guia1 taller sistemas operativos ii windows server 2008
TRANSCRIPT
Windows Server 2008
1.- Introducción
Fue conocido como Windows Server "Longhorn" hasta el 16 de mayo de 2007, cuando Bill Gates, presidente
de Microsoft, anunció su título oficial (Windows Server 2008) durante su discurso de apertura en WinHEC.
Windows Aero está deshabilitado y usa la interfaz clásica de versiones anteriores de Windows.
La beta 1 fue lanzada el 27 de julio de 2005. La beta 2 fue anunciada y lanzada el 23 de mayo de 2006 en
WinHEC 2006, y la beta 3 fue lanzada al público el 25 de abril de 2007. Su lanzamiento fue el 27 de febrero
de 2008.
Microsoft Windows Server 2008 está diseñado para ofrecer a las organizaciones la plataforma más productiva
para virtualización de cargas de trabajo, creación de aplicaciones eficaces y protección de redes. Ofrece una
plataforma segura y de fácil administración, para el desarrollo y alojamiento confiable de aplicaciones y
servicios web. Del grupo de trabajo al centro de datos, Windows Server 2008 incluye nuevas funciones de
gran valor y eficacia y mejoras impactantes en el sistema operativo base.
Ediciones
La mayoría de las ediciones de Windows Server 2008 están disponibles en x86-64 (64 bits) y x86 (32 bits).
Windows Server 2008 para sistemas basados en Itanium soporta procesadores IA-64. La versión IA-64 se ha
optimizado para escenarios con altas cargas de trabajo como servidores de bases de datos y aplicaciones de
línea de negocios (LOB). Por ende no está optimizado para su uso como servidor de archivos o servidor de
medios. Microsoft ha anunciado que Windows Server 2008 será el último sistema operativo para servidores
disponible en 32 bits.2 Windows Server 2008 está disponible en las ediciones que figuran a continuación,
similar a Windows Server 2003.
Windows Server 2008 Standard Edition (x86 y x86-64)
Windows Server 2008 Todas las Ediciones (Solo 64Bit)
Windows Server 2008 Enterprise Edition (x86 y x86-64)
Windows Server 2008 Datacenter Edition (x86 y x86-64)
Windows Server 2008 R2 Standard Edition (Solo 64Bit)
Windows Server 2008 R2 Todas las Ediciones (Solo 64Bit)
Windows Server 2008 R2 Enterprise Edition (Solo 64Bit)
Windows Server 2008 R2 Datacenter Edition (Solo 64Bit)
Windows HPC Server 2008 (reemplaza Windows Compute Cluster Server 2003)
Windows Web Server 2008 R2 (Solo 64Bit)
Windows Storage Server 2008 (x86 y x86-64)
Windows Small Business Server 2008 (Nombre clave "Cougar") (x86-64) para pequeñas empresas
Windows Essential Business Server 2008 (Nombre clave "Centro") (x86-64) para empresas de tamaño medio
3
Windows Server 2008 para sistemas basados en Itanium
Windows Server 2008 R2 Foundation Server
Server Core está disponible en las ediciones Web, Standard, Enterprise y Datacenter, aunque no es posible
usarla en la edición Itanium. Server Core es simplemente una opción de instalación alterna soportada y en sí
no es una edición propiamente dicha. Cada arquitectura dispone de un DVD de instalación independiente.
Windows Server 2008 Standard Edition, y Windows Server 2008 R2 Standard Edition estaban disponibles
gratuitamente para estudiantes a través del programa Microsoft DreamSpark.
Actualmente Windows Server 2008 Standard Edition (32 y 64bits), Windows Server 2008 Enterprise Edition
(32 y 64bits), Windows Server 2008 Datacenter Edition (32 y 64bits), Windows Server 2008 R2 Standard
Edition (con y sin SP1), Windows Server 2008 R2 Web Edition (con y sin SP1), Windows Server 2008 R2
Enterprise Edition (con y sin SP1), y Windows Server 2008 R2 Datacenter Edition (con y sin SP1), están
disponible gratuitamente para estudiantes a través del programa Microsoft DreamSpark, al renovarse la
licencia
Instalación
La evaluación del software de Windows Server 2008 no requiere la activación del producto ni el ingreso de
una clave de producto. Toda edición Windows Server 2008 puede instalarse sin la activación y puede
evaluarse por un periodo inicial de 60 días.
Si necesita más tiempo para evaluar Windows Server 2008, el periodo de evaluación de 60 días puede
renovarse (o rearmarse) tres veces y extender el periodo original de evaluación de 60 días hasta 180 días por
un total posible de tiempo de evaluación de 240 días. Luego de este periodo, deberá desinstalar el software o
actualizar a una versión con licencia total de Windows Server 2008.
Requisitos de hardware
Los requerimientos mínimos para Windows Server 2008 son los siguientes.
Mínimo Recomendado
Procesador 1 GHz (x86) o 1.4 GHz
(x64) 2 GHz o superior
Memoria
512 MB RAM (podría
limitarse el rendimiento y
algunas características)
2 GB RAM o más
Máximo (sistemas de 32-bits): 4 GB RAM (edición Standard) o 64 GB
RAM (ediciones Enterprise, Datacenter)
Máximo (sistemas de 64-bits): 32 GB RAM (edición Standard) o 2 TB
RAM (ediciones Enterprise, Datacenter y para sistemas basados en
Itanium)
Tarjeta
gráfica Super VGA (800 x 600)
Super VGA (800 x 600) o resolución mayor
50 GB o más
Espacio
libre HDD 10 GB
Los equipos que dispongan de más de 16 GB de memoria RAM
requerirán más espacio en disco para archivos de paginación y volcado
Unidades DVD-ROM DVD-ROM o mejor
Otros
dispositivos Monitor Super VGA (800 x 600) o con resolución mayor, teclado y ratón
Mayor protección
Windows Server 2008 proporciona una serie de tecnologías de seguridad nuevas y mejoradas, que aumentan
la protección del sistema operativo al ofrecer una base sólida para la dirigir y construir un negocio. Incluye
innovaciones de seguridad, como PatchGuard, que reducen la exposición a ataques del núcleo, lo que
produce un entorno de servidor más seguro y estable.
El sistema de protección de servicios de Windows ayuda a mantener más seguros los sistemas al evitar que
los servicios críticos de servidor estén en riesgo por actividades anormales en el sistema de archivos, registro,
o red. La seguridad también se mejora en el sistema operativo Windows Server 2008 por medio de protección
de acceso a redes (NAP), controlador de dominio de sólo lectura (RODC), mejoras en la infraestructura de
clave pública (PKI), un nuevo firewall de Windows bidireccional y compatibilidad con criptografía de última
generación.
Mayor flexibilidad
Windows Server 2008 está diseñado para permitir que los administradores modifiquen su infraestructura para
adaptarla a las necesidades cambiantes del negocio y continuar siendo ágiles. Se mejora la flexibilidad para
trabajadores móviles mediante tecnologías que permiten que los usuarios ejecuten programas desde
cualquier ubicación remota, como RemoteApp y Terminal Services Gateway.
Windows Server 2008 acelera la implementación y el mantenimiento de sistemas de TI con Servicios de
Implementación de Windows (WDS) y ayuda en la consolidación de servidores con Windows Server
virtualization (WSv). Para organizaciones que necesitan controladores de dominio en sucursales, Windows
Server 2008 ofrece una nueva opción de configuración: el Controlador de Dominio de sólo lectura (RODC),
que evita exponer las cuentas si el Controlador de Dominio estuviera en riesgo.
Más control
Windows Server 2008 proporciona a los profesionales de TI más control sobre sus servidores e infraestructura
de red y les permite centrarse en las necesidades críticas del negocio. Capacidades mejoradas en secuencias
de comandos y automatización de tareas, como las que ofrece Windows PowerShell, ayudan a los
profesionales de TI a automatizar tareas comunes de TI. La instalación y administración basadas en funciones
con Administrador del Servidor facilita la tarea de administrar y proteger las múltiples funciones de servidor en
una empresa. La nueva consola del Administrador del servidor proporciona un único origen para administrar la
configuración del servidor y la información del sistema. El personal de TI puede instalar sólo las funciones y
características que sean necesarias, y hay asistentes que automatizan muchas de las tareas de
implementación de sistemas que tardan más tiempo. Herramientas mejoradas de administración del sistema,
como el Monitor de rendimiento y confiabilidad, ofrecen información sobre sistemas y alertan al personal de TI
sobre problemas potenciales antes de que sucedan.
2.- Virtualización
Introducción
La oleada de Windows Server 2008 incluirá Windows Server virtualization (WSv), una tecnología eficaz de
virtualización con sólidas características de administración y seguridad. WSv permite que los negocios
aprovechen su familiaridad existente con la administración de servidores Windows y la flexibilidad y beneficios
de seguridad de la virtualización sin necesidad de adquirir software de terceros. Microsoft y sus asociados
ofrecen el soporte técnico completo para sistemas operativos invitados Windows y Linux compatibles. WSv es
una plataforma sumamente flexible, de alto rendimiento, rentable y con buen soporte.
Seguridad
La seguridad es un desafío fundamental en cada implementación de servidor. Un servidor que aloja múltiples
máquinas virtuales (VM), también conocidos como servidores consolidados, está expuesto a los mismos
riesgos de seguridad que los servidores no consolidados, pero agrega el desafío de separación de funciones
de administrador. WSv ayuda a aumentar la seguridad de servidores consolidados y resuelve el desafío de
separación de funciones de administrador. WSv lo lleva a cabo por medio de las siguientes características:
• Particiones fuertes: una máquina virtual (VM) funciona como un contenedor independiente de sistema
operativo, completamente aislado de otras máquinas virtuales que se ejecutan en el mismo servidor físico.
• Seguridad para el hardware: características como prevención de ejecución de datos (DEP) se encuentran
disponibles en el hardware más reciente para servidores y ayudan a evitar la ejecución de los virus y los
gusanos más predominantes.
• Windows Server virtualization: WSv ayuda a evitar la exposición de las VM que contienen información
confidencial y protege también al sistema operativo host subyacente del riesgo que comporta un sistema
operativo invitado.
• Características de seguridad de red: permite la traducción de direcciones de red (NAT) automática, firewall y
protección de acceso a redes (NAP).
• Base de equipos de confianza mínima: ofrece una superficie de ataque reducida y una arquitectura de
virtualización simplificada y ligera. Esta característica mejora la confiabilidad de equipos virtuales basados
en WSv.
La configuración de un servidor consolidado que ofrezca los mejores entornos de seguridad y sistema
operativo para cada aplicación puede presentar en ciertas ocasiones un desafío difícil. Debido a que WSv
crea un entorno donde es posible configurar cada carga de trabajo con un entorno de sistema operativo y
perfil de seguridad ideales, WSv resuelve el desafío de la separación de funciones en un servidor consolidado.
WSv protege a las VM del sistema operativo host y viceversa, al permitir que las VM se ejecuten en una
cuenta de servicio sólo con los privilegios necesarios. Con WSv, el sistema operativo host está protegido y
una VM en riesgo está limitada en el daño que podría causar a otras VM.
Fuerte aislamiento
La virtualización del servidor permite que coexistan cargas de trabajo con requisitos de recursos diferentes en
el mismo servidor host. WSv ofrece varias características que facilitan el uso eficaz de los recursos físicos del
servidor host:
• Asignación flexible de memoria: se puede asignar una cantidad máxima y una cantidad mínima de memoria
RAM garantizada a las máquinas virtuales. Esta característica permite que los administradores creen una
configuración de WSv que equilibre las necesidades individuales del recurso de VM frente al rendimiento
total del servidor de WSv.
• Adición dinámica de hardware: WSv puede agregar dinámicamente procesadores lógicos, memoria,
adaptadores de red y almacenamiento a sistemas operativos invitados compatibles, mientras se encuentran
en ejecución. Esta característica facilita la asignación granular de capacidades de procesamiento host de
WSv a los sistemas operativos invitados.
• Configuración flexible de red: WSv ofrece características avanzadas de red para las VM, que incluyen NAT,
firewall y asignación de VLAN. Esta flexibilidad se puede usar para crear una configuración de WSv más
compatible con los requisitos de seguridad de red.
