windows server 2012.docx

5/26/2018 windows server 2012.docx

1/37

INFORMACION

Windows Server 2012 R2Administracin avanzada

Este libro est dirigido a aquellos administradores e ingenieros de sistemasque deseen adquirirconocimientos avanzados sobre Windows Server 2012 R2y dominarlo en profundidad.

Responde a la necesidad de disponer de una mayor experiencia por parte del lector, tratando con profundidad,desde un punto de vista terico y prctico, roles imprescindibles tales como Active Directory, DFS, Hyper-V,BitLocker, el reparto de cargao incluso la VPN. Tambin se describen todas las especificidades deWindows Server 2012 R2(como, por ejemplo, los avances en trminos de virtualizacin, de seguridad, losWork Folders, IPAM, Workplace Joint, la Experiencia con Windows Server Essentials,etc.), para

permitirle aprovechar al mximo el potencial de esta versin.

Desde el despliegue, pasando por el clustering, y hasta la virtualizacin, este libro es el compaero ideal paraaprender hasta el ltimo detalle de esta versin de Windows Server. Aporta un alto nivel de experiencia y suvocacin es convertirse en una obra de referencia.

Los autores ponen a disposicin del lector sus conocimientos en tecnologas Microsoft(MVP, MCSE y/oMCITP, MCSA) y su experiencia, muy significativa, en infraestructuras integrales y complejas, para proveerun nivel de calidad que respete las mejores prcticas del mundo profesional de la empresa.

Los captulos del libro:IntroduccinDominio Active Directory Arquitectura distribuida de acceso a los recursosAltadisponibilidadImplementar los servicios de Red de la empresa La evolucin de la red Servicios deEscritorio remoto Acceso remoto Aplicaciones de Internet Reducir la superficie de ataque Consolidar susservidoresDespliegue de servidores y puestos de trabajoSecurizar su arquitectura El ciclo de vida de suinfraestructuraPrepararse para el futuro

Thierry DEMAN - Freddy ELMALEH - Sbastien NEILD -Thierry DEMANes Arquitecto de Sistemas y domina las tecnologas Microsoft

tras numerosos aos trabajando en el seno de Permis Informatique. Estreconocido como Microsoft MVP (Most Valuable Professional) en Exchange trasvarios aos. Est certificado, entre otros, en MCSE Messaging 2013 y MCSAWindows Server 2008 et 2012.

Freddy ELMALEHes consultor freelance, experto en Seguridad y solucionesde Infraestructura de Microsoft. Fundador de la empresa Active IT, colabora conmuchas grandes empresas en servicios de consultora y auditora de sistemas yseguridad. Est reconocido como Microsoft MVP (Most Valuable Professional)en Directory Services desde 2007 gracias, en particular, a su activa participacinen el seno de la comunidad Microsoft (Foro Technet y laboratorio Microsoft).Tambin est certificado en MCITP Server Administrator para Windows Server2012.

Sbastien NEILD es Ingeniero de Sistemas y Redes en una empresa deservicios. Colabora como responsable de proyectos de Active Directory yExchange y ha participado en numerosos proyectos de despliegue y migracin deinfraestructuras Windows Server. Est certificado en MCSE y MCITP ServerAdministrator para Windows Server 2008.

Maxence VAN JONES es consultor freelance, Arquitecto de sistemas y redes,Jefe de proyecto, formador MCT y fundador de MVJ CONSULTING. Intervienecomo experto en proyectos de diseo de parques informticos, de virtualizacin yde securizacin siempre en relacin con tecnologas Microsoft. Est, entre otros,certificado en MCITP Enterprise Administrator para Windows Server 2008 yMCSA para Windows Server 2012.


2/37

Introduccin

Este libro trata sobre la ltima versin del sistema operativo de la gama Windows Server deMicrosoft

Se trata, evidentemente, de Windows Server 2012 R2.

Microsoft, fiel a su estrategia, busca dinamizar la evolucin de sus productos, prefiriendo, deeste modo, definir un ciclo de vida ms corto a sus productos para aportar, de manera regular,mejoras y evolutivos tcnicos adaptados al mercado.

Windows Server 2012 no se sale de esta norma, y algunos meses despus de la aparicin dela versin R1, ha hecho su aparicin Windows Server 2012 R2 y se pone a disposicin detodos los profesionales.

Microsoft ha diseado Windows Server 2012 para ofrecer una plataforma flexible y completaque responda a las necesidades, cada vez ms exigentes, de las empresas. Esta versinevoluciona de acuerdo a su tiempo teniendo en cuenta la tendencia hacia la virtualizacin deservidores, al Cloud Computing y a la premisa "Bring Your Own Device". Podr, de estemodo, aprovechar las nuevas funcionalidades, tiles y prcticas, que le permitirn basar elconjunto de sus Sistemas de Informacin en una solucin Microsoft.


3/37

Las distintas ediciones de Windows Server 2012/2012 R2

Como es habitual, Microsoft Windows Server 2012 R2, as como Windows Server 2012, est disponible endistintas versiones. La eleccin de una u otra edicin depender, especialmente:

Del rol del servidor que prev instalar. De la estrategia de virtualizacin empleada. Del tipo de licencia utilizado.

Para realizar esta eleccin, hay disponibles cuatro ediciones de Windows Server 2012 R2:

Windows Server 2012 R2 Datacenter: se trata de la versin ms completa, que soporta hasta 64procesadores. Se trata de una versin destinada a servidores especialmente potentes que slo estdisponible bajo un programa de clave de licencia por volumen. Su modelo de licencia se calcula enfuncin del nmero de procesadores y del nmero de CAL. Permite alojar un nmero ilimitado demquinas virtuales.

Windows Server 2012 R2 Standard: se trata de una versin idntica a la edicin Datacenter, salvoque slo permite el uso de dos instancias virtuales.

Windows Server 2012 R2 Essentials: esta versin remplaza a Small Business Server Essentials.Algunos roles no estn disponibles en comparacin con una versin Standard (Server Core, Hyper-V,etc.). Esta edicin est limitada a una nica instancia fsica o virtual, con un mximo de 25 usuarios.Las versiones Standard y Datacenter permiten utilizar ciertas funcionalidades que, habitualmente, son

propias de la versin Essentials (tales como la copia de seguridad de los equipos cliente, los cuadros demando, etc.).

Windows Server 2012 R2 Foundation: esta edicin no ofrece solucin de virtualizacin (no esposible instalar Hyper-V), y est limitada a 15 usuarios. Es posible obtener ms informacin sobre lasespecificaciones (idnticas entre las versiones 2012 y 2012 R2) de esta versin en la siguientedireccin:http://technet.microsoft.com/en-us/library/jj679892.aspx

Observe que existe, a su vez, una versin gratuita llamada Hyper-V Server 2012. Est preconfigurada paraejecutar una versin mnima (Core) de Windows Server 2012 y slo puede alojar el rol Hyper-V. Es posibleencontrar ms informacin en la siguiente direccin:http://technet.microsoft.com/es-es/evalcenter/dn205299.aspx

Windows Server 2012 R2 est disponible nicamente en versin 64 bits; las versiones de 32 bits e Itanium ya noestn disponibles.

Si desea informacin ms precisa, encontrar una descripcin detallada de las distintas versiones de Windowsen la siguiente direccin (en ingls):http://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspx

La gestin de las licencias se ha rediseado por completo. Para Windows Server 2012 Standard y Datacenter, elclculo de licencias "por servidor" cambia por licencias "por procesador". Preste atencin, en adelante, al

hardware de sus servidores. Por defecto, estas versiones parten de una licencia para dos procesadores. La nicadiferencia entre ambas versiones reside en el derecho a la virtualizacin: ilimitado en la versin Datacenter y dedos mquinas virtuales en la versin Standard.

