Windows Server 2012 PDF
Instalación y configuració nVentanas Servidor 2012 ® Mitch Tulloch PUBLICADO POR Microsoft Press Una división de Mic
Views 202 Downloads 2 File size 32MB
Recommend stories
- Author / Uploaded
- sebastian
Citation preview
Instalación y configuració nVentanas Servidor 2012 ®
Mitch Tulloch
PUBLICADO POR Microsoft Press Una división de Microsoft Corporation One Microsoft Way Redmond, Washington 980526399 Copyright © 2012 por Mitch Tulloch Todos los derechos reservados. Ninguna parte del contenido de este libro puede ser reproducida o transmitida en cualquier forma o por cualquier medio sin el permiso por escrito del editor. Biblioteca del Congreso de control el número: 2012951988 ISBN: 978-0-7356-7310-6 Impreso y encuadernado en los Estados Unidos de América. Primera impresión Libros de Microsoft Press están disponibles a través de los libreros y distribuidores en todo el mundo. Si necesita apoyo relacionados con este libro, el correo electrónico de Microsoft Press Apoyo Libro en mspinput @ .com microsoft. Por favor, díganos lo que piensa de este libro enhttp://www.microsoft.com/learning/booksurvey. Microsoft y las marcas que figuran en http://www.microsoft.com/about/legal/en/us/IntellectualProperty/ Marcas / EN-US.aspx son marcas comerciales del grupo de compañías de Microsoft. Todas las demás marcas son propiedad de sus respectivos dueños. Las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y eventos mencionados son ficticios. Ninguna asociación con ninguna compañía, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o evento se pretende ni se debe inferir. Este libro expresa puntos de vista y opiniones del autor. La información contenida en este libro se proporciona sin ningún expresas, o las garantías implícitas legales. Ni los autores, Microsoft Corporation, ni sus revendedores o distribuidores serán responsables por cualquier daño causado o presuntamente causado directa o indirectamente por este libro. Adquisiciones Editor: Anne Hamilton Editor de desarrollo:Karen Szall Redactores del proyecto:Karen Szall y Carol Dillingham Producción editorial: WaypointPrensa Crítico técnico:Bob Dean; Servicios de Revisión Técnica proporcionados por el Maestro contenido, miembro delCMGroup, Ltd. Corrector de estilo:Roger LeBlancIndexador:Christin a YeagerPortada:TwistCreativ o • Seattle
Contenido de un vistazo Introducción
xvii 1
CAPÍTULO 1
Preparación para Windows Server 2012
CAPITULO 2
Implementación de servidores
37
CAPÍTULO 3
Servidor Gestión remota
83
CAPÍTULO 4
Implementación de controladores de dominio
135
CAPÍTULO 5
La administración de Active Directory
183
CAPÍTULO 6
Administración de la red
225
CAPÍTULO 7
Virtualización Hyper-V
291
CAPÍTULO 8
Servicios y almacenamiento de archivos
361
CAPÍTULO 9
Servicios de impresión y documentos
431
CAPÍTULO 10
Implementación de directivas de grupo
465
CAPÍTULO 11
Configuración de Firewall de Windows e IPsec
515
Índice
579
Contenido Introducción
xvii
Requisitos del sistema
xviii
Agradecimientos
xxi
Fe de erratas y soporte libro
xxi
Queremos saber de usted
xxii
Mantente en contacto
xxii
Capítulo 1 Preparación para Windows Server 2012
1
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Lección 1: Planificación para Windows ServerEscenarios 2012 de migración
........................2 3
Proceso de migración
10
Resumen de la lección
17
Revisión de la lección
18
Lección 2: Evaluación de la disposición de su entorno. . . . . . . . . . . . . . 19 Manual de evaluación
19
Usando el kit de herramientas MAP
22
Otras herramientas y metodologías
27
Resumen de la lección
28
Revisión de la lección
29
¿Qué opinas de este libro? Queremos saber de usted! Microsoft está interesado en escuchar sus comentarios para que podamos mejorar continuamente nuestros libros y recursos de aprendizaje para usted. Para participar en una breve encuesta en línea, por favor visite:
www.microsoft.com/learning/booksurvey/ v
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Ejercicio 1: Uso de la MAP Toolkit Ejercicio 2: Realización de una actualización en contexto
30 32
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Capitulo 2 Implementación de servidores
37
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Lección 1: Las opciones de instalación. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 opciones de instalación Comprensión
39
La conversión entre las opciones de instalación
41
Resumen de la lección
45
Revisión de la lección
46
Lección 2: Preparación del laboratorio de construcción. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Gestión del ciclo de vida de 47 Entendimiento imagen
47
Construir vs. entorno de producción
48
Configuración de su laboratorio de construcción
48
Entender el proceso de generación de referencia de imagen
50
Configuración del equipo del técnico
52
Resumen de la lección
53
Revisión de la lección
53
Lección 3: Creación de imágenes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 imágenes de referencia de construcción utilizando MDT 2012 Update 1
54
Imágenes de referencia Testing
65
Resumen de la lección
65
Revisión de la lección
66
Lección 4: Implementación de las imágenes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Preparación de la infraestructura de implementación 67 Utilizando el enfoque de LTI
68
Utilizando el enfoque de ZTI
69
Resumen de la lección
70
Revisión de la lección
71
vi
Contenido
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Ejercicio 1: La conversión entre las opciones de instalación
71
Ejercicio 2: La construcción de una imagen de referencia MDT 2012 Update 1
74
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
Capítulo 3 Administración remota del servidor
83
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Lección 1: Administrador de servidores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Navegando Administrador del servidor
84
Configuración de la gestión remota
90
Ejecución del Administrador de servidores en Windows 8
92
Resumen de la lección
93
Revisión de la lección
94
Lección 2: tareas de administración del servidor. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 servidores Adición
95
Creación de grupos de servidores
96
Reinicie el servidor
97
Recogida de eventos
98
Servicios de monitorización
101
La recopilación de datos de rendimiento
103
Visualización de notificaciones de estado
105
Resumen de la lección
106
Revisión de la lección
107
Lección 3: Instalación de las funciones y características. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Requisitos previos para la instalación de las funciones y características
108
Instalación de roles y funciones mediante el Administrador del servidor
110
Instalación de roles y funciones mediante Windows PowerShell 114 Extracción de funciones y características
116
Resumen de la lección
117
Revisión de la lección
117
Contenido
vii
Lección 4: la automatización de Windows PowerShell Trabajos en segundo plano
. . . . . . . . . . . . . . . . . . . . . . . . 119 119
Trabajos programados
120
Las sesiones desconectadas
121
Recursos para el aprendizaje de Windows PowerShell
123
Resumen de la lección
124
Revisión de la lección
125
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Ejercicio 1: Instalación de las funciones y características
126
Ejercicio 2: Gestión de alertas con el Dashboard
127
Ejercicio 3: Programación de tareas que utilizan Windows Empleos PowerShell
128
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130
Capítulo 4 Implementación de controladores de dominio
135
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Lección 1: Preparación para la implementación de controladores de dominio AD escenarios de implementación DS
. . . . . . . . . . . . . . 136 136
Despliegue controlador de dominio nuevo bosque Despliegue controlador de dominio del bosque
144
139
existente Resumen de la lección
146
Revisión de la lección
146
Lección 2: Implementación de controladores de dominio mediante el Administrador de servidores. . . . . . 147 Preparación para el despliegue de dominio controlador 14 8 Instalación del rol AD DS
150
Ejecución del Asistente de configuración de AD DS
151
Verificación de la instalación
157
La desinstalación de AD DS
159
Resumen de la lección
162
Revisión de la lección
162
viii
Contenido
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 Preparación para el despliegue de dominio controlador
164
Uso de Windows PowerShell para implementar controladores de dominio Verificación de la implementación de dominio controlador
172
La desinstalación de AD DS
174
Resumen de la lección
174
Revisión de la lección
174
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Ejercicio 1: Instalación de un nuevo bosque el Administrador del servidor Ejercicio 2: añadir de forma remota un dominio adicional controlador mediante Windows PowerShell
176 177
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
Capítulo 5 La administración de Active Directory
183
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Lección 1: Administración de objetos de Active Directory utilizando ADAC. . . . . . . 184 Visión general de ADAC
184
Búsqueda de Active Directory
188
Tareas de administración comunes
190
Resumen de la lección
196
Revisión de la lección
197
Lección 2: Activación de funciones avanzadas utilizando ADAC. . . . . . . . . . . . . . . . . 198 Activación y uso de la Papelera de reciclaje de Active Directory
198
Configuración de políticas de contraseñas de grano fino
202
Resumen de la lección
206
Revisión de la lección
207
167
Contenido Ix
Lección 3: Administración de Active Directory con Windows PowerShell. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 Gestión de cuentas de usuario con Windows PowerShell
208
Encontrar cmdlets de administración de Active Directory
212
Realización de un Active Directory avanzada tarea de administración
213
Resumen de la lección
216
Revisión de la lección
216
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Ejercicio 1: Creación de unidades organizativas utilizando Windows PowerShell
217
Ejercicio 2: Creación de cuentas de usuario que utilizan Windows PowerShell 218 Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Capítulo 6 Administración de la red
225
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 Lección 1: Asegurar la disponibilidad de DHCP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Enfoques anteriores a la implementación de DHCP disponibilidad
226
Conmutación por error DHCP Entendimiento
227
Implementación de DHCP de conmutación por error
229
La gestión de la conmutación por error de DHCP
231
Resumen de la lección
233
Revisión de la lección
233
Lección 2: Implementación de DNSSEC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 Beneficios de DNSSEC
235
DNSSEC en las versiones anteriores de Windows Server
237
¿Cómo funciona DNSSEC
237
DNSSEC Implementación
239
Resumen de la lección
242
Revisión de la lección
243
X
Contenido
Lección 3: Administración de redes con
PowerShell. . . . . . . . . 244
Windows Identificar cmdlets de redes
244
Ejemplos de tareas de administración de red
252
Resumen de la lección
256
Revisión de la lección
257
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad IPv6 conceptos y terminología
. . . . . . . . . . . . . . . . . . . 258 258
Direccionamiento IPv6
263
La asignación de direcciones IPv6
267
Tecnologías de transición IPv6
276
ISATAP
277
Resumen de la lección
280
Revisión de la lección
280
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Ejercicio 1: Implementación de conmutación por error de DHCP usando Windows PowerShell
282
Ejercicio 2: Configuración de una única caché del servidor DNS mediante Windows PowerShell 283 Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Capítulo 7 Virtualización Hyper-V
291
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 Lección 1: Implementación y configuración de Hyper-V hosts Planificación de Hyper-V de despliegue
. . . . . . . . . . . . . . . . 292 292
Instalación de la función Hyper-V
304
Configuración de hosts de Hyper-V
307
Resumen de la lección
315
Revisión de la lección
315
Contenido
xi
Lección 2: Implementación y configuración de máquinas virtuales de la implementación de la Planificación
. . . . . . . . . . . . . . 316 317
máquina Creación virtual de máquinas virtuales
324
Configuración de máquinas virtuales
326
Resumen de la lección
337
Revisión de la lección
337
Lección 3: Gestión de máquinas virtuales. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 consolidación de carga de trabajo Optimización
339
Optimización del rendimiento de la red
343
Optimización de discos virtuales
345
Gestión de instantáneas
348
Monitoreo de las máquinas virtuales
350
Resumen de la lección
351
Revisión de la lección
351
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 Ejercicio 1: Instalación y configuración de Hyper-V en Server Core
353
Ejercicio 2: Creación y configuración de máquinas virtuales
354
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
Capítulo 8 Servicios y almacenamiento de archivos
361
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Lección 1: Implementación de Espacios de almacenamiento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 espacios de almacenamiento Comprensión 362 Planificación de una implementación espacios de almacenamiento 369
xii
Contenido
Espacios de Ejecución de almacenamiento
373
Resumen de la lección
375
Revisión de la lección
375
Lección 2: Aprovisionamiento y gestión de almacenamiento compartidode almacenamiento El aprovisionamiento
. . . . . . . . . . . . . . . 377 377
compartido Aprovisionamiento acciones SMB
387
Gestión de almacenamiento compartido
393
Resumen de la lección
396
Revisión de la lección
396
Lección 3: Configuración de almacenamiento iSCSI iSCSI Almacenamiento
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 397
Entendimiento Configuración del servidor iSCSI Target El uso de iniciador iSCSI
401
Resumen de la lección
418
Revisión de la lección
419
411
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 Ejercicio 1: Aprovisionamiento y gestión de almacenamiento compartido el Administrador del servidor
420
Ejercicio 2: Aprovisionamiento y gestión de almacenamiento compartido mediante Windows PowerShell
423
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Capítulo 9 Servicios de impresión y documentos
431
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Lección 1: implementación y gestión de servidores de impresión. . . . . . . . . . . . . . . . . . . 431 servidores de impresión Implementación
432
Administrar impresoras utilizando Administración de impresión 436 Resumen de la lección
448
Revisión de la lección
448
Lección 2: Administración de servidores de impresión con Windows PowerShell. . . . . . . . 450 Visualización de la información acerca de las impresoras, controladores de impresora, y los trabajos de impresión
450
Gestión de impresoras, controladores de impresora y los trabajos de impresión Resumen de la lección
457
Revisión de la lección
457
454
xiii
Contenido
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 Ejercicio 1: Gestión de servidores de impresión con Administración de impresión
458
Ejercicio 2: Gestión de servidores de impresión con Windows PowerShell
459
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
Capítulo 10 Implementación de directivas de grupo
465
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Lección 1: Planificación, implementación y administración de directivas de grupo. . . . . . 466 Planificación de la directiva de grupo
466
Configuración de los ajustes de seguridad
476
La gestión de la directiva de grupo
482
Resumen de la lección
487
Revisión de la lección
488
Lección 2: Administración de la directiva de grupo con Windows PowerShell. . . . . . . 489 Creación y vinculan los GPO
489
Remotamente refrescante de directiva de grupo
490
Copia de seguridad y restauración de GPO
491
Resumen de la lección
492
Revisión de la lección
492
Lección 3: Implementación de las preferencias de directiva de grupo Comprensión Preferencias
. . . . . . . . . . . . . . . . . 493 493
Extensiones Configuración de Windows
506
Extensiones Configuración Panel de control
506
Resumen de la lección
507
Revisión de la lección
508
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 Ejercicio 1: Diseño e implementación de la directiva de grupo 509 Ejercicio 2: Creación y administración de GPO utilizando Windows PowerShell
510
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511
xiv
Contenido
Capítulo 11 Configuración de Firewall de Windows e IPsec
515
Antes de que empieces. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515 Lección 1: Configuración de Firewall de Windows con seguridad avanzada. . . . . 516 Firewall Entendimiento de Windows con seguridad avanzada
516
Gestión de perfiles de firewall
519
Configuración de reglas de firewall
526
Resumen de la lección
541
Revisión de la lección
542
Lección 2: Configuración de IPsec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 Comprensión de seguridad de conexión
543
Configuración de los ajustes de IPsec
548
Configuración de las reglas de seguridad de conexión
555
Resumen de la lección
569
Revisión de la lección
569
Ejercicios de práctica. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570 Ejercicio 1: Configuración de reglas de firewall
571
Ejercicio 2: La implementación de IPsec
573
Ejercicios prácticos sugeridos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575 Respuestas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
Índice
579
¿Qué opinas de este libro? Queremos saber de usted! Microsoft está interesado en escuchar sus comentarios para que podamos mejorar continuamente nuestros libros y recursos de aprendizaje para usted. Para participar en una breve encuesta en línea, por favor visite:
Contenido
xv
Introducción
T
su guía de capacitación está destinado a tecnología de la información (TI) que necesitan para mejorar sus habilidades para apoyar a Windows Server 2012 en su lugar de trabajo. El primario enfoque del libro es en la capacitación en roles de trabajo para los administradores de sistemas y personal de apoyo de TI en medianas y grandes entornos. El libro contiene información técnica detallada y ejercicios prácticos de práctica para ayudar a prepararse para la implementación, administración y mantenimiento de los servidores que ejecutan Windows Server 2012. El libro supone que tiene al menos tres años de experiencia en la administración de versiones anteriores de Windows Server, incluyendo experiencia con la implementación de sistemas operativos, administración de Active Directory, la virtualización de servidores mediante Hyper-V, la red y la gestión del almacenamiento, los servicios de archivos e impresión, y la directiva de grupo . Debido a que la automatización es una habilidad tan esencial para los administradores que gestionan el, centro de datos virtualizado moderna, gran parte de este libro se centra en el aprendizaje de cómo administrar funciones de servidor y funciones mediante Windows PowerShell. A pesar de que será útil si usted tiene conocimiento mentario al menos rudimentos de uso de Windows PowerShell para administrar versiones anteriores de Windows Server, los lectores que no tienen familiaridad previa con Windows PowerShell todavía deben ser capaces de aprender y realizar la mayoría de los ejercicios en este libro . Este libro cubre algunos de los temas y habilidades que son objeto del examen de certificación Microsoft 70-410. Si está usando este libro para complementar sus materiales de estudio, es posible encontrar esta información útil. Tenga en cuenta que este libro está diseñado para ayudar en el puesto de trabajo; podría no cubrir todos los temas del examen. Si usted se está preparando para el examen, debe utilizar materiales de estudio adicionales para ayudar a reforzar su experiencia en el mundo real. Para su referencia, una cartografía de los temas de este libro a los objetivos del examen se incluye en la parte posterior del libro. Mediante el uso de esta guía de capacitación, usted aprenderá cómo hacer lo siguiente: ■
Evaluar el hardware y software en su entorno actual de planificar una migración a Windows Server 2012.
■
Construir imágenes de referencia personalizadas de Windows Server 2012, y desplegarlas usando el Microsoft Deployment Toolkit.
■
Realizar la gestión de servidor remoto e instalación papel utilizando el Administrador de servidores y Windows PowerShell.
■
Implementar controladores de dominio mediante el Administrador de servidores y Windows PowerShell.
■
Administrar Active Directory y habilitar las características avanzadas de Active Directory utilizando el Centro Administrativo de Active Directory y Windows PowerShell.
■
Asegurar la disponibilidad de DHCP, implementar DNSSEC, configurar IPv4 / IPv6 interoperabilidad, y realizar tareas de administración de red mediante Windows PowerShell.
■
Implementar, configurar y administrar los hosts de Hyper-V y máquinas virtuales utilizando Hyper-V Manager y Windows PowerShell.
■
Implementar espacios de almacenamiento y la provisión y gestión de almacenamiento compartido, incluyendo el almacenamiento iSCSI, el Administrador de servidores y Windows PowerShell.
■
Implementar y administrar servidores de impresión utilizando la consola Administración de impresión y Windows PowerShell.
■
Planificar, configurar y administrar las políticas y las preferencias de directiva de grupo mediante el Grupo Consola de administración de directivas y Windows PowerShell.
■
Configurar Firewall de Windows con seguridad avanzada e implementar conexión IPsec seguridad.
Sistemarequisitos Los siguientes son los requisitos mínimos del sistema de su ordenador debe cumplir para completar los ejercicios de práctica en este libro. Para minimizar el tiempo y el costo de la configuración de equipos físicos para esta guía de capacitación, se recomienda que utilice la tecnología Hyper-V, que es una característica de Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012. Tenga en cuenta, sin embargo, que ■
Los ejercicios en el capítulo 1 recomiendan el uso de un servidor físico en lugar de un entorno virtual.
■
Los ejercicios en los capítulos 7 y 8 requieren el uso de un servidor físico en lugar de un entorno virtual.
Requisitos de hardware Esta sección presenta los requisitos de hardware para Hyper-V, los requisitos de hardware si no está utilizando el software de virtualización, y los requisitos de software.
18 Introducción
Virtualización hrequisitos ardware Si usted elige utilizar el software de virtualización, necesita solamente una computadora física para realizar los ejercicios en este libro. Ese equipo host físico debe cumplir con los siguientes requisitos mínimos de hardware: ■
procesador que incluye tanto la virtualización asistida por hardware (AMD-V o Intel VT) y la protección de ejecución de datos de hardware (DEP) x64. En los sistemas de AMD, la función de protección de ejecución de datos se denomina Sin Ejecutar o NX bits. En los sistemas de Intel, esta función se llama Execute Disable o XD bit. Estas características también deben estar habilitadas en el BIOS.
■
8 GB o más de RAM
■
Más espacio disponible en el disco duro de 500 GB o
■
Redes Integrado 1-GbE
■
SVGA integrado (800 x 600) o superior de vídeo
■
Unidad de DVD-ROM
■
Conectividad a Internet
Requisitos de hardware físicas Si usted elige utilizar equipos físicos en lugar de software de virtualización, utilice la lista siguiente para cumplir con los requisitos mínimos de hardware de los ejercicios de práctica en este libro: ■
Dos servidores, cada uno con un 1 0,4-GHz o procesador más rápido, 2 GB o más de RAM, espacio de 500 GB o más disponibles de disco duro, la creación de redes 1GbE integrada, integrada SVGA (800 x 600) o superior de vídeo, y una unidad de DVD-ROM. Al menos uno de estos servidores debe: ■
Incluya la virtualización asistida por hardware (AMD-V o Intel VT) y el hardware de protección de ejecución de datos (DEP) .En los sistemas de AMD, la función de protección de ejecución de datos se denomina Sin Ejecutar o NX bits. En los sistemas de Intel, esta función se llama Execute Disable o XD bit.Estas características también deben estar habilitadas en el BIOS.
■
■
Tiene doble de redes 1-GbE.
■
Tener al menos dos discos físicos adicionales (conectados ya sea interna o externamente) de un tipo soportado por el almacenamiento Espacios cuentan (por ejemplo, discos SAS o SATA).
Una estación de trabajo con un 1 GHz o más rápido, más memoria RAM de 2 GB o 250 GB o mayor unidad de disco duro, una tarjeta de red, una tarjeta de video, y una unidad de DVD-ROM. Introducción19
■
Los tres equipos deben estar conectados físicamente entre sí ya Internet a través de un router o gateway dispositivo de Network Address Translation (NAT).
■
La red de prueba que incluye estos equipos debe ser aislado de la red de producción. (Por ejemplo, la red de prueba no puede ya incluir un servidor Dynamic Host Configuration Protocol [DHCP] que asigna automáticamente direcciones a las computadoras.)
Requisitos de software El siguiente software es necesario para completar los ejercicios de práctica: ■
Windows Server 2012. Puede descargar una edición de evaluación de Windows Server 2012 desde el Centro de Evaluación en TechNethttp://technet.microsoft.com/en-us/ evalcenter / hh670538.aspx.
■
Windows 8 Enterprise. Puede descargar una edición de evaluación de Windows 8 Enterprise desde el Centro de Evaluación en TechNethttp://technet.microsoft.com/en-US/ evalcenter / hh699156.aspx.
■
Windows Server 2008 R2. Puede descargar una edición de evaluación de Windows Server 2008 R2desde el Centro de evaluación de TechNetenhttp://technet.microsoft.com/en-us/ evalcenter / ee175713.aspx.
■
La Evaluación de Microsoft y Planificación 7 Toolkit 0.0 (MAP 7 0.0). Puede descargar MAPA 7 0.0 desde el Centro de descarga de Microsoft en http://www.microsoft.com/en-us/download/ details.aspx? & id = 7826.
■
El Kit de Evaluación y de implementación de Windows (ADK) para Windows 8. Puede descargar el ADK para Windows 8 del Centro de descarga de Microsoft enhttp://www.microsoft.com/enus/download/details.aspx?id=30652 .
■
El Microsoft Deployment Toolkit (MDT) 2012 Update 1. Puede descargar MDT 2012 Update 1 del Microsoft Download Center enhttp://www.microsoft.com/en-us/ Descarga / details.aspx? id = 25175.
■
Microsoft Office 2010. Puede descargar una edición de evaluación de Office Professional Plus 2010 desde el Centro de Evaluación http://technet.microsoft.com/en-US/ evalcenter / ee390818.aspx.
■
TechNet
Si usted no está utilizando el software de virtualización, se necesita un software que le permite manejar archivos .iso. Este software necesita para llevar a cabo cualquiera de las funciones siguientes: ■
20 Introducción
en
Grabar .iso archivos en CD o DVD. (Esta solución también requiere CD de grabación / DVD hardWare.)
Agradecimientos El autor desea agradecer a las siguientes personas por su incansable trabajo y el cuidado hacia la fabricación de este libro un éxito: ■
Karen Szall, Gerente Senior de Desarrollo de Contenidos de Microsoft Press, para ayudar a conseguir el proyecto en marcha y para mantener el autor en el buen camino con su constante azote de palabras (es broma).
■
Carol Dillingham, contenido Project Manager en Microsoft Press, que llevó el proyecto a una conclusión exitosa y oportuna al inmenso alivio de todos los involucrados, incluyendo (especialmente) el autor.
■
Steve Sagman, el propietario de Waypoint Press, cuya atención cuidadosa a los detalles asegura que el proceso de producción laboriosa iría sin problemas.
■
Roger LeBlanc, cuya cuidadosa corrección de estilo del manuscrito del autor aseguró que todos mays convirtieron mights, todos sinces fueron sustituidos por becauses, y todo ratos fueron sustituidos por althoughs.
■
Bob Dean, cuya técnica de revisión en realidad descubrió algunos errores que el autor hizo en el texto y ejercicios. Golly, y pensé que era perfecto!
■
Neil Salkind, agente de la autora en el Studio B (www.studiob.com), que se aseguró el autor dieron una buena oferta suficiente para mantenerlo comer macarrones con queso al menos hasta Navidad.
Fe de erratas y soporte libro Hemos hecho todo lo posible para garantizar la exactitud de este libro y su contenido complementario. Los errores que se han reportado desde que este libro fue publicado figuran en nuestro sitio Microsoft Press en oreilly .com: http://go.microsoft.com/FWLink/?Linkid=263954 Si usted encuentra un error que no esté en la lista, puedes reportarlo a nosotros a través de la misma página. Si necesita ayuda adicional, correo electrónico de Microsoft Press Apoyo Libro en mspinput @ .com microsoft. Tenga en cuenta que el apoyo de producto para el software de Microsoft no se ofrece a través de las direcciones arriba.
Introducción21
Queremossaber de usted En Microsoft Press, su satisfacción es nuestra principal prioridad, y su regeneración nuestro activo más valioso. Por favor, díganos lo que piensa de este libro en: http://www.microsoft.com/learning/booksurvey La encuesta es corta, y leemos cada uno de sus comentarios e ideas. Gracias de antemano por su ayuda!
Quedarseen contacto Vamos a mantener la conversación! Estamos en Twitter: http://twitter.com/MicrosoftPress.
22 Introducción
CAPÍTULO 1
Preparación para Windows Server 2012 ejecución Uccessful de cualquier tarea siempre comienza con la planificación. Si su trabajo implica la migración de la infraestructura de TI de su organización para Microsoft Windows Server 2012, que que preparar tanto el medio ambiente y para este trabajo.
S
En este capítulo se describe escenarios de migración de infraestructura común y describe los pasos que intervienen en un proceso típico servidor de migración. El capítulo también examina algunos enfoques y herramientas que puede utilizar para evaluar la disposición de su entorno para la migración a Windows Server 2012.
Lecciones en este capítulo: ■
Lección 1: Planificación para Windows Server 20122
■
Lección 2: Evaluación de la disposición de su entorno19
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
■
Usted deben tener cierta familiaridad con las nuevas características y capacidades que se encuentran en Windows Server 2012. Si no, entonces antes de continuar tomar tiempo para examinar algunas de las siguientes fuentes de información: ■
Los vídeos de demostración disponibles en el servidor de Microsoft y la página Cloud Platform en http://www.microsoft.com/en-us/server-cloud/new.aspx
■
El tema "¿Qué hay de nuevo en Windows Server 2012" y los subtemas vinculados de esa página en la biblioteca TechNethttp://technet.microsoft.com/en-us/library/ hh831769
■
El libro electrónico gratuito "Introducción a Windows Server 2012", que se puede descargar desdehttp://go.microsoft.com/FWLink/?Linkid=251464
Usteddebería haber descargado una copia de evaluación de Windows Server 2012 desde el Centro de Evaluación TechNethttp://technet.microsoft.com/en-us/evalcenter/ bb291020.aspx .
en
1
■
Usteddebe tener un sistema de servidor disponible para propósitos de prueba que cumple los requisitos mínimos de hardware para la instalación de Windows Server 2012. Este servidor también debe cumplir con los siguientes requisitos adicionales: ■
El hardware del sistema debe cumplir con los requisitos mínimos para instalar la versión 7 0.0 del Microsoft Assessment and Planning (MAP) Toolkit. Para obtener más información sobre estos requisitos, consultehttp://www.microsoft.com/en-us/ Descarga / details.aspx? & id = 7826 .
■
El servidor debe tener instalado Windows Server 2008 SP1 R2 o Windows Server 2008 Service Pack 2 instalado. Si es necesario, puede descargar una copia de evaluación de Windows Server 2008 R2 SP1 desde el Centro de Evaluación en TechNethttp://technet.microsoft.com/en-us/ evalcenter / bb291020.aspx .
■
El servidor debe ser un servidor independiente que pertenece a un grupo de trabajo.
■
La red en la que se encuentra el servidor deben tener conexión a Internet y el servidor se deben configurar con una dirección IP estática, máscara de subred, puerta de enlace predeterminada y los servidores DNS primario y secundario que permiten al servidor para acceder a Internet.
■
■
Se recomienda que el servidor sea un servidor físico (no una máquina virtual) a los efectos de realizar los ejercicios en este capítulo. Si usted decide, sin embargo, para ejecutar el servidor como una máquina virtual utilizando Hyper-V en Windows Server 2008 R2 SP1, asegúrese de instalar la actualización descrita enhttp://support.microsoft.com/kb/2526776de modo que usted será capaz de actualizar el sistema operativo invitado de la máquina virtual de Windows Server 2012 como es requerido por uno de los ejercicios de práctica en este capítulo.
Usted También se necesita un equipo cliente que tiene Microsoft Office 2010 u Office 365 instalado para ver los informes generados por el MAP Toolkit en uno de los ejercicios de práctica en este capítulo.
Lección 1: Planificación para Windows Server 2012 El éxito de un proyecto de infraestructura a la migración depende de una planificación cuidadosa combinada con una ejecución meticulosa. Tienes que empezar por definir el alcance del proyecto para que usted sepa donde quiere terminar. Luego hay que diseñar un plan de proyecto que involucra pruebas piloto para familiarizarse con la nueva plataforma y para identificar los posibles problemas que puedan surgir durante el proceso de migración. Una evaluación completa de su entorno existente también es necesario para asegurar que no haya sorpresas que vienen. Una metodología necesita desarrollar para migrar servidores y roles existentes. Por último, una vez que la migración 2
Capítulo1 2012
Preparación para Windows Server
está en marcha, la prueba continua se debe realizar para asegurar que todo está sucediendo como estaba previsto.
Describa seis posibles escenarios de migración para las organizaciones que quieren tomar ventaja de las nuevas características y capacidades que se encuentran en Windows Server 2012.
Comprender algunos de los pasos involucrados en un proceso de migración de infraestructura, incluidas las pruebas piloto, la evaluación, la migración del servidor, y el papel y la migración función. Explica cómo instalar y utilizar las herramientas de migración de Windows Server para migrar roles de servidor de versiones anteriores de Windows Server a Windows Server 2012.
Escenarios de migración Proyectos de migración que implican servidores se pueden clasificar en varias formas, dependiendo de si va a implementar una nueva infraestructura, la mejora o consolidación de una infraestructura existente, o la implementación de un nuevo modelo de infraestructura, como la computación en nube. Además, las migraciones pueden variar en función de si está o no está migrando toda su infraestructura, o sólo parte de ella; si usted planea en la reutilización de hardware existente o el traslado a un nuevo hardware; si su entorno es administrado o no administrado; si su infraestructura existente es grande o pequeño, centralizado o distribuido, heterogéneo u homogéneo; y muchos otros factores. Con tantas maneras diferentes de imaginar y de alcance de proyectos de infraestructura a la migración, es obvio que no existe un enfoque único sobre cómo deben ser planificados y ejecutados dichos proyectos. Sin embargo, hay algunos pasos y consideraciones que son comunes a todos los proyectos de migración, y siendo conscientes de estas mejores prácticas y su aplicación puede ayudar a asegurar el éxito del proyecto. Empezaré por describir los siguientes seis posibles escenarios de migración para las organizaciones que quieren tomar ventaja de las nuevas características y capacidades que se encuentran en Windows Server 2012: ■
Greenfield
■
Actualización Bosque
■
Ambiente mixto
■
La consolidación de servidores
■
Nube privada
■
Nube pública
Tenga en cuenta que otros escenarios de migración son también posible, por ejemplo, Lección 1: Planificación para Windows Server 2012
Capítulo 1
3
mediante la combinación de dos o más de los siguientes escenarios para crear escenarios híbridos.
Greenfield En términos de infraestructura, un despliegue greenfield es uno donde actualmente no existe ninguna infraestructura. Por ejemplo, digamos que Contoso, Ltd. es una nueva empresa de puesta en marcha que requiere una infraestructura en las instalaciones desplegado por su fuerza de trabajo en rápido crecimiento. Un totalmente nuevo despliegue de una infraestructura basada en Windows Server 2012 podría incluir medidas como las siguientes: ■
El diseño, la adquisición e implementación de la infraestructura de red subyacente de switches, routers, puntos de acceso, y otro hardware de red.
■
Diseñar el entorno de Active Directory con las directrices y las mejores prácticas que se encuentran en la Guía de AD DS en Diseñohttp://technet.microsoft.com/enus/library/cc754678 (v = WS.10) .aspx .
■
La compra de hardware del sistema que se ha certificado para Windows Server 2012.
■
Realización de una implementación piloto para determinar si la infraestructura planificada se adapte a sus necesidades de negocio y anticipar los posibles problemas que puedan surgir durante el despliegue.
■
El despliegue de la infraestructura de producción utilizando cualquier herramienta de despliegue que ha decidido utilizar. Vamos a examinar algunas de estas herramientas más adelante en el capítulo 2, "Implementación de servidores."
La principal ventaja de una migración greenfield es que te da la oportunidad de hacer las cosas bien desde el principio. Por otro lado, las empresas siempre están evolucionando y rara vez son estáticos, por lo que incluso si planean cuidadosamente para el crecimiento futuro es posible que aún se enfrentará a retos en la evolución de su infraestructura para hacer frente a eventos tales como fusiones, adquisiciones y escisiones de las unidades de negocio. Y como una revisión de la realidad, la mayoría de los lectores de esta Guía de capacitación que buscan mejorar sus habilidades de trabajo es probable que se trabaja en las empresas que tienen uno o bosques de Active Directory en el lugar más actuales y están contemplando la migración a Windows Server 2012, que es lo que el siguiente escenario de migración se trata.
4
Capítulo1 2012
Preparación para Windows Server
Lección 1: Planificación para Windows Server 2012
Capítulo 1
5
Actualización Bosque Los administradores de entornos de Active Directory han sido tradicionalmente prudente, o incluso paranoico, sobre la realización de actualizaciones de esquema utilizando la utilidad de línea de comandos del Adprep .exe. Con el lanzamiento de cada nueva versión de Windows Server incluye una nueva versión de esquema también, y en el pasado, la tarea de introducir los controladores de dominio que ejecuten la nueva versión de Windows Server en el entorno de Active Directory existente ha requerido que usted primero preparar el bosque mediante la mejora del esquema. La reticencia que los administradores tienen hacia la realización de dichas actualizaciones se basa principalmente en tres preocupaciones: ■
El proceso de actualización de un esquema de bosques utilizando Adprep era a menudo una engorroso en las versiones anteriores de Windows Server y implicó el uso de una variedad de diferentes credenciales para iniciar sesión en los controladores de dominio específicos, copiar archivos Adprep y ejecute Adprep desde la línea de comandos con varios parámetros. Cuanto más complejo sea el proceso, mayor es la probabilidad de que ocurra es un error.
■
Existía la posibilidad de que algo podría salir mal durante el proceso de actualización de esquema, lo que resulta en un bosque corrupto que requiere para llevar a cabo una recuperación de los bosques, lo que puede ser un proceso difícil y lento.
■
Existía la posibilidad de que la actualización de esquema podría ir bien pero resultar en efectos secundarios, tales como las aplicaciones empresariales que se rompen y dejan de funcionar correctamente.
El enfoque recomendado para evitar este tipo de problemas es la creación de un entorno de prueba que refleja el entorno de producción en términos de su esquema de Active Directory, servicios de red y aplicaciones de negocio. Al actualizar el esquema del bosque de prueba utilizando Adprep, puede anticipar mejor los problemas que puedan surgir al actualizar el esquema del bosque de producción. Para obtener información sobre la forma de reflejar el esquema de producción en un entorno de prueba para que pueda llevar a cabo estas pruebas, consulte el artículo "Exportar, Comparar y Sincronizar Directorio esquemas Activo" de la edición de abril de 2009, de TechNet Magazine enhttp://technet.microsoft.com/enus/magazine/2009.04.schema.aspx . Evidentemente, no se trata de preocupaciones triviales cuando su trabajo como administrador es potencialmente en juego. Así que antes de realizar una actualización de bosques, tiene que estar bien preparados, por ejemplo: ■
Ustednecesitan comprender el proceso de actualización de esquema y su posible impacto en su entorno.
■
Ustednecesita tener un plan de recuperación del bosque en su lugar como una solución de copia de seguridad para su peor de los casos.
Con Windows Server 2012, sin embargo, Microsoft ha tratado de aliviar muchos de los problemas de los administradores a menudo tienen sobre la realización de mejoras 10
Capítulo1 2012
Preparación para Windows Server
forestales. Por ejemplo: ■
Adprep funcionalidad está ahora integrada en (AD DS) proceso de instalación de los Servicios de dominio de Active Directory. En la mayoría de los casos, esto ahora elimina la necesidad de ejecutar Adprep separado antes de introducir los controladores de dominio que ejecuten la nueva versión de Windows Server. ■
El nuevo proceso de instalación de AD DS incluye la validación prerrequisito para identificar errores potenciales antes de que comience la instalación. Por ejemplo, si el proceso de instalación determina queadprep / domainprepnecesita ser ejecutado para preparar el dominio, la verificación se realiza primero para asegurarse de que el usuario que inició el proceso tiene derechos suficientes para realizar la operación.
■
El Server 2012 nivel funcional de Windows bosque no añade ninguna nueva características a un bosque y garantiza únicamente que cualquier nuevo dominio añade al bosque operará automáticamente en el nivel funcional de dominio de Windows Server 2012.
■
El nivel funcional de dominio de Windows Server 2012 agrega una sola nueva característica a un dominio. Esta nueva característica se refiere al sistema de control dinámico de acceso (DAC) y por lo tanto es poco probable que afecte las aplicaciones y servicios existentes en su entorno.
A pesar de estas mejoras a realizar actualizaciones de esquema y el aumento de los bosques y los niveles funcionales de dominio, una cuidadosa planificación y el debido cuidado se debe realizar cuando completando estas tareas. Estas cuestiones se abordarán en el capítulo 4, "Implementación de controladores de dominio", y en el capítulo 5, "la administración de Active Directory."
Lección 1: Planificación para Windows Server 2012
Capítulo 1
11
Ambiente mixto Como se vio en el escenario de migración anterior, las empresas que quieren aprovechar las nuevas capacidades de Windows Server 2012 puede hacerlo sin la rasgadura de su infraestructura y su sustitución por una nueva existente. Todo lo que necesitas hacer es introducir los servidores que ejecutan Windows Server 2012 en su entorno y promoverlos como controladores de dominio. Hacer esto automáticamente actualiza el esquema y los administradores pueden aumentar el bosque y dominio niveles funcionales a Windows Server 2012 con el miedo mínima de que tener un impacto negativo en sus aplicaciones y servicios existentes. Por supuesto, a pesar de esto, usted debe estar seguro de probar primero la actualización de esquema y cambios en el nivel funcional en una prueba ambiente que refleja su entorno de producción sólo para asegurarse de que no habrá problemas que pueden afectar a su negocio. Sin embargo, algunas nuevas características de Windows Server 2012 también se pueden implementar en entornos de Active Directory existentes sin realizar cambios significativos en el bosque existente, como la actualización del esquema o elevar los niveles funcionales de bosque o dominio. Un ejemplo donde esto puede hacerse es la hora de desplegar nuevos servidores DHCP para aprovechar la nueva característica de conmutación por error de DHCP de Windows Server 2012 que garantiza la disponibilidad continua de los servicios DHCP a los clientes. Para obtener información sobre cómo implementar esta nueva capacidad, consulte el Capítulo 6, "Administración de la red." La introducción de los servidores miembro que ejecutan Windows Server 2012 en un bosque de Active Directory basado en una versión anterior de los resultados de Windows Server en un entorno mixto de servidores que ejecutan diferentes versiones de Windows. Por no introducir nuevos controladores de dominio de Windows Server 2012, los administradores pueden seguir gestionando su entorno utilizando herramientas y procesos existentes. Aunque esto parece un enfoque más sencillo y menos riesgoso que la actualización de su bosque como se describió anteriormente, hay varias desventajas para seguir este enfoque de migración: ■
Algunas de las nuevas características y capacidades de Windows Server 2012 se pueden implementar sólo cuando su entorno de Active Directory incluye los controladores de dominio que ejecutan Windows Server 2012. Estas características podrían no funcionar en absoluto, o sólo han limitado función cionalidad, cuando el esquema de Active Directory no se ha actualizado a Windows Server 2012. En general, la información sobre estas limitaciones podría ser enterrado en la documentación Biblioteca TechNet para Windows Server 2012, lo que significa que tiene que hacer un poco de investigación antes de intentar desplegar Windows Server 2012 servidores miembros con roles y características instalados en el entorno de Active Directory existente.
■
10
Algunas de las herramientas de administración de servidor integradas en
Capítulo1 2012
Preparación para Windows Server
Windows Server 2012 y se incluyen en las Herramientas de administración remota del servidor (RSAT) para Windows 8 han ninguna funcionalidad limitada o en la gestión de los servidores que ejecutan versiones anteriores de Windows Server. O puede que tenga que instalar actualizaciones adicionales en los servidores que ejecutan versiones anteriores de Windows Server con el fin de gestionarlos utilizando las herramientas o RSAT de administración del servidor de Windows Server 2012 para Windows 8. Para obtener más información, consulte KB 2693643 enhttp://support.microsoft.com/kb/2693643 . Así, mientras que el despliegue de unos pocos Windows Server 2012 servidores miembro con algunas funciones y características instaladas puede parecer una buena idea, y menos riesgoso que realizar una actualización de los bosques, las ganancias que la experiencia de seguir este enfoque no pueden equilibrar contra el esfuerzo que supone.
La consolidación de servidores La consolidación de servidoresimplica el uso de la virtualización para consolidar múltiples cargas de trabajo de servidor en una sola host de virtualización. Aunque la consolidación de servidores puede ayudar a una organización a mejorar la utilización del servidor y reducir los gastos, no se considera en general un escenario de migración.
Con el gran aumento de la escalabilidad de la función Hyper-V en Windows Server 2012, sin embargo, algunas empresas podrían ser capaces de migrar tanto o incluso la totalidad de su infraestructura existente de Active Directory basado en una versión anterior de Windows Server y ejecutarlo en un grupo de hosts de Hyper-V que ejecutan Windows Server 2012. En otras palabras, pueden migrar sus Existing servidores físicos en un entorno virtual. Para obtener más información, consulte el Capítulo 7, "virtualización Hyper-V".
Nube privada La computación en nube ofrece a las organizaciones con nuevas opciones para incrementar la eficiencia y reducir los costos. El enfoque de centro de datos tradicional, donde la organización despliega y gestiona su propia infraestructura de Active Directory local, ha conocido la estabilidad y de seguridad, pero los servidores de infraestructura implicados a menudo funcionan a ciento la utilización de menos de 15. La virtualización del centro de datos mediante la consolidación de servidores puede aumentar la utilización, reducir los costos y simplificar la gestión, pero este enfoque carece de la elasticidad para satisfacer rápidamente las demandas cambiantes ya que su negocio crece o experimenta cambios del mercado. La computación en nube puede simplificar la gestión y reducir los costes aún más tiempo que proporciona elasticidad y la percepción de la capacidad infinita de los servicios que utiliza su negocio. Recursos de la nube se agrupan de manera que puedan ser asignados en la demanda como las necesidades de la empresa crece o se reduce. Si se necesitan recursos adicionales, que se pueden aprovisionar y sin la necesidad de una amplia Lección 1: Planificación para Windows Server 2012
Capítulo 1
11
planificación y prueba de antemano. La computación en nube puede ser aprovisionado de acuerdo con tres posibles modelos de servicio: ■
■
■
10
Softwarecomo servicio (SaaS)La nube son utilizados para presentar una solicitud para varios usuarios, independientemente de su ubicación o el tipo de dispositivo que estén utilizando. Comparar este modelo con el enfoque más tradicional de la implementación de instancias independientes de aplica- ciones de PC de cada usuario. Este enfoque es típicamente son utilizados para entregar aplicaciones basadas en la nube que tienen necesidad mínima de personalización. Los ejemplos incluyen correo electrónico, Customer Relationship Management (CRM) y software de productividad. Las ventajas de este enfoque son que las actividades de aplicación se pueden gestionar desde una única ubicación central para reducir los costos y los gastos generales de administración. Un ejemplo de una oferta SaaS de Microsoft es Office 365, que proporciona a los usuarios un acceso seguro desde cualquier lugar a su correo electrónico, calendarios compartidos, mensajería instantánea (IM), videoconferencias y herramientas para la colaboración en documentos. Plataforma como servicio (PaaS)La nube se utiliza para ofrecer servicios de ejecución de aplicaciones, tales como el tiempo de ejecución de aplicaciones, almacenamiento, y la integración de aplicaciones diseñadas para un marco predefinido, basado en la nube arquitectónico. Esto le permite desarrollar aplicaciones basadas en la nube a medida para su negocio, que luego se puede alojar en la nube para que sus usuarios puedan acceder a ellos desde cualquier lugar a través de Internet. PaaS también le permite crear aplicaciones multiusuario que varios usuarios pueden acceder simultáneamente. Con soporte para la personalización de nivel de aplicación, PaaS permite la integración con las aplicaciones de mayor edad y la interoperabilidad con su actual en las instalaciones de sistemas, a pesar de que tenga que ser recodificado algunas aplicaciones para trabajar en el nuevo medio ambiente. Un ejemplo de una oferta PaaS de Microsoft es SQL Azure, que permite a las empresas el suministro e implementar bases de datos SQL a la nube sin tener que implementar y mantener una infraestructura de Microsoft SQL Server en el local. Infraestructura como Servicio (IaaS)La nube se utiliza para crear charcos de ordenador, el almacenamiento y los recursos de conectividad de red, que luego pueden ser entregados como servicios facturados cloudbasado en una base por-uso. IaaS es la base para los otros dos modelos de servicios cloud, proporcionando una flexibilidad entorno estandarizado, y virtualizada que se presenta como cargas de trabajo de servidores virtualizados. En este enfoque, la organización ción puede auto-prestación estas cargas de trabajo virtualizadas y personalizarlos completamente con los recursos de procesamiento, almacenamiento y red necesarios y con el sistema operativo y las aplicaciones necesarias. La organización se libera de la necesidad de comprar e instalar el hardware y simplemente puede girar nuevas cargas de trabajo para satisfacer la demanda cambiante rápidamente.
Capítulo1 2012
Preparación para Windows Server
En el contexto del servidor 2012 escenarios de migración de Windows, el modelo de servicio en la nube que nos ocupa es el modelo IaaS, que puede implementarse mediante el uso de la función Hyper-V de Windows Server 2012 junto con Microsoft System Center 2012 SP1. Cuando IaaS se implementa de tal manera que el cliente controla la nube, la solución se llama una nube privada. Hay varias maneras de una solución privada en la nube puede ser ejecutado por una organización: ■
Al tener la construcción del cliente y el anfitrión de la nube privada en su propio centro de datos con Windows Server y la familia de productos System Center
■
Al tener el cliente compra un electrodoméstico nube privada dedicada con Windows System Center Server y preinstalados y configurados
■
Al contar con una empresa asociada de acogida nube privada del cliente
Migración de la infraestructura existente de Active Directory de una organización en un modelo de abastecimiento privado en la nube puede ser sencillo o complejo, dependiendo de una serie de diferencia factores ENT. Debido a esto, es útil contar con un socio de Microsoft para ayudar a diseñar e implementar una solución que satisfaga las necesidades de su organización. Si desea explorar la opción privada en la nube más allá, hay varios lugares que usted puede comenzar: ■
Usted puede descargar el software de evaluación privada en la nube de Microsoft y desplegarla en un entorno de prueba. En el momento de escribir estas líneas, esta ofrenda utiliza Windows Server 2008 R2 SP1 y System Center 2012, pero para cuando usted lea esto, Microsoft podría tener elevó la oferta a Windows Server 2012 y System Center 2012 SP1. Para obtener más información, consultehttp://www.microsoft.com/en-us/servercloud/private-cloud/trial.aspx .
■
Usted puede comprar una nube privada IaaS con una configuración prevalidated de los socios de servidor en el programa Fast Track Microsoft Private Cloud. Estas ofertas combinan el software de Microsoft, orientación consolidada, configuraciones validadas de fabricante de equipos originales (OEM) socios, y otro software de valor añadido componentes. Para obtener más información, consulte http://www.microsoft.com/en-us/server-cloud/ privada en la nube / buy.aspx # pestañas-2 . ■
Usted puede utilizar el sitio de Microsoft Pinpoint encontrar un socio en el Programa de Proveedor de Servicios de Microsoft Nube privada que puede acoger una nube privada dedicada para su organización. Para obtener más información, consulte http://www.microsoft.com/en-us/server-cloud/ privada en la nube / buy.aspx # pestañas-3. Lección 1: Planificación para Windows Server 2012
Capítulo 1
11
mor
o
www.m
privado-clou solu r
r-
sí
rivate-
Públiconube La nube privada es uno de los varios modelos de nube-sourcing que las organizaciones pueden considerar. Otro enfoque utiliza una nube pública, que es donde un proveedor de alojamiento mantiene una nube compartida que ofrece un conjunto de servicios que pueden ser utilizados por múltiples clientes. Es importante en este modelo que el entorno de cada cliente será totalmente aislada de la de otros clientes para garantizar la seguridad, y Windows Server 2012 incluye una nueva tecnología de virtualización que permite multitenancy seguro para la celebración de escenarios como este. Público en la nube los proveedores de alojamiento se centran generalmente en la entrega de soluciones SaaS que les permiten entregar aplicaciones a los clientes de manera que el cliente puede centrarse en resolver los problemas de negocio en lugar de gestionar la infraestructura. Debido a esto, cualquier consideración adicional del modelo de abastecimiento público en la nube está más allá del alcance de este libro.
Migraciónproceso Como he dicho antes, no existe un enfoque único sobre cómo deben ser planificados y ejecutados los proyectos de migración de infraestructura. Sin embargo, hay algunas mejores prácticas que se aplican en diversos grados a los diferentes escenarios discutidos anteriormente, y de éstos se pueden identificar algunos de los pasos clave que deben participar en cualquier proceso de migración. Me centraré brevemente en provid- ing alguna orientación para las cuatro etapas siguientes, que son comunes a la mayoría de los proyectos de migración de la infraestructura:
10
■
Las pruebas piloto
■
Valoración
Capítulo1 2012
Preparación para Windows Server
■
La migración del servidor
■
Migración Rol
Tenga en cuenta que para ayudarle a utilizar la información en las próximas secciones, algunas de ellas se presenta en forma de una serie de preguntas que se puede utilizar como base para la creación de hojas de trabajo para la implementación de su proyecto de migración.
Pilotopruebas Las pruebas piloto implica algo más que instalar el software y jugar un rato con él. En su lugar, usted debe comenzar creando un plan de prueba que define el alcance y los objetivos de la prueba que desea realizar. También debe definir una metodología de prueba que describe la arquitectura de su entorno de prueba, sus herramientas y técnicas de prueba, y el tipo de automatización que va a utilizar para su prueba. A continuación, deberá identificar el recurso que necesita para realizar sus pruebas en, y establecer un calendario para la realización de sus diversas pruebas. Por último, usted debe tener un proceso para evaluar los resultados de su prueba para ver si los objetivos que ha establecido se han alcanzado o no. Las siguientes son algunas de las preguntas clave que deben abordarse durante la prueba piloto de Windows Server 2012: ■
¿Por qué estamos piloto de pruebas de Windows Server 2012?
■
¿Quién va a realizar la prueba?
■
¿Qué formación se los probadores necesitará antes de que puedan realizar sus pruebas?
■
¿Cuáles son los objetivos específicos de nuestro proceso de prueba?
■
¿Qué escenarios estaremos utilizando como base para la realización de nuestras pruebas?
■
¿Qué funciones y características es lo que planeamos en las pruebas?
■
¿Cómo vamos a probar cada uno de estos roles y funciones?
■
¿Qué hardware vamos a necesitar para llevar a cabo nuestras pruebas?
■
¿Qué software adicional vamos a necesitar para llevar a cabo nuestras pruebas?
■
¿Estaremos utilizando las secuencias de comandos o la automatización como parte del proceso de prueba?
■
¿Dónde vamos a configurar nuestro entorno de prueba?
■
¿Cómo vamos a asegurarnos de que nuestro entorno de prueba no afectará a nuestro entorno de producción?
■
¿Cuál es el calendario para la realización de nuestras pruebas?
■
¿Cómo vamos a grabar nuestros resultados para el análisis y la evaluación posterior?
Lección 1: Planificación para Windows Server 2012
Capítulo 1
11
Valoración Evaluación implica determinar la disposición de su organización de infraestructura, hardware, aplicaciones y el personal para la migración a Windows Server 2012. Aunque algo de esto se examinarán con más detalle en la siguiente lección, aquí están algunas de las preguntas clave que deben abordarse como parte del proceso de evaluación: ■
¿Usted ha inventariado todo el hardware diferentes en su entorno?
■
¿Tienes alguna herramientas para la realización de un inventario de la infraestructura?
■
Es el hardware de servidor existente capaz de ejecutar Windows Server 2012?
■
Es el hardware de servidor existente capaz de soportar las diversas funciones y características de Windows Server 2012 que desee distribuir en su entorno?
■
¿Su trabajo de almacenamiento de hardware con Windows Server 2012 existente?
■
¿Es su infraestructura de red listos para Windows Server 2012?
■
Son sus diversos dispositivos de red (por ejemplo, firewalls, gateways VPN, etc.) capaz de interoperar con Windows Server 2012?
■
Si planea implementar DirectAccess, hacer su infraestructura de red y dispositivos son totalmente compatibles con el Protocolo de Internet versión 6 (IPv6)? ¿Y su Proveedor de Servicios de Internet (ISP) soporta IPv6?
■
¿Usted ha inventariado todos los distintos sistemas operativos y aplicaciones en su entorno?
■
¿Existen sistemas operativos o aplicaciones presentes en su entorno que tienen problemas de compatibilidad con Windows Server 2012?
■
¿Va a virtualizar cualquiera de sus sistemas operativos existentes o aplicaciones en Hyper-V hosts que ejecutan Windows Server 2012?
■
¿Usted ha inventariado las funciones de servidor en cada uno de los servidores de la infraestructura?
■
¿Hay alguna consideración con respecto a la virtualización de cualquiera de las funciones de servidor se están ejecutando en los servidores o la migración de estas funciones en la nube?
■
¿Ha evaluado su presupuesto para asegurarse de tener fondos suficientes para adquirir cualquiera hardware o software necesarios para su migración?
■
¿Ha evaluado el potencial de ahorro de costes y retorno de la inversión (ROI) de su organización puede lograr mediante la migración a Windows Server 2012?
■
Son miembros de su personal de TI listo para la migración? ¿Necesitan una formación adicional?
La migración del servidor Una migración del servidor puede tomar varios caminos diferentes, dependiendo del escenario de migración decide implementar. Las decisiones que tome en relación con el proceso de migración 14
Capítulo1 2012
Preparación para Windows Server
pueden ser dictadas por diversos factores, incluyendo el costo, plazo, la topología de su organización, la complejidad de su infraestructura, y las funciones de servidor que tiene actualmente desplegados en su medio ambiente. Algunas de las cuestiones clave para abordar en relación con el proceso de servidor de migración incluyen los siguientes: ■
¿Tienes un plan de reversión en el lugar en caso de que algo va mal con la migración?
■
Ha realizado una copia de seguridad completa del sistema de los servidores que va a migrar?
■
¿Cuál de el o los métodos siguientes va a usar para la migración de sus servidores?
■
En lugar de actualización, lo que mantiene el hardware actual y actualiza el sistema operativo del servidor actual a Windows Server 2012. Si usted sigue este enfoque, asegúrese de que está consciente de las rutas de actualización compatibles con sus sistemas operativos de servidor existentes.
■
Refresh, que mantiene el hardware actual, guarda la información de estado (sistema operativo y la configuración de la aplicación) de la instalación actual, limpia el hardware para eliminar el sistema operativo actual, realiza una instalación limpia de Windows Server 2012, y restaura el estado.
■
Reemplazar, que guarda el estado de la instalación actual a una ubicación de red, se retira el hardware actual, realiza una instalación limpia de Windows Server 2012 en un nuevo hardware, y restaura el estado.
■
Nuevo equipo, que implica ya sea la implementación de Windows Server 2012 a ti mismo en el hardware bare-metal o la compra de sistemas de servidores preconfigurados de su proveedor y configurar más el servidor si lo deseas.
■
¿Te has adquirido y aprendido a utilizar herramientas como Microsoft Deployment Toolkit (MDT) y System Center Configuration Manager (SCCM), que pueden ser utilizados para realizar migraciones de servidores? El uso de estas herramientas se discute en el Capítulo 2.
■
¿Va a migrar los servidores físicos en entornos virtuales? Si es así, puede que tenga System Center Virtual Machine Manager (VMM) u otras herramientas para la realización de los (P2V) migraciones físicas a virtuales de las cargas de trabajo de servidor.
■
¿Va a migrar los servidores que ejecutan sistemas operativos que están fuera de ciclo de vida, como Windows 2000 Server, que podrían requerir procedimientos especiales, tales como la migración a un sistema operativo intermedia antes de migrar a Windows Server 2012? Para obtener más información, consulte el Capítulo 7.
■
¿Va a migrar los servidores a través de arquitecturas? Por ejemplo, la migración de un servidor que ejecuta Windows x86 Server 2003 a Windows Server 2012?
■
¿Ha desarrollado planes para migrar los roles de cada uno de sus servidores? Lección 1: Planificación para Windows Server 2012
Capítulo 1
15
Migración Rol debe planificarse simultáneamente con la migración del servidor. Consulte la siguiente sección para más información sobre este tema. ■
¿Ha desarrollado planes para la migración de los datos empresariales almacenados en cualquiera de sus servidores? ¿Va a migrar su hardware de almacenamiento, así como sus servidores? ¿Es sus datos empresariales respaldados con seguridad para prevenir la pérdida de datos que se produzcan durante el proceso de migración?
■
¿Ha desarrollado planes específicos para la migración de aplicaciones de servidor, como Microsoft Exchange, Microsoft SQL Server y Microsoft SharePoint? La migración de aplicaciones de servidor de este tipo requiere una planificación y consideración especial. Buscar en la biblioteca de TechNet si necesita más información sobre la planificación de la migración de aplicaciones de servidor de Microsoft.
■
¿Ha discutido sus planes de migración con los vendedores de las aplicaciones de servidor de terceros que ha desplegado en su entorno? ¿El nuevo sistema operativo requiere una nueva versión de estas aplicaciones?
■
¿Ha desarrollado planes para asegurar las aplicaciones y servicios de negocios permanecen a disposición de los usuarios durante el proceso de migración?
■
¿Ha preparado las expectativas de la población de usuarios en relación con las posibles interrupciones del servicio o problemas que puedan surgir durante la migración?
■
¿Ha establecido un horario para cuando se le realizando sus migraciones y en qué orden se le migrar sus servidores?
■
¿Ha asignado responsabilidades a los diferentes miembros de su equipo de migración?
■
¿Ha probado a fondo sus planes de migración de servidor en un entorno de prueba que refleja la red de producción actual?
Clases, y función de migración Un aspecto clave de la migración del servidor es la migración de las funciones de servidor, características, configuración del sistema operativo y los datos. Para migrar los roles y funciones de las versiones anteriores de Windows Server para Windows Server 2012, puede utilizar las herramientas de migración de Windows Server. Estas herramientas incluyen la documentación de las mejores prácticas y están diseñados para garantizar el proceso de migración papel y la función va sin problemas y sin errores. Herramientas de migración de Windows Server se pueden instalar en los siguientes sistemas operativos:
16
■
Windows Server 2003 con Service Pack 2
■
Windows Server 2003 R2
■
Windows Server 2008, la opción de instalación completa
■
Opción de instalación completa de Windows Server 2008 R2
■
Opción de instalación Server Core de Windows Server 2008 R2
Capítulo1 2012
Preparación para Windows Server
■
Server con una opción de instalación GUI de Windows Server 2012
■
Opción de instalación Server Core de Windows Server 2012
El servidor de origen es el servidor va a migrar el rol o característica de, mientras que el servidor de destino es el servidor que va a migrar el rol o función para. Por ejemplo, el servidor de origen puede estar ejecutando una opción de instalación completa de Windows Server 2008 R2 y el servidor de destino podría estar en ejecución una opción de instalación Server Core de Windows Server 2012. Las herramientas de migración deben ser instalados en los servidores de origen y de destino, y usted debe ser un miembro del grupo Administradores en ambos servidores. Las siguientes rutas de migración son compatibles: ■
Migración entre x86 y arquitecturas x64
■
Migración entre máquinas físicas y máquinas virtuales
■
Migraciones Cruz-subred
Las siguientes rutas de migración no son compatibles: ■
La migración entre los servidores de origen y destino que tienen diferentes idiomas de interfaz de usuario del sistema.
■
Roles en la opción de instalación Server Core de Windows Server 2008 no se pueden migrar porque el Microsoft .NET Framework no está disponible en esta opción de instalación.
En las secciones siguientes muestran cómo se pueden realizar papel y la migración función.
Instalación de las herramientas de migración en el servidor de destino El siguiente procedimiento muestra cómo instalar y configurar las herramientas de migración en el servidor de destino que ejecuta Windows Server 2012. El objetivo es ser capaces de migrar un papel como el papel de servidor DHCP o los Windows Server Update Services (WSUS) papel de un servidor existente que ejecuta Windows Server 2008 R2 para el nuevo servidor con Windows Server 2012. 1.
Abra una sesión de Windows PowerShell con derechos elevados en un servidor que ejecuta Windows Server 2012 en su entorno.
2.
Ejecute el siguiente comando para instalar las herramientas de migración de Windows Server ofrecen en el servidor remoto que ejecuta Windows Server 2012 y nombrado server7: Si el servidor local que ejecuta Windows Server 2012 se inicia la sesión con una instalación Server Core, tipo powershell.exe antes de ejecutar el comando PowerShell solo se muestra. Si el servidor local que ejecuta Windows Server 2012 se inicia la sesión con una instalación completa, también puede instalar las herramientas de migración en el servidor remoto con el lanzamiento de la Agregar roles y características Asistente del Lección 1: Planificación para Windows Server 2012
Capítulo 1
17
Administrador de servidores. 3.
Abra un símbolo del sistema con privilegios elevados, escriba cmd en su elevada sesión de Windows PowerShell, y cambiar el directorio actual de la siguiente manera:
4.
Crear una carpeta de implementación del destinomediante la ejecución de la utilidad .exe SmigDeploy. Esta utilidad crea un paquete de instalación para realizar la migración y la sitúa en una nueva carpeta denominada C: \ Descargas \ donde depende de la versión del sistema operativo y la arquitectura del servidor de origen. Por ejemplo, si el equipo de origen tiene una arquitectura AMD64 y está ejecutando Windows Server 2008 R2, ejecute SmigDeploy .exe utilizando los siguientes parámetros:
Esto crea una nueva carpeta de implementación denominado C: \ Descargas \ SMT_ws08R2_amd64 en el servidor de destino y copia los archivos de la herramienta de migración a la carpeta. 5.
Copie la carpeta de implementación en la unidad local del equipo de origen que ejecuta Windows Server 2008 R2 mediante cualquier método apropiado. Para obtener más información sobre la instalación y el uso de las herramientas de migración de Windows Server en Windows Server 2012, consulte http://technet.microsoft.com/enus/library/jj134202 .
Instalación de las herramientas de migración del servidor de origen El siguiente procedimiento muestra cómo instalar y ejecutar las herramientas de migración en el servidor de origen que ejecuta Windows Server 2008 R2 a la que ya han copiado la carpeta de implementación del equipo de destino. Tenga en cuenta que las medidas adicionales podrían ser necesarias para la migración de ciertas funciones, como la función de Hyper-V, el enrutamiento y acceso remoto función Servicios, y otros. 1.
Abra una sesión de Windows PowerShell con derechos elevados, y ejecutar el siguiente comando para cargar el módulo Administrador de servidores:
2.
Instale las Herramientas de migración de Windows Server ofrecen mediante la ejecución de este comando:
3.
Tenga en cuenta que si el servidor de origen ejecuta un sistema operativo anterior, como Windows Server 2008 o Windows Server 2003, también es necesario instalar el Microsoft .NET Framework y Windows PowerShell en el equipo de origen y luego ejecutar SmigDeploy .exe en él para registrar las Herramientas de migración de Windows Server cmdlets en Windows PowerShell.
Ustedahora puede lanzar las herramientas de migración, ya sea el destino o servidor de 18
Capítulo1 2012
Preparación para Windows Server
origen. Por ejemplo, para iniciar desde un servidor de destino que ejecuta Windows Server 2012, haga clic en la migración de Windows Server Herramientas de baldosas en la pantalla de inicio y haga clic en Ejecutar como administrador en la barra de aplicación, como se muestra aquí:
Esto abre una sesión personalizada de Windows PowerShell desde el que puede ejecutar los diversos cmdlets de Herramientas de migración de Windows Server, como se muestra en la Figura 1-1.
FIGURA 1-1Viendo la lista de disponibles cmdlets de Herramientas de migración de Windows Server.
Para obtener ayuda sobre la sintaxis de estos cmdlets, utilice el cmdlet Get-Help. Para obtener más información sobre la instalación de las herramientas de migración de Windows Server en Windows Server 2008 R2 y versiones anteriores, consultehttp://technet.microsoft.com/en-us/library/dd379545(v=WS.10).aspx .
Lección 1: Planificación para Windows Server 2012
Capítulo 1
19
Resumen de la lección ■
Cada tipo de escenario de migración de infraestructura (greenfield, actualización bosque, entorno mixto, la consolidación de servidores, la nube privada, nube pública) tiene sus beneficios y desafíos para las organizaciones que desean tomar ventaja de las nuevas características y capacidades que se encuentran en Windows Server 2012.
■
Actualizaciones del bosque a Windows Server 2012 son ahora más sencillo que con las versiones anteriores de Windows Server, debido a la integración de Adprep .exe en el proceso de instalación de la función de AD DS.
■
Cuatro pasos clave para cualquier proyecto de migración de la infraestructura son las pruebas piloto, la evaluación, la migración del servidor, y el papel y la migración función.
■
Las herramientas de migración de Windows Server facilitan el proceso de migración de las funciones y características de las versiones anteriores de Windows Server en Windows Server 2012.
20
Capítulo1 2012
Preparación para Windows Server
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de las siguientes son las desventajas de la situación de migración mixta medio ambiente? (Elija todas las que correspondan.) A.
Te da la oportunidad de hacer las cosas bien desde el principio cuando se trata de la implementación de una infraestructura basada en Windows Server 2012.
B.
Algunas de las nuevas características y capacidades de Windows Server 2012 pueden no funcionar en absoluto, o sólo han limitado la funcionalidad, cuando se implementa este escenario de migración.
C.
Gestión de servidor podría ser más compleja debido a tener que utilizar herramientas separadas para administrar servidores que ejecutan Windows Server 2012 y los que ejecutan versiones del sistema anterior de Windows Server que operan.
D. Puede ayudar a su organización a mejorar la utilización del servidor y reducir los
gastos. 2.
¿Cuál de los siguientes no es una mejora que Microsoft ha hecho en Windows Server 2012 para aliviar algunas de las preocupaciones administradores a menudo tienen sobre la realización de mejoras forestales? (Elija todas las que correspondan.) A.
Adprep funcionalidad está ahora integrada en el proceso de instalación de AD DS.
B.
El nuevo proceso de instalación de AD DS incluye la validación prerrequisito para identificar errores potenciales antes de que comience la instalación.
C.
El Server 2012 nivel funcional de Windows bosque añade varias características nuevas a un bosque.
D. El nivel funcional de dominio de Windows Server 2012 agrega una sola nueva
característica a un dominio. 3.
¿Cuál de las siguientes rutas de migración no está soportada por las herramientas de migración de Windows Server? A.
Migración entre x86 y arquitecturas x64
B.
La migración entre los servidores de origen y destino que tienen diferentes idiomas de interfaz de usuario del sistema
C.
Migración entre máquinas físicas y máquinas virtuales
D. Migraciones Cruz-subred 4.
Qué cmdlet de Windows PowerShell para las Herramientas de migración de Windows Server se puede utilizar para obtener el conjunto de todas las Lección 1: Planificación para Windows Server 2012
Capítulo 1
21
características de Windows que se pueden migrar desde el servidor local o desde un almacén de migración? A.
Export-SmigServerSetting
B.
Send-SmigServerData
C.
Get-SmigServerFeature
D. Import-SmigServerSetting
22
Capítulo1 2012
Preparación para Windows Server
Lección 2: Evaluación de la disposición de su entorno La fase de evaluación es un paso importante de cualquier proyecto de migración del servidor. Durante esta fase, se evaluará la disposición de su entorno para la implementación de Windows Server 2012. Un aspecto clave de esta fase es determinar si su actual hardware de servidores y hardware que va a comprar, apoyará la ejecución de los diversos roles de servidor de Windows Server 2012 y características que necesita para implementar en su entorno. Como esta lección demuestra, la realización de una evaluación de este tipo puede hacerse de diversas maneras utilizando diferentes tipos de herramientas.
Describa 2.012 ediciones y requisitos del sistema de Windows Server. Explique cómo realizar una evaluación manual de una infraestructura de servidores, y describir algunas de las herramientas que utilizaría para hacer esto. Describir las capacidades del Microsoft Assessment and Planning (MAP) Toolkit 7 0.0 para realizar el inventario, evaluación y presentación de informes. Describir las seis fases que intervienen en el uso del MAP Toolkit para realizar una evaluación de su entorno. Describir algunos de los asistentes que el MAP Toolkit utiliza para recopilar datos acerca de su medio ambiente. Describir los informes de ejemplo que el MAP genera. Describir algunas otras herramientas y metodologías que se pueden utilizar para evaluar la disposición de su entorno para la migración a Windows Server 2012.
Manual de evaluación Si su infraestructura de servidor actual es muy pequeña (sólo un puñado de servidores), puede realizar una evaluación manual mediante la documentación que se incluye con el hardware del servidor, visualización y grabación de información del BIOS del servidor, exportar la configuración del sistema infor- mación utilizando msinfo32 .exe , inventario de roles y funciones con el cmdlet Get-WindowsFeature de Windows PowerShell, y realizando el mismo tipo de procedimientos. Una vez que haya recopilado la información acerca de sus servidores, puede validarlos contra los requisitos de hardware para las diferentes ediciones de Windows Server 2012.
