache? 15 En la implementación de BranchCache, ¿qué es el modo de caché hospedada? 16 En la implementación de BranchCache, ¿qué es el modo de caché distribuida?


3. Respuestas 1 ¿Qué es un grupo de almacenamiento? Un grupo de almacenamiento es una agrupación de varios discos físicos que permite crear discos virtuales. El sistema operativo verá estos discos como discos lógicos y será posible crear particiones en ellos. 2 ¿Cuál es el puerto de comunicaciones predeterminado del servicio Iniciador iSCSI? Por defecto, el servicio Iniciador iSCSI envía los comandos iSCSI a un servidor de destino empleando el puerto 3260. 3 ¿Cuántas rutas diferentes es capaz de gestionar la consola Iniciador iSCSI? Mediante la tecnología Microsoft Multipath I/O (MPIO), la consola Iniciador iSCSI es capaz de gestionar 32 rutas de acceso diferentes a los servidores de destino. 4 ¿Para qué se emplean las cuotas en un servidor de archivos?

Las cuotas permiten limitar el uso del espacio en disco de un volumen lógico o de una carpeta empleando la consola Administrador de recursos del servidor de archivos. 5 ¿Para qué sirve la clasificación de archivos? La clasificación de archivos permite asignar automáticamente propiedades de clasificación adicionales a los datos almacenados. Estas propiedades pueden utilizarse en el marco de la gestión de los archivos o del uso de la función de control de acceso dinámico. 6 ¿Para qué sirve la desduplicación de archivos? La desduplicación de datos permite buscar y eliminar los datos duplicados sin comprometer su integridad. 7 ¿Cómo se llama la consola de administración que permite conectarse con un servidor de destino iSCSI? La consola Iniciador iSCSI permite conectar un servidor a varios destinos iSCSI. 8 ¿Qué es un IQN? Un IQN (iSCSI Qualified Name) es un nombre único que identifica un servidor de destino o un iniciador iSCSI. Este último se genera automáticamente en función del nombre del servidor y el nombre DNS del dominio. 9 ¿Qué es una cuota máxima? Una cuota máxima permite impedir que los usuarios superen el límite de almacenamiento fijado por el administrador. 10 ¿Qué es una cuota de advertencia? Una cuota de advertencia permite a los usuarios superar el límite de almacenamiento fijado por el administrador con objeto de analizar el uso del espacio de almacenamiento. 11 ¿Qué es un filtrado activo? Un filtrado activo permite impedir a los usuarios almacenar archivos no autorizados definidos en una regla de filtrado. 12 ¿Qué es un filtrado pasivo? Un filtrado pasivo permite a los usuarios almacenar los archivos no autorizados por el administrador, pero con el objeto de analizar el uso del almacenamiento empleando los informes. Estos informes permiten incluir aquellos usuarios que almacenan archivos no deseados en la red. 13 ¿Para qué sirven los informes de almacenamiento? Un informe de almacenamiento permite visualizar las estadísticas de uso del servidor de archivos. Esto permite identificar rápidamente los archivos de mayor tamaño. 14 ¿Qué es la tecnología BranchCache? La tecnología BranchCache permite reducir el uso del ancho de banda poniendo en caché los archivos que se utilizan con mayor frecuencia. 15 En la implementación de BranchCache, ¿qué es el modo de caché hospedada? El modo de caché hospedada funciona con un servidor de caché en el sitio remoto. Cada archivo consultado por los usuarios del sitio remoto puede alojarse en la caché del servidor de caché para que los demás usuarios puedan acceder localmente al archivo sin tener que utilizar el ancho de banda WAN. 16 En la implementación de BranchCache, ¿qué es el modo de caché distribuida? El modo caché distribuida permite autorizar a los equipos cliente a almacenar en su caché local los archivos consultados. Cada equipo cliente realiza una petición de acceso a un archivo consultado previamente por los compañeros de la misma red para saber si alguno posee la copia del archivo en caché.

Requisitos previos y objetivos 1. Requisitos previos Conocer las bases del control de acceso NTFS. Conocer las bases de la gestión de archivos y carpetas.

2. Objetivos Saber configurar los recursos para el control de acceso dinámico. Saber instalar y configurar el control de acceso dinámico.

Control de acceso dinámico El control de acceso dinámico (DAC: Dynamic Access Control) es una nueva funcionalidad de Windows Server 2012 R2 dedicada a la gestión de los permisos de acceso a los recursos (archivos o carpetas). Esta funcionalidad de servidor permite extender y refinar el control de acceso a los recursos (tradicionalmente realizado mediante los permisos NTFS) añadiendo controles adicionales tales como directivas de acceso, prioridades personalizadas, expresiones condicionales y otros tipos de "notificaciones" (en la versión inglesa, el menú Windows utiliza la palabra "Claims", es decir, notificaciones).

1. Presentación de DAC La seguridad NTFS ha supuesto una revolución en la gestión de los permisos de acceso a los recursos de un servidor de archivos. Sin embargo, esta tecnología se ha visto más bien limitada para ciertos casos concretos. En algunas grandes infraestructuras donde la seguridad es crucial, la gestión de permisos NTFS puede considerarse insuficiente siendo demasiado restrictiva o bien insuficiente. Por esta razón Microsoft ha creado la tecnología de control de acceso dinámico para aportar a los administradores herramientas adicionales que complementan a los permisos NTFS. El DAC permite afinar los permisos de acceso a los recursos mediante un nuevo componente del servidor.

2. Funcionamiento de DAC El control de acceso funciona de manera conjunta con la tecnología de gestión de permisos de acceso NTFS (ampliamente extendida y utilizada en las anteriores versiones de Windows). En la mayoría de las empresas, los administradores configuran cada recurso modificando una lista de control de acceso, también llamada ACL (Access Control List). Las ACL permiten, por ejemplo, definir grupos o usuarios con permisos de lectura, escritura o modificación sobre un recurso. Esquema global indicando la atribución de permisos NTFS (ACL):

Para gestionar el acceso a los recursos, hay que planificar y configurar previamente una directiva de acceso central que se aplicará a los servidores que albergarán los recursos a proteger. Esto no exime del uso y configuración de las tradicionales ACL provistas para la seguridad NTFS. El control de acceso dinámico combina ambas tecnologías. Cuando un usuario solicita un acceso a los recursos de una infraestructura que utiliza DAC, debe no solamente cumplir con las demandas impuestas por las ACL (seguridad NTFS clásica) sino además con las condiciones fijadas por la directiva de acceso central configurada en el control de acceso dinámico. Si se verifican las condiciones impuestas por ambas tecnologías, el usuario podrá entonces acceder al recurso solicitado. Además de basarse en las ACL, el control de acceso dinámico puede también utilizar la información de clasificación de un objeto para autorizar o no el acceso en función de la directiva de acceso

central definida para el recurso. Por ejemplo, es posible autorizar el acceso a los recursos donde la propiedad de clasificación indique "SECRETO DEFENSA" solamente a los miembros del grupo DIRECCIÓN. Para autorizar a un usuario acceder a un recurso, el DAC se basa también en los servicios de dominio Active Directory (AD DS), mediante una autenticación Kerberos V5. Una vez implementado el control de acceso dinámico, podemos realizar las acciones siguientes: Definir una directiva de acceso a los recursos: Permite definir las directivas de acceso central. Permite definir las reglas de acceso para acceder a los recursos. Definir una directiva de securización de los datos: Permite cifrar los datos empleando la característica AD RMS. Permite ocultar las carpetas compartidas para que se visualicen solamente aquellas carpetas sobre las que el usuario tiene permisos de acceso. Definir una directiva de auditoría: Permite auditar los accesos autorizados sobre un recurso. Permite auditar los accesos denegados sobre un recurso para saber qué usuario ha intentado acceder. Permite auditar el tipo de equipo o componente del equipo que ha intentado acceder o bien accedido al recurso. Definir una directiva de comunicación: Permite personalizar los mensajes de error enviados al usuario durante un acceso denegado. El mensaje puede indicar la razón para denegar el acceso al recurso, o un contacto para solicitar permisos de acceso. Es posible implementar una comunicación por email para contactar directamente con el departamento adecuado.

a. Notificaciones El control de acceso dinámico puede basarse, también, en notificaciones de Usuario (User Claims) o notificaciones de Equipo (Device Claims): Notificaciones de usuario: corresponde a la información disponible como un conjunto de atributos acerca de una cuenta de usuario en el directorio Active Directory. Notificaciones de equipo: corresponde a la información disponible como un conjunto de atributos acerca de una cuenta de equipo en el directorio Active Directory. Por ejemplo, mediante las notificaciones especificadas en una directiva de acceso dinámico podemos autorizar a un usuario a acceder a un archivo si pertenece al departamento CONTABILIDAD y si su equipo tienen una particularidad específica, como el sistema operativo u otras características.

b. Directiva de acceso central Una directiva de acceso central permite definir todas las condiciones de acceso a un recurso. Esta directiva puede aplicarse sobre uno o varios archivos o carpetas. Las directivas de acceso se crean mediante la consola de administración ADAC (Active Directory Administrative Center), se aplican, a continuación, mediante GPO (Group Policy Object). Cada directiva de acceso central contiene una o varias reglas de acceso central y cada regla contiene los parámetros que determinan las condiciones de acceso a un recurso. Cuando se emite la directiva

de acceso central, es obligatorio configurar las propiedades del recurso a proteger. Para ello, basta con asignar la directiva adecuada en las opciones avanzadas de la pestaña Seguridad de las propiedades del recurso. La creación de una directiva de acceso central requiere la configuración de los siguientes campos: Un nombre: permite identificar de manera más sencilla la regla de acceso central. Miembro: permite identificar las reglas de acceso central que componen la directiva de acceso central. Extensiones: permite definir los permisos.

c. Regla de acceso central Una regla de acceso central permite definir el alcance del recurso de destino. La limitación de los permisos de acceso está definida mediante condiciones que validan el acceso o no a un recurso. La creación de una regla de acceso central requiere la configuración de los siguientes campos: Un nombre: permite identificar de manera más sencilla la regla de acceso central. Recursos de destino: contiene una lista de criterios que delimitan los recursos. Permisos: permite indicar a qué grupo de usuarios se aplica la directiva de acceso. Extensiones: permite definir los permisos. La sección Permisos propuestos propone un conjunto de permisos definidos por el sistema. Estas propuestas aleatorias respetan las mejores prácticas del fabricante y pueden aplicarse directamente reemplazando los permisos actuales. La acción de aceptar los permisos propuestos reemplazando los actuales no es irreversible. Es posible revertirlas en todo momento, desde la sección Permisos actuales.

3. Gestión del DAC El control de acceso dinámico se gestiona a través de la consola Centro de administración de Active Directory (disponible en las herramientas administrativas del sistema operativo o desde el Administrador del servidor). En esta consola, el nodo Control de acceso dinámico ofrece el acceso a las siguientes opciones:

Central Access Policies: esta opción contiene las directivas de acceso central. Cada directiva contiene las reglas de acceso central que determinan los grupos o usuarios con acceso a los recursos a securizar.

Central Access Rules: esta opción contiene las reglas de acceso central que definen los atributos de permisos de acceso a los recursos. El acceso está definido mediante condiciones que especifican los recursos sobre los que se aplica la regla. Las reglas de acceso central se utilizan en una directiva de acceso central. Claim Types: esta opción contiene los diferentes tipos de notificaciones creadas para los usuarios o los equipos. Las notificaciones permiten, en particular, especificar los atributos de los objetos que deseamos emplear para verificar un acceso. Resource Properties: esta opción contiene varias propiedades de recursos predefinidas que se encuentran desactivadas por defecto. La lista permite responder a varios casos prácticos y también es posible crear nuevas propiedades de recursos personalizadas. Resource Property Lists: esta opción contiene una lista de propiedades de recursos llamadaGlobal Resource Property List. Una lista de propiedades de recursos contiene todas las propiedades de recursos que pueden utilizarse en las reglas de clasificación o de acceso central. El control de acceso dinámico puede utilizar la clasificación de los recursos para controlar el acceso. Se utiliza, en este caso, la consola Administración de recursos del servidor de archivos junto a la consola Active Directory Administration Center. Cuando se publica una directiva de acceso central empleando directivas de grupo, es posible verificar previamente o reparar el acceso a los recursos mediante la pestaña Acceso efectivo. Esta pestaña es accesible desde la configuración avanzada de los permisos NTFS de un recurso:

4. Implementación del DAC La implementación del control de acceso dinámico requiere un pequeño estudio para planificar el ámbito a controlar, las directivas de auditoría y el acceso a los recursos. El despliegue de esta tecnología en servidores de archivos pueden no tener éxito si está mal preparada. Para evitar a los equipos de soporte intervenciones frecuentes vinculadas a problemas de acceso a los archivos, recuerde preparar el despliegue del control de acceso dinámico.

Para implantar el control de acceso dinámico, hay que realizar previamente los siguientes pasos: 1.

Configurar una directiva de grupo para habilitar el soporte del controlador de dominio Kerberos para las notificaciones, la autenticación compuesta y la protección Kerberos.

2.

Crear una notificación destinada a los objetos Usuarios o Equipos especificando los atributos necesarios para efectuar la verificación por parte del control de acceso dinámico.

3.

Activar o crear las propiedades de los recursos adecuados. Una propiedad de recurso es un atributo que se configura en las propiedades de un recurso durante el uso de la clasificación de archivos. Por ejemplo, tomemos el caso de un administrador que desea proporcionar acceso a ciertos archivos solo a aquellos usuarios cuyo equipo pertenece al departamento de RRHH. Para ello, debe crear una propiedad de recurso que especifica los atributos a configurar en el archivo o carpeta teniendo cuidado de indicar el valor posible para este atributo de clasificación. De este modo, durante la ejecución de la clasificación de archivos, el administrador puede configurar el proceso indicando que solo los archivos que contienen la palabra HR se pueden etiquetar con el atributo de clasificación definido en la propiedad de recurso así como su valor asociado.

4.

Crear una o más reglas de acceso central. Estas reglas definen los recursos impactados mediante las condiciones de acceso.

5.

Crear un objeto de directiva de acceso central y definir la configuración.

6.

Crear y configurar una directiva de grupo (GPO) para desplegar en los servidores de archivo afectados. Refrescar las directivas de grupo en los servidores de archivo (gpupdate /force).

7.

En el servidor de archivos, aplicar las directivas de acceso a una carpeta compartida específica.

También es posible emplear la consola de administración de las clasificaciones de datos para aplicar las directivas de acceso central automáticamente a través de varios servidores de archivos y, de esta manera, generar informes sobre las directivas aplicadas.

Trabajos prácticos La empresa INFONOVICE posee un servidor de archivos que almacena el conjunto de los archivos y carpetas de la empresa. Los usuarios acceden a los recursos securizados empleando el tradicional sistema de seguridad NTFS. El departamento de Recursos Humanos posee archivos y otro tipo de información sensible para el conjunto de colaboradores. Por este motivo, se le necesita para implementar una solución que aporte un mayor nivel de seguridad en la integridad y el acceso a los datos, aunque el directorio dedicado a RRHH se encuentre ya securizado con permisos NTFS. Como administrador, es responsable de implementar un control de acceso dinámico para que solo los usuarios del departamento de RRHH puedan tener acceso a la carpeta compartida RH_FILES. Todos los intentos de acceso a la carpeta dedicada al departamento de RRHH deberán ser auditados para conocer la identidad de las personas a las que se haya denegado el acceso a los datos confidenciales. Los usuarios con acceso a la carpeta compartida RH_FILES solo pueden acceder desde aquellos equipos que pertenezcan al grupo de seguridad de dominio local GL_RH_Computers. Los demás empleados almacenan sus archivos en un directorio compartido llamado COMÚN. Esta carpeta deberá estar, también, securizada. Los usuarios pertenecientes a la dirección de la empresa deberán poder consultar todos los documentos. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: Controlador de dominio infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 FILES-01: Servidor de archivos, Administrador de los recursos del servidor de archivos Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0 CLIENT1: Equipo cliente número 1 Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 CLIENT2: Equipo cliente número 2 Dirección IP: 192.168.0.108 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada común al conjunto de los equipos: 192.168.0.254 Requisitos previos del taller: Instale y configure el controlador de dominio DC-01 en el dominio infonovice.priv. Instale y configure el servidor de archivos FILES-01 como servidor miembro del dominio infonovice.priv, en la UO INFONOVICE\Equipos. Instale y configure los equipos cliente CLIENT1 y CLIENT2 en el dominio infonovice.priv, en la UOINFONOVICE\Equipos. Edite las propiedades de las cuentas de equipo informando los campos Descripción con RRHH para el equipo CLIENT1 y EMPLEADOS para el equipo CLIENT2. Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_RH_Computers con el equipo CLIENT1 como miembro. Cree un grupo de seguridad global en UO INFONOVICE\Grupos llamado GG_Users_Computerscon el equipo CLIENT2 como miembro.

la

Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_DIRECTION_Users. Cree un grupo de seguridad global en la UO INFONOVICE\Grupos llamado GG_RH_Users. Cree un grupo de seguridad de dominio local en la UO INFONOVICE\Grupos llamado GL_RH_Users. El grupo GG_RH_Users debe ser miembro del grupo GL_RH_Users. Cree una cuenta de usuario en la UO INFONOVICE\RRHH llamado Juan DUPONT (Login: jdupont), miembro del grupo GG_RH_Users. Edite las propiedades de la cuenta de usuario Juan DUPONT, vaya a la pestaña Organización y en el campo Departamento indique RRHH. Cree una cuenta de usuario en la UO INFONOVICE\Usuarios llamada Marcos LABLANCA (Login: mlablanca), que sea miembro solamente del grupo Usuarios del dominio. Edite las propiedades de la cuenta de usuario Marcos LABLANCA, pestaña Organizacióny en el campo Departamento indique EMPLEADOS.

vaya

a

la

Cree una cuenta de usuario en la UO INFONOVICE\Dirección llamada Luis PAREDES (Login: lparedes), miembro del grupo GG_DIRECTION_Users. Edite las propiedades de la cuenta de usuario Luis PAREDES, vaya a la pestaña Organización y en el campo Departamento indique DIRECCIÓN. Cree la carpeta compartida E:\RH_FILES. Cree la carpeta compartida E:\COMÚN. El usuario Juan DUPONT es miembro del departamento de recursos humanos. Este usuario utiliza el equipo CLIENT1 y debe tener acceso a la carpeta compartida RH_FILES. El usuario Marcos LABLANCA es un simple usuario del dominio. Este usuario utiliza el equipo CLIENT2 y no debe tener acceso a la carpeta compartida RH_FILES. Solo debe tener acceso a la carpeta compartida COMÚN.

1. Configurar Kerberos Este taller tiene como objetivo activar el soporte del controlador de dominio Kerberos para las notificaciones, la autenticación compuesta y la protección Kerberos para poder utilizar el control de acceso dinámico. Paso 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic enAdministración de directivas de grupo. En la consola, haga clic con el botón derecho en la UO INFONOVICE\Direccion y, a continuación, haga clic en Bloquear herencia. Paso 2: despliegue el árbol de la consola y edite la directiva de grupo Default Domain Controllers Policy (ubicada en la UO Domain Controllers) haciendo clic con el botón derecho en ella y, a continuación, haciendo clic en Editar. Paso 3: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo - Directivas - Plantillas administrativas - Sistema - KDC. Paso 4: edite el parámetro KDC admite notificaciones, autenticación compuesta y protección de Kerberos. Marque la opción Habilitada y, a continuación, en la sección Opciones seleccioneCompatible y haga clic en Aceptar:

Paso 5: cierre el Editor de administración de directivas de grupo. Haga clic con el botón derecho en la UO Domain Controllers y haga clic en Actualización de directiva de grupo. Paso 6: cuando la actualización de la directiva de grupo haya concluido con éxito en el controlador de dominio DC-01 podrá cerrar la consola Administración de directivas de grupo.

2. Crear las notificaciones Este taller tiene como objetivo crear las notificaciones de usuario y equipo. La notificación Usuario se basará en el atributo Departamento correspondiente al departamento al que pertenece un usuario. La notificación Equipo se basará en el atributo Descripción correspondiente al departamento al que pertenece el equipo cliente.

Creación de una notificación de usuario Paso 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic en Centro de administración de Active Directory. Paso 2: en el panel de la izquierda haga clic en el nodo Control de acceso dinámico.

Paso 3: abra la carpeta Claim Types y, a continuación, en la sección Tareas del panel derecho, haga clic en Nuevo, y seleccione Tipo de notificación:

Paso 4: en la sección Atributo de origen, marque el tipo de notificación Usuario y Equipo y seleccione el atributo Department. A continuación, haga clic en Aceptar:

La notificación Usuario y Equipo aparece, ahora, en la consola Active Directory Administrative Center:

Creación de una notificación de equipo Paso 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic en Centro de administración de Active Directory. Paso 2: en el panel de la izquierda haga clic en el nodo Control de acceso dinámico. Paso 3: abra la carpeta Claim Types y, a continuación, en la sección Tareas del panel derecho, haga clic en Nuevo, y seleccione Tipo de notificación:

Paso 4: en la sección Atributo de origen, desmarque el tipo de notificación Usuario, marque a continuación, el tipo de notificación Equipo y seleccione el atributo description. A continuación, haga clic en Aceptar:

La notificación Equipo aparece, ahora, en la consola ADAC:

3. Configurar las propiedades Este taller tiene como objetivo configurar las propiedades de los recursos. Etapa 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic en Centro de administración de Active Directory. Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinámico. Paso 3: abra la carpeta Resource Properties, seleccione las propiedades de recursos llamadasConfidentiality y Department y, a continuación, en el panel de la derecha, haga clic en Habilitar todo:

Una vez activadas, verifique que los recursos Confidentiality yDepartment han cambiado:

iconos

de

las

propiedades

de

Paso 4: edite la propiedad del recurso Department haciendo doble clic en ella. En la secciónValores sugeridos, haga clic en el botón Agregar:

Paso 5: en la ventana Agregar un valor sugerido, escriba RRHH en el campo Valor y Nombre para mostrar. A continuación, haga clic en Aceptar:

El valor RRHH debe aparecer, a continuación, en el filtro de búsqueda de valores sugeridos:

Paso 6: vuelva a cerrar la ventana de propiedad de recurso Department haciendo clic enAceptar.

4. Configurar la clasificación Este taller tiene como objetivo activar y configurar la clasificación de los archivos y carpetas de la carpeta compartida COMÚN en la que el departamento de Recursos Humanos almacena, en ocasiones, archivos confidenciales sin darse cuenta. La implementación de la clasificación de datos debe permitir identificar todos los archivos que contengan la cadena de caracteres "Recursos Humanos" para poder clasificarlos como datos altamente confidenciales. La implementación del control de acceso dinámico debe de esta forma permitir securizar los datos del departamento de RRHH. Paso 1: abra una sesión de administrador en el servidor de archivos FILES-01. En la raíz de la unidad E:\, dedicada a los datos, cree y comparta la carpeta COMÚN definiendo control total para todos los usuarios en los permisos del recurso compartido: A continuación, cree los siguientes archivos en la carpeta E:\COMÚN: Privado1.txt: este archivo contiene el texto "Recursos Humanos". Privado2.txt: este archivo contiene el texto "Recursos Humanos". Público1.txt: este archivo contiene el texto "Accesible para todos". Público2.txt: este archivo contiene el texto "Accesible para todos". Paso 2: arranque el Administrador del servidor y a continuación, en el menú Herramientas, haga clic en Administrador de recursos del servidor de archivos. Paso 3: despliegue el árbol de la consola hasta el nodo Administración de clasificaciones Reglas de clasificación. En el menú Acciones del panel de la derecha haga clic en Crear regla de

clasificación. Paso 4: en la pestaña General, escriba Recursos Humanos en el campo Nombre de la regla y, a continuación, marque la opción Habilitada.

Paso 5: en la pestaña Ámbito, haga clic en Agregar para seleccionar la carpeta E:\COMÚN:

Paso 6: en la pestaña Clasificación, seleccione Clasificador de contenido en el menú desplegable de la sección Método de clasificación. En la sección Propiedad, seleccione la propiedad Confidentiality y seleccione el valor High. A continuación, haga clic en Configurar:

Paso 7: en la pestaña Parámetros, haga clic en la lista desplegable de Tipo de expresión para seleccionar Cadena y, a continuación, en el campo Expresión, indique el valor Recursos Humanos. A continuación, haga clic en Aceptar:

Paso 8: en la pestaña Tipo de evaluación marque la opción Volver a evaluar los valores de propiedad existentes y, a continuación, marque la opción Sobrescribir el valor existente. Haga clic en Aceptar para validar la regla de clasificación:

La regla de clasificación creada aparece, a continuación, en la consola. Paso 9: seleccione la regla de clasificación previamente creada y, en el panel de la derecha, haga clic en Ejecutar clasificación con todas las reglas ahora. Paso 10: cuando aparezca la ventana Ejecutar clasificación, marque la opción Ejecutar clasificación en segundo plano y haga clic en Aceptar. Paso 11: edite las propiedades de cada uno de los archivos de la carpeta E:\COMÚN para comprobar que la pestaña Clasificación contiene correctamente asignada la propiedadConfidentiality con el valor High para los archivos Privado1.txt y Privado2.txt solamente.

Paso 12: edite las propiedades de la carpeta E:\RH_FILES. Vaya a la pestaña Clasificación, seleccione la propiedad Department y, a continuación, asigne el valor RRHH. Haga clic enAceptar:

5. Configurar una regla de acceso central

5. Configurar una regla de acceso central Este taller tiene como objetivo crear una regla de acceso central. Esta regla define las condiciones de acceso a la carpeta compartida dedicada al departamento de Recursos Humanos. Paso 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic en Centro de administración de Active Directory. Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinámico. Paso 3: abra la carpeta Central Access Rules y, a continuación, en la sección Tareas del panel derecho, haga clic en Nuevo y seleccione Regla de acceso central:

Paso 4: en la sección General, escriba Verificación de departamento en el campo Nombre. A continuación, haga clic en el botón Editar de la sección Recursos de destino:

Paso 5: haga clic en Agregar una condición. Paso 6: en la ventana Regla de acceso central, configure la condición para indicar que la regla de acceso central se aplica a los usuarios pertenecientes al departamento de RRHH y, a continuación, haga clic en Aceptar:

Paso 7: en la sección Permisos, haga clic en el botón Editar. Paso 8: seleccione la cuenta de usuario Administrador y el grupo Todos y haga clic en Eliminarpara que la regla no se aplique a los administradores del dominio INFONOVICE.priv ni al conjunto de usuarios del dominio. Haga clic en Agregar. Paso 9: en la ventana Entrada de permiso para Permisos, haga clic en Seleccionar una entidad de seguridad y agregue el grupo Usuarios autentificados. Haga clic en Agregar una condición, configúrela como se indica en la siguiente captura de pantalla y haga clic tres veces en Aceptar.

Paso 10: cree una nueva regla de acceso central llamada Acceso a los archivos de RRHH. En la sección Recursos de destino, haga clic en Editar y agregue la condición siguiente:

Haga clic en Aceptar. Paso 11: en la sección Permisos, haga clic en Editar, elimine la cuenta Administrador y el grupoTodos. Paso 12: a continuación, agregue el grupo Usuarios autentificados con las condiciones siguientes:

Esta regla de acceso central, cuando se aplica a un recurso, especifica por sus características que los miembros del grupo GG_RH_Direction pueden acceder al recurso especificado siempre que se conecten desde un equipo perteneciente al grupo GG_RH_Computers (CLIENT1).

Paso 13: haga clic tres veces en Aceptar para validar y crear la regla de acceso central.

6. Crear una directiva de acceso central Este taller tiene como objetivo crear una directiva de acceso central. Esta directiva debe estar compuesta por la regla de acceso central previamente creada, publicada a través de las directivas de grupo y aplicada a las carpetas que contienen los archivos de Recursos Humanos. Paso 1: abra una sesión de administrador en el controlador de dominio DC-01. Arranque elAdministrador del servidor y a continuación, en el menú Herramientas, haga clic en Centro de administración de Active Directory. Paso 2: en el panel de la izquierda, haga clic en el nodo Control de acceso dinámico. Paso 3: abra la carpeta Central Access Rules y a continuación, en la sección Tareas del panel derecho, haga clic en Nuevo y seleccione Directiva de acceso central:

Paso 4: en la sección General, escriba Pertenencia al departamento de RRHH en el campo Nombrey a continuación, en la sección Reglas de acceso central miembros, haga clic en el botónAgregar:

Paso 5: en la ventana Agregar reglas de acceso central, seleccione la regla llamadaVerificación de departamento para agregarla en esta directiva de acceso central. A continuación, haga clic en Aceptar:

Paso 6: para crear la directiva de acceso central llamada Pertenencia al departamento de RRHH, vuelva a hacer clic en Aceptar. Paso 7: cree una nueva directiva de acceso central. En la sección General, escriba Archivos de Recursos Humanos en el campo Nombre y, a continuación, en la sección Reglas de acceso central miembros, haga clic en el botón Agregar:

Paso 8: en la ventana Agregar reglas de acceso central, seleccione la regla llamada Acceso a archivos RRHH para agregarla en esta directiva de acceso central. A continuación, haga clic enAceptar:

Paso 9: para crear la directiva de acceso central llamada Archivos de RRHH, vuelva a hacer clic enAceptar. Las dos directivas de acceso central creadas aparecen en la carpeta Central Access Policies:

7. Publicar una directiva de acceso Este taller tiene como objetivo publicar una directiva de acceso central mediante las directivas de grupo Active Directory. Paso 1: inicie una sesión de administrador en el controlador de dominio DC-01. Abra elAdministrador del servidor y, a continuación, en el menú Herramientas, haga clic enAdministración de directivas de grupo. Paso 2: despliegue el árbol de la consola hasta la UO INFONOVICE y cree una nueva directiva de grupo llamada Control de acceso RRHH vinculada a la UO Equipos. Paso 3: edite la directiva de grupo previamente creada. Despliegue el árbol de consola de la manera siguiente: Configuración del equipo - Directivas - Configuración de Windows Configuración de seguridad - Sistema de archivos - Directiva de acceso central. Paso 4: haga clic con el botón derecho en Directiva de acceso central y haga clic en Administrar directivas de acceso central. Paso 5: seleccione las dos directivas de acceso central (Pertenencia al departamento de RRHHy Archivos de RRHH) y haga clic en el botón Agregar. Haga clic en Siguiente.

Paso 6: despliegue de nuevo el árbol de consola de la manera siguiente: Configuración del equipo - Directivas - Plantillas administrativas - Sistema - Asistencia de acceso denegado. Paso 7: edite el parámetro Personalizar mensaje para errores de acceso denegado. Marque la opción Habilitada y, a continuación, escriba el siguiente mensaje de error que se mostrará cuando se deniegue el acceso: "No dispone de permisos de acceso para los datos del departamento de RRHH." A continuación, marque la opción Permitir que los usuarios soliciten asistencia y haga clic en Aceptar para validar:

Paso 8: edite el parámetro Permitir la asistencia de acceso denegado en el cliente para todos los tipos de archivos. Marque la opción Habilitada y haga clic en Aceptar. Paso 9: cierre el Editor de gestión de directivas de grupo y la consola Administración de directivas de grupo. Paso 10: inicie una sesión en el servidor FILES-01 y ejecute el comando siguiente para refrescar las directivas de grupo: gpupdate /force Paso 11: edite las propiedades de la carpeta compartida E:\RH_FILES. En la pestaña Seguridad, haga clic en Opciones avanzadas y, a continuación, en la pestaña Directiva central. Haga clic enCambiar para seleccionar la directiva de acceso central Pertenencia al departamento de RRHH y haga clic dos veces en Aceptar.

Paso 12: edite las propiedades de la carpeta E:\COMÚN. En la pestaña Seguridad, haga clic enOpciones avanzadas y, a continuación, en la pestaña Directiva central. Haga clic en Cambiarpara seleccionar la directiva de acceso central Archivos de RRHH y haga clic dos veces enAceptar.

8. Comprobar el acceso a los recursos Este taller tiene como objetivo validar la directiva de acceso a los recursos mediante la implementación del control de acceso dinámico.

Paso 1: conéctese al equipo CLIENT2 e inicie una sesión de usuario como Juan DUPONT (nombre de usuario: jdupont), perteneciente al departamento de RRHH. Paso 2: navegue hasta la carpeta compartida \\FILES-01\COMÚN y verifique, a continuación, el acceso a los archivos Público1.txt y Público.txt. El usuario debe poder acceder a ambos archivos. Paso 3: verifique el acceso a los archivos Privado1.txt y Privado2.txt ubicados en la carpeta compartida \\FILES-01\COMÚN. El usuario no debe poder acceder a ambos archivos.

Paso 4: una vez denegado el acceso al recurso, haga clic en Solicitar asistencia. En el campo dedicado a la explicación, indique que el usuario JDUPONT pertenece al departamento de RRHH y, a continuación, haga clic en Enviar mensaje:

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos al control de acceso dinámico de Microsoft Windows Server 2012 R2, que podemos resumir de la manera siguiente: El control de acceso dinámico permite securizar el acceso a los datos. El control de acceso dinámico es adicional a los permisos NTFS. La implementación requiere la creación de una directiva de acceso central que contenga las reglas de acceso central. La clasificación de los archivos permite aplicar propiedades predefinidas a los recursos.


1. Preguntas 1 ¿Qué es una notificación? 2 ¿Qué es una propiedad de recurso? 3 ¿Qué herramienta permite resolver un problema de acceso a un recurso?


3. Respuestas 1 ¿Qué es una notificación? Una notificación permite definir el conjunto de los atributos de objeto de tipo Usuario o Equipo, que servirán para verificar las condiciones de acceso de una regla de directiva de acceso. 2 ¿Qué es una propiedad de recurso? Una propiedad de recurso permite añadir información adicional a un recurso para controlar el acceso dinámico y gestionar el control de acceso. Una propiedad de recurso puede contener diferentes tipos de valor con algunas selecciones múltiples. 3 ¿Qué herramienta permite resolver un problema de acceso a un recurso? Los permisos efectivos permiten verificar previamente los permisos de un usuario o de un grupo en función de sus parámetros de pertenencia a un grupo, las notificaciones aplicadas o el puesto de trabajo desde el que se debe acceder al recurso.

Requisitos previos y objetivos 1. Requisitos previos Conocimiento básico del directorio Active Directory. Conocimiento básico de la noción de dominio Active Directory.

2. Objetivos Conocer los componentes de una infraestructura Active Directory. Saber desplegar una infraestructura Active Directory. Saber administrar una infraestructura Active Directory compleja. Saber configurar las relaciones de confianza entre dominios.

Presentación del despliegue distribuido AD DS Como hemos podido ver en el capítulo Los servicios de dominio Active Directory, una infraestructura Active Directory está compuesta por diferentes elementos que tienen cada uno un rol específico dentro de un dominio o de un bosque. Recordemos que el uso de Active Directory dentro de una empresa es una excelente solución de gestión de identidades y accesos. Todos los objetos se registran en una partición de datos del directorio para poderse replicar en el conjunto de controladores del dominio de la infraestructura Active Directory. Esta misma infraestructura está organizada mediante el uso de dominios y bosques. La gestión de un dominio o de un bosque presenta límites administrativos o técnicos para los administradores. Este capítulo presenta todas las facetas del despliegue de una infraestructura Active Directory compleja.

1. Administración de bosques Active Directory Un bosque es una agrupación de varios dominios Active Directory y posee un único esquema. El primer dominio instalado en un bosque se llama dominio raíz del bosque. Varios arboles de dominio cuyo espacio de nombres no es continuo representan un bosque.

a. Gestión administrativa El conjunto de miembros del grupo de seguridad predefinido llamado Administradores de empresasposeen control total sobre el conjunto del bosque Active Directory. Ninguna cuenta de usuario situada fuera del bosque tiene permisos administrativos sobre el conjunto del bosque.

b. Particiones Partición del esquema: una única partición del esquema se replica en todos los controladores de dominio del bosque. Partición de configuración: la partición de configuración contiene toda la información de los dominios Active Directory (planificación de replicación, topología del bosque, información de los controladores de dominio, sitios y subredes). Esta partición contiene a su vez los elementos modificados por las aplicaciones que se integran en Active Directory para su correcto funcionamiento, tales como las autorizaciones DHCP, la configuración del control de acceso dinámico o la integración de componentes como un servidor de correo electrónico Exchange o SCCM (System Center Configuration Manager). Esta partición se replica en el conjunto de los controladores de dominio del bosque. Partición DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS integradas en Active Directory, la partición ForestDnsZones permite replicar la zona integrada en AD DS en el conjunto de los controladores de dominio del bosque.

2. Administración de dominios Active Directory Un dominio es una entidad administrativa de Active Directory dentro de la que se comparten ciertas funcionalidades y características. Esta entidad de seguridad alberga usuarios y equipos y representa un perímetro en el que las directivas (GPO) se encuentran definidas.

a. Gestión administrativa El conjunto de los miembros del grupo de seguridad predefinido llamado Admins. del dominioposeen control total en el dominio. Los miembros de este grupo no tienen privilegios administrativos en los demás dominios del bosque o en otros bosques.

b. Particiones

Partición del dominio: todos los objetos de un dominio se almacenan en la partición del dominio en cada controlador de dominio. Los datos no se replican a otros controladores de dominio pertenecientes a otros bosques. Mediante los objetos de dominio, es posible vincular las directivas de grupo a un dominio, una UO o un sitio. No existe herencia de directivas de grupo de un dominio a otro. Cada dominio posee pues sus propias directivas de grupo. Partición DNS integrada en el bosque: cuando una infraestructura alberga zonas DNS integradas en Active Directory, la partición DomainDnsZones permite replicar la zona integrada en AD DS en el conjunto de los controladores de dominio del bosque.

3. Despliegue distribuido AD DS La mayoría de las instalaciones pueden operar con el uso de un único servicio de dominio de Active Directory. Agregar varios dominios a un bosque complica la implementación y la administración de la infraestructura Active Directory. En varias estructuras, la implementación de una arquitectura compleja puede resultar beneficioso y aportar gran cantidad de funcionalidad o seguridad. Antes de desplegar una infraestructura compleja de dominios AD DS conviene saber y conocer las distintas topologías así como el impacto de las diferentes configuraciones dentro del bosque.

a. Dominios o bosques múltiples ¿Por qué utilizar bosques o dominios múltiples en una infraestructura AD DS cuando un solo bosque y un solo dominio son suficientes en la mayoría de casos? La implementación de bosques AD DS múltiples puede ser beneficioso en los casos siguientes: Ciertas aplicaciones necesitan la modificación del esquema de Active Directory para funcionar. Al ser única la partición del esquema dentro del bosque, ésta se replica a través de los controladores de dominio del bosque. Las modificaciones del esquema pueden ser más o menos importantes, por lo que puede resultar útil crear un nuevo bosque con objeto de albergar los recursos que empleen un esquema concreto. Esto evita conflictos potenciales que pueden entrañar una modificación del esquema del bosque que albergue las cuentas de los usuarios. Al comprar una empresa, puede resultar útil integrar el parque informático recién adquirido como un nuevo bosque a la infraestructura Active Directory existente. Esto permite evaluar mejor el perímetro de cara a preparar una fusión de Active Directory. La implementación de bosques Active Directory múltiples en una infraestructura informática puede ser beneficioso para poder aislar diferentes autoridades administrativas y, de este modo, incrementar la seguridad del proceso de gestión de identidades y de acceso. Esta topología se utiliza con frecuencia en los grupos donde la seguridad es un aspecto esencial. Ciertas infraestructuras poseen servidores de aplicaciones en DMZ (zonas desmilitarizadas) accesibles desde el exterior como, por ejemplo, servidores web IIS, Extranets, interfaces web Citrix u otros servidores de aplicación. Si uno de los componentes necesita una autenticación de dominio, es posible crear un bosque suplementario en la DMZ dedicado a la autenticación de los usuarios. La implementación de dominios AD DS múltiples puede ser beneficioso en los casos siguientes: Facilitar la replicación Active Directory cuando una empresa posee sitios remotos interconectados a la sede central mediante una conexión lenta. Agregar un dominio suplementario para cada uno de los sitios remotos permite mejorar los procesos de autenticación de los usuarios que se conectarán de manera local en el dominio vinculado a su sitio. De esta forma, solo las replicaciones AD entre los dominios padres e hijos tendrán lugar a través del vínculo WAN. El empleo de espacios de nombres dedicados a cada entidad de una empresa puede justificar el uso de varios dominios Active Directory distintos. Por ejemplo, la empresa

INFONOVICE que utiliza el nombre de dominio INFONOVICE.priv puede, a su vez, crear un dominio llamado OXYLIVE.local para una de sus filiales con el objetivo de distinguir claramente las dos diferentes entidades jurídicas. Igual para la gestión de subdominios Active Directory. Por ejemplo, la empresa INFONOVICE puede a su vez tener que recurrir al uso de subdominios para distinguir las unidades geográficas de la empresa que poseen cada una su propia gestión informática. Por ejemplo: EUROPA.INFONOVICE.PRIV, AFRICA.INFONOVICE.PRIV, ASIA.INFONOVICE.PRIV, AMERICA.INFONOVICE.PRIV. El uso de un dominio específico para recursos tales como servidores de aplicación o aplicaciones completamente integradas en Active Directory. Esto permite implementar un dominio que contenga las cuentas de usuario y un dominio que contenga los recursos y cuentas de servicio. Mediante este tipo de implementación, las operaciones de administración en el dominio de aplicaciones pueden tener lugar sin impactar en las cuentas de usuario.

b. Actualización a Windows Server 2012 R2 No se recomienda actualizar un controlador de dominio a Windows Server 2012 R2. Para respetar las buenas prácticas, la operación consiste en integrar los nuevos controladores de dominio con el sistema operativo Windows Server 2012 R2 en la infraestructura existente. Una vez que los controladores de dominio estén operativos, podemos eliminar los servidores con sistemas operativos obsoletos sin problema alguno (con la condición de transferir previamente los roles FSMO a los controladores de dominio que ejecuten Windows Server 2012 R2). Si ningún controlador de dominio de la infraestructura Active Directory ejecuta el sistema operativo Windows Server 2012 R2, habrá que actualizar el esquema del bosque antes de promover el controlador de dominio. La herramienta adprep.exe (disponible en el DVD de instalación de Windows Server 2012 R2 en la carpeta \Support\adprep) permite actualizar el esquema de Active Directory manualmente. Antes de implementar los controladores de dominio Windows Server 2012 R2 en un entorno existente, hay que verificar que el nivel funcional del dominio sea al menos Windows Server 2008 porque los niveles funcionales anteriores no están soportados.

Requisitos previos para una actualización a Windows Server 2012 R2 Antes de realizar una actualización de los controladores de dominio conviene verificar los siguientes elementos: Disponer de permisos de administración en el dominio a actualizar y disponer de una cuenta de usuario miembro del grupo Administradores de esquema o Administradores de empresas. Verificar que el esquema del directorio Active Directory no ha sufrido muchas modificaciones manuales diferentes de las aportadas por los productos Microsoft para evitar problemas con identificadores de objeto (Object ID) cuando extendamos el esquema con la herramienta Adprep.exe. Si éste fuera el caso, habrá que probar la extensión del esquema previamente en un entorno de pruebas para validar el procedimiento. Verificar que el nivel funcional del dominio sea al menos Windows Server 2008. Verificar que las herramientas de su parque informático que empleen agentes en el conjunto de sus servidores y controladores de dominio sean compatibles con Windows Server 2012 R2. Habrá que verificar previamente el conjunto de matrices de compatibilidad de software de sus herramientas de supervisión, inventario, antivirus, copia de seguridad, etc. Contar con servidores miembro del dominio corriendo bajo el sistema operativo Windows Server 2012 R2. Contar con el DVD-ROM de instalación de Windows Server 2012 R2. Una vez verificados los requisitos previos, es importante realizar una prueba en un entorno de verificación. Si el entorno de la maqueta no se corresponde completamente a la realidad de su

parque informático, no podrá jamas validar el buen funcionamiento de la extensión del esquema del directorio Active Directory, y no estará libre de posibles problemas.

Proceso de actualización a Windows Server 2012 R2 Verifique los requisitos previos mencionados previamente. Instale los servidores miembro bajo Windows Server 2012 R2. Identifique los servidores que alberguen los roles FSMO empleando el comando:

query fsmo

netdom

Utilice el DVD-ROM de instalación para efectuar la extensión del esquema de Active Directory empleando los comandos siguientes en este orden:

adprep /forestprep (debe ejecutarse en el servidor que albergue el rol FSMO controlador del esquema)

adprep /domainprep (debe ejecutarse en el servidor que albergue el rol FSMO maestro de infraestructura)

adprep /gpprep (debe ejecutarse en el servidor que albergue el rol FSMO maestro de infraestructura)

adprep /rodcprep (si fuera necesario instalar controladores de dominio de solo lectura RODC) Promueva los servidores miembro bajo Windows Server 2012 R2 a controladores de dominio. Transfiera los roles FSMO a los controladores de dominio Windows Server 2012 R2. Cuando se hayan completado todas las acciones, los controladores de dominio con sistemas operativos anteriores a Windows Server 2012 R2 pueden ser degradados. Una vez que el conjunto de los controladores de dominio ejecuten el sistema operativo Windows Server 2012 R2, podrá aumentar el nivel funcional del dominio a Windows Server 2012 R2.

c. Migración a Windows Server 2012 R2 La migración Active Directory consiste en desplazar los objetos de un dominio A (dominio fuente) a un dominio B (dominio de destino). Los objetos migrados corresponden a las cuentas de equipo, cuentas de usuario, cuentas de servicio o los grupos de seguridad. La necesidad de migrar los datos puede intervenir en diferentes situaciones tales como una reestructuración de la infraestructura Active Directory existente (consolidación) o la compra de una nueva empresa (fusión). Para facilitar la migración de los recursos de un dominio a otro, Microsoft pone a disposición de los administradores una herramienta gratuita llamada ADMT (Active Directory Migration Tool). Esta herramienta garantiza la migración de los recursos entre los dominios Active Directory del mismo bosque (migración intra-bosque) o bosques independientes (migración inter-bosque). Es posible utilizar ADMT empleando una interfaz gráfica o por línea de comandos, lo que permite automatizar las tareas de migración.

Requisitos previos de una migración ADMT Antes de realizar una migración empleando la herramienta ADMT es importante respetar los siguientes requisitos previos: Tener permisos de administración en los dominios fuente y de destino. Configurar los servidores DNS para que los dominios fuente y de destino puedan resolver los nombres de dominio asociados (posibilidad de crear reenviadores condicionales en los servidores DNS).

Configurar las relaciones de confianza bidireccional entre los dominios fuente y de destino. Descargar e instalar la versión de la herramienta ADMT adecuada con los sistemas operativos soportados. Prever la instalación de la herramienta de migración en el dominio de destino. Activar la migración de contraseñas. Realizar una copia de seguridad de los servidores y verificar el buen funcionamiento de la restauración. Preparar un entorno de maqueta para realizar las pruebas de migración y de esta forma validar los procedimientos de migración y vuelta atrás. Configurar los Firewall de los dominios fuente y de destino para autorizar la compartición de archivos e impresoras en la red. Preparar el árbol del dominio destino para conocer previamente en qué UO se almacenarán los objetos del dominio fuente. Preparar una planificación de migración. Configurar los dominios fuente y de destino para activar el soporte del atributo SID-History de los objetos migrados. Este atributo permite a los usuarios migrados conservar sus accesos a recursos del dominio fuente. Una vez migrados al dominio de destino, los objetos obtendrán un nuevo SID que no podrá ser gestionado en el dominio fuente. Una vez cumplidos estos requisitos previos es importante migrar los recursos por lotes, con el fin de reducir el impacto ocasionado por un posible error. Los grupos de seguridad globales deben ser migrados antes que las cuentas de usuario y demás recursos (servidores o cuentas de equipo).

