Adminstracion de Servidores en Windows Server 2008
Short Description
Download Adminstracion de Servidores en Windows Server 2008...
Description
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
12
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
CONTENIDO TEMÁTICO (CAPÍTULOS O MÓDULOS, TEMAS O SUBTEMAS) CONTENIDO TEMÁTICO
1: Configuring Windows Server 2008 • Server Manager Roles • Windows Server 2008 Features 2: Next Generation Networking • Networking with Windows Server 2008 • DNS Overview and Improvements
3: Server Core • Configuring and Managing Server Core Configuración del Server Core Objetivos de su manejo Funciones específicas 4: Windows Backup • Backup Infrastructure • Optical Media • Restore Utilities 5: Network Policies and Access Protection • Network Policies Access Protection; La importancia de la seguridad en la red Elementos de seguridad más importantes • Enforcement Options • Network Access Protection Scenarios Cómo proteger los diferentes escenarios de la red Objetivos del acceso a la red 6:Técnicas y Herramientas de diagnóstico El uso de las herramientas de Windows 2008 Como salvar pequeños detalles del funcionamiento
2
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 1.- Configuring Windows Server 2008. Al igual que cualquier otro servidor, máquinas servidor central debe estar correctamente configurado para ser capaces de comunicarse en la red. Algunas de estas opciones incluyen: • Configuración de una dirección IP. • Configuración de una contraseña de administrador. • Configuración de un nombre de servidor. • Activación remota de MMC en la gestión. • Habilitar las conexiones remotas RDP. • Activación remota de gestión de Firewall de Windows. • Habilitación de la gestión de Shell remoto. • Activación del servidor. • Unirse a un dominio. • Configuración de las actualizaciones de Windows. • Configuración de los informes de errores. • La adición de funciones de servidor y características.
Para configurar el servidor con una dirección IP estática 1.- Un símbolo del sistema, escriba lo siguiente: netsh interface ipv4 show interfaces2. 2.- Look espectáculo en el número que aparece en la columna Idx de la salida del adaptador de red. Si el equipo tiene más de un adaptador de red, tome nota del número correspondiente al adaptador de red para el que desea establecer una dirección IP estática. 3.- En el símbolo del sistema, escriba: netsh interface ipv4 set = nombre de la dirección "" fuente = dirección estática = mask = puerta de enlace. Donde: • ID es el número del paso 2 • StaticIP es la dirección IP estática que va a configurar • MáscaraDeSubred es la máscara de subred para la dirección IP • DefaultGateway es la puerta de enlace predeterminada 4.- En el símbolo del sistema, escriba:
3
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 netsh interface ipv4 add dnsserver name="" address= index=1 Donde: • ID es el número del paso 2 • DNSIP es la dirección IP del servidor DNS 5.- Repita paso 4 para cada servidor DNS que desea establecer, incrementando el índice = número cada vez. 6.- Verify tecleando ipconfig / all y comprobar que todas las direcciones son correctas. Para establecer la contraseña de administrador en Windows Server 2008.
1.- En el símbolo del sistema, escriba lo siguiente: net user administrator *
2.- Cuando le pedirá que introduzca la contraseña, escriba la nueva contraseña para la cuenta de usuario del administrador y pulse ENTER. 3.- Cuando se le solicite, vuelva a escribir la contraseña y pulse ENTER. A continuación, es posible que desee cambiar el nombre del equipo, como el nombre por defecto es un nombre aleatorio generado (a menos que configura a través de un archivo de respuesta) Para cambiar el nombre del servidor 1.- Determine el nombre actual del servidor con los comandos hostname o ipconfig / all. 2.- En el símbolo del sistema, escriba: netdom renamecomputer /NewName: 3.- Reiniciar la computadora escribiendo lo siguiente en un símbolo del sistema: shutdown /r /t 0
4
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Para administrar un servidor con una instalación Server Core mediante el Shell remoto de Windows. 1.- Habilitar el Shell de Windows remota en un servidor con una instalación Server Core, escriba el siguiente comando en un símbolo del sistema: WinRM quickconfig 2.- Click Y para aceptar la configuración predeterminada. Nota: El ajuste quickconfig WinRM permite a un servidor que ejecuta una instalación Server Core de Windows para aceptar conexiones de Shell remoto. 3.- En el equipo remoto, en el símbolo del sistema, utilice WinRS.exe para ejecutar comandos en un servidor con una instalación Server Core. Por ejemplo, para realizar un listado de directorio de la carpeta de Windows, escriba: winrs -r: cmd Donde nombreDeServidor es el nombre del servidor que ejecuta una instalación Server Core. 4.- Ahora puede escribir cualquier comando que usted requiera, se ejecutará en el equipo remoto. Para activar el servidor. 1.- En el símbolo del sistema, escriba: slmgr.vbs –ato Si la activación se realiza correctamente, no aparece ningún mensaje regresará en el símbolo del sistema. Para activar el servidor de forma remota. 1.- En el símbolo del sistema, escriba: cscript slmgr.vbs -ato 2.- Retrieve el GUID del equipo, escriba: cscript slmgr.vbs -did
5
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 3. - Type cscript slmgr.vbs -dli 4.- Verifique que el estado de licencia se ajusta a la licencia (activado). Para unirse a un servidor Windows 2008 a un dominio. 1.- En el símbolo del sistema, escriba: netdom join /domain: /userd: /passwordd:* Donde: • Computername es el nombre del servidor que ejecuta la instalación Server Core. • Nombres de Dominio es el nombre del dominio para unirse. • Nombre de usuario es una cuenta de usuario de dominio con permiso para unirse al dominio.
Nota: * Introducir como contraseña significa que se le pedirá que la introduzca en la ventana de símbolo del sistema en el siguiente paso. Usted puede entrar en el comando inicial, si así lo desea. Nota: Tenga en cuenta que la palabra "password" tiene dos D's en ella. 2.- Cuando le pedirá que introduzca la contraseña, escriba la contraseña de la cuenta de usuario de dominio especificado por nombreDeUsuario. 3.- Reiniciar la computadora escribiendo lo siguiente en un símbolo del sistema: shutdown /r /t 0 Para quitar el servidor Windows 2008 de un dominio. 1.- En el símbolo del sistema, escriba: netdom remove 2. - Reboot el equipo. Para configurar las actualizaciones automáticas 1.- Active las actualizaciones automáticas, escriba: cscript C:'Windows'System32'Scregedit.wsf /au 4 6
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 2.- Desactivar las actualizaciones automáticas, escriba: cscript C:'Windows'System32'Scregedit.wsf /au 1 Para ver la configuración actual, puede escribir: cscript C:'Windows'System32'Scregedit.wsf /au /v Para configurar el informe de errores. 1.- Verificar la configuración actual, escriba: serverWerOptin /query 2.- Enviar automáticamente informes detallados, escriba: serverWerOptin /detailed 3.- Enviar automáticamente informes de resumen, escriba: serverWerOptin /summary 4.- Deshabilitar informe de errores, escriba: serverWerOptin /disable • Server Manager Roles.
Nombre de la función
Descripción Los Servicios de Certificate Server de Active Directory® (AD CS) ofrecen servicios personalizables para crear y administrar certificados de clave pública que se usan en los sistemas de seguridad de software que emplean tecnologías de clave pública. Las organizaciones pueden usar los Servicios de Certificate Server de Active Directory para mejorar la seguridad Servicios de Certificate mediante la asociación de la identidad de una persona, dispositivo Server de Active o servicio a la clave privada correspondiente. Los Servicios de Directory Certificate Server de Active Directory también incluyen características que permiten administrar la inscripción y revocación de certificados en diversos entornos escalables. Entre las aplicaciones compatibles con los Servicios de Certificate Server de Active Directory se incluyen Extensiones 7
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Servicios de dominio de Active Directory
Servicios de federación de Active Directory
Servicios de directorio ligero de Active Directory
Active Directory Rights Management Services (AD RMS)
Servidor de
seguras multipropósito al correo de Internet (S/MIME), redes inalámbricas seguras, redes privadas virtuales (VPN), protocolo de seguridad de Internet (IPsec), Sistema de cifrado de archivos (EFS), inicio de sesión de tarjeta inteligente, Capa de sockets seguros/Seguridad de la capa de transporte (SSL/TLS) y firmas digitales. Los Servicios de dominio de Active Directory (AD DS) almacenan información acerca de los usuarios, equipos y otros dispositivos de la red. AD DS ayuda a los administradores a administrar esta información con seguridad y simplifica el uso compartido de recursos y la colaboración entre usuarios. AD DS debe estar instalado en la red para poder instalar aplicaciones habilitadas para el uso de directorios, como Microsoft Exchange Server, y para aplicar otras tecnologías de Windows Server, como la directiva de grupo. Los Servicios de federación de Active Directory (ADFS) proporcionan tecnologías de inicio de sesión único (SSO) web para autenticar a un usuario en varias aplicaciones web con una sola cuenta de usuario. Para lograrlo, ADFS federa o comparte de forma segura identidades de usuario y derechos de acceso en forma de notificaciones digitales entre organizaciones asociadas. Las organizaciones que tengan aplicaciones que requieran un directorio para almacenar datos de aplicaciones pueden usar los Servicios de directorio ligero de Active Directory (AD LDS) como almacén de datos. AD LDS se ejecuta como un servicio que no es del sistema operativo y, como tal, no requiere que se implemente en un controlador de dominio. Al ejecutarse como un servicio que no es del sistema operativo, se pueden ejecutar varias instancias de AD LDS simultáneamente en un solo servidor y cada instancia se puede configurar de forma independiente para dar servicio a varias aplicaciones. AD RMS es una tecnología de protección de la información que se usa en aplicaciones compatibles con AD RMS para ayudar a proteger la información digital del uso no autorizado. Los propietarios del contenido pueden definir exactamente cómo puede usar la información un destinatario; por ejemplo, si puede abrir, modificar, imprimir, reenviar o realizar otras acciones con la información. Las organizaciones pueden crear plantillas de derechos de uso personalizadas como "Confidencial—Sólo lectura", que se pueden aplicar directamente a datos como informes financieros, especificaciones de productos, datos de clientes y mensajes de correo electrónico. El Servidor de aplicaciones ofrece una solución completa para 8
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 hospedar y administrar aplicaciones de negocios distribuidas de alto rendimiento. Los servicios integrados, como .NET Framework, Compatibilidad con servidor web, Message Queue Server, COM+, Windows Communication Foundation y Clúster de conmutación por error, aumentan la productividad en todo el ciclo de vida de la aplicación, desde el diseño y el desarrollo hasta la implementación y la ejecución de operaciones. El Protocolo de configuración dinámica de host permite a los servidores asignar o conceder direcciones IP a equipos y otros dispositivos habilitados como clientes DHCP. La implementación Servidor DHCP de servidores DHCP en la red proporciona automáticamente (Protocolo de direcciones IP válidas a los equipos y a otros dispositivos de red configuración basados en TCP/IP, así como los parámetros de configuración dinámica de host) adicionales (denominados opciones de DHCP) que estos dispositivos necesitan para poder conectarse a otros recursos de red, como servidores DNS, servidores WINS y enrutadores. El Sistema de nombres de dominio (DNS) proporciona un método estándar para asociar nombres a direcciones de Internet numéricas. De esta forma, los usuarios pueden hacer referencia a los equipos de la red usando nombres fáciles de recordar en lugar de largas series de números. Los servicios DNS de Windows Servidor DNS pueden integrarse con los servicios de Protocolo de configuración dinámica de host (DHCP) en Windows, de forma que ya no es necesario agregar registros DNS cuando se agregan equipos a la red. Servidor de fax envía y recibe faxes, y permite administrar los recursos de fax como, por ejemplo, trabajos, opciones de Servidor de fax configuración, informes y dispositivos de fax, en este equipo o en la red. Los Servicios de archivo proporcionan tecnologías para la administración del almacenamiento, la replicación de archivos, la administración de espacios de nombres distribuidos, la búsqueda Servicios de archivo rápida de archivos y el acceso simplificado de los clientes a los archivos. Hyper-V ofrece servicios que puede usar para crear y administrar máquinas virtuales y los recursos de éstas. Cada máquina virtual es un sistema de equipo virtualizado que funciona en un entorno Hyper-V™ de ejecución aislado. Esto le permite ejecutar varios sistemas operativos simultáneamente. Los Servicios de acceso y directivas de redes ofrecen varios Servicios de acceso y métodos para proporcionar a los usuarios conectividad de red local y remota, para conectar segmentos de red y para permitir directivas de redes que los administradores de red puedan administrar de forma aplicaciones
9
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 centralizada el acceso de red y las directivas de mantenimiento de clientes. Con los servicios de acceso y directivas de redes puede implementar servidores VPN, servidores de acceso telefónico, enrutadores y acceso inalámbrico protegido 802.11. También puede implementar proxy y servidores RADIUS, y usar el Kit de administración de Connection Manager para crear perfiles de acceso remoto que permitan a los equipos cliente conectarse a la red. Los Servicios de impresión permiten administrar servidores de impresión e impresoras. Un servidor de impresión reduce la carga Servicios de impresión de trabajo de administración, ya que centraliza las tareas de administración de impresoras. Terminal Services proporciona tecnologías que permiten a los usuarios tener acceso a programas para Windows instalados en un servidor de Terminal Server o al escritorio de Windows completo Terminal Services desde prácticamente cualquier dispositivo de computación. Los usuarios pueden conectarse a un servidor de Terminal Server para ejecutar programas y usar los recursos de red de dicho servidor. Los Servicios de Universal Description, Discovery, and Integration (UDDI) proporcionan características UDDI para compartir información sobre servicios web en la intranet de una Servicios de Universal organización o entre empresas asociadas en una extranet o en Description, Discovery, Internet. Los Servicios UDDI pueden contribuir a mejorar la productividad de los desarrolladores y profesionales de TI con and Integration aplicaciones más confiables y más fáciles de administrar. Los Servicios UDDI impiden la duplicación de esfuerzos, ya que promueven la reutilización del trabajo de programación existente. El Servidor web (IIS) permite compartir información en Internet, una intranet o una extranet. Es una plataforma web unificada que integra IIS 7.0, ASP.NET y Windows Communication Servidor web (IIS) Foundation. IIS 7.0 también incluye mejoras de seguridad, diagnósticos simplificados y administración delegada. Puede usar los Servicios de implementación de Windows para instalar y configurar sistemas operativos Windows de forma remota en equipos con ROM de arranque PXE (entorno de ejecución previo al arranque). La carga administrativa se reduce a Servicios de través de la implementación del complemento WdsMgmt de implementación de Microsoft Management Console (MMC), que administra todos Windows los aspectos de los Servicios de implementación de Windows. Los Servicios de implementación de Windows también proporcionan a los usuarios finales una experiencia coherente con el programa de instalación de Windows.