Lección 2: Evaluación de la disposición de su entorno
Capítulo 1
19
Ediciones de Windows Server 2012 Microsoft ha simplificado el modelo de licencia con Windows Server 2012 mediante la eliminación de la edición Enterprise de versiones anteriores de Windows Server. Además, las ediciones Standard y Datacenter que están diseñados para organizaciones medianas y grandes tienen ahora la paridad función, y ambos están autorizados por licencia de procesador más cliente de acceso (CAL). La única diferencia entre las ediciones Standard y Datacenter son los derechos de virtualización incluidas con la licencia: ■
Edición Standard proporciona funcionalidad completa de Windows Server con dos instancias virtuales.
■
Edición Datacenter proporciona funcionalidad completa de Windows Server con instancias virtuales ilimitadas.
Además de las ediciones Standard y Datacenter, también hay otras dos ediciones de Windows Server 2012 disponibles que están diseñados para un uso más especializado: ■
Edición Essentials, que está destinado a entornos de pequeñas empresas e incluye una interfaz más sencilla, conectividad preconfigurado a los servicios basados en la nube, un límite de la cuenta de 25 usuarios, y no hay derechos de virtualización
■
Edición de la Fundación, que es un servidor de propósito general económica lanzado por los canales de OEM y tiene un límite de la cuenta de 15 usuarios y no hay derechos de virtualización
Requisitos del sistema Los requisitos mínimos del sistema para la instalación de las ediciones Standard y Datacenter de Windows Server 2012 son los siguientes:
20
■
La 1 0.4-GHz, 64bit proprocesador
■
512 MB de RAM
Capítulo1 2012
Preparación para Windows Server
■
32 GB de espacio disponible en disco
■
Una tarjeta de adaptador de red
■
Un adaptador de gráficos que soporta 800 por 600 o de mayor resolución
Tenga en cuenta que el rendimiento depende de hardware y servidores tendrán que superar estos requisitos mínimos para proporcionar un rendimiento aceptable en la mayoría de los escenarios. Por ejemplo, si usted planear sobre la instalación MAPA 7 0.0 en el servidor para realizar una evaluación de su entorno, necesitará hardware del sistema que cumpla con los siguientes requisitos mínimos: ■
La doble núcleo, 1 0.5-GHz proprocesador
■
2 0.0 GB oF RAM
■
1 GB de espacio disponible en disco
■
Una tarjeta de adaptador de red
■
Un adaptador de gráficos de 1024 x 768 o de mayor resolución
Además, el inventario, la evaluación y la presentación de informes de rendimiento del MAP se basan principalmente en la velocidad de la CPU y la cantidad de memoria RAM disponible del equipo en el que está instalado MAP.
Catálogo de Windows Server Si usted planea en la compra de nuevo hardware del sistema y la implementación de Windows Server 2012 en dicho hardware, se puede evaluar la preparación del nuevo hardware antes de comprarlo mediante el uso de la página web de catálogo de Windows Server se muestra en la Figura 1-2, que identifica el sistema y el hardware periférico de diferentes proveedores que se ha certificado para Windows Server 2012. Para obtener más información, consultehttp://www.windowsservercatalog.com .
Lección 2: Evaluación de la disposición de su entorno
Capítulo 1
21
FIGURA 1-2El sitio web de catálogo de Windows Server.
Uso MAP Toolkit Microsoft Evaluación y Planificación (MAP) Toolkit 7 0.0 es un inventario, evaluación y presentación de informes herramienta que puede utilizar para evaluar su infraestructura de TI actual y determinar las tecnologías de Microsoft adecuadas para sus necesidades empresariales. El kit de herramientas MAP utiliza Windows Management Instrumentation (WMI), Active Directory Domain Services (AD DS), proveedor de SMS, y otras tecnologías para recopilar datos de su entorno y de inventario de hardware, software y sistemas operativos. MAPA hace esto sin necesidad de instalar ningún software agente en los dispositivos de destino. Mapa luego le proporciona un análisis de los datos recogidos para ayudarle a planear para la migración del servidor, de actualización de escritorio, la consolidación de servidores mediante la virtualización o cloud-capacidad y planificación de la migración. El MAP Toolkit puede simplificar el proceso de planificación para la migración a las siguientes plataformas de Microsoft:
22
■
Windows Server 2012
■
Windows Server 2008 R2
Capítulo1 2012
Preparación para Windows Server
■
Hyper-V
■
Hyper-V R2
■
Microsoft Private Cloud Fast Track
■
Windows 8
■
Windows 7
■
Microsoft Office 2010
■
Microsoft Office 365
■
Internet Explorer 9
■
Plataforma Windows Azure
■
Microsoft SQL Server 2012
Preparación para utilizar el kit de herramientas Como muestra la Figura 1.3, hay seis fases que intervienen en el uso del MAP Toolkit para realizar una evaluación de su entorno. Las primeras cuatro fases se describen los pasos que debe realizar antes de ejecutar el kit de herramientas: ■
Fase 1: Elija ObjetivosFamiliarizarse con los diferentes inventario, la evaluación, la capacidad de planificación y seguimiento de escenarios de uso de software con el apoyo del MAP Toolkit. Decida qué magos de usar y lo selecciones de hacer en estos asistentes.
■
Fase 2: Recopilar RequisitosEl MAP Toolkit utiliza diversos protocolos de recogida para comunicarse con dispositivos de la red para recoger datos a utilizar en la realización de las distintas evaluaciones. Debido a que las comunicaciones realizadas por estos protocolos están sujetos a los ajustes de administración y seguridad de su entorno, debe reunir las cuentas de usuario y contraseñas necesarias para conectar y con éxito un inventario de los dispositivos en su entorno antes de ejecutar el kit de herramientas.
■
Fase 3: Preparar para el Medio AmbienteEl MAP Toolkit utiliza varios protocolos de comunicación diferentes en base a sus objetivos y cómo se configura el medio ambiente. Estos incluyen WMI, Servicios de dominio de Active Directory, los comandos de SQL Server, los servicios Web de VMware, y SSH con comandos de shell remotos. En la Fase 3, se preparar el entorno para asegurarse de que el kit de herramientas puede conectar y reunir información de los equipos de destino en su entorno con éxito.
■
Fase 4: Instale ToolkitDescargar e instalar el kit de herramientas mediante las opciones que mejor se adaptan a su medio ambiente y metas. El kit de herramientas MAP está disponible como una descarga gratuita desde el Centro de descarga de Microsoft enhttp://www.microsoft.com/en-us/download /details.aspx?&id=7826 .
Lección 2: Evaluación de la disposición de su entorno
Capítulo 1
23
Fase 1:
Fase 2:
Fase 3:
Fase 4: Instalar
Fase 5:
Fase 6:
FIGURA 1-3Las seis fases que intervienen en la realización de una evaluación usando el kit de
herramientas MAP.
Correr el kit de herramientas Las dos últimas fases del proceso de evaluación describen cómo ejecutar el kit de herramientas MAP frente a las metas que ha identificado al comienzo del proceso: ■
Fase 5: Recoger datosInicie la consola de MAP Toolkit y haga clic en los botones para las dos primeras opciones que se muestran en la Figura 1-4 bajo pasos para completar para iniciar el proceso de recopilación de datos para su entorno. Al seleccionar estas opciones lanzamientos de las siguientes dos magos: ■
Asistente de Evaluación Inventario YUtilice este asistente para seleccionar primero el escenario de inventario, seleccione su método de descubrimiento, y proporcionar las credenciales necesarias para conectar e inventario de los dispositivos de destino.
■
Asistente de métricas de rendimientoUtilice este asistente junto a recopilar datos de rendimiento, tales como CPU, memoria, red y la información del disco-utilización. El MAP Toolkit permite recopilar estos datos para servidores y clientes de Windows, así como para los servidores basados en Linux. El kit de herramientas y luego utiliza los datos de rendimiento recogidos para la planificación de la capacidad para la consolidación de servidores, virtualización de escritorio, Microsoft Private Cloud Fast Track, la migración de aplicaciones Azure, y base de datos Microsoft planificación Appliance Consolidación.
■
Fase 6: Revisión InformesEl MAP Toolkit puede generar informes y propuestas que son específicos para la evaluación de la caja de herramientas realizó personalizados. Por ejemplo, el paquete Server 2012 Informe de evaluación de hardware de Windows resume la disponibilidad del hardware de servidores para una migración a Windows Server 2012 e indica si son capaces de ejecutar Windows Server 2012.
24
Capítulo1 2012
Preparación para Windows Server
FIGURA 1-4 MAP Toolkit opciones de la consola para el lanzamiento de los asistentes y realizar
otras tareas de configuración.
Los informes de muestra La Figura 1-5 muestra un extracto de un servidor 2012 de Windows propuesta de Evaluación de la preparación de la muestra generada por el MAP Toolkit. Esta propuesta se presenta en forma de un documento de Microsoft Word (archivo .docx) que contiene lo siguiente: ■
Una sección Información general Ejecutivo que resume en que su organización es ahora y se esbozan algunos de los beneficios potenciales de la nube de la optimización de su infraestructura de TI con Windows Server 2012.
■
Una sección de resultados de la evaluación que resume la disposición de Windows Server 2012 de su organización y proporciona un análisis detallado y recomendaciones acerca de los servidores, sistemas operativos, y las funciones de servidor inventariados.
■
Apéndices que contienen información sobre los requisitos del sistema del servidor 2012 de Windows y reportan las hojas de trabajo.
Lección 2: Evaluación de la disposición de su entorno
Capítulo 1
25
FIGURA 1-5Una propuesta Server 2012 Evaluación de la preparación de Windows muestra generada
por el MAP Toolkit.
Figura 1-6 muestra un extracto de una muestra de Windows Server 2012 Evaluación Resumen generado por el MAP Toolkit. Esta propuesta se presenta en forma de un libro de Microsoft Excel (.xlsx archivo) que tiene cuatro hojas de trabajo: ■
ResumenMuestra el número de servidores físicos y máquinas virtuales inventariados, servidores que ejecutan versiones anteriores de Windows Server, los servidores que ejecutan Hyper-V, y los servidores que cumplan los requisitos mínimos del sistema para la instalación de Windows Server 2012
■
AssessmentValues Muestra los requisitos del sistema Windows Server 2012 utilizados enla realización de la evaluación, junto con cualquier otro requisito que ha especificado para la evaluación
■
ServerAssessmentEnumera la información obtenida de cada sistema de inventariado, incluyendo el nombre del equipo, el estado de WMI, tipo de máquina, dirección IP, subred, sistema operativo actual, nivel de Service Pack, actual Windows Server 2012 de preparación, y otras recomendaciones
■
26
Capítulo1 2012
ServerRolesSummary Resume las funciones de servidor desplegados actualmente en sumedio ambiente; el sistema operativo o de los sistemas, el número de servidores físicos, y Preparación para Windows Server
número de máquinas virtuales cada función se ejecuta en; y cualquier recomendación con- relativa a la migración de estas funciones a Windows Server 2012
FIGURA 1-6Una muestra de Windows Server 2012 Evaluación Resumen generado por el MAP
Toolkit.
Otras herramientas y metodologías Además de utilizar el MAP y SCCM, hay otras herramientas y metodologías que se pueden utilizar para evaluar la disposición de su entorno para la migración a Windows Server 2012. Las herramientas que puede utilizar son los siguientes: ■
System Center Configuration Manager (SCCM)System Center ConfigurationManager proporciona una solución integral para el cambio y la gestión de configuración para la plataforma de Microsoft. SCCM permite implementar sistemas operativos, software Ejercicios de práctica Capítulo 1
31
aplicaciones y actualizaciones de software en toda su organización; controlar inventario de hardware y software; controlar y remediar las computadoras para ajustes de cumplimiento; e incluso administrar de forma remota las computadoras. Con SCCM 2012 SP1, puede obtener información detallada sobre el hardware de dispositivos de cliente en su organización, incluyendo los servidores administrados por SCCM y, a continuación, utilizar esta información para determinar Windows Server 2012 migración disposición. SCCM inventario de hardware se ejecuta en dispositivos administrados por SCCM acuerdo con un calendario que especifique en la configuración del cliente en el dispositivo. Para obtener más información sobre cómo realizar el inventario usando SCCM 2012, consultehttp://technet.microsoft.com/en-us/library/gg682202 . ■
Kit de herramientas de compatibilidad de aplicaciones (ACT)Esta herramienta de gestión del ciclo de vida libre de Microsoft le ayuda a analizar su cartera de aplicaciones, sitios web y ordenadores; permite implementar medidas de mitigación automatizadas para los problemas de compatibilidad conocidos; y le permite crear cuñas personalizados para los nuevos problemas de compatibilidad es posible identificar. Para obtener más información sobre la gestión de la compatibilidad de aplicaciones en plataformas Windows y para descargar la última versión de ACT, consultehttp://technet.microsoft.com/en-us/windows/ aplicación compatibility.aspx .
■
■
Productos de tercerosSi usted está usando un tercero, productos de gestión de sistemas para la gestión de la infraestructura de hardware y software de su organización, probablemente será capaz de utilizar el producto para evaluar la disposición de su entorno para la migración a Windows Server 2012, a condición de que su producto de gestión de sistemas está actualizado. También hay productos de inventario y evaluación dedicados terceros disponibles de diferentes fabricantes que puede utilizar si lo desea. Participar ayuda externaSi usted siente que necesita ayuda para evaluar la disposición de su entorno para la migración a Windows Server 2012, puede participar Microsoft Consulting Services (MCS) y / o Servicios de Microsoft Premier Support para ayudarle con este proceso, y también con la propia migración si siente que esto es necesario. Para obtener más información, consultehttp://www.microsoft.com/microsoftservices/en/us/home.aspx .
Resumen de la lección ■
Si su infraestructura de servidor actual es muy pequeña, se puede realizar una evaluación manual de su Server 2012 migración disposición de Windows.
■
28
Un manual de evaluación se puede realizar mediante el uso de la documentación suministrada por el proveedor, herramientas integradas, la información acerca de Windows Server 2012 ediciones y requisitos del sistema en el sitio web de Microsoft, y el catálogo de Windows Server.
Capítulo1 2012
Preparación para Windows Server
■
Para los entornos más grandes, el MAP Toolkit le ayuda a realizar el inventario, la evaluación y la presentación de informes para que pueda evaluar la preparación de su entorno para la migración a Windows Server 2012.
■
La evaluación de su entorno mediante el MAP Toolkit consta de seis fases: la elección de objetivos, reuniendo los requisitos, que preparan su entorno, la instalación de la caja de herramientas, la recogida de datos y generación de informes y revisión.
■
UstedTambién puede utilizar el Administrador del sistema Centro de configuración, Application Compatibility Toolkit, productos de terceros, e incluso ayuda externa para evaluar su preparación para la migración del servidor 2012 de Windows.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Qué herramienta puede ayudar a asegurarse de que el nuevo hardware que usted compra funcione correctamente con Windows Server 2012? A.
The msinfo32 .exe utilidad
B.
El cmdlet Get-WindowsFeature
C.
El kit de herramientas de compatibilidad de aplicaciones
D. El catálogo de Windows Server 2.
Durante cuál de las seis fases de la realización de una evaluación usando el kit de herramientas MAP aseguraría usted que la guía se puede conectar y reunir información de los equipos de destino en su entorno con éxito? A.
Fase 2: Recopilar Requisitos
B.
Fase 3: Preparar para el Medio Ambiente
C.
Fase 4: Instale Toolkit
D. Fase 5: Recoger datos 3.
Al generar informes y propuestas después de la realización de una evaluación de la preparación Server 2012 Windows utilizando el kit de herramientas MAP, ¿dónde se puede encontrar información sobre la dirección IP y el sistema operativo actual instalado en cada sistema de inventariado? A.
En la sección de resultados de la evaluación del documento de propuesta de Evaluación de la preparación
B.
En la hoja de resumen del libro Resumen de la evaluación
C.
En la hoja de trabajo ServerAssessment del libro Resumen de la evaluación
D. En la hoja de trabajo ServerRolesSummary del libro Resumen de la evaluación Ejercicios de práctica Capítulo 1
31
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Utilizando el MAP Toolkit para realizar una evaluación de la preparación de Windows Server 2012 de su servidor de prueba
■
Realización de una actualización en contexto a Windows Server 2012, y familiarizarse con la nueva pantalla de inicio de Windows Server 2012
A realizar los siguientes ejercicios, se necesita un sistema de servidores disponibles para propósitos de prueba que cumple los requisitos mínimos de hardware para la instalación de Windows Server 2012. Este servidor también debe cumplir con los siguientes requisitos adicionales: ■
El hardware del sistema debe cumplir los requisitos mínimos para la instalación de la versión 7 0.0 del Microsoft Assessment and Planning (MAP) Toolkit. Para obtener más información sobre estos requisitos, consultehttp://www.microsoft.com/en-us/download/ details.aspx? & id = 7826.
■
El servidor debe tener instalado Windows Server 2008 SP1 R2 o Windows Server 2008 Service Pack 2 instalado. Si es necesario, puede descargar una copia de evaluación de Windows Server 2008 R2 SP1 desde el Centro de Evaluación en TechNethttp://technet.microsoft.com/en-us/ evalcenter / bb291020.aspx.
■
El servidor debe ser un servidor independiente que pertenece a un grupo de trabajo.
■
La red en la que se encuentra el servidor deben tener conexión a Internet y el servidor se deben configurar con una dirección IP estática, máscara de subred, puerta de enlace predeterminada y los servidores DNS primario y secundario que permiten al servidor para acceder a Internet.
■
Se recomienda que el servidor sea un servidor físico (no una máquina virtual) a los efectos de realizar los ejercicios en este capítulo. Si usted decide, sin embargo, para ejecutar el servidor como una máquina virtual utilizando Hyper-V en Windows Server 2008 R2 SP1, asegúrese para instalar la actualización descrita en http://support.microsoft.com/kb/2526776 de modo que usted será capaz de actualizar el sistema operativo invitado de la máquina virtual de Windows Server 2012 como es requerido por uno de los ejercicios de práctica en este capítulo.
Usted También necesitará un equipo cliente que tiene Microsoft Office 2010 u Office 365 instalado para la visualización de los informes generados por el MAP Toolkit en uno de los ejercicios de práctica en este capítulo.
Ejercicio 1: Uso de la MAP Toolkit En este ejercicio,Vas adescargar e instalar MAPA 7 0.0 en el servidor de prueba. Usted será entoncesinventario de hardware y software en su servidor y determinar si Windows Server 2012 se puede instalar en el servidor. Para los fines de este ejercicio, el nombre del servidor se supone que es Server9. 1. 30
Capítulo1 2012
Instalar Server 2008 SP1 R2 de Windows o Windows Server 2008 SP2
en su sistema de prueba si usted no lo ha hecho todavía. Configurar el Preparación para Windows Server
servidor con una dirección IP estática, máscara de subred, puerta de enlace predeterminada y los servidores DNS primario y secundario para que el servidor tenga acceso a Internet. Aplicar todas las actualizaciones de software pendientes desde Windows Update a su servidor para que el servidor está completamente actualizado y conectarse de nuevo utilizando la cuenta de administrador local para el servidor. Instale una o más funciones de servidor en el servidor, como la función de servidor DHCP o Web Server (IIS). 2.
3.
Download MassachusettsP 7 0.0 a ustedr servirr from la Microsoft Download Center en http://www.microsoft.com/en-us/download/details.aspx?id=7826 Abierto el .htm readme para MAP, y asegúrese de que su servidor cumple todos los requisitos para instalar MAPA añadiendo todas las características necesarias y la instalación de cualquier requerida actualizaciones de software y paquetes de servicios.
4.
Haga doble clic en el Microsoft_Assessment_and_Planning_Toolkit_Setup.exe que presentar descargado en el paso 2 para iniciar el asistente de configuración.
5.
Siga las instrucciones del asistente, aceptando todos los valores predeterminados.
6.
Cuando finalice la instalación, haga clic en Finalizar para cerrar el asistente y abra la Microsoft Evaluación Y consola Planning Toolkit. 7. En el kit de herramientas de evaluación y planificación Microsoft cuadro de diálogo escribe TESTDB en el Nombre de campo y haga clic en Aceptar para crear una base de datos
de inventario para MAP. 8.
Una vez creada la base de datos de inventario, volverá a la página principal de datos de recopilación de la sección de inventario y evaluación de la consola MAP.
9.
En los pasos para completar la sección en el panel central de la consola, haga clic en Ir al lado de la Una opción Inventario Realizar. Esto inicia el Asistente de Evaluación Inventario Y.
10. En la página Escenarios de inventario de este asistente, seleccione los equipos
Windows y haga clic en Siguiente. 11. En la página de Métodos de descubrimiento, desactive la casilla de verificación Usar
Active Directory Domain Services (AD DS), seleccione la casilla Intervalo de direcciones Scan Una IP y haga clic en Siguiente. 12. En la página Intervalo de direcciones IP Una Scan, tanto en la dirección de inicio
y los campos de dirección final, escriba la dirección IP que ha asignado previamente a su servidor de prueba y haga clic en Siguiente. 13. Enla página de credenciales de todos los equipos,clicCrear, tipoServer9 \
Administradoren el campo Nombre de cuenta, escriba la contraseña de la cuenta de administrador en el campos Contraseña y Confirmar contraseña y, a continuación, haga clic en Guardar. 14. Haga clic en Siguiente dos veces y haga clic en Finalizar. Ejercicios de práctica Capítulo 1
31
15. Vea el progreso de la evaluación en el diálogo Estado, ya que se produce y, a
continuación, haga clic en Cerrar cuando la evaluación se ha completado. 16. Expanda el nodo del servidor en el panel de navegación y seleccione el nodo
Server 2012 Preparación de Windows para ver si los requisitos del sistema para instalar Windows Server 2012 se han cumplido por su servidor. 17. Haga clic en el Informe Generar / opción propuesta en el panel Acciones en el lado derecho de
la consola. Cuando se han generado la propuesta y libro, haga clic en Cerrar. 18. Abra Mis documentos en el Explorador de Windows y vaya a la carpeta TESTDB
dentro de la carpeta MAP. 19. Copie la propuesta (archivo .docx) y la evaluación (archivo .xlsx) informa que MAP
genera para un equipo cliente que tiene Microsoft Office 2010 u Office 365 instalado. 20. Abra la propuesta y evaluación de informes utilizando Word 2010 y Excel 2010 (o
Word Web App y Excel Web App), y ver el contenido de estos informes.
32
Capítulo1 2012
Preparación para Windows Server
Ejercicio 2: Realización de una actualización en contexto En este ejercicio, vamos a realizar una actualización en contexto de su servidor de prueba de su sistema operativo actual (Server 2008 SP1 R2 de Windows o Windows Server 2008 SP2) de Windows Server 2012. A continuación, utilice la instalación de Windows Server 2012 para familiarizarse con la nueva pantalla de inicio de Windows Server 2012. 1.
Inicie el servidor e inicie sesión utilizando la cuenta de administrador integrada.
2.
Inserte el soporte del producto de Windows Server 2012 en la unidad de DVD de su servidor y .exe de instalación de ejecución cuando se le solicite.
3.
Cuando aparezca el asistente de instalación de Windows, haga clic en Instalar ahora.
4.
Por obtener actualizaciones importantes para la página de instalación de Windows, haga clic en Ir en línea para instalar actualizaciones ahora (Recomendado). Siga las instrucciones si las actualizaciones para el programa de instalación están disponibles para su descarga.
5.
En la página Seleccione Sistema El operativo que desea instalar la página, seleccione el Windows Server 2012 (Server con una interfaz gráfica de usuario) opción.
6.
En la página Términos de licencia, de acuerdo a los términos de la licencia después de leerlos.
7.
En el tipo de instalación Qué desea? página, seleccione la actualización: Instalación de las viudas y mantener los archivos, la opción Ajustes y Aplicaciones.
8.
En la página Informe de compatibilidad, lee la información proporcionada.
9.
La página de Actualización de Windows muestra el progreso de su actualización en contexto. El sistema se reiniciará varias veces para completar el proceso de instalación.
10. Cuando se haya completado la instalación y la pantalla de inicio de sesión de
Windows Server 2012 se muestra, pulse Ctrl + Alt + Supr e inicie sesión utilizando la cuenta de administrador integrada. 11. Cuando se abra el nuevo Administrador de servidores, haga clic en Servidor Local
en el panel de navegación y ver las propiedades de su servidor. Vas a aprender más acerca de Administrador de servidores en el capítulo 3, "la gestión remota del servidor." 12. Mueva el puntero a la esquina inferior izquierda de la pantalla y haga clic en Inicio. 13. Haga clic en el azulejo llamado Escritorio. 14. Haga clic en el icono del Administrador de servidores en la barra de tareas para
maximizar el Administrador de servidores. 15. Mueva el puntero a la esquina superior derecha de la pantalla hasta que la
búsqueda, de inicio, y se muestran Ajustes encantos, y luego deslizar el puntero hacia abajo para mostrar los encantos Bar. Ejercicios prácticos sugeridos 1
Capítulo
33
16. Presione Esc para hacer los encantos Bar desaparecen. 17. Pulse la tecla de Windows + C para hacer los encantos de barras aparecen de
nuevo. 18. Haga clic en la Configuración de encanto para abrir Configuración y, a continuación,
haga clic en Información del servidor. El panel de control del sistema se abre mientras que la Charms Bar desaparece. Ver la información de su ordenador y luego cerrarla. 19. Pulse la tecla de Windows + I para abrir Ajustes de nuevo, y luego haga clic en
Ayuda. Tome un momento para explorar cómo funciona Ayuda, y luego cerrarla. 20. Pulse la tecla de Windows + Q para abrir el panel de búsqueda con el foco en Apps.
Tipo pintarY pulse Intro para abrir Microsoft Paint. Cierre el programa. 21. Mueva el puntero a la esquina inferior izquierda de la pantalla, haga clic en Inicio,
escriba pintarY pulse Intro para abrir Microsoft Paint. Cierre el programa. 22. Pulse la tecla de Windows + Q, tipofondo, Pulse la tecla de flecha abajo dos
veces, y luego pulse Intro para buscar ajustes relacionados con la palabra "fondo". Cambiar el fondo de escritorio debe ser seleccionado en los resultados de búsqueda, por lo pulse Intro y cambiar el fondo de escritorio para el color sólido blanco . 23. Haga clic en el icono de Windows PowerShell en la barra de tareas para abrir una
nueva sesión de Windows PowerShell. 24. Tiposhutdown -s -t 0Y pulse Intro para apagar el servidor.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo: ■
Práctica 1Si tiene un entorno de prueba con Active Directory desplegada y con servidores y clientes que ejecutan diferentes versiones de Windows, instale el kit de herramientas MAP en un servidor o cliente en el entorno y llevar a cabo algunos de los otros tipos de pruebas de evaluación y preparación para el apoyo de la caja de herramientas.
■
Práctica 2Utilice las herramientas de migración de Windows Server para migrar varias funciones de servidor de un servidor que ejecuta Windows Server 2008 R2 SP1 a otro servidor que tiene una instalación limpia de Windows Server 2012.
■
Práctica 3Lea el "Windows 8 Guía de supervivencia para los profesionales de TI" en el TechNet Wiki enhttp://social.technet.microsoft.com/wiki/contents/articles/7878.windows-8survival- guía-para-que-pros.aspx, Y probar cada una de las opciones que se describen en la instalación de Windows Server 2012.
34
Capítulo1 2012
Preparación para Windows Server
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Correctorespuestas: B y C A.
Incorrecto:La oportunidad de hacer las cosas bien desde el principio cuando se trata de la implementación de una infraestructura basada en Windows Server 2012 es una ventaja de la situación de migración greenfield, no el escenario entorno mixto.
B.
Correcto:Algunas de las nuevas características y capacidades de Windows Server 2012 se pueden implementar sólo cuando su entorno de Active Directory incluye los controladores de dominio que ejecutan Windows Server 2012. Estas características podrían no funcionar en absoluto, o sólo han limitado la funcionalidad, al implementar un escenario de migración mixta medio ambiente porque el esquema de Active Directory no se ha actualizado a Windows Server 2012.
C.
Correcto:Algunas de las herramientas de administración de servidor integradas en Windows Server 2012 y se incluyen en las Herramientas de administración remota del servidor (RSAT) para Windows 8 tendrá poca o ninguna funcionalidad en la gestión de los servidores que ejecutan versiones anteriores de Windows Server. O puede que tenga que instalar actualizaciones adicionales en los servidores que ejecutan versiones anteriores de Windows Server para administrar ellos utilizando las herramientas o RSAT de administración del servidor de Windows Server 2012 para Windows 8.
D. Incorrecto:La mejora de la utilización del servidor y reducir los costos es
un beneficio del enfoque de servidor de consolidación para la migración del servidor y no es relevante para un escenario de migración mixta medio ambiente. 2.
Respuesta correcta: C A.
Incorrecto:En Windows Server 2012, la funcionalidad Adprep está ahora integrada en el proceso de instalación de AD DS, que en muchos casos elimina la necesidad de ejecutar Adprep separado antes de introducir los controladores de dominio que ejecuten la nueva versión de Windows Server.
B.
Incorrecto:El nuevo proceso de instalación de AD DS incluye la validación prerrequisito para identificar errores potenciales antes de que comience la instalación. Por ejemplo, si el proceso de instalación determina queadprep / domainprepnecesita ser ejecutado para preparar el dominio, la verificación se realiza primero para asegurarse de que el usuario que inició el proceso tiene derechos suficientes para realizar la operación. Respuestas Capítulo 1
35
C.
Correcto:El Server 2012 nivel funcional de Windows bosque no añade ninguna nueva características a un bosque y garantiza únicamente que cualquier nuevo dominio añade al bosque operará automáticamente en el nivel funcional de dominio de Windows Server 2012.
D. Incorrecto:El nivel funcional de dominio de Windows Server 2012 agrega
una sola nueva característica a un dominio. Esta nueva característica se refiere al sistema de control dinámico de acceso (DAC) y por lo tanto es poco probable que afecte las aplicaciones y servicios existentes en su entorno. 3.
Respuesta correcta: B A.
Incorrecto:Las herramientas de migración de Windows Server soporta la migración entre arquitecturas x86 y x64.
B.
Correcto:Las herramientas de migración de Windows Server no admite la migración entre los servidores de origen y de destino que tienen diferentes idiomas de interfaz de usuario del sistema.
C.
Incorrecto:Las herramientas de migración de Windows Server soporta la migración entre equipos físicos y máquinas virtuales.
D. Incorrecto:Las herramientas de migración de Windows Server admite migraciones
cruzada de subred. 4.
Respuesta correcta: C A.
Incorrecto:Las exportaciones cmdlet Export-SmigServerSetting seleccionan las características de Windows y configuración del sistema operativo de la computadora local, y los almacena en un almacén de migración.
B.
Incorrecto:El cmdlet Send-SmigServerData migra carpetas, archivos y permisos asociados y comparten propiedades de un servidor de origen a un servidor de destino a través del puerto 7000. El servidor de destino debe estar en la misma subred que el servidor de origen y el cmdlet Receive-SmigServerData se debe ejecutar en el servidor de destino al mismo tiempo EnviarSmigServerData se ejecuta en el servidor de origen.
C.
Correcto:El cmdlet Get-SmigServerFeature obtiene el conjunto de todas las características de Windows que se pueden migrar desde el servidor local o desde un almacén de migración.
D. Incorrecto:Las importaciones cmdlet Import-SmigServerSetting seleccionan
las características de Windows y configuración del sistema operativo desde un almacén de migración, y las aplica en el equipo local.
Lección 2 1.
Respuesta correcta: D A.
36
Incorrecto: El msinfo32 utilidad .exe es útil para realizar una evaluación manual instalaciones de servidor de Windows existentes.
Capítulo1 2012
Preparación para Windows Server
B.
Incorrecto:El cmdlet Get-WindowsFeature es útil para realizar una evaluación manual de las instalaciones de Windows Server existentes.
C.
Incorrecto:El Application Compatibility Toolkit es útil para evaluar la compatibilidad de software existente con diferentes plataformas Windows.
D. Correcto:El Catálogo de Windows Server identifica sistema y hardware
periférico de diferentes proveedores que se ha certificado para Windows Server 2012. 2.
Respuesta correcta: B A.
Incorrecto:Durante la Fase 2: Reunir los requisitos, el kit de herramientas utiliza diversos protocolos de recogida para comunicarse con dispositivos de la red para recoger datos a utilizar en la realización de las distintas evaluaciones. Debido a que las comunicaciones realizadas por estos protocolos están sujetos a los ajustes de administración y seguridad de su entorno, debe reunir las cuentas de usuario y contraseñas necesarias para conectar y con éxito un inventario de los dispositivos en su entorno antes de ejecutar el kit de herramientas.
B.
Correcto:Durante la Fase 3: Preparar para el Medio Ambiente, el kit de herramientas utiliza varios protocolos de comunicación diferentes en función de sus objetivos y cómo se configura el medio ambiente. Estos incluyen WMI, Servicios de dominio de Active Directory, los comandos de SQL Server, los servicios Web de VMware, y SSH con comandos de shell remotos. Durante esta fase, se preparar el entorno para asegurarse de que el kit de herramientas se puede conectar con éxito y reunir información de los equipos de destino en su entorno
C.
Incorrecto:Durante la Fase 4: Instale Toolkit, descargar e instalar el kit de herramientas mediante las opciones que mejor se adaptan a su medio ambiente y metas.
D. Incorrecto:Durante la Fase 5: Recoger datos, inicie la consola de MAP
Toolkit y seleccione asistentes para comenzar el proceso de recopilación de datos para su entorno. 3.
Respuesta correcta: C A.
Incorrecto:La sección de resultados de la evaluación de la propuesta de Evaluación de la preparacióndocumento resume Windows Server 2012 la disposición de su organización, y proporciona un análisis detallado y recomendaciones acerca de los servidores, sistemas operativos, y las funciones de servidor inventariados.
B.
Incorrecto:La hoja de resumen del libro Resumen de la evaluación muestra que el número de servidores físicos y máquinas virtuales inventariados, servidores que ejecutan versiones anteriores de Windows Server, los servidores que ejecutan Hyper-V y servidores que cumplan los requisitos mínimos del sistema para la instalación de Windows Server 2012. Respuestas Capítulo 1
35
C.
Correcto:La hoja de trabajo ServerAssessment del libro Resumen de la evaluaciónmuestra los requisitos del sistema Windows Server 2012 utilizados en la realización de la evaluación, junto con cualquier otro requisito que ha especificado para la evaluación.
D. Incorrecto:La hoja de trabajo ServerRolesSummary del libro Resumen de la
evaluación se resumen las funciones de servidor actualmente desplegados en su entorno; el sistema operativo o de los sistemas, el número de servidores físicos, y el número de máquinas virtuales cada función se ejecuta en; y las recomendaciones relativas a la migración de estas funciones a Windows Server 2012.
38
Capítulo1 2012
Preparación para Windows Server
CAPITULO 2
Implementación de servidores anto a administrar una pequeña empresa con una sala de servidores en el back office o una de datos Centro para una gran empresa, la implementación de servidores es una parte clave de su trabajo. Aunque la instalación de un puñado de servidores todavía se puede hacer de forma manual, el aprovisionamiento de cientos o miles de cargas de trabajo de servidores en un centro de datos virtualizado es un asunto completamente diferente.
W
Las versiones anteriores de Microsoft Windows Server ofrecen una opción de instalación Server Core con una huella de mantenimiento reducido que hace que sea ideal para el despliegue de la empresa, pero las organizaciones más pequeñas a menudo optaron por la opción GUI porque era más fácil de configurar después de la instalación. Con Windows Server 2012 ahora apoyar la conversión posterior a la instalación entre el Server Core y GUI, sin embargo, Server Core ha convertido en la opción de instalación predeterminada para las organizaciones de todos los tamaños. Un paso clave en el proceso de planificación de aprovisionamiento de servidores es la creación de un laboratorio de construcción donde se puede construir y mantener las imágenes de referencia se le desplegar en el entorno de producción. Además de incluir Windows Server 2012, este tipo de imágenes también pueden incluir aplicaciones, actualizaciones de software y controladores de dispositivos necesarios para garantizar una exitosa instalación. Microsoft ofrece herramientas, algunos de ellos gratuitos, que las organizaciones pueden utilizar para la implementación de estrategias de implementación que pueden satisfacer sus necesidades. En este capítulo le proporciona los conocimientos básicos que necesitará para llevar a cabo su trabajo mediante la implementación de los servidores que ejecutan Windows Server 2012 utilizando las herramientas y mejores prácticas recomendadas por Microsoft.
Lecciones en este capítulo: ■
Lección 1: Opciones de instalación38
■
Lección 2: Preparación del laboratorio de construcción47
■
Lección 3: Creación de imágenes54
■
Lección 4: Implementación de imágenes67 37
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Usted necesitará Windows Server 2012 medio de instalación, ya sea en forma de un archivo .iso (Si va a realizar los ejercicios de práctica utilizando máquinas virtuales que se ejecutan en un host Hyper-V) o un DVD de arranque (si va a realizar los ejercicios de práctica que utilizan sistemas físicos).
■
Usteddebe tener un sistema de servidor disponible para propósitos de prueba que cumple los requisitos mínimos de hardware para la instalación de Windows Server 2012. El sistema de servidor debe tener ningún sistema operativo instalado, y puede ser un sistema físico o una máquina virtual que se ejecuta en un host de Hyper-V. La red en la que se encuentra el servidor deben tener conectividad a Internet.
■
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Lección 1: Opciones de instalación Elegir qué opción de instalación para implementar es una consideración importante en la planificación de la implementación de los servidores. Windows Server 2012 incluye nuevas capacidades para la conversión posterior a la instalación entre el Core Server y Server con una interfaz gráfica de usuario opciones de instalación. La plataforma también incluye una nueva opción de interfaz de servidor mínimo que puede proporcionar varios beneficios para algunos escenarios. Y una nueva función llamada Características On Demand permite administra- dores para eliminar completamente los archivos binarios de instalación de las funciones y características que no se necesitarán para sus servidores. Esta lección describe estas diferentes capacidades y cómo llevar a cabo la tarea de conversión.
Comprender las diferentes opciones de instalación y sus posibles beneficios. Comprender la nueva opción Minimal interfaz de servidor.
Utilice el Administrador de servidores o Windows PowerShell para convertir entre las opciones de instalación en una instalación que ejecuta Windows Server 2012. Uso de Windows PowerShell para convertir entre las opciones de instalación en un disco duro virtual en línea (VHD) de una máquina virtual en el que se ha instalado Windows Server 2012. Comprender las nuevas funciones en la capacidad de la demanda y sus posibles beneficios.
38
Capítulo2 Implementación de servidores
Descripción de las opciones de instalación Los administradores de entornos más pequeños de Windows Server en el pasado se han basado tradicionalmente en gran medida de las herramientas basadas en GUI para la administración de servidores, debido a la facilidad de uso de este tipo de herramientas. Scripting podría en ocasiones se han utilizado para algunas tareas repetitivas, tales como la realización de una creación mayor parte de las cuentas de usuario en Active Directory, pero la mayor parte de gestión del servidor se realiza a través de la interfaz gráfica de usuario en una de las siguientes maneras: ■
Al iniciar la sesión de forma interactiva en la consola de un servidor
■
By logging on remotely a un servirr ucantar Remoto Desktop CoConexion (Mstsc .exe)
■
Mediante el uso de las herramientas de administración remota del servidor
(RSAT) instalado en una estación de trabajo con el cambio hacia la centralización de la infraestructura de TI dentro de los centros de datos y cloud la informática, sin embargo, la mayoría de las organizaciones medianas y grandes ahora prefieren tratar la automatización como tanto la administración de Windows Server posible scripting usando. Con el apoyo mejorado de Windows PowerShell en Windows Server 2012, esta automatización se ha convertido en mucho más fácil.
La elección de una opción de instalación La opción de instalación predeterminada al instalar Windows Server 2012 es ahora la opción de instalación Server Core en lugar del servidor con una interfaz gráfica de usuario (antes llamado Full) opción como en las versiones anteriores de Windows Server. Las razones de este cambio son los siguientes: ■
Server Core requiere menos espacio de disco que servidor con una interfaz gráfica de usuario, que puede ser importante en los centros de datos que utilizan la virtualización para consolidar múltiples cargas de trabajo de servidores virtualizados por máquina host físico.
■
Server Core tiene una superficie de ataque más pequeña, lo que hace que sea más seguro para centro de datos y cloud computing.
■
Server Core requiere menos actualizaciones de software, lo que significa menos gastos de mantenimiento.
■
Ahora, los administradores pueden cambiar entre diferentes opciones de instalación después de que Windows Server 2012 se ha desplegado, lo que significa que ahora puede cambiar sus instalaciones Server Core para servidor con una instalación GUI sin tener que borrar y volver a instalar.
Lo que esto significa es que los administradores siempre deben instalar la opción Server Core cuando la implementación de Windows Server 2012 a menos que tenga una razón de peso para la instalación del servidor con una opción de interfaz gráfica de usuario en su lugar. Lección 1: Opciones de instalación
Capitulo 2
39
Gestión de servidores en entornos pequeños
L a
dministrators en entornos pequeños que tienen sólo unos pocos servidores todavía pueden aprovechar todos los beneficios que vienen de ejecutar el Server Core instala-
ción, incluso si no se sienten seguros de trabajar desde la línea de comandos. Pueden hacerlo siguiendo estos pasos:
1. Instalar Windows Server 2012 en los servidores utilizando el servidor con una opción de instalación GUI.
2. Realizar toda la configuración inicial del servidor utilizando las herramientas visuales disponibles en esta opción de instalación.
3. Ejecute el comando Uninstall-WindowsFeature Servidor-Gui-mgmt-Infra Restart Windows PowerShell para convertir servidor de los servidores con una instalación de GUI para una instalación Server Core como se describe más adelante en esta lección.
4. Instalar las herramientas de administración remota del servidor (RSAT) para Microsoft Windows 8 en un equipo cliente, y el uso de estas herramientas visuales convenientes para la gestión de los servidores. Este procedimiento hace que sea fácil para tales administradores configurar sus servidores al mismo tiempo que les permite tomar ventaja de la superficie de ataque más pequeña, el servicio de los gastos generales y los requisitos de espacio en disco de la opción Server Core.
Interfaz Mínimo servidor Además de las dos opciones de instalación (Core Server y Server con una interfaz gráfica de usuario) que puede elegir al implementar Windows Server 2012, también existe una tercera opción de instalación disponible en Windows Server 2012 llama la Interfaz Mínimo Server. Esta nueva opción de instalación se puede configurar sólo después de la implementación mediante el Administrador Server o Windows PowerShell. Tiene toda la funcionalidad de servidor con una interfaz gráfica de usuario a excepción de las siguientes capacidades, que no se incluyen: ■
Interfaz de usuario de escritorio (escritorio tradicional de Windows)
■
Interfaz de usuario de Windows 8 (pantalla de inicio)
■
Explorador de Windows
■
Explorador De Internet
■
Algunas de las utilidades del Panel de control
La instalación mínima de interfaz de servidor tiene una huella de mantenimiento menor que el servidor con una instalación de GUI, pero los administradores todavía puede utilizarlo para ejecutar herramientas de gestión GUI locales para administrar un servidor. 40
Capítulo2 Implementación de servidores
Conversiónentre las opciones de instalación Ustedpuede utilizar Windows PowerShell o, en algunos casos, la nueva consola de Administrador del servidor incluido en Windows Server 2012 para convertir entre diferentes opciones de instalación. Por ejemplo, para utilizar el Administrador de servidores para convertir entre un servidor con una instalación de GUI y una instalación mínima de interfaz de servidor, que lanzaría los roles y funciones remotas Mago y quitar la característica gráfica Shell Server que ves seleccionado en la Figura 2-1.
FIGURA 2-1Conversión de un servidor con una instalación de GUI para una instalación mínima de
interfaz de servidor.
Como muestra la Figura 2-1, servidor con una instalación de GUI de Windows Server 2012 tienen dos características adicionales instalados que no están instalados en instalaciones Server Core: ■
Herramientas de administración gráficas e infraestructuraEsta característica incluye varioscomponentes de la infraestructura y los componentes que proporcionan la interfaz Mínimo servidor que soporta herramientas de gestión GUI, tales como consolas de MMC, pero no incluyen el Explorador de Windows, Internet Explorer, o en la pantalla de inicio. El nombre de Windows PowerShell para esta función es
■
ServidorGráfica ShellEsta característica incluye componentes que proporcionan la interfaz gráfica de usuario completa, como el Explorador de Windows, Internet Explorer, y la pantalla de inicio. El nombre de Windows PowerShell para esta función es
Además, una característica llamada Experiencia de escritorio opcionalmente se puede instalar en Windows 8 para proporcionar características tales como temas de escritorio, administración de fotos, y Windows Media Player. El nombre de Windows PowerShell para esta función es de escritorio en la experiencia. Lección 1: Opciones de instalación
Capitulo 2
41
El uso de Windows PowerShell En la mayoría de casos, los administradores querrán usar Windows PowerShell para convertir entre las diferentes opciones de instalación, especialmente si se están administrando servidores remotos en un centro de datos o infraestructura como un entorno de nube de servicio (IaaS). Los dos cmdlets de Windows PowerShell utilizados para la conversión entre diferentes opciones de instalación de Windows Server 2012 son los siguientes: ■
■
Install-WindowsFeatureEste cmdlet se puede usar generalmente para instalar una o más funciones, servicios de función o características. El cmdlet también reemplaza el cmdlet mayores Add-WindowsFeature que se utilizó en versiones anteriores de Windows Server, pero Add-WindowsFeature todavía permanece como un alias para el cmdlet más reciente. Desinstalar-WindowsFeatureEste cmdlet se puede usar en general para eliminar una o más funciones, servicios de función o características. El cmdlet también reemplaza a la más antigua cmdlet Remove-WindowsFeature que se utilizó en versiones anteriores de Windows Server, pero Remove-WindowsFeature todavía permanece como un alias para el cmdlet más reciente.
Tanto de los cmdlets anteriores se puede utilizar para instalar o desinstalar características para cualquiera de los siguientes: ■
Operando instalaciones de Windows Server 2012
■
Discos duros virtuales (VHD) Desconectado en la que Windows Server 2012 se ha
instalado Tenga en cuenta que la instalación de una característica particular en una instalación de Windows o fuera de línea VHD, la binarios cuentan primero deben estar disponibles para la instalación. La mayoría de los binarios de características están disponibles localmente en la tienda de lado a lado (% windir% \ WinSxS carpeta) en las instalaciones de Windows Vista y versiones posteriores. Tenga en cuenta, sin embargo, que cuando se realiza una instalación limpia de Windows Server 2012 utilizando la opción de instalación Server Core, los binarios de función para las gráficas de herramientas de gestión y característica Infraestructura y función de servidor gráfico Shell no se celebran en el lateral locales a lado tienda de una instalación Server Core. Esto significa que si desea instalar estas características en una instalación Server Core, debe especificar una ubicación alternativa para sus binarios, por ejemplo, un archivo .wim montada de una instalación del mismo nivel de Service Pack de Windows Server 2012. Alternativamente, puede permitir que los binarios de función para descargar e instalar desde Windows Update, aunque esto puede tomar algún tiempo con los binarios de características más grandes. Estos dos métodos para obtener los binarios de características que no están disponibles en la tienda local de lado a lado se demuestran en uno de los ejercicios de práctica en este capítulo.
Lección 1: Opciones de instalación
Capitulo 2
43
La conversión de Server Core para servidor con una interfaz gráfica de usuario Ausar Windows PowerShell para convertir una instalación Server Core de Windows Server 2012 a un servidor con una instalación de GUI, ejecute el siguiente comando:
La ruta C: \ MountDir \ windows \ WinSxS para el parámetro -Fuente en el comando anterior especifica un servidor montado con una imagen del GUI en el archivo install.wim en la carpeta \ sources de su Servidor 2.012 medios de instalación de Windows. Como alternativa, puede permitir que los binarios de características necesarias para ser descargadas e instaladas desde Windows Update al omitir el parámetro -Fuente de la siguiente manera: Tenga en cuenta que si antes que convirtió un servidor con una instalación de GUI para Server Core y no quitó los binarios de estas características, los binarios permanecerán en escena en la carpeta WinSxS y por lo tanto no necesitan ser descargado desde Windows Update.
La conversión de Core Server para Interfaz Mínimo servidor Ausar Windows PowerShell para convertir una instalación Server Core de Windows Server 2012 a una instalación mínima de interfaz de servidor, utilice este comando:
44
La explicación del parámetro -Fuente es el mismo como se señaló anteriormente. Para descargar e instalar los binarios de función de actualización de Windows en lugar de un montados localmente imagen .wim, utilice este comando: Capítulo2 Implementación de servidores
La conversión de servidor con una interfaz gráfica de usuario de Server Core Ausar Windows PowerShell para convertir un servidor con una instalación de GUI de Windows Server 2012 a una instalación Server Core, ejecute el siguiente comando:
Lección 1: Opciones de instalación
Capitulo 2
45
La conversión de servidor con una interfaz gráfica de usuario de interfaz Mínimo servidor Ausar Windows PowerShell para convertir un servidor con una instalación de GUI de Windows Server 2012 a una instalación mínima de interfaz de servidor, utilice este comando:
de Windows Server 2012?
La conversión entre las opciones de instalación en línea VHD A convertir un disco duro virtual en línea en el que se ha instalado una instalación Server Core de Windows Server 2012, ejecute Install-WindowsFeature con el parámetro -Fuente como se indica anteriormente, sino también incluir el parámetro -vhd para especificar la ruta de acceso al archivo .vhd. Por ejemplo, considere una máquina virtual denominado server6 cuyo sistema de accionamiento es un VHD ubicado en la siguiente carpeta del host Hyper-V: Si la máquina virtual está en línea (detenido), puede convertir la instalación de Windows Server 2012 en el VHD de Server Core para servidor con una interfaz gráfica de usuario mediante la realización de los siguientes pasos: 1.
Crear una nueva carpeta denominada C: \ MountDir en el host de Hyper-V. Que va a utilizar esta carpeta para montar el archivo install.wim en su Servidor 2012 medios de instalación de Windows para que el cmdlet Install-WindowsFeature puede obtener los binarios de características necesarias de la carpeta WinSxS de un servidor con una imagen del GUI en el archivo .wim.
2.
Inserte su Server 2012 medio de instalación de Windows en la unidad de DVD (se supone que la unidad D:) en el host de Hyper-V.
3.
Abra un símbolo del sistema en el host y el tipo de Hyper-VDism / Get-WIMInfo /wimfile:D:\sources\install.wimpara mostrar los números de índice de Windows Server2.012 imágenes en el archivo .wim. Tome nota de la imagen de un servidor con una imagen del GUI que es de la misma edición que la instalación Server Core. Por ejemplo, si usted instalada la imagen SERVERDATACENTERCORE en su servidor, tenga en cuenta el número de índice de la imagen SERVERDATACENTER en el archivo .wim.
46
Capítulo2 Implementación de servidores
4.
MouNuevo Testamento la .wim expediente por typing dism / Mount-wim / Wimfile: D: \ sources \ install.wim / Índice: / MountDir: C: \ MountDir / readonlyen un símbolo del sistema con privilegios elevados, donde es el número de la imagen se ha indicado anteriormente.
5.
Abra la consola de Windows PowerShell y ejecute el siguiente comando:
6.
Inicie la máquina virtual utilizando Hyper-V, abrirlo con Conexión a máquina virtual, y confirman que ya está funcionando un servidor con una instalación de GUI de Windows Server 2012.
Características de la demanda A partir de Windows Server 2012, puede eliminar completamente los archivos binarios de instalación para las características de la tienda de lado a lado (carpeta WinSxS) de una instalación de Windows que se ejecuta o un disco duro virtual en línea sobre la que se ha instalado Windows. Los administradores pueden considerar hacer esto en algunas instalaciones por las siguientes razones: ■
A reducir aún más la huella de disco de la instalación
■
Amejorar la seguridad de la instalación mediante la eliminación de los binarios para características que no serán necesarios
Aeliminar completamente los binarios de una función, utilice el cmdlet UninstallWindowsFeature con el parámetro -Eliminar. Por ejemplo, si convierte un servidor con una instalación de GUI para una instalación Server Core, los binarios para el servidor-Gui-mgmtInfra y características del servidor-Gui-Shell permanecen en escena en la tienda de lado a lado. Si usted decide que no va a ser volver a instalar esas características, puede eliminar sus binarios ejecutando el siguiente comando de Windows PowerShell: Tenga en cuenta que si elimina los binarios para una característica, usted todavía puede volver a instalar la característica más tarde (y el estadio de los binarios en la tienda de lado a lado otra vez) con el cmdlet Install-WindowsFeature y, o bien mediante Windows Update para descargar los binarios o especificar un archivo .wim montado utilizando el parámetro Fuente como se describió anteriormente.
Resumen de la lección ■
La instalación Server Core es ahora la opción de instalación predeterminada de Windows Server 2012.
■
Ustedpuede utilizar el Administrador de servidores para convertir un servidor con una instalación de GUI para un Core Server o instalación mínima de interfaz de servidor. Lección 1: Opciones de instalación
Capitulo 2
47
■
Ustedpuede usar los cmdlets Install-WindowsFeature y desinstalarWindowsFeature de Windows PowerShell para convertir entre diferentes opciones de instalación en una instalación de ejecución de Windows Server 2012. ■
Ustedpuede usar los cmdlets Install-WindowsFeature y desinstalar-WindowsFeature de Windows PowerShell para convertir entre diferentes opciones de instalación en un disco duro virtual en línea de una máquina virtual que tiene instalado Windows Server 2012.
■
Usted puede usar el cmdlet Uninstall-WindowsFeature para eliminar por completo los binarios de insta- lación de la tienda de lado a lado de una instalación de Windows Server 2012 se ejecuta o un VHD sin conexión de una máquina virtual que tiene instalado Windows Server 2012.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Qué opción de instalación de Windows Server 2012, potencialmente puede tener la huella de disco más pequeño? A.
Server con una interfaz gráfica de usuario
B.
Server Core
C.
Interfaz Mínimo servidor
D. Completo 2.
¿Qué acciones llevará a cabo el siguiente comando de Windows PowerShell? A.
Convierte una instalación Server Core a un servidor con una instalación de GUI.
B.
Convierte un servidor con una instalación de GUI para una instalación Server Core.
C.
Convierte una instalación Server Core para una instalación mínima de interfaz de servidor.
D. Convierte un servidor con una instalación de GUI para una instalación
mínima de interfaz de servidor. 3.
Usteddesplegado una instalación Server Core de Windows Server 2012 en un entorno virtualizado se ejecuta en un host de Hyper-V. Debido a las limitaciones de espacio de almacenamiento disponible para el anfitrión, desea reducir aún más la huella de disco de su instalación Server Core. ¿Cuál de las siguientes acciones podría llevar a cabo para tratar de hacer esto? (Elija todas las que correspondan.) A.
48
Desinstalar cualquier rol o características que no son necesarios en el servidor.
Capítulo2 Implementación de servidores
B.
Utilice el parámetro -Eliminar con el cmdlet Uninstall-WindowsFeature para eliminar los binarios para las funciones y características que no sean necesarios de la tienda local de lado a lado en el servidor.
C.
Utilice el parámetro -Fuente con el cmdlet Install-WindowsFeature para especificar un archivo de imagen de Windows montada (WIM), donde los binarios que ha extraído de la tienda local de lado a lado en el servidor se puede encontrar.
D. Utilice el Administrador de servidores para eliminar los binarios para las
funciones y características que no sean necesarios de la tienda local de lado a lado en el servidor.
Lección 1: Opciones de instalación
Capitulo 2
49
Lección 2: Preparación del laboratorio de construcción Imágenes de construcción de los sistemas operativos Windows implica muchas consideraciones. Comprender el ciclo de vida de gestión de imágenes es fundamental para el éxito en la construcción y despliegue de imágenes de Windows. Microsoft Deployment Toolkit (MDT) es la herramienta de elección para la construcción de imágenes de Windows, y la creación de un laboratorio de construcción con MDT puede ayudar a simplificar la tarea de implementaciones de sistemas operativos Windows ing. Esta lección explica el proceso de gestión del ciclo de vida de la imagen y explica cómo configurar un laboratorio de construcción que utiliza MDT para construir imágenes de referencia de Windows Server 2012.
Entender el proceso de gestión del ciclo de vida de la imagen. Entender cómo configurar un laboratorio de construcción para la creación de imágenes de referencia para la implementación de instalaciones personalizadas de Windows Server 2012. Describir los pasos del proceso de creación de la imagen de referencia. Explicar la forma de configurar un equipo técnico para la implementación de Windows Server 2012 utilizando MDT 2012 Update 1.
Gestión del ciclo de vida de la imagen Entendimiento El objetivo de la gestión del ciclo de vida de la imagen es la de facilitar el proceso de construcción y mantenimiento de imágenes de referencia de los sistemas operativos Windows que se pueden utilizar para la implementación de Windows para sistemas de destino. Dependiendo de la versión de Windows que se despliega y las necesidades de la organización, tales sistemas de destino podrían ser ■
PCs de Cliente o dispositivos de tableta
■
Sistemas de servidores físicos
■
Las máquinas virtuales en hosts de Hyper-V en el centro de datos
■
Las máquinas virtuales que se ejecutan en una infraestructura como servicio (IaaS) nube privada
La reference imagen es un standardized Victoriahacerws operCIONES system image ( .wim archivo) que podrían incluir algunos o todos de los siguientes: 52
Capítulo2 Implementación de servidores
■
Aplicaciones
■
Los controladores de dispositivos
■
Actualizaciones o revisiones de software
■
Por usuario personalizaciones
■
Por máquina personalizaciones
Construir vs. entorno de producción El proceso y las herramientas utilizadas para la construcción de imágenes de referencia deben mantenerse separados y aislados del proceso y las herramientas utilizadas para el despliegue de imágenes, como se ilustra en la Figura 2-2. El laboratorio de construcción debe contener sólo los sistemas, herramientas y otro software necesario para crear imágenes de referencia y de prueba se le desplegar en el entorno de producción.
Construir Lab
Producción Medio Ambiente
FIGURA 2-2Mantenga su laboratorio de construcción y entornos de producción se separan el uno del otro.
Configuración de su laboratorio de construcción El laboratorio de construcción se utiliza para la construcción y prueba de imágenes de Lección 2: Preparación del laboratorio de construcción Capitulo 2
53
referencia que posteriormente se despliegan en el entorno de producción. Los componentes de un laboratorio de construcción pueden variar, pero generalmente deben incluir lo siguiente: ■
Hyper-V La mayor parte del proceso de ingeniería de imagen se puede realizar dentro de un entorno virtual. Para la construcción de imágenes de referencia de Windows Server 2012, es necesario
un sistema host físico que soporta la virtualización de hardware y está ejecutando Windows Server 2008 R2 o posterior con la función Hyper-V instalado. ■
Equipo técnicoEl equipo del técnico cuenta con las herramientas necesarias instaladas para la construcción de imágenes de referencia de Windows Server 2012. En el ejemplo de un laboratorio de construcción se muestra en la Figura 2-3, el equipo del técnico es una máquina virtual que se ejecuta en su Hyper-V anfitrión, pero también podría ser un sistema físico si Hyper-V no está siendo utilizado en el laboratorio de construcción.
■
Equipo de referenciaEl equipo de referencia es el sistema de la que la imagen de referencia es creado por sysprepping y la captura de la instalación de Windows en el equipo. Este equipo de referencia debe ser un sistema que bare-metal es, debe tener ningún sistema operativo instalado en él. En el laboratorio de construcción se muestra en la figura, el equipo de referencia es otra máquina virtual que se ejecuta en el host de Hyper-V, pero también podría ser un sistema físico si Hyper-V no se utiliza en el laboratorio de construcción.
■
Sistemas físicosEstos son ejemplos de los diferentes tipos de hardware del sistema utilizados en el entorno de producción y en el que más tarde serán desplegando su imagen de referencia. Después de construir su imagen de referencia, debe probarlo desplegando a estos sistemas físicos de muestras para asegurarse de no surgirán problemas al implementar la imagen en su entorno de producción. Estos sistemas de ejemplo pueden ser las máquinas virtuales en su laboratorio de construcción si va a implementar su imagen referencia solamente a las máquinas virtuales en su entorno de ejemplo para la producción, al implementar algún tipo de solución privada en la nube.
■
Servidor DHCPLa conectividad de red debe establecerse entre el técnico y de referencia computadoras antes del equipo del técnico se puede utilizar para implementar Windows en el equipo de referencia, por lo que un servidor DHCP se puede utilizar para asignar dinámicamente una dirección IP para el equipo de referencia. Sin embargo, una dirección IP estática también puede ser manualmente asignado al equipo de referencia en el inicio del proceso de implementación. El servidor DHCP es, por tanto, opcional, pero se recomienda para simplificar la automatización del proceso de generación de referencia de la imagen.
■
Servicios de implementación de WindowsSe trata de un servidor que ejecuta Windows Server 2008 R2 o posterior que tiene la función de servicios de implementación de Windows instalado. Este servidor puede ser tanto físico, como se
54
Capítulo2 Implementación de servidores
muestra en la figura, o virtual (que se ejecuta como una máquina virtual en el host Hyper-V). El servidor de Servicios de implementación de Windows simplifica la tarea de despliegue de la imagen de referencia ing en los sistemas físicos de la muestra mediante la eliminación de la necesidad para grabar sus imágenes de arranque en medios DVD para poner en marcha el proceso de prueba de referencia de la imagen. Este servidor es opcional si va a implementar su imagen referencia solamente a las máquinas virtuales, porque fácilmente se puede montar manualmente las imágenes de arranque en Hyper-V para el despliegue de su imagen de referencia a las máquinas virtuales en su entorno de compilación.
Computa dora
Hyper-VAnfitrión DHCP Servidor
Ventanas DespliegueS ervicios
FIGURA 2-3Ejemplo de cómo configurar un laboratorio de construcción.
Lección 2: Preparación del laboratorio de construcción Capitulo 2
53
Entender el proceso de generación de referencia de imagen Después de configurar su laboratorio de construcción, puede empezar a construir y probar las imágenes de referencia se le despliegue de los sistemas en el entorno de producción. Como muestra la Figura 2-4 muestra, los pasos generales en el proceso de construcción de una imagen de referencia son los siguientes: 1.
Personalizar el proceso de implementaciónEl equipo del técnico se utiliza para personalizarel proceso de implementación de Windows por elegir si incluir aplicaciones, actualizaciones de software, revisiones, paquetes de idiomas, controladores de dispositivos fuera de la caja, y varios por usuario o por equipo personalizaciones cuando se despliega el sistema operativo.
2.
Implemente la imagen en un equipo de referenciaWindows está desplegado luego en el equipo de referencia, junto con cualquier software adicional o personalizaciones que ha configurado.
3.
Sysprep la imagen desplegadaLa Herramienta de preparación del sistema (Sysprep) ejecuta entoncesen el equipo de referencia para preparar la instalación para la clonación mediante la eliminación de la información específica de la máquina, tales como identificador de seguridad del ordenador (SID).
4.
Capture la imagen desplegadaLa instalación sysprepped es capturado en la forma de un archivo de imagen de Windows (.wim) y copia en el equipo del técnico. La imagen capturada y sysprepped que ahora se conoce como la imagen de referencia.
5.
Implementar la imagen de referencia para los sistemas de pruebaEl equipo del técnico se utiliza para implementar la referencia a probar los sistemas en su laboratorio de construcción. Estos sistemas de muestreo pueden ser tanto muestras de sistemas físicos extraídos de su entorno de producción o máquinas virtuales que se ejecutan en el servidor Hyper-V en su laboratorio de construcción.
6.
Verifique el resultadoUstedahora iniciar sesión en los sistemas de muestreo en el que desplegó su imagen de referencia. Realizar las pruebas necesarias para asegurar que la imagen desplegada funciona correctamente y tiene todo el software y personalizaciones requerido por su entorno de producción.
56
Capítulo2 Implementación de servidores
Personaliza el proceso de implementa ción
imagen de equipo
Sysprep imagen despleg ada
Captura imagen despleg ada
imagen de referencia para sistemas de
Verificarl a resultado
FIGURA 2-4Los pasos a seguir en la construcción y prueba de imagen de referencia.
Configuración del equipo del técnico Aestablecer un equipo técnico para la construcción de imágenes de referencia para implementar Windows Server 2012, se necesitan las siguientes herramientas: ■
MicrosoftDeployment Toolkit (MDT) 2012 Update 1MDT es una solución gratuitaAcelerador de Microsoft que incluye completas herramientas y orientación para la automatización y personalización del sistema operativo y la implementación de aplicaciones. MDT está disponible en dos versiones x64 y x86, y se puede utilizar para implementar Windows 8, Windows Server 2012, Windows 7, Windows Server 2008 R2 y Office 2010. Para obtener más información sobre MDT y para descargar la última versión, consultehttp://technet.microsoft.com/en-us/solutionaccelerators/dd407791.aspx .
■
Evaluación Windows y Deployment Kit (ADK) para Windows 8El ADK es Lección 2: Preparación del laboratorio de construcción Capitulo 2
53
unacolección de herramientas que puede utilizar para personalizar, evaluar e implementar los sistemas operativos Windows para ordenadores nuevos. El ADK reemplaza el Kit de instalación automatizada de Windows (AIK de Windows) utilizado por versiones anteriores de MDT, e incluye herramientas adicionales que tenían previamente para ser descargado por separado. Para obtener más información acerca de la ADK y para descargar la última versión, consultehttp://www.microsoft.com/enus/download/ ? id = 29929 details.aspx . Además de las herramientas anteriores, también necesita lo siguiente: 2.012 medios de instalación de Windows Server (archivo .iso o DVD) Las solicitudes, paquetes de idiomas, actualizaciones de software, revisiones, o fuera de la caja del dispositivo conductores que ■
■
desea incluir en la imagen de referencia
58
Capítulo2 Implementación de servidores
Resumen de la lección ■
Una imagen de referencia es una imagen del sistema operativo Windows estandarizada que también podría incluir aplicaciones, controladores de dispositivos, actualizaciones de software y personalizaciones.
■
Usteden general, debe mantener su laboratorio de construcción separada y aislada de su entorno de producción.
■
Un laboratorio de construcción que utiliza MDT y otros componentes se puede configurar en un entorno virtualizado se ejecuta en un host de HyperV.
■
El proceso de generación de referencia de imagen incluye medidas como la personalización, referenciala implementación del sistema, sysprep y captura, la implementación del sistema de prueba y verificación.
■
Aconstruir imágenes de referencia para la implementación de Windows Server 2012, debe usar MDT 2012 Update 1 con el ADK para Windows 8.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no se recomienda cuando la creación de su laboratorio de construcción? (Elija todas las que correspondan.) A.
El uso de un host Hyper-V para realizar la ingeniería de imagen dentro de un entorno virtual
B.
El uso de máquinas virtuales para probar su imagen de referencia cuando los servidores en el entorno de producción, será desplegando su imagen de referencia de sistemas físicos.
C.
Utilizar un servidor DHCP para asignar dinámicamente una dirección IP a su equipo de referencia
D. Instalación de las herramientas necesarias para la creación de imágenes de
referencia en su equipo de referencia 2.
¿Qué componente de un laboratorio de construcción ayuda a eliminar la necesidad de quemar imágenes de arranque en medios DVD para poner en marcha el proceso de prueba de referencia de imagen? A.
Servidor DHCP
B.
Equipo técnico
C.
Equipo de referencia
D. Servicios de implementación de Windows Lección 2: Preparación del laboratorio de construcción Capitulo 2
53
3.
Una instalación de Windows que ha sido capturado sysprepped y se conoce como qué? A.
Un equipo de referencia
B.
Una instalación de referencia
C.
Una imagen de referencia
D. Un sistema de prueba
60
Capítulo2 Implementación de servidores
Lección 3: Creación de imágenes Después de configurar su laboratorio de construcción, estará listo para construir su Windows Server 2012 imágenes de referencia. Esta lección describe los pasos necesarios para la instalación y configuración de MDT 2012 Update 1 para construir sus Windows Server 2012 imágenes de referencia. La lección también describe cómo probar tus imágenes para asegurarse de que funcionan correctamente cuando se despliega en la producción.
Comprender los pasos involucrados en la construcción de imágenes de referencia para la implementación de Windows Server 2012. Instale MDT 2012 Update 1 y el ADK para Windows 8.
Crear y configurar acciones de despliegue mediante la importación de archivos de código fuente del sistema operativo, fuera de la caja de controladores de dispositivos, aplicaciones y paquetes. Crear y personalizar secuencias de tareas para la construcción y despliegue de imágenes.
Generar medio de arranque de instalación de la actualización de un recurso compartido de implementación. Implementar y capturar una imagen de referencia usando MDT.
Imágenes de referencia de prueba para asegurarse de que funcionan según lo
Edificioimágenes de referencia utilizando MDT 2012 Update 1 Los pasos que se deben realizar para el uso de un equipo del técnico para construir imágenes de referencia para la implementación de Windows Server 2012 utilizando MDT 2012 Update 1 son los siguientes: 1.
Instale el ADK en el equipo del técnico.
2.
Instale MDT en el equipo del técnico.
3.
Crear un recurso compartido de implementación mediante Deployment Workbench.
4.
Importe los archivos de origen del servidor 2012 del sistema operativo Windows.
5.
Importar los controladores fuera de la caja que necesitan los sistemas de producción de destino.
6.
Importar todas las aplicaciones que desea incluir en su imagen.
7.
Importar cualquier envases tales como las revisiones, actualizaciones de software o paquetes de idioma-que que desea incluir en la imagen. Lección 3: Creación de imágenes
Capitulo 2
55
8.
Crear una secuencia de tareas para la implementación, sysprepping, y la captura de la imagen de referencia.
9.
Personalización de los archivos de configuración de MDT para automatizar algunas o la totalidad del despliegue proceso. 10. Actualizar el recurso compartido de implementación para crear imágenes de arranque para echar a andar el proceso de implementación. 11. Implementación de Windows Server 2012 en el equipo de referencia, ejecutar
Sysprep, capturar una imagen de referencia, y copiarlo en el recurso compartido de implementación.
Paso1. Instalación del ADK El ADK se puede instalar en las siguientes versiones de Windows: ■
Windows Server 2012
■
Windows Server 2008 R2
■
Windows Server 2008 con Service Pack 2
■
Windows 8
■
Windows 7
■
Windows Vista
El ADK también necesita Microsoft .NET Framework 4 y lo instala automáticamente si es no está presente en el equipo. Instalación del ADK implica realizar los siguientes pasos:
56
1.
Asegúrese de que el equipo que va a instalar el ADK en la instalación soportes del producto y que se han cumplido todos los requisitos de software necesarios.
2.
Descargue el archivo de arranque de instalación (adksetup.exe) para el ADK del Microsoft Centro de descargas enhttp://www.microsoft.com/enus/download/details.aspx?id=29929 .
3.
Haga doble clic en el archivo de arranque de la instalación, y siga las instrucciones para instalar los componentes ADK que desea instalar en el equipo. Los componentes para elegir son los siguientes: ■
Kit de herramientas de compatibilidad de aplicaciones (ACT)
■
Herramientas de implementación
■
Entorno de preinstalación (Windows PE)
■
Usuario de la herramienta de migración de estado de usuario (USMT)
■
Volume Activation Management Tool (VAMT)
■
Kit de herramientas de rendimiento de Windows
■
Servicios de evaluación de Windows
■
Microsoft SQL Server 2012 exprés
Capítulo2 Implementación de servidores
Lección 3: Creación de imágenes
Capitulo 2
57
Paso2. Instalación MDT MDT 2012 Update 1 se puede instalar en las siguientes versiones de Windows: ■
Windows Server 2012
■
Windows Server 2008 R2
■
Windows Server 2008 con Service Pack 2
■
Windows 8
■
Windows 7
■
Windows Vista
Los requisitos previos de software para la instalación de MDT 2012 Update 1 se incluyen los siguientes: ■
Microsoft MGESTIÓN Console versión 3 0.0
■
Microsoft .NET Frametrabajar 3 0.5 con Service Pack 1 (SP1) o posterior
■
Victoriahacerws PowerShell versión 2 0.0 o posterior
Además, se requiere la versión más reciente de la ADK Windows para Windows 8 y se debe instalar antes de instalar MDT. Para más información sobre las plataformas compatibles y los requisitos de instalación, vea las notas de la versión para MDT 2012 Update 1, que se puede descargar desdehttp://www.microsoft.com/enus/download/details.aspx?id=25175 . Instalación y configuración de MDT 2012 Update 1 implica realizar los siguientes pasos: 1.