Proceso de migración ADMT Verifique los requisitos previos ADMT y configure los permisos de administración en los dos dominios. Instale ADMT en el dominio de destino. Cree las relaciones de confianza bidireccional entre los dominios fuente y de destino. Active el soporte del SID-History en el dominio de destino. Migre los grupos globales. Migre las cuentas de usuario. Migre los servidores y equipos de trabajo. Migre los grupos de dominio local. Migre los controladores de dominio. Una vez migrados todos los recursos, es posible degradar los controladores de dominio del dominio fuente.

d. Relaciones de confianza Las relaciones de confianza de Active Directory permiten autorizar a los usuarios de otro dominio o bosque para acceder a los recursos internos de la empresa. Por defecto, durante la creación de un subdominio o de dominios pertenecientes a un mismo bosque, se crean automáticamente relaciones de confianza transitivas para autorizar a los usuarios a autenticarse en los dominios del mismo bosque. Cuando un administrador desea conceder un acceso a los recursos del dominio para los usuarios de otro bosque, se debe crear manualmente una relación de confianza no transitiva. Para limitar el tráfico y las peticiones entre dominios de un mismo bosque, se pueden crear manualmente relaciones de confianza directa llamadas abreviadas para conceder el acceso a los recursos. Al agregar un nuevo árbol de dominio al bosque se crea automáticamente una

relación de confianza transitiva. Antes de crear relaciones de confianza, conviene saber que existen diferentes tipos de relaciones de confianza con distintos tipos de transitividad y distintas direcciones que indican el sentido de la confianza.

El tipo de confianza

El tipo de confianza permite definir la relación de aprobación que puede existir entre dos bosques. Existen dos tipos de confianzas: Confianza externa: este tipo de confianza no es transitiva, lo que significa que los usuarios del dominio raíz de cada bosque no pueden acceder a los recursos del dominio raíz del otro bosque. Al no ser transitiva la relación de confianza, los dominios secundarios del bosque no pueden aprobar a los dominios de un bosque externo.

Confianza de bosques: este tipo de confianza es transitiva, lo que significa que los usuarios del dominio raíz de cada bosque pueden acceder a los recursos del dominio raíz del otro bosque:

Confianza Principales/Secundarios: este tipo de confianza creada automáticamente es transitiva. Esto quiere decir que los usuarios del dominio secundario pueden acceder a los recursos del dominio primario y viceversa:

La dirección de la confianza

La dirección de la confianza indica el sentido en el que deben aprobarse los dominios correspondientes (bidireccional o unidireccional). Para autorizar a los usuarios de un dominio a acceder a los recursos de otro dominio, siempre hay que pensar que la relación de confianza se realiza en el sentido del dominio de los recursos hacia el dominio de las cuentas de usuario. El sentido de la relación de confianza es pues muy importante. En los siguientes esquemas, la flecha negra indica el sentido de la confianza y las demás flechas indican el sentido de acceso a los recursos por los usuarios. Existen tres tipos de confianzas: Bidireccional: los usuarios de cada dominio pueden acceder respectivamente a los recursos del otro dominio.

Unidireccional de entrada: los usuarios del dominio A pueden acceder a los recursos del dominio B.

Unidireccional de salida: los usuarios del dominio B pueden acceder a los recursos del dominio A.

Por defecto, al crear una relación de confianza entre un dominio y un bosque externo, el filtrado de los SID de seguridad se activa para evitar cualquier suplantación de identidad. Todo objeto de grupo (con la excepción de los grupos de difusión), equipo o usuario de Active Directory posee un atributo SID. Durante una migración de recursos de un dominio a otro, las cuentas migradas conservan sus atributos de seguridad SID correspondientes al dominio de origen. El SID del dominio origen se convierte automáticamente en el atributo SID-History para adquirir un nuevo SID correspondiente al dominio de destino. Si el filtrado de los SID está activado en el dominio de destino, no se conservará el atributo SID-History porque las referencias del atributo no corresponderán al dominio Active Directory. Para que los usuarios migrados puedan continuar utilizando los recursos del dominio de origen hay que desactivar el filtrado de los SID. Preste atención, si un administrador crea una relación de confianza entre dos bosques con el objetivo de implementar una autenticación con Kerberos, la sincronización temporal de los dominios correspondientes no puede superar un desfase de 5 minutos.

e. Enrutamiento de sufijo de nombre El enrutamiento de sufijo de nombre permite agregar los nombres de sufijo (también llamados sufijos UPN: User Principal Name) como complemento a las cuentas de usuario. De esta forma, el administrador puede definir en las propiedades de una cuenta de usuario el nombre del sufijo a emplear para verificar un inicio de sesión en el dominio. Este nombre de sufijo puede ser diferente de su nombre de dominio. Al igual que una dirección de correo electrónico, un sufijo de nombre se puede escribir de la siguiente manera: login@. Por defecto, cuando editamos las propiedades de una cuenta de usuario, solo el sufijo de nombre correspondiente al nombre de dominio aparece en la lista desplegable:

Mediante el sufijo de nombre, un usuario puede iniciar sesión en el dominio indicando su login de conexión seguido del nombre de sufijo autorizado para su cuenta. Ejemplo de nombre de inicio de sesión: joliv ares@infonov ice.priv Para agregar sufijos de nombre adicionales, basta con realizar las siguientes etapas: Abra la consola Dominios y confianzas de Active Directory. Haga clic con el botón derecho en Dominios y confianzas de active Directory (en la raíz de consola) y haga clic en Propiedades. En la ventana Propiedades: Dominios y confianzas de Active Directory, escriba edicioneseni.es en el campo Sufijos UPN alternativos: y haga clic en Agregar. A continuación, haga clic en Siguiente:

Abra la consola Usuarios y equipos de Active Directory. Edite las propiedades de una cuenta de usuario existente. En la pestaña Cuenta, es posible en adelante seleccionar el sufijo UPN previamente creado:

El enrutamiento de nombres de sufijo permite a los usuarios migrados durante la fusión de dos empresas continuar autenticándose en el dominio de destino con su sufijo UPN original correspondiente al nombre de dominio de origen.

Trabajos prácticos La empresa INFONOVICE desea crear un subdominio Active Directory que agrupará el conjunto de filiales ubicadas en los Estados Unidos. Para ello, solicita sus servicios para instalar un nuevo dominio llamado usa.infonovice.priv en el servidor DC-03 que es miembro del dominio infonovice.priv. La empresa OXYLIVE ha sido recientemente adquirida por la empresa INFONOVICE. En el marco de una consolidación de las infraestructuras Active Directory de los dos dominios, la empresa INFONOVICE solicita sus servicios para implementar una relación de confianza externa entre ambos dominios en previsión de una futura migración de recursos. Para realizar los siguientes trabajos prácticos deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 DC-03: controlador de dominio usa.infonovice.priv, servidor DNS Dirección IP: 192.168.0.110 Máscara de subred: 255.255.255.0 OXYDC-01: controlador de dominio oxylive.local, servidor DNS Dirección IP: 192.168.0.105 Máscara de subred: 255.255.255.0 La contraseña de la cuenta de administrador de cada dominio debe modificarse para utilizar la siguiente contraseña: P@ssw0rd

1. Añadir un dominio al bosque Este taller tiene como objetivo crear un nuevo dominio usa.infonovice.priv en el bosque Active Directory existente cuyo dominio raíz es infonovice.priv. Paso 1: inicie una sesión en el servidor DC-03 que es miembro del dominio infonovice.priv y a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: en la ventana Antes de comenzar, haga clic en Siguiente. Paso 3: en la ventana Seleccionar tipo de instalación, haga clic en Siguiente. Paso 4: en la ventana Seleccionar servidor de destino, haga clic en Siguiente. Paso 5: en los roles de servidor, marque la opción correspondiente al rol Servicios de dominio de Active Directory, a continuación haga clic en Agregar características de la ventana emergente que aparece, y haga clic en Siguiente:

Paso 6: en la ventana Seleccionar características, haga clic en Siguiente. Paso 7: en la ventana Servicios de dominio de Active Directory, haga clic en Siguiente. Paso 8: en la ventana Confirmar selecciones de instalación, haga clic en Instalar. Paso 9: en la ventana Progreso de la instalación, haga clic en Cerrar. Paso 10: haga clic en el signo de exclamación del panel triangular amarillo y, a continuación, haga clic en Promover este servidor a controlador de dominio:

Paso 11: en la ventana Configuración de implementación, seleccione Agregar un nuevo dominio a un bosque existente y escriba a continuación usa en la sección Nuevo nombre de dominio. A continuación, haga clic en el botón Cambiar:

Paso 12: en la ventana emergente de seguridad de Windows, introduzca la información de autenticación de la cuenta Administrador del dominio INFONOVICE.priv y haga clic en Aceptar:

Paso 13: haga clic en Siguiente. Paso 14: en la ventana Opciones del controlador de dominio, deje las opciones por defecto y, a continuación, escriba la contraseña DSRM (P@ssw0rd) y haga clic en Siguiente:

Paso 15: en la ventana Opciones de DNS, verifique que la información de identificación indicada para la creación de una delegación se corresponde a la cuenta Administrador del dominio INFONOVICE y haga clic en Siguiente:

Paso 16: en la ventana Opciones adicionales, verifique que el nombre NETBIOS que aparece se corresponde con el dominio USA y haga clic en Siguiente.

Paso 17: en la ventana Rutas de acceso, deje las opciones por defecto y haga clic en Siguiente(en entornos de PRODUCCIÓN, es recomendable especificar una partición dedicada para cada ubicación de los elementos de la base de datos AD DS, archivos de registro y directorio SYSVOL). Paso 18: en la ventana Revisar opciones, haga clic en Siguiente. Paso 19: en la ventana Comprobación de requisitos previos, haga clic en Instalar (en este punto, verifique que no aparece ningún error en el resumen). Paso 20: tras el reinicio, podemos constatar que el servidor DC-03 se ha promovido correctamente controlador de dominio en el subdominio usa.infonovice.priv. Cuando un administrador agrega un nuevo dominio a un bosque ya existente o un subdominio, el proceso de adición del nuevo dominio crea al mismo tiempo las relaciones de confianza transitivas adecuadas. Podemos visualizar las relaciones de confianza creadas en la consola Dominios yconfianzas de Active Directory, disponible en las herramientas administrativas del sistema operativo:

2. Configurar una confianza AD DS Este taller tiene como objetivo crear una relación de confianza externa bidireccional entre el dominio infonovice.priv y el dominio oxylive.local. Paso 1: en el servidor DC-01, arranque el Administrador del servidor, haga clic enHerramientas en la barra de menú y, a continuación, haga clic en la herramienta de administración Dominios y confianzas de Active Directory. Paso 2: despliegue el árbol de la consola Dominios y confianzas de Active Directory, haga clic con el botón derecho en el dominio infonovice.priv y, a continuación, haga clic en Propiedades. Paso 3: en la ventana Propiedades de: infonovice.priv, haga clic en la pestaña Confianzas y, a

continuación, en Nueva confianza. Paso 4: en la ventana Asistente para nueva confianza, haga clic en Siguiente. Paso 5: en la ventana Nombre de confianza escriba oxylive.local (que corresponde al nombre del dominio al que queremos dar confianza) en el campo Nombre. A continuación, haga clic enSiguiente:

Paso 6: en la ventana Tipo de confianza, marque la opción Confianza externa y, a continuación, haga clic en Siguiente:

Paso 7: en la ventana Dirección de confianza, marque la opción Bidireccional y haga clic enSiguiente:

Paso 8: en la ventana Partes de la relación de confianza, marque la opción Ambos, este dominio y el dominio especificado y, a continuación, haga clic en Siguiente:

Paso 9: en la ventana Nombre de usuario y contraseña, escriba OXYLIVE\administrador en el campo Usuario y P@ssw0rd en el campo Contraseña, a continuación haga clic en Siguiente:

Paso 10: en la ventana Nivel de autenticación de confianza de salida - Dominio local, marque la opción Autenticación en todo el dominio y, a continuación, haga clic en Siguiente. Paso 11: en la ventana Nivel de autenticación de confianza de salida - Dominio especificado, marque la opción Autenticación en todo el dominio y, a continuación, haga clic en Siguiente. Paso 12: en la ventana Se ha completado la selección de confianzas, haga clic dos veces enSiguiente. Paso 13: en la ventana Confirmar confianza saliente, marque la opción Sí y, a continuación, haga clic en Siguiente. Paso 14: en la ventana Confirmar confianza entrante, marque la opción Sí y, a continuación, haga clic en Siguiente. Paso 15: en la ventana Finalización del Asistente para nueva confianza, haga clic en Finalizary, a continuación, haga clic en Aceptar para cerrar la ventana emergente de información sobre la activación del filtrado de identificador de seguridad (SID). Paso 16: podemos en adelante constatar, en la pestaña Confianzas de las propiedades del dominio infonovice.priv, que la relación de confianza externa con el dominio oxylive.local se ha creado correctamente. La relación de confianza no es transitiva porque se trata de un tipo de aprobación de bosque externo:

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a la implantación distribuida de Active Directory en Microsoft Windows Server 2012 R2. Podríamos resumirlo de la manera siguiente: Una infraestructura Active Directory se encuentra organizada jerárquicamente con una gestión administrativa que incluye bosques y dominios. El primer dominio instalado en la infraestructura Active Directory se convierte en el dominio raíz del bosque. La migración de una infraestructura obsoleta a Windows Server 2012 R2 requiere la actualización del esquema de Active Directory. Las relaciones de confianza permiten autorizar a los usuarios externos para acceder a los recursos internos del dominio. El enrutamiento de sufijos de nombres permite personalizar el nombre del dominio asociado al sufijo UPN de una cuenta de usuario.


1. Preguntas 1 ¿Cuál es el nombre del grupo de usuarios que poseen permisos de administración con control total sobre todos los objetos del bosque? 2 ¿Qué particiones del directorio son únicas dentro del bosque? 3 ¿Qué operación debe realizar un administrador antes de introducir el primer controlador de dominio bajo el sistema operativo Windows Server 2012 R2 en una infraestructura existente? 4 ¿Qué herramienta permite migrar los objetos de Active Directory y los recursos de un dominio a otro? 5 ¿Qué es el historial de SID (SID-History)? 6 ¿Qué consola de administración permite personalizar los sufijos UPN de los usuarios del dominio? 7 ¿Para qué sirve una relación de confianza?


3. Respuestas 1 ¿Cuál es el nombre del grupo de usuarios que poseen permisos de administración con control total sobre todos los objetos del bosque? El grupo integrado Administradores de empresas posee control total sobre el conjunto del bosque. 2 ¿Qué particiones del directorio son únicas dentro del bosque? La partición de Configuración y la partición de esquema son únicas dentro del bosque. 3 ¿Qué operación debe realizar un administrador antes de introducir el primer controlador de dominio bajo el sistema operativo Windows Server 2012 R2 en una infraestructura existente? Cuando una infraestructura Active Directory no cuenta con ningún controlador de dominio que emplee el sistema operativo Windows Server 2012 R2, es imperativo actualizar el esquema antes de integrar el primer controlador de dominio bajo Windows Server 2012 R2. El administrador utiliza entonces la herramienta ADPREP.exe, disponible en la carpeta \Support\adprep del DVD de instalación. 4 ¿Qué herramienta permite migrar los objetos de Active Directory y los recursos de un dominio a otro? La herramienta de migración ADMT (Active Directory Migration Tools) permite migrar los recursos de un dominio fuente a un dominio de destino. Esta herramienta está disponible de forma gratuita en el sitio de Microsoft. 5 ¿Qué es el historial de SID (SID-History)? El historial de SID (SID-History) es un atributo asociado a una cuenta de usuario. Cuando se migra una cuenta de usuario de un dominio a otro, este último conserva el atributo SID de su cuenta

inicial en el atributo SID-History de su nueva cuenta de usuario en el nuevo dominio. Esta acción tiene como objeto conservar los permisos de acceso a los recursos del dominio original que no han sido todavía migrados. 6 ¿Qué consola de administración permite personalizar los sufijos UPN de los usuarios del dominio? La consola Dom inios y confianzas de Activ e Directory permite personalizar los sufijos UPN disponibles para el conjunto de los usuarios del dominio. Basta con editar las propiedades del nodo raíz de la consola para agregar los sufijos UPN. 7 ¿Para qué sirve una relación de confianza? Una relación de confianza consiste en autorizar a los usuarios de un dominio para acceder a los recursos de otro dominio.

Requisitos previos y objetivos 1. Requisitos previos Conocer los servicios de dominio Active Directory. Conocer los principios de resolución DNS.

2. Objetivos Comprender los sitios Active Directory. Comprender la autenticación de los usuarios en el dominio. Comprender la búsqueda de servicios en la red. Saber configurar un controlador de dominio como catálogo global. Saber crear sitios y subredes Active Directory.

Presentación de los sitios Active Directory Los sitios Active Directory son objetos del directorio que se encuentran en la partición de configuración: CN=Sites,CN=Configuration,DC=.

1. Objetivo de los sitios Un sitio tiene como objetivo gestionar el tráfico de replicación entre sitios y facilitar la ubicación de los servicios. La necesidad de crear sitios se hace evidente cuando es imperativo identificar y separar una red fuertemente conectada como, por ejemplo, una sede central de un anexo de la empresa que se encuentra en una red remota con una conexión lenta. Una red fuertemente conectada representa un sitio de Active Directory donde replicaciones de los cambios aportados a Active Directory son instantáneas.

las

Una red menos fuertemente conectada estaría representada por conexiones lentas, menos fiables o costosas. No es indispensable replicar los cambios inmediatamente en este tipo de red, para optimizar el rendimiento, reducir los costes o ahorrar ancho de banda. Sería posible realizar por la noche la replicación de las particiones del directorio entre dos sitios para no interferir con el tráfico de los usuarios y penalizar la calidad de servicio en entornos con anchos de banda reducidos. Hablamos de una conexión lenta cuando su ancho de banda es inferior a los 512 Kbps. Es pues recomendable crear un sitio para delimitar esta parte de la red. De esta forma, un usuario conectado a un sitio donde la conexión con la sede central sea lenta se verá obligado a conectarse a un controlador de dominio de su sitio.

a. Administración de los sitios La gestión de los sitios se realiza a través de la herramienta de administración Sitios y servicios de Active Directory, disponible en la siguiente ubicación:%SYSTEMROOT%\System32\dssite.msc o mediante las herramientas administrativas de Windows Server:

La consola de administración Sitios y servicios de Active Directory es un complemento disponible, también, mediante una consola MMC.

Esta consola de administración permite gestionar los siguientes elementos: Las subredes (Subnets) Los protocolos de transporte (IP o SMTP) Los sitios Las topologías de replicación La programación de replicación Los vínculos entre sitios Los servidores de catálogo global

b. Ubicación de los servicios La ubicación de los servicios permite a los clientes de un sitio localizar el controlador de dominio más cercano a su ubicación geográfica, o un servicio de red próximo a su sitio, con el objetivo de utilizar los recursos de su sitio en lugar de solicitar recursos de un sitio remoto. Los sitios de Active Directory ayudan a localizar los servicios, incluyendo aquellos proporcionados por los controladores de dominio. Durante el inicio de sesión, los clientes de Windows se redirigen, automáticamente, a un controlador de dominio de su sitio. Si no se encuentra disponible ningún controlador de dominio en el sitio, se les redirige hacia el controlador de dominio de otro sitio que será capaz de identificarles. Para que un usuario identifique los recursos disponibles en su sitio, el equipo cliente efectúa una petición DNS para consultar el conjunto de registros de tipo SRV. Un registro SRV permite indicar qué servidor ofrece un servicio en la red: Ejemplos de servicios disponibles en los registros SRV de un servidor DNS: Servidor Kerberos: para la autenticación de los usuarios en el dominio. Servidor LDAP: para el directorio Active Directory. Cada servidor que se une a un dominio llamadosUbicación de servicio o registro SRV.

anuncia

los

servicios

creando

registros

DNS

Mediante los sitios, los usuarios contactan con los servidores del sitio que disponen del servicio adecuado.

2. Los sitios

Durante la creación del primer dominio de un bosque, los servicios de dominio Active Directory crean automáticamente un sitio por defecto llamado Default-First-Site-Name (es recomendable renombrar el sitio por defecto para darle un nombre más representativo). También es recomendable crear un sitio para una parte de la red que albergue al menos un controlador de dominio o un servicio de recursos DFS replicado. Para definir un sitio, hay que crear un objeto de clase Site. Este objeto es un contenedor que permite gestionar la replicación entre controladores de dominio.

3. Las subredes Las subredes permiten a los clientes saber a qué sitio pertenecen en función de su dirección IP. Es importante definir cada subred IP (IPv4 o IPv6) como un objeto de tipo subred Active Directory (LAN, WAN, VPN). Si la dirección IP de un cliente no está comprendida en el rango de direcciones de una subred, el cliente no será capaz de determinar a qué subred pertenece y esto puede acarrear problemas de rendimiento. Un sitio es solo útil cuando los clientes y los servidores saben a qué sitio pertenecen. Para conseguir esto, la dirección IP del equipo cliente debe estar asociada a un sitio existente, y son los objetos de clase subred los que permiten establecer esta asociación. Por tanto debemos definir previamente las subredes de cada sitio. Una subred está asociada a un sitio. Cuando un cliente se conecta al dominio, se identifica de inmediato con su dirección IP para ser redirigido a un controlador de dominio de su sitio. Los objetos de tipo Subred se almacenan en la partición de configuración del directorio:CN=Subnet,CN=Schema,CN=Configuration,DC=
bosque>

Un sitio puede poseer varias subredes. Las conexiones VPN deben definirse, también, en los objetos de subred.

4. Los servidores de catálogo global Los controladores de dominio que actúan como servidores de catálogo global se configuran desde la consola Sitios y servicios de Active Directory. El primer controlador de dominio instalado en un nuevo bosque Active Directory se define como servidor de catálogo global de forma predeterminada. Como recordatorio, cuando una empresa tiene una infraestructura de Active Directory con varios dominios, un servidor de catálogo global tiene una réplica de los objetos de los otros dominios. De esta forma, un usuario de un dominio A podrá efectuar una búsqueda de un objeto situado en un dominio B consultando un servidor de catálogo global de su dominio:

Para definir un controlador de dominio como servidor de catálogo global, basta con abrir la

consolaSitios y servicios de Active Directory, editar las propiedades del objeto NTDS Settings asociado al controlador de dominio que se va a configurar y marcar la opción Catálogo global.

Los servidores de catálogo global permiten, también, almacenar la pertenencia de un grupo o cuenta de usuario a un grupo universal. La pertenencia de cada objeto de grupo o usuario a un grupo universal se replica siempre en los servidores que actúan como catálogo global. Si no se encuentra disponible ningún servidor de catálogo global en un sitio o un dominio, los inicios de sesión serán todos simplemente rechazados, para evitar cualquier problema de seguridad vinculado al acceso a los recursos. Para evitar esto, si un sitio no dispone de un servidor de catálogo global en cada controlador de dominio, se puede habilitar la actualización en cache de la pertenencia a grupo universal (funcionalidad UGMC: Universal Group Membership Caching). Activando la funcionalidad UGMC empleando la consola Sitios y servicios Active Directory, los servidores que albergan el catálogo global mantendrán en caché la información de pertenencia a grupos universales. Si en un momento concreto no existe ningún servidor de catálogo global disponible en el sitio, los controladores de dominio podrán utilizar la información previamente almacenada en caché y de esta forma autorizar el acceso a los recursos de red. Cuando la funcionalidad UGMC está activa, los controladores de dominio que albergan el catálogo global actualizan la caché cada 8 horas.

5. Las particiones Active Directory En una infraestructura multidominio que contiene varios sitios de Active Directory cada dominio mantiene y actualiza los datos contenidos en la base de datos NTDS. Esta base de datos del directorio contiene varias particiones (también llamadas contextos de nomenclatura, como la partición de dominio, la partición de configuración o la partición de esquema) y los controladores de dominio de cada sitio replican las copias o las réplicas de las particiones del directorio. La partición de dominio se replica en todos los controladores de dominio de un mismo dominio y no en los controladores de dominio incluidos en otros dominios. La partición de esquema se replica en todos los controladores de dominio del bosque. Cualquier controlador de dominio de cualquier sitio poseerá, por tanto, una réplica de la partición de esquema.

La partición de configuración se replica en todos los controladores de dominio del bosque. Cualquier controlador de dominio de cualquier sitio poseerá, también, una réplica de la partición de configuración. Los servidores de catálogo global tienen una utilidad muy importante en una infraestructura multisitio.

6. Los vínculos de sitios Por defecto, cada nuevo sitio que se agrega a la infraestructura Active Directory, se agrega al vínculo de sitio llamado DEFAULTIPSITELINK. Los vínculos de sitio se encuentran en la consola Sitios y servicios de Active Directory, en el nodo Inter-Site Transport - IP.

a. Funcionamiento de los vínculos de sitios Todos los sitios pertenecientes al mismo vínculo de sitio pueden replicarse entre sí gracias a la topología de replicación calculada automáticamente. Por defecto cuando creamos un bosque, el objeto vínculo de sitios DEFAULTIPSITELINK se crea en el complemento Sitios y servicios de Active Directory. En una estructura Active Directory compuesta de varios sitios se recomienda crear manualmente los vínculos de sitios que reflejen la topología física de la red.

Por defecto, todos los vínculos de sitios creados automáticamente por la topología de replicación son transitivos, lo que significa que están interconectados para aumentar la tolerancia a fallos relacionados con la replicación. Para desactivar la transitividad de los vínculos de sitios automáticos, basta con deshabilitar la opción Enlazar todos los vínculos a sitios en las propiedades del nodo vinculado al protocolo de transporte IP: Sites\Inter-Site Transport\IP.

Si la transitividad de los vínculos de sitios se encuentra deshabilitada, el administrador debe entonces configurar manualmente los vínculos de sitios para obtener una ruta de replicación válida en caso de error o pérdida de contacto con uno de los sitios, hablamos entonces de creación de puentes de sitios.

b. Administración de los vínculos de sitios Durante la edición de las propiedades de un vínculo de sitios, podemos configurar las opciones siguientes: La descripción. Los sitios pertenecientes al vínculo de sitios. El coste de utilización del vínculo de sitios. El plazo para supervisión/replicación. La programación de la replicación.

La descripción del vínculo de sitios es una información disponible para los administradores de la infraestructura Active Directory. Permite identificar claramente un vínculo de sitios y conocer su utilidad en el caso de una topología de replicación compleja. Los sitios presentes en el vínculo de sitios se presentan directamente al comprobador de coherencia para generar automáticamente una topología de replicación, y crear los objetos de conexión adecuados. Los costes del vínculo de sitios se utilizan para gestionar el tráfico de replicación. Los costes más altos se utilizan para enlaces lentos y los costes más bajos para enlaces rápidos. Por defecto, todos los vínculos están configurados con un coste con el valor 100. La replicación entre sitios se basa en la exploración, no hay notificación de cambios para iniciar el proceso de replicación. De manera predeterminada, cada 3 horas (180 minutos) un servidor cabeza de puente interrogará a sus asociados de replicación para determinar si existen modificaciones disponibles. Podemos modificar este valor para reducir el intervalo de exploración, sabiendo que el valor mínimo es de 15 minutos. La programación de la replicación del vínculo de sitios permite indicar la franja horaria autorizada para la exploración y la replicación entre sitios. Los vínculos de sitios deben poseer al menos dos sitios para poder ser creados.

7. Los puentes de sitio Los puentes de sitio permiten crear manualmente vínculos entre sitios transitivos cuando la creación de vínculos automática está desactivada. Cada vínculo de sitios posee entonces un controlador de dominio servidor haciendo de cabeza de puente. Un servidor cabeza de puente es un servidor responsable de cualquier réplica de una partición en el sitio y fuera del sitio. Estos últimos están encargados de replicar las modificaciones de una partición recibidas por los servidores cabeza de puente de otros sitios. Cada sitio puede estar configurado para disponer de un servidor cabeza de puente que replicará los datos a un servidor cabeza de puente de otro sitio. La creación de un puente de sitio se hace a través de la consola Sitios y servicios de Active Directory, en el contenedor Inter-Site Transports \ IP:

Trabajos prácticos La empresa INFONOVICE posee un sitio en Madrid y otro en León, y desea configurar los sitios de Active Directory para que los usuarios de cada ciudad puedan identificar los recursos de sus sitios. Para ello, solicitan sus servicios para configurar los controladores de dominio empleando la consola Sitios y servicios de Active Directory para que los clientes puedan identificar su sitio de pertenencia. Los sitios están conectados empleando un enlace de alta velocidad. Para evitar cualquier problema de pérdida de comunicación con el servidor de catálogo global del sitio de León, activará la funcionalidad de actualización en caché de los grupos universales. La infraestructura Active Directory se compone de los controladores de dominio de Madrid (representados en la maqueta por el servidor DC-01), y los controladores de dominio de León (representados en la maqueta por el servidor DC-02). Los equipos cliente ubicados en Madrid están integrados en la red 172.16.0.0/16 mientras que los equipos ubicados en León están integrados en la red 192.168.0.0/24. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 172.16.0.1 Máscara de subred: 255.255.0.0 Puerta de enlace predeterminada: 192.168.0.254 DC-02: controlador de dominio infonovice.priv, servidor DNS y DHCP Dirección IP: 192.168.0.101 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254

1. Cambiar el nombre del sitio predeterminado Paso 1: arranque el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Sitios y servicios de Active Directory. Paso 2: despliegue el árbol de la consola para seleccionar el sitio por defecto llamado DefaultFirst-Site-Name. Paso 3: haga clic con el botón derecho en el sitio por defecto y, a continuación, haga clic enCambiar nombre. Escriba Madrid y valide la modificación:

2. Crear los sitios Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga

clic en Sitios y servicios de Active Directory. Paso 2: en el árbol de la consola, haga clic con el botón derecho en la carpeta Sites y, a continuación, haga clic en Nuevo sitio - Sitio. Paso 3: en la ventana Nuevo objeto: Sitio, escriba León en el campo Nombre. A continuación, seleccione el objeto de vínculo a sitios llamado DEFAULTIPSITELINK y haga clic en Aceptar:

Paso 4: la siguiente ventana le informa sobre las mejores prácticas a seguir después de la creación de un objeto Sitio. Léalas y haga clic en Aceptar:

Paso 5: el sitio de León aparece, a continuación, en el árbol de la consola Sitios y servicios de Active Directory:

3. Asignar servidores a un sitio Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Sitios y servicios de Active Directory. Paso 2: despliegue el árbol de la consola para desarrollar los nodos Sites, Madrid y Servers. Aparece el conjunto de controladores de dominio porque el sitio Madrid era previamente el sitio por defecto:

Paso 3: haga clic con el botón derecho en el controlador de dominio DC-02 y haga clic en Mover. Paso 4: seleccione el sitio de León y haga clic en Aceptar:

Paso 5: despliegue el árbol de la consola para desarrollar el nodo Sites - León - Servers. El controlador de dominio DC-02 aparece en adelante como asignado al sitio de León. Los usuarios de este sitio podrán a partir de ahora contactar con este controlador de dominio durante el inicio de sesión:

4. Crear subredes Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Sitios y servicios de Active Directory. Paso 2: en la consola, despliegue el árbol de carpetas. Paso 3: a continuación, haga clic con el botón derecho en la carpeta Subnets y haga clic enNueva - Subred. Paso 4: en el campo Prefijo de la ventana Nuevo objeto: Subred escriba 172.16.0.0/16 y, a continuación, seleccione el sitio Madrid. A continuación, haga clic en Aceptar:

Paso 5: la subred 172.16.0.0/16 dedicada al sitio Madrid aparece, ahora, en la consola Sitios y servicios de Active Directory:

Paso 6: haga de nuevo clic con el botón derecho en la carpeta Subnets y haga clic en Nueva Subred. Paso 7: en el campo Prefijo de la ventana Nuevo objeto: Subred escriba 192.168.0.0/24 y, a continuación, seleccione el sitio León. A continuación, haga clic en Aceptar:

Paso 8: la subred 192.168.0.0/24 dedicada al sitio León aparece, ahora, en la consola Sitios y servicios de Active Directory:

5. Configurar el catálogo global Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Sitios y servicios de Active Directory. Paso 2: despliegue el árbol de la consola para desarrollar el nodo Sites - León - Servers - DC-

02. Paso 3: seleccione NTDS Settings y haga clic en Propiedades. Paso 4: en la ventana Propiedades: NTDS Settings, verifique que la opción Catálogo globalestá seleccionada y, a continuación, haga clic en Aceptar:

El controlador de dominio DC-02 está, ahora, configurado para actuar como catálogo global en el sitio de León.

6. Configurar la caché Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Sitios y servicios de Active Directory. Paso 2: despliegue el árbol de la consola para desarrollar el nodo Sites - León. Paso 3: en la parte derecha de la ventana Sitios y servicios de Active Directory, haga clic con el botón derecho en NTDS Site Settings y haga clic en Propiedades:

Paso 4: en la ventana Propiedades: NTDS Site Settings, marque la opción Habilitar caché de pertenencia al grupo universal. En la lista desplegable, especifique la actualización de la caché desde Madrid y, a continuación, haga clic en Aceptar:

La pertenencia a los grupos universales estará en adelante activada en los controladores de dominio que alberguen el catálogo del sitio de León. La información de la caché se replicará desde los servidores de catálogo global del sitio de Madrid.

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a los sitios de Active Directory. Podría resumirse de la manera siguiente: Los sitios Active Directory son objetos del directorio almacenados en la partición de configuración. Los sitios ayudan a los clientes a autenticarse en un controlador de dominio de su mismo sitio. Los sitios proporcionan una ayuda para la ubicación de los servicios. Los sitios permiten gestionar el tráfico de replicación. Las subredes son objetos del directorio almacenados en la partición de configuración. El catálogo global contiene un juego de atributos parcial de los objetos del bosque. La consola Sitios y servicios de Active Directory permite gestionar los sitios y vínculos de sitio. Un vínculo a sitio contiene varios sitios que están autorizados a replicarse entre sí. Los puentes de sitio permiten crear manualmente vínculos de sitio transitivos. La topología de replicación de un sitio se calcula automáticamente mediante el comprobador de coherencia (KCC). Se recomienda crear manualmente la topología de replicación entre sitios.


1. Preguntas 1 ¿En qué partición del directorio se almacenan los objetos Sitios? 2 ¿Qué complemento permite gestionar los sitios Active Directory? 3 ¿En qué partición del directorio se almacenan los objetos Subred? 4 ¿Cuál es el procedimiento a seguir para configurar un controlador de dominio como servidor de catálogo global? 5 ¿Con cuántos sitios debe contar un vínculo de sitio como mínimo? 6 ¿Para qué sirve un sitio de Active Directory? 7 ¿A qué consola de administración corresponde el complemento dssite.msc? 8 ¿Para qué sirve la funcionalidad UGMC?


3. Respuestas 1 ¿En qué partición del directorio se almacenan los objetos Sitios? Los objetos Sitios se almacenan en la partición Configuration del directorio en la ubicación siguiente: CN=Sites,CN=Configuration,DC= 2 ¿Qué complemento permite gestionar los sitios Active Directory? El complemento Sitios y servicios de Active Directory permite gestionar los objetos Site. Este complemento se encuentra en la carpeta %SYSTEMROOT%\System 32\dssite.m sc 3 ¿En qué partición del directorio se almacenan los objetos Subred? Los objetos Subred están almacenados en la partición Configuration del directorio en la ubicación siguiente: CN=Subnet,CN=Schem a,CN=Configuration,DC= 4 ¿Cuál es el procedimiento a seguir para configurar un controlador de dominio como servidor de catálogo global? Para configurar un controlador de dominio como servidor de catálogo global hay que abrir la consola Sitios y servicios de Active Directory, editar las propiedades NTDS Settings asociado al objeto de servidor, y marcar la opción Catálogo global. 5 ¿Con cuántos sitios debe contar un vínculo de sitio como mínimo? Un vínculo de sitio debe poseer al menos dos sitios para poder ser creado. 6 ¿Para qué sirve un sitio de Active Directory? Un sitio Active Directory permite fundamentalmente gestionar el tráfico de replicación y facilitar la ubicación de los servicios. 7 ¿A qué consola de administración corresponde el complemento dssite.msc?

dssite.msc corresponde al complemento Sitios y serv icios de Activ e Directory. 8 ¿Para qué sirve la funcionalidad UGMC? La funcionalidad UGMC (Universal Group Membership Caching) permite almacenar en caché los datos de pertenencia a grupos universales. Ésta permite autorizar la autenticación de usuarios cuando ningún servidor de catálogo global está disponible.

Requisitos previos y objetivos 1. Requisitos previos Conocer los servicios de dominio Active Directory. Conocer el despliegue distribuido de Active Directory. Conocer los sitios y servicios de Active Directory. Conocer las particiones de dominio.

2. Objetivos Comprender la replicación de Active Directory. Implementar la replicación de Active Directory entre distintos sitios. Resolver problemas y supervisar la replicación de Active Directory.

Presentación de la replicación de Active Directory En una infraestructura Active Directory, cuando un administrador efectúa modificaciones en un controlador de dominio, los datos modificados se replican en el conjunto de los controladores de dominio del bosque. Cuando la replicación tiene lugar entre los controladores de dominio, hablamos de replicación con varios maestros. De este modo, no hay una relación maestro/esclavo entre los controladores de dominio porque cada DC está disponible en escritura. Los controladores de dominio de solo lectura, también llamados RODC, no se encuentran disponibles en escritura y, por tanto, no pueden replicar las posibles modificaciones efectuadas en la base de datos de Active Directory. Por lo tanto, los servidores de RODC reciben datos que mantienen los controladores de dominio en escritura. Hablamos de replicación unidireccional. Un administrador debe asegurarse de que la infraestructura Active Directory replica correctamente toda la información de la base de datos NTDS a través de todos los controladores de dominio del bosque.

1. Replicación de Active Directory En una infraestructura Active Directory, cada controlador de dominio incluye una copia de la base de datos de Active Directory. Esta base de datos se divide en varias particiones donde el ámbito de la replicación puede abarcar el dominio o el bosque Active Directory. Estas particiones representan el contexto de nomenclatura. Un contexto de nomenclatura corresponde a los elementos siguientes: Dominio: contiene todos los objetos almacenados en un dominio (cuentas de usuario, cuentas de equipo, grupos y directivas de grupo). Configuración: contiene los objetos que representan la estructura lógica del bosque - los dominios - y la topología física - los sitios, las subredes y los servicios. Esquema: define las clases de objeto y sus atributos, que pueden estar contenidos en la base de datos de Active Directory. Las particiones replicadas a escala del bosque: Partición de esquema Partición de configuración Las particiones replicadas a escala del dominio: Partición de dominio Partición de aplicación Los servicios de dominio Active Directory son responsables de mantener actualizados los datos contenidos en cada controlador de dominio implementando una topología de replicación que encargará a los controladores de dominio replicar las particiones modificadas que se encuentran en los controladores de dominio configurados en la topología de replicación. Los controladores de dominio se convierten en asociados de replicación. Este conjunto de réplicas entre los controladores de dominio aporta un gran nivel de tolerancia a fallos. Si algún controlador de dominio se quedara, súbitamente, sin servicio, tanto la autenticación de los usuarios como la gestión de los permisos dentro del dominio seguirían funcionando, porque los asociados de replicación todavía en línea contienen, también, una copia de la base de datos Active Directory.

a. Programación de la replicación Como mencionamos previamente, cada controlador de dominio conserva y mantiene una copia actualizada de la base de datos Active Directory pero, ¿cómo saber cuándo y qué replicar? Una infraestructura de replicación de varios maestros implica que cualquier controlador de dominio de escritura puede forzar una replicación cuando se modifica su contenido. Para saber si ha tenido

lugar algún cambio en el dominio, los controladores de dominio interrogan periódicamente a sus asociados de replicación para saber si la replicación es necesaria o no (Polling). Es posible modificar la programación de la replicación de Active Directory mediante la consola Sitios y servicios de Active Directory. De manera predeterminada, en un entorno de un único dominio, un controlador de dominio consulta su asociado de replicación una vez cada hora:

Si se planifican replicaciones de varios maestros, ciertas modificaciones de la configuración Active Directory conllevan una replicación inmediata en el conjunto de los controladores dominio. Por ejemplo, cuando un administrador desactiva una cuenta de usuario, el controlador dominio que haya experimentado la modificación envía una notificación a sus asociados replicación para que repliquen la actualización inmediatamente. De esta forma, la cuenta usuario deshabilitada no podrá iniciar sesión en el dominio.

de de de de de

Para sitios conectados mediante enlaces de baja velocidad, puede ser imperativo reducir el tráfico de replicación Active Directory autorizando a los controladores de dominio a escrutar las actualizaciones de sus asociados de replicación en una franja horaria donde la tasa de actividad de los usuarios sea inferior. Solo las actualizaciones importantes, como la modificación de una contraseña, podrán generar una replicación inmediata entre los diferentes asociados de la topología de replicación.

b. Topología de replicación Por defecto, los servicios de dominio Active Directory crean automáticamente la topología de replicación. Cuando un administrador agrega un controlador de dominio, el objeto que representa la cuenta de equipo del servidor se agrega automáticamente en la consola Sitios y servicios de Active Directory. Para construir la topología de replicación, los servicios de dominio Active Directory utilizan el componente Comprobador de coherencia (KCC, Knowledge ConsistencyChecker) que crea automáticamente un objeto de conexión en la consola Sitios y servicios de Active Directory para indicar los diferentes asociados de replicación de los controladores de dominio. Esto permite saber en qué controladores de dominio replicar los datos. Si se elimina algún controlador de dominio, el comprobador de coherencia actualiza los objetos de conexión reorganizando dinámicamente la topología de replicación. A continuación aparece el ejemplo de una topología de replicación con objetos de conexión creados por el comprobador de coherencia:

Un administrador puede, también, crear objetos de conexión manualmente para mantener el control total sobre la topología de replicación. Un objeto de conexión creado manualmente nunca será eliminado por la gestión dinámica del comprobador de coherencia. Por este motivo, se desaconseja gestionar topologías de replicación de varios maestros de forma estática porque esto complica considerablemente la administración. Cuando dos sitios de una infraestructura intercambian datos, la topología de replicación Active Directory (KCC) emplea una ruta lógica para replicar los datos. Cada sitio se encuentra lógicamente conectado a otro sitio a través de un controlador de dominio que se encargará de replicar los datos entre los sitios. Si la infraestructura Active Directory está compuesta de varios sitios, una topología de replicación entre sitios (ISTG: Inter Site Topology Generator) se despliega para que cada sitio pueda encontrar una ruta de replicación a través de un controlador de dominio perteneciente a otro sitio. El generador de topología entre sitios crea automáticamente los objetos de conexión para crear las rutas de replicación Active Directory. Las modificaciones efectuadas en el directorio se replican entre controladores de dominio utilizando dos protocolos: DS-RPC (Directory Service Remote Procedure Call): DS-RPC aparece en el complemento Sitios y servicios de Active Directory bajo la forma IP. IP se utiliza en toda replicación entre sitios y es el protocolo preferido por defecto por la replicación entre sitios. ISM-SMTP (Inter Site Messaging - Simple Mail Transfer Protocol): este protocolo solo se utiliza cuando las conexiones entre los sitios no son fiables o no están siempre disponibles. La implementación de una autoridad certificadora permite la securización del tráfico de replicación en las redes no fiables. El inconveniente de utilizar el SMTP en una topología de replicación es que este último no puede utilizarse para replicar el contexto de nomenclatura del dominio. Por este motivo, la replicación Active Directory empleando el protocolo SMTP en el conjunto de los controladores de dominio de la empresa debe asegurarse en un dominio separado. Muy pocas organizaciones utilizan el protocolo SMTP para la replicación Active Directory debido a la carga administrativa requerida para configurar y gestionar una autoridad de certificación (CA). En una topología de replicación, no puede haber más de tres saltos. Esto permite optimizar la replicación y limitar el tráfico en la red. En una red compuesta de 3 a 5 controladores de dominio, a razón de cerca de 15 segundos de espera por salto, una modificación en Active Directory se replicará en menos de un minuto. En una topología de replicación creada automáticamente, si uno de los controladores de dominio no se encuentra disponible, algunos asociados de replicación no podrán recibir notificaciones

durante una modificación. Por este motivo existe un proceso de sondeo de las modificaciones (también llamado polling). Este proceso permite verificar, junto con su asociado de replicación, si se ha realizado alguna actualización (por defecto, el sondeo se realizará cada hora). Si el servidor interrogado no responde, el asociado de replicación inicia el comprobador de coherencia para validar la topología de replicación que se reconstruirá si el controlador de dominio está realmente desconectado. Para visualizar la topología de replicación, basta con realizar los siguientes pasos: Desde el Administrador del servidor, abra la consola Sitios y servicios de Active Directory. Despliegue el árbol de la consola para identificar el controlador de dominio DC-01 en la ubicación siguiente: Sitios y servicios de Active directory - Sites - Servers Despliegue el árbol del servidor DC-01 y seleccione NTDS Settings. En la ventana de la derecha aparece, ahora, un objeto de conexión generado automáticamente por el comprobador de coherencia. Este objeto de conexión está almacenado en la partición de configuración e indica cuál es el servidor asociado de replicación del servidor DC-01.

c. Objetos de conexión Un objeto de conexión puede crearse de dos maneras: Automáticamente por el comprobador de coherencia Manualmente por el administrador Cuando un administrador edita un objeto de conexión, puede modificar los elementos siguientes: La programación El asociado de replicación

El campo Contextos de nomenclatura replicados indica las particiones que se replicarán en el asociado de replicación. Encontramos, en particular, las particiones de: Esquema Configuración ForestDnsZone DomainDnsZone El botón Cambiar programación permite especificar las franjas horarias autorizadas para realizar una replicación Active Directory entre los asociados de replicación del objeto de conexión específico:

El botón Cambiar de la sección Replicar desde permite especificar el controlador de dominio sobre el que se replicarán los datos Active Directory:

Cada objeto de conexión de la consola Sitios y servicios de Active Directory representa un sentido de replicación unidireccional entre dos asociados de replicación.

Cuando el comprobador de coherencia ha generado la topología de replicación completa, un administrador puede forzar una replicación entre los diferentes asociados de un objeto de conexión realizando los pasos siguientes:

Desde la consola Sitios y servicios de Active Directory, despliegue el árbol de la consola para seleccionar un objeto de conexión de un controlador de dominio. Haga clic con el botón derecho en el objeto de conexión generado por el comprobador de coherencia y haga clic en Replicar ahora:

Si un administrador elimina accidentalmente un objeto de conexión creado automáticamente por el comprobador de coherencia, siempre es posible generar una nueva topología de replicación realizando los pasos siguientes: Desde la consola Sitios y servicios de Active Directory, despliegue el árbol de la consola para seleccionar un controlador de dominio. A continuación, despliegue el nodo correspondiente al controlador de dominio y seleccione NTDS Settings. Haga clic con el botón derecho en NTDS Settings, haga clic en Todas las tareas y, a continuación, en Comprobar la topología de replicación. Espere varios minutos a que el comprobador de coherencia analice y cree la topología de replicación adecuada para el dominio. Actualice a continuación la consola Sitios y servicios de Active Directory. Los objetos de conexión del controlador de dominio reaparecen:

Un administrador puede crear manualmente un objeto de conexión para forzar la replicación de un controlador de dominio en otro controlador de dominio específico, siguiendo este procedimiento: Desde la consola Sitios y servicios de Active Directory, despliegue el árbol de la consola para seleccionar un controlador de dominio. A continuación, despliegue el nodo correspondiente al controlador de dominio y seleccione NTDS Settings. Haga clic con el botón derecho en NTDS Settings, haga clic en Nuevo y, a continuación, despliegue en Conexión. En el resultado de la búsqueda de los controladores de dominio, seleccione el asociado de replicación sobre el que desea replicar y haga clic en Aceptar:

Escriba el nombre del objeto de conexión para identificarlo rápidamente en la consola Sitios y servicios de Active Directory y haga clic en Aceptar:

El nuevo objeto de conexión aparece, ahora, en la consola Sitios y servicios de Active Directory:

d. Replicación a los RODC Una infraestructura Active Directory utiliza un sistema de replicación de varios dominios, debido a que un administrador puede crear o modificar objetos en cualquier controlador de dominio y los cambios se replican en otros controladores de dominio. Un controlador de dominio de solo lectura (RODC) no puede ser alterado por un administrador. Esto no impide al comprobador de coherencia (KCC) crear objetos de conexión destinados a replicar los datos de un controlador de dominio de escritura sobre un controlador de dominio de solo lectura. En este caso particular, el comprobador de coherencia creará una topología de replicación unidireccional para actualizar los controladores de dominio de solo lectura. Sin embargo, a veces ocurre que una operación necesita una escritura en la base de datos Active Directory. En este caso, el controlador de dominio de solo lectura transfiere la solicitud de escritura a un controlador de dominio en escritura. Una vez realizada la modificación, el controlador de dominio que haya realizado el registro replica el contenido de la base de datos Active Directory que contiene el controlador de dominio de solo lectura. El controlador de dominio de solo lectura indica de esta forma a la aplicación o el usuario que haya realizado la solicitud de escritura el nombre del controlador de dominio que debe contactar para seguir las operaciones de modificación de la base de datos Active Directory:

e. Replicación de contraseñas (RODC) La principal utilidad de un controlador de dominio de solo lectura (RODC: Read Only Domain Controller) es mejorar el proceso de autenticación de los usuarios de un sitio remoto y mejorar la seguridad sin almacenar ninguna contraseña. Sin embargo, es posible activar la escritura en caché de algunas contraseñas de cuentas de usuario configurando una directiva de replicación de contraseñas para los controladores de dominio de solo lectura. Cuando la contraseña de una cuenta de usuario se almacena en caché, el servidor RODC puede autenticar directamente a un usuario asignándole un ticket de servicio que le permite acceder a los recursos. En caso contrario, el servidor RODC transmite la solicitud de autenticación del usuario a un controlador de dominio en escritura. Solo las cuentas de usuario miembros del grupo de seguridad del dominio local Grupo de replicación de contraseña RODC permitida, pueden tener su contraseña guardada en caché en un RODC.

