Windows Server 2016 - Ediciones ENI · Desplegando PAR-DC01.Formacion.eni y, a continuación, IPv4...

Windows Server 2016 Instalación, gestión del almacenamiento

y computación Preparación para la certificación

Examen MCSA 70-740

Colección

Certificaciones

Extracto del Libro

Ediciones ENI

Instalación y migración del servidorInstalación y migración del servidor

Examen 70-740

© E

ditio

ns E

NI -

All

right

s re

serv

edInstalación y migración del servidorWindow s Serve r 2 016 - Ins tala ció n, ges tión del a lm acenamient o y computa ció n

Requisitos previos

Poseer competencias sobre la administración del sistema

Poseer nociones sobre la migración del servidor

Objetivos

Crear una imagen Nano Server

Visión general del modo Core

Presentación de los escenarios de migración

Capítulo 4

Windows Server 2016 - Instalación, gestión del almacenamiento y computación

A. Presentación de Nano Server

A diferencia de las versiones anteriores de Windows Server, la versión 2016 permite instalar tres ver-siones diferentes.

- Desktop Experience, la versión gráfica.

- Server Core, la versión por línea de comandos.

- Nano Server, sin interfaz gráfica.

Cada instalación posee sus ventajas e inconvenientes. Sin embargo, es importante destacar que no esposible pasar de una versión Core a una versión gráfica. Esta funcionalidad, que existía en la versiónanterior y que consistía en agregar/eliminar la interfaz gráfica, se ha eliminado.

Nano Server es una funcionalidad aparecida con Windows Server 2016. Bastante similar al modo Core,no permite conexión local. Cabe destacar también que existe una modificación respecto al soporte delas aplicaciones. En efecto, Nano Server solo soporta aplicaciones, agentes... de 64 bits. La gestiónde actualizaciones también se ha visto facilitada: el número de correctivos necesarios es mucho menor.

No es posible descargar el DVD de Nano Server, la creación de la imagen debe realizarse por línea decomandos o mediante una herramienta gráfica (Nano Server Image Builder).

El siguiente enlace a mi blog personal presenta las distintas etapas que permiten crear una imagen conNano Server Image Builder: https://www.nibonnet.fr/nano-server-image-builder/.

No es posible implementar esta funcionalidad para todos los roles. Solo son compatibles los siguientesescenarios:

- Servidor Hyper-V.

- Servidor DNS.

- Servidor web...

B. Implementación de Nano Server

Hemos visto en el punto anterior que el uso de Nano Server requiere la creación de una imagen. Elconjunto de archivos necesarios para la creación de una imagen están presentes en la carpeta NanoServer del DVD Windows Server 2016.

A continuación, la creación puede llevarse a cabo de tres maneras:

- Uso de una imagen VHD con un servidor Hyper-V.

- Uso de una imagen VHD con un puesto físico (boot sobre VHD).

- Despliegue mediante una imagen WIM.


Examen 70-740

© E

ditio

ns E

NI -

All

right

s re

serv

ed1. Instalación de la funcionalidad

La instalación se compone de varias etapas. En primer lugar, es preciso recuperar los archivos con lasfuentes presentes en el DVD.

El conjunto de archivos presente en la carpeta NanoServer debe copiarse en una partición local (puestode trabajo Windows 10, servidor...).

Tras abrir la consola de PowerShell, es preciso acceder a la carpeta copiada previamente. A continua-ción puede ejecutarse el comando que permite importar el módulo NanoServer.

Import-Module .\NanoServerImageGenerator -Verbose

Capítulo 4


Ahora es posible crear el archivo VHD con el siguiente comando. En primer lugar, debe montarse laISO de Windows Server 2016 en el explorador.

New-NanoServerImage -Edition <edition> -DeploymentType <deployment type>-MediaPath <media path> -BasePath <base path> -TargetPath <target path>-ComputerName <computer name> -Packages <packages> -<other package switches>

Definición de las distintas opciones:

-Edition: edición de la imagen Nano Server (Estándar o Datacenter).