10
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
11
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
• Windows Server 2008 Features. En términos generales, las características no describen la función principal de un servidor. Las características proporcionan a los servidores funciones auxiliares o de apoyo. Habitualmente, los administradores no agregan características para que sean la función principal de un servidor, sino para aumentar la funcionalidad de las funciones instaladas. Por ejemplo, Clúster de conmutación por error es una característica que pueden instalar los administradores después de instalar determinadas funciones de servidor, como los Servicios de archivo, para agregar redundancia a los Servicios de archivo y reducir el tiempo que se precisa para una posible recuperación ante desastres. Las siguientes características están disponibles en Windows Server 2008 y pueden instalarse mediante comandos en el Administrador de servidores.
Característica
Descripción Microsoft .NET Framework 3.0 combina la eficacia de las API de .NET Framework 2.0 con nuevas tecnologías para crear aplicaciones que ofrecen interfaces de usuario Características de Microsoft atractivas, protegen la información de identidad personal .NET Framework 3.0 de los clientes, permiten una comunicación segura y sin problemas, y proporcionan la capacidad de modelar diversos procesos de negocio. El Cifrado de unidad BitLocker ayuda a proteger los datos en equipos perdidos, sustraídos o incorrectamente retirados mediante el cifrado de todo el volumen y la comprobación de la integridad de los componentes de arranque iniciales. Cifrado de unidad BitLocker Los datos se descifran solamente si la comprobación de esos componentes resulta correcta y la unidad cifrada se encuentra en el equipo original. La comprobación de integridad requiere un módulo de plataforma de confianza (TPM) compatible. Las Extensiones de servidor del Servicio de transferencia inteligente en segundo plano (BITS) permiten que un Extensiones de servidor BITS servidor reciba los archivos cargados por los clientes mediante BITS. BITS permite a los equipos cliente transferir archivos en primer plano y en segundo plano de 12
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 forma asincrónica, mantener la capacidad de respuesta de otras aplicaciones de la red y reanudar transferencias de archivos después de producirse errores de red y reinicios del equipo. El Kit de administración de Connection Manager (CMAK) Kit de administración de genera perfiles de Connection Manager. Connection Manager Experiencia de escritorio incluye características de Windows Vista®, como el Reproductor de Windows Media, los temas de escritorio y la administración de Experiencia de escritorio fotografías. Experiencia de escritorio no habilita ninguna de las características de Windows Vista de forma predeterminada; deben habilitarse manualmente. El Clúster de conmutación por error permite que varios servidores funcionen conjuntamente para proporcionar una Clúster de conmutación por alta disponibilidad de servicios y aplicaciones. El Clúster de conmutación por error suele usarse para servicios de error archivos e impresión, y aplicaciones de base de datos y correo electrónico. Administración de directivas de grupo facilita la comprensión, implementación, administración y solución de problemas en las implementaciones de directiva de grupo. La herramienta estándar es la Consola de Administración de directivas administración de directivas de grupo (GPMC), un de grupo complemento de scripts de Microsoft Management Console (MMC) que proporciona una única herramienta administrativa para administrar la directiva de grupo en toda la empresa. Cliente de impresión en Internet permite a los clientes usar Cliente de impresión en el Protocolo de impresión en Internet (IPP) para conectarse Internet e imprimir en impresoras de una red o por Internet. Internet Storage Name Server (iSNS) proporciona servicios de detección para redes de área de almacenamiento iSCSI (Interfaz estándar de equipos Internet Storage Name pequeños de Internet). iSNS procesa las solicitudes de Server registro, las solicitudes de anulación de registro y las consultas de clientes iSNS. El Monitor de puerto de Line Printer Remote (LPR) permite al equipo imprimir con impresoras compartidas mediante cualquier servicio Line Printer Daemon (LPD). Monitor de puerto de LPR El servicio LPD se usa normalmente en equipos basados en UNIX y dispositivos de impresión compartida. Servicios de Message Queue Message Queue Server garantiza la entrega de los mensajes y proporciona un enrutamiento eficaz, seguridad Server 13
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
E/S de múltiples rutas
Equilibrio de carga de red
Protocolo de resolución de nombres de mismo nivel
Experiencia de calidad de audio y vídeo de Windows (qWave)
Asistencia remota
Compresión diferencial remota
y mensajería basada en la prioridad entre las aplicaciones. Message Queue Server también permite la entrega de mensajes entre aplicaciones que se ejecutan en sistemas operativos diferentes, que usan infraestructuras de red diferentes, que están temporalmente desconectadas o que se ejecutan en momentos diferentes. E/S de múltiples rutas de Microsoft (MPIO), junto con el Módulo específico de dispositivo de múltiples rutas de Microsoft (DSM) o un DSM de otro fabricante, proporciona compatibilidad con el uso de múltiples rutas de datos a un dispositivo de almacenamiento en Windows. El Equilibrio de carga de red (NLB) distribuye el tráfico entre varios servidores mediante el protocolo de red TCP/IP. NLB es especialmente útil para garantizar que las aplicaciones sin estado, como un servidor web que ejecuta Internet Information Services (IIS), sean escalables al agregar servidores adicionales a medida que aumenta la carga. El Protocolo de resolución de nombres de mismo nivel (PNRP) permite a las aplicaciones registrar y resolver nombres en el equipo para que otros equipos puedan comunicarse con estas aplicaciones. Experiencia de calidad de audio y vídeo de Windows (qWave) es una plataforma de red para aplicaciones de transmisión de audio y vídeo (AV) por secuencias en redes domésticas IP. Mejora el rendimiento y la confiabilidad de las secuencias de AV, garantizando la calidad de servicio de las aplicaciones de AV en la red. Proporciona mecanismos de control de admisión, supervisión y cumplimiento de tiempo de ejecución, recopilación de comentarios acerca de aplicaciones y establecimiento de la prioridad del tráfico. En plataformas Windows Server, qWave sólo proporciona servicios de índice de flujo y de establecimiento de la prioridad. Asistencia remota le permite a usted (o a un empleado de soporte técnico) ofrecer ayuda a los usuarios que tengan problemas o dudas acerca del equipo. Asistencia remota le permite ver y compartir el control del escritorio del usuario para solucionar problemas. Los usuarios también pueden solicitar ayuda a sus amigos o compañeros de trabajo. La característica Compresión diferencial remota (RDC) es un conjunto de interfaces de programación de aplicaciones (API) que las aplicaciones pueden usar para determinar si 14
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Herramientas de administración de servidor remoto
Administrador de almacenamiento extraíble
Proxy RPC sobre HTTP
Servicios para NFS
Servicios simples de TCP/IP
Servidor SMTP
Servicios SNMP
un conjunto de archivos ha cambiado y, si es el caso, detectar qué partes de los archivos contienen los cambios. Las Herramientas de administración de servidor remoto permiten administrar Windows Server 2003 y Windows Server 2008 de forma remota desde un equipo donde se ejecuta Windows Server 2008, mediante la ejecución de algunas de las herramientas de administración de funciones, servicios de función y características en un equipo remoto. El Administrador de almacenamiento extraíble (RSM) administra y cataloga los medios extraíbles y activa los dispositivos de medios extraíbles automatizados. El proxy RPC sobre HTTP es un proxy que usan los objetos que reciben llamadas a procedimiento remoto (RPC) a través del Protocolo de transferencia de hipertexto (HTTP). Este proxy permite a los clientes detectar esos objetos, aunque se muevan a otro servidor o se encuentren en áreas discretas de la red, normalmente por motivos de seguridad. Servicios para NFS (Network File System) es un protocolo que actúa como un sistema de archivos distribuido, de modo que permite a un equipo obtener acceso a los archivos a través de la red con la misma facilidad que si estuvieran en sus discos locales. Esta característica está disponible para la instalación en Windows Server 2008 para sistemas basados en Itanium; en otras versiones de Windows Server 2008, Servicios para NFS está disponible como un servicio de función de la función Servicios de archivo. Los Servicios simples de TCP/IP admiten los siguientes servicios de TCP/IP: generador de caracteres, hora diurna, desechar, eco y cita del día. Los Servicios simples de TCP/IP se proporcionan por cuestiones de compatibilidad con versiones anteriores y no deben instalarse a menos que sea necesario. Servidor SMTP permite la transferencia de mensajes entre sistemas de correo electrónico. El Protocolo simple de administración de redes (SNMP) es el protocolo estándar de Internet para el intercambio información administrativa entre aplicaciones de consola de administración (como HP Openview, Novell NMS, IBM NetView o Sun Net Manager) y entidades administradas. Las entidades administradas pueden incluir 15
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 hosts, enrutadores, puentes y concentradores. El Administrador de almacenamiento para redes de área de almacenamiento (SAN) le ayuda a crear y administrar Administrador de números de unidad lógica (LUN) en los subsistemas de almacenamiento para redes unidades de disco iSCSI y de canal de fibra de su red de de área de almacenamiento área de almacenamiento (SAN) que admiten el Servicio de disco virtual (VDS). El Subsistema para aplicaciones basadas en UNIX (SUA), junto con un paquete de utilidades de soporte que puede Subsistema para aplicaciones descargar desde el sitio web de Microsoft, permite ejecutar programas para UNIX, así como compilar y ejecutar basadas en UNIX aplicaciones para UNIX personalizadas en el entorno Windows. El Cliente Telnet usa el protocolo Telnet para conectarse a un servidor Telnet remoto y ejecutar aplicaciones en ese Cliente Telnet servidor. El Servidor Telnet permite a los usuarios remotos, incluidos los que ejecutan sistemas operativos para UNIX, Servidor Telnet realizar tareas administrativas desde la línea de comandos y ejecutar programas con un cliente Telnet. El Cliente del Protocolo trivial de transferencia de archivos (TFTP) se usa para leer o escribir archivos en un servidor TFTP remoto. El protocolo TFTP lo usan Cliente del Protocolo trivial fundamentalmente los dispositivos o sistemas incrustados de transferencia de archivos que recuperan firmware, información de configuración o una imagen de sistema durante el proceso de arranque desde un servidor TFTP. Windows Internal Database es un almacén de datos relacional que pueden usar únicamente las funciones y Windows Internal Database características de Windows, como Servicios UDDI, AD RMS, Windows Server Update Services y el Administrador de recursos del sistema de Windows. El Servicio de nombres Internet de Windows (WINS) proporciona una base de datos distribuida para el registro y las consultas de asignaciones dinámicas de nombres Servicio de nombres Internet NetBIOS para equipos y grupos usados en la red. WINS de Windows (WINS) asigna nombres NetBIOS a direcciones IP y soluciona los problemas relacionados con la resolución de nombres NetBIOS en entornos enrutados. Windows PowerShell es un shell de línea de comandos y un lenguaje de scripting que permite a los profesionales de Windows PowerShell™ TI aumentar la productividad. Proporciona un nuevo lenguaje de scripting centrado en la administración y más 16
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 de 130 herramientas de línea de comandos estándar para facilitar la administración del sistema y acelerar la automatización. El Servicio WAS (Windows Process Activation Service) generaliza el modelo de proceso de IIS, quitando la dependencia de HTTP. Todas las características de IIS que anteriormente sólo estaban disponibles para aplicaciones Windows Process Activation HTTP, ahora lo están para las aplicaciones que hospedan Service servicios Windows Communication Foundation (WCF) con protocolos distintos de HTTP. IIS 7.0 también usa WAS para la activación basada en mensajes a través de HTTP. Copias de seguridad de Windows Server permite realizar copias de seguridad y recuperar el sistema operativo, las Características de Copias de aplicaciones y los datos. Puede programar las copias de seguridad de Windows seguridad para que se realicen una vez al día o con más Server frecuencia, y puede proteger todo el servidor o volúmenes específicos. El Administrador de recursos del sistema de Windows (WSRM) es una herramienta administrativa del sistema operativo Windows Server que puede controlar cómo se asignan los recursos de CPU y de memoria. La Administrador de recursos administración de la asignación de recursos mejora el del sistema de Windows rendimiento del sistema y reduce el riesgo de que las aplicaciones, servicios o procesos interfieran entre sí para reducir la eficacia del servidor y la respuesta del sistema. El Servicio WLAN configura e inicia el servicio de configuración automática de WLAN, independientemente de que el equipo disponga adaptadores inalámbricos. La configuración automática de WLAN muestra los adaptadores inalámbricos y administra tanto las Servicio WLAN conexiones inalámbricas como los perfiles inalámbricos que contienen los valores necesarios para configurar un cliente inalámbrico para que se conecte a una red inalámbrica.