La directiva de replicación de contraseña de un servidor RODC define, entonces, aquellas cuentas de usuario cuyas contraseñas se almacenarán en caché. Para acceder a la configuración de la directiva de replicación de contraseñas basta con editar las propiedades de un controlador de dominio en lectura desde la consola Usuarios y equipos de Active Directory:

La directiva de replicación de contraseñas de un RODC contiene varios grupos por defecto: Administradores Grupo de replicación de contraseña RODC permitida Grupo de replicación de contraseña RODC denegada Opers. de cuentas Operadores de copia de seguridad Opers. de servidores Solo el grupo donde las contraseñas RODC están permitidas tiene configurado el parámetro comoPermitir. Por defecto, el grupo llamado Grupo de replicación de contraseña RODC permitida no contiene ninguna cuenta de usuario definida. El administrador debe, por tanto, configurar manualmente la directiva de replicación de contraseñas. Para que un usuario cuya contraseña se ha guardada en caché pueda iniciar una sesión en un controlador de dominio de solo lectura, la contraseña de la cuenta del equipo del usuario debe estar, también, configurada para guardarse en caché.

f. Los conflictos de replicación En una infraestructura Active Directory que emplea una replicación de varios dominios, si dos administradores trabajan cada uno en un controlador de dominio distinto y realizan una

modificación al mismo tiempo sobre el mismo objeto, indicando valores diferentes para el mismo atributo, se puede producir un conflicto de replicación. Para evitar esta situación, Microsoft ha implementado un sistema de detección de conflictos que permite aportar una solución adecuada para todas las posibles situaciones que puedan causar un conflicto de actualización. Para ello, cada objeto de Active Directory posee los siguientes atributos específicos que ayudan a resolver conflictos de replicación: Atributo de versión: durante la creación de un objeto, éste se crea automáticamente con un número de versión almacenado en el atributo uSNCreated del objeto. Este atributo se incrementa con cada modificación en el atributo uSNChanged del mismo objeto. Por ejemplo, una cuenta de usuario con el atributo de versión 15 pasará automáticamente a la versión 16 si un administrador cambia una propiedad del objeto. Entonces, durante un conflicto de replicación, la modificación de un objeto cuyo número de versión sea mayor será prioritaria. Atributo GUID (Globally Unique IDentifier): durante la creación de un objeto, se le asigna un valor específico en el atributo objectGUID. Este valor representa un identificador único en el bosque que no puede ser modificado. El identificador asignado se calcula mediante un algoritmo y la fecha y hora de la creación para generar un código de 128 bits. Durante un conflicto de replicación relativo a la creación simultánea de dos objetos con el mismo nombre en la misma UO, el objeto con el atributo objectGUID generado en primer lugar tendrá prioridad. Atributo de marca de tiempo: cada modificación de un objeto implica la actualización del atributo when Changed, lo que permite registrar una marca de tiempo de la modificación. Durante un conflicto de replicación, la modificación del objeto con la fecha de modificación más reciente será prioritaria.

2. Replicación SYSVOL a. Presentación de la carpeta SYSVOL La carpeta SYSVOL es una carpeta local que se crea automáticamente durante la promoción de un servidor a controlador de dominio para albergar los servicios de dominio Active Directory. Por defecto, la carpeta SYSVOL se crea en la siguiente ruta: C:\Windows\SYSVOL

El rol de la carpeta SYSVOL es principalmente albergar los scripts de inicio de sesión así como los parámetros de directivas de grupo (GPO). La carpeta C:\Windows\SYSVOL\sysvol está compartida de manera predeterminada para que cualquier usuario del dominio pueda recuperar los elementos necesarios para el inicio de sesión en el dominio. En esta carpeta compartida, encontramos un enlace simbólico que nos dirige a la carpeta C:\Windows\SYSVOL\domain:

Parámetros de directivas de grupo: si un administrador del sistema modifica un objeto de directiva de grupo, los parámetros configurados se registran automáticamente en la carpetaC:\Windows\SYSVOL\domain\Policies\.

Scripts de inicio de sesión: si un administrador crea un script de inicio de sesión para que los usuarios puedan acceder a él desde la red, el script será depositado en la carpetaC:\Windows\SYSVOL\domain\scripts. La carpeta SYSVOL es muy importante para el buen funcionamiento de los servicios de dominio Active Directory.

b. Replicación de la carpeta SYSVOL Para que cada controlador de dominio mantenga y albergue una misma copia del directorio SYSVOL, el proceso de replicación definido por el comprobador de coherencia asegura que el conjunto de los controladores de dominio estén actualizados. Se trata de una replicación de archivos de un controlador de dominio a otro. En las versiones anteriores de Windows Server, el proceso encargado de replicar el directorio SYSVOL era FRS (File Replication System). A partir de Windows Server 2008, se utiliza el proceso DFS-R (Distributed File System Replication). Para realizar la replicación de la carpeta SYSVOL con DFS-R, el nivel funcional del dominio debe estar configurado al menos como Windows Server 2008. Para migrar el sistema de replicación de la carpeta SYSVOL para utilizar el sistema de replicación

DFS-R, el administrador del sistema enC:\Windows\System32\Dfsrmig.exe.

debe

utilizar

la

herramienta

DFSRMIG

ubicada

La migración del sistema de replicación FRS a DFS-R se compone de cuatro etapas: 0 (start): etapa por defecto del controlador de dominio. Solo se utiliza FRS para replicar el directorio SYSVOL en esta etapa. 1 (prepared): se crea una copia del directorio SYSVOL en una carpeta llamada SYSVOL_DFSR y, a continuación, se agrega al juego de replicación existente. DFS-R replica a continuación el contenido de las carpetas SYSVOL_DFSR en todos los controladores de dominio. FRS sigue replicando las carpetas SYSVOL originales y los clientes siguen utilizando el directorio SYSVOL en esta etapa. 2 (redirected): la carpeta compartida SYSVOL\sysvol se redirige para ser en adelante SYSVOL_DFSR\sysvol. Los clientes emplean en adelante la carpeta SYSVOL_DFSR para obtener los scrips de inicio de sesión y las plantillas de directivas de grupo. 3 (eliminated): se detiene el servicio de replicación FRS, lo que detiene automáticamente la replicación de la carpeta SYSVOL. El comando dsfrmig.exe cuenta con tres opciones:

Setglobalstate [state]: esta opción configura el estado de la migración DFS-R global en curso, y se aplica a todos los controladores de dominio. El estado especificado en el parámetro [state] es un número comprendido entre 0 y 3. Cada controlador de dominio será notificado del nuevo estado de la migración DFS-$ y migrará automáticamente a ese estado.

Getglobalstate: esta opción reporta del estado de la migración DFS-R global en curso. Getmigrationstate: esta opción reporta el estado de la migración en curso de cada controlador de dominio. La opción Getmigrationstatepermite controlar el progreso de los controladores de dominio indicando el estado de la migración DFS-R. En caso de producirse algún problema al pasar de una etapa a la siguiente, es posible volver a las etapas anteriores utilizando la opción setglobalstate. Sin embargo, después de haber usado la opción setglobalstate para especificar la etapa 3 (eliminated), es imposible volver a las etapas anteriores.

3. Supervisar y resolver problemas Para supervisar y gestionar la replicación con el objetivo de resolver problemas o para optimizarla, podemos utilizar una de estas dos herramientas de generación de informes: Repadmin.exe(herramienta de diagnóstico de la replicación) y Dcdiag.exe (herramienta de diagnóstico de los servicios de directorio). Estas herramientas están disponibles en la carpetaC:\Windows\system32, o directamente a partir de un símbolo del sistema. Repadmin.exe: esta herramienta por línea de comandos permite conocer el estado de la replicación en cada controlador de dominio. Es posible utilizar repadmin.exe para crear la topología de replicación y forzar la replicación entre los controladores de dominio. Ejemplo de utilización del comando

repadmin.exe:

En los ejemplos siguientes la variable DSA_NAMES representa un identificador de red (nombre DNS, NetBIOS o dirección IP de un controlador de dominio).

Repadmin /showrepl [DSA_NAMES]: permite mostrar los socios de replicación de un controlador de dominio.

Repadmin /showconn [DSA_NAMES]: permite mostrar los objetos de conexión de un controlador de dominio.

Repadmin /showobjmeta [DSA_NAMES] [CN_Objeto]: permite mostrar los metadatos de un objeto, sus atributos y replicación.

Repadmin /kcc: fuerza al comprobador de coherencia a recalcular la topología de replicación entrante para el servidor.

Repadmin /replicate [DESTINO_DSA_NAMES] [FUENTE_DSA_NAMES] [nombre_de_contexto_de_nomenclatura]: permite forzar la replicación entre dos socios.

Repadmin /syncall [DSA_NAME] /A /e: permite sincronizar un controlador de dominio con todos sus socios, incluyendo los de demás sitios. Dcdiag.exe: es una herramienta por línea de comandos que permite diagnosticar el estado de los servicios de directorio. Esta herramienta realiza un número de verificaciones y genera un informe del estado global de la replicación y de la seguridad de los servicios de dominio de Active Directory. El uso de la herramienta dcdiag.exe sin parámetros ejecuta un conjunto de pruebas y presenta los resultados. Ejemplo de comandos

dcdiag.exe:

Dcdiag /c: ejecuta casi todas las pruebas de diagnóstico. Dcdiag /Test:FrsEvent: muestra todos los errores de funcionamiento del servicio de replicación de archivos (FRS).

Dcdiag /Test:DFSREvent: muestra todos los errores de funcionamiento del servicio de replicación de archivos (DFS-R).

Dcdiag /Test:Intersite: detecta los fallos que pudieran impedir o retrasar la replicación entre sitios.

Dcdiag /Test:KccEvent: identifica los errores de verificación de coherencia de los datos.

Dcdiag /Test:Replications: verifica la puntualidad de la replicación entre controladores de dominio.

Dcdiag /Test:Topology: verifica que la topología de replicación está completamente conectada para todos los DSA.

Dcdiag /Test:VerifyReplicas: verifica que todas las particiones del directorio de aplicaciones están completamente presentes en los controladores de dominio que albergan las réplicas.

Trabajos prácticos La empresa INFONOVICE posee dos sitios principales, estando uno en Madrid y el otro en León. Existen también sucursales en Nueva York y Toledo. Esta empresa desea configurar la replicación Active Directory entre estos sitios. Los dos sitios principales están conectados entre sí mediante enlaces ADSL de alta velocidad, y cada sitio dispone de controladores de dominio de escritura. El sitio de Nueva York posee un controlador de dominio en escritura pero está conectado mediante un enlace de baja velocidad. Para realizar el esquema, la empresa solicita sus servicios para configurar la replicación entre los sitios cada hora entre los sitios principales. Otro sitio basado en Toledo está conectado a los demás sitios mediante un enlace de baja velocidad. Hay pocos usuarios en el sitio de Toledo, por lo que está prevista la instalación de un controlador de dominio de solo lectura. La replicación a este pequeño sitio tendrá lugar cada 4 horas al igual que para el sitio de Nueva York. Deberá configurar la directiva de replicación de las contraseñas para almacenar en caché la contraseña de los usuarios no confidenciales del sitio. La infraestructura Active Directory está compuesta por un controlador de dominio en Madrid (representada en la maqueta por el servidor DC-01), un controlador de dominio en León (representado en la maqueta por el servidor DC-02) y un controlador de dominio en Nueva York (representado en la maqueta por el servidor DC-03). El sitio de Toledo cuenta con un controlador de dominio de solo lectura (representado en la maqueta por el servidor DC-04). Para simplificar el enrutamiento del entorno de prueba, el conjunto de los sitios se ubicará en la misma subred (192.168.0.0/24). En un entorno de producción, cada sitio debe poseer su propia dirección de red para que los clientes puedan fácilmente identificar el controlador de dominio asociado a su subred. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv (Madrid), servidor DNS y DHCP Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 DC-02: controlador de dominio infonovice.priv (León), servidor DNS y DHCP Dirección IP: 192.168.0.101 Máscara de subred: 255.255.255.07 DC-03: controlador de dominio infonovice.priv (Nueva York), servidor DNS Dirección IP: 192.168.0.110 Máscara de subred: 255.255.255.0 DC-04: controlador de dominio (RODC) infonovice.priv (Toledo) Dirección IP: 192.168.0.111 Máscara de subred: 255.255.255.0 Requisitos previos: Instale y configure los controladores de dominio. Renombre el sitio por defecto indicando Madrid. Cree los otros tres sitios: Nueva York, Toledo y León. Asigne el controlador de dominio DC-02 al sitio de León. Asigne el controlador de dominio DC-03 al sitio de Nueva York. Asigne el controlador de dominio (RODC) DC-04 al sitio de Toledo.

En este punto, todos los sitios están conectados en el mismo vínculo de sitio por defecto llamado DEFAULTIPSITELINK.

1. Configurar la replicación Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Sitios y servicios de Active Directory. Paso 2: despliegue el árbol de la consola: Sitios y servicios de Active Directory - Sites - InterSite Transports - IP. Haga clic con el botón derecho en IP y haga clic en Nuevo vínculo a sitios. Paso 3: en la ventana Nuevo objeto - Vínculo de sitio, escriba SUCURSALES en el campoNombres y, a continuación, agregue los sitios de Nueva York y Toledo a este nuevo vínculo. Haga clic en Siguiente.

Paso 4: edite las propiedades del vínculo SUCURSALES para configurar el campo Replicar cadaen 240 minutos. A continuación, haga clic en el botón Cambiar programación:

Paso 5: en la ventana Programación para SUCURSALES, prohíba la replicación en fines de semana y, a continuación, haga clic en Aceptar y cierre las propiedades del vínculo SUCURSALES:

Paso 6: haga clic con el botón derecho en DEFAULTIPSITELINK para cambiar el nombre del vínculo por defecto escribiendo CENTRALES:

Paso 7: edite las propiedades del vínculo CENTRALES para configurar el campo Replicar cada en60 minutos. Asigne solamente los sitios de Madrid y León en este vínculo y haga clic en Aceptar:

La replicación está, ahora, configurada con los vínculos de sitio creados manualmente. Los controladores de dominio situados en el vínculo CENTRALES se replicarán cada 60 minutos, mientras que los controladores de dominio situados en el vínculo SUCURSALES se replicarán entre sí cada 240

minutos:

2. Configurar la directiva RODC Paso 1: abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en Usuarios y equipos de Active Directory. Paso 2: cree los grupos de seguridad de tipo global Usuarios-Toledo y Equipos-Toledo en la UOINFONOVICE\Grupos. A continuación, cree las cuentas de usuario Usuario1 y Usuario2 en la UO INFONOVICE\Usuarios. Las dos cuentas de usuario deben ser miembros del grupoUsuarios-Toledo. Cree a continuación las cuentas de equipo Equipo1 y Equipo2 en la UOINFONOVICE\Equipos. Las dos cuentas de usuario deben ser miembros del grupo EquiposToledo. Paso 3: despliegue el árbol de la consola hasta seleccionar la Unidad organizativa Domain Controllers:

Paso 4: haga clic con el botón derecho en el controlador de dominio DC-04 (cuyo tipo está indicado como solo lectura, GC) y haga clic en Propiedades. Paso 5: haga clic en la pestaña Directiva de replicación de contraseñas y, a continuación, haga doble clic en el único grupo donde la configuración indica Permitir (se trata del grupo de dominio local llamado Grupo de replicación de contraseña RODC permitida).

Paso 6: en la ventana de las propiedades del grupo de seguridad de dominio local, haga clic en la pestaña Miembros y, a continuación, en el botón Agregar. Paso 7: seguidamente busque el grupo de seguridad global llamado Usuarios-Toledo y haga clic en Aceptar dos veces:

Paso 8: en la ventana Propiedades: DC-04, haga clic en el botón Opciones avanzadas de la pestaña Directiva de replicación de contraseñas. Paso 9: en la ventana Directiva de replicación de contraseñas avanzada para DC-04, haga clic en la pestaña Directiva resultante y, a continuación, haga clic en el botón Agregar. Paso 10: busque la cuenta de usuario llamada Usuario1 y, a continuación, haga clic en Aceptar. La cuenta aparece con una configuración resultante Permitir. Esto quiere decir que la contraseña

de la cuenta de usuario seleccionado está autorizada a ser guardada en caché en el servidor RODC:

Paso 11: haga clic en la pestaña Uso de directivas. Paso 12: haga clic en el botón Rellenar contraseñas previamente. Paso 13: busque las cuentas de usuario Usuario1 y Usuario2 y, a continuación, haga clic enAceptar:

Paso 14: se abre la ventana Rellenar contraseñas previamente. El mensaje de aviso indica que las cuentas de equipo usadas para el inicio de sesión por los usuarios seleccionados deben agregarse también al grupo de contraseña autorizado en RODC. Haga clic en Sí:


Paso 16: agregue el grupo de seguridad global Equipos-Toledo en el grupo llamado Grupo de replicación de contraseña RODC permitida:

Paso 17: repita las etapas 11 a 12 para buscar las cuentas de equipo Equipo1 y Equipo2. Haga clic en Sí para rellenar las contraseñas de las cuentas de equipo:


Una vez que todas las contraseñas de las cuentas de usuario y de equipo estén almacenadas en la caché del controlador de dominio de solo lectura, aparecen en la pestaña Uso de directivas:

3. Monitorizar la replicación Paso 1: abra un símbolo del sistema con privilegios de administrador. Paso 2: escriba el comando siguiente para mostrar todos los socios de replicación del controlador de dominio DC-01:

repadmin /showrepl DC-01

Paso 3: escriba el comando siguiente para mostrar el conjunto de objetos de conexión del comprobador de coherencia de la información del controlador de dominio DC-01:

repadmin /showconn DC-01

Paso 4: escriba el comando siguiente para forzar al comprobador de coherencia de la información a volver a calcular la topología de replicación del controlador de dominio:

repadmin /kcc

Paso 5: escriba el comando siguiente para forzar la sincronización del controlador de dominio DC01 con todos sus socios de replicación:

repadmin /syncall DC-01 /A /e

Paso 6: escriba el comando siguiente para verificar la topología de replicación:

dcdiag /test:topology

Paso 7: escriba el comando siguiente para comprobar la puntualidad del controlador de dominio sobre el que se ejecuta el comando:

dcdiag /test:replications

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a la replicación de Active Directory en Microsoft Windows Server 2012 R2. Podríamos resumirse de la siguiente manera: En una infraestructura Active Directory que cuente con más de un controlador de dominio, cada modificación en el directorio se replica en los demás controladores de dominio. Existen dos tipos de controladores de dominio. Los controladores de dominio de escritura y los controlador de dominio de solo lectura (RODC). El directorio está dividido en varias particiones que se replican, algunas a escala de bosque (partición de esquema y de configuración) y otras a escala de dominio (partición de dominio y de aplicación). Un administrador puede configurar y gestionar la replicación a través del complemento Sitios y servicios de Active Directory. Los controladores de dominio emiten notificaciones de actualización a los demás controladores de dominio para indicar que un administrador ha realizado alguna modificación. A continuación comienza el proceso de replicación. Si ningún controlador de dominio recibe la notificación de actualización, se inicia automáticamente un proceso de sondeo. Se trata de los propios controladores de dominio que interrogan a su socio de replicación para saber si existe o no una actualización. La topología de replicación se calcula automáticamente mediante el comprobador de coherencia de datos (KCC). Los servidores RODC pueden guardar en caché la contraseña de las cuentas de usuario y equipos mediante una directiva de replicación de contraseñas. La carpeta SYSVOL de cada controlador de dominio se actualiza mediante una replicación de archivos empleando el sistema de replicación FRS o DFS-R. Las herramientas repadmin.exe y dcdiag.exe permiten controlar y resolver los problemas vinculados a la replicación en Active Directory.


1. Preguntas 1 ¿Qué componente de la infraestructura Active Directory es responsable de la creación de una topología de replicación? 2 ¿Qué herramienta de administración permite gestionar las replicaciones Active Directory? 3 ¿Qué acciones debe realizar un administrador para poner en caché en un RODC las contraseñas de las cuentas de usuario o equipos? 4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver conflictos de replicación. 5 ¿Qué contiene la carpeta compartida %SYSTEMROOT%\SYSVOL\sysvol de un controlador de dominio Active Directory? 6 ¿Qué herramienta está a disposición de los administradores para migrar el proceso de replicación FRS a DFS-R? 7 ¿Para qué sirve la herramienta repadmin.exe? 8 ¿Para qué sirve la herramienta dcdiag.exe? 9 Cite dos métodos que permitan forzar la replicación Active Directory entre dos socios de replicación.


3. Respuestas 1 ¿Qué componente de la infraestructura Active Directory es responsable de la creación de una topología de replicación? El comprobador de coherencia de la información (KCC: Knowledge Consistency Checker) se encarga de construir automáticamente una topología de replicación creando los objetos de conexión para cada socio de replicación. 2 ¿Qué herramienta de administración permite gestionar las replicaciones Active Directory? El complemento Sitios y servicios de Active Directory permite gestionar las replicaciones Active Directory. 3 ¿Qué acciones debe realizar un administrador para poner en caché en un RODC las contraseñas de las cuentas de usuario o equipos? El administrador de la infraestructura Active Directory debe poner las cuentas de usuario y de equipo en el grupo de seguridad de dominio local, donde la contraseña RODC está autorizada. Una vez completado, el administrador puede rellenar las contraseñas de los objetos de este grupo en la caché del RODC. 4 Cite al menos dos atributos sobre los que Active Directory puede basarse para resolver conflictos de replicación.

Para resolver conflictos de replicación, Active Directory puede verificar los siguientes atributos: Atributo de versión (uSNCreated & uSNChanged) Atributo GUID (Globally Unique Identifier) Atributo de marca de tiempo (whenChanged) 5 ¿Qué contiene la carpeta compartida %SYSTEMROOT%\SYSVOL\sysvol de un controlador de dominio Active Directory? El directorio compartido %SYSTEMROOT%\SYSVOL\sysvol en un controlador de dominio alberga el conjunto de scripts de inicio de sesión, además de las GPO existentes en el dominio Active Directory. 6 ¿Qué herramienta está a disposición de los administradores para migrar el proceso de replicación FRS a DFS-R? Para migrar el sistema de replicación FRS de la carpeta SYSVOL para utilizar el sistema de replicación DFS-R los administradores pueden utilizar la herramienta DFSRMIG ubicada en: C:\Windows\System32\Dfsrmig.exe 7 ¿Para qué sirve la herramienta repadmin.exe? La herramienta repadmin.exe permite diagnosticar y resolver los problemas vinculados a la replicación en Active Directory. 8 ¿Para qué sirve la herramienta dcdiag.exe? La herramienta dcdiag.exe permite diagnosticar y resolver los problemas vinculados al servicio de directorio de Active Directory. 9 Cite dos métodos que permitan forzar la replicación Active Directory entre dos socios de replicación. Para forzar la replicación entre dos socios, podemos: Seleccionar un objeto de conexión en la interfaz gráfica, hacer clic con el botón y, a continuación, hacer clic en Replicar ahora. Ejecutar el comando repadmin /replicate.

Requisitos previos y objetivos 1. Requisitos previos Conocimiento básico de la administración de Windows Server 2012 R2. Conocimiento básico de la seguridad informática. Conocimiento básico de los certificados digitales.

2. Objetivos Saber administrar una infraestructura de clave pública. Saber instalar una entidad de certificación. Saber administrar certificados. Saber administrar plantillas de certificados. Saber administrar los niveles jerárquicos de una entidad de certificación. Saber revocar certificados. Saber cómo solicitar un certificado a una entidad de certificación.

Infraestructura de claves públicas En el mundo de la informática, la seguridad es un punto crucial para cualquier organización que intercambie datos digitales en una red (interna o externa). Cuando se trata de intercambiar datos confidenciales o personales, siempre puede existir la duda respecto al interlocutor con el que nos comunicamos, o el temor a que los datos transmitidos puedan ser interceptados y explotados con fines malintencionados. Las infraestructuras de claves públicas, llamadas PKI (Public Key Infrastructure), fueron concebidas para construir una relación de confianza en un entorno a veces mal securizado.

1. Presentación de PKI Las infraestructuras de clave pública (PKI) se han creado con el objetivo de probar a los demás que es realmente quien dice ser durante un intercambio de datos a través de una red informática. La identidad de cada entidad, componente de red, individuo, sistema u otros puede ser verificada empleando un certificado emitido por una entidad de certificación aprobada. Los certificados digitales forman parte integral de una infraestructura de claves públicas y pueden ser totalmente transparentes para un usuario que emplea un ordenador a diario. Encontramos el uso de los certificados en todo tipo de elementos, sea para securizar una conexión VPN IPsec (Virtual Private Network Internet Protocol security), el intercambio de correos electrónicos, efectuar un pago en línea en un sitio comercial (sitio web HTTPS empleando un certificado SSL) o securizar el acceso a archivos o carpetas utilizando un sistema de cifrado EFS (Encrypting File System). Las infraestructuras de clave pública nos ayudan pues a securizar las comunicaciones informáticas y, en particular, a establecer vínculos de confianza entre las personas físicas y los certificados digitales igual que lo haría un documento nacional de identidad. Un administrador a cargo de una infraestructura de clave pública debe distribuir los certificados digitales con extremo cuidado a las personas que formen parte de su organización y revocar los certificados de aquellos usuarios que ya no formen parte de la misma. Por ejemplo, cuando consulta el sitio Internet de su banco para verificar sus cuentas, el acceso se encuentra probablemente securizado empleando una página web HTTPS que utiliza un certificado SSL. Si muestra las propiedades del certificado, puede constatar que posee información de la entidad de certificación que ha proporcionado el certificado a su banco. Su navegador acepta mostrar la página solicitada porque el certificado ha sido emitido por una entidad de certificación comercial aprobada como, por ejemplo, VeriSign. Por defecto, su navegador de Internet contiene una lista de entidades de certificación comerciales aprobadas. Esta lista se actualiza automáticamente cuando realiza una actualización de su sistema operativo. La lista de certificaciones comerciales aprobadas está disponible en las opciones de su navegador web (pestaña Contenido para Internet Explorer y la pestaña Cifrado en opciones, o la opción avanzadopara Mozilla Firefox):

2. Componentes de una PKI Una infraestructura de clave pública se compone de varios elementos de los cuales algunos ofrecen servicios a los usuarios. Encontramos por ejemplo los elementos siguientes: Las entidades de certificación (CA: Certificate Authority): permiten crear y gestionar los certificados. Las entidades de certificación pueden estar estructuradas bajo diferentes formas jerárquicas que podemos definir de dos o tres niveles. Los certificados digitales: los certificados los distribuye una entidad de certificación aprobada por la organización (CA interna o comercial). Los certificados sirven para autenticar un servicio, un servidor, un usuario o un sitio comercial. En el caso de un sitio web, por ejemplo, el certificado emitido debe poseer, como atributo, el nombre DNS del sitio web accedido por los usuarios mediante una URL. Si el nombre no se corresponde, el usuario no podrá acceder a la información securizada. Esto permite asignar un certificado válido para un único servicio. Lo mismo ocurre con un certificado de usuario que contiene el nombre y apellidos de la persona interesada. La autenticación por certificado solo funciona si se verifica la identidad del usuario. Las plantillas de certificados: las plantillas de certificados permiten a los administradores generar certificados previamente configurados en función del uso deseado. Estos certificados pueden personalizarse en función de las necesidades. Las claves públicas y las claves privadas: se emplean para cifrar y descifrar los datos. Los equipos cliente: los usuarios pueden utilizar sus puestos cliente para solicitar certificados a una entidad de certificación declarada en Active Directory o mediante un formulario de una página web de la entidad de certificación. También pueden acceder a sitios securizados por certificados. Los equipos cliente tienen una lista de entidades emisoras de

certificados de confianza (accesible desde un navegador web o el complemento Certificados), lo que les permite validar el acceso a sitios web mediante certificados emitidos por entidades de certificación comerciales. Las listas de revocación de certificados (CRL: Certificate Revocation Lists): representan las listas emitidas por entidades de certificación y los certificados digitales que ya no son válidos o están revocados. Una entidad de certificación mantiene actualizada esta lista que contiene el detalle de la asignación de certificados indicando las fechas de validez, así como aquellos certificados que han sido revocados. Cuando se presenta un certificado para acceder a un servicio, un inicio de sesión o una solicitud de cifrado, el sistema de autenticación o de verificación accede automáticamente a una lista de revocación diaria desde una entidad de certificación aprobada para verificar la validez del certificado. Si éste aparece en la lista, el acceso es simple y llanamente denegado. Si la CRL introducida en el certificado no se puede obtener, el acceso es igualmente denegado. Los respondedores en línea: los clientes pueden emplear un respondedor en línea para interrogar a una entidad de certificación directamente para conocer el estado de un certificado recién presentado. Este proceso es más rápido que la descarga y la consulta de una nueva lista de revocación de certificados. A partir de las anteriores versiones de Windows Server, Microsoft integra en su sistema operativo un componente que permite la instalación, configuración y gestión de entidades de certificación. A partir de Windows Server 2008, este componente aparece como un rol de servidor, mejor conocido bajo el nombre de Active Directory Certificate Services (AD CS).

3. Cifrado Cuando un administrador desea securizar datos informáticos, puede implementar todo tipo de sistemas o tecnologías haciendo imposible el acceso de una persona no autorizada. Pero, ¿qué pasa si los datos securizados son interceptados en la red o sustraídos con el robo de un servidor o de un disco duro de la empresa? Todo dato no protegido puede, por definición, accederse de forma abierta. Esto quiere decir que cualquier persona con malas intenciones puede acceder a sus datos sin mucho esfuerzo una vez que la seguridad principal ha sido anulada. Para garantizar la integridad de sus datos, es posible securizar el conjunto de los elementos basándose en certificados para cifrar y descifrar los datos o información del sistema. Una infraestructura de clave pública ofrece a su vez servicios criptográficos, que permiten mantener la integridad de los datos del sistema de información. Una infraestructura PKI se basa en dos métodos de cifrado de los datos: Cifrado simétrico (por clave secreta): el uso de un cifrado simétrico necesita el intercambio de un secreto compartido entre dos componentes o personas que desean comunicarse. El cifrado se realiza empleando un mecanismo específico y el secreto intercambiado entre los dos asociados consiste en revelar el funcionamiento del mecanismo de cifrado. Esto permite a diferentes asociados poder descifrar los datos cifrados empleando un secreto definido en un algoritmo. Cualquier individuo que posee el secreto podrá, por tanto, descifrar los datos. Cifrado asimétrico (por clave pública): el uso de un cifrado asimétrico permite cifrar los datos empleando un sistema de pares de claves. Se utiliza una clave pública para cifrar los datos, mientras que se utiliza una clave privada para descifrarlos. La clave pública puede ser conocida por todos y puede ser intercambiada en redes no seguras. La clave privada debe sin embargo ser segura y conocida solamente por la persona que va a acceder a los datos cifrados.

Presentación de AD CS Los servicios de certificados de Active Directory en Windows Server 2012 R2 se presentan bajo la forma de un rol de servidor. Este rol permite, en particular, implementar una infraestructura jerárquica de claves públicas para crear y gestionar los certificados. Mediante AD CS es posible responder a diferentes necesidades empresariales como la securización de las comunicaciones VPN, WAN, LAN e inalámbricas, securizar los sitios web IIS o securizar mensajes electrónicos emitidos por un servidor de mensajería Microsoft Exchange.

1. Servicios de certificados AD CS Es posible instalar AD CS como una entidad de certificación independiente o empresarial. AD CS puede proporcionar los servicios de certificados al interior o al exterior de la red empresarial. AD CS integra funcionalidades adicionales con el sistema operativo Windows Server 2012. Encontramos, en particular, las novedades siguientes: Los servicios de rol AD CS pueden instalarse en cualquier edición de Windows Server 2012 R2. Los servicios de rol AD CS pueden instalarse en una instalación mínima (Core Server). AD CS está ahora integrado con el administrador del servidor. Aporta funcionalidades PowerShell adicionales. Los equipos miembro de un grupo de trabajo pueden, ahora, realizar una petición de renovación de un certificado. Compatibilidad con los nombre de dominio internacionales. Los servicios AD CS y los clientes PKI reconocen, ahora, los sitios AD DS. Una seguridad mejorada a nivel del servicio de rol Entidad de certificación. En la versión del sistema operativo Microsoft Windows Server 2008 R2 el tipo de entidad de certificación empresarial solo puede instalarse en la edición Enterprise o Datacenter.

a. CA independiente Una entidad de certificación independiente tiene la ventaja de poderse instalar en un servidor miembro de un dominio o de un grupo de trabajo. El requisito previo AD DS no es necesario cuando deseamos desplegar una CA independiente. Este tipo de instalación de entidad de certificación se utiliza, por lo general, en infraestructuras de claves públicas de varias capas. La entidad de certificación raíz instalada en una jerarquía de CA debe ser de tipo independiente. Su función es la de generar un certificado destinado a las CA intermedias. Después de la instalación de una CA raíz independiente, se aconseja ponerla fuera de línea o desconectada de la red para incrementar la seguridad de la infraestructura de clave pública. En una infraestructura de CA de tres capas, la entidad de certificación intermediaria debe, también, ser de tipo independiente. La instalación de una entidad de certificación raíz requiere la configuración de los siguientes elementos: Puntos de distribución de lista de revocación de certificados (CDP: CRL Distribution Points): los CDP permiten indicar la ubicación de una CRL, empleada al solicitar la validación de un certificado. Acceso a la información de entidad emisora (AIA: Authority Information Access): las AIA permiten indicar a los usuarios la ubicación donde encontrar el certificado de la entidad de certificación raíz.

b. CA empresarial

Una entidad de certificación empresarial se encuentra integrada en los servicios de dominio Active Directory. En una infraestructura de claves públicas, las CA empresariales se utilizan, por lo general, como entidad de certificación emisora. La instalación de este tipo de CA se realiza en un servidor miembro de un dominio. De esta forma, los usuarios del dominio pueden enviar las solicitudes de certificados que pueden aprobarse directamente en la entidad de certificación empresarial encargada de emitir los certificados. La instalación de este tipo de CA es dependiente del sistema operativo que la alberga.

c. Administración de AD CS La instalación del rol de servidor AD CS agrega a las herramientas administrativas del sistema operativo la consola de administración Entidad de certificación:

Esta consola de administración en:%SYSTEMROOT%\system32\certsrv.msc

es

un

complemento

situado

La instalación de AD CS instala, también, el servicio Windows Servicios de certificados de Active Directory, configurado con un tipo de arranque Automático:

Si acaba de instalar una entidad de certificación intermedia, el servicio Windows Servicios de certificados de Active Directory estará en un estado detenido porque no se habrá importado ningún certificado emitido por una entidad certificadora maestra. La consola de administración certsrv permite visualizar el estado del servidor mediante un icono en la autoridad de certificación (Servicio Windows detenido o arrancado). También podemos detener o arrancar una entidad de certificación desde el complemento:

El árbol de la consola de administración AD CS permite acceder a los siguientes contenedores:

Certificados revocados: permite visualizar el conjunto de certificados revocados o expirados de su organización. Certificados emitidos: permite visualizar el conjunto de certificados aprobados o emitidos por su organización. Solicitudes pendientes: permite visualizar el conjunto de certificados solicitados por los componentes de red u otros usuarios. Los certificados que aparecen en este contenedor deben aprobarse manualmente antes de poder utilizarlos. Error en las solicitudes: permite visualizar el conjunto de solicitudes de certificados que han fallado. También es posible emitir certificados desde este contenedor. Cuando se instala un certificado, es posible administrarlo o visualizarlo desde la consola de administración de certificados: %SYSTEMROOT%\system32\certlm.msc: permite gestionar los certificados vinculados al equipo. %SYSTEMROOT%\system32\certmgrmsc: permite gestionar los certificados vinculados al usuario.

2. Jerarquía de CA Una infraestructura de claves públicas puede funcionar empleando un único servidor independiente que tenga el rol de servidor AD CS. Sin embargo, cuando su infraestructura está compuesta por varias entidades de certificación, hablamos de una jerarquía de CA. El uso de un único servidor para la explotación de los servicios de certificados puede debilitar la seguridad de la infraestructura de claves públicas. Para reforzar la seguridad, podemos agregar entidades de certificación adicionales a una PKI. Existen diferentes tipos de jerarquía de CA cuya topología corresponderá a los requisitos de seguridad o necesidades empresariales. En una jerarquía CA de varias capas, un servidor CA raíz se encarga de asignar los certificados a las CA subordinadas, para que ellas mismas puedan asignar los certificados a los usuarios, equipos o servicios. En una jerarquía de CA, el nivel más alto se denomina entidad de certificación raíz. Todo ataque contra el servidor que contiene la CA raíz, o cualquier CA, puede comprometer la seguridad del conjunto de las CA intermedias o subyacentes. Por ello es importante securizar las entidades de certificación de mayor nivel colocándolas fuera de línea o inaccesibles a cualquier intento de intrusión. En la mayoría de las situaciones, las PKI se implementan en infraestructuras de dos o tres capas.

a. Infraestructura de dos capas Una infraestructura de entidad de certificación de dos capas aporta un mínimo de seguridad pues permite situar fuera de línea a la CA raíz para mantener únicamente a la CA emisora para la asignación y aprobación de certificados. Generalmente, se implementa una CA raíz independiente en el nivel más alto y se ubica una CA empresarial emisora en el nivel más bajo para proporcionar los servicios de certificados a los equipos y usuarios de la red. Según el modelo de infraestructura de dos capas, se instalan los siguientes tipos de entidades de certificación: CA raíz: CA independiente (fuera de línea)

CA emisora: CA empresarial (en línea)

b. Infraestructura de tres capas Una infraestructura de entidad de certificación de tres capas aporta un nivel mayor de seguridad y disponibilidad porque las CA de mayor nivel pueden dejarse fuera de línea y las CA emisoras pueden implementarse de manera redundante para aportar una mejor disponibilidad o cubrir una mayor zona geográfica. Generalmente, se configura una CA raíz independiente en el nivel más alto y, a continuación, se ubican en segundo nivel las CA raíz independientes intermedias. Por último, las CA empresariales emisoras se sitúan en el nivel más bajo para proporcionar los servicios de certificados a los equipos o usuarios de la red. CA raíz: CA independiente (fuera de línea) CA intermedia: CA independiente (fuera de línea) CA emisora: CA empresarial (en línea)

c. CA raíz La CA raíz tiene el nivel más alto de una jerarquía de CA. Durante la creación de una nueva entidad de certificación raíz, hay que crear obligatoriamente una nueva clave privada. La creación de una clave privada requiere proveer la siguiente información: La selección de un proveedor de servicios criptográficos: para generar un par de claves para la entidad de certificación raíz, la API Microsoft Crypto debe utilizar un proveedor de cifrado software o hardware. La longitud de la clave: el número de caracteres de la clave determina la longitud de las claves del par. Cuanto mayor sea la longitud de la clave, más largo será el proceso de decodificación. La selección de un algoritmo hash: los algoritmos hash permiten securizar las claves utilizando un algoritmo de cálculo específico, destinado a generar información cifrada del par

de claves. Existen de manera predeterminada: 14 proveedores de cifrado: Microsoft Base Smart Card Crypto Provider Microsoft Enhanced Cryptographic Provider v1.0 ECDSA_P256#Microsoft Smart Card Key Storage Provider ECDSA_P521#Microsoft Smart Card Key Storage Provider RSA#Microsoft Sotftware Key Store Provider Microsoft Base Cryptographic Provider v1.0 ECDSA_P521#Microsoft Software Key Store Provider ECDSA_P256#Microsoft Software Key Store Provider Microsoft Strong Cryptographic Provider ECDSA_P384#Microsoft Software Key Storage Provider Microsoft Base DSS Cryptographic Provider RSA#Microsoft Smart Card Key Storage Provider DSA#Microsoft Software Key Storage Provider ECDSA_P384#Microsoft Smart Card Key Storage Provider 4 longitudes de clave: 512 1024 2048 4096 7 algoritmos hash: SHA256 SHA384 SHA512 SHA1 MD5 MD4 MD2

d. CA intermedia Es necesario instalar, como mínimo, una entidad de certificación intermedia en una jerarquía de certificados de tres capas. Su objetivo es aportar un nivel de seguridad adicional para proteger a la entidad de certificación raíz. La CA intermedia recibe un certificado de la CA raíz para funcionar y emitir un certificado a la CA emisora para que ella funcione a su vez.

e. CA emisora Una CA emisora debe ser una CA empresarial, instalada con el objetivo de emitir los certificados a los usuarios, servidores y demás componentes que realicen una solicitud. El uso de una CA empresarial permite la inscripción automática de los usuarios o los equipos.

3. Servicios de roles AD CS El rol del servidor AD CS cuenta con seis servicios de rol bajo Windows Server 2012 R2, frente a cuatro en Windows Server 2008 R2.

a. Entidad de certificación El servicio de rol Entidad de certificación tiene como objetivo realizar las misiones siguientes: Aceptar las peticiones de certificados. Expedir certificados. Revocar certificados. Publicar la lista de revocación de certificados. La instalación de este rol de servicio AD CS requiere privilegios de administración local cuando el servidor es miembro de un grupo de trabajo, o privilegios de administración de dominio si el servidor es miembro de un dominio Active Directory. Para instalar este servicio de rol como una entidad de certificación empresarial, el servidor debe ser miembro de un dominio Active Directory. Se puede instalar este componente utilizando el comando PowerShell siguiente:

AdcsCertificationAuthority Para desinstalar este componente, basta con ejecutar siguiente:Uninstall-AdcsCertificationAuthority

el

comando

InstallPowerShell

En Windows Server 2012 R2, es posible en adelante utilizar los comandos de línea PowerShell para realizar una copia de seguridad o restaurar el servicio de rol entidad de certificación (CA): Para realizar una copia de seguridad del servicio entidad de certificación, basta con ejecutar el comando PowerShell siguiente: Backup-CARoleService Para restaurar el servicio entidad de certificación, basta con ejecutar el comando PowerShell siguiente: Restore-CARoleService

b. Solicitud de certificados a través de la Web El servicio de rol Inscripción web de entidad de certificación permite emitir y renovar los certificados a los usuarios y equipos que no son miembros de un dominio, no están conectados a la red o que no ejecutan un sistema operativo de Microsoft. Se puede instalar este componente utilizando el comando PowerShell siguiente:

AdcsWebEnrollment Para desinstalar este componente, basta siguiente:Uninstall-AdcsWebEnrollment

con

ejecutar

el

comando

InstallPowerShell

c. Respondedor en línea El servicio de rol Respondedor en línea utiliza el protocolo OCSP (Online Certificate Status Protocol). Su objetivo es proporcionar información sobre el estado de revocación de certificados emitidos así como una lista de revocación de certificados. El uso de este servicio en línea es más rápido que la

consulta a una CRL (Certificate Revocation List, lista de revocación de certificados). Para instalar este servicio de rol como una entidad de certificación empresarial, el servidor debe ser miembro de un dominio Active Directory. Se puede instalar este componente utilizando el comando PowerShell siguiente:

AdcsOnlineResponder Para desinstalar este componente, basta con siguiente:Uninstall-AdcsOnlineResponder

ejecutar

el

comando

InstallPowerShell

d. Inscripción de dispositivos de red El servicio de rol Servicio de inscripción de dispositivos de red (NDES) permite a los dispositivos de red que no ejecutan el sistema operativo Windows inscribirse en los servicios de certificado AD CS. Este servicio de rol emplea el protocolo SCEP (Simple Certificate Enrollment Protocol) para comunicarse con los diferentes componentes de la red. Se puede instalar este componente utilizando el comando PowerShell siguiente:

AdcsNetworkDeviceEnrollmentService Para desinstalar este componente, basta con ejecutar el siguiente:Uninstall-AdcsNetworkDeviceEnrollmentService

comando

InstallPowerShell

e. Inscripción de certificados El servicio de rol Servicios web de inscripción de certificados permite a los usuarios o equipos solicitar un certificado utilizando el protocolo HTTPS. La instalación solo puede realizarse en un servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de certificación empresarial. Se puede instalar este componente utilizando el comando PowerShell siguiente:

AdcsEnrollmentWebService Para desinstalar este componente, basta con ejecutar siguiente:Uninstall-AdcsEnrollmentWebService

el

comando

InstallPowerShell

f. Directiva de certificados El servicio de rol Servicio web de directiva de inscripción de certificados funciona conjuntamente con el servicio de rol Servicios web de inscripción de certificados. Este servicio de rol AD CS permite a los usuarios y equipos que no son miembros de un dominio, o que no se encuentran conectados al dominio, realizar una solicitud de inscripción de certificado. La instalación solo puede realizarse en un servidor miembro de un dominio AD DS que ejecute el rol AD CS configurado como entidad de certificación empresarial. Se puede instalar este componente utilizando el comando PowerShell siguiente:

AdcsEnrollmentPolicyWebService Para desinstalar este componente, basta con ejecutar siguiente:Uninstall-AdcsEnrollmentPolicyWebService

el

comando

InstallPowerShell

4. Certificados Un certificado digital puede ser emitido por una entidad de certificación interna o pública. Sin embargo, también es posible generar un certificado autofirmado si no se encuentra disponible ninguna entidad de certificación. Por defecto, todo sistema Microsoft integra las herramientas que permiten gestionar los certificados autofirmados. Un certificado autofirmado significa que el sistema se atribuye un certificado que reconoce como válido por si mismo. Un certificado autofirmado solo lo

reconoce como válido el sistema que lo ha generado. Por ejemplo, tomemos el caso de un administrador que implementa un sitio web IIS al cual debe accederse mediante el protocolo HTTPS utilizando un certificado autofirmado. Los usuarios que accedan al sitio web reciben sistemáticamente un mensaje de aviso de su navegador, indicando que el certificado presentado por el sitio no se ha verificado y que el acceso es potencialmente peligroso. Para que los usuarios no reciban este mensaje debe instalar el certificado autofirmado por IIS en su almacén local Entidad de certificación raíz de confianza. La creación de certificados en entornos Microsoft está fundamentalmente basada en el estándar X.509. Un certificado contiene la siguiente información: Información de identificación (Nombre, razón social, ubicación, etc.). Una clave pública. El algoritmo hash/Huella digital. La identidad del emisor. La fecha de validez. Un número de serie. La versión del certificado. La URL de acceso a la información de la entidad de certificación. Las URL de los puntos de distribución de listas de certificados revocados.

a. Plantillas de certificado Las plantillas de certificado sirven para generar los certificados a partir de plantillas predefinidas que pueden personalizarse previamente. Estas plantillas solo están disponibles en un servidor que albergue el rol AD CS como entidad de certificación empresarial emisora.

Por defecto existen once plantillas de certificado: Replicación de directorio de correo electrónico. Autenticación de controlador de dominio. Autenticación Kerberos. Agente de recuperación de EFS. EFS básico.