Encontrar la FAQ oficial (en ingls) correspondiente a las licencias en la siguiente direccin:http://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdf

Se aplica, a su vez, un licenciamiento particular a las mquinas virtuales. Todos estos detalles se encuentran enla siguiente documentacin:http://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdf

Dado que las versiones Foundation y Essentials estn mucho menos extendidas en la empresa, este documentose centra en las ediciones Standard y Datacenter.
http://technet.microsoft.com/en-us/library/jj679892.aspxhttp://technet.microsoft.com/en-us/library/jj679892.aspxhttp://technet.microsoft.com/en-us/library/jj679892.aspxhttp://technet.microsoft.com/es-es/evalcenter/dn205299.aspxhttp://technet.microsoft.com/es-es/evalcenter/dn205299.aspxhttp://technet.microsoft.com/es-es/evalcenter/dn205299.aspxhttp://technet.microsoft.com/es-es/evalcenter/dn205299.aspxhttp://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspxhttp://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspxhttp://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspxhttp://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdfhttp://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdfhttp://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdfhttp://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdfhttp://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdfhttp://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdfhttp://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdfhttp://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdfhttp://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/WindowsServer2012VirtualTech_VLBrief.pdfhttp://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdfhttp://download.microsoft.com/download/4/D/B/4DB352D1-C610-466A-9AAF-EEF4F4CFFF27/WS2012_Licensing-Pricing_FAQ.pdfhttp://www.microsoft.com/en-us/server-cloud/windows-server/buy.aspxhttp://technet.microsoft.com/es-es/evalcenter/dn205299.aspxhttp://technet.microsoft.com/es-es/evalcenter/dn205299.aspxhttp://technet.microsoft.com/en-us/library/jj679892.aspx


4/37

Los grandes ejes de Windows Server 2012 R2

Durante el estudio de los ejes principales de esta versin de Windows Server, Microsoft tiene en consideracinla carga de trabajo, la presin creciente sobre el servicio IT de las empresas y la explosin del CloudComputing. El sistema operativo deber, por tanto, dar respuesta a estas tres exigencias esenciales.

1. Un mejor control de la informacin

Windows Server 2012 R2 provee un mejor control de la informacin para garantizar una mayor eficacia en laadministracin y, en consecuencia, una mejora en la productividad. La nueva interfaz, de tipo mosaico, escoherente con el resto de la nueva gama de los OS Windows. Aunque le pueda resultar algo desconcertante,Microsoft ha rectificado su estrategia en la versin R2 reintegrando el botn Inicio. Es posible que la toma decontrol suponga, todava, algn problema, por ello le invito a leer la siguiente pgina, a riesgo de que no seacapaz de volver a reiniciar su servidor salvo por lnea de comando:http://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_run

Para aumentar esta calidad en la administracin, en Windows Server 2012 R2 se ha aumentado la capacidad de

script y de automatizacin de tareas gracias al lenguaje de script Windows PowerShell. La automatizacin detareas corrientes de administracin se ve, de este modo, mejorada enormemente gracias a esta nuevafuncionalidad. Prcticamente todas las acciones realizadas en el seno del sistema se pueden automatizar conPowerShell, y existen muchos asistentes que proponen, como ltimo paso, recuperar la sintaxis PowerShellequivalente a las acciones realizadas.

El servicio de directorio de Active Directoryest dotado, desde Windows Server 2008 R2, de funcionalidadestales como la papelera de reciclaje de Active Directory, la administracin automtica de cuentas de servicio oincluso la posibilidad de administrar de forma grfica las directivas de contraseas mltiples, que encantarn atodo administrador. El control de acceso dinmicopermite controlar el acceso a los datos de forma dinmica.Identifica la criticidad del dato (segn los atributos que se hayan definido) y guarda, a continuacin, el controlsobre el que se ubican en el seno del Sistema de Informacin.

La instalacin basada en roles y caractersticas, gracias a la consola nica Administracin del servidor, facilitala administracin. Los asistentes disponibles permiten limitar al mximo los errores de configuracin gracias asus numerosas explicaciones, que guan al administrador en la etapa de instalacin de un componente Windows.La consola permite, a su vez, instalar y administrar servidores fsicos remotos o virtuales, tanto desde unservidor como desde un puesto de trabajo, mediante las herramientas de administracin RSAT. Es, por tanto,fcil crear un grupo de servidores que tengan que gestionarse de manera conjunta.

Microsoft ofrece, a su vez, la opcin de instalar por defecto una versin mnima de Windows Server 2012 R2,conocida con el nombre de Windows Server Core. Esta versin funciona, de hecho, sin una interfaz grfica ytodo debe configurarse por lnea de comandos. La ventaja principal de este tipo de administracin reside en elhecho de que la superficie de ataque se reduce por el hecho de que solamente se instalan en el servidor aquelloscomponentes imprescindibles. Los administradores agregarn, a continuacin, los roles que deseen. La interfaz

grfica se considera una caracterstica ms que es posible desinstalar.

Consolas tales como el monitor de confiabilidad y rendimiento de Windowspermite detectar problemas deconfiguracin en sus sistemas operativos, e informar automticamente al servicio informtico. Ofrece, a su vez,mucha informacin precisa sobre el uso de componentes del sistema.

En lo sucesivo, es posible realizar una mejor administracin de la impresin. En efecto, es posible instalarimpresoras automticamente sobre equipos de usuario mediante directivas de grupo.

La consola MMC le permite gestionar, controlar y resolver mejor los fallos de las impresoras de su dominio.

Por ltimo, y una buena noticia ms para los administradores, las reglas Applocker permitirn realizar un mejor

control de las aplicaciones cuyo uso se autorice con Windows Server 2008 R2/2012/2012 R2 y Windows7/8/8.1.
http://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_runhttp://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_runhttp://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_runhttp://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_runhttp://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_runhttp://technet.microsoft.com/es-es/library/hh831491.aspx#BKMK_run


5/37

2. Una mejor proteccin del Sistema de Informacin orientada a la movilidad y al Cloud

Microsoft ha rehecho completamente el ncleo de su sistema operativo desde Windows Server 2008. Existe unncleo NT 6.x desde Windows Vista/2008 (Windows 2000 y XP se basaban en el ncleo NT 5.x). Windows 8 y2012 se basan en el ncleo 6.2.

Este ncleo posee la tecnologa Patchguard, desarrollada por Microsoft para proteger al mximo el sistemaoperativo y, de este modo, mantener una barrera para los rootkits o cualquier otro ataque que trate de modificarel ncleo del sistema. Windows Server 2012/2012 R2, igual que Windows 8/8.1, aprovechan la funcionalidadELAM (Early Launch Anti-Malware) que permite cargarse nicamente a aquellos drivers firmados, tras elarranque del sistema.

La proteccin de acceso a redes (NAP)est, tambin, accesible y le permite implementar condiciones de usode su sistema dentro de la empresa. Se terminaron las personas externas que llegaban con un ordenador porttilque no cumpliera con las reglas de la organizacin y los usuarios sin el antivirus actualizado! El acceso a la redse les denegar mientras no cumplan con los criterios de conformidad que usted haya juzgado convenientes.

El acceso a la red de la empresa cobra una nueva dimensin con la simplicidad en la implementacin deDirectAccess, que permite a los administradores aprovechar un control mayor sobre los equipos, pudiendo, deeste modo, administrarlos incluso antes de que se conecte un usuario (GPO disponibles, etc.). Se termin lanecesidad de tener una infraestructura IPv6 para aprovechar esta solucin, como ocurra con Windows Server2008 R2.

Los controladores de dominio de solo lectura (RODC)refuerzan la seguridad de sus dominios ActiveDirectory en la medida en que puede limitar la difusin de ciertas contraseas en caso de que se veacomprometido algn controlador de dominio. stos encontrarn, por ejemplo, su lugar en las pequeas redes deagencia donde la seguridad del controlador de dominio no puede garantizarse.