3. - Server Core.
Configuring and Managing Server Core.
Opciones Mínimas de Instalación 17
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Poca superficie Interface por Línea de Comando Set limitado de Roles de Servidor
Una herramienta que simplifica enormemente la configuración inicial es Server Core Configurador 2.0 (Esta herramienta va más allá en la simplificación de la configuración inicial que SCONFIG. Incluye la misma funcionalidad que SCONFIG, pero también le permite agregar o quitar funciones de servidor y administrar varias configuraciones del Panel de Control.
Configuración del Server Core. En esta demostración de configuración de Server Core procederemos a hacer las configuraciones típicas iniciales dejando la posibilidad de seguir administrando a través de interfaz gráfica.
18
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 A los efectos demostrativos, cuento con la instalación de un Windows Server 2008 como controlador de dominio y un Server Core ya instalado el cual será configurado como servidor miembro en el dominio. El controlador de dominio tiene la siguiente configuración: Sistema Operativo: Windows Server 2008 – Enterprise Edition – x86
Dirección IP / Máscara de subred: 192.168.1.200 / 24
Nombre de dominio: Contoso.msft
Nombre del equipo: DC1.contoso.msft
Voy a presuponer es que recién lo hemos instalado y solamente hemos puesto una contraseña a la cuenta Administrator, y por lo tanto hemos iniciado sesión. Lo único a tener en cuenta es que como es normal en Windows 2008, la contraseña debe tener por los menos siete caracteres, no incluir parte o nombre del propio usuario y contener tres clases de caracteres (entre mayúsculas, minúsculas, números y símbolos). ¿Y ahora? Hay que reconocerlo muchos administradores de red actualmente no están acostumbrados a manejarse a través de la línea de comandos, y por las dudas para el que todavía no lo tenga claro, eso NO es DOS J La configuración inicial de Core Server es un equipo con un nombre generado aleatoriamente, configuración de TCP/IP a través de DHCP, y como si fuera poco con el Firewall activo. Podemos ver esto ejecutando: IPCONFIG /ALL
19
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Configuración de Red En nuestro caso asignaré los siguientes parámetros: Dirección IP: Máscara de Subred: DNS Server: Puerta de Enlace:
192.168.1.101 255.255.255.0 192.168.1.200 192.168.1.1
Para eso ejecutaremos: NETSH INTERFACE IPV4 SET ADDRESS NAME=”Local Area Connection” SOURCE=STATIC 192.168.1.101 255.255.255.0 192.168.1.1 NETSH INTERFACE IPV4 ADD DNSSERVER NAME=”Local Area Connection” ADDRESS=192.168.1.200 20
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
También lo podemos verificar con: NETSH INTERFACE IPV4 SHOW CONFIG Configuración de Nombre de Máquina En este ejemplo, renombraré el equipo con el nombre: CS-01 NETDOM RENAMECOMPUTER %COMPUTERNAME% /NEWNAME: CS-01 Se observa que estoy aprovechando el uso de la variable de entorno %computername% para no tener que ingresar el nombre generado por la instalación
21
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Para que el cambio surta efecto debemos reiniciar la máquina. Aunque se puede hacer pulsando CTRL+ALT+DEL y eligiendo reiniciar, para ir familiarizándonos con el intérprete de comandos lo haré con: SHUTDWON /R /T 0 Configuración de Formato de Fecha y Hora Esto lo haremos con: CONTROL INTL.CPL
Configuración de Zona Horaria. Esto lo haremos con: CONTROL TIMEDATE.CPL
22
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Configuración de Windows Update Para configurar Windows Update debemos ejecutar un script que está en \Windows\System32 así que opté por cambiarme a dicha carpeta con: CD \WINDOWS\SYSTEM32 Y ejecutamos el script con: CSCRIPT SCREGEDIT.WSF /AU 4 Con “/AU 1” se deshabilitan
23
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Con esto podemos tener algún problema si para salir a Internet es obligatorio configurar la dirección de un Proxy. Podemos solucionarlo, por lo menos en parte, ya que se puede asignar una dirección de Proxy, lo que no se puede es usar autenticación. Para asignar un proxy ejecutaremos: NETSH WINHTTP SET PROXY
Activación de la Instalación Como en todas las instalaciones de Windows Server 2008 disponemos inicialmente de un período de gracia para usar la instalación sin introducir la Clave de Activación y sin activarlo. Para ver y configurar estas opciones se utiliza el script SLMGR.VBS que si lo ejecutamos sin parámetros nos mostrará todas las opciones disponibles
24
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Verificamos con:
SLMGR.VBS -dlv o SLMGR.VBS -xpr
Introducimos la clave con:
SLMGR.VBS –ipk
Y activamos con:
SLMGR.VBS -ato
Para prolongar la evaluación:
SLMGR.VBS -rearm
Unir la Máquina al Dominio Para esto debemos ejecutar: NETDOM JOIN CS-01 /DOMAIN:CONTOSO.MSFT /USERD:ADMINISTRATOR /PASSWORDD:*
25
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Y reiniciamos la máquina
Editar Archivos de Texto El Notepad existe!!!
26
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Modificando el Registro Y también podemos modificar el Registro en forma gráfica, para todos los “trucos” que conozcamos
Para todo aquel que conozca y le guste ver qué se puede hacer desde línea de comando le sugiero moverse a la carpeta Windows y usando el conocido DIR, ver qué encuentran en busca de ejecutables y scripts. Por ejemplo: DIR *.EXE /S /P Configuración para Administración Gráfica Remota Como primera opción permitiremos la administración remota del Firewall (Cortafuegos) y luego la administración remota con Consola (MMC.EXE) ya que ambas serán necesarias ahora o a futuro. 27
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
De todas formas, como comenté algunas cosas las tendremos que hacer desde línea de comandos, como por ejemplo Agregar/Quitar Roles y Features, o promocionarlo a Controlador de Dominio. Permitir Administración Remota del Firewall (Cortafuegos) Para permitir la administración remota desde interfaz gráfica del Firewall debemos ejecutar: NETSH ADVFIREWALL SET CURRENTPROFILE SETTINGS RemoteManagement ENABLE
Permitir Administración Remota Mediante Consolas Para administración remota con consolas MMC, utilizamos: NETSH ADVFIREWALL FIREWALL SET RULE GROUP=”Remote Administration” NEW ENABLE=YES
28
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Administración Remota y Gráfica Desde otra máquina del dominio he creado una consola MMC cargando dos SnapIn típicos, el que permite administración del Firewall y la administración de la máquina. Se pueden cargar los complementos que crean más convenientes para su situación.
Agregar/Quitar Roles y Features Aunque tengamos la administración remota por consola MMC habilitada, aún hay configuraciones que se deben hacer desde línea de comandos. Entre otras, lo que sea agregar o quitar Roles y Features lo debemos hacer por línea de comandos. Un comando que nos resultará particularmente útil, aunque ahora no lo parezca es poder listar los Roles y Features instalados o no. Lo podemos hacer simplemente con:
29
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
OCLIST
Para agregar componentes alcanza con usar OCSETUP y el nombre de lo que deseamos agregar. Es importante tener en cuenta que el nombre del componente es sensible a mayúsculas-minúsculas, por lo que la salida del comando OCLIST tiene importancia. OCSETUP Para quitar un componente es: OCSETUP /Uninstall A partir de tener el componente instalado, podemos usar remotamente una consola MMC para hacer la administración del mismo. Algunos Comandos Utiles
30
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Revisar en cada caso: /?
Informativos del Sistema
Administrar Grupos y Usuarios
Configuración de Servicios y Procesos
Administración de Discos
Manejo de Permisos
Group Policies
SYSTEMINFO MSINFO32 SET WHOAMI HOSTNAME NET GROUP NET LOCALGROUP NET ACCOUNTS NET USER SC … NET STOP NET START NET PAUSE TASKLIST TASKKILL TASKMGR DISKPART FORMAT DEFRAG CONVERT ICACLS NET SHARE TAKEOWN GPUPDATE GPRESULT
Objetivos de su manejo.
Un servidor Core no permite tener todos los servicios que puede tener un servidor instalado de forma "normal"; lo que reduce su superficie de exposición a ataques y reduce sus tareas de mantenimiento, entre otras cosas. A cambio, es más "incómodo" de administrar, al carecer de GUI (interfaz de usuario) y por tanto ser necesario para su administración recurrir a la línea de comandos y/o scripts.
31
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Como he dicho antes, sólo determinados roles pueden ser asumidos por un servidor Core. Estos roles son:
Servidor de ficheros Servidor de impresión Controlador de dominio Servidor DNS Servidor DHCP Servidor WINS
Una vez instalado, el servidor Core sólo tiene adjudicado el rol de servidor de ficheros, para permitir la administración remota. Aparte de estos roles, un servidor Core permite tener las siguientes prestaciones:
Cluster Server El subsistema Unix Windows Server Backup Multipath Input/output (I/O) Administración de almacenamiento extraíble Windows BitLocker Drive Encryption Simple Network Management Protocol (SNMP) Single Instance Storage Cliente Telnet
Esto provoca que el servidor Core tenga ciertas ventajas y ciertos inconvenientes: Ventajas
Inconvenientes
Reduce el mantenimiento de software y los parche de seguridad a instalar, ya que al tener menos servicios No puede sostentar todos en ejecución, el tiempo aplicando parches es reducido los roles de servidor. y el número de reinicios y, por tanto, la cantidad de tiempo en que el servidor no esta operativo es menor. No soporta el Framework Es más fácil administrar el servidor, al tener limitados de .NET; esto implica, por los roles y las prestaciones instaladas, lo que reduce ejemplo, que no se pueda el esfuerzo administrativo. usar PowerShell. Reduce la superficie de ataque. La reducción del número de servicios, minimiza los riesgos relacionados con el rendimiento del servidor, tales como el ataque de hackers y viruses.Tiene Menos Superficie de Ataque, del ya del mar por bulerías Como Parte De virus por bulerías a instancia de parte los hackers De, debido una Que al tener REDUCIDO
No admite actualizaciones a Core desde versiones anteriores de Windows Server.
32
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 El Número de Servicios número de vulnerabilidades posibles reduce igualmente. Elimina el legado y los componentes de cliente desde el servidor. Los componentes y bibliotecas de vínculos dinámicos (DLL), que eran los objetivos principales de virus y malware, no son installed.Elimina Componentes de Cliente de Elementos Y legados No se puede cambiar de la (legacy, de Versiones Previas y Ahora Obsoletos) del versión Core a la versión Servidor. Por Esto significa Que los Componentes y Standard. las librerías (DLL), Que Estós Componentes y Elementos legados instalan, no estan Presentes en El Sistema, Lo Que Evita El Ataque de malware y virus de Que Tienen una Estós Componentes y archivos DLL de como Objetivos. Requiere estar Requiere menos espacio en disco, al suprimir el familiarizado con la línea interfaz de usuario (GUI) y tener limitado el número de de comandos y las servicios instalados en el sistema. técnicas de Scripting. Una vez realizada la instalación configuraciones imprescindibles:
es
preciso
establecer
determinadas
Establecer la contraseña del administrador (net user administrator *). Establecer las propiedades IP del servidor (netsh interface ipv4 set address name=”LAN” addr=192.168.0.10 mask=255.255.255.0 gateway=192.168.0.1). Establecer nombre del servidor y su pertenecia a dominio/grupo (para el nombre: netdom renamecomputer coreserv /newname:legolas), para la membresía: netdom join legolas /domain:bosquenegro.org /userD:administrator /passwordD:*) Activar la instalación (en local: Slmgr.vbs –ato, en remoto: cscript windows\system32\slmgr.vbs legolas administrator contraseña -ato) Habilitar el Firewall (netsh firewall set opmode enable) Añadir los roles y/o prestaciones deseadas. Para esta tarea se utiliza ocsetup.exe de la forma: start ocsetup ; por ejemplo, para instalar el servidor DNS se ejecutaría: start ocsetup DNS-Server-Core-Role. Podemos ver una lista de los roles y prestaciones, y su estatus de instalación con el comando oclist.exe.