Asegúrese de que el equipo que va a instalar MDT 2012 Update 1 en admite la instalación del producto y que se han cumplido todos los requisitos de software necesarios.
2.
Descargue la versión adecuada (x64 o x86) del MDT 2012 Update 1 de Windows Installer (.msi) para la plataforma que va a instalar en usando el enlace de descarga en la página principal de Microsoft Deployment Toolkit enhttp://technet.microsoft.com /en-us/solutionaccelerators/dd407791.aspx .
3.
Haga doble clic en el archivo .msi, y siga las instrucciones para instalar MDT en el equipo.
Paso3. Creación de un recurso compartido de implementación Después de instalar la ADK y MDT en un equipo, el siguiente paso es crear un recurso compartido de implementación. Un recurso compartido de implementación es una carpeta compartida en el equipo del técnico que se utilizará para contener y gestionar los siguientes elementos:
58
■
Archivos de código fuente del sistema operativo para la construcción y despliegue de imágenes
■
Fuera de la caja de controladores para sistemas de destino que los necesitan
■
Las solicitudes para ser desplegados en sistemas de destino
Capítulo2 Implementación de servidores
■
Paquetes-por ejemplo, actualizaciones de software o paquetes de idioma
■
Tarea secuencias, que se utilizan para controlar el proceso de despliegue
■
Características de configuración avanzadas, tales como perfiles de selección, la base de datos MDT, medios de comunicación puntos de implementación y despliegue de acciones vinculadas
■
Elementos ocultos no se muestran en el Deployment Workbench, como imágenes de Windows PE para iniciar la instalación Lite Touch proceso de implementación (LTI) en sistemas de destino
Además, el recurso compartido de implementación incluye un nodo de supervisión que se puede utilizar para supervisar el progreso y el estado de las implementaciones de LTI mientras que sucedan. Creación de un recurso compartido de implementación implica la realización de los siguientes pasos: 1.
Lanzar el Deployment Workbench, que se utiliza para la construcción de, captura y despliegue de imágenes de Windows para sistemas de destino.
2.
Haga clic en el nodo Acciones de implementación, y seleccione Nuevo Despliegue Compartir.
3.
Siga las instrucciones del Asistente para Compartir Nuevo Despliegue, y hacer lo siguiente: ■
Especifique la ruta, el nombre de recurso compartido, y una descripción para el recurso compartido de implementación.
■
Configurar el recurso compartido de implementación al seleccionar o desmarcar las opciones que se muestran aquí:
Figura 2-5 muestra el Deployment Workbench después de crear un recurso compartido de implementación llamada MDT Despliegue Compartir.
Lección 3: Creación de imágenes
Capitulo 2
59
FIGURA 2-5El Deployment Workbench con un nuevo recurso compartido de implementación
seleccionada para mostrar su estructura.
PasoArchivos de código fuente del sistema operativo 4. Importación Después de crear un recurso compartido de implementación, el siguiente paso es utilizar Deployment Workbench para importar archivos de origen para los sistemas operativos que desee distribuir. Antes de poder crear y capturar una imagen de referencia de una instalación maestra de una versión compatible de Windows, debe importar un conjunto completo de archivos de código fuente para esa versión de Windows. También puede importar archivos previamente capturados imagen en su recurso compartido de implementación, o las imágenes almacenadas en un servidor de Servicios de implementación de Windows en la red. Importación de los archivos de origen para un sistema operativo de Windows implica la realización de la siguientes pasos: 1.
Lanzar el Deployment Workbench si no se está ejecutando, y expanda el nodo para el recurso compartido de implementación que creó anteriormente.
2.
Haga clic en el nodo Sistema Operativo en su recurso compartido de implementación, y seleccione Importar sistema operativo, como se muestra aquí:
3.
Siga las instrucciones del Asistente del Sistema Operativo de importación para importar un conjunto completo de archivos de origen para el sistema operativo de Windows que desee distribuir.
Paso 5. Importación de conductores fuera de la caja Si el equipo en el que se le implementa la instalación principal de Windows requiere los controladores de dispositivos especiales, debe importar estos controladores en su recurso compartido de implementación. Esto es especialmente importante al implementar versiones de servidor de Windows a sistemas que tienen dispositivos de almacenamiento masivo, como los controladores RAID que son o muy viejo o muy nueva, porque en ambos casos los controladores para estos controladores no pueden ser incluidos con Windows Server 2012. Si no importa crítico para el arranque, controladores de almacenamiento masivo en su recurso compartido de implementación, MDT podría no ser capaz de encontrar un dispositivo de almacenamiento local en el que instalar Windows. Importación de los conductores fuera de la caja comprende la ejecución de los siguientes pasos: 60
Capítulo2 Implementación de servidores
1.
Obtener los controladores de dispositivo necesarios para el hardware en el que va a instalar en Windows.
2.
Lanzar el Deployment Workbench si no se está ejecutando, y expanda el nodo para el recurso compartido de implementación que creó anteriormente.
3.
Haga clic en el nodo fuera de la caja de los controladores en su recurso compartido de implementación y seleccione Importar Drivers.
4.
Siga las instrucciones del Asistente Drivers Importar para importar los controladores en el recurso compartido de implementación.
Lección 3: Creación de imágenes
Capitulo 2
61
Encontrar e importación de controladores de dispositivos Los controladores de dispositivos pueden ser uno de los aspectos más frustrantes y problemáticos de la implementación de Windows para un número de razones: ■
Puede ser difícil encontrar los drivers. Algunos vendedores ofrecen herramientas especiales para encontrar y descargar los controladores para su hardware, y usted debe aprender a utilizar sus herramientas.
■
Los controladores de dispositivos deben estar en una cierta forma antes de que usted los puede importar en Deployment Workbench. En concreto, es necesario el archivo INF del conductor. Si el vendedor hace que sus controladores disponibles como archivos .cab, puede extraer fácilmente estos en una carpeta e importarlos en Deployment Workbench. Si el vendedor hace disponibles como programas de instalación (archivos .exe), sin embargo, puede que tenga que utilizar una herramienta de terceros como WinRAR para extraer los archivos del controlador desde el archivo .exe para poder importarlos.
■
Incompatibilidades de controladores pueden causar problemas durante la implementación. Por ejemplo, si se utiliza el controlador de almacenamiento masivo mal cuando la implementación de Windows a un sistema, el sistema podría "pantalla azul" y hacer que el proceso de instalación falle. Este problema a menudo puede surgir cuando se está utilizando un recurso compartido de implementación para implementar varias versiones diferentes de Windows y que te han importado todos los controladores para cada una de las diferentes versiones en la carpeta Out-of-Box Drivers de su recurso compartido de implementación. Al hacer esto, el resultado es que durante el proceso de implementación de Windows decidirá qué los conductores a utilizar mediante Plug and Play. Desafortunadamente, a veces ocurre con este enfoque que un controlador de 32 bits podría terminar encima de conseguir instalado en hardware de 64 bits o viceversa, lo que resulta en un despliegue fallido.
Puedesprevenir tales problemas que surjan mediante la creación de una jerarquía de subcarpetas bajo la carpeta Out-of-Box Drivers, con cada subcarpeta que representa una versión específica de Windows y la arquitectura. A continuación, puede diferenciar aún más los conductores de acuerdo con la marca y el modelo de hardware del sistema se aplican a la creación de una jerarquía subcarpeta más profunda como la siguiente: Out-Of-Box Drivers --- Sistema Operativo 1 ------ Hacer 1 --------- Modelo 1 --------- Modelo 2 ... ------ Hacer 2 ... --- Sistema Operativo 2 ...
60
Capítulo2 Implementación de servidores
Ustedluego importar los controladores específicos necesarios para cada versión de Windows o la arquitectura en la subcarpeta controlador apropiado. A continuación, puede utilizar otra característica llamada MDTperfiles de selecciónpara asociar cada subcarpeta conductor con una secuencia de tareas diferentes, lo que permite que cada secuencia de tareas se utiliza para desplegar una versión diferente o la arquitectura de Windows en cada marca o modelo de hardware de su medio ambiente. La desventaja del enfoque subcarpetas conductor es que es más trabajo para establecer que simplemente echando todos los conductores en los controladores de llegada fuera del cuadro Carpeta y dejar Plug and Play decidir cuáles usar durante el despliegue.
Paso6. Importación de aplicaciones Si usted planea en el despliegue de aplicaciones al implementar Windows para sistemas de destino, puede importar los archivos de origen de la aplicación en el nodo Aplicaciones de su recurso compartido de implementación. Incluyendo aplicaciones es común al implementar versiones de cliente de Windows, pero es menos hace con frecuencia al implementar versiones de servidor de Windows, ya que de la complejidad de la instalación y configuración de aplicaciones de servidor, como Microsoft Exchange, Microsoft SharePoint o Microsoft SQL Server.
Paso 7.Importación de paquetes Si es necesario incluir las actualizaciones de software, paquetes de idioma u otros paquetes al implementar Windows, puede importar estos como paquetes en el nodo Paquetes de su recurso compartido de implementación. Los envases deberán estar en forma de archivos .cab o .msu si quieres ser capaz de importarlos en el recurso compartido de implementación.
Paso8. Creación de una secuencia de tareas El siguiente paso es crear una secuencia de tareas. Una secuencia de tareas define la serie de pasos que se llevarán a cabo durante el proceso de implementación y determina si cualquier software o personalizaciones adicionales se incluirán cuando se instala Windows. Para su laboratorio de construcción, es necesario crear una secuencia de tareas de tipo estándar del cliente Tarea Secuencias que se puede utilizar para implementar Windows, junto con cualquier software o personalizaciones adicional indicada, en el equipo de referencia. También será capaz de utilizar esta secuencia de tareas para ejecutar Sysprep en la instalación de desplegado de Windows, capturar una imagen de la Lección 3: Creación de imágenes
Capitulo 2
61
instalación, y copiarlo a la carpeta Capturas de la cuota de la implementación en el equipo del técnico. Tareasecuencias se pueden crear haciendo clic derecho sobre la subcarpeta Secuencias de tareas de un recurso compartido de implementación y seleccionando Nueva secuencia de tareas para iniciar el Asistente para nueva secuencia de tareas se muestra en la Figura 2-6.
FIGURA 2-6Creación de una nueva secuencia de tareas para la implementación de Windows para el
equipo de referencia.
Paso 9. Automatizaciónel proceso de implementación En este punto, usted puede elegir para automatizar algunos o todos el proceso de implementación en su laboratorio de construcción. Automatización puede implementarse de dos maneras. En primer lugar, puede automatizar el flujo general del proceso de implementación mediante la modificación de los dos archivos de configuración relacionados con el recurso compartido de implementación: ■
BootStrap.iniEste archivo contiene toda la información necesaria para establecer con éxito una conexión entre el recurso compartido de implementación y el equipo en el que será instalado Windows.
■
CustomSettings.iniEste archivo se utiliza para controlar el resto del proceso de implementación por mostrar u ocultar varias páginas del Asistente para la implementación de Windows, que se ejecuta en el equipo en el que está instalado Windows.
La otra forma es posible automatizar varios aspectos del proceso de implementación es haciendo modificaciones a la secuencia de tareas se utiliza para llevar a cabo su implementación. Como muestra la figura 2-7, una secuencia de tareas consiste en una serie de grupos de secuencias de tareas como las siguientes: ■
60
Inicialización
Capítulo2 Implementación de servidores
■
Validación
■
Captura del Estado
■
Preinstalar
■
Instalar
■
Postinstall
■
Restaurar Estado
Lección 3: Creación de imágenes
Capitulo 2
61
FIGURA 2-7Personalización de una secuencia de tareas.
Cada grupo de secuencia de tareas corresponde a una fase particular del proceso de despliegue, y se compone de uno o más pasos de secuencia de tareas. Por ejemplo, la fase de validación, que identifica si el equipo de destino es capaz de ejecutar los scripts necesarios para completar el proceso de implementación, realiza los tres pasos siguientes en el orden indicado: 1.
Validar Verifica que el equipo de destino se encuentra con el despliegue especificado condiciones previas
2.
Compruebe BIOSComprueba el sistema básico de entrada / salida (BIOS) del equipo de destino para asegúrese de que sea compatible con el sistema operativo que está implementando
3.
SiguienteFaseActualiza la propiedad Fase a la siguiente fase en el proceso de implementación
Ustedpuede personalizar las secuencias de tareas de las siguientes maneras:
62
■
Mediante la modificación de los valores y las selecciones de propiedades en diferentes páginas etapa de tarea de secuencia
■
Al mover los grupos de tareas de la secuencia o etapas seleccionadas arriba y abajo para cambiar cuando tienen lugar durante el proceso de implementación global
■
Mediante la adición de nuevos pasos tarea de secuencia a los grupos de tareas de secuencia existentes
■
Mediante la adición de nuevos grupos de tareas de la secuencia y la adición de pasos a ellos si lo deseas
Capítulo2 Implementación de servidores
Más información sobre cómo personalizar secuencias de tareas se puede encontrar en la documentación que se incluye al descargar MDT desde el Centro de descarga de Microsoft.
Paso 10.Actualizar el recurso compartido de implementación Antes de que el equipo del técnico se puede utilizar para construir una imagen de referencia, el recurso compartido de implementación debe ser actualizado para crear o regenerar las imágenes de arranque que se utilizarán para kickstart el proceso de implementación en el equipo de referencia. Para actualizar un recurso compartido de implementación, haga clic en él, seleccione Implementación de la actualización Compartir, y siga las instrucciones del asistente. La actualización de un recurso compartido de implementación puede tardar varios minutos y crea dos tipos de medios de arranque: ■
LiteTouchPE_arch.isoArchivos ISO se pueden crear para dos arquitecturas (x64 y x86) y pueden o bien pueden grabar en DVD y se utilizan para arrancar equipos físicos o unidos a la máquina virtual para que los arranque en el proceso de implementación.
■
LiteTouchPE_arch.wimArchivos WIM también se pueden crear para dos arquitecturas (x64 y x86) e importados en un servidor de Servicios de implementación de Windows (si lo tiene) para permitir que los sistemas de destino (físicos o virtuales) a PXE-arranque en el proceso de implementación.
Lección 3: Creación de imágenes
Capitulo 2
63
Paso 11.Implementación y capturar la imagen de referencia En este punto, que ahora está listo para utilizar el equipo del técnico para implementar Windows Server 2012, junto con cualquier software o personalizaciones que ha especificado adicional, para el equipo de referencia en su laboratorio de construcción. Para ello, haga lo siguiente: 1.
Arranque el equipo de referencia bare-metal utilizando los medios de arranque (ya sea ISO o WIM) creados en el paso 10.
2.
Continúe con los pasos del Asistente para la implementación de Windows ya que muestra en el equipo de referencia, respondiendo a cada pregunta, según corresponda. Por ejemplo, en la página de captura de imagen se muestra en la Figura 2-8 se puede seleccionar la opción de capturar una imagen de este equipo de referencia, que se instala en Windows, se ejecuta Sysprep, captura una imagen, y copia la imagen en la red a la carpeta Capturas de el recurso compartido de implementación en el equipo del técnico.
FIGURA 2-8Especificando que una imagen se capturará cuando finalice la instalación.
64
Capítulo2 Implementación de servidores
Pruebas imágenes de referencia Después de construir su imagen de referencia, primero debe implementar en un sistema de prueba en su laboratorio de construcción para asegurarse de que todo funciona según lo previsto. Dependiendo de si el entorno de producción tiene servidores físicos o máquinas virtuales, puede elegir cualquiera de los servidores físicos o máquinas virtuales como sus sistemas de prueba. A prueba tus imágenes de referencia, utilice su laboratorio de construcción para hacer lo siguiente: 1.
Crear una nueva secuencia de tareas de tipo Client Standard secuencia de tareas que va a utilizar para implementar la imagen de referencia de sus sistemas de prueba.
2.
Prepare a su medio de arranque para echar a andar el proceso de implementación mediante una de las siguientes acciones: A.
Quemar el archivo LiteTouchPE_64.iso a los medios de DVD para arrancar manualmente una física sistema de prueba
B.
Colocación de la LiteTouchPE_64 .iso a una máquina virtual paraarrancar manualmente un sistema de pruebas virtuales
C.
Importar el archivo LiteTouchPE_64.wim en un servidor de Servicios de implementación de Windows para arrancar automáticamente un sistema de prueba (físico o virtual) usando arranque PXE 3.
Arranque el sistema de prueba y desplegar su imagen de referencia en la misma.
4.
Cuando el proceso de implementación haya finalizado, inicie sesión en el sistema de prueba y compruebe que el software y personalizaciones que ha especificado que se incluirán en la instalación se han instalado y se aplican según lo previsto.
Cuando esté satisfecho de que su imagen de referencia funciona correctamente, usted está listo para desplegarlo en sistemas en el entorno de producción.
Resumen de la lección ■
El ADK para Windows 8 debe estar instalado en el equipo del técnico antes de instalar MDT 2012 Update 1.
■
Un recurso compartido de implementación es una carpeta compartida en el equipo del técnico que puede contener archivos de código fuente del sistema operativo, fuera de cuadro de conductores, aplicaciones, paquetes, tales como actualizaciones de software, secuencias de tareas, y otras características avanzadas de configuración.
■
Dos Archivos de configuración de MDT (BootStrap.ini y CustomSettings.ini) se pueden modificar para automatizar algunas o la totalidad del proceso de despliegue. Lección 3: Creación de imágenes
Capitulo 2
65
■
Tarea secuencias se pueden personalizar para modificar las acciones que se llevan a cabo durante el proceso de implementación.
■
La actualización de un recurso compartido de implementación genera medio de arranque que se puede utilizar para poner en marcha el proceso de implementación.
■
66
MDT se puede utilizar en su laboratorio de construcción de desplegar un equipo de referencia y para sysprep y capturar su instalación como imagen de referencia.
Capítulo2 Implementación de servidores
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no es un requisito previo para la instalación de software de MDT 2012 Update 1 para implementar Windows Server 2012? A.
Microsoft Administración Console versión 3 0.0
B.
Microsoft .NET Frametrabajar 3 0.5 con Service Pack 1 (SP1) o posterior
C.
Victoriahacerws PowerShell versión 2 0.0 o posterior
D. La última versión del Kit de instalación automatizada de Windows (AIK de
Windows) 2.
Cuando la construcción de imágenes de referencia, lo que paso en caso de que realice siempre después de importar los archivos de origen del sistema operativo, fuera de la caja de los conductores, aplicaciones y paquetes en su recurso compartido de implementación, creación y personalización de las secuencias de tareas necesarias, y modificar los archivos de configuración para el recurso compartido de implementación? A.
Implementar y capturar la imagen de referencia.
B.
Actualizar el recurso compartido de implementación.
C.
Crear perfiles de selección.
D. Crear acciones de implementación vinculados. 3.
¿Cuál es el nombre del grupo de tareas de la secuencia que controla la fase del proceso de implementación donde se comprueba el BIOS del equipo de destino para asegurarse de que es compatible con el sistema operativo va a implementar? A.
Validar
B.
Preinstalar
C.
Instalar
D. Postinstall
Lección 3: Creación de imágenes
Capitulo 2
67
Lección 4: Implementación de imágenes Después de construir su imagen de referencia personalizada de Windows Server 2012, puede utilizar varias herramientas y enfoques para el despliegue de las imágenes en el entorno de producción. Además de las instalaciones manuales, que son adecuados sólo para organizaciones que tienen un puñado de computadoras para implementar, las dos estrategias de implementación principales son Lite Touch Installation (LTI) y Zero Touch Installation (ZTI).
Tomar decisiones respecto a los cuales la estrategia de implementación y herramientas debe utilizar para establecer la infraestructura de despliegue de su entorno de producción. Explicar el enfoque de LTI para implementar imágenes de Windows y las herramientas necesarias para este enfoque. Describir las etapas implicadas en la realización de una implementación de LTI utilizando una imagen de referencia creado en un laboratorio de construcción. Explicar el enfoque ZTI para implementar imágenes de Windows y las herramientas necesarias para este enfoque. Describa lo SCCM ofrece para el despliegue que MDT con los Servicios de implementación de Windows no proporciona. Describir algunos de los beneficios de la integración de MDT con SCCM.
Preparaciónla infraestructura de despliegue La creación de la infraestructura de despliegue para el entorno de producción implica la realización de ciertas decisiones: ■ ¿Qué tipo de estrategia de despliegue (LTI o ZTI) mejor se adapte a las necesidades de su negocio ■
¿Qué herramientas de implementación será necesaria para implementar su
estrategia de implementación de la figura 2-9 muestra la configuración general para una infraestructura de implementación en una producción medio ambiente. Para el enfoque LTI, todos los componentes excepto System Center Configuration Manager (SCCM) generalmente son obligatorios. Para el enfoque ZTI, por lo general se deben utilizar todos los componentes que se muestran.
Lección 4: Implementación de imágenes
Capitulo 2
67
FIGURA 2-9Configuración general para una estructura de implementación de producción respetuosa
con el medio.
Usoel enfoque LTI LTI es una estrategia de despliegue de alto volumen para las pequeñas y las medianas empresas, que combina el uso de MDT con los Servicios de implementación de Windows, una función de servidor de Windows Server 2008 y más adelante que permite a los equipos nuevos que se desplegarán a través de la instalación basada en la red. Con la inclusión de Servicios de implementación de Windows en la infraestructura de despliegue de su entorno de producción, sistemas de destino como servidores bare-metal pueden PXE-arranque usando la imagen de arranque LiteTouchPE_x64 .wim creado al actualizar el recurso compartido de implementación en el Deployment Workbench MDT. En una infraestructura de despliegue basado en MDT y los Servicios de implementación de Windows, el proceso de implementación funciona así: 1.
En su laboratorio de construcción, empezar por la creación de una imagen de referencia de Windows Server 2012 de Windows Server 2012, junto con las aplicaciones, controladores, actualizaciones de software o paquetes necesarios para los servidores en el entorno de producción.
2.
El paso siguiente depende de si o no su laboratorio de construcción está aislada de su entorno de producción:
3.
Si su laboratorio de construcción está aislada de su entorno de producción, copie la carpeta de recurso compartido de implementación desde el equipo técnico de MDT en su laboratorio de la acumulación de medios extraíbles. A continuación, pega la
70
Capítulo2 Implementación de servidores
carpeta compartido de implementación en el sistema de archivos del equipo del técnico en su entorno de producción, compartir la carpeta, abierta en Deployment Workbench, y actualizar las referencias de ruta de red en el Archivo BootStrap.ini según sea necesario. ■
Si su acumulación acciones laboratorio conectividad de red con su entorno de producción, se puede utilizar como alternativa las Acciones de implementación vinculados cuentan replicar el recurso compartido de implementación en su laboratorio de construcción para el equipo del técnico en su entorno de producción. Esto tiene la ventaja de que cuando se realizan cambios en su laboratorio de construcción, los cambios se reflejan en su entorno de producción. La desventaja, sin embargo, es que usted puede ser que tenga secuencias de tareas u otras personalizaciones en su entorno de producción que deben ser utilizados sólo para su laboratorio de construcción.
4.
A continuación, utilice Deployment Workbench en el entorno de producción para crear una secuencia de tareas de cliente estándar para el despliegue de su imagen de referencia para orientar sistemas. Modifique la configuración en el archivo CustomSettings.ini para automatizar los pasos del proceso de implementación. Entonces actualice el recurso compartido de implementación para regenerar las imágenes de arranque en la carpeta \ Boot de la carpeta de recurso compartido de implementación.
5.
Importaciónimagen de arranque del LiteTouchPE_x64 .wim de su recurso compartido de implementación en elImágenes de arranque carpeta del servidor de Servicios de implementación de Windows en su entorno de producción.
6.
Turnoen cada sistema de destino en el entorno de producción, pulse F12 y seleccione la opción de PXE-arranque del sistema.
7.
Los sistemas de destino se descargue la imagen de arranque LTI desde el servidor de Servicios de implementación de Windows, conéctese al recurso compartido de implementación, e instalar la imagen de referencia.
Usoel enfoque ZTI ZTI es una estrategia de despliegue de alto volumen para medianas y grandes organizaciones que combina el uso de MDT con System Center Configuration Manager (SCCM), que es parte de la familia de productos System Center de Microsoft. SCCM ofrece una plataforma de administración de sistemas completa que las organizaciones pueden utilizar para hacer lo siguiente: ■
Implementar sistemas operativos, aplicaciones y actualizaciones de software
■
Monitorear y remediar las computadoras para fines de cumplimiento
■
Monitor de hardware, y realizar inventario de software
■
Remotamente administrar equipos
En comparación con el enfoque LTI que utiliza MDT con los Servicios de implementación Ejercicios de práctica Capitulo 2
69
de Windows, el ZTI enfoque de despliegue utilizando SCCM ofrece los siguientes beneficios adicionales: ■
Apoyo for replicación. (MDT remanos de papel ucantar Distributed Expediente System Replicación.)
■
El apoyo a la realización de la implementación de multidifusión. (MDT requiere el uso de Servicios de implementación de Windows.)
■
Apoyo a la gestión de ancho de banda de transferencia de imágenes.
■
Apoyo a la presentación de informes sobre la disponibilidad de controladores para los dispositivos a través de su organización. El apoyo a los planes de redimensionamiento complejos y el formato de los discos. (Esto también se puede hacer uso de MDT, pero requiere scripting personalizado utilizando Diskpart.)
■
■
La tolerancia de la conectividad de red deficiente o intermitente.
■
Apoyo a la implementación iniciada por el sistema operativo del cliente.
■
Apoyo a la implementación totalmente desatendida.
■
Apoyo a la línea de despliegue de medios y CD / DVD spanning.
■
Soporte para el cifrado y protección mediante contraseña. Aunque SCCM se puede utilizar por sí mismo para la implementación de Windows para sistemas de destino, la integración de MDT con SCCM ofrece ciertas ventajas adicionales, como las plantillas de tarea de secuencia para diferentes tipos de escenarios de implementación, magos para crear paquetes y secuencias de tareas a partir de plantillas MDT, magos para crear nuevas imágenes de inicio, y más. Aimplementar Windows Server 2012 utilizando el enfoque de ZTI, usted debe utilizar lo siguiente: ■
MDT 2012 Update 1
■
SCCM 2012 con Service Pack 1
MÁS INFORMACIÓNSCCM 2012 SP1
bb507744.aspx.
Resumen de la lección ■
Las decisiones clave en la planificación de una infraestructura de despliegue para un entorno de producción están seleccionando una estrategia de implementación y la elección de las herramientas para la implementación de su estrategia.
70
■
LTI es una estrategia de despliegue de alto volumen para las pequeñas y las medianas empresas, que combina el uso de MDT con los Servicios de implementación de Windows.
■
Servicios de implementación de Windows permite a los sistemas de destino bare-
Capítulo2 Implementación de servidores
metal para PXE-arranque usando la imagen de arranque LiteTouchPE_x64 .wim creado cuando el recurso compartido de implementación MDT se actualiza. ■
ZTI es una estrategia de despliegue de alto volumen de tamaño mediano a grandes organizaciones que combina el uso de MDT con SCCM.
■
El enfoque ZTI al despliegue utilizando SCCM ofrece muchos beneficios adicionales más LTI,especialmente para las organizaciones más grandes.
■
Aunque SCCM puede ser utilizado por sí mismo para el despliegue de Windows para los sistemas de destino, la combinación de SCCM con MDT proporciona algunas ventajas adicionales.
Ejercicios de práctica Capitulo 2
71
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Which oF la follovictoriag es nAntiguo Testamento verdadero acerca de la LTI acercarse? (Choose todos que aplicar.) A.
LTI es una estrategia de despliegue de alto volumen de tamaño mediano a grandes organizaciones que combina el uso de MDT con SCCM.
B.
LTIse utiliza para desplegar las imágenes de referencia creado en su laboratorio de la acumulación en los sistemas en el entorno de producción.
C.
LTIse puede utilizar para implementar Windows Server 2012 solamente en los sistemas físicos, no máquinas virtuales.
D. LTIse puede iniciar pulsando F12 en cada sistema de destino y seleccionando la
opción de PXE-arranque del sistema. 2.
¿Cuál de los siguientes son los beneficios de utilizar el enfoque ZTI sobre LTI? (Elija todas las que correspondan.) A.
Apoyo a la gestión de ancho de banda de transferencia de imagen.
B.
Apoyo a la presentación de informes sobre la disponibilidad de controladores para los dispositivos a través de su organización.
C.
La tolerancia de la conectividad de red deficiente o intermitente.
D. Apoyo a la implementación totalmente desatendida.
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
La conversión entre las opciones de instalación
■
La construcción de una imagen de referencia con MDT 2012 Update 1
A realizar los siguientes ejercicios, necesita al menos una instalación limpia de Windows Server 2012 utilizando el servidor con una opción de instalación GUI. El servidor debe ser un servidor autónomo perteneciente a un grupo de trabajo, tienen conexión a Internet, y no tienen funciones adicionales o características instaladas. Usted debe estar conectado de forma interactiva en el servidor mediante una cuenta de usuario que sea miembro del grupo Administradores local, pero que no es la cuenta de administrador predeterminada. A los efectos de estos ejercicios, el nombre del servidor se supone que es SERVIDOR1
Ejercicio 1: La conversión entre las opciones de instalación Ejercicios prácticos sugeridos 2
Capitulo
77
En este ejercicio, instalar y configurar una instalación Server Core de Windows Server 2012. A continuación, utilizar Windows PowerShell para convertir su servidor primero en una instalación mínima de interfaz de servidor y, a continuación, a un servidor con una instalación de GUI. 1.
Inicie el servidor mediante Server 2012 medio de instalación de Windows. Si está utilizando un servidor físico bare-metal, insertar sus medios de DVD de instalación y encienda el servidor. Si está utilizando una nueva máquina virtual, seleccione el instalar un sistema operativo desde Una opción Boot CD / DVD-ROM en la página Opciones de instalación del Asistente para nueva máquina virtual, seleccione el archivo de imagen .iso para su medio de instalación, complete el asistente, e iniciar la máquina virtual.
2.
Cuando aparezca el Asistente de instalación de Windows, verifique su idioma, moneda, y la configuración de tiempo / teclado / de entrada y haga clic en Siguiente.
3.
En la siguiente página del asistente, haga clic en Instalar ahora.
4.
En la página Seleccione Sistema El operativo que desea instalar página, seleccione Windows Server 2012 (Core Server Instalación) y haga clic en Siguiente.
5.
En la página Términos de licencia, lea y acepte los términos de licencia y haga clic en Siguiente.
6.
En el tipo de instalación Qué desea? página, haga clic en Personalizado: Instalar Windows solamente (Avanzado).
7.
En el caso de Qué desea instalar Windows? página, haga clic en Siguiente para iniciar la instalación de Windows. El servidor se reiniciará varias veces durante el proceso de instalación.
8.
Cuando la instalación haya finalizado y aparezca la pantalla de inicio de sesión, haga clic en Aceptar, escriba una contraseña para la cuenta integrada Administrador dos veces, pulse Intro y haga clic en Aceptar para iniciar sesión en el servidor. Debido a que ha instalado Windows Server 2012 utilizando la opción de instalación Server Core, sólo verá una ventana de símbolo del sistema y no de escritorio.
9.
Tiposconfigy pulse Intro para ejecutar la utilidad de línea de comandos de configuración del servidor.
10. Tipo2, Pulse Intro y escribaServer8como el nuevo nombre para el servidor. Pulse
Intro dos veces, esperar a que el servidor se reinicie y vuelva a iniciarla como administrador. 11. Tipo sconfig en la ventana del símbolo del sistema para ejecutar la utilidad de
configuración com- mand-line Server de nuevo. Pulse Intro cuando sea necesario para seleccionar las opciones de configuración y ejecutar comandos. 12. Tipo8para mostrar una lista de los adaptadores de red en el servidor. Anote el
número de índice de un adaptador de red activa, escriba este número de índice y, a continuación, pulse Intro. 78
13. Tipo1para configurar los ajustes de dirección IP para el adaptador seleccionado. Capítulo2 Implementación de servidores
14. TipoSpara especificar que el adaptador tendrá una dirección IP estática asignada a la
misma. Tenga en cuenta que la dirección IP, máscara de subred, puerta de enlace predeterminada y la configuración del servidor DNS se asigna al adaptador deben ser elegidos para permitir que el servidor tenga conectividad con Internet. 15. Tipo la dirección IP que desea asignar al adaptador. 16. Tipolas máscara de subred que desea asignar al adaptador. 17. Tipo la puerta de enlace predeterminada que desea asignar al adaptador. 18. Tipo 2para configurar los ajustes del servidor DNS para el adaptador. 19. Tipola dirección IP del servidor DNS preferido que desea asignar al adaptador. 20. Tipola dirección IP del servidor DNS alternativo que desea asignar al adaptador. 21. Tipo 4para volver al menú principal de la utilidad Sconfig.exe. 22. Tipo 6para verificar que su servidor tiene conectividad a Internet mediante la
comprobación de Windows Update para las actualizaciones recomendadas para su servidor. 23. En la ventana de símbolo del nuevo comando que se abre, tipoRpara
buscar sólo las actualizaciones recomendadas para su servidor. 24. Cuando se muestra una lista de las actualizaciones recomendadas, el
tipoLadescargar e instalar todas las actualizaciones recomendadas en su servidor. 25. Si aparece un cuadro de diálogo necesario reiniciar, haga clic en Sí, esperar a que el
servidor se reinicie, y luego volver a iniciar sesión como administrador. 26. Tipommc.exeen la ventana del símbolo del sistema y verifique que el Microsoft
Management Console (MMC) no está disponible en la opción de instalación Server Core. 27. Desconecte el servidor de la red, de modo que no puede acceder a Internet. 28. Tipomkdir C: \ MountDirpara crear una nueva carpeta para montar el archivo que se
encuentra en install.wim la carpeta \ sources del soporte de instalación. 29. Tipodism/ Get-WIMInfo /wimfile::sources\install.wim, Donde es
laletra de unidad para la unidad de DVD del servidor. Anote el número de índice de un servidor con una imagen del GUI en el archivo install.wim. 30. Type dism / Mount-wim / Wimarchivo: : \ sources \ install.wim / Index:
/ MountDir: C: \ MountDir / readonlypara montar la imagen que tieneel número de índice que hizo una nota de en el paso anterior. 31. Tipopowershelly pulse Intro para cambiar la ventana del símbolo del sistema a
una consola de Windows PowerShell. 32. Ejecute el comando
para convertir su servidor desde un servidor central instalación para una instalación mínima de interfaz de servidor. Cuando la función se termina la instalación, espere a que el servidor se reinicie y vuelva a iniciarla como administrador. Ejercicios prácticos sugeridos 2
Capitulo
79
33. Cierre la consola Administrador del servidor cuando se abre. 34. Tipommc.exey pulse Intro en la ventana del símbolo del sistema, y verifique que la
Microsoft Management Console (MMC) está disponible en la opción Minimal interfaz de servidor. 35. Cierre el MMC, y vuelva a conectar el servidor a la red para que pueda acceder a
Internet otra vez. 36. Tipopowershelly pulse Intro para cambiar la ventana del símbolo del sistema a
una consola de Windows PowerShell. 37. Ejecute el comando
para convertirsu servidor a un servidor con una instalación de GUI. Porque esta vez la característica que está instalando primero se debe descargar desde Windows Update, la instalación podría tardar varios minutos en completarse. Cuando la función se termina la instalación, espere a que su servidor se reinicie y vuelva a iniciarla como administrador.
38. Compruebe que el servidor tiene ahora un escritorio estándar de Windows
que incluye todas las herramientas y utilidades administrativas.
Ejercicio 2: Creación de una imagen de referencia con MDT 2012 Update 1 En este ejercicio, instalar y configurar MDT 2012 Update 1 y sus requisitos previos en un servidor independiente que ejecuta Windows Server 2012. A continuación, utilice MDT para implementar Windows Server 2012 en un equipo de referencia, ejecute Sysprep .exe de la instalación, capturar una ima- gen de la misma, y cargar la imagen de referencia capturado al recurso compartido de implementación en el equipo del técnico. 1.
Inicie sesión en el servidor con una instalación de GUI de Windows Server 2012 utilizando una cuenta de usuario que sea miembro del grupo Administradores integrado en el servidor. Cuando se abra el Administrador de servidores, cerrarla o minimizarla a la barra de tareas.
2.
Descargue el ADK de Windows para Windows 8 archivo de instalación de arranque (adksetup.exe) del Centro de descarga de Microsoft enhttp://www.microsoft.com/enus/download/ ? id = 29929 details.aspx.
3.
Haga doble clic en el archivo de arranque para iniciar el asistente de instalación del kit de evaluación y despliegue y aceptar las opciones por defecto en el cuadro Especifique la ubicación, Ingreso El Programa de mejora de la experiencia del cliente, y las páginas del Contrato de Licencia.
4.
En la página Seleccione las características que desea instalar la página, asegúrese de que sólo se seleccionan las siguientes opciones:
80
■
Herramientas de implementación
■
Entorno de preinstalación (Windows PE)
Capítulo2 Implementación de servidores
■
Usuario de la herramienta de migración de estado de usuario (USMT)
5.
Haga clic en Instalar para instalar los componentes ADK seleccionados en el equipo. Tenga en cuenta que la instalación podría tomar algún tiempo debido al tamaño de la descarga.
6.
Descargar Windows Installer (.msi) para la versión V64 de MDT 2012 Update 1 del Microsoft Download Center, siguiendo el enlace en la página principal de Microsoft Deployment Toolkit enhttp://technet.microsoft.com/en-us /solutionaccelerators/dd407791.aspx .
7.
Haga doble clic en el archivo .msi para iniciar el Asistente para la instalación, y siga las indicaciones a aceptar el EULA e instalar los componentes predeterminados MDT.
8.
Presione y suelte la tecla de Windows para cambiar a la interfaz de usuario de Windows 8.
9.
Haga clic en el azulejo Deployment Workbench para lanzar Deployment Workbench.
10. Haga clic derecho en el nodo Acciones de implementación en el árbol de la
consola, y seleccione Nuevo Despliegue Compartir. 11. Continúe con el Asistente para Compartir Nueva despliegue utilizando las opciones por
defecto en el Camino, Compartir y páginas nombre descriptivo. 12. En la página Opciones, desactive todas las casillas excepto la de la etiqueta Pregunta
si una imagen debe ser capturado. 13. Finalice el asistente para crear el recurso compartido de implementación. 14. Haga clic derecho en el nodo de sistemas operativos de su recurso compartido de
implementación, y seleccione Importar Sistema Operativo. 15. Continúe con el Asistente de importación Sistema operativo usando las opciones por
defecto en todas las páginas excepto la página Fuente, donde debe especificar la ruta de acceso a un directorio donde se pueden encontrar los archivos de instalación de Windows Server 2012. Por ejemplo, puede especificar la unidad de DVD en el equipo donde se ha insertado el disco de instalación de Windows Server 2012. 16. Haga clic derecho en el nodo Secuencias de tareas de su recurso compartido de
implementación y seleccione Nueva tarea de secuencia. 17. En la página Configuración general del Asistente Secuencia Nueva tarea,
escribaREFIMGcomo el ID de secuencia de tareas yCaptura de Imagen de referenciacomo el nombre de secuencia de tareas. 18. En la página Seleccionar plantilla, dejar Standard Client secuencia de tareas seleccionada. 19. En la página Seleccionar OS, seleccione una imagen de Windows que no tiene
NÚCLEO como parte de su nombre. 20. En la página Clave del producto Especifique, deje la opción no se especifica una
clave de producto seleccionado. 21. En la configuración del sistema operativo de página, tipoContoso Ltd.en el campo Organización. Ejercicios prácticos sugeridos 2
Capitulo
81
22. En la página Administración de contraseña, escribaW0rd Pa $$en ambos campos. 23. Complete el asistente para crear su nueva secuencia de tareas. 24. En el nodo Secuencias de tareas de su recurso compartido de implementación,
haga clic derecho en la nueva secuencia de tareas que ha creado y seleccione Propiedades. 25. Cambie a la ficha Secuencia de tareas de la hoja de propiedades. 26. Expandir el Estado Restaurar grupo secuencia de tareas para mostrar los pasos tarea
de secuencia dentro de ella. 27. Haga clic en el paso de Windows Update (Pre-Instalación de aplicaciones)
para mostrar sus propiedades. 28. Cambie a la pestaña Opciones para este paso, y borre los siguientes dos casillas de verificación: ■
Deshabilitar Esta Paso
■
Continue On Error
29. Haga clic en Aplicar y verificar que el paso de Windows Update (Instalación Pre-
Aplicación) ahora tiene un icono de marca de verificación verde junto a él. 30. Haga clic en el paso de Windows Update (Post-Instalación de aplicaciones)
para mostrar sus propiedades. 31. Cambie a la pestaña Opciones para este paso, y borre los siguientes dos casillas de
verificación: ■
Deshabilitar Esta Paso
■
Continue On Error
32. Haga clic en Aplicar y verificar que el (posterior a la instalación de la aplicación)
paso de Windows Update ahora tiene un icono de marca de verificación verde junto a él. 33. Haga clic en Aceptar para cerrar las propiedades de la secuencia de tareas. 34. Haga clic derecho en el nodo que representa el recurso compartido de
implementación y seleccione Compartir Implementación de la actualización. 35. Siga las instrucciones del Asistente de despliegue Compartir Update para actualizar
el recurso compartido de implementación y crear medios de arranque para echar a andar el proceso de implementación. Esto puede tardar varios minutos en completarse. 36. Si su laboratorio de construcción es el uso de máquinas virtuales en un entorno de
Hyper-V, copie el archivo LiteTouchPE_x64.iso en el directorio C: \ DeploymentShare \ carpeta de inicio en el equipo del técnico en una carpeta compartida (por ejemplo, C: \ Boot) en el host máquina. Asegúrese de que la carpeta compartida tiene NTFS y permisos de carpetas compartidas para permitir a todos el acceso al contenido de la carpeta. Si su laboratorio de acumulación está utilizando sistemas físicos en lugar de las máquinas virtuales, grabar el archivo ISO anterior a soporte DVD grabable. 37. Si su laboratorio de construcción es el uso de máquinas virtuales, crear una nueva 82
Capítulo2 Implementación de servidores
máquina virtual como el equipo de referencia, configurarlo para conectarse a la misma red virtual en el que reside su máquina virtual técnico en computación, y asignar el archivo LiteTouchPE_x64.iso a la unidad de DVD virtual su nueva máquina virtual. A continuación, iniciar la nueva máquina virtual para poner en marcha el proceso de implementación y abrir la máquina virtual que se ejecuta en una ventana Conexión a máquina virtual. Si su laboratorio de acumulación está utilizando sistemas físicos, inserte su medio quemado en la unidad de DVD de su sistema de referencia y encienda el sistema. 38. Cuando la pantalla de bienvenida de Microsoft Deployment Toolkit se abre en su
referencia equipo, haga clic en Configurar Con dirección IP estática. 39. En la pantalla Configuración de una red que se abre a continuación, desactive la
casilla de verificación Habilitar DHCP y especificar una dirección IP, máscara de subred, puerta de enlace predeterminada y la dirección del servidor DNS para que su equipo de referencia puede comunicarse tanto con el equipo del técnico y con la Internet. Luego haga clic en Finalizar para volver a la pantalla de bienvenida y haga clic en Ejecutar el Asistente para la implementación Para instalar un sistema operativo nuevo. 40. En el cuadro de diálogo Credenciales de usuario, el tipoAdministradorpara el
nombre de usuario, el tipoW0rd Pa $$para la contraseña y escriba el nombre de host de su equipo técnico para el dominio. (Si se une dominio de su equipo técnico, se puede especificar el nombre de dominio de AD DS en lugar del nombre de host.) 41. Haga clic en Aceptar para iniciar el Asistente para la implementación de Windows. 42. En la página Secuencia de tareas del asistente, seleccione la secuencia de tareas
llamado Referencia de captura de imagen que ha creado anteriormente y haga clic en Siguiente. 43. Por detalles Computer página, el tipoRefcompcomo el nombre del equipo y haga clic
en Siguiente. 44. Verifique el idioma y la configuración de los ajustes de tiempo en la página local y la
hora y, a continuación, haga clic en Siguiente. 45. En la página Captura de imagen, seleccione Capturar una imagen de este equipo
de referencia. Anote el nombre del archivo que se asignará al archivo .wim capturado y la carpeta en la que se cargará el archivo .wim en el equipo del técnico y, a continuación, haga clic en Siguiente. 46. En la página Lista, haga clic en Iniciar para iniciar el proceso de implementación.
Tenga en cuenta las siguientes acciones, ya que se están realizando: A.
Se recoge información sobre el equipo de referencia.
B.
El sistema operativo está instalado en el equipo de referencia.
C.
Las actualizaciones de software se descargan desde Windows Update e instalar en el equipo de referencia.
D. La instalación de Windows en el equipo de referencia se sysprepped para eliminar Ejercicios prácticos sugeridos 2
Capitulo
83
específico del equipo de información. E.
La instalación de Windows en el equipo de referencia se captura como un archivo .wim, y este archivo y luego se carga en el equipo del técnico.
47. Una vez finalizada la implementación, verificar que una imagen de referencia
llamado REFIMG.wim ahora existe en la subcarpeta Captura del recurso compartido de implementación en el equipo del técnico.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo: ■
Práctica 1Modifique el archivo CustomSettings.ini en el Ejercicio 2 de esta lección para ocultar todas las páginas del Asistente para la implementación de Windows, proporcionando respuestas a la información de estas páginas que le pedirá al implementar Windows Server 2012 en el equipo de referencia.
■
Práctica 2Configurar una infraestructura de implementación de LTI con TMM, Servicios de implementación de Windows, y un servidor DHCP, y lo utilizan para desplegar la imagen de referencia que ha creado en el Ejercicio 2 de esta lección para un sistema físico que cumpla con los requisitos para la instalación de Windows Server 2012.
■
Práctica 3Descargue una copia de evaluación de SCCM 2012 SP1 desde el Centro de evaluación de TechNet, y aprender cómo realizar una implementación de ZTI de la imagen de referencia que ha creado en el Ejercicio 2 de esta lección.
84
Capítulo2 Implementación de servidores
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Respuesta correcta: B A.
Incorrecto:El servidor con una opción de instalación GUI tiene una característica instalada más de la opción Minimal interfaz de servidor y dos más que la opción Server Core.
B.
Correcto:La opción de instalación Server Core requiere el menor espacio en disco.
C.
Incorrecto:La opción de instalación Server Interface Minimal tiene una característica más instalada que la opción Server Core.
D. Incorrecto:Instalación completa es el nombre utilizado para el servidor con
una opción de instalación GUI en versiones anteriores de Windows Server. 2.
Respuesta correcta: D A.
Incorrecto: Paraconvertir una instalación Server Core a un servidor con una instalación de GUI, puede usar el siguiente comando:
B.
Incorrecto: Paraconvertir un servidor con una instalación de GUI para una instalación Server Core, puede utilizar el siguiente comando:
C.
Incorrecto: Paraconvertir una instalación Server Core para una instalación mínima de interfaz de servidor, puede utilizar el siguiente comando:
D. Correcto:Este comando convertir un servidor con una instalación de GUI para
una instalación mínima de interfaz de servidor. 3.
Correctorespuestas: A y B A.
Correcto:Si tiene alguna roles o características instalados en el servidor que no son necesarios, puede reducir la huella de disco del servidor desinstalando ellos. Al hacer esto, sin embargo, los binarios para tales funciones y características permanecerán en escena en la tienda local de lado a lado en el servidor.
B.
Correcto: Ustedpuede usar el cmdlet Uninstall-WindowsFeature con el parámetro -Eliminar para eliminar por completo los binarios de una función o característica de la tienda local de lado a lado en el servidor. Hacer esto puede reducir aún más la huella de disco de su servidor.
Ejercicios prácticos sugeridos 2
Capitulo
85
C.
Incorrecto:El parámetro -Fuente se usa con el cmdlet Install-WindowsFeature habilitar funciones y características para ser instalado cuando sus binarios no están presentes en la tienda local de lado a lado en el servidor.
D. Incorrecto: Paraquitar los binarios para las funciones y características que no
sean necesarios de la tienda local de lado a lado en el servidor, debe usar Windows PowerShell. No se puede utilizar el Administrador de servidores para hacer esto.
Lección 2 1.
Correctorespuestas: B y D A.
Incorrecto:La mayor parte del proceso de la imagen a la ingeniería se pueden realizar dentro de un entorno virtual que se ejecuta en un host de Hyper-V.
B.
Correcto:Si los servidores en el entorno de producción, será desplegando su imagen de referencia para sistemas físicos, debe utilizar los sistemas físicos de muestras tomadas de la producción de las pruebas de su imagen de referencia.
Incorrecto:Automatización del proceso de creación de la imagen se puede simplificar mediante el uso de un Servidor DHCP para asignar dinámicamente una dirección IP a su equipo de referencia. C.
D. Correcto: Usteddebe instalar las herramientas necesarias para la creación de
imágenes de referencia en el equipo del técnico, no su equipo de referencia. 2.
Respuesta correcta: D A.
Incorrecto:Un servidor DHCP se puede utilizar para asignar dinámicamente una dirección IP para el equipo de referencia.
B.
Incorrecto:El equipo del técnico cuenta con las herramientas necesarias instaladas para la construcción de imágenes de referencia.
C.
Incorrecto:El equipo de referencia es el sistema en el que se crea la imagen de referencia.
D. Correcto:El servidor de Servicios de implementación de Windows simplifica la
tarea de desplegar la imagen de referencia en los sistemas físicos de la muestra, eliminando la necesidad de grabar sus imágenes de arranque en medios DVD para poner en marcha el proceso de prueba de referencia la imagen 3.
Respuesta correcta: C A.
Incorrecto:El equipo de referencia es el sistema de la que la imagen de referencia es creado por sysprepping y la captura de la instalación de Windows en el equipo.
B.
80
Incorrecto:La instalación de Windows en el equipo de referencia se conoce como el instalación de referencia.
Capítulo2 Implementación de servidores
C.
Correcto:La instalación sysprepped de Windows en el equipo de referencia se captura en forma de un archivo de imagen de Windows (.wim) y copia en el equipo del técnico. La imagen capturada se sysprepped ahora se conoce como la imagen de referencia.
D. Incorrecto:Computadoras de los exámenes sistemas (físicos o
virtuales) en el que se desplegará la imagen de referencia para verificar que la imagen funciona como está previsto.
Lección 3 1.
Respuesta correcta: D A.
Incorrecto: Microsoft Gestión de versión de la consola 3 0.0 es un requisito previo para la instalación de MDT 2012 Update 1.
B.
Incorrecto: Microsoft .NET Framework 3 0.5 con Service Pack 1 (SP1) o posterior es un requisito previo para la instalación de MDT 2012 Update 1.
C.
Incorrecto:Windows PowerShell versión 0.0 o posterior 2 es un requisito previo para la instalaciónMDT 2012 Update 1.
D. Correcto:El kit de evaluación de Windows y la implementación
(ADK) para Windows 8 es un conjunto de herramientas que puede utilizar para personalizar, evaluar y desplegar sistemas operativos Windows para ordenadores nuevos. El ADK reemplaza a los de Windows Kit de instalación automatizada (AIK de Windows) utilizado por versiones anteriores de MDT, e incluye herramientas adicionales que tenían previamente para ser descargado por separado. 2.
Respuesta correcta: B A.
Incorrecto:Antes de implementar y capturar la imagen de referencia, debe actualizar su recurso compartido de implementación para crear o regenerar las imágenes de arranque que se utilizarán para poner en marcha el proceso de implementación en el equipo de referencia.
B.
Correcto:Después de realizar todos estos pasos, usted debe actualizar su recurso compartido de implementación para crear o regenerar las imágenes de arranque que se utilizarán para poner en marcha el proceso de implementación en el equipo de referencia.
C.
Incorrecto:Perfiles de selección son una característica avanzada de MDT que puede, opcionalmente, ser utilizado en un laboratorio de acumulación en su caso.
D. Incorrecto:Acciones de implementación vinculados son una
característica avanzada de MDT que se utiliza generalmente en la Respuestas Capitulo infraestructura de despliegue de un entorno de producción y no en un 2
79
laboratorio de construcción. 3.
Respuesta correcta: A A.
Correcto:El grupo de tareas de la secuencia Validar controla los pasos de la fase que se verifica que el equipo de destino es capaz de ejecutar los scripts necesarios para completar el proceso de implementación. Esto incluye la comprobación de que el BIOS del equipo de destino es compatible con el sistema operativo que se desplegó.
B.
Incorrecto:El grupo de tareas de la secuencia de preinstalación controla los pasos en la fase que completa las tareas que hay que hacer (como la creación de nuevas particiones) antes de que el sistema operativo de destino está instalado en el equipo de destino.
C.
Incorrecto:El grupo de tareas de la secuencia Instalar controla los pasos de la fase de que se instala el sistema operativo de destino en el equipo de destino.
D. Incorrecto:El grupo de tareas de la secuencia de postinstalación
controla los pasos en la fase que completa las tareas que hay que hacer antes de restaurar los datos de migración de estado de usuario. Estas tareas personalizar el sistema operativo de destino antes de iniciar el equipo de destino la primera vez (como instalar actualizaciones o añadir conductores).
Lección 4 1.
Correctorespuestas: A y C A.
Correcto:ZTI es una estrategia de despliegue de alto volumen de tamaño mediano a grandes organizaciones que combina el uso de MDT con SCCM. LTI es una estrategia de despliegue de alto volumen para las pequeñas y las medianas empresas, que combina el uso de MDT con los Servicios de implementación de Windows, una función de servidor de Windows Server 2008 y más adelante que permite a los equipos nuevos que se desplegarán a través de la instalación basada en la red.
B.
Incorrecto: Parautilizar LTI para implementar Windows Server 2012, comenzó en su laboratorio de construcción mediante la creación de una imagen de referencia de Windows Server 2012 de Windows Server 2012 junto con las aplicaciones, controladores, actualizaciones de software o paquetes necesarios para los servidores en el entorno de producción.
C.
Correcto: LTIpuede ser utilizado para implementar Windows Server 2012 en ambos sistemas físicos y máquinas virtuales.
D. Incorrecto: LTIse puede iniciar pulsando F12 en cada sistema de
destino y seleccionando la opción de PXE-arranque del sistema utilizando un servidor de Servicios de implementación de Windows. 2.
Respuestas correctas: Todos ellos A.
Correcto:SCCM ofrece apoyo a la gestión del ancho de banda de una transferencia de imágenes. MDT por sí sola no lo hace.
B.
Correcto:SCCM proporciona soporte para informar sobre la disponibilidad de controladores para los dispositivos a través de su organización. MDT por sí sola no lo hace.
C.
Correcto:SCCM tolera la conectividad de red deficiente o intermitente. MDT por sí sola no lo hace.
D. Correcto: SCCMproporciona soporte para el despliegue
totalmente desatendida. MDT por sí sola no lo hace.
Respuestas Capitulo 2
79
CAPÍTULO 3
Administración remota del servidor gestión erver se ocupa de la realización de tareas operativas clave en los servidores en su entorno. Estas tareas incluyen tareas ocasionales o de una sola vez como la adición de una nueva nuevo rol o función a un servidor, tareas periódicas tales como la revisión de los registros de eventos y tareas urgentes como la solución de problemas de mensajes de alerta. En entornos de pequeñas y medianas, muchas de estas tareas se pueden realizar de forma manual utilizando la interfaz gráfica de usuario (GUI) de herramientas de gestión de servidor incluido en plataformas Microsoft Windows Server. En entornos de gran tamaño, tales como centros de datos e infraestructuras de cloud computing, la mayoría de las tareas operativas están automatizados mediante scripts.
S
Windows Server 2012 incluye dos herramientas principales para la gestión de servidor remoto: la nueva consola de Administrador del servidor y la versión 3 0.0 de la plataforma de secuencias de comandos de Windows PowerShell. Estas dos herramientas se pueden utilizar para gestionar tanto los servidores físicos y virtuales dentro de la infraestructura de su organización. Este capítulo presenta las nuevas capacidades de estas herramientas y muestra cómo se puede utilizar para administrar servidores de Windows en todo su entorno.
Lecciones en este capítulo: ■
Lección 1: Administrador del servidor84
■
Lección 2: tareas de administración del servidor95
■
Lección 3: Instalación de las funciones y características108
■
Lección 4: la automatización de Windows PowerShell119
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■ Usted necesita saber cómo realizar una instalación limpia de Windows Server 2012 y realizar tareas de configuración iniciales, como la configuración de los ajustes TCP / IP del servidor de conectividad a Internet. ■
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server. 83
Lección 1: Administrador del servidor La consola del Administrador de servidores ha sido completamente rediseñado en Windows Server 2012 para que sea más fácil para los administradores gestionar simultáneamente múltiples servidores Windows de forma remota. Administrador del servidor es capaz de gestionar un gran número de servidores, pero es intendido principalmente para entornos de pequeñas y medianas que por lo general no tienen más de una docena de servidores desplegados en un sitio. Esta lección presenta las características de Administrador de servidores y muestra cómo realizar algunas tareas de administración comunes.
Utilice las páginas Administrador del servidor para configurar el servidor local. Utilice el Administrador de servidores para gestionar múltiples servidores remotos. Configure los servidores de Windows para la administración remota. Implementar las Herramientas de administración remota del servidor para Windows 8.
Navegación Administrador del servidor Autilizar la consola del Administrador de servidores de manera eficaz, tiene que ser capaz de navegar a través de sus diversos controles, menús y páginas. Esta sección resume las cosas más importantes que usted necesita saber en este ámbito.
Menús En la parte superior de la consola del Administrador del servidor (que se muestra en la Figura 3-1), que encontrarás en el siguiente controles y menús:
84
Capítulo3
■
Botones Atrás y Adelante para navegar a través de la historia de las páginas que ha seleccionado previamente
■
Una ruta de navegación que puede utilizar para navegar rápidamente a través de los puntos de vista jerárquico
■
Un botón de actualización que puede utilizar para actualizar manualmente la consola cuando su vista se convierte en fuera de fecha
■
La bandera de notificaciones, que se utiliza para ver las alertas o información sobre las tareas que se realiza en los servidores usted es el responsable
■
El menú Administrar, que se utiliza para agregar roles y características (o eliminarlos de) los servidores usted es el responsable, agregar servidores al grupo de servidores gestionados, crear nuevos grupos de servidores, y configurar las propiedades del
Servidor Gestión remota
Administrador del servidor ■
El menú Herramientas, que se puede utilizar para acceder a otras herramientas de gestión, tales como consolas de Microsoft Management Console (MMC), la información del sistema y utilidades de configuración del sistema, consolas de Windows PowerShell y Ambientes Scripting integrados (ISE), y así sucesivamente.
■
El menú Ver, que se puede utilizar para ampliar la vista del Administrador de servidores o salir y mostrar u ocultar la información Bienvenido a Administrador de servidores en el tablero de instrumentos.
■
El menú Ayuda, que incluye un enlace a los foros de Administrador de servidores en TechNet.
FIGURA 3-1La página Panel de Administrador de servidores, que incluye diversos controles y menús a
lo largo de la parte superior de la consola.
De forma predeterminada, el Administrador de servidores se actualiza cada 10 minutos Lección 1: Administrador del servidor
Capítulo 3
85
en la recopilación de información actualizada para todos los servidores están gestionados por la consola. Puede cambiar el intervalo de actualización al abrir las propiedades del Administrador del servidor de la siguiente manera: 1.
Haga clic en el menú Administrar en cualquier página y seleccione Propiedades del Administrador de servidores.
2.
En el cuadro de diálogo Propiedades del Administrador de servidores, especifique los datos que desee actualizar periodo en cuestión de minutos. Usted También puede utilizar este cuadro de diálogo para configurar el Administrador de servidores para que no se inicie automáticamente al iniciar la sesión.
sí
Salpicadero Autilizar el Administrador de servidores, selecciona una página como el cuadro de mandos, la página del servidor local, la página de todos los servidores, o cualquiera de las páginas en roles específicos adicionales que podrían estar disponibles. La Figura 3-1 muestra la página Panel, que muestra los siguientes azulejos: ■
Bienvenido a Server Manager
■
Servidor local
■
Todos los servidores
■
Cualquier azulejos en roles específicos como archivo de almacenamiento y servicios
■
Páginas personalizadas para servidores asignados a los grupos de servidores que ha creado
Azulejos consisten en una barra de título con varias miniaturas debajo. Vista en miniatura refleja ciertos datos recogidos sobre los servidores están gestionando. Cuando 86
Capítulo3
Servidor Gestión remota
algo está mal con una función de servidor o servidor, una alerta se eleva en la imagen apropiada para permitir que usted tome medidas correctivas para corregir el problema. Los cinco tipos de miniaturas que se muestran en los azulejos son ■
ManejabilidadIndica si los servidores están en línea o fuera de línea, si el Administrador de servidores está recibiendo datos de informes de los servidores especificados y ningún problema con ser capaz de gestionar los servidores.
EventosMuestra alertas cada vez que se registra un evento que coincide con los niveles de gravedad, fuentes de eventos, o identificadores de eventos en los servidores especificados durante intervalos de tiempo especificados ServiciosAlertas cada vez que surgen problemas con los servicios en los servidores administrados, y le permite intentan reiniciar los servicios afectados Muestra ■
■
■
■
Rendimiento Muestra alertas de rendimiento para diferentes tipos de recursos (CPU o memoria) en los servidores especificados durante intervalos de tiempo especificados BPAResultadosMuestra las alertas generadas a partir de la ejecución del Best Practices Analyzer contra servidores gestionados
Si la barra de título de cualquiera de las fichas en el tablero de instrumentos (con la excepción de la recepción a baldosas Administrador de servidores) son de color rojo, una o más alertas se han planteado. Por ejemplo, en la figura 3-1 la barra de título de la baldosa servidor local es de color rojo. Un cuadro rojo con el número 1 también se muestra junto a la miniatura de administración en este título para indicar que la alerta tiene que ver con la capacidad de administración del servidor local. Para ver más información acerca de esta alerta, haga clic en la miniatura de administración en este azulejo. Para ir directamente a la página del servidor local, haga clic en la barra de título de la baldosa servidor local.
Servidor local La página del servidor local muestra los siguientes azulejos: ■
PropiedadesLe permite ver y configurar diversos ajustes del servidor local, incluyendo el nombre del equipo, la pertenencia al dominio, ya sea de gestión remota o Escritorio remoto está habilitado, la configuración TCP / IP para las tarjetas de red del servidor, si Windows Update está habilitado, y mucho más. (Ver Figura 3-2.)
■ ■
■
Eventos Muestra eventos registrados en el servidor local. ServiciosPermite ver los servicios para el servidor local, iniciar los servicios que se detienen en la actualidad, reinicie funcionamiento de los servicios, y realizar otras tareas relacionadas con el servicio. Best Practices AnalyzerLe permite iniciar una exploración de BPA para Lección 1: Administrador del servidor
Capítulo 3
87
determinar si cualquier otra configuración debe realizarse para el servidor local para que funcione correctamente con todas sus funciones instaladas. ■
RendimientoLe permite configurar alertas de rendimiento en el servidor local para que las alertas se plantearán cuando el uso de CPU supera un umbral determinado o la memoria disponible cae por debajo de un nivel especificado.
■
Funciones y CaracterísticasMuestra todas las funciones y características instaladas en el servidor local, y también le permite instalar funciones adicionales o quitar funciones instaladas.
FIGURA 3-2El azulejo en Propiedades en la página del servidor local.
NOTA MÁS POR VENIR
Todos los servidores La página de todos los servidores del Administrador de servidores, se muestra en la Figura 33, es donde puede administrar simultáneamente múltiples servidores remotos en su entorno. Inicialmente, sólo el servidor local se muestra en esta página, pero se pueden encontrar otros servidores en su entorno y añadirlos a esta página para gestionarlos. Cómo hacer esto se explica en la sección de "tareas de gestión de servidor común", más adelante en esta lección.
88
Capítulo3
Servidor Gestión remota
FIGURA 3-3La página Todos los servidores de Administrador de servidores.
La página de todos los servidores muestra los mismos tipos de azulejos que se muestran en la página del servidor local. La diferencia es que en la página de todos los servidores, el azulejo Eventos (por ejemplo) muestra los eventos registrados en todos los servidores se está manejando y no sólo los eventos para el servidor local.
Páginas en roles específicos Dependiendo de qué funciones y características adicionales que haya instalado en su servidor, otras páginas podrían estar disponibles en el lado izquierdo del Administrador de servidores. Por ejemplo, la Figura 3-3 muestra tres roles instalados en el servidor MARDC-1, es decir, el rol AD DS, el rol DNS y el archivo y papel Servicios de Almacenamiento. Si selecciona el fichero y la página de servicios de almacenamiento (se muestra en la Figura 3-4), el Administrador de servidores le proporciona una jerarquía de páginas adicionales para la gestión de servidores, volúmenes, discos, piscinas de almacenamiento, acciones y objetivos iSCSI en sus servidores de archivos Windows Server 2012. Mediante la integración de herramientas de gestión de archivos en servidores directamente en el Administrador de servidores como esto, usted puede administrar sus servidores de archivos Windows Server 2012 sin la necesidad de separado abrir las consolas MMC utilizadas en versiones anteriores de Windows Server para este propósito.
Lección 1: Administrador del servidor
Capítulo 3
89
FIGURA 3-4La página del archivo de almacenamiento y servicios muestra una jerarquía adicional de
páginas para la gestión de Windows Server 2012 los servidores de archivos.
90
Capítulo3
Servidor Gestión remota
Configuración Gestión remota De forma predeterminada, Windows Server 2012 está configurado para permitir la administración remota mediante el Administrador de servidores que se ejecutan en otro equipo. Esto hace que sea fácil para empezar a utilizar el Administrador de servidores para administrar de forma remota servidores que ejecutan Windows Server 2012. Cuando se cumplen ciertos requisitos, los servidores que ejecutan Windows Server 2008 y Windows Server 2008 R2 también se puede gestionar de forma remota mediante el Administrador de servidores. La capacidad de administración remota para los servidores que ejecutan Windows Server 2003 es limitada, sin embargo.
Lección 1: Administrador del servidor
Capítulo 3
91
Configuración de la administración remota en Windows Server 2012 Usted puede determinar si el servidor local está habilitada para la gestión remota de dos maneras: ■
Al iniciar el Administrador de servidores en el servidor local, la selección de la página del servidor local, y ver el estado de la configuración de gestión remota en el azulejo en Propiedades. Este ajuste debería mostrar ya sea como Activado o Desactivado, y se puede modificar la configuración de click-ing él.
■
Mediante la ejecución de la carpeta% windir% \ system32 \ herramienta ConfigureSMRemoting.exe de línea de comandos de un sistema elevado pedirá usando el parámetro apropiado de la siguiente manera: Muestra si la administración remota está
■
activado o desactivado Permite la gestión remota si se
■
encuentra actualmente desactivada Desactiva la administración remota si
■
se encuentra actualmente activada
Si ha confirmado que un servidor remoto que ejecuta Windows Server 2012 ha permitido a la administración remota, pero que aún son incapaces de gestionar de forma remota el servidor mediante el Administrador del servidor, pruebe lo siguiente: ■
90
Si el servidor remoto está en una subred diferente, verificar que no hay cortafuegos de red configuración de bloqueo de administración remota entre las dos subredes.
Capítulo3
Servidor Gestión remota
■
Probarejecutar el Administrador de servidores utilizando la cuenta de administrador integrada en lugar de una cuenta de administrador diferente para asegurar las credenciales suficientes para realizar la operación.
Configuración de la administración remota en Windows Server 2008 Ustedpuede utilizar el Administrador de servidores para administrar de forma remota servidores que ejecutan Windows Server 2008 o Windows Server 2008 R2 si instala por primera vez las siguientes características y actualizaciones en los servidores que ejecutan estos sistemas operativos: ■
Microsoft .NET Framework 4 0.0, que está disponible de http://www.microsoft.com/ es-es / download / details.aspx? id = 17718
■
Victoriahacerws MGESTIÓN Frametrabajo 3 0.0, que está disponible en http://www.microsoft.com/en-us/download/details.aspx?id=29939
■
La revisión descrita en el artículo de Knowledge Base KB 2682011, que está disponible en http://support.microsoft.com/kb/2682011
Para obtener más información, consulte la siguiente página Biblioteca TechNet:http://technet.microsoft. com / es-es / library / hh921475.
Configure-SMRemoting -get
Correr Administrador de servidores en Windows 8 Administrador de servidores también se puede ejecutar desde una estación de trabajo administrativa que ejecuta Windows 8 mediante la implementación de las herramientas administrativas del servidor remoto (RSAT) para Windows 8, que incluye ■
Administrador del servidor
■
MMC complementos y consolas
■
Cmdlets y proveedores de Windows PowerShell
■
Algunas herramientas de línea de comandos adicionales
Ventajas y desventajas del uso de RSAT para Windows 8 Los beneficios de usar RSAT para Windows 8 para la gestión de servidores incluyen los siguientes: Lección 1: Administrador del servidor
Capítulo 3
93
Lo que le permite administrar de forma remota varios servidores en un centro de datos o en la nube de un ejemplo por ordenador para el cliente, desde una estación de trabajo de administrador en su oficina La reducción de los costos de licencias, eliminando la necesidad de instalar ■
■
Windows Server 2012 en el equipo que va a utilizar para la gestión de sus servidores Las desventajas de este enfoque incluyen los siguientes: ■
El equipo cliente debe ejecutar Windows 8, no una versión anterior de Windows.
■
Versiones ARM) de Windows 8 no son compatibles, sólo las versiones x86 y x64.
■
Administrador de servidores en Windows 8 sólo se puede utilizar para la gestión de servidores remotos, no de la gestión del equipo local.
Un escenario en el que el despliegue de RSAT para Windows 8 puede ser especialmente útil es cuando todos los servidores que ejecutan Windows Server 2012 se implementan como instalaciones Server Core, ya que puede simplificar el trabajo de configuración y administración de servidores que no incluyen herramientas de gestión GUI como servidor Manager.
Implementación de RSAT para Windows 8 A descargar RSAT para Windows 8, vaya a http://www.microsoft.com/enus/download/details. ? id = 28972 aspx .Después de instalar RSAT para Windows 8 en un equipo cliente que ejecuta Windows 8, el Administrador de servidores se abre automáticamente de forma predeterminada en el equipo cliente. Si no lo hace, puede iniciar el Administrador de servidores de la siguiente manera: 1.
En la pantalla de inicio, haga clic en el Herramientas administrativas azulejo.
2.
En la carpeta Herramientas administrativas, haga doble clic en el azulejo del Administrador de servidores.
Si usted no ve el azulejo del Administrador de servidores o en Herramientas administrativas en la pantalla de inicio, pase el puntero del ratón sobre la esquina superior derecha de la pantalla Inicio y seleccione Configuración. Si Mostrar Herramientas administrativas está apagado, enciéndalo.
Resumen de la lección ■
94
Server Manager está organizada en varias páginas, muchas de las cuales tienen funcionalidad utilizando tejas y miniaturas similares.
Capítulo3
Servidor Gestión remota
■
El tablero de instrumentos proporciona una funcionalidad básica de supervisión de servidor para mostrar los diversos tipos de alertas.
■
La administración remota está habilitada de forma predeterminada en Windows Server 2012 para hacer los servidores más fácil de manejar.