-DeploymentType: define el tipo de despliegue deseado (WIM, imagen VHD para arrancar sobreVHD o imagen VHD para un host Hyper-V).

-MediaPath: ruta de la imagen ISO de Windows Server 2016.

-BasePath: opcional, se utiliza durante la creación de un archivo Wim. Las fuentes necesarias parala creación de una imagen WIM se copian en esta carpeta. Puede utilizarse el cmdlet New-NanoServerWim sin especificar la opción -MediaPath.

-TargetPath: permite indicar la ruta de la carpeta de destino, así como el nombre de la imagen. Tam-bién incluye su extensión.

-ComputerName: nombre del equipo Nano Server.

-Packages: se utiliza para instalar roles y características. Evidentemente, es posible combinar variospaquetes (separados por una coma).

-Other: se utiliza en ciertos paquetes (controladores...). Se utiliza la opción -OEMDrivers para tra-bajar con un servidor físico... La opción se completará con la ruta donde se encuentren los controla-dores correspondientes.

Se crea la imagen y está presente en la carpeta definida en el comando. La máquina virtual debe ahoracrearse en Hyper-V.


Examen 70-740

© E

ditio

ns E

NI -

All

right

s re

serv

edDesde la consola Administrador de Hyper-V, hay que hacer clic en Nuevo y, a continuación, en Máqui-na virtual.

En el asistente, escriba el nombre correspondiente y, a continuación, seleccione la carpeta dedestino.

Capítulo 4


Es importante seleccionar la generación, pues es imposible modificarla una vez creada la máquina vir-tual. Si el archivo VHD creado previamente es de tipo VHD, hay que crear una VM de generación 1. Encaso de utilizar un archivo de tipo VHDX, puede utilizarse una VM de generación 2.

Windows Server 2012 R2 Infraestructura de red

Preparación para la certificación Examen MCSA 70-741

Colección

Certificaciones

Extracto del Libro

Ediciones ENI

Implementar un servidor DHCP Página 111

Examen 70-741

© E

ditio

ns E

NI -

All

righ

ts r

eserv

ed

Capítulo 4

A. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

B. Rol del servicio DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

C. Instalación y configuración del rol DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

D. Base de datos DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

E. Alta disponibilidad del servicio DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

F. Trabajos prácticos: Instalación y configuración del rol DHCP . . . . . . . . . . . . . . . 133

G. Validación de conocimientos adquiridos: preguntas/respuestas. . . . . . . . . . . . . 153

Capítulo 4

Windows Server 2016 - Infraestructura de red

Implementar un servidor DHCPWindow s Serve r 20 16 - Infrae st ructura de re dRequisitos previos y objetivos

Requisitos previos

Tener nociones acerca del direccionamiento IP.

Conocer los distintos parámetros que componen una configuración IP.

Conocer la diferencia entre un direccionamiento estático y dinámico.

Objetivos

Definición del rol DHCP.

Presentación de las funcionalidades ofrecidas por el servicio.

Gestión de la base de datos.

Implementar el mantenimiento del servidor DHCP.

Implementar un agente de retransmisión DHCP.

A. Introducción

El servidor DHCP (Dynamic Host Configuration Protocol) es un rol muy importante en una arquitecturade red. Su papel es la distribución de la configuración IP, permitiendo así a los equipos conectados ala red dialogar entre ellos.

B. Rol del servicio DHCP

DHCP es un protocolo que permite asegurar la configuración automática de las interfaces de red. Estaconfiguración comprende un direccionamiento IP, una máscara de subred y, también, una puerta deenlace y servidores DNS. Existen otros parámetros suplementarios que también pueden distribuirse(servidores WINS…).

El tamaño de las redes actuales obliga, cada vez más, a eliminar el direccionamiento estático coordi-nado por un administrador sobre cada máquina por un direccionamiento dinámico realizado medianteun servidor DHCP. Éste presenta la ventaja de que ofrece una configuración completa a cada máquinaque realice la petición pero también es imposible encontrar dos configuraciones idénticas (dos direc-ciones IP idénticas distribuidas). El conflicto de IP se evita, de este modo, y la administración se ve am-pliamente simplificada.