Estas tareas se deben hacer desde línea de comandos, en un script, o bien por medio de un fichero de respuestas que las dejará ya hechas desde la propia instalación. A la hora de administrar un Core, podemos hacerlo: 33
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Desde la propia línea de comandos, ya sea de forma local o remota Usando Terminal Server (necesitamos habilitar el escritorio remoto ejecutando el scriptscregedit.wsf ) Usando Windows Remote Shell (sólo desde Windows Vista y Windows Server 2008), que permite lanzar comandos y scripts de forma remota Usando los Addins necesarios desde una MMC ejecutada en remoto y conectando los Addins al servidor Core
Para determinados equipos dedicados, nada hay mejor que el evitarte el GUI (fuente muchas inestabilidades y vulnerabilidades) y tener servicio inútiles (lo que incrementa la superficie de ataque). Por ejemplo, se me ocurre, que un controlador de dominio con DHCP, DNS y WINS sería un candidato ideal para ser instalado en un Core.
Funciones específica. Gestión avanzada del consumo de energía en el centro de datos Con la proliferación de equipos físicos dentro de los centros de datos, el consumo de energía se ha convertido en un elemento esencial a tener en cuenta. Además de los ahorros de costes ligados a la reducción del consumo, en muchos centros de datos la preocupación consiste en que la capacidad de los sistemas de alimentación eléctrica limita el número de equipos que se pueden instalar en las dependencias, por lo que la reducción del consumo permite también instalar más máquinas con el mismo -o incluso menos- consumo eléctrico que antes. Menor con sumo de energía en procesadores multinúcleo. Windows Server 2008 R2 reduce el consumo de los procesadores en sistemas multinúcleo gracias a una nueva funcionalidad llamada Core Parking. Esta funcionalidad permite consolidar el procesamiento en el número más reducido posible de núcleos de procesador y poner en modo de suspensión los núcleos inactivos. Reducción del consumo de energía del procesador ajustando la velocidad Windows Server 2008 R2 tiene la capacidad de ajustar los "P-States" de ACPI de los procesadores y ajustar el consumo de energía de los servidores. Estos "PStates" son estados de actividad del procesador siguiendo las especificaciones ACPI. Dependiendo de la arquitectura del procesador, Windows Server 2008 R2 puede ajustar los "P-States" de cada procesador individual y mantener un control muy detallado del nivel de consumo eléctrico del sistema.
Reducción del consumo de energía de los sistemas de almacenamiento.
34
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Otro de los métodos empleados para reducir el consumo en los centros de datos consiste en centralizar el almacenamiento, normalmente utilizando una SAN (Storage Área Network). Las SANs suelen presentar una ratio de capacidad de almacenamiento mayor por unidad de consumo en comparación con los servidores normales. Las SANs además hacen un uso más eficiente del espacio disponible en disco, al permitir que varios servidores puedan acceder a él. Mejoras en la administración remota. La administración remota de servidores es fundamental en todo centro de datos eficiente. Resulta raro ya encontrarse servidores que se administren en local. Windows Server 2008 incorpora diversas mejoras en la administración mejora, como son: Mejoras en la gestión mediante consolas de gestión gráfica. Se ha actualizado el Server Manager para facilitar la administración remota de servidores. Además, muchas de las consolas de gestión se integran mejor con Server Manager, lo que permite resolver distintos escenarios de gestión remota. Mejoras en la interfaz de línea de comandos y automatización mediante scripting PowerShell V.2.0 incluye diversas mejoras para los escenarios de gestión remota, que permiten ejecutar scripts en uno o más equipos remotos y la posibilidad de ejecutar varios scripts simultáneamente en un mismo equipo. Reducción de la carga de trabajo administrativo par tareas que se ejecutan de forma interactiva Otro de los objetivos prioritarios en Windows Server 2008 es la reducción del esfuerzo administrativo en las tareas habituales. Muchas de las consolas de gestión de Windows Server 2008 han sido mejoradas notablemente o incluso rediseñadas por completo para ayudar a este objetivo. Mejoras en la interfaz de línea de comandos y automatización con PowerShell versión 2.0 El entorno de scripting PowerShell 1.0 venía integrado con la RTM de Windows Server 2008. Windows Server 2008 incluye PowerShell 2.0, que ofrece una serie de mejoras con respecto a la versión 1.0, como las siguientes: Mejoras en la gestión remota mediante PowerShell remoting. Mayor seguridad en la gestión de datos, incluyendo información de estado y configuración, por medio del uso de espacios de ejecución restringidos.
35
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 GUIs mejoradas para crear y depurar scripts PowerShell, y la posibilidad de ver la salida del script utilizando Graphical PowerShell y el commandlet Out-GridView. Funcionalidad de scripting extendida, que permite la creación de scripts más potentes con menos esfuerzo de desarrollo Mejoras en la portabilidad de PowerShell y los commandlets entre distintos sistemas Mejoras en la gestión de la identidad. La gestión de la identidad ha sido siempre una de las actividades críticas dentro de la gestión de las redes Windows. Las implicaciones de un sistema con una gestión de la identidad deficiente suponen uno de los principales focos de preocupación en cualquier organización. Windows Server 2008 R2 incorpora mejoras en la gestión de la identidad en los roles de Servicios de Dominio de Active Directory (AD DS) y Servicios Federados (AD FS). Mejoras en todos los roles de servidor de Directorio Activo Windows Server 2008 R2 incluye diversas mejoras en la gestión de la identidad que afecta a todos los roles de servidor de Directorio Activo: Recuperación de objetos eliminados. Mejora en el proceso de incorporación a dominio. Mejoras en la gestión de cuentas de usuario utilizadas como identidad para servicios. Simplificación de diversas tareas administrativas. Mejoras en el cumplimiento de normativas mediante la aplicación de estándares y buenas prácticas. Windows Server 2008 R2 incorpora e integra el Analizador de Buenas Prácticas (Best Practices Analyzer) para cada uno de los roles de servidor. Este analizador genera una lista de comprobación dentro del Server Manager para el rol del servidor, la cual puede utilizarse como guía para la ejecución de todas las tareas de configuración.
4: Windows Backup. ¿Qué es la copia de seguridad de Windows Server? 36
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 La función Copia de seguridad de Windows Server en Windows Server 2008 consiste en un Microsoft Management Console (MMC) y herramientas de línea de comandos que proporcionan una solución completa para su día a día de copia de seguridad y las necesidades de recuperación. Puede usar cuatro asistentes que le guiarán a través de copias de seguridad de funcionamiento y las recuperaciones. Usted puede utilizar Copia de seguridad de Windows Server para copias de seguridad de un servidor completo (todos los volúmenes), de volúmenes seleccionados o del estado del sistema. Puede recuperar volúmenes, carpetas, archivos, aplicaciones determinadas, y el estado del sistema. Y, en caso de desastres como los fallos de disco duro, puede realizar una recuperación del sistema, que restaurará el sistema completo en el disco duro nuevo, mediante el uso de una copia de seguridad completa del servidor y el entorno de recuperación de Windows. Usted puede utilizar Copia de seguridad de Windows Server para crear y gestionar copias de seguridad para el equipo local o un equipo remoto. También puedes programar copias de seguridad para ejecutar de forma automática y puede realizar copias de seguridad de una sola vez para aumentar las copias de seguridad programadas. ¿Qué hay de nuevo en Windows Server Backup? Copia de seguridad de Windows Server incluye las siguientes mejoras: Más rápido la tecnología de copia de seguridad. Copia de seguridad de Windows Server usa Volume Shadow Copy Service (VSS) y a nivel de bloque tecnología de copia de seguridad para realizar copias de seguridad y recuperar el sistema operativo, los archivos y carpetas, y los volúmenes. Después de la copia de seguridad completa se crea la primera, se puede configurar copias de seguridad de Windows Server para ejecutar de forma automática copias de seguridad incrementales guardando sólo los datos que han cambiado desde la última copia de seguridad. Incluso si usted decide realizar siempre copias de seguridad completas, su copia de seguridad tardará menos tiempo que lo hacía en versiones anteriores de Windows. Simplificado de la restauración. Puede restaurar los elementos eligiendo una copia de seguridad y luego seleccionar los elementos específicos de esa copia de seguridad para restaurar. Puede recuperar archivos específicos de una carpeta o todos los contenidos de una carpeta. Además, previamente, había que restaurar de forma manual a partir de varias copias de seguridad si el elemento se almacena en una copia de seguridad incremental. Pero esto ya no es cierto-ahora se puede elegir la fecha de la versión de copia de seguridad para el elemento que desea restaurar.
37
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 La recuperación simplificada de su sistema operativo. Copia de seguridad de Windows Server funciona con nuevas herramientas de recuperación de Windows para que sea más fácil para que usted pueda recuperar su sistema operativo. Puede recuperar al mismo servidor, o si el hardware falla, podrá recuperar a un servidor independiente que tiene un hardware similar y sin sistema operativo. Capacidad para recuperar aplicaciones. Copia de seguridad de Windows Server usa funcionalidad de VSS que está integrado en aplicaciones como Microsoft ® SQL Server ® para proteger los datos de aplicación. Programación mejorada. Copia de seguridad de Windows Server incluye un asistente que le guiará en el proceso de creación de copias de seguridad diarias. Los volúmenes de sistema se incluyen automáticamente en todas las copias de seguridad programadas para que estén protegidos contra los desastres. La eliminación de copias de seguridad fuera del sitio para la protección contra desastres. Puede guardar copias de seguridad en varios discos en una rotación, lo que le permite mover los discos desde una ubicación fuera del sitio. Puedes agregar a cada disco como una ubicación de copia de seguridad programada y, si es el primer disco se traslada fuera, copia de seguridad de Windows Server guardará automáticamente copias de seguridad para el siguiente disco de la rotación. La administración remota. Copia de seguridad de Windows Server usa un complemento MMC para darle una experiencia familiar y coherente para la gestión de las copias de seguridad. Después de instalar el complemento, puede acceder a esta herramienta a través de Administrador de servidores o mediante la adición del complemento a una consola MMC nueva o existente. A continuación, puede administrar copias de seguridad de otros servidores haciendo clic en el menú Acción del complemento, a continuación, haga clic en Conectar a otro equipo. • Backup Infrastructure. Requisitos para el uso de copia de seguridad de Windows Server. Para completar los pasos de esta guía, debe tener un equipo que ejecuta una instalación completa de cualquier edición de Windows Server 2008 (no en una instalación Server Core). (Copia de seguridad de Windows Server está disponible en todas las ediciones de Windows Server 2008. Sin embargo, la copia de seguridad de Windows Server complemento no está disponible para la opción de instalación Server Core de estos sistemas operativos. Para ejecutar copias de seguridad para las computadoras con un servidor base de instalación, es necesario utilizar la línea de comandos o administrar copias de seguridad de forma remota desde otro equipo que está ejecutando una instalación completa de Windows Server 2008.) 38
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Para instalar Windows Server Backup, inicie sesión en el equipo utilizando la cuenta de administrador local o la cuenta de otro con privilegios de administrador. Para realizar copias de seguridad o las recuperaciones mediante copia de seguridad de Windows Server, debe ser un miembro de los grupos Administradores u Operadores de copia de seguridad. Instalación y acceso de copia de seguridad de Windows Server en Windows Server 2008. Esta sección contiene las siguientes instrucciones: Para instalar y abrir herramientas de backup y recuperación Para abrir una ventana elevada del sistema de Windows PowerShell Para agregar la copia de seguridad de Windows Server cmdlet complemento de Windows PowerShell Para ver una lista de cmdlets de Windows del servidor de respaldo Para ver la ayuda para los cmdlets de Windows del servidor de respaldo Para acceder a todas las copias de seguridad y herramientas de recuperación, debe instalar las características de Windows Server Backup y ambos elementos subordinados (copia de seguridad de Windows Server y las herramientas de línea de comandos) que están disponibles en el Asistente para agregar características del Administrador del servidor. Esto instala las siguientes herramientas: Copia de seguridad de Windows Server de Microsoft Management Console (MMC) en el (instalado mediante la selección de copia de seguridad de Windows Server) Wbadmin de línea de comandos (instalado mediante la selección de copia de seguridad de Windows Server) Windows PowerShell cmdlets para Copias de seguridad de Windows Server (instalado mediante la selección de herramientas de línea de comandos) Para instalar y abrir herramientas de backup y recuperación 1.Haga clic en Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Administrador de servidores. En el panel izquierdo, haga clic en Características y, a continuación, en el panel derecho, haga clic en Agregar características. Se abre el Asistente para agregar características.