■
Configuración de la gestión remota en servidores que ejecutan Windows Server 2008 o Windows Server 2008 R2 requiere pasos adicionales.
Lección 1: Administrador del servidor
Capítulo 3
93
Mediante la instalación de las herramientas administrativas del servidor remoto
■
(RSAT) para Windows 8 en una estación de trabajo seguro con Windows 8, se puede administrar de forma remota servidores desde un equipo cliente individual.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Usted desea utilizar el Administrador de servidores para gestionar todos los servidores de Windows en su entorno que se utilizan como servidores de impresión, pero no hay ninguna página de servicios de impresión disponibles en el Administrador de servidores. ¿Por qué? (Elija todas las que correspondan.) A.
Todos los servidores de impresión están actualmente en línea, después de haber sido tomadas fuera de servicio por mantenimiento.
B.
Ninguno de los servidores tienen la impresión y papel Servicios de documento instalado en ellos.
C.
Ninguno de los servidores de su grupo de servidores tienen la impresión y papel Servicios de documento instalado en ellos.
D. Todos los servidores de impresión están ejecutando una versión anterior de
Windows Server y no tengo ha configurado para la administración remota. 2.
¿Cómo se puede verificar que la administración remota se ha habilitado en el servidor que ejecuta Windows Server 2012? (Elija todas las que correspondan.) A.
Examinando el Dashboard de Administrador de servidores que se ejecutan en ese servidor.
B.
Mediante el examen de la página del servidor local de Administrador de servidores que se ejecutan en ese servidor.
C.
Mediante el examen de la página Todos los servidores del Administrador de servidores que se ejecutan en ese servidor.
D. Al examinar la salida del comando Configurar-SMRemoting -get. 3.
Suorganización tiene un entorno mixto de servidores que ejecutan Windows Server 2012 y Windows Server 2008 R2. Usted quiere administrar sus servidores desde una estación de trabajo seguro con Windows 8, por lo que instalar las Herramientas de administración remota del servidor para Windows 8 en esta estación de trabajo. ¿Cuál de las siguientes afirmaciones describe mejor las capacidades de gestión de este arreglo? A. B.
96
Capítulo3
Ustedpuede manejar todos los roles y funciones de los servidores que ejecutan Windows Server 2012 y Windows Server 2008 R2. Ustedpuede manejar todos los roles y funciones de los servidores que ejecutan Servidor Gestión remota
Windows Server 2012 y algunos roles y funciones de los servidores que ejecutan Windows Server 2008 R2. C.
Ustedpuede manejar todos los roles y funciones de los servidores que ejecutan Windows Server 2012, pero no hay roles y funciones de los servidores que ejecutan Windows Server 2008 R2.
D. Ustedpuede manejar todos los roles y funciones de los servidores que ejecutan
Windows Server 2012, pero es necesario instalar las Herramientas de administración remota del servidor para Windows 8 en una estación de trabajo con Windows 7 para administrar roles y funciones de los servidores que ejecutan Windows Server 2008 R2.
Lección 1: Administrador del servidor
Capítulo 3
93
Lección 2: tareas de administración del servidor Administrador del servidor se puede utilizar para llevar a cabo muchos tipos de tareas de administración de servidores. Esta lección muestra cómo se puede realizar algunas tareas de gestión de claves mediante el Administrador de servidores.
Realizar algunas tareas de gestión de servidor común usando el Administrador de servidores.
Adiciónservidores Aadministrar servidores remotos utilizando el Administrador de servidores, primero debe agregar los servidores al grupo de servidores. Puede agregar servidores físicos y virtuales al grupo de servidores. Como se describe en la lección anterior, se necesita ninguna configuración adicional para agregar servidores en ejecución Windows Server 2012 para el conjunto de servidores. Los servidores que ejecutan Windows Server 2008 o Windows Server 2008 R2, sin embargo, primero deben ser configurados para la gestión de servidor remoto antes de que puedan ser añadidos al grupo de servidores. A agregar servidores al grupo de servidores, haga lo siguiente: 1.
Desde cualquier página del Administrador de servidores, haga clic en el menú Administrar y luego haga clic en Agregar servidores para abrir el cuadro de diálogo Agregar servidores.
2.
Haga clic en la pestaña Active Directory si desea buscar Active Directory para los servidores que puede administrar. Para buscar Active Directory, puede limitar su búsqueda a lo siguiente:
3.
98
■
Lugar, que se puede utilizar para encontrar los servidores del dominio o único dominio controladores. (See Figura 3-5.)
■
Sistema operativo, que puede utilizar para encontrar servidores que ejecutan un operativo específico sistema.
■
Nombre (CN), que le permite escribir el nombre o la primera parte del nombre del servidor o servidores que están buscando.
Alternativamente, haga clic en la ficha DNS para consultar el Servicio de nombres de dominio (DNS) para los servidores que desea administrar por sus nombres de equipo o direcciones IP.
Capítulo3
Servidor Gestión remota
4.
Alternativamente, haga clic en la pestaña Importar para especificar un archivo de texto que contiene una lista de equipo nombres de los servidores que desea administrar.
5.
Cualquiera que sea el enfoque que utiliza para encontrar los servidores que desea administrar, cuando los encuentra, clic en el control para añadir los servidores seleccionados para el conjunto de servidores. Tenga en cuenta que, como se muestra en la Figura 3-5, puede seleccionar varios servidores para agregarlos.
FIGURA 3-5Adición de servidores al grupo de servidores.
Creacióngrupos de servidores Después de agregar todos los servidores que desea administrar al grupo de servidores, la siguiente tarea que debe realizar es crear grupos de servidores personalizados para diferentes tipos de servidores. Un grupo de servidores es un subconjunto lógico del grupo de servidores. Puede utilizar varios criterios para decidir qué grupos de servidores que desea crear. Por ejemplo, puede crear grupos de servidores para agrupar los servidores de la organización de acuerdo con alguno de los siguientes criterios: ■
Función de negocios (por ejemplo, servidores de Contabilidad)
■
Localización geográfica (por ejemplo, servidores de Seattle)
■
Rol (por ejemplo, hosts de Hyper-V que ejecutan una determinada versión de Windows Server)
■
Responsabilidad (por ejemplo, servidores
de Bob) Para crear un nuevo grupo de servidores, haga lo siguiente: 1.
Desde cualquier página del Administrador de servidores, haga clic en el menú Lección 2: tareas de administración del servidor
Capítulo 3
99
Administrar y luego haga clic en Crear grupo de servidores para abrir el cuadro de diálogo Crear grupo de servidores.
10 0
2.
Tipo un nombre descriptivo para el nuevo grupo de servidores.
3.
Seleccione los servidores que desea agregar al nuevo grupo de servidores de la lista de servidores en el grupo de servidores y haga clic en el control para añadirlos al grupo de servidores. (Ver Figura 3-6.)
4.
Alternativamente, puede seleccionar los servidores mediante la búsqueda de Active Directory, consulta DNS o la importación de un archivo de texto con una lista de nombres de equipo como se describe en el tema anterior.
Capítulo3
Servidor Gestión remota
FIGURA 3-6Adición de servidores en la piscina para un grupo de servidores.
Después de crear el nuevo grupo de servidores, aparece como una página independiente en el Administrador de servidores. (Ver Figura 3-7 en la siguiente sección.) Para modificar el número de miembros de un grupo de servidores existente o eliminar el grupo de servidores, haga clic en el control de las tareas en el Servidores baldosas de la página para ese grupo de servidores.
Reinicie el servidor Después de agrupar los servidores de acuerdo con los criterios que has decidido, usted puede realizar diversas tareas de gestión en estos servidores directamente desde el Administrador de servidores. Por ejemplo, para reiniciar un servidor en particular en un grupo determinado servidor, haga lo siguiente: 1.
Seleccione la página del Administrador de servidores para ese grupo de servidores.
2.
Haga clic derecho en un servidor en particular que aparece en el Servidores baldosas de esa página.
3.
Select Reiniciar Servirr from la contexto menú . (See Figura 3-7.)
Otras tareas de administración también están disponibles en el menú contextual, pero tenga en cuenta que algunas de estas tareas requieren ciertos requisitos previos para que puedan funcionar. Por ejemplo, el Escritorio remoto debe estar habilitado en el servidor remoto antes de poder abrir una conexión de escritorio remoto a ese servidor.
Lección 2: tareas de administración del servidor
Capítulo 3
10 1
FIGURA 3-7Reinicio de un servidor en el grupo de servidores seleccionado.
Recogida de eventos Ustedpuede utilizar el Administrador de servidores para recopilar eventos de los registros de sucesos de servidores remotos y luego mostrar las alertas en el tablero de instrumentos siempre que se cumplan ciertos criterios de eventos.
Configuración de la recopilación de eventos Ustedpuede configurar la recopilación de eventos para los servidores que aparecen en cualquiera de estas páginas: ■
Servidor local
■
Todos los servidores
■
Páginas en roles específicos
■
Páginas para grupos de servidores que creó
Por ejemplo, para configurar la recopilación de eventos para los servidores que aparecen en la página de todos los servidores, haga lo siguiente:
10 2
1.
Seleccione la página de todos los servidores en el Administrador de servidores.
2.
En el mosaico Eventos, haga clic en Tareas y seleccione Configurar datos de eventos para abrir la Configuración Cuadro de diálogo de datos de eventos, que se muestra en la Figura 3-8.
Capítulo3
Servidor Gestión remota
FIGURA 3-8Configuración de la recopilación de eventos para los servidores.
Por ejemplo, puede hacer lo siguiente: ■
Elija qué tipos de eventos para recoger en función de su nivel de gravedad.
■
Reunir hechos ocurridos en las últimas 24 horas, 3 días, 7 días, o un período de tiempo personalizado expresado en días u horas.
■
Obtén eventos de todas los registros de eventos o sólo los registros de eventos específicos en los servidores.
Cuando los acontecimientos se han recogido de los servidores, que se muestran en el azulejo de Eventos de la página seleccionada Administrador de servidores. Selección de un servidor en esa página muestra todos los eventos recopilaron desde ese servidor; seleccionar varios servidores muestra los eventos recogidos de todos los servidores seleccionados. Al seleccionar un evento en particular, puede mostrar un panel, como el que se muestra en la Figura 3-9, con información adicional sobre el evento.
Lección 2: tareas de administración del servidor
Capítulo 3
10 3
FIGURA 3-9Visualización de información sobre un evento específico.
Configuración de alertas para eventos Cuando se están recogiendo los eventos para los servidores que aparecen en una página en particular, puede configurar el azulejo del tablero de instrumentos para esa página en particular para mostrar alertas cada vez que se ha recogido un evento de un tipo particular. Para continuar con el ejemplo anterior, puede configurar el All Servidores baldosas en el tablero de instrumentos para mostrar alertas para tipos específicos de eventos haciendo lo siguiente:
100
1.
Seleccione el Panel de control del Administrador del servidor.
2.
En el todo Servidores azulejo, haga clic en Eventos para abrir la caja de todos los servidores - Vista de diálogo Eventos Detalle muestra en la Figura 3-10.
Capítulo3
Servidor Gestión remota
FIGURA 3-10Configuración de alertas para eventos.
3.
Especifique las condiciones para la visualización de alertas de eventos para los eventos recogidos mediante la configuración la siguiente: ■
Ya sea que los eventos críticos, error o advertencia (o los tres) deben generar alertas. (De forma predeterminada, sólo los eventos críticos generan alertas.)
■
The vísperaNuevo Testamento agrioces for la vísperants. (By default, este incLudes todos vísperaNuevo Testamento agrioces.)
■
The vísperaNuevo Testamento logs for la vísperants. (By default, este incLudes todos vísperaNuevo Testamento registros .)
■
El período de tiempo durante el cual se produjo el evento. (De forma predeterminada, esto es durante las últimas 24 horas.)
■
Identificadores de eventos específicos que deben generar alertas. Por ejemplo, la especificación de 1-20, -13, 75 genera sólo alertas que tienen identificadores de eventos de 1-20 (excepto 13) o 75.
■
En el que ocurrieron los hechos Los servidores. (Anule la selección de servidores que no desea utilizar el tablero de instrumentos para generar alertas de eventos para.)
Alertas de eventos se indican con números rojos al lado del Eventos miniatura de azulejos en el tablero de instrumentos. Haga clic en la miniatura Eventos de cualquier baldosa para ver más información acerca de los hechos que generaron las alertas.
Monitoreo servicios Ustedpuede utilizar el Administrador de servidores para supervisar los servicios en servidores remotos y luego mostrar las alertas en el tablero de instrumentos cada vez que Lección 2: tareas de administración del servidor
Capítulo 3
101
un servicio cumple con ciertos criterios. También puede utilizar el Administrador de servidores para iniciar, detener, reiniciar, pausar y reanudar los servicios en servidores remotos. Para configurar otros ajustes para los servicios, abra la consola MMC Servicios de Herramientas administrativas.
Configuración de alertas de servicio Ustedpuede configurar cualquier baldosas en el tablero de instrumentos para mostrar alertas de servicio de los servidores de la baldosa representa de la siguiente manera: 1.
Seleccione una ficha en el tablero de instrumentos en el Administrador del servidor, por ejemplo, el azulejo todos los servidores.
2.
Haga clic en la miniatura de Servicios en este azulejo para abrir las Todos los Servidores - cuadro de diálogo Formato Detallado Servicios para ese grupo de servidores, como se muestra en la Figura 3-11.
FIGURA 3-11Configuración de alertas de servicio para eventos recopilados.
3.
102
Capítulo3
Especifique las condiciones para la visualización de alertas de servicio para eventos recopilados mediante la configuración la siguiente: ■
¿Qué tipos de servicio comienzan tipos pueden generar alertas. (De forma predeterminada, sólo los servicios configurado para iniciarse automáticamente, o automáticamente con el retraso de inicio, se seleccionan.)
■
Which servhielos cuna genercomió alertas. (By default, todos servhielos cuna genercomió alertas.)
■
¿Qué servicios condiciones de estado pueden generar alertas. (Todos los tipos pueden hacer esto de forma predeterminada.)
■
En que ocurrieron los problemas de servicio Los servidores. (Anule la selección de servidores que no desea utilizar el tablero de instrumentos para generar alertas de servicio para.) Servidor Gestión remota
Alertas de servicio se indican con números rojos junto a los Servicios en miniatura de azulejos en el tablero de instrumentos. Haga clic en la miniatura Servicios de cualquier baldosa para ver más información sobre los servicios que generan las alertas.
Recopilacióndatos de rendimiento Server Manager permite recopilar datos de rendimiento en servidores remotos y luego mostrar alertas en el tablero de instrumentos siempre que se cumplan ciertos criterios de rendimiento.
Configuración de colección de datos de rendimiento Ustedpuede configurar los datos de rendimiento de recogida de los servidores enumerados en cualquiera de estas páginas: ■
Servidor local
■
Todos los servidores
■
Páginas en roles específicos
■
Páginas para grupos de servidores que creó
Por ejemplo, para configurar la recopilación de datos de rendimiento para servidores enumerados en el Todo Página Servidores, haga lo siguiente: 1.
Seleccione la página de todos los servidores en el Administrador de servidores.
2.
En el mosaico de rendimiento, haga clic en los servidores que muestran el estado del contador como Off y seleccione Contadores de rendimiento de inicio en el menú contextual.
3.
En el mosaico de rendimiento, haga clic en Tareas y seleccione Configurar alertas de rendimiento para abrir los All Servers - Cuadro de diálogo Configurar alertas de rendimiento, como se muestra en la Figura 3-12.
Lección 2: tareas de administración del servidor
Capítulo 3
103
FIGURA 3-12La recopilación de datos de rendimiento.
4.
Especifique los umbrales de alerta de rendimiento para uso de la CPU y la memoria disponible, y configurar el período de visualización gráfica en día.
Configuración de alertas de rendimiento Cuando se están recopilando datos de rendimiento de los servidores de la lista en una página determinada, puede configurar el azulejo del tablero de instrumentos para esa página en particular para mostrar alertas cuando el rendimiento cumple con los criterios especificados. Para continuar con el ejemplo anterior, puede configurar el All Servidores baldosas en el tablero de instrumentos para mostrar alertas de rendimiento de la siguiente manera: 1.
Seleccione el Panel de control del Administrador del servidor.
2.
En el mosaico de todos los servidores, haga clic en Rendimiento para abrir el All Servers - cuadro de diálogo Rendimiento Detallado muestra en la Figura 3-13.
FIGURA 3-13Configuración de alertas de rendimiento.
3.
104
Capítulo3
Especifique las condiciones para la visualización de alertas de rendimiento mediante la configuración de lo siguiente: Servidor Gestión remota
■
Si la CPU o la memoria puede generar una alerta. (Por defecto, ambos pueden generar alertas.)
■
El período de tiempo durante el cual se produjo la condición de rendimiento. (De forma predeterminada, esto es durante las últimas 24 horas.)
■
En el que se produjo la condición de rendimiento de los servidores. (Anule la selección de servidores que no desea utilizar el tablero de instrumentos para generar alertas de eventos para.)
Alertas de rendimiento se indican con números rojos junto a la miniatura Rendimiento de azulejos en el tablero de instrumentos. Haga clic en la miniatura de rendimiento de cualquier baldosa para ver más información acerca de la condición que generó la alerta.
Lección 2: tareas de administración del servidor
Capítulo 3
105
Visualización las notificaciones de estado Notificaciones de estado sobre las tareas en ejecución se indican en dos lugares en la consola del Administrador de servidores: ■
Por un icono gris número debajo, aparece un icono de advertencia amarillo debajo, o una caja roja alrededor el icono de notificación en la barra de menú en la parte superior de cada página
■
Por una barra de mensajes amarillo o rojo debajo de la barra de título de
la baldosa figura apropiada 3-14 muestra un ejemplo de estos dos tipos de notificaciones.
FIGURA 3-14Los ejemplos de las notificaciones de estado.
Al hacer clic en la barra de mensajes en la Figura 3-14 muestra información completa sobre las notificaciones de estado en un cuadro de diálogo separado Detalles de la tarea como la que se muestra en la Figura 3-15. Tenga en cuenta que el panel inferior de este cuadro de diálogo se muestran ejemplos de ambas notificaciones de error y de advertencia.
106
Capítulo3
Servidor Gestión remota
FIGURA 3-15Los detalles completos de las notificaciones de estado.
Lección 2: tareas de administración del servidor
Capítulo 3
107
Al hacer clic en la bandera muestra información breve resumen Notificaciones relativas a las notificaciones que se han planteado, como se muestra en la Figura 3-16. Al hacer clic en Detalles de la tarea en la parte inferior de esta información resumida se abre el cuadro de diálogo mostrado anteriormente en la Figura 3-15.
FIGURA 3-16Breve resumen de la información sobre las notificaciones de estado.
Resumen de la lección ■
Servidores deben agregarse al grupo de servidores antes de poder administrarlos mediante el Administrador de servidores.
■
La organización de servidores en grupos de servidores hace que sean más fáciles de manejar en grandes entornos distribuidos.
108
■
Server Manager puede recopilar eventos y datos de rendimiento de los servidores administrados y alertas de visualización cuando se cumplen ciertas condiciones.
■
Administrador del servidor se puede utilizar para realizar algunas tareas básicas de gestión de servicios.
Capítulo3
Servidor Gestión remota
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Suorganización tiene seis servidores que ejecutan Windows Server 2012 en un entorno de dominio. Sólo cuatro de esos servidores se enumeran en la página de todos los servidores del Administrador de servidores. ¿Qué debe hacer para asegurar que los dos servidores restantes también se encuentran en esta página? A.
Crear un grupo de servidores, y añadir los dos servidores al grupo.
B.
Crear un grupo de servidores, y añadir los dos servidores al grupo.
C.
Agregue los servidores de un grupo de servidores existente.
D. Agregue los servidores a su grupo de servidores 2.
¿Cuál de las siguientes no son fines de la creación de grupos de servidores en el Administrador de servidores? (Elija todas las que correspondan.) A.
Ustedpuede utilizar grupos de servidores para asignar privilegios a los servidores mediante su inclusión en grupos de servidores.
B.
Usted puede utilizar grupos de servidores para facilitar la gestión de servidores en diferentes ubicaciones geográficas.
C.
Ustedpuede utilizar grupos de servidores para facilitar la delegación de permisos para los servidores utilizados por los diferentes departamentos de la organización.
D. Ustedpueden anidar grupos de servidores para crear una colección
jerárquica de servidores que refleja las responsabilidades administrativas de su personal de TI. 3.
Usted configurado el azulejo Rendimiento en la página todos los servidores para establecer un umbral de alerta rendimiento para uso de la CPU del 60%, ya que, al abrir la ficha Rendimiento del Administrador de tareas en esos servidores, te diste cuenta de que varios de sus servidores administrados estaban experimentando carga pesada. Sin embargo, tres horas más tarde te das cuenta de que no hay alertas se han planteado en el azulejo Rendimiento de la página todos los servidores, a pesar de que los servidores todavía parecen estar bajo carga pesada. ¿Por qué? (Elija todas las que correspondan.) A.
Usted descuidado habilitar contadores de rendimiento en esos servidores.
B.
El período de visualización gráfica mínima para alertas de rendimiento es de 1 día, y no ha transcurrido mucho tiempo todavía.
C.
Usted propiedades del Administrador del servidor configurado para un periodo de refresco de más de tres horas. Lección 3: Instalación de las funciones y características
Capítulo 3
109
D. Ustedaún no se han añadido los servidores a un grupo de servidores
personalizado. 4. ¿Cuál de las siguientes tareas de gestión de servicios puede que no funcione en servidores remotos utilizando una baldosa Servicios en una de las páginas del Administrador del servidor? A.
Detención de un servicio
B.
Pausa de un servicio
C.
Inicio de un servicio
D. Cambiar la opción Tipo de inicio del servicio
Lección 3: Instalación de las funciones y características Funciones y características proporcionan una funcionalidad adicional para servidores Windows, tales como la capacidad de utilizar el servidor como un servidor de impresión en la red. Esta lección muestra cómo instalar las funciones y características en un servidor que ejecuta Windows Server 2012 usando tanto la consola del Administrador de servidores y los comandos de Windows PowerShell. En capítulos posteriores examinan cómo configurar y administrar funciones específicas, tales como Active Directory Domain Services, servidor DHCP, servidor DNS, Archivo Servicios de almacenamiento, Hyper-V y Servicios de impresión y documentos.
Utilice el Administrador de servidores para instalar o quitar funciones y características en servidores remotos. Uso de Windows PowerShell para instalar o quitar funciones y características en servidores remotos.
Requisitos previos para la instalaciónfunciones y características A instalar una función o característica en un servidor con Windows Server 2012, el servidor debe tener acceso a los archivos binarios para instalar esa función o característica. Como se explica en el capítulo 2, "Distribución de servidores," una nueva capacidad de llamadas Características On Demand permite a los administradores para eliminar por completo los binarios para las funciones y características de un servidor que ejecuta Windows Server 2012 para reducir la cantidad de espacio en el disco del sistema operativo utiliza.
110
Si los binarios para una función particular o característica que desea instalar en un servidor previamente se han retirado de la unidad del sistema del servidor, Windows Server 2012 puede obtener estos binarios de varias maneras:
Capítulo3
Servidor Gestión remota
■
Al descargar directamente desde Windows Update.
■
Por copiándolos de la carpeta de almacenamiento de lado a lado (SxS) en una instalación de ejecución de la misma edición y nivel de Service Pack como su servidor. Para ello, compartir la Carpeta SxS o una carpeta principal en el otro servidor y luego especificar la ruta de acceso UNC a la carpeta compartida SxS cuando se utiliza el Agregar roles y características de asistente o el cmdlet Install-WindowsFeature.
■
Al copiar toda la carpeta tienda de lado a lado (SxS) de una instalación de la misma edición y nivel de Service Pack como su servidor a una carpeta compartida en un servidor de archivos en la red. A continuación, especifique la ruta UNC a esta carpeta compartida cuando se utiliza el Agregar roles y características de asistente o el cmdlet Install-WindowsFeature.
■
Mediante el uso de una imagen de Windows montada de una imagen de Windows (WIM) archivo como el archivo Install.wim en la carpeta \ Sources en el servidor de 2012 los medios de comunicación de producto de Windows (archivo ISO).
■
Mediante el uso de un archivo montado disco duro virtual que incluye una instalación de la misma edición y nivel de Service Pack como su servidor.
Usted puede utilizar Directiva de grupo para controlar si los binarios extraídos se descargan desde Windows Update o no, y se puede especificar la ruta donde los archivos binarios se pueden encontrar si sus roles o características asociadas necesitan ser instalados. El ajuste de política de control de este comportamiento es como sigue:
Figura 3-17 muestra las opciones de configuración para esta configuración de directiva.
Lección 3: Instalación de las funciones y características
Capítulo 3
111
FIGURA 3-17 Directiva de grupo para controlar la instalación de roles y de funciones que retiró
antes binarios.
Instalaciónroles y funciones mediante el Administrador del servidor En versiones anteriores de Windows Server, puede utilizar el Asistente para agregar roles y Asistente para agregar características para instalar roles y funciones, respectivamente, en el servidor. De Windows 2012 incluye ahora un solo rediseñado Asistente para agregar roles y características que ofrece una mayor flexibilidad y control para la instalación de los roles y funciones de los servidores. Este asistente proporciona una manera fácil para los administradores de las pequeñas y las medianas empresas para instalar los roles y funciones de los servidores que ejecutan Windows Server 2012 en su entorno. A utilizar el Administrador de servidores para instalar un rol o una característica en un servidor con Windows Server 2012, comience haciendo clic en el menú Administrar y seleccionando Agregar funciones y características para abrir el Agregar roles y características Asistente. La página Seleccionar tipo de instalación de este asistente se muestra en la Figura 3-18 ofrece dos opciones para la instalación de las funciones y características en el servidor: ■
112
Capítulo3
Basada en roles o instalación basado en funcionesEsta opción es similar a la utilizada en las versiones anteriores de Windows Server para la Servidor Gestión remota
instalación de las funciones específicas o características que usted elija. ■
Instalación de Servicios de Escritorio remotoCon esta opción, puede implementar un completoInfraestructura de Servicios de Escritorio remoto, ya sea para equipos de sobremesa basados en la sesión o escritorios virtuales, ya sea en un solo servidor o varios servidores.
FIGURA 3-18Windows Server 2012 ofrece dos opciones para la instalación de las
funciones y características.
Lección 3: Instalación de las funciones y características
Capítulo 3
113
Elegir la primera opción en la página Seleccionar tipo de instalación lleva a la página Seleccionar servidor de destino del asistente (que se muestra en la Figura 3-19), que se utiliza para elegir un servidor remoto desde su piscina servidor en el que instalar las funciones y características. Tenga en cuenta que esta página incluye una opción para seleccionar un disco duro virtual en línea en lugar de un servidor en línea. En Windows Server 2012, ahora se puede instalar roles y funciones de los discos duros virtuales fuera de línea, y esta capacidad se describe en el capítulo 10, "Implementación y gestión de cargas de trabajo virtualizadas."
FIGURA 3-19Seleccione el servidor que desea instalar los roles y funciones en.
En la página Seleccionar funciones de servidor, que se muestra en la Figura 3-20, puede elegir uno o más roles para instalar en el servidor seleccionado. Al hacer esto, el asistente le pida que instale las Herramientas de administración remota del servidor para esa función o característica, además de los otros instrumentos de gestión necesarios para la gestión de la función o característica.
Lección 3: Instalación de las funciones y características
Capítulo 3
111
FIGURA 3-20Selección de una función para instalar en el servidor.
El Características Seleccionar página es el siguiente, y lo utilizan para elegir características que desea instalar en su servidor. Páginas adicionales asistente también se manifiesten para ofrecerle información o configuración opciones adicionales para las funciones y características que decida instalar en el servidor, o una lista de servicios de función para elegir a los roles particulares que está instalando. Al llegar a la página Confirmar selecciones de instalación, que se muestra en la Figura 3-21, puede seleccionar la casilla de verificación si desea que el servidor remoto para reiniciarse si esto es necesario para completar la instalación de las funciones y características seleccionadas.
FIGURA 3-21La página de confirmación del asistente.
112
Capítulo3
Servidor Gestión remota
En la parte inferior de la página Confirmar selecciones de instalación se muestra en la Figura 3-21 es una especificar un enlace Camino Fuente alternativo. Haga clic en este enlace si ha extraído previamente alguno de los binarios de los roles o funciones que vaya a instalar en el servidor. Al hacer clic en este enlace muestra un cuadro de diálogo Ruta nate Fuente Alternativo Especificar para especificar la ruta de acceso UNC a la ubicación donde se encuentran los archivos binarios necesarios para instalar los roles o funciones. Cuando un nuevo papel está instalado en el servidor, se añade una nueva página para este papel a la consola del Administrador de servidores. Por ejemplo, la Figura 3-22 muestra la página de servicios de impresión, que aparece una vez que la impresión y papel Servicios documento se ha instalado en uno o más servidores de grupo de servidores. Un nuevo azulejo llamado Servicios de impresión también aparece en el cuadro de mandos para que pueda supervisar los eventos, los servicios y el desempeño de los servidores de impresión y confirmar su capacidad de gestión.
FIGURA 3-22Cada función en un servidor administrado tiene su página asociada en Administrador de
servidores.
La bandera de notificación en la barra de menús del Administrador de servidores en la figura 3-22 indica que una notificación informativa se ha planteado. Al hacer clic en este indicador proporciona información breve resumen acerca de esta notificación, lo que indica que la instalación de la función seleccionada ha sido un éxito.
Sistema en el Editor de directivas Lección 3: Instalación de las funciones y características
Capítulo 3
113
Instalaciónroles y funciones mediante Windows PowerShell UstedTambién puede instalar los roles y funciones de los servidores que ejecutan Windows Server 2012 mediante el uso de comandos de Windows PowerShell. Este enfoque puede ser útil para los administradores que trabajan en entornos de tamaño medio hasta grandes que tienen muchos servidores ejemplo desplegado para, en un centro de datos. También puede utilizar PowerShell para instalar los roles y funciones en discos virtuales offline. Los siguientes cmdlets de Administrador de servidores pueden ser utilizados para la gestión de las funciones y características utilizando PowerShell: ■
Recupera información acerca de las funciones de Windows Server, servicios de función y características que están disponibles
■
Se instala una o más funciones de Windows Server, servicios de función o características
■
Desinstala y elimina funciones de Windows Server especificados, servicios de función y características
Recuperando una lista de funciones y características instaladas Usted puede usar el cmdlet Get-WindowsFeature para recuperar información sobre las funciones, servicios de función y características disponibles en un servidor remoto. Por ejemplo, el siguiente comando muestra una lista de todas las funciones y características disponibles y su actual estado de la instalación en el servidor MAR-SRV1: A mostrar una lista de todas las funciones y características instaladas en el servidor, canalizar la salida del comando anterior en el cmdlet Where-Object y utilizar Where-Object para filtrar todo excepto los roles y características cuya propiedad es igual a InstallState instalada: Usted puede limitar los resultados aún más mediante el parámetro -name del Get-WindowsFeature cmdlet para seleccionar sólo las funciones y características que comienzan con "Imprimir" de esta manera: Get-WindowsFeature -Nombre Imprimir * -ComputerName MAR-SRV-1 | Where-Object InstallState -eq Instalado
El resultado de ejecutar este comando contra el servidor MAR-SRV-1 verifica que la impresión 114
Capítulo3
Servidor Gestión remota
Servicio de rol Servidor de impresión y papel Servicios documento está instalado:
Lección 3: Instalación de las funciones y características
Capítulo 3
115
Get-WindowsFeature - ComputerName MAR-SRV-1 | Where-Object {$ _ InstallState. -eq Instalado}
Instalación de las funciones y características Ustedpuede usar el cmdlet Install-WindowsFeature instalar funciones, servicios de función y características disponibles en un servidor remoto. También puede utilizar el alias AddWindowsFeature invocar este comando. Por ejemplo, el siguiente comando instala la función del servidor DHCP en el servidor MAR-SRV-1: La salida de ejecutar el comando anterior se ve así:
A instalar la función de servidor DHCP, junto con las herramientas de gestión para esta función, añada el parámetro -IncludeManagementTools al comando anterior. Si se necesita un reinicio para la instalación de un papel o funciones y para la correcta instalación, puede forzar que esto suceda al incluir el parámetro -Restart en el comando. Ainstalar todas las características de administración remota del servidor en este servidor, use este comando:
Instalación de los roles y funciones en varios servidores Aunque el Administrador de servidores se puede utilizar para instalar los roles y cuenta solamente en un único servidor a la vez, puede utilizar PowerShell para instalar roles y funciones en varios equipos al mismo tiempo. Usted puede hacer esto mediante el cmdlet Invoke-Command para ejecutar el
116
Capítulo3
Servidor Gestión remota
Install-WindowsFeature comandos en varios equipos. Por ejemplo, este comando instala la función de visor de XPS en los servidores de MAR-SRV-1 y SEA-SRV-3:
La salida de ejecutar el comando anterior parece ª
Instalación de roles y funciones para las que se ha eliminado la carga útil Si los binarios para la función o característica que desea instalar se han eliminado desde el servidor, puede utilizar el parámetro -Fuente para especificar la ubicación de los binarios necesarios para instalar la función o característica. Si no se especifica este parámetro, los binarios necesarios se cargan abajo desde Windows Update menos que este comportamiento se ha desactivado mediante Directiva de grupo. Tenga en cuenta que la descarga de rol o característica binarios desde Windows Update puede tardar algún tiempo.
Extracciónfunciones y características Funciones y características pueden ser removidos de un servidor remoto mediante el Administrador del servidor o PowerShell: ■
Aquitar roles o características mediante el Administrador de servidores, seleccione Quitar funciones y características en el menú Administrar y completar los pasos de los quitar roles y características Asistente. Lección 3: Instalación de las funciones y características
Capítulo 3
117
■
Aquitar roles o características mediante PowerShell, utilice el cmdlet UninstallWindowsFeature o su alias Remove-WindowsFeature. Para obtener más ayuda sobre el uso de este cmdlet, el tipoGet-Help Desinstalar-WindowsFeature Detaileden un símbolo del PowerShell.
Resumen de la lección ■
Si se eliminan los archivos binarios para las funciones o características de un servidor, todavía se puede instalar la función o característica, siempre y cuando sea de Windows Update está disponible o los binarios necesarios se ponen a disposición en la red.
■
Ustedpuede instalar y quitar funciones y características utilizando ya sea el Administrador de servidores o PowerShell.
■
Si usted necesita para instalar o quitar funciones o características de varios servidores a la vez, puede hacerlo utilizando PowerShell.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes comandos de Windows PowerShell no desinstalar la característica de copia de seguridad de Windows Server? A.
Desinstalar-WindowsFeature -Nombre Windows Server de copia de seguridad
B.
Remove-WindowsFeature -Nombre Windows Server de copia de seguridad
C.
Get-WindowsFeature -Nombre * Copia de seguridad * | DesinstalarWindowsFeature
D. Invoke-Command -ScriptBlock {Copia de seguridad Eliminar-WindowsFeature -
Nombre Windows Servidor-} 2.
¿Qué acciones llevará a cabo el siguiente comando?
A.
El comando instalará todos los roles y características disponibles en el servidor remoto.
B.
El comando desinstalará todos los roles y características disponibles en el servidor remoto.
C.
El comando desinstalará todos los roles y características instalados en el servidor remoto.
D. El comando tiene una sintaxis incorrecta y generará un error.
118
Capítulo3
Servidor Gestión remota
3.
¿Qué acciones llevará a cabo el siguiente comando?
A.
Debido Add-WindowsFeature es un alias para el cmdlet InstallWindowsFeature, este comando instala la función de servidor web (IIS) en los dos servidores remotos indicados.
B.
Debido Add-WindowsFeature es un alias para el cmdlet InstallWindowsFeature, este comando instala el (IIS) del servidor Web y todos sus servicios de rol y características subordinadas en los dos servidores remotos indicados.
C.
Debido Add-WindowsFeature es un alias para el cmdlet InstallWindowsFeature, este comando instala la función de servidor web (IIS), todos sus servicios subordinados de rol y características, y todas las herramientas de gestión aplicables a la función y sus servicios de rol y características subordinados en los dos servidores remotos indicado.
D. El comando tiene una sintaxis incorrecta y generará un error. 4.
Si los binarios de una característica se han eliminado de un servidor, cuál de las siguientes condiciones es probable que evitar que la característica de ser instalado con éxito en el servidor? (Elija todas las que correspondan.) A.
Conectividad a Internet se ha reducido, lo que impide que los binarios necesarios que se descarguen desde Windows Update si hay una fuente local para estos binarios está presente en la red y configurado para ser utilizado por el Administrador del servidor o el cmdlet InstallWindowsFeature.
B.
Directiva de grupo se ha configurado para evitar que los binarios necesarios que se descarguen desde Windows Update, y no hay ninguna fuente local para estos rios binacionales presentes en la red y configurados para ser utilizados por el Administrador del servidor o el cmdlet Install-WindowsFeature.
C.
Directiva de grupo se ha configurado para evitar que los binarios necesarios que se descarguen desde Windows Update, y una fuente local para estos binarios está presente en la red, pero se ha configurado de forma incorrecta para su uso por el Administrador del servidor o el cmdlet Install-WindowsFeature.
D. El servidor está conectado a Internet, pero el sitio de Windows Update está
temporalmente fuera, lo que evita los binarios necesarios de la descarga, si no hay ninguna fuente local para estos binarios está presente en la red y configurado para ser utilizado por el Administrador del servidor o el Install-WindowsFeature.
Lección 3: Instalación de las funciones y características
Capítulo 3
119
Lección 4: la automatización de Windows PowerShell La automatización es esencial para la gestión de entornos de centros de datos, ya que simplifica el trabajo de las tareas escénicas y programación en varios servidores. Windows PowerShell 2 0.0, que se introdujo con Windows Server 2008 R2, incluye una nueva característica llamada trabajos de fondo que hicieron más fácil para automatizar tareas de administración de servidores. La versión 3 de PowerShell 0.0, que ahora se incluye en Windows Server 2012, incluye nuevas características adicionales que hacen PowerShell una plataforma aún más flexible y potente para la automatización de la administración de servidores. Esta lección ofrece una visión general de algunas de estas características PowerShell, y también recomienda algunos recursos para los administradores que aún no están familiarizados con PowerShell y quieren aprender más.
backgroun versiones posteriores. som o
una d
fe
yo Victoria
un
yo
w P werShell 2 0.0 y yo P werShell 3 0.0.
Crezca sus habilidades PowerShell con la ayuda de recursos adicionales.
Trabajos en segundo plano PowerShell 2 0.0 introdujo previamente una característica llamada trabajos en segundo plano, que son los comandos que se pueden ejecutar de forma asincrónica en el fondo. Por ejemplo, el comando siguiente inicia un trabajo de fondo que se instala la función de visor de XPS en el servidor MAR-SRV-1: La salida de este comando es la siguiente:
Tenga en cuenta que una vez que se ha iniciado el trabajo, se ejecuta en segundo plano y el símbolo del sistema vuelve inmediatamente para que pueda ejecutar otro comando. Después de un corto período de tiempo, el cmdlet Get-Job se puede utilizar para verificar que el trabajo que empezó ha completado con éxito:
Lección 4: la automatización de Windows PowerShell
Capítulo 3
119
La salida de este comando indica el estado del trabajo como Completado:
Una manera más simple para verificar que el trabajo se ha completado es seleccionar Estado del trabajo como este:
Si desea iniciar un trabajo de fondo y también mostrar cualquier salida generada por los comandos de la tarea, puede usar el cmdlet Receive-Job para lograr esto:
Trabajos programados Nuevo en PowerShell 3 0.0 es la capacidad de PowerShell programacióntrabajos en segundo plano y gestión de los mismos, ya sea con PowerShell o el Programador de tareas de Windows. Al igual que las tareas creadas con el Programador de tareas, puede ejecutar los trabajos en una sola vez programado, en un horario recurrente, o en respuesta a alguna acción o evento. Por ejemplo, para crear un trabajo programado que se instala la función de visor de XPS en el servidor MAR-DC-1 en un momento específico del día actual, utilice primero el cmdlet New-JobTrigger para crear un disparador trabajo para el trabajo programado eres va a crear: Luego utiliza el cmdlet Register-ScheduledJob para crear el nuevo trabajo programado en sí:
120
Capítulo3
Servidor Gestión remota
La salida del cmdlet Register-ScheduledJob se ve así:
La figura 3-23 muestra la carpeta Microsoft \ Windows \ PowerShell \ ScheduledJobs en el Programador de tareas después de que haya transcurrido el tiempo de activación trabajo configurado. La columna Resultado Última ejecución en el panel superior derecho confirma que el trabajo se ha ejecutado con éxito.
FIGURA 3-23Programador de tareas para confirmar la ejecución de un trabajo programado PowerShell.
ral / hh849778
Las sesiones desconectadas En la versión anterior de PowerShell, puede usar el cmdlet New-PSSession para crear una sesión de PowerShell en un equipo remoto. Cuando se crea la nueva sesión, PowerShell establece una conexión persistente con el equipo remoto. Estas sesiones persistentes son llamados PSSessions. Windows PowerShell 0.0 3introduce una mejora a PSSessions para que cualquier nuevas sesiones que se crean mediante el cmdlet New-PSSession se guardan en el equipo remoto. Debido a esto, una vez que comience la PSSession remoto puede desconectar de ella sin interrumpir los comandos que se ejecutan en la sesión. Más tarde, puede volver a conectarse a la PSSession remoto desde el mismo equipo o uno diferente. Lección 4: la automatización de Windows PowerShell
Capítulo 3
121
A ilustrar esta capacidad, comenzar por definir dos variables que contienen bloques de script que iniciar trabajos en segundo plano para instalar y desinstalar la característica de copia de seguridad de Windows Server:
Tenga en cuenta que no se ha incluido el parámetro -ComputerName para la función Install-Windows o Desinstalar-WindowsFeature comandos. Eso es porque usted va a utilizar el cmdlet New-PSSession para crear una sesión gestionados usuario persistente al servidor remoto que desea ejecutar estos comandos en saber, SEA-SRV-1: La variable $ nombre SEASRV1 fue elegido para que sea fácil de recordar que la PSSession está creando estará en el equipo remoto denominado MAR-SRV-1. Ahora usa el cmdlet Invoke-Command para ejecutar la primera secuencia de comandos en la sesión remota:
La salida de este comando muestra que un trabajo de fondo que se instala la función de copia de seguridad de Windows Server está ejecutando en el servidor remoto, por lo que puede utilizar el cmdlet Desconecte-PSSession para desconectarse de la sesión remota, dejando el trabajo en segundo plano que se ejecutan en él: En este punto, el cmdlet Get-WindowsFeature le permite confirmar que el de Windows Función Backup Server se ha instalado con éxito en SEA-SRV-1:
A continuación, desinstale la característica en el servidor remoto. Vamos a empezar con la Connect-PSSession cmdlet volver a conectarse a la sesión remota, que todavía se está ejecutando en SEA-SRV-1: Usted a continuación, utilizar Invoke-Command de nuevo, esta vez para quitar la función del servidor remoto:
122
Capítulo3
Servidor Gestión remota
Mediante el uso de Get-WindowsFeature otra vez, usted puede confirmar que la función ha sido eliminado con éxito desde el equipo remoto. Por último, debido a que ahora haya terminado de administrar el servidor remoto, canalizar la salida del cmdlet Get-PSSession, que obtiene todos PSSessions que se crearon durante la sesión actual, en el cmdlet Remove-PSSession, que cierra los PSSessions:
MÁS INFORMACIÓNCMDLETS mor
abou º cm
thi segundo
sí
ral / hh849695
Recursos para el aprendizaje de Windows PowerShell Si eres nuevo en Windows PowerShell, puede utilizar sus recursos de ayuda incorporadas para aprender sobre diferentes cmdlets. También hay una serie de libros útiles que usted puede aprender de también.
Uso de Windows PowerShell ayuda Ustedpuede usar el cmdlet Get-Help para mostrar la sintaxis para otros cmdlets y ejemplos de cómo utilizar esos cmdlets. Por ejemplo, para mostrar la ayuda básica para el cmdlet Connect-PSSession, utilice este comando: Amostrar ayuda detallada, utilice este comando:
Amostrar algunos ejemplos de cómo utilizar Connect-PSSession, utilice este comando:
Amostrar ayuda detallada junto con ejemplos, utilice este comando:
Lección 4: la automatización de Windows PowerShell
Capítulo 3
123
Ayuda actualizable Nuevo en Windows PowerShell 3 0.0 es la capacidad de descargar actualizada ayudaarchivos de los cmdlets de PowerShell módulos. Para descargar los últimos archivos de ayuda, utilice este comando: Usted También puede usar este cmdlet para descargar archivos de ayuda actualizados a una carpeta compartida de la red para que pueda instalarlos en sus servidores sin necesidad de permitir que los servidores se conecten a Internet. Para aprender a utilizar el cmdlet Update-Help, utilice este comando:
Ayuda en línea mejorado Tambiénnueva en Windows PowerShell 3 0.0 es la capacidad de mostrar la versión en línea de la ayuda paraun cmdlet en su navegador de Internet predeterminado. Para ello, incluya el parámetro -Online con el cmdlet Get-Help así:
Libros recomendados Los siguientes son algunos libros que han sido recomendados por los expertos de Windows PowerShell en Microsoft. Estos se enumeran en orden, comenzando con los libros para principiantes y terminando con libros para usuarios avanzados: ■
Aprenda Windows PowerShell en un mes de para llevar, Por Don Jones (Manning Publications, 2011)
■
Windows PowerShell Cookbook, segunda edición, Por Lee Holmes (O'Reilly Media, 2012)
■
Windows PowerShell en acción, segunda edición, Por Bruce Payette (Manning Publications, 2011)
Más recomendaciones para aprender acerca de Windows PowerShell se pueden encontrar en la Guía de Windows PowerShell Supervivencia en el TechNet Wiki enhttp://social.technet.microsoft.com/ wiki / contenido / artículos / 183.windows-powershellsupervivencia-guía-en-us.aspx
.
Resumen de la lección ■
Trabajos en segundo plano de Windows PowerShell pueden ejecutar de forma asincrónica en segundo plano para ejecutar comandos y scripts en servidores remotos.
■
De Windows PowerShell trabajos programados se pueden utilizar para programar la ejecución de PowerShell de comandos y scripts en servidores remotos.
■
Ustedpuede desconectarse de una sesión en ejecución de Windows PowerShell en un servidor remoto y permitir que los comandos y scripts en la sesión para continuar ejecutando.
124
Capítulo3
Servidor Gestión remota
■
Ustedpuede volver a conectarse a una sesión de Windows PowerShell desconectados en un servidor remoto.
■
Usted puede descargar archivos de ayuda actualizados para los cmdlets de módulos de Windows PowerShell.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de las siguientes afirmaciones no es cierto acerca de trabajos en segundo plano? A.
Usted puede verlas con el cmdlet Get-ScheduledJob.
B.
Usted puede crearlos mediante el cmdlet Start-Job.
C.
Usted puede detener temporalmente con el cmdlet Suspend-Job.
D. Usted puede eliminarlos mediante el cmdlet Remove-Job. 2.
¿Qué medidas va escribiendo el comandoNueva JobTrigger -Daily -En "4:15 AM" -DaysInterval 3realizar cuando se ejecuta? A.
Se crea un nuevo trabajo planificado que funciona todos los días a las 4:15 AM en el tercer día de cada semana.
B.
Se crea un nuevo trabajo planificado que funciona todos los días a las 4:15 AM cada tercer día.
C.
Crea un nuevo disparador de trabajo que se puede utilizar para ejecutar un trabajo programado los días a las 4:15 AM en el tercer día de cada semana.
D. Crea un nuevo disparador de trabajo que se puede utilizar para ejecutar un
trabajo programado los días a las 4:15 AM cada tercer día. 3.
¿Qué dos cmdlets usaría para crear una tarea programada? A.
Usted sería usar los cmdlets Nueva-empleo y Nueva-JobTrigger.
B.
Usted sería usar los cmdlets Nueva-empleo y Nueva-ScheduledJob.
C.
Ustedsería usar los cmdlets Nueva JobTrigger y Nueva-ScheduledJob.
D. Usted utilizaría el Nuevo-JobTrigger y Registrar-ScheduledJob cmdlets. 4.
Which oF la follovictoriag es nAntiguo Testamento verdadero acerca de PSSessions yon versión 3 0.0 oF PowerShell? A.
Cualquier nuevas sesiones que se crean mediante el cmdlet New-PSSession se guardan en el equipo remoto.
B.
Una vez que comience la PSSession remoto, puede desconectarse de ella mediante el cmdlet Desconecte-PSSession sin interrumpir los comandos que se ejecutan en la sesión. Lección 4: la automatización de Windows PowerShell
Capítulo 3
125
C.
Ustedmás tarde puede volver a conectarse a una PSSession remoto desconectado de la misma o de un equipo diferente con el cmdlet ConnectPSSession.
D. Usteddebe utilizar PSSessions sólo cuando es necesario ejecutar un solo
comando en un servidor remoto, no múltiples comandos que comparten datos como una función o el valor de una variable.
126
Capítulo3
Servidor Gestión remota
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Instalación de las funciones y características
■
Gestión de alertas con el Dashboard
■
Programación de tareas utilizando empleos PowerShell
Arealizar los ejercicios en esta sección, necesita al menos una instalación limpia de Windows Server 2012 con el servidor con una opción de instalación GUI. El servidor debe ser un servidor independiente que pertenece a un grupo de trabajo, tienen conexión a Internet, y no tienen adroles o funciones condicionales instalados. Usted debe estar conectado de forma interactiva en el servidor mediante una cuenta de usuario que sea miembro del grupo Administradores local, pero que no es la cuenta de administrador predeterminada. A los efectos de estos ejercicios, el nombre del servidor se supone que es server1.
Ejercicio 1: Instalación de las funciones y características En este ejercicio, se utiliza tanto el Administrador de servidores y Windows PowerShell para instalar y quitar funciones y características de un servidor. 1.
Abra una consola de PowerShell con privilegios administrativos mediante la opción Ejecutar como administrador.
2.
Canalizar la salida de Get-WindowsFeature en Where-Object para mostrar una lista de las funciones y características instaladas actualmente. Tenga en cuenta los roles y funciones que se instalan de forma predeterminada en una instalación limpia utilizando el servidor con una opción de instalación GUI.
3.
Iniciar el Administrador de servidores, cambie a la página de todos los servidores, y desplácese hacia abajo para los roles y características azulejo. Compare lo que se ve en esa ficha con la salida del comando en el paso 2.
4.
Utilice el Administrador de servidores para iniciar el Agregar roles y características Wizard e instalar la función del servidor DHCP en el servidor, incluyendo las herramientas de administración para este papel.
5.
Haga clic en la bandera de notificaciones en la barra de menús del Dashboard para confirmar que el característica instalado correctamente.
6.
Ejecute el comando para verificar que tanto la función de servidor DHCP y herramientas DHCP Server Feature estén instaladas.
7.
Canalizar la salida de la orden anterior en Desinstalar-WindowsFeature para desinstalar tanto la función de servidor DHCP y herramientas del servidor DHCP Ejercicios prácticos sugeridos 3
Capítulo
129
cuentan desde el servidor. 8.
Observe el mensaje de advertencia que dice que usted debe reiniciar el servidor para terminar la eliminación proceso. No reinicie el servidor todavía.
9.
Ejecute el comando de nuevo, y examinar laInstale Estado de la función de servidor DHCP y herramientas del servidor DHCP cuentan.
10. Utilizar el
comando para reiniciar el servidor.
11. Al iniciar sesión de nuevo, utilice el comando
nuevo y tenga en cuenta el estado de la función de servidor DHCP y herramientas DHCP Server Feature Instalar. 12. Desconecte el servidor de Internet. 13. Inicie el Agregar roles y características Asistente de nuevo, y seleccione .NET
Framework 0.5 3Características en la página Seleccionar características. 14. Tenga en cuenta el mensaje de advertencia de color amarillo en la página Confirmar
selecciones de instalación, y haga clic en Instalar. 15. Tenga en cuenta el mensaje de error. La instalación de esta función fracasó porque los
binarios para .NET Framework 0.5 3 (que incluye .NET Framework 2 0.0 y .NET Framework 0.0 3) son no incluido en una instalación de Windows Server 2012 y debe tampoco ser descargado desde Windows Update o puestos a disposición de la red. Leerhttp: // TechNet. microsoft.com/enus/library/hh831809#BKMK_FoD para más información. 16. Cierre el agregar funciones y características Asistente, y vuelva a conectar el servidor a
Internet.
Ejercicio 2: Gestión de alertas con el Dashboard En este ejercicio, configurará y generar alertas en el tablero de instrumentos del Administrador de servidores. 1.
Abra el Administrador de servidores y seleccione la página Panel.
2.
Haga clic en la bandera de notificaciones en la barra de menú en la parte superior para mostrar las alertas de error, de advertencia o de la información que se han planteado. Lea las alertas y despedirlos haciendo clic en Eliminar tarea (el botón X) en la parte superior derecha de cada alerta.
130
3.
Cambie a la página de todos los servidores, y revisar los actos enumerados en el azulejo Eventos.
4.
Haga clic en el control de las tareas en el azulejo de Eventos, y configurar el azulejo para mostrar sólo Error hechos ocurridos en el registro de sucesos del sistema durante las últimas seis horas.
5.
Configure el azulejo Eventos de nuevo para mostrar sólo Advertencia hechos ocurridos en todo
Capítulo3
Servidor Gestión remota
registros de eventos durante las últimas seis horas. 6.
Se filtra la lista de eventos introduciendo el ID de caso de uno de los eventos enumerados en el cuadro de texto Filtro.
7.
Haga clic en el control Consulta de la derecha, escriba un nombre descriptivo para su búsqueda, y guarde la consulta.
8.
Desactive el filtro se aplicó en el paso 6.
9.
Haga clic en el control Consulta de la izquierda, y seleccione su consulta previamente guardada.
10. Eliminar tu consulta guardada, y borrar el filtro nuevo. 11. Clasificar la lista de servicios en el azulejo Servicio de Nombre de
visualización.Compruebe que el servicio de cola de impresión se está ejecutando, y luego haga clic derecho en el servicio y detenerlo. 12. Cambie a la página Panel, y tenga en cuenta la alerta elevada para la miniatura de
Servicios en el azulejo servidor local. 13. Haga clic en esta alerta, reinicie el servicio de cola de impresión, y tenga en cuenta
que la alerta planteado anteriormente se ha eliminado. 14. Haga clic en la miniatura de Servicios en el azulejo del servidor local, y configurar el
azulejo de modo que una servicio detenido no elevará una alerta. 15. Regresar a la página todos los servidores, y el uso de la baldosa Servicios para
detener el servicio de cola de impresión de nuevo. 16. Regreso al Dashboard, y tenga en cuenta que esta vez ninguna alerta se ha
planteado en el azulejo Servicios. 17. Regresar a la página todos los servidores, y reinicie el servicio de cola de impresión.
Ejercicio 3: Programación de tareas utilizando puestos de trabajo de Windows PowerShell En este ejercicio, creará un trabajo programado PowerShell para instalar un papel en el servidor. 1.
Ejecute el comando y compruebe que no existen actualmente PowerShell trabajos programados en el servidor.
2.
Ejecute el comando siguiente para crear un nuevo disparador trabajo que hará un trabajo programado para ejecutar la próxima vez que el usuario inicia sesión:
3.
Averigüe qué hace el parámetro -RandomDelay en el comando anterior mediante la revisión de la sintaxis del cmdlet New-JobTrigger en http://technet.microsoft.com / En-us / library / hh849759.
4.
Ejecute el comando siguiente para crear un trabajo programado que instalará todos los servicios de función de la función de servidor web (IIS) cuando la condición de disparo que ha creado en el paso 2 se produce: Ejercicios prácticos sugeridos 3
Capítulo
131
5.
Ejecute elGet-JobTrigger MyJobcomando para mostrar la condición de disparo para el trabajo programado creó en el paso 4.
6.
Utilice el menú Herramientas del Administrador de servidores para abrir el Programador de tareas para verificar la creación de la tarea programada PowerShell que ha creado y examinar sus propiedades. Luego contestar la siguiente pregunta: Pregunta:¿Qué pasaría si hace clic en MyJob en Programador de tareas y selecciona Run?
Respuesta:El MyJob trabajo iría de inmediato a instalar la función de servidor web (IIS) con todos sus servicios de función en el servidor. 7.
Cierre Programador de tareas, y volver a la consola de PowerShell.
8.
Cierre la sesión del servidor y, a continuación, inicie sesión de nuevo.
9.
Abra una consola de PowerShell elevado, y en repetidas ocasiones ejecutar el comando hasta que aparezca en salida Correr, lo que indica que el trabajo programado ha comenzado a ejecutar. (Sugerencia: Pulse repetidamente la tecla de flecha hacia arriba seguido de Enter para mantener a volver a ejecutar el comando sin tener que volver a escribirlo.)
10. Continuar en repetidas ocasiones la ejecución del comando
hasta que aparezca en Completado salida, lo que indica que el trabajo programado ha terminado. 11. Ejecute el comando
Y ver el estado de Instalacióntodos los servicios de rol y características asociadas con la función de servidor web (IIS).
12. Use PowerShell para desinstalar el (IIS) del servidor Web y todos los servicios de rol
y características asociadas a ella, incluyendo las herramientas de gestión aplicables.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
Ejercicio1Si tiene un controlador de dominio disponible, únete a sus dos servidores de Windows Server 2012 al dominio y tratar de usar los comandos de la sección "Las sesiones desconectadas" en la Lección 4 para instalar la función de copia de seguridad de Windows Server en SERVIDOR2 ejecutando comandos PowerShell en SERVIDOR1.
■
Ejercicio2Si usted no tiene un controlador de dominio disponible, pruebe a utilizar la información que se encuentra en la sección "Adición y gestión de servidores de grupos de trabajo" enhttp: // TechNet. microsoft.com/en-
132
Capítulo3
Servidor Gestión remota
us/library/hh831453 utilizar Administrador de servidores en SERVIDOR1 añadir SERVIDOR2 al grupo de servidores. ■
Ejercicio3Si usted tiene un servidor que ejecuta Windows Server 2008 o Windows Server 2008 R2 disponible, pruebe a activar la gestión remota en el servidor utilizando la información que se encuentra enhttp://technet.microsoft.com/enus/library/hh921475 y luego usar el Administrador de servidores en SERVIDOR1 para agregar el servidor de nivel inferior al grupo de servidores.
Ejercicios prácticos sugeridos 3
Capítulo
133
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 Correctorespuestas: B, C y D
1.
A.
Incorrecto:La página de servicios de impresión estará disponible en el Administrador de servidores, siempre y cuando al menos uno de los servidores de impresión se ha añadido a su grupo de servidores, incluso si todos los servidores de impresión están actualmente fuera de línea.
B.
Correcto:Al menos un servidor debe ejecutar la función Servicios de impresión y documentos y el servidor debe haber sido añadido a su grupo de servidores para que la página de servicios de impresión que esté disponible en el Administrador de servidores.
C.
Correcto:Al menos un servidor que ejecuta la impresión y papel Servicios documento debe estar presente en el grupo de servidores para que la página de servicios de impresión que esté disponible en el Administrador de servidores.
D. Correcto:Al menos un servidor que ejecuta la impresión y papel Servicios
documento debe estar presente en el grupo de servidores para que la página de servicios de impresión que esté disponible en el Administrador de servidores y los servidores que ejecutan una versión anterior de Windows Server debe estar configurado para la gestión remota antes de que puedan se añaden a la piscina servidor. Correctorespuestas: B y D
2.
A.
Incorrecto:El tablero de instrumentos se utiliza para mostrar las alertas y no indica si la administración remota está habilitada en el servidor.
B.
Correcto:Si la configuración de gestión remota en la página del servidor local pantallas Habilitado, la administración remota está habilitada en el servidor.
C.
Incorrecto:La página de todos los servidores se utiliza para agregar servidores al grupo de servidores, creación comió grupos de servidores, configurar los datos de eventos y realizar otras tareas, pero no indica si la administración remota está habilitada en el servidor.
D. Correcto:La salida de este comando indica si Remoting Server Manager está
activado o desactivado en el servidor. Respuesta correcta: B
3.
A.
Incorrecto:Herramientas de administración remota del servidor para Windows 8 incluye herramientas para la gestión de roles y funciones que se ejecutan en Windows Server 2012. En casos limitados, las herramientas
134
Capítulo3
Servidor Gestión remota
también pueden utilizarse para gestionar las funciones y características que se ejecutan en Windows Server 2008 R2 o Windows Server 2008. Así que usted no será capaz de gestionar todos los roles y funciones de los servidores que ejecutan Windows Server 2008 R2. B.
Correcto:Herramientas de administración remota del servidor para Windows 8 incluye herramientas para la gestión de roles y funciones que se ejecutan en Windows Server 2012. En casos limitados, las herramientas también pueden utilizarse para gestionar las funciones y características que se ejecutan en Windows Server 2008 R2 o Windows Server 2008. Así que usted será capaz de gestionar algunas funciones y características en los servidores que ejecutan Windows Server 2008 R2.
C.
Incorrecto:Herramientas de administración remota del servidor para Windows 8 incluye herramientas para la gestión de roles y funciones que se ejecutan en Windows Server 2012. En casos limitados, las herramientas también pueden utilizarse para gestionar las funciones y características que se ejecutan en Windows Server 2008 R2 o Windows Server 2008. Así que usted puede manejar por lo menos algunos roles y funciones de los servidores que ejecutan Windows Server 2008 R2.
D. Incorrecto:Herramientas de administración remota del servidor para Windows
8 se deben instalar en Windows 8 y no se pueden instalar en las versiones anteriores de Windows.
Lección 2 1.
Respuesta correcta: D A.
Incorrecto: Paraagregar un servidor a un grupo de servidores, el servidor debe estar presente en su primer grupo de servidores. Debido a que los dos servidores no están presentes en el conjunto de servidores, no se puede realizar esta acción.
B.
Incorrecto:Sólo hay un grupo de servidores, y que representa a todos los servidores que se están manejando actualmente el Administrador del servidor. No se puede crear un grupo de servidores adicionales, por lo que esta acción no se puede realizar.
C.
Incorrecto: Paraagregar un servidor a un grupo de servidores, el servidor debe estar presente en su primer grupo de servidores. Debido a que los dos servidores no están presentes en el conjunto de servidores, no se puede realizar esta acción.
D. Correcto:Los servidores deben ser añadidos a su grupo de servidores antes de
poder administrarlos mediante el Administrador de servidores. Encuentra los servidores mediante la consulta de Active Directory o servidores DNS o importando sus nombres en un archivo de texto y, a continuación, añadir a su grupo de servidores. Respuestas Capítulo 3
135
2.
Respuestas correctas: B A.
Incorrecto:Los grupos de servidores no se pueden utilizar para asignar privilegios. Son simplemente un medio de agrupar lógicamente servidores administrados en su entorno.
B.
Correcto:Mediante la creación de diferentes grupos de servidores para las diferentes ubicaciones geográficas de su organización, puede facilitar la gestión del servidor en lo que es fácil determinar qué servidores se encuentran dónde.
C.
Incorrecto:Los grupos de servidores no se pueden usar para delegar permisos. Son simplemente un medio de agrupar lógicamente servidores administrados en su entorno.
D. Incorrecto:Los grupos de servidores no se pueden anidar. 3.
Correctorespuestas: A y C A.
Correcto:Los contadores de rendimiento se deben iniciar en el servidor antes de los datos de rendimiento se pueden recoger de ese servidor.
B.
Incorrecto:Cuando los contadores de rendimiento se han iniciado en el servidor, se recogerán datos de rendimiento. Podría tomar varios minutos hasta que se muestre esos datos. Después de que hayan transcurrido tres horas, sin embargo, no debes dejar de ver algunos datos de rendimiento que se muestran en forma de gráfico. C.
Correcto:El período de actualización para Administrador de servidores se puede configurar en cuestión de minutos de 1 minuto a 14.400 minutos (10 días). Si configura el periodo de refresco a ser más de 3 horas, la pantalla del tablero de instrumentos no cambiará hasta que se produzca una actualización y usted no verá ningún nuevas alertas planteadas hasta que se refresca.
D. Incorrecto:Los grupos de servidores son simplemente un medio de
agrupar lógicamente servidores administrados en su entorno. No tienen ningún efecto en cualquier configuración se realiza en la página de todos los servidores. Respuesta correcta: D
4.
A.
Incorrecto:Uno o más servicios en ejecución se puede detener haciendo clic derecho sobre ellos en una baldosa Servicios y seleccionando Detener Servicios.
B.
Incorrecto:Uno o más servicios en ejecución se puede pausar haciendo clic derecho sobre ellos en una baldosa Servicios y seleccionando Servicios Pausa mientras su tipo de inicio es Manual.
C.
Incorrecto:Uno o más servicios parado se puede iniciar haciendo clic derecho sobre ellos en una baldosa Servicios y seleccionando Iniciar servicios, siempre y cuando su tipo de inicio no está deshabilitado.
D. Correcto: Ustedno puede cambiar el tipo de inicio de los servicios de un azulejo
Servicios. Para ello, puede utilizar la consola MMC de servicios, lo que se puede iniciar desde el menú Herramientas del Administrador de servidores. 136
Capítulo3
Servidor Gestión remota
Lección 3 1.
Respuesta correcta: D A.
Incorrecto: Ustedpuede usar el cmdlet Uninstall-WindowsFeature desinstalar características.
B.
Incorrecto:Remove-WindowsFeature es un alias para el cmdlet UninstallWindowsFeature añadido para compatibilidad con versiones anteriores, y usted puede utilizarlo para desinstalar características.
C.
Incorrecto:Canalizando el resultado del cmdlet Get-WindowsFeature en Uninstall- WindowsFeature como esto desinstalar todas las características que coinciden con el comodín * Copia de seguridad * .
D. Correcto:Eliminar-WindowsFeature no es un cmdlet de PowerShell o alias
estándar, pero si cambiaBorraraDesinstalar, Este comando funcionará. 2.
Respuesta correcta: C A.
Incorrecto:El comando final en la tubería es Desinstalar-WindowsFeature, que desinstala características, no los instala.
B.
Incorrecto:Si una función o característica está disponible, se puede instalar, no desinstalado.
Correcto:Al escribir el comandoGet-WindowsFeature -Ordenador Server9 | Where-Object InstallState -eq Instaladoobtendrá todas las funciones y características que soninstalada actualmente en el servidor remoto. Tubería de la salida de este comando en el cmdlet Uninstall-WindowsFeature entonces desinstalar todas las funciones y características instaladas en el servidor D. Incorrecto:La sintaxis es válida, véase la respuesta C para la explicación. C.
3.
Respuesta correcta: B A.
Incorrecto:La presencia de la-IncludeAllSubFeatureparámetro de este comando indica que el comando se instalará no sólo a la función de servidor web (IIS), sino también todos sus servicios de rol subordinado y cuenta también.
B.
Correcto:La presencia de la-IncludeAllSubFeatureparámetro de este comando indica que el comando instalará el (IIS) función de servidor Web y todos sus servicios de rol y características subordinados.
C.
Incorrecto:La ausencia del parámetro -IncludeManagementTools en este comando indica que el comando instalará el (IIS) función de servidor Web y todos sus servicios de rol y características subordinados pero ninguna de las herramientas de gestión aplicables a la función y sus servicios de rol y características subordinados.
D. Incorrecto:La sintaxis es válida, véase la respuesta B para la explicación. 4.
Correctoresponder: A, B, y C Respuestas Capítulo 3
137
A.
Correcto:Si no hay ninguna fuente local para estos binarios está presente en la red y configurado para ser utilizado por el Administrador del servidor o el cmdlet Install-WindowsFeature, y si la directiva de grupo no se ha configurado para evitar los binarios necesarios que se descarguen desde Windows Update, Windows intentará descargar los binarios necesarios desde Windows Update a menos conectividad a Internet está abajo, en cuyo caso la instalación fallará.
B.
Correcto:Si la directiva de grupo se ha configurado para evitar que los binarios necesarios que se descarguen desde Windows Update y no hay una fuente local para estos binarios presentes en la red y configurados para ser utilizados por el Administrador del servidor o el cmdlet Install-WindowsFeature, los binarios para instalar el papel no están disponibles y la instalación fallará.
C.
Correcto:Si la directiva de grupo se ha configurado para evitar que los binarios necesarios de la descarga de Windows Update, y una fuente local para estos binarios está presente en la red, pero se ha configurado de forma incorrecta para su uso por el Administrador del servidor o el cmdlet Install-WindowsFeature, los binarios para instalar el papel no se pueden utilizar para instalar la característica.
D. Incorrecto:Este escenario es posible, pero muy poco probable, ya que
Microsoft intenta que Windows Update es siempre disponible.
Lección 4 1.
Respuesta correcta: A A.
Correcto:El cmdlet Get-ScheduledJob se puede utilizar para administrar los trabajos programados, solamente trabajos en segundo plano no iniciadas manualmente.
B.
Incorrecto:El cmdlet Start-Job se puede utilizar para iniciar trabajos en segundo plano. C. Incorrecto:El cmdlet Suspend-empleo se puede utilizar para hacer una pausa trabajos en segundo plano. D. Incorrecto:El cmdlet Remove-Job se puede utilizar para eliminar los trabajos
de fondo. Respuesta correcta: D
2.
A.
Incorrecto:El cmdlet New-JobTrigger se utiliza para crear disparadores de trabajo, no trabajos programados.
B.
Incorrecto:El cmdlet New-JobTrigger se utiliza para crear disparadores de trabajo, no trabajos programados.
C.
Incorrecto:El parámetro -DaysInterval especifica el número de días entre ocurrencias en un horario diario, no en un horario semanal.
D. Correcto:El parámetro -DaysInterval especifica el número de días entre
ocurrencias en un horario diario. Verhttp://technet.microsoft.com/en-us/library/ hh849759 . 138
Capítulo3
Servidor Gestión remota
3.
Respuesta correcta: D A.
Incorrecto:Se necesita el cmdlet New-JobTrigger para crear un disparador trabajo para su trabajo programado, pero el cmdlet New-empleo se puede utilizar para crear solamente trabajos en segundo plano, no trabajos programados.
B.
Incorrecto:El cmdlet New-empleo se puede utilizar para crear solamente trabajos en segundo plano, no trabajos programados; Sin embargo, Nueva ScheduledJob no es un cmdlet de PowerShell válida. Verhttp://technet.microsoft.com/en-us/library/hh849778 .
C.
Incorrecto:Se necesita el cmdlet New-JobTrigger para crear un disparador trabajo para su trabajo programado, pero Nueva-ScheduledJob no es un cmdlet de PowerShell válida. Verhttp: // technet.microsoft.com/en-us/library/hh849778 .
D. Correcto:Se necesita el cmdlet New-JobTrigger para crear un disparador
trabajo para su trabajo programado y el cmdlet Register-ScheduledJob se utiliza para crear el trabajo programado y asociarlo con el gatillo trabajo. 4.
Respuesta correcta: D A.
Incorrecto: En la versión 0.0 de 3 PowerShell, nuevas sesiones usted crear mediante el cmdlet New-PSSession se guardan en el equipo remoto.
B.
Incorrecto: Ustedutilizar el cmdlet Desconecte-PSSession para desconectarse de una PSSession remota sin interrumpir los comandos que se ejecutan en la sesión.
C.
Incorrecto: Ustedutilizar el cmdlet Connect-PSSession para volver a conectarse a una PSSession remoto desconectado del mismo equipo o uno diferente.
D. Correcto:PSSessions pueden ser utilizadas para ejecutar varios comandos
que comparten datos, como una función o el valor de una variable.