El servidor es capaz de realizar una distribución de configuración IPv4 o IPv6.

1. Funcionamiento de la concesión de una dirección IP

Si la interfaz de red está configurada para obtener un contrato DHCP, obtendrá un contrato medianteun servidor DHCP. Esta acción se realiza mediante el intercambio de varias tramas entre el cliente y elservidor.

La máquina envía, por multidifusión (envío de un broadcast), una trama (DHCP Discover) sobre elpuerto 67.

Implementar un servidor DHCPImplementar un servidor DHCP

Examen 70-741

© E

ditio

ns E

NI -

All

righ

ts r

eserv

ed

Todos los servidores que reciben la trama envían una oferta DHCP al cliente (DHCP Offer), el cualpuede, evidentemente, recibir varias ofertas. El puerto utilizado para recibir la oferta es el 68.

El cliente retiene la primera oferta que recibe y difunde por la red una trama (DHCP Request). Éstacompone la dirección IP del servidor y la que se le acaba de proponer al cliente, con el objetivo de acep-tar el contrato enviado por el servidor seleccionado y, también, para informar al resto de servidoresDHCP de que sus contratos no han sido seleccionados.

El servidor envía una trama de acuse de recibo (DHCP ACK, Acknowledgement) que asigna al clientela dirección IP y su máscara de subred así como la duración del contrato y, eventualmente, otros pará-metros.

La lista de opciones que el servidor DHCP puede aceptar está definida en la RFC 2134.

Un contrato DHCP (configuración asignada a un puesto) tiene una duración de validez, variable detiempo que define el administrador. Alcanzado el 50% de la duración del contrato, el cliente solicita unarenovación del contrato que se le ofreció. Esta solicitud se realiza únicamente al servidor que envió elcontrato. Si éste no renueva el contrato, la próxima solicitud se realizará alcanzado el 87,5% de laduración del contrato. Una vez finalizado el mismo, si el cliente no consigue obtener una renovación ouna nueva concesión, su dirección se deshabilita y pierde la capacidad de utilizar la red TCP/IP.

2. Uso de una retransmisión DHCP

El hecho de utilizar tramas de tipo broadcast hace que las tramas no puedan circular por los routers.Esto implica tener un servidor por cada subred IP. Esta obligación de tener varios servidores puedesuponer un coste excesivo para la empresa. Para solventar este problema conviene implementar unservidor de retransmisión DHCP, que permite transferir las solicitudes de contrato a un servidor pre-sente en otra red.

La retransmisión DHCP se instala sobre la red A y permite recuperar las solicitudes de DHCP realiza-das sobre la subred IP. Transfiere, a continuación, las distintas solicitudes que recibe al servidor DHCPpresente en la red B.

Conviene, no obstante, asegurar que la tasa de transferencia de la línea y el tiempo de respuesta sonaceptables.

Capítulo 4


C. Instalación y configuración del rol DHCP

Como con los demás servicios que pueden agregarse al servidor, DHCP es un rol. Su instalación serealiza mediante la consola Administrador del servidor marcando el rol en la ventana de selecciónde rol.

Una vez realizada la instalación, la consola se encuentra en las Herramientas administrativas.

Implementar un servidor DHCPImplementar un servidor DHCP

Examen 70-741

© E

ditio

ns E

NI -

All

righ

ts r

eserv

ed

El rol se ha instalado pero todavía no está configurado.

1. Agregar un nuevo ámbito

Un ámbito DHCP está formado por un pool de direcciones IP (por ejemplo, 172.16.0.10 a172.16.0.200), cuando un cliente realiza una solicitud, el servidor DHCP le asigna una de las direc-ciones del pool.