El acceso VPNa travs de protocolos tales como SSL facilitan el acceso al Sistema de Informacin y, tambin,intercambiar datos con otros equipos. La pasarela sitio-a-sitio multi-inquilinoprovee, de este modo, la opcin

de utilizar una misma pasarela Site To Site para conectar clientes que posean el mismo plan de direccionamientoIP.

El firewall avanzadode Windows Server 2012 R2 permite limitar la superficie de ataque de sus servidoresrealizando un filtrado de los puertos sobre el trfico de red entrante o saliente. El firewall analiza el flujo a nivelde aplicacin, de modo que puede no autorizar el trfico para un servicio especfico. Adems, la nueva consolade gestin MMC para el firewall avanzado permite configurar los flujos IPsecpara asegurar la integridad ocifrar el flujo entre equipos. Esto resulta ideal para definir un cifrado entre controladores de dominio o entreequipos de administracin y servidores de administracin.

El cifrado del lector de disco se realiza con BitLocker, que permite, a su vez, impedir el acceso a los datos de sudisco duro desde una instalacin paralela de otro sistema operativo.

Los servicios asociados a Active Directory refuerzan, a su vez, la seguridad de su infraestructura informtica. Elrol AD CS(Active Directory Certificate Services) permite difundir certificados basados en el nuevo modelo decertificados versin 4. El rol AD RMS(Active Directory Rights Management Services) le da la posibilidad decontrolar la difusin de los documentos en su empresa. El rol AD FSpermite favorecer enormemente losintercambios de informacin con equipos asociados externos, o incluso mejorar el uso de terminales personales

para conectarse al Sistema de Informacin de la empresa (BYOD) con un control mnimo sobre estos equiposgracias a Workplace Join.

Siempre desde un punto de vista de apetura hacia la movilidad, la funcionalidad de Carpetas de trabajopermiten sincronizar archivos profesionalesentre varios PC o dispositivos que pertenezcan al mismo usuario,pertenezcan o no a la empresa.

Las funcionalidades de seguridad presentes en Windows Server 2012 R2 permiten, por tanto, limitar el riesgo deataque sobre el servidor garantizando una productividad y una flexibilidad importantes.


6/37

3. Una plataforma que evoluciona

Windows Server 2012 R2 es una plataforma capaz de adaptarse y responde a las necesidades de evolucin deuna sociedad.

La tecnologa hypervisor(Hyper-V) responde a la necesidad, cada vez mayor, de las empresas que deseanvirtualizar algunos de sus servidores. Esta tecnologa responde, de este modo, de forma ultra-reactiva a loscambios de trabajo dinmicos y al desarrollo de la cloud privada. Las rplicas de Hyper-V resultarninteresantes para ms de una PYME que no disponga del presupuesto suficiente para la implementacin de unasolucin de replicacin para responder ante un desastre o siniestro. Una rplica de Hyper V permitir replicaruna mquina virtual hacia otra, ahorrando el mximo de ancho de banda, gracias a una compresin y un registrode los cambios en un disco de una mquina virtual.

Un espacio de almacenamiento, novedad funcional desde Windows Server 2012, permite utilizar discos duroseconmicos para crear zonas de almacenamiento. Esta zona puede, por tanto, dividirse en espacios que seutilizarn como discos fsicos. Un poco de manera similar a como ocurre con SAN, aunque de forma muchomenos onerosa, esta funcionalidad permite incluir discos auxiliares en caliente y utilizar mtodos deredundancia (paridad, mirroring, etc.).

El protocolo SMB(Server Message Block) pasa a la versin 3.0 y se ha visto mejorado considerablemente.Tiene en cuenta funcionalidades tales como la conmutacin automtica SMB, la consideracin de SMB, eltestigo de carpeta, etc. Tiene en cuenta, tambin, el almacenamiento en archivos VHD o un sistema de bases dedatos SQL.

Los servicios Terminal Serveraportan una gran cantidad de innovaciones que mejorarn enormemente laexperiencia de usuario.

Es posible realizar un acceso centralizado a las aplicaciones de cara a desasociar, poco a poco, el puesto detrabajo de las aplicaciones que son necesarias para los usuarios.

Tambin puede hacer disponibles aplicaciones (publicacin de aplicaciones) sin que tengan que estar instaladasen el equipo del usuario. El acceso directo de la aplicacin aparece, ahora, en el escritorio del usuario junto a lasaplicaciones instaladas de manera local en su equipo. El usuario no es capaz de distinguir, a primera vista, lasaplicaciones locales de aquellas remotas, lo que le permite ganar tiempo en trmino de formacin de losusuarios. La funcionalidad RemoteFX, que haba hecho su aparicin con Windows Server 2008 R2, se ha vistomejorada y ya no requiere ninguna configuracin particular para aprovechar una calidad grfica excepcionalmediante RDP (lectura de animaciones, webcam, etc.).

Un servicio de pasarela Terminal Services(tambin llamado RD Gateway) le permite no tener que multiplicarlos puertos a abrir en su red o a implementar una red privada virtual. Basta con tener un nico punto de entrada,a travs de un portal Web, que le permite acceder a su red privada virtual. El trfico RDP se encapsula, enefecto, de manera transparente en un flujo SSL (HTTPS).

El acceso Web a los servicios Terminal Server(RD Web Access) es una interfaz Web que le permite accedera las aplicaciones RemoteApp que haya decidido publicar. Estas aplicaciones estn, de este modo, accesiblesdesde su navegador de Internet. Esta solucin se basa en IIS y puede, a su vez, integrarse en un portalSharePoint.

Gracias a Windows Server 2012 puede gestionar la evolucin de la empresa y, en particular, administraraplicaciones que requieran una alta disponibilidad.

El clster de servidorestiene como cometido contener varios a servidores con un mismo rol. Si alguno de losservidores (llamados nodos del clster) no est disponible, el sistema de clster bascula, automticamente, haciaotro nodo disponible. Esto se realiza sin ninguna intervencin por parte de los administradores, lo que limita laduracin de la indisponibilidad de una aplicacin.


7/37

El servicio de alta disponibilidad se caracteriza, a su vez, por la posibilidad de hacer un reparto de la carga dered(llamada, a su vez, NLB por Network Load Balancing). Este reparto o equilibrado de carga permite repartirla carga de red entre varios servidores que presenten la misma informacin. El reparto de carga de red puede, deeste modo, responder a un desarrollo importante de la actividad de un sitio de Internet, por ejemplo,seleccionando dirigir las demandas de conexin al servidor Web en el servidor IIS menos ocupado.

Por ltimo, el ciclo de vida de su servidor resulta ms sencillo de gestionar gracias a un conjunto deherramientas adaptadas y tiles.

Entre todas ellas, podemos citar la caracterstica de copia de seguridadque le permite administrar sus copias deseguridad y restauraciones gracias a asistentes muy intuitivos. La tecnologa de las instantneas permite realizarcopias de seguridad de sus archivos en ejecucin de forma casi inmediata.

El servidor de actualizaciones WSUS3permite administrar el conjunto de actualizaciones (correctivos, parchesde seguridad) de los sistemas operativos y de algunas aplicaciones Microsoft en el seno de su red empresarial.

Este libro tiene tambin como objetivo presentarle las principales funcionalidades de Windows Server2012/2012 R2, insistiendo especialmente en aquellas novedades aparecidas tras el salto tecnolgico que separa a

Windows Server 2003 de Windows Server 2008.

Est salpicado de consejos y recomendaciones de expertos en herramientas Microsoft y se dirige, de este modo,a aquellas personas que ya posean cierta experiencia. No obstante, esta obra tambin pretende explicar losconceptos bsicos de modo que resulte accesible a aquellas personas que no posean una experiencia notoria conla tecnologa de servidor de Microsoft.

Las numerosas direcciones de Internet provistas en las pginas de este libro se recopilan en una webografa,disponible en la pgina Informacin.


