código: hol-win31. introducción instalación servidor basado en roles gestión de red tecnologías...

Código: HOL-WIN31

►Introducción►Instalación►Servidor basado en Roles►Gestión de red►Tecnologías de Seguridad►Windows Deployment Services (WDS)

►Microsoft Windows Server 2008 es la nueva plataforma Servidor de Microsoft.

►Se construye sobre la apuesta actual de Microsoft por incrementar

La seguridadEl rendimientoLa conectividadLa escalabilidad.

►Extiende las actuales tecnologías de seguridad en Windows Server 2003 contra peligros externos.

►Comparte el Kernel de Windows Vista.►Presenta nuevas mejoras de seguridad en el

nivel de la arquitectura, que pueden ser utilizadas para la securización de todas las aplicaciones y servicios.

►Ayuda a los administradores a maximizar el control sobre su infraestructura al proveer una administración y disponibilidad sin precedente.

►Proporciona un entorno de servidor significativamente más seguro, fidedigno y robusto que antes.

►Entre los elementos de seguridad que incluye tenemos:Data Execution Prevention (DEP)User Account Control (UAC)Address space layout randomization (ASLR)Mandatory Integrity Control (MIC)Windows Service HardeningBitlockerNetwork Access Protection (NAP)Otros… (AuthIP, SMB2.0, CNG, UIPI, Next Generation

TCP/IP Stack, Kernel Path Protection etc.)

►Nuevas Características de Estabilidad y rendimiento Nuevo “Monitor de confiabilidad” Nuevos proveedores de rendimiento Informes gráficos de rendimiento muy detallados Visor de Eventos mejorado con eventos en XML y filtros en

XPATH Proveedores de eventos para la mayoría de los componentes

del sistema Programador de tareas extendido, con tareas descritas en

XML y con posibilidad de lanzar tareas en función de eventos específicos

Gestión avanzada de perfiles de energía

►La gestión de red es otro de los aspectos que mejora en Windows Server 2008:

Pila TCP/IP de nueva generación con soporte de IPv6

Centro de redes y recursos compartidosProtocolo LLTP para gestión de QoS en enlaces

locales y para el descubrimiento de la topología de red

SMB2.0 que mejora la eficacia y seguridad del protocolo SMB

Firewall de Windows con filtros entrantes y salientes e IPSEC mejorado

► Windows Server 2008 ofrece toda lo necesario para consolidar la infraestructura de nuestra empresa:

Nuevo Rol de Virtualización (Hyper-V) que ofrece máquinas virtuales con rendimiento avanzado y reconocimiento del hardware físico

Nuevo entorno de Cluster de FailOver mejorado con dos nuevos tipos de Quorum y con compatibilidad con Hyper-V

Compatibilidad nativa con diversos tipos de almacenamiento (SAN, iSCSI, MPIO…)

Se incluye WSRM entre las características disponibles de Windows Server 2008 para la asignación de recursos de hardware

Mejora de las prestaciones en la mayoría de los servicios habituales de Windows Server

Las versiones disponibles de Windows Server 2008 son: Windows Server 2008 Standard Edition Windows Server 2008 Enterprise Edition Windows Server 2008 Datacenter Edition Windows Web Server 2008 Windows Server 2008 para sistemas basados en Itanium Windows HPC Server 2008 Windows Small Business Server 2008 Windows Essential Business Server 2008

Nota: Server Core solo está disponible para las versiones Standard, Enterprise, Datacenter y Web Server

Los requisitos mínimos de instalación para cualquiera de las versiones de Windows Server 2008 son:

Mínimo Recomendado

Procesador 1 GHz (x86) o 1.4 GHz (x64) 2 GHz o más

Memoria 512 MB RAM 2 GB RAM o más

Máximo (32-bit): 4GB RAM (Standard) o 64GB RAM (Enterprise y Datacenter)

Máximo (64-bit): 32GB RAM (Standard) o 2TB RAM (Enterprise, Datacenter y Itanium-Based Systems)

Adaptador de Video Super VGA (800 x 600) Super VGA (800 x 600) o mejor resolución