La franja de direcciones IP disponibles en el ámbito es, necesariamente, contigua. Para evitar la distri-bución de algunas direcciones IP es posible realizar exclusiones de una dirección o un tramo. Estasúltimas pueden asignarse a un puesto de forma manual, sin riesgo de que se produzca un conflicto deIP, puesto que el servidor no distribuirá estas direcciones.

Uso de la regla 80/20 para los ámbitosEs posible tener dos servidores DHCP activos en la red, dividiendo el pool de direcciones en dos. Laregla del 80/20 permite, en un primer momento, equilibrar el uso de los servidores DHCP, aunque, tam-bién, poder tener dos servidores sin riesgo de conflicto de IP. El servidor 1 distribuye el 80% del poolde direcciones mientras que el servidor 2 está configurado para distribuir las direcciones restantes(20%).

Desplegando PAR-DC01.Formacion.eni y, a continuación, IPv4 podemos ver que no existe ningúnámbito. Debemos crear uno para que el servidor pueda distribuir rangos de direcciones.

De este modo, haciendo clic con el botón derecho sobre IPv4, es posible crear un nuevo ámbito. Éstetendrá un nombre que debemos indicar en el asistente de creación.

Capítulo 4


A continuación es preciso definir el rango de direcciones disponibles (de 172.16.0.10 a 172.16.0.200).

Windows Server 2012 R2 Infraestructura de red

Preparación para la certificación Examen MCSA 70-741

Colección

Certificaciones

Extracto del Libro

Windows Server 2016 Gestión de las identidades Preparación para la certificación

Examen MCSA 70-742

Colección

Certificaciones

Extracto del Libro

Ediciones ENI

Servicios de gestión de derechos Página 545

Examen 70-742

© E

ditio

ns E

NI

- A

ll rig

hts

rese

rved

Capítulo 11A. Servicios de gestión de derechos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546

B. Trabajos prácticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557

C. Resumen del capítulo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586

D. Validación de conocimientos: preguntas/respuestas. . . . . . . . . . . . . . . . . . . . . . 586

Capítulo 11

Servicios de gestión de derechosWindows Server 2016 - Gestión de las identidadesRequisitos previos y objetivos

Requisitos previos

Tener conocimientos básicos de la administración de Windows Server 2016.

Tener nociones básicas de la gestión de permisos NTFS.

Saber gestionar una infraestructura AD CS.

Objetivos

Comprender la gestión de derechos AD RMS.

Conocer los diferentes componentes de una infraestructura AD RMS.

Saber instalar una infraestructura AD RMS.

Saber configurar una infraestructura AD RMS.

Saber implementar una infraestructura AD RMS.

Saber proteger la integridad de los datos.

A. Servicios de gestión de derechos

A partir de Windows Server 2008, los servicios de gestión de derechos digitales se presentan bajo laforma de un rol de servidor llamado AD RMS (Active Directory Rights Management Services). AD RMSpermite extender los permisos de seguridad NTFS para aportar una seguridad complementaria pensa-da para proteger la integridad de los datos. En comparación, los servicios de administración de dere-chos en Windows Server realizan las mismas funciones que la gestión de derechos digitales para elcontenido de audio o vídeo (DRM, Digital Rights Management).

1. Presentación de AD RMS

AD RMS es un rol de servidor que permite proteger la integridad de los datos generados en suempresa. Este rol permite, en particular, preservar la propiedad intelectual, así como el contenido dedatos hospedados o intercambiados con otros asociados. La protección de un servidor de archivos conlos permisos tradicionales NTFS pueden verse limitados en un proceso de gestión de derechos digi-