8/37

DOMINIO ACTIVE DIRECTORY

Introduccin

Este captulo est dedicado al directorio de Microsoft Active Directory. El servicio dedirectorio de Microsoft resulta indispensable en la gestin de la informacin en el seno deuna empresa.

En la primera parte, se presenta el servicio de directorio en Windows Server 2012 R2. Acontinuacin, seguiremos con explicaciones sobre los principales componentes ligados alservicio de directorio, tales como las directivas de grupo y otros servicios relacionados al

propio directorio.

Presentacin del servicio de directorio deMicrosoft: Active Directory Domain

Services

Usted ya conocer, sin duda alguna, el principio de funcionamiento del directorio ActiveDirectory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, de modo quelos principios generales de un directorio Active Directory (tambin llamado Active DirectoryDomain Services o AD DS) se abordan de manera muy breve para, as, poder centrar suatencin en las especificidades aportadas por Windows Server 2012 R2.

1. Definicin de un dominio de Active Directory

Active Directory es un servicio de directorio que permite referenciar y organizar objetos talescomo cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante gruposde dominio, etc. La informacin puede, as, centralizarse en un directorio de referencia con elobjetivo de facilitar la administracin del Sistema de Informacin.

Desde un punto de vista tecnolgico cabe tener en cuenta tres nociones:

El dominio es la unidad bsica encargada de agrupar los objetos que comparten unmismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente sobreun sistema DNS que soporte actualizaciones dinmicas y registros de tipo SRV).

Una arborescencia de dominios es la agrupacin jerrquica de varios dominiosque comparten un mismo espacio de nombres (por ejemplo, los dominiosmadrid.MiEmpresa.Priv y barcelona.MiEmpresa.Priv).

Un bosque trata de reagrupar varias arborescencias de dominio que tienen en comnun catlogo global y que no comparten, obligatoriamente, un espacio de nombrescomn.

Desde un punto de vista fsico, cabe tener en cuenta tres elementos principales:


9/37

Los controladores de dominio se encargan de almacenar el conjunto de los datos y deadministrar las interacciones entre los usuarios y el dominio (apertura de sesin,

bsquedas en el directorio, etc.). Al contrario que con los antiguos sistemas NT, en eldominio tiene lugar una replicacin multimaestro, lo que permite a cualquiercontrolador poder iniciar una modificacin (agregar una cuenta de usuario, cambiar

una contrasea de usuario, etc.). Cada controlador de dominio contiene, a su vez, particiones. Microsoft ha decidido

compartir la informacin en varias particiones para, as, limitar la extensin de losdatos que hay que replicar. Cada particin tiene, por tanto, su mbito de replicacin.Todos los controladores de dominio de un mismo bosque tienen en comn las

particiones de esquemay de configuracin.

Todos los controladores de dominio de un mismo dominio comparten una particin dedominiocomn.

La cuarta particin (presente de forma opcional) es la particin de aplicacin. sta

almacena los datos sobre las aplicaciones utilizadas en Active Directory y se replicasobre los controladores de dominio que usted elija que formen parte del mismo

bosque.

Los sitios Active Directory ponen en evidencia la agrupacin fsica de objetos de unmismo dominio. Debe, adems, asociar uno (o varios) controlador(es) de dominio aun mismo sitio Active Directory si estos controladores de dominio se comunican conun enlace de red que tenga una buena velocidad de transferencia. En efecto, loscontroladores de dominio de un mismo sitio dialogan de manera mucho ms frecuenteque los controladores de dominio definidos en dos sitios de Active Directory distintos.

Esto le permite, tambin, reducir de manera importante el trfico de red en un enlaceque separe a dos sitios remotos. Los roles FSMO (Flexible Single Master Operation) son un total de cinco en el seno

de una infraestructura Active Directory. Estos roles deben estar contenidos encontroladores de dominio y son necesarios para el correcto funcionamiento de undominio de Active Directory.

Segn los roles, son nicos por dominio o bien por bosque. La siguiente tablamuestra con detalle cada uno de estos cinco roles:

Nombre del rol

FSMO Ubicacin RolMaestro denomenclatura dedominios

nico en elseno de un

bosque

Se encarga de inscribir a los dominiosen el bosque.

Gestiona la nomenclatura deldominio.

Maestro de esquema nico en elseno de un

bosque

Gestiona la modificacin delesquema Active Directory.

Maestro RID nico en elseno de undominio

Distribuye rangos de RID para los


10/37

2.

Funcionalidades de Active Directory en Windows Server 2012

R2

Windows Server 2012 R2 proporciona un gran nmero de funcionalidades, las cualesgustarn tanto a aquellas personas que no tengan un conocimiento previo como a aquellas quedeseen poseer un conocimiento avanzado.

Se le explica cmo instalar un controlador de dominio de Active Directory con WindowsServer 2012 R2, cmo utilizar las directivas de contrasea especficas, etc.

Estas funcionalidades se le presentarn mediante casos prcticos a lo largo de este captulopara que pueda constatar, usted mismo, la utilidad de estas ltimas.

a. Instalacin de un directorio de Active Directory

Desde un punto de vista general, los asistentes de configuracin se han visto mejoradosconsiderablemente a lo largo de las versiones de Windows. Descubrir, rpidamente, queestos ltimos son muy tiles e intuitivos. Por ejemplo, en lo sucesivo puede hacer referencia ala mayora de las opciones avanzadas de instalacin del directorio Active Directory desde el

asistente creado a este efecto.Es necesario agregar un nuevo rol en su servidor Windows Server 2012 R2 para instalar sudirectorio Active Directory.

Puede acceder desde el Administrador del servidor. Utilizar, por tanto, esta consola paraagregar el rol Servicios de dominio de Active Directory(tambin conocido bajo el nombreAD DS por Active Directory Domain Services). Volveremos un poco ms adelante sobre lasetapas detalladas ligadas a esta instalacin.

En primer lugar, el conjunto de manipulaciones debe realizarse con una cuenta de usuario que

posea los permisos de Administrador del servidor.

SID.

Maestro deinfraestructura

nico en elseno de un

dominio

Gestiona los movimientos de objetosde un dominio a otro.

Emulador PDC nico en elseno de undominio

Garantiza una compatibilidad con lossistemas operativos anteriores (NT,en particular).

Sirve como servidor de tiempo dereferencia para el resto del dominio.

Sirve como punto de referenciadurante los procesos de cambio decontrasea y bloqueo de cuentas.


11/37

Asegrese, en primer lugar, que tiene bien definido el nombre NetBIOS de su futurocontrolador de dominio, as como una direccin IP fija vlida. Se recomienda, siempre,definir estos parmetros antes de realizar la promocin de un servidor a controlador dedominio.

Por defecto, el Administrador del servidorse ejecuta cada vez que inicia Windows, y lepermite configurar su servidor una vez instalado.

Haga clic en Configurar este servidor local(o Servidor local) para visualizar laconfiguracin propia a este servidor y modificarla si fuera necesario.

Escoja configurar las opciones de red haciendo clic en los enlaces de hipertexto que seencuentran en la misma fila que Ethernety Nombre de equipo. Podr, de este modo, definiruna direccin IPv4 fija, as como un nombre de equipo descriptivo para su servidor.

En nuestro ejemplo, el nombre de equipo ser DC2012(DC por Domain Controller ocontrolador de dominio). A continuacin deber reiniciar el servidor.

Vuelva sobre Panel, siempre desde la consola Administrador del servidor.

Haga clic en Agregar roles y caractersticas.


12/37

A continuacin se abre el Asistente para agregar roles y caractersticas. La primerapgina aparece, por defecto, con cada ejecucin del asistente. Tiene como objetivo permitirleverificar un conjunto de buenas prcticas antes de continuar con la instalacin de un rol en suservidor (contrasea fuerte, direccin IP esttica, parches de seguridad al da). Haga clic en

Siguiente.