Controlador de dominio. Servidor web. Equipo. Usuario. Entidad de certificación subordinada. Administrador. También es posible crear o duplicar plantillas de certificado para completar la lista existente. Para que un usuario tenga permisos para seleccionar una plantilla de certificado, se le deben asignar permisos de inscripción en el certificado específico. Para gestionar las plantillas de certificado, basta con hacer clic con el botón derecho en el contenedor Plantillas de certificado de la consola Entidad de certificación y, a continuación, hacer clic en Administrar. Cuando se valida una solicitud y se emite un certificado, es posible extraer el certificado de la entidad de certificación emisora para poder explotarlo. Para ello, basta con utilizar el Asistente para exportar certificados y seleccionar uno de los formatos que deseamos utilizar para el certificado. Existen diferentes tipos de archivos de certificado:

DER binario codificado X.509 (.CER): los archivos X.509 utilizan una norma criptográfica

definida por la Unión internacional de telecomunicaciones. El formato de archivo DER (Distinguished Encoding Rules) lo utilizan con frecuencia equipos informáticos que ejecutan un sistema operativo diferente de Windows. X.509 codificado base 64 (.CER): este tipo de formato se utiliza con frecuencia en las infraestructuras de mensajería que soportan la norma de criptografía S/MIME (Secure/Multipurpose Internet Mail Extension). Estándar de sintaxis de cifrado de mensajes: certificados PKCS #7 (.P7B): este formato de archivo se utiliza con frecuencia para la transferencia de un certificado de un equipo a otro. Intercambio de información personal: PKCS #12 (.PFX): este formato de archivo se utiliza para transferir un certificado de un equipo a otro pero incluyendo la clave privada y la clave pública, lo cual puede resultar peligroso para la integridad de los datos a proteger. Almacén de certificados en serie de Microsoft (.SST): este formato de archivo se utiliza con frecuencia para la transferencia de un certificado raíz a otro equipo.

b. Solicitud de certificado Existen varios métodos que permiten solicitar un certificado a una entidad de certificación. Se puede efectuar una solicitud de certificado desde: La interfaz web de la entidad de certificación, accediendo al directorio virtual Certsrv. El complemento Certificados. Durante una solicitud de certificado, si el usuario se encuentra habilitado puede, también, seleccionar una plantilla de certificado preconfigurada para un uso definido (por ejemplo: Certificado de usuario, equipo, EFS básico, etc.). Si no está habilitada la inscripción automática, el usuario deberá presentar sistemáticamente una solicitud de certificado que validará manualmente el administrador de la entidad de certificación. Si la inscripción automática está habilitada, se aceptará la solicitud de certificado y éste se emitirá automáticamente.

Trabajos prácticos La empresa INFONOVICE desea securizar el acceso a su sitio Intranet implementando un acceso web SSL/TLS (Secure Socket Layer/Transport Layer Security) empleando la URL siguiente: https://intranet.infonovice.priv Adicionalmente, desea securizar el acceso al dominio de ciertas cuentas de usuario empleando un sistema de tarjeta inteligente. En ambos casos debe utilizarse un certificado digital para securizar el acceso. Para responder a estas necesidades, se le pide implementar una solución de infraestructura de clave pública. Ésta tendrá como objetivo proteger los diferentes servicios y accesos mediante un certificado emitido por una entidad de certificación. Debe instalarse empleando el rol de servidor AD CS y debe diseñarse como una jerarquía de dos capas. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CS-01: entidad de certificación raíz (CA independiente), Workgroup Dirección IP: 192.168.0.112 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones: C:\, D:\ CS-02: entidad de certificación emisora (CA empresarial), Infonovice.priv Dirección IP: 192.168.0.113 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones: C:\ D:\, E:\ CLIENT1: cliente DNS y DHCP Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254

1. Instalar una CA independiente Este taller permite instalar el rol de servidor AD CS como entidad de certificación independiente en el servidor CS-01, que no está ubicado en el dominio Infonovice.priv, sino en un grupo de trabajo llamado Workgroup. Esta CA debe ser la raíz de la jerarquía para construir un modelo de dos capas de nuestra infraestructura de clave pública. Paso 1: inicie una sesión en el servidor CS-01 con credenciales de administración y a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino.

Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolServicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar características. A continuación, haga clic en Siguiente:

Paso 4: en el paso Seleccionar características, haga clic en Siguiente. Paso 5: en el paso Servicios de certificados de Active Directory, haga clic en Siguiente. Paso 6: en el paso Seleccionar servicios de rol, marque la opción Entidad de certificación y, a continuación, haga clic en Siguiente. Paso 7: en el paso Confirmar selecciones de instalación, haga clic en Instalar. Paso 8: en el paso Progreso de la instalación, haga clic en Configurar Servicios de certificados de Active Directory en el servidor de destino. Paso 9: en el paso Credenciales, verifique que se ha seleccionado una cuenta de administrador local del servidor. Haga clic en Siguiente. Paso 10: en el paso Servicios de rol, marque la opción Entidad de certificación y, a continuación, haga clic en Siguiente:

Paso 11: en el paso Tipo de instalación, la opción CA independiente esta marcada. Haga clic enSiguiente:

Paso 12: en el paso Especifique el tipo de CA, marque la opción CA raíz y, a continuación, haga clic en Siguiente:

Paso 13: en el paso Clave privada, marque la opción Crear una clave privada nueva y, a continuación, haga clic en Siguiente:

Paso 14: en el paso Criptografía para la CA, seleccione el proveedor de servicios criptográficosRSA#Microsoft Software Key Storage Provider y, a continuación, indique una longitud de clave de 4096. Seleccione el algoritmo de hash SHA1 y haga clic en Siguiente:

Paso 15: en el paso Nombre de CA, escriba Infonovice-Root-CA en el campo Nombre común para esta entidad de certificación y, a continuación, haga clic en Siguiente:

Paso 16: en el paso Período de validez, indique 10 Años para especificar la fecha de expiración del certificado y, a continuación, haga clic en Siguiente. Paso 17: en el paso Base de datos de CA, especifique la ubicación de la base de datos de certificados en la carpeta D:\CA\CertDB y, a continuación, especifique la ubicación del registro de

la base de datos en la ubicación siguiente: D:\CA\CertLog. Haga clic en Siguiente.

Paso 18: en el paso Confirmación, verifique los parámetros de su entidad de certificación raíz y, a continuación, haga clic en Configurar. Paso 19: en el paso Resultados, verifique que su entidad de certificación muestra suConfiguración realizada correctamente. A continuación, haga clic dos veces en Cerrar. Paso 20: arranque la consola Entidad de certificación en las herramientas de administración. En el árbol de la consola, haga clic con el botón derecho en la entidad de certificación InfonoviceRoot-CA y, a continuación, haga clic en Propiedades. Paso 21: haga clic en la pestaña Extensiones y, a continuación, agregue un nuevo punto de distribución de lista de revocación de certificados haciendo clic en Agregar. Paso 22: en el campo Ubicación, escriba la URL siguiente y haga clic en Aceptar: http://CS-02.infonovice.priv/CertData/.crl

Paso 23: marque las siguientes opciones y haga clic en Aplicar: Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL. Incluir en la extensión CDP de los certificados emitidos

Paso 24: haga clic en No para no volver a iniciar el servicio de certificados de Active Directory ahora. Paso 25: haga clic en la lista desplegable para seleccionar la extensión Acceso a la información de entidad (AIA) y, a continuación, haga clic en Agregar. Paso 26: en el campo Ubicación, escriba la URL siguiente y haga clic en Aceptar: http://CS-02.infonovice.priv/CertData/.crt

DNS del servidor>
de

CA>
de

Paso 27: marque la opción Incluir en la extensión AIA de los certificados emitidos y haga clic en Aceptar.

Paso 28: haga clic en Sí para volver a iniciar el servicio de certificados de Active Directory ahora.

Paso 29: de vuelta en la consola de gestión certsrv, despliegue el árbol para seleccionar la carpeta Certificados revocados. Haga clic con el botón derecho sobre ella, seleccione Todas las tareas y, a continuación, haga clic en Publicar:

Paso 30: en la ventana Publicar lista de revocación de certificados, haga clic en Aceptar para crear una nueva lista. Paso 31: en la consola certsrv, haga clic con el botón derecho en certificaciónInfonovice-Root-CA y, a continuación, haga clic en Propiedades.

la

entidad

de

Paso 32: en la pestaña General, haga clic en Ver certificado. Paso 33: en la ventana Certificado, haga clic en la pestaña Detalles y, a continuación, haga clic en Copiar en archivo. Paso 34: en el Asistente para exportar certificados, haga clic en Siguiente en la pantalla de bienvenida. Paso 35: deje las opciones por defecto y haga clic en Siguiente para exportar el certificado en formato DER binario codificado X.509. Paso 36: cree la carpeta C:\Compartir en el servidor CS-02 y compártala con permisos de lectura y escritura para el grupo Todos. Haga clic en Examinar en el paso que permite exportar el archivo e indique la siguiente ubicación \\CS-02\Compartir\Certificado-Root.cer y, a continuación, haga clic en Guardar, Siguiente y Finalizar. Paso 37: una vez exportado el certificado, haga clic en Aceptar para cerrar el conjunto de ventanas. Paso 38: navegue hasta la carpeta C:\Compartir en el servidor CS-02 para copiar aquí los dos archivos presentes en la carpeta siguiente y, a continuación, comparta la carpeta CertEnroll: C:\Windows\System32\Certsrv\CertEnroll

Paso 39: vaya al panel de control del servidor CS-02, haga clic en Ver el estado y las tareas de red, y, a continuación, haga clic en Cambiar configuración de uso compartido avanzado. Paso 40: en la sección Invitado o público, seleccione Activar el uso compartido de archivos e impresoras y haga clic en Guardar cambios:

Paso 41: abra una sesión en el servidor DC-01 con privilegios de administración para el dominio Infonovice.priv. Abra la consola de gestión DNS y cree el Host A siguiente en la zona de búsqueda directa de Infonovice.priv: Nombre: CS-01 Dirección IP: 192.168.0.112

En este punto, su entidad de certificación raíz está instalada y configurada.

2. Instalar una CA empresarial Este taller permite instalar el rol de servidor AD CS como entidad de certificación empresarial en el servidor CS-02. A nivel de la jerarquía de CA, AD CS debe configurarse como entidad de certificación empresarial emisora para nuestra infraestructura de claves públicas. Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolServicios de certificados de Active Directory y, a continuación, haga clic en el botón Agregar características. Haga clic en Siguiente. Paso 4: en el paso Seleccionar características, haga clic en Siguiente. Paso 5: en el paso Servicios de certificados de Active Directory, haga clic en Siguiente. Paso 6: en el paso Seleccionar servicios de rol, marque las opciones Entidad de certificación eInscripción web de entidad de certificación y haga clic en Agregar características. Al añadir el servicio de rol Inscripción web de entidad de certificación, el asistente incluye la instalación del rol Servidor web (IIS). A continuación, haga clic en Siguiente:

Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente. Paso 8: en el paso Seleccionar servicios de rol, haga clic en Siguiente. Paso 9: en el paso Confirmar selecciones de instalación, haga clic en Instalar. Paso 10: en el paso Progreso de la instalación, haga clic en Configurar Servicios de certificados de Active Directory en el servidor de destino. Paso 11: en el paso Credenciales, compruebe que se ha informado una cuenta de administrador del dominio Infonovice.priv y, a continuación, haga clic en Siguiente. Paso 12: en el paso Servicios de rol, marque las opciones asociadas a los roles Entidad de certificación e Inscripción web de entidad de certificación. A continuación, haga clic enSiguiente:

Paso 13: en el paso Tipo de instalación, marque la opción CA empresarial y haga clic enSiguiente. Paso 14: en el paso Tipo de CA, marque la opción CA subordinada y haga clic en Siguiente. Paso 15: en el paso Clave privada, marque la opción Crear una clave privada nueva y, a continuación, haga clic en Siguiente. Paso 16: en el paso Criptografía para la CA, deje las opciones por defecto y haga clic enSiguiente. Paso 17: en el paso Nombre de CA, escriba Infonovice-Emisor-CA en el campo Nombre común para esta entidad de certificación y, a continuación, haga clic en Siguiente:

Paso 18: en el paso Solicitud de certificado, marque la opción Guardar una solicitud de certificado en un archivo del equipo de destino, identifique la ubicación de grabación del archivo de solicitud de certificado y, a continuación, haga clic en Siguiente:

Paso 19: en el paso Base de datos de CA, especifique la ubicación de la base de datos de certificados en la carpeta D:\CA\CertDB, informe a continuación la ubicación del registro de la base de datos en la siguiente carpeta: E:\CA\CertLog. A continuación, haga clic en Siguiente:

Paso 20: en el paso Confirmación, verifique los parámetros de su entidad de certificación subordinada y, a continuación, haga clic en Configurar. Paso 21: en el paso Resultados, la instalación de la entidad de certificación empresarial muestra un mensaje de advertencia, indicando que no se debe olvidar solicitar un certificado de la entidad de certificación maestra para autorizar a esta entidad de certificación empresarial a emitir certificados. Verifique que el estado de la instalación del servicio de rol Inscripción web de entidad de certificación indica un estado de configuración realizada correctamente. Por último, haga clic dos veces en Cerrar.

Llegados a este punto, la entidad de certificación empresarial emisora se encuentra instalada y configurada, pero no funciona. Falta, a continuación, utilizar el archivo de petición generado durante el proceso de instalación para obtener un certificado de la entidad de certificación maestra.

3. Activar una CA emisora Este taller permite activar una CA emisora albergando el rol de servidor AD CS como entidad de certificación empresarial en el servidor CS-02. Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio Infonovice.priv. Navegue hasta la carpeta \\CS-02\Compartir, haga clic con el botón derecho en el archivo Certificado-Root.cer y haga clic en Instalar certificado y en Abrir. Paso 2: en el Asistente para importar certificados, marque la opción Equipo local en la ventana de bienvenida y, a continuación, haga clic en Siguiente. Paso 3: en el paso Almacén de certificados, marque la opción Colocar todos los certificados en el siguiente almacén y, a continuación, haga clic en Examinar. Paso 4: seleccione el almacén Entidades de certificación raíz de confianza y, a continuación, haga clic en Aceptar. Paso 5: haga clic en Siguiente y en Finalizar. Una vez realizada con éxito la importación del certificado, haga clic en Aceptar. Paso 6: navegue hasta la carpeta \\CS-02\Compartir y copie los archivos CS-01_InfonoviceRoot-CA.crt y Infonovice-Root-CA.crl en la carpeta CertData, que crearemos en la ubicación siguiente: C:\inetpub\wwwroot\ Paso 7: copie el archivo C:\CS-02.infonovice.priv_Infonovice-CS-02-CA.req en la carpeta \\CS-02\Compartir. Paso 8: inicie una sesión en el servidor CS-01 con credenciales de administración y abra, a

continuación, la consola de administración Entidad de certificación. Haga clic con el botón derecho en la entidad de certificación Infonovice-Root-CA y seleccione Todas las tareas y, a continuación, haga clic en Enviar solicitud nueva:

Paso 9: seleccione el archivo C:\Compartir\CS-02.infonovice.priv_Infonovice-CS-02-CA.req y haga clic en Abrir. Paso 10: despliegue el árbol de la consola y seleccione la carpeta Solicitudes pendientes. Haga clic con el botón derecho en la solicitud disponible, seleccione Todas las tareas y, a continuación, haga clic en Emitir:

Paso 11: despliegue el árbol de la consola certsrv, seleccione la carpeta Certificados emitidos. Haga clic con el botón derecho en el certificado disponible y haga clic en Abrir. Paso 12: en la ventana Certificado, haga clic en la pestaña Detalles y, a continuación, haga clic en Copiar en archivo. Paso 13: en la ventana Asistente para exportar certificados, haga clic en Siguiente en la pantalla de bienvenida. Paso 14: en el paso Formato de archivo de exportación, marque la opción Estándar de sintaxis de cifrado de mensajes: certificados PKCS #7 (.P7B). Marque la opción Incluir todos los certificados en la ruta de certificación (si es posible) y haga clic en Siguiente:

Paso 15: en el paso Archivo que se va a exportar, haga clic en Examinar. Navegue hasta la carpeta compartida \\CS-02\Compartir y escriba CA-intermedio.p7b en el Nombre de archivo. Haga clic en Guardar. Siguiendo las mejores prácticas, la entidad de certificación raíz debe desconectarse de la red después de su instalación. En condiciones reales, la operación de transferencia de un certificado a otro equipo debe realizarse empleando un soporte extraíble.

Paso 16: haga clic en Siguiente y, a continuación, en Finalizar. Cuando la exportación del certificado se haya realizado con éxito, haga clic en Aceptar dos veces. Paso 17: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominio Infonovice.priv y abra la consola de administración Entidad de certificación. Haga clic con el botón derecho en la entidad de certificación Infonovice-Emisor-CA, seleccione Todas las tareas y, a continuación, haga clic en Instalar el certificado de CA:

Paso 18: navegue hasta la carpeta compartida \\CS-02\Compartir para seleccionar el archivo CAIntermedio.p7b. Haga clic en Abrir. Paso 19: en la consola de administración certSrv en el servidor CS-02, haga clic con el botón derecho en la entidad de certificación y, a continuación, haga clic en Todas las tareas e Iniciar servicio.

El inicio del servicio de certificados puede realizarse, también, haciendo clic en el triángulo verde de la barra de tareas.

4. Publicar un certificado empleando las GPO Este taller permite publicar el certificado de la entidad de certificación raíz de la infraestructura PKI para que el conjunto de los equipos miembros del dominio puedan aprobar el certificado emitido. Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y enAdministración de directivas de grupo. Paso 2: despliegue el árbol de la consola y, a continuación, edite la GPO Default Domain Policyen el dominio Infonovice.priv. Paso 3: despliegue el árbol de la consola y seleccione el siguiente nodo: Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas de clave pública - Entidades de certificación raíz de confianza.

Paso 4: haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a continuación, haga clic en Importar. Paso 5: en la ventana Asistente para importar certificados, haga clic en Siguiente en la pantalla de bienvenida. Paso 6: en el paso Archivo para importar, haga clic en Examinar. Paso 7: seleccione el archivo \\CS-02\Compartir\Certificado-Root.cer, haga clic en Abrir y, a continuación, en Siguiente. Paso 8: en el paso Almacén de certificados, verifique que el almacén seleccionado es Entidades de certificación raíz de confianza y haga clic en Siguiente. Paso 9: haga clic en Siguiente y, por último, en Finalizar. Paso 10: cierre el editor y la consola de administración de directivas de grupo.

5. Configurar la interfaz Web Este taller permite configurar la interfaz web de los servicios de certificados para utilizar el protocolo HTTPS. Paso 1: inicie una sesión en el servidor CS-02.infonovice.priv con una cuenta de administrador del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS). Paso 2: en la parte izquierda del árbol de la consola seleccione el nombre del servidor que contiene la entidad de certificación empresarial emisora. En la parte central, haga doble clic enCertificados de servidor.

Paso 3: en la parte derecha, haga clic en Crear una solicitud de certificado:

Paso 4: en la ventana Solicitar certificado escriba la siguiente información y, a continuación, haga clic en Siguiente: Nombre común: certificados.infonovice.priv Organización: INFONOVICE Unidad organizativa: CERTIFICADOS Ciudad o localidad: Madrid Estado o provincia: España País o región: ES

El campo Nombre común http://certificados.infonovice.priv.

corresponde

a

la

URL

definitiva,

es

decir

Paso 5: en el paso Propiedades de proveedor de servicios criptográficos, seleccione una longitud en bits de 2048 y, a continuación, haga clic en Siguiente. Paso 6: cree la carpeta C:\Certificados. En el escribaC:\Certificados\Solicitud.txt, y haga clic en Finalizar:

paso

Nombre

de

archivo,

Paso 7: abra el navegador Internet Explorer escribiendo la URL siguiente: http://CS-02/certsrv, y haga clic en Solicitar un certificado:

Paso 8: haga clic en solicitud avanzada de certificado:

Paso 9: haga clic en Enviar una solicitud de certificado con un archivo:

Paso 10: copie el contenido del archivo C:\Certificados\Solicitud.txt en la sección Guardar solicitud. Seleccione la plantilla de certificado Servidor Web y, a continuación, haga clic enEnviar.

Paso 11: haga clic en Descargar certificado y guarde carpetaC:\Certificados\:

el archivo

Certnew.cer en

la

Paso 12: cambie a la consola de administración IIS y, en la parte derecha, haga clic enCompletar solicitud de certificado. Paso 13: en el paso Especificar respuesta de entidad de certificación, seleccione la ubicación del archivo de respuesta C:\Certificados\certnew.cer, escriba certsrv en el campo Nombre descriptivo y, a continuación, seleccione Personal en el campo Seleccione un almacén de certificados para el nuevo certificado. Haga clic en Aceptar. Paso 14: cambie a la consola de administración IIS, despliegue el árbol y seleccione Default Web Site. En la parte derecha, haga clic en Enlaces. Paso 15: en la ventana Enlaces de sitios, haga clic en Agregar.

Paso 16: en la ventana Agregar enlace de sitio, introduzca la información siguiente y haga clic en Aceptar y en Cerrar. Tipo: https Puerto: 443 Nombre de host: certificados.infonovice.priv Certificado SSL: certsrv

Paso 17: despliegue el árbol de Default Web Site y seleccione la carpeta virtual certsrv. En la parte central, haga doble clic en Configuración de SSL. Paso 18: marque la opción Requerir SSL y haga clic en Aplicar. Paso 19: en el servidor DC-01, abra el Administrador del servidor, haga clic en Herramientas y, a continuación, en DNS. Paso 20: despliegue el árbol de la consola y, a continuación, cree un registro CNAME en la Zona de búsqueda directa infonovice.priv. Indique la siguiente información y haga clic en Aceptar: Nombre de alias: certificados Nombre de dominio completo (FQDN): certificados.infonovice.priv Nombre de dominio completo (FQDN) para el host de destino: CS-02.infonovice.priv

Paso 21: en la consola de administración IIS, seleccione el nombre del servidor IIS y, a continuación, en la parte central, haga doble clic en Autenticación para habilitar la Autenticación Windows y deshabilitar la autenticación anónima:

6. Solicitar un certificado Este taller permite solicitar un certificado a la entidad de certificación emisora. El certificado a emitir

será de tipo Básico EFS, para el usuario Juan Dupont. Paso 1: inicie una sesión en el servidor CS-02 con una cuenta de administrador del dominioInfonovice.priv. Arranque el Administrador del servidor, haga clic en Herramientas y, a continuación, en Entidad de certificación. Paso 2: despliegue el árbol de la consola Entidad de certificación, seleccione el contenedorPlantillas de certificado, haga clic con el botón derecho sobre él y, a continuación, haga clic enAdministrar. Paso 3: en la lista de plantillas de certificados disponibles, haga clic con el botón derecho en EFS básico y, a continuación, haga clic en Propiedades. Paso 4: en la ventana Propiedades: EFS básico, haga clic en la pestaña Seguridad. Seleccione el grupo Usuarios autentificados, marque el permiso Inscribirse como autorizado y, a continuación, haga clic en Aceptar:

Paso 5: cierre todas las ventanas de la consola de administración Entidad de certificación. Paso 6: inicie una sesión en el equipo CLIENT1 con una cuenta de usuario del dominio Infonovice.priv (conéctese con el usuario: jdupont; si esta cuenta de usuario no existe en su dominio Active Directory, créela). Paso 7: en la consola MMC, agregue el complemento Certificados. Paso 8: despliegue el árbol de la consola para seleccionar el contenedor Personal. Haga clic con el botón derecho encima y seleccione Todas las tareas y haga clic en Solicitar un nuevo

certificado. Paso 9: en el paso Antes de comenzar, haga clic en Siguiente. Paso 10: en el paso Seleccionar directiva de inscripción de certificados, seleccione la directiva Active Directory y haga clic en Siguiente. Paso 11: marque la opción correspondiente a la plantilla de certificado EFS básico y, a continuación, haga clic en Inscribir:

Paso 12: cuando la operación finalice con éxito, haga clic en Finalizar. Paso 13: en el árbol de la consola Certificados, navegue hasta el contenedorPersonal/Certificados para ver el certificado EFS básico emitido por la entidad de certificaciónInfonovice-Emisor-CA para el usuario Juan Dupont. Este certificado puede utilizarse, en lo sucesivo, para cifrar datos locales con la tecnología EFS (Encrypting File System):

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de certificados AD CS de Microsoft Windows Server 2012 R2. Podría resumirse de la manera siguiente: Las entidades de certificación permiten emitir y gestionar certificados a través del rol de servidor AD CS. AD CS posee los seis roles siguientes: Entidad de certificación Inscripción web de entidad de certificación Respondedor en línea Servicio de inscripción de dispositivo de red Servicio web de inscripción de certificados Servicio web Directiva de inscripción de certificados AD CS puede instalarse según dos tipos de entidad de certificación: Entidad de certificación independiente Entidad de certificación empresarial En una jerarquía de entidades de certificación de varias capas, las entidades de certificación de mayor nivel deben configurarse fuera de línea para aumentar la seguridad. Cuando se presenta un certificado, el sistema verifica en primer lugar su validez consultando la lista de revocación de certificados o un respondedor en línea.


1. Preguntas 1 ¿Cuál es el objetivo de una infraestructura de clave pública en una red empresarial? 2 Cite los diferentes tipos de entidad de certificación contemplados por AD CS. 3 ¿Qué tipo de entidad de certificación instalamos en una CA raíz? 4 ¿Qué tipo de entidad de certificación instalamos en una CA intermedia? 5 ¿Qué tipo de entidad de certificación instalamos en una CA emisora? 6 ¿Cuál es el nombre del servicio Windows encargado del funcionamiento de AD CS? 7 Es el administrador informático de una gran infraestructura. Se le solicita instalar una jerarquía de entidades de certificación AD CS de tres capas. ¿Qué tipo de entidad de certificación debe instalar en cada capa? 8 Cite dos métodos que permitan visualizar la lista de certificados emitidos por una entidad de certificación comercial aprobada. 9 ¿Para qué sirve una CRL? 10 ¿Para qué sirven las AIA? 11 ¿Cuáles son los seis servicios de rol del rol del servidor AD CS? 12 Cite al menos tres de las once plantillas de certificados.


3. Respuestas 1 ¿Cuál es el objetivo de una infraestructura de clave pública en una red empresarial? Una infraestructura de clave pública permite securizar el acceso, las comunicaciones o la integridad de los datos en una red empresarial 2 Cite los diferentes tipos de entidad de certificación contemplados por AD CS. Existen dos tipos de entidad de certificación en AD CS. Las CA independientes y las CA empresariales integradas en Active Directory. 3 ¿Qué tipo de entidad de certificación instalamos en una CA raíz? Una CA raíz debe instalarse con una entidad de certificación independiente. 4 ¿Qué tipo de entidad de certificación instalamos en una CA intermedia? Una CA intermedia debe instalarse con una entidad de certificación independiente. 5 ¿Qué tipo de entidad de certificación instalamos en una CA emisora? Una CA emisora debe instalarse con una entidad de certificación empresarial. 6 ¿Cuál es el nombre del servicio Windows encargado del funcionamiento de AD CS?

La instalación del rol de servidor AD CS instala a su vez el servicio Windows asociado llamado Servicio de certificados. 7 Es el administrador informático de una gran infraestructura. Se le solicita instalar una jerarquía de entidades de certificación AD CS de tres capas. ¿Qué tipo de entidad de certificación debe instalar en cada capa? En una jerarquía de entidad de certificación de tres capas, cada nivel debe ser instalado según el tipo de CA siguiente: CA raíz: entidad de certificación independiente (para implementar fuera de línea) CA interm edia: entidad de certificación independiente (para implementar fuera de línea) CA em isora: entidad de certificación empresarial (para dejar en línea) 8 Cite dos métodos que permitan visualizar la lista de certificados emitidos por una entidad de certificación comercial aprobada. Para visualizar la lista de certificados emitidos por una entidad de certificación comercial aprobada, podemos: Abrir las propiedades de un navegador Web para ver los certificados. Abrir el complemento certm gr.m sc o certlm .m sc. 9 ¿Para qué sirve una CRL? Una CRL (lista de revocación de certificados) permite visualizar los certificados digitales inválidos o revocados. Esta lista se actualiza automáticamente desde una entidad de certificación. 10 ¿Para qué sirven las AIA? Las AIA (Authority Information Access) permiten indicar a los usuarios la ubicación del certificado de la entidad de certificación raíz. 11 ¿Cuáles son los seis servicios de rol del rol del servidor AD CS? AD CS posee los seis servicios de rol siguientes: Entidad de certificación Solicitud de certificados vía Web Respondedor en línea Inscripción de dispositivo de red Inscripción de certificados Directivas de certificados 12 Cite al menos tres de las once plantillas de certificados. Existen once plantillas de certificado: Replicación de directorio de correo electrónico Autenticación de controlador de dominio Autenticación Kerberos Agente de recuperación EFS EFS básico Controlador de dominio Servidor Web

Equipo Usuario Entidad de certificación subordinada Administrador

Requisitos previos y objetivos 1. Requisitos previos Tener conocimientos básicos de la administración de Windows Server 2012 R2. Tener nociones básicas de la gestión de permisos NTFS. Saber gestionar una infraestructura AD CS.

2. Objetivos Comprender la gestión de derechos AD RMS. Conocer los diferentes componentes de una infraestructura AD RMS. Saber instalar una infraestructura AD RMS. Saber configurar una infraestructura AD RMS. Saber implementar una infraestructura AD RMS. Saber proteger la integridad de los datos.

Servicios de gestión de derechos A partir de Windows Server 2008, los servicios de gestión de derechos digitales se presentan bajo la forma de un rol de servidor llamado AD RMS (Active Directory Rights Management Services). AD RMS permite extender los permisos de seguridad NTFS para aportar una seguridad complementaria pensada para proteger la integridad de los datos. En comparación, los servicios de administración de derechos en Windows Server realizan las mismas funciones que la gestión de derechos digitales para el contenido de audio o vídeo (DRM, Digital Rights Management).

1. Presentación de AD RMS AD RMS es un rol de servidor que permite proteger la integridad de los datos generados en su empresa. Este rol permite, en particular, preservar la propiedad intelectual así como el contenido de datos hospedados o intercambiados con otros asociados. La protección de un servidor de archivos con los permisos tradicionales NTFS pueden verse limitados en un proceso de gestión de derechos digitales. AD RMS permite extender la seguridad de NTFS para proteger, por ejemplo, el contenido de los archivos de Office. Cuando un usuario accede a un recurso compartido de red para abrir un documento Word, el sistema verifica las ACL para verificar que el usuario está autorizado para leer o modificar el contenido. Sin embargo, una vez que se abra el documento, la seguridad NTFS no puede impedir que el contenido se conserve. De este modo, el usuario que abra el archivo también puede imprimir los datos visualizados, o copiarlos para modificarlos más tarde. AD RMS permite responder a esta necesidad de seguridad implementando una capa adicional a través de una nueva tecnología que puede basarse en los componentes AD DS (Servicios de dominio de Active Directory), AD CS (Servicios de certificados) y AD FS (Servicios de federación). Mediante la implementación del rol de servidor AD RMS, es posible proteger el contenido de sus datos tanto en el interior de su red empresarial como en el exterior. Este rol de servidor es, en cierta medida, una evolución del servicio de administración de derechos de Microsoft (RM: Rights Management), disponible con el sistema operativo Windows Server 2003 en la forma de un servicio Windows llamado RMS (Rights Management Services).

a. Funcionamiento de AD RMS Para proteger los datos confidenciales de su empresa, una infraestructura de gestión de derechos Active Directory se basa en un conjunto de servidores AD RMS que gestionan el conjunto de reglas de protección de los datos así como el intercambio de certificados y licencias de acceso al servicio. La configuración de la infraestructura, así como los registros de actividad, se almacenan en una base de datos. Los usuarios acceden al contenido protegido y cifrado mediante un cliente AD RMS que se autentica automáticamente en un directorio Active Directory para garantizar que el usuario está habilitado para utilizar el contenido protegido. El usuario obtiene, a continuación, un certificado que le permite descifrar los datos protegidos. Los servicios de gestión de derechos se basan a su vez en los servicios Web IIS. El conjunto de usuarios o grupos que deben tener acceso a los servicios de administración de derechos Active Directory deben poseer una dirección de correo electrónico configurada en su perfil Active Directory. AD RMS es compatible en particular con las siguientes aplicaciones: Pack Office 2003 / 2007 / 2010 / 2013 Microsoft SharePoint 2003 / 2007 / 2013 Microsoft Exchange Server 2007 / 2010 / 2013 XPS Viewer Internet Explorer (requiere la instalación de un módulo complementario) Adobe Acrobat Reader La instalación de una infraestructura de este tipo requiere la formación de los usuarios, ya que son ellos los que deben definir los elementos a securizar indicando si el documento puede ser

sobreescrito, copiado, impreso, etc. Estos datos se almacenan directamente en el documento de manera que puede intercambiarse fuera de la infraestructura de red empresarial. Solo los usuarios autenticados o que dispongan de un certificado válido pueden acceder a los datos protegidos. Cuando un usuario securiza un documento empleando los servicios de administración de derechos, la infraestructura AD RMS genera una licencia de uso que se almacena dentro del documento. Si el usuario forma parte de su organización, o de una entidad aprobada por los servicios de federación, el cliente AD RMS instalado en la máquina cliente solicita automáticamente una licencia de uso a la infraestructura AD RMS. Para facilitar la gestión de los derechos cuando un usuario genera contenido, un administrador de la infraestructura AD RMS puede a su vez desplegar plantillas de directivas de permisos. En función del uso del contenido, un usuario podrá aplicar la plantilla de directiva directamente sin tener que preocuparse de los elementos a configurar para proteger eficazmente su contenido. La instalación de un servidor AD RMS crea un primer servidor en un clúster raíz. Este clúster no necesita contar con las tecnologías de clustering de Microsoft o de equilibrio de carga de red. Un clúster raíz AD RMS aporta simplemente una solución de alta disponibilidad para las peticiones de los usuarios utilizando una tecnología propia de los servicios de gestión de derechos de Active Directory. Si la infraestructura AD RMS va a trabajar con un solo servidor de gestión de derechos, es posible utilizar una base de datos interna llamada WID (Windows Internal Database), que está integrada en el sistema operativo. Esta instancia de base de datos solo permite la creación de un único servidor en el clúster AD RMS raíz. Una infraestructura AD RMS soporta como mínimo la utilización de una base de datos Microsoft SQL Server 2008. La instalación del primer servidor del clúster raíz AD RMS necesita la creación de una clave de cifrado. Esta clave debe asignarse a todos los servidores que se unan al clúster para que estos puedan, a su vez, cifrar los certificados o las licencias a transmitir a los usuarios. Existen dos métodos de almacenamiento de esta clave de cifrado: Almacenamiento centralizado: permite almacenar la clave de cifrado en la base de datos del clúster AD RMS. De esta forma, cada servidor que se una al clúster puede recuperar automáticamente la clave de cifrado sin intervención del administrador. Almacenamiento manual: obliga a seleccionar un proveedor de servicios criptográfico para cifrar la clave, que debe almacenarse, posteriormente, de forma manual. Cada servidor que solicite unirse al clúster debe recuperar esta clave de cifrado antes de integrarse en el clúster raíz AD RMS.

b. Administración de AD RMS La administración del rol de servidor AD RMS se realiza mediante un complemento ubicado en la siguiente ruta: %SYSTEMROOT%\system32\AdRmsAdmin.msc

El clúster AD RMS raíz es accesible a través de una URL que es preferible asociar a un alias DNS declarado previamente en el servidor de nombres de su organización. El clúster AD RMS raíz utiliza las carpetas virtuales siguientes en el árbol del sitio web predeterminado: _wmcs admin certification decommission groupexpansion

licensing

Estas carpetas virtuales albergan los servicios web utilizados por la gestión del clúster AD RMS. La consola de administración está configurada para apuntar a la URL del clúster AD RMS utilizando los protocolos HTTP o HTTPS según la configuración del administrador de servicios de Internet (IIS). En entornos de producción, es preferible securizar el acceso al clúster AD RMS implementando la autenticación SSL, ofreciendo así una protección mediante la aprobación de un certificado. Las carpetas virtuales dedicadas a la administración de los servicios de gestión de derechos se almacenan de manera local en la carpeta siguiente: C:\inetpub\wwwroot\_wmcs

Para verificar si el servicio Web administrador de roles AD RMS está operativo, basta con acceder a la URL siguiente: http:///_wmcs/admin/RoleMgr.asmx o bien https:///_wmcs/admin/RoleMgr.asmx

Los servicios web AD RMS se gestionan a través de un grupo de aplicaciones llamado_DRMSAppPool1. Este grupo de aplicaciones utiliza la cuenta de servicio introducida durante la instalación del rol de servidor AD RMS basándose en el Framework .NET 4.0.30319.

El administrador de licencias AD RMS está accesible en la URL siguiente: https://cluster-adrms.infonovice.priv/_wmcs/licensing Es posible, no obstante, modificar en cualquier momento la URL del administrador de licencias a través de las propiedades del clúster AD RMS, haciendo clic en la pestaña Direcciones URL del clúster. En esta misma pestaña es posible configurar las URL de la Extranet, para hacer que AD RMS esté disponible desde el exterior de la red empresarial:

El administrador de certificados AD RMS está disponible en la URL siguiente: https://cluster-adrms.infonovice.priv/_wmcs/certification/certification.asmx Es posible, no obstante, modificar en cualquier momento la URL del administrador de certificados mediante las propiedades del clúster AD RMS, haciendo clic en la pestaña SCP. La información del clúster raíz AD RMS está publicada en el servicio de dominio Active Directory, sobra decir que solo una cuenta de administración del dominio puede realizar dicha modificación:

Si el clúster emplea una base de datos interna en lugar de una base de datos empresarial comoMicrosoft SQL Server, el proceso de instalación instala la base de datos WID (Windows Internal Database), que emplea los servicios Windows siguientes: Base de datos interna de Windows:

Editor de VSS de la base de datos interna de Windows:

Una vez configurado el complemento para apuntar a la URL del clúster AD RMS, la interfaz de administración permite acceder a los siguientes elementos de configuración: Directivas de confianza: Dominios de usuario de confianza: permite conceder licencias de uso a los usuarios que posean un certificado de cuenta de derechos emitido en un clúster AD RMS externo. Dominios de publicación de confianza: permite descifrar las licencias de publicación de un clúster AD RMS externo, para poder distribuir las licencias de uso de contenido a los usuarios aprobados. Compatibilidad con identidad federada: esta característica solo está disponible si se encuentran implementados los servicios AD FS y si los servicios de rol AD RMS soportan la federación de identidades. Permite dar soporte a usuarios emitidos por entornos aprobados (también es posible dar soporte a usuarios que posean una cuenta Windows Live). Compatibilidad con Microsoft Federation Gateway: esta característica solo está disponible si los servicios AD FS están implementados, así como los roles AD RMSCompatibilidad con la federación de identidades. Plantillas de directiva de derechos: permite definir las reglas de protección del contenido aplicadas a los documentos a proteger. Directivas de certificados de cuenta de derechos: permite a los usuarios recuperar un certificado de cuenta de derechos que les permite acceder al contenido protegido. Los certificados de cuentas de derechos estándar se almacenan de manera local en el equipo del usuario aprobado y son válidos durante 365 días de manera predeterminada. Los certificados de cuentas de derechos temporales se configuran con una duración de 15 min por defecto, para que un usuario pueda consultar el contenido protegido desde una ubicación diferente de su puesto de trabajo habitual. Directivas de exclusión: Usuarios: permite bloquear los certificados de cuenta de derechos asignados a usuarios específicos. Para bloquear el acceso de un usuario interno o externo a su organización, basta con introducir la clave pública de su certificado de cuenta de derechos, o indicar su dirección de correo electrónico. Por defecto, la directiva de exclusión Usuarios está deshabilitada. Si no desea que AD RMS impacte al conjunto de sus colaboradores, puede crear una directiva de exclusión de usuarios para limitar el uso de la protección de datos digitales a un conjunto de usuarios o departamentos confidenciales de su organización. Aplicaciones: permite bloquear las aplicaciones que no están aprobadas por el clúster AD RMS. Para bloquear una aplicación, basta con indicar el nombre del ejecutable a excluir, así como su versión. Por defecto, la directiva de exclusión Aplicaciones está deshabilitada. Caja de seguridad: permite bloquear a los usuarios que acceden a la infraestructura AD RMS utilizando un cliente cuya versión de referencia está por debajo de la versión especificada en la directiva de exclusión. Esto obliga a los usuarios a acceder a los contenidos protegidos a través de un cliente actualizado, ofreciendo de esta forma el máximo nivel de seguridad en las fases de cifrado y descifrado del contenido securizado. Directivas de seguridad: Superusuarios: permite definir un grupo llamado Superusuarios. El conjunto de integrantes de este grupo recibe las licencias de uso de los propietarios permitiéndoles descifrar todo el contenido publicado en el clúster AD RMS. Por defecto, la administración del grupo superusuarios está deshabilitada. Contraseña de la clave del clúster: permite restablecer la contraseña de la clave del clúster. Retirada: permite proporcionar a los usuarios el control de acceso total a su contenido

previamente securizado por la infraestructura de administración de derechos Active Directory. Esta acción solo debe contemplarse si tiene previsto eliminar el rol de servidor AD RMS de su organización. Informes: Informes de estadísticas: permite obtener las estadísticas de los usuarios que han recibido un certificado de cuenta de derechos desde el clúster AD RMS. Informes de mantenimiento: permiten visualizar la información del estado del clúster AD RMS. Estos informes solo funcionan una vez descargado el componente Control Visor de informes de Microsoft. Informes de solución de problemas: permite visualizar los datos de posibles problemas de licencias AD RMS. Estos informes solo funcionan una vez descargado el componenteControl Visor de informes de Microsoft.

c. Componentes de AD RMS Los servicios de gestión de derechos Active Directory presentan una infraestructura compleja. Se basan en la instalación y gestión de los siguientes componentes: Un bosque que albergue los servicios de directorio de Active Directory. Los servidores AD RMS (en clúster) publicados en Active Directory. Un servidor SQL. Un clúster de servidores Web IIS. Los clientes AD RMS.

2. Instalar y configurar AD RMS Antes de instalar los servicios de gestión de derechos de Active Directory, es importante diseñar previamente la arquitectura de destino para saber exactamente cómo se utilizará AD RMS en su red empresarial. Solo haciéndonos las preguntas adecuadas será más fácil implementar una infraestructura de tal magnitud.

a. Realizar el esquema de la infraestructura La instalación de AD RMS requiere profundizar en algunas restricciones técnicas con el fin de implementar mejor los componentes en su arquitectura existente. La infraestructura AD RMS depende fundamentalmente de sus necesidades y su presupuesto. Para responder mejor a sus necesidades de infraestructura AD RMS, conviene hacerse las siguientes preguntas: ¿Cuántos servidores AD RMS deben ser desplegados? ¿Debe utilizar la infraestructura un servidor SQL o la base de datos integrada? ¿Estará compuesta la infraestructura de un clúster de servidores AD RMS? ¿Cuál será la estrategia de protección de los datos? ¿Deben protegerse los datos solamente para un uso interno o también para su uso externo? ¿Debe funcionar la infraestructura en un entorno compuesto por varios bosques? ¿Debe separarse la gestión de las licencias en un clúster AD RMS dedicado? Todas estas preguntas son esenciales para definir la arquitectura final de su infraestructura AD RMS. Por ejemplo, la opción de utilizar una base de datos interna o distinta de Microsoft SQL Server tendrá un impacto en la implementación de los clústeres de servidores AD RMS. Solo una base de datos Microsoft SQL Server puede recibir varias conexiones, de ahí la posibilidad de crear un clúster de servidores AD RMS. El uso de una base de datos interna solo permite aceptar una conexión, de ahí la instalación de un único servidor AD RMS en la infraestructura. Esto puede interesar para un entorno de prueba o maqueta, pero no convendrá para un entorno de producción.

b. Requisitos previos de instalación Antes de comenzar la instalación de una infraestructura AD RMS, es importante conocer las recomendaciones siguientes: Un bosque Active Directory solo puede albergar un clúster de servidores AD RMS. AD RMS no debe instalarse en un controlador de dominio. AD RMS debe instalarse en un servidor miembro de un dominio Active Directory. La base de datos centralizada del clúster AD RMS debe instalarse, como mínimo, en una versión de Microsoft SQL Server 2008 (si la infraestructura cuenta con un solo servidor AD RMS, es posible utilizar la base de datos interna de Microsoft). Los equipos cliente deben utilizar, todos ellos, un cliente AD RMS válido. Por defecto, los sistemas operativos cliente como Microsoft Windows Vista, Windows 7 o Windows 8 integran un cliente AD RMS. Del lado de los servidores los sistemas operativos como Microsoft Windows Server 2008, 2008 R2, 2012 y 2012 R2 integran un cliente AD RMS. Conviene tener en cuenta estos datos en un despliegue de AD RMS. En cuanto a los requisitos técnicos, los servidores que compongan el clúster AD RMS deben responder a las siguientes características mínimas: Procesador: Pentium 4 a 3 GHz o superior Memoria RAM: 512 MB Disco duro: 40 GB de espacio libre en disco Las características hardware recomendadas son las siguientes: Procesador: dos Pentium 4 a 3 GHz o superior Memoria RAM: 1024 MB

Disco duro: 80 GB de espacio libre en disco

3. Proteger el contenido de los archivos La protección de los documentos puede llevarse a cabo mediante una plantilla de directiva de permisos. Cada grupo de seguridad o usuario afectado por la directiva debe poseer una dirección de correo electrónico en las propiedades del objeto de Active Directory asociado. Sin una dirección de correo electrónico, el ámbito de la protección no podrá implicar al usuario o grupo objetivo. Las plantillas de directivas pueden tener en cuenta las siguientes funcionalidades: Especificar el idioma del cliente AD RMS soportado. Especificar la información complementaria para las aplicaciones compatibles con AD RMS. Definir los permisos autorizados para explotar el contenido protegido. Definir la fecha de caducidad del contenido. Definir la fecha de expiración de la licencia de uso. Por defecto, el asistente de creación de una plantilla de directiva de permisos ofrece la posibilidad de autorizar o restringir los permisos siguientes: Control total Ver Editar Guardar Exportar (Guardar como) Imprimir Reenviar Responder Responder a todos Extraer Permitir macros Ver derechos Editar derechos

El proceso de protección de un documento es el siguiente: El usuario crea un documento cuyo contenido debe protegerse. El equipo cliente realiza una solicitud de certificado de licencia al clúster AD RMS. El usuario recibe un certificado de licencia para proteger su contenido. El usuario configura el documento indicando la directiva de protección aplicada para sus destinatarios. Cuando el usuario valida la configuración, se cifra el archivo. El proceso de acceso a un documento protegido es el siguiente: El usuario abre un documento cuyo contenido está protegido. La aplicación compatible con AD RMS solicita la información de credenciales. Una vez introducidas las credenciales, la aplicación interroga al clúster empleando la URL configurada para saber si el usuario está autorizado y si puede recuperar una licencia de uso. El usuario aprobado obtiene una licencia de uso que le permite descifrar el contenido protegido.