39
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 2.- En el Asistente para agregar características, en la página Seleccionar características, expanda las características de Windows Server Backup, a continuación, seleccione las casillas de verificación de copia de seguridad de Windows Server y las herramientas de línea de comandos. 3.- En la página Confirmar selecciones de instalación, revise las opciones que usted hizo, a continuación, haga clic en Instalar. Si hay un error durante la instalación, se señala en la página de Resultados de la instalación. Después de la instalación, puede acceder a las herramientas de copia de seguridad de Windows Server de la siguiente manera: Para acceder a la copia de seguridad de Windows Server complemento, haga clic en Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Copia de seguridad de Windows Server. Para ver una lista de los subcomandos disponibles y la sintaxis de Wbadmin, haga clic en Inicio, haga clic en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. En el indicador, escriba: Wbadmin /?. Para acceder a los cmdlets, cada vez que abre una instancia de Windows PowerShell, debe agregar la copia de seguridad de Windows Server cmdlet complemento a esa instancia, como se describe en los siguientes procedimientos. (Como alternativa, puede iniciar Windows PowerShell para que todos los módulos de Windows PowerShell y los complementos se cargan de forma automática. Para ello, haga clic en el icono de Windows PowerShell en la barra de tareas, a continuación, haga clic en Importar todos los módulos. En Windows Server 2008, el icono de Windows PowerShell está anclado a la barra de tareas de forma predeterminada. Sin embargo, debe iniciar Windows PowerShell una vez para hacer la importación de todas las tareas módulos aparecen.) Para abrir una ventana elevada del sistema de Windows PowerShell Haga clic en Inicio, seleccione Todos los programas, seleccione Accesorios, Windows PowerShell, haga clic en Windows PowerShell V2, a continuación, haga clic en Ejecutar como administrador. La elevada ventana de Windows PowerShell se abre. Para agregar la copia de seguridad de Windows Server cmdlet complemento de Windows PowerShell 1.- Al agregar el complemento, en el símbolo de Windows PowerShell, escriba: Add-PSSnapin Windows.ServerBackup
40
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 2.- Al confirmar que el complemento se añadió, en el símbolo de Windows PowerShell, escriba: get-pssnapin A continuación, busque Windows.ServerBackup en la salida. Para ver una lista de cmdlets de Windows del servidor de respaldo En el símbolo de Windows PowerShell, escriba: Get-Command-modulo de Windows.ServerBackup Para ver la Ayuda de los cmdlets de Windows del servidor de respaldo En el símbolo de Windows PowerShell, escriba lo siguiente: Para mostrar la Ayuda básica, escriba: Get-Help Para mostrar la Ayuda detallada, escriba: Get-Help- detallada Para ver ejemplos de un cmdlet, escriba: Get-Help -ejemplos Para mostrar toda la ayuda para un cmdlet, escriba: Get-Help- completa • Optical Media. Nuevo en Windows Server 2008 R2, puede utilizar la copia de seguridad de Windows Server interfaz de usuario (el Asistente para programar copia de seguridad o de copia de seguridad Una vez que el Asistente), además de la Wbadmin de línea de comandos o los cmdlets de Windows PowerShell para Windows Server Backup, para crear una copia de seguridad . Más tarde, puede utilizar esta copia de seguridad con el entorno de recuperación de Windows para realizar una recuperación de metal desnudo. Puede almacenar copias de seguridad para la recuperación de metal desnudo en una unidad de disco duro conectado, un volumen, DVD u otros medios extraíbles u ópticos, o una carpeta compartida remota. (Le recomendamos que guarde copias de seguridad para la recuperación de metal desnudo de un tipo de medio que se puede mover fuera del sitio.) Este procedimiento de ejemplo utiliza el Asistente para copia de seguridad una vez y una unidad de disco duro asociada para su almacenamiento. Para crear una copia de seguridad de una sola vez que se puede utilizar para realizar una recuperación de metal desnudo
41
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 1.- Haga clic en Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Copia de seguridad de Windows Server. 2.- En el panel Acciones del complemento en la página por defecto, en Copias de seguridad de Windows Server, haga clic en Copia de seguridad de una vez. La copia de seguridad Una vez que abre el Asistente. 3.- En la copia de seguridad de la página Opciones, haga clic en opciones diferentes, a continuación, haga clic en Siguiente. 4.- En la página de copia de seguridad Seleccione Configuración, haga clic en Personalizar y, a continuación, haga clic en Siguiente. 5.- En Seleccionar elementos de la página de copia de seguridad, haga clic en Agregar elementos. En Seleccionar elementos, seleccione la recuperación Bare Metal casilla de verificación, haga clic en Aceptar y, a continuación, haga clic en Siguiente. 6.- En el destino de la página Especificar tipo, haga clic en las unidades locales y, a continuación, haga clic en Siguiente. 7.- En la página de copia de seguridad Seleccionar destino, seleccione la unidad de disco duro asociada de la lista desplegable que desea utilizar para almacenar la copia de seguridad. (Usted debe confirmar que no hay suficiente espacio libre en el disco duro conectado.) 8.- En la página Confirmación, revise los detalles, a continuación, haga clic en Backup. El asistente prepara el conjunto de copia de seguridad y comprueba el disco. 9.- En la página Progreso de copia de seguridad, puede ver el estado de la copia de seguridad. • Restore Utilities. Backup y recuperación de tecnologías. Hay varias características en Windows Server 2008 que puede utilizar para crear copias de seguridad y llevar a cabo la recuperación de sus sistemas de servidores y datos. Estos incluyen los siguientes: Las instantáneas de carpetas compartidas Herramientas de Windows Server de copia de seguridad (incluida la copia de seguridad de Windows Server de Microsoft Management Console (MMC) en el 42
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 comando Wbadmin herramienta de línea, y los comandos de Windows PowerShell para Windows Server Backup) Entorno de Windows de recuperación (incluida la restauración de Windows Complete PC, la herramienta de Windows Memory Diagnostic, y el símbolo del sistema). Usted puede utilizar estas herramientas para realizar la copia de seguridad siguiente o tareas de recuperación para los equipos que ejecutan Windows Server 2008: Copia de Seguridad y Recuperación de tareas Crear instantáneas de archivos Las instantáneas de carpetas compartidas (en las o carpetas en un recurso carpetas compartidas en el complemento) compartido. Programar Copia de Seguridad Asistente (en la Crear programa para copias copia de seguridad de Windows Server de seguridad que se ejecuta complemento) automáticamente Una vez que el Asistente de copia de seguridad Crear una copia de seguridad (en la copia de seguridad de Windows Server adicional de una sola vez complemento Wbadmin inicio de comando de sistema de Crear una copia de seguridad recuperación. del estado del sistema Recupere los archivos, Asistente para la recuperación (en la copia de carpetas, aplicaciones y seguridad de Windows Server complemento) volúmenes Un disco de instalación de Windows para acceder Recover the operating system al entorno de recuperación de Windows, y una (critical volumes) or the full copia de seguridad creada con la copia de server (all volumes) seguridad de Windows Server Wbadmin inicio de comando de sistema de Recuperar el estado del recuperación. sistema Herramientas
Catálogo de Recovery Wizard (en la copia de seguridad de Windows Server complemento)
Recuperar el catálogo de copia de seguridad
5: Network Policies and Access Protection. • Network Policies Access Protection; 43
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 La importancia de la seguridad en la red.
Los sistemas operativos Windows Server® 2008 y incluye mejoras de red que permiten a los usuarios conectarse y permanecer conectados con mayor facilidad e independientemente de su ubicación y del tipo de red. Estas mejoras también permiten a los profesionales de TI satisfacer las necesidades de su negocio de una forma segura, confiable y flexible. Entre las nuevas características de red que se tratan en este tema se encuentran las siguientes: DirectAccess, que permite a los usuarios obtener acceso a una red de empresa sin el paso adicional de iniciar una conexión de red privada virtual (VPN). Reconexión VPN, que vuelve a establecer una conexión VPN de forma automática en cuanto se restaura la conectividad a Internet, lo cual evita que los usuarios tengan que volver a escribir sus credenciales y volver a crear la conexión VPN. BranchCache, que permite almacenar el contenido actualizado de los servidores web y de archivos de una red de área extensa (WAN) en la memoria caché de los equipos de una sucursal local, mejora el tiempo de respuesta de las aplicaciones y reduce el tráfico WAN. Calidad de servicio (QoS) basada en direcciones URL, que permite asignar un nivel de prioridad al tráfico en función de la dirección URL desde la que dicho tráfico se origina. Compatibilidad con dispositivos de banda ancha móvil, que proporciona un modelo basado en controladores para los dispositivos que se usan para obtener acceso a una red de banda ancha móvil. Múltiples perfiles de firewall activos, que habilitan las reglas de firewall más adecuadas para cada adaptador de red en función de la red a la que está conectado. NDF, Seguimiento de red y Netsh Trace, que integra el Marco de diagnóstico de redes con Seguimiento de red y un nuevo contexto Netsh, Netsh Trace, para simplificar y consolidar procesos de solución de problemas de conectividad de red. ¿A quién puede interesar estas características? Es probable que los siguientes grupos estén interesados en las características anteriormente descritas: 44
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Responsables de TI Administradores y arquitectos de sistemas Administradores y arquitectos de red Administradores y arquitectos de seguridad Administradores y arquitectos de aplicaciones Administradores y arquitectos de Web
¿Para qué sirve DirectAccess? Con DirectAccess, los equipos pertenecientes al dominio que ejecutan Windows Server 2008 se pueden conectar a los recursos de la red corporativa siempre que estén conectados a Internet. Un usuario de un equipo cliente de DirectAccess que está conectado a Internet tiene prácticamente la misma experiencia que si se hubiera conectado directamente a la red privada de una organización Además, DirectAccess permite a los profesionales de TI administrar equipos portátiles fuera de la oficina. Cada vez que un equipo cliente de DirectAccess se conecta a Internet, antes de que el usuario inicie sesión, DirectAccess establece una conexión bidireccional con la red corporativa que permite al equipo cliente mantenerse actualizado con las directivas de la compañía y recibir actualizaciones de software. Entre las características de seguridad y rendimiento de DirectAccess se incluyen la autenticación, el cifrado y el control de acceso. Los profesionales de TI pueden configurar los recursos de red a los que se pueden conectar cada uno de los usuarios, concediendo acceso ilimitado o permitiendo acceso solo a determinados servidores. De forma predeterminada, DirectAccess envía únicamente el tráfico destinado a la red corporativa a través del servidor de DirectAccess. Los clientes de DirectAccess redirigen el tráfico de Internet directamente al recurso de Internet. DirectAccess se puede configurar para enviar todo el tráfico a través de la red corporativa. ¿Debe tenerse en cuenta alguna consideración especial? El servidor de DirectAccess debe ejecutar Windows Server 2008, debe ser miembro de un dominio, debe tener instalados dos adaptadores de red físicos y debe estar configurado con dos direcciones del protocolo de Internet versión 4 (IPv4) públicas consecutivas. Los clientes de DirectAccess deben ser miembros de un dominio. Use el Asistente para agregar características del Administrador del servidor para instalar la característica Consola de administración de DirectAccess. Tras la instalación, use la consola de administración de DirectAccess de Herramientas administrativas para instalar el servidor de DirectAccess y supervisar las operaciones de DirectAccess. Entre las consideraciones de infraestructura se incluyen las siguientes: 45
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Servicios de dominio de Active Directory (AD DS). Se debe implementar al menos un dominio de Active Directory®. No se admiten los grupos de trabajo. Directiva de grupo. Se recomienda usar la directiva de grupo para implementar la configuración del cliente de DirectAccess, del servidor de DirectAccess y del servidor seleccionado. Controlador de dominio. Al menos un controlador de dominio debe ejecutar Windows Server 2008 o posterior. Servidor de Sistema de nombres de dominio (DNS). Windows Server 2008 con la revisión de Windows Server 2008 o posterior o un servidor de DNS de terceros que admita intercambios de mensajes de DNS a través de un protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP o Intra-Site Automatic Tunnel Addressing Protocol). Infraestructura de clave pública (PKI). Se requiere una infraestructura de clave pública (PKI) para emitir certificados para una autenticación de seguridad de protocolo de Internet (IPsec) del mismo nivel entre clientes y servidores de DirectAccess. Por lo general, esto se hace mediante la implementación de certificados de equipo para clientes y servidores de DirectAccess. No se requieren certificados externos. El servidor de DirectAccess también requiere un certificado SSL adicional, que debe tener un punto de distribución de listas de revocación de certificados (CRL) accesible a través de un nombre de dominio completo (FQDN) que se puede resolver públicamente. IPsec. DirectAccess usa IPsec para proporcionar autenticación del mismo nivel y cifrado en las comunicaciones a través de Internet. Se recomienda que los administradores estén familiarizados con IPsec. IPv6. La versión 6 del protocolo de Internet (IPv6) proporciona las direcciones de un extremo a otro necesarias para la conectividad en la red corporativa. Las organizaciones que aún no están preparadas para implementar totalmente IPv6 nativo pueden usar la tecnología de transición IPv6 ISATAP para obtener acceso a los recursos IPv4 de la red corporativa. Los clientes de DirectAccess pueden usar las tecnologías de transición IPv6 Teredo y 6to4 para conectarse a través de Internet IPv4. IPv6 o el tráfico de tecnologías de transición de IPv6 deben estar disponibles en el servidor de DirectAccess y deben tener permiso para pasar a través del firewall de la red perimetral. ¿Para qué sirve Reconexión VPN? Reconexión VPN es una nueva característica de Servicios de enrutamiento y acceso remoto (RRAS) que proporciona a los usuarios una conectividad a VPN coherente y sin problemas, al tiempo que restablece de forma automática una 46
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 VPN cuando los usuarios pierden la conexión a Internet de forma temporal. Los usuarios que se conectan a través de la banda ancha móvil inalámbrica serán quienes más se beneficien de esta funcionalidad. Con Reconexión VPN, Windows 7 restablece las conexiones VPN activas de forma automática cuando se restablezca la conectividad a Internet. Aunque la reconexión pueda tardar algunos segundos, resulta transparente a los usuarios. Reconexión VPN usa el modo de túnel IPsec con la versión 2 de Intercambio de claves por red (IKEv2), descrita en RFC 4306, de forma que se saca partido específicamente de la extensión de movilidad y hospedaje múltiple de IKEv2 (MOBIKE) descrita en RFC 4555. ¿Debe tenerse en cuenta alguna consideración especial? La Reconexión VPN se implementa en el servicio de rol RRAS del rol Servicios de acceso y directivas de redes (NPAS) de un equipo que ejecuta Windows Server 2008. Las consideraciones de infraestructura incluyen las de NPAS y RRAS. Los equipos cliente deben ejecutar Windows 7 para sacar partido de Reconexión VPN.