Windows Server 2016 - Gestión de las identidades

tales. AD RMS permite extender la seguridad de NTFS para proteger, por ejemplo, el contenido de losarchivos de Office. Cuando un usuario accede a un recurso compartido de red para abrir un documentode Word, el sistema verifica las ACL para comprobar que el usuario está autorizado a leer o modificarel contenido. Sin embargo, una vez que se abra el documento, la seguridad NTFS no puede impedirque el contenido se conserve. De este modo, el usuario que abra el archivo también puede imprimir losdatos visualizados o copiarlos para modificarlos más tarde. AD RMS permite responder a esta necesi-dad de seguridad implementando una capa adicional a través de una nueva tecnología que puede ba-sarse en los componentes AD DS (Servicios de dominio de Active Directory), AD CS (Servicios decertificados) y AD FS (Servicios de federación). Mediante la implementación del rol de servidor ADRMS, es posible proteger el contenido de sus datos tanto en el interior de su red empresarial como enel exterior. Este rol de servidor es, en cierta medida, una evolución del servicio de administración dederechos de Microsoft (RM: Rights Management), disponible con el sistema operativo Windows Server2003 en la forma de un servicio de Windows llamado RMS (Rights Management Services).

Servicios de gestión de derechosServicios de gestión de derechos

a. Funcionamiento de AD RMS

Para proteger los datos confidenciales de su empresa, una infraestructura de gestión de derechos Ac-tive Directory se basa en un conjunto de servidores AD RMS que gestionan el conjunto de reglas deprotección de los datos, así como el intercambio de certificados y licencias de acceso al servicio. Laconfiguración de la infraestructura, así como los registros de actividad, se almacenan en una base dedatos. Los usuarios acceden al contenido protegido y cifrado mediante un cliente AD RMS que se au-tentica automáticamente en un directorio Active Directory con objeto de garantizar que el usuario estáhabilitado para utilizar el contenido protegido. El usuario obtiene, a continuación, un certificado que lepermite descifrar los datos protegidos. Los servicios de gestión de derechos se basan a su vez en losservicios web IIS. El conjunto de usuarios o grupos que deben tener acceso a los servicios de adminis-tración de derechos Active Directory deben poseer una dirección de correo electrónico configurada ensu perfil Active Directory.

AD RMS es compatible en particular con las siguientes aplicaciones:

- Pack Office 2007 / 2010 / 2013 y posteriores.

- Microsoft SharePoint 2003 / 2007 / 2013 y posteriores.

- Microsoft Exchange Server 2007 / 2010 / 2013 y posteriores.

- XPS Viewer.

- Internet Explorer (requiere la instalación de un módulo complementario).

- Adobe Acrobat Reader.

La instalación de una infraestructura de este tipo requiere la formación de los usuarios, ya que son elloslos que deben definir los elementos que se han de securizar indicando si el documento puede sersobreescrito, copiado, impreso, etc. Estos datos se almacenan directamente en el documento, de ma-nera que puede intercambiarse fuera de la infraestructura de red empresarial. Solo los usuarios auten-ticados o que dispongan de un certificado válido pueden acceder a los datos protegidos. Cuando unusuario securiza un documento empleando los servicios de administración de derechos, la infraestruc-tura AD RMS genera una licencia de uso que se almacena dentro del documento. Si el usuario formaparte de su organización, o de una entidad aprobada por los servicios de federación, el cliente AD RMSinstalado en la máquina cliente solicita automáticamente una licencia de uso a la infraestructura ADRMS.

Para facilitar la gestión de los derechos cuando un usuario genera contenido, un administrador de la

Examen 70-742

© E

ditio

ns E

NI

- A

ll rig

hts

rese

rved

infraestructura AD RMS puede, a su vez, desplegar plantillas de directivas de permisos. En función deluso del contenido, un usuario podrá aplicar la plantilla de directiva directamente sin tener que preocu-parse de los elementos que es preciso configurar para proteger eficazmente su contenido.

La instalación de un servidor AD RMS crea un primer servidor en un clúster raíz. Este clúster no nece-sita contar con las tecnologías de clustering de Microsoft o de equilibrio de carga de red. Un clúster raízAD RMS aporta simplemente una solución de alta disponibilidad para las peticiones de los usuarios uti-lizando una tecnología propia de los servicios de gestión de derechos de Active Directory. Si la infraes-tructura AD RMS va a trabajar con un solo servidor de gestión de derechos, es posible utilizar una basede datos interna llamada WID (Windows Internal Database), que está integrada en el sistemaoperativo. Esta instancia de base de datos solo permite la creación de un único servidor en el clústerAD RMS raíz. Una infraestructura AD RMS soporta como mínimo la utilización de una base de datosMicrosoft SQL Server 2008.