Trabajos prácticos La empresa INFONOVICE desea securizar el acceso a sus datos almacenados en el servidor de archivos. Después de la compra de la empresa OXYFILM, se le pide implementar la tecnología AD RMS para securizar el contenido de los datos compartidos entre los dominios INFONOVICE.priv y OXYFILM.local. El conjunto de los documentos generados por los usuarios del departamento de RRHH deben securizarse para que usuarios del departamento de marketing puedan tener acceso solo de lectura, con restricciones para copiar o imprimir el contenido. Para responder a esta necesidad, se le pide implementar la tecnología AD RMS para que los dos bosques puedan intercambiar los datos, cuyo contenido debe estar protegido para limitar la copia o impresión. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CS-02: entidad de certificación emisora (CA empresarial), Infonovice.priv Dirección IP: 192.168.0.113 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones: C:\ D:\, E:\ FILES-01: servidor de archivos, AD RMS, Infonovice.priv Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones: C:\, E:\ (50 GB) CLIENT1: cliente DNS y DHCP, Pack Office 2010, Infonovice.priv Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 DC-05: controlador de dominio oxyfilm.local, servidor DNS Dirección IP: 192.168.0.118 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CLIENT3: cliente DNS y DHCP, oxyfilm.local Dirección IP: 192.168.0.119 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254

1. Preparar el despliegue AD RMS

1. Preparar el despliegue AD RMS Este taller permite preparar la instalación del rol de servidor AD RMS. Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio Infonovice.priv, en el Administrador del servidor, haga clic en Herramientas y, a continuación, en DNS. Paso 2: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores condicionales y, a continuación, haga clic en Nuevo reenviador condicional. Paso 3: en la ventana Nuevo reenviador condicional, escriba oxyfilm.local en el campoDominio DNS y, a continuación, escriba 192.168.0.118 en el campo Direcciones IP de los servidores maestros. A continuación, haga clic en Aceptar. Paso 4: inicie una sesión en el servidor DC-05 con una cuenta de administrador del dominioOxyfilm.local a continuación, en el Administrador del servidor, haga clic en Herramientas y enDNS. Paso 5: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores condicionales y, a continuación, haga clic en Nuevo reenviador condicional. Paso 6: en la ventana Nuevo reenviador condicional, escriba infonovice.local en el campoDominio DNS y, a continuación, escriba 192.168.0.100 en el campo Direcciones IP de los servidores maestros. A continuación, haga clic en Aceptar. Paso 7: cambie al servidor DC-01, en el Administrador del servidor, en Herramientasy, a continuación, en Usuarios y equipos de Active Directory.

haga

Paso 8: cree el árbol de unidades organizativas siguiente: INFONOVICE\Usuarios INFONOVICE\RRHH INFONOVICE\Grupos INFONOVICE\Cuentas de servicio Paso 9: cree la cuenta de usuario siguiente en la UO INFONOVICE\RRHH: Nombre completo: Juan Dupont Apellidos: Dupont Nombre de pila: Juan Inicio de sesión: jdupont Contraseña: P@ssw0rd E-mail: [email protected] Paso 10: cree la cuenta de usuario siguiente en la UO INFONOVICE\Usuarios: Nombre completo: Marcos Lablanca Apellidos: Lablanca Nombre de pila: Marcos Inicio de sesión: mlablanca Contraseña: P@ssw0rd E-mail: [email protected] Paso 11: cree la cuenta de servicio siguiente en la UO INFONOVICE\Cuentas de servicio:

clic

Nombre completo: svc-adrms Apellidos: svc-adrms Nombre de pila: svc-adrms Inicio de sesión: svc-adrms Contraseña: P@ssw0rd Opciones de contraseña: La contraseña nunca expira Paso 12: cree los siguientes grupos de seguridad en la UO INFONOVICE\Grupos, con las características siguientes: Nombre de grupo: GG_RH_Users Tipo: Grupo de seguridad Ámbito: Global E-mail: [email protected] Miembros: Juan Dupont Nombre de grupo: GG_MARKETING_Users Tipo: Grupo de seguridad Ámbito: Global E-mail: [email protected] Miembros: Marcos Lablanca Nombre de grupo: GG_ADRMS_SuperUsers Tipo: Grupo de seguridad Ámbito: Global E-mail: [email protected] Paso 13: en DC-01, abra el Administrador del servidor, haga clic en Herramientas y, a continuación, en DNS. Paso 14: despliegue el árbol de la consola hasta Zonas de búsqueda directa\infonovice.priv, a continuación, cree un alias CNAME con las siguientes características y haga clic en Aceptar: Nombre de alias: CLUSTER-ADRMS Nombre de dominio completo (FQDN): CLUSTER-ADRMS.infonovice.priv Nombre de dominio completo (FQDN) para el host de destino: FILES-01.infonovice.priv

Paso 15: inicie una sesión en el servidor CS-02 (servidor de certificados que alberga la entidad de certificación empresarial emisora) con una cuenta de administrador del dominio Infonovice.priv. Abra el Administrador del servidor, haga clic en Herramientas y, a continuación, en Entidad de certificación. Paso 16: despliegue el árbol de la consola para seleccionar el contenedor Plantillas de certificado. Haga clic con el botón derecho encima y haga clic en Administrar. Paso 17: en la lista de plantillas de certificado disponibles, seleccione el certificado Servidor Web, haga clic con el botón derecho encima y haga clic en Plantilla duplicada. Paso 18: en la ventana Propiedades de plantilla nueva, seleccione Windows Server 2012 en el campo Entidad de certificación de la sección Compatibilidad y haga clic en Aceptar para validar la selección. A continuación, seleccione Windows 8 / Windows Server 2012 en el campoDestinatario del certificado y haga clic en Aceptar para validar la selección. Paso 19: haga clic en la pestaña General de la ventana Propiedades de plantilla nueva y escriba Servidor Web ADRMS en el campo Nombre para mostrar de la plantilla. A continuación, marque la opción Publicar certificado en Active Directory. Paso 20: haga clic en la pestaña Seguridad de la ventana Propiedades de plantilla nueva y haga clic en Agregar para seleccionar la cuenta de equipo FILES-01. Marque los permisos Leer yInscribirse, a continuación haga clic en Aceptar para cerrar las propiedades de la nueva plantilla de certificado y cierre la consola de plantillas de certificado.

Paso 21: en la consola Entidad de certificación, haga clic con el botón derecho en Plantillas de certificado, haga clic en Nuevo y, a continuación, en Plantilla de certificado que se va a emitir. Seleccione la plantilla de certificado llamada Servidor Web ADRMS y, a continuación, haga clic enAceptar:

2. Instalar AD RMS Este taller permite instalar el rol de servidor AD RMS en el servidor de archivos FILES-01. Este primer servidor constituye el clúster AD RMS. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolActive Directory Rights Management Services y, a continuación, haga clic en el botón Agregar características. A continuación, haga clic en Siguiente:

La instalación de los servicios AD RMS agrega a su vez el rol Servidor Web IIS.

Paso 4: en el paso Seleccionar características, haga clic en Siguiente. Paso 5: en el paso Active Directory Rights Management Services, haga clic en Siguiente. Paso 6: en el paso Seleccionar servicios de rol, marque la opción Servidor de Active Directory Rights Management Services y, a continuación, haga clic en Siguiente:

Paso 7: en el paso Rol de servidor Web (IIS) , haga clic en Siguiente. Paso 8: en el paso Seleccionar servicios de rol, haga clic en Siguiente. Paso 9: en el paso Confirmar selecciones de instalación, haga clic en Instalar. Paso 10: en el paso Progreso de la instalación, haga clic en Cerrar.

3. Configuración posterior a la instalación AD RMS Este taller permite configurar el rol del servidor AD RMS en el servidor de archivos FILES-01. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en la bandera con la notificación amarilla. A continuación, haga clic en Realice tareas de configuración adicionales. Paso 2: en la ventana de configuración AD RMS, haga clic en Siguiente. Paso 3: en el paso Clúster de AD RMS, la opción Crear un nuevo clúster raíz de AD RMS está previamente seleccionada porque se trata de la configuración del primer servidor de la infraestructura. Haga clic en Siguiente. Paso 4: en el paso Base de datos de configuración, marque la opción Usar Windows Internal Database en este servidor y haga clic en Siguiente. Paso 5: en el paso Cuenta de servicio, haga clic en Especificar para indicar la cuenta de servicioINFONOVICE\svc-adrms. A continuación, haga clic en Siguiente:

Paso 6: en el paso Modo criptográfico, marque la opción Modo criptográfico 2 (esto permite mejorar la seguridad) y, a continuación, haga clic en Siguiente. Paso 7: en el paso Almacenamiento de la clave del clúster, marque la opción Usar almacenamiento de claves administrado centralmente por AD RMS y haga clic en Siguiente. En un entorno de producción, es recomendable seleccionar la opción Usar almacenamiento de claves CSP.

Paso 8: en el paso Contraseña de la clave del clúster, escriba P@ssw0rd en el campo dedicado a las contraseñas y, a continuación, haga clic en Siguiente. Paso 9: en el paso Sitio web del clúster, seleccione el rol Default Web Site y haga clic enSiguiente. Paso 10: en el paso Dirección de clúster, marque la opción Usar una conexión cifrada con SSLen la sección Tipo de conexión y, a continuación, escriba CLUSTER-ADRMS.infonovice.priv en el campo https:// de la sección Nombre de dominio completo. A continuación, haga clic enSiguiente:

Paso 11: en el paso Certificado de servidor, marque la opción Elegir un certificado existente para cifrado SSL y, a continuación, haga clic en Siguiente. Paso 12: en el paso Certificado emisor de licencias, escriba INFONOVICEADRMS en el campoNombre y, a continuación, haga clic en Siguiente. Paso 13: en el paso Registro de SCP, marque la opción Registrar el SCP ahora y, a continuación, haga clic en Siguiente. Paso 14: en el paso Confirmación, haga clic en Instalar. Paso 15: en el paso Resultado, compruebe que se han configurado los servicios AD RMS y, a continuación, haga clic en Cerrar. Paso 16: abra el Administrador del servidor del servidor FILES-01, haga clic en Herramientasy, a continuación, en Administrador de Internet Information Services (IIS). Paso 17: en la parte izquierda del árbol de la consola, seleccione el nombre del servidor. En la parte central, haga doble clic en Certificados de servidor. Paso 18: en la parte derecha, haga clic en Crear una solicitud de certificado. Paso 19: en la ventana Solicitar certificado, escriba la siguiente información y, a continuación, haga clic en Siguiente: Nombre común: CLUSTER-ADRMS.infonovice.priv Organización: INFONOVICE Unidad organizativa: AD RMS Ciudad o localidad: Madrid Estado o provincia: Madrid País o región: ES

El campo Nombre común corresponde ADRMS.infonovice.priv.

a

la

URL

definitiva,

es

decir

http://CLUSTER-

Paso 20: en el paso Propiedades de proveedor de servicios criptográficos, seleccione una longitud en bits de 2048 y, a continuación, haga clic en Siguiente. Paso 21: cree la carpeta C:\Certificados. En escribaC:\Certificados\Solicitud.txt y haga clic en Finalizar.

el

paso

Nombre

de

archivo,

Paso 22: abra el navegador Internet Explorer, escriba la URL siguiente: http://CS-02/certsrv, y haga clic en Solicitar un certificado. Paso 23: haga clic en Solicitud avanzada de certificado. Paso 24: haga clic en Enviar una solicitud de certificado con un archivo. Paso 25: copie el contenido del archivo C:\Certificados\Solicitud.txt en la sección Guardar solicitud. Seleccione la plantilla de certificado Servidor Web ADRMS y, a continuación, haga clic enEnviar:

Paso 26: haga clic en Descargar certificado y guarde carpetaC:\Certificados\.

el archivo

Certnew.cer en

la

Paso 27: cambie a la consola de administración IIS y, en la parte derecha, haga clic enCompletar solicitud de certificado. Paso 28: en el paso Especificar respuesta de entidad de certificación, seleccione la ubicación del archivo de respuesta C:\Certificados\certnew.cer, escriba Servidor Web ADRMS en el campoNombre descriptivo y, a continuación, seleccione Personal en el campo Seleccione un almacén de certificados para el nuevo certificado. Haga clic en Aceptar. Paso 29: cambie a la consola de administración IIS, despliegue el árbol y seleccione Default Web Site. En la parte derecha, haga clic en Enlaces. Paso 30: en la ventana Enlaces, haga doble clic en el tipo de vínculo https. Paso 31: en la ventana Modificar enlace de sitio, introduzca la información siguiente y, a continuación, haga clic en Aceptar y en Cerrar. Tipo: https Puerto: 443 Nombre de host: CLUSTER-ADRMS.infonovice.priv Certificado SSL: Servidor Web ADRMS

Paso 32: inicie una sesión en el servidor FILES-01.

4. Configurar la consola AD RMS Este taller permite configurar la consola de administración AD RMS en el servidor de archivos FILES01. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y en Active Directory Rights Management Services. Paso 2: en el árbol de la consola, haga clic con el botón derecho en el nombre del clúster servidor local y, a continuación, haga clic en Eliminar. Paso 3: en la ventana Quitar clúster, haga clic en Sí. Paso 4: haga clic con el botón derecho en el nodo raíz de la consola y haga clic en Agregar clúster. Paso 5: en la ventana Agregar clúster, seleccione HTTPS con número de puerto 443 en la sección Protocolo de conexión. Marque la opción Equipo remoto y escriba clusteradrms.infonovice.priv en la sección Conectar a. Marque la opción Conectar como e introduzca las credenciales de conexión de una cuenta de administrador del dominio Infonovice.priv, a continuación, haga clic en Finalizar.

Paso 6: la consola de administración AD RMS permite, en lo sucesivo, administrar el clúster a través de servicios web:

5. Configurar los superusuarios Este taller permite configurar un grupo de superusuarios en el clúster AD RMS. Los integrantes de este grupo tienen la posibilidad de descifrar todo el contenido publicado en la infraestructura AD RMS. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y en Active Directory Rights Management Services.

Paso 2: despliegue el árbol de la consola y seleccione Superusuarios en el nodo Directivas de seguridad. Paso 3: en el menú Acciones, haga clic en Habilitar superusuarios. Paso 4: en la parte central de la consola, haga clic en Cambiar grupo de superusuarios. Paso 5: en la ventana Superusuarios, haga clic en Examinar para seleccionar el grupo de seguridad global GG_ADRMS_SuperUsers. Verifique que la dirección e-mail asociada al grupo de seguridad se muestra correctamente en el campo Grupo de superusuarios y, a continuación, haga clic en Aceptar:

6. Configurar una plantilla de directiva Este taller permite crear una plantilla de directiva de derechos que limita el uso de un contenido solo para su lectura por parte de los usuarios del departamento de Marketing. El contenido protegido debe configurarse con una expiración en 5 días, que se corresponde con una semana laboral, y una licencia de uso de 5 días. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio Infonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Herramientas y en Active Directory Rights Management Services. Paso 2: despliegue el árbol de la consola hasta seleccionar Plantillas de directiva de derechosbajo el nodo Directivas de confianza. Paso 3: en el menú Acciones, haga clic en Administrar plantillas de directiva de derechos distribuidas y, a continuación, haga clic en Crear plantilla de directiva de derechos distribuida. Paso 4: en la ventana Crear plantilla de directiva de derechos distribuida, haga clic

en Agregaren el paso Agregar información de identificación de plantilla. Paso 5: en la ventana Agregar nueva información de identificación de la plantilla, introduzca los valores siguientes y, a continuación, haga clic en Agregar: Idioma: español (España, alfabetización internacional) Nombre: Lectura Descripción: Protección AD RMS - Copia o impresión restringidas

Paso 6: haga clic en Siguiente. Paso 7: en el paso Agregar derechos de usuario, haga clic en Agregar en la sección Usuarios y derechos para especificar el grupo de seguridad global GG_MARKETING_Users (E-mail: [email protected]) y, a continuación, haga clic en Aceptar:

Paso 8: en la sección Derechos de [email protected], marque la opción Ver y, a continuación, haga clic en Siguiente:

Paso 9: en el paso Especificar directiva de expiración, indique un valor para la expiración del contenido, así como para la expiración de la licencia de uso, igual a 5 días. A continuación, haga clic en Siguiente:

Paso 10: en el paso Especificar directiva extendida, marque la opción Requerir una nueva licencia de uso cada vez que se consuma contenido y, a continuación, haga clic en Finalizar:

Paso 11: su plantilla de directiva de derechos aparece, ahora, en la consola, aunque la ubicación del archivo aparece como No establecido. Cree, en el servidor FILES-01, los directorios siguientes con las características asociadas: Directorio a crear: E:\Plantillas Nombre de recurso compartido: Plantillas Permisos de recurso compartido: svc-adrms (Lectura y Escritura) Directorio a crear: E:\Compartir Nombre de recurso compartido: Compartir Permisos de recurso compartido: Todos (Lectura y Escritura) Paso 12: en la consola de administración de Consola de servicios AD RMS, haga clic en Cambiar la ubicación del archivo de plantillas de directiva de derechos distribuidas:

Paso 13: marque la opción Habilitar exportación y, a continuación, especifique la ubicación de las plantillas escribiendo \\FILES-01\Plantillas. A continuación, haga clic en Aceptar:

Paso 14: la plantilla de directiva de derechos distribuidos creada previamente aparece, ahora, en la carpeta E:\Plantillas del servidor FILES-01:

7. Crear una directiva de exclusión Este taller permite crear una directiva de exclusión de aplicación para prohibir que se pueda consultar el contenido protegido por AD RMS mediante versiones de Word obsoletas. Solo las versiones de Word Office 2010 y 365 estarán aceptadas. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominio Infonovice.priv y a continuación, en el Administrador del servidor, haga clic en Herramientas y en Active Directory Rights Management Services. Paso 2: despliegue el árbol de la consola y seleccione Aplicaciones en el nodo Directivas de exclusión. Paso 3: en el menú Acciones, haga clic en Habilitar exclusión de aplicaciones. Paso 4: en el menú Acciones, haga clic en Excluir aplicación. Paso 5: en la ventana Excluir aplicación, escriba la siguiente información y, a continuación, haga clic en Finalizar: Nombre del archivo de aplicación: WINWORD.EXE Versión mínima: 14.0.0.0 Versión máxima: 15.0.0.0

Paso 6: la exclusión de aplicaciones aparece, ahora, en la consola de administración de Consola de servicios AD RMS:

8. Proteger el contenido

Este taller permite crear un documento Word desde el pack Office 2010 y protegerlo antes de enviarlo a otros usuarios. Una vez securizado el documento, se debe realizar una prueba para confirmar que los usuarios del departamento de Marketing solo tienen derechos de lectura en el documento. Paso 1: inicie una sesión en el equipo CLIENT1 con la cuenta de usuario Juan Dupont (nombre de usuario: jdupont, contraseña: P@ssw0rd). Paso 2: vaya al escritorio llamadoConfidencial.docx.

del

usuario

y

cree

un

nuevo

documento

Word

Paso 3: abra el documento Word Confidencial.docx y escriba el texto siguiente: "Documento de Recursos Humanos". Paso 4: haga clic en la pestaña Archivo del documento Word y, a continuación, vaya a la secciónInformación. En la sección Permisos haga clic en Proteger documento, seleccione a continuaciónRestringir permisos por personas y haga clic en Administrar credenciales:

Paso 5: en primer lugar, la aplicación Microsoft Word contacta con los servicios de dominio de Active Directory para recuperar la URL del clúster AD RMS:

Paso 6: a continuación, se solicita al usuario sus credenciales de dominio INFONOVICE.priv. Escriba el nombre de usuario jdupont y la contraseña P@ssw0rd. Marque la opción Recordar mis credenciales y haga clic en Aceptar.

Paso 7: la aplicación verifica los datos de conexión proporcionados, para verificar que sus credenciales están autorizadas para acceder a los servicios AD RMS:

Paso 8: en la ventana Seleccionar características, haga clic en Aceptar:

Paso 9: en la ventana Permiso, marque la opción Restringir el acceso a documento. En la sección Leer escriba la dirección de correo electrónico del usuario Marcos Lablanca, perteneciente al departamento de MARKETING ([email protected]), y haga clic en Aceptar:

Paso 10: el documento Confidencial.docx está en adelante securizado. Guarde el archivo en la dirección siguiente \\FILES-01\Compartir y, a continuación, cierre la sesión del usuario jdupont:

Paso 11: inicie una sesión en el equipo CLIENT1 con la cuenta de usuario Marcos Lablanca(nombre de usuario: mlablanca, contraseña: P@ssw0rd). Paso 12: abra el archivo \\FILES-01\Compartir\Confidencial.docx. Paso 13: introduzca las credenciales de conexión de opciónRecordar mis credenciales y haga clic en Aceptar:

la

cuenta mlablanca, marque

la

Paso 14: la aplicación Microsoft Word verifica los datos proporcionados. Marque la opción No volver a mostrar este mensaje y haga clic en Aceptar:

Paso 15: una vez abierto el documento, intente modificar el contenido. Haga clic con el botón derecho en la página para verificar que el conjunto de las opciones de modificación o de copia están sombreadas:

Paso 16: haga clic en Archivo para como eImprimir están deshabilitadas:

confirmar

que

las

opciones

Guardar,

Guardar

Paso 17: haga clic en Proteger documento y, a continuación, en Ver permisos para confirmar que solo están habilitadas las opciones de lectura mediante un programa:

Paso 18: transfiera el archivo Confidencial.docx al equipo CLIENT3 del dominio Oxyfilm.local, y abra el documento después de iniciar sesión con una cuenta de administrador del dominio Oxyfilm.local. Paso 19: acepte el certificado presentado por la URL del clúster AD RMS y, a continuación, haga clic en Sí para aceptar la verificación de las credenciales. El contenido no estará accesible porque las credenciales de la cuenta de usuario proporcionada no forman parte de un dominio aprobado por el clúster AD RMS del dominio Infonovice.priv. Haga clic en No para no utilizar otro juego de credenciales:

Para que los usuarios de otro dominio puedan acceder al contenido protegido por AD RMS, hay que crear una directiva de confianza para aprobar al dominio que alberga a los usuarios.

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de gestión de derechos de Active Directory con la implementación del rol de servidor AD RMS en Microsoft Windows Server 2012 R2. Podría resumirse de la manera siguiente: AD RMS constituye un medio excelente para proteger el contenido de los datos generados en una organización implementando una tecnología de gestión de derechos digitales como lo haría un DRM para el contenido musical. AD RMS es una extensión de los permisos NTFS y permite proteger la integridad de los datos. Su implementación permite prohibir, a aquellos usuarios con acceso al contenido, que lo copien, impriman o incluso que lo transfieran. AD RMS protege los documentos mediante un cifrado basado en un certificado y una licencia de uso. Cualquier persona que desee leer un documento protegido por la infraestructura de gestión de derechos de Active Directory debe contar con un cliente AD RMS actualizado, un certificado de cuenta de derechos así como una licencia de uso. Una infraestructura AD RMS debe configurarse para que las propias aplicaciones permitan proteger el contenido. Los equipos cliente que ejecuten Windows XP deben contar con al menos el Service Pack 2 para disponer del cliente AD RMS. Por defecto, los servicios web de AD RMS escuchan en el puerto 80 de los servicios IIS. En un entorno de producción, es preferible implementar un acceso SSL HTTPS utilizando el puerto 443. Una infraestructura AD RMS es compleja y está basada en varias tecnologías como: AD DS, AD FS, AD CS. Para extender las características de los servicios AD RMS hacia el exterior de la organización, hay que crear una URL de clúster Extranet. Para aprobar otras infraestructuras AD RMS, hay que crear una directiva de confianza y, a continuación, intercambiar los certificados de licencia de los servidores.


1. Preguntas 1 ¿Para qué sirve la clave de cifrado del clúster AD RMS? 2 ¿Qué es una licencia de publicación? 3 ¿Qué es una licencia de uso? 4 ¿Qué es un clúster raíz? 5 ¿Cuántos clústeres AD RMS pueden implementarse, como máximo, en un bosque Active Directory ? 6 ¿Cuál es la utilidad del grupo superusuarios?


3. Respuestas 1 ¿Para qué sirve la clave de cifrado del clúster AD RMS? La clave de cifrado del clúster AD RMS se genera durante la instalación del primer servidor del clúster raíz. Cada servidor que necesite unirse al clúster raíz debe presentar esta clave de cifrado. 2 ¿Qué es una licencia de publicación? Cuando un usuario protege el contenido de uno de sus archivos, el clúster asigna al documento una licencia de publicación que define los permisos del documento. 3 ¿Qué es una licencia de uso? Cuando un usuario autorizado intenta acceder al contenido protegido, el clúster proporciona una licencia de uso que permite abrir el archivo. 4 ¿Qué es un clúster raíz? Un clúster raíz de AD RMS representa un conjunto de servidores que ejecutan el rol de servidor AD RMS. Los servidores pueden unirse mediante una URL de clúster para responder a las peticiones de licencias de uso y gestión de certificados. 5 ¿Cuántos clústeres AD RMS pueden implementarse, como máximo, en un bosque Active Directory? Solo puede existir un único clúster AD RMS en un bosque Active Directory. 6 ¿Cuál es la utilidad del grupo superusuarios? Los integrantes del grupo superusuarios reciben el conjunto de licencias propietarias para poder descifrar todo tipo de contenido protegido por la infraestructura AD RMS.

Requisitos previos y objetivos 1. Requisitos previos Tener conocimientos básicos de la administración de Windows Server 2012 R2. Contar con nociones sobre la gestión de servicios de dominio Active Directory. Contar con nociones sobre la gestión de relaciones de confianza de Active Directory.

2. Objetivos Comprender la utilidad de los servicios de federación de Active Directory. Saber preparar una infraestructura de red antes de desplegar AD FS. Saber instalar y configurar los servicios de federación de Active Directory.

Servicios de federación Trabajar en un entorno Windows compuesto de una infraestructura de múltiples dominios y de varios bosques requiere crear múltiples relaciones de confianza. Cuando se trata de trabajar con un asociado que posee varios bosques, la tarea puede resultar más complicada que lo previsto por el administrador encargado de crear el conjunto de relaciones de confianza necesarias para compartir los recursos entre varias entidades. Si las diferentes organizaciones se encuentran separadas entre sí por un vínculo WAN, los equipos de red deben comenzar un complicado proyecto de apertura de flujos de datos, necesario para el correcto funcionamiento del tráfico vinculado a Active Directory. Estos métodos no proporcionan un nivel de seguridad satisfactorio, ya que los controladores de dominio internos no deben estar unidos directamente con el exterior, por medio de un canal de comunicación de tipo NAT (Network Address Translation). En un mundo ideal, los servicios de su organización que pueden ser consultados desde el exterior deben situarse en un entorno de red o perímetro llamado "DMZ" (DeMilitarized Zone). El uso de una red perimetral aporta un nivel de seguridad adicional y protege de esta forma sus recursos de un potencial acceso directo a los servidores clave de su infraestructura informática. Para aportar a los administradores una mayor flexibilidad para la gestión de las relaciones de confianza entre asociados u otros servicios en línea, Microsoft ha implementado en su sistema operativo Windows Server 2012 R2 los servicios de federación de Active Directory. La tecnología existe desde Windows Server 2003 R2 pero, a partir de Windows Server 2008, los servicios de federación de Active Directory se presentan como un rol de servidor llamado AD FS (Active Directory Federation Services).

1. Presentación de AD FS Active Directory Federation Services es un rol de servidor que permite extender la gestión de la autenticación al exterior de su red empresarial. La implementación de esta tecnología no requiere la apertura de los diferentes canales de red empleados por el tráfico de los servicios de dominio de Active Directory, sino que simplemente se conforma con el uso de comunicaciones cifradas a través del protocolo HTTPS (puerto generalmente abierto previamente en el firewall de una infraestructura que ya publica servicios web o de mensajería Webmail). Los servicios de federación proporcionados por el rol de servidor AD FS permite obtener una única autenticación (SSO: Single Sign On) en las aplicaciones de tipo Web (Web SSO). No es necesario trabajar con varias organizaciones para implementar AD FS. También podemos utilizar AD FS dentro de una misma organización, o entre dos bosques que posean relaciones de confianza entre sí. AD FS en Windows Server 2012 R2 se basa en la versión AD FS 3.0 y Microsoft ha agregado comandos de gestión PowerShell adicionales así como una integración con el control de acceso dinámico.

a. Funcionamiento de AD FS El rol de servidor Active Directory Federation Services requiere la instalación de una infraestructura compleja. Ya que las comunicaciones están securizadas empleando un cifrado basado en certificados, la infraestructura interna de su organización puede necesitar el uso de los servicios de certificados AD CS. AD FS permite autorizar a los usuarios de sus asociados a acceder a sus recursos. Cuando un usuario intenta acceder a uno de sus recursos contenido dentro del perímetro de publicación, los servicios de federación efectúan un proceso de validación automático utilizando la información de conexión introducida y la información de autenticación del usuario que previamente ha abierto una sesión en su dominio de origen (análisis del token de acceso Windows). De esta forma, la infraestructura AD FS comunica con los servicios de dominio AD DS internos o los de sus asociados. Esto permite asegurar que las credenciales proporcionadas son válidas antes de presentar y autorizar el acceso al recurso solicitado. Si uno de sus asociados no cuenta con el directorio AD DS, los servicios de federación pueden, también, trabajar de manera conjunta con el rol de servidor AD LDS (Active Directory Lightweight Directory Services), que es el equivalente a un servicio de directorio más ligero que los servicios de directorio de AD DS. Mediante este proceso de autenticación, los usuarios de cada organización federada solo tienen la necesidad de autenticarse

durante el inicio de sesión de su equipo cliente para utilizar a continuación una aplicación web sin tener que identificarse de nuevo (sin necesidad de introducir el nombre de usuario y la contraseña). AD FS es compatible con una extensa gama de servicios y aplicaciones. Encontramos, en particular, AD FS en las implementaciones siguientes: Servicios Web (sitios web, Extranet, Webmail, etc.) Servicios AD RMS Servicios Cloud (ejemplo de Cloud Azure de Microsoft) Servicios Citrix Para trabajar con otras organizaciones que utilicen a su vez servicios de federación y servicios de dominio Active Directory, los administradores a cargo de la implementación de AD FS deben crear relaciones de confianza federadas. No hay que confundir las relaciones de confianza (que hacen referencia a la relación de confianza tradicional entre los bosques de Active Directory) con las relaciones de confianza de federación (que hacen referencia a una relación de confianza federada entre dos bosques de Active Directory).

La creación de una relación de confianza de federación requiere especificar claramente los elementos siguientes: Los recursos accesibles Los usuarios autorizados Dado que la autenticación de los usuarios está basada, en parte, en los token de acceso Windows, la sincronización horaria de los equipos de la infraestructura juega un rol importante. El emulador PDC de cada controlador de dominio tiene la función de sincronizar la hora de los equipos correspondientes. Sin embargo, si trabajamos con diferentes organizaciones que gestionan sus propios directorios AD DS, no es sencillo gestionar estos datos horarios. Por este motivo, Microsoft recomienda a todas las organizaciones basar su sincronización horaria en servidores externos, utilizando el protocolo NTP (Network Time Protocol). Cuando un usuario se autentica en una aplicación compatible con AD FS, el navegador web crea una cookie local, permitiendo asi al usuario autenticarse en SSO más rápidamente.

b. Administración de AD FS La administración del rol de servidor AD FS se realiza a través de un complemento situado en la siguiente ubicación: %windir%\ADFS\Microsoft.IdentityServer.msc

El asistente de instalación del rol de servidor AD FS instala a su vez el servicio Active Directory Federation Services:

Este servicio se encuentra detenido por defecto. Primero hay que configurar los servicios de federación empleando el asistente de la consola de administración AD FS para poder arrancar el servicio. Al añadir el rol de servidor AD FS se instalan también los servicios Web (IIS) con la característicaAutenticación de asignaciones de certificado de cliente. El asistente de instalación ofrece dos tipos de instalación de los servicios de federación. Es posible realizar los siguientes tipos de instalación: Instalación de un servidor independiente: esta opción solo debe favorecerse en infraestructuras de pequeña envergadura o entornos de prueba porque no ofrece alta disponibilidad. Seleccionando esta opción, no es posible crear una granja de servidores AD FS. Instalación en una granja de servidores: esta opción permite dotar de alta disponibilidad a los servicios de federación, además de un sistema de equilibrio de carga de los servidores AD FS. Cuando los servicios de federación se configuran desde la consola de Administración AD FS el árbol aparece de la siguiente forma: Servicio: Extremos Certificados Descripciones de notificaciones Relaciones de confianza: Confianzas de proveedores de notificaciones Veracidades de usuarios de confianza Almacenes de atributos

2. Notificaciones Las notificaciones contienen información específica acerca de un usuario o un equipo que se autentica en una aplicación compatible con AD FS. Cuando un usuario realiza una solicitud de acceso a una aplicación Web, el directorio AD DS que efectúa la autenticación puede proporcionar las notificaciones solicitadas a un servidor de federación que transmite, a su vez, los datos a la aplicación. AD FS soporta tres tipos de notificaciones: Notificaciones de usuarios: este tipo de notificación es relativo a los atributos del usuario que puede presentarse a un servidor de federación. El atributo UPN (User Principal Name)

representa el atributo con mayor prioridad. Las direcciones de correo electrónico se utiliza, también como parámetros de notificación de usuario. Notificaciones de grupo: las notificaciones pueden estar basadas en la pertenencia a grupos de usuarios. Notificaciones personalizadas: las notificaciones personalizadas permiten definir atributos no convencionales o específicos vinculados a un usuario. Algunos atributos importantes como la UPN o la dirección de correo electrónico pueden ser múltiples, o uno solo de entre estos tipos de atributos puede tenerse en cuenta durante una notificación de identidad. Por esta razón las UPN o las direcciones de correo electrónico pueden configurarse como notificaciones personalizadas.

3. Infraestructura AD FS Una infraestructura AD FS puede complicarse muy rápidamente en función del número de asociados que requieran acceso a los recursos de la organización. Por este motivo, resulta muy importante conocer bien los diferentes componentes de una infraestructura AD DS.

a. Infraestructura Una infraestructura AD FS entre dos asociados que permita un acceso a las aplicaciones Web externas se presenta según el esquema siguiente:

El proceso de autenticación SSO en un servidor Web que hospeda aplicaciones compatibles con AD FS es el siguiente: 1.

Un usuario miembro de la asociación AD FS realiza una solicitud de acceso a un sitio web externo mediante una URL.

2.

Un agente ubicado en el servidor Web se encarga de verificar los datos proporcionados transmitiendo una solicitud a un servidor proxy de federación de recursos.

3.

Empleando las notificaciones proporcionadas por la autenticación del usuario en

su dominio de origen, el servidor proxy AD FS del entorno correspondiente que contenga los recursos transmite las notificaciones recogidas a un servidor AD FS interno al dominio de los recursos. 4.

Si el usuario no existe en el directorio Active Directory del dominio de los recursos, el servidor AD FS del dominio de los recursos contacta entonces con el directorio Active Directory del dominio de la cuenta que envía la solicitud al destino del servidor proxy AD FS del dominio de los recursos. El servidor proxy AD FS del dominio de los recursos transfiere la petición al servidor proxy AD FS del dominio de cuentas para contactar con el servidor AD FS del dominio de cuentas.

5.

El servidor AD FS del dominio de cuentas que está conectado al directorio Active Directory puede ahora verificar las notificaciones del usuario, al igual que sus derechos de acceso.

6.

Una vez validadas las notificaciones de usuario, el servidor AD FS de cuentas genera un token de seguridad que contiene las notificaciones del usuario así como un certificado digital del servidor AD FS de cuentas.

7.

El servidor AD FS de cuentas responde al servidor AD FS de recursos empleando una petición que contiene el token de seguridad. La comunicación entre los dos asociados de federación pasa nuevamente a través de los servidores proxy de federación.

8.

El servidor AD FS de recursos extrae la información del token de seguridad para evaluar las notificaciones del usuario.

9.

Se genera un nuevo token de seguridad y se presenta al servidor web.

10.

El navegador web crea una cookie local para que el usuario pueda volver a conectarse al sitio Web con SSO.

b. Componentes Una infraestructura AD FS posee los siguientes componentes: Servidores de federación: los servidores de federación poseen el rol del servidor AD FS. Encontramos generalmente un servidor de federación en el dominio que alberga los recursos y otro en el dominio que alberga las cuentas de usuario. Proxys de servidor de federación: los proxys de servidor de federación poseen, además, el rol AD DS pero están ubicados en la red perimetral para reenviar a los servidores de federación ubicados en la red interna. Encontramos también los proxys de servidores de federación respectivamente en las redes perimetrales de los dominios de cuentas y los dominios de recursos. Las aplicaciones habilitadas para AD FS: las aplicaciones habilitadas para AD FS representan las aplicaciones albergadas en los servidores Web. Los controladores de dominio AD DS: los controladores de dominio permiten autenticar a los usuarios y asignarles tókens de seguridad. Por lo general, encontramos controladores de dominio en los dominios de cuentas y los dominios de recursos. Si una organización no utiliza los servicios de AD DS, se puede utilizar a su vez una instancia de AD LDS para administrar la correspondencia de las cuentas de usuario. Los clientes: los clientes son los usuarios que desean acceder a las aplicaciones habilitadas para AD FS a través de su equipo cliente. Una vez autenticados en el dominio AD DS de su organización, pueden acceder a las aplicaciones Web externas a su organización y habilitadas para AD FS sin tener que volver a introducir sus credenciales de conexión. Las notificaciones: las notificaciones pueden ser de varios tipos. Pueden ser notificaciones de identidad, de proveedor, de grupo, etc. Las notificaciones contienen por ejemplo, el conjunto de datos vinculados al objeto de usuario o equipo. Los certificados: la infraestructura AD FS emplea certificados digitales que pueden emitirse mediante una entidad de certificación interna. Los servicios de certificados AD CS pueden

formar parte integral de una infraestructura AD FS. El uso de certificados emitidos por una entidad de certificación interna obliga a cada parte a aprobar estos certificados emitidos por la entidad interna. Los almacenes de atributos: permiten almacenar la información de notificaciones de los usuarios. Las veracidades de usuarios de confianza: son los servidores de federación que reciben los tokens de seguridad (tokens) de los usuarios externos a partir de un proveedor de notificaciones aprobado. El servidor de federación acepta las notificaciones proporcionadas y genera nuevos tokens de seguridad que puede utilizar el servidor Web para autorizar a los usuarios remotos.

4. Instalar y configurar AD FS La instalación de los servicios de federación Active Directory requiere el conocimiento de las siguientes recomendaciones y requisitos previos: La instalación del rol de servidor AD FS no requiere forzosamente permisos de administración en el dominio Active Directory correspondiente. Es posible instalar este rol de servidor en un servidor miembro con permisos de administrador local. Aunque sea práctico en un entorno de pruebas, no es recomendable instalar el rol de servidor AD FS en un controlador de dominio. Si tiene la posibilidad, es muy recomendable utilizar un servidor miembro dedicado. Los controladores de dominio deben configurarse en sistemas operativos Windows Server 2003 Service Pack 1 como mínimo. Los servidores AD FS deben pertenecer a un dominio AD DS mientras que los proxys de servidores AD FS no tienen que estar, necesariamente, integrados en un dominio. AD FS soporta los almacenes de atributos siguientes: AD DS AD LDS ADAM Microsoft SQL 2005 y superiores AD FS puede realizar las funciones siguientes: Proveedor de notificación Proxy de servidor de federación Usuario de confianza El asistente de configuración de los servicios de federación AD FS realiza las acciones siguientes:

Trabajos prácticos La empresa INFONOVICE desea implementar los servicios de federación de Microsoft para trabajar con su nuevo asociado OXYFILM. Para responder a esta necesidad, se le pide implementar la tecnología AD FS para extender las funcionalidades de los componentes AD RMS internos y obtener un acceso Web SSO para los servicios Web de la empresa. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: Controlador de dominio infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CS-03: Entidad de certificación emisora (CA empresarial), Infonovice.priv Dirección IP: 192.168.0.120 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones: C:\ D:\, E:\ FILES-01: Servidor de archivos, AD RMS, AD FS, Infonovice.priv Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones: C:\, E:\ (50 GB) FS-01: Servidor de archivos, Proxy AD FS, Infonovice.priv Dirección IP: 192.168.0.121 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CLIENT1: Cliente DNS y DHCP, Pack Office 2010, Infonovice.priv Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 DC-05: Controlador de dominio oxyfilm.local, servidor DNS, AD CS (CA empresarial emisora) Dirección IP: 192.168.0.118 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254

1. Preparar el despliegue AD FS Este taller permite preparar la instalación del rol de servidor AD FS.

Paso 1: inicie una sesión en el servidor DC-01 con una cuenta de administrador del dominio Infonovice.priv en el Administrador del servidor, haga clic en Herramientas y, a continuación, enDNS. Paso 2: despliegue el árbol de la consola , haga clic con el botón derecho en Reenviadores condicionales y, a continuación, haga clic en Nuevo reenviador condicional. Paso 3: en la ventana Nuevo reenviador condicional, escriba oxyfilm.local en el campoDominio DNS y, a continuación, escriba 192.168.0.118 en el campo Direcciones IP de los servidores maestros. A continuación, haga clic en Aceptar. Paso 4: inicie una sesión en el servidor DC-05 con una cuenta de administrador del dominioOxyfilm.local y, a continuación, en el Administrador del servidor, haga clic en Herramientas y enDNS. Paso 5: despliegue el árbol de la consola, haga clic con el botón derecho en Reenviadores condicionales y, a continuación, haga clic en Nuevo reenviador condicional. Paso 6: en la ventana Nuevo reenviador condicional, escriba infonovice.local en el campoDominio DNS y, a continuación, escriba 192.168.0.100 en el campo Direcciones IP de los servidores maestros. A continuación, haga clic en Aceptar. Paso 7: verifique la sincronización horaria de los dos controladores de dominio y los equipos integrantes del dominio. El conjunto de los equipos de la infraestructura debe estar perfectamente sincronizado. Paso 8: acceda al servidor FILES-01 y, desde el Administrador del servidor, haga clic enHerramientas y, a continuación, en Administrador de Internet Information Services (IIS). Paso 9: en el árbol de la consola, haga clic en el nombre del servidor y, a continuación, en la parte central, haga doble clic en Certificados de servidor. Paso 10: en la parte derecha, haga clic en Crear de certificado de dominio. Paso 11: en la ventana Solicitar certificado, escriba la siguiente información y, a continuación, haga clic en Siguiente: Nombre común: FILES-01.infonovice.priv Organización: INFONOVICE Unidad organizativa: AD FS Ciudad o localidad: Madrid Estado o provincia: Madrid País o región: ES

Paso 12: en el paso Entidad de certificación en línea, haga clic en Seleccionar para indicar la entidad de certificación Infonovice-Root-CA (hospedada en el servidor CS-03, que debe instalarse y configurarse según los requisitos previos del taller). Escriba FILES-01.infonovice.priv en el campoNombre descriptivo y haga clic en Finalizar:

Paso 13: en la consola Administrador de Internet Information Services (IIS), despliegue el árbol de la consola para seleccionar el sitio Default Web Site. En la parte derecha, haga clic enEnlaces. Paso 14: en la ventana Enlaces de sitios, haga clic en Agregar. Paso 15: en la ventana Agregar enlace de sitio, introduzca la información siguiente y haga clic en Aceptar: Tipo: https Dirección IP: Todas las no asignadas Puerto: 443 Nombre de host: FILES-01.infonovice.priv Certificado SSL: FILES-01.infonovice.priv

Paso 16: en la ventana Enlaces de sitios, haga clic en Cerrar y cierre la ventana delAdministrador de Internet Information Services (IIS). Paso 17: acceda al servidor DC-01 y navegue a la carpeta \\DC-05.oxyfilm.local\CertEnroll. A continuación, copie el archivo DC-05.oxyfilm.local_Oxyfilm-Root-CA.crt en el escritorio Windows. Paso 18: en el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministración de directivas de grupo. Paso 19: despliegue el árbol grupoDefault Domain Policy.

de

la

consola

para

editar

el

objeto

de

directiva

de

Paso 20: en la ventana Editor de administración de directivas de grupo, despliegue el árbol de la consola para seleccionar el contenedor siguiente: Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas de clave pública - Entidades de certificación raíz de confianza Paso 21: haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a continuación, haga clic en Importar. Paso 22: en la ventana Asistente para importar certificados, haga clic en Siguiente en la pantalla de bienvenida. Paso 23: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC05.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente. Paso 24: en el paso Almacén de certificados, haga clic en Siguiente. Paso 25: en el paso Finalización del Asistente para importar certificados, haga clic enFinalizar. Paso 26: acceda al servidor DC-05 y navegue a la carpeta \\DC-03.oxyfilm.local\CertEnroll. A continuación, copie el archivo DC-03.oxyfilm.local_Oxyfilm-Root-CA.crt en el escritorio Windows. Paso 27: en el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministración de directivas de grupo. Paso 28: despliegue el árbol grupoDefault Domain Policy.

de

la

consola

para

editar

el

objeto

de

directiva

de

Paso 29: en la ventana Editor de administración de directivas de grupo, despliegue el árbol de

la consola para seleccionar el contenedor siguiente: Configuración del equipo - Directivas - Configuración de Windows - Configuración de seguridad - Directivas de clave pública - Entidades de certificación raíz de confianza Paso 30: haga clic con el botón derecho en Entidades de certificación raíz de confianza y, a continuación, haga clic en Importar. Paso 31: en la ventana Asistente para importar certificados, haga clic en Siguiente en la pantalla de bienvenida. Paso 32: en el paso Archivo para importar, haga clic en Examinar para especificar el archivoDC03.oxyfilm.local_Oxyfilm-Root-CA.crt, y haga clic en Siguiente. Paso 33: en el paso Almacén de certificados, haga clic en Siguiente. Paso 34: en el paso Finalización del Asistente para importar certificados, haga clic enFinalizar. Paso 35: acceda al servidor FILES-01, descargue e instale el archivo Windows Identity Foundation SDK - Español (WindowsIdentityFoundation-SDK-3.5.msi).

2. Instalar los servidores AD FS Este taller permite preparar la instalación del rol de servidor AD FS en los respectivos servidores de los dominios Infonovice.priv y Oxyfilm.local. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominioInfonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolServicios de federación de Active Directory y, a continuación, haga clic en el botón Agregar características. A continuación, haga clic en Siguiente:


Paso 4: en el paso Seleccionar características, haga clic en Siguiente. Paso 5: en el paso Servicios de federación de Active Directory (AD FS), haga clic enSiguiente. Paso 6: en el paso Seleccionar servicios de rol, haga clic en Siguiente. Paso 7: en el paso Confirmar selecciones de instalación, haga clic en Instalar. Paso 8: en el paso Progreso de la instalación, no cierre la ventana y haga clic en Configure el servicio de federación en este servidor. Paso 9: en el centro de la consola AD FS, haga clic en el vínculo Asistente para configurar el servidor de federación de AD FS:

Paso 10: en la ventana Asistente para la configuración de los Servicios de federación de Active Directory (ADFS), dentro de la página principal, marque la opción Crear el primer servidor de federación de una granja de servidores de federación y haga clic en Siguiente. Paso 11: en el paso Seleccionar tipo de implementación, marque la opción Servidor de Entidad de certificación y, a continuación, haga clic en Siguiente.

Paso 12: en el paso Nombre del servicio de federación, verifique que el certificado SSL seleccionado es FILES-01.infonovice.priv y haga clic en Siguiente. Paso 13: en el paso Resumen, haga clic en Siguiente. Paso 14: en el paso Resultados, haga clic en Cerrar. Paso 15: inicie una sesión en el equipo CLIENT1 con las credenciales del usuario Juan Dupont (nombre de usuario: jdupont y contraseña: P@ssw0rd). Abra Internet Explorer y valide la instalación accediendo a la siguiente URL: https://FILES01.infonovice.priv/federationmetadata/2007-06/federationmetadata.xml

Paso 16: repita las operaciones 1 a 14 en el servidor FS-02 del dominio Oxyfilm.local.

3. Configurar la firma de tokens Este taller permite configurar el rol de servidor AD FS para la firma de tokens de seguridad. Paso 1: inicie una sesión en el servidor FILES-01 con credenciales de administración del dominioInfonovice.priv y, a continuación, abra un símbolo de sistema PowerShell. Paso 2: escriba el comando siguiente:

set-ADFSProperties -AutoCertificateRollover $False Paso 3: en el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministración de AD FS. Paso 4: despliegue el árbol de la consola, haga clic con el botón derecho en ADFS \ Servicio \ Certificados, y haga clic en Agregar certificado de firma de token. Paso 5: en la ventana Seguridad de Windows, seleccione el certificado llamado FILES01.infonovice.priv y haga clic en Aceptar. Paso 6: en la ventana AD FS, haga clic en Sí y, a continuación, en Aceptar para ignorar los mensajes de información. Paso 7: en la sección Firma de token, haga clic con el botón derecho en el certificado con el nombre de objeto CN=FILES-01.infonovice.priv y, a continuación, haga clic en Establecer como principal.

Paso 8: en la ventana AD FS, haga clic en Sí para ignorar el mensaje informativo. Paso 9: a continuación, elimine el segundo certificado de la sección Firma de token.