¿Para qué sirve BranchCache? Con BranchCache, el contenido de los servidores web y de archivos de la WAN empresarial se almacena en la red de la sucursal local para mejorar el tiempo de respuesta y reducir el tráfico a través de la WAN. Cuando otro cliente de la misma sucursal solicita el mismo contenido, podrá tener acceso a él directamente desde la red local sin obtener todo el archivo a través de la WAN. BranchCache se puede configurar para funcionar en modo de caché distribuida o en modo de caché hospedada. El modo de caché distribuida usa una arquitectura de punto a punto. En la sucursal, el contenido se almacena en la caché del primer equipo cliente que lo haya solicitado. Posteriormente, el equipo cliente pone el contenido almacenado en caché a disposición de los demás clientes locales. El modo de caché hospedada usa una arquitectura cliente/servidor. El contenido solicitado por un cliente de la sucursal se almacena en caché posteriormente en un servidor local (llamado el servidor de caché hospedada), donde se pone a disposición de los demás clientes locales. En ambos modos, antes de que un cliente recupere el contenido, el servidor donde se origina el contenido autoriza el acceso al contenido y se comprueba que el contenido es actual y preciso mediante un mecanismo de hash. ¿Debe tenerse en cuenta alguna consideración especial? BranchCache admite HTTP, incluido HTTPS, y SMB (Bloque de mensajes del servidor), incluido SMB firmado. Los servidores de contenido y el servidor de 47
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 caché hospedada deben ejecutar Windows Server 2008 R2, mientras que los equipos cliente deben ejecutar Windows 7. ¿Para qué sirve QoS basada en direcciones URL? QoS marca paquetes IP con un número de Punto de código de servicios diferenciados (DSCP) que, a continuación, los enrutadores examinan para determinar la prioridad del paquete. Si los paquetes están en cola en el enrutador, aquéllos que tengan una prioridad superior se enviarán antes que los que posean una prioridad inferior. Con QoS basada en direcciones URL, los profesionales de TI pueden dar prioridad al tráfico de red en función de la dirección URL de origen, además de basar dicha prioridad en los puertos y direcciones IP. Esto otorga al profesional de TI un mayor control sobre el tráfico de la red, lo cual le permite asegurarse de que el tráfico web importante se procesa antes que el tráfico de menos importancia, incluso cuando el tráfico se origina en el mismo servidor. De este modo, el rendimiento en las redes ocupadas será mejor. Por ejemplo, se puede asignar al tráfico web para sitios web internos críticos una prioridad superior a la de los sitios web externos. De forma similar, a los sitios web que no estén relacionados con el trabajo y que puedan consumir ancho de banda de red se les puede asignar una prioridad inferior de forma que el resto del tráfico no se vea afectado. ¿Para qué sirven los múltiples perfiles de firewall activos? La configuración de Firewall de Windows viene determinada por el perfil que se está usando. En Windows Server 2008, solo puede haber un perfil de firewall activo al mismo tiempo. Por lo tanto, si se dispone de múltiples adaptadores de red conectados a diferentes tipos de redes, se sigue teniendo un único perfil activo, que es el perfil que proporciona las reglas más restrictivas. En Windows Server 2008 y, cada adaptador de red aplica el perfil de firewall más adecuado para el tipo de red a la que está conectado: privado, público o dominio. Esto significa que si el usuario está en la zona con cobertura WI-FI de una cafetería y se conecta a la red de dominio corporativa mediante una conexión VPN, el perfil público continuará protegiendo el tráfico de red que no pasa a través del túnel, y el perfil dominio protegerá el tráfico de red que pasa a través del túnel. Esto también resuelve el problema de un adaptador de red que no está conectado a una red. En Windows Server 2008, a esta red sin identificar se le asignará el perfil público, mientras que los demás adaptadores de red del equipo seguirán usando el perfil adecuado para la red a la que están conectados.
Elementos de seguridad más importantes. • Enforcement Options.
48
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Windows Server 2008 ofrece una plataforma segura y de fácil administración, para el desarrollo y alojamiento confiable de aplicaciones y servicios web que se entregan del servidor o a través de la Web. Las nuevas características incluyen: administración simplificada, seguridad aumentada y mejoras tanto de rendimiento como de extensibilidad. Además, las empresas disfrutarán de administración más eficiente de aplicaciones y servicios, de implementación y configuración más rápidas de aplicaciones y servicios web, y de una plataforma web personalizada, simplificada y más segura. Windows Server 2008 ofrece un mayor rendimiento y escalabilidad de aplicaciones y servicios web, y permite a los administradores controlar y ver detalles sobre cómo y cuándo las aplicaciones y los servicios usan los recursos clave del sistema operativo. Internet Information Services 7.0 (IIS7) Windows Server 2008 proporciona una plataforma unificada para publicación en la Web que integra Internet Information Services 7.0 (IIS7), ASP.NET, Windows Communication Foundation y Microsoft Windows SharePoint Services. IIS7 constituye un gran avance sobre el servidor web IIS existente y desempeña una función central en la integración de tecnologías de plataforma web. Los beneficios clave de IIS7 incluyen características más eficientes de administración, mejor seguridad y costos reducidos de soporte técnico. Estas características ayudan a crear una plataforma unificada que proporciona un modelo único y coherente de desarrollo y administración para soluciones web.
Herramientas de administración mejoradas La nueva utilidad de administración en IIS7, Administrador de IIS, es una herramienta más eficiente para la administración del servidor web. Ofrece compatibilidad para configuraciones de IIS y ASP.NET, datos de usuario e información de diagnósticos en tiempo de ejecución. La nueva interfaz de usuario permite también que quienes alojan o administran sitios web deleguen el control administrativo a desarrolladores o propietarios de contenido, reduciendo así el costo de propiedad y la carga administrativa para el administrador. La nueva interfaz de Administrador de IIS admite administración remota sobre HTTP y permite administración local, remota e incluso entre Internet de forma integrada, sin necesidad de abrir puertos DCOM u otros puertos administrativos en el firewall. Se incluye también una nueva herramienta de línea de comandos, appcmd.exe, para la administración de servidores, sitios y aplicaciones web. La interfaz de línea de comandos simplifica a los administradores las tareas comunes de administración de servidores web. Por ejemplo, appcmd.exe se podría usar para incluir una lista de solicitudes de servidores web forzados a esperar más de 500 milisegundos. Esta información se puede usar para solucionar problemas de
49
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 aplicaciones con bajo rendimiento. La salida de appcmd.exe se puede canalizar en otros comandos para procesamiento adicional. Instalación modular basada en características IIS7 está compuesto por más de 40 módulos de características independientes. Sólo la mitad de los módulos se instala de forma predeterminada y los administradores pueden instalar o eliminar de forma selectiva cualquier módulo de característica que elijan. Este enfoque modular permite a los administradores instalar sólo las opciones que necesitan y ahorrar tiempo, al limitar el número de características que se necesitan administrar y actualizar. Además, debido a que no se ejecuta ningún software innecesario, se reduce la superficie de ataque del servidor web y se mejora la seguridad. Modelo de configuración distribuida IIS7 presenta mejoras principales en la manera en que se almacenan sus datos de configuración y se obtiene acceso a los mismos. Uno de los objetivos clave del lanzamiento de IIS7 es habilitar la configuración distribuida de las configuraciones de IIS, que permite a los administradores especificar configuraciones de IIS en archivos que se almacenan con el código y contenido. La configuración distribuida permite a los administradores especificar opciones de configuración para un sitio o aplicación web en el mismo directorio donde se almacena el código o contenido. Al especificar en un único archivo las opciones de configuración, la configuración distribuida permite a los administradores delegar a otros la administración de características seleccionadas de sitios o aplicaciones web. Por ejemplo, un sitio web se podría delegar para que el desarrollador de aplicaciones pueda configurar el documento predeterminado que se usa en ese sitio web. Los administradores también pueden bloquear opciones de configuración específicas para que nadie pueda cambiarlas. Esta característica se puede usar para garantizar que una directiva de seguridad, que evita la ejecución de secuencia de comandos, no sea sobrescrita por un desarrollador de contenidos al que se le delega acceso administrativo al sitio web. Mediante el uso de configuraciones distribuidas, las opciones de configuración de un sitio o aplicación específicos se pueden copiar de un equipo a otro de la misma manera que una aplicación pasa de desarrollo a prueba y, finalmente, a producción. Diagnósticos y solución de problemas& IIS7 hace más sencilla que nunca la solución de problemas del servidor web con soporte de seguimiento y diagnósticos integrados y permite que el administrador mire de cerca el servidor web y consulte información detallada de diagnóstico, en tiempo real. Los diagnósticos y solución de problemas permiten que un desarrollador o administrador consulten las solicitudes que se ejecutan en el servidor. IIS7 incluye también nuevos objetos de estado y control de tiempo de ejecución, que ofrecen información en tiempo real 50
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 del estado de grupos de aplicaciones, procesos de trabajo, sitios, dominios de aplicación e incluso de solicitudes en ejecución. Esta información se puede usar para determinar, por ejemplo, qué solicitud de un proceso de trabajo consume el 100 por ciento de la CPU. IIS7 incluye también eventos de seguimiento detallado a través de la ruta de solicitud y respuesta, que permite que desarrolladores y administradores puedan realizar un seguimiento de una solicitud a medida que ésta avanza a través de la canalización de procesamiento de solicitudes de IIS, en cualquier código de página existente y regresa a la respuesta. Estos eventos de seguimiento detallado permiten que los desarrolladores entiendan no sólo la ruta de acceso de la solicitud y cualquier información de errores generada como resultado de misma, sino también el tiempo transcurrido e información adicional de depuración para asistirlos en la resolución de todo tipo de errores. IIS7 simplifica también la solución de problemas al proporcionar mensajes de error mucho más detallados y que se pueden procesar. El nuevo módulo personalizado de errores en IIS7 permite devolver información de errores detallada al explorador (de forma predeterminada a localhost) y configurable para enviar a otros clientes remotos. En vez de consultar un breve código de error, ahora los administradores pueden ver información detallada sobre la solicitud, qué problemas potenciales pueden haber originado el error y también sugerencias sobre cómo corregirlo. Una de las características más importantes que ayudan a mejorar el soporte de resolución de problemas IIS7 es la API de estado y control de tiempo de ejecución (RSCA), que está diseñada para ofrecer información detallada de tiempo de ejecución del servidor desde el interior de IIS7. Con RSCA, es posible inspeccionar y administrar varias entidades incluidos sitios, grupos de aplicaciones e incluso dominios de aplicaciones .NET. RSCA también saca a relucir, en tiempo real, las solicitudes actualmente en ejecución en el servidor. Los datos de RSCA están disponibles desde el proveedor WMI y la API administrada (Microsoft.Web.Administration). La GUI de administración de IIS 7 y la herramienta de línea de comandos también revelan estos datos a los administradores. Arquitectura modular extensible En versiones anteriores de IIS, toda la funcionalidad estaba integrada de forma predeterminada y no existía una manera fácil de extender ni de reemplazar ninguna de esta funcionalidad. Como se indicó anteriormente, en IIS7, el núcleo está dividido en más de 40 módulos de características independientes. El núcleo también incluye una nueva API Win32 para construir módulos de servidor de núcleo. Los módulos de servidor de núcleo son reemplazos nuevos y más eficaces de los filtros y las extensiones de la Interfaz de programación de Aplicación de Servidor de Internet (ISAPI). Los filtros y las extensiones de ISAPI todavía son admitidos en IIS7. Debido a que todas las características de servidor de núcleo de 51
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 IIS fueron desarrolladas mediante la nueva API de Módulo Win32 de IIS7 como módulos de características discretas, los usuarios pueden agregar, eliminar o incluso reemplazar módulos de características de IIS. Modelo flexible de extensibilidad para personalización IIS7 permite a los desarrolladores extender IIS para ofrecer funcionalidad personalizada de formas nuevas y más eficaces. Esto se debe, en parte, a la colección de la interfaz totalmente nueva de programación de aplicaciones de servidor de núcleo (API) que permite desarrollar módulos de características tanto en código nativo (C/C++) como en código administrado (lenguajes como C# y Visual Basic 2005, que usa .NET Framework). De hecho, gran parte del conjunto de características de IIS7 para procesamiento de solicitud y aplicaciones ha sido implementado mediante estas mismas API. IIS7 también permite la extensibilidad de la configuración, secuencias de comandos, registro de eventos y conjuntos de características de herramientas de administración, ofreciendo a los desarrolladores de software una plataforma completa de servidor en la cual construir las extensiones de servidor web. Verdadera implementación de aplicaciones con xcopy IIS7 permite almacenar las opciones de configuración en archivos web.config, lo que facilita el uso de xcopy para copiar aplicaciones entre múltiples servidores web, y evitar así réplicas costosas y propensas a errores, sincronización manual y tareas adicionales de configuración.