Respuestas Capítulo 3
139
C HA P T E R 4
Implementación de controladores de dominio ctive Directorio de Servicios de dominio (AD DS) ofrece un servicio de base de datos y el directorio distribuida que almacena y gestiona la información acerca de los usuarios, equipos, grupos, acciones, impresoras y otros tipos de objetos que componen la infraestructura de TI de una organización. Con AD DS, puede crear lo siguiente:
L a
■
Un bosque que actúa como límite de seguridad para su organización
■
Uno o más dominios que definen el alcance de la autoridad de los administradores de la organización
■
Una colección jerárquica de unidades organizativas (OU) para simplificar la delegación de facultades para la gestión de objetos de directorio
■
Los sitios que se asignan a la estructura de la red de su organización
Los controladores de dominio son servidores que DS anfitrión AD dentro de su infraestructura y el proceso para los controladores de dominio despliegue se ha mejorado de varias maneras en Microsoft Windows Server 2012. El Asistente de dominio de Active Directory Configuración de Servicios (dcpromo .exe) que se utiliza en las versiones anteriores de Windows Server ha sido reemplazado con un nuevo asistente que simplifica la tarea de despliegues nuevos controladores de dominio ing para ayudar a reducir la posibilidad de error de Active Directory Domain Configuración de Servicios. Windows PowerShell proporciona ahora una forma de secuencias de comandos de todos los aspectos de la implementación de controlador de dominio, por lo que es posible automatizar el despliegue masivo de los controladores de dominio en entornos de centros de datos. Salvaguardias También se han introducido para que pueda virtualizar seguridad controladores de dominio, lo que simplifica el despliegue de soluciones de nube privada y pública. En este capítulo se describe cómo prepararse para el despliegue de servidor de 2012 los controladores de dominio de Windows, cómo implementar controladores de dominio utilizando tanto el Administrador de servidores y Windows PowerShell, y cómo tomar ventaja de dominio controlador de virtualización.
135
Lecciones en este capítulo:
136
■
Lección 1: Preparación para la implementación de controladores de dominio136
■
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor147
■
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell164
Capítulo4 Implementación de controladores de dominio
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Ustednecesitará al menos dos servidores que tienen una instalación limpia de Windows Server 2012 y se configuran como servidores independientes en un grupo de trabajo. Pueden ser tanto servidores físicos o máquinas virtuales, y su configuración TCP / IP deben estar configurados para proporcionar conectividad con Internet.
■
Usted puede ser que necesite servidores adicionales para realizar algunos de los ejercicios opcionales en la sección "ejercicios prácticos sugeridos". También podría ser necesario el acceso a los medios de instalación de versiones anteriores de Windows Server para algunos de estos ejercicios.
■
Usteddebe estar familiarizado con los conceptos básicos de AD DS, tales como bosques, dominios, unidades organizativas (OU), sitios, controladores de dominio, esquema, la replicación, y así sucesivamente.
■
Será útil si usted también tiene conocimiento de al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Lección 1: Preparación para la implementación de controladores de dominio La planificación cuidadosa es clave cuando se despliegue o se realizan cambios en un entorno de AD DS mediante la adición, sustitución, o actualizar los controladores de dominio. Un número de diferentes escenarios son posibles, y debe identificar las mejores prácticas para cada escenario es necesario implementar para su organización. Esta lección describe algunos escenarios comunes de implementación de AD DS y las diferentes formas en que los controladores de dominio pueden ser desplegados para estos escenarios.
Describir algunos escenarios comunes de implementación de AD DS.
Describir las diferentes maneras de Windows Server 2012 controladores de dominio pueden ser desplegados en un nuevo bosque. Describir las diferentes maneras de Windows Server 2012 controladores de dominio pueden ser desplegados en un bosque existente que ejecutan versiones anteriores de Windows Server.
AD escenarios de implementación DS Estos son los dos escenarios básicos para la implementación de AD DS: 140
Capítulo4 Implementación de controladores de dominio
■
Implementación de un nuevo bosque basado en AD DS en Windows Server 2012
■
Implementación de controladores de dominio en un bosque existente basado en AD DS en una versión anterior de Windows Server
En las secciones siguientes se describen las diferencias de alto nivel entre estos escenarios.
Nuevos despliegues forestales Si su organización aún no ha implementado AD DS, estás de suerte: esta es tu oportunidad para hacerlo bien. Aunque la implementación de un nuevo bosque basado en Windows Server 2012 AD DS es tan simple como el despliegue de su primer controlador de dominio (el controlador de dominio raíz del bosque), existen numerosas consideraciones de planificación que debe tener en cuenta antes de realizar esta tarea. En un nivel básico, los requisitos técnicos para la implementación de su controlador de dominio raíz del bosque son sencillos: ■
Usted debe tener credenciales de administrador local en el servidor.
■
Usteddebe tener uno o más volúmenes fijos locales NTFS para almacenar la base de datos de directorios, archivos de registro, y compartido SYSVOL.
■
Usted deberá configurar adecuadamente los ajustes TCP / IP, incluyendo nombres de dominio del servidor (DNS) direcciones de servidor.
■
Ustedya sea que tenga que utilizar una infraestructura de servidores DNS existentes o implementar la función del servidor DNS junto con la función de Active Directory Domain Services cuando usted hace su servidor un controlador de dominio.
Los requisitos técnicos anteriores, sin embargo, son sólo una pequeña parte del proceso general de planificación de AD DS. La clave en esta etapa es la de planificar toda la estructura de directorios de la organiza- ción de modo que usted no tendrá que hacer cambios drásticos más adelante, al igual que el cambio de nombre de dominios o la modificación de su jerarquía de unidades organizativas. Los detalles de esta planificación es mucho más allá del alcance de este libro, pero para los lectores que estén interesados, el "más información" tema en esta sección destaca algunos recursos que pueden ayudar a diseñar una infraestructura de AD DS efectiva y un plan para su implementación. Después de crear el bosque mediante la implementación del controlador de dominio raíz del bosque, puede implementar controladores adicionales para los siguientes fines: ■
Implemente los controladores de dominio adicionales en el dominio raíz del bosque con fines de redundancia y equilibrio de carga.
■
Implemente los controladores de dominio que crean dominios adicionales dentro de su bosque basado en la estructura administrativa o geográfica de su organización.
■
Implemente los controladores de dominio (RODC), sitios en sucursales menos seguras dentro de sólo lectura su organización. Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
141
■
Implemente los controladores de dominio virtualizados para ofrecer mayor soporte para entornos de cloud computing privado y público. MÁS INFORMACIÓNRECURSOS PARA AD DS PLANIFICACIÓN Y DISEÑO Los siguientes recursos pueden ser útiles si usted está planeando una implementación de AD DS por primera vez: ■
El diseño y la implementación Directorio y Seguridad Esta sección de la Guía de implementación de 2003 en Microsoft Windows Server TechNetencontrar enhttp://technet.microsoft.com/en-us/library/cc787010(v=WS.10).aspxes un poco anticuado, pero aún así es un buen punto de partida para aprender a diseñar y planificar un entorno de AD DS. Asegúrese de complementar este recurso, sin embargo, con los recursos más recientes que siguen.
■
AD DS Guía de Diseño Esta sección de la Biblioteca TechNet encontró -al http: // TechNet. microsoft.com/en-us/library/cc754678(v=ws.10)-Proporciona guía actualizada sobre cómo diseñar un entorno de AD DS basado en Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012.
■
2008 Kit de recursos de Active Directory de Microsoft Press Este libro proporciona una excelente introducción a AD DS básica conceptos, diseño y administración de Windows Server. El libro está disponible en O'Reilly Media enhttp://shop.oreilly.com/ producto / 9780735625150.do en varios formatos, incluyendo APK, DAISY, ePub, Mobi, PDF y de impresión bajo demanda.
Por último, un buen lugar para encontrar respuestas a sus preguntas de AD DS es el foro de servicios de directorio en TechNet enhttp://social.technet.microsoft.com/Forums/en-us/winserverDS/ hilos.
Las mejores prácticas para implementaciones forestales nuevas El número real de los controladores de dominio y los tipos necesarios para su entorno depende de varios factores, pero aquí están algunas de las mejores prácticas clave a tener en cuenta:
142
■
Cada dominio debe tener al menos dos que funcionan los controladores de dominio grabables para proporcionar tolerancia a fallos. Si un dominio sólo tiene un controlador de dominio y el controlador de dominio falla, los usuarios no podrán iniciar sesión en el dominio o acceder a los recursos del dominio. Y si usted tiene sólo un controlador de dominio de escritura en su dominio y este controlador de dominio falla, usted no será capaz de realizar ninguna tarea de administración de AD DS.
■
Cada dominio en cada lugar también debe tener un número suficiente de controladores de dominio para dar servicio a las necesidades de los usuarios para identificarte y acceder a los recursos de red. Las secciones de TechNet descritos en el "más información" tema anterior incluyen algunas recomendaciones sobre cómo determinar el número de controladores de dominio en función de su configuración de
Capítulo4 Implementación de controladores de dominio
hardware y el número de usuarios en el lugar. ■
Los controladores de dominio deben ser dedicados servidores que se utilizan sólo para alojamiento los AD DS y roles del servidor DNS y nada más. Su atención debe ser dirigida a la realización de su trabajo principal, que es la autenticación de usuarios y computadoras para los inicios de sesión de cliente y para el acceso a los recursos de red.
■
El diseño más simple bosque es tener sólo un dominio. Los más dominios que usted tiene, más los gastos generales de administración que experimentará en la forma de gestión de los grupos de administrador de servicios múltiplo, manteniendo la coherencia entre la configuración de directiva de grupo que son comunes a diferentes dominios, manteniendo la coherencia entre los valores de control de acceso y auditoría que son comunes a diferentes dominios, y así sucesivamente.
■
Si su organización tiene varios sitios, como una oficina central y una o más sucursales a distancia, debe generalmente implementar al menos un controlador de dominio en cada oficina a distancia para proporcionar a los usuarios con tiempos de inicio de sesión más rápidas y un acceso más eficiente a los recursos de red. Para mayor seguridad, los controladores de dominio en las oficinas remotas deben ser RODC.
Despliegues forestales existentes La mayoría de los lectores de este libro es probable que desplegar nuevos controladores de dominio de Windows Server 2012 en una infraestructura de Active Directory existente basado en Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Hay varias maneras de introducir estos cambios: ■
Implementación de nuevos controladores de dominio de Windows Server 2012 en un bosque existente cuyos controladores de dominio están ejecutando una versión anterior de Windows Server
■
Actualización de los controladores de dominio que ejecutan versiones anteriores de Windows Server para Windows Server 2012
Estos escenarios se discutirán más adelante en esta lección.
Despliegue controlador de dominio nuevo bosque Dependiendo de la estructura administrativa y geográfica de su organización y el número de usuarios que se apoya, la implementación de un nuevo bosque basado en Windows Server 2012 AD DS podrían involucrar a varios de los siguientes escenarios Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
143
de implementación de dominio de controlador: ■
Implementar el primer controlador de dominio en un nuevo bosque (requerido)
■
Implementar el primer controlador de dominio para un nuevo dominio (requerido si dominios adicionales Es necesario crear en el bosque)
■
Implementación de controladores de dominio adicionales en cada dominio de la tolerancia a fallos y para apoyar el número de usuarios en cada lugar (recomendado) ■
Implementación de sólo lectura controladores de dominio (RODC) en oficinas sucursales remotas (Recomendado) Implementación de controladores de dominio virtualizados (no se recomienda para la mayoría de los entornos de producción)
Las secciones siguientes proporcionan información adicional sobre cada uno de estos escenarios de implementación.
Controlador de Primera dominio en un nuevo bosque Instalar el primer controlador de dominio en un nuevo bosque requiere que iniciar sesión como administrador local del servidor. Esto se puede hacer utilizando el Administrador de servidores o Windows PowerShell, como se demuestra en las lecciones 2 y 3 del presente capítulo. Independientemente del método que utilice para implementar el primer controlador de dominio en su dominio raíz del bosque, es necesario proporcionar la siguiente información: ■
■
■
■
■
144
Nombre de dominioIntroduzca el nombre de dominio completo (FQDN) para el dominio raíz de su nuevo ejemplo los bosques para, corp .contoso .com. Nombre de dominio NetBIOSIntroduzca el nombre de NetBIOS para su nuevo bosque (requerido si el FQDN nombre de prefijo es más de 15 caracteres). Nivel funcional del bosque Seleccione uno de los siguientes: ■
Windows Server 2003
■
Windows Server 2008
■
Windows Server 2008 R2
■
Windows Server 2012 (por defecto)
Nivel funcional de dominio Seleccione uno de los siguientes: ■
Windows Server 2003
■
Windows Server 2008
■
Windows Server 2008 R2
■
Windows Server 2012 (ajustado en el nivel funcional del bosque seleccionado)
Servicios de directorioModo de restauración (DSRM)Usteddebe especificar
Capítulo4 Implementación de controladores de dominio
esto en elvez que el servidor se promueve a un controlador de dominio. ■
■
■
■
Servidor DNSIndique si el nuevo controlador de dominio también debe ser un servidor de DNS (recomendado). Carpeta de base de datosEspecifique dónde se almacena la base de datos de AD DS. (La ubicación predeterminada es %victoriadir% \ NTDS.) Carpeta de archivos de registroEspecifique dónde registrar los AD DS archivos se almacenan. (La ubicación predeterminada es %victoriadir% \ NTDS.) Carpeta SYSVOLEspecifique donde se encuentra la AD DS SYSVOL share. (El valor predeterminado es %victoriadir% \ SYSVOL.)
Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
145
Una nueva característica de la implementación de Windows Server 2012 controladores de dominio es una fase de validación que se realiza justo antes de que el proceso de promoción. Como ilustra la figura 4-1, esta fase de validación invoca una serie de pruebas que comprueban si se han cumplido todos los requisitos previos necesarios para asegurar que la operación de implementación de controlador de dominio tendrá éxito. Esta comprobación de requisitos previos se puede omitir al implementar controladores de dominio mediante Windows PowerShell, pero haciendo esto no es recomendable.
FIGURA 4-1 Ejemplo de la nueva fase de validación que se produce durante la promoción de controlador
de dominio mediante el Administrador de servidores.
En primer controlador de dominio en un nuevo dominio Después de que el primer dominio del bosque (es decir, el dominio raíz del bosque) se ha creado, nuevos dominios secundarios o dominios de árboles se pueden crear si sus AD DS diseño garantiza hacerlo. Colocando los primer controlador de dominio para un dominio nuevo dominio secundario o un árbol requiere suministrar las credenciales de un miembro del grupo de seguridad Administradores de organización, que es uno de los dos nuevos grupos de seguridad (el otro es el grupo Administradores de esquema) que se crean por AD DS cuando se implementa el controlador de dominio raíz del bosque. 146
Capítulo4 Implementación de controladores de dominio
El despliegue de los controladores de dominio para el nuevo dominio secundario o dominios del árbol se puede realizar de forma remota mediante el Administrador de servidores o Windows PowerShell. La información requerida es similar a las enumeradas en el apartado anterior, con la adición de los siguientes: ■
■
■
Tipo de dominioEspecifique si se debe crear un nuevo dominio secundario o un dominio nuevo árbol. Nombre de dominio de PadresIntroduzca el nombre del dominio principal de los cuales el nuevo dominio secundario o árbol será un subdominio. Delegación DNSEspecifique si desea crear una delegación DNS que hace referencia al nuevo servidor DNS va a instalar junto con el controlador de dominio. (El valor predeterminado se determina automáticamente en función de su entorno.)
Adicionalcontroladores de dominio en un dominio Después de crear un dominio creado por el despliegue de su primer controlador de dominio, los controladores de dominio adicionales se pueden implementar para la tolerancia a fallos y para apoyar el número de usuarios en el lugar. Instalación de los controladores de dominio adicionales en un dominio requiere suministrar las credenciales de un miembro del grupo de seguridad Administradores de dominio para ese dominio. El despliegue de los controladores de dominio adicionales para un dominio se puede realizar de forma remota mediante el Administrador de servidores o Windows PowerShell. La información que se le requiere que proporcione es similar a las enumeradas en el apartado anterior, con la adición de los siguientes: ■
■
■
Nombre del sitioEspecifique el nombre del sitio de AD DS al que hay que añadir el controlador de dominio. Catálogo GlobalEspecifique si el nuevo controlador de dominio debe alojar el catálogo global. Fuente de replicaciónEspecificar un controlador de dominio existente para ser utilizada como el asociado de replicación inicial para replicar una copia de la base de datos de directorio para el nuevo controlador de dominio. (El valor predeterminado es cualquier controlador de dominio disponible.)
■
■
Particiones de aplicaciones para replicarEspecificar particiones de aplicación en los controladores de dominio existentes que deben ser replicados en el nuevo controlador de dominio. Instalar de recorrido de los mediosUstedpuede optar por instalar el nuevo controlador de dominio utilizando los medios de copia de seguridad a través de la opción de implementación Instalar desde los medios de comunicación (IFM).
Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
147
148
Capítulo4 Implementación de controladores de dominio
Sólo lectura controladores de dominio Sólo lectura controladores de dominio (RODC)son controladores de dominio adicionales para un dominio y están destinadas principalmente para el despliegue en entornos de sucursales que tienen relativamente pocos usuarios, (WAN) pocos o ningún personal de TI, y una red de área extensa lenta con la oficina central, y en entornos que carecen de la nivel de los controles de seguridad físicos disponibles en una oficina típica cabeza. RODC anfitrión particiones de la base de datos de AD DS sólo lectura. Los clientes pueden autenticarse en un RODC, pero no pueden escribir los cambios de directorio a la misma. RODC incluyen garantías adicionales que ayudan a asegurar cualquier información sobre el RODC es confidencial si es robado o se ha comprometido su seguridad. El despliegue de un RODC se puede realizar de forma remota mediante el Administrador de servidores o Windows PowerShell. Implementación de un RODC requiere lo siguiente: ■
Disponibilidad de credenciales de un miembro de los administradores de dominio para el dominio
■
A nivel funcional del bosque de Windows Server 2003 o superior
■
Al menos un controlador de dominio grabable que ejecute Windows Server 2008 o posterior instalado en el dominio
Controladores de dominio virtualizados Controladores de dominio virtualizadosson controladores de dominio que se ejecutan en máquinas virtuales en Hyper-V hosts. Windows Server 2012 incluye nuevas capacidades que ayudan a hacer de dominio virtualización controlador mucho más seguro y menos propensos a problemas que las versiones anteriores de Windows Server. Para obtener más información, consulte el siguiente tema "Mundo Real".
Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
149
Despliegue controlador de dominio del bosque existente Existen dos formas básicas de despliegue de Windows Server 2012 controladores de dominio en un bosque cuyos controladores de dominio están ejecutando versiones anteriores de Windows Server: ■ Instalación de los controladores de dominio adicionales que ejecutan Windows Server 2012 ■
Actualización de los controladores de dominio existentes que ejecutan versiones
anteriores de Windows Server Las secciones siguientes proporcionan más detalles acerca de estos enfoques.
150
Capítulo4 Implementación de controladores de dominio
Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
151
Instalación de los controladores de dominio adicionales Instalación de los controladores de dominio adicionales que ejecutan Windows Server 2012 en un bosque cuyo dominio controladores se están ejecutando una versión anterior de Windows Server implica los siguientes pasos: 1.
Instalar Windows Server 2012 en los servidores que se convertirán en los nuevos controladores de dominio.
2.
Únete a los nuevos servidores al dominio.
3.
Utilice el Administrador de servidores o Windows PowerShell para instalar el rol AD DS en los nuevos servidores, y promover a los controladores de dominio.
Una vez desplegado, los nuevos controladores de dominio de Windows Server 2012 pueden coexistir con los controladores de dominio que ejecutan versiones anteriores de Windows Server si desea. Alternativamente, puede mover las operaciones de maestro único flexible (FSMO) de los controladores de dominio anteriores que ejecutan versiones anteriores de Windows Server para los nuevos controladores de dominio que ejecutan Windows Server 2012, y, finalmente, degradar y retirarse los controladores de dominio anteriores .
Actualización de los controladores de dominio existentes Actualización de todos los controladores de dominio existentes en un bosque que se están ejecutando una versión anterior de Windows Server incluye los siguientes pasos:
152
1.
Prepson ustedr forest y dominios for una upgrade por ucantar la Adprep .exe herramienta de línea de comandos para extender el esquema. (Ver Lección 2 para obtener más información acerca de Adprep.)
2.
Compruebe que el sistema operativo de los controladores de dominio existentes tiene una ruta de actualización en el lugar con el apoyo a Windows Server 2012.
3.
Verifique todos los requisitos previos para la actualización de los controladores de dominio existentes a Windows Server 2012. Por ejemplo, la unidad que aloja la base de datos de AD DS (NTDS .dit) debe tener un espacio de al menos 20 por ciento de disco libre antes de comenzar la actualización del sistema operativo.
4.
Realizar una actualización in situ de todos los controladores de dominio existentes a Windows Server 2012.
Capítulo4 Implementación de controladores de dominio
Resumen de la lección ■
Los dos escenarios principales de implementación de AD DS están desplegando nuevos bosques utilizando Windows Server 2012 y el despliegue de los controladores de dominio en los bosques existentes que ejecutan versiones anteriores de Windows Server.
■
Asegúrese de recopilar la información y las credenciales necesarias antes de implementar AD DS, y asegúrese de completar cualquier otra acción que se necesitan para preparar el entorno antes de implementar controladores de dominio.
■
El proceso de promoción de Windows Server 2012 servidores como controladores de dominio incluye ahora una comprobación de requisitos previos para garantizar el proceso de promoción puede tener éxito.
■
El proceso de promoción de Windows Server 2012 servidores como controladores de dominio ahora se ejecuta automáticamente Adprep cuando sea necesario para preparar un bosque y dominios que ejecutan versiones anteriores de Windows Server.
■
Ustedtodavía tendrá que ejecutar Adprep manualmente si está realizando mejoras en el lugar de los controladores de dominio que ejecutan versiones anteriores de Windows Server.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no es una buena práctica para realizar despliegues forestales
nuevas? A.
Asegúrese de que cada dominio tiene al menos dos controladores de dominio para la tolerancia a fallos y para asegurar la disponibilidad. Sólo uno de estos controladores de dominio tiene que tener permiso de escritura; el otro puede ser un RODC.
B.
Asegúrese de que cada sitio en su dominio tiene un número suficiente de Lección 1: Preparación para la implementación de controladores de dominio
Capítulo 4
153
controladores de dominio para dar servicio a las necesidades de los usuarios para identificarte y acceder a los recursos de red. C.
Siempre que sea posible, mantener el diseño de su sencilla bosque por tener un único dominio.
D. Instalar sólo las AD DS y roles de servidor DNS en los controladores de
dominio y no hay otras funciones de servidor.
154
Capítulo4 Implementación de controladores de dominio
2.
¿Cuál de los siguientes datos en caso de que obtener o decidir durante la etapa de planificación de la implementación del primer controlador de dominio de Windows Server 2012 en un nuevo bosque? (Elija todas las que correspondan.) A.
El nombre completo de dominio (FQDN) para el dominio raíz del bosque nuevo.
B.
El niveles funcionales de bosque y dominio.
C.
La ubicación de la base de datos de AD DS, los archivos de registro, y la carpeta SYSVOL.
D. Las credenciales de un miembro del grupo de seguridad Administradores de
dominio. 3.
Which oF la follovictoriag es nAntiguo Testamento verdad? (Choose todos que aplicar.) A.
La creación de una delegación DNS es un paso necesario para todos los despliegues de AD DS.
B.
Todos los controladores de dominio en un dominio deben tener el rol de servidor DNS instalado y configurado para asegurar una alta disponibilidad en entornos distribuidos.
C.
Todos los controladores de dominio en un dominio deben ser configurados como servidores de catálogo global para garantizar una alta disponibilidad en entornos distribuidos.
D. De sólo lectura controladores de dominio requieren que haya al menos un
controlador de dominio grabable que ejecute Windows Server 2003 o posterior instalado en el dominio.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor Server Manager proporciona una manera fácil de implementar Windows Server 2012 controladores de dominio. Administrador de servidores se destina principalmente para la gestión de entornos de pequeñas y medianas que no se requiera la automatización del despliegue controlador de dominio. Esta lección muestra cómo utilizar el Administrador de servidores para implementar controladores de dominio en ambos bosques nuevos y existentes.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
147
Utilice el Administrador de servidores para preparar el entorno de Windows Server 2012 para la implementación de controlador de dominio.
Instale la función de Active Directory Domain Services utilizando el Agregar roles y características Asistente de Administrador de servidores. Promover los servidores a los controladores de dominio utilizando el dominio de Active Directory Asistente de configuración de servicios de Administrador de servidores. Verifique la promoción de los servidores a los controladores de dominio. Degradar controladores de dominio, y retire el papel de Active Directory Domain Services.
148
Capítulo4 Implementación de controladores de dominio
Preparación para el despliegue de dominio controlador Los pasos para la preparación de desplegar Server 2012 controladores de dominio de Windows utilizando el Administrador de servidores difieren dependiendo de si va a instalar el primer controlador de dominio en un nuevo bosque, la implementación de controladores de dominio adicionales en el nuevo bosque, o el despliegue de los controladores de dominio en un bosque existente cuyos controladores de dominio se ejecuta una versión anterior de Windows Server.
Preparación para desplegar el primer controlador de dominio en un nuevo bosque Aimplementar el primer controlador de dominio de Windows Server 2012 en un bosque nuevo el Administrador del servidor, debe o bien iniciar sesión localmente en el servidor o conectarse a él utilizando Escritorio remoto. No se necesita ninguna otra preparación para este escenario.
Preparación para la implementación de controladores de dominio adicionales en el nuevo bosque Después de crear un nuevo bosque mediante la implementación de su primer controlador de dominio de Windows Server 2012, puede utilizar el Administrador de servidores para implementar controladores de dominio adicionales en un dominio existente, crear nuevos dominios secundarios, o crear nuevos dominios de árboles. Estas tareas se pueden realizar de forma remota mediante el Administrador de servidores en cualquier controlador de dominio o servidor miembro de Windows Server 2012 o en un equipo cliente de Windows 8 que tiene las herramientas de administración remota del servidor (RSAT) instalado. Los pasos recomendados para la preparación de utilizar el Administrador de servidores para implementar controladores de dominio adicionales son los siguientes: 1.
Asegúrese de que tiene las credenciales adecuadas para la tarea que va a realizar. Por ejemplo, si usted va a agregar controladores de dominio adicionales a una ya existente do- principal, asegúrese de que tiene las credenciales de administrador de dominio para ese dominio. Si usted va a crear un nuevo dominio secundario, asegúrese de que tiene las credenciales de administrador de empresa.
2.
Agregue los servidores remotos se le promoviendo a los controladores de dominio al grupo de servidores para que pueda gestionar de forma remota mediante el Administrador de servidores.
3.
Crear un nuevo grupo de servidores para los servidores remotos se le promoviendo a los controladores de dominio, y añadir los servidores al grupo de servidores. Hacer esto hace que sea más fácil para promover múltiples servidores remotos a los controladores de dominio simultáneamente. Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
149
Preparación para la implementación de controladores de dominio en un bosque existente Adición de Servidor 2012 controladores de dominio de Windows a un bosque o dominio existente que ejecuta una versión anterior de Windows Server primero requiere que se amplió el esquema de Active Directory existente. En versiones anteriores de Windows Server, Adprep .exe se utiliza para ampliar el esquema. Adprep es una herramienta de línea de comandos que estaba disponible en la carpeta \ support \ adprep de Windows Server 2008 R2 o soporte de instalación en la carpeta \ sources \ adprep del disco de instalación de Windows Server 2008. El comando Adprep utiliza parámetros como / forestprep y / domainprep para preparar un bosque existente para la introducción de un controlador de dominio que ejecuta una versión más reciente de Windows Server. A partir de Windows Server 2012, sin embargo, Adprep es ahora dirigido automáticamente según sea necesario cuando se implementa un nuevo controlador de dominio de Windows Server 2012 en un bosque o dominio existente que ejecuta una versión anterior de Windows Server. Este cambio simplifica la tarea de añadir Windows Server 2012 controladores de dominio de un bosque o dominio en ejecución existentes una versión anterior de Windows Server porque usted ya no tendrá que ejecutar manualmente Adprep antes de introducir los nuevos controladores de dominio en su bosque. Adprep también está disponible como una herramienta de línea de comandos independiente en la carpeta \ support \ adprep del Server 2012 medio de instalación de Windows. Se requiere la versión independiente de Adprep para ciertos escenarios, como realizar una actualización en contexto de su primer controlador de dominio de Windows Server 2012, en el que debe ejecutar manualmente Adprep para preparar su bosque y sus dominios de la red antes de comenzar la actualización de su dominio existente controladores a Windows Server 2012.
La versión de Adprep de Windows Server 2012 se puede utilizar para ampliar el esquema de un bosque existente cuyos controladores de dominio están ejecutando alguna de las siguientes versiones de Windows Server: ■
Windows Server 2008 R2
■
Windows Server 2008
■
Windows Server 2003 R2
■
Windows Server 2003
Sin embargo, las siguientes consideraciones se aplican cuando se ejecuta la versión de Adprep de Windows Server 2012: ■
150
Usted debe tener las credenciales de un miembro del grupo Administradores de organización para ejecutar el
Capítulo4 Implementación de controladores de dominio
comandos. ■
Adprep sólo se puede ejecutar en cualquier servidor (controlador de dominio, servidor miembro o un servidor independiente) que ejecuta una versión de 64 bits de Windows Server 2008 o posterior. No se puede ejecutar Adprep en un servidor que ejecuta Windows Server 2003 o una versión de 32 bits de Windows Server 2008.
■
El servidor se ejecuta en Adprep debe tener conectividad de red con el maestro de esquema del bosque existente.
■
El servidor se ejecuta en Adprep debe tener conectividad de red con el maestro de infraestructura del dominio existente en la que desea agregar un nuevo controlador de dominio de Windows Server 2012.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
151
dsquery * cn = esquema CN = Configuración, DC = fabrikam, dc = com -scope de base -attr objectVersion
objectVersion 47
objectVersion 56
Instalaciónel rol de AD DS Antes de que pueda promover un servidor a controlador de dominio, primero debe instalar la función de Servicios de dominio de Active en el servidor. Para ello el Administrador del servidor, seleccione Agregar funciones y características en el menú Administrar para iniciar el Agregar roles y características Asistente. En la página Seleccionar funciones de servidor del asistente, seleccione la función de Active Directory Domain Services y confirme la instalación de las herramientas para la gestión de AD DS, como se muestra en la Figura 4-2.
150
Capítulo4 Implementación de controladores de dominio
FIGURA 4-2Instalación del rol AD DS junto con las herramientas de gestión de papel.
Correrel asistente de configuración de AD DS Cuando complete la instalación de la función, la página final del asistente de configuración le pide que promover el servidor a un controlador de dominio. Si cierra el asistente en este momento, todavía se puede acceder al enlace para promover el servidor desde el menú Notificaciones del Administrador del servidor, como se muestra en la Figura 4-3.
FIGURA 4-3Ustedpuede utilizar el menú Notificaciones de promover el servidor a un controlador de
dominio.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
151
Al hacer clic en el enlace para promover el servidor a un controlador de dominio se inicia el asistente de configuración de AD DS. Los pasos de este asistente dependen de qué tipo de escenario de implementación de dominio-controlador que está realizando. Las próximas secciones cubren los siguientes tipos de escenarios: ■
En primer controlador de dominio en el nuevo bosque
■
Controlador de dominio adicional en el nuevo dominio
■
En primer controlador de dominio de Windows Server 2012 en un bosque existente
En primer controlador de dominio en el nuevo bosque Después de la AD DS papel se ha añadido al servidor, utilizando el asistente de configuración de AD DS para promover el servidor para el primer controlador de dominio para un nuevo bosque implica los siguientes pasos: 1.
En la página de configuración de implementación del asistente, que se muestra en la Figura 4-4, seleccione la opción de añadir un nuevo bosque y especifique el dominio raíz para su nuevo bosque. A continuación, proceder a través del asistente y siga los pasos que siguen.
FIGURA 4-4 Implementar el primer controlador de dominio para un nuevo bosque con el
Asistente de configuración de AD DS.
2.
En la página Opciones de controlador de dominio, especifique un nivel funcional para su nuevo dominio forestal y la raíz. El bosque defecto y niveles funcionales son Windows Server 2012. Si usted no tiene los controladores de dominio que ejecutan versiones anteriores de Windows Server en su entorno, debe dejar los valores por defecto sin cambios.
3. 152
En la misma página, especifique si el controlador de dominio debe ser también
Capítulo4 Implementación de controladores de dominio
un servidor DNS. Microsoft recomienda que todos los controladores de dominio también sean servidores DNS para garantizar la disponibilidad de AD DS. 4.
En la misma página, tenga en cuenta que el primer controlador de dominio debe ser un servidor de catálogo global sdand que no puede ser un RODC.
5.
En la misma página, introduzca una contraseña para los servicios de directorio Restore Mode cuenta de administrador (DSRM).
6.
En la página Opciones de DNS, especifique las opciones de delegación DNS si está integrando AD DS con una infraestructura DNS existente. Para ello, puede crear manualmente una delegación para su nuevo servidor DNS en su zona de los padres con autoridad para garantizar la resolución de nombres confiable desde fuera de su entorno de AD DS. Por ejemplo, si el nombre de dominio raíz del bosque nuevo es corp .contoso .com como se muestra en la Figura 4.4, se crea una delegación para el servidor DNS en la zona principal autoridad en el servidor DNS que gestiona el público contoso .com dominio para su organización.
7.
En la página Opciones adicionales, el asistente sugiere un nombre NetBIOS para el dominio raíz del bosque. Usted puede aceptar lo que sugiere el asistente o especificar un nombre diferente de hasta 15 caracteres de Internet estándar (A-Z, a-z, 0-9, y "-" pero no del todo numérico).
8.
En la página de Caminos, especifique la ubicación de la base de datos de AD DS, archivos de registro y SYSVOL o aceptar los valores predeterminados.
9.
La página Opciones de revisión muestra los resultados de las selecciones.
10. El Prerrequisitos Comprobar página verifica que todos los requisitos previos se
han cumplido para desplegar con éxito el controlador de dominio. Ver Figura 4-1 anteriormente en este capítulo para ver un ejemplo de lo que esta página del asistente se parece. 11. Al hacer clic en Instalar promueve el servidor a un controlador de dominio y se
reinicia automáticamente el servidor al final de la operación de promoción.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
153
La escritura # Windows PowerShell para AD DS Despliegue
Import-Module ADDSDeployment Install-ADDSForest ` -CreateDnsDelegation: $ False ` -DatabasePath "C: \ Windows \ NTDS" ` -DomainMode "Win2012" ` -DomainNetbiosName "CORP" ` -ForestMode "Win2012" ` -InstallDns: $ True ` -logPath "C: \ Windows \ NTDS" ` -NoRebootOnCompletion: $ False ` -SysvolPath "C: \ Windows \ SYSVOL" ` -Force: $ True
Adicional controlador de dominio en el nuevo dominio Después de implementar el primer controlador de dominio para un nuevo dominio o bosque, debe implementar al menos un controlador de dominio adicional en el dominio de la tolerancia a fallos. Después de agregar el rol AD DS en el servidor que se convertirá en el controlador de dominio adicional, puede utilizar el asistente de configuración de AD DS para promover el servidor para ser un controlador de dominio adicional para el dominio utilizando los pasos siguientes: 1. 154
En la página de configuración de implementación del asistente, se muestra en la
Capítulo4 Implementación de controladores de dominio
Figura 4-5, seleccione el agregar un controlador de dominio a una opción de dominio existente. Especifique el dominio que desea agregar el nuevo controlador de dominio para y, si sus credenciales de inicio de sesión actuales tienen privilegios insuficientes para llevar a cabo la opción, haga clic en Cambiar y especifique las credenciales adecuadas. 2.
En la página Opciones del controlador de dominio, especifique si el controlador de dominio debe ser también un servidor DNS. (Esta opción está seleccionada de forma predeterminada.)
3.
También en esta página, especifique si el controlador de dominio debe ser también un servidor de catálogo global. (Esta opción está seleccionada de forma predeterminada.)
4.
También en esta página, especifique si el controlador de dominio debe ser también un RODC. Usted debe tener al menos dos controladores de dominio grabables en todos los dominios en el bosque, así que no seleccione esta opción si este es el segundo controlador de dominio para su dominio.
FIGURA 4-5Implementación de un controlador de dominio adicional para un dominio existente.
5.
También en esta página, especifique el nombre de la AD DS sitio existente el nuevo controlador de dominio debe pertenecer. (El valor predeterminado es Default-First-Site-Name.)
6.
También en esta página, introduzca una contraseña para la cuenta de administrador DSRM.
7.
En la página Opciones de DNS, especifique las opciones de delegación DNS si está integrando AD DS con una infraestructura DNS existente.
8.
En la página Opciones avanzadas, seleccione la opción Instalar de Medios (IFM) De si ha utilizado la herramienta Ntdsutil .exe para crear medios de instalación de los controladores de dominio adicionales que va a implementar en el dominio. Puede Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
155
utilizar la opción Instalar de Medios (IFM) De para reducir al mínimo la replicación de datos de directorio en su red, lo que ayuda a que la implementación de controladores de dominio adicionales en sitios remotos más eficiente. Si usted es ploying controladores de dominio adicionales de- en el sitio concentrador de su organización (su sede u oficina central), sin embargo, usted generalmente no utiliza la opción IFM. 9.
También en esta página, si usted no está utilizando la opción IFM para la implementación de controladores de dominio adicionales, puede seleccionar qué controlador de dominio en el dominio del nuevo controlador de dominio adicional debe utilizar como un asociado de replicación inicial para la destrucción de una copia de la base de datos de AD DS . Por defecto, el nuevo controlador de dominio replica desde cualquier controlador de dominio disponible en el dominio, pero también tienes la opción de especificar un controlador de dominio en particular como su asociado de replicación inicial.
10. Complete los pasos restantes del asistente para implementar el controlador de
dominio adicional para el dominio.
156
Capítulo4 Implementación de controladores de dominio
MÁS INFORMACIÓNINSTALAR DE MEDIOS
En primer controlador de dominio de Windows Server 2012 en un bosque existente UstedTambién puede utilizar el asistente de configuración de AD DS para implementar Windows Server 2012 controladores de dominio en un bosque o dominio cuyos controladores de dominio existentes ejecutan Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003. Como se explicó anteriormente en esta lección, cuando se utiliza el asistente para implementar el primer controlador de dominio de Windows Server 2012 en un dominio de un bosque cuyo dominio controladores están ejecutando versiones anteriores de Windows Server, la herramienta Adprep se ejecuta automáticamente para preparar el bosque y dominio mediante la ampliación el esquema a su última versión. El procedimiento que sigue demuestra este escenario mediante la implementación de un servidor 2012 controlador de dominio de Windows llamado VAN-SRV-3 en un dominio raíz del bosque llamado fabrikam.com cuyos controladores de dominio existentes son todos que ejecuta Windows Server 2008 R2. Después de la AD DS papel se ha añadido al servidor VAN-SRV-3, utilizando el asistente de configuración de AD DS para agregar el servidor como el primer controlador de dominio de Windows Server 2012 en el bosque fabrikam.com implica los siguientes pasos: 1.
En la página de configuración de implementación del asistente, se muestra en la Figura 4-6, seleccione el agregar un controlador de dominio a una opción de dominio existente, especifique fabrikam .com como el dominio raíz del bosque, y especifique las credenciales adecuadas para llevar a cabo la operación.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
157
FIGURA 4-6Promover el servidor denominado VAN-SRV-3 que es el primer controlador de
dominio de Windows Server 2012 en el dominio raíz del bosque existente fabrikam .com.
158
Capítulo4 Implementación de controladores de dominio
2.
Continúe con el asistente como se describe en el apartado anterior hasta llegar a la página de opciones de preparación de muestra en la Figura 4-7. Esta página le informa de que la realización de esta operación preparará su bosque y dominio para Server 2012 controladores de dominio de Windows mediante la ampliación del esquema. Si no desea extender el esquema, cancelar la operación y no desplegar el nuevo controlador de dominio.
FIGURA 4-7 El asistente le informa que el esquema de bosque se extenderá si realiza esta
operación.
3.
Complete los pasos restantes del asistente para implementar el controlador de dominio y extender el esquema. Tenga en cuenta que usted no tiene que ejecutar manualmente Adprep para preparar su bosque o dominio para el controlador de dominio con la nueva versión de Windows Server.
Verificaciónla instalación Después de desplegar un nuevo controlador de dominio que ejecuta Windows Server 2012 mediante el Administrador de servidores, debe verificar la instalación realizando los siguientes pasos: 1.
Añadir el nuevo controlador de dominio para el grupo de servidores y para cualquier grupo de servidores que creó para agrupar los controladores de dominio de Windows Server 2012.
2.
Seleccione el nuevo controlador de dominio desde cualquier página de aplicación de Administrador de servidores.
3.
Compruebe si hay alertas planteadas relativas al nuevo controlador en el menú de notificaciones.
4.
Desplácese por la página de la baldosa Eventos, y revisar los eventos Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
159
planteados para el nuevo controlador de dominio. Preste especial atención a cualquier, eventos críticos de error o de advertencia planteado, y realizar cualquier configuración adicional o medidas correctivas necesarias para hacer frente a estos eventos. 5. Desplácese por la página a la teja Servicios, y revisar el estado de los servicios en el nuevo controlador de dominio. Asegúrese de que todos los servicios tienen sus valores de inicio configurados apropiadamente y que los servicios automáticos están ejecutando. 6.
Desplácese por la página y empezar un Best Practices Analyzer (BPA) scan en el nuevo controlador de dominio, seleccione Inicio BPA Scan en el menú Tareas de la baldosa Best Practices Analyzer. (Ver Figura 4-8.) BPAs son las herramientas de gestión de servidor integradas en Windows Server 2012 que le ayudan a adherirse a las mejores prácticas mediante la exploración de las funciones de servidor instaladas y reportar cualquier violaciónes descubiertos.
FIGURA 4-8Inicio de una exploración BPA en un controlador de dominio.
A modo de ejemplo, la Figura 4.9 muestra los resultados de la ejecución de un análisis BPA en dos Server 2012 controladores de dominio de Windows instalados en un nuevo bosque. Estos controladores de dominio se han agrupado en el Administrador de servidores mediante la creación de un grupo de servidores personalizada denominada controladores de dominio. El error que aparece en el mosaico Best Practices Analyzer indica que el controlador de dominio SEA-DC-1 es el maestro de operaciones de emulador PDC para el bosque y tiene que ser capaz de sincronizar su reloj con una fuente de tiempo de confianza en Internet. Después de ejecutar una exploración de BPA en los controladores de dominio, asegúrese de revisar cuidadosamente los resultados que se muestran en la baldosa. 160
Capítulo4 Implementación de controladores de dominio
FIGURA 4-9Revisión de los resultados de un BPA scan realizó en controladores de dominio recién
desplegados.
La desinstalación AD DS Si necesita retirar un controlador de dominio de Windows Server 2012 de su ejemplo el medio ambiente -por ejemplo, para cambiar la finalidad de su hardware de servidor para otro papelusted puede hacer esto mediante el Administrador del servidor realizando los siguientes pasos: 1.
Lanzamiento de los Roles Retire y características Asistente en el menú Administrar, y seleccione su servidor desde el grupo de servidores.
2.
En la página Quitar funciones de servidor, desactive la casilla de verificación Active Directory Domain Services. La página de resultados de la validación se muestra en este punto para indicar que primero debe degradar el controlador de dominio antes de poder quitar la función de AD DS. (Ver Figura 4-10.) Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
161
FIGURA 4-10Usteddebe degradar un controlador de dominio antes de poder quitar la función de
AD DS de ella.
3.
En la página de resultados de la validación, haga clic en Degradar Este controlador de dominio para iniciar la AD Asistente para configuración de DS.
4.
En la página Credenciales de este asistente, proporcione las credenciales necesarias para realizar esta operación si sus credenciales de inicio de sesión actuales tienen privilegios suficientes. Si los intentos anteriores para quitar AD DS de este controlador de dominio fallado, seleccione la Fuerza la eliminación de esta casilla de verificación del controlador de dominio en esta página.
5.
Si está degradando el último controlador de dominio en el dominio, asegúrese de que el controlador de dominio Ultimo En La casilla de verificación de dominio es seleccionada para confirmar que desea quitar el dominio de su bosque. Observe que se muestra esta casilla sólo si el servidor es el último controlador de dominio en el dominio.
6.
En la página de advertencias, asegúrese de que la casilla de verificación Proceda Remoción Con se selecciona para confirmar su decisión de realizar el descenso de categoría. Tenga en cuenta que esta página no se muestra, si opta por forzar la eliminación de AD DS en el paso anterior.
7.
En la página Opciones de eliminación, usted tiene la opción de quitar cualquier delegaciones DNS creados en la zona de los padres con autoridad. Tenga en cuenta que usted necesita para proporcionar credenciales apropiadas para realizar esta acción.
8.
Si está degradando el último controlador de dominio en el dominio, también tiene la opción de quitar la zona DNS para el dominio y también cualquier partición de aplicaciones. (Ver Figura 4-11.) Al hacer clic en Ver particiones, puede mostrar una lista de todas las particiones de aplicación en AD DS.
160
Capítulo4 Implementación de controladores de dominio
FIGURA 4-11 Las opciones para la eliminación de la zona DNS y particiones de aplicación al
degradar el último controlador de dominio en un dominio.
9.
En la página Nueva contraseña de administrador, escriba una contraseña para la cuenta de administrador local para el servidor.
10. Complete el asistente para degradar el controlador de dominio. El servidor se reinicia,
y puedes iniciar sesión con la cuenta de administrador local y la nueva contraseña que ha especificado en el paso anterior. 11. Inicie el Agregar roles y características Asistente de nuevo desde el menú
Administrar y seleccione el servidor desde el grupo de servidores. 12. En la página Quitar funciones de servidor, desactive los Servicios de dominio de
Active Directory y casillas de verificación del servidor DNS. Termine de ejecutar el asistente. Cuando se han eliminado se reinicia el servidor, tanto en el AD DS y roles de servidor DNS.
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
161
162
Capítulo4 Implementación de controladores de dominio
Resumen de la lección ■
Administrador del servidor se puede utilizar para implementar Servidor 2012 controladores de dominio de Windows. Este procedimiento está destinado principalmente para entornos de pequeñas y medianas, en donde no es necesaria la automatización de este proceso.
■
Después de utilizar el Agregar funciones y cuentan Asistente para instalar la función AD DS en un servidor remoto, puede utilizar el asistente de configuración de AD DS para promover el servidor a un controlador de dominio.
■
Después de implementar un controlador de dominio, puede utilizar el Administrador de servidores para verificar la instalación mediante la revisión de los registros de eventos, revisar el estado de los servicios y la ejecución de un Best Practices Analyzer scan en el nuevo controlador de dominio.
■
Ustedpuede utilizar el quitar funciones y características Asistente para desinstalar el papel AD DS en un servidor remoto, pero primero tiene que degradar el servidor de ser un controlador de dominio.
■
Adprep aún está disponible como una herramienta de línea de comandos independiente en la carpeta adprep \ \ apoyo de Server 2012 medio de instalación de Windows cuando se necesita para realizar una actualización en contexto de su primer controlador de dominio de Windows Server 2012.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1. ¿Cuál de los siguientes procedimientos para la implementación de la primera de Windows Server 2012 dominio controlador yon un Nebraskaw bosque es la correcta? (Elija todas las que correspondan.) A.
Instalar Windows Server 2012 en el servidor e inicie sesión utilizando la cuenta de administrador local. Abra el Administrador de servidores, y ejecutar Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
163
el Asistente para configuración de AD DS para promover el servidor como controlador de dominio. B.
Instalar Windows Server 2012 en el servidor e inicie sesión utilizando la cuenta de administrador local. Abra el Administrador de servidores, y ejecute el Agregar roles y características Asistente para promover el servidor como controlador de dominio.
C.
Instalar Windows Server 2012 en el servidor e inicie sesión utilizando la cuenta de administrador local. Abra el Administrador de servidores, y ejecute el Agregar roles y características Asistente para instalar la función AD DS en el servidor. A continuación, ejecute el Asistente para configuración de AD DS para promover el servidor como controlador de dominio.
D. Instalar Windows Server 2012 en el servidor e inicie sesión utilizando la
cuenta de administrador local. Abra el Administrador de servidores y ejecutar el Asistente para la DS Configurator AD para instalar el rol AD DS en el servidor. A continuación, ejecute el Agregar roles y características Asistente para promover el servidor como controlador de dominio. 2.
¿Cuál de las siguientes afirmaciones no es correcta en relación con el despliegue del primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server? A.
Usted debe preparar el bosque y el dominio y ampliar el esquema ejecutando manualmente Adprep antes de utilizar el Administrador del servidor para desplegar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server.
B.
Usted debe seleccionar el añadir un controlador de dominio a una opción de dominio existente en la página de configuración de implementación del Asistente para configuración de AD DS para implementar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server.
C.
Usted puede utilizar el método de instalación desde los medios de comunicación (IFM) de despliegue para desplegar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server.
D. Si sus credenciales de inicio de sesión actuales tienen privilegios
suficientes para desplegar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server, puede especificar diferentes credenciales en la página Configuración de despliegue del asistente de configuración de AD DS. 3.
¿Cuál de las siguientes es la mejor sintaxis al utilizar la herramienta de línea de comandos .exe Dsquery verificar si Adprep ha ampliado con éxito el esquema de su bosque? A.
164
Dsquery * cn = esquema CN = Configuración, DC = fabrikam, dc = com -attr objectVersion
Capítulo4 Implementación de controladores de dominio
B.
Dsquery * cn = esquema CN = Configuración, DC = fabrikam, dc = com -scope -attr de base sAMAccountName
C.
Dsquery * cn = esquema CN = Configuración, DC = fabrikam, dc = com -scope -attr de base *
D. Dsquery * cn = esquema CN = Configuración, DC = fabrikam, dc = com -scope -attr de base
objectVersion
Lección 2: Implementación de controladores de dominio mediante el Administrador del servidor
Capítulo 4
165
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell Windows PowerShell proporciona una manera de automatizar el despliegue de Windows Server 2012 controladores de dominio. Este enfoque de la implementación de controlador de dominio puede ser particularmente útil en entornos de grandes empresas, centros de datos y escenarios de cloud computing. Esta lección muestra cómo utilizar Windows PowerShell para implementar controladores de dominio en ambos bosques nuevos y existentes.
Preparar el entorno para un despliegue controlador de dominio con Windows PowerShell.
Uso de Windows PowerShell para verificar los requisitos previos para la instalación de nuevos bosques, dominios y controladores de dominio. Use Windows PowerShell para instalar AD DS en los servidores y promoverlos como controladores de dominio en ambos bosques nuevos y existentes. Uso de Windows PowerShell para degradar controladores de dominio.
Preparación para el despliegue de dominio controlador Similar a cómo los controladores de dominio se pueden implementar mediante el Administrador del servidor como se describe en la lección anterior, los pasos para la preparación de implementar Windows Server 2012 controladores de dominio mediante Windows PowerShell difieren dependiendo del escenario que se considera.
Preparación para desplegar el primer controlador de dominio en un nuevo bosque A implementar el primer controlador de dominio de Windows Server 2012 en un bosque nuevo el Administrador del servidor, puede ejecutar comandos de Windows PowerShell directamente en el servidor, ya sea iniciar sesión localmente en el servidor o conectarse a ella mediante Escritorio remoto. Otra opción, sin embargo, es el uso de la comunicación remota de Windows PowerShell, Lección 3: Implementación de controladores de dominio mediante Windows PowerShell
Capítulo 4
165
que le permite ejecutar comandos de Windows PowerShell en uno o varios equipos remotos simultáneamente mediante el protocolo WS-Management. Como se explicó anteriormente en el capítulo 3, "la administración remota del servidor," la capacidad de gestión Remote- está activada de forma predeterminada en Windows Server 2012 para que sea fácil de administrar de forma remota servidores que utilizan tanto el Administrador de servidores y Windows PowerShell. Para obtener más información, consulte la sección "Configuración de la administración remota" en la Lección 4 del capítulo 3. La dificultad, sin embargo, es que la comunicación remota de Windows PowerShell está pensado principalmente para la administración remota de los equipos unidos a un dominio, y si se está preparando para desplegar el primer controlador de dominio en un bosque nuevo, no hay dominio aún a unirse! En otras palabras, el servidor remoto que se promueve a un controlador de dominio está inicialmente en un grupo de trabajo, no un dominio. Y el equipo local va a realizar el despliegue de también podría estar en un grupo de trabajo. La solución es preparar el entorno habilitando los dos equipos independientes a hablar entre sí usando el protocolo WS-Management. Si el equipo está llevando a cabo el despliegue de también está ejecutando Windows Server 2012, sólo hay que añadir el nombre del servidor remoto a la lista TrustedHosts en la configuración de WinRM del equipo local. Hacer esto permite que el equipo local para conectarse al servidor remoto mediante NTLM como mecanismo de autenticación en lugar de Kerberos, que se utiliza en entornos basados en dominios.
A ilustrar cómo hacer esto, considere un escenario en el que tiene dos servidores independientes que ejecutan Windows Server 2012: un servidor local llamado MAR-HOST-2 y un servidor remoto denominado MAR-SRV-1. Desea utilizar el cmdlet GetWindowsFeature en el servidor local para mostrar una lista de las funciones y características instaladas y disponibles en el servidor remoto, pero cuando tratas de hacer esto en el servidor local, se obtiene el error de relieve en el siguiente código :
166
Capítulo4 Implementación de controladores de dominio
El error se produce porque el servidor remoto MAR-SRV-1 no está unido al dominio y, por tanto, primero hay que añadir a la lista TrustedHosts en el servidor local antes de poder administrar el servidor remoto desde el servidor local. Puede usar el cmdlet Set-Item para hacer esto:
Usteda continuación, puede usar el cmdlet Get-Item para verificar el resultado:
Ejecutar el cmdlet Get-WindowsFeature ahora ya no genera un error:
NOTE
FO
SET
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell
Capítulo 4
167
Preparación para la implementación de controladores de dominio adicionales en el nuevo bosque Implementación de controladores de dominio adicionales en un nuevo bosque es más fácil porque ya tiene un entorno de dominio, lo que significa remota de Windows PowerShell funcionará sin ninguna configuración adicional. Mediante la ejecución de su Windows PowerShell comandos de una existente Windows Server 2012 controlador de dominio en su bosque, o desde un equipo cliente de Windows 8 en el que se han instalado las Herramientas de administración remota del servidor para Windows 8, que son capaces de desplegar controladores de dominio adicionales a los dominios existentes, instalar nuevos dominios secundarios, e instalar nueva dominios de árboles, siempre y cuando tenga las credenciales adecuadas para la tarea que va a realizar.
Preparación para la implementación de controladores de dominio en un bosque existente Implementación del servidor 2012 controladores de dominio de Windows en un bosque cuyos controladores de dominio se ejecuta una versión anterior de Windows Server también se puede hacer uso de Windows PowerShell de la siguiente manera: 1.
Instalar un servidor de Windows Server 2012, y unir el servidor a un dominio existente.
2.
Use el cmdlet Install-WindowsFeature instalar la función AD DS junto con sus herramientas de gestión de papel de la siguiente manera: Install-WindowsFeature -name AD-Domain-Servicios -IncludeManagementTools
3.
Ejecutar comandos del módulo ADDSDeployment en el servidor para instalar de forma remota AD DS en otros servidores unido al dominio de Windows Server 2012.
El uso de Windows PowerShellpara implementar controladores de dominio Los cmdlets de Windows PowerShell para la instalación de un bosque, la instalación de dominios, la implementación de los controladores de dominio, y la realización de tareas de implementación similares se encuentran en el módulo ADDSDeployment. Este módulo de Windows PowerShell se instala de forma predeterminada cuando se agrega el rol AD DS junto con sus herramientas de gestión de papel en un servidor, independientemente de si el servidor se ha promovido a un controlador de dominio o no. Para ver una lista de los cmdlets disponibles en este módulo, utilice el cmdlet Get-Command de la siguiente manera:
168
Capítulo4 Implementación de controladores de dominio
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell
Capítulo 4
169
Verificación de requisitos previos Usted puede utilizar el Test-AGREGA * cmdlets para ejecutar una comprobación de requisitos previos antes de intentar instalar un nuevo bosque, instale un nuevo dominio, implementar un controlador de dominio grabable, o implementar un RODC en su entorno. La salida de este comando le ayudará a determinar si su entorno está listo para la operación tiene la intención de llevar a cabo o si podría ser necesario configuración adicional. El ejemplo muestra una salida de ejecutar el cmdlet Test-ADDSForestInstallation en una independiente de Windows Server 2012 del servidor para determinar mina si el servidor cumple los requisitos para convertirse en el primer controlador de dominio de el dominio raíz del bosque de un bosque nuevo:
Adeterminar si el servidor 2012 de Windows Server remoto satisface estos requisitos, utilice el cmdlet Invoke-Command para ejecutar el cmdlet Test-ADDSForestInstallation en el servidor remoto de la siguiente manera:
170
Capítulo4 Implementación de controladores de dominio
En primer controlador de dominio en el nuevo bosque Implementar el primer controlador de dominio de Windows Server 2012 para un nuevo bosque es equivalente a la instalación de un nuevo bosque y consta de dos pasos: 1.
Adición de la AD DS papel al servidor.
2.
Promover el servidor como controlador de dominio.
Uso de Windows PowerShell, estas acciones se pueden combinar en una sola secuencia de comandos que se pueden ejecutar en servidores remotos. El escenario siguiente utiliza dos independientes Server 2012 los servidores de Windows: Un servidor local llamado MARHOST-2 y un servidor remoto denominado MAR-SRV-1. El objetivo es ejecutar un script en SEA-HOST-2 que va a instalar un nuevo bosque, con MAR-SRV-1 es el primero controlador de dominio en el dominio raíz del bosque. Para lograr esto, se podía proceder de la siguiente manera: 1.
Comience por iniciar la sesión en un servidor local que ejecuta Windows Server 2012 utilizando sus credenciales de administrador y abra el símbolo del sistema elevado de Windows PowerShell. (Si se inicia la sesión con la cuenta de administrador integrada, cualquier Windows PowerShell solicitará que abra será elevado.)
2.
Cambiar la política de ejecución de scripts en el servidor local a restricciones ejecutando el siguiente comando:
3.
Esto le permitirá ejecutar scripts de Windows PowerShell (archivos .ps1) en el servidor local. Mediante el uso de Windows PowerShell interacción remota, también será capaz de ejecutar secuencias de comandos en el servidor remoto.
4.
Abra el Bloc de notas y escriba las siguientes dos comandos:
El primer comando instala AD DS junto con las herramientas de gestión de papel en el servidor de destino. El segundo comando promueve el servidor de destino como el primer controlador de dominio en la raíz del dominio forestal corp .adatum .com. Tenga en cuenta que el nombre del servidor de destino no se ha especificado en este guión. Utilice el Bloc de notas para guardar el script con el nombre de archivo script1.ps1 en la carpeta C: \ scripts o algún otro lugar adecuado en el servidor local. 5.
Ejecute el siguiente comando en el servidor local para ejecutar la secuencia de comandos en el servidor remoto MAR-SRV-1:
6.
Cuando el papel AD DS ha terminado de instalar el MAR-SRV-1, se le pedirá que especifique un modo seguro la contraseña del administrador. Esta contraseña es necesaria para que pueda iniciar sesión en el nuevo controlador de dominio en modo de recuperación de servicios de directorio cuando sea necesario. Después de introducir una contraseña y confirmarla, pulse Y y luego ENTER para Lección 3: Implementación de controladores de dominio mediante Windows PowerShell
Capítulo 4
171
confirme que desea promover el servidor como controlador de dominio. El proceso de promoción comienza, como se muestra en la figura 4-12. Tenga en cuenta que puede eliminar la necesidad de presionar Y seguido de ENTER incluyendo el parámetro Force en la segunda línea de su script.
FIGURA 4-12Ahora se está promoviendo servidor remoto MAR-SRV-1 para ser el primer
controlador de dominio en un nuevo bosque.
7.
Salida de comando como el siguiente se mostrará si el proceso de promoción tiene éxito:
El servidor entonces reiniciarse para completar el proceso de promoción. Si el servidor remoto es un servidor con una instalación de GUI, iniciar sesión en el servidor y el lanzamiento de Server Manager confirmará que los AD DS y roles de servidor DNS se han instalado y el servidor es ahora el primer controlador de dominio del corp.adatum.com bosque.
Adicional controlador de dominio en el dominio Usted puede usar el cmdlet Install-ADDSDomainController instalar un controlador de dominio adicional en un dominio existente. Por ejemplo, el siguiente comando instala y promueve un nuevo controlador de dominio y servidor DNS en el corp .adatum .com dominio utilizando credenciales de administrador de dominio:
170
Capítulo4 Implementación de controladores de dominio
Usted se le pedirá que proporcione y confirme los servicios de directorio Modo de restauración (DSRM) contraseña durante el proceso de instalación. Si desea utilizar credenciales de administrador local en lugar de administrador de dominiocredenciales para este proceso, omite el parámetro -Credential como sigue: Si desea que se le pregunte para suministrar las credenciales necesarias para instalar y promover el controlador de dominio, utilice el siguiente comando:
Usted puede usar el cmdlet Invoke-Command para instalar varios controladores de dominio adicionales a la vez como esto:
En primer controlador de dominio en un dominio secundario o un árbol Usted puede usar el cmdlet Install-ADDSDomain para instalar un nuevo hijo o dominio árbol en un bosque existente desplegando el primer controlador de dominio para el nuevo dominio. Por ejemplo, para instalar y promover un servidor para convertirse en el primer controlador de dominio de un dominio secundario hq en el corp.adatum.com dominio principal, utilice este comando:
Para obtener más información sobre la sintaxis de este comando, utilice el cmdlet GetHelp.
Sólo lectura controladores de dominio Ustedpuede usar el cmdlet Add-ADDSReadOnlyDomainControllerAccount para crear una cuenta RODC que se puede utilizar para instalar un RODC en su bosque. Después de la cuenta RODC se ha creado, puede utilizar el cmdlet Install-ADDSDomainController con el parámetro -ReadOnlyReplica para desplegar un nuevo RODC en un dominio existente. Para obtener más información sobre estos cmdlets, utilice el cmdlet Get-Help.
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell
Capítulo 4
171
biblioteca / hh472162
974719
Verificación de la implementación de dominio controlador UstedTambién puede usar Windows PowerShell para verificar los resultados de la instalación de AD DS en servidores remotos y promoverlos como controladores de dominio. Por ejemplo, puede usar los cmdlets del módulo BestPractices para realizar exploraciones de BPA en servidores remotos. Para ilustrar esto y continuar con el escenario anterior, comenzar utilizando Invoke-Command en servidor local MAR-HOST2 para ejecutar el cmdlet Invoke-BPAModule en el servidor remoto MAR-SRV-1:
Usteda continuación, puede ejecutar el cmdlet Get-BPAResult en el servidor remoto para mostrar los resultados de la exploración que ha realizado con este comando:
172
Capítulo4 Implementación de controladores de dominio
La salida de este comando será bastante extensa, por lo que podría tratar de tuberías en el cmdlet Where-Object para mostrar sólo los resultados cuya severidad nivel es de error:
ro
Lección 3: Implementación de controladores de dominio mediante Windows PowerShell
Capítulo 4
173
La desinstalación AD DS Por último, puede usar el cmdlet Uninstall-ADDSDomainController para quitar el papel AD DS y degradar un controlador de dominio a un servidor miembro del dominio. Se le pedirá que establezca y confirme la contraseña de administrador local antes de la finalización del proceso de eliminación. Para obtener más información sobre cómo utilizar este cmdlet, utilice el cmdlet Get-Help.
Resumen de la lección ■
Windows PowerShell se puede utilizar para implementar Servidor 2012 controladores de dominio de Windows. Este procedimiento está pensado principalmente para las grandes empresas, centros de datos y entornos de computación cloud- donde la automatización de este proceso es un requisito.
■
Ustedpuede usar Windows PowerShell para instalar y promover un servidor independiente remoto que ejecuta Windows Server 2012 en un controlador de dominio después de tomar algunas medidas preparatorias para permitir remota de Windows PowerShell funcione correctamente en un entorno de grupo de trabajo.
■
Ausar Windows PowerShell para instalar la función AD DS en un servidor remoto, utilice el cmdlet Invoke-Command para ejecutar de forma remota el cmdlet InstallWindowsFeature.
■
Ausar Windows PowerShell para promover un servidor remoto que ya tiene el rol de AD DS instalado, utilice el cmdlet Invoke-Command para ejecutar de forma remota el cmdlet apropiada desde el módulo ADDSDeployment.
■
Ausar Windows PowerShell para ejecutar una comprobación de requisitos previos antes de intentar instalar un nuevo bosque, instale un nuevo dominio, implementar un controlador de dominio grabable, y utilizar el Test-añade * cmdlets del módulo ADDSDeployment.
■
Ausar Windows PowerShell para realizar un Best Practices Analyzer escanear en servidores remotos después de instalar AD DS y promoción de las mismas a los controladores de dominio, utilice el cmdlet Invoke-Command para ejecutar de forma remota el cmdlet apropiada desde el módulo BestPractices.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes comandos de Windows PowerShell agrega el servidor SRV-A a distancia a la lista TrustedHosts en el servidor local? A.
Get-Item wsman: \ localhost \ Client \ TrustedHosts -Value SRV-A
B.
Wsman Set-artículo: \ localhost \ Client \ TrustedHosts -Value SRV-A
Ejercicios de práctica Capítulo 4
175
C. 2.
Get-Item wsman: \ localhost \ Server \ TrustedHosts -Value SRV-A
D. Wsman Set-artículo: \ localhost \ Server \ TrustedHosts -Value SRV-A ¿Cuál de los siguientes no es un cmdlet del módulo ADDSDeployment? A.
Install-ADDSDomain
B.
Install-ADDSDomainController
C.
Desinstalar-ADDSDomainController
D. Get-ADFOREST 3.
¿Qué sistema de Windows PowerShell se debe utilizar para ejecutar una comprobación de requisitos previos antes de intentar instalar un controlador de dominio adicional en un bosque existente? A.
Install-ADDSDomainController -Prerequisites
B.
Invoque-BPAModel -ModelId Microsoft / ventanas / DirectoryServices
C.
Test-ADDSDomainControllerInstallation
D. Install-ADDSDomainController -whatIf
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Implementación de controladores de dominio mediante el Administrador del servidor
■
Implementación de controladores de dominio mediante Windows PowerShell
A realizar los siguientes ejercicios, se necesitan dos instalaciones limpias de Windows Server 2012: uno instalado utilizando el servidor con una opción de instalación GUI, y el otro instalado utilizando la opción de instalación Server Core. Los servidores deben ser servidores independientes que pertenecen a un grupo de trabajo, tienen conexión a Internet, y no tienen funciones adicionales o características instaladas. A los efectos de estos ejercicios, el nombre de la primera servidor (el servidor con una instalación GUI) se supone que es SERVIDOR1, y el nombre del segundo servidor (la instalación Core Server) se supone que es SERVIDOR2. Usted debe estar conectado de forma interactiva en SERVIDOR1 utilizando la cuenta de administrador local integrada.
Desinstalar-WindowsFeature Servidor-Gui-mgmt-Infra -Restart
176
Capítulo4 Implementación de controladores de dominio
Ejercicio 1: Instalación de un nuevo bosque el Administrador del servidor En este ejercicio,usted se instalará un nuevo bosque llamado corp .contoso .com mediante el Administrador de servidores para instalar AD DS en SERVIDOR1 y promover el servidor como controlador de dominio. 1.
Inicie sesión en SERVIDOR1 utilizando la cuenta de administrador integrada, y abierto el Administrador de servidores si no se abre automáticamente.
2.
Utilice el Panel de control para verificar que SERVIDOR1 está en un buen estado de salud antes de seguir adelante.
3.
Utilice el Administrador de servidores para iniciar el Agregar roles y características Asistente, e instale el papel de Active Directory Domain Services en el servidor, incluyendo las herramientas de administración para este papel. Cierre la Agregar roles y características Asistente al término de la instalación de la función.
4.
Utilice el indicador de notificación en el menú Administrador de servidores para realizar la tarea de configuración de implementación posterior de promover el servidor a un controlador de dominio utilizando el Asistente de configuración de Servicios de dominio de Active Directory.
5.
Seleccione la opción de añadir un nuevo bosque en la primera página del Asistente para la configuración de AD DS, y crear un nuevo dominio raíz del bosque llamado corp .contoso .com. Realice las selecciones apropiadas para los elementos restantes en las páginas del asistente.
6.
En la página Opciones de revisión, haga clic en Ver secuencia de comandos y examinar la secuencia de comandos de Windows PowerShell que el asistente se ejecuta. Asegúrese de entender la sintaxis del comando por buscar la página de ayuda para el comando en la Biblioteca de TechNet.
7.
Después de revisar los resultados en los Requisitos página de verificación, haga clic en Instalar para promover SERVIDOR1 para ser el primer controlador de dominio en el nuevo bosque.
8.
Después de que se reinicie el servidor, inicie sesión con la cuenta de administrador de dominio predeterminada y abra el Administrador del servidor si no se abre automáticamente.
9.
Utilice el cuadro de mandos para examinar cualquier alerta que se plantean para su nuevo controlador de dominio.
10. Seleccione la página de AD DS del Administrador de servidores, y revisar las
funciones y características de azulejos en la parte inferior de la página para verificar que el rol AD DS se ha instalado en SERVIDOR1. 11. También en la página de AD DS, revisar cualquier error, o eventos críticos,
advertencia planteadas en el azulejo Eventos. 12. También en la página de AD DS, revisar el estado de los servicios en SERVIDOR1. Ejercicios de práctica Capítulo 4
177
13. También en la página de AD DS, iniciar una exploración BPA de SERVIDOR1 y
revisar los resultados de este escanear una vez que termine. 14. Cerrar el Administrador de servidores cuando haya terminado.
178
Capítulo4 Implementación de controladores de dominio
Ejercicio 2: añadir remotamente un controlador de dominio adicional mediante Windows PowerShell En este ejercicio,usted se unirá a la SERVIDOR2 corp .contoso dominio .com y luego usar Windows PowerShell desde SERVIDOR1 desplegar remotamente SERVIDOR2 como un controlador de dominio adicional en su dominio. 1.
Inicie sesión localmente en SERVIDOR2 utilizando la cuenta de administrador local integrada. Una ventana de símbolo del sistema debe ser visible.
2.
TipoSconfigen la ventana del símbolo del sistema y pulse Intro para ejecutar el servidor Herramienta de configuración (Sconfig.cmd).
3.
Tipo8y pulse Enter para acceder a la página Configuración de adaptador de red de la Herramienta de configuración. Se le presentará una lista de adaptadores de red disponibles que se adjunta con el servidor.
4.
Tipo el número de índice del adaptador que desea configurar y, a continuación, pulse Intro. Se le presenta la configuración actual del adaptador de red que ha seleccionado.
5.
Tipo2y pulse Intro para configurar los ajustes del servidor DNS de la red seleccionada adaptador.
6.
Tipola dirección IP para SERVIDOR1 como el nuevo servidor DNS preferido y pulse Intro. Luego haga clic en Aceptar en el cuadro de diálogo que aparece.
7.
Pulse Intro para indicar que no se le especifica un servidor DNS alternativo.
8.
La Herramienta de configuración se vuelve a la página de configuración del adaptador de red. Revise la información de esta página, y asegurarse de que es correcta antes de continuar. A continuación, escriba 4y pulse Intro para volver a la página Menú principal.
9.
Tipo1y pulse Intro y escribaDy pulse Intro para indicar que desea unirse SERVIDOR2 a un dominio.