4. Configurar las notificaciones Este taller permite configurar las reglas de notificaciones para AD FS. Paso 1: inicie una sesión en el servidor FILES-01 con una cuenta de administrador del dominioInfonovice.priv y, a continuación, arranque el Administrador del servidor. Haga clic enHerramientas y, a continuación, en Administración de AD FS. Paso 2: despliegue el árbol de la consola para seleccionar el contenedor AD FS \ Relaciones de confianza \ Confianzas de proveedores de notificaciones. En la parte central, haga clic con el botón derecho en Active Directory y haga clic en Editar reglas de notificación. Paso 3: en la ventana Editar reglas de notificación para Active Directory, haga clic en Agregar regla. Paso 4: en el paso Seleccionar plantilla de regla, en la lista desplegable, seleccione Enviar atributos LDAP como notificaciones y haga clic en Siguiente. Paso 5: en el paso Configurar regla, introduzca en Finalizary, a continuación, en Aceptar:

los

elementos

siguientes, haga

clic

Nombre de regla de notificación: Transmitir conjunto de atributos LDAP configurados Almacén de atributos: Active Directory Asignación de atributos LDAP a los tipos de notificación saliente: User-Principal-Name: UPN E-Mail-Adresses: Dirección de correo electrónico de AD FS1.x Display-Name: Nombre

5. Instalar los proxys AD FS Este taller permite instalar los proxys de servidor AD FS el servidor de archivos FS-01. Paso 1: inicie una sesión en el servidor FS-01 con una cuenta de administrador del dominioInfonovice.priv y, a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolServicios de federación de Active Directory y, a continuación, haga clic en el botón Agregar características. A continuación, haga clic en Siguiente.


Paso 4: en el paso Seleccionar características, haga clic en Siguiente. Paso 5: en el paso Servicios de federación de Active Directory, haga clic en Siguiente. Paso 6: en el paso Seleccionar servicios de rol, marque la opción Proxy FSP y, a continuación, haga clic en Siguiente. Paso 7: deje las demás opciones por defecto haciendo clic en Siguiente y, por último, haga clic en Instalar.

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a los servicios de Federación de Active Directory con la implementación del rol de servidor AD FS en Microsoft Windows Server 2012 R2. Podría resumirse de la manera siguiente: AD FS permite extender la autenticación de un usuario más allá de su dominio de pertenencia, para poder acceder a los recursos albergados en las infraestructuras de asociados aprobados. AD FS es un rol de servidor integrado en el sistema operativo Windows Server 2012 R2. AD FS utiliza el puerto de comunicaciones HTTPS combinado con el uso de certificados SSL. El almacén de atributos debe especificarse al implementar el primer servidor AD FS para que los demás servidores lo utilicen. Antes de ser accesibles para los usuarios, las aplicaciones deben primero estar habilitadas para funcionar con AD FS. Un administrador debe crear las notificaciones adecuadas que deben presentarse a la aplicación. AD FS permite realizar una autenticación SSO para las aplicaciones de tipo Web.


1. Preguntas 1 ¿Sobre qué versión de AD FS están basados los servicios de federación de Active Directory? 2 ¿Qué puerto del firewall debe estar abierto para que una infraestructura AD FS pueda funcionar correctamente? 3 ¿Qué acciones debe realizar un administrador para agregar otros servidores AD FS a la infraestructura durante la instalación del rol de servidor AD FS en modo servidor independiente? 4 ¿Qué tipo de notificaciones soporta AD FS?


3. Respuestas 1 ¿Sobre qué versión de AD FS están basados los servicios de federación de Active Directory? Los servicios de federación Active Directory se basan en la versión AD FS 3.0. 2 ¿Qué puerto del firewall debe estar abierto para que una infraestructura AD FS pueda funcionar correctamente? Los servicios de federación Active Directory solo necesitan el puerto 443 para intercambiar información mediante el protocolo HTTPS. 3 ¿Qué acciones debe realizar un administrador para agregar otros servidores AD FS a la infraestructura durante la instalación del rol de servidor AD FS en modo servidor independiente? Si el rol de servidor AD FS está instalado como servidor independiente, no es posible agregar otros servidores. El administrador deberá desinstalar el rol de servidor para volver a instalarlo en modo granja de servidores. 4 ¿Qué tipo de notificaciones soporta AD FS? AD FS soporta las notificaciones de usuario, grupo y personalizadas.

Requisitos previos y objetivos 1. Requisitos previos Instalar y configurar la dirección IP de un equipo cliente. Instalar y configurar la dirección IP de dos servidores con el rol IIS. Saber instalar una funcionalidad de servidor.

2. Objetivos Comprender la noción de reparto de carga. Instalar el componente NLB. Configurar un clúster NLB. Unir un host a un clúster NLB.

El reparto de carga El balanceo de carga informático es una noción bien conocida que se describe con detalle en los siguientes párrafos.

1. Presentación del reparto de carga En el dominio de la informática, el reparto de carga (o equilibrio de carga) (Load Balancing) consiste en implementar una tecnología que permita a los usuarios acceder a un servicio con tiempos de acceso reducidos, una seguridad robusta y una alta disponibilidad de servidores y aplicaciones. En comparación, imagine una sala de cine con varias películas y una sola taquilla abierta. Si varios clientes acuden a la vez, el taquillero se verá rápidamente desbordado y los clientes estarán descontentos por la espera para acceder al contenido deseado. En este momento el cine abrirá una o más taquillas para repartir la carga de trabajo entre varios empleados reduciendo así el tiempo de espera de los clientes. En este caso concreto, la alta disponibilidad se garantiza mediante la difusión de una misma película en dos salas diferentes. Extrapolemos este ejemplo llevándolo a una infraestructura informática. Una empresa (el cine, en nuestro ejemplo) que posea un único servidor web (la película, en nuestro ejemplo) y que no utilice ninguna técnica de reparto de carga se verá rápidamente saturado por un pico de utilización del servicio por varios usuarios. La implementación de una técnica de reparto de carga consistirá en agregar uno o varios servidores ofreciendo un contenido idéntico para que los usuarios puedan acceder a través de un punto de acceso único (la taquilla de cine, en nuestro ejemplo). El equilibrio de carga permite de esta forma incrementar la seguridad de un sistema de información ofreciendo redundancia a los servidores y un acceso viable incluso en caso de fallo de uno de los servidores. A una agrupación de servidores se le denomina una granja, pero en una solución de reparto de carga hablaremos en concreto de un clúster. Cada servidor integrado en un clúster se representa como un nodo del clúster. Las peticiones de los usuarios se distribuyen, de esta manera, entre los nodos que componen el clúster. Antes de implementar una solución de reparto de carga, debemos conocer que existen varias tecnologías software o hardware.

a. Tecnologías existentes Para implementar una solución de equilibrio de carga dentro de una infraestructura informática, debemos plantearnos la pregunta de qué tecnología utilizar. Las soluciones hardware presentan muchas más opciones de configuración y administración que las soluciones software aunque son, sin embargo, mucho más costosas. Las soluciones software son en su mayoría fáciles de implementar y ofrecen una excelente solución de alta disponibilidad a menor coste. Cada una de las tecnologías disponibles estará más o menos adaptada a un servicio de su infraestructura. Las soluciones hardware consisten en cabinas de red que registran las solicitudes entrantes de los clientes que llegan a una dirección IP virtual para distribuirla a un host disponible en un clúster. Hoy en día, varios fabricantes ofrecen soluciones de reparto de carga por hardware (por ejemplo, las cabinas ALOHA de Exceliance, NetScaler de CITRIX,ACE de CISCO, etc.). Las soluciones software consisten en implementar funcionalidades vinculadas a un sistema operativo, a un rol de servidor o software de terceros. Encontraremos en particular: El reparto de carga de red o NLB (Network Load Balancing): esta solución es una funcionalidad integrada en Windows, fácil de implementar y de administrar. El principio de funcionamiento consiste en repartir las peticiones entrantes a través del protocoloTCP/IP (Transmission Control Protocol/Internet Protocol) entre los servidores disponibles de un clúster. El DNS Round-Robin (operación por turnos): esta solución de equilibrio de carga consiste

en registrar varias direcciones IP para un mismo nombre de dominio. Mediante un mecanismo llamado de operación por turnos, el servidor DNS atribuirá una dirección IP por reparto (mediante aquellas presentes en la configuración del nombre de dominio especifico) a los clientes que realicen una solicitud de resolución de ese nombre de dominio. El software de terceros: hoy en día, varios fabricantes ofrecen aplicaciones de reparto de carga basadas en el mismo principio que la tecnología NLB. La mayoría son del mundo Open Source (que debe traducirse como código abierto disponible). Encontraremos en particular HAProxy la más conocida, o IPVS.

b. Ventajas e inconvenientes Las soluciones hardware: Las ventajas: Atacando una dirección IP virtual llamada VIP, los servidores que componen el clúster están protegidos porque el usuario no conoce directamente la dirección IP de los servidores que componen el clúster Alta disponibilidad Compatibilidad con varios protocolos Los inconvenientes: Soluciones costosas Se requieren a veces poseer competencias particulares, o la necesidad de contratar personal cualificado para la administración de la aplicación, soporte del fabricante, o de un tercero. El reparto de carga de red (Network Load Balancing): Las ventajas: Fácil de implementar Integrado en Windows Gratuito Atacando una dirección IP virtual llamada VIP, los servidores que componen el clúster están protegidos porque el usuario no conoce directamente la dirección IP de los servidores que componen el clúster. Alta disponibilidad Los servidores HS están automáticamente excluidos del clúster Los inconvenientes: Capacidad limitada a 32 nodos en un clúster (Microsoft aconseja un máximo de 8 por clúster). No permite verificar el estado de un servicio. Si un servicio se encuentra inactivo pero es posible agregar el servidor host, el reparto de carga distribuirá de manera uniforme el tráfico al servidor fuera de servicio. DNS Round-Robin: Las ventajas: Fácil de implementar

Integrado en Windows Gratuito Los inconvenientes: Esta solución no permite conocer el estado de un servidor. Los usuarios pueden verse dirigidos a un servidor fuera de servicio. El software de terceros: Las ventajas: Son, frecuentemente, soluciones open source, el software de terceros puede ser gratuito. Se benefician, a su vez, de toda una comunidad de desarrolladores garantizando de esta forma un soporte de la aplicación y actualizaciones regulares. Alta disponibilidad Los inconvenientes: Si el software sufre un problema, los servidores del clúster no estarán accesibles.

El reparto de carga de red El reparto de carga de red consiste en distribuir la carga mediante el protocolo TCP/IP. Esta tecnología utiliza el driver nlb.sys ubicado en la siguiente carpeta: C:\Windows\System 32\Driv ers

1. Network Load Balancing El Network Load Balancing (reparto de carga de red) es un componente integrado en Windows que permite implementar una tecnología de reparto de carga por software. Este método lo utilizan, principalmente, las aplicaciones web (sitios de Internet, servicios Web, FTP (File Transfer Protocol), etc.), o los servicios Terminal Server. Para implementar esta funcionalidad, es necesario crear un clúster de servidores y los usuarios accederán al servicio mediante una dirección IP virtual. Según el modo de reparto de carga definido en la configuración, el conjunto de las peticiones entrantes se distribuirá hasta el o los servidores host disponibles en el clúster. NLB funciona solamente a través del protocolo TCP/IP y ningún otro protocolo de red debe figurar en la interfaz de red utilizada. Las direcciones IP de los servidores integrantes del clúster NLB deberán estar configuradas de manera estática porque el servicio DHCP (Dynamic Host Configuration Protocol) no está soportado. Esta tecnología permite soportar hasta 32 nodos en un mismo clúster. Siguiendo las mejores prácticas de Microsoft, no se aconseja llegar al máximo de la capacidad soportada. Para garantizar buenos rendimientos en el sistema de equilibrio de carga de red, es preferible crear varios clústers de 8nodos como máximo a su vez accesibles mediante un equilibrio de carga en DNS Round-Robin.

1.

Petición HTTP de un usuario en la dirección IP virtual del clúster NLB.

2.

El clúster redirige la petición al servidor menos cargado.

3.

El servidor selecciona el acceso a la base de datos del sitio web.

4.

El servidor del clúster reenvía los datos solicitados por el usuario.

2. Diferentes modos de equilibrio de carga En una infraestructura NLB, el reparto de la carga puede trabajar según distintos modos de trabajo que están, a su vez, adaptados a diferentes situaciones.

a. Prioritario Este modo de equilibro de carga permite redirigir todas las peticiones entrantes a un servidor por defecto. Dicho de otra forma, todas las peticiones de usuario se envían al servidor que tenga la mayor prioridad del clúster. Cuando el servidor prioritario no se encuentra disponible, o no responde, las peticiones entrantes se envían directamente al servidor que tiene una prioridad menor. Este modo de reparto de carga no está adaptado a escenarios muy escalables porque solo se utiliza un servidor. Para definir un nodo prioritario, basta con indicar el valor 1 en sus parámetros de prioridad. Este número corresponde a la máxima prioridad. El segundo servidor tendrá entonces el valor 2. Existen solo 32 niveles de prioridad porque el clúster de equilibrio de carga solo puede gestionar 32 hosts como máximo. Para definir este tipo de reparto de carga, basta con seleccionar la opción Un único host en las propiedades de una regla de puerto del clúster:

b. Modo igual Este modo de equilibrio de carga permite repartir el tráfico entrante de la misma forma en el conjunto de los hosts disponibles en el clúster. De esta forma, cada nodo del clúster trata una carga idéntica y puede responder eficazmente a un incremento de la carga. Cuando un host del clúster presenta un fallo de disponibilidad, el reparto se realiza de nuevo de forma equilibrada

entre los hosts restantes. Para definir este tipo de reparto, basta con seleccionar la opción Host múltiple en las propiedades del clúster de equilibrio de carga, y marcar, a continuación, la opción Igual en las propiedades de una regla de puerto asociada a cada nodo del clúster. En este modo, también podemos definir la afinidad de las sesiones.

c. Modo manual Este modo de equilibrio de carga permite definir incluso el porcentaje de reparto asignado a cada nodo del clúster. Cada nodo estará configurado con un peso que definirá su carga en el clúster NLB:

Para definir este tipo de equilibrio de carga, basta con desmarcar la opción Igual en las propiedades de una regla de puerto asociada a cada nodo del clúster y definir de forma manual, a continuación, la carga a tratar por cada nodo seleccionado:

3. Modos de transmisión El conjunto de los nodos de una infraestructura de equilibrio de carga debe poseer una dirección IP estática ubicada en una misma subred. Las tarjetas de red deben estar configuradas en modoUnicast (monodifusión) o Multicast (multidifusión). No se soportan entornos mixtos. Todos los hosts de un clúster deberán pues utilizar el mismo modo de transmisión:

a. Unicast - Monodifusión Este es el modo de difusión por defecto. Durante la implementación del clúster NLB en modo unicast, la dirección MAC (Media Access Control), asociada a la única tarjeta de red, se desactiva y se remplaza por una dirección MAC virtual generada automáticamente. Todos los hosts del clúster poseen entonces la misma dirección MAC, lo cual hace imposible la comunicación entre los hosts de un mismo clúster. En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 02-bfXX-XX-XX-XX:

Cuando un clúster utiliza el modo unicast, los miembros intercambian peticiones de broadcast para indicar su pertenencia al clúster.

b. Multicast - Multidifusión Este modo de transmisión puede utilizarse cuando un host cuenta con una o más tarjetas de red. La primera tarjeta de red estará dedicada al tráfico del clúster NLB y la segunda a la administración del servidor. Cuando implementamos un clúster NLB en modo multicast, se conserva la dirección MAC (Media Access Control) asociada a la primera tarjeta de red. La interfaz dedicada al clúster poseerá una dirección MAC diferente en cada host, además de la dirección MAC del clúster. La segunda tarjeta de red permitirá a cada nodo comunicarse dentro del clúster o con las otras redes.

En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 03-bfXX-XX-XX-XX:

c. Multidifusión IGMP Este modo de transmisión puede utilizarse cuando un host cuenta con una o más tarjetas de red. Combinando el modo de transmisión Multicast con IGMP (Internet Group Management Protocol), se garantiza que el flujo de datos emitido por el clúster NLB pasará por los puertos del conmutador dedicados a cada nodo. En este modo de difusión, el clúster generará una dirección MAC virtual que comienza por 01-00XX-XX-XX-XX:

4. Afinidad del equilibrio de carga Cuando la tecnología de equilibrio de carga se utiliza en una granja de servidores Terminal Server, es posible configurar los parámetros de afinidad para que los usuarios se vuelvan a conectar, en caso de caída, al servidor en el que tenían iniciada una conexión. Para utilizar los parámetros de afinidad de sesión, hay que seleccionar el modo Host múltiple y ajustar los parámetros de afinidad. Están disponibles los siguientes parámetros de afinidad: Ninguno (None): todas las peticiones de un cliente se dirigen a cualquier servidor miembro del clúster. Sencillo (Single): todas las peticiones de un cliente se dirigen al mismo servidor después de una primera conexión. Red (Network): todas las peticiones de un cliente se dirigen al mismo servidor en función de su dirección IP. Esta opción se utiliza, principalmente, cuando varios usuarios provienen de subredes diferentes:

5. Convergencia y alta disponibilidad En una infraestructura de equilibrio de carga de red, cada host de un clúster ejecuta una copia del servicio o la aplicación que queremos hacer disponible a los usuarios. Para garantizar continuidad de servicio y una alta disponibilidad del SI (sistema de información), el componente NLB utiliza una tecnología que garantiza una alta disponibilidad y el acceso a los miembros del clúster. Por ejemplo, cuando un host está fuera de servicio y no responde, se le excluye automáticamente del clúster NLB y no se le dirige ninguna petición. Para determinar si los servidores de un clúster están activos, se intercambian mensajes de latido entre sí, también llamados Heartbeat (latido de corazón), cuyo objetivo es comprobar su correcto

funcionamiento además de su pertenencia al clúster. El envío de estos mensajes está planificado cada cinco segundos en cada host (este período se reduce a un segundo durante las fases de convergencia, para que el clúster establezca la lista de miembros activos). Si uno de ellos no es capaz de emitir mensajes de latido, se considera fuera de servicio y se excluye automáticamente del clúster NLB. Este proceso no necesita intervención humana y es perfectamente autónomo. En el caso de excluir un host del clúster, se produce un fenómeno de convergencia. Los servidores activos integrantes del clúster convergen para determinar el conjunto de tareas siguientes: Elegir un nuevo host por defecto (el que tenga la propiedad más alta). Verificar qué hosts son todavía válidos en el clúster. Verificar que las nuevas peticiones entrantes se gestionan en los hosts disponibles del clúster. Durante el proceso de convergencia, el servidor previamente considerado como fuera de servicio puede volver a unirse al clúster. Si un nuevo servidor se une al clúster, el proceso de convergencia se producirá de nuevo para confirmar todos los hosts activos del clúster.

Es posible configurar la frecuencia de envío de los mensajes de latido en un clúster modificando una clave del registro en cada nodo. La clave de registro siguiente permite configurar la frecuencia del envío de los mensajes de latido llamados Heartbeat (valor expresado en milisegundos): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\ {GUID_INTERFACE}\Aliv eMsgPeriod (Valor por defecto: 1 seg., es decir 1000 m s en decimal):

La siguiente clave del Registro permite definir el número de mensajes de latido fallidos antes de declarar un host como fuera de servicio: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS\Parameters\Interface\ {GUID_INTERFACE}\Aliv eMsgTolerance (Valor por defecto: 5 intentos):

Trabajos prácticos La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permitirá garantizar el acceso a los servidores web que hospedan el sitio Intranet de la empresa. El sitio intranet lo consulta, esencialmente, el personal de la empresa y la dirección le solicita que el acceso esté optimizado con por una solución de reparto de carga de red. La infraestructura debe apoyarse en dos servidores web bajo IIS albergando cada uno una copia del sitio intranet. Los dos servidores miembros del dominio Infonovice.priv deben estar integrados en un clúster de reparto de carga de red. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 NLB-01: servidor web IIS, Network Load Balancing Dirección IP: 192.168.0.114 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 NLB-02: servidor web IIS, Network Load Balancing Dirección IP: 192.168.0.115 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CLIENT1: Internet Explorer 8 Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Para complementar la parte teórica del reparto de carga, aquí tiene algunos escenarios que le permitirán utilizar las diferentes herramientas e implementar una infraestructura NLB. Para establecer un laboratorio con máquinas virtuales, podemos crear una infraestructura de prueba en la plataforma Cloud de Microsoft Azure (1 mes de evaluación gratuito:http://www.windowsazure.com/es-es).

1. Instalar y configurar NLB Este taller permite instalar paso a paso el componente Equilibrio de carga de red en un sistema operativo Windows Server 2012 R2. Se abordan todas las fases de la preparación de un servidor para el cumplimiento de las mejores prácticas y requisitos previos. Antes de instalar el componente Equilibrio de carga de red en un servidor Windows Server 2012 R2, conviene confirmar que contamos con permisos de administración en los servidores.

Instalar el componente NLB

Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2, con una cuenta con permisos de administrador. Paso 2: haga clic en el icono del Administrador del servidor. Paso 3: en la página inicial, haga clic en Agregar roles y características. Paso 4: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación, Seleccionar servidor de destino y Seleccionar roles de servidor. Paso 5: en el paso Seleccionar características, marque la opción Equilibrio de carga de red y, a continuación, haga clic en Agregar características en la ventana que se abre. A continuación, haga clic en Siguiente:

Remote Server Administration Tools permite agregar la consola de administración y las herramientas por línea de comandos adecuadas para administrar la característica NLB.

Paso 6: en el paso Confirmar selecciones de instalación, haga clic en Instalar. Paso 7: cuando la instalación de los componentes termine, haga clic en Cerrar. Paso 8: la consola de administración Administrador de equilibrio de carga de red aparece ahora, en la lista de programas disponibles del sistema operativo así como en la carpetaHerramientas administrativas:

Para abrir la consola de administración empleando métodos abreviados, también podemos acceder al Administrador de equilibrio de carga de red escribiendo el comando nlbmgr en una ventana Ejecutar o en un Símbolo del sistema.

Repita los pasos 1 al 7 en el servidor NLB-02, miembro de la infraestructura de reparto de carga de red.

Configurar las interfaces de red Antes de configurar la infraestructura de equilibrio de carga de red hay que verificar que las direcciones IP de cada nodo están configuradas de forma estática y no utilizando DHCP. En nuestro caso, vamos a configurar una infraestructura NLB en modo unicast a través de una única tarjeta de red en cada host. Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2, con una cuenta con permisos de administrador. Paso 2: despliegue el menú Windows de la derecha (método abreviado: enConfiguración:

C) y haga clic

Paso 3: en la sección Configuración, haga clic en Panel de control:

Paso 4: haga clic en Ver el estado y las tareas de red:

Paso 5: haga clic en Cambiar configuración del adaptador:

Paso 6: haga doble clic en la tarjeta de red a configurar:

Para acceder a esta ventana más rápidamente, podemos escribir el comando

ncpa.cplen una

ventana Ejecutar o Símbolo del sistema.

Paso 7: al mostrarse el estado de la conexión de red, haga clic en Propiedades.

Paso 8: seleccione Protocolo de Internet versión 4 (TCP/IPv4) y haga clic en Propiedades:

Paso 9: marque la opción Usar la siguiente dirección IP y, a continuación, configure la dirección

IP de esta tarjeta de red con la información siguiente y haga clic en Aceptar: Dirección IP: 192.168.0.114 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Servidor DNS preferido: 192.168.0.100 Servidor DNS alternativo: 192.168.0.101

Paso 10: haga clic dos veces en Aceptar para salir de la ventana de propiedades del adaptador de red. Paso 11: la dirección IP de la tarjeta de red del servidor NLB-01 está ahora configurada de forma estática. Repita los pasos 1 al 10 en el servidor NLB-02 con la información de configuración IP siguiente: Dirección IP: 192.168.0.115 Máscara de subred: 255.255.0.0 Puerta de enlace predeterminada: 192.168.0.254 Servidor DNS preferido: 192.168.0.100 Servidor DNS alternativo: 192.168.0.101

2. Administrar un clúster NLB Este taller permite aprender a manejar la consola de administración Administrador de equilibrio de carga de red así como las herramientas por línea de comandos asociadas.

Crear un clúster NLB La creación de un clúster de equilibrio de carga de red tendrá como objetivo crear la dirección IP virtual que será el punto de entrada de todos los nodos del clúster. En primer lugar, es preciso verificar que la hora de cada servidor está perfectamente configurada y sincronizada. Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2 con una cuenta con permisos de administrador. Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga de red. Paso 3: en el árbol de la consola, haga clic con el botón derecho en Clústeres de equilibrio de carga de red y haga clic en Nuevo clúster:

Paso 4: en la ventana Clúster nuevo: Conectar, escriba localhost en el campo Host y, a continuación, haga clic en Conectar. Paso 5: seleccione la interfaz de red que servirá para el clúster de equilibrio de carga y haga clic en Siguiente.

Paso 6: en la ventana Clúster nuevo: Parámetros de host, deje las opciones por defecto y, a continuación, haga clic en Siguiente.

Paso 7: en la ventana Clúster nuevo: Dirección IP del clúster, haga clic en Agregar para especificar la dirección IP virtual del clúster de equilibrio de carga. Paso 8: escriba la dirección IP virtual siguiente, accesible a los usuarios y, a continuación, haga clic en Aceptar: Dirección IP: 192.168.0.202 Máscara de subred: 255.255.255.0

Paso 9: en la ventana Clúster nuevo: Direcciones IP del clúster, haga clic en Siguiente:

Paso 10: en la ventana Clúster nuevo: Parámetros de clúster, informe el campo Nombre completo de Internet escribiendo Intranet.infonovice.priv, marque la opción Multidifusión para definir el modo de operación del clúster y haga clic en Siguiente:

Paso 11: en la ventana Clúster nuevo: Reglas de puerto, haga clic en Finalizar. Paso 12: el clúster de equilibrio de carga de red Intranet.infonovice.priv está, ahora, configurado con un único host:

Es posible configurar un clúster de equilibrio de carga de red con varias direcciones IP virtuales. También es posible aplicar una regla de puerto diferente por IP virtual del clúster.

Configurar las reglas de puerto Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2 con una cuenta con permisos de administrador. Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga de red. Paso 3: en el árbol de la consola, haga clic con el botón derecho en el nombre del clúster (Intranet.infonovice.priv) y, a continuación, haga clic en Propiedades de clúster. Paso 4: en la ventana Propiedades: Intranet.infonovice.priv, haga clic en la pestaña Reglas de

puerto, seleccione la regla de puerto por defecto y haga clic en Modificar. La regla de puerto por defecto redirige todas las peticiones de usuario entrantes de ambos protocolos, TCP y UDP, a un puerto comprendido entre 0 y 65535. La regla de afinidad por defecto está definida para "single".

Paso 5: en la ventana Agregar o editar regla de puerto, especifique el intervalo indicando 8080a 8080 en la sección Intervalo de puerto y, a continuación, haga clic en Aceptar.

En la configuración de la regla anterior se deduce que el conjunto de peticiones entrantes que lleguen a la dirección IP virtual al puerto 8080 para ambos protocolos TCP o UDP, serán automáticamente redirigidas a cualquier servidor disponible en el clúster con una afinidad de sesión sencilla.

Con una regla de configuración de puerto es, también, posible bloquear el acceso a algunos puertos TCP o UDP haciendo clic en la opción Deshabilitar este intervalo de puerto:

Es posible crear varias reglas de puerto, asociadas o no a diferentes IP virtuales que pertenezcan al clúster de equilibrio de carga de red.

Configurar la afinidad Para configurar la afinidad de una sesión hay que activar el modo de filtrado Host múltiple en una regla de puerto y, a continuación, marcar la opción correspondiente a la afinidad de sesión deseada.

En nuestro caso, podemos seleccionar la afinidad Sencillo que permite a un usuario volver a conectar al mismo servidor en caso de una pérdida de conexión al clúster:

Agregar un nuevo host al clúster Para realizar esta operación, el segundo host NLB-02, debe estar configurado con una dirección IP fija, además de tener instalada la característica del servidor Equilibrio de carga de red. Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2 con una cuenta con permisos de administrador. Paso 2: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga de red. Paso 3: haga clic con el botón derecho en el nombre del clúster (Intranet.infonovice.priv) y, a continuación, haga clic en Agregar host al clúster. Paso 4: en la ventana Agregar host al clúster: Conectar, escriba la dirección IP o el nombre de host del servidor NLB-02 en el campo Host y, a continuación, haga clic en Conectar (el host a agregar debe previamente contar con la característica de servidor Equilibrio de carga de red). Paso 5: seleccione la interfaz del host remoto a configurar para el clúster de equilibrio de carga y, a continuación, haga clic en Siguiente:

Paso 6: en la ventana Agregar host al clúster: Parámetros de host, verifique que tiene asignada una prioridad igual a 2 y, a continuación, haga clic en Siguiente:

El segundo nodo de un clúster tendrá por defecto un parámetro de prioridad fijado en 2, porque el primer host de un clúster es prioritario. Esto quiere decir que tiene un parámetro de prioridad fijado en 1.

Paso 7: en la ventana Agregar host al clúster: Reglas de puerto, haga clic en Finalizar. Paso 8: el segundo host, NLB-02, aparece ahora en la consola de administración de equilibrio de carga, con un estado igual a Convergido:

Clúster y línea de comandos Es posible administrar un clúster de equilibrio de carga de red empleando el menú contextual de la consola Administrador de equilibrio de carga de red y también es posible administrarlo o realizar

ciertas tareas de manera remota, por línea de comandos. Para administrar un clúster de equilibrio de carga de red por línea de comandos, hay que emplear el ejecutable NLB.exe ubicado en el directorio C:\Windows\System32 del servidor que tenga la característica de equilibrio de carga de red:

La sintaxis de esta utilidad es la siguiente:

NLB [[:] [remote options] ] Por ejemplo, si deseamos desactivar de forma remota todas las peticiones entrantes en un host específico del clúster, basta con escribir el comando siguiente:

NLB drainstop 192.168.0.202:192.168.0.115

El servidor especificado en el comando aparecerá, a continuación, con el estado Detenido:

Para conocer la lista de opciones disponibles con el ejecutable NLB, basta con escribir el comando siguiente: NLB help He aquí la lista de comandos disponibles con la utilidad NLB.exe:

Help Ip2mac Reload Display

Query Suspend Resume Start Stop Drainstop Enable Disable Drain Queryport Params

3. Administrar un clúster mediante PowerShell Para administrar un clúster de equilibrio de carga empleando comandos PowerShell, podemos utilizar los ejemplos de línea de comandos siguientes.

Agregar una IP virtual al clúster Paso 1: abra un símbolo del sistema PowerShell. Paso 2: escriba el siguiente comando, que permite identificar el nombre de la interfaz de red a configurar:

Get-NetAdapter Paso 3: escriba el siguiente comando para agregar una IP virtual al clúster de equilibrio de carga:

Add-NlbClusterVip -InterfaceName -SubMask Por ejemplo:

Add-NlbClusterVip 192.168.0.204 -InterfaceName Ethernet SubnetMask 255.255.255.0

Paso 4: abra la consola Administrador de equilibrio de carga de red, edite las propiedades del clúster para verificar que la dirección IP virtual 192.168.0.204 se ha agregado correctamente:

Paso 5: para eliminar la dirección IP virtual agregada previamente, escriba el comando siguiente:

Remove-NlbClusterVip 192.168.0.204 -Force Detener un nodo del clúster Paso 1: abra un símbolo del sistema PowerShell. Paso 2: escriba el siguiente comando para identificar el nombre de la interfaz de red que desea configurar:

Get-NetAdapter Paso 3: escriba el siguiente comando PowerShell para detener el host NLB-02:

Stop-NlbClusterNode -Hostname Por ejemplo:

Stop-NlbClusterNode -Hostname NLB-02

Paso 4: abra la consola Administrador de equilibrio de carga de red para verificar que el host NLB-02 se ha detenido correctamente:

Paso 5: para arrancar un host del clúster, escriba el comando PowerShell siguiente:

Start-NlbClusterNode -Hostname NLB-02

4. Simular el reparto de carga Este taller permite probar en condiciones reales el cambio y la gestión del reparto de carga. Para ello, la infraestructura estará compuesta por dos servidores Web bajo IIS. Un equipo cliente deberá conectarse a una URL de la dirección IP virtual. El objetivo será simular la carga o parada de uno de los servidores del clúster para verificar que el clúster NLB se encarga correctamente de redirigir las peticiones entrantes al segundo servidor disponible.

Instalar los servidores Web IIS Este procedimiento describe cómo agregar la característica IIS en un servidor Windows 2012 R2. Paso 1: inicie una sesión en el servidor NLB-01 con sistema operativo Windows Server 2012 R2 con una cuenta con permisos de administrador local. Paso 2: abra el Administrador del servidor. Paso 3: en la página inicial, haga clic en Agregar roles y características. Paso 4: haga clic en Siguiente para pasar las páginas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 5: en la ventana Seleccionar roles de servidor, marque la opción Servidor web (IIS). Paso 6: haga clic en Agregar características. Paso 7: haga clic en Siguiente:

Paso 8: haga clic en Siguiente en todos los pasos y, a continuación, haga clic en Instalar y Cerrar. Paso 9: navegue hasta la carpeta C:\inetpub\wwwroot y cree el archivo index.htm escribiendo la frase siguiente Welcome to teniendo cuidado de reemplazar la cadena por el nombre host del servidor. Paso 10: repita los pasos 1 al 9 en el segundo servidor que compone el clúster de equilibrio de carga (NLB-02). Paso 11: configure los parámetros del clúster de equilibrio de carga para redefinir la regla de puerto para un intervalo de 1 a 65535. Paso 12: conéctese al equipo CLIENT1 y acceda a uno de los servidores IIS escribiendo la URL con la dirección IP virtual del clúster, es decir http://192.168.0.202. Identifique a qué servidor le ha redirigido el administrador de equilibrio de carga:

A continuación, cierre el navegador teniendo la precaución de borrar la caché.

Simular la pérdida de uno de los nodos Ahora que los servidores de aplicación Web están configurados, vamos a simular la pérdida de uno de los nodos del clúster para verificar que el acceso a otro servidor del clúster está siempre disponible. Paso 1: abra el menú Inicio y, a continuación, haga clic en Administrador de equilibrio de carga de red.

Paso 2: en el ejercicio anterior, el clúster de equilibrio de carga de red ha redirigido nuestra petición al servidor llamado NLB-01. Vamos, ahora, a simular el fallo de este último prohibiendo cualquier conexión a este servidor. Identifique el nodo NLB-01 en la consola Administrador de equilibrio de carga de red, contenido en el clúster previamente creado. Haga clic con el botón derecho en el servidor y, a continuación, haga clic en Controlar host - Detener:

Paso 3: conéctese al equipo CLIENT1. Escriba de nuevo la URL de la dirección IP virtual en el navegador Web. Compruebe que, ahora, se le ha redirigido al segundo nodo del clúster:

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos al reparto de carga. Podría resumirse de la manera siguiente: Existen diferentes tecnologías de reparto de carga. El reparto de carga de red se basa en el protocolo TCP/IP para equilibrar la carga. Un clúster NLB se compone de varios servidores que tienen la funcionalidad Equilibrio de carga de red.


1. Preguntas 1 ¿Cuántos nodos es posible gestionar, como máximo, en un clúster NLB? 8 16 32 64 2 En un modo de equilibrio de carga prioritario, ¿cuál de estas cifras significa que un servidor tiene mayor prioridad? 1 2 3 4 3 ¿Cuáles son los diferentes modos de difusión de un clúster NLB? 4 ¿Cuáles son los diferentes tipos de afinidad de sesión? 5 ¿Para qué sirve una regla de puerto? 6 En un clúster NLB, ¿a partir de cuantos mensajes de latido ausentes se declara un host como fuera de servicio? 7 ¿Qué consola de administración permite administrar un clúster NLB?


3. Respuestas 1 ¿Cuántos nodos es posible gestionar, como máximo, en un clúster NLB? 8 16 32 64 En una infraestructura que utiliza el equilibrio de carga de Microsoft, NLB puede funcionar con clústeres compuestos de hasta 32 hosts. Esta limitación del software es válida para cualquier edición de Windows Server 2012 R2. 2 En un modo de equilibrio de carga prioritario, ¿cuál de estas cifras significa que un servidor

tiene mayor prioridad? 1 2 3 4 En un clúster NLB, el servidor será prioritario si su parámetro de prioridad es igual a 1. Por consiguiente, el servidor siguiente tendrá un parámetro de prioridad configurado en 2. El parámetro de prioridad de un servidor puede configurarse con valores comprendidos entre 1 y 32. 3 ¿Cuáles son los diferentes modos de difusión de un clúster NLB? En un clúster NLB podemos configurar tres modos de difusión. Unicast, multicast e IGMP multicast. 4 ¿Cuáles son los diferentes tipos de afinidad de sesión? En un clúster NLB, es posible configurar la afinidad de sesión en los parámetros de clúster especificando uno de los tres tipos siguientes: ninguno, sencillo o red. 5 ¿Para qué sirve una regla de puerto? Una regla de puerto permite configurar una directiva de reparto de carga agregando un filtrado de las peticiones entrantes basado en el protocolo de red, el puerto y la dirección IP virtual del clúster. Mediante una regla de puerto es posible, también, configurar el modo de equilibrio de carga. 6 En un clúster NLB, ¿a partir de cuantos mensajes de latido ausentes se declara un host como fuera de servicio? Por defecto, se considera que un host está fuera de servicio y se le excluye de un clúster NLB si no responde a más de 5 mensajes de latido. 7 ¿Qué consola de administración permite administrar un clúster NLB? La consola Adm inistrador de equilibrio de carga de red permite administrar un clúster NLB empleando una interfaz gráfica.

Requisitos previos y objetivos 1. Requisitos previos Saber instalar y configurar un sistema operativo Windows Server 2012 R2. Tener nociones sobre la alta disponibilidad en una infraestructura informática. Saber instalar y configurar un servidor web con IIS.

2. Objetivos Saber implementar una solución de alta disponibilidad. Saber implementar un clúster. Comprender el funcionamiento de la conmutación por error en un clúster. Comprender el funcionamiento de un quórum. Saber implementar una infraestructura web altamente disponible.

Alta disponibilidad Hoy en día, la informática ocupa un lugar importante en el trabajo cotidiano de las empresas. Una interrupción del servicio no es asumible si se prolonga en el tiempo, por sus altos costes. Por este motivo, resulta necesario implementar soluciones que permitan reducir o evitar cualquier interrupción del servicio o falta de disponibilidad de una infraestructura informática.

1. Presentación de la alta disponibilidad La alta disponibilidad de una infraestructura informática consiste en implementar una solución hardware o software que permita garantizar un servicio continuo para los usuarios. La tasa de disponibilidad de una infraestructura informática se expresa en porcentajes, y podemos afirmar que una infraestructura es altamente disponible cuando su porcentaje de disponibilidad se aproxima a umbrales superiores al 99%. La finalidad de esta implementación es garantizar un funcionamiento de la infraestructura de 24x7. Para lograr con éxito el mejor nivel de servicio posible para los usuarios, un administrador debe evaluar los distintos riesgos de interrupciones de servicio en la infraestructura. La redundancia de los equipos (clústers, RAID, equilibrio de carga de red, etc.) permite obtener una mayor tolerancia a fallos. El estudio de un plan de disponibilidad debe realizarse junto al cliente y los usuarios finales. La definición del rango de disponibilidad de una aplicación es muy importante porque, en función de las necesidades, los costes de implementación serán más o menos importantes en función de la tolerancia a fallos deseada.

2. Soluciones de alta disponibilidad Existen varias tecnologías que permiten obtener una alta disponibilidad en una infraestructura informática. Como mencionamos en el capítulo previo, el reparto de carga representa, por ejemplo, una solución de alta disponibilidad basada en software para una arquitectura de servidores de aplicación. La redundancia de equipos o el emparejamiento de un sitio con otro sitio remoto son técnicas que se utilizan con frecuencia en grandes estructuras donde la disponibilidad debe ser impecable. El emparejamiento permite, en particular, duplicar un sitio en tiempo real con una infraestructura remota idéntica permitiendo bascular al conjunto de usuarios al sitio remoto en caso de siniestro del sitio principal (colapso, incendio, robo, etc.).

Clúster de conmutación por error La tecnología de clúster de conmutación por error representa una solución de alta disponibilidad directamente integrada en el sistema operativo Microsoft Windows Server 2012 R2 como una funcionalidad del servidor.

1. Presentación de los clústers En el mundo informático, un clúster representa un grupo de servidores que ejecutan la misma instancia de una aplicación. Cada servidor representa un nodo del clúster. Es posible configurar el clúster de servidores con varios tipos de aplicaciones que soporten el funcionamiento en arquitecturas de clúster de servidores. Encontramos, con frecuencia, clústers de servidores Web, servidores de mensajería Exchange, servidores SQL u otros servidores de aplicaciones (como Jboss, WebSphere, WebLogic, etc.). La funcionalidad de clúster ya existía en las versiones anteriores del sistema operativo Windows Server. El sistema operativo Microsoft Windows Server 2012 R2 aporta sin embargo algunas mejoras y novedades interesantes tales como: Soporte de 64 nodos físicos en un clúster (frente a 16 nodos en las ediciones Windows Server 2008, y 8 nodos para las ediciones de Windows Server 2003). Soporte para 8000 máquinas virtuales en cada clúster (frente a 1000 para Windows Server 2003 y 4000 para Windows Server 2012). Mejor administración de los clústers. Nuevos applets de comandos Windows PowerShell.

2. Funcionamiento de un clúster En el funcionamiento básico de un clúster, cuando un nodo deja de responder, el clúster cambia automáticamente el servicio enviando a los usuarios a otro nodo disponible del clúster. Un clúster se compone de varios componentes: Los nodos: un nodo representa un grupo de equipos que pertenecen al clúster. Las redes: un clúster posee una red para comunicarse con los usuarios y una red diferente para que los servidores se comuniquen entre ellos. El almacenamiento: para la mayor parte de las aplicaciones hospedadas en los servidores puestos en configuración de clúster, los nodos disponibles deben contar con un espacio de almacenamiento compartido y accesible desde cada nodo del clúster. De esta forma, en caso de pérdida de uno de los nodos del clúster, el nodo al que se bascule se hará cargo automáticamente de la actividad con la menor interrupción del servicio. Los clientes: representan los usuarios que acceden al servicio hospedado en el clúster. Las aplicaciones: representan el servicio ofrecido a los usuarios. Al igual que una infraestructura de equilibrio de carga (NLB), los nodos de un clúster se comunican entre sí. De este modo, cada nodo conoce el estado de los otros nodos. Esta comunicación permite a los nodos del clúster conocer en tiempo real cuáles son los nodos defectuosos, los nodos entrantes o salientes del clúster. En lo relativo al almacenamiento, los nodos del clúster acceden al mismo dispositivo de almacenamiento sea un volumen compartido en un disco duro, un elemento de almacenamiento iSCSI o una cabina de almacenamiento SAN de fibra óptica. La opción de la solución de almacenamiento se debe basar en las especificaciones de la empresa y las expectativas en términos de rendimiento. En cuanto a las tecnologías de particionado de discos, las particiones FAT no están soportadas. Los discos que componen el almacenamiento disponible pueden ser de tipo MBR o GPT.

a. Redes

La implementación de un clúster de conmutación por error requiere la configuración de diferentes redes de comunicación. Los nodos del clúster soportan los protocolos de comunicación IPv4 e IPv6. Según las mejores prácticas, cada nodo del clúster debe contar con al menos dos tarjetas de red para poder configurar las redes siguientes: Una red privada: este tipo de red permite a los nodos del clúster de conmutación por error comunicarse entre sí para intercambiar mensajes de latido llamados heartbeat en la versión inglesa. Los mensajes de latido sirven para interrogar a los integrantes del clúster y verificar que cada nodo está en línea. El envío de los mensajes de latido con destino a los nodos del clúster se realiza mediante el protocolo UDP por el puerto 3343. Una red pública: este tipo de red permite a los clientes conectarse al servicio hospedado en los nodos del clúster. En la instalación del clúster, una de las tarjetas de red debe identificarse como red pública y la otra como red interna:

Si la infraestructura de conmutación solo cuenta con nodos que disponen de una sola tarjeta de red, es posible autorizar a los clientes a conectarse mediante una red interna marcando la opciónPermitir que los clientes se conecten a través de esta red:

Hablamos entonces de una red mixta que combina la red interna del clúster de conmutación por error y la red pública que acepta las comunicaciones de los equipos cliente. Si los discos que componen el almacenamiento del clúster están accesibles mediante una red iSCSI, es muy recomendable dedicar, también, esta red para separar la red interna de la red pública.

b. Conmutación Para respetar un nivel de calidad de servicio óptimo, los clústeres de conmutación interrogan permanentemente a los nodos que los componen para saber si están activos. En caso de no obtener respuesta de un nodo activo del clúster, se le excluye automáticamente para que los recursos conmuten a otro nodo disponible del clúster que se convierte entonces en el nodo activo. El siguiente esquema ilustra las acciones realizadas por un clúster durante una conmutación de recursos a otro nodo:

1.

El nodo activo del clúster encuentra un problema y falla súbitamente. Se le deja fuera de línea en el clúster.

2.

Los usuarios no pueden acceder al servicio.

3.

Los recursos compartidos se ponen fuera de línea.

4.

Se elige un nuevo nodo según las preferencias de conmutación para convertirse en el host activo del clúster.

5.

Los recursos compartidos se ponen en línea para el nuevo nodo activo del

clúster. 6.

Los usuarios acceden de nuevo al servicio.

c. Volúmenes compartidos En la mayoría de las infraestructuras, solo un nodo del clúster alberga el servicio donde la aplicación está disponible para los usuarios. Este servidor se conoce como servidor activo y ejecuta localmente la aplicación con un acceso exclusivo en la ubicación de almacenamiento de los datos del aplicativo. Los demás nodos del clúster se configuran como nodos pasivos. Cuando el nodo activo queda fuera de servicio por un fallo, otro nodo del clúster se convierte en el nodo activo y ejecuta a su vez la aplicación de manera local teniendo la precaución de recuperar el acceso exclusivo al recurso compartido de los datos del aplicativo. Para gestionar los accesos concurrentes, Microsoft ha introducido a partir de Windows Server 2008 R2 la tecnología de volúmenes compartidos, más conocidos bajo el nombre de CSV en la versión inglesa del sistema operativo (CSV: Cluster Shared Volumes). Los volúmenes compartidos permiten pues a los nodos de un clúster de conmutación por error acceder simultáneamente a un mismo archivo hospedado en una LUN del elemento de almacenamiento compartido. Los volúmenes compartidos aparecen bajo la forma de un sistema de archivos de tipo CSVFS (Cluster Shared Volume File System) y utilizan la tecnología de compartición SMB 3.0 (Server Message Block) para activar los flujos de datos compartidos entre los nodos de un clúster. A diferencia de los sistemas de archivos NTFS, el sistema de archivos CSVFS puede someterse a operaciones de mantenimiento manteniendo el servicio en línea. Es posible, por ejemplo, ejecutar el comando de verificación del disco Check Disk(Chkdsk.exe) sin necesidad de desmontar las particiones activas o reiniciar el sistema.