Espacio Libre en Disco Duro 10 GB 40 GB o más

Unidades DVD-ROM DVD-ROM o mejor

Dispositivos adicionales Monitor Super VGA (800 x 600) ,Teclado y Ratón

Super VGA (800 x 600) o monitor de mejor resolución, Teclado y Ratón

El proceso de instalación de Windows Server 2008 es similar al de Windows Vista:

Modo de instalación gráfico mediante Windows PE 2.0 Posibilidad de hacer uso de las herramientas de WinRE para recuperar un

sistema de ante errores de arranque o de otra índole. Implementación mediante imágenes WIM Posibilidad de elección entre las diferentes versiones de Windows

incluidas en la imagen No obligatoriedad de escribir el código de producto durante la

instalación, en cuyo caso será necesario introducirla a lo largo de los 30 días de prueba del producto desde su instalación

Instalaciones desatendidas mediante archivos “unnatend.xml”

►En Windows Server 2008 el proceso de instalación consiste en cuatro fases:

Recopilación de información (idioma, teclado, zona geográfica)

Introducción de la clave del producto

Selección de la partición de instalación

Instalación:Copia de los archivos a la unidad de instalaciónDescompresión de los archivosInstalación del Sistema OperativoConfiguración previa del sistema

► Windows Server 2008 proporciona mecanismos para realizar una configuración rápida del servidor sin necesidad del DVD de instalación.

► La consola principal de configuración del sistema es “Server Manager” que permite configurar el servidor mediante roles.

► Server Manager engloba las funcionalidades del sistema operativo en forma de “Roles” (funciones principales) y “Características” (funciones auxiliares)

► La instalación de un rol es muy sencilla y rápida permitiendo así que el servidor desempeñe las funcionalidades lo antes posible y de forma segura.

► La instalación de roles activa reglas en el “Firewall de Windows con Seguridad Avanzada” para permitir los tipos de comunicación necesarios para el funcionamiento correcto del ROL

►Windows Server 2008 proporciona dos consolas de administración para la gestión de roles y características

Server ManagerInitial Configuration Task

►Esta consolas van a facilitar la configuración y mantenimiento del servidor por parte del administrador

►Son abiertas de manera automática tras el inicio de sesión en Windows Server 2008 por parte de un usuario administrador

►La consola Initial Configuration Task ayuda a los administradores a realizar una configuración inicial de los servidores

►Esta configuración permite acortar la cantidad de tiempo que transcurre entre la instalación del sistema operativo y la implementación del servidor para producción

►Esta consola muestra un resumen de la configuración del servidor y ofrece enlaces a tareas de administración como:

Establecer la contraseña del administrador Información del dominioConfiguraciones de redConfigurar el modo de actualización del servidorAñadir funcionalidadesConfigurar el escritorio remoto y el firewall

►Esta consola permite a los administradores ver y administrar gráficamente toda la información relativa a la productividad, configuración y la salud del servidor.

►Server Manager incluye las mismas funciones que la MMC tradicional de “Administrador de Equipos” facilitando además la gestión de roles instalados

Visualizar y modificar el rol del servidor, y las características instaladas en el servidor

Tareas administrativas de mantenimiento relacionadas con el ciclo de vida funcional del servidor (iniciar o parar servicios y administrar cuentas locales de usuario)

Determinar el estado de salud del servidor, identificar eventos críticos, y analizar y resolver problemas de configuración.

►Los roles que puede asumir un servidor son los siguientes (todos ellos asegurados por defecto):

Active Directory Domain Services (ADDS):Funcionalidad de controlador de dominio (DC). Centraliza la seguridad y facilita el uso de los recursos por los usuarios.

Active Directory Lightweight Directory Services (AD LDS):

Base de datos LDAP para el almacenamiento de información específica de aplicaciones.

Active Directory Federation Services:Permite extender el proceso de Inicio de Sesión Único (SSO) en una federación de servicios entre varias empresas o plataformas, más allá del bosque de la organización.