10. Tipocorp.contoso.comcomo el nombre del dominio que desea SERVIDOR2
para unirse y, a continuación, pulse Intro. 11. Tipo CORP \ Administradorcomo el nombre de un usuario autorizado para realizar ladominio
de unirse a la operación y luego presione Intro. (Si ha especificado un nombre NetBIOS diferente para su dominio en el Ejercicio 1, utilice ese nombre en lugar de CORP.) 12. En el nuevo símbolo del sistema que se abre, escriba la contraseña asociada con
el usuario Cuenta que ha especificado en el paso anterior y pulse Enter. 13. En el cuadro de diálogo Cambiar el nombre del equipo que se abre, haga clic en No. 14. En el cuadro de diálogo Reiniciar que se abre, haga clic en Sí. 15. Después SERVIDOR2 haya reiniciado, volver a iniciar sesión utilizando la cuenta de Ejercicios de práctica Capítulo 4
179
administrador local y ejecute la herramienta de configuración del servidor de nuevo para verificar que el servidor se ha unido con éxito el dominio. Luego salir de la herramienta de configuración y pasar a utilizar SERVIDOR1 para el resto de este ejercicio. 16. Inicie sesión en SERVIDOR1 con la cuenta de administrador de dominio por
defecto, y cerca del Administrador del servidor si se abre automáticamente. 17. Abra un símbolo de Windows PowerShell en SERVIDOR1. 18. Use el cmdlet Invoke-Command junto con el cmdlet Get-WindowsFeature para revisar
de forma remota las funciones y características instaladas en SERVIDOR2. Compruebe que el papel AD DS aún no está instalado en SERVIDOR2. 19. Utilice Invoke-Command junto con Install-WindowsFeature para instalar de forma
remota el papel AD DS en SERVIDOR2. Una vez hecho esto, use GetWindowsFeature para confirmar la instalación. 20. Utilice el siguiente comando para ejecutar de forma remota a los requisitos
previos de verificación en SERVIDOR2 para asegurarse de que el servidor está listo para ser promovido a un controlador de dominio:
Revise los resultados devueltos a partir de los requisitos previos de verificación antes de continuar. 21. Utilice el siguiente comando para promover de forma remota SERVIDOR2 como
un controlador de dominio adicional en el corp .contoso dominio .com:
22. Cuando la operación de promoción termina, espere SERVIDOR2 se reinicie. Servidor
Entonces abierta Manager en SERVIDOR1 y agregar SERVIDOR2 al grupo de servidores. 23. Utilice el menú Herramientas del Administrador de servidores para lanzar los
usuarios de Active Directory y la consola Computadoras, seleccione el contenedor Controladores de dominio bajo corp .contoso .com, y verifique que SERVIDOR2 es ahora un controlador de dominio para este dominio.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
180
Práctica 1Continuar con los ejercicios precedentes por primera el uso de Windows PowerShell para degradar SERVIDOR2 y quitar AD DS, seguido por el Administrador del servidor para degradar SERVIDOR1 y quitar AD DS para retirarse al bosque.
Capítulo4 Implementación de controladores de dominio
■
Práctica 2Realizar una instalación limpia de Windows Server 2008 R2, Windows Server 2008 o Windows Server 2003, agregar la función de AD DS, y promover el servidor como el primer controlador de dominio del nuevo dominio raíz del bosque adatum .com. Utilice la herramienta Adprep .exe en Windows Server 2012 medios de instalación para actualizar el esquema, y preparar el bosque para el despliegue del servidor 2012 controladores de dominio de Windows. A continuación, realice una actualización en el lugar del primer controlador de dominio de Windows Server 2012.
Ejercicios de práctica Capítulo 4
181
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Respuesta correcta: A A.
Correcto:Tener sólo un controlador de dominio grabable en un dominio no es una buena práctica. Usted debe tener al menos dos controladores de dominio grabables en cada dominio de modo que si uno de ellos falla, los usuarios podrán iniciar sesión y usted todavía será capaz de realizar tareas de administración de AD DS.
B.
Incorrecto:Asegurarse de que cada sitio en su dominio tiene un número suficiente de controladores de dominio para dar servicio a las necesidades de los usuarios para identificarte y acceder a los recursos de red es una buena práctica.
C.
Incorrecto:Manteniendo el diseño de su sencilla bosque por tener sólo un dominio es una buena práctica.
D. Incorrecto:Instalación únicamente los AD DS y roles de servidor DNS
en los controladores de dominio y no hay otras funciones de servidor es una buena práctica. 2.
Correctorespuestas: A, B, y C A.
Correcto:El nombre de dominio completo (FQDN) para el dominio raíz del nuevo bosque es una información necesaria al planificar el despliegue del primer controlador de dominio en un nuevo bosque.
B.
Correcto:Los niveles funcionales de bosque y dominio es la información cuando sea necesario la planificación de la implementación del primer controlador de dominio en un nuevo bosque.
C.
Correcto:La ubicación de la base de datos de AD DS, archivos de registro, y se requiere la información carpeta SYSVOL al planificar el despliegue del primer controlador de dominio en un nuevo bosque.
D. Incorrecto:No hay grupo de seguridad Administradores de dominio si aún no
ha implementado el primer controlador de dominio en un nuevo bosque. En su lugar, usted necesita las credenciales de un miembro del grupo de seguridad Administradores local en el servidor de ser promovido a un controlador de dominio. 3.
Correcto respuestas: A y D A.
Correcto:La creación de una delegación DNS no es un paso necesario para implementaciones AD DS si no se utilizarán los servidores DNS externos para hacer referencia al FQDN del bosque interno de su organización. Respuestas Capítulo 4
181
B.
Incorrecto:Una buena práctica es que todos los controladores de dominio en un dominio para tener el rol de servidor DNS instalado y configurado para asegurar una alta disponibilidad en entornos distribuidos C.
Incorrecto:Una buena práctica es para todos los controladores de dominio en un dominio que se configura como servidores de catálogo global para garantizar una alta disponibilidad en entornos distribuidos
D. Correcto:De sólo lectura controladores de dominio requieren que haya al menos
un controlador de dominio grabable que ejecute Windows Server 2008 o posterior instalado en el dominio. Tener sólo controladores de dominio grabables que ejecutan Windows Server 2003 es insuficiente.
Lección 2 1.
Respuesta correcta: C A.
Incorrecto: Usteddeberá ejecutar para agregar funciones y características Asistente para instalar la función AD DS en el servidor antes de poder ejecutar el Asistente para configuración de AD DS para promover el servidor a un controlador de dominio.
B.
Incorrecto:El Asistente para agregar funciones y características se utiliza para instalar la función AD DS en un servidor, no promover el servidor a un controlador de dominio.
C.
Correcto:Este es el procedimiento correcto.
D. Incorrecto:El Asistente para agregar funciones y características se utiliza
para instalar la función AD DS en un servidor, no promover el servidor como controlador de dominio. Y el asistente de configuración de AD DS se utiliza para promover un servidor a un controlador de dominio, no instalar el rol AD DS en el servidor. 2.
Respuesta correcta: A A.
Correcto:Cuando se utiliza el Asistente de configuración de AD DS para implementar los primeros Windows Server 2012 controladores de dominio en un dominio de un bosque cuyo dominio controladores están ejecutando versiones anteriores de Windows Server, la herramienta Adprep se ejecuta automáticamente para preparar el bosque y dominio mediante la ampliación del esquema para su ultima versión.
B.
Incorrecto:Añadir un controlador de dominio a un dominio existente es la opción correcta para seleccionar en la página de configuración de implementación del Asistente para configuración de AD DS para implementar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server.
C.
Incorrecto:Instalar desde los medios de comunicación (IFM) es un método de implementación con el apoyo para implementar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior
182
Capítulo4 Implementación de controladores de dominio
de Windows Server. D. Incorrecto: Ustedpuede especificar diferentes credenciales en la página de
configuración de implementación del Asistente para configuración de AD DS si sus credenciales de inicio de sesión actuales tienen privilegios suficientes para desplegar el primer controlador de dominio de Windows Server 2012 en un bosque existente que ejecuta una versión anterior de Windows Server. A.
3. Respuesta correcta: D Incorrecto:Este comando no se encuentra el parámetro de base -scope y por
lo tanto no devolverá el resultado correcto.Incorrecto:Este comando devolverá el valor de la sAMAccountNameatribuir, que no tiene nada que ver con el nivel de esquema. B.
Incorrecto:Este comando funciona porque va a devolver los valores de todos los atributos para la ruta LDAP especificado, incluyendo el atributo deseado objectVersion, pero no es la mejor sintaxis porque devuelve demasiada información innecesaria.
C.
Correcto:Esta es la sintaxis de comandos correcta para verificar si Adprep ha ampliado con éxito el esquema de su bosque.
Lección 3 1.
Respuesta correcta: B A.
Incorrecto:Este comando mostrará el contenido de la lista TrustedHosts en el servidor local.
B.
Correcto:Esta es la sintaxis de comandos correcta.
C.
Incorrecto: Ustednecesitará utilizar Set-Item, not Get-Item, para configurar la lista TrustedHosts en el servidor local. Además, el wsman: \ ruta es incorrecta en este comando, debe ser wsman: \ localhost \ Client \ TrustedHosts.
D. Incorrecto:El wsman: \ ruta es incorrecta en este comando, debe ser
wsman: \ localhost \ Client \ TrustedHosts. 2.
Respuesta correcta: D A.
Incorrecto:Install-ADDSDomain es un cmdlet del módulo ADDSDeployment.
B.
Incorrecto:Install-ADDSDomainController es un cmdlet del módulo ADDSDeployment.
C.
Incorrecto:Desinstalar-ADDSDomainController es un cmdlet del módulo ADDSDeployment.
D. Correcto:Get-ADFOREST no es un cmdlet del módulo ADDSDeployment; es
un cmdlet del módulo ActiveDirectory. 3.
Respuesta correcta: C A.
Incorrecto:El cmdlet Install-ADDSDomainController no tiene un -Prerequisites parámetro. Respuestas Capítulo 4
183
B.
Incorrecto:Este comando llevará a cabo un análisis BPA en el servidor y está destinado a ser utilizado después de que el servidor se ha promovido como un controlador de dominio, no antes.
C.
Correcto:Este es el comando correcto porque se ejecuta sólo los requisitos previos de verificación para la implementación de un controlador de dominio.
D. Incorrecto:Este comando sólo se resumen los cambios que se producirían
durante el proceso de implementación; en realidad no probar si esos cambios son posibles dado el entorno actual que el comando TestADDSDomainControllerInstallation hace.
184
Capítulo4 Implementación de controladores de dominio
C HA P T E R 5
La administración de Active Directo ry T
que el día a día de trabajo de la administración de Active Directory incluye tareas como la creación, configuración, mantenimiento, seguimiento y eliminación de cuentas de usuario, grupos, cuentas de equipo y otros objetos de directorio. Además, hay algunas tareas que deban llevarse a cabo con poca frecuencia o tal vez sólo una vez, como la creación de un bosque y su variabilidad dominios sas; elevar los niveles funcionales de bosque y dominio; la creación de jerarquías de unidades organizativas (OU); delegar el control administrativo de las unidades organizativas y los objetos que contienen, la creación y sitios, vínculos a sitios y temas de configurar; etcétera. En este capítulo se demuestra la capacidad de las dos principales herramientas en Microsoft Windows Server 2012 que se utilizan para administrar entornos de Active Directory. Una de estas herramientas es el Centro Administrativo de Active Directory (ADAC), una herramienta basada en GUI destinado para las tareas que deban llevarse a cabo sólo ocasionalmente, para la administración de entornos más pequeños, y para su uso por los administradores que no están familiarizados con secuencias de comandos de línea de comandos. La otra herramienta es el módulo de Active Directory para Windows PowerShell, que permite a los administradores de entornos de gran tamaño, como los centros de datos, a la escritura tareas de administración de Active Directory para la automatización.
Lecciones en este capítulo: ■
Lección 1: Administración de objetos de Active Directory 185
utilizando ADAC184 ■
Lección 2: Activación de funciones avanzadas utilizando ADAC198
■
Lección 3: Administración de Active Directory mediante Windows PowerShell208
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Ustednecesitará al menos un servidor que tiene una instalación limpia de Windows Server 2012 y está configurado como controlador de dominio. El servidor puede ser un servidor físico o una máquina virtual, y su configuración TCP / IP deben estar configurados para proporcionar conectividad con Internet.
■
Usted deben saber cómo utilizar herramientas como el complemento Usuarios y equipos de Active Directory de MMC para realizar tareas de administración de Active Directory comunes tales como la creación de usuarios, grupos y unidades organizativas en entornos de Active Directory basado en versiones anteriores de Windows Server.
■
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Lección 1: Administración de objetos de Active Directory utilizando ADAC Centro de administración de Active Directory (ADAC) es la principal herramienta para la realización de las tareas del día a día en la administración de un entorno de Active Directory. Esta lección ofrece una visión general de las características de interfaz de usuario de ADAC y demuestra cómo localizar y administrar objetos de directorio utilizando ADAC.
186
Capítulo5 Directory
La administración de Active
Describir las características de la interfaz de usuario de ADAC. Utilice ADAC para localizar objetos de Active Directory para que pueda administrarlos. Crear y configurar usuarios, grupos, equipos, unidades organizativas, y otra objetos de directorio. Realizar tareas de administración de Active Directory adicionales utilizando ADAC.
Identificar algunas de las tareas de gestión de activos Directory que no se pueden realizar con ADAC.
Panorámica de ADAC ADAC se introdujo por primera vez en Windows Server 2008 R2 como una herramienta para la gestión de objetos de directorio, como usuarios, grupos, equipos, unidades organizativas, y dominios. ADAC fue diseñado para reemplazar el complemento Usuarios y equipos de Active Directory-in para Microsoft Management Console (MMC), proporcionando una experiencia de gestión mejorada que utiliza una rica interfaz gráfica de usuario (GUI).
187
Construido sobre una base de Windows PowerShell, ADAC se ha mejorado en Windows Server 2012 con nuevas funcionalidades, incluyendo el Windows PowerShell History Viewer, que hace que sea más fácil hacer la transición de la administración basada en GUI de Active Directory para la gestión automatizada mediante Windows PowerShell scripting.
Características de interfaz de usuario Las diferentes características de interfaz de usuario de ADAC, que se muestran en la Figura 5-1, se incluyen las siguientes: ■
Barra de rutaMuestra la ubicación del objeto seleccionado en ese momento dentro de Active Directory. Puede utilizar esta barra para navegar rápidamente a cualquier recipiente dentro de Active Directory mediante la especificación de la ruta del contenedor en una de las siguientes formas:
■
■
■
■
■
Un camino (LDAP) Lightweight Directory Access Protocol, como LDAP: // ou = Seattle Usuarios OU, ou = Seattle OU OU, dc = corp, dc = contoso, dc = com
■
Un nombre distinguido (DN), como ou = usuarios Seattle OU, ou = Seattle OU OU, dc = corp, dc = contoso, dc = com
■
Un camino jerárquico, como Active Directory Domain Servicios \ corp (local) \ Users Seattle OU \ Seattle OU
Panel de navegaciónLe permite navegar por Active Directory utilizando la lista o vista de árbol, como se describe en las siguientes secciones. Lista GestiónMuestra el contenido del recipiente que está seleccionado actualmente en el panel de navegación. Panel de vista previaMuestra información variada sobre el objeto o contenedor que está seleccionado actualmente en la lista de administración. Panel TareasLe permite realizar diferentes tareas en el objeto o contenedor que está seleccionado actualmente en la lista de administración.
Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
185
Lista Gestión
TareasCristal
Bar Breadcrumb
Panel De Navegación
Panel de vista previa
FIGURA 5-1Centro de administración de Active Directory que muestra varias características de interfaz de
usuario.
Vista de la lista Vista de lista es una de las dos vistas disponibles en el panel de navegación ADAC. Se puede utilizar para navegar por Active Directory para los objetos o recipientes que desea administrar. En la vista de lista, puede utilizar el Explorador de Columna, que se muestra en la Figura 5-2, para explorar rápidamente el contenido de los contenedores dentro de la estructura jerárquica de Active Directory.
FIGURA 5-2Vista de lista en el ADAC que muestra el Explorador de Columna.
Vista de lista también mantiene una lista (MRU) de los últimos tres contenedores que accedió usados más recientemente. Figura 5-1 indica que el contenedor accedido más recientemente fue el contenedor Controladores de dominio en el corp .contoso dominio .com, seguido de las Computadoras y Builtin 186
Capítulo5 Directory
La administración de Active
contenedores en el mismo dominio. Puede utilizar la lista MRU para volver rápidamente a un contenedor que estaba trabajando en, simplemente seleccionando el elemento de la lista MRU apropiado en el panel de navegación. Vista de lista también se puede personalizar mediante la adición de nodos que pueda necesitar para acceder con frecuencia, similar a cómo se pueden utilizar los favoritos en Internet Explorer o en el cuadro de diálogo Abrir archivo de Windows Explorer / Guardar. Personalización de la vista de lista ADAC se demostrará más adelante en esta lección.
Árbol vista Árbolvista, que se muestra en la Figura 5-3, es el otro punto de vista disponible en el panel de navegación ADAC. Vista de árbol presenta una representación jerárquica de los contenedores de directorio similar a la utilizada en el complemento Usuarios y equipos de Active Directory de MMC.
FIGURA 5-3Vista de árbol en el ADAC muestra la página de Información general.
También se muestra en la Figura 5-3 es la página Visión general de ADAC, que incluye los siguientes azulejos: ■
Baldosas BienvenidoProporciona enlaces puede hacer clic para obtener más información acerca del uso de ADAC, la administración de un entorno de Active Directory integrado en Windows Server 2012, y haga sus preguntas en un foro en línea en TechNet, así como otros recursos útiles
■
Contraseña baldosas RestablecerLe permite restablecer rápidamente la contraseña de una cuenta de usuario. Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
187
■
Búsqueda Global baldosasLe permite buscar rápidamente el contenedor seleccionado o el catálogo global para los objetos y contenedores que necesita para administrar
Búsqueda de Active Directory Aunque el uso de ADAC para navegar por la jerarquía de contenedores dentro de Active Directory es una manera de localizar los objetos que necesita para administrar, un método más eficiente es el uso de las capacidades de búsqueda y filtrado de fomento de la consulta que se construyen en ADAC. Por ejemplo, digamos que usted es el administrador de Active Directory para Contoso Ltd. ción y el departamento de Recursos Humanos le ha informado de que la cuenta de usuario para Marie Dubois necesita ser deshabilitado hasta nuevo aviso. Para ello, es posible que proceda de la siguiente manera: 1.
Lanzamiento de ADAC y seleccione la página Descripción general, ya sea en lista o vista de árbol.
2.
Tipomarieen el cuadro de búsqueda en el azulejo Búsqueda global:
3.
Seleccione corp (local) como el alcance de su búsqueda, y pulse Enter.
Los resultados de esta consulta se muestran en la Figura 5-4. Haciendo clic derecho en el objeto de usuario Marie Dubois y seleccionando Desactivar, puede desactivar la cuenta de Marie.
FIGURA 5-4Desactivación de la cuenta de usuario para un usuario que encuentre
utilizando el azulejo Búsqueda Global.
Usted pueden ampliar o limitar la búsqueda seleccionando uno o más nodos de navegación. Para ello, realice los siguientes pasos: 1.
188
Capítulo5 Directory
Haga clic en el pequeño triángulo a la derecha del elemento Alcance en el azulejo de búsqueda global para mostrar el explorador de nodos de navegación: La administración de Active
2.
Seleccione o anule la selección de los nodos que desea incluir en la consulta.
Ustedpuede hacer su consulta más específica mediante la inclusión de criterios de búsqueda adicionales. Para hacer esto, lleve a cabo los siguientes pasos: 1.
Haga clic en el icono de símbolo de intercalación pequeña (^) bajo el pequeño triángulo que se hace referencia anteriormente. Hacer esto muestra el control Agregar criterios.
2.
Haga clic en la opción Agregar criterios de control para mostrar una lista de criterios que se pueden agregar a su búsqueda:
3.
Seleccione los criterios que desea añadir a su búsqueda y haga clic en Agregar.
MÁS INFORMACIÓN
http://technet.microsoft.com/en-
Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
189
Administración Frecuentestareas Los tipos más comunes de las tareas administrativas que puede realizar usando ADAC incluyen la creación, configuración y administración de los siguientes tipos de objetos: ■
Las unidades organizativas (OU)
■
Cuentas de usuario
■
Las cuentas de equipo
■
Grupos
Creación de unidades organizativas La creación de una nueva unidad organizativa (OU) utilizando ADAC implica los siguientes pasos:
190
1.
Haga clic derecho en el dominio principal deseado o unidad organizativa, seleccione Nuevo y, a continuación, seleccione Unidad organizativa:
2.
Introduzca los datos necesarios, y hacer las selecciones necesarias en las distintas secciones de la página de propiedades de la unidad organizativa Crear, que se muestra en la Figura 5-5.
Capítulo5 Directory
La administración de Active
FIGURA 5-5El Crear Organizacional página de propiedades de la unidad.
ADAC propiedades páginas como ésta incluyen varias características que los hacen fáciles de utilizar: ■
La información requerida se indica con un gran asterisco rojo.
■
Diferentes secciones de la página se pueden ocultar o restaurados para ver mediante la selección de las secciones de control en la parte superior derecha de la página. Al ocultar las secciones que nunca usa, se puede hacer la página más fácil de navegar.
■
El control de tareas en la parte superior derecha de la página le permite realizar rápidamente determinadas tareas relacionadas con el tipo de objeto o recipiente representado por la página. Por ejemplo, se puede mover o eliminar la unidad organizativa seleccionada mediante el control de tareas en la página de propiedades de la unidad organizativa.
■
Las páginas mismas propiedades se utilizan tanto para la creación de nuevos objetos o recipientes y para modificar las propiedades de los objetos o contenedores existentes.
Una de las ventajas de usar la vista de lista ADAC es que se puede personalizar esta vista agregando nodos que representan los contenedores de Active Directory con frecuencia necesita acceder para realizar tareas de administración de los objetos de los contenedores. Por ejemplo, considere la situación siguiente: Contoso Ltd. tiene oficinas en varias ciudades de América del Norte, incluyendo Seattle, Dallas, Vancouver, y otros. La estructura de Active Directory para esta organización consiste en un único dominiocorp.contoso.com nombrado, con alto nivel de las unidades organizativas de cada ciudad y de segundo nivel las unidades organizativas para los usuarios, computadoras y servidores en cada ubicación. Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
191
Si usted es el administrador de la oficina de Seattle, es posible que desee personalizar la lista de ADAC vista al añadir nodos de navegación para los siguientes unidades organizativas para facilitar su acceso: ■
Usuarios Seattle OU
■
Seattle Computadoras OU
■
Servidores Seattle OU
Ahacer esto, puede realizar los siguientes pasos: 1.
Seleccione vista de árbol, y ampliar el dominio corp para mostrar la jerarquía de unidades organizativas y otros recipientes debajo de ella. Esto incluirá el Seattle OU.
2.
Ampliar el Seattle OU para mostrar las unidades organizativas secundarias debajo de ella. Esto incluirá la OU Usuarios Seattle.
3.
Haga clic en el Seattle Usuarios OU, y seleccione Agregar Como nodo de navegación:
4.
Repita el paso 3 para el Seattle Computadoras OU y Seattle Servidores OU.
Figura 5-6 muestra lo que la vista de lista podría ser similar después de agregar estos tres nuevos nodos de navegación. Tenga en cuenta que puede reorganizar sus nodos personalizados haciendo clic derecho sobre ellos y seleccionando Subir o Bajar. Cualquier acción que se realizan en estos nodos de navegación tienen el mismo efecto que actúa directamente sobre los contenedores de Active Directory que representan.
FIGURA 5-6Ustedpuede reorganizar los nodos de navegación personalizados que se
agregan a la vista de lista ADAC. 192
Capítulo5 Directory
La administración de Active
Usted También puede añadir nodos de navegación directamente haciendo clic derecho en cualquier área en blanco del panel de navegación en la vista de lista y seleccionando Agregar nodos de navegación. Hacer esto abre el explorador Agregar nodos de navegación se muestra en la Figura 5-7.
FIGURA 5-7El Agregar nodos de navegación del explorador.
Creación de usuarios Un segundo ejemplo de las tareas de administración de Active Directory comunes que puede realizar usando ADAC está creando nuevas cuentas de usuario y administrar cuentas de usuario existentes. Para crear una nueva cuenta de usuario, simplemente haga clic derecho en la unidad organizativa apropiada, seleccione Nuevo y, a continuación, seleccione Usuario. Luego llene la información necesaria en la página Crear propiedades de usuario, como se muestra en la Figura 5-8. Después de hacer clic en Aceptar para crear la nueva cuenta de usuario y devolver el foco a ADAC, puede hacer clic en el pequeño símbolo de intercalación en la parte inferior derecha de ADAC para mostrar el Windows PowerShell History Viewer, que permite ver los comandos reales de Windows PowerShell que se ejecutan cada vez que realiza tareas administrativas con ADAC. Figura 5-9 muestra los comandos que intervienen durante la creación de la nueva cuenta de usuario para Karen Berg que se mostró anteriormente en la Figura 5-8. Tenga en cuenta que una tarea sencilla como la creación de un único usuario nuevo podría requerir la ejecución de varios comandos diferentes de Windows PowerShell. Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
193
FIGURA 5-8Crear una nueva cuenta de usuario mediante ADAC.
FIGURA 5-9El contenido de Windows PowerShell Historia Viewer después de la creación de nuevo
usuario Karen Berg.
194
Capítulo5 Directory
La administración de Active
Los comandos reales de Windows PowerShell necesarios para crear el nuevo usuario Karen Berg en el ejemplo anterior fueron las siguientes:
A copiar los comandos que se muestran en el Visor de Historia en el portapapeles, primero haga clic para seleccionar y luego haga clic en Copiar en la parte superior del panel de Windows PowerShell Historia. A continuación, puede pegar los comandos en un editor como el Bloc de notas, personalizarlos según sea necesario, y utilizarlos como base para la realización de una creación mayor parte de los nuevos usuarios con la adición de algunas secuencias de comandos de Windows PowerShell. Vea Lección 3 de este capítulo para obtener más información sobre este tema.
Otras tareas que se pueden realizar utilizando ADAC La creación de nuevos grupos, cuentas de equipo y objetos InetOrgPerson es un proceso similar al que se acaba de mostrar y debería requerir ninguna otra explicación. Aquí están algunas otras tareas que puede realizar usando ADAC: ■
Selección de un controlador de dominio o dominio para llevar a cabo sus tareas administrativas en
■
Elevar el nivel funcional del bosque o dominio
■
Habilitación de la Papelera de reciclaje de Active Directory
■
Configuración de políticas de contraseñas de grano fino
■
Configuración Dinámica de control de acceso
Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
195
MÁS INFORMACIÓN
Tareasno se puede realizar utilizando ADAC Hay una serie de tareas de administración de Active Directory no se puede realizar utilizando ADAC, tales como las siguientes: ■
Delegar el control administrativo de las unidades organizativas de Active Directory y los objetos que contienen.
■
Crear y administrar sitios, vínculos a sitios, subredes y objetos similares.
■
Crear confianzas entre dominios o bosques.
■
Directamente editar las particiones de configuración, de esquema o de directorio de aplicaciones.
A realizar dichas tareas, es necesario utilizar las siguientes herramientas conocidas: ■
Usuarios y equipos de Active Directory
■
Sitios y servicios de Active Directory
■
Dominios y confianzas de Active Directory
■
Edición de ADSI
Resumen de la lección ■
Centro de administración de Active Directory (ADAC) es la herramienta basada en GUI principal para la gestión de cuentas de usuario, grupos, cuentas de equipo y unidades organizativas.
■
Algunas de las características que hacen de ADAC una herramienta muy útil para la gestión de entornos de Active Directory incluyen su lista y vistas de árbol, sus capacidades de búsqueda y filtrado, y el Windows PowerShell History Viewer.
■
Debido ADAC está construida sobre una base de Windows PowerShell, puede ver y personalizar los comandos de Windows PowerShell ejecutados al realizar una tarea con ADAC, y mediante la personalización de estos comandos puede automatizar muchas tareas de administración de Active Directory.
196
Capítulo5 Directory
La administración de Active
■
La versión de ADAC Windows Server 2012 también le permite activar y utilizar el Active Directory Papelera de reciclaje, configurar políticas de contraseñas de grano fino, y configurar dinámico de control de acceso (DAC).
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Qué característica de ADAC le permite acceder rápidamente a los últimos tres contenedores que accedió? (Elija todas las que correspondan.) A.
Explorador de Columna
B.
Panel de navegación
C.
Nodos de navegación
D. Lista MRU 2.
¿Cuál de los siguientes tipos de objetos de directorio no puede usted crear con ADAC (Elija todas las que correspondan.) A.
Lugares
B.
Dominios
C.
Fideicomisos
D. Grupos 3.
¿Cuál de las siguientes tareas de administración de Active Directory no puedes realizar con ADAC? (Elija todas las que correspondan.) A.
Elevar el nivel funcional del bosque
B.
Eliminación de control administrativo sobre una unidad organizativa y los objetos que contiene
C.
Habilitación de la Papelera de reciclaje de Active Directory
D. Configuración de políticas de contraseñas de grano fino
Lección 1: Administración de objetos de Active Directory utilizando ADAC Capítulo 5
197
Lección 2: Activación de funciones avanzadas utilizando ADAC Dos funciones avanzadas para la administración de Active Directory que ahora se pueden configurar utilizando ADAC son Active Directory Papelera de reciclaje y políticas de contraseñas de grano fino. Esta lección muestra cómo habilitar y utilizar estas dos funciones mediante ADAC.
Comprender el ciclo de vida de los objetos en bosques de Active Directory establecidos para el nivel funcional de Windows Server 2012. Utilice ADAC para habilitar la papelera de reciclaje de Active Directory y restaurar objetos eliminados. Describir algunas de las mejores prácticas para la implementación de políticas de contraseñas de grano fino en Dominios de Active Directory.
de la política.
Habilitacióny el uso de la Papelera de reciclaje de Active Directory Los administradores de entornos de Active Directory a veces cometen errores; por ejemplo, la eliminación de la cuenta de usuario para un usuario que todavía tiene acceso a la red corporativa. Los efectos de este tipo de errores pueden ir desde la pérdida de productividad del usuario final para romper la funcionalidad de red. Windows Server 2008 R2 previamente introdujo una característica llamada la Papelera de reciclaje de Active Directory para proporcionar a los administradores una manera de recuperar objetos de directorio que fueron borrados accidentalmente. Sin embargo, utilizando el AD Papelera de reciclaje en Windows Server 2008 R2 am- biente resultó difícil para algunos administradores debido a la activación y uso de esta función podría realizarse sólo desde la línea de comandos, ya sea mediante el uso de la utilidad del PLD .exe o con cmdlets de Windows PowerShell. Windows Server 2012 simplifica esta tarea, ahora se puede utilizar el ADAC basada en GUI, tanto para permitir el AD Papelera de reciclaje y recuperación de objetos eliminados.
La comprensión de la AD Papelera de reciclaje Aentender las limitaciones de la AD Papelera de reciclaje, lo que necesita saber cómo funciona. Cuando el AD característica Papelera de reciclaje está habilitada en un entorno de Active Directory, objetos de directorio puede estar en uno de los cuatro estados 198
Capítulo5 Directory
La administración de Active
siguientes (que se ilustran Figura 5-10): ■
■
■
Vivo El objeto está funcionando en Active Directory y se encuentra en su envase adecuado dentro del directorio. Como un ejemplo, un objeto de cuenta de usuario que es en vivo es uno que un usuario puede utilizar para iniciar sesión en la red.
Suprimido El objeto se ha movido al contenedor Objetos eliminados dentro de Active Directory. El objeto ya no está funcionando en Active Directory, pero el objeto de link-valorados y atributos no vínculo con valores se conservan, lo que permite que el objeto se re- cubierto mediante la restauración desde el AD Papelera de reciclaje si el tiempo de vida del objeto eliminado aún no ha expirado. (Por defecto, cuando la Papelera de reciclaje AD está habilitada, el tiempo de vida del objeto eliminado se configura como 180 días.) Por ejemplo, una cuenta de usuario en el estado borrado no se puede utilizar para iniciar sesión en la red, pero si la cuenta de usuario se restaura a su estado vivo, de nuevo se puede utilizar para los propósitos de inicio de sesión. Reciclado La duración del objeto eliminado ha expirado para el objeto. El objeto permanece en el contenedor Objetos eliminados, pero la mayoría de sus atributos son ahora despojado de distancia. El objeto ya no puede ser recuperado mediante la restauración desde el AD Papelera de reciclaje o mediante la adopción de otras medidas, como la reanimación de objetos de desecho de Active Directory.
■
EliminadoLa duración del objeto reciclado ha expirado para el objeto. El proceso de recolección de basura de Active Directory ha eliminado físicamente el objeto de la base de datos de directorio.
Borrar
Restaurar
Reciclar
Recolecc ion De Basura
Suprimi doLifeti me Objeto
Reciclad oLifetim e Objeto
Lección 2: Activación de funciones avanzadas utilizando ADAC
Capítulo 5
199
FIGURA 5-10Los cuatro estados de objetos de Active Directory cuando el AD Papelera de reciclaje está
habilitada.
Habilitación de la AD Papelera de reciclaje Por defecto, el AD característica Papelera de reciclaje está desactivada hasta que elija para habilitarlo. Habilitación de la AD Papelera de reciclaje en su entorno requiere que el nivel funcional del bosque sea Windows Server 2008 R2 o superior. Esto significa que todos los controladores de dominio del bosque deben ejecutar Windows Server 2008 R2 o superior. Apermitir que el AD Papelera de reciclaje utilizando ADAC, realice los siguientes pasos:
200
1.
Inicie sesión con las credenciales de una cuenta que pertenece al grupo Administradores de organización o Administradores de esquema.
2.
Haga clic derecho en el dominio raíz del bosque en el panel de navegación y seleccione elevar el nivel funcional del bosque:
Capítulo5 Directory
3.
Asegúrese de que el nivel funcional del bosque para su entorno es Windows Server 2008 R2 o superior.
4.
Haga clic de nuevo en el dominio raíz del bosque, y seleccione Habilitar la papelera de reciclaje.
5.
Revise la advertencia y haga clic en Aceptar para continuar con la activación de la AD Papelera de reciclaje.
6.
Actualiza ADAC, y esperar hasta que todos los controladores de dominio del bosque han replicado el cambio de configuración antes de intentar utilizar el AD Papelera de reciclaje para restaurar objetos borrados.
La administración de Active
Uso de la AD Papelera de reciclaje Después de la AD Papelera de reciclaje está activada, usarlo para restaurar objetos de directorio borradas es sencillo, siempre y cuando no haya transcurrido el tiempo de vida del objeto eliminado de los objetos. Por ejemplo, la Figura 5-11 muestra cómo restaurar la cuenta de usuario para Marie Dubois después de haber sido borrados accidentalmente. Las siguientes opciones de menú están disponibles: Restaurar Restaurar el objeto eliminado a su ubicación original dentro de Active Directory. Restaurar ParaRestaurar el objeto eliminado a un contenedor que especifique mediante el Explorador de Columna. ■
■
■
■
Busque PadresMostrar el contenedor en el que el objeto eliminado originalmente residía. Propiedades Visualizar o modificar las propiedades del objeto eliminado.
FIGURA 5-11Restaurar un objeto eliminado usando el AD Papelera de reciclaje.
Lección 2: Activación de funciones avanzadas utilizando ADAC
Capítulo 5
201
202
Capítulo5 Directory
La administración de Active
Configuraciónde grano fino políticas de contraseñas En Windows Server 2003 y versiones anteriores, usted podría tener una sola política de contraseña y cuenta de la política de bloqueo que rige todas las cuentas de usuario en un dominio. Esta política de contraseñas se podría configurar editando el defecto de directiva de grupo Directiva de dominio objeto (GPO) -específicamente, las seis configuraciones de directiva encuentran bajo Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas de cuenta \ Directiva de contraseñas Cada dominio también tenía tres ajustes de la cuenta de la política de bloqueo encuentran bajo Configuración del equipo \ Directivas \ Directivas de cuenta Configuración de Windows \ Configuración de seguridad \ \ Directiva de bloqueo de cuentas Windows Server 2008 introdujo una nueva característica llamada políticas de contraseñas de grano fino que se puede utilizar para configurar múltiples políticas de contraseñas y políticas de bloqueo de cuentas para cada dominio. Esto proporcionó administradores de Active Directory con una mayor flexibilidad, ya que pueden crear diferentes políticas para diferentes grupos de usuarios. El problema, sin embargo, era que tenías que usar el Editor ADSI y LDIFDE para crear políticas de contraseñas de grano fino en la plataforma anterior. Esta tarea se simplifica en Windows Server 2012, porque ahora se puede utilizar el ADAC basada en GUI para la creación de políticas de contraseñas de grano fino. Además, puede utilizar ADAC para ver la configuración de contraseña resultantes para los usuarios particulares en su entorno para garantizar políticas de contraseñas de grano fino se han configurado como se pretende.
La comprensión de las políticas de contraseña específica Políticas de contraseñas de grano fino se pueden asignar a los usuarios o grupos. Si un usuario pertenece a más de un grupo que tiene una política de contraseñas de grano fino asignado, el valor de prioridad de cada política se utiliza para determinar qué política se aplica a los miembros del grupo. El valor de precedencia de una política debe ser un valor entero de 1 o mayor. Si varias políticas se aplican a un mismo usuario, la política que tiene el valor de prioridad más baja gana.
Lección 2: Activación de funciones avanzadas utilizando ADAC
Capítulo 5
201
204
Capítulo5 Directory
La administración de Active
Las mejores prácticas para la implementación de políticas de contraseñas de grano fino Al planear la implementación de políticas de contraseña específica dentro de Active Directory medio ambiente, debe seguir estas mejores prácticas: ■
Asignar políticas a grupos en lugar de usuarios individuales para facilitar la gestión.
■
Asignar un valor de preferencia única para cada política de contraseñas de grano fino se crea dentro de un dominio.
■
Crear una política de retorno para el dominio para que los usuarios que no pertenecen a ningún grupo que tienen específicamente las políticas de contraseña específica a ellas confiada todavía tendrá cuenta y contraseña de bloqueo restricciones se aplican cuando intentan iniciar sesión en la red. Esta política de retorno puede ser cualquiera de los siguientes: ■
Las directivas de bloqueo de cuenta y contraseña definidos en la Directiva predeterminada de dominio GPO
■
Una política de contraseñas de grano fino que tiene un valor de prioridad más alta que cualquier otro política
Lección 2: Activación de funciones avanzadas utilizando ADAC
Capítulo 5
203
204
Capítulo5 Directory
La administración de Active
Creación de políticas de contraseñas de grano fino Antes de crear las políticas de contraseña específica para un dominio, debe asegurarse de que el nivel funcional del dominio es Windows Server 2008 o posterior. Esto se puede hacer utilizando ADAC o Windows PowerShell como se describe en el tema anterior, en esta lección.
Las políticas de contraseña específica para un dominio se almacenan en el contenedor Configuración de contraseña, que se encuentra en Sistema, como se muestra en la Figura 512.
FIGURA 5-12Políticas de contraseñas de grano fino se almacenan en la contraseña Configuración de
contenedores.
Acrear una nueva política de contraseñas de grano fino utilizando ADC, siga estos pasos: 1.
Mostrar el contenedor Configuración de contraseña, ya sea en el panel panel de navegación o en la lista de gestión.
2.
Haga clic derecho en el contenedor contraseña Configuración y seleccione Nuevo. A continuación, seleccione Configuración de contraseña.
3.
Rellene la información correspondiente en la página Configuración de contraseña Crear propiedades, que se muestra en la Figura 5-13.
4.
Haga clic en Agregar y busque el grupo o grupos a los que desea que la directiva se aplique a. Luego haga clic en Aceptar para crear la nueva política. 5.
Repita los pasos anteriores para crear políticas de contraseñas de grano fino adicionales como necesaria para su entorno. Lección 2: Activación de funciones avanzadas utilizando ADAC
Capítulo 5
205
FIGURA 5-13Creación de una nueva política de contraseñas de grano fino.
POLÍTICAS
Visualización de la configuración de contraseña resultantes para un usuario UstedTambién puede utilizar ADAC para ver la configuración de contraseña resultantes para los usuarios en un dominio. Esto es útil tanto para asegurar que usted ha creado y asignado políticas de contraseñas de grano fino como usted pretende para su entorno y también para solucionar problemas con las políticas no se aplica como se esperaba. Aver los valores resultantes de contraseña para un usuario en particular, primero busque el usuario en Active Directory o bien navegando usando el panel de navegación o usando la Búsqueda Global azulejo. A continuación, haga clic en la cuenta de usuario y seleccione Configuración de contraseña Ver resultantes, como se muestra en la Figura 5-14. La política de contraseñas de grano fino que muestra es la que se aplica al usuario que tiene el valor de prioridad más baja. 206
Capítulo5 Directory
La administración de Active
FIGURA 5-14Viendo el conjunto resultante de las políticas de un usuario.
Resumen de la lección ■
Ustedpuede utilizar ADAC para habilitar la papelera de reciclaje de Active Directory y recuperar objetos eliminados mediante la restauración de ellos en el mismo lugar o en una ubicación diferente en el directorio.
■
Objetos de directorio en un bosque de Active Directory que se ha establecido en el nivel funcional de bosque de Windows Server 2012 pueden estar en uno de los cuatro estados: Live, eliminados, reciclados o eliminados. Sólo los objetos que aún se encuentran en el estado Suprimido se pueden restaurar desde el AD Papelera de reciclaje.
■
Ustedpuede utilizar ADAC para configurar directivas de contraseña específica para un dominio y también ver el conjunto resultante de directivas.
■
Políticas de contraseñas de grano fino pretenden ser el sustituto de la contraseña y cuenta de la configuración de directivas que se encuentran en la Directiva predeterminada de dominio GPO.
■
Al configurar las políticas de contraseña específica para un dominio, debe crear una política de reserva para asegurar que todas las cuentas de usuario en el dominio tienen una política de contraseñas y bloqueo de cuentas aplicada. Lección 2: Activación de funciones avanzadas utilizando ADAC
Capítulo 5
207
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Si ha expirado el tiempo de vida de objetos reciclados para un objeto de directorio, en qué estado está el objeto en? A.
Vivo
B.
Suprimido
C.
Reciclado
D. Eliminado 2.
Qué cmdlet de Windows PowerShell se puede utilizar para activar el Active Directory papelera de reciclaje? A. B. C. D.
3.
¿Cuál de las siguientes son las mejores prácticas para la implementación de grano fino contraseña polerior yon un dominio? (Choose todos que aplicar.) A.
Asignar políticas de contraseña específica para los usuarios en lugar de grupos.
B.
Asegúrese de que cada política de contraseñas de grano fino tiene su propio valor de preferencia única.
C.
Asegúrese de que cada grupo tiene al menos una política de contraseñas de grano fino asignado.
D. Asegúrese de que ha configurado una política de retorno para el dominio. Esto
puede ser una política de contraseñas de grano fino que tiene un valor de prioridad más alta que cualquier otra política, o la configuración de bloqueo de cuenta y contraseña definidos en la Directiva predeterminada de dominio GPO.
208
Capítulo5 Directory
La administración de Active
Lección 3: Administración de Active Directory mediante Windows PowerShell Aunque ADAC puede ser útil para realizar algunas tareas de administración de Active Directory, especialmente en entornos más pequeños, el uso de Windows PowerShell para automatizar la administración de Active Directory es el enfoque preferido cuando esas tareas tienen que ser con frecuencia repeated- por ejemplo, cuando las cuentas de usuario se deben crear en granel. En este capítulo se muestra algunas de las diferentes formas en que Windows PowerShell comandos se puede utilizar para realizar tareas de administración de Active Directory común. El capítulo también muestra algunas de las tareas más avanzadas de administración que puede realizar en su entorno de Active Directory mediante Windows PowerShell.
Demostrar diferentes maneras de usar Windows PowerShell para realizar tareas de administración de Active Directory comunes, como la creación y gestión de cuentas de usuario por separado y de forma masiva. Encuentra cmdlets de Windows PowerShell que se pueden utilizar para la gestión de los diferentes aspectos de Active Directory. Realizar una tarea de administración de Active Directory avanzada que implica la creación de un nuevo sitio web y enlace, seguido moviendo un controlador de dominio para el nuevo sitio.
Cuentas de usuario con Windows PowerShell Creación y administración de cuentas de usuario es una tarea de administración de Active Directory común. Windows PowerShell proporciona una gran flexibilidad en cómo esto se puede hacer en la plataforma Windows Server 2012. Mecanografía en una de Windows PowerShell espectáculos prontas hay cuatro cmdlets para administrar cuentas de usuario: Crea un nuevo usuario de Active Directory
■ ■
Obtiene uno o más activos usuarios de directorio para que pueda realizar alguna acción con ellos Modifica las propiedades de un usuario de Active Directory
■
existente ■
Elimina el usuario especificado de Active Directory
Cualquier administración de cuentas de usuario con Windows PowerShell implica el uso de uno o más de estos cmdlets. Las siguientes secciones muestran algunas de las maneras en que esto se puede hacer con respecto a la nueva creación de la cuenta de usuario mediante el cmdlet New-ADUser. El enfoque real que usted puede ser que elija depende de las necesidades particulares de su situación. Lección 3: Administración de Active Directory mediante Windows PowerShell Capítulo 5
209
Ejemplo 1: Crear una nueva cuenta de usuario único Acrear una nueva cuenta de usuario para Phil Gibbins usando pgibbins de nombre de cuenta SAM del usuario [email protected] UPN para inicio de sesión del usuario, puede utilizar el cmdlet New-ADUser de la siguiente manera:
Tenga en cuenta que no hay salida si el comando se ejecuta correctamente. Las propiedades resultantes de la nueva cuenta de usuario cuando se abre en ADAC se muestran en la Figura 5-15. Tenga en cuenta que hay muchas otras propiedades que podrías haber especificado al crear la cuenta. Cada una de estas propiedades adicionales tiene un parámetro asociado con él cuando se utiliza el cmdlet New-ADUser.
FIGURA 5-15Una nueva cuenta de usuario creada mediante el cmdlet New-ADUser.
Usuarios OU, ou = Seattle OU OU, dc = corp, dc = contoso, dc = com "para el comando utilizado en el ejemplo anterior.
210
Capítulo5 Directory
La administración de Active
Ejemplo 2: Crear una nueva cuenta de usuario y especifique una contraseña Aespecificar una contraseña al crear la cuenta de usuario para Phil Gibbins, puede usar el cmdlet Read-Host. Con este cmdlet, se introduce una contraseña cuando se ejecuta el comando, como lo muestra el código resaltado en el siguiente ejemplo:
Ejemplo 3: Crear y activar una nueva cuenta de usuario Cuando se utiliza el cmdlet New-ADUser para crear una cuenta de usuario, la nueva cuenta se desactiva y no se puede activar a menos que se ha producido alguna de las siguientes: ■
Una contraseña válida se ha establecido para la cuenta.
■
El parámetro -PasswordNotRequired se ha establecido en true.
Acrear una cuenta de usuario para Phil Gibbins, especificar una contraseña y activar la nueva cuenta, puede usar el siguiente comando:
El parámetro -PassThru, que ha sido añadido al comando New-ADUser simplemente muestra, devuelve el objeto de cuenta de usuario recién creado de modo que pueda ser introducido en el cmdlet Enable-ADAccount para activar la nueva cuenta.
Ejemplo 4: Bulk-crear nuevas cuentas de usuario Un buen ejemplo de cómo Windows PowerShell se puede utilizar para automatizar una tarea de administración de Active Directory común es la creación grueso de los usuarios. Por ejemplo, puede combinar los ejemplos anteriores con el cmdlet Import-Csv que le permite leer en los datos de un archivo de valores separados por comas (CSV), para crear varias cuentas de usuario en una sola operación. A ilustrar esto, el archivo nuevo usuarios.csv contiene una línea de información del encabezado seguido de atributos para tres cuentas de usuario como sigue:
El siguiente comando lee el archivo CSV y tuberías de su contenido en el cmdlet NewADUser, establece la contraseña para cada cuenta de usuario como Pa $$ w0rd, y termina al permitir que las cuentas:
La porción Lección 3: Administración de Active Directory mediante Windows PowerShell Capítulo 5
211
resaltada de este comando toma la cadena "Pa $$ w0rd" y la convierte de texto sin formato a una cadena segura de modo que pueda ser utilizado por el parámetro NewPassword del cmdlet Set-ADAccountPassword. Se necesita el parámetro Force para suprimir la pregunta de confirmación generados por el uso del parámetro -AsPlainText.
Ejemplo 5: Crear nuevas cuentas de usuario de una cuenta de plantilla Una cuenta de plantilla es una cuenta que utiliza como base para la creación de otras cuentas. Mediante la configuración de propiedades de la cuenta de plantilla que son comunes a las otras cuentas que necesita para crear, puede reducir la cantidad de información que debe proporcionar para la creación de las cuentas adicionales. Por ejemplo, puede configurar propiedades como la fecha y la contraseña de las opciones de caducidad de cuentas en una cuenta de plantilla si éstos serán los mismos para los demás cuentas de usuario que necesita para crear. Usted también puede configurar propiedades como empresa, dirección, ciudad y país en la cuenta plantilla. De esa manera, usted no tendrá que especificar estas propiedades al crear las otras cuentas de usuario. Uno de los ejercicios de práctica al final de este capítulo se muestra cómo se puede crear una cuenta de plantilla y luego usarlo como base para la creación de cuentas de usuario adicionales.
@ .
212
Capítulo5 Directory
La administración de Active
Encontrar ActivoCmdlets de administración Directorio El Get-Command cmdlet, que es nuevo en Windows PowerShell 0.0 3, puede ser útil cuando se necesita encontrar cmdlets para realizar alguna tarea de administración de Active Directory. Por ejemplo, si escribe Get-Command Nueva-AD * listas de todos los cmdlets utilizados para crear nuevos objetos de Active Directory. El resultado de la ejecución de este comando es la siguiente:
La función de cada comando se explica por sí dado los nombres de estos comandos. Para ver los ejemplos de sintaxis y uso para cada comando, utilice el cmdlet Get-Help. Como un segundo ejemplo de la búsqueda de cmdlets de administración de Active Directory, escribiendo Get-Command * ADAccount * muestra todos los cmdlets que se usan para la gestión de Active Directorycuentas. La salida de este comando es la siguiente:
Lección 3: Administración de Active Directory mediante Windows PowerShell Capítulo 5
213
Una vez más, los nombres de estos cmdlets proporcionan una visión clara de las acciones que pueden realizar, tales como activar, desactivar y desbloqueo de cuentas; establecer contraseñas para las cuentas; establecer y borrar la fecha de caducidad de una cuenta; etcétera. Por último, el cmdlet Get-Help puede ser útil tanto para la búsqueda de cmdlets y aprender lo que puede hacer con ellos. Por ejemplo, si escribe Get-Help * * ADUser muestra algunos de los cmdlets que se usan para la gestión de las cuentas de usuario de Active Directory y describe lo que hacen. La salida de este comando es la siguiente:
A partir de los ejemplos anteriores, se puede ver que a escribir Get-Help * * ADAccount proporcionará información sobre más cmdlets utilizados para la gestión de las cuentas de usuario de Active Directory.
Realización una tarea de administración de Active Directory avanzada Voy a concluir esta lección con un ejemplo de cómo realizar una tarea de administración de Active Directory avanzada mediante Windows PowerShell. Aquí está el panorama: Contoso Ltd. se encuentra en el proceso de despliegue de su entorno de Active Directory en susede en Seattle. Hasta el momento, dos controladores de dominio han sido desplegados en este lugar.Una nueva sucursal se va a configurar en Bellevue, y el administrador de Contoso tienedecidido trasladar uno de los controladores de dominio existentes a esta nueva ubicación. Estos son los pasos que el administrador llevará a cabo: 1. 214
Crear un nuevo sitio llamado Rama-Oficina-One para la ubicación de Bellevue. 2. Crear un nuevo enlace sitio denominado Hub-a-Rama-Oficina-One para
Capítulo5 Directory
La administración de Active
que se produzca la replicación entre los dos sitios. 3.
Mueva uno de los dos controladores de dominio desde predeterminado-primer-sitio a Rama-Oficina-One.
Lección 3: Administración de Active Directory mediante Windows PowerShell Capítulo 5
215
Esta es la forma en que se podría hacer uso de Windows PowerShell:
216
1.
Lista de todos los sitios que existen actualmente en el dominio:
2.
Lista de todos los controladores de dominio del dominio:
3.
Crear un nuevo sitio llamado Rama-Oficina-One:
4.
Verifique la creación de la nueva web:
5.
Crear un nuevo vínculo de sitio entre los dos sitios, y permitir el cambio a la notificación proceso para la replicación:
6.
Especifique el costo y la frecuencia de replicación para el nuevo enlace web:
Capítulo5 Directory
La administración de Active
7.
Verificar los resultados mediante la visualización de las propiedades del nuevo enlace web:
8.
Mover controlador de dominio SEA-SRV-5 desde el sitio concentrador al sitio de la sucursal:
9.
Verifique que el controlador de dominio se ha trasladado al lugar sucursal:
Por último, la apertura de los sitios y servicios de Active Directory de la consola MMC muestra el esperado configuración de los sitios, vínculos a sitios, y los controladores de dominio. (Ver Figura 5-16.)
FIGURA 5-16Esta consola MMC confirma lo que los cmdlets de Windows PowerShell a cabo.
Lección 3: Administración de Active Directory mediante Windows PowerShell Capítulo 5
217
Resumen de la lección ■
El módulo de Active Directory en Windows Server 2012 incluye 135 cmdlets de Windows PowerShell que puede utilizar para llevar a cabo las tareas de administración de Active Directory desde la línea de comandos o mediante el uso de scripts.
■
Usted debe familiarizarse con la sintaxis de cmdlets como Nueva-ADUser, Nueva ADOrganizationalUnit, y otros en el módulo de Directorio Activo de Windows PowerShell para que pueda utilizarlos para automatizar la creación de cuentas de usuarios, organizaciones unidades cionales y otros tipos de objetos de directorio en el entorno de Active Directory.
■
Cmdlets como Nueva-ADUser se pueden utilizar de diferentes maneras para crear cuentas de usuario de manera apropiada a las necesidades de cada escenario de administración de Active Directory. Lo mismo ocurre cuando se usa Windows PowerShell para crear otros tipos de objetos de directorio, como grupos, cuentas de equipo y unidades organizativas.
■
Cmdlets como Nueva-ADUser se pueden combinar con otros cmdlets de Windows PowerShell para crear cuentas de usuario en diferentes formas, como desde una cuenta de plantilla o de forma masiva. Lo mismo ocurre cuando se usa Windows PowerShell para crear otros tipos de objetos de directorio como grupos, cuentas de equipo y unidades organizativas.
■
El nuevo cmdlet Get-Command se puede utilizar para identificar rápidamente el Active Directory cmdlets de administración que necesita para realizar una tarea específica.
■
Windows PowerShell se puede utilizar para realizar tareas de administración de Active Directory avanzadas que anteriormente requerían el uso de complementos de MMC como Sitios y servicios de Active Directory.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Qué cmdlet de Windows PowerShell pueden Nuevo-ADUser combinarse con alcrear nuevas cuentas de usuario a granel? A. B. C. D.
2. 218
Capítulo5 Directory
¿Qué hace el parámetro -Force en el siguiente comando de Windows PowerShell?
La administración de Active
A.
Obliga la contraseña especificada para ser convertido de texto sin formato a una cadena segura.
B. Obliga la contraseña especificada a cifrar. Suprime el mensaje de confirmación de que el usuario normalmente tendría que responder a la hora de realizar esta acción.
C.
D. Se obliga al usuario a responder a un mensaje de confirmación al realizar
este acción. 3.
¿Qué comandos se puede utilizar para encontrar cmdlets de Windows PowerShell para administrar grupos de Active Directory? (Elija todas las que correspondan.) A. B. C. D.
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Creación de unidades organizativas utilizando Windows PowerShell
■
Creación de cuentas de usuario con Windows PowerShell
A realizar los siguientes ejercicios, necesita al menos una instalación limpia de Windows Server 2012 utilizando el servidor con una opción de instalación GUI. El servidor debe ser un controlador de dominio del corp .contoso dominio .com y tienen conectividad a Internet. Usted debe estar conectado de forma interactiva en el servidor con una cuenta de usuario que sea miembro del grupo Administradores de dominio. A los efectos de estos ejercicios, el nombre del servidor se supone que es DC-1. Puede modificar los ejercicios, según sea necesario si el nombre de su servidor y de dominio son diferentes de los que se dan aquí.
Ejercicio 1: Creación de unidades organizativas utilizando Windows PowerShell En este ejercicio, crear y ejecutar un script de Windows PowerShell que va a crear una jerarquía de unidades organizativas en el corp .contoso dominio .com. 1.
Inicie sesión en DC-1 utilizando una cuenta que es miembro de los administradores de dominio representan la corp .contoso dominio .com.
2.
Crear una carpeta con el nombre de datos en la raíz de la unidad C:. Respuestas Capítulo 5
219
3.
Abra el Bloc de notas y escriba las siguientes líneas:
"
4.
Seleccione Archivo, seleccione Guardar como y escriba como nombre de archivo. Haga clic en Guardar como Tipo de control, seleccione Todos los archivos y guardar la secuencia de comandos en su carpeta C: \ Data.
5.
Abra la consola de Windows PowerShell utilizando privilegios elevados haciendo clic derecho en el icono de la barra de tareas de Windows PowerShell y seleccionar Ejecutar como administrador.
6.
Tipo para ver la política de secuencias de comandos de ejecución actual en el servidor. Esto probablemente será restringido, lo que significa que no se pueden ejecutar secuencias de comandos y Windows PowerShell se pueden utilizar sólo en modo interactivo.
7.
Tipo para cambiar la directiva de ejecución en el servidora restricciones, lo que significa que todos los scripts de Windows PowerShell se pueden ejecutar sin restricciones (es decir, ambos firmados y scripts sin firmar se pueden ejecutar).
8.
Type
9.
Tipoel siguiente comando para verificar que las nuevas unidades organizativas se crearon como se esperaba:
a run la script you creado earlier.
10. Abrir ADAC, navegue hasta el dominio .com corp .contoso, y verificar que la
jerarquía de unidades de organización se creó con éxito. Es posible que tenga que actualizar ADAC si ya estaba abierto el fin de ver las unidades organizativas. 11. Añadir la nueva OU como modos de navegación en vista de lista ADAC, y
reorganizarlos si lo deseas.
Ejercicio 2: Creación de cuentas de usuario mediante Windows PowerShell En este ejercicio, creará una cuenta de usuario de la plantilla que se utilizará como punto de partida para crear otras cuentas de usuario. A continuación, crea una nueva cuenta de 220
Capítulo5 Directory
La administración de Active
usuario en base a su cuenta de plantilla. 1.
Inicie sesión en DC-1 utilizando una cuenta que es miembro de los administradores de dominio representan la corp .contoso dominio .com.
2.
Abra la consola de Windows PowerShell utilizando privilegios elevados haciendo clic derecho en el icono de la barra de tareas de Windows PowerShell y seleccionar Ejecutar como administrador.
3.
Utilizar el cmdlet para crear una nueva unidad organizativa llamada "Denver" en el corp .contoso dominio .com.
4.
Utilizar el cmdlet de nuevo para crear una nueva unidad organizativa llamada "Usuarios Denver" en el "Denver" unidad organizativa que ha creado en el paso anterior.Ejecute el comando siguiente para crear un usuario plantilla llamada DenverTemplateUser que expira a 2 a .m. el 30 de diciembre de 2012 y que tiene su establecimiento en la ciudad establecida en Denver:
5.
Abrir ADAC,navegar a los usuarios por defectorecipiente en el dominio .com corp .contoso, y verifique que el usuario de la plantilla se ha creado correctamente. Es posible que tenga que actualizar ADAC si ya estaba abierto el fin de ver el nuevo usuario.
6.
Abra las propiedades del usuario de la plantilla en el ADAC, y verificar que la cuenta Fecha de vencimiento y las propiedades de la ciudad se han configurado correctamente.
7.
Cambie de nuevo a la consola de Windows PowerShell y use el cmdlet Get-ADUser para recuperar las propiedades predeterminadas del usuario de la plantilla que acaba de crear, junto con las dos propiedades personalizadas que configuró. A continuación, asigne el resultado a una variable llamada $ TemplateDenverUsermediante la ejecución de este comando:
8.
Tipo$ TemplateDenverUserY compruebe que las propiedades de la cuenta de la plantilla son correctos.
9.
Ejecute el siguiente comando para crear una nueva cuenta de usuario para Tony Madigan que se basa en el usuario de la plantilla que creó anteriormente. Tenga en cuenta que el carácter de comilla invertida se utiliza aquí para que pueda entrar en esta larga comando en varias líneas para que sea más fácil de entender:
10. Tenga en cuenta el parámetro -instance en el comando anterior. Esto se utiliza para Respuestas Capítulo 5
221
especificar una instancia de un objeto existente que se va a utilizar como una plantilla para un nuevo objeto. Referirse ahttp://technet.microsoft.com/en-us/library/hh852238 si desea obtener más información sobre cómo utilizar el parámetro -instance con el cmdlet New-ADUser. 11. Ejecute el siguiente comando para obtener las propiedades configuradas de
nuevo usuario ac- contar junto con las dos propiedades personalizadas que se recuperaron de la cuenta de la plantilla:
Verifique desde la salida del comando anterior que la nueva cuenta de usuario tiene las propiedades correctas. 12. Cambie de nuevo a la CAAC, vaya a los usuarios Denver OU bajo la OU Denver,
abra las propiedades de la cuenta de usuario de Tony Madigan, y verificar que las propiedades se han configurado como se esperaba.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has leído sobre y para ayudar a dominar con éxito las lecciones presentadas en este capítulo: ■
■
Práctica 1Crear un script de Windows PowerShell que se lleva una cuenta plantilla existente y lo utiliza como base para nuevas cuentas de usuario a granel de creación cuya única propiedades se han especificado en un archivo CSV que ha creado utilizando Microsoft Excel. Práctica 2Crear una serie de comandos de Windows PowerShell que crean tres nuevos grupos, agregar algunos usuarios a cada grupo de los usuarios a granel creado en la práctica anterior, y configurar y asignar una política única contraseña de grano fino a cada grupo.
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Respuesta correcta: D A.
Incorrecto:Explorador Columna simplifica la navegación a través de los niveles de la jerarquía de Active Directory mediante la visualización de todos los contenedores secundarios del contenedor principal (el contenedor para el que abre el Explorador de columna) en una sola columna. No obstante, le permiten acceder rápidamente a los últimos tres contenedores que accedió.
222
Capítulo5 Directory
La administración de Active
B.
Incorrecto:El panel de navegación es el panel izquierdo de ADAC y te permite navegar a través de Active Directory mediante la vista de árbol, que es similar a la de Active Directory Usuarios y equipos de árbol de la consola, o mediante el uso de la nueva vista de lista, que puede personalizar mediante la adición de navegación nodos. No obstante, le permiten acceder rápidamente a los últimos tres contenedores que accedió.
C.
Incorrecto:Nodos de navegación son nodos personalizados se pueden agregar a la nueva vista de lista de ADAC para proporcionar una forma rápida de acceder a los contenedores específicos dentro del directorio. No obstante, le permiten acceder a los últimos tres contenedores que accedió.
D. Correcto:El (MRU) lista usados más recientemente aparece
automáticamente en un nodo de navegación cuando se visita al menos un contenedor en este nodo de navegación. La lista MRU siempre contiene los últimos tres contenedores que ha visitado en un nodo de navegación en particular. Cada vez que seleccione un contenedor especial, se añade este contenedor a la cima de la lista MRU y el último contenedor en la lista MRU se retira de ella. 2.
Correctorespuestas: A, B, y C A.
Correcto: Paracrear sitios, puede utilizar Windows PowerShell o los sitios de Active Directory y Servicios de MMC.
B.
Correcto: Paracrear dominios en el bosque, se puede utilizar cualquiera de Windows PowerShell o el Administrador de servidores para instalar el rol de Servicios de dominio de Active en el servidor y promover el servidor como el primer controlador de dominio en un dominio nuevo dominio secundario o un árbol.
C.
Correcto: Paracrear confianzas explícitas con dominios en el bosque o en otro bosque, se puede utilizar cualquiera de Windows PowerShell o el Directorio de Dominios y confianzas de Active MMC snap-in.
D. Incorrecto: Ustedpuede utilizar cualquiera ADAC o Windows PowerShell
para crear nuevos grupos en Active Directory. 3.
Respuesta correcta: C A.
Incorrecto: Ustedpuede utilizar ADAC para elevar el nivel funcional del bosque haciendo clic derecho sobre el dominio raíz del bosque.
B.
Incorrecto: Ustedno puede utilizar ADAC delegar el control administrativo sobre una unidad organizativa y los objetos que contiene. Debe utilizar los usuarios de Active Directory y equipos de MMC para realizar esta tarea.
C.
Correcto: Ustedpuede utilizar ADAC para habilitar y utilizar el Active Directory Papelera de reciclaje.
D. Incorrecto: Ustedpuede utilizar ADAC para configurar políticas de contraseñas de grano
fino y vista Respuestas Capítulo 5
223
los resultados de una aplicación de la política relativa a las cuentas de usuario.
Lección 2 1.
Respuesta correcta: D A.
Incorrecto:Un objeto en el estado en vivo está funcionando en Active Directory. Su duración del objeto reciclado no ha expirado.
B.
Incorrecto:Un objeto en el estado Suprimido ha sido trasladado al contenedor Objetos eliminados en Active Directory y permanecerá en este contenedor para la duración del objeto eliminado, que se configura por defecto como 180 días. Siempre y cuando se mantenga en el estado eliminados, su vida útil objeto reciclado no ha expirado.
C.
Incorrecto:Un objeto en el estado reciclado ha tenido expire su vida útil objeto eliminado. A continuación, permanece en estado reciclado hasta que haya expirado su reciclado duración del objeto. D. Correcto:Un objeto en el estado retirado ha tenido expire su vida útil objeto
reciclado. El proceso de recolección de basura de Active Directory eliminará físicamente un objeto de la base de datos de directorio. 2.
Respuesta correcta: C A.
Incorrecto: Ustedpuede utilizar la cmdlet para elevar el nivel funcional del bosque a Windows Server 2008 R2 o superior, que es un requisito necesario antes de habilitar el AD Papelera de reciclaje en su entorno. Sin embargo, este cmdlet no permite el AD característica Papelera de reciclaje.
B.
Incorrecto:No hay tal cmdlet de Windows PowerShell como esto.
C.
Correcto: Ustedpuede utilizar la cmdlet para que el AD característica Papelera de reciclaje, así como otras características opcionales de Active Directory.
D. Incorrecto:La
cmdlet se puede utilizar para
crearuna nueva política de contraseñas de grano fino. No tiene nada que ver con el AD característica Papelera de reciclaje. 3.
Correctorespuestas: B y D A.
Incorrecto:Asignación de políticas de contraseñas de grano fino a usuarios individuales no es una buena práctica. Asignación de políticas de contraseñas de grano fino hace que este tipo de políticas mucho más fácil de manejar.
B.
Correcto: Usteddebe asegurarse de que cada política de contraseñas de grano fino tiene su propio valor de preferencia única para evitar conflictos de política que pueden conducir a resultados inesperados.
C.
Incorrecto:Aunque se puede elegir para asegurar que cada grupo tiene al menos una política de contraseñas de grano fino asignado, esto no es
224
Capítulo5 Directory
La administración de Active
necesario si tiene una política de retorno configurado para el dominio. D. Correcto: Usteddebe asegurarse de que ha configurado una política de
retorno para el dominio. Esto puede ser una política de contraseñas de grano fino que tiene un valor de prioridad más alta que cualquier otra política, o la configuración de bloqueo de cuenta y contraseña definidos en la Directiva predeterminada de dominio GPO.
Lección 3 1.
Respuesta correcta: B A.
Incorrecto:
se puede utilizar para recuperar una o más cuentas de
usuario y es útil, por ejemplo, cuando se necesita para recuperar una cuenta de usuario existente para su uso como una cuenta de plantilla para crear cuentas de usuario adicionales. También es necesario utilizar otros cmdlets, sin embargo, si quieres cuentas de usuario a granel a crear. Correcto:El cmdlet Import-CSV le permite leer los datos de una comas archivo de valores separados (CSV) para crear varias cuentas de usuario en una sola operación. C. Incorrecto:La cmdlet le permite establecer la contraseña de una cuenta de usuario. También es necesario utilizar otros cmdlets si desea crear mayor cuentas de usuario. B.
D. Incorrecto:La
cmdlet proporciona una forma para que usted
pueda filtrar los datos devueltos por otros cmdlets. También es necesario utilizar otros cmdlets si desea crear mayor cuentas de usuario. 2.
Respuesta correcta: C A.
Incorrecto:La cmdlet convierte las cadenas estándar encriptados para asegurar cuerdas. También puede convertir texto plano para asegurar cuerdas.
B.
Incorrecto:El cmdlet ConvertFrom-SecureString convierte una cadena segura en una cadena estándar cifrada.
C.
Correcto:La
parámetro confirma que usted entiende las implicaciones
del uso de laAsPlainText parámetro del cmdlet ConvertTo-SecureString y todavía quieren usarlo. Cuando se especifica el parámetro -Force, no se muestra ningún mensaje de confirmación cuando utilice el cmdlet ConvertTo-SecureString. D. Incorrecto:Cuando el
se especifica el parámetro, sin solicitud de
confirmación se visualiza cuando se utiliza el cmdlet ConvertToSecureString. En otras palabras, el parámetro -Force suprime el mensaje en vez de mostrarla. 3.
Correctorespuestas: B y C A.
Incorrecto: enumera todos los cmdlets en el módulo de Directorio Activo de Windows PowerShell.
B.
Correcto:
cmdlets se pueden utilizar para la
Respuestas Capítulo 5
225
gestión de grupos de Active Directory. C.
Correcto: enumera los cmdlets que se pueden utilizar para la gestión de grupos de Active Directory, junto con un breve resumen de lo que hace cada cmdlet.
D. Incorrecto:Get-Help ActiveDirectory enumera todos los cmdlets en el módulo
de Directorio Activo de Windows PowerShell, junto con un breve resumen de lo que hace cada cmdlet.
226
Capítulo5 Directory
La administración de Active
CAPÍTULO 6
Administración de la red que la red es la base del sistema de información de una organización y permite a los ordenadores y otros dispositivos se comuniquen entre sí y con Internet. Los servicios de red tales como Dynamic Host Configuration Protocol (DHCP) y servidores de sistema de nombres de dominio (DNS) servidores simplifican la configuración y gestión de dirección IP mación nombres mación y de red. Para cumplir adecuadamente estas funciones, tales servicios deben estar disponibles para los clientes que lo necesiten y protegidos de los ataques.
T
Microsoft Windows Server 2012 incluye mejoras para las funciones de servidor DHCP y DNS Server que pueden ayudar a aumentar la disponibilidad de DHCP y salvaguardar la resolución de nombres DNS no se vean comprometidas o mal utilizados. Windows Server 2012 también incluye soporte adicional para la gestión de los diferentes aspectos de redes basados en Windows Server que utilizan Windows PowerShell. En este capítulo se muestra cómo implementar estas nuevas capacidades para garantizar la disponibilidad y seguridad de estos servicios de red críticos y gestionar redes basados en Windows Server de manera más eficiente. Además, esta lección también se describe cómo configurar protocolo de Internet versión 6 (IPv6) la creación de redes y la interoperabilidad entre IPv6 e IPv4.