Infraestructura clásica de un clúster de conmutación por error sin CSV:

Solo el nodo activo del clúster accede al almacenamiento compartido. Infraestructura clásica de un clúster de conmutación por error con CSV:

Todos los nodos del clúster acceden al mismo tiempo al almacenamiento compartido. Tenga precaución, antes de crear una infraestructura utilizando volúmenes compartidos es obligatorio configurar los discos, antes de que haya datos en ellos. Si se agrega un disco de almacenamiento a los volúmenes compartidos, se produce la destrucción de todos los datos existentes en el volumen. Además, no es posible añadir un disco disponible a los volúmenes compartidos si ya se encuentra en uso por parte de alguno de los nodos del clúster.

d. Consola de administración del clúster La implementación de esta tecnología se lleva a cabo agregando la característica Clúster de conmutación por error. Al agregar este componente se instala el complemento Administrador de clústeres de conmutación por error en las herramientas administrativas de Windows:

En comparación con Windows Server 2008 R2, la consola de administración conserva casi la misma interfaz. Se han añadido a su vez comandos PowerShell adicionales para la gestión del clúster bajo Windows Server 2012 R2 y algunas características, como la utilidad Cluster.exe, se han eliminado en Windows Server 2012. Al agregar la característica clúster de conmutación por error se instala también el servicio Windows Servicio de clúster con un tipo de arranque predeterminado configurado

comoDeshabilitado hasta que se configure el clúster. Cada nodo cuenta con una copia de la configuración del clúster de conmutación por error y el servicio de clúster permite sincronizar los datos entre sí:

Ha aparecido, también, una nueva característica para el clúster de conmutación por error a partir de Windows Server 2012. Es, ahora, posible actualizar el sistema operativo con parches de Windows en cada nodo sin tener que interrumpir el servicio. Los parches (Hotfix) de Microsoft pueden instalarse mediante el complemento Actualización compatible con clústeres (ClusterAware Updating), disponible en las herramientas administrativas del sistema operativo.

e. Administración de un clúster de conmutación por error La consola de administración Administrador de clústeres de conmutación por error permite, en particular, realizar las acciones siguientes: Conectarse a un clúster existente: cuando ya existe un clúster en la red, la consola de administración permite conectarse a este clúster para administrarlo. Crear un nuevo clúster: permite crear un clúster de conmutación por error añadiendo los servidores que compondrán los diferentes nodos disponibles de la infraestructura de conmutación por error. Validar la configuración del clúster: la validación de la configuración permite verificar que los nuevos servidores del clúster respeten las mejores prácticas de Microsoft. Solo es posible activar un clúster si los parámetros de los servidores, de la red y del almacenamiento superan las distintas pruebas de validación de la configuración. El paso de validación permite verificar la configuración de un clúster existente o de una selección de servidores. La validación de la configuración constituye la primera etapa a verificar antes de crear un clúster de conmutación por error. El asistente de validación de una configuración realiza una batería de pruebas repartidas en las cuatro categorías siguientes: Configuración del sistema: Validar la edición de sistema operativo Validar la opción de instalación del sistema operativo Validar la configuración de Active Directory Validar la misma arquitectura de procesador Validar la versión de sistema operativo Validar los niveles de actualización de software Validar los niveles de Service Pack Validar la configuración de volcado de memoria

Validar los servicios requeridos Validar que todos los controladores están firmados Inventario: Almacenamiento Sistema Red: Mostrar el orden de enlace de red Validar la comunicación de red Validar la configuración de Firewall de Windows Validar la configuración de IP Validar la configuración de red del clúster Almacenamiento: Enumerar los discos Enumerar los discos para validar Validar el sistema de archivos Validar el arbitraje de disco Validar la latencia de acceso a disco Validar la reserva persistente de espacios de almacenamiento Validar la reserva persistente SCSI-3 Validar la conmutación por error de disco Validar la conmutación por error simultánea Validar los discos basados en Microsoft MPIO Validar los datos vitales de producto (Vital Product Data) del dispositivo SCSI Validar los enlaces de red CSV Validar la configuración de CSV Validar el arbitraje múltiple

Al finalizar las pruebas de validación, podemos editar un informe en formato *.mht:

Los informes están también disponibles en la carpeta %WINDIR%\cluster\Reports:

Cuando el asistente de validación finaliza, es posible crear el clúster inmediatamente con las máquinas que hayan sido validadas. Cuando la configuración del clúster de conmutación por error finaliza, también es posible mostrar un informe de configuración en formato *.mht desde el asistente de creación del clúster.

Una vez establecida la conexión al clúster, la consola de administración permite visualizar las tareas de administración siguientes: Roles: permite configurar la alta disponibilidad de un rol de servidor (ejemplo de rol: servidor de archivos, servidor DHCP, servidor de destino iSCSI, etc.). Nodos: permite gestionar los diferentes hosts del clúster. También podemos añadir un nuevo host al clúster o detener el servicio de clúster. Almacenamiento: Discos: permite administrar los discos disponibles para un clúster. La visualización indica que nodo del clúster es propietario del espacio de almacenamiento. Cuando un nodo queda inactivo, el quórum determina el nodo al cuál bascular (consulte la sección siguiente). Grupos: permite gestionar los espacios de almacenamiento disponibles para un clúster creando un grupo de almacenamiento. Redes: permite visualizar las redes internas o externas disponibles para el clúster de conmutación por error. Red de clústeres 1 y 2: permite definir qué red está dedicada a la red interna o a la red de cliente. Eventos de clúster: permite visualizar los registros de eventos vinculados a la actividad del clúster de conmutación por error.

f. Quórum En un clúster de conmutación por error, un quórum determina el número de nodos que deben estar en línea para que el clúster pueda garantizar el servicio a los usuarios. La opción de dejar el servicio en línea se realiza mediante un sistema de votación en el que cada nodo del clúster o disco compartido puede dar su voto. Para que la votación sea justa, hace falta que el número de nodos sea impar, para que haya forzosamente un voto ganador y no de igualdad. Si el número de nodos disponibles para un voto es idéntico, un componente del clúster como un servidor de archivos o un disco duro compartido puede agregarse como testigo para participar en el voto y de esta forma aportar un voto decisivo. Cuando varios nodos de un clúster se encuentran defectuosos y el voto establece la parada del servicio, la funcionalidad de clúster de conmutación cesa de inmediato deteniendo los servicios de Windows asociados a los nodos del clúster. Un quórum puede funcionar según varios modos. La configuración del tipo de quórum se realiza en las propiedades del clúster, ejecutando el Asistente para configurar quórum de clúster.

Un quórum de clúster puede funcionar en los modos de configuración siguientes: Mayoría de disco y nodo (Node and Disk Majority): en este modo de quórum, los nodos del clúster y un disco de almacenamiento testigo pueden votar. Cuando la mayoría de los componentes están en línea y pueden votar, el servicio se mantiene en el clúster. Mayoría de nodo (Node Majority): en este modo de quórum, solo los nodos del clúster pueden votar. No puede existir un componente testigo. Si más de la mitad de los componentes están en línea para votar, el servicio se mantiene en el clúster. Mayoría de recurso compartido de archivos y nodo (Node and File Share Majority): en este modo de quórum, los nodos del clúster y un recurso compartido de archivos testigo pueden votar. Cuando la mayoría de los componentes están en línea y pueden votar, el servicio se mantiene en el clúster.

g. Instalar y configurar un clúster La instalación de un clúster de servidores para implementar una solución de alta disponibilidad necesita la característica de servidor Clúster de conmutación por error. Una vez instalado el componente, la consola de administración sirve para crear el clúster. Los pasos para la creación de un clúster de conmutación por error son los siguientes: Disponer de permisos de administración en las máquinas destinadas a unirse al clúster. Configurar las máquinas para dirigirse a un punto de almacenamiento compartido. Validar los parámetros de configuración de los servidores (sistema, almacenamiento y red). Crear el clúster mediante el asistente. Antes de crear un clúster de conmutación por error, debemos verificar que cada nodo responde a los requisitos previos descritos por Microsoft. Todos los servidores destinados a ser los diferentes nodos del clúster deben poseer las características siguientes: El mismo tipo de arquitectura de procesador (64 bits). La misma edición del sistema operativo Windows Server 2012 R2 (Standard o Datacenter). El mismo nivel de service pack. El mismo nivel de parches. El mismo protocolo de red para los adaptadores de red de cada nodo. El mismo dominio Active Directory para todos los nodos. El mismo rol de clúster instalado en cada nodo. La creación del clúster requiere introducir la información siguiente en el asistente de configuración del clúster de conmutación por error: Introducir los servidores que componen el clúster. Indicar el nombre NETBIOS del clúster (15 caracteres como máximo). Indicar la dirección IP del clúster.

Una vez introducida la información, se crea el clúster y está listo para proveer un servicio a los usuarios con alta disponibilidad.

h. Los roles Los roles permiten configurar las aplicaciones o servicios disponibles mediante la infraestructura de clúster de conmutación por error. Es importante identificar y especificar el tipo de servicios a prestar en alta disponibilidad porque no todas las aplicaciones pueden funcionar con una solución de clúster de conmutación por error. Antes de integrar un servicio o una aplicación a este tipo de infraestructura, es necesario contactar con el fabricante para saber si la aplicación soporta este tipo de implementación. La sección Roles de la consola del administrador de clústeres de conmutación por error permite configurar los parámetros de alta disponibilidad para un rol de servidor. De esta forma, es posible definir las acciones que el clúster debe realizar para restablecer un servicio o una aplicación. Si uno de los nodos del clúster sufre un fallo (un fallo del sistema, tarjeta de red fuera de servicio, u otros), el servicio cambia automáticamente a otro nodo disponible. Sin embargo, si es la aplicación o el rol de servidor el que sufre el fallo, el clúster es capaz de reiniciar automáticamente el servicio en función de los parámetros de los roles fijados previamente en la consola de administración. Antes de agregar ciertos roles de servidor, el asistente verifica la presencia del rol en uno de los nodos del clúster. Si el rol o servicio no existe, entonces no es posible configurar el rol en el clúster. Existen varios roles preconfigurados para desplegarse como servicio en clúster: Ejemplos de roles más frecuentemente usados: Servidor de archivos Equipo virtual Servicio genérico

i. Optimización de los CSV Los volúmenes compartidos de clúster (Cluster Shared Volumes) en Windows Server 2012 R2 se benefician de ciertas mejoras a nivel de la gestión y de la compartición de recursos. En Windows Server 2012 un nodo podía ser propietario de varios discos agregados a volúmenes compartidos. En adelante, el clúster de conmutación por error equilibra automáticamente la propiedad de cada nodo sobre los volúmenes compartidos para optimizar las entradas y salidas sobre los discos (optimización de entrada/salida, escritura y lectura en los discos). En caso de fallo de uno de los nodos del clúster, el cambio del nodo propietario del disco CSV defectuoso a los otros nodos funcionales del clúster se realizará de forma más efectiva. En Windows Server 2012, cada nodo poseía una instancia única del servicio "Servidor" a cargo de administrar el conjunto del tráfico SMB entre los nodos y el recurso compartido. En Windows Server 2012 R2 cada nodo puede, sin embargo, contar con varias instancias del servicio "Servidor" que se supervisa para mejorar la continuidad del servicio y un cambio más rápido a los otros nodos del clúster en caso de fallo. Para verificar el estado de funcionamiento de los discos de volumen compartidos en cada nodo, podemos en adelante utilizar el comando PowerShell siguiente:

Get-ClusterSharedVolumeState

Trabajos prácticos La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permitirá garantizar el acceso a los servidores web que hospedan el sitio Internet de la empresa. La presentación del sitio web permite a los usuarios depositar allí los archivos comprimidos para ser almacenados en un servidor de archivos. El sitio web infonovice.es lo consultan muchos internautas y clientes potenciales, la dirección le solicita que el acceso al sitio sea redundante para que esté accesible permanentemente, 24h/7. El servidor de archivos se basa en una plataforma accesible mediante un almacenamiento iSCSI. Para responder a esta necesidad, se le pide implementar una solución de clústeres de servidores para que el sitio web pueda estar operativo en caso de fallo. La infraestructura debe basarse en dos servidores web bajo IIS albergando cada uno una copia del sitio Internet. Los dos servidores deben estar configurados en clúster. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: Controlador de dominio infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CLS-01: Servidor Web IIS Dirección de red de comunicación con los clientes: 192.168.0.116 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Dirección IP de red de comunicación interna con el clúster: 172.16.0.1 Máscara de subred interna: 255.255.0.0 CLS-02: Servidor Web IIS Dirección de red de comunicación con los clientes: 192.168.0.117 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Dirección IP de red de comunicación interna con el clúster: 172.16.0.2 Máscara de subred interna: 255.255.0.0 FILES-01: Servidor de archivos iSCSI Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CLIENT1: Cliente: DNS y DHCP Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Requisitos previos del servidor FILES-01:

Instale el rol Servidor del destino iSCSI en el servidor FILES-01. A continuación, cree los nuevos elAdministrador del servidor:

discos

iSCSI

con

los

parámetros

siguientes

desde

Volúmenes: E:\; G:\; H:\ Nombre del disco duro virtual iSCSI: CLUSTER-HDD1, CLUSTER-HDD2, CLUSTER-HDD3 Tamaño del disco duro virtual: 10 GB Asignar el destino iSCSI: Nuevo destino iSCSI Nombre del destino: CLUSTER-IIS Servidores de acceso: CLS-01 & CLS-02

1. Instalar IIS en cada nodo Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 3: en la ventana Seleccionar roles de servidor, marque la opción Servidor Web (IIS). Cuando se abra la ventana emergente Agregar características para el Servidor del destino iSCSI, haga clic en Agregar características y en Siguiente. Paso 4: deje las demás opciones por defecto haciendo clic en Siguiente y, a continuación, haga clic en Instalar y Cerrar. Paso 5: repita las operaciones 1 a 4 en el servidor CLS-02.

2. Conectar los nodos al disco iSCSI Paso 1: en el servidor CLS-01, abra en Herramientasluego en Iniciador iSCSI.

el

Administrador

del

servidor

y

haga

clic

Paso 2: haga clic en Sí para iniciar el servicio Microsoft iSCSI. Paso 3: en la pestaña Destinos de la ventana Propiedades: Iniciador iSCSI, escriba FILES-01en el campo Destino de la sección Conexión rápida y, a continuación, haga clic en Conexión rápida. Paso 4: en la ventana Conexión rápida, aparece un IQN en la sección Destinos detectados, que se corresponde al destino iSCSI llamado CLUSTER-IIS. Haga clic en Listo. Paso 5: verifique que el IQN detectado tiene un estado Conectado luego haga clic en Aceptar. Paso 6: vuelva al Administrador del servidor y, a continuación, haga clic en la sección Servicios de archivos y de almacenamiento, Volúmenes y discos.

Paso 7: seleccione cada disco de 10 GB, de tipo iSCSI y cuyo estado muestra Sin conexión. Haga clic con el botón derecho encima y haga clic en Poner en línea. Paso 8: haga clic en Sí para confirmar la puesta en línea del disco duro iSCSI. Paso 9: cree un nuevo volumen en cada disco duro iSCSI con los parámetros siguientes y, a continuación, haga clic en Crear: Tamaño del volumen: 9,97 GB Letra de unidad o carpeta: E:\, F:\, G:\ Etiqueta del volumen: Nuevo volumen Sistema de archivos: NTFS Tamaño de la unidad de asignación: Predeterminado

Paso 10: repita las operaciones 1 a 8 en el servidor CLS-02.

3. Crear un clúster de servidores Paso 1: en el servidor CLS-01, abra el Administrador del servidor y haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de instalación, Seleccionar servidor de destino y Seleccionar roles de servidor. Paso 3: en el paso Seleccionar características, marque la opción Clúster de conmutación por error y, a continuación, haga clic en Agregar características cuando se muestre la segunda ventana. Haga clic en Siguiente y, a continuación, en Instalar. Cuando la instalación de la característica haya terminado, haga clic en Cerrar:

Paso 4: repita las operaciones 1 a 3 en el servidor CLS-02. Paso 5: abra la consola Administrador del servidor en el servidor CLS-01, haga clic enHerramientas y, a continuación, en Administración de clústeres de conmutación por error. Paso 6: en el menú Acciones, haga clic en Validar configuración. Paso 7: en el paso Antes de comenzar, haga clic en Siguiente. Paso 8: en el paso Seleccionar servidores o un clúster, haga clic en Examinar, introduzca los nombres de los servidores a verificar (CLS-01; CLS-02), separándolos por un punto y coma y, a continuación, haga clic en Aceptar. Paso 9: una vez seleccionados los servidores a verificar, haga clic en Siguiente:

Paso 10: en el paso Opciones de pruebas del asistente, marque la opción Ejecutar todas las pruebas y haga clic en Siguiente. Paso 11: en el paso Confirmación, haga clic en Siguiente. Paso 12: cuando terminen las pruebas, verifique que el resultado global valida que la configuración de la infraestructura seleccionada está adaptada para configurar un clúster. Verifique que la opción Crear el clúster ahora con los nodos validados está marcada y, a continuación, haga clic en Finalizar:

Paso 13: en el paso Antes de comenzar de la ventana Asistente para crear clúster, haga clic enSiguiente. Paso 14: en el paso Punto de acceso para administrar el clúster, escriba CLUSTER-IIS en el campo Nombre del clúster y, a continuación, indique la dirección IP 192.168.0.200 en el campoDirección. A continuación, haga clic en Siguiente:

Paso 15: en el paso Confirmación, verifique que la opción Agregar todo el almacenamiento apto al clúster se encuentra marcada y, a continuación, haga clic en Siguiente. Paso 16: en el paso Resumen, haga clic en Finalizar. El clúster creado aparece, ahora, en la ventana de la consola Administrador de clústeres de conmutación por error:

4. Crear un volumen compartido de clúster Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic enHerramientas y, a continuación, en Administrador de clústeres de conmutación por error. Paso 2: despliegue el árbol del clúster disponible en la consola, para seleccionar CLUSTERIIS.infonovice.priv - Almacenamiento - Discos. Seleccione uno de los discos donde el estado muestre Almacenamiento disponible y, a continuación, haga clic en Agregar a volúmenes compartidos de clúster.

El disco aparece, ahora, con el estado Volumen compartido de clúster.

5. Configurar un rol de servidor Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic enHerramientas y, a continuación, en Administrador de clústeres de conmutación por error. Paso 2: despliegue el árbol del clúster para seleccionar el nodo Roles. En el menú Acciones, haga clic en Configurar rol. Paso 3: en el paso Antes de comenzar, haga clic en Siguiente. Paso 4: en el paso Seleccionar rol, seleccione el rol Servicio genérico y haga clic en Siguiente. Paso 5: en el paso Seleccionar servicio, seleccione publicaciónWorld Wide Web y haga clic en Siguiente.

el servicio

llamado

Servicio

de

Paso 6: en el paso Punto de acceso de cliente, escriba WEBUPLOAD en el campo Nombre y, a continuación, indique la dirección IP 192.168.0.201 en el campo Dirección. A continuación, haga clic en Siguiente:

Paso 7: en el paso Seleccionar almacenamiento, marque la opción correspondiente a Disco de clúster 3 y, a continuación, haga clic en Siguiente. Paso 8: en el paso Replicar configuración del Registro, haga clic en Siguiente. Paso 9: en el paso Confirmación, verifique los parámetros del rol a desplegar en el clúster y, a continuación, haga clic en Siguiente. Paso 10: en el paso Resumen, haga clic en Finalizar. En este punto, el clúster de dos servidores está configurado para reiniciar el servicio IIS en caso de fallo. El almacenamiento de los sitios web está configurado en el servidor CLS-01. Solo este servidor puede tener acceso al recurso compartido por el momento.

El segundo servidor CLS-02 no tiene acceso al recurso de almacenamiento iSCSI. Solamente en caso de producirse un error, se desconectará el recurso compartido para volver a conectarse después de la conmutación al nodo de respaldo.

6. Simular un fallo en el clúster Paso 1: en el servidor CLS-01, abra la consola Administrador del servidor, haga clic enHerramientas y, a continuación, en Administrador de clústeres de conmutación por error. Paso 2: identifique el nombre del servidor sobre el que se ejecuta el servicio proporcionado a los usuarios y, a continuación, conéctese empleando una conexión de escritorio remoto. Paso 3: detenga manualmente el servicio de publicación World Wide Web. Paso 4: vaya a la consola del Administrador de clústeres de conmutación por error, despliegue el árbol y seleccione el nodo Eventos de clúster. Paso 5: identifique un evento de error con ID 1069, correspondiente a una parada de servicio de publicación World Wide Web en el servidor CLS-01. Paso 6: cambie de nuevo al servidor CLS-01 y verifique que el Servicio de publicación World Wide Web ha reiniciado correctamente. Paso 7: detenga físicamente el servidor CLS-01. Paso 8: cambie al Administrador de clústeres de conmutación por error en el servidor CLS-02. El servicio, así como el almacenamiento, deben haber cambiado automáticamente al nodo CLS02:

Paso 9: abra un explorador de Windows en el servidor CLS-02, el almacenamiento aparecerá como accesible, sin el icono con un signo de interrogación.

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos al funcionamiento del clúster de conmutación por error y la alta disponibilidad en Windows Server 2012 R2. Podría resumirse de la manera siguiente: Un clúster de conmutación por error ofrece una solución software de alta disponibilidad. Un clúster de conmutación por error en Windows Server 2012 R2 puede soportar hasta 64 nodos físicos. Un clúster de conmutación por error en Windows Server 2012 R2 puede soportar hasta 8000 máquinas virtuales. En un clúster, un nodo representa uno de los servidores que lo componen. Los clientes se comunican con la instancia de la aplicación en clúster mediante una dirección IP virtual. Un clúster se vale de una red interna para que los nodos puedan comunicarse entre sí, además de una red pública para que los clientes puedan comunicarse con la instancia de la aplicación soportada por el clúster. Los volúmenes compartidos de un clúster permiten gestionar los accesos concurrentes a un mismo archivo. Antes de crear un clúster de conmutación por error, los servidores integrantes deben pasar con éxito un conjunto de pruebas. Si algún servidor no supera las validaciones, entonces no podrá formar parte de los nodos de un clúster. Un clúster de conmutación por error permite configurar roles preconfigurados. Un rol permite reiniciar un servicio fuera de línea, ejecutar scripts predefinidos o cambiar una aplicación a otro nodo disponible en caso de fallo. Un quórum de clúster permite a cada componente votar si el clúster se mantiene en línea cuando uno o más no están ya operativos.


1. Preguntas 1 ¿Qué es un clúster? 2 ¿Qué protocolos IP están soportados por un clúster de conmutación por error? 3 ¿Qué protocolo de red y puerto de comunicación utilizan los nodos de un clúster para comunicarse entre sí? 4 ¿Qué servicio Windows permite administrar los servidores de un clúster? 5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de poder unirse a un clúster. 6 ¿Cuántos nodos físicos se soportan en un clúster de servidores Windows Server 2012 R2? 7 ¿Cuántas máquinas virtuales se soportan en cada clúster Windows Server 2012 R2? 8 En un clúster Windows Server 2012 R2, ¿para que sirven los CSV? 9 ¿Qué complemento permite administrar un clúster Windows Server 2012 R2? 10 ¿Qué es un quórum de clúster? 11 ¿Cuáles son los tres modos de configuración de un quórum?


3. Respuestas 1 ¿Qué es un clúster? Un clúster es un grupo de servidores que ejecutan la misma instancia de una aplicación. 2 ¿Qué protocolos IP están soportados por un clúster de conmutación por error? Un clúster de conmutación por error soporta los protocolos IPv 4 e IPv 6. 3 ¿Qué protocolo de red y puerto de comunicación utilizan los nodos de un clúster para comunicarse entre sí? Los nodos del clúster intercambian entre ellos mensajes de latido empleando el protocolo UDP en el puerto 3343. 4 ¿Qué servicio Windows permite administrar los servidores de un clúster? El servicio Windows Serv icio de clúster permite administrar los servidores de un clúster. 5 Cite al menos tres requisitos previos que debe cumplir un conjunto de servidores antes de poder unirse a un clúster. Los servidores que quieran integrarse en un clúster de conmutación por error deben cumplir los requisitos previos siguientes: La misma edición del sistema operativo.

La misma arquitectura del procesador. El mismo nivel de parches. El mismo nivel de service pack. El mismo protocolo de red para los adaptadores de red de cada nodo. El mismo dominio Active Directory para todos los nodos. El mismo rol de clúster instalado en cada nodo. 6 ¿Cuántos nodos físicos se soportan en un clúster de servidores Windows Server 2012 R2? Un clúster en Windows Server 2012 R2 puede soportar hasta 64 nodos físicos. 7 ¿Cuántas máquinas virtuales se soportan en cada clúster Windows Server 2012 R2? En Windows Server 2012 R2, cada clúster puede mantener 8000 máquinas virtuales. 8 En un clúster Windows Server 2012 R2, ¿para qué sirven los CSV? Los CSV (Cluster Shared Volumes), o volúmenes compartidos, permiten a los nodos de un clúster acceder simultáneamente a un mismo archivo albergado en una LUN del espacio de almacenamiento. Este procedimiento se utiliza, en particular, para el almacenamiento de una imagen virtual a la cual se necesita acceso simultáneo por dos hosts Hyper-V. 9 ¿Qué complemento permite administrar un clúster Windows Server 2012 R2? El complemento Adm inistrador de clústeres de conm utación por error permite administrar un clúster Windows Server 2012 R2. 10 ¿Qué es un quórum de clúster? Un quórum es un voto que permite determinar cuántos nodos deben estar activos en un clúster para garantizar el servicio a los usuarios. 11 ¿Cuáles son los tres modos de configuración de un quórum? Un quórum puede funcionar en los modos de configuración siguientes: Mayoría de disco y nodo (Node and Disk Majority) Mayoría de nodo (Node Majority) Mayoría de recurso compartido de archivos y nodo (Node and File Share Majority).

Requisitos previos y objetivos 1. Requisitos previos Saber instalar y configurar un sistema operativo Windows Server 2012 R2. Tener nociones sobre la virtualización de servidores. Tener nociones sobre los clústeres de conmutación. Tener nociones sobre la alta disponibilidad. Ten nociones sobre la virtualización con Hyper-V. Saber instalar y configurar Hyper-V. Saber configurar un recurso compartido iSCSI.

2. Objetivos Saber implementar un clúster de conmutación por error Hyper-V. Saber importar una máquina virtual. Saber configurar la replicación de una máquina virtual. Saber implementar una máquina virtual en un clúster de conmutación por error. Saber mover una máquina virtual.

Virtualización con Hyper-V Hyper-V es un hipervisor integrado en el sistema operativo Windows Server 2012 R2 como rol de servidor. Hyper-V aporta una solución de virtualización de servidores dentro de los productos servidor de Microsoft.

1. Presentación de Hyper-V En el mundo de la virtualización de servidores, existen varios actores que ofrecen productos que compiten con la solución ofrecida por Microsoft. En entornos de producción, encontramos principalmente los productos siguientes: VMware vSphere Citrix XenServer Microsoft Hyper-V En el sistema operativo Windows Server 2012 R2, Microsoft ha integrado la versión 3 de Hyper-V. Un hipervisor es una capa de software que se ejecuta directamente en una máquina física para poder gestionar múltiples máquinas virtuales en un único host. Este proceso está diseñado para ofrecer a las empresas muchas ventajas, como la alta disponibilidad, reducción de costes y una gestión centralizada del sistema de información. Con esta nueva versión del sistema operativo, Microsoft proporciona a las empresas rendimientos más importantes y características mejoradas con respecto a la versión anterior en términos de virtualización con Hyper-V. Las infraestructuras de virtualización pueden beneficiarse en adelante de las ventajas ofrecidas por las siguientes características: Los hosts Hyper-V soportan en adelante hasta: 320 procesadores lógicos en hardware. 4 TB de memoria RAM. 2048 procesadores virtuales por host. 1024 máquinas virtuales activas por host. Las máquinas virtuales soportan en adelante hasta: 64 procesadores virtuales por VM. 1 TB de memoria por VM. 64 TB de almacenamiento en un disco virtual. Una infraestructura Hyper-V en Windows Server 2012 R2 ofrece en adelante la posibilidad de: Redimensionar el tamaño de un disco virtual (con la condición de tener un archivo de disco VHDX conectado a un controlador SCSI) conectado a una máquina virtual. La acción se puede llevar a cabo en caliente: no es necesario apagar la máquina virtual, la operación se lleva a cabo incluso si el disco está en uso. Esto aporta pues una mayor flexibilidad para las operaciones de mantenimiento. Compartir un disco virtual (VHDX) entre varias máquinas virtuales de un clúster de conmutación por error. Los archivos de cada disco virtual pueden alojarse en un volumen del clúster compartido, un recurso compartido SMB o un servidor de archivos. Implementar la QoS (Quality of Service) en cada disco virtual para controlar y limitar el I/O (Input/Output: entrada/salida) de las máquinas virtuales. Los sistemas operativos invitados siguientes están, en adelante, soportados: Windows Server 2012 R2 y Windows 8.1.

a. Instalación del rol Hyper-V La instalación del rol Hyper-V se realiza a través del Administrador del servidor, agregando el rol Hyper-V. Añadir este rol requiere un reinicio del servidor para implementar el hipervisor Hyper-V:

Al agregar este rol se añade el servicio Windows: Administración de máquinas virtuales de Hyper-V

Antes de instalar el rol de servidor Hyper-V en las máquinas Windows Server 2012 R2 de un clúster debemos garantizar que cada servidor cuenta con la misma versión de procesador y con una tarjeta de red dedicada al envío de mensajes de latido. Antes de unirse al clúster Hyper-V, los servidores deben contar con la misma versión del sistema operativo así como el mismo nivel de parches o service pack.

b. Administración de Hyper-V La administración de un host Hyper-V se realiza a través del complemento Administrador de Hyper-V disponible en la siguiente ubicación: %windir%\system32\mmc.exe "%windir%\system32\virtmgmt.msc" Si su infraestructura Hyper-V está configurada en modo clúster de conmutación por error, las máquinas virtuales asociadas al clúster Hyper-V deben gestionarse mediante el complementoAdministrador de clústeres de conmutación por error:

La consola Administrador de Hyper-V permite conectarse a un host que ejecute el hipervisor de Microsoft para administrar y gestionar la infraestructura virtual.

c. Administración de Hyper-V a través de SCVMM La gestión de un host Hyper-V puede realizarse mediante el complemento Administrador de HyperV, y también mediante el componente SCVMM (System Center Virtual Machine Manager). Esta consola de administración aporta más funcionalidades de administración que el complemento. Virtual Machine Manager permite gestionar infraestructuras de virtualización de servidores tales como VMware vSphere, Citrix XenServer o Microsoft Hyper-V. Utilizando este componente, podemos desplegar y gestionar las máquinas virtuales. El uso de esta consola de administración requiere la instalación de una base de datos Microsoft SQL Server para almacenar los elementos de configuración. La instalación de la consola SCVMM requiere los siguientes requisitos previos: Microsoft SQL Server 2008 Microsoft .NET Framework 3.5 SP1 Windows AIK (Automated Installation Kit) 4 GB de memoria RAM como mínimo Procesador de al menos 2 GHz

Alta disponibilidad con Hyper-V En entornos de producción, la alta disponibilidad de un sistema de información requiere implementar equipos redundantes. Para garantizar un alto nivel de disponibilidad de las máquinas virtuales en una infraestructura de virtualización Hyper-V, Microsoft ha implementado tecnologías de replicación de VM (Virtual Machines), al igual que el uso de clústeres de conmutación por error.

1. Replicación La replicación permite aportar una solución de alta disponibilidad basada en la redundancia de máquinas virtuales. Activando la replicación entre dos hosts Hyper-V y las máquinas virtuales, cada host posee entonces una copia de la máquina virtual. Dado que esta copia está replicada, si uno de los hosts que hospedan la máquina virtual se detuviera, alguno de los hosts restantes se haría cargo arrancándola también. Para activar la replicación, es necesario, en primer lugar, configurar los hosts Hyper-V para la replicación y, a continuación, configurar las máquinas virtuales para replicar según sus parámetros de replicación.

2. Clúster de conmutación por error Con Windows Server 2012 R2, los entornos virtuales pueden volverse altamente disponibles implementando un clúster de conmutación por error Hyper-V. Cuando se configura una máquina virtual para ejecutarse en un clúster de conmutación por error, si el host que la hospeda falla, la máquina se arranca automáticamente en un segundo host del clúster y las aplicaciones y servicios siguen estando, así disponibles para los usuarios. Este modo de alta disponibilidad también se denomina Host Clustering. La implementación del clúster de conmutación por error Hyper-V requiere la configuración de un espacio de almacenamiento compartido. Es preciso configurar una red dedicada para garantizar la comunicación entre los hosts Hyper-V y debe dedicarse otra red para la comunicación con el espacio de almacenamiento (SAN o iSCSI). Las máquinas virtuales se almacenan en el espacio de almacenamiento compartido, cada host del clúster puede entonces acceder a los archivos que componen la máquina virtual. Dicho esto, un solo host del clúster puede ejecutar una máquina virtual a la vez. Cuando un host deja de funcionar, se advierte inmediatamente a los demás integrantes del clúster del fallo y un host disponible del clúster se encarga de cambiar la máquina virtual automáticamente para garantizar la continuidad del servicio. Los servidores integrantes del clúster están al corriente del estado de cada host Hyper-V mediante el envío de mensajes de latido. Estos mensajes de latido se intercambian entre cada host Hyper-V cada segundo para conocer el estado de cada uno de ellos. El envío de los mensajes de latido se lleva a cabo en la red dedicada a los hosts a través del protocolo TCP/UDP en el puerto 3343. Se considera que un host está indisponible cuando no devuelve 5 mensajes de latido, es decir tras 5 segundos de ausencia de comunicación entre los integrantes del clúster Hyper-V. No obstante, existe otro método de conmutación comúnmente llamado Guest Clustering. Este método no consiste en tener una máquina virtual hospedada en un host Hyper-V de un clúster de conmutación por error, sino dos máquinas virtuales idénticas, hospedadas en hosts diferentes del clúster de conmutación por error. De esta forma, en caso de fallo, la máquina virtual hospedada en el segundo host Hyper-V puede tomar el relevo más rápidamente. En este modo de conmutación, las máquinas virtuales comparten el mismo espacio de almacenamiento. El clúster de conmutación por error Hyper-V en Windows Server 2012 R2 soporta los elementos siguientes: 8000 máquinas virtuales por clúster. 64 nodos. Soporte de volúmenes compartidos para almacenar las máquinas virtuales. El almacenamiento de las máquinas virtuales puede realizarse, en lo sucesivo, en recursos

compartidos SMB 3.0. Soporte para la supervisión de servicios de la máquina virtual.

3. Migración de las máquinas virtuales La migración de las máquinas virtuales puede llevarse a cabo manualmente o automáticamente durante la pérdida del host que ejecuta la máquina virtual. La migración consiste en desplazar la ejecución de una máquina virtual de un host A a un host B. Existen dos tipos de migración: Migración rápida: permite desplazar una máquina virtual a otro host teniendo la precaución de guardar el estado del servidor antes de la conmutación. Se vuelve a arrancar la máquina una vez terminada la conmutación por error. Migración en vivo: permite desplazar una máquina virtual en caliente a otro host del clúster. Se sincroniza el estado del servidor durante el tiempo completo que dure la conmutación por error. Un clúster de conmutación por error tiene, también, en cuenta la migración del almacenamiento de una máquina virtual. De esta forma, es posible desplazar los archivos que componen una máquina virtual de un elemento de almacenamiento a otro. En Windows Server 2012 R2, la operación de migración se desarrolla comprimiendo el contenido de la memoria de la máquina virtual para copiarla en su destino. Esto permite mejorar el rendimiento de la migración de una máquina virtual a aproximadamente, la mitad de tiempo. Además, en lo sucesivo es posible exportar o clonar manualmente una máquina virtual en caliente.

Trabajos prácticos La empresa INFONOVICE desea implementar una solución de alta disponibilidad que permita garantizar la disponibilidad de las máquinas virtuales en caso de pérdida de uno de los hosts de la infraestructura Hyper-V. Para responder a esta necesidad, se le pide implementar una solución de clúster de conmutación por error para poder migrar en caliente una máquina virtual de un host Hyper-V a otro miembro del clúster. Para realizar los siguientes trabajos prácticos, deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: Controlador de dominio Infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 FILES-01: Servidor de archivos iSCSI, Invonovice.priv Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Particiones E:\, F:\, G:\ (30 GB por disco) HV-01: Servidor Hyper-V, Infonovice.priv Dirección IP: 192.168.0.124 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Segunda tarjeta de red HV-02: Servidor Hyper-V, Infonovice.priv Dirección IP: 192.168.0.125 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 Segunda tarjeta de red

1. Preparar el almacenamiento Hyper-V Este taller permite configurar los elementos de almacenamiento de un clúster Hyper-V. Paso 1: inicie una sesión en el servidor FILES-01 con credenciales de administración y, a continuación, utilice el Administrador del servidor para crear tres discos virtuales iSCSI con las características siguientes: Nombre del destino: HYPER-V Ruta de acceso: Archivo HYPER-V.vhd (en cada partición E:\, F:\ y G:\) Tamaño: 30 GB Servidor de acceso: HV-01.infonovice.priv y HV-02.infonovice.priv

Paso 2: inicie una sesión en el servidor HV-01 con una cuenta de administrador del dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a continuación, enIniciador iSCSI. Paso 3: en la ventana Microsoft iSCSI, haga clic en Sí para iniciar el servicio Windows asociado. Paso 4: en la ventana Propiedades: Iniciador iSCSI, en la pestaña General, escriba FILES-01en el campo Destino y haga clic en Conexión rápida. Paso 5: en la ventana Conexión rápida, haga clic en Listo y, a continuación, Aceptar para cerrar la ventana. Paso 6: abra el Administrador del servidor, vaya a la sección Servicios de archivos y almacenamiento y haga clic en Discos. Paso 7: haga clic con el botón derecho en los discos sin conexión y haga clic en Poner en línea. A continuación, haga clic en Sí para confirmar la operación. Paso 8: haga clic con el botón derecho en uno de los nuevos discos en línea, y haga clic enNuevo volumen. Paso 9: en el paso Antes de comenzar, haga clic en Siguiente. Paso 10: en el paso Seleccionar el servidor y el disco, haga clic en Siguiente. Paso 11: haga clic en Aceptar para inicializar el disco. Paso 12: en el paso Especificar el tamaño del volumen, indique 30 GB y haga clic en Siguiente. Paso 13: en el paso Asignar a letra de unidad o carpeta, deje la letra por defecto y haga clic enSiguiente. Paso 14: en el paso Seleccionar configuración del sistema de archivos, indique la siguiente información y haga clic en Siguiente: Sistema de archivos: NTFS Tamaño de unidad de asignación: Predeterminado Etiqueta del volumen: DISCOS Paso 15: en el paso Confirmar selecciones, haga clic en Crear. Paso 16: en el paso Resumen, haga clic en Finalizar. Paso 17: vuelva a realizar los pasos 6 al 16 seleccionando los demás discos en línea. Para los nombres de volumen, el segundo disco se llamará VM y el tercero QUORUM.

Paso 18: inicie una sesión en el servidor HV-02 con una cuenta de administrador del dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a continuación, enIniciador iSCSI. Paso 19: en la ventana Microsoft iSCSI, haga clic en Sí para iniciar el servicio Windows asociado. Paso 20: en la ventana Propiedades: Iniciador iSCSI, en la pestaña General, escriba FILES01en el campo Destino y haga clic en Conexión rápida. Paso 21: en la ventana Conexión rápida, haga clic en Listo y, a continuación, Aceptar para cerrar la ventana. Paso 22: abra el Administrador del servidor, vaya a la sección Servicios de archivos y almacenamiento y haga clic en Discos. Paso 23: haga clic con el botón derecho en cada disco sin conexión y haga clic en Poner en línea. A continuación, haga clic en Sí para confirmar la operación. Verifique que las tres particiones aparezcan en el puesto de trabajo. Paso 24: vaya al servidor HV-01 y, a continuación, desde el Administrador del servidor, agregue la característica Clúster de conmutación por error. Repita la operación en el servidorHV-02. Paso 25: desde la consola Administrador del servidor en HV-01, haga clic en Herramientas y, a continuación, en Administrador de clústeres de conmutación por error. Paso 26: en el menú Acciones, haga clic en Validar configuración. Paso 27: en el paso Antes de comenzar, haga clic en Siguiente. Paso 28: en el paso Seleccionar servidores o un clúster, agregue los servidores HV-01 y HV02 y haga clic en Siguiente. Paso 29: en el paso Opciones de pruebas, marque la opción Ejecutar todas las pruebas y haga clic en Siguiente. Paso 30: en el paso Confirmación, haga clic en Siguiente. Paso 31: en el paso Resumen, verifique que las pruebas han concluido exitosamente y, a continuación, marque la opción Crear el clúster ahora con los nodos validados. Paso 32: en la ventana Asistente para crear clúster, haga clic en Siguiente en el paso Antes de comenzar. Paso 33: en el paso Punto de acceso para administrar el clúster, escriba CLUSTER-HV en el campo Nombre del clúster y, a continuación, haga clic en Siguiente.

Paso 34: en el paso Confirmación, desmarque la opción Agregar todo el almacenamiento apto al clúster y, a continuación, haga clic en Siguiente. Paso 35: en el paso Resumen, haga clic en Finalizar. Paso 36: despliegue el árbol de la consola Administrador de clústeres de conmutación por error y seleccione al elemento siguiente CLUSTER-HV.infonovice.priv \ Almacenamiento \ Discos. En el menú Acciones, haga clic en Agregar disco. Paso 37: verifique que los tres discos están marcados y haga clic en Aceptar. Etapa 38: verifique que los tres discos aparecen con un estado En línea:

Paso 39: seleccione el disco cuyo nombre de volumen es VM (se debe tratar del disco número 1), haga clic con el botón derecho encima y haga clic en Agregar a volúmenes compartidos del clúster. Paso 40: haga clic con el botón derecho en el nodo CLUSTER-HV.infonovice.priv, haga clic enAcciones adicionales y, a continuación, en Configurar opciones de quórum de clúster. Paso 41: en el paso Antes de comenzar del Asistente para configurar quórum de clúster, haga clic en Siguiente. Paso 42: en la etapa Seleccionar opción de configuración de opciónSeleccionar el testigo de quórum y haga clic en Siguiente.

quórum,

marque

la

Paso 43: en el paso Seleccionar testigo de quórum, marque la opción Configurar un testigo de disco y haga clic en Siguiente. Paso 44: marque la opción del disco cuyo nombre de volumen es QUORUM y, a continuación, haga clic en Siguiente (se debe tratar del volumen G:\).

Paso 45: en el paso Confirmación, haga clic en Siguiente. Paso 46: en el paso Resumen, haga clic en Finalizar. En este punto, el nodo propietario de cada disco iSCSI debe ser el servidor HV-01. Si no fuera el caso, realice la modificación.

2. Instalar el rol Hyper-V Este taller permite instalar el rol de servidor Hyper-V en un equipo que ejecuta el sistema operativo Windows Server 2012 R2. Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del dominioInfonovice.priv y a continuación, en el Administrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de instalación y Seleccionar servidor de destino. Paso 3: en el paso Seleccionar roles de servidor, marque la opción correspondiente al rolHyper-V y, a continuación, haga clic en el botón Agregar características. A continuación, haga clic en Siguiente:

Paso 4: en el paso Seleccionar características, haga clic en Siguiente. Paso 5: en el paso Hyper-V, haga clic en Siguiente. Paso 6: en el paso Crear conmutadores virtuales, marque la opción correspondiente a la segunda tarjeta de red y haga clic en Siguiente:

Paso 7: en el paso Migración de máquinas virtuales, haga clic en Siguiente. Paso 8: en el paso Almacenes predeterminados, haga clic en Siguiente. En un entorno de producción, es recomendable seleccionar una ubicación diferente a la predeterminada.

Paso 9: en el paso Confirmar selecciones de instalación, haga clic en Instalar. Paso 10: en la etapa Progreso de la instalación, haga clic en Cerrar y reinicie el servidor. Repita las operaciones 1 a 10 en el servidor HV-02.

3. Importar las máquinas virtuales Este taller permite importar las máquinas virtuales existentes (del taller anterior de este libro) en un host Hyper-V. Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del dominioInfonovice.priv y, a continuación, cree el directorio C:\VM. Paso 2: copie la carpeta que contiene la máquina virtual CLIENT2 en la carpeta C:\VM del servidor HV-01. Paso 3: en el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministrador de Hyper-V. Paso 4: en el árbol de la consola, seleccione el host Hyper-V, haga clic con el botón derecho encima y haga clic en Importar máquina virtual. Paso 5: en el paso Antes de comenzar, haga clic en Siguiente. Paso 6: en el paso Buscar carpeta, haga clic en Examinar para indicar la ruta C:\VM\CLIENT2. Haga clic en Siguiente.

Paso 7: en el paso Seleccionar máquina virtual, haga clic en CLIENT2 y, a continuación, enSiguiente. Paso 8: en el paso Elegir tipo de importación, marque la opción Copiar la máquina virtual y, a continuación, haga clic en Siguiente. Paso 9: en el paso Elegir carpetas para archivos de máquina virtual, haga clic en Siguiente. Paso 10: en el paso Elegir carpetas para almacenar discos duros virtuales, haga clic enSiguiente. Paso 11: en el paso Resumen, haga clic en Finalizar. La máquina virtual aparece ahora en el centro de la consola de administración de Hyper-V.

4. Configurar la replicación Hyper-V Este taller permite activar y configurar la replicación en un host Hyper-V. Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del dominioInfonovice.priv y, a continuación, cree el directorio C:\REPLICACIÓN. Paso 2: en el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministrador de Hyper-V. Paso 3: en el árbol de la consola, seleccione el host Hyper-V, haga clic con el botón derecho encima y haga clic en Configuración de Hyper-V. Paso 4: en el árbol de la ventana, haga clic en Configuración de replicación. Paso 5: marque la opción Habilitar este clúster como servidor de réplicas. Paso 6: marque la opción Usar Kerberos (HTTP) en el puerto 80. Paso 7: en la sección Autorización y almacenamiento, marque la opción Permitir replicación desde cualquier servidor autenticado. Haga clic en Examinar para especificar la ubicaciónC:\REPLICACIÓN y, a continuación, haga clic en Aceptar dos veces:

Paso 8: abra una ventana Ejecutar, escriba firewall.cpl y haga clic en Aceptar:

Paso 9: en el menú de la izquierda haga clic en Configuración avanzada. Paso 10: en el árbol de la consola, haga clic en Reglas de entrada y, a continuación, en la lista central, habilite la regla Escucha HTTP de réplica de Hyper-V (Tcp de entrada) y cierre todas las ventanas del Firewall de Windows. Repita las operaciones 1 a 10 en el servidor HV-02.

5. Configurar la replicación de una VM Este taller permite activar y configurar la replicación de una máquina virtual en dos hosts Hyper-V. Paso 1: inicie una sesión en el servidor HV-02.infonovice.priv con una cuenta de administrador del dominio Infonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a continuación, en Administrador de Hyper-V. Paso 2: en el árbol de la consola, seleccione el host Hyper-V y, a continuación, en la ventana central, haga clic con el botón derecho en la máquina virtual CLIENT1 y haga clic en Habilitar replicación. Paso 3: en el paso Antes de comenzar, haga clic en Siguiente. Paso 4: en el paso Especificar servidor de réplicas, escriba HV-02 en el campo Servidor de réplicas y haga clic en Siguiente. Paso 5: en el paso Especificar parámetros de conexión, escriba 80 en el campo Puerto del servidor de réplicas y, a continuación, marque la opción Usar la autenticación Kerberos (HTTP). A continuación, haga clic en Siguiente.

Paso 6: en el paso Elegir discos duros virtuales de replicación, haga clic en Siguiente. Paso 7: en el paso Configurar RPO, puntos de recuperación adicionales, marque la opciónMantener solo el punto de recuperación más reciente, y haga clic en Siguiente. Paso 8: en el paso Elegir método de replicación inicial, marque la opción Enviar copia inicial a través de la red de la sección Método de replicación inicial. A continuación, marque la opciónIniciar replicación inmediatamente de la sección Programar replicación inicial y haga clic enSiguiente. Paso 9: en el paso Finalización del Asistente para habilitar replicación, haga clic en Finalizar. Paso 10: seleccione la máquina virtual CLIENT1 y, en la columna Estado, observe el progreso de la replicación. Paso 11: al finalizar la replicación la máquina virtual CLIENT1 estará, también, visible en el host Hyper-V HV-02. Haga clic con el botón derecho en la máquina virtual replicada y, a continuación, haga clic en Replicación\Mantenimiento de la replicación. Verifique que no ha habido errores en la replicación y haga clic en Cerrar. Paso 12: haga clic con el botón derecho en la máquina virtual CLIENT1 y haga clic enReplicación\Conmutación por error planeada. Paso 13: en la ventana Conmutación por error planeada, marque la opción Iniciar la máquina virtual de réplica tras la conmutación por error y haga clic en Conmutación por error:

Paso 14: verifique que la máquina virtual CLIENT1 ha iniciado en el host HV-02. Haga clic con el botón derecho en la máquina virtual y, a continuación, haga clic en Replicación\Quitar replicación y confirme la eliminación. Paso 15: apague la máquina CLIENT1.