• Network Access Protection Scenarios Cómo proteger los diferentes escenarios de la red. Escenario 1: Nos estaban haciendo nuestro mensual limpieza de objetos de Active Directory y sin querer eliminar el objeto de nombre de clúster. Hemos intentado crear una nueva, pero no en línea. El objeto de nombre de clúster (CNO) es muy importante, porque es la identidad común del clúster. Crea automáticamente el Asistente para crear el clúster y tiene el mismo nombre que el clúster. A través de esta cuenta, crea otros objetos de equipo Virtual de Cluster (VCOs) al configurar nuevos servicios y aplicaciones en el clúster. Si elimina la CNO o permisos de lejos, no se puede crear otros objetos como lo exige el clúster hasta que se restaure o sean reintegrados los permisos correctos.
52
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Como en todos los demás objetos en Active Directory, hay un objectGUID asociado. Se trata de cómo el clúster de conmutación por error sabe que usted está tratando con el objeto correcto. Si simplemente crea un nuevo objeto, se crea también una nueva objectGUID. Lo que tenemos que hacer es restaurar el objeto correcto para que ese clúster de conmutación por error puede continuar con sus operaciones normales. Para solucionar esto, tenemos que saber dos cosas del recurso de clúster. Desde Windows PowerShell, ejecute el comando: "Nombre del clúster" Get-ClusterResource | Get-ClusterParameterCreatingDC, objectGUID Esto será recuperar los valores necesarios. El primer parámetro que queremos es la CreatingDC. Cuando el clúster de conmutación por error crea la CNO, observamos el controlador de dominio (DC) a la que fue creado. Para cualquier actividad que debemos hacer con el Cluster (crear VCOs, poner nombres en línea, etc.), sabemos que para ir a este controlador de dominio para obtener el objeto y la seguridad. Si no se encuentra en que DC o que DC no está disponible, buscamos a otros que responder, pero sabemos ir aquí primero. El segundo parámetro es el objectGUID para asegurarse de que estamos hablando el objeto correcto. Para nuestro ejemplo, el nombre del clúster es CLUSTER1, la creación de DC es DC1 y el objectGUID es 1a3cf049cf79614ebd94670560da6f04, así Objeto nombre de valor Cluster de nombre CreatingDC \\DC1.domain.com ObjectGUID1a3cf049cf79614ebd94670560da6f04 de nombre de clúster Tendríamos que iniciar una sesión en la máquina DC1 y ejecutar usuarios y equipos. Si hay un objeto actual de CLUSTER1, nos podemos comprobar para ver si tiene los atributos adecuados. Una nota acerca de esto es la pantalla que verá. Editor de atributo de directorio activo inicialmente no se va a mostrar el GUID que se muestran aquí, como no está mostrando en formato hexadecimal. Lo que inicialmente te vas a ver es 49f03c1a-79cf-4e61-bd94-670560da6f04. El formato hexadecimal no un conmutador y funciona en pares, que es un poco confuso. Si tomar los primeros ocho pares de números y hacer el conmutador, 49f03c1a se convierte en 1a3cf049. Por los siguientes dos pares de conmutación, 79cf se convierte en cf79 y, a continuación, 4e61 se convierte en 614e. Los pares restantes permanecen igual. Debe traer las propiedades de la objectGUID en el editor de atributo para ver en el formato hexadecimal que ve Failover Clustering. Porque no es el objeto correcto, 53
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 debemos eliminar primero el objeto de tomar de la imagen para restaurar una adecuada. Hay varias formas de restaurar el objeto. Podríamos utilizar una restauración de directorio activo, una utilidad como ADRESTORE o el nuevo Active Directory papelera (si se ejecuta un controlador de dominio Windows 2008 R2 con un esquema actualizado). Utilizando el nuevo Active Directory Papelera facilita mucho las cosas y es el proceso más transparente para restaurar los objetos de Active Directory eliminados. Con la Papelera de reciclaje de directorio activo, podemos buscar para encontrar el objeto de restaurar con el comando de Windows PowerShell: Copiar código Get-ADObject –filter 'isdeleted –eq $true –and samAccountName – eq "CLUSTER1$"' –includeDelectedObjects –property * | FormatListsamAccountName, objectGUIDEse comando se va a buscar cualquier objeto eliminado con el nombre CLUSTER1 en la Papelera de reciclaje del directorio activo. Nos dará el nombre de cuenta y objectGUID. Si hay varios elementos, se mostrará a todos. Cuando vemos el uno que queremos, nos mostraría como esto: Copiar código samAccountName : CLUSTER1$ objectGUID:49f03c1a-79cf-4e61bd94-670560da6f04Ahora tenemos que recuperarlo. Después de que elimina la incorrecta, sería el comando de Windows PowerShell para restaurarlo: Restore-ADObject –identity 49f03c1a-79cf-4e61-bd94-670560da6f04 Esto restaurará el objeto en la misma ubicación (unidad organizativa o unidad organizativa) y mantener los mismos permisos y la contraseña de la cuenta de equipo conocido como Active Directory. Esta es una de las ventajas de Active Directory Papelera en comparación con algo como una utilidad como ADRESTORE. Con ADRESTORE, deberá restablecer la contraseña, mover a la unidad organizativa adecuada, reparar el objeto en clústeres de conmutación por error y así sucesivamente. Con la Papelera de reciclaje de directorio activo, simplemente traemos el recurso nombre de clúster. También es una opción mejor que haciendo una restauración de Active Directory, especialmente si se han producido nuevos objetos de equipo y usuario creados, si existen los antiguos que ya no existen y que tendrían que eliminarse una vez más, y así sucesivamente. Escenario 2: Mi volúmenes compartidos de clúster mostrar "Redirigido acceso" en la administración de clúster de conmutación por error. ¿Correcto? 54
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 En primer lugar, Recapitulemos rápidamente la definición de volúmenes de clúster compartido (CSVs). CSVs simplifican la configuración y administración de máquinas virtuales Hyper-V (VMs) en clústeres de conmutación por error. Con CSV en un clúster de conmutación por error que se ejecuta de Hyper-V, múltiples máquinas virtuales pueden utilizar el mismo LUN (disco), pero una conmutación por error (o mover de ndo a noodo) de forma independiente. La CSV proporciona mayor flexibilidad para los volúmenes de almacenamiento en clúster. Por ejemplo, puede mantener archivos de sistema independiente de datos para optimizar el rendimiento de disco, incluso si los archivos del sistema y los datos están contenidos en los archivos del disco duro virtual (VHD). En las propiedades de todos los adaptadores de red que llevan la comunicación del clúster, asegúrese de "Cliente para redes Microsoft" y "Compartir impresoras y archivos para redes Microsoft" están habilitadas para admitir el bloque de mensajes de servidor (SMB). Esto es necesario para CSV. El servidor ejecuta Windows Server 2008 R2, por lo que proporciona automáticamente la versión de SMB que requiere CSV, que es SMB2. Habrá una única red preferida de comunicación CSV, pero habilitar a esta configuración en varias redes ayuda del clúster tienen resiliencia para responder a errores. Redirigido medios de acceso que todas las operaciones de E/s se van a "redirigir" través de la red a otro nodo que tiene acceso a la unidad. Básicamente, hay tres razones por qué es un disco en modo de acceso Redirigido: 1.- Que haya colocado manualmente en modo redirigir 2.- Hay una copia de seguridad en curso 3.- Hay problemas de hardware, y el nodo no puede acceder directamente a la unidad. En nuestro caso, hemos descartado opción 1 y opción 2. Esto nos deja con la opción 3. Si nos fijamos en el registro de sucesos, vemos el evento "ID de evento: 5121" de clústeres de conmutación por error. Aquí es la definición de esa entrada de registro: VolumeCSV de clúster compartido ' disco de clúster x' ya no es directamente accesible desde este nodo de clúster. Acceso de I/O se redirigirá al dispositivo de almacenamiento en la red mediante el nodo que posee el volumen. Esto puede resultar en rendimiento. Si acceso redirigida se activa para este volumen, por favor desactivarlo. Si se desactiva el acceso redireccionado, por favor solucionar problemas de conectividad de este nodo para el dispositivo de almacenamiento y I/O se reanudará en buen estado, una vez que se restablece la conexión al dispositivo de almacenamiento. Adoptar esa postura, también sería justo antes de este evento para cualquier evento relacionado con el hardware. Por lo que esperamos para eventos como 9, 11 o 15 que apuntan a un problema de hardware o de comunicación. Esperamos en administración de discos para ver si podíamos ver físicamente el disco. En la
55
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 mayoría de los casos, vamos a ver algunos otros errores. Una vez que corrija el problema con el back-end, podemos introducir el disco de este modo. Tenga en cuenta que la CSV permanecerá funcionando siempre y cuando al menos un nodo puede comunicarse con la red de almacenamiento de información conectado. Por eso, sería en un modo "redireccionado". Todas las escrituras a la unidad se envían al nodo que puede comunicarse y las máquinas virtuales HyperV seguirá funcionando. Puede haber un rendimiento en esas máquinas virtuales, pero siguen ejecutar. Por lo que nunca estaremos fuera de producción, que es una buena cosa. Escenario 3: sólo he creado un nuevo Windows 2008 R2 Failover Cluster para su uso con máquinas virtuales altamente disponibles. He configurado las unidades para CSV, pero al intentar acceder a ellos, colgar Explorer y administración de discos. No puedo copiar mis discos duros virtuales a la unidad para obtener este curso. Hay sólo un "verdadero" dueño de la unidad y se llama el nodo coordinador. Este nodo sólo se haría cualquier tipo de escrituras de metadatos en la unidad. Cuando se abre el explorador o administración de discos, va a querer abrir la unidad por lo que puede hacer las escrituras de metadatos (si esa es la intención). Debido a esto, obtener redirigirá cualquier unidad que no tiene en la red para el nodo coordinador. Esto es diferente a la unidad en "Redirigido acceso". Para solucionar esto, administración de clúster de conmutación por error mostrará la unidad como en línea. Primero que debe buscar para ver qué eventos se registran. En el registro de sucesos de sistema, podría ver estos eventos de Failover Clustering:
ID de evento: 5120 Volumen compartido del clúster ' disco de clúster x' ya no está disponible en este nodo de 'STATUS_BAD_NETWORK_PATH (c00000be)'. Temporalmente se pondrán en cola todas las E/s hasta que se restablece una ruta para el volumen. ID de evento: 5142 Volumen compartido del clúster ' disco de clúster x' ya no es accesible desde este nodo de clúster debido a error 'ERROR_TIMEOUT (1460)'. Por favor, solucionar problemas de conectividad de este nodo para el dispositivo de almacenamiento y conectividad de red. 56
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008
Los registros de sucesos son agotar tratando de obtener a través de la red al nodo coordinador. Así sería para ver si hay otros errores en el registro de sucesos de sistema que apuntaría a la conectividad de red entre los nodos. Si existe, debe resolverlos. Cosas como una tarjeta de red no funciona o discapacitados pueden causar esto. A continuación, desea comprobar la conectividad de red básica entre los nodos. Lo que primero debe verificar es la red que está viajando el tráfico de la CSV. La forma de Failover Clustering elige a utilizar la red para CSV es por mayor valor métrico. Esto es diferente de cómo Windows identifica la red. El adaptador de Failover Cluster red tolerancia (NETFT) tiene su propio sistema métrico utiliza internamente. Detecta todas las redes tienen una puerta de enlace predeterminada y se dará la métrica de 10000, 10100, como se va a lo largo. Todas las redes que no tienen un inicio de puerta de enlace predeterminada en 1000, 1100 y así sucesivamente. Uso de Windows PowerShell, puede utilizar el comando Get-ClusterNetwork | Nombre de FT, métrica, papel para ver cómo el adaptador NETFT ha definido. Algo similar a lo verá: Nombre de métrica ------------------Administración 10100 CSV tráfico 1000 10000 LAN-WAN 1100 Privada Con estas cuatro redes, la red he identificado como la CSV se llama tráfico CSV. La dirección IP que estoy usando para ello 1.1.1.1 Nodo1 y 1.1.1.2 de nodo 2, por lo que se trataría de conectividad de red básicos con PING entre las direcciones IP. El siguiente paso es intentar una conexión SMB utilizando las direcciones IP. Esto es justo lo que Failover Clustering va a hacer. Bastará con una simple \\1.1.1.1 NET VIEW para ver si hay una respuesta. Lo que usted debe volver es una lista de acciones o un mensaje: "No hay entradas en la lista." Esto indica que podría realizar una conexión a ese recurso compartido. Sin embargo, si aparece el mensaje "sistema error del 53. La ruta de red no se encontró, “Esto indica un problema de configuración de TCP/IP con la tarjeta de red. Tener "Cliente para redes Microsoft" y "Y impresora compartir archivos para redes Microsoft" habilitado en la tarjeta de red deben utilizar CSV. Si no lo están,
57