Las características de asignación flexible de memoria, adición dinámica de hardware y configuración flexible
de red de WSv facilitan una respuesta más eficaz a las cargas dinámicas de servidor. Por ejemplo, la carga de
trabajo de procesamiento de fin de período es con frecuencia varias veces mayor que el promedio en algunas
aplicaciones de línea de negocios (LOB). WSv se puede usar con sistemas operativos invitados compatibles,
para asignar dinámicamente recursos adicionales de memoria y procesador a una VM en ejecución y
administrar los requisitos ampliados de procesamiento sin reiniciar el sistema operativo invitado. Con
suficientes recursos de servidor host, este cambio no disminuye el rendimiento de las demás VM que se
ejecutan en el host.
Rendimiento
Los avances e integración del diseño con hardware que reconoce la virtualización permite a WSv virtualizar
cargas de trabajo mucho más exigentes que en versiones anteriores y con mayor flexibilidad en la asignación
de recursos.
Los avances de rendimiento incluyen:
• Arquitectura de virtualización ligera, de baja sobrecarga, basada en Hypervisor de 64 bits: hardware
preparado para virtualización (Intel VT y la tecnología "Pacifica" de AMD) que permite rendimientos mayores
del sistema operativo invitado.
• Compatibilidad con múltiples núcleos. A cada VM se le pueden asignar hasta ocho procesadores lógicos:
esto permite la virtualización de grandes cargas de trabajo, con cálculo intensivo, que aprovechan los
beneficios del procesamiento en paralelo de núcleos de VM con procesadores múltiples.
• Compatibilidad de sistemas operativos host e invitado de 64 bits: WSv se ejecuta en la versión de 64 bits de
Windows Server 2008 para ofrecer acceso a grandes grupos de memoria para las VM invitadas. Cargas de
trabajo intensivas en memoria que se verían muy afectadas por extensas paginaciones si se ejecutaran en
sistemas operativos de 32 bits, se pueden virtualizar correctamente en WSv. WSv también es compatible
con sistemas operativos invitados de 64 y 32 bits que se ejecutan en el mismo servidor consolidado.
• Compatibilidad con Server Core. WSv puede usar una instalación Server Core de Windows Server 2008
como sistema operativo host. La superficie mínima de instalación y baja sobrecarga de Server Core dedica
la mayor cantidad posible de la capacidad de procesamiento de servidor host a las VM en ejecución.
• Acceso a disco de paso. Los sistemas operativos invitados se pueden configurar para tener acceso de
forma directa a almacenamiento local o de red de área de almacenamiento (SAN) iSCSI, lo que ofrece
mayores rendimientos en aplicaciones con muchas operaciones de E/S, como SQL Server o Microsoft
Exchange.
Muchas cargas de trabajo de servidor demandan mucho procesamiento de servidor y subsistemas de E/S.
Cargas de trabajo como SQL Server y Microsoft Exchange normalmente consumen mucha memoria y lastran
el rendimiento de disco, y ha habido resistencia a virtualizar estas cargas de trabajo. El Hypervisor de 64 bits
en WSv junto con características como el acceso a disco de paso hace posible y con frecuencia deseable
virtualizar grandes cargas de trabajo.
Administración simplificada
En las instalaciones de centros de datos y sucursales remotas donde es posible implementar WSv, se
necesitan fuertes capacidades de administración y automatización para ser totalmente concientes del
potencial de reducción de costos de la virtualización. WSv satisface este desafío con las siguientes
capacidades de administración y automatización:
• Administración extensible: WSv está diseñado para funcionar con Microsoft System Center Operations
Manager (SCOM) y System Center Virtual Machine Manager (SCVMM). Estas herramientas de
administración ofrecen informes, automatización, implementación y herramientas autoservicio de usuario
para WSv.
• Interfaz MMC 3.0 para administración de VM: la familiar interfaz Microsoft Management Console (MMC) se
usa para administrar la configuración de WSv y los valores de VM, reduciendo sensiblemente el proceso de
aprendizaje de WSv.
• Interfaz del instrumental de administración de Windows (WMI): WSv incorpora un proveedor WMI que
ofrece acceso a información de sistema y administración mediante secuencias de comandos.
• Secuencias de comandos de PowerShell: la configuración de host y VM de WSv se configura a través de
Windows PowerShell.
• Administración de objetos de directivas de grupo (GPO): WSv usa las capacidades de administración de
configuración de GPO para administrar la virtualización del host WSv y la configuración del equipo virtual.
Las capacidades de administración de SCOM y SCVMM hacen posible administrar de forma eficaz tanto
instalaciones de centros de datos como instalaciones sumamente distribuidas de WSv. Por ejemplo, el acceso
de secuencias de comandos al proveedor WMI en WSv se puede usar para automatizar las ventanas de
mantenimiento en varios servidores host de WSv, al apagar VM invitadas, encenderlas en un servidor en
espera, realizar el mantenimiento en el servidor host y, a continuación, restaurar las VM a su host original.
Con la adición de System Center Virtual Machine Manager, esta operación se puede automatizar y realizar sin
ningún tiempo de inactividad perceptible para muchas aplicaciones.
3.- Plataforma web y de aplicaciones
Introducción
Windows Server 2008 ofrece una plataforma segura y de fácil administración, para el desarrollo y alojamiento
confiable de aplicaciones y servicios web que se entregan del servidor o a través de la Web. Las nuevas
características incluyen: administración simplificada, seguridad aumentada y mejoras tanto de rendimiento
como de extensibilidad. Además, las empresas disfrutarán de administración más eficiente de aplicaciones y
servicios, de implementación y configuración más rápidas de aplicaciones y servicios web, y de una
plataforma web personalizada, simplificada y más segura. Windows Server 2008 ofrece un mayor rendimiento
y escalabilidad de aplicaciones y servicios web, y permite a los administradores controlar y ver detalles sobre
cómo y cuándo las aplicaciones y los servicios usan los recursos clave del sistema operativo.
Internet Information Services 7.0 (IIS7)
Windows Server 2008 proporciona una plataforma unificada para publicación en la Web que integra Internet
Information Services 7.0 (IIS7), ASP.NET, Windows Communication Foundation y Microsoft Windows
SharePoint Services. IIS7 constituye un gran avance sobre el servidor web IIS existente y desempeña una
función central en la integración de tecnologías de plataforma web. Los beneficios clave de IIS7 incluyen
características más eficientes de administración, mejor seguridad y costos reducidos de soporte técnico. Estas
características ayudan a crear una plataforma unificada que proporciona un modelo único y coherente de
desarrollo y administración para soluciones web.
Herramientas de administración mejoradas
La nueva utilidad de administración en IIS7, Administrador de IIS, es una herramienta más eficiente para la
administración del servidor web. Ofrece compatibilidad para configuraciones de IIS y ASP.NET, datos de
usuario e información de diagnósticos en tiempo de ejecución. La nueva interfaz de usuario permite también
que quienes alojan o administran sitios web deleguen el control administrativo a desarrolladores o propietarios
de contenido, reduciendo así el costo de propiedad y la carga administrativa para el administrador. La nueva
interfaz de Administrador de IIS admite administración remota sobre HTTP y permite administración local,
remota e incluso entre Internet de forma integrada, sin necesidad de abrir puertos DCOM u otros puertos
administrativos en el firewall.
Se incluye también una nueva herramienta de línea de comandos, appcmd.exe, para la administración de
servidores, sitios y aplicaciones web. La interfaz de línea de comandos simplifica a los administradores las
tareas comunes de administración de servidores web. Por ejemplo, appcmd.exe se podría usar para incluir
una lista de solicitudes de servidores web forzados a esperar más de 500 milisegundos. Esta información se
puede usar para solucionar problemas de aplicaciones con bajo rendimiento. La salida de appcmd.exe se
puede canalizar en otros comandos para procesamiento adicional.
Instalación modular basada en características
IIS7 está compuesto por más de 40 módulos de características independientes. Sólo la mitad de los módulos
se instala de forma predeterminada y los administradores pueden instalar o eliminar de forma selectiva
cualquier módulo de característica que elijan. Este enfoque modular permite a los administradores instalar
sólo las opciones que necesitan y ahorrar tiempo, al limitar el número de características que se necesitan
administrar y actualizar. Además, debido a que no se ejecuta ningún software innecesario, se reduce la
superficie de ataque del servidor web y se mejora la seguridad.
Modelo de configuración distribuida
IIS7 presenta mejoras principales en la manera en que se almacenan sus datos de configuración y se obtiene
acceso a los mismos. Uno de los objetivos clave del lanzamiento de IIS7 es habilitar la configuración
distribuida de las configuraciones de IIS, que permite a los administradores especificar configuraciones de IIS
en archivos que se almacenan con el código y contenido.
La configuración distribuida permite a los administradores especificar opciones de configuración para un sitio o
aplicación web en el mismo directorio donde se almacena el código o contenido. Al especificar en un único
archivo las opciones de configuración, la configuración distribuida permite a los administradores delegar a
otros la administración de características seleccionadas de sitios o aplicaciones web. Por ejemplo, un sitio
web se podría delegar para que el desarrollador de aplicaciones pueda configurar el documento
predeterminado que se usa en ese sitio web. Los administradores también pueden bloquear opciones de
configuración específicas para que nadie pueda cambiarlas. Esta característica se puede usar para garantizar
que una directiva de seguridad, que evita la ejecución de secuencia de comandos, no sea sobrescrita por un
desarrollador de contenidos al que se le delega acceso administrativo al sitio web. Mediante el uso de
configuraciones distribuidas, las opciones de configuración de un sitio o aplicación específicos se pueden
copiar de un equipo a otro de la misma manera que una aplicación pasa de desarrollo a prueba y, finalmente,
a producción.
Diagnósticos y solución de problemas& IIS7 hace más sencilla que nunca la solución de problemas del
servidor web con soporte de seguimiento y diagnósticos integrados y permite que el administrador mire de
cerca el servidor web y consulte información detallada de diagnóstico, en tiempo real. Los diagnósticos y
solución de problemas permiten que un desarrollador o administrador consulten las solicitudes que se
ejecutan en el servidor. IIS7 incluye también nuevos objetos de estado y control de tiempo de ejecución, que
ofrecen información en tiempo real del estado de grupos de aplicaciones, procesos de trabajo, sitios, dominios
de aplicación e incluso de solicitudes en ejecución. Esta información se puede usar para determinar, por
ejemplo, qué solicitud de un proceso de trabajo consume el 100 por ciento de la CPU.
IIS7 incluye también eventos de seguimiento detallado a través de la ruta de solicitud y respuesta, que permite
que desarrolladores y administradores puedan realizar un seguimiento de una solicitud a medida que ésta
avanza a través de la canalización de procesamiento de solicitudes de IIS, en cualquier código de página
existente y regresa a la respuesta. Estos eventos de seguimiento detallado permiten que los desarrolladores
entiendan no sólo la ruta de acceso de la solicitud y cualquier información de errores generada como
resultado de misma, sino también el tiempo transcurrido e información adicional de depuración para asistirlos
en la resolución de todo tipo de errores.
IIS7 simplifica también la solución de problemas al proporcionar mensajes de error mucho más detallados y
que se pueden procesar. El nuevo módulo personalizado de errores en IIS7 permite devolver información de
errores detallada al explorador (de forma predeterminada a localhost) y configurable para enviar a otros
clientes remotos. En vez de consultar un breve código de error, ahora los administradores pueden ver
información detallada sobre la solicitud, qué problemas potenciales pueden haber originado el error y también
sugerencias sobre cómo corregirlo.
Una de las características más importantes que ayudan a mejorar el soporte de resolución de problemas IIS7
es la API de estado y control de tiempo de ejecución (RSCA), que está diseñada para ofrecer información
detallada de tiempo de ejecución del servidor desde el interior de IIS7. Con RSCA, es posible inspeccionar y
administrar varias entidades incluidos sitios, grupos de aplicaciones e incluso dominios de aplicaciones .NET.
RSCA también saca a relucir, en tiempo real, las solicitudes actualmente en ejecución en el servidor. Los
datos de RSCA están disponibles desde el proveedor WMI y la API administrada
(Microsoft.Web.Administration). La GUI de administración de IIS 7 y la herramienta de línea de comandos
también revelan estos datos a los administradores.
Arquitectura modular extensible
En versiones anteriores de IIS, toda la funcionalidad estaba integrada de forma predeterminada y no existía
una manera fácil de extender ni de reemplazar ninguna de esta funcionalidad. Como se indicó anteriormente,
en IIS7, el núcleo está dividido en más de 40 módulos de características independientes. El núcleo también
incluye una nueva API Win32 para construir módulos de servidor de núcleo. Los módulos de servidor de
núcleo son reemplazos nuevos y más eficaces de los filtros y las extensiones de la Interfaz de programación
de Aplicación de Servidor de Internet (ISAPI). Los filtros y las extensiones de ISAPI todavía son admitidos en
IIS7. Debido a que todas las características de servidor de núcleo de IIS fueron desarrolladas mediante la
nueva API de Módulo Win32 de IIS7 como módulos de características discretas, los usuarios pueden agregar,
eliminar o incluso reemplazar módulos de características de IIS.