Lecciones en este capítulo: ■
Lección 1: Garantizar la disponibilidad de DHCP226
■
Lección 2: La implementación de DNSSEC234
■
Lección 3: Administración de redes mediante Windows PowerShell244
■
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad258
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Usted debe estar familiarizado con los conceptos básicos de redes y las tareas de administración, incluyendo los conceptos de direccionamiento TCP / IP, cómo el trabajo DHCP y DNS, y cómo configurar los servidores DHCP y DNS utilizando el Microsoft Management Console (MMC) complementos para estos servicios.
■
Usted necesita saber cómo implementar Windows Server 2012, crear un bosque 225
de Active Directory y agregar funciones y características que el uso de Windows PowerShell. ■
226
Capítulo6 red
Será útil si usted también tiene conocimiento de al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Administración de la
Lección 1: Garantizar la disponibilidad de DHCP DHCP proporciona una manera de asignar dinámicamente direcciones IP y otros parámetros a los hosts en una red TCP / IP. DHCP está diseñado para trabajar de forma automática y alivia gran parte de los gastos generales de gestión asociada con la asignación de direcciones estáticas manualmente a la red anfitriones. Servidores DHCP juegan un papel crítico para asegurar huéspedes tales como servidores, clientes, e impresoras en una red TCP / IP se pueden comunicar entre sí. Debido DHCP concede direcciones sólo por un período de tiempo especificado, estos arrendamientos necesitan ser renovada periódicamente si los anfitriones son continuar la comunicación en la red. Aunque el proceso de renovación de la concesión DHCP tiene un cierto grado de tolerancia para el tiempo de inactividad del servidor DHCP incorporado, garantizando la disponibilidad de los servidores DHCP de la red es neverthe- menos esencial para que puedan responder de manera oportuna a las solicitudes de renovación de arrendamiento de máquinas de la red. De lo contrario, existe la posibilidad de que algunos hosts pueden no ser capaces de renovar sus direcciones y por lo tanto no podrán participar en la red.
Comparar y contrastar los diferentes métodos para garantizar la disponibilidad DHCP en redes basados en Windows Server. Explicar los dos modos de conmutación por error de los servidores DHCP que ejecutan Windows Server 2012. Implementar DHCP conmutación por error utilizando la consola DHCP. Describir las tareas involucradas en la gestión de una solución de conmutación por error de DHCP.
Anteriorenfoques para la implementación de la disponibilidad de DHCP Tradicionalmente, la disponibilidad del servidor DHCP se ha implementado en las redes basados en Windows Server utilizando uno o más de los siguientes métodos: ■
Este enfoque implica la división del grupo de direcciones IP de un ámbito entre dos servidores DHCP, por lo general mediante la asignación de las primarias del servidor 80 por ciento de las direcciones en el ámbito de aplicación y el servidor secundario el 20 por ciento restante de las direcciones. De esa manera, si el servidor principal se desconecta por cualquier razón, los clientes DHCP en la subred pueden todavía responder a arrendar las solicitudes de renovación desde el servidor secundario.
■
Este enfoque implica el uso de la característica Clúster de Lección 1: Garantizar la disponibilidad de DHCP
Capítulo 6
227
conmutación por error de Windows Server 2008 o Windows Server 2008 R2 para agrupar servidores DHCP de modo que si el servidor DHCP principal de un clúster falla, el servidor secundario puede tomar el relevo y seguir direcciones de leasing a los clientes. Este enfoque utiliza un servidor DHCP en espera caliente con alcances y opciones configuradas de forma idéntica a su servidor DHCP producción. Cada uno de los enfoques anteriores, tiene las siguientes desventajas, que los hacen de utilidad limitada para asegurar la disponibilidad del servidor DHCP: El enfoque dividida alcance proporciona disponibilidad limitada IP durante los cortes. Como resultado, algunos clientes podrían no recibir direcciones durante un corte de servidor DHCP a largo plazo. Además, si su ámbito de servidor DHCP se está ejecutando actualmente en alta utilización, que es común para Protocolo de Internet versión 4 (IPv4) redes de reparto del alcance podría no ser factible. ■
■
■
El enfoque de servidor DHCP-cluster tiene una sola base de datos DHCP se encuentra en el almacenamiento compartido del clúster. Eso significa que hay un único punto de error para los servicios DHCP en su red. Además, la implementación de clústeres de conmutación por error requiere relativamente complejos procesos de configuración y tareas de mantenimiento.
■
El enfoque de reposo dinámico requiere tanto cuidado configuración del servidor DHCP de espera y la intervención manual por parte del administrador para garantizar la transición de conmutación por error cuando el servidor DHCP de producción falla o se desconecta. También hay una complejidad adicional en este enfoque cuando DHCP está configurado para actualizar automáticamente los registros DNS, como se recomienda en un entorno de Active Directory.
Conmutación por error DHCP Entendimiento DHCP conmutación por error es un nuevo enfoque para garantizar la disponibilidad de DHCP que se incluye en Windows Server 2012. Con este enfoque, dos servidores DHCP se pueden configurar para proporcionar arrendamientos desde el mismo conjunto de 228
Capítulo6 red
Administración de la
direcciones. Los dos servidores se replican información de arrendamiento entre las partes, lo que permite a un servidor a asumir la responsabilidad de proporcionar los arrendamientos a todos los clientes en la subred cuando el otro servidor no está disponible. El resultado de la aplicación de este enfoque es asegurar la disponibilidad del servicio DHCP en todo momento, lo cual es un requisito clave para las redes empresariales. La implementación actual de DHCP de conmutación por error en Windows Server 2012 tiene las siguientes limitaciones: ■
Sólo se admite el uso de un máximo de dos servidores DHCP.
■
La relación de conmutación por error se limita a IPv4 alcances y subredes. Conmutación por error del servidor DHCP puede ser implementado en dos configuraciones diferentes: ■
■
El modo de reparto de cargaLos arrendamientos se emiten desde los dos servidores por igual, lo que garantiza la disponibilidad y proporciona balanceo de carga para sus servicios DHCP. (Esta es la configuración de conmutación por error del servidor DHCP por defecto.) El modo Hot-standbyLos arrendamientos se emiten desde el servidor primario hasta que falla, con lo cual los datos de arrendamiento se replica automáticamente en el servidor secundario, que asume la carga.
El modo de reparto de carga Un escenario típico para la aplicación del enfoque de la carga compartida es cuando usted quiere tener dos servidores DHCP en el mismo lugar físico. Si el sitio tiene sólo una única subred, todo lo que tiene que hacer es activar la conmutación por error DHCP en su configuración predeterminada. Si hay varias subredes, implementar dos servidores DHCP en la misma subred, configure los routers como agentes de retransmisión DHCP (o desplegar agentes de retransmisión DHCP adicionales en subredes), y permitir la conmutación por error del servidor DHCP en su configuración predeterminada.
Hot-standbymodo Al aplicar el enfoque de modo de espera activa, puede configurar un servidor DHCP para que actúe como servidor principal para una subred y como servidor secundario para otras subredes. Un escenario en el que se puede implementar este enfoque es en las organizaciones que tener un sitio del concentrador central (normalmente, el centro de datos en la oficina central) conectados a través de redes de área amplia (WAN) enlaces a sitios múltiples sucursales remotas. Figura 6-1 muestra un ejemplo de una organización que tiene servidores DHCP desplegados en cada sucursal y en la oficina central. Servidores de sucursales están configurados para conceder direcciones a los clientes en sus sucursales, mientras que el servidor central arrienda direcciones a los clientes en la oficina central. Cada servidor sucursales tiene una relación de conmutación por error con el servidor central, con la sucursal de asumir el papel de primaria y el servidor central como secundario. De esa manera, si un servidor DHCP falla en una sucursal, el servidor central puede tomar el relevo Lección 1: Garantizar la disponibilidad de DHCP
Capítulo 6
229
para el sitio remoto. Por ejemplo, el servidor DHCP en la Sucursal A es el servidor primario para el alcance 10.10.0.0/16, mientras que el servidor DHCP en la Sede es la secundaria para que alcance.
230
Capítulo6 red
Administración de la
Ámbito H: 10.0.0.0/16 Ámbito A: 10.10.0.0/16 (secundaria) Ámbito B: 10.20.0.0/16 (secundaria)
Oficina Central
Ámbito A: 10.10.0.0/16 (primaria)
Sucursal A
Ámbito B: 10.20.0.0/16 (Primaria)
Sucursal B
FIGURA 6-1La implementación de la conmutación por error DHCP en modo de espera activa en un
escenario sitio hub-and-spoke.
Implementación de DHCP de conmutación por error Apermitir que la conmutación por error de DHCP, comenzará con la instalación de dos servidores DHCP que ejecutan Windows Server 2012, la designación de uno de ellos como el servidor principal y el otro como el servidor secundario. Si los servidores DHCP son miembros de dominio, deben ser autorizados en Active Directory. Sin embargo, también se puede aplicar DHCP conmutación por error en los servidores DHCP independientes en un grupo de trabajo. Después de desplegar sus dos servidores DHCP, crear y configurar ámbitos en el servidor DHCP principal para los clientes DHCP en su entorno. A continuación, realice los siguientes pasos: 1.
Abra la consola DHCP y añadir el servidor primario. A continuación, haga clic en un ámbito y seleccione Configuración de conmutación por error:
Lección 1: Garantizar la disponibilidad de DHCP
Capítulo 6
231
232
Capítulo6 red
Administración de la
2.
En el Asistente para configurar la conmutación por error, seleccione un alcance disponible.
3.
Añadir el servidor asociado que se utiliza como el servidor secundario para el servidor host (el servidor primario).
4.
Configure la nueva relación de conmutación por error para cualquiera de los modos de carga de balance (que se muestra en la Figura 6-2) o el modo de espera (que se muestra en la Figura 6-3). Ajustar la configuración del modo de satisfacer las necesidades de su entorno.
5.
Complete el asistente y asegúrese de que el diálogo de progreso indica el éxito de todas las operaciones.
Los pasos anteriores deben realizar estas acciones: 1.
Añadir ámbitos en el servidor asociado.
2.
Desactivar ámbitos en el servidor asociado.
3.
Crear una configuración de conmutación por error en el servidor asociado.
4.
Crear una configuración de conmutación por error en el servidor host.
5.
Activar los ámbitos en el servidor asociado.
FIGURA 6-2Creación de una nueva relación de conmutación por error del servidor DHCP
utilizando el modo de carga de balance.
230
Capítulo6 red
Administración de la
FIGURA 6-3Creación de una nueva relación de conmutación por error del servidor DHCP
utilizando el modo de espera.
La gestión de la conmutación por error de DHCP Después de la conmutación por error DHCP está activado y configurado, puede administrar su solución de conmutación por error de DHCP mediante la consola DHCP. Los ejemplos de las tareas de administración que puede realizar para la conmutación por error del servidor DHCP incluyen los siguientes: ■
Configuración de una nueva relación de conmutación por error, haga clic en cualquiera otro ámbito o en el nodo IPv4 para el servidor y seleccionando Configuración de conmutación por error
■
Extracción de una relación de conmutación por error para un ámbito que ha sido previamente configurado para conmutación por error haciendo clic derecho sobre el alcance y la selección de desconfiguración de conmutación por error ■
Visualización de la configuración de conmutación por error para un ámbito con un Lección 1: Garantizar la disponibilidad de DHCP
Capítulo 6
231
clic derecho sobre el alcance, la selección Propiedades y seleccione la ficha de
conmutación por error. ■
Visualización del estado de conmutación por error, el modo de conmutación por error y servidor asociado haciendo clic derecho en el nodo IPv4 para un servidor, seleccione Propiedades y seleccione la ficha de conmutación por error
■
Edición de la relación de conmutación por error para el servidor haciendo clic derecho en el nodo IPv4 para un servidor, seleccione Propiedades, seleccione la ficha de conmutación por error, y haciendo clic en Editar para abrir las propiedades Ver / Editar conmutación por error de relación (como se muestra en la Figura 6-4)
■
Forzar la replicación de un ámbito en una relación de conmutación por error en el servidor de socio para esa relación con un clic derecho sobre el alcance y seleccionar Replicar Alcance
■
Forzar la replicación de todos los ámbitos en una relación de conmutación por error en el servidor de socio para esa relación con un clic derecho sobre el alcance y seleccionar Replicar Relación
■
Forzar la replicación de todos los ámbitos, en todas las relaciones de conmutación por error de los servidores asociados a esas relaciones haciendo clic derecho sobre el nodo IPv4 para el servidor y seleccionar Replicar conmutación por error Scopes
232
Capítulo6 red
Administración de la
FIGURA 6-4Modificación de las propiedades de una relación de conmutación por
error del servidor DHCP.
Lección 1: Garantizar la disponibilidad de DHCP
Capítulo 6
233
Resumen de la lección ■
Soluciones de disponibilidad de DHCP para las versiones anteriores de Windows Server cada uno tiene sus ventajas y desventajas.
■
DHCP conmutación por error es un nuevo enfoque para garantizar la disponibilidad del servidor DHCP que se incluye en Windows Server 2012.
■
DHCP conmutación por error sólo se admite para ámbitos IPv4.
■
Conmutación por error DHCP puede ser implementado en dos configuraciones diferentes: el modo de reparto de carga o el modo hot-standby.
■
Un escenario típico donde usted puede aplicar el modo de reparto de carga es cuando usted quiere tener dos servidores DHCP en el mismo lugar físico.
■
Un escenario típico donde usted puede aplicar el modo de espera en caliente está en las organizaciones que tienen un sitio eje central conectado a través de enlaces WAN a varios sitios de sucursales remotas.
■
Conmutación por error de DHCP se puede implementar mediante el uso de la consola de DHCP o Windows PowerShell.
■
Cada relación de conmutación por error DHCP puede incluir sólo dos servidores DHCP, pero puede aplicarse a varios ámbitos en los servidores.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Qué enfoque para asegurar la disponibilidad de DHCP implica dividir el conjunto de direcciones IP de un alcance entre dos servidores DHCP, normalmente utilizando la relación de 80/20? A.
Clúster de servidores
B.
Alcance de Split
C.
Servidor de reserva
D. DHCP de conmutación por error 2.
234
¿Cuál de los siguientes no es cierto en relación con la conmutación por error DHCP en Windows Server 2012? (Elija todas las que correspondan.) A.
DHCP conmutación por error sólo es compatible con el uso de un máximo de dos servidores DHCP.
B.
DHCP de conmutación por error con el apoyo tanto para IPv4 e IPv6 alcances y subredes.
C.
Conmutación por error DHCP puede implementarse de dos maneras: el modo de
Capítulo6 red
Administración de la
reparto de carga o en el modo de reposo dinámico. D. Conmutación por error DHCP requiere que los servidores DHCP sean miembros
del dominio y autorizado en Active Directory. 3.
¿Cuál de los siguientes escenarios podrían ser apropiados para la implementación de la conmutación por error DHCP en modo de reposo dinámico? (Elija todas las que correspondan.) A.
Su organización tiene una topología del sitio hub-and-spoke.
B.
Ustedque desee utilizar el servidor DHCP en su centro de datos como un modo de espera en caso de un servidor DHCP servidor en una de sus sucursales remotas se desconecta.
C.
Su organización tiene una topología del sitio hub-and-spoke, pero usted tiene un presupuesto limitado para la implementación de servidores adicionales como cartas de crédito para los servidores existentes en su entorno.
D. Su organización tiene un solo sitio físico.
Lección 2: La implementación de DNSSEC DNS proporciona una manera fácil de usar de nombrar a los ejércitos y servicios en una red TCP / IP. Servidores DNS realizar la resolución de nombres para convertir los nombres DNS en direcciones IP para que los clientes DNS pueden acceder a los servicios de red. Por tanto, los servidores DNS juegan un papel crítico en permitir a los usuarios y aplicaciones para localizar los ejércitos y servicios en la red o en Internet. Sin embargo, ninguna autenticación o la integridad de cheques se realiza cuando se está realizando la resolución de nombres utilizando DNS tradicional. Como resultado, las comunicaciones entre clientes y servidores DNS es inherentemente inseguro, y por suplantación de tráfico DNS o no envenenar la caché de DNS en los clientes, un atacante podría secuestrar las comunicaciones de red y redirigir a los usuarios y las aplicaciones a los sitios y servicios maliciosos. Aorganizaciones ayudar a resolver este problema, Windows Server 2012 incluye soporte mejorado para extensiones DNS de Seguridad (DNSSEC), un conjunto de extensiones que añaden seguridad al protocolo DNS, permitiendo servidores DNS para validar las respuestas DNS. En un sentido práctico, esto permite a los usuarios tener la confianza de que el sitio están accediendo en su intranet corporativa es, de hecho, el sitio que ellos creen que sea, y no algún sitio malicioso enmascarado como un sitio legítimo. Esta lección le ayuda a comprender los beneficios de DNSSEC, cómo funciona y cómo ponerlo en práctica en un entorno de Active Directory basado en Windows Server 2012.
Lección 1: Garantizar la disponibilidad de DHCP
Capítulo 6
235
Explique qué tipo de seguridad ofrece DNSSEC, y describir sus beneficios para Comparar y contrastar la funcionalidad DNSSEC en Windows Server 2012 con la de las versiones anteriores de Windows Server. Describa cómo DNSSEC trabaja como parte del proceso de resolución de nombres.
Explicar los conceptos de DNSSEC, como la firma de zona, llave maestra, y anclas de confianza. Enumerar los diferentes tipos de registros de recursos DNSSEC, y describen lo que se utilizan. Implementar DNSSEC en un entorno Windows Server 2012 Active Directory mediante la consola MMC Administrador de DNS.
Beneficios de DNSSEC DNS se utiliza para la localización de recursos en una red TCP / IP e Internet. Por ejemplo, cuando un usuariowww.bing.com en la barra de direcciones de Internet Explorer, el cliente DNS en el ordenador del usuario envía una solicitud de consulta de nombre a un servidor DNS. El servidor DNS entonces o reponde con la dirección IP para el sitio está accediendo (Bing) o reenvía la consulta a otro servidor DNS para su consideración. Cuando el cliente tiene la dirección IP del sitio, puede acceder al sitio para descargar contenido. Pero surge la pregunta, ¿cómo puede el usuario o aplicación estar seguro de que el sitio está accediendo es genuino y no un sitio falso haciéndose pasar por el verdadero? Hasta cierto punto, el protocolo Secure Sockets Layer (SSL) ya lo hace. SSL se utiliza cuando el usuario o la aplicación accede a un recurso mediante HTTP seguro (HTTPS). SSL hace esto mediante la autenticación del sitio que se accede y el cifrado de los datos devueltos por la red. Sin embargo, SSL no sirve de nada si el servidor DNS se consulta devuelve una dirección IP falsificada en lugar de la real. Esto podría lograrse, por ejemplo, si un servidor DNS malicioso interceptado tráfico resolución nombre- y se inserta una respuesta falsificada a una consulta de un cliente o un servidor DNS DNS recursivo. Y no sólo podría tal ataque secuestrar una sesión DNS particular, sería también envenenar la caché DNS local en el servidor de cliente, servidor recursivo, o ambos, lo que podría conducir a respuestas erróneas más a las peticiones de resolución de nombres hasta que expiraron los datos de la caché.
Lección 2: La implementación de DNSSEC Capítulo 6
235
Aabordar estas cuestiones, la Internet Engineering Task Force (IETF) desarrolló DNSSEC para agregar una capa de seguridad en el protocolo DNS inherentemente insegura. Específicamente, DNSSEC ayuda a demostrar dos cosas: ■
La información que el cliente está accediendo viene de la fuente correcta. En otras palabras, se confirma la autoridad del autor de los datos devueltos por el servidor DNS.
■
La información que ha recibido es la misma que la información que se envió. En otras palabras, se confirma la integridad de los datos devueltos por un servidor DNS.
DNSSEC también proporciona la negación de la existencia autenticado cuando la información que el cliente está intentando acceder no existe. En otras palabras, es una prueba de que el sitio que se solicita en realidad no existe. Qué DNSSEC no proporciona es la confidencialidad de los datos devueltos por el servidor DNS. En otras palabras, no garantiza que los datos no han sido interceptados y examinado mientras se dirigía al cliente. DNSSEC también no proporciona ninguna protección contra una denegación de servicio distribuido (DDoS) contra la infraestructura DNS de una organización. Así, mientras que DNSSEC ofrece dos de los requisitos de la CIA tríada seguridad de la información (confidencialidad, integridad y disponibilidad), no es en sí misma una solución completa al problema de la protección de la infraestructura DNS de una organización y el tráfico. MÁS INFORMACIÓN CÓMO DNS OBRAS
ro
236
Capítulo6 red
Administración de la
DNSSEC enlas versiones anteriores de Windows Server Soporte básico para DNSSEC se introdujo en Windows Server 2003 para permitir que los servidores DNS para que actúen como servidores DNS secundarios para zonas segurasDNSSEC compatible existente. Servidores DNS de Windows Server 2003, sin embargo, no eran capaces de zonas de firma y registros de recursos o valiing la firma (SIG) registros de recursos. Además, toda la configuración DNSSEC tenía que ser realizado por la modificación del Registro en los servidores DNS. Soporte para DNSSEC se ha mejorado en Windows Server 2008 R2, pero se limitó al ser concebido como una solución única para los archivos respaldados, zonas estáticas y no para Active Directory zonas integradas dinámicas. La herramienta de gestión de línea de comandos del servidor DNS (Dnscmd .exe) podría ser utilizado para llevar a cabo en línea de generación de claves y la capacidad de la zona de firma a través de una herramienta de firma. Scripts de Windows PowerShell fueron puestos en libertad más tarde a través del Centro de scripts de TechNet para per- forman las tareas de administración de DNSSEC, como zonas de firma y para incluir, darse vuelta, y la verificación de las anclas de confianza. Sin embargo, el cliente DNS en Windows 7 y Windows Server 2008 R2 es DNSSEC-consciente, pero sin validación. En otras palabras, el cliente DNS puede examinar una respuesta recibida de un servidor DNS para determinar si la respuesta ha sido validado por el servidor DNS, pero el cliente no puede validar la misma respuesta que recibe del servidor DNS. Esto significa que algún otro método, como el protocolo de seguridad de Internet (IPsec), aún debe ser usado para asegurar la última milla entre el cliente y su servidor DNS local, incluso cuando DNSSEC se ha configurado en los servidores DNS que ejecutan Windows Server 2008 R2. Windows Server 2012 incluye ahora soporte completo para DNSSEC escenarios DNS integradas en Active Directory, incluyendo actualizaciones dinámicas de DNS en DNSSEC firmado zonas, la distribución de anclaje confianza- automatizada a través de Active Directory, el apoyo vuelco confianza-ancla automatizado por RFC 5011, y la validación de los registros firmados con DNSSEC normas actualizadas (NSEC3, RSA / SHA-2). Una interfaz de usuario actualizada con asistentes de implementación y administración también se incluye, además de soporte completo de Windows PowerShell para configurar y administrar DNSSEC. Sin embargo, el cliente DNS en Windows 8 y Windows Server 2012 sigue siendo DNSSEC-consciente, pero sin validación, lo que significa IPsec todavía debe ser usado para asegurar la red que conecta el cliente a su servidor DNS local.
Cómo DNSSECobras DNSSEC funciona mediante la combinación de la infraestructura (PKI) criptografía de clave pública con DNS para utilizar la firma digital y claves criptográficas para firmar zonas DNS y validar que el DNS las respuestas son auténticos. Figura 6-5 muestra los pasos involucrados en el proceso de resolución de nombres cuando DNSSEC se ha implementado en una red basada en Windows Server. Los pasos básicos implicados son los siguientes: Lección 2: La implementación de DNSSEC Capítulo 6
237
1.
Un cliente como un equipo con Windows 8 emite una consulta DNS a su servidor DNS local. 2. Servidor DNS local del cliente tiene habilitado DNSSEC, pero no está autorizado para la zona que se consulta, por lo que emite una consulta recursiva al servidor autorizado para la zona de solicitar una respuesta autoritaria. 3.
El servidor autorizado tiene habilitado DNSSEC y es el servidor autorizado para la zona que se está consultando. Esto significa que la zona ha sido firmado digitalmente en este servidor. Cuando el servidor autorizado recibe la consulta recursiva, devuelve una respuesta autoritaria tiva al servidor local del cliente. Esta respuesta incluye uno o más registros de recursos DNSSEC, que puede incluir los siguientes tipos: ■
■
■
■
4.
Registro de recursos Firma (RRSIG)Estos registros de recursos contienen digitalesfirmas para todos los registros en una zona. DNS de clave pública (DNSKEY)Estos registros de recursos contienen las claves públicas para una zona en particular. Delegación Firmante (DS)Estos registros de recursos indican la clave pública de una zona infantil. Siguiente Secure(NSEC o NSEC3)Estos registros de recursos permiten la validación de una respuesta negativa.
El servidor local utiliza la clave pública de la zona firmada en el servidor autorizado para validar la respuesta que recibió del servidor autorizado.
5.
El servidor local devuelve la respuesta solicitada al cliente que emitió la consulta. El cliente ahora puede tener acceso al recurso de red representado por el nombre se Consultando. AutoritarioSe rvidor DNS
2. Consulta recursiva
3. Respuesta autorizada,
1. Pregunta 4. Validación
Cliente DNS
5. Respuest a
FIGURA 6-5 ¿Cómo funciona DNSSEC.
238
Capítulo6 red
Administración de la
Recursiva Servidor DNS
DNSSEC Implementación Implementación de DNSSEC utiliza Windows Server 2012 en un entorno de Active Directory existente implica realizar los siguientes pasos: 1.
Comience introduciendo Windows Server 2012 controladores de dominio en su entorno. Estos controladores de dominio también deben tener el rol de servidor DNS y estar configurado para utilizar las zonas integradas en Active Directory.
2.
DNSSEC es implementado por la firma de zonas en los servidores DNS. Después de decidir qué zona DNS para implementar DNSSEC en, signo de la zona mediante la apertura de la consola de Administrador de DNS, seleccionar el servidor DNS, haga clic en la zona, y la selección de DNSSEC, seguido por La Firma Zona:
Lección 2: La implementación de DNSSEC Capítulo 6
239
3.
Siga las instrucciones del Asistente de firma de Zona para completar el proceso de firma de la zona. El enfoque más sencillo es utilizar la configuración predeterminada para firmar la zona:
Por ejemplo, al seleccionar esta opción cuando la firma de la zona .com corp .contoso en suprimer controlador de dominio de Windows Server 2012 DC-1.corp.contoso.com tendría los siguientes resultados: ■
El controlador de dominio se convierte en la llave maestra para la zona .com del corp .contoso. La llave maestraes el servidor DNS que genera y gestiona las claves de firma para una zona que está protegida con DNSSEC.
■
Una clave de firma clave (KSK) con una longitud de 2048 bits se genera mediante el RSA / SHA-256 algoritmo criptográfico. El KSK es una clave de autenticación que firma todos los registros DNSKEY en la raíz de la zona, y es parte de la cadena de confianza. Por defecto, el KSK tiene una frecuencia de vuelco de 755 días, y cualquier DNSKEY registros firmados utilizando la clave tienen una validez de la firma de 168 horas. Vuelco clave y firma de actualización están habilitadas por defecto en el servidor DNS de Windows 2012 servidores.
■
Una clave de firma zona (ZSK) con una longitud de 1024 bits se genera utilizando el algoritmo RSA / SHA-256. La ZSK se utiliza para firmar datos de la zona, como el SOA, NS y registros de recursos que se encuentran en una zona típica. Por defecto, la ZSK tiene una frecuencia seguidilla de 90 días, y cualquier registro de recursos de zona firmados con la tecla de tener una validez de la firma de 240 horas. Vuelco clave y firma de actualización están habilitadas por defecto en el servidor DNS de Windows 2012 servidores. ■
240
NSEC3 se utiliza por defecto para proporcionar la negación autenticada de la existencia. El NSEC3 algoritmo de hash utilizado es RSA / SHA-1 con 50 iteraciones y una longitud de sal 8. ■ Anclas fiduciarios no se distribuyen. Un ancla de confianza es una clave pública preconfigurado asociada a una zona específica. El ancla de confianza permite que los servidores DNS para validar los registros de recursos DNSKEY para la zona correspondiente y establecer una cadena de confianza a
Capítulo6 red
Administración de la
las zonas infantiles, si existe alguno. Servidores DNS Validación deben configurarse con uno o más anclas de confianza con el fin de realizar la
validación DNSSEC. Si el servidor DNS se ejecuta en un controlador de dominio, anclas de confianza se almacenan en la partición de directorio del bosque de Active Directory. 4.
Si la zona que firmó es una zona integrada en Active Directory, llaves zona de firma privadas ahora se replican automáticamente a todos los controladores de dominio de alojamiento en la zona a través de la replicación de Active Directory. Cada propietario zona firma su propia copia de la zona cuando se recibe la clave, siempre y cuando el propietario zona es un controlador de dominio que ejecuta Windows Server 2012. La mayor parte del proceso de gestión de claves está automatizado para DNSSEC en Windows Server 2012. Después de la frecuencia fundamental de vuelco se ha configurado para una zona utilizando el Asistente de firma de Zona, la llave maestra genera automáticamente nuevas claves y se replica a través de Active Directory. El propietario zona se da la vuelta llaves y vuelve a firmar la zona, y las delegaciones seguras de los padres también se actualizan automáticamente en el mismo bosque.
5.
En este punto, la zona ha sido firmado y contiene los RRSIG, DNSKEY, DS, y los registros necesarios recursos NSEC3 para apoyar la validación DNSSEC:
6.
Cuando los datos de zona se actualiza por un cliente que envía una actualización dinámica de DNS a un servidor DNS autorizado, ese servidor DNS actualiza su propia copia de la zona y genera las firmas requeridas. La actualización sin firmar se replica de forma segura a todos los demás servidores autorizados, y cada servidor DNS agrega la actualización de su copia de la zona y genera las firmas requeridas. Lección 2: La implementación de DNSSEC Capítulo 6
241
7. Anclas fiduciarios deben luego ser distribuidos a los servidores DNS en su entorno para que el
proceso de validación DNSSEC a realizar por los servidores DNS autoritativos (recurrentes sive o almacenamiento en caché). Si los servidores DNS se ejecutan en los controladores de dominio, anclas de confianza se almacenan en la partición del directorio de bosque en Active Directory y son
replicado en todos los controladores de dominio del bosque. En los servidores DNS independientes, anclas de confianza se almacenan en un archivo llamado TrustAnchors .dns y se pueden importar manualmente a estos servidores utilizando la consola Administrador de DNS o Windows PowerShell. Por ejemplo, el servidor DNS autónomo que ejecuta Windows Server 2012 se muestra a continuación muestra sus anclas de confianza configuradas en el árbol de consola del Administrador de DNS en el Fideicomiso Puntos contenedor. Tenga en cuenta que la confianza de dos DNSKEY se muestran puntos: uno para la tecla activa y otro para la tecla de espera.
8.
Actualizaciones de confianza de anclaje se replican automáticamente a través de Active Directory para todos los servidores en el bosque, y automatizado vuelco Fiduciario ancla se utiliza para mantener la confianza anclas al día.
9.
El último paso en el despliegue de DNSSEC es garantizar la seguridad entre el cliente DNS sin validación (que pueden ser los equipos que ejecutan Windows 7, Windows 8, Windows Server 2008 R2 o Windows Server 2012) y sus servidores DNS locales. La forma recomendada de hacer esto es utilizar IPsec para proteger la última milla entre el cliente y su servidor DNS local. Los clientes DNS también deben configurarse para comprobar que las respuestas han sido validados por su servidor DNS local, y esto se hace mediante la configuración de la Mesa Política de la Resolución Nombre (NRPT) en los clientes. El NRPT es una tabla que contiene las reglas que se pueden configurar para especificar la configuración de DNS o un comportamiento especial para los nombres o los espacios de nombres. El NRPT se puede configurar mediante el uso de cualquiera de directiva de grupo o Windows PowerShell.
Resumen de la lección
242
■
DNSSEC es un conjunto de extensiones que añaden seguridad al protocolo DNS, permitiendo servidores DNS para validar las respuestas DNS.
■
DNSSEC confirma la autoridad del emisor y la integridad de los datos es
Capítulo6 red
Administración de la
devuelto. ■
DNSSEC ofrece la negación de la existencia autenticado cuando la información que el cliente está intentando acceder no existe. En otras palabras, es una prueba de que el sitio que se solicita en realidad no existe.
DNSSEC no proporciona confidencialidad de los datos que están siendo devueltos por un servidor DNS. DNSSEC funciona mediante la combinación de la infraestructura (PKI) criptografía de ■
■
clave pública con DNS para utilizar la firma digital y claves criptográficas para firmar zonas DNZ y validar que las respuestas DNS son auténticos. ■
DNSSEC es implementado por la firma de zonas en los servidores DNS. La firma de una zona añade nuevos registros de recursos de tipos RRSIG, DNSKEY, DS, y NSEC (o NSEC3) en la zona.
■
La mayor parte del proceso de gestión de claves está automatizado para DNSSEC en Windows Server 2012. Sin embargo, anclas de confianza deben ser distribuidos de forma manual en servidores de DNS.
■
El cliente DNS en Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 es DNSSEC-consciente, pero sin validación. Esto significa que IPsec debe ser usado para asegurar la red que conecta el cliente a su servidor DNS local.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no es una correcta explicación de un término o concepto DNSSEC? A.
Registros de recursos DNSKEY contienen las claves públicas para una zona en particular.
B.
Sólo las zonas que están autorizados pueden firmar.
C.
La clave de firma clave (KSK) se utiliza para firmar todos los registros DNSKEY en la raíz de la zona.
D. Cuando los datos de zona se actualiza por un cliente que envía una
actualización dinámica de DNS a un servidor DNS au- autoritativa, toda la zona se debe volver a firmar. 2.
En una infraestructura DNS basado en Windows Server donde DNSSEC se ha implementado, en donde se realiza la validación de la respuesta a una pregunta? A.
En un servidor DNS autorizado en el dominio raíz del bosque
B.
En un servidor DNS autorizado en un dominio secundario o un árbol
C.
En un servidor DNS recursivo que no tiene autoridad para que se consulta la Lección 2: La implementación de DNSSEC Capítulo 6
243
zona D. En el equipo cliente que emite la consulta de nombre 3.
Cuando se desea implementar DNSSEC en un entorno de Active Directory en todos los servidores DNS son los controladores de dominio y el uso de zonas solamente integradas en Active Directory, cuál de los siguientes pasos en el proceso de implementación de DNSSEC no es correcta? A.
Comience introduciendo Windows Server 2012 controladores de dominio en su entorno.
B.
Después de decidir qué zona DNS para implementar DNSSEC en adelante, firmar la zona.
C.
Utilice Robocopy .exe para replicar las claves de firma de zona privada para todos los dominioscontroladores de alojamiento en la zona.
D. Utilice IPsec para proteger la última milla entre el cliente DNS sin validación y
su servidor DNS local.
244
Capítulo6 red
Administración de la
Lección 3: Administración de redes mediante Windows PowerShell La gestión de la configuración y los servicios de red es una tarea fundamental para los administradores de redes basadas en Windows en servidor. Ejemplos de tareas de configuración de red incluyen interfaces de configuración, direcciones IP, puerta de enlace predeterminada, las rutas y las métricas; configurar ISATAP y Teredo para IPv4 / interoperabilidad v6; y tareas similares. Ejemplos de tareas de servicios de red incluyen ámbitos Configuración de DHCP, opciones y reservas; la creación de diferentes tipos de zonas DNS; la configuración de pistas y transitarios raíz DNS; la creación de registros de recursos; y tareas similares. En versiones anteriores de Windows Server, estas tareas generalmente tenían que llevarse a cabo utilizando una combinación de herramientas de la GUI y varias utilidades de línea de comandos. Pero con el aumento de manera significativa las capacidades de Windows PowerShell integrados en Windows Server 2012, puede ahora realizar la mayoría de las tareas de administración de red desde la línea de comandos de Windows PowerShell o mediante la ejecución de scripts de Windows PowerShell. Esta lección muestra cómo identificar los componentes de red que tienen el apoyo de Windows PowerShell y cómo realizar algunas tareas de administración de red común que utilizan Windows PowerShell.
Identificar posibles cmdlets de Windows PowerShell que se pueden utilizar para llevar a cabo tareas específicas de gestión de red. Use el cmdlet Show-Comando de aprender la sintaxis de otros cmdlets. Configurar ajustes de la dirección TCP / IP que utilizan Windows PowerShell. Administrar los diferentes aspectos de los adaptadores de red que utilizan Windows PowerShell.
La identificación de los cmdlets de redes En Windows Server 2012, ahora hay cientos de cmdlets de Windows PowerShell que se pueden utilizar para ver, configurar y monitorizar diferentes componentes y servicios de red en la plataforma. Las tareas que puede realizar utilizando estos cmdlets van desde lo común (como la configuración de direcciones IP estáticas o reservas DHCP para servidores) para más especializada (por ejemplo, la configuración de los parámetros de calidad de servicio) a los ajustes relacionados con los entornos virtuales (por ejemplo, como configurar el conmutador ampliable Hyper-V). Es evidente que hay mucho que aprender aquí en una sola lección o incluso un solo libro, y algunas tareas puede realizarse sólo ocasionalmente o incluso no del todo por muchos administradores. Así que vamos a empezar con un enfoque más práctico para el Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
245
problema de la administración de un servidor 2012 entorno de red de Windows con Windows PowerShell con una pregunta simple: ¿Cómo se puede encontrar el cmdlet derecha (si hay una cmdlet) para realizar una tarea de red en particular?
Uso Usted podría comenzar con el cmdlet Get-Command para buscar todos los cmdlets de Windows PowerShell y funciones que tienen la cadena "neto" en sus nombres. Esto genera una gran cantidad de la producción, sin embargo, como se muestra aquí:
De la salida anterior, usted puede ver que hay varios módulos de Windows PowerShell que realizan acciones relacionadas con la red. Para ver esto más claramente, los siguientes comandos tomar la salida anterior, ordenar por nombre del módulo, y eliminar duplicados.
246
Capítulo6 red
Administración de la
Ainvestigar el módulo NetTCPIP más, puede utilizar el parámetro -Módulo de GetCommand para enumerar todos los cmdlets y funciones contenidas en este módulo:
Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
247
Uso En este punto, usted puede comenzar a usar Get-Help para aprender acerca de la sintaxis de cmdlets NetTCPIP que le interesan y para ver algunos ejemplos de su uso. Por desgracia para los administradores que no están tan familiarizados con Windows PowerShell, la sintaxis visualiza cuando se utiliza Get-Help con un cmdlet puede parecer desalentador. Por ejemplo, considere un escenario en el que tiene un servidor web que ejecuta Windows Server 2012 y desea agregar una segunda dirección IP a un adaptador de red en el servidor. Ustedpodría adivinar desde la salida del Show-Comando -Módulo NetTCPIP mostrado previamente que Nueva NetIPAddress es el cmdlet se utiliza para llevar a cabo esta tarea, y que sería correcto. Pero para el principiante de Windows PowerShell, la sintaxis de Get-Help Nueva NetIPAddress podría ser bastante confuso:
Afortunadamente, el nuevo cmdlet Show-sistema en Windows Server 2012 puede ayudar a que la sintaxis de Windows PowerShell cmdlets más fácil de entender y usar. Empieza a escribir el comando si- guiente: Al ejecutar el comando anterior, la página de propiedades se muestra en la Figura 6-6 se abre para mostrar los diferentes parámetros que puede utilizar con el cmdlet NewNetIPAddress. Parámetros tales como InterfaceAlias y Dirección IP que están marcados con un asterisco son obligatorios; los que no están marcados de esta manera son opcionales.
248
Capítulo6 red
Administración de la
FIGURA 6-6La página de propiedades de Show-Comando para el cmdlet New-NetIPAddress.
Claramente, para agregar una nueva dirección IP que primero necesita saber el alias o el índice de la interfaz de red a la que desea agregar la dirección. Para encontrar las interfaces en el sistema, usted podría utilizar para encontrar todos los cmdlets que incluyen "interfaz" en su nombre. De los ocho cmdlets aparece cuando se ejecuta este comando, el cmdlet Get-NetIPAddress es el que usted está buscando, y ejecutar este cmdlet muestra una lista de todas las interfaces del servidor:
Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
249
Desde la salida del comando anterior, se puede ver que la interfaz que busca es identificado por el alias de "Ethernet". Para ver la configuración TCP / IP existente de esta interfaz, puede utilizar los -InterfaceAlias con el cmdlet Get-NetIPAddress como de la siguiente manera:
La salida del comando anterior muestra que la interfaz Ethernet tiene actualmente 172.16.11.236 / 24 como su dirección IPv4 y Classless Inter-Domain Routing (CIDR) prefijo. Volviendo a la página de propiedades abierta mostrada por , Puede agregar una segunda dirección IP a la interfaz mediante la especificación de los valores de los parámetros que se muestran en la Figura 6-7
250
Capítulo6 red
Administración de la
FIGURA 6-7Adición de la dirección 172.16.11.237/24 a la interfaz llamada Ethernet.
Si hace clic en Copiar en la página de propiedades se muestra en la Figura 6-7, el comando se copia en el portapapeles. El comando resultante se parece a esto:
Si hace clic en Ejecutar, el comando se ejecuta. Mediante el uso -InterfaceAliascon el Get-NetIPAddress cmdlet nuevo, puede verificar que el comando logra el resultado deseado:
250
Capítulo6 red
Administración de la
La apertura de los ajustes / IP avanzada de TCP para la interfaz de las conexiones de red carpeta confirma el resultado. (Ver Figura 6-8.)
FIGURA 6-8El cuadro de diálogo Configuración avanzada de TCP / IP confirma que la segunda dirección
IP era agregado con éxito a la interfaz. Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
251
Ejemplos de tareas de administración de red La mejor manera de aprender a usar Windows PowerShell para administrar los ajustes y los servicios de red en Windows Server 2012 es experimentar con la realización de diferentes tareas en un entorno de prueba. Las siguientes secciones proporcionan algunos ejemplos de lo que puedes hacer en esta área, y los ejercicios de práctica y prácticas sugeridas incluyen en este capítulo le presentará nuevos retos para el aprendizaje de estas habilidades.
Adaptadores de red Display con 100 Mbps de velocidad de enlace Ustedpuede usar el cmdlet Get-NetAdapter para mostrar todos los adaptadores de red en el servidor que tiene una velocidad de enlace de 100 megabits por segundo (Mbps) como este:
La salida de este comando se compone de objetos que se pueden pasar a través de la tubería para otros cmdlets. Por ejemplo, se podría canalizar la salida al cmdlet SetNetIPInterface para asignar un valor de métrica de 5 a todas las interfaces que tienen una velocidad de enlace de 100 Mbps de la siguiente manera: 252
Capítulo6 red
Administración de la
Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
251
Desactivar una unión en un adaptador de red Ustedpuede activar y desactivar las consolidaciones en un adaptador de red mediante Windows PowerShell. Por ejemplo, comience con el cmdlet Get-NetAdapterBinding para visualizar los enlaces de la interfaz especificada:
Adesactivar una unión específica como Programador de paquetes QoS, se puede utilizar el DisableNetAdapterBinding cmdlet así:
Usted puede usar el cmdlet Enable-NetAdapterBinding para volver a habilitar la unión.
Desactivar un adaptador de red Usted puede deshabilitar un adaptador de red específico o incluso todos los adaptadores de red que utilizan Windows PowerShell. Por ejemplo, el siguiente comando deshabilita el adaptador llamado "Ethernet 2" sin mensaje de confirmación que se muestra: Adesactivar todos los adaptadores de red en el servidor, puede utilizar este comando: Tenga en cuenta que toda la conectividad remota con el servidor se perderá si usted hace esto. A permitir que los adaptadores de red que están deshabilitadas, puede usar el cmdlet Enable-NetAdapter.
La creación de un ámbito de servidor DHCP Ustedpuede gestionar 2.012 servidores DHCP que utilizan Windows PowerShell de Windows Server. Tareas de gestión de servidor DHCP comunes incluyen la creación de ámbitos, creando intervalos de exclusión, la creación de reservas, configurar opciones de ámbito y servidor, y así sucesivamente.
Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
253
Por ejemplo, vamos a empezar por ver todos los ámbitos actualmente configuradas en el servidor DHCP:
Tenga en cuenta que en la actualidad existe un único ámbito activo en el servidor DHCP. Ahora agregue un segundo margen para el rango de direcciones IP 172 0,16 0,12 0,50 0,16 0,11 172 a través de 0.100. Deja el alcance inactivo hasta que termine la configuración de exclusiones y reservas para ello:
Nótese que en este cmdlet no importa qué orden se especifica los parámetros en debido a que ha especificado al final del rango de direcciones antes de especificar su comienzo. Correr Get-DdhpServerv4Scope nuevamente indica que añadir el nuevo ámbito se ha realizado correctamente:
Now excluye la gama 172 0,16 0,12 0,70 0,16 0,12 172 a través 0.75 del nuevo ámbito: También vamos a añadir una reserva para un servidor de archivos: Aquí EE-05-B0-DA-04-00 representa la dirección MAC del adaptador de red del servidor de archivos. También vamos a configurar una dirección de puerta de enlace predeterminada para el nuevo ámbito de aplicación mediante la creación de una opción de ámbito de la siguiente manera: Si desea crear una opción de servidor en lugar de una opción de ámbito, usted puede hacer esto al omitir el parámetro -ScopeID del comando anterior. Ahora que haya terminado de crear y configurar el nuevo ámbito, así que vamos a terminar por activarlo:
254
Capítulo6 red
Administración de la
La creación de registros de recursos DNS Ustedpuede gestionar 2.012 servidores DNS que utilizan Windows PowerShell de Windows Server. Tareas de gestión de servidor DNS comunes incluyen la adición de los registros de recursos a las zonas, configurar reenviadores, configurar sugerencias de raíz, y así sucesivamente. Por ejemplo, vamos a ver una lista de las zonas en un servidor DNS que es también un controlador de dominio para el dominio .com corp .contoso:
A ver una lista de los registros de recursos de tipo A (dirección) en la zona .com corp .contoso, usted Puede canalizar la salida del cmdlet Get-DnsServerResourceRecord al cmdlet Where-Object como esto:
Aagregar un nuevo registro de recursos A para un servidor de prueba, puede utilizar el cmdlet Add-DnsServerResourceRecordA así: Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
255
256
Capítulo6 red
Administración de la
UstedTambién puede agregar otros tipos de registros-tales recursos como PTR, CN, o MX-registros con el cmdlet anterior. Y usted puede usar el cmdlet RemoveDnsServerResourceRecord para eliminar los registros de recursos de una zona. Hay más de 100 cmdlets diferentes en el módulo dnsserver para Windows PowerShell en Windows Server 2012. Tabla 6-1 muestra los cmdlets que puede utilizar para realizar algunas tareas de administración de DNS comunes. Usted obtendrá un poco de experiencia práctica con el uso de algunos de estos cmdlets en los ejercicios de práctica de este capítulo. TABLA 6-1Tareas de servidor de administración de DNS Común y cmdlets de Windows PowerShell que
puede utilizar para realizarlas. Tarea
Cmdlet
Configure forwarders Crear una zona de rutas Mostrar el contenido de la memoria caché del servidor DNS Borrar la caché del servidor DNS Mostrar detalles de la configuración completa del servidor DNS Mostrar estadísticas del servidor DNS Sugerencias de raíz de Importación Configure las opciones de caché del servidor DNS Configure barrido servidor DNS Iniciar barrido
Resumen de la lección ■
El cmdlet Get-Command puede ser de ayuda en la identificación de posibles cmdlets para la realización de una tarea de administración específica.
■
El cmdlet Show-Comando es útil para aprender la sintaxis de otros cmdlets.
■
La configuración TCP / IP de una interfaz de red, incluyendo sus ajustes de la dirección IP, se puede ver y configurar mediante Windows PowerShell.
■
Los adaptadores de red se pueden identificar, configurado, gestionado, habilitados y deshabilitados usando Windows PowerShell.
■
Propiedades del servidor DHCP, miras, intervalos de exclusión, las reservas, y las opciones pueden ser mostrado, configurado y gestionado con Windows PowerShell.
■
Propiedades del servidor DNS, zonas, registros de recursos, transitarios, configuración de caché, y la replicación se puede visualizar, configurar y administrar mediante Windows Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
257
PowerShell.
258
Capítulo6 red
Administración de la
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Cuando se utiliza Show-Comando para abrir una página de propiedades para un cmdlet, lo que hace un asterisco (*) significa que cuando usted encuentra una al lado de un parámetro? A.
El parámetro es opcional.
B.
El parámetro es obligatorio.
C.
El parámetro no se aplica a ese cmdlet.
D. El parámetro sólo se puede especificar desde la línea de comandos. 2.
Qué cmdlet se puede utilizar para desactivar una unión en un adaptador de red? A. B. C. D.
3.
¿Cómo deberá realizar el siguiente comando? A.
Configura una opción de servidor DHCP que asigna la dirección 10.10.0.1 como predeterminado puertamanera en cualquier cliente DHCP cuya dirección IPv4 está en el 10 0.10 0.20 0.0 subred B.
Configures un DHCP shacer frente a opción que comosignos la address 10 0,10 0,0 0,1 uns la defaupuerta ltmanera en cualquier cliente DHCP cuya dirección IPv4 está en el 10 0.10 0.20 0.0 subred
C.
Configura una opción de servidor DHCP que asigna la dirección 10.10.0.1 a un router en la 10 0.10 0.20 0.0 subred
D. Configura una opción de ámbito DHCP que asigna la dirección 10.10.0.1 a un
router en la 10 0.10 0.20 0.0 subred
Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
259
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad Una parte cada vez más importante de la función de trabajo del administrador es preparar a la red de la organización para la migración en el Protocolo de Internet versión 6 (IPv6). Las razones para esto incluyen el crecimiento exponencial de la Internet, la proliferación de dispositivos móviles que necesitan ser capaz de conectarse a la red corporativa, y el agotamiento inminente del espacio de direcciones IPv4. Por desgracia, muchos administradores todavía carecen de una comprensión de los conceptos básicos de IPv6 y las habilidades necesarias. Esta lección ofrece una visión general de los conceptos y tecnologías de IPv6 en su relación con las redes basadas en Windows y describe cómo implementar varias tecnologías de transición IPv6 como parte de un plan general de migración IPv6.
Comprender los conceptos básicos y la terminología de IPv6. Entender la arquitectura de doble capa IP del TCP / IP pila de red y cómo desactivar la funcionalidad de IPv6. Entender cómo abordan obras de IPv6 y los diferentes tipos de direcciones IPv6. Comprender las diferentes formas en las direcciones IPv6 se pueden asignar, incluyendo direccionamiento manual, configuración automática de direcciones sin estado, y la configuración automática de direcciones con estado. Configurar un servidor DHCPv6 sin estado y con estado de configuración automática de direcciones. Describir las diferentes tecnologías de transición IPv6.
Configurar Intra-Site direccionamiento de túnel automático Protocolo (ISATAP)
IPv6 conceptos y terminología Mientras que algunos conceptos y terminología de IPv6 son similares a aquellos para IPv4, otros son muy diferentes. La siguiente lista es un breve resumen de algunos de los términos importantes IPv6 debe estar familiarizado con para iniciar el desarrollo de un plan de migración IPv6 para su organización. Figura 6-9 ilustra cómo muchos de estos conceptos están interrelacionados. Terminología adicional IPv6 se introduce después en esta lección cuando sea apropiado. ■
■
260
Capítulo6 red
NodoUn dispositivo que se puede configurar con una dirección IPv6. Ejemplos de nodos incluyen hosts y routers. Anfitrión Un nodo que puede ser la fuente de un destino o para el tráfico IPv6. Los anfitriones no son capaces de enviar paquetes IPv6 que se abordan Administración de la
explícitamente a ellos. En cambio, en silencio descartan tales paquetes.
Lección 3: Administración de redes mediante Windows PowerShell
Capítulo 6
261
■
RouterUn nodo que es capaz de reenviar paquetes IPv6 no se abordan explícitamente a sí mismo. Routers anuncian su presencia en una red. También anuncian la información de configuración de host.
■
EnlaceUna colección de interfaces de red que utilizan el mismo 64-bit IPv6 prefijo de la dirección unicast y que incluye anfitriones pero no routers. Enlaces están delimitadas por los routers y también se conocen como segmentos de red o subredes.
■
InterfazUna representación de cómo se une un nodo a un enlace. Una interfaz puede ser cualquiera de los siguientes: ■ ■
■
Físico Por ejemplo, un adaptador de red en un servidor. Lógico Por ejemplo, una interfaz de túnel que encapsula los paquetes IPv6 dentro de un Cabecera IPv4 para enviar tráfico IPv6 a través de una única red IPv4.
DirecciónIdentificador que designa el origen o destino de un paquete IPv6. Las direcciones IPv6 se asignan a la capa de IPv6 de una interfaz. Los diferentes tipos de direcciones IPv6 se describen más adelante en esta lección.
■
Vecinos Los nodos conectados al mismo enlace. En IPv6, los vecinos son capaces de detectar y controlar la accesibilidad entre sí mediante el uso de un proceso llamado Descubrimiento de vecinos. RedDoso más conexiones conectadas entre sí por los routers.
■
Sitio Una red operada de forma autónoma IPv6 que está conectado a la Internet IPv6.
Vecinos
■
Link o subred FIGURA 6-9Básica IPv6 redes conceptos.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
259
IPv6 y la arquitectura de protocolo TCP / IP Como ilustra la figura 6-10, el TCP IP protocolo de pila de red / en el Microsoft Windows plataforma se implementa utilizando un enfoque de doble capa IP. Esto significa por ejemplo que ■
Sólo se necesita una única implementación de protocolos de capa de transporte como el Protocolo de Control de Transmisión (TCP) o User Datagram Protocol (UDP) para IPv4 e IPv6 comunicaciones.
■
Sólo una única aplicación de protocolos, tales capas enmarcar como Ethernet (802 0.3), Point-to-Point Protocol (PPP), y la banda ancha móvil (802 .11) -se necesitaba tanto paraComunicaciones IPv4 e IPv6.
Esta pila de capas TCP / IP dual IP se implementa en las siguientes plataformas de Windows: ■
Windows 8
■
Windows 7
■
Windows Vista
■
Windows Server 2012
■
Windows Server 2008 R2
■
Windows Server 2008 Aplicaciones Windows Sockets
Windows Sockets
Componentes de Windows Sockets
Red de especificación de interfaz de dispositivo (NDIS) capa Controladores del adaptador de red
FIGURA 6-10La doble pila de protocolos TCP / IP capa IP.
260
Capítulo6 red
Administración de la
Por defecto la funcionalidad IPv6 En plataformas Windows, IPv6 está instalado de forma predeterminada y no se puede desinstalar, ya que es un componente fundamental de Tcpip.sys, el archivo del controlador de TCP / IP en estas plataformas. IPv6 también está habilitado de forma predeterminada para todas las conexiones en la carpeta Conexiones de red en una computadora de Windows. Para comprobar esto, abra las propiedades de una conexión de red, seleccione la ficha Funciones de red y compruebe que Protocolo de Internet versión 6 (TCP / IPv6) se selecciona como se muestra en la Figura 6-11.
FIGURA 6-11IPv6está activada de forma predeterminada en Windows Server 2012.
IPv6 también se prefiere sobre IPv4 para las comunicaciones de la red de ordenadores con Windows. Por ejemplo, si un servidor DNS devuelve tanto IPv4 como direcciones IPv6 en respuesta a una consulta de nombre, Windows primero intentará comunicarse con el host remoto mediante IPv6. Si esto no funciona, Windows intentará entonces utilizar IPv4.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
261
IPv6 Desactivación Aunque no se puede desinstalar IPv6 en las plataformas Windows, se puede desactivar si se desea. Sin embargo, Microsoft no recomienda deshabilitar IPv6 por las siguientes razones: ■
Durante el desarrollo de las plataformas Windows de Microsoft, servicios y aplicaciones se probaron solamente con IPv6 habilitado. Como resultado, Microsoft no puede predecir cuáles podrían ser las consecuencias de desactivar IPv6 en Windows.
■
Algunas características de Windows no funcionará si IPv6 está desactivado. Ejemplos de tales características incluyen DirectAccess y asistencia remota.
Al dejar IPv6 habilitado, puede asegurarse de que sus ordenadores Windows son totalmente compatibles y que todas las funciones de red habilitados pueden funcionar según lo previsto. Sin embargo, si usted decide que necesita deshabilitar IPv6 en un equipo con Windows, por alguna razón, hay varias maneras que usted puede hacer esto. Por ejemplo, si desea deshabilitar IPv6 para una red específica de área local (LAN) Interfaz en un ordenador con Windows, puede hacerlo desmarcando Protocolo de Internet versión 6 (TCP / IPv6) en la ficha Conexión en red de las propiedades de la conexión mostrado anteriormente en Figura 6-11. Tenga en cuenta, sin embargo, que la realización de esta acción no desactiva IPv6 para la interfaz de bucle invertido o cualquier interfaces de túnel en el equipo. A desactivar tipos específicos de funcionalidad IPv6 para todas las interfaces en un equipo con Windows, lleve a cabo los siguientes pasos: 1.
Crear un nuevo valor de registro DWORD llamadoDisabledComponentsbajo lasiguiente clave del registro: HKLM \ SYSTEM \ CurrentControlSet \ Services \ TCPIP6 \ Parameters \
2.
Crear un binario de ocho bits que define los tipos de funcionalidad IPv6 que desee a desactivar mediante el uso de la siguiente información: ■
■
■
■
■
262
Capítulo6 red
Bit 0Establezca este bit a 1 para desactivar todos los túneles IPv6 interfaces incluyendo ISATAP, Teredo, 6to4, e IP-HTTPS o ponerlo a 0 para salir de todas las interfaces IPv6 túnel habilitados. Bit 1 Establezca este bit a 1 para deshabilitar todos los interfaces de túnel 6to4, o ponerlo a 0 para dejar todos los interfaces de túnel 6to4 habilitados. Bit 2Establezca este bit a 1 para deshabilitar todos los interfaces basadas en ISATAP, o ponerlo a 0 para salir de todas las interfaces basadas en ISATAP habilitados. Bit 3Establezca este bit a 1 para deshabilitar todos los interfaces basados en Teredo, o ponerlo a 0 para salir de todas las interfaces basados en Teredo habilitados. Bit 4 Establezca este bit a 1 para deshabilitar IPv6 para todas las interfaces nontunnel, incluidas las interfaces LAN y PPP, o ponerlo a 0 para salir de todas Administración de la
las interfaces nontunnel habilitados. ■
Bit 5 Establezca este bit a 1 para configurar la tabla de prefijo predeterminado para que se prefiere IPv4 sobre IPv6 cuando se intenta establecer una conexión de red, o ponerlo a 0 para salir de IPv6 como protocolo de capa de red preferida.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
263
■ ■
3.
Bit 6 Deja este bit se establece en 0, ya que está reservado para uso futuro. Bit 7Establezca este bit a 1 para deshabilitar todos los interfaces de HTTPS basadas en IP, o ponerlo a 0 para dejar todos los interfaces de HTTPS basadas en IP habilitadas.
Convertir el número binario que ha creado en formato hexadecimal, y asignarle como valor para el valor DisabledComponents Registro. Recuerde que el bit 7 es el bit más a la izquierda y el bit 0 es el bit más a la derecha del número binario.
4.
Reinicie el equipo para que los cambios surtan efecto.
Por ejemplo, digamos que usted desea desactivar tanto Teredo y 6to4 en un equipo con Windows, pero dejan ISATAP y toda otra funcionalidad IPv6 habilitado. Para ello, es necesario asignar valores a los bits 0 a 7 de la siguiente manera: ■
Bit 0 0
■
Bit 1 1
■
Bit 2 0
■
Bit 3 1
■
Bit 4 0
■
Bit 5 0
■
Bit 6 0
■
Bit 7 0
El número binario 00001010 convertidos a formato hexadecimal es 0xA, y este es el valor que se le asigne al valor DisabledComponents Registro.
Direccionamiento IPv6 En contraste con las direcciones (4 bytes) de 32 bits utilizado por el protocolo IPv4, IPv6 utiliza (16 bytes) direcciones de 128 bits. El uso de direcciones como ésta, que son cuatro veces más tiempo aumenta el espacio de direcciones teóricamente utilizable a partir de 232 direcciones (aproximadamente 4 mil millones de direcciones) a 2.128 direcciones (aproximadamente 3 0.4 x 1038 264
Capítulo6 red
Administración de la
direcciones). El espacio de direcciones IPv6 es real para las pequeñas
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
265
er, sin embargo, debido a la forma jerárquica que las direcciones IPv6 se construyen. Específicamente, cada una de 128 bits IPv6 consta de dos partes: ■
Un prefijo de 64 bits IPv6 que indica el tipo de dirección, ¿cómo se deben colocar los paquetes que contienen la dirección de la subred en el que reside la interfaz que tiene la dirección, o alguna combinación de estos tipos de información
■
Un identificador de interfaz IPv6 de 64 bits que identifica la interfaz de la subred
La representación de direcciones IPv6 Las direcciones IPv4 se representan generalmente en forma decimal con puntos familiar, tales como 65 0,55 0,58 0,201, donde cada número representa 8 bits de la dirección de 32 bits. Por el contrario, la Las direcciones IPv6 mucho más largos son típicamente representados por la división de la dirección de 128 bits en segmentos (4 bytes) de 16 bits. Cada segmento se convierte a continuación de formato binario a un número hexadecimal de 4 bits, y estos números se separa finalmente mediante el uso de dos puntos. Por ejemplo, cuando se expresa en forma binaria, en la siguiente dirección IPv6 se extiende por dos líneas de texto en esta página: 0010000000000001000011011011100000111111101010010000000000000000 0000000000000000000000000000000000000000110100111001110001011010
Cuando se convierte a notación hexadecimal colon, sin embargo, la dirección es mucho más corto: 2001: 0db8: 3FA9: 0000: 0000: 0000: 00D3: 9C5A
La dirección anterior se puede comprimir aún más mediante la supresión de ceros a la izquierda de la siguiente manera: 2001: DB8: 3FA9: 0: 0: 0: D3: 9C5A
Incluso una compresión adicional se puede lograr mediante la representación de bloques contiguos de ceros hexadecimales como dos puntos dobles como sigue: 2001: DB8: 3FA9 :: D3: 9C5A
Prefijos IPv6 Los primeros 64 bits de una dirección IPv6 de 128 bits representan el prefijo IPv6 para la dirección. Un prefijo IPv6 puede ser usado para 266
Capítulo6 red
Administración de la
■
Especifique el tipo de la dirección IPv6.
■
Definir una ruta resumida.
■
Indique una subred.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
267
Por ejemplo, la parte de prefijo IPv6 de la dirección IPv6 2001: DB8: 3FA9 :: D3: 9C5A utiliza en la sección anterior es 2001: DB8: 3FA9: 0. Prefijos IPv6 se expresan mediante un / formato similar a la notación Classless Inter-Domain Routing (CIDR) utilizado en redes IPv4. El valor de puede variar de la siguiente manera: ■
Subredes siempre tienen una longitud de prefijo de 64.
■
Rutas resumidas siempre tienen una longitud de prefijo menos de 64.
Por ejemplo, un prefijo IPv6 de 2001: DB8: 3FA9 :: / 48 representa una ruta resumida.
Tipos de direcciones IPv6 Direcciones IPv4 pueden ser direcciones unicast, multicast o broadcast. Direcciones IPv6 mediante la comparación puede ser cualquiera de los siguientes: ■
Este tipo de dirección IPv6 identifica una única interfaz dentro de una región de una Red IPv6 a través de la que la dirección es única.
■
Este tipo de dirección IPv6 identifica cero o más interfaces en el mismo host o hosts diferentes y se utiliza para uno-a-muchos comunicaciones con la entrega a múltiples interfaces.
■
Este tipo de dirección IPv6 identifica múltiples interfaces y se utiliza para uno-a-uno-de-muchas comunicaciones con la entrega a una sola interfaz.
Direcciones IPv6 Unicast pueden clasificarse como uno de los siguientes: ■
Direcciones unicast globales
■
Direcciones locales de vínculo
■
Direcciones locales únicos
■
Direcciones especiales
■
Direcciones de Transición
Las secciones que siguen van en mayores detalles acerca de los tipos de direcciones unicast. Tenga en cuenta que no hay direcciones de difusión en IPv6. En lugar de ello, las direcciones de multidifusión se utilizan cuando se requiere la funcionalidad de difusión sobre una parte de una red IPv6.
Direcciones unicast globales Direcciones unicast globales son direcciones IPv6 que son globalmente enrutable y por lo tanto son accesibles a través de Internet IPv6. Direcciones unicast globales para IPv6 son el equivalente de direcciones públicas para IPv4. Una dirección unicast global está siempre estructurado de la siguiente manera:
268
■
Los tres primeros bits de la dirección son siempre 001 en formato binario.
■
Los siguientes 45 bits representan el prefijo de enrutamiento global para el sitio de la organización. Tomados en conjunto con los tres bits de orden predefinidos,
Capítulo6 red
Administración de la
definen el prefijo de sitio de 48 bits,
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
269
que es utilizado por los routers de Internet IPv6 para identificar los paquetes IPv6 que deben ser transmitidas a los routers de sitio de la organización. ■
Los siguientes 16 bits se utilizan para identificar la subred dentro del sitio. Debido a que 16 bits son disponibles para la definición de las subredes, cada sitio puede tener un máximo de 216 o 65 536 subredes.
■
Los últimos 64 bits especifican la interfaz de la subred indicada dentro del sitio.
De enlace localdirecciones Direcciones locales de vínculo son direcciones IPv6 que se utilizan cada vez que un nodo necesita para comunicarse con un vecino (otro nodo en el mismo enlace). Por ejemplo, si un sitio no tiene routers, y por lo tanto sólo una subred, todas las comunicaciones de red entre hosts pueden tener lugar utilizando direcciones locales de vínculo. En plataformas Windows, IPv6 direcciones locales de vínculo siempre se configuran automáticamente en todas las interfaces, incluso si se configuran no hay otras direcciones IPv6 unicast. El IPv4 equivalente a estas direcciones son locales de vínculo IPv4 direcciones, que son las direcciones en el rango 169.254.0.0/16 que están configurados de forma dinámica en interfaces cuando no hay ningún servidor configuración dinámica de host Proto- col (DHCP) está disponible. En plataformas Windows, IPv4 direcciones locales de vínculo se asignan mediante Automatic Private IP Addressing (APIPA). Una dirección de enlace local siempre está estructurado de la siguiente manera: ■
Los primeros 64 bits son siempre 11111110 10000000 00000000 00000000 en formato binario. Esto significa que una dirección de enlace local siempre comienza con FE80 y tiene un identificador de prefijo de FE80 :: / 64.
■
Los últimos 64 bits especifican la interfaz en el enlace local.
Único direcciones locales Direcciones locales únicas son direcciones IPv6 que son privadas de una organización de la misma manera que las direcciones privadas, tales como 10 .x .x .x, 192 .168 .x .x o 172 0,16 0,0 0,0 hasta 172 0,31 0,255 0,255-se puede utilizar en una red IPv4. Direcciones locales únicos, por lo tanto, no son enrutables en el IPv6 Internet yon la same de manera que una dirección como 10 0,20 0,100 0,55 no se puede enrutar a través de Internet IPv4. 270
Capítulo6 red
Administración de la
Una dirección local única siempre está estructurado de la siguiente manera: ■
Los primeros 8 bits son siempre 11111101 en formato binario. Esto significa que una dirección local única siempre comienza con FD y tiene un identificador de prefijo de FD00 :: / 8.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
271
■
Los siguientes 40 bits representan el identificador global, que representa un sitio específico dentro de la organización. Este identificador global se genera aleatoriamente.
Los siguientes 16 bits se utilizan para identificar la subred dentro del sitio. Debido a que 16 bits son disponibles para la definición de las subredes, cada sitio puede tener un máximo de 216 o 65 536 subredes. ■
■
Los últimos 64 bits especifican la interfaz de la subred indicada dentro del sitio.
Direcciones especiales Las dos direcciones siguientes tienen un significado especial en IPv6: ■
La dirección 0: 0: 0: 0: 0: 0: 0: 0, que se representa comúnmente como dos puntos dobles (: :), indica la ausencia de una dirección IPv6. El IPv4 equivalente a esta dirección es 0 0.0 0.0 0.0.
■
La dirección de bucle de retorno 0: 0: 0: 0: 0: 0: 0: 1, que se representa comúnmente como :: 1, se asigna a la interfaz de bucle en un nodo. La dirección de bucle invertido se utiliza cada vez que un nodo necesita enviar un paquete a sí mismo. El IPv4 equivalente a esta dirección es 127 0,0 0,0 0,1.
Transicióndirecciones Direcciones de transición son direcciones IPv6 utilizados por las tecnologías de transición IPv6 como ISATAP, Teredo o 6to4. Direcciones de transición permiten la coexistencia de IPv4 e IPv6 hosts de la misma red. Tecnologías de transición IPv6 se describen con más detalle más adelante en esta lección.
Direcciones de multidifusión La multidifusión en redes IPv6 funciona esencialmente de la misma manera que lo hace en las redes IPv4. Una dirección de multidifusión IPv6 siempre comienza con 11111111 o FF e incluye estructura adicional que identifica el alcance de la dirección y el grupo de multidifusión al que pertenece la interfaz. Direcciones IPv6 multicast, por lo tanto, son siempre de la forma FF00 :: / 8. Para la comparación, direcciones multicast IPv4 son siempre de la forma 224.0.0.0/4. Como se ha indicado anteriormente en esta lección, IPv6 no tiene direcciones de difusión y en su lugar utiliza ciertas direcciones de multidifusión cuando se requiera algún tipo de funcionalidad de difusión. Ejemplos de este uso incluyen las siguientes direcciones de multidifusión: ■
■
■
272
FF01 :: 1Esta dirección es una dirección de multidifusión de todos los nodos que tiene alcance interfaz local. FF02 :: 1Esta dirección es una dirección de multidifusión de todos los nodos que tiene un alcance de enlace local. FF01 :: 2Esta dirección es una dirección de multidifusión de todos los enrutadores que tiene alcance interfaz local.
Capítulo6 red
Administración de la
■
■
FF02 :: 2Esta dirección es una dirección de multidifusión de todos los enrutadores que tiene un alcance de enlace local. FF05 :: 2Esta dirección es una dirección de multidifusión de todos los enrutadores que tiene alcance local del sitio.
Para examplia, la equivalent oF IPv6 address FF02:: 1 on una IPv4 netotrabajo es 255 0.255 0.255 0.255.