6. Configurar la conmutación por error de clúster Este taller permite configurar la conmutación por error de un clúster Hyper-V. Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del dominioInfonovice.priv. A continuación, copie el archivo C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks\CLIENT2.vhdx en la carpeta C:\ClusterStorage\Volume1. Paso 2: en el Administrador del servidor del servidor HV-01, haga clic en Herramientas y, a continuación, en Administrador de clústeres de conmutación por error. Despliegue el árbol de la consola y haga clic con el botón derecho en Roles - Máquinas virtuales - Nueva máquina virtual. Paso 3: en la ventana Nueva máquina virtual, seleccione HV-01 y, a continuación, haga clic enAceptar. Paso 4: en el paso Antes de comenzar del Asistente para crear nueva máquina virtual, haga clic en Siguiente. Paso 5: en el paso Especificar el nombre y la ubicación, escriba CLIENT-TEST en el campoNombre. Marque la opción Almacenar la máquina virtual en otra ubicación y haga clic enExaminar para especificar la ruta C:\ClusterStorage\Volume1. A continuación, haga clic enSiguiente:

Paso 6: en el paso Asignar memoria, escriba 1024 MB en el campo Memoria de inicio y haga clic en Siguiente. Paso 7: en el paso Configurar funciones de red, seleccione la tarjeta de red correspondiente al switch virtual existente. Haga clic en Siguiente. Paso 8: en el paso Conectar disco duro virtual, marque la opción Usar un disco duro virtual existente y haga clic en Examinar para seleccionar el archivo:C:\ClusterStorage\Volume1\CLIENT2.vhdx. A continuación, haga clic en Siguiente:

Paso 9: en el paso Finalización del Asistente para crear nueva máquina virtual, haga clic enFinalizar. Paso 10: en el paso Resumen, verifique que la creación de la VM se ha llevado a cabo con éxito y, a continuación, haga clic en Finalizar.

7. Migrar una máquina virtual Este taller permite migrar en caliente una máquina virtual a otro host Hyper-V (V-Motion). Paso 1: inicie una sesión en el servidor HV-01 con una cuenta de administrador del dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministrador de clústeres de conmutación por error. Paso 2: despliegue el árbol de la consola para seleccionar el nodo Roles. Haga clic con el botón derecho en la máquina virtual CLIENT-TEST y haga clic en Iniciar. Paso 3: haga clic con el botón derecho en la máquina virtual CLIENT-TEST, haga clic en Mover y, a continuación, en Migración en vivo y Seleccionar nodo. Paso 4: en la ventana Mover máquina virtual, seleccione HV-02 y, a continuación, haga clic enAceptar. Paso 5: haga clic con el botón derecho en la máquina virtual y haga clic en Conectar. Verifique que la máquina virtual está accesible en el host HV-02.

8. Migrar el almacenamiento de una VM Este taller permite migrar en caliente el almacenamiento de una máquina virtual a otra ubicación (VStorage). Paso 1: inicie una sesión en el servidor HV-02 con una cuenta de administrador del dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a

continuación, enAdministrador de Hyper-V. Paso 2: haga clic con el botón derecho en la máquina virtual CLIENT2 y haga clic en Mover. Paso 3: en la ventana Asistente para crear clúster, haga clic en Siguiente en el paso Antes de comenzar. Paso 4: en el paso Elegir tipo de movimiento, marque la opción Mover el almacenamiento de la máquina virtual y, a continuación, haga clic en Siguiente. Paso 5: en el paso Elegir opciones de movimiento de almacenamiento, marque la opción Mover todos los datos de la máquina virtual a una sola ubicación y, a continuación, haga clic enSiguiente. Paso 6: en el paso Elegir una nueva ubicación para máquina virtual, haga clic en Examinar y seleccione la carpeta C:\CLIENT2. Haga clic en Siguiente y, a continuación, en Finalizar.

9. Redimensionar un VHDX en caliente Este taller permite redimensionar en caliente el disco virtual en formato VHDX de una VM: Paso 1: inicie una sesión en el servidor HV-02 con una cuenta de administrador del dominioInfonovice.priv. En el Administrador del servidor, haga clic en Herramientas y, a continuación, enAdministrador de Hyper-V. Paso 2: verifique que la VM CLIENT2 se encuentra en ejecución correctamente. Seleccione la VM y, a continuación, en la sección Acción del Administrador de Hyper-V, haga clic en Editar disco. Paso 3: en la ventana Antes de comenzar, haga clic en Siguiente. Paso 4: en el paso Localizar disco, haga clic en Examinar para seleccionar la ubicación del archivo *.vhdx asociado a la máquina virtual y, a continuación, haga clic en Siguiente. Paso 5: en el paso Elegir acción, marque la opción Expandirlo y, a continuación, haga clic enSiguiente.

Paso 6: en el paso Expandir disco duro virtual, escriba un valor superior al tamaño actual del disco. Haga clic en Siguiente y, a continuación, en Finalizar.

Paso 7: conéctese a la máquina virtual cliente e introduzca el comando siguiente:compmgmt.msc. Navegue hasta el nodo Administración de discos en la secciónAlmacenamiento para verificar que el disco duro de la máquina virtual cuenta, en adelante, con espacio sin asignar.

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a los clústeres de conmutación en Windows Server 2012 R2. Podría resumirse de la manera siguiente: Windows Server 2012 R2 utiliza la versión 3 de Hyper-V. Hyper-V puede instalarse en un sistema operativo Windows Server 2012 R2 instalado en modo Core Server o instalación completa. Los hosts de un clúster intercambian mensajes de latido cada segundo para conocer el estado de funcionamiento de los demás integrantes. Un host se declara como defectuoso cuando no responde a 5 mensajes de latido. Para administrar una máquina virtual ejecutada en clúster, consolaAdministrador de clústeres de conmutación por error.

se

debe

emplear

la

Una infraestructura de virtualización de servidores puede gestionarse y administrarse mediante la herramienta SCVMM (System Center Virtual Machine Manager).


1. Preguntas 1 ¿A qué puerto envían los hosts Hyper-V los mensajes de latido para los demás integrantes del clúster? 2 ¿Cuántas máquinas virtuales soporta un clúster de conmutación por error de Windows Server 2012 R2? 3 ¿Después de cuántos mensajes de latido se declara el fallo de un host Hyper-V por parte de los demás miembros de un clúster? 4 ¿Cuál es la frecuencia de envío de los mensajes de latido enviados por los integrantes de un clúster? 5 ¿Cuál es la versión de Hyper-V utilizada en Windows Server 2012 R2? 6 ¿Qué es la replicación en Hyper-V?


3. Respuestas 1 ¿A qué puerto envían los hosts Hyper-V los mensajes de latido para los demás integrantes del clúster? Los mensajes de latido se envían a los demás miembros del clúster a través del puerto TCP/UDP 3343. 2 ¿Cuántas máquinas virtuales soporta un clúster de conmutación por error de Windows Server 2012 R2? En Windows Server 2012 R2, un clúster de conmutación por error puede soportar 8000 máquinas virtuales. 3 ¿Después de cuántos mensajes de latido se declara el fallo de un host Hyper-V por parte de los demás miembros de un clúster? Si un host Hyper-V no responde a 5 mensajes de latido, se declara como fallo y se inicia el proceso de conmutación de las máquinas virtuales. 4 ¿Cuál es la frecuencia de envío de los mensajes de latido enviados por los integrantes de un clúster? Los miembros de un clúster Hyper-V envían los mensajes de latido destinados a los demás integrantes del clúster cada segundo. 5 ¿Cuál es la versión de Hyper-V utilizada en Windows Server 2012 R2? Windows Server 2012 R2 utiliza la versión de Hyper-V 3.0. 6 ¿Qué es la replicación en Hyper-V? La replicación permite dotar de redundancia a las máquinas virtuales, que pueden alojarse, de este modo, simultáneamente en dos hosts Hyper-V. Si uno de los hosts cae, la máquina virtual se

reactiva automáticamente, en el host Hyper-V restante.

Requisitos previos y objetivos 1. Requisitos previos Conocer los principios de una copia de seguridad de datos. Conocer los principios de una restauración de datos. Conocer las bases de un plan de recuperación de contingencias.

2. Objetivos Saber implementar un plan de recuperación de contingencias en caso de siniestro. Saber definir una directiva de copia de seguridad. Saber implementar la copia de seguridad en Windows Server 2012 R2. Saber restaurar los datos borrados de un servidor de archivos. Saber recuperar los objetos eliminados accidentalmente de un directorio.

Presentación de la recuperación de desastres Hoy en día, cada vez más empresas trabajan empleando diariamente herramientas informáticas (servidores, puestos de trabajo, terminales fijos o móviles, e-mail, etc.). Los datos manipulados están disponibles en diferentes soportes, accesibles por uno o varios usuarios y más o menos confidenciales. Para muchas empresas, su actividad principal está basada en datos digitales (contratos, facturas, pedidos, gestión de inventario, productos, servicios en línea, sitios web, proyectos, etc.). Por este motivo, la pérdida de datos informáticos durante un siniestro puede resultar vital para una empresa (incendio, eliminación accidental, caídas de sistema, piratería, robo, etc.). Según las estadísticas, una empresa que pierde una parte fundamental de sus datos informáticos tras una caída del sistema o una manipulación incorrecta tiene un porcentaje muy alto de cesar toda actividad en las semanas siguientes al siniestro, si no se ha implemantado previamente un plan de recuperación de desastres. Por este motivo, la copia de seguridad es un aspecto esencial, común a casi todas las empresas. Implementar una solución informática significa, también, planificar e implementar soluciones de restauración en caso de siniestro.

1. Recuperación de desastres La recuperación de desastres consiste en restaurar el servicio que se haya visto impactado tras un siniestro. Para ello, una empresa puede implementar un plan de recuperación de desastres (PRD) que consiste en definir las tareas y acciones a realizar para restaurar, en un tiempo récord, el servicio ofrecido a los usuarios. Un PRD contiene principalmente un plan de respaldo que consiste en definir una política relativa al almacenamiento del conjunto de datos de la empresa para poder restaurarlo en caso de necesidad. Antes de implementar una política de respaldo, una empresa debe realizar un estudio preliminar que ayudará a definir claramente las necesidades y orientar la manera más adecuada de implementar el plan de respaldo. Para satisfacer mejor las exigencias requeridas por un sistema informático, es necesario respetar y seguir las mejores prácticas definidas en las normas ITIL (Information Technology Infrastructure Library). Las mejores prácticas contenidas en las publicaciones ITIL abogan por dar respuesta a las siguientes preguntas antes de implementar un plan de recuperación de desastres: Definir los elementos a securizar y/o respaldar: securizar o respaldar el conjunto del perímetro informático conlleva costes (software, hardware, espacio de almacenamiento en disco o cinta, redundancia de equipos, etc.). Por este motivo, conviene evaluar previamente el volumen de datos a almacenar realizando la selección de los elementos a conservar. Evaluar los costes del respaldo: a mayor cantidad de datos a respaldar, mayor será el coste del plan de respaldo (equipo de copia de seguridad, espacio en disco, etc.). Para controlar su presupuesto, es importante no descuidar los costes vinculados al respaldo. Todos los elementos de la infraestructura de copia de seguridad deben ser evaluados, como el hardware, software, volumen de datos, costes de retención, costes de almacenamiento al igual que los costes humanos (administrador, operador, etc.). Definir las cláusulas del contrato de nivel de servicio: las publicaciones que describen las mejores prácticas informáticas mencionan la gran importancia de definir previamente el nivel de servicio ofrecido a los usuarios. Estas cláusulas deben registrarse en un documento que indique con claridad la calidad que se espera de los servicios (contrato entre cliente y proveedor también llamado SLA: Service Level Agreement), así como los tiempos de interrupción de servicio máximos en caso de avería o siniestro. La duración máxima de interrupción del servicio aceptable antes del reinicio de la actividad, también llamada RTO (Recovery Time Objective) de acuerdo a las publicaciones ITIL. Definir la pérdida de datos aceptable en caso de siniestro: tras un desastre, es posible restaurar los datos perdidos o dañados de un servidor en un momento T, si la aplicación de las políticas de copia de seguridad está en funcionamiento. Sin embargo, los datos introducidos por los usuarios varios minutos antes del siniestro pueden no haber sido respaldados. Esto quiere decir, implícitamente, que no es posible restaurar los elementos que no hayan sido respaldados. Por este motivo, es importante definir la tolerancia relativa a la pérdida de datos en caso de siniestro en un documento específico, también llamado RPO

(Recovery Point Objective) en las publicaciones ITIL. Definir la política de retención de los respaldos: cuando los respaldos se realizan en cinta, online o en disco, se consume espacio de almacenamiento. La política de retención de respaldos define el tiempo durante el que es necesario conservar los archivos almacenados antes de sobrescribirlos con una nueva copia de seguridad o, simplemente, destruirlos. Cuanto mayor sea el período de conservación de los respaldos, más fácil será para un administrador restaurar datos eliminados hace varios días. El caso se presenta sobre todo para las situaciones de eliminación accidental de datos. Por ejemplo, si un usuario elimina accidentalmente una carpeta importante y ningún usuario se da cuenta de ello en dos semanas... será entonces imposible para un administrador restaurar los datos eliminados si la política de retención de copias de seguridad impone una rotación para la sobrescritura de los archivos de una semana. Para poder restaurar en diferentes situaciones, es posible implementar dos planes de respaldo simultáneamente. Por ejemplo, un plan de respaldo semanal en disco podría realizar copias de seguridad con un período de retención de cuatro semanas, mientras que otro plan de respaldo mensual en cinta podría realizar copias de seguridad con un plazo de retención de un año. Definir una política de restauración de datos: existen diferentes métodos para restaurar los datos en función de los métodos de copia de seguridad o recuperación implementados para securizar la infraestructura informática. Durante un siniestro, conviene determinar previamente los métodos de recuperación de los datos en función del tipo de situación. Una política de restauración debe estar definida de acuerdo a las cláusulas definidas en los contratos de calidad de servicio. Por ejemplo, si un usuario pierde un archivo, será más rápido intentar restaurar los datos mirando en la caché de instantáneas que recuperar una cinta del centro de respaldo de archivos. Esto permite restaurar los datos más rápidamente y aumentar el porcentaje de disponibilidad para respetar las cláusulas de calidad de servicio por parte de los administradores, así como reducir el tiempo de interrupción máximo admisible por los usuarios. Resulta básico validar y probar regularmente cualquier plan de respaldo que se implemente, con el objetivo de garantizar que la política de restauración es operativa y que los datos almacenados son explotables. Sucede con demasiada frecuencia que una empresa respalda sus datos en cinta y que el día que se requiere una restauración los administradores se encuentran impotentes, con una cinta en blanco o datos inutilizables. Conviene probar, sistemáticamente, que el proceso de restauración funciona y que los archivos restaurados son accesibles por los usuarios. Esto garantiza la integridad de los datos restaurados así como la calidad del servicio proporcionado.

2. Presentación de la copia de seguridad Existen varias tecnologías de copia de seguridad de datos, varios soportes de destino y varios fabricantes; las soluciones utilizan componentes hardware o software. Encontramos en particular las copias de seguridad de datos en los soportes siguientes: Cloud Discos duros internos/externos Soportes extraíbles CD/DVD ROM Ubicaciones de red Replicación de datos (en un equipo redundante o una ubicación geográfica diferente) Cintas de copia de seguridad Instantáneas RAID Snapshots (copia de seguridad del estado del sistema en un momento concreto)

La mayoría de las soluciones software de terceros existentes utilizan componentes que necesitan un servidor sobre el que instalar la solución de copia de seguridad y agentes instalados en cada servidor para garantizar la comunicación y la transferencia de los datos a respaldar. En este libro se aborda, únicamente, la solución de copia de seguridad integrada en el sistema operativo Windows Server 2012 R2 (funcionalidad Copias de seguridad de Windows Server), las instantáneas (Shadow Copy), así como el sistema de copia de seguridad de tipo Cloud ofrecido por Microsoft llamado Windows Azure Online Backup.

3. Copias de seguridad de Windows Server El sistema operativo Microsoft Windows Server 2012 R2 integra de manera nativa la funcionalidad de servidor llamada Copias de seguridad de Windows Server. Una vez instalada, es posible acceder a esta herramienta como un complemento accesible desde la carpeta de sistema%Windir%\system32\wbadmin.msc, las herramientas administrativas del sistema operativo o mediante el Administrador del servidor.

Esta herramienta permite principalmente gestionar las copias de seguridad locales (ubicación de red, volumen en disco) o en línea (Windows Azure Online Backup). Cuando ejecutamos una copia de seguridad con esta herramienta, el complemento Copias deseguridad de Windows Server crea un disco virtual del volumen a respaldar. Este disco virtual es un archivo imagen con formato *.vhdx, que es el nuevo formato de almacenamiento de las máquinas virtuales en Microsoft Hyper-V3. Los discos virtuales VHDX pueden soportar 64 TB de datos. El disco virtual dedicado para la copia de seguridad de los datos se crea en la ubicación siguiente: [Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Backup [Fecha de la copia de seguridad]

Se puede navegar en cualquier momento por los archivos de imagen de disco duro empleando un

complemento. La herramienta crea los archivos BackupGlobalCatalog y GlobalCatalog que registran la configuración de los volúmenes respaldados en la siguiente ubicación: [Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Catalog

Cada copia de seguridad realizada debe verificarse para garantizar que los datos son accesibles en caso de requerir una restauración urgente. Si ocurriera algún accidente durante el proceso de copia de seguridad, la herramienta graba los registros de errores en la ubicación siguiente: [Unidad:\]\WindowsImageBackup\[Nombre de servidor]\Logs

La herramienta de copia de seguridad permite archivar el conjunto de datos de los sistemas operativos Windows Server, así como las máquinas virtuales que funcionan bajo Hyper-V.

a. Gestión de la copia de seguridad de Windows Server La consola de administración Copias de seguridad de Windows Server permite gestionar los tipos de Copias de seguridad local o Copias de seguridad en línea. El menú Acciones de la Copia de seguridad local permite administrar los elementos siguientes:

Programar copia de seguridad: permite programar una copia de seguridad para ejecutarla a intervalos regulares. Hacer copia de seguridad una vez: permite ejecutar una copia de seguridad completa. Recuperar: permite restaurar los datos a partir de elementos de una copia de seguridad ya realizada mediante una copia de seguridad local o en línea. Configurar opciones de rendimiento: permite especificar el tipo de copia de seguridad a realizar para cada volumen y optimizar así el rendimiento del respaldo. La herramientaCopias de seguridad de Windows Server ofrece dos tipos de opciones de copia de seguridad. Las copias de seguridad completas y las copias de seguridad incrementales. Las copias de seguridad completas tardan más en ejecutarse, porque la operación archiva todos los datos seleccionados. La operación de copia de seguridad incremental es más rápida porque archiva únicamente aquellos archivos modificados desde la última copia de seguridad completa o incremental. Ayuda: permite mostrar la ayuda de la copia de seguridad de Windows Server.

b. Programar la copia de seguridad de Windows Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows Server basta con iniciar el asistente Programar copia de seguridad desde el menú Acciones de la sección Copia de seguridad local. El asistente para programar una copia de seguridad permite seleccionar los elementos que se quiere copiar y, a continuación, definir la frecuencia del respaldo. Es posible planificar la ejecución de las copias de seguridad para que se realicen una vez por semana o varias veces al día:

La ubicación de destino de una copia de seguridad planificada puede definirse en: Un disco duro dedicado para copias de seguridad Un volumen Una carpeta de red compartida

Cuando se ejecuta la copia de seguridad programada, el detalle de la copia se muestra en la ventana central de la consola Copias de seguridad de Windows Server.

c. Configurar la copia de seguridad de Windows Para planificar una copia de seguridad con la herramienta Copias de seguridad de Windows Server, basta con iniciar el asistente Hacer copia de seguridad una vez desde el menú Accionesde la sección Copia de seguridad local. El asistente Copia de seguridad una vez permite seleccionar los elementos a respaldar realizando una copia completa del servidor o seleccionando elementos concretos para realizar una copia de seguridad personalizada. Es posible seleccionar los siguientes elementos de una copia de seguridad: Reconstrucción completa Estado del sistema Un volumen completo Archivos o carpetas de un volumen

La ubicación de destino de una copia de seguridad que se realiza una única vez puede definirse en una unidad de disco local o una carpeta compartida en la red:

Cuando se ejecuta una copia de seguridad de una vez, el detalle de la copia de seguridad se muestra en la ventana central de la consola Copias de seguridad de Windows Server.

d. Configurar la restauración de datos Para recuperar los datos mediante la herramienta Copias de seguridad de Windows Server,

basta con iniciar el asistente Recuperar desde el menú Acciones de la sección Copia de seguridad local. El Asistente para recuperación permite seleccionar los elementos a recuperar desde el catálogo de copias de seguridad disponibles. El asistente muestra un calendario con los datos en negrita indicando los elementos de copias de seguridad disponibles en el catálogo de respaldos realizados con éxito:

El asistente para recuperación de datos ofrece la posibilidad de restaurar los elementos siguientes: Archivos y carpetas Máquinas virtuales compatibles con Hyper-V Volúmenes Aplicaciones Estado del sistema

Recuperación de datos En un plan de recuperación de desastres, el servicio interrumpido por un incidente informático debe restablecerse lo más rápidamente posible. La copia de seguridad es un elemento que supera todo tipo de incidentes, pero el tiempo de recuperación a veces puede ser bastante largo, sobre todo si se subcontrata la copia de seguridad a un proveedor de servicios responsable de mantener las cintas de respaldo en una caja fuerte segura. En ciertas situaciones, la implementación de la tecnologíainstantáneas en un servidor de archivos o la activación de la Papelera de reciclaje de Active Directory puede hacer ganar un tiempo precioso a los administradores, conscientes de restaurar los datos borrados accidentalmente en un tiempo récord.

1. Instantáneas Las instantáneas, también llamadas en inglés Shadow Copy, permiten implementar una copia de seguridad automática en los archivos modificados. Esto permite, en particular, restaurar un archivo a una versión anterior cuando se realizan, por ejemplo, modificaciones erróneas en un documento, que luego se salvaguardan. Esta tecnología utiliza el servicio Windows Volume Shadow Copy Service (VSS) para realizar una copia de los archivos. Para activar las instantáneas, basta con realizar el procedimiento siguiente: Edite las propiedades del volumen que contiene sus datos. Haga clic en la pestaña Instantáneas, seleccione el volumen en el que desea activar la funcionalidad y, a continuación, haga clic en Configuración. Establezca un tamaño límite para la gestión de las instantáneas (el tamaño mínimo se fija en 320 MB).

A continuación, haga clic en el botón Programación. En la pestaña Programación, seleccione la hora de ejecución de las instantáneas, haga clic enAceptar y cierre a continuación la ventana de configuración:

Las instantáneas están activadas en el volumen cuando un pequeño reloj aparece y el botónHabilitar aparece en gris. Haga clic en Aceptar para cerrar las propiedades del volumen a respaldar con esta funcionalidad.

El botón Crear ahora permite ejecutar una instantánea manualmente sin tener que esperar a la hora de la próxima ejecución planificada de las instantáneas.

Para restaurar los datos que han sido modificados por error, basta con editar las propiedades de la carpeta o archivo a restaurar y hacer clic en la pestaña Versiones anteriores. Esta vista permite visualizar las versiones anteriores del archivo disponibles para poder seleccionar una fecha adecuada para restaurar el archivo. Antes de restaurarlo, es posible visualizar el contenido del archivo o de la carpeta haciendo clic en Abrir, para verificar si la copia es conforme al elemento que deseamos restaurar. Haciendo clic en el botón Copiar, podemos restaurar el elemento seleccionado a una ubicación diferente. Haciendo clic en Restaurarpodemos recuperar el archivo de la fecha seleccionada, sobrescribiendo la versión actual.

2. Papelera de reciclaje de Active Directory La papelera de reciclaje de Active Directory es una funcionalidad aparecida con Windows Server 2008. Esta funcionalidad permite restaurar objetos eliminados por error, cuando la opción de protección contra eliminación accidental no está implementada. La activación de esta opción necesita la elevación del nivel funcional del bosque a Windows Server 2012. Después de activada, ya no será posible modificar el nivel funcional del bosque ni desactivar la papelera de reciclaje de Active Directory. Para activar la papelera de reciclaje de Active Directory, basta con realizar el procedimiento siguiente: Aumente el nivel funcional del bosque al menos a Windows Server 2012. Arranque la consola Centro de administración de Active Directory. En la consola ADAC, seleccione el dominio en gestión y, a continuación, en las tareas disponibles, haga clic en Habilitar papelera de reciclaje:

Haga clic en Aceptar para validar la activación de la papelera de reciclaje de Active Directory:

Trabajos prácticos La empresa INFONOVICE desea implementar un plan de recuperación ante desastres que permitirá respaldar la totalidad de la información almacenada en el servidor de archivos. El nivel de servicio en caso de siniestro no debe estar degradado mucho tiempo. Para ello, la empresa solicita planificar la copia de seguridad a diario, con un umbral de pérdida de datos máximo admisible fijado en medio día de actividad. En lo relativo al directorio Active Directory, aunque la protección de objetos está activada por defecto para evitar cualquier eliminación accidental, se le solicita implementar la papelera de reciclaje de Active Directory para poder restaurar cualquier objeto no protegido que fuera eliminado. Para responder a cada necesidad, se le solicita implementar una solución de copia de seguridad en disco y en línea para ofrecer dos mecanismos distintos de recuperación de los datos. La implementación de instantáneas se utilizará para cumplir el requisito del umbral de pérdida de datos máximo de medio día. El conjunto de los datos de usuario a respaldar se encuentra en la carpeta compartida E:\COMÚN (cree los archivos en esta carpeta compartida bajo el nombre del recurso compartido: COMÚN) del servidor de archivos. Las copias de seguridad se almacenarán de manera local en el directorio compartido E:\BACKUP del servidor de archivos. Para realizar los siguientes trabajos prácticos deberá implementar las siguientes máquinas virtuales que albergarán los siguientes roles: DC-01: controlador de dominio Infonovice.priv, servidor DNS Dirección IP: 192.168.0.100 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 FILES-01: servidor de archivos Dirección IP: 192.168.0.109 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254 CLIENT1: cliente DNS y DHCP Dirección IP: 192.168.0.104 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.254

1. Instalar una herramienta de copia de seguridad Este taller permite instalar la herramienta de Microsoft Copias de seguridad de Windows Server, disponible de forma estándar en las características de servidor del sistema operativo. Paso 1: inicie una sesión en el servidor de archivos FILES-01 y, a continuación, en la consolaAdministrador del servidor, haga clic en Agregar roles y características. Paso 2: haga clic en Siguiente para pasar las pantallas Antes de comenzar, Seleccionar tipo de instalación, Seleccionar servidor de destino y Seleccionar roles de servidor. Paso 3: en la ventana Seleccionar características, marque la opción Copias de seguridad de Windows Server. Haga clic en Siguiente y, a continuación, en Instalar. Paso 4: haga clic en Cerrar cuando la instalación de la característica haya terminado.

2. Configurar la copia de seguridad de Windows Este taller permite configurar, planificar y ejecutar un trabajo de copia de seguridad empleando la

funcionalidad de servidor Copias de seguridad de Windows Server.

Crear un trabajo de copia de seguridad Paso 1: en el servidor de archivos FILES-01, abra el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en la funcionalidad Copias de seguridad de Windows Server. Paso 2: en el panel de la izquierda se encuentra el árbol de la consola. Seleccione Copia de seguridad local y, a continuación, en el panel de la derecha, haga clic en Hacer copia de seguridad una vez. Paso 3: en la ventana Opciones de copia de seguridad, verifique que la opción Opciones diferentes está marcada y, a continuación, haga clic en Siguiente. Paso 4: en la ventana Seleccionar configuración de copia de seguridad, marque la opciónPersonalizada y haga clic en Siguiente. Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar elementos. Paso 6: en la ventana Seleccionar elementos, marque los elementos siguientes y, a continuación, haga clic en Aceptar: Reconstrucción completa Estado del sistema El disco local completo (C:) La carpeta E:\COMÚN

Paso 7: verifique la selección de la copia de seguridad y, a continuación, haga clic en Siguiente:

Paso 8: en la ventana Especificar tipo de destino, marque la opción Carpeta compartida remota y, a continuación, haga clic en Siguiente. Paso 9: en la ventana Especificar carpeta remota, escriba \\FILES-01\BACKUP en el campoUbicación. En la sección Control de acceso, marque la opción Heredar y, a continuación, haga clic en Siguiente:

Paso 10: en la ventana Confirmación, verifique los elementos que componen el trabajo de copia de seguridad y haga clic en Copia de seguridad para iniciar el trabajo.

Paso 11: al terminar la copia de seguridad, haga clic en Cerrar.

Paso 12: el detalle de la copia de seguridad aparece en la parte central de la consola Copias de

seguridad de Windows Server. Navegue hasta la carpeta E:\BACKUP\WindowsImageBackup\FILES-01\Backup [Fecha de la copia de seguridad] para constatar que la copia de seguridad del servidor se ha realizado correctamente:

Planificar la copia de seguridad de Windows Este procedimiento permite planificar una copia de seguridad empleando la herramienta Copias de seguridad de Windows Server. Los datos a respaldar deben configurarse para archivarse en un nuevo volumen dedicado al almacenamiento. Habrá que agregar como requisito previo un nuevo disco al servidor FILES-01 que se inicializará como el volumen F:\. Paso 1: en el servidor de archivos FILES-01, arranque el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en la funcionalidad Copias de seguridad de Windows Server. Paso 2: en el panel de la izquierda se encuentra el árbol de la consola. Seleccione Copia de seguridad local y, a continuación, en el panel de la derecha, haga clic en Programar copia de seguridad. Paso 3: en la ventana Introducción, haga clic en Siguiente. Paso 4: en la ventana Seleccionar configuración de copia de seguridad, marque la opciónPersonalizada y haga clic en Siguiente. Paso 5: en la ventana Seleccionar elementos para copia de seguridad, haga clic en Agregar elementos. Paso 6: en la ventana Seleccionar elementos, marque los elementos siguientes y, a continuación, haga clic en Aceptar: Reconstrucción completa Estado del sistema El disco local completo (C:)

La carpeta E:\COMÚN

Paso 7: verifique la selección de la copia de seguridad y, a continuación, haga clic en Siguiente. Paso 8: en la ventana Especificar hora de copia de seguridad, marque la opción Una vez al díapara especificar la frecuencia de los respaldos y, a continuación, en la lista desplegable, seleccione 22:30. A continuación, haga clic en Siguiente:

Paso 9: en la ventana Especificar tipo de destino, marque la opción En un volumen y, a continuación, haga clic en Siguiente. Paso 10: en la ventana Seleccionar volumen de destino, haga clic en Agregar. Seleccione el volumen F:\, haga clic en Aceptar y, a continuación, en Siguiente. Paso 11: en la ventana Confirmación, verifique los parámetros de la programación de la copia de seguridad y, a continuación, haga clic en Finalizar. Paso 12: en la ventana Resumen, verifique la fecha de ejecución de la copia de seguridad programada y, a continuación, haga clic en Cerrar. Paso 13: la copia de seguridad programada aparece, ahora, en el centro de la consola Copias de seguridad de Windows Server:

Paso 14: cuando llega la hora de ejecución, se inicia la copia de seguridad programada. Al terminar la copia de seguridad, se muestra una notificación en la ventana central de la consolaCopias de seguridad de Windows Server:

Paso 15: navegue hasta la carpeta F:\WindowsImageBackup\FILES-01\Backup [Fecha de la copia de seguridad], para verificar que la copia de seguridad programada se ha ejecutado correctamente:

3. Restaurar los datos Este taller permite validar un plan de respaldo restaurando los datos guardados previamente con la herramienta de Microsoft Copias de seguridad de Windows Server. Paso 1: elimine el contenido de la carpeta E:\COMÚN. Paso 2: en el servidor de archivos FILES-01, arranque el Administrador del servidor y, a continuación, en el menú Herramientas, haga clic en la funcionalidad Copias de seguridad de Windows Server.

Paso 3: en el panel de la izquierda se encuentra el árbol de la consola. Seleccione Copia de seguridad local y, a continuación, en el panel de la derecha, haga clic en Recuperar. Paso 4: en la ventana Introducción, marque la opción Este servidor y, a continuación, haga clic en Siguiente. Paso 5: en la ventana Seleccionar fecha de copia de seguridad, haga clic en una fecha que aparezca marcada en negrita en el calendario. Esta fecha debe corresponder a la última copia de seguridad programada que se ha ejecutado en el servidor. Haga clic en Siguiente. Paso 6: en la ventana Seleccionar tipo de recuperación, marque la opción Archivos y carpetasy, a continuación, haga clic en Siguiente. Paso 7: en la ventana Seleccionar elementos que se van a recuperar, despliegue el árbol de elementos disponibles para seleccionar la carpeta E:\COMÚN. Seleccione, a continuación, todos los archivos disponibles en la lista de elementos a recuperar y haga clic en Siguiente:

Paso 8: en la ventana Especificar opciones de recuperación, marque las opciones siguientes y, a continuación, haga clic en Siguiente: Ubicación original (sección: Destino de la recuperación) Sobrescribir las versiones existentes con las recuperadas (sección: encuentren elementos en la copia de seguridad que ya estén en el destino) Restaurar los permisos de la lista de control de recupera(sección: Configuración de seguridad)

Cuando

se

acceso del archivo que

se

Paso 9: en la ventana Confirmación, verifique que el conjunto de los archivos a restaurar son correctos y, a continuación, haga clic en Recuperar. Paso 10: en la ventana Progreso de la recuperación, verifique el detalle de los elementos recuperados y, a continuación, haga clic en Cerrar.

Paso 11: navegue hasta la carpeta E:\COMÚN para verificar que el conjunto de los archivos eliminados se han restaurado correctamente.

4. Windows Azure Backup Este taller permite instalar y configurar la herramienta de copia de seguridad y restauración Windows Azure Online Backup (WAB).

Instalación de WAB Este taller permite instalar la herramienta de copia de seguridad Windows Azure Backup (WAB). Paso 1: abra su navegador y vaya al sitio web siguiente: http://www.windowsazure.com/eses/para acceder a toda la información necesaria referente a Windows Azure. Paso 2: haga clic en el vínculo PORTAL y acceda con una cuenta de usuario MICROSOFT (Hotmail, MSN, Passport.Net, etc.), antes de ser redirigido a la web siguiente:https://manage.windowsazure.com Paso 3: en la interfaz de administración, haga clic en Nuevo - Servicios de datos - Servicios de recuperación - Almacén de copia de seguridad - Creación rápida e indique el nombreINFONOVICE en el campo Nombre, Oeste de Europa en la lista desplegable dedicada a laRegión. A continuación, haga clic en Crear Almacén:

Paso 4: Al terminar la creación del almacén aparece una notificación en la barra inferior:

Paso 5: en la ventana Servicios de recuperación, haga clic en el tipo de almacén de copia de seguridad INFONOVICE previamente creado:

Paso 6: en el panel del almacén INFONOVICE, observe los tres pasos necesarios para utilizar la herramienta de copia de seguridad mediante la cloud Windows Azure. Haga clic en Adquirir certificado para leer el procedimiento a seguir para la generación de un certificado x.509 V3 de una longitud mínima de 2048 bits:

Es posible crear un certificado autofirmado para el taller si no podemos obtener un certificado emitido por una autoridad certificadora aprobada por Microsoft. Para crear el certificado autofirmado, basta con seguir los pasos siguientes: Descargue la herramienta MakeCert.exe desde el sitio web de Microsoft (el archivo Windows SDK for Windows 8 and .NET Framework 4 contiene la herramienta MakeCert: sdksetup.exe). Ejecute el comando siguiente en el servidor sobre el que se encuentra instalado el agente Windows Azure Backup para crear el certificado autofirmado (el certificado se creará en la carpeta que contiene la herramienta): makecert.exe -r -pe -n CN=CertInfonovice -ss my

-sr localmachine CertInfonovice.cer

-eku

1.5.5.7.3.2

-len

2048

-e

01/01/16

La fecha de expiración está en formato Americano, es decir los meses y los días cambian de lugar: mes/día/año.

Haga clic con el botón derecho en el archivo CertInfonovice.cer y haga clic en Instalar certificado. Especifique la ubicación de almacenamiento en el Equipo local y, a continuación, haga clic enSiguiente. Marque la opción Colocar todos los certificados en el siguiente almacén y haga clic enExaminar para especificar el almacén de certificado Personal. Haga clic en Aceptar y, a

continuación, en Siguiente. Haga clic en Finalizar y, a continuación, Aceptar para importar el certificado en el equipo. Conéctese al portal de gestión de Windows Azure e importe el certificado creado en la ventanaAlmacén de copia de seguridad haciendo clic en Administrar certificado del paso 1:

Importe el certificado CertInfonovice.cer (tenga precaución, el certificado no debe tener una fecha de validez superior a 3 años y una longitud de cifrado menor de 2048 bits):

Paso 7: haga clic en Descargar agente y seleccione Agente para Windows Server y System Center - Data Protection Manager. Esta acción tiene como finalidad descargar el ejecutableWABInstaller.exe (Windows Azure Backup Installer). Paso 8: ejecute el archivo WABInstaller.exe (la ejecución de este archivo puede realizarse en un sistema operativo Microsoft Windows Server 2008 R2 SP1 o superior). Paso 9: marque la opción Acepto los términos del Aviso complementario y haga clic en Aceptar. Paso 10: en la ventana Comprobación de requisitos previos, haga clic en Siguiente:

Paso 11: en la ventana Configuración de la instalación, verifique la ubicación de la carpeta de instalación del agente Windows Azure Backup así como la ubicación de la caché (esta ubicación debe disponer de un espacio disponible de al menos un 10% de los datos de la copia de seguridad). Modifique las rutas si fuera necesario, en caso contrario haga clic en Siguiente:

Paso 12: en el paso Participación en Microsoft Update, marque la opción Utilizar Microsoft Update cuando comprueba si hay actualizaciones y haga clic en Instalar. Paso 13: en el paso Instalación, cuando la instalación termine, desmarque la opción Buscar actualizaciones más recientes y haga clic en Finalizar. Paso 14: vaya al menú Inicio y, mediante la tecla Windows de su teclado, haga clic en el programa Windows Azure Backup:

Paso 15: en el menú Acciones, haga clic en Registrar servidor:

Paso 16: en el paso Configuración de proxy, si fuera necesario, introduzca la información necesaria en función de su infraestructura de red, en caso contrario haga clic en Siguiente. Paso 17: en el paso Identificación del almacén, haga clic en Examinar. Seleccione el certificado autofirmado creado en el paso anterior y, a continuación, haga clic en Aceptar. Paso 18: cuando el certificado se haya importado correctamente, seleccione el almacén INFONOVICE creado previamente en el portal Windows Azure y haga clic en Siguiente:

Paso 19: en el paso Configuración de cifrado, haga clic en el botón Generar frase de contraseña. Haga clic en Examinar, y seleccione su Escritorio y, a continuación, haga clic enRegistrar:

Este paso permite registrar el servidor automáticamente en su cuenta Windows Azure.

Paso 20: recuerde guardar la contraseña generada en un archivo de texto en el escritorio y, a continuación, haga clic en Cerrar:

En lo sucesivo es posible utilizar Windows Azure Online Backup con el servidor FILES-01.

Programar la copia de seguridad Este taller permite programar una copia de seguridad mediante la herramienta de copia de seguridad Windows Azure Backup (WAB). Paso 1: en el servidor FILES-01, cree la carpeta archivosConfidencial.txt, Importante.txt y Público.txt y, programa Windows Azure Backup:

C:\BACKUP que a continuación,

contenga los arranque el

Paso 2: en el menú Acciones, haga clic en Programar copia de seguridad. Paso 3: en el paso Introducción, haga clic en Siguiente. Paso 4: en el paso Seleccionar elementos para copia de seguridad, haga clic en Agregar elementos. Paso 5: en la ventana Seleccionar elementos, despliegue el árbol de la unidad C:\, marque la opción BACKUP y, a continuación, haga clic en Aceptar y en Siguiente:

Paso 6: en el paso Especificar la hora de la copia de seguridad, marque el conjunto de las horas de la semana excepto los fines de semana y, a continuación, agregue los horarios siguientes: 3:00, 12:00 y 20:00. Después haga clic en Siguiente.

Paso 7: en el paso Especificar la configuración de retención, deje las opciones por defecto y haga clic en Siguiente. Paso 8: en la ventana Confirmación, compruebe los parámetros de la configuración de la copia de seguridad y, a continuación, haga clic en Finalizar. Paso 9: en el paso Modificar progreso de la copia de seguridad, haga clic en Cerrar. Paso 10: la programación de la copia de seguridad se muestra en la ventana de la herramienta Windows Azure Backup:

El trabajo de copia de seguridad mediante Windows Azure Backup está programado. Este último tiene un límite de 850 GB de datos.

Restaurar los datos Este taller permite recuperar los datos una copia de seguridad mediante la herramienta de copia de

seguridad Windows Azure Backup (WAB). Paso 1: en el servidor FILES-01, elimine la carpeta C:\BACKUP y, a continuación, arranque el programa Windows Azure Backup. Paso 2: en el menú Acciones, haga clic en Recuperar datos. Paso 3: en el paso Introducción, marque la opción Este servidor y, a continuación, haga clic enSiguiente. Paso 4: en el paso Seleccionar modo de recuperación, marque la opción Examinar archivos y, a continuación, haga clic en Siguiente. Paso 5: en el paso Seleccionar el volumen, seleccione el volumen C:\ y, a continuación, la fecha de la copia de seguridad que acaba de realizar, así como la hora de ejecución programada. A continuación, haga clic en Siguiente:

Paso 6: en el paso Seleccionar elementos que recuperar, despliegue el árbol de elementos disponibles para seleccionar la carpeta C:\BACKUP. A continuación, haga clic en Siguiente:

Paso 7: en el paso Especificar opciones de recuperación, marque las opciones Ubicación original en la sección Destino de la recuperación, Sobrescribir las versiones existentes con las versiones recuperadas y, a continuación, marque la opción Restaurar los permisos de la lista de control de acceso (ACL) en el archivo o la carpeta que se están recuperando en la secciónConfiguración de seguridad. A continuación, haga clic en Siguiente:

Paso 8: en la ventana Confirmación, verifique los parámetros de recuperación de los datos y, a continuación, haga clic en Recuperar. Paso 9: cuando finalice la restauración de los datos eliminados, haga clic en Cerrar. Paso 10: navegue hasta la carpeta C:\BACKUP para verificar que archivos Confidencial.txt,Importante.txt y Público.txt se han restaurado correctamente:

los

Resumen del capítulo A lo largo de este capítulo, hemos visto todos los aspectos relativos a la copia de seguridad y restauración en Windows Server 2012 R2. Podría resumirse de la manera siguiente: Una infraestructura Windows Server 2012 R2 necesita un plan de recuperación ante desastres que respete las mejores prácticas ITIL como los SLA, los RTO y los RPO. Windows Server 2012 posee la funcionalidad Copias de seguridad de Windows Server. La herramienta de copia de seguridad integrada permite gestionar los respaldos locales o en línea. Las instantáneas permiten recuperar una versión anterior de un archivo o carpeta. La papelera de reciclaje de Active Directory permite recuperar los objetos del directorio eliminados accidentalmente.


1. Preguntas 1 ¿Qué es un PRD? 2 ¿Qué es un SLA? 3 ¿Qué es un RTO? 4 ¿Qué es un RPO? 5 ¿Qué funcionalidad dedicada a la copia de seguridad está integrada en el sistema operativo Windows Server 2012 R2? 6 ¿Para qué sirven las instantáneas? 7 ¿Cuál es el volumen de datos máximo permitido para un trabajo de copia de seguridad empleando Windows Azure Backup?


3. Respuestas 1 ¿Qué es un PRD? Un PRD o Plan de Recuperación de Desastres permite definir un plan de recuperación en caso de un siniestro. 2 ¿Qué es un SLA? Un SLA, o Service Level Agreement, permite definir el contrato de calidad de servicio que una infraestructura debe proporcionar. Encontramos en particular las duraciones máximas de interrupción de servicio en caso de siniestro. 3 ¿Qué es un RTO? Un RTO, o Recovery Time Objective, permite definir la duración máxima de interrupción de servicio antes de reanudar la actividad. 4 ¿Qué es un RPO? Un RPO, o Recovery Point Objective, permite definir la tolerancia a pérdida de datos admisible en caso de siniestro. 5 ¿Qué funcionalidad dedicada a la copia de seguridad está integrada en el sistema operativo Windows Server 2012 R2? La funcionalidad Copia de seguridad de Windows Server es un complemento integrado en el sistema operativo Windows Server 2012 R2. 6 ¿Para qué sirven las instantáneas? Las instantáneas permiten realizar copias de archivos frecuentemente modificados para poder recuperar una versión anterior en caso de una solicitud de restauración urgente. 7 ¿Cuál es el volumen de datos máximo permitido para un trabajo de copia de seguridad

empleando Windows Azure Backup? Un trabajo de copia de seguridad empleando Windows Azure Backup está limitado a un volumen de datos inferior a los 850 GB.

Tabla de objetivos Objetivo

Capítulos

Trabajos prácticos

Configure and Manage High Availability Configure Network Load Balancing (NLB)

El reparto de carga

El reparto de carga Administrar un clúster NLB

Configure failover clustering

Clústers y alta disponibilidad

Clústers y alta disponibilidad Crear un clúster de servidores

Manage failover clustering roles

Clústers y alta disponibilidad

Clústers y alta disponibilidad Simular un fallo en el clúster

Manage Virtual Machine (VM) movement

Clúster de conmutación por error HyperV

Clúster de conmutación por error Hyper-V Configurar la conmutación por error de clúster

Configure advanced file services

Los servicios de archivos avanzados

Los servicios de archivos avanzados Crear una infraestructura iSCSI Los servicios de archivos avanzados Implementar BranchCache

Implement Dynamic Access Control (DAC)

Control de acceso dinámico

Control de acceso dinámico - Configurar Kerberos Control de acceso dinámico - Crear las notificaciones Control de acceso dinámico - Configurar las propiedades Control de acceso dinámico - Configurar la clasificación Control de acceso dinámico - Configurar una

Configure File and Storage Solutions

regla de acceso central Control de acceso dinámico - Crear una directiva de acceso central Control de acceso dinámico - Publicar una directiva de acceso Control de acceso dinámico - Comprobar el acceso a los recursos Configure and optimize storage

Los servicios de archivos avanzados Optimizar el uso del almacenamiento - Desduplicación de datos

Implement Business Continuity and Disaster Recovery Configure and manage backups

Copia de seguridad y restauración

Copia de seguridad y restauración Configurar la copia de seguridad de Windows

Recover servers


Copia de seguridad y restauración Restaurar los datos

Configure site-level fault tolerance


Configure Network Services Implement an advanced Dynamic Host Configuration Protocol (DHCP) solution

Los servicios avanzados de red

Los servicios avanzados de red - Instalar y configurar el servicio DHCP

Implement an advanced DNS solution

Los servicios avanzados de red

Los servicios avanzados de red - Configurar el servicio DNS con DNSSEC

Deploy and manage IPAM

Los servicios avanzados de red - IPAM

Configure the Active Directory Infrastructure Configure a forest or a domain

Los servicios de dominio Active Directory

Los servicios de dominio Active Directory Instalar el rol AD DS empleando la interfaz gráfica

Configure trusts

Despliegue distribuido AD DS

Despliegue distribuido AD DS - Configurar una confianza AD DS

Configure sites

Sitios y servicios Active Directory

Sitios y servicios Active Directory Crear los sitios

Manage Active Directory and SYSVOL replication

Replicación de Active Directory

Replicación de Active Directory Configurar la replicación

Implement Active Directory Federation Services 2.1 (AD FSv2.1)

Servicios de federación AD FS

Servicios de federación AD FS - Preparar el despliegue AD FS

Install and configure Active Directory Certificate Services (AD CS)

Servicios de certificados AD CS

Servicios de certificados AD CS - Instalar una CA independiente

Manage certificates

Servicios de certificados AD CS

Servicios de certificados AD CS - Solicitar un certificado

Install and configure Active Directory Rights Management Services (AD RMS)

Servicios de gestión de derechos

Servicios de gestión de derechos Preparar el despliegue AD RMS

Configure Identity and Access Solutions

70-412 Windows Server 2012 R2 - Configuración de Servicios Avanzados

Recommend Documents