Escoja la opcin Instalacin basada en caractersticas o en rolesy, a continuacin, hagaclic en Siguiente.


13/37

Como es posible instalar, desde este asistente, roles o caractersticas sobre un servidordefinido en un grupo de servidores o desde un disco duro virtual, esta etapa le permite

precisar el servidor o el disco duro virtual en cuestin. En nuestro ejemplo, se trata de unservidor fsico. Seleccione la opcin Seleccionar un servidor del grupo de servidoresy, acontinuacin, haga clic en Siguiente.

Observe que todos los comandos de instalacin se basan en PowerShell y pueden ejecutarsede manera remota.


14/37

Seleccione, a continuacin, el rol o la caracterstica que desea instalar. Como se trata de lainstalacin de un controlador de dominio Active Directory, debe escoger la opcin Serviciosde dominio de Active Directory.


15/37

El asistente le invitar a agregar la instalacin de varias caractersticas necesarias (o, almenos, tiles) para este rol (Herramientas administrativas, Administracin de directivas degrupo, etc.). Las siguientes etapas del asistente se actualizan de manera dinmica en funcindel rol seleccionado. Haga clic en Siguiente.


16/37

A continuacin se le pregunta si quiere aprovechar para instalar las caractersticassuplementarias de su servidor. No es necesaria ninguna para el buen funcionamiento deActive Directory, las caractersticas necesarias ya se le han presentado en la ventana anterior.Haga clic en Siguiente.

El asistente le explica, rpidamente, el rol de los servicios de dominio de Active Directoryas como la principal informacin a tener en cuenta. Le invita, a su vez, a consultar losartculos disponibles en la ayuda de Windows para ms informacin. Haga clic en Siguiente.


17/37

La ltima etapa consiste en confirmar la instalacin del rol en cuestin. Los mensajes deinformacin le avisan de que el servidor se reiniciar al finalizar la instalacin. Reinicio que

puede escoger que se realice automticamente o no. Haga clic en Instalar. Comienza lainstalacin del rol.


18/37

Es posible exportar los parmetros de configuracin. Esto ser til para poder reutilizarlosmediante comandos PowerShell si fuera necesario.


19/37

Es posible cerrar el asistente y continuar trabajando con el servidor sin que la instalacin sedetenga. Puede ver el grado de avance de la instalacin en la consola Administracin delservidor, dentro del rea marcada con la bandera de notificacin.

Una vez terminada la instalacin, se dar cuenta rpidamente de la potencia y de la utilidad

de los asistentes de Windows Server 2012 R2. Estos ltimos le guiarn de manera muyintuitiva en las siguientes etapas a realizar.

En el rea de notificaciones, puede apreciar, pasados algunos minutos, un signo deexclamacin que se corresponde con la Configuracin posterior a la instalacinque deberealizar para continuar con la instalacin de Active Directory. Si no apareciera, aunque lainstalacin haya terminado, cierre el Administrador del servidor y, a continuacin, bralo denuevo (o haga clic en el botn Actualizarque se encuentra justo al lado (a la izquierda) delicono con forma de bandera de notificacin). Haga clic en el enlace Promover este servidora controlador de dominio. Si bien sigue existiendo, el comando dcpromoya no se utilizadesde Windows Server 2012. Servir nicamente para facilitar la transicin de algunas

empresas que hayan desarrollado scripts con este comando. La norma es, ahora, utilizar losscripts PowerShell, puesto que, ahora, todo se basa en ellos. Los cmdlets PowerShell que

pueden resultar tiles son Install-ADDSForest, Install-ADDSDomain, Install-ADDSDomainController y Add-ADDSReadOnlyDomainControllerAccount. Puede encontrarms informacin en la siguiente direccin:http://technet.microsoft.com/en-us/library/hh472162.aspx

Antes de poder instalar un controlador de dominio en Windows Server 2012 R2, el nivelfuncional del bosque deber ser, como mnimo, Windows Server 2008. A modo derecordatorio, para que el nivel funcional del bosque sea Windows Server 2008, es preciso queel nivel funcional de todos los dominios del bosque sean, como mnimo, Windows Server
http://technet.microsoft.com/en-us/library/hh472162.aspxhttp://technet.microsoft.com/en-us/library/hh472162.aspxhttp://technet.microsoft.com/en-us/library/hh472162.aspxhttp://technet.microsoft.com/en-us/library/hh472162.aspxhttp://technet.microsoft.com/en-us/library/hh472162.aspxhttp://technet.microsoft.com/en-us/library/hh472162.aspx


20/37

2008. Esto implica que ya no ser posible tener un controlador de dominio con WindowsServer 2003 en un bosque que tenga un DC con Windows Server 2012 R2.

Si no fuera el caso, deber, obligatoriamente, extender el esquema a Windows Server 2012 y,a continuacin, actualizar el dominio funcional del (o de los) dominio(s) y el bosque

impactados.

Estas etapas resultan, a menudo, temidas por los administradores puesto que la marcha atrses compleja (habr que restaurar, como mnimo, un dominio por bosque). Microsoft haoptado por simplificar esta etapa integrando directamente la actualizacin del esquema y deldominio en el asistente de promocin de un controlador de dominio desde el Administradordel servidor.

El asistente ejecuta como tarea de fondo el comando adprep. Este comando es necesario parapreparar un bosque y un dominio para la instalacin de un controlador de dominio de unaversin superior. Este comando slo est disponible en versin 64 bits.

Si sus antiguos controladores de dominio ejecutan, todava, una versin de 32 bits, es posibleejecutar adprepde manera remota desde un servidor Windows Server 2008 versin 64 bits,Windows Server 2008 R2, Windows Server 2012 o Windows Server 2012 R2 miembro deldominio, incluso aunque no se trate de un controlador de dominio. Adprepse ubica en lacarpeta soporte\adprep del DVD de instalacin de Windows Server 2012 R2. Encontrarmucha ms informacin sobre la instalacin manual de adprepen la siguiente direccin:http://technet.microsoft.com/en-us/library/hh472161.aspx

Si, en el seno de su dominio, todos los controladores de dominio funcionan con Windows

Server 2012 R2, puede aumentar el nivel de su dominio a Windows Server 2012 R2 mediantela consola Dominios y confianzas de Active Directoryo mediante el centro deadministracin de Active Directory(encontrar ms informacin en la direccin:http://technet.microsoft.com/es-es/library/cc753104.aspx). Si, en el seno de su bosque, todoslos controladores de dominio funcionan con Windows Server 2012 R2 puede, tambin,aumentar el nivel funcional de su bosque, siempre mediante alguna de estas consolas(encontrar ms informacin en la direccin:http://technet.microsoft.com/es-es/library/cc730985.aspx)

Existen varios motivos para aumentar el nivel funcional del dominio o del bosque. Aporta, lamayora de veces, funcionalidades y caractersticas suplementarias. Estas funcionalidades se

resumen en la siguiente direccin:http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(v=ws.10).aspx

Observe, no obstante, que algunos componentes no requieren ms que la preparacin deldominio para agregar nuevas funcionalidades (sin tener, obligatoriamente, que implementarel nivel funcional del dominio o del bosque). Es el caso, por ejemplo, del proxy web deaplicacin (Web Application Proxy) que se basa nicamente en las clases del esquemacreadas tras la implementacin del esquema (mediante el comando adprep /forestprep) para

poder funcionar.