Modelo flexible de extensibilidad para personalización
IIS7 permite a los desarrolladores extender IIS para ofrecer funcionalidad personalizada de formas nuevas y
más eficaces. Esto se debe, en parte, a la colección de la interfaz totalmente nueva de programación de
aplicaciones de servidor de núcleo (API) que permite desarrollar módulos de características tanto en código
nativo (C/C++) como en código administrado (lenguajes como C# y Visual Basic 2005, que usa .NET
Framework). De hecho, gran parte del conjunto de características de IIS7 para procesamiento de solicitud y
aplicaciones ha sido implementado mediante estas mismas API. IIS7 también permite la extensibilidad de la
configuración, secuencias de comandos, registro de eventos y conjuntos de características de herramientas
de administración, ofreciendo a los desarrolladores de software una plataforma completa de servidor en la
cual construir las extensiones de servidor web.
Verdadera implementación de aplicaciones con xcopy
IIS7 permite almacenar las opciones de configuración en archivos web.config, lo que facilita el uso de xcopy
para copiar aplicaciones entre múltiples servidores web, y evitar así réplicas costosas y propensas a errores,
sincronización manual y tareas adicionales de configuración.
4.- Administración de servidor
Introducción
Desde la simplificación de la configuración de servidores nuevos hasta la automatización de tareas repetitivas
de administración, simplificar las complejidades diarias de la administración del servidor es un tema clave en
muchas de las mejoras incluidas en Windows Server 2008. Herramientas de administración centralizadas,
interfaces intuitivas y características de automatización permiten a los Profesionales de TI administrar más
fácilmente los servidores de red, servicios, e impresoras, en la red central y en ubicaciones remotas como las
sucursales.
Tareas de configuración inicial
Con Windows Server 2008, el proceso simplificado de instalación no se interrumpe con tareas de
configuración que requieren intervención del usuario. Esas tareas y cuadros de diálogo ahora ocurren
después que la instalación principal se completa, liberando al administrador de tener que sentarse e
interactuar con la secuencia de instalación.
La ventana Tareas de configuración inicial es una nueva característica en Windows Server 2008 que ayuda al
administrador a suministrar e instalar un nuevo servidor. Incluye tareas como la configuración la contraseña de
Administrador, el cambio de nombre de la cuenta Administrador para mejorar la seguridad del servidor, unir el
servidor a un dominio existente y habilitación de Windows Update y Firewall de Windows.
Consola del Administrador de servidor
Windows Server 2008 facilita la tarea de administrar y proteger múltiples funciones de servidor en una
organización con la nueva consola del Administrador de servidor. La Consola del Administrador de servidor
ofrece una consola única y unificada para administrar la configuración del servidor y la información de sistema,
muestra el estado del servidor, identifica problemas con la configuración de funciones de servidor y administra
todas las funciones instaladas en el servidor.
El panel de jerarquía de la consola del Administrador de servidor contiene nodos ampliables que los
administradores pueden usar para ir directamente a consolas de administración de funciones específicas,
herramientas de resolución de problemas o encontrar opciones de copia de seguridad y recuperación ante
desastres.
El Administrador del servidor consolida varias interfaces y herramientas de administración en una consola de
administración unificada, lo que permite a los administradores completar tareas comunes de administración
sin tener que navegar entre múltiples interfaces, herramientas y cuadros de diálogo.
Asistentes de administrador de servidor
Los asistentes de administrador de servidor simplifican tareas de implementación de servidor en una empresa,
disminuyendo el tiempo de implementación, comparados con versiones anteriores de Windows Server. La
mayoría de las tareas comunes de configuración, como la configuración o eliminación de funciones, la
definición de múltiples funciones y los servicios de función se pueden completar ahora en una única sesión
que usa Asistentes de administrador de servidor.
Windows Server 2008 realiza comprobaciones de dependencia a medida que el usuario avanza por los
asistentes de Administrador del Servidor y garantiza que estén instalados todos los requisitos previos de
servicios de función necesarios para una función seleccionada, y que no se elimine ninguno que aún puedan
necesitar las funciones o los servicios de función existentes.
Windows PowerShell
El shell de línea de comandos de Microsoft Windows PowerShell y el lenguaje de secuencia de comandos
ayudan a los Profesionales de TI a automatizar tareas comunes. Mediante un lenguaje de línea de comandos
centrado en la administración, más de 120 herramientas de línea de comandos estándar, y sintaxis y
utilidades coherentes, Windows PowerShell permite que los profesionales de TI controlen más fácilmente la
administración del sistema y agiliza la automatización. Windows PowerShell es fácil de adoptar y usar, porque
funciona con la infraestructura de TI existente y con las secuencias de comandos ya existentes. Permite que
los usuarios automaticen la administración de sistema para tareas básicas de administración del servidor, así
como para funciones específicas de servidor como Terminal Server.
Windows PowerShell integra el shell de línea de comandos y el lenguaje de secuencia de comandos para
permitir que los administradores finalicen y automaticen de forma más eficiente las tareas masivas de
administración de sistema. Windows PowerShell mejora el Símbolo del sistema de Windows y Windows Script
Host (WSH) al ofrecer cmdlets (herramientas de línea de comandos) que tienen exactamente la misma
sintaxis que el lenguaje de secuencia de comandos. El comando que se escribe en el símbolo de sistema de
Windows PowerShell es el mismo comando que se usaría en una secuencia de comandos para automatizar la
tarea en múltiples servidores.
PowerShell también admite las secuencias de comandos existentes de una organización (por ejemplo, .vbs,
.bat, .perl) lo que hace que la organización no necesite migrar secuencias de comandos para adoptar
Windows PowerShell. Las herramientas existentes de línea de comandos basadas en Windows se ejecutarán
desde la línea de comandos de Windows PowerShell. Al proporcionar consistencia de sintaxis y convenciones
de nombres e integración del lenguaje de secuencia de comandos con el shell interactivo, Windows
PowerShell reduce la complejidad y el tiempo necesarios para automatizar las tareas de la administración de
sistema.
Administración remota de Windows (WS-Management)
El número creciente de servidores remotos en sucursales y otras ubicaciones hace que los profesionales de TI
necesiten mejores opciones para administrar de forma eficaz servidores remotos. La administración remota de
Windows ofrece una manera de administrar servidores en ubicaciones remotas con poco ancho de banda y
con secuencias de comandos.
Windows Remote Manager es la implementación de Microsoft del protocolo WS-Management, un protocolo
estándar basado en SOAP que permite la interoperación de hardware y sistemas operativos. Los
administradores pueden usar objetos de secuencias de comandos, la herramienta de línea de comandos de
Administración remota de Windows o la herramienta de línea de comandos del shell remoto de Windows para
obtener datos de administración (por ejemplo, información sobre objetos como discos, adaptadores de la red,
servicios o procesos) de equipos locales o remotos. Si el equipo ejecuta una versión de sistema operativo
Windows que incluye Administración remota de Windows, los datos de administración los suministra el
Instrumental de administración de Windows (WMI).
Server Core
Con Windows Server 2008, los administradores pueden elegir una instalación mínima de Windows Server con
funcionalidad específica y sin ninguna característica innecesaria. Server Core ofrece un entorno para ejecutar
una o más de las siguientes funciones de servidor:
• Windows Server Virtualization
• Servidor del protocolo de configuración dinámica de host (DHCP)
• Servidor del sistema de nombres de dominio (DNS)
• Servidor de archivos
• Servicios de directorio de Active Directory (AD DS)
• Servicios de directorio ligero de Active Directory (AD LDS)
• Servicios de Windows Media
• Administración de impresión
Server Core ofrece las siguientes ventajas clave para las organizaciones:
• Mantenimiento reducido de software: debido a que Server Core sólo instala lo necesario para tener un
servidor administrable que ejecute las funciones de servidor compatibles, el servidor necesita menos
mantenimiento de software. Con una instalación más pequeña de Server Core, se reduce el número de
actualizaciones y revisiones, lo que ahorra tanto uso de ancho de banda de WAN de servidores, como
tiempo de administración del personal de TI.
• Superficie de ataque reducida: debido a que existen menos archivos instalados y en ejecución en el
servidor, hay menos vértices de ataque expuestos a la red; por lo tanto, existe una superficie de ataque
menor. Los administradores pueden instalar sólo los servicios específicos necesarios para un servidor dado
y mantener el riesgo de exposición al mínimo absoluto.
• Menos reinicios necesarios y espacio en disco reducido: con una instalación mínima de Server Core, hay
menos componentes instalados que necesitarán actualizarse o revisarse, y se reducirá el número de
reinicios necesarios. Una instalación de Server Core instala los archivos mínimos imprescindibles para
ofrecer la funcionalidad necesaria, de modo que se usará menos espacio en disco en el servidor. Cuando
en un servidor los administradores eligen la opción de instalación de Server Core, pueden reducir los
requisitos de administración y actualización de software de un servidor, a la vez que reducen también los
riesgos de seguridad.
Con la opción de instalación de Server Core en Windows Server 2008, los administradores pueden reducir los
requisitos de mantenimiento permanente en servidores y simplificar su administración. Como se ejecuta una
instalación mínima de Server Core, limitada a la funcionalidad necesaria, el personal de TI sólo necesitará
instalar revisiones y actualizaciones para ese servidor que afecten directamente a los archivos instalados.
Administración de impresión de Windows Server 2008
Cuanto mayor es la organización, mayor es la cantidad de impresoras dentro de la red y más tiempo necesita
el personal de TI para instalar y administrar esas impresoras; lo cuál se traduce en mayores gastos de
operación. Windows Server 2008 incluye Administración de impresión, que es un complemento de MMC que
permite a los administradores administrar, supervisar y solucionar problemas en todas las impresoras de la
organización, incluso en las de ubicaciones remotas, desde una misma interfaz.
Administración de impresión proporciona detalles totalmente actualizados sobre el estado de todas las
impresoras y los servidores de impresión de la red desde una consola única. La Administración de impresión
puede ayudar a encontrar impresoras con una condición de error y también puede enviar notificaciones por
correo electrónico o ejecutar secuencias de comandos cuando una impresora o el servidor de impresión
necesitan atención. En modelos de impresora que ofrecen una interfaz web, la Administración de impresión
puede tener acceso a estos datos adicionales. Esto permite administrar fácilmente información como niveles
de tóner y papel, aún cuando las impresoras se encuentran en ubicaciones remotas. Además, Administración
de impresión puede buscar e instalar automáticamente impresoras de red en la subred local de servidores de
impresión locales.
Administración de impresión supone para el administrador de impresión un ahorro de tiempo importante a la
hora de instalar impresoras en equipos cliente, así como al administrarlas y supervisarlas. En vez de tener que
instalar y configurar conexiones de impresora en equipos individuales, Administración de impresión se puede
usar con directivas de grupo para agregar automáticamente conexiones de impresora a la carpeta Impresoras
y faxes de un equipo cliente. Esta es una manera eficaz y que ahorra tiempo cuando se agregan impresoras
para muchos usuarios que requieren acceso a la misma impresora, como por ejemplo usuarios en el mismo
departamento o todos los usuarios en la ubicación de una sucursal.
Las opciones provistas de automatización e interfaz centralizada de control incluidas en Administración de
impresión para instalar, compartir y administrar impresoras simplifican la administración y reducen el tiempo
requerido por personal de TI para implementar impresoras.
5.- Seguridad y cumplimiento de directivas
Introducción
Windows Server 2008 dispone de muchas características que mejoran la seguridad y el cumplimiento.
Algunas mejoras clave incluyen:
• Estado de cliente obligatorio: Protección de acceso a redes (NAP), que permite que los administradores
configuren y apliquen requisitos de estado y seguridad antes de permitir el acceso de los clientes a la red
• Supervisión de entidades de certificación: PKI de empresa, que mejora la capacidad de supervisar y
solucionar problemas de múltiples entidades de certificación (CA)
• Mejoras de firewall: el nuevo Firewall de Windows con seguridad avanzada ofrece varias mejoras de
seguridad
• Cifrado y protección de datos: BitLocker protege datos confidenciales mediante cifrado de la unidad de
disco
• Herramientas criptográficas: la última generación de criptología ofrece una plataforma de desarrollo flexible
de criptografía
• Aislamiento de servidor y dominio: los recursos de servidor y dominio se pueden aislar para limitar el acceso
a equipos autenticados y autorizados
• Controlador de dominio de sólo lectura (RODC): el RODC es la nueva opción de instalación de controlador
de dominio que se puede instalar en sitios remotos con niveles más bajos de seguridad física
Estas mejoras ayudan a los administradores a aumentar el nivel de seguridad de su organización y simplifican
la administración e implementación de configuraciones y opciones relacionadas con la seguridad.