La asignación de direcciones IPv6 En las redes IPv4, direcciones pueden ser asignadas a las interfaces de tres maneras: manualmente utilizando direcciones estáticas, de forma dinámica mediante DHCP, o automáticamente mediante APIPA. Los administradores de redes pequeñas a menudo configuran direcciones IPv4 manualmente, mientras que las medianas y grandes organizaciones
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
273
suele usar DHCP. Configuración automática de direcciones utilizando APIPA, sin embargo, por lo general se usa sólo en redes muy pequeñas, como una casa o de la oficina de LAN que se conecta a Internet mediante un router DSL. Asignación de direcciones en redes IPv6 es algo diferente. Las direcciones IPv6 se pueden asignar a una interfaz de la siguiente manera: ■
Configuración manual de una o más direcciones IPv6 en la interfaz
■
Configuración automática de direcciones con estado usando un servidor DHCPv6
■
Configuración automática de direcciones sin estado basado en la recepción de anuncio de enrutador mensajes
■
Tanto la configuración automática de direcciones con estado y sin estado
Además, una dirección local de vínculo siempre se configura automáticamente en una interfaz, independientemente de si se está utilizando la configuración automática de direcciones con estado o sin estado. La principal diferencia, sin embargo, entre la asignación de direcciones en IPv6 y IPv4 es que el protocolo IPv6 fue diseñado para ser autoconfigurarse. Esto significa que, en la mayoría de los casos, usted no necesitará asignar direcciones manualmente ni implementar un servidor DHCPv6; en cambio, puede utilizar la configuración automática de direcciones sin estado para la mayoría de sus máquinas de la red. Esto significa que, en contraste con las interfaces físicas (adaptadores de red) en hosts IPv4 que suelen ser de un solo homed (sólo tienen una única dirección asignada), la mayoría de las interfaces físicas en los hosts IPv6 se multitarjeta (han asignado varias direcciones). Específicamente, una interfaz física IPv6 generalmente tiene al menos dos direcciones: ■
Una dirección local de vínculo generado automáticamente, que se utiliza para el tráfico en el vínculo local
■
Una dirección unicast adicional (ya sea una dirección global o una dirección local única), que se utiliza para el tráfico que necesita ser encaminado allá del vínculo local
Asignación de dirección manual Asignación manual de direcciones IPv6 se hace generalmente sólo en dos escenarios: ■
Para ciertos servidores de la red
■
En la mayoría de las interfaces del router
En un equipo que ejecuta Windows Server 2012, puede configurar manualmente una dirección IPv6 utilizando cualquiera de los métodos siguientes: ■
274
Capítulo6 red
Al abrir el cuadro de diálogo Protocolo de Internet versión 6 (TCP / IPv6) Propiedades de las propiedades de una interfaz en la carpeta Conexiones de red y la configuración de la dirección IPv6, la longitud del prefijo de subred, puerta de enlace predeterminada y direcciones de servidor DNS como se muestra en la Figura Administración de la
6-12 ■
Mediante el uso de la Nueva-NetIPAddress y Set-DnsClientServerAddress cmdlets de Windows PowerShell
■
Mediante el uso de los comandos del contexto netsh interface ipv6 del netsh .exeutilidad de línea de comandos
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
275
FIGURA 6-12Configuración manual de una dirección IPv6 en Windows Server 2012.
El siguiente es un ejemplo del uso de Windows PowerShell para configurar manualmente una dirección IPv6 en una interfaz física de un equipo que ejecuta Windows Server 2012. En primer lugar, aquí está la salida de ejecutar el comando ipconfig en el servidor:
276
Capítulo6 red
Administración de la
Desde el comando anterior, se puede ver que la interfaz física llamado Ethernet tiene dos direcciones asignadas: ■
The IPv4 address 172 0,16 0,11 0,75
■
La dirección IPv6 local de vínculo fe80 :: 2025: 61fb: B68: C266% 12
El 12% se adjunta a la dirección local de vínculo se llama un identificador de zona y se utiliza para especificar el enlace en el que se encuentra la dirección. En plataformas Windows, el identificador de zona es igual al índice de la interfaz, y se puede usar el cmdlet Get-NetAdapter para mostrar una lista de los nombres y los índices de interfaces físicas en equipos que ejecutan Windows Server 2012 de la siguiente manera:
En lugar de utilizar el comando ipconfig, también puede usar el cmdlet Get-NetIPAddress como este para mostrar la información de la dirección de la interfaz denominada Ethernet:
Nótese cómo la salida cmdlet anterior es más informativo que el comando ipconfig.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
277
Voy ahora a mostrar cómo utilizar el cmdlet NewNetIPAddress asignar una nueva dirección IPv6 reparto uniforme global con longitud de prefijo 64 y también una dirección de puerta de enlace predeterminada para la interfaz Ethernet:
A verificar el resultado, puede usar el cmdlet Get-NetIPAddress con el AddressFamily parámetro para mostrar únicamente información de direccionamiento IPv6 de la siguiente manera:
v
vv
270
Capítulo6 red
Administración de la
La interfaz está ahora multitarjeta porque tiene una dirección IPv6 de enlace local y una dirección IPv6 global. Abrir el cuadro de diálogo de Protocolo de Internet versión 6 Propiedades (TCP / IPv6) Muestra la información de dirección configurada manualmente se esperaba, como se muestra en la Figura 6-13.
FIGURA 6-13Verificación de la configuración de direcciones IPv6 configuradas con Windows PowerShell.
Aconfigurar los servidores DNS preferido y alternativo para esta interfaz, utilice el Cmdlet Set-DnsClientServerAddress. Para más información sobre Red TCP / IP y el cliente DNS cmdlets, consulte las siguientes páginas Biblioteca TechNet:
272
■
http://technet.microsoft.com/en-us/library/hh826123.aspx
■
http://technet.microsoft.com/en-us/library/jj590772.aspx
Capítulo6 red
Administración de la
Configuración automática de direcciones sin estado Configuración automática de direcciones sin estado es uno de los aspectos más valiosos de IPv6, ya que permite IPv6 nodos comunicarse en una red sin la necesidad de asignar manualmente las direcciones a ellos o la implementación de un servidor DHCP. La asignación automática de direccio- nes locales de vínculo a las interfaces en un host IPv6 es un ejemplo de la configuración automática de direcciones sin estado en el trabajo, y permite que los hosts en el mismo enlace para comunicarse unos con otros. Este tipo de configuración automática de direcciones sin estado se llama porque no hace uso de un protocolo de configuración de direcciones como DHCP. Otro ejemplo de la configuración de direcciones sin estado en el trabajo es cuando un host IPv6 utiliza el descubrimiento de enrutadores para configurar automáticamente direcciones adicionales, como las direcciones unicast globales o locales, una dirección de puerta de enlace predeterminada y otros parámetros de configuración de IPv6. Lo que normalmente sucede es lo siguiente: 1.
El anfitrión (que aquí es un equipo que ejecuta Windows Server 2012) envía un mensaje de solicitud de enrutador para solicitar un anuncio de enrutador desde cualquier router escuchar en el enlace del host.
2.
Un router (ya sea un router IPv6 o un enrutador ISATAP) en el enlace del host responde al mensaje del huésped mediante el envío de un mensaje de anuncio de enrutador para el huésped.
3.
El host utiliza la información en el mensaje de anuncio de enrutador para asignar una dirección provisional al host, junto con los ajustes adicionales especificados. Las direcciones IPv6 que se han autoconfigured puede estar en cualquiera de los siguientes estados: ■
TentativoLa dirección todavía tiene que ser verificado como única mediante la realización de detección de direcciones duplicadas. Direcciones provisionales no pueden recibir tráfico unicast hasta que se hayan verificado como válido.
■
■
■
■
4.
VálidoLa dirección es única. Una dirección válida también sea preferente o en desuso. Preferido La dirección es válida y por lo tanto se puede utilizar para enviar o recibir tráfico unicast. ObsoletoLa dirección es válida y se puede utilizar para enviar o recibir unicast tráfico, pero no debe usarse para iniciar cualquier nueva comunicación. Inválido La dirección ya no puede ser utilizado para enviar o recibir tráfico unicast.
El tiempo durante el que una dirección se encuentra en un estado en particular está determinada por la información proporcionada por el router.
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
273
274
Capítulo6 red
Administración de la
Configuración automática de direcciones con estado Autoconfiguración de dirección con estado se basa en el uso de un protocolo de direcciónresolución. En las redes IPv4, DHCP es un protocolo de este tipo, y se puede utilizar para asignar dinámicamente direcciones IP y otros parámetros de configuración de las interfaces de los ejércitos. La infraestructura para DHCP consta de servidores DHCP, los clientes DHCP y agentes de retransmisión DHCP que pueden retransmitir mensajes DHCP entre clientes y servidores en subredes diferentes. La versión IPv6 de este protocolo se llama DHCPv6, y utiliza una infraestructura similar de servidores DHCPv6 DHCPv6, clientes y agentes de retransmisión DHCPv6. Sin embargo, DHCPv6 puede proporcionar hosts IPv6 tanto con la configuración de direcciones con estado y los ajustes de configuración sin estado. Esto puede ser un problema, ya que puede dar lugar a direcciones adicionales están asignados a los hosts, pero se puede evitar que esto suceda mediante la configuración de los enrutadores de IPv6 de manera adecuada para que los anfitriones se asignan sólo direcciones con estado por los servidores DHCPv6. Una de las razones para el despliegue de un servidor DHCPv6 en una red IPv6 se debe a que Windows no admite la configuración automática de direcciones sin estado de la configuración del servidor DNS que utilizan los mensajes de anuncio de enrutador. Esto significa que un servidor DHCPv6 es necesario si sus ordenadores Windows tienen que ser capaces de realizar resolución de nombres DNS usando IPv6. Software de cliente DHCPv6 está integrado en las siguientes versiones de Windows: ■
Windows 8
■
Windows 7
■
Windows Vista
■
Windows Server 2012
■
Windows Server 2008 R2
■
Windows Server 2008
Configuración de un servidor DHCPv6 El servicio Servidor DHCP en las siguientes versiones de Windows Server admite tanto con estado y la autoconfiguración de direcciones sin estado a través de DHCPv6: ■
Windows Server 2012
■
Windows Server 2008 R2
■
Windows Server 2008
Ustedpuede configurar un equipo que ejecuta Windows Server 2012 como un servidor DHCPv6 sin estado o un servidor DHCPv6 con estado realizando los siguientes pasos: 1.
Comience por instalar la función del servidor DHCP en su servidor.
2.
Asignar direcciones IPv6 estáticas a las interfaces de servidor DHCPv6 que se escucha por los mensajes de petición DHCPv6 entrantes.
3.
Abra el complemento DHCP, y expanda el nodo IPv6 debajo del nodo del servidor. Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
275
4.
A configurar las opciones DHCPv6 para la configuración automática de direcciones sin estado, haga clic en el nodo Opciones del servidor bajo el nodo de IPv6 y seleccione Opciones de configuración como se muestra aquí:
A continuación, configure las opciones de servidor DHCPv6 si lo deseas. Por ejemplo, podría configurar la opción 23 DNS recursivo Servidor de Nombres IPv6 lista de direcciones como se muestra aquí:
276
Capítulo6 red
Administración de la
5. A configurar las opciones DHCPv6 para la configuración automática de direcciones con
estado, haga clic en el Nodo IPv6 y seleccione Ámbito nuevo como se muestra aquí:
A continuación, utilice el Asistente para ámbito nuevo para especificar un nombre y una descripción para el alcance, un IPv6 prefijo de subred, y otra información necesaria.
Tecnologías de transición IPv6 El objetivo final de IPv6 es para IPv4 a la larga se retiró y todos los nodos en todo TCP / IPredes para utilizar sólo IPv6. Sin embargo, este objetivo podría tardar años, o incluso décadas, conseguir. Mientras tanto, IPv4 e IPv6 nodos deben ser capaces de interoperar en la misma red de modo que no se interrumpen las comunicaciones, y las tecnologías de transición IPv6 que esto sea posible. Plataformas Windows se puede utilizar para poner en práctica las siguientes tecnologías de transición IPv6: ■
■
ISATAPEsta tecnología de transición permite que los nodos IPv6 / IPv4 en un sólo IPv4 intranet para utilizar IPv6 para comunicarse entre sí y a través de la Internet IPv6. 6to4 Esta tecnología de transición proporciona un túnel automático que permite IPv6 / IPv4 acoge para establecer la conectividad IPv6 entre sí a través de Internet IPv4. Sin embargo, la implementación de 6to4 requiere que el dispositivo de borde (enrutador) utiliza una dirección IPv4 pública.
■
Teredo Esta tecnología de transición proporciona un túnel automático que permite IPv6 / IPv4 acoge para establecer la conectividad IPv6 entre sí a través de Internet IPv4 incluso cuando IPv4 traducción de direcciones de red (NAT) dispositivos necesitan ser atravesado. Debido a esta capacidad, Teredo es más adecuado que Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
277
6to4 para / oficina en casa (SOHO) entornos de pequeña oficina que utilizan NAT para ocultar sus direcciones IPv4 privadas de Internet.
278
Capítulo6 red
Administración de la
Además, las plataformas Windows compatibles con la siguiente traducción IPv6 a IPv4 tráfico tecnologías: ■
NAT64Esta tecnología se utiliza para permitir IPv6 nodos sólo accedan sólo IPv4 anfitriones. La característica de DirectAccess de Windows Server 2012 utiliza NAT64 para que los clientes de DirectAccess (que actúan como nodos sólo IPv6) para acceder a los hosts en una red corporativa IPv4.
■
■
DNS64 Esta tecnología se utiliza para asignar sólo IPv6 registro de dirección (AAAA) consultas de nombres a registro de direcciones IPv4 (A) consultas de nombres. Usando DNS64 junto con NAT64 permite a los nodos IPv6 para iniciar la comunicación con nodos sólo IPv4 sin cambios en cualquier nodo. PortproxyEsta tecnología permite que el tráfico IPv4 / IPv6 TCP que se aproxima al tráfico IPv4 / IPv6 TCP en una dirección diferente. La tecnología es útil cuando los nodos no pueden comunicarse usando IPv4 o IPv6.
La siguiente sección describe una de estas tecnologías de transición (ISATAP) en detalle.
ISATAP ISATAPpermite la comunicación unicast entre hosts IPv6 / IPv4 en todo el sólo IPv4 Internet. ISATAP funciona encapsulando los paquetes IPv6 con un encabezado IPv4 para que el paquete IPv6 se puede enviar a través de una única red IPv4. Este enfoque se denomina IPv6-over-túnel IPv4 e ISATAP utiliza túnel automático que no requiere ninguna configuración manual.
ISATAPdirecciones ISATAPdirecciones son asignadas por los hosts ISATAP de sus interfaces de túnel ISATAP. Una dirección ISATAP consiste en un prefijo de 64 bits unicast dirección válida y un identificador de interfaz de 64-bit. La interfaz de identificación puede ser :: 0: 5EFE: w .x .y .z o :: 200: 5EFE: w .x .y .z, donde wxyz es o bien una dirección IPv4 privada o pública, respectivamente. En plataformas Windows, IPv6 crea automáticamente una interfaz de túnel ISATAP separado para cada interfaz LAN que tiene un sufijo DNS único. Una dirección ISATAP de enlace local es entonces configura automáticamente en estas interfaces ISATAP para permitir la comunicación IPv6 sobre IPv4 una única red sin la necesidad de asignar direcciones globales o únicas ISATAP locales a las interfaces. En Windows Server 2012, puede usar el cmdlet Get-NetIPInterface a la lista de las interfaces en el equipo (la salida del comando se ha truncado por razones de visualización):
Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
279
280
Capítulo6 red
Administración de la
De la salida anterior, se puede ver que el número de índice de la interfaz ISATAP es 13, lo que le permite mostrar información más detallada acerca de la interfaz de la siguiente manera:
ISATAP componentes Como se muestra en la figura 6-14, una infraestructura ISATAP incluye los siguientes componentes: ■
■
ISATAPsubredesUna subred ISATAP es una porción de un sólo IPv4 red en la que se utilizará para ISATAP IPv6 sobre IPv4 túnel. ISATAPhostsUn host ISATAP tiene una interfaz de túnel ISATAP, que se puede utilizar comunicarse con otros hosts ISATAP de la misma subred ISATAP. Ventanas ordenadores res puede funcionar como hosts ISATAP utilizando cualquiera, direcciones ISATAP-únicos locales o globales locales de vínculo.
■
ISATAProutersUn enrutador ISATAP se utiliza para permitir la comunicación entre los hosts ISATAP en una subred ISATAP y hosts IPv6 en una red IPv6. Los equipos que ejecutan Windows Server 2012 pueden funcionar como enrutadores ISATAP configurando sus interfaces LAN con direcciones IPv6 adecuados, rutas y otros ajustes. Lección 4: Configuración de IPv6 / IPv4 interoperabilidad
Capítulo 6
281
ISATAPanfitrión
ISATAPanfit rión
ISATAPenrut ador red
red
ISATAPSubred FIGURA 6-14Los componentes de una implementación de ISATAP.
Ustedpuede configurar un equipo con Windows para utilizar un enrutador ISATAP de las siguientes maneras: ■
Mediante el uso de la directiva de grupo, como se muestra en la Figura 6-15
■
Al utilizar el cmdlet Set-NetIsatapConfiguration
■
Al utilizar el comando netsh interface isatap enrutador conjunto
FIGURA 6-15La configuración de directiva de grupo para las tecnologías de transición IPv6.
282
Capítulo6 red
Administración de la
Resumen de la lección ■
Windows utiliza una pila de capas TCP / IP dual IP que soporta IPv4 e IPv6 comunicaciones.
■
IPv6 está activada de forma predeterminada y no se puede desinstalar, pero se puede desactivar selectivamente diferentes tipos de interfaces y capacidades de IPv6 mediante la edición del Registro.
■
Las direcciones IPv6 pueden ser unicast, multicast o anycast. Direcciones Unicast incluyen global, link-local-local único, especial, y las direcciones de transición.
■
El tipo de una dirección IPv6 a menudo se puede determinar por su prefijo.
■
Las direcciones IPv6 se pueden asignar de forma manual o mediante el uso de direcciones sin estado o con estado autoconfiguración.
■
Windows Server 2012 se puede configurar como un servidor DHCPv6 sin estado o con estado.
■
Windows incluye varias tecnologías de transición IPv6, incluyendo ISATAP, 6to4 y Teredo. Windows también incluye varias tecnologías de tráfico de traducción, incluyendo NAT64, DNS64 y portproxy. Los componentes de una implementación de ISATAP incluyen subredes ISATAP,
■
hosts y enrutadores ISATAP ISATAP. Ordenadores Windows pueden ser hosts ISATAP y Windows Server 2012 se puede configurar como un enrutador ISATAP.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no es cierto acerca de IPv6 en Windows Server 2012? A.
Windows Server 2012 tiene una pila de capas TCP / IP dual IP que soporta IPv4 e IPv6.
B.
IPv6 se puede desactivar en todas las interfaces editando el registro en un equipo Windows Server 2012.
C.
Windows Server 2012 se puede utilizar como un servidor DHCPv6 para la dirección sin estado autoconfiguración.
D. Windows Server 2012 se puede utilizar como un enrutador ISATAP. 280
Capítulo6 red
Administración de la
2.
La dirección IPv6 asignada a una interfaz tiene un identificador de prefijo de FE80 :: / 64. Que tipo de la dirección es? A.
Dirección Global
B.
Dirección única local
C.
Dirección local de vínculo
D. Dirección de multidifusión 3.
Qué cmdlet de Windows PowerShell se puede utilizar para mostrar la información de la dirección de una interfaz? A.
Ipconfig
B. C. D. 4.
¿Qué es lo que tiene que hacer o usar las computadoras de Windows en un sólo IPv4 red para poder comunicarse con los ordenadores Windows en una red diferente que es capaz para IPv6? A.
Ustednecesita hacer nada porque las computadoras de Windows asigna automáticamente direcciones IPv6 para sus interfaces LAN utilizando la configuración automática de direcciones sin estado.
B.
Usted necesitará implementar Windows Server 2012 como un enrutador ISATAP y lo utilizan para tráfico directo entre las de sólo IPv4 e IPv6 con capacidad redes.
C.
Usted necesitará implementar Windows Server 2012 como servidor Teredo y lo utilizan para reenviar el tráfico entre los sólo IPv4 e IPv6 con capacidad de redes.
D. Ustednecesitará implementar Windows Server 2012 como servidor DHCPv6 y lo
utilizan para asignar direcciones IPv6 globales para los equipos de la red sólo IPv4.
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
La implementación de la conmutación por error de DHCP mediante Windows PowerShell
■
Configuración de un servidor DNS de sólo caché mediante Windows PowerShell
A realizar los siguientes ejercicios, se necesitan al menos dos instalaciones de Windows Server 2012 que se desplegó con el servidor con una opción de instalación GUI. El primer servidor debe ser el primer controlador de dominio del dominio raíz del bosque corp.contoso.com y debe tener el rol de servidor DNS instalado y configurado de la manera predeterminada Ejercicios de práctica Capítulo 6
281
utilizando zonas integradas en Active Directory. El segundo servidor debe ser un servidor miembro del contoso. dominio .com y no tienen funciones de servidor instaladas. Ambos servidores deben tener direcciones IP estáticas asignadas y tienen conectividad a Internet. Usted debe estar conectado de forma interactiva en cada servidor con una cuenta de usuario que sea miembro del grupo Administradores de dominio.
282
Capítulo6 red
Administración de la
UstedTambién necesitará una estación de trabajo con Windows Vista, Windows 7 o Windows 8. La estación de trabajo debe ser un equipo independiente que pertenece a un grupo de trabajo. Debe tener la estación de trabajo de su dirección IP asignada dinámicamente mediante DHCP o IP privada automática (APIPA). Usted debe estar conectado de forma interactiva en la estación de trabajo utilizando una cuenta de usuario que es miembro del grupo de administradores locales en el equipo. La estación de trabajo inicialmente se debe apagar hasta que se le indica que vuelva a encenderlo. A los efectos de estos ejercicios, el nombre de la primera servidor se supone que es SERVIDOR1, el segundo servidor es SERVIDOR2, y la estación de trabajo es CLIENTE1. Además, las direcciones IP de SERVIDOR1 y el servidor 2 se supone que son 10 0,10 0,0 0,1 0,10 0,0 y 10 0,2, respectivamente. Si su ordenadores o dominios se nombran de manera diferente, o si usted tiene diferentes direcciones IP asignadas a los servidores, debe modificar los pasos de estos ejercicios en consecuencia.
Ejercicio 1: Implementación de conmutación por error de DHCP mediante Windows PowerShell En este ejercicio, usted asegurar la disponibilidad de DHCP para los clientes en el corp .contoso dominio .commediante el uso de Windows PowerShell para instalar la función del servidor DHCP en ambos servidores, crear un ámbito en SERVIDOR1, y configurar y verificar la conmutación por error de DHCP. 1.
Inicie sesión en SERVIDOR1, abra el Administrador de servidores, seleccione la página de todos los servidores, y asegúrese de que ambos servidores se muestran en la baldosa Servidores. Si SERVIDOR2 no aparece, añadirlo al grupo de servidores.
2.
Abra un símbolo de Windows PowerShell y ejecute el siguiente comando para instalar la función del servidor DHCP en ambos servidores:
Tenga en cuenta que a pesar de que ha especificado el parámetro -Restart, los servidores no se reinician después de la instalación papel porque el reinicio se determinó por ser innecesario. 3.
Autorizar los dos servidores DHCP en Active Directory mediante la ejecución de los siguientes comandos:
4.
Use el cmdlet Get-DhcpServerInDC para verificar que los servidores han sido autorizados en Active Directory.
5.
Crear un nuevo ámbito en SERVIDOR1 y activar el ámbito ejecutando el Ejercicios de práctica Capítulo 6
283
siguiente comando:
6.
Use el cmdlet Get-DhcpServerv4Scope para verificar que el nuevo ámbito se ha creado en SERVIDOR1 y está activo.
284
Capítulo6 red
Administración de la
7.
Uso servidor 2Actualmente no tiene alcances en él.
8.
Ejecute el siguiente comando para crear una relación de conmutación por error DHCP en modo de carga equilibrio entre los dos servidores con el servidor 2 como servidor de pareja y de conmutación por error implementado para el ámbito
para verificar que el
de nueva creación:
9.
Use el cmdlet Get-DhcpServerv4Failover para ver las propiedades de la nueva relación de conmutación por error.
10. Uso
para verificar que el
alcance se ha replicado desde SERVIDOR1 a SERVIDOR2. 11. Turno en CLIENTE1, e inicie sesión en el equipo cliente. 12. Abra un símbolo del sistema y utilice el
comando para ver la dirección IP actual del equipo. Si el equipo cliente está utilizando una dirección en el rango APIPA (169 0,254 .y .x), el uso para adquirir una dirección de un DHCPservidor de la red. Verifique que la dirección adquirida proviene del ámbito de aplicación que creó anteriormente.
13. Verifique que la dirección del equipo cliente se registra como arrendado en la base de
datos DHCP de SERVIDOR1 ejecutando el siguiente comando:
14. Verifique que la dirección del equipo cliente se registra como arrendado en la base de
datos DHCP de SERVIDOR1 ejecutando el siguiente comando:
Ejercicio 2: Configuración de un servidor de almacenamiento en caché de sólo DNS mediante Windows PowerShell En este ejercicio, se configura un servidor DNS de sólo caché mediante Windows PowerShell. A continuación, configure un promotor en su servidor DNS de sólo caché para mejorar el rendimiento de resolución de nombres. 1.
Inicie sesión en SERVIDOR1, abra el Administrador de servidores, seleccione la página de todos los servidores, y asegúrese de que ambos servidores se muestran en la baldosa Servidores. Si SERVIDOR2 no aparece, añadirlo al grupo de servidores.
2.
Abra un símbolo de Windows PowerShell y ejecute el siguiente comando para instalar la función de servidor DNS en SERVIDOR2: Ejercicios de práctica Capítulo 6
285
286
Capítulo6 red
Administración de la
Tenga en cuenta que a pesar de que ha especificado el parámetro -Restart, los servidores no se reinician después de la instalación papel porque el reinicio se determinó por ser innecesario. 3.
SERVIDOR2 está configurado como un servidor DNS de sólo caché, y no es autorizada para cualquier dominio y sólo pueden realizar consultas, almacenar en caché las respuestas, y devolver los resultados. Los servidores DNS de sólo caché puede ser útil en lugares como sitios de sucursales y sugerencias utilización de raíz para identificar los servidores DNS autorizados para la zona raíz del espacio de nombres DNS de su organización.
4.
SERVIDOR2 está utilizando actualmente las sugerencias de raíz para realizar de forma recursiva la resolución de nombres. Para ver las sugerencias de raíz configurados en SERVIDOR2, ejecute el siguiente comando:
5.
Mostrar el contenido de la memoria caché del servidor DNS en SERVIDOR2 ejecutando el siguiente comando:
6.
Utilice la utilidad de línea de comandos nslookup para intentar utilizar SERVIDOR2 para resolver la IP address for la por integración globalcalificado dominio name (FQDN) www .bing .com uns follows:
7.
Tenga en cuenta que se pueden producir tiempos de espera del servidor de uno o más de DNS cuando se realiza esta consulta nombre. Esto se debe a la resolución de nombres se está realizando de forma recursiva, empezando por los servidores de nombres raíz de Internet, que pueden tardar varios segundos en completarse. Si no se recibe respuesta a su consulta, repita ejecutar el comando anterior hasta que se reciba una respuesta no autoritaria.
8.
Utilice el comando Y tenga en cuenta quela caché del servidor DNS ahora contiene numerosas entradas relacionadas con el nombre de la consulta que realizó utilizando nslookup.
9.
Borrar la caché del servidor DNS en SERVIDOR2 ejecutando el siguiente comando:
10. Mostrar el contenido de la memoria caché del servidor DNS en SERVIDOR2
nuevo mediante la ejecución de este comando:
11. Tenga en cuenta que ahora se han borrado las entradas de caché relacionados con
el nombre de la consulta que realizó utilizando nslookup. Las únicas entradas que quedan en la memoria caché son aquellas para las sugerencias de raíz configurados Ejercicios de práctica Capítulo 6
287
en el servidor. 12. Aacelerar la resolución de nombres en su servidor de nombres de sólo caché,
configure SERVIDOR1 como un promotor de SERVIDOR2. Después de hacer esto, cualquier consulta de nombre enviada a SERVIDOR2 será remitida a SERVIDOR1, que luego utilizar sus forwarders externos a su proveedor de servicios Internet (ISP) para la resolución de la consulta.
288
Capítulo6 red
Administración de la
13. Configure SERVIDOR1 como un promotor de SERVIDOR2 ejecutando el siguiente
comando:
14. Verifique el resultado al mostrar los forwarders configurados en SERVIDOR2 de la
siguiente manera:
15. Use nslookup para realizar otra consulta de nombre contra SERVIDOR2 para el
FQDNwww. Bing .com . La respuesta debe ser recibida casiinmediatamente, sin tiempos de espera de DNS ocurren servidor. Esto se debe a que la consulta se remitió a SERVIDOR1, que luego remitió a los servidores DNS de su ISP para su resolución. Este enfoque es generalmente mucho más rápido que usar los servidores de nombres raíz de Internet para resolver de forma recursiva el FQDN solicitada. 16. Mostrar el contenido de la memoria caché del servidor DNS en SERVIDOR2
nuevo. Tenga en cuenta las entradas de caché relacionados con su consulta de nombre, y tenga en cuenta también que hay muchas menos entradas de caché que cuando se utilizaron las sugerencias de raíz por sí solos para llevar a cabo la resolución de nombres recursivo.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
Práctica 1Modificar los pasos en el Ejercicio 2, de modo que cuando un equipo cliente en la sucursal emite una consulta de nombres en el servidor DNS de sólo caché situada en ese sucursal, ocurre lo siguiente: ■
Si el FQDN consultado es por algo en la intranet corporativa, la consulta es transmitido al servidor DNS ubicado en la oficina central.
■
Si el FQDN preguntado es por algo en Internet, la consulta se reenvía a los servidores DNS en el ISP de la organización.
Sugerencia: Usted tendrá que utilizar el reenvío condicional. Ver http://technet.microsoft.com/en-us/ biblioteca / cc794735 (v = WS.10) .aspx para más información. ■
Práctica 2Crear un script de Windows PowerShell que se ejecuta una serie de comandos que elimina la dirección IP estática, máscara de subred, puerta de enlace predeterminada y la configuración del servidor DNS del adaptador de red de un servidor y luego asigna una diferente dirección IP estática, la máscara de subred, puerta de enlace predeterminada, y la configuración del servidor DNS en el adaptador.
■
Práctica 3Crear un script de Windows PowerShell que se ejecuta una serie de comandos que asigna direcciones IP estáticas a dos adaptadores de red en un Ejercicios prácticos sugeridos 6
Capítulo
285
servidor y luego agrega rutas estáticas a la tabla del router para habilitar el servidor para ser utilizado como un router para unir dos subredes juntos.
286
Capítulo6 red
Administración de la
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Respuesta correcta: B A.
Incorrecto:El enfoque de servidor-cluster implica el uso de la característica Clúster de conmutación por error de Windows Server 2008 o Windows Server 2008 R2 para agrupar servidores DHCP de modo que si el servidor DHCP principal de un clúster falla, el servidor secundario puede tomar el relevo y seguir direcciones de leasing a clientes .
B.
Correcto:El enfoque dividida alcance implica dividir el conjunto de direcciones IP de un ámbito entre dos servidores DHCP, por lo general mediante la asignación de las primarias del servidor 80 por ciento de las direcciones en el ámbito de aplicación y el servidor secundario el 20 por ciento restante de las direcciones. De esa manera, si el servidor principal se desconecta por cualquier razón, los clientes DHCP en la subred pueden todavía responder a arrendar las solicitudes de renovación desde el servidor secundario.
C.
Incorrecto:El enfoque de espera-servidor utiliza un servidor DHCP hot-standby con alcances y opciones configuradas de forma idéntica a su servidor DHCP producción.
D. Incorrecto:El enfoque DHCP-failover implica configurar dos servidores DHCP
para proporcionar arrendamientos desde el mismo conjunto de direcciones. Los dos servidores se replican información de arrendamiento entre las partes, lo que permite a un servidor para asumir la responsabilidad de proporcionar los arrendamientos a todos los clientes de la subred cuando el otro servidor no está disponible. 2.
Correctorespuestas: A y C A.
Correcto:DHCP conmutación por error sólo es compatible con el uso de un máximo de dos servidores DHCP.
B.
Incorrecto:Relaciones de conmutación por error de DHCP se limitan a ámbitos y subredes IPv4.
C.
Correcto:Conmutación por error DHCP puede implementarse de dos maneras: mediante el modo de reparto de carga o modo de espera activa. En el modo de reparto de carga, arrendamientos son emitidos desde los dos servidores por igual, lo que garantiza la disponibilidad y proporciona balanceo de carga para sus servicios DHCP. En el modo de espera activa, arrendamientos se emiten desde el servidor primario hasta que falla, con lo cual los datos de arrendamiento se replica automáticamente en el servidor secundario, que asume la carga. Ejercicios prácticos sugeridos 6
Capítulo
287
D. Incorrecto:Si los servidores DHCP que quieren implementar la conmutación
por error de DHCP para los miembros son de dominio, deben ser autorizados en Active Directory. Sin embargo, también se puede aplicar DHCP conmutación por error en los servidores DHCP independientes en un grupo de trabajo. Correctorespuestas: A, B, y C
3.
A.
288
Capítulo6 red
Correcto:Un escenario en el que se puede implementar el modo de espera en caliente es para organizaciones que tienen un sitio concentrador central (por lo general, el centro de datos en la oficina central) conectados a través de enlaces WAN a varios sitios de sucursales remotas.
Administración de la
B.
Correcto:Una aplicación común de modo de espera en caliente es cuando cada servidor DHCP oficina rama-tiene una relación de conmutación por error con el servidor DHCP de la oficina central, con la sucursal de asumir el papel de principal y el servidor central secundario. De esa manera, si un servidor DHCP falla en una sucursal, el servidor central puede tomar el relevo para el sitio remoto.
C.
Correcto:Presupuesto no debería ser una consideración al implementar el modo de espera activa, ya que puede utilizar el servidor DHCP existente en su centro de datos como el de espera para servidores DHCP en sus sucursales. En otras palabras, no hay nuevos servidores necesitan ser desplegados si desea implementar la conmutación por error DHCP en modo de espera activa.
D. Incorrecto:Conmutación por error DHCP en modo de carga compartida es
una solución más apropiada para las organizaciones que tienen un solo sitio físico.
Lección 2 1.
Respuesta correcta: D A.
Incorrecto:Registros de recursos DNSKEY contienen las claves públicas para una zona en particular. Otros tipos de registros de recursos DNSSEC incluyen RRSIG, DS, y NSEC (o NSEC3).
B.
Incorrecto:Sólo las zonas que están autorizados pueden firmar. Las zonas que no están autorizados no pueden ser firmados.
C.
Incorrecto:El KSK es una clave de autenticación con una longitud de 2048 bits que se nerada generación usando el RSA / SHA-256 algoritmo criptográfico. El KSK se utiliza para firmar todos los registros DNSKEY en la raíz de la zona, y es parte de la cadena de confianza. Por defecto, el KSK tiene una frecuencia de vuelco de 755 días, y cualquier registro DNSKEY firmados con la tecla de tener una validez de la firma de 168 horas.
D. Correcto:Cuando los datos de zona se actualiza por un cliente que envía una
actualización dinámica de DNS a un servidor DNS autorizado, ese servidor DNS actualiza su propia copia de la zona y genera las firmas requeridas. La actualización sin firmar se replica de forma segura a todos los demás servidores autorizados, y cada servidor DNS agrega la actualización de su copia de la zona y genera las firmas requeridas. 2.
Respuesta correcta: C A.
Incorrecto:Cuando un servidor autorizado recibe la consulta recursiva, devuelve una respuesta autoritaria al servidor local del cliente.
B.
Incorrecto:Cuando un servidor autorizado recibe la consulta recursiva, devuelve una respuesta autoritaria al servidor local del cliente.
C.
Correcto:El servidor local utiliza la clave pública de la zona firmada en el servidor autorizado para validar la respuesta que recibió del servidor
Respuestas Capítulo 6
287
autorizado. D. Incorrecto:El cliente DNS en todas las versiones de Microsoft Windows
es DNSSEC-consciente, pero sin validación.
288
Capítulo6 red
Administración de la
3.
Respuesta correcta: C A.
Incorrecto: Usteddebe comenzar con la introducción de Windows Server 2012 controladores de dominio en su entorno. Estos controladores de dominio también deben tener el rol de servidor DNS y estar configurado para utilizar las zonas integradas en Active Directory.
B.
Incorrecto:Después de decidir qué zona DNS para implementar DNSSEC en adelante, firmar la zona mediante la apertura de la consola de Administrador de DNS, seleccionar el servidor DNS, haga clic en la zona, y la selección de DNSSEC, seguido de Registrarse La Zona.
C.
Correcto:Si la zona que firmó es una zona integrada en Active Directory, llaves zona de firma privadas ahora se replican automáticamente a todos los controladores de dominio de alojamiento en la zona a través de la replicación de Active Directory. Cada propietario zona firma su propia copia de la zona cuando se recibe la clave, siempre y cuando el propietario zona es un controlador de dominio que ejecuta Windows Server 2012.
D. Incorrecto:El último paso en el despliegue de DNSSEC es garantizar la
seguridad entre el cliente DNS sin validación y sus servidores DNS locales. La forma recomendada de hacer esto es utilizar IPsec para proteger la última milla entre el cliente y su servidor DNS local. Los clientes DNS también deben configurarse para comprobar que las respuestas tienen sido validado por su servidor DNS local, y esto se hace mediante la configuración del Nombre de tabla Política de Resolución (NRPT) en los clientes. El NRPT se puede configurar mediante el uso de cualquiera de directiva de grupo o Windows PowerShell
Lección 3 1.
Respuesta correcta: B A.
Incorrecto:Parámetros que están marcados con un asterisco (*) son obligatorios; los que no están marcados de esta manera son opcionales.
B.
Correcto:Parámetros que están marcados con un asterisco (*) son obligatorios; los que no están marcados de esta manera son opcionales.
C.
Incorrecto:Todos los parámetros que Show-comando muestra en la página de propiedades para un cmdlet se aplican a ese cmdlet.
D. Incorrecto:Todos los parámetros que Show-comando muestra en la página de
propiedades para un cmdlet puede tener valores especificados para ellas en esa página de propiedades. 2.
Respuesta correcta: C A.
Incorrecto:El cmdlet Get-NetAdapterBinding se utiliza para visualizar los enlaces para la interfaz especificada. Respuestas Capítulo 6
289
B.
Incorrecto:No hay cmdlet Remove-NetAdapterBinding llamada.
C.
Correcto:El cmdlet Disable-NetAdapterBinding se puede utilizar para desactivar la especificada vinculante.
D. Incorrecto:El cmdlet Disable-NetAdapter se puede utilizar para desactivar la
especificada adaptador de red.
290
Capítulo6 red
Administración de la
3.
Respuesta correcta: B A.
Incorrecto:Si el parámetro -ScopeId se utiliza con este cmdlet, el resultado es configurar una opción de ámbito, no una opción de servidor.
B.
Correcto:Este comando configura una opción de DHCP-alcance que asigna la dirección 10 0,10 0,0 0,1 como la puerta de enlace predeterminada en cualquier cliente DHCP cuya dirección IPv4 está en el 10 0.10 0.20 0.0 subred.
C.
Incorrecto:DHCP no se utiliza para asignar la configuración TCP / IP a los routers.
D. Incorrecto:DHCP no se utiliza para asignar la configuración TCP / IP a los
routers.
Lección 4 1.
Respuesta correcta: B A.
Incorrecto:Una pila de doble capa TCP / IP ha sido una característica estándar en Windows plataformas desde Windows Vista y Windows Server 2008.
B.
Correcto: Ustedpuede desactivar IPv6 en la mayoría de las interfaces editando el registro, pero no se puede desactivar la interfaz de bucle invertido (:: 1) en una computadora Windows.
C.
Incorrecto:El papel de DHCP se puede configurar tanto para configuración automática de direcciones sin estado DHCPv6 y con estado.
D. Incorrecto:Windows Server 2012 ordenadores pueden funcionar como
enrutadores ISATAP configurando sus interfaces LAN con direcciones IPv6 adecuados, rutas y otros ajustes 2.
Respuesta correcta: C A.
Incorrecto:Los tres primeros bits de una dirección global son siempre 001 en formato binario. Esto significa que el primer byte de la dirección puede ser 0x2 (binario 0010) o 0x3 (binario 0011) en formato hexadecimal.
B.
Incorrecto:Los primeros 8 bits de una dirección local única siempre están 11111101 en formato binario. Esto significa que una dirección local única siempre comienza con FD y tiene un identificador de prefijo de FD00 :: / 8.
C.
Correcto:Los primeros 64 bits de una dirección de enlace local son siempre 11111110 10000000 00000000 00000000 en formato binario. Esto significa que una dirección de enlace local siempre comienza con FE80 y tiene un identificador de prefijo de FE80 :: / 64.
D. Incorrecto:Una dirección de multidifusión siempre empieza con 11111111 o FF. 3.
Respuesta correcta: C A.
Incorrecto:Ipconfig se puede utilizar para mostrar la información de la dirección de una interfaz, pero no es un cmdlet de Windows PowerShell. Respuestas Capítulo 6
291
B.
Incorrecto: Get-NetAdapter puede ser utilizado para obtener las propiedades básicas del adaptador de red.
C.
Correcto:Get-NetIPAddress se puede utilizar para obtener información sobre la dirección IP de configuración.
D. Incorrecto:Get-NetIPInterface se puede utilizar para obtener
información sobre las propiedades de la interfaz IP.
292
Capítulo6 red
Administración de la
Respuesta correcta: B
4.
A.
Incorrecto:Ordenadores Windows asignan automáticamente direcciones IPv6 a sus interfaces LAN utilizando la configuración automática de direcciones sin estado, pero estas direcciones son direcciones del vínculo local que se pueden utilizar solamente para las comunicaciones entre ordenadores en el mismo enlace.
B.
Correcto:Un enrutador ISATAP se utiliza para permitir la comunicación entre los hosts ISATAP en una subred ISATAP y hosts IPv6 en una red IPv6. Los equipos que ejecutan Windows Server 2012 pueden funcionar como enrutadores ISATAP configurando sus interfaces LAN con direcciones IPv6 adecuados, rutas y otros ajustes
C.
Incorrecto:Teredo es una tecnología de transición IPv6 que proporciona un túnel automático que permite IPv6 / IPv4 acoge para establecer la conectividad IPv6 entre sí a través de Internet IPv4 incluso cuando IPv4 traducción de direcciones de red (NAT) dispositivos necesitan ser atravesado.
D. Incorrecto:El uso de un servidor DHCPv6 para asignar direcciones IPv6 a las
computadoras en una red IPv4 sólo no ayudará a comunicarse con las computadoras en una red diferente que es IPv6.
290
Capítulo6 red
Administración de la
C HA P T E R 7
Virtualización Hyper-V V
irtualization está convirtiendo rápidamente en el fundamento esencial para entornos de centros de datos de hoy en día. Tanto privados como públicos de cloud computing se basa en la virtualización tecnologías, como es la infraestructura de escritorio (VDI) paradigma virtuales emergentes que pueden ofrecer beneficios más allá de las previstas por la computación de escritorio tradicional para ciertos escenarios. Ser capaz de aplicar y gestionar una infraestructura de virtualización, por lo tanto, se está convirtiendo en un papel clave para el trabajo de los administradores de centros de datos. La función de servidor Hyper-V de Microsoft Windows Server proporciona una plataforma fuera de la caja para la virtualización de cargas de trabajo de servidores y escritorios virtuales. Las numerosas mejoras y mejoras introducidas en Hyper-V en Windows Server 2012, hoy es más fácil que nunca para desplegar, configurar, administrar y mantener la infraestructura de cómputo virtualizado de una organización. En este capítulo se muestra cómo implementar y administrar anfitriones la virtualización y las máquinas virtuales utilizando tanto las herramientas de administración GUI y cmdlets de Windows PowerShell incluidas en Windows Server 2012.
Lecciones en este capítulo: ■
Lección 1: Implementación y configuración de Hyper-V hosts292
■
Lección 2: Implementación y configuración de máquinas virtuales316
■
Lección 3: Administración de máquinas virtuales339
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Usted necesita saber cómo realizar una instalación limpia de Windows Server 2012 y realizar tareas de configuración iniciales, como la configuración de los ajustes TCP / IP del servidor de conectividad a Internet.
■
Usted deben tener cierta familiaridad utilizando Hyper-V Manager para administrar los hosts que ejecutan Windows Server 2008 R2 o Windows Server 2008.
■
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server. 291
Lección 1: Implementación y configuración de Hyper-V hosts El primer paso en la implementación de una infraestructura de virtualización está desplegando y configuración de los servidores que serán sede de las cargas de trabajo virtualizadas. Para la plataforma Windows Server, esto significa ser capaz de planificar, instalar y configurar Hyper-V hosts. Esta lección le ayuda a comprender los temas y consideraciones que intervienen en la planificación de la implementación de acogida. La lección también demuestra cómo configurar el almacenamiento y redes para Hyper-V hosts.
Describir las diversas consideraciones que intervienen en la planificación del despliegue de Windows Server 2012 Hyper-V hosts. Describir algunos de los escalabilidad, disponibilidad, movilidad, seguridad, gestión y mejoras de recuperación de desastres en la nueva versión de HyperV. Describir los diferentes tipos de switches virtuales que se pueden crear en Hyper-V hosts. Describir los diferentes tipos de dispositivos de almacenamiento que pueden ser utilizados por los anfitriones. Instalar la función Hyper-V utilizando Administrador de servidores o Windows PowerShell en cualquier opción de instalación de Windows Server 2012. Configurar el almacenamiento de la máquina virtual para los ejércitos. Crear y configurar switches virtuales en los hosts.
Planificación de Hyper-V de despliegue Implementación exitosa requiere una planificación cuidadosa antes de tiempo para asegurarse de que no surjan problemas durante o después del proceso de implementación. Los siguientes temas deben ser considerados cuando se planifica el despliegue de Hyper-V hosts dentro de su centro de datos:
292
■
Hardware
■
Ediciones
■
Redes
■
Almacenamiento
■
Administración
■
Seguridad
■
Escalabilidad
Capítulo7
Virtualización Hyper-V
■
Disponibilidad
■
Movilidad
■
Recuperación de desastres
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
293
Además, cada uno de estos temas deben ser considerados tanto de la acogida y la perspectiva de la máquina virtual antes de comenzar a implementar Hyper-V hosts dentro de su centro de datos. Mientras que las secciones que siguen se centran principalmente en consideraciones relativas a la planificación de equipos host, también se incluye alguna mención de la planificación de las máquinas virtuales en su caso, sobre todo cuando se relaciona directamente cuestiones para acoger de planificación.
Hardware Un requisito clave de hardware para un host Hyper-V es que la virtualización asistida por hardware de puerto del sistema host subyacente apoyo tales como la tecnología de virtualización de Intel (Intel VT) o tecnologías AMD Virtualization (AMD-V). Además, forzada por hardware de ejecución de datos Prevention (DEP) debe estar disponible y habilitado en el sistema host. En concreto, esto significa que el bit Intel XD (el Execute Disable Bit) o AMD NX bits (la no ejecución de bits) deben estar habilitadas. Aunque puede instalar la función Hyper-V en un servidor Windows Server 2012 que cumpla con los requisitos mínimos del sistema de un solo núcleo, 1 CPU 0.4 GHz y 512 MB de RAM, que probablemente no será capaz de ejecutar cualquier virtuales máquinas en esa máquina anfitriona. Esto es principalmente debido a que cada máquina virtual se ejecuta en un host requiere una cantidad mínima de memoria RAM que depende del sistema operativo huésped instalado en la máquina virtual. En otras palabras, la número de máquinas virtuales y los tipos de cargas de trabajo virtualizadas se pueden ejecutar en Hyper-V hosts se relacionan directamente con los recursos de hardware disponibles del host. A planificar su hardware host, por lo tanto, debe comenzar con el procesador y la memoria capacidades máximas compatibles de Windows Server 2012, que son los siguientes: ■
Hasta 64 procesadores físicos (enchufes) por host
■
Hasta 320 procesadores lógicos (núcleos) por host
■
Hasta 4 TB de memoria física por host
A continuación, usted debe considerar las capacidades de procesador y memoria máxima admitida para las máquinas virtuales que se ejecutan en Windows Server 2012 Hyper-V hosts. Estos son los siguientes: ■
Hasta 64 procesadores virtuales por máquina virtual (hasta un total de 2.048 procesadores virtuales por host)
■
Hasta 1 TB de memoria física por máquina virtual
■
Hasta 1.024 máquinas virtuales activas que se ejecuta en el host
Por último, debe decidir cuántas máquinas virtuales que desea ejecutar en cada host. Al decidir esto, debe considerar lo siguiente:
294
■
¿Cuántos núcleos que puede pagar cuando usted compra sus sistemas host
■
¿Cuánta memoria física que puede pagar para sus sistemas host
■
¿Cómo van a necesitar mucha potencia de procesamiento y memoria física de sus
Capítulo7
Virtualización Hyper-V
cargas de trabajo virtualizadas para que cumplan con los requisitos de rendimiento de su acuerdo de nivel de servicio (SLA).
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
295
(2 x 4) + 12 = 20 GB RAM
Ediciones Su decisión sobre el número de cargas de trabajo virtualizadas para ejecutar en un host también puede influir en su decisión sobre qué edición de Windows Server 2012 para la compra. No hay diferencias técnicas entre las capacidades de las ediciones Standard y Datacenter de Windows Server 2012. Ambas ediciones soportan hasta 64 procesadores físicos y 4 TB de memoria física. Ambas ediciones también apoyan instalar el mismo conjunto de funciones y características. Las únicas diferencias entre estas ediciones son los derechos de virtualización incluidas en sus licencias y el precio de las ediciones. Los derechos de virtualización incluidas con cada edición son los siguientes: ■
La edición estándar incluye dos instancias de Windows Server.
■
La edición Datacenter incluye casos ilimitadas de Windows Server.
Como resultado, usted debe elegir la edición estándar si usted necesita para implementar Windows Server 2012 como una carga de trabajo en metal desnudo en un entorno no virtualizados, y elegir la edición Datacenter si usted necesita para implementar Windows Server 2012 Hyper-V hosts para un centro de datos virtualizado o escenario privado en la nube. El modelo de licencia para Windows Server 2012 también se ha simplificado para que sea más fácil para usted para planificar el presupuesto de su departamento de TI. En concreto, la edición de Windows Server 2012 Datacenter está licenciado en incrementos de dos procesadores físicos. Esto significa, por ejemplo, que si desea implementar la edición Datacenter en un sistema que cuenta con ocho procesadores, usted necesita comprar sólo cuatro licencias del producto. 296
Capítulo7
Virtualización Hyper-V
2012-editions.aspx.
Redes La creación de redes de Hyper-V requiere una planificación cuidadosa para garantizar la conectividad de red fiable y segura y la gestión de los dos hosts y máquinas virtuales. Como mínimo, sus máquinas host deben tener al menos dos adaptadores de red físicos configurados de la siguiente manera: ■
Un adaptador de red para permitir que las cargas de trabajo virtualizadas para comunicarse con otros sistemas de la red de producción
■
Un adaptador de red dedicado para la gestión de sus hosts Hyper-V y se conecta a una red dedicada que utiliza su plataforma de gestión de sistemas.
Podrían ser necesarios más adaptadores de red física si tiene servicios adicionales o requisitos especiales. Por ejemplo, es posible que necesite los adaptadores de red adicionales para lo siguiente: ■
Proporcionar conectividad entre hosts y SCSI de Internet de almacenamiento (iSCSI)
■
Implementación de un clúster de conmutación por error
■
El uso de volumen de clúster compartido (CSV) de almacenamiento compartido
■
Realizar migraciones en vivo de máquinas virtuales en ejecución
■
El aumento de ancho de banda disponible con Windows NIC Teaming
Además de decidir cuántos adaptadores de red necesitarán sus anfitriones, también debe considerar lo que se necesitarán tipos de conmutadores virtuales para su entorno. Un conmutador virtual de Hyper-V es un conmutador de red de capa 2 que funciona como un interruptor de Ethernet física, pero se implementa en el software en el host. Hyper-V permite crear tres tipos diferentes de conmutadores virtuales: ■
Privado Este tipo de conmutador virtual permite a las máquinas virtuales que se ejecutan en el host para comunicarse sólo entre sí y no con el sistema operativo del host. Un conmutador virtual privada no está vinculado a ningún adaptador de red físico en el host, lo que significa que las máquinas virtuales en el host no se pueden comunicar con cualquier otro sistema en cualquier red física conectados al host.
■
Interna Este tipo de conmutador virtual permite a las máquinas virtuales que se ejecutan en el host para comunicarse entre sí y con el sistema operativo del anfitrión. Un conmutador virtual interna no está vinculado a ningún adaptador de red físico en el host, lo que significa que las máquinas virtuales en el host no se pueden comunicar con cualquier otro sistema en cualquier red física conectados al host.
■
Externo A diferencia de los otros dos tipos de conmutadores virtuales enumerados, este tipo está unido a un adaptador de red físico en el host. El Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
297
resultado es que un conmutador virtual externa permite a las máquinas virtuales que se ejecutan en el host que se comunican entre sí, con
298
Capítulo7
Virtualización Hyper-V
el sistema operativo del anfitrión, y con otros sistemas de la red física conectada al host a través de dicho adaptador. Además, el conmutador virtual externo puede ser enlazado al adaptador de red física por medio de minipuertos en una de tres maneras: ■
Mediante el uso de un solo minipuerto que representa un único adaptador de red física
■
Mediante el uso de un solo miniport que representa varios adaptadores de red física
■
Mediante el uso de múltiples minipuertos que representan un único adaptador de red física
MUNDO REAL NETWORKING HOST PLANIFICACIÓN Comoun ejemplo, digamos que desea implementar Hyper-V para ejecutar una serie de cargas de trabajo de servidores de misión crítica para su organización. Usted decide que sus anfitriones deben ser agrupados y utilizar CSV para realizar la migración en vivo. También decidir que una sola Ethernet de 1 Gigabit (GbE) adaptador de red tendrá un ancho de banda suficiente para permitir a los clientes acceder a las cargas de trabajo. Así que usted decide usar Windows NIC Teaming, una nueva característica de Windows Server 2012, para permitir que dos adaptadores de red para proporcionar 2 gigabits por segundo (Gbps) de la red de conectividad entre el clúster de hosts y la espina dorsal 10-GbE de la red de producción . Por último, usted planea usar su red de área de almacenamiento Fibre Channel (SAN) para proporcionar almacenamiento para sus máquinas host. ¿Cuántos adaptadores de red físicos necesitará cada máquina anfitrión? ■
Una NIC para proporcionar conectividad dedicada a su red de gestión
■
DosNIC unió juntos para proporcionar conectividad entre las cargas de trabajo virtualizadas y su red de producción
■
Una NIC dedicada a la red privada necesaria para la conmutación por error
■
Una NIC dedicado para el uso de almacenamiento CSV compartida
■
Una NIC dedicado a vivir el tráfico de migración
Eso es seis adaptadores de red en total que se necesitan para cada huésped. Tenga en cuenta que se requiere ningún adaptador de red para conectividad SAN porque usted está utilizando Fibre Channel no iSCSI.
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
299
El conmutador virtual de Hyper-V se ha mejorado en Windows Server 2012 con características de extensibilidad que permiten a los proveedores de software independientes (ISV) para agregar funcionalidad para el filtrado, reenvío y tráfico de la red de vigilancia a través de conmutadores virtuales. Estas extensiones virtuales de conmutación se pueden implementar utilizando dos tipos de conductores: ■
Controladores de filtro NDISEstas extensiones pueden utilizarse para llevar a cabo la inspección de red de paquetes, filtrado de paquetes de red, y el reenvío de red. Se basan en la especificación de interfaz (NDIS) 6.0 especificación de red Driver, que es nueva en Windows Server 2012.
■
Conductores de llamada del PMAEstas extensiones se basan la Plataforma de filtrado de Windows (WFP) y se pueden utilizar para proporcionar funcionalidad virtual de cortafuegos, supervisión de la conexión, y el tráfico de filtrado que está protegido mediante el protocolo de seguridad de Internet (IPsec).
Si su infraestructura virtualizada requiere alguna de las funcionalidades anteriores a implementarse a nivel virtual interruptor en Server 2012 Hyper-V hosts de Windows, puede buscar un ISV que proporciona una solución de software que satisfaga sus necesidades.
Almacenamiento Diferentes organizaciones tienen diferentes necesidades y diferentes presupuestos para sus operaciones de TI, y Windows Server 2012 ofrece una gran variedad de opciones de almacenamiento físico para hosts Hyper-V. La elección de la solución de almacenamiento que satisfaga sus necesidades y parámetros de costos es una parte importante del proceso de planificación de acogida a la implementación. Los siguientes tipos de almacenamiento físico puede ser utilizado por los ejércitos de Hyper-V para el almacenamiento virtual de máquina de archivos de configuración y los discos: ■
DirectoAttached Storage (DAS)Con las soluciones de DAS, el almacenamiento está unido directamente al sistema operativo de administración. Hyper-V es compatible con las siguientes tecnologías DAS:
■
■
Serial Advanced Technology Attachment (SATA)
■
SATA externo (eSATA)
■
Small Computer System Interface (SCSI)
■
Serial Attached SCSI (SAS)
■
Parallel Advanced Technology Attachment (PATA)
■
Universal Serial Bus (USB)
■
FireWire
Red de área de almacenamiento (SAN)Con las soluciones de SAN, el almacenamiento es proporcionada por un conjunto de dispositivos interconectados que están conectados a una comunicación de datos común y la infraestructura de transferencia, conocido comúnmente como el tejido de almacenamiento. Hyper-V es compatible con los siguientes tipos de tejidos de almacenamiento:
300
Capítulo7
Virtualización Hyper-V
■
Fibre Channel
■
Internet SCSI (iSCSI)
■
Serial Attached SCSI (SAS)
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
301
■
Escala y salida exprés Servidores de archivos Las nuevas características del Server Message Block (SMB) 3 0,0 protocolo ahora permiten que los servidores de archivos que ejecutan Windows Server 2012 para proporcionar almacenamiento continuamente disponible y escalable para CSV. Esto le permite utilizar un recurso compartido de archivos en un servidor de archivos de Windows Server 2012 para proporcionar almacenamiento para los clústeres de hosts de Hyper-V.
NOTANAS y Hyper-V
Decidir si desea utilizar SAN o DAS como su solución de almacenamiento de acogida depende de una serie de factores diferentes. Por ejemplo, algunas de las ventajas del enfoque de SAN incluyen ■
SAN permite que varios servidores de acceso a una piscina de almacenamiento. Esto significa SAN ofrece flexibilidad al permitir que cualquier servidor para acceder a cualquier unidad de almacenamiento en la matriz de SAN.
■
Debido SAN es una solución de almacenamiento centralizado, es más fácil de manejar que el DAS. Esto podría ser una consideración importante si va a implementar muchos hosts de Hyper-V.
■
SAN tiene una arquitectura más escalable que el enfoque DAS.
Las desventajas del enfoque de SAN, sin embargo, incluyen los siguientes: ■
SAN suelen ser más costosos que las soluciones del DAS, y en función de sus prioridades de negocio este factor podría pesar mucho en su decisión.
■
Soluciones DAS suelen tener una menor latencia de redes SAN. Así que si la aplicación de E / S o servicio latencia es una prioridad, DAS podría ser el camino a tomar.
Administración Una vez que implementar sus hosts de Hyper-V, debe ser capaz de gestionar de manera eficiente. La elección de la solución de gestión de derecho, por lo tanto, es un aspecto clave del proceso de host-despliegue. Hyper-V incluye dos herramientas en la caja para configurar y administrar máquinas host: ■
Hyper-VEsta Microsoft Management Console (MMC) en se ha mejorado con la nueva funcionalidad de Windows Server 2012, pero, básicamente, proporciona el mismo nivel de capacidad de gestión de acogida como en las versiones anteriores de Windows Server. Usted puede utilizar esta herramienta para gestionar cualquier número de máquinas host, pero a medida que el número de hosts administrados aumenta la cantidad de trabajo para gestionarlos escalas en consecuencia.
■
302
Capítulo7
Windows PowerShellMódulo de Hyper-V de Windows Server 2012 incluye más de un centenar de nuevos cmdlets de Windows PowerShell que se pueden utilizar Virtualización Hyper-V
para gestionar tanto Hyper-V hosts y máquinas virtuales que se ejecutan en estos hosts. Debido a su flexibilidad y apoyo para la automatización, Windows PowerShell es la herramienta preferida en la caja de la gestión de hosts de Hyper-V y máquinas virtuales en entornos de gran tamaño, como los centros de datos y entornos de cloud computing.
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
303
Ustedpuede usar Windows PowerShell para administrar hosts y máquinas virtuales utilizando uno de los mandatos emitidos desde la consola de Windows PowerShell, mediante el uso de scripts de Windows PowerShell, y mediante el uso de las siguientes dos nuevas capacidades incluidas en Windows PowerShell 0.0 3: ■
Windows PowerShell flujos de trabajoEstos le permiten crear secuencias de actividades de gestión multicomputador que son de larga ejecución, repetible, frecuente, paralelizables, interrumpible, imparable, y reiniciable. Los flujos de trabajo de Windows PowerShell se pueden suspender y reanudar después de una interrupción de la red, reiniciar la máquina, o la pérdida de potencia. Los flujos de trabajo de Windows PowerShell también son portátiles y se pueden exportar e importar como archivos XAML.
■
Ventanas PowerShell trabajos programados Windows PowerShell 3 0.0 ahora permite usted para programar trabajos en segundo plano de Windows PowerShell y gestionarlos de Windows PowerShell y en Programador de tareas. Windows PowerShell programado empleos corren asíncrona en el fondo. Puede crear, editar, gestionar, deshabilitar y volver a habilitar ellas; crear disparadores de trabajo programadas; y establecer opciones de trabajo programadas mediante cmdlets de Windows PowerShell.
Además de utilizar el precedente herramientas en la caja de la gestión de hosts de HyperV y máquinas virtuales que se incluyen en Windows Server 2012, las organizaciones que necesitan implementar y administrar un gran número de ordenadores o máquinas virtuales se pueden beneficiar de los siguientes productos del sistema de Microsoft plataforma del centro: ■
System Center Virtual Machine ManagerPermite configurar y desplegar máquinas virtuales y centralmente administrar su infraestructura física y virtual desde una consola
■
System Center Configuration ManagerPermite a evaluar, implementar y actualizarservidores, equipos cliente y dispositivos en entornos físicos, virtuales, distribuidos y móviles
304
Capítulo7
Virtualización Hyper-V
Seguridad Es importante tener en cuenta la seguridad de sus hosts Hyper-V mientras se prepara el plan de implementación de acogida. Para empezar, debe aplicar los mismos principios, procesos y prácticas para asegurar los hosts de Hyper-V que se aplicaría a cualquier otro componente de Windows Server dentro de su entorno. Además de cumplir con dichas mejores prácticas, también debe hacer lo siguiente: ■
Implementar la opción de instalación Server Core en los hosts de Hyper-V en lugar del servidor con una opción de instalación GUI. Server Core es ahora la opción de instalación por defecto al instalar Windows Server 2012 debido a su menor superficie de ataque y la reducción de la huella de dar servicio. Si es necesario, puede seguir utilizando la tecnología Hyper-V Server para administrar hosts Server Core, siempre y cuando lo haga, ya sea un servidor que tiene el servidor con una opción de instalación GUI instalado o desde un equipo cliente que tiene el servidor remoto Herramientas de administración (RSAT) para Windows 8 instalado.
■
No instale las funciones de servidor adicionales en los hosts que no sean la función Hyper-V. Sus anfitriones Hyper-V deben ser dedicados servidores cuya única función es la de albergar las cargas de trabajo virtualizadas que se ejecutan en ellos. Instalación de funciones adicionales en los hosts no sólo utiliza más recursos de servidor (procesador, memoria, disco y red), pero también puede aumentar los requerimientos de mantenimiento (actualización) de la superficie y el ataque del servidor. La excepción a esto es el papel del archivo de almacenamiento y servicios debido a que los servicios de función para este papel se pueden utilizar para las piscinas de almacenamiento de configuración para el almacenamiento de la máquina virtual. Para obtener más información sobre el fichero y la función de servicios de almacenamiento, consulte el capítulo siguiente.
Para obtener más información sobre la seguridad de los hosts de Hyper-V y las máquinas virtuales que se ejecutan en ellos, consultehttp://technet.microsoft.com/enus/library/dd283088(v=ws.10) yhttp://technet.microsoft.com/en-us/library/cc974516.aspx
.
Escalabilidad, disponibilidad y movilidad La sección titulada "hardware" anteriormente en esta lección ya se ha descrito algunas de las mejoras en la escalabilidad de procesador y memoria recursos en hosts de Hyper-V y máquinas virtuales en Windows Server 2012. La escalabilidad es la capacidad de un sistema o tecnología para expandirse para satisfacer las necesidades de negocio, y por lo tanto es una consideración importante en la planificación de la implementación de Hyper-V hosts. 300
La disponibilidad es otra consideración importante para la planificación de despliegue y
Capítulo7
Virtualización Hyper-V
se relaciona con la escalabilidad. La disponibilidad es el grado en que un sistema o tecnología es percibida por los clientes para estar disponible para que puedan acceder a él. Los sistemas que están disponibles se consideran resistentes
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
301
por dos razones. En primer lugar, minimizar la ocurrencia de incidentes que afectan al servicio que pueden interrumpir el acceso de los clientes. En segundo lugar, permiten acciones efectivas para llevar a cabo cuando un incidente afecta al servicio ocurre. La característica Clúster de conmutación por error de Windows Server 2012 puede proporcionar alta disponibilidad y mayor escalabilidad para Hyper-V anfitriones y también las cargas de trabajo virtualizadas que se ejecutan en dichos huéspedes. Un clúster de conmutación por error es un grupo de servidores que trabajan juntos para aumentar la disponibilidad de las aplicaciones y servicios que se ejecutan en esos servidores. Los servidores en clúster, también llamados nodos, están conectados por ambos cables físicos y el software de manera que si falla uno de los nodos del clúster, otro nodo puede iniciar la prestación del servicio mediante el uso de un proceso conocido como conmutación por error. De conmutación por error se ha mejorado en un número de maneras en Windows Server 2012: ■
Se ha mejorado la escalabilidad. Clústeres de hosts de Hyper-V ahora pueden escalar hasta 64 nodos con hasta 4.000 máquinas virtuales por grupo y hasta 1.024 máquinas virtuales por nodo.
■
Un establecimiento de prioridades puede ahora asigna a cada máquina virtual en un clúster de Hyper-V para controlar el orden en el que se ponen en marcha las máquinas virtuales cuando se produce un evento de conmutación por error.
■
Almacenamiento CSV ya puede estar ubicado en un recurso compartido de archivos SMB 3.0 en un servidor de archivos Scale-Out, lo que potencialmente puede ayudar a reducir el costo de almacenamiento para soluciones de clúster host de Hyper-V.
■
Almacenamiento CSV puede también ahora se cifra con Cifrado de unidad BitLocker para proporcionar una mayor seguridad para las implementaciones de acogida fuera de los centros de datos seguros.
■
Actualizando-Cluster Aware (CAU) es una nueva característica que permite a las actualizaciones de software que se aplicarán automáticamente a cada nodo en un clúster de hosts, manteniendo la disponibilidad durante el proceso de actualización.
Además de mejorar la disponibilidad, la implementación de clústeres de conmutación por error con Hyper-V anfitriones también proporciona movilidad al permitir la migración de máquinas virtuales en ejecución de un nodo a otro en un clúster de hosts. La migración en vivo puede ayudar a las organizaciones a crear un ambiente dinámico y flexible de TI que responde a las cambiantes necesidades del negocio, por lo que la comprensión y la planificación de la movilidad de la máquina virtual es también un aspecto importante de la planificación de acogida a la implementación. Mejoras de migración en vivo en Windows Server 2012 se incluyen las siguientes: ■
Migraciones en vivo de múltiples máquinas virtuales que se ejecutan ahora se pueden realizar al mismo tiempo, lo que ayuda a minimizar la interrupción del servicio cuando un nodo de clúster necesita ser tomado fuera de servicio por
302
Capítulo7
Virtualización Hyper-V
mantenimiento. ■
Migraciones en vivo se pueden implementar mediante SMB 3 0.0 almacenamiento compartido en un archivo de escala y salida exprésServidor incluso si los hosts Hyper-V involucrados no son miembros de un clúster de hosts. En este escenario, los discos duros virtuales de las máquinas virtuales en los hosts residen y permanecen en el mismo servidor de archivos y sólo el estado de ejecución de la máquina virtual se migra de un host a otro.
■
Migraciones en vivo, incluso se pueden realizar sin almacenamiento compartido si los anfitriones involucrados pertenecen al mismo dominio. En este escenario, el almacenamiento de una máquina virtual en ejecución
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
301
se refleja primero en el host de destino, y una vez que todo se sincroniza el espejo está roto y se elimina el almacenamiento en el host de origen. ■
Una nueva característica llamada Almacenamiento Migración le permite mover el almacenamiento de una máquina virtual que se ejecuta sin ningún tiempo de inactividad. Esto permite nuevos tipos de escenarios, por ejemplo, la posibilidad de añadir almacenamiento en disco más físico a un host de Hyper-V en clúster o no clúster y luego mover las máquinas virtuales al nuevo almacenamiento mientras las máquinas virtuales continuará funcionando.
Para obtener más información sobre estos y otros sobre la disponibilidad y movilidad mejoras en Windows Server 2012, consultehttp://technet.microsoft.com/enUS/library/hh831414.aspx yhttp://technet.microsoft.com/en-us/library/hh831435.aspx .
Recuperación de desastres Cómo prepararse para la eventualidad de un desastre para asegurar la continuidad del negocio es un componente crítico de cualquier plan de despliegue. Esencial a todos los planes de recuperación de desastres es la capacidad de crear y restaurar copias de seguridad fiables. Con Hyper-V, usted tiene que considerar copias de seguridad de los siguientes: ■
El sistema operativo de gestión de la tecnología Hyper-V en sí anfitrión
■
La configuración, duros virtuales discos, fotos y otros archivos asociados con cada máquina virtual que se ejecuta en el host
Realizar copias de seguridad de los volúmenes de disco en servidores Windows hace uso del volumen Espectros ujo Copy Service (VSS), que es un conjunto de interfaces COM que implementa un marco para las copias de seguridad de volumen ES- capaces de ser realizados mientras que las aplicaciones y servicios que se ejecutan en el servidor seguir escribiendo a los volúmenes que se copia de seguridad. VSS proporciona un marco subyacente que es utilizado por las siguientes características de Windows y aplicaciones: ■
Seguridad de Windows ServerUna característica opcional que utiliza VSS y la tecnología de copia de seguridad a nivel de bloque para proporcionar copia de seguridad básica y la funcionalidad de recuperación. Copia de seguridad de Windows Server se puede administrar mediante un complemento de MMC en, herramientas de línea de comandos, o Windows PowerShell.
■
Instantáneas de carpetas compartidasUna característica que proporciona copias de punto en el tiempo de los archivos almacenados en recursos compartidos de archivos en servidores de archivos. Instantáneas de carpetas compartidas permite a los usuarios ver y copias acceso sombra, que son los archivos y carpetas compartidas como existían en diferentes puntos de tiempo en el pasado. Al acceder a las versiones anteriores de los archivos y las carpetas, los usuarios pueden comparar versiones de un archivo mientras trabajan y recuperar archivos que fueron borrados accidentalmente o sobrescritos.
■
304
Capítulo7
Restauración Del SistemaUna característica de sólo cliente que está Virtualización Hyper-V
disponible en Windows 8, pero no en Windows Server 2012, Restaurar sistema crea puntos de restauración que puede utilizar para devolver un equipo a su estado anterior para solucionar problemas. Además, VSS es utilizado por el Administrador del sistema Centro de Protección de Datos (DPM), que permite a la protección de datos basada en disco y en cinta y recuperación para servidores Windows, incluyendo
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
301
Hosts de Hyper-V y las cargas de trabajo virtualizadas se ejecutan en dichos huéspedes. Además, también se puede utilizar DPM para gestionar de forma centralizada el estado del sistema y Bare Metal Recovery (BMR).
http://www.microsoft.com/enus/server-cloud/system-center/default.aspx.
Una nueva característica de VSS en Windows Server 2012 es VSS para recursos compartidos de archivos SMB, que permite a las aplicaciones de copia de seguridad VSS como System Center DPM para crear instantáneas de VSS- aplicaciones de servidor conscientes que almacenan sus datos en SMB 3.0 compartidos de archivos, tales como archivos compartidos en un servidor de archivos Scale-Out. En