Observe, a su vez, que (siempre y cuando la papelera de reciclaje de Active Directory no est

activada) es posible disminuir el nivel funcional de un dominio o de un bosque de Windows
http://technet.microsoft.com/en-us/library/hh472161.aspxhttp://technet.microsoft.com/en-us/library/hh472161.aspxhttp://technet.microsoft.com/es-es/library/cc753104.aspxhttp://technet.microsoft.com/es-es/library/cc753104.aspxhttp://technet.microsoft.com/es-es/library/cc730985.aspxhttp://technet.microsoft.com/es-es/library/cc730985.aspxhttp://technet.microsoft.com/es-es/library/cc730985.aspxhttp://technet.microsoft.com/es-es/library/cc730985.aspxhttp://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28v=ws.10%29.aspxhttp://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28v=ws.10%29.aspxhttp://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28v=ws.10%29.aspxhttp://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28v=ws.10%29.aspxhttp://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28v=ws.10%29.aspxhttp://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28v=ws.10%29.aspxhttp://technet.microsoft.com/es-es/library/cc730985.aspxhttp://technet.microsoft.com/es-es/library/cc730985.aspxhttp://technet.microsoft.com/es-es/library/cc753104.aspxhttp://technet.microsoft.com/en-us/library/hh472161.aspx


21/37

Server 2012 o Windows Server 2008 R2 a Windows Server 2008 mediante los comandosPowerShell siguientes:

Import-Module ActiveDirectory

Set-AdDomainMode -identity MiEmpresa.Priv -server dc2012.MiEmpresa.Priv

-domainmodeWindows2008Domain

Set-AdForestMode -identity MiEmpresa.Priv -server dc2012..MiEmpresa.Priv

-forestmode

Windows2008Forest

Haga clic, a continuacin, en el vnculo Promover este servidor a controlador de dominiodisponible en la lista de tareas o, tal y como se ha indicado antes, haga clic en Promover esteservidor como controlador de dominio.

Se inicia el Asistente para instalacin de Servicios de dominio de Active Directory .

Seleccione una configuracin de despliegue. En nuestro ejemplo, seleccione: Agregar unnuevo bosque. Observe que el asistente le indica un vnculo hacia el archivo de ayuda enlnea de Windows que trata las distintas configuraciones de despliegue posibles.

Si ha seleccionado agregar un controlador de dominio a un dominio existente, tendr laposibilidad, ms adelante, de definir la instalacin del controlador de dominio a partir de unmedio externo (una copia de seguridad, por ejemplo). Esto resulta bastante til para sitiosremotos, por ejemplo, para evitar que se produzca un trfico de red demasiado elevado y sesature el ancho de banda durante la primera sincronizacin entre los controladores dedominio. Puede, si no, definir un controlador de dominio particular para la primera

sincronizacin del directorio de Active Directory para indicar un controlador de dominio del


22/37

mismo sitio y, de este modo, evitar que la sincronizacin no se realice desde un sitio remotoque podra tener un ancho de banda limitado.

D nombre a la raz del bosque. En nuestro ejemplo, el nombre del dominio sermiempresa.privy, a continuacin, haga clic en Siguiente.

Se recomienda, en cualquier caso, informar un nombre de dominio con dos niveles.

No cree, por tanto, ningn dominio Active Directory que tenga, por ejemplo, el nombreMiempresa. Piense, tambin, en prohibir el uso de un guin bajo (underscore) en su nombrede dominio. Si se diera el caso, realice una migracin a un nombre de dominio sin estecarcter, que le generar una serie de inconvenientes en el futuro, especialmente conExchange.

Observe que desde Windows Server 2008 R2, el asistente no le permite crear un nombre dedominio de un solo nivel, bien sea para un bosque o para un nuevo dominio en un bosque yaexistente. S le dejar, por el contrario, agregar un nuevo controlador que se ejecute bajo 2008R2 o superior en un dominio con un nico nivel ya existente. La KB de Microsoft KB300684(http://support.microsoft.com/kb/300684)analiza este caso.

De aqu a dos aos, los fabricantes de certificados pblicos no certificarn ms dominios conextensiones privadas tales como: interna.MiEmpresa.es. Es conveniente disociar los nombresde dominio interno y externo para evitar, en particular, tener que realizar una gestin algo

ms compleja en su zona DNS interna.
http://support.microsoft.com/kb/300684http://support.microsoft.com/kb/300684http://support.microsoft.com/kb/300684http://support.microsoft.com/kb/300684


23/37

Tras hacer clic en Siguiente, el asistente trata de resolver el nombre de dominio paracontactar con un eventual bosque ya existente.

Encontrar ms informacin sobre los distintos tipos de zona DNS y sobre la replicacin enel captulo Implementar los servicios de red de la empresa - Implementar los sistemas deresolucin de nombres.

Es preciso definir el nivel funcional del bosque. Seleccione Windows Server 2012 R2dadoque, en este ejemplo, se trata de un servidor que es el nico controlador de dominio y del

bosque.

Deje marcada la opcin Servidor DNSpara instalar este rol sobre el futuro controlador dedominio. La opcin Catlogo globalaparece marcada obligatoriamente puesto que todavano existe ningn catlogo en el dominio, dado que hemos seleccionado la opcin de crear unnuevo dominio en un nuevo bosque.

Defina una contrasea de restauracin de servicios de directorio. Se utilizar cuando seacceda en modo de restauracin del directorio Active Directory pulsando la tecla [F8] duranteel arranque del sistema operativo. Esta contrasea deber responder a la complejidadrequerida por la directiva de contrasea.

Si bien puede resultar tentador, no defina la misma contrasea que para la cuenta de

Administrador actual por motivos de seguridad.A continuacin, haga clic en Siguiente.


24/37

Aprovechar automticamente, de este modo, las ventajas ligadas al nuevo funcionamientodel dominio de Windows Server 2012 R2, como las directivas de contrasea especfica

(disponibles desde el nivel funcional Windows Server 2012 y que ver, tambin, msadelante en la seccin Directivas de contrasea especfica y de bloqueo de cuenta granular deeste captulo).

El sistema trata, a continuacin, de contactar con el servidor DNS definido a nivel de losparmetros TCP/IP de la tarjeta de red del servidor. Si no responde al nombre de dominioActive Directory definido, y si no se ha instalado ningn servidor DNS, el asistente mostrarel siguiente mensaje (haciendo clic en Ver msen la barra de alerta de color amarillo ubicadaen la parte superior del asistente).


25/37

Observe, tambin, que si se define un servidor DNS en las propiedades TCP/IP del servidor,ste se borrar automticamente de estas propiedades de modo que el futuro controlador dedominio ser cliente de su propio DNS. El anterior servidor DNS se informar en la pestaaReenviadores en las propiedades del servicio DNS.

Haga clic en Siguiente. Deje el nombre NetBIOS por defecto y, a continuacin, haga clic enSiguiente.


26/37

Como se encuentra trabajando en un entorno de pruebas, deje la ruta por defecto para la basede datos, los archivos de registro y SYSVOL. En un entorno de produccin, se recomienda

encarecidamente separar la base de datos y los archivos de registro para, as, evitar lasaturacin de I/O (entradas/salidas). Haga clic en Siguiente.

Aparece un resumen que muestra las distintas opciones que ha definido a lo largo de lasetapas del asistente. Es posible exportar estos parmetros para poder reutilizarlos en unarchivo de respuestas.

Podr, de este modo, desplegar fcilmente otros controladores de dominio reduciendo elriesgo de error durante la configuracin de este rol. El comando que debe utilizarse es, en estecaso, dcpromo /answer:NombreDelArchivoCreado (si no se trata de promover un DC enWindows Server 2012 R2) o, directamente, mediante PowerShell mediante el scriptdisponible haciendo clic en la opcin Ver script.


27/37

Haga clic en Siguiente. El asistente realiza, a continuacin, una verificacin de requisitosprevios necesarios para la instalacin del rol de controlador de dominio sobre este servidor.


28/37

Aparece un mensaje de advertencia que indica los problemas que puede encontrar debido alenriquecimiento del algoritmo de cifrado utilizado para establecer un canal de seguridad con

un cliente SMB. Por defecto, los anteriores sistemas operativos como, por ejemplo, WindowsNT 4.0 no podrn acceder a los recursos compartidos que se encuentren en un servidorWindows Server 2008/2008 R2/2012 o 2012 R2.