Protección de acceso a redes
La protección de acceso a redes (NAP) evita que equipos que no se encuentran en buen estado tengan
acceso a la red de la organización y la pongan en peligro. NAP se usa para configurar y aplicar requisitos de
estado de cliente, y para actualizar, o corregir, equipos cliente con incumplimiento antes que se puedan
conectar a la red corporativa. Con NAP, los administradores pueden configurar directivas de estado que
definen por ejemplo requisitos de software, requisitos de actualización de seguridad y opciones de
configuración necesarias en equipos que se conectan a la red de la organización.
NAP aplica requisitos de estado evaluando el estado de los equipos cliente y limitando el acceso a la red ante
incumplimientos de los equipos cliente. Componentes del cliente y del servidor participan en la corrección de
equipos cliente en situación de incumplimiento, para que puedan obtener un acceso ilimitado a la red. Si se
determina que un equipo cliente presenta incumplimientos, se le puede prohibir el acceso a la red o aplicarle
de inmediato las revisiones para devolverlo al estado de cumplimiento.
Los métodos de cumplimiento de NAP admiten cuatro tecnologías de acceso a redes que funcionan junto con
NAP para aplicar directivas de estado: El cumplimiento de seguridad de protocolo de Internet (IPSEC), el
cumplimiento de 802.1X, el cumplimiento de red privada virtual (VPN) para enrutamiento y acceso remoto y el
cumplimiento de protocolo de configuración dinámica de host (DHCP).
Funcionalidad de seguridad avanzada de Firewall de Windows
El Firewall de Windows con seguridad avanzada en Windows Server 2008 es un firewall con estado basado
en host que permite o bloquea el tráfico de red según su configuración y las aplicaciones que se encuentran
en ejecución, para proteger la red de usuarios y programas malintencionados.
Una nueva característica es la capacidad de permitir que el firewall intercepte tanto el tráfico entrante como el
saliente. Un administrador de red puede, por ejemplo, configurar el nuevo Firewall de Windows con un
conjunto de excepciones para bloquear todo el tráfico que se envía a puertos específicos, como puertos
conocidos usados por software de virus o especificar direcciones que contengan contenido confidencial o no
deseable. Esto protege al equipo de virus que podrían propagarse a través de la red y protegen a la red de
virus que pueden intentar propagarse desde un sistema en riesgo.
Como el número de opciones de configuración del Firewall de Windows ha aumentado, se ha agregado un
nuevo complemento de MMC denominado Firewall de Windows con seguridad avanzada para simplificar la
administración. Con el nuevo complemento, los administradores de red pueden configurar de forma remota la
configuración del Firewall de Windows en estaciones de trabajo clientes y en servidores (algo que no es
posible en versiones anteriores sin una conexión a escritorio remoto), simplificando así la configuración y
administración remotas.
En versiones anteriores de Windows Server, Firewall de Windows e IPsec se configuraban de forma
independiente. Debido a que tanto un firewall basado en host como IPsec pueden bloquear o permitir en
Windows el tráfico entrante, es posible crear excepciones de firewall y reglas de IPsec contradictorias o
superpuestas. El nuevo Firewall de Windows en Windows Server 2008 han combinado la configuración de
ambos servicios de red mediante la misma GUI e iguales comandos de línea de comandos. Esta integración
de la configuración de firewall e IPsec simplifica la configuración de firewall e IPsec y ayuda a evitar la
superposición de directivas y las configuraciones contradictorias.
Cifrado de unidad BitLocker
El cifrado de unidad BitLocker es una nueva característica clave de seguridad en Windows Server 2008, que
ayuda a proteger servidores, estaciones de trabajo y equipos móviles. También se encuentra disponible en las
ediciones de Windows Vista Enterprise y Windows Vista Ultimate para proteger equipos cliente y equipos
móviles. BitLocker cifra el contenido de una unidad de disco. Esto evita que un ladrón que ejecuta un sistema
operativo paralelo u otras herramientas de software, se salte las protecciones de archivo y sistema, o que
pueda realizar una visualización sin conexión de archivos almacenados en la unidad de disco protegida.
BitLocker mejora la protección de datos al reunir dos subfunciones principales: cifrado del volumen de sistema
y comprobación de integridad en componentes de preinicio. Se cifra el volumen de sistema completo,
incluidos los archivos de paginación e hibernación, lo que aumenta la seguridad de servidores remotos
ubicados en sucursales. BitLocker resuelve las amenazas de robo o exposición de datos de un equipo
perdido, robado o retirado de manera inapropiada de servicio activo. BitLocker también ayuda a las
organizaciones a cumplir con disposiciones de organismos oficiales, como Sarbanes-Oxley y HIPAA, que
requieren el mantenimiento de estándares muy altos de seguridad y protección de datos.
PKI de empresa (PKIView)
Hay varias mejoras en la infraestructura de claves públicas (PKI) en Windows Server 2008 y sistemas
operativos Windows Vista. Se ha aumentado la capacidad de administración en todos los aspectos de
Windows PKI, se han rediseñado las revocaciones de servicios y hay una disminución de la superficie de
ataque para la inscripción. Las mejoras en PKI incluyen:
• PKI de empresa (PKIView): originalmente parte del Kit de recursos de Microsoft Windows Server 2008 y
llamada herramienta PKI Health, PKIView es ahora un complemento Microsoft Management Console (MMC)
de Windows Server 2008. Se usa para analizar el estado de las CA, y para consultar detalles de certificados
de la entidad emisora publicados en AD CS.
• Protocolo de estado de certificados en línea (OCSP): un contestador conectado basado en el Protocolo de
estado de certificados en línea (OCSP) se puede usar para administrar y distribuir información de estado de
revocación en casos donde el uso de CRL convencionales no es una solución óptima. Los contestadores
conectados se pueden configurar en un solo equipo o en una Matriz contestadores conectados.
• Servicio de inscripción de dispositivos de red (NDES): en Windows Server 2008, el Servicio de inscripción
de dispositivos de red (NDES) es la implementación de Microsoft del Protocolo de inscripción de certificados
simple (SCEP), un protocolo de comunicaciones que permite que software en ejecución en dispositivos de
red, como enrutadores y conmutadores que de otro modo no se pueden autenticar en la red, se inscriban en
certificados x509 de una entidad de certificación (CA).
• Inscripción web: el nuevo control de inscripción web es más seguro, más fácil de escribir en secuencia de
comandos y de actualizar que la versión anterior.
• Directiva de grupo y PKI: la configuración de certificados en directivas de grupo permite a los
administradores administrar configuración de certificados desde una ubicación central para todos los
equipos del dominio.
Criptografía de nueva generación (CNG)
La Criptografía de nueva generación (CNG) ofrece una plataforma de desarrollo criptográfica flexible que
permite a los profesionales de TI crear, actualizar y usar algoritmos personalizados de criptografía en
aplicaciones relacionadas con criptografía, como Servicios de Certificate Server de Active Directory (AD CS),
Capa de sockets seguros (SSL) y Seguridad de Protocolo Internet (IPSEC). CNG implementa los algoritmos
cifrados de la Suite B del gobierno de los EE.UU., que incluyen algoritmos para cifrado, firmas digitales,
intercambio de claves y hashing.
CNG ofrece un conjunto de API que se usan para realizar las operaciones básicas de criptografía, como
creación, almacenamiento y recuperación de claves criptográficas. También admite la instalación y uso de
proveedores de criptografía adicionales. CNG permite que las organizaciones y los desarrolladores usen sus
propios algoritmos criptográficos o implementaciones de algoritmos criptográficos estándar.
CNG admite el conjunto actual de algoritmos CryptoAPI 1.0 y ofrece también compatibilidad con algoritmos de
criptografía de curva elíptica (ECC). Varios algoritmos de ECC son obligatorios en la directiva Suite B del
gobierno de los Estados Unidos.
Controladores de dominio de sólo lectura
Un controlador de dominio de sólo lectura (RODC) es un nuevo tipo de controlador de dominio disponible en el
sistema operativo Windows Server 2008, diseñado para implementarse principalmente en entornos de
sucursales. Un RODC puede reducir los riesgos de implementar un controlador de dominio en ubicaciones
remotas, como sucursales, donde no se puede garantizar la seguridad física.
Excepto por las contraseñas de cuentas, un RODC dispone de todos los objetos y atributos de servicios de
dominio de Active Directory de Microsoft (AD DS) de que dispone un controlador de dominio de escritura. No
obstante los clientes, no pueden escribir cambios directamente en un RODC. Como los cambios no se
escriben directamente al RODC y por lo tanto no se originan de forma local, los controladores de dominio de
escritura que son asociados de replicación no tienen que extraer cambios del RODC. La separación de
funciones del administrador especifica que a cualquier usuario del dominio se puede delegar la administración
local de un RODC sin concederle ningún derecho de usuario del dominio propiamente dicho ni de otros
controladores de dominio.
Aislamiento de servidor y dominio
En una red basada en Microsoft Windows, los administradores pueden aislar lógicamente los recursos de
servidor y dominio para limitar el acceso a equipos autenticados y autorizados. Por ejemplo, se puede crear
una red lógica dentro de la red física existente, donde los equipos compartan un conjunto común de requisitos
para comunicaciones seguras. Cada equipo en esta red lógicamente aislada debe ofrecer credenciales de
autenticación a otros equipos en la red aislada para establecer conectividad.
Este aislamiento evita que equipos y programas no autorizados obtengan acceso a recursos de manera
inapropiada. Las solicitudes de equipos que no son parte de la red aislada se ignoran. El aislamiento de
servidor y dominio puede ayudar a proteger servidores y datos específicos de gran valor así como proteger a
equipos administrados de equipos y usuarios no administrados o invasores.
Se puede usar dos clases de aislamiento para proteger una red:
• Aislamiento de servidor: en un escenario de aislamiento de servidor, se configuran servidores específicos
mediante directivas de IPsec para aceptar sólo comunicaciones autenticadas de otros equipos. Por ejemplo,
el servidor de la base de datos se puede configurar para que sólo acepte conexiones del servidor de
aplicaciones web.
• Aislamiento de dominio: para aislar un dominio, los administradores pueden usar la pertenencia al dominio
de Active Directory para garantizar que los equipos que sean miembros de un dominio sólo acepten
comunicaciones autenticadas y protegidas de otros equipos que son miembros del dominio. La red aislada
sólo se compone de equipos que forman parte del dominio. El aislamiento de dominio usa directivas de
IPsec para proporcionar protección para el tráfico que se envía entre miembros del dominio, incluidos todos
los equipos cliente y servidor.
6.- Acceso centralizado de aplicaciones
Introducción
Windows Server 2008 ofrece mejoras e innovaciones a Servicios de Terminal Server que van más allá de la
simple habilitación del acceso a aplicaciones, sino que mejoran la experiencia de los usuarios al permitir que
ejecuten en su propio escritorio aplicaciones remotas en paralelo con aplicaciones locales. También ofrece
nuevas opciones para tener acceso de forma centralizada a las aplicaciones a través de Acceso web de
Servicios de Terminal Server.
Los nuevos componentes de Servicios de Terminal Server incluyen:
• RemoteApp de Servicios de Terminal Server: RemoteApp de Servicios de Terminal Server permite que los
usuarios ejecuten programas Windows de acceso remoto en paralelo con sus aplicaciones locales en el
escritorio, mediante el nuevo cliente Conexión a escritorio remoto 6.0.
• Terminal Services Gateway: Terminal Services Gateway (TS Gateway) extiende el alcance de Servicios de
Terminal Server más allá del firewall corporativo, al proporcionar protección de acceso a Terminal Server y
escritorios compartidos sin necesidad de la infraestructura para Red Privada Virtual (VPN).
• Acceso web de Servicios de Terminal Server: el acceso web de Servicios de Terminal Server (TS Web
Access) ofrece una solución de aplicación remota que simplifica para el administrador el proceso de
publicación de aplicaciones remotas, a la vez que simplifica también para el usuario el proceso del
búsqueda y ejecución de aplicaciones remotas.