Terminal Services:Proporcionando un servidor que permite acceder a los usuarios para lanzar un programa o trabajar a escritorio completo.

Network Access Services:Proporciona soporte de enrutamiento para el trafico LAN y WAN, mediante la creación de políticas de acceso. También proporciona servicio de conexiones VPNs, acceso telefónico a redes y el Servidor de Políticas de NAP.

Windows Deployment Services:Proporciona un modo simple, rápido y seguro de realizar instalaciones de software en los equipos de una red haciendo uso de imágenes WIM.

DNS ServerServidor para resolución de nombres mediante DNS. Soporta IPv6.

DHCP ServerServidor de ofrecimiento de IPS, ofrece compatibilidad para IPv6 y para la implantación de NAP

Fax ServerServidor de FAX de Microsoft. Permite recibir y enviar faxes así como digitalizar documentos.

Hyper-VServidor de Virtualización por Hardware de Microsoft para versiones de 64bits. Ofrece Clustering y reconocimiento del hardware físico por parte de las máquinas virtuales

Active Directory Rights Management Services (AD RMS):

Proporciona una entidad certificadora para establecer la identidad de los usuarios, un servicio de licenciamiento para proteger la información y un servicio de registro de eventos.

UDDI Services:Permite catalogar y administrar los recursos de la red para el descubrimiento automático de WEB SERVICES

Active Directory Certificate Services:Permite crear y administrar una entidad certificadora compatible con CNG y con OCSP.

Web Server (IIS 7.0)Es la nueva versión del servidor WEB de Microsoft que ofrece grandes mejoras en escalabilidad, seguridad y rendimiento

File ServerServidor de archivos en el que se encuentra ubicado el servicio DFS y los sistemas compatibles con NFS de Unix

Print ServerServidor de Impresión de Microsoft, permite administrar las impresoras de la organización desde un único punto y desplegarlas mediante Políticas de Grupo en Directorio Activo.

► Las características (Features) son funcionalidades auxiliares del servidor. En Windows Server 2008 están presentes las siguientes:

GPMC (Administrador de directivas de grupo) Administrador de almacenamiento extraíble Administrador de almacenamiento para redes SAN Administrador de recursos del sistema de Windows (WSRM) Asistencia remota Características de Net Framework 3.0 Características de Copias de seguridad de Windows Server Cifrado de Unidad Bitlocker Cliente de impresión de Internet Cliente Telnet Cliente TFTP

Cluster de Conmutación por error Compresión diferencial remota E/S de múltiples rutas (MPIO) Equilibrio de carga de red (NLB) Experiencia de calidad de audio y video de Windows (qWave) Experiencia de uso Extensiones de servidor BITS Herramientas de administración remota del servidor Kit de administración de Connection Manager (CMAK) Message Queue Server Monitor de puerto LPR Protocolo de resolución de nombres de mismo nivel RPC sobre proxy HTTP

Servicio WAS (Windows Process Activation Service) Servicio WLAN Servicios simples de TCP/IP Servicios de SNMP Servidor de nombres de almacenamiento de Internet (iSNS) Servidor SMTP Servidor Telnet Servidor WINS Subsistema para aplicaciones UNIX Windows Internal Database Windows PowerShell

► La gestión de roles y características también se puede realizar mediante comandos. Para ello podemos usar la herramienta “ServerManagerCMD” con el que podemos:

Consultar, instalar y desinstalar roles y características Exportar la configuración actual del servidor a XML Realizar instalaciones desatendidas mediante un fichero XML

► ServerManagerCMD se puede combinar con la herramienta “Command Line Transformation Utility” (msxsl.exe) descargable gratuitamente de la página web de Microsoft para transformar el XML de consulta de ServerManagerCMD en un fichero XML válido para instalación desatendida.

►Windows Server 2008 ofrece importantes mejoras respecto a las comunicaciones, algunas de las más destacables son:

Pila de nueva generación de TCP/IP que incluye IPv4 e IPv6. Nuevo protocolo LLTD (Link Layer Topology Discover) para

descubrimiento de la topología y control de QoS Tecnología de Neighbor Unreachability Detection de IPv6

para el protocolo IPv4 para una mejor detección de errores y recuperación

Network Diagnotics Framework para la detección de fallos y resolución de problemas en la conexiones de red.