Recorra esta lista de advertencias y, si no existe ningn punto bloqueante, haga clic enInstalar.

Observe que puede realizar las acciones correctivas necesarias y, a continuacin, hacer clicen el vnculo que le permite volver a verificar si se cumplen los requisitos previos.

Haga clic en Instalarpara arrancar la instalacin. El servidor reinicia, automticamente, alfinalizar la instalacin.

Enhorabuena! Acaba de instalar con xito un controlador de dominio en Windows Server2012 R2.

Le faltar verificar la instalacin de Active Directory y realizar las primeras accionesesenciales. El siguiente enlace le ofrece todos los elementos necesarios:http://technet.microsoft.com/en-us/library/cc794717(WS.10).aspx

b. Presentacin de la auditora ligada al servicio de directorio
http://technet.microsoft.com/en-us/library/cc794717%28WS.10%29.aspxhttp://technet.microsoft.com/en-us/library/cc794717%28WS.10%29.aspxhttp://technet.microsoft.com/en-us/library/cc794717%28WS.10%29.aspx


29/37

Auditar estos servidores es una actividad que consiste en censar los eventos que se considereninteresantes en el registro de eventos. Esto le permitir evidenciar problemas deconfiguracin o incluso verificar la seguridad de ciertos elementos crticos del sistemaoperativo. Preste atencin, no obstante, a no definir demasiados objetos a auditar, puesto queel rendimiento del servidor se ver impactado inmediatamente.

Antes de Windows Server 2008 R2, poda configurar los eventos de auditora editando sudirectiva de grupo (desde el men Inicio - Herramientas administrativasy Gestion desDirectiva de grupo) a nivel, por ejemplo, de Directiva Default Domain Controllers Policy(Configuracin de equipo - Directivas - Configuracin de Windows - Configuracin deseguridad - Directivas locales - Directivas de auditora).

La informacin que se muestra es, no obstante, confusa, pues es posible ser mucho mspreciso!

Las directivas de auditora pueden, en efecto, definirse de forma mucho ms precisa y losparmetros visualizados a nivel de la directiva de grupo ms arriba no representan ms que deuna forma muy vasta la configuracin efectiva.

En Windows XP slo existen nueve categoras de evento que pueden auditarse. DesdeWindows Vista/Windows Server 2008, puede optar por auditar hasta 53 categoras de eventosdistintos volviendo, de este modo, la creacin de objetos mucho ms granular.

La visualizacin y la configuracin de estos parmetros no son idnticos entre WindowsServer 2008 R2 y Windows Server 2012 R2.


30/37

En Windows Server 2008 (o Vista con las herramientas de administracin RSAT), puedemostrar y aplicar de forma ms precisa las directivas de auditora realmente posiblesnicamente por lnea de comandos mediante el comando Auditpol.exe.

El siguiente comando permite mostrar las distintas categoras posibles para la auditora:

Auditpol.exe /get /Category:*

En Windows Server 2008 R2 y Windows 2012/2012 R2 (o Windows 7 - Windows 8/8.1 con

las herramientas de administracin RSAT instaladas), es posible configurar, desplegar yadministrar la auditora detallada desde la consola GPMC. La configuracin de la auditoradetallada se realiza a nivel de Configuracin del equipo - Directivas - Configuracin deWindows - Configuracin de seguridad - Configuracin de directiva de auditora

avanzada - Directivas de auditora.

Estas directivas pueden aplicarse, de este modo, sobre OU especficas para controlar laactividad de las cuentas de administrador, etc. Tenga en mente, no obstante, que estaconfiguracin definida mediante GPO se ejecutar nicamente en equipos Windows Server2008 R2/2012/2012 R2 o Windows 7/8/8.1.


31/37

Cabe destacar, tambin, que Microsoft desaconseja la configuracin de la auditorasimultneamente a nivel de Configuracin del equipo - Configuracin de Windows -Configuracin de seguridad - Directivas locales - Directivas de auditoray deConfiguracin del equipo - Configuracin de Windows - Configuracin de seguridad -

Configuracin de directiva de auditora avanzada - Directivas de auditora . Para ello,

Microsoft recomienda configurar la opcin Auditora: forzar la configuracin desubcategoras de la directiva de auditora (Windows Vista o posterior) para invalidar la

configuracin de la categora de directiva de auditoraque se define a nivel deConfiguracin del equipo - Configuracin de Windows - Configuracin de seguridad -

Opciones de seguridad. Si este parmetro no est habilitado, las opciones definidas a nivelde la auditora bsica (las siete categoras histricas) podran entrar en conflicto con lasdefinidas de manera ms precisa en la directiva de auditora avanzada.

Para desplegar estos parmetros en Windows Server 2008 o Windows Vista, es precisoutilizar la opcin auditpol.exe. Ms adelante se ofrece un enlace a la KB que explica cmo

poner en marcha este despliegue.

Con la llegada de Windows Server 2008 R2 y Windows 7, Microsoft introduce la posibilidadde auditar el acceso a objetos globales. Tiene, en efecto, la posibilidad de definir unadirectiva de auditora para un usuario particular sobre una accin precisa y para un conjuntode servidores. Esto puede resultar muy prctico si tiene que justificar, en particular, laauditora de la seguridad de un servidor de cara a afrontar una auditora SOX.

Los eventos generados por las auditoras de acceso a los archivos o al registro estarn mucho

ms detalladas si activa la opcin Auditar la manipulacin de identificadorespuesto que semostrar el "motivo del acceso", que le permitir, en particular, poner de relieve errores deconfiguracin (como, por ejemplo, un usuario que tiene acceso de escritura en lugar de tenerun acceso de slo lectura).

Con Windows Server 2012/2012 R2 es posible crear directivas de auditora basadas enexpresiones con el objetivo de precisar mejor la informacin que se quiere mostrar en funcinde varios criterios (usuarios, equipos, recursos, etc.). Este aspecto se aborda en detalle en elcaptulo Securizar su arquitectura.

Encontrar la gua paso a paso para implementar una directiva de grupo avanzada en la

siguiente direccin:http://technet.microsoft.com/es-es/library/dd408940(WS.10).aspx

Observar, entonces, que las opciones de auditora son mucho ms ricas respecto a lasversiones anteriores de Windows.

Se han conservado las principales categoras, y muchas subcategoras enriquecen y hacen quela recogida de eventos sea mucho ms precisa. Su registro de eventos estar, por tanto, muchoms limpio de eventos intiles.

Sepa, no obstante, que si utiliza la directiva de grupo para definir las categoras principales deauditora, no tendr la posibilidad de definir de forma ms precisa los parmetros de las

subcategoras. Una directiva de auditora configurada a nivel de las directivas de grupoactiva, automticamente, las subcategoras.
http://technet.microsoft.com/es-es/library/dd408940%28WS.10%29.aspxhttp://technet.microsoft.com/es-es/library/dd408940%28WS.10%29.aspxhttp://technet.microsoft.com/es-es/library/dd408940%28WS.10%29.aspxhttp://technet.microsoft.com/es-es/library/dd408940%28WS.10%29.aspx


32/37

Para configurar de forma ms precisa la auditora sobre los equipos tendr que utilizar elcomando auditpolen los equipos o servidores seleccionados a travs de un script, porejemplo.

Si desea, en cambio, poder administrar la configuracin de las subcategoras de sus equiposWindows Vista/2008 de manera centralizada (y, en consecuencia, tener que utilizar elcomando auditpol en cada equipo), consulte la solucin provista en el siguiente artculo de laKb de Microsoft:http://support.microsoft.com/kb/921469

Una de estas nuevas subcategoras de auditora se ha creado especialmente desde Windows2008 R2 para dar respuesta a una necesidad importante de los administradores de dominioActive Directory.