• Inicio de sesión único: el inicio de sesión único mejora la experiencia de usuario de los usuarios remotos
eliminando la necesidad de especificar las credenciales varias veces.
Servicios de Terminal Server
En Windows Server 2008, Servicios de Terminal Server incluye nueva funcionalidad principal que mejora la
experiencia del usuario final cuando se conecta a un servidor de terminar de Windows Server 2008. Esta
nueva funcionalidad principal incluye:
• Conexión a escritorio remoto 6.0: para tener acceso a Servicios de Terminal Server, los usuarios deberán
usar Conexión a escritorio remoto 6.0. Se incluye con Windows Server 2008 y Windows Vista, y está
disponible como una descarga gratuita para usuarios de Windows XP y Windows Server 2008.
• Mejoras de pantalla de Conexión a escritorio remoto: el software Conexión a escritorio remoto 6.0 incluye
compatibilidad para uso de equipos de escritorio con resoluciones superiores (hasta 4096 X 2048) y usa
múltiples monitores para formar un único gran escritorio. Los usuarios de Conexión a escritorio remoto 6.0
pueden aprovechar los nuevos monitores de alta resolución y formatos modernos de pantalla (como
formatos de pantalla panorámica 16:9 o 16:10) que no cumplen con el estándar anterior 4:3.
• Desktop Experience: conexión a escritorio remoto 6.0 reproduce el escritorio que existe en el equipo
remoto, en el equipo cliente del usuario. Si Desktop Experience está instalado en Windows Server 2008, el
usuario puede usar características de Windows Vista, como el Reproductor de Windows Media, los temas
de escritorio y la administración de fotos en su conexión remota. La característica Desktop Experience y el
establecimiento de prioridades de datos de pantalla (diseñada para mantener el teclado y mouse en
sincronización con lo que se muestra en el monitor incluso en condiciones de gran uso del ancho de banda)
mejoran la experiencia de usuario final cuando se conecta a un servidor de terminal de Windows Server
2008.
Inicio de sesión único
El inicio de sesión único permite que usuarios con una cuenta de dominio inicien una sesión de Servicios de
Terminal Server una vez, usando una contraseña o una tarjeta inteligente y después puedan obtener acceso a
servidores y aplicaciones remotos sin que se les solicite nuevamente sus credenciales. El inicio de sesión
único mejora la experiencia de usuario al eliminar la necesidad de que los usuarios escriban credenciales
cada vez que inician una sesión remota.
RemoteApp de Servicios de Terminal Server
RemoteApp de Servicios de Terminal Server es un nuevo método remoto de presentación de aplicaciones
disponible en Windows Server 2008. RemoteApp complementa el método de presentación de Servicios de
Terminal Server, que presenta el escritorio remoto completo a usuarios que tienen acceso a las aplicaciones
dentro de esa ventana.
Con Windows Server 2008, la interacción del usuario con la aplicación remota es bastante distinto. Ahora se
inicia la aplicación remota, no el escritorio remoto completo y se ejecuta en su propia ventana redimensionable
en el escritorio del equipo cliente. Si el programa usa un icono de área de notificación, ese icono aparece en el
área de la notificación del cliente. Los elementos emergentes de Windows se redireccionan al escritorio local,
y las unidades de disco e impresoras locales se redireccionan y ponen a disposición dentro del programa
remoto. Muchos usuarios quizás ignoren que el programa remoto es diferente a las demás aplicaciones
locales que se ejecutan en paralelo con el programa remoto en su escritorio.
RemoteApp reduce el esfuerzo administrativo porque se debe mantener sólo una aplicación central en el
servidor, en vez de instalaciones individuales en múltiples escritorios a través de la organización. Mejora
también la experiencia de usuario, ofreciendo una integración más fluida de la aplicación remota con el
escritorio del equipo cliente.
Terminal Services Gateway (TS Gateway)
Terminal Services Gateway (TS Gateway) es una función de Servicios de Terminal Server que permite a
usuarios remotos autorizados conectarse a través de Internet a servidores de terminal y estaciones de trabajo
de una red corporativa. Esto permite a las organizaciones hacer que servidores y estaciones de trabajo
seleccionados estén disponibles de forma sencilla y segura para los trabajadores remotos o en viaje, sin usar
una conexión VPN.
Algunas ventajas clave de Gateway TS:
• Permite que usuarios remotos se conecten de forma segura a recursos de la red corporativa desde Internet,
sin la complejidad de las conexiones de Red Privada Virtual (VPN).
• Aprovecha la seguridad y disponibilidad del protocolo HTTPS para proporcionar Servicios de Terminal
Server sin ninguna configuración de cliente.
• Ofrece un modelo completo de configuración de seguridad que permite que los administradores controlen el
acceso a recursos específicos en la red.
• Permite que los usuarios se conecten de forma remota a servidores de terminal y estaciones de trabajo
remotas a través de firewalls y traductores de dirección de red (NAT).
• Ofrece un modelo más seguro, al permitir que los usuarios tengan acceso sólo a servidores y estaciones de
trabajo seleccionados en lugar de la red corporativa completa a través de una VPN.
Terminal Services Gateway ofrece una manera segura y fácil para las organizaciones de proporcionar a
usuarios remotos el acceso a servidores y estaciones de trabajo dentro de la red sin tener que instalar y
configurar una conexión de VPN. Las características completas de seguridad también permiten que los
administradores controlen el acceso a recursos específicos.
Acceso web de Servicios de Terminal Server
Acceso web a Servicios de Terminal Server (TS Web Access) es una función de Servicios de Terminal Server
que permite que los administradores pongan programas de RemoteApp de Servicios de Terminal Server a
disposición de usuarios desde un explorador web, sin requerir que el usuario realice ninguna instalación de
software. Con TS Web Access, los usuarios pueden visitar un sitio web y tener acceso a una lista de todas las
aplicaciones disponibles. Cuando el usuario inicia uno de los programas listados, se inicia de forma
automática una sesión de Servicios de Terminal Server de ese usuario en el servidor de terminal basado en
Windows Server 2008 que aloja la aplicación. Para el usuario, esta interfaz web ofrece un menú centralizado
que muestra todas las aplicaciones remotas actualmente disponibles; y ejecutar una aplicación remota es tan
sencillo como elegir un programa del menú.
Mediante el uso de Acceso web TS, se reduce la carga administrativa. Se puede tener acceso fácilmente a los
programas desde una ubicación central. Los programas se ejecutan en un servidor de terminal y no en el
equipo cliente, de modo que el personal de TI tiene que mantener y actualizar una sola instancia de la
aplicación.
7.- Alta disponibilidad
Introducción
Garantizar que las aplicaciones fundamentales estén siempre disponibles es un servicio clave ofrecido por los
departamentos de TI, y "Alta disponibilidad" es un tema central de muchas de las mejoras de Windows Server
2008. El clúster de conmutación por error, el equilibrio de carga de red y las nuevas características de copia
de seguridad y restauración en Windows Server 2008 se combinan para ofrecer a las organizaciones una
solución de "Alta disponibilidad" para garantizar que esas aplicaciones fundamentales, servicios e información
permanecen disponibles para todos los usuarios.
Clúster de conmutación por error
Un clúster de conmutación por error, antes conocido como un clúster de servidor, es un grupo de equipos
independientes que colaboran para aumentar la disponibilidad de aplicaciones y servicios. Los servidores del
clúster, llamados nodos, se conectan tanto por medio de cables físicos como a través de software. Si uno de
los nodos del clúster tiene errores, otro nodo en el clúster a través de un proceso conocido como conmutación
por error, se hará cargo del nodo con error, con lo que se garantiza que los usuarios experimenten una
mínima interrupción en el servicio. Los clústeres de conmutación por error los usan profesionales de TI que
necesitan proporcionar alta disponibilidad para servicios y aplicaciones fundamentales.
En Windows Server 2008, las mejoras en clústeres de conmutación por error están destinadas a simplificar los
clústeres, haciéndolos más seguros y a mejorar su estabilidad.
La instalación y configuración del clúster se simplificó en Windows Server 2008 con un nuevo asistente de
validación que permite que los usuarios confirmen que la configuración de sistema, el almacenamiento y la
configuración de la red son convenientes para un clúster. Algunas de las pruebas realizadas por el nuevo
asistente de validación incluyen:
• Pruebas de nodo: confirma que los servidores ejecutan la misma versión de sistema operativo y tienen las
mismas actualizaciones de software
• Pruebas de red: determinan si la red de clúster planeada cumple con requisitos específicos como disponer
al menos de dos subredes independientes para redundancia de red
• Pruebas de almacenamiento: analizan si el almacenamiento está configurado correctamente para que todos
los nodos del clúster tengan acceso a todos los discos compartidos y cumplan los requisitos especificados.
Windows Server 2008 incluye compatibilidad con discos de identificador único global o GPT (de tabla de
particiones GUID) en almacenamiento de clúster. Los discos GPT pueden tener particiones mayores que dos
terabytes y redundancia integrada, a diferencia de los discos con registro de arranque maestro (MBR). GPT
ofrece más ventajas que las particiones de registro de arranque maestro (MBR) porque admite hasta 128
particiones por disco, ofrece compatibilidad para volúmenes de hasta 18 exabytes de tamaño, admite tablas
de partición principales y de copia de seguridad para redundancia, e identificadores únicos de discos y
particiones.
Para simplificar la administración de clústeres, se mejoraron las interfaces de administración para permitir que
los administradores se centren en administrar las aplicaciones y los datos, no los clústeres. La nueva interfaz
se basa en tareas y es más intuitiva, y ofrece el soporte de asistentes que guían a los administradores a
través de operaciones que con anterioridad eran complejas.
Los clústeres de conmutación por error en Windows Server 2008 ofrecen mejor funcionalidad y confiabilidad
que en versiones anteriores de clústeres de servidor. Las mejoras clave incluyen:
• Adición dinámica de recursos de disco: las dependencias de recursos se pueden modificar mientras los
recursos están conectados, lo que significa que los administradores pueden poner a disposición
almacenamiento de disco adicional sin interrumpir las aplicaciones que harán uso del mismo.
• Rendimiento y estabilidad mejorados con almacenamiento de datos: cuando un clúster de conmutación por
error se comunica con una red de área de almacenamiento (SAN) o almacenamiento de conexión directa
(DAS), usa los comandos menos disruptivos, con menos reinicializaciones de bus SCSI. Los discos nunca
quedan en una condición no protegida, lo que significa que se reduce el riesgo de daño del volumen. Los
clústeres de conmutación por error son también compatibles con métodos mejorados para descubrimiento y
recuperación de discos. Los clústeres de conmutación por error admiten tres tipos de conexiones de
almacenamiento: Serial Attached SCSI (SAS), iSCSI y Fibre Channel.
• Mantenimiento de discos más sencillo: el "modo de mantenimiento" se ha mejorado considerablemente, de
forma que los administradores puedan ejecutar herramientas para comprobar, corregir, realizar copias de
seguridad o restaurar discos más fácilmente e interrumpiendo menos el funcionamiento del clúster.
Para administradores que usan clústeres para proporcionar una solución de alta disponibilidad, Windows
Server 2008 simplifica la implementación y administración de clústeres y mejora el rendimiento y la
confiabilidad.
Equilibrio de carga de red
El equilibrio de carga de red (NLB) es una característica que distribuye la carga para aplicaciones de clientes y
servidores en red a través de varios servidores en un clúster de NLB. NLB es importante para organizaciones
que necesitan distribuir solicitudes de cliente a través de un conjunto de servidores. Es especialmente útil para
garantizar que aplicaciones sin estado, como por ejemplo aplicaciones basadas en la Web que se ejecutan en
Internet Information Services (IIS), se puedan escalar mediante la adición de servidores adicionales a medida
que se incrementa la carga de trabajo. NLB ofrece escalabilidad al permitir que se agreguen servidores
adicionales a medida que aumenta la carga. NLB ofrece confiabilidad al permitir que los usuarios reemplacen
fácilmente un servidor con errores. Las mejoras a NLB en Windows Server 2008 incluyen:
• Compatibilidad con IPv6: NLB es compatible completamente con IPv6 para todas las comunicaciones
• Compatibilidad con NDIS 6.0: el controlador NLB ha sido reescrito completamente para usar el nuevo
modelo de filtro ligero de NDIS 6.0. NDIS 6.0 retiene la compatibilidad con versiones anteriores de NDIS.
Las mejoras en el diseño de NDIS 6.0 incluyen el rendimiento y escalabilidad mejorados del controlador y
un modelo simplificado de controlador NDIS.