SMB 2.0 para comunicaciones más eficaces y seguras con respecto a recursos compartidos

Centro de Redes y Recursos compartidos que centraliza la configuración de red del equipo

►Windows Server 2008 incluye la nueva generación del protocolo de comunicación TCP/IPv6, la cual incorpora compatibilidad con redes y sistemas TCP/IPv4

►Windows Server 2008 instala por defecto el protocolo de comunicación TCP/IPv6

►Esta nueva generación de sistemas operativos permite instalar tanto el protocolo de comunicación TCP/IPv4 como TCP/IPv6

►Si los dos protocolos están instalados, el sistema operativo utilizará como primera alternativa TCP/IPv6

►Teredo es una tecnología de transición que permite asignación de direcciones y tunneling automático para tráfico Unicast IPv6 cuando los nodos IPv6/IPv4 están separados por uno o más NATs IPv4

►Para atravesar los NAT IPv4, los paquetesIPv6 se envían como mensajes UDP IPv4

►Direccionamiento Teredo en Windows Server 2008

►La configuración de IPv6 en Windows Server 2008 se puede realizar manualmente de un modo similar a la realizada con IPv4.

►Otras características novedosas de IPv6: IPSec mejoradoMLDv2 equivalente a

IGMPv3 de IPv4LLMNR permite la

resolución de nombres sin Servidor DNS (solo en redes domesticas o wireless)

DHCPv6

► Está presente en Windows Vista y Windows Server 2008► El formato del paquete es completamente distinto a SMB 1.0► Mantiene compatibilidad con SMB 1.0 gracias un proceso de

negociación inicial► Ofrece un mejor rendimiento en conexiones de alta latencia y

ante perdidas puntuales de conexión► Usa SHA256 para la firma digital de paquetes► Permite un mayor número de sesiones simultaneas y de

archivos abiertos► Soporta Vínculos Simbólicos► Soporta múltiples comandos en un mismo paquete SMB

►El firewall de Windows Server 2008 no tiene nada que ver con los de versiones anteriores.

►Por supuesto proporciona un nivel de protección contra programas y usuarios maliciosos.

►La seguridad avanzada del Firewall de Windows incluye:

Soporte para el tráfico entrante y saliente. Consola MMC para una configuración más sencilla. Filtros integrados y protección con IPSec. Nuevas reglas y configuración de excepciones. Capacidad de exportar e importar la configuración Posibilidad de administración remota del firewall por RPC

► Windows Server 2008 ofrece un enfoque a seguridad sin precedentes. Entre los elementos más destacados tenemos:

Requisito de firma digital para sistemas de 64 bits Control de Cuentas de Usuario (UAC) habilitado por defecto Nuevo Firewall de Windows con Seguridad avanzada, compatible

con filtros de entrada y de salida y con capacidad de gestión de IPSEC

Network Access Protection para el control de acceso a la red corporativa en función del estado del cliente

Nueva CryptoAPI conocida como CNG (Cryptography API: Next Generation)

Arquitectura de seguridad completamente renovada con tecnologías como MIC, Windows Service Hardening, UIPI, ASLR, Kernel Path Protection etc.

► Esta consola permitirá configurar el firewall de la máquina local y de cualquier otra máquina remota.

► La gestión del Firewall está basada en perfiles Perfil Público

Pensado para conexiones inseguras, por ejemplo una conexión directa a internet. Restringe la mayoría de las conexiones entrantes.

Perfil PrivadoPerfil pensado para grupo de trabajo, configurado para permitir las opciones habituales (archivos compartidos, ping etc.)