Esta nueva subcategora se denomina Directory Service Changes(categora hija de DS

Access). Le permitir registrar los antiguos y los nuevos valores atribuidos a un objeto deActive Directory y a sus atributos. A ttulo informativo, antes un controlador de dominio enWindows 2000 o 2003 indicaba simplemente el nombre del objeto o del atributo modificado,

pero no los valores anterior y modificado del mismo.

Una vez configurada la auditora de esta subcategora, los eventos se almacenan en el registrode Seguridad. La siguiente tabla recoge los cuatro tipos de eventos sobre los objetos deActive Directory:

Nmero de evento Tipo de evento

5136 Modificacin con xito de un atributo de Active Directory.5137 Creacin de un nuevo objeto de Active Directory.
http://support.microsoft.com/kb/921469http://support.microsoft.com/kb/921469http://support.microsoft.com/kb/921469http://support.microsoft.com/kb/921469


33/37

Sidesea,

porejemplo, activar la auditora para todas las subcategoras referentes al acceso al directorioActive Directory, siga el procedimiento siguiente:

Ejecute, desde una ventana de smbolo del sistema de un controlador de dominio, elsiguiente comando: auditpol /set /category:"Acceso DS" /success:enable. Todas lassubcategoras de auditora del acceso DS se activarn. Es posible activar nicamente lasubcategora que nos interese, en nuestro caso, ejecutando auditpol /set/subcategory:"modificacin del servicio de directorio" /success:enabley auditpol /set/subcategory:"Administracin de cuentas de usuario" /success:enable.

Existe un bug en la versin espaola de auditpoly todas las categoras o subcategoras queposean un apstrofe no funcionarn si lo escribe. Existen dos soluciones para evitar esteproblema: o bien copia/pega la opcin desde una pgina web codificada correctamente, o

bien utiliza el cdigo ASCII presionando [Alt] y 0146 para proveer la versin esperada delsmbolo.

Modifique, a continuacin, la fecha de caducidad de una cuenta de usuario de ActiveDirectory mediante la consola Centro de administracin de Active Directory, tambinllamada ADAC(Active Directory Administrative Center) en el resto del libro (desde el menInicio - Ejecutar - dsac.exe).

Abra el registro de eventos de su controlador de dominio (desde el men Inicio - Ejecutar -Eventvwr.msc). Puede comprobar que existe un evento 4738 y detalla el o los valores queacaban de modificarse, en nuestro ejemplo el valor Expiracin de cuenta:.

5138 Restauracin de un objeto de Active Directory.

5139 Desplazamiento de un objeto de Active Directory.


34/37

Por otro lado, Windows Server 2012 ha introducido las directivas de auditora de seguridadbasadas en las expresiones que permiten acotar los eventos a informar utilizando expresionesbasadas en reivindicaciones (claims) de usuario, de equipo y de recurso. Esta mejora estligada a otra novedad: el control de acceso dinmico, del que hablaremos con detalle en elcaptulo Securizar su arquitectura.

Tenga en cuenta que, desde ahora, esta funcionalidad le permite auditar todos los usuariosque traten de acceder a recursos para los que no se ha definido ninguna habilitacin o, por elcontrario, administradores que utilicen sus permisos de manera abusiva.

Para ello, a nivel de GPO en el servidor de archivos, siga estas etapas:

Desde Configuracin del equipo - Directivas - Configuracin de Windows -Configuracin de seguridad - Configuracin de directiva de auditora avanzada -

Directivas de auditora - Acceso a objetos, a nivel de parmetro Auditar sistema dearchivosy del parmetro Auditar almacenamiento provisional de directiva de accesocentral, active la auditora Correcto y error.

A nivel de la carpeta a auditar:

Desde las Propiedadesde la carpeta a auditar (una carpeta sensible accesible nicamente

por el servicio financiero de la empresa, por ejemplo), pestaa Seguridad - Opciones


35/37

avanzadas- pestaa Auditora - Agregar - Seleccionar una entidad de seguridad, escojaun grupo habilitado para acceder a esta carpeta, en nuestro ejemplo GSU-Finanzas-RW.

Agregue una condicin que indique, por ejemplo: Usuario - Grupo - Miembro de cada -Valor - [Administradores de dominio] y [Administradores].

Si un administrador accede a algn archivo de esta carpeta, se registrar un evento en elregistro de eventos de seguridad.


36/37

Los eventos 4656 y 4663 pueden generarse durante la activacin de la auditora de lamanipulacin de identificadores o de la SAM. Estos eventos son propios de Windows 2012R2 y Windows 8/8.1.

Se podra, tambin, citar como ejemplo la posibilidad de poder auditar todos los proveedoresque traten de acceder a documentos vinculados a proyectos sobre los que no trabajen. Laauditora sera: Auditar - Todos - Todo - User.EmploymentStatus=Vendor ANDUser.Project Not_AnyOf Resource.Project.

Si un usuario del servicio financiero trata de acceder, no se registrar ningn evento en elregistro de seguridad, lo que evitar reportar accesos vlidos. Tambin es posible asociar la


37/37

auditora de acceso global a los objetos con directivas de auditora basadas en expresiones, loque permite fusionar las directivas de auditora mltiples ubicadas en varios clientes.

De este modo el administrador de un permetro limitado podr definir una directiva deauditora de acceso global a los objetos correspondientes a su permetro mientras que un

administrador global podr, por su parte, definir otra directiva de acceso global para unpermetro ms amplio.

Entre las mejoras aportadas por Windows Server 2012 y Windows 8 cabe destacar, tambin,que es posible configurar el parmetro Auditar los inicios de sesin(Configuracin dedirectiva de auditora avanzada - Inicio y cierre de sesin).

Se genera el evento 4624 cada vez que un usuario inicia una sesin sobre un equipo local oremoto. Obtendr ms informacin sobre los nuevos eventos generados en la siguientedireccin:http://technet.microsoft.com/es-es/library/hh831382.aspx

Estos parmetros pueden acoplarse con el control de acceso dinmico que se aborda en elcaptulo Securizar su arquitectura.

c. Controlador de dominio de solo lectura

Desde Windows Server 2008, es posible crear controladores de dominio de solo lectura(llamados, tambin, RODCpor Read Only Domain Controller). Un controlador dedominio de solo lectura contiene toda la informacin de un controlador de dominio clsicosalvo la contrasea de los usuarios. Esta informacin se almacena en solo lectura nicamentey no es posible iniciar ninguna modificacin a nivel de dominio desde un RODC.

Sepa, por otra parte, que si no desea que se replique algn atributo sensible en su RODC esposible modificar las propiedades del mismo para limitar su replicacin nicamente aaquellos controladores de dominio inscribibles. Para ello, tendr que modificar el valorsearchFlagsdel atributo que desee a nivel de particin de esquema. El rol maestro deesquema tendr que encontrar, preferentemente, la informacin sobre algn controlador dedominio en Windows Server 2008 R2 como mnimo. Encontrar ms informacin a esterespecto en la siguiente direccin (en ingls):http://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-

440026f585e91033.mspx?mfr=true
http://technet.microsoft.com/es-es/library/hh831382.aspxhttp://technet.microsoft.com/es-es/library/hh831382.aspxhttp://technet.microsoft.com/es-es/library/hh831382.aspxhttp://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-440026f585e91033.mspx?mfr=truehttp://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-440026f585e91033.mspx?mfr=truehttp://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-440026f585e91033.mspx?mfr=truehttp://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-440026f585e91033.mspx?mfr=truehttp://technet2.microsoft.com/windowsserver2008/en/library/f62c9720-a5c3-40c9-aa40-440026f585e91033.mspx?mfr=truehttp://technet.microsoft.com/es-es/library/hh831382.aspx

windows server 2012.docx

Documents

versin de windows server

windows server essentials

informacionwindows server

mcsawindows server

mcitp server administrator

windows server2012

tambin est certificado

laboratorio microsoft