• Mejoras de WMI: las mejoras de WMI en el espacio de nombres MicrosoftNLB son para compatibilidad con
IPv6 y múltiples direcciones IP dedicadas.
• Clases en el espacio de nombres MicrosoftNLB: admiten direcciones IPv6 (además de direcciones IPv4).
• La clase MicrosoftNLB_NodeSetting: admite múltiples direcciones IP dedicadas especificándolas en
DedicatedIPAddresses y DedicatedNetMasks.
• Funcionalidad mejorada con ISA Server: ISA Server puede configurar múltiples direcciones IP dedicadas
para cada nodo NLB en escenarios donde los clientes incluyen tanto tráfico IPv4 como IPv6. Tanto los
clientes IPv4 como IPv6 necesitan tener acceso a un ISA Server específico que administre el tráfico. ISA
puede también ofrecer a NLB notificaciones de ataques SYN y privación de temporizadores (estos
escenarios suceden normalmente cuando un equipo se sobrecarga o se infecta por un virus de Internet).
• Compatibilidad con múltiples direcciones IP dedicadas por nodo: NLB es totalmente compatible con la
definición de más de una dirección IP dedicada por nodo (anteriormente, sólo se admitía una dirección IP
dedicada por nodo), lo que permite que múltiples aplicaciones se alojen en el mismo clúster de NLB en
escenarios donde aplicaciones independientes requieren su propia dirección IP dedicada.
Estas características ofrecen compatibilidad para nuevos estándares industriales, incremento del rendimiento,
mejoras de interoperabilidad, mejor seguridad y mayor flexibilidad en la implementación y consolidación de la
aplicación.
Copia de seguridad de Windows
Copia de seguridad es el tercer componente clave de Windows Server 2008 diseñado para ofrecer alta
disponibilidad de servicios. La característica de copia de seguridad ofrece una solución de copia de seguridad
y recuperación para el servidor en que está instalada. Presenta una tecnología de copia de seguridad y
recuperación, que reemplaza a la característica de copia de seguridad anterior disponible en versiones
anteriores del sistema operativo Windows.
La característica de copia de seguridad se puede usar para proteger el servidor completo con eficiencia y
seguridad sin necesidad de preocuparse por las complejidades de la tecnología de la copia de seguridad y la
recuperación. Asistentes sencillos guían al usuario a través de la configuración de una programación de copia
de seguridad automática, creando copias de seguridad manuales si fuera necesario y recuperando elementos
o volúmenes completos. La copia de seguridad en Windows Server 2008 se puede usar para realizar copias
de seguridad de un servidor completo o de volúmenes seleccionados.
La copia de seguridad usa el servicio de instantáneas de volumen de Microsoft y la tecnología de copia de
seguridad de bloque para realizar copias de seguridad y recuperar de forma eficiente el sistema operativo,
archivos y carpetas, y volúmenes. Después de crear la primera copia completa de seguridad, se ejecutan
automáticamente copias de seguridad incrementales guardando sólo los datos que se modificaron desde que
ocurrió la última copia de seguridad. A diferencia de versiones anteriores, los administradores ya no tienen
que preocuparse por programar manualmente las copias de seguridad completas e incrementales.
La restauración se ha mejorado y simplificado en Windows Server 2008. Los elementos ahora se pueden
restaurar eligiendo una copia de seguridad de la cual recuperar y seleccionando a continuación los elementos
a restaurar. Se pueden recuperar archivos específicos o todo el contenido de una carpeta. Con respecto a las
copias de seguridad incrementales, anteriormente, si un elemento se almacenaba en una copia de seguridad
incremental, era necesario restaurar manualmente múltiples copias de seguridad. Ahora, el usuario puede
elegir simplemente la fecha en que se realizó la copia de seguridad de la versión que desea restaurar.
Windows Server 2008 ofrece las soluciones de copia de seguridad y recuperación necesarias para completar
una solución de alta disponibilidad que proteja tanto los datos de la organización como los sistemas operativos
de los servidores en la red, mientras alivia la carga administrativa al garantizar que se realicen
apropiadamente copias de seguridad de los datos fundamentales y se acelera la recuperación de los datos.
8.- Directorio Activo
El Directorio Activo es el servicio de directorio en una red Windows 2000 y Windows Server 2008. Un servicio de directorio es un servicio de red donde se almacena la información de los recursos de la red para hacer más fácil la accesibilidad a las aplicaciones y a los usuarios. El servicio de directorio proporciona una manera consistente de nombrar, describir, localizar, acceder, administrar y asegurar la información los recursos. El Directorio Activo proporciona la funcionalidad al servicio de Directorio, incluyendo los medios de centralizar, administrar y controlar los accesos a los recursos de la red. El Directorio Activo produce que la topología de la red física y los protocolos sean transparentes para que los usuarios de una red puedan acceder a los recursos sin tener que saber dónde están situados esos recursos o cómo están conectados físicamente.
El Directorio Activo organiza el directorio en secciones que permiten almacenar un gran número de objetos. Como resultado, el Directorio Activo puede expandirse tanto como requiera la organización, desde un servidor con cientos de objetos hasta cientos de servidores con millones de objetos. El Directorio Activo se incluye en cada producto de las versiones de Windows 2000 Server, Advanced Server y Datacenter Server y en las versiones de Windows Server 2008 Estándar Edition, Enterprise Edition y Datacenter Edition. Se diseñó para trabajar bien en cualquier tamaño de instalación, desde un server con cientos de objetos a miles de servidores y millones de objetos. Windows 2000 Server y Windows Server 2008 almacenan la información de la configuración del sistema, perfiles de usuario y aplicaciones en el Directorio Activo. En combinación con las políticas de grupo, el Directorio Activo permite a los administradores administrar los servicios de red y las aplicaciones desde una localización central usando una interfaz de administración consistente. La seguridad está integrada en el Directorio Activo mediante la autenticación del inicio de sesión y el control de acceso a los objetos del directorio. Con un único inicio de sesión en la red, los administradores pueden administrar datos del directorio y de la organización en cualquier punto de la red, y los usuarios autorizados de la red pueden tener acceso a recursos en cualquier lugar de la red. La administración basada en directivas facilita la tarea del administrador incluso en las redes más complejas El Directorio Activo también incluye:
Un conjunto de reglas, el esquema, que define las clases de objetos y los atributos contenidos en el directorio, así como las restricciones y los límites en las instancias de estos objetos y el formato de sus nombres.
Un catálogo global que contiene información acerca de cada uno de los objetos del directorio. Esto permite a los usuarios y administradores encontrar información del directorio con independencia de cuál sea el dominio del directorio que realmente contiene los datos.
Un sistema de índices y consultas, para que los usuarios o las aplicaciones de red puedan publicar y encontrar los objetos y sus propiedades.
Un servicio de replicación que distribuye los datos del directorio por toda la red. Todos los controladores de un dominio participan en la replicación y contienen una copia completa de toda la información del directorio para su dominio. Cualquier cambio en los datos del directorio se replica en todos los controladores del dominio.
Compatibilidad con el software de cliente del Directorio Activo, lo que permite que muchas de las características de Windows 2000 Professional o Windows XP Professional también estén disponibles en los equipos que ejecutan Windows 95, Windows 98 y NT Server 4.0. En los equipos que no ejecutan el software de cliente del Directorio Activo, el directorio tendrá el mismo aspecto que un directorio de Windows NT.
Ventajas que ofrece el Directorio Activo
Reduce el coste de propiedad (TCO). Las políticas de grupo con el Directorio Activo permite configurar entornos de trabajo e instalar aplicaciones desde una consola administrativa. Esto reduce el tiempo que se necesita en ir a cada equipo para configurar e instalar aplicaciones.
Administración simplificada. Proporciona una localización simple de la información almacenada como recursos y usuarios. Esto simplifica la administración y hace más fácil a los usuarios encontrar los recursos a través de la red.Además, elimina la dependencia con las ubicaciones físicas ya que permite un único punto de administración.
Administración flexible. Permite delegar los permisos sobre usuarios y equipos a otros usuarios o grupos.
Escalabilidad. En Windows NT 4.0, los dominios tienen un límite claro de hasta 40.000 objetos. Aún así se tienen que crear muchos dominios en una organización grande. Un dominio con Directorio Activo puede contener millones de objetos.
Protocolo basado en estándar. El acceso al Directorio Activo se lleva a cabo a través del protocolo de acceso a Directorio Lightweight (LDAP). Las aplicaciones usan LDAP mejor que los protocolos ropietarios para acceder y cambiar la información en el Directorio Activo.
Directorio Activo y DNS
El Directorio Activo utiliza DNS para las siguientes funciones:
Resolución de Nombres. DNS proporciona la resolución de nombres traduciendo los nombres de los host a direcciones IP.
Definición del Espacio de Nombres. El Directorio Activo usa DNS para nombrar a los dominios. Los nombres de los dominios de Windows 2000 y Windows Server 2008 son nombres de dominio DNS. Por ejemplo, upm.es es un nombre de dominio DNS y puede ser también un nombre para un dominio de Directorio Activo.
Localización del componente físico del Directorio Activo. Para hacer logon en la red y ejecutar las peticiones del Directorio Activo, un equipo debe primero localizar un controlador de dominio para proceder a la autentificación de logon. La base de datos de DNS guarda la información sobre los equipos que tienen esos roles para dirigirles las peticiones de logon apropiadamente.
Descripción del Directorio Activo
El Directorio Activo permite organizar los recursos de una manera lógica, lo que simplifica la búsqueda de un recurso por su nombre. El usuario no conoce ni necesita conocer la estructura física del Directorio. Todo lo que se encuentra en el Directorio Activo es, ante todo y finalmente, un objeto. Por lo cual, se puede decir que el Directorio Activo es un directorio de objetos.
Estructura lógica
Directorio Activo es una estructura arbolada jerárquica que agrupa, de menor a mayor, los siguientes componentes:
Objetos y contenedores de objetos
Un objeto puede ser la representación de un sistema, un usuario, un recurso, un servicio, etc. Cada tipo tiene sus propios atributos característicos del tipo de objeto. Un objeto Usuario necesita tener definidos ciertos atributos propios: nombre del usuario, los datos personales, etc. Por su parte, otro tipo de objeto, por ejemplo, el objeto Sistema, tendrá diferentes atributos: la dirección IP, el nombre del ordenador, etc. Cada objeto en el Directorio Activo tiene una identidad única. Los objetos se pueden mover y renombrar, pero su identidad nunca cambia. Los objetos contenedores son objetos especiales que pueden contener otros objetos y que permiten organizar el Directorio Activo. A diferencia de un elemento de agrupación de objetos que, por su parte, también puede contener a otros objetos contenedores.
Unidades organizativas Un tipo de objeto de directorio especialmente útil, contenido en los dominios, es la unidad organizativa. Las unidades organizativas son contenedores del Directorio Activo en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.
Figura 5.1: Ejemplo de Unidades organizativas dentro de un dominio
Como se muestra en la figura 5.1, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio.
Dominios Un dominio constituye un límite de seguridad. El directorio incluye uno o más dominios, cada uno de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas:
Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.
Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio, Directorio Activo puede ampliarse y llegar a contener una gran cantidad de objetos.
Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio. Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios Al utilizar un solo dominio se simplifican mucho las tareas administrativas. Para crear un dominio, debe promover uno o más equipos que ejecuten Windows 2000 Server o Windows Server 2008 a controladores de dominio. Un controlador de dominio proporciona servicios de directorio de Directorio Activo a usuarios y equipos de la red, almacena datos del directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la autenticación y las búsquedas en el directorio. Cada dominio debe tener al menos un controlador de dominio.
Árboles Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo llamado árbol. El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario. Esto significa que el nombre de un dominio secundario consta del nombre de ese dominio secundario más el nombre del dominio principal. En la figura 5.2, secundario.microsoft.com es un dominio secundario de microsoft.com y es el
dominio principal de secundario2.secundario.microsoft.com. El dominio microsoft.com es el dominio principal de secundario.microsoft.com. Además, es el dominio raíz de este árbol.
Figura 5.2: Ejemplo de árbol de dominios
Los dominios de Windows 2000 y Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio de Directorio Activo recién creado en un bosque o árbol de dominio tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.
Bosque
Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio (microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado "soporte", los nombres DNS de esos dominios secundarios serán soporte.microsoft.com y soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres contiguo.
Figura 5.3: Ejemplo de bosque de dominios
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque. En la figura 5.3, microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de confianza transitivas con microsoft.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque. Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.