Perfil de DominioSe aplica cuando el equipo es cliente de un dominio y la tarjeta de red tiene comunicación con este

► Estos perfiles se aplican a cada tarjeta de red y son configurables mediante el “Centro de Redes y Recursos Compartidos”

Excepciones por número de protocolo IP

Excepciones por host origen y destino

Excepciones para todos los puertos o varios

Excepciones por tipo de interfaz de red

Excepciones por servicios Excepciones para el tráfico

ICMP y ICMPv6

Windows Server 2008 permite crear una amplia variedad de excepciones:

►Sistema de prevención de conexiones de clientes que no cumplen con las directivas de la organización:

Actualizaciones necesariasAntivirus instaladoConfiguración determinada, etc

►Ayuda a mejorar la seguridad global de la red, forzando la aplicación de políticas de acceso

►NAP se puede aplicar en conexiones procedentes de estas tecnologías:

IPSecIEEE 802.1x Authenticated Network ConnectionsDHCPVPNTerminal Services Gateway

►Los tipos de conexiones compatibles con NAP son ampliables mediante el uso de las APIs adecuadas.

►Componentes de Cliente de NAP:NAP Agent

Coordina información entre varios System Health Agents (SHAs) y clientes NAP (NAP enforcement clients (NAP ECs))

System Health Agent. Se integra con el Agente NAP para verificar las políticas e indicar el estado del sistema. Utiliza una definición de estado (Statement of Health (SoH)) para definir la salud del sistema

► Componentes de Servidor de NAP: NAP Administration Server.

Coordina las datos de salida de los Agentes de Validación (System Health Validators (SHVs) ) y determina si los componentes del servidor deberían limitar el acceso a los clientes

System Health Validator. Valida si el SoH enviado por SHA cumple con el estado requerido. Emite una respuesta denominada Statement of Health Response (SoHR)

Health Policy. Especifica las condiciones requeridas para el acceso ilimitado

Accounts Database.Almacena las cuentas de usuario y equipo y sus propiedades de acceso. Directorio Activo actúa como Base de datos de Cuentas

Health Certificate Server.Combinación de la Autoridad de Registro de Salud (Health Registration Authority (HRA)) y la Autoridad de Certificación (CA). Este servidor obtiene certificados para los equipos que cumplen con los requisitos de conexión

Remediation Server. Servidores o servicios a los que acceden en una red restringida, los equipos que no cumplen con las condiciones, para configurarse o actualizarse.

Policy Server. Los SHVs se comunican con los Policy Servers para validar el SoH de un SHA determinado

►Windows Deployment Services es la versión actualizada y mejorada del servicio de instalaciones remotas (RIS)

►Este servicio proporciona los siguientes beneficios:Reducción del TCO y la complejidad de implementación de

VistaEl uso de Windows PE 2.0 como entorno de instalación

ofrece compatibilidad con Scripting, IPv6 y una mayor velocidad de implementación.

Hace uso de imágenes WIMTiene compatibilidad con Windows XP y Windows Server

2003.Es compatible con imágenes heredadas de RISEn Windows Server 2008 soporta despliegues por

Multidifusión

►WDS es una suite de componentes para facilitar la implementación de sistemas operativos. Los componentes son:

Componentes de Servidor. Estos componentes incluyen un servidor PXE y un servidor TFTP que permiten al equipo cliente arrancar y seleccionar el sistema operativo a instalar. Incluye una carpeta compartida y un repositorio de imágenes.

Componentes de Cliente. Incluye una interfaz de usuario gráfica que arranca sin una instalación previa y permite comunicar con los componentes de servidor para seleccionar e instalar una imagen.

Componentes de Administración. Estos componentes son un conjunto de herramientas que los administradores usan para administrar el servidor, las imágenes y las cuentas de los equipos clientes.

►WDS permite instalar varios sistemas operativos, dando cobertura a sistemas operativos anteriores (2000, XP, 2003)

►Una vez seleccionado el Sistema Operativo a instalar, el proceso de instalación es idéntico a la instalación desde CD.

►Solo necesitamos lascredenciales necesarias para conectarnos al servidor WDS

►Suscripción gratuita en [email protected]

►Informática 64http://[email protected]+34 91 146 20 00

►Juan Francisco Arrabé [email protected]

código: hol-win31. introducción instalación servidor basado en roles gestión de red tecnologías...

Documents