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 obtendrá este problema del Explorer de suspensión. Seleccione estas y eres bueno para ir. Clúster de servidores Windows 2003 y a continuación, desactivar estas opciones fue el procedimiento recomendado. Esto ya no es el caso de ahora en adelante y se puede ver cómo puede romper. Objetivos del acceso a la red. Alta disponibilidad Garantizar que las aplicaciones fundamentales estén siempre disponibles es un servicio clave ofrecido por los departamentos de TI, y "Alta disponibilidad" es un tema central de muchas de las mejoras de Windows Server 2008. El clúster de conmutación por error, el equilibrio de carga de red y las nuevas características de copia de seguridad y restauración en Windows Server 2008 se combinan para ofrecer a las organizaciones una solución de "Alta disponibilidad" para garantizar que esas aplicaciones fundamentales, servicios e información permanecen disponibles para todos los usuarios. Clúster de conmutación por error Un clúster de conmutación por error, antes conocido como un clúster de servidor, es un grupo de equipos independientes que colaboran para aumentar la disponibilidad de aplicaciones y servicios. Los servidores del clúster, llamados nodos, se conectan tanto por medio de cables físicos como a través de software. Si uno de los nodos del clúster tiene errores, otro nodo en el clúster a través de un proceso conocido como conmutación por error, se hará cargo del nodo con error, con lo que se garantiza que los usuarios experimenten una mínima interrupción en el servicio. Los clústeres de conmutación por error los usan profesionales de TI que necesitan proporcionar alta disponibilidad para servicios y aplicaciones fundamentales. En Windows Server 2008, las mejoras en clústeres de conmutación por error están destinadas a simplificar los clústeres, haciéndolos más seguros y a mejorar su estabilidad. La instalación y configuración del clúster se simplificó en Windows Server 2008 con un nuevo asistente de validación que permite que los usuarios confirmen que la configuración de sistema, el almacenamiento y la configuración de la red son convenientes para un clúster. Algunas de las pruebas realizadas por el nuevo asistente de validación incluyen:
58
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 • Pruebas de nodo: confirma que los servidores ejecutan la misma versión de sistema operativo y tienen las mismas actualizaciones de software • Pruebas de red: determinan si la red de clúster planeada cumple con requisitos específicos como disponer al menos de dos subredes independientes para redundancia de red • Pruebas de almacenamiento: analizan si el almacenamiento está configurado correctamente para que todos los nodos del clúster tengan acceso a todos los discos compartidos y cumplan los requisitos especificados. Windows Server 2008 incluye compatibilidad con discos de identificador único global o GPT (de tabla de particiones GUID) en almacenamiento de clúster. Los discos GPT pueden tener particiones mayores que dos terabytes y redundancia integrada, a diferencia de los discos con registro de arranque maestro (MBR). GPT ofrece más ventajas que las particiones de registro de arranque maestro (MBR) porque admite hasta 128 particiones por disco, ofrece compatibilidad para volúmenes de hasta 18 exabytes de tamaño, admite tablas de partición principales y de copia de seguridad para redundancia, e identificadores únicos de discos y particiones. Para simplificar la administración de clústeres, se mejoraron las interfaces de administración para permitir que los administradores se centren en administrar las aplicaciones y los datos, no los clústeres. La nueva interfaz se basa en tareas y es más intuitiva, y ofrece el soporte de asistentes que guían a los administradores a través de operaciones que con anterioridad eran complejas. Los clústeres de conmutación por error en Windows Server 2008 ofrecen mejor funcionalidad y confiabilidad que en versiones anteriores de clústeres de servidor. Las mejoras clave incluyen: • Adición dinámica de recursos de disco: las dependencias de recursos se pueden modificar mientras los recursos están conectados, lo que significa que los administradores pueden poner a disposición almacenamiento de disco adicional sin interrumpir las aplicaciones que harán uso del mismo. • Rendimiento y estabilidad mejorados con almacenamiento de datos: cuando un clúster de conmutación por error se comunica con una red de área de almacenamiento (SAN) o almacenamiento de conexión directa (DAS), usa los comandos menos disruptivos, con menos reinicializaciones de bus SCSI. Los discos nunca quedan en una condición no protegida, lo que significa que se reduce el riesgo de daño del volumen. Los clústeres de conmutación por error son también compatibles con métodos mejorados para descubrimiento y recuperación de discos. Los clústeres de conmutación por error admiten tres tipos de
59
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 conexiones de almacenamiento: Serial Attached SCSI (SAS), iSCSI y Fibre Channel. • Mantenimiento de discos más sencillo: el "modo de mantenimiento" se ha mejorado considerablemente, de forma que los administradores puedan ejecutar herramientas para comprobar, corregir, realizar copias de seguridad o restaurar discos más fácilmente e interrumpiendo menos el funcionamiento del clúster. Para administradores que usan clústeres para proporcionar una solución de alta disponibilidad, Windows Server 2008 simplifica la implementación y administración de clústeres y mejora el rendimiento y la confiabilidad. Equilibrio de carga de red El equilibrio de carga de red (NLB) es una característica que distribuye la carga para aplicaciones de clientes y servidores en red a través de varios servidores en un clúster de NLB. NLB es importante para organizaciones que necesitan distribuir solicitudes de cliente a través de un conjunto de servidores. Es especialmente útil para garantizar que aplicaciones sin estado, como por ejemplo aplicaciones basadas en la Web que se ejecutan en Internet Information Services (IIS), se puedan escalar mediante la adición de servidores adicionales a medida que se incrementa la carga de trabajo. NLB ofrece escalabilidad al permitir que se agreguen servidores adicionales a medida que aumenta la carga. NLB ofrece confiabilidad al permitir que los usuarios reemplacen fácilmente un servidor con errores. Las mejoras a NLB en Windows Server 2008 incluyen: • Compatibilidad con IPv6: NLB es compatible completamente con IPv6 para todas las comunicaciones • Compatibilidad con NDIS 6.0: el controlador NLB ha sido reescrito completamente para usar el nuevo modelo de filtro ligero de NDIS 6.0. NDIS 6.0 retiene la compatibilidad con versiones anteriores de NDIS. Las mejoras en el diseño de NDIS 6.0 incluyen el rendimiento y escalabilidad mejorados del controlador y un modelo simplificado de controlador NDIS. • Mejoras de WMI: las mejoras de WMI en el espacio de nombres MicrosoftNLB son para compatibilidad con IPv6 y múltiples direcciones IP dedicadas. • Clases en el espacio de nombres MicrosoftNLB: admiten direcciones IPv6 (además de direcciones IPv4). • La clase MicrosoftNLB_NodeSetting: admite múltiples direcciones IP dedicadas especificándolas en DedicatedIPAddresses y DedicatedNetMasks.
60
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 • Funcionalidad mejorada con ISA Server: ISA Server puede configurar múltiples direcciones IP dedicadas para cada nodo NLB en escenarios donde los clientes incluyen tanto tráfico IPv4 como IPv6. Tanto los clientes IPv4 como IPv6 necesitan tener acceso a un ISA Server específico que administre el tráfico. ISA puede también ofrecer a NLB notificaciones de ataques SYN y privación de temporizadores (estos escenarios suceden normalmente cuando un equipo se sobrecarga o se infecta por un virus de Internet). • Compatibilidad con múltiples direcciones IP dedicadas por nodo: NLB es totalmente compatible con la definición de más de una dirección IP dedicada por nodo (anteriormente, sólo se admitía una dirección IP dedicada por nodo), lo que permite que múltiples aplicaciones se alojen en el mismo clúster de NLB en escenarios donde aplicaciones independientes requieren su propia dirección IP dedicada. Estas características ofrecen compatibilidad para nuevos estándares industriales, incremento del rendimiento, mejoras de interoperabilidad, mejor seguridad y mayor flexibilidad en la implementación y consolidación de la aplicación. Copia de seguridad de Windows Copia de seguridad es el tercer componente clave de Windows Server 2008 diseñado para ofrecer alta disponibilidad de servicios. La característica de copia de seguridad ofrece una solución de copia de seguridad y recuperación para el servidor en que está instalada. Presenta una tecnología de copia de seguridad y recuperación, que reemplaza a la característica de copia de seguridad anterior disponible en versiones anteriores del sistema operativo Windows. La característica de copia de seguridad se puede usar para proteger el servidor completo con eficiencia y seguridad sin necesidad de preocuparse por las complejidades de la tecnología de la copia de seguridad y la recuperación. Asistentes sencillos guían al usuario a través de la configuración de una programación de copia de seguridad automática, creando copias de seguridad manuales si fuera necesario y recuperando elementos o volúmenes completos. La copia de seguridad en Windows Server 2008 se puede usar para realizar copias de seguridad de un servidor completo o de volúmenes seleccionados. La copia de seguridad usa el servicio de instantáneas de volumen de Microsoft y la tecnología de copia de seguridad de bloque para realizar copias de seguridad y recuperar de forma eficiente el sistema operativo, archivos y carpetas, y volúmenes. Después de crear la primera copia completa de seguridad, se ejecutan automáticamente copias de seguridad incrementales guardando sólo los datos que se modificaron desde que ocurrió la última copia de seguridad. A diferencia de versiones anteriores, los administradores ya no tienen que preocuparse por programar manualmente las copias de seguridad completa e incremental.
61
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 La restauración se ha mejorado y simplificado en Windows Server 2008. Los elementos ahora se pueden restaurar eligiendo una copia de seguridad de la cual recuperar y seleccionando a continuación los elementos a restaurar. Se pueden recuperar archivos específicos o todo el contenido de una carpeta. Con respecto a las copias de seguridad incrementales, anteriormente, si un elemento se almacenaba en una copia de seguridad incremental, era necesario restaurar manualmente múltiples copias de seguridad. Ahora, el usuario puede elegir simplemente la fecha en que se realizó la copia de seguridad de la versión que desea restaurar. Windows Server 2008 ofrece las soluciones de copia de seguridad y recuperación necesarias para completar una solución de alta disponibilidad que proteja tanto los datos de la organización como los sistemas operativos de los servidores en la red, mientras alivia la carga administrativa al garantizar que se realicen apropiadamente copias de seguridad de los datos fundamentales y se acelera la recuperación de los datos. 6.- Técnicas y Herramientas de diagnóstico El uso de las herramientas de Windows 2008 Herramientas de vulnerabilidades y amenazas Herramienta de inventario de actualización de seguridad ampliada (puede estar en inglés) Esta herramienta determina si algún equipo cliente de SMS necesita actualizaciones de seguridad que no se pueden detectar con la herramienta Microsoft Baseline Security Analyzer (MBSA). Esta herramienta está disponible en el Centro de descarga Microsoft. Herramienta Microsoft Baseline Security Analyzer (puede estar en inglés) Microsoft Baseline Security Analyzer (MBSA) es una herramienta fácil de usar destinada a los profesionales de TI que ayuda a la pequeña y mediana empresa a determinar el estado de la seguridad conforme a las recomendaciones de seguridad de Microsoft y, además, ofrece orientación sobre correcciones específicas. Herramienta Microsoft Security Assessment (puede estar en inglés) Descargue la herramienta Microsoft Security Assessment e instálela en el equipo para obtener información y recomendaciones acerca de las prácticas recomendadas para mejorar la seguridad de la infraestructura de TI. 62
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 Microsoft Threat Analysis & Modeling v2.1.2 (puede estar en inglés) Con la herramienta Microsoft Threat Analysis & Modeling, los expertos en contenido no relacionado con la seguridad podrán especificar información ya conocida, como los requisitos de negocio y la arquitectura de la aplicación, para usarla a continuación para obtener un modelo de amenaza con cuantiosas características. Herramientas de administración y evaluación de configuraciones seguras Auditpol La herramienta de línea de comandos Auditpol muestra información sobre las directivas de auditoría y realiza funciones para manipularlas. Icacls Icacls es una herramienta de línea de comandos que muestra o modifica las lista de control de acceso discrecional (DACL) de archivos especificados y aplica las DACL almacenadas a archivos de directorios especificados. Icacls.exe reemplaza la herramienta cacls.exe para la visualización y edición de DACL. Asistente para configuración de seguridad Herramientas para la administración de identidades y control de acceso Windows Sysinternals (puede estar en inglés) El sitio web Windows Sysinternals incluye utilidades de sistema avanzadas e información técnica que ayudan a administrar y diagnosticar aplicaciones y sistemas Windows, así como a solucionar problemas al respecto. Las siguientes herramientas son herramientas de administración de identidades y control de acceso de Windows Sysinternals: AccessChk (puede estar en inglés) AccessChk es una herramienta de línea de comandos que identifica los permisos y niveles de acceso de un usuario o grupo de usuarios. AcessChk devuelve permisos a archivos, directorios, claves del Registro, objetos globales y servicios de Windows. AccessEnum (puede estar en inglés) AccessEnum es una herramienta de línea de comandos que identifica los usuarios y grupos que tienen acceso a un archivo o carpeta específicos.
63
ADMINISTRACIÓN DE SERVIDORES EN WINDOWS SERVER 2008 ShareEnum (puede estar en inglés) ShareEnum es una herramienta de línea de comandos que identifica la configuración de seguridad de los recursos compartidos de archivos e impresión. Muestra a los administradores los posibles problemas de seguridad que pueden surgir si el valor de seguridad es demasiado bajo.
64
View more...
Comments