Estructura física
En el Directorio Activo, la estructura lógica está separada de la estructura física. La estructura lógica se usa para organizar los recursos de la red y se usa la estructura física para configurar y administrar el tráfico de red. La estructura física del Directorio Activo está compuesta por sites y controladores de dominio.
Esta estructura define dónde y cuando ocurrirá el tráfico de logon y de replicación. Entender los componentes de la estructura física del Directorio Activo es importante para optimizar el tráfico de red y el proceso de logon. Esta información ayudará a resolver problemas con los loggins y con la replicación.
Sitio Un sitio es la combinación de una o más subredes IP conectadas en enlaces de alta velocidad. Esta definición permite configurar el acceso al Directorio Activo y la topología de replicación para que Windows 2000 y/o Windows Server 2008 utilicen los enlaces más eficientes y sincronice el tráfico de replicación y de logon. Se crean Sitios por dos razones importantes:
Optimizar el tráfico de replicación.
Posibilitar a los usuarios conectarse con controladores de dominio usando una posible conexión de alta velocidad.
Los Sitios mapean la estructura física de la red al igual que los dominios mapean la estructura lógica de la correlación. La estructura física y lógica del Directorio Activo son independientes una de la otra lo cual tiene las siguientes consecuencias:
No hay correlación entre la estructura física de la red y su estructura de dominio.
El Directorio Activo permite múltiples dominios en un solo sitio al igual que múltiples Sitios en un solo dominio.
Figura 5.4: Ejemplo de Sitio dentro de dominios
Sitios y Servicios del Directorio Activo permite especificar la información de los Sitios. El Directorio Activo utiliza esta información para determinar el mejor modo de utilizar los recursos de la red disponibles. Esto aumenta la eficacia de los siguientes tipos de operaciones:
Solicitudes de servicio Cuando un cliente solicita un servicio a un controlador de dominio, éste la dirige a un controlador de dominio del mismo sitio, si hay alguno disponible. La selección de un controlador de dominio que esté conectado correctamente con el cliente que formuló la solicitud facilita su tratamiento.
Replicación Los sitios optimizan la replicación de información del directorio. La información de configuración y de esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio del dominio. Al reducir la replicación de forma estratégica, igualmente se puede reducir el uso de la red. El Directorio Activo replica información del directorio dentro de un sitio con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio mejor conectados, es decir, aquellos que con más probabilidad necesitarán información especial del directorio, son los que primero reciben las replicaciones. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red.
Si una implementación no se organiza en sitios, el intercambio de información entre controladores de dominio y clientes puede ser caótico. Los sitios mejoran la eficacia del uso de la red.
Controladores de Dominio Los controladores del dominio son equipos que ejecutan Windows 2000 Server, Advanced Server o Datacenter Server, o bien, Windows Server 2008 Standard Edition, Enterprise Edition y Datacenter Edition donde se almacena una copia del directorio. También administra los cambios del directorio y los replica a
otros controladores de dominio del mismo dominio. Los controladores de dominio almacenan los datos de directorio administra el proceso de logon de los usuarios, autentificación y búsquedas del directorio. Un dominio puede tener uno o más controladores de dominio. Una organización pequeña que utilice una red de área local (LAN) puede necesitar nada mas que un solo dominio con dos controladores de dominio para proporcionar la adecuada disponibilidad y tolerancia a fallos mientras que una compañía grande con muchas localizaciones geográficas necesitará uno o más controladores de dominio en cada localización para proporcionar también una adecuada disponibilidad y tolerancia a fallos requerido. El Directorio Activo utiliza la replicación multi-master, en la que ningún controlador de dominio es el controlador de dominio maestro. En lugar de eso, todos los controladores de dominio contienen una copia del directorio. Cualquier controlador de dominio puede almacenar una copia del directorio con información diferente durante cortos periodos de tiempo hasta que todos los controladores de dominio realicen una sincronización de los cambios hechos en el Directorio Activo. Para iniciar una sesión en una red del Directorio Activo, un cliente del Directorio Activo debe encontrar primero un controlador de dominio del Directorio Activo para su dominio. Para encontrar un controlador de dominio para un dominio especificado, un cliente del Directorio Activo envía una consulta de nombre DNS a sus servidores DNS. La respuesta del servidor DNS contiene los nombres DNS de los controladores de dominio y sus direcciones IP. A partir de la lista de direcciones IP de los controladores de dominio, el cliente intenta entrar en contacto con cada controlador de dominio para asegurarse de que está operativo. El primer controlador de dominio que responde es el que se utiliza para el proceso de inicio de sesión.
Arquitectura del Directorio Activo
Almacén de datos
El servicio de directorio del Directorio Activo utiliza un almacén de datos para toda la información de directorio. Este almacén de datos se suele denominar directorio. El directorio contiene información acerca de objetos como usuarios, grupos, equipos, dominios, unidades organizativas y directivas de seguridad. Esta información se puede publicar para que otros usuarios y administradores hagan uso de ella. El directorio se almacena en controladores de dominio y las aplicaciones de red o los servicios tienen su acceso concedido. Un dominio puede tener uno o varios controladores de dominio. Cada controlador de dominio dispone de una copia del directorio en todo el dominio en el que está ubicado. Los cambios realizados en el directorio en un controlador de dominio se replican al resto de los controladores en el dominio, el árbol de dominios o el bosque. El Directorio Activo utiliza cuatro tipos diferentes de particiones de directorio para almacenar y copiar distintas clases de datos. Las particiones de directorio contienen datos de dominio, configuración, esquema y aplicación. Este diseño de almacenamiento y replicación proporciona la información de directorio a los usuarios y administradores de todo el dominio. Los datos del directorio se almacenan en el archivo Ntds.dit del controlador de dominio. Se recomienda almacenar este archivo en una partición NTFS. Los datos privados se almacenan de forma segura y los datos públicos del directorio se guardan en un volumen del sistema compartido, desde el que se pueden replicar a otros controladores del dominio. Los datos de directorio replicados entre controladores de dominio incluyen la información siguiente:
Datos del dominio Los datos del dominio contienen información acerca de los objetos de un dominio. Se trata de información como contactos de correo electrónico, atributos de cuentas de usuarios y equipos, así como recursos publicados que son de interés para administradores y usuarios. Por ejemplo, cuando una cuenta de usuario se agrega a la red, un objeto de la cuenta de usuario y sus atributos se almacenan en los datos de dominio. Cuando se producen cambios en los objetos de directorio de la organización, como puede ser la creación de un objeto, su eliminación o la modificación de los atributos, estos datos se almacenan en los datos de dominio.
Datos de configuración Los datos de configuración describen la topología del directorio. Estos datos de configuración incluyen una lista de todos los dominios, árboles y bosques, así como las ubicaciones de los controladores de dominio y los catálogos globales.
Datos de esquema El esquema es la definición formal de todos los datos de objetos y atributos que se pueden almacenar en el directorio. Los controladores de dominio que ejecutan Windows Server 2008 incluyen un esquema predeterminado que define muchos tipos de objetos, como cuentas de usuarios y equipos,
grupos, dominios, unidades organizativas y directivas de seguridad. Los administradores y los programadores pueden ampliar este esquema mediante la definición de nuevos tipos de objetos y atributos o bien con la adición de atributos nuevos para los objetos existentes. Los objetos del esquema están protegidos por listas de control de acceso, lo que asegura que sólo los usuarios autorizados puedan modificar el esquema.
Datos de aplicación Los datos almacenados en la partición de directorio de aplicaciones son de utilidad en aquellos casos en los que se necesita replicar la información, pero no forzosamente a escala global. De manera predeterminada, las particiones de directorio de aplicaciones no forman parte del almacén de datos del directorio. El administrador es el encargado de crearlas, configurarlas y administrarlas.
Las cuotas, una nueva característica de los controladores de dominio que ejecutan Windows Server 2008, determinan el número de objetos que un principal de seguridad puede poseer en una partición de directorio determinada. (El propietario del objeto suele ser su creador, pero esto no siempre es así). Las cuotas ayudan a evitar la denegación de servicio que puede ocurrir si un principal de seguridad crea objetos, accidental o intencionalmente, hasta que el controlador de dominio afectado ya no tiene más espacio para el almacenamiento. Las cuotas se especifican y se administran independientemente para cada partición de directorio. Sin embargo, la partición de esquema no tiene cuotas. En una partición de directorio determinada, puede asignar cuotas para cualquier principal de seguridad, incluidos los usuarios, los equipos y los grupos. Las cuotas no se aplican a los miembros de los grupos Administradores del dominio y Administradores de organización. En algunos casos, un principal de seguridad puede estar cubierto por múltiples cuotas. Por ejemplo, a un usuario puede asignársele una cuota individual y al mismo tiempo este usuario puede pertenecer a uno o a varios grupos de seguridad que también tengan cuotas asignadas. En estos casos, la cuota efectiva es el número máximo de cuotas asignadas al principal de seguridad. Si un principal de seguridad no está asignado a una cuota directamente o mediante una pertenencia a grupos, una cuota predeterminada de la partición controla el principal de seguridad. Si no establece explícitamente la cuota predeterminada en una partición concreta, la cuota predeterminada de dicha partición no tiene límite (por ejemplo, no hay límite). El siguiente ejemplo muestra cómo puede utilizar las cuotas. Suponga que tiene el dominio "sales.northwindtraders.com". Puesto que este dominio admite una gran cantidad de actividades de impresión, el dominio contiene varios servidores de impresión y cada uno de ellos admite 1.000 o más colas de impresión. Inicialmente, la cuota predeterminada de la partición del dominio sales.northwindtraders.com es ilimitada. Para controlar el número de objetos creados y propios, el administrador especifica una cuota predeterminada de 500. Ahora, cada usuario puede disponer de un máximo de 500 objetos en la partición. Puesto que las colas de impresión son objetos de directorio creados y propiedad de sus respectivos servidores de impresión, la nueva cuota predeterminada de 500 limita cada servidor de impresión a 500 colas de impresión. Para eliminar esta restricción, el administrador crea un grupo denominado "Servidores de impresión" y agrega la cuenta del equipo de cada servidor de impresión al grupo. A continuación, el administrador especifica una cuota de 2.000 para el grupo Servidores de impresión. Ahora, cada servidor de impresión admite su número original de colas de impresión mientras que la cuota predeterminada sigue impidiendo la creación excesiva de objetos por parte del resto de los principales de seguridad. Sólo los controladores de dominio que ejecuten Windows Server 2008 pueden aplicar cuotas. Las cuotas sólo se aplican en operaciones de directorio iniciales; las cuotas no se aplican en operaciones replicadas. Para que las cuotas sean totalmente operativas en una partición de directorio determinada, todos los controladores de dominio que contienen una copia modificable de dicha partición deben ejecutar Windows Server 2008. Por lo tanto, para que las cuotas sean eficaces en una partición de directorio de dominio, todos los controladores de dominio de ese dominio deben ejecutar Windows Server 2008. Para que las cuotas sean eficaces en la partición de configuración, todos los controladores de dominio del bosque deben ejecutar Windows Server 2008.
Esquema del Directorio Activo El esquema del Directorio Activo contiene las definiciones de todos los objetos del directorio. Cada objeto de directorio nuevo que crea se valida mediante la definición de objeto adecuada del esquema antes de escribirse en el directorio. El esquema consta de clases de objeto y atributos. El esquema base (o predeterminado) contiene un extenso conjunto de clases de objeto y atributos con los que se cumplen las necesidades de la mayoría de las organizaciones y se modela siguiendo el estándar X.500 de la International
Standards Organization (ISO) para los servicios de directorio. Dado que es ampliable, puede modificar y agregar clases y atributos al esquema base. No obstante, debe tener muy en cuenta cada cambio aplicado, ya que la ampliación del esquema afecta a toda la red. En el esquema, una clase de objeto representa una categoría de objetos de directorio (como usuarios, impresoras o aplicaciones) que comparten un conjunto de características comunes. La definición de cada clase de objeto contiene una lista de los atributos de esquema que se puede utilizar para describir instancias de la clase. Por ejemplo, la clase Usuario tiene atributos como givenName, surname y streetAddress. Al crear un nuevo usuario en el directorio, aquél se convierte en una instancia de la clase Usuario y la información de usuario especificada se convierte en instancias de los atributos. Cada bosque sólo puede contener un esquema, que se almacena en la partición de directorio del esquema. La partición de directorio del esquema, junto con la partición de directorio de configuración, se replica a todos los controladores de dominio de un bosque. Sin embargo, un solo controlador de dominio, el maestro de esquema, controla la estructura y contenido del esquema. Para mejorar el rendimiento en las operaciones de esquema (como la validación de nuevos objetos), cada controlador de dominio conserva una copia del esquema en memoria (además de la copia que guarda en disco). Esta versión residente en caché se actualiza automáticamente (después de un pequeño intervalo de tiempo) cada vez que se actualiza el esquema. Como cada objeto del Directorio Activo, los objetos de esquema se protegen contra usos no autorizados mediante listas de control de acceso (ACL). De forma predeterminada, sólo los miembros del grupo Administradores de esquema tienen acceso de escritura al esquema. Por tanto, para ampliar el esquema debe ser miembro de dicho grupo. El único miembro predeterminado del grupo Administradores de esquema es la cuenta de administrador del dominio raíz del bosque. Debe restringir la pertenencia al grupo Administradores de esquema, porque si amplía el esquema de forma inadecuada, puede tener serias consecuencias para la red.