Capítulo 11

La instalación del primer servidor del clúster raíz AD RMS necesita la creación de una clave de cifrado.Esta clave debe asignarse a todos los servidores que se unan al clúster para que estos puedan, a suvez, cifrar los certificados o las licencias que se han de transmitir a los usuarios. Existen dos métodosde almacenamiento de esta clave de cifrado:

- Almacenamiento centralizado: permite almacenar la clave de cifrado en la base de datos del clústerAD RMS. De esta forma, cada servidor que se una al clúster puede recuperar automáticamente laclave de cifrado sin intervención del administrador.

- Almacenamiento manual: obliga a seleccionar un proveedor de servicios criptográfico para cifrar laclave, que debe almacenarse, posteriormente, de forma manual. Cada servidor que solicite unirse alclúster debe recuperar esta clave de cifrado antes de integrarse en el clúster raíz AD RMS.

b. Administración de AD RMS

La administración del rol de servidor AD RMS se realiza mediante un complemento ubicado en la si-guiente ruta: %SYSTEMROOT%\system32\AdRmsAdmin.msc

El clúster AD RMS raíz es accesible a través de una URL que es preferible asociar a un alias DNS de-clarado previamente en el servidor de nombres de su organización. El clúster AD RMS raíz utiliza lascarpetas virtuales siguientes en el árbol del sitio web predeterminado:


Estas carpetas virtuales albergan los servicios web utilizados por la gestión del clúster AD RMS. Laconsola de administración está configurada para apuntar a la URL del clúster AD RMS utilizando losprotocolos HTTP o HTTPS según la configuración del administrador de servicios de Internet (IIS). Enentornos de producción, es preferible securizar el acceso al clúster AD RMS implementando la auten-ticación SSL, con lo que se ofrece así una protección mediante un certificado.

Las carpetas virtuales dedicadas a la administración de los servicios de gestión de derechos se alma-cenan de manera local en la carpeta siguiente: C:\inetpub\wwwroot\_wmcs

Servicios de gestión de derechosServicios de gestión de derechos

Para verificar si el servicio web administrador de roles AD RMS está operativo, basta con acceder a laURL siguiente:

http://<Alias DNS del clúster>/_wmcs/admin/RoleMgr.asmx

o bien

https://<Alias DNS del clúster>/_wmcs/admin/RoleMgr.asmx

Los servicios web AD RMS se gestionan a través de un grupo de aplicaciones llamado_DRMSAppPool1. Este grupo de aplicaciones utiliza la cuenta de servicio introducida durante la ins-talación del rol de servidor AD RMS basándose en el Framework .NET 4.0.30319.

Examen 70-742

© E

ditio

ns E

NI

- A

ll rig

hts

rese

rved

Capítulo 11

El administrador de licencias AD RMS está accesible en la URL siguiente:

https://cluster-adrms.<dominio DNS>/_wmcs/licensing

Es posible, no obstante, modificar en cualquier momento la URL del administrador de licencias a travésde las propiedades del clúster AD RMS, haciendo clic en la pestaña Direcciones URL del clúster. Enesta misma pestaña, es posible configurar las URL de la extranet, para hacer que AD RMS esté dispo-nible desde el exterior de la red empresarial:


El administrador de certificados AD RMS está disponible en la URL siguiente:

https://cluster-adrms.<dominio DNS>/_wmcs/certification/certification.asmx

Windows Server 2016 - Ediciones ENI · Desplegando PAR-DC01.Formacion.eni y, a continuación, IPv4...

Documents

Transcript of Windows Server 2016 - Ediciones ENI · Desplegando PAR-DC01.Formacion.eni y, a continuación, IPv4...