El catálogo global Un catálogo global es un controlador de dominio que almacena una copia de todos los objetos del Directorio Activo de un bosque. En el catálogo global se almacena una copia completa de todos los objetos del directorio para su dominio host y una copia parcial de todos los objetos de los demás dominios del bosque, según se muestra figura 5.5.
Figura 5.5: Ejemplo de Catálogo Global
Las copias parciales de todos los objetos de dominio incluidas en el catálogo global son las más utilizadas en las operaciones de búsqueda de los usuarios. Estos atributos se marcan para su inclusión en el catálogo global como parte de su definición de esquema. El almacenamiento de los atributos más buscados de todos los objetos de dominio en el catálogo global ofrece a los usuarios búsquedas más efectivas sin afectar al rendimiento de la red con referencias innecesarias a controladores de dominio. Se puede agregar o quitar en el catálogo global de forma manual otros atributos de objetos mediante el complemento Esquema del Directorio Activo.
En el controlador de dominio inicial del bosque se crea automáticamente un catálogo global. Se puede agregar funcionalidad del catálogo global a otros controladores de dominio, o cambiar su ubicación predeterminada a otro controlador de dominio. El catálogo global realiza las siguientes funciones de directorio:
Busca objetos El catálogo global permite al usuario realizar búsquedas de información del directorio en todos los dominios de un bosque, independientemente de la ubicación de los datos. Las búsquedas dentro de un bosque se efectúan con la máxima velocidad y un mínimo de tráfico de red.
Proporciona la autenticación de nombre principal de usuario El catálogo global resuelve los nombres principales de usuarios (UPN) cuando el controlador de dominio de autenticación no tiene conocimiento de la cuenta. Por ejemplo, si una cuenta de usuario se encuentra en ejemplo1.upm.es y el usuario decide iniciar la sesión con el nombre principal de usuario [email protected] desde un equipo ubicado en ejemplo2.upm.es, el controlador de dominio de ejemplo2.upm.es no podrá encontrar la cuenta del usuario, por lo que tendrá que establecer contacto con un catálogo global para completar el proceso de inicio de sesión.
Proporciona información de pertenencia al grupo universal en un entorno de dominios múltiples A diferencia de la pertenencia al grupo global, que se almacena en cada dominio, la pertenencia al grupo universal sólo se almacena en un catálogo global. Por ejemplo, si un usuario que pertenece a un grupo universal inicia la sesión en un dominio configurado en el nivel funcional de dominio nativo de Windows 2000 o superior, el catálogo global proporciona la información de pertenencia al grupo universal de la cuenta del usuario en el momento en que éste inicia la sesión en el dominio. Si un catálogo global no está disponible en el momento en que el usuario inicia la sesión en un dominio configurado en el nivel funcional nativo de Windows 2000 o superior, el equipo utilizará las credenciales almacenadas en caché para iniciar la sesión, si el usuario la inició anteriormente. Si el usuario no había iniciado antes una sesión en el dominio, solamente podrá iniciar una sesión en el equipo local. Sin embargo, si el usuario pertenece al grupo Administradores de dominio, siempre podrá iniciar la sesión en el dominio, aunque no esté disponible ningún catálogo global.
Valida las referencias a objetos dentro de un bosque Los controladores de dominio utilizan el catálogo global para validar las referencias a objetos de otros dominios del bosque. Si un controlador de dominio incluye un objeto de directorio con un atributo que contiene una referencia a un objeto de otro dominio, esta referencia se validará mediante un catálogo global.
Relaciones de confianza
Una confianza entre dominios es una relación que se establece entre dominios y que permite a los usuarios de un dominio ser autenticados por un controlador de dominio de otro dominio. Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía. Las solicitudes de autenticación siguen una ruta de confianza. Una ruta de confianza es la serie de relaciones de confianza que deben seguir las solicitudes de autenticación entre dominios. Para que un usuario pueda tener acceso a un recurso de otro dominio, la seguridad de Windows 2000 y Windows Server 2008 deben determinar si el dominio que confía (el dominio que contiene el recurso al que el usuario intenta obtener el acceso) tiene una relación de confianza con el dominio en el que se confía (el dominio donde inicia la sesión el usuario). Para determinarlo, el sistema de seguridad de Windows 2000 y Windows Server 2008 calculan la ruta de confianza entre un controlador de dominio del dominio de confianza y un controlador de dominio del dominio en el que se confía. En la figura 5.6, las rutas de confianza aparecen indicadas mediante flechas que muestran la dirección de la confianza.
Figura 5.6: Rutas de confianza entre dominios
En la figura 5.6, las confianzas se indican mediante una flecha, que señala al dominio en el que se confía. En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios implicados en la confianza y la relación de confianza era de un solo sentido. En versiones de Windows 2000 y Windows Server 2008, todas las confianzas son transitivas y de dos sentidos Los dominios de una relación de confianza confían el uno en el otro de forma automática.
Figura 5.7: Relaciones de confianza entre dominios
Como se muestra en la ilustración, esto supone que si el dominio A confía en el dominio B y éste confía en el dominio C, los usuarios del dominio C, cuando se les concedan los permisos correspondientes, podrán tener acceso a los recursos del dominio A. Cuando un controlador de dominio autentica a un usuario, no implica el acceso a ningún recurso de ese dominio. Esto sólo viene determinado por los derechos y permisos que el administrador del dominio concede a la cuenta de usuario para el dominio que confía.
Dirección de las relaciones de confianza
Confianza unidireccional Una confianza unidireccional es una sola relación de confianza, en la que el dominio A confía en el dominio B. Todas las relaciones unidireccionales son intransitivas y todas las intransitivas son unidireccionales. Las solicitudes de autenticación sólo se pueden transmitir desde el dominio que confía al dominio en el que se confía. Esto significa que si el dominio A tiene una confianza unidireccional con el dominio B y éste la tiene con el dominio C, el dominio A no tiene una relación de confianza con el dominio C. Un dominio de Directorio Activo puede establecer una confianza unidireccional con:
Los dominios de Directorio Activo de un bosque diferente
Los dominios de Windows NT 4.0
Confianza bidireccional Todas las confianzas entre dominios de un bosque de Windows 2000 y/o Windows Server 2008 son confianzas transitivas bidireccionales. Cuando se crea un nuevo dominio secundario, automáticamente se crea una confianza transitiva bidireccional entre el nuevo dominio secundario y el dominio principal. En una confianza bidireccional, el dominio A confía en el dominio B y el dominio B confía en el A. Esto significa que las solicitudes de autenticación se pueden transmitir entre dos dominios en ambas direcciones. Para crear una confianza bidireccional intransitiva, debe crear dos confianzas unidireccionales entre los dominios implicados.
Transitividad de las relaciones de confianza
Confianza transitiva Todas las confianzas entre dominios de un bosque de Windows 2000 y/o Windows Server 2008 son transitivas. Las relaciones de confianza transitiva son siempre bidireccionales. Ambos dominios de la relación confían el uno en el otro. Una relación de confianza transitiva no está limitada por los dos dominios de la relación. Siempre que se crea un nuevo dominio secundario, implícitamente (es decir, automáticamente) se crea una relación de confianza transitiva bidireccional entre el dominio principal y el nuevo dominio secundario. De esta forma, las relaciones de confianza transitivas fluyen hacia arriba a través del árbol de dominios a medida que éste se forma, con lo que se crean relaciones de confianza transitivas entre todos los dominios del árbol de dominios. Cada vez que se crea un árbol de dominios en un bosque, se forma una relación de confianza transitiva bidireccional entre el dominio raíz del bosque y el nuevo dominio (la raíz del nuevo árbol de dominios). Si no se agrega ningún dominio secundario al dominio nuevo, la ruta de confianza está entre este nuevo dominio raíz y el dominio raíz del bosque. Si se agregan dominios secundarios al dominio nuevo, con lo que se crea un árbol de dominios, la confianza fluye hacia arriba a través del árbol de dominios hasta el dominio raíz del árbol de dominios y, de este modo, se extiende la ruta de confianza inicial creada entre la raíz del dominio y el dominio raíz del bosque. Si el nuevo dominio agregado al bosque es un solo dominio raíz, es decir, no tiene dominios secundarios, o un árbol de dominios, la ruta de confianza se extiende desde el dominio raíz del bosque hasta cualquier otro dominio raíz del bosque. De esta forma, las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque. Las solicitudes de autenticación siguen estas rutas de confianza y de este modo las cuentas de cualquier dominio del bosque se pueden autenticar en cualquier otro. Con un solo proceso de inicio de sesión, las cuentas que poseen los permisos adecuados pueden tener acceso a los recursos en cualquier dominio del bosque. La figura 5.8 muestra cómo las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque.
Figura 5.8: Relaciones de confianza transitiva en un bosque de dominios
Puesto que el dominio 1 tiene una relación de confianza transitiva con el dominio 2 y éste la tiene con el dominio 3, los usuarios del dominio 3 (una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio 1. Y, puesto que el dominio 1 tiene una relación de confianza transitiva con el dominio A y los otros dominios del árbol de dominios del dominio A la tienen con el dominio A, los usuarios del dominio B (una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio 3. Igualmente, puede crear de forma explícita (manualmente) confianzas transitivas entre los dominios de Windows 2000 y/o Windows Server 2008 del mismo árbol o bosque de dominios. Estas relaciones de confianza de acceso directo se pueden utilizar para acortar la ruta de confianza en árboles o bosques de dominios grandes y complejos. Las confianzas transitivas sólo pueden existir entre dominios de Windows 2000 y/o Windows Server 2008 del mismo bosque. Debido a la necesidad de este flujo de confianzas, no es posible tener relaciones intransitivas entre dominios del mismo bosque.
Confianza intransitiva
Una confianza intransitiva está limitada por los dos dominios de la relación y no fluye a cualquier otro dominio del bosque. En la mayor parte de los casos, debe crear las confianzas intransitivas explícitamente. Todas las relaciones de confianza entre los dominios de Windows 2000, Windows Server 2008 y los de Windows NT son intransitivas. Al actualizar Windows NT con Windows 2000 o Windows Server 2008, todas
las confianzas existentes en Windows NT permanecen intactas. En un entorno en modo mixto, todas las confianzas de Windows NT son intransitivas. De forma predeterminada, las confianzas intransitivas son unidireccionales, aunque también se puede crear una relación bidireccional si se crean dos unidireccionales. Todas las relaciones de confianza establecidas entre dominios de Windows 2000 y/o Windows Server 2008 que no pertenecen al mismo bosque son intransitivas. En resumen, las confianzas intransitivas son la única forma de relación de confianza posible entre:
Un dominio de Windows 2000 y un dominio de Windows NT.
Un dominio de Windows 2000 y/o Windows Server 2008 de un bosque y un dominio de Windows 2000 y/o Windows Server 2008 de otro.
Tipos de relaciones de confianza
Los dos tipos de relaciones de confianza predeterminada se describen en la tabla
Tabla 5.1: Relaciones de confianza predeterminadas Además de las relaciones de confianza predeterminada, se pueden establecer otros cuatro tipos de confianza con el Asistente para nueva confianza, tal y como se muestran en la tabla 5.2.
Tabla 5.2: Otros tipos de Relaciones de confianza
Figura 5.9: Relaciones de confianza de acceso directo en un bosque de dominios Como se muestra en la figura 5.9, puede crear una confianza de acceso directo entre dominios del nivel medio de dos árboles de dominio para acortar la ruta de confianza entre dos dominios de Windows 2000 y/o Windows Server 2008 de un bosque y optimizar el proceso de autenticación de Windows 2000 y/o Windows
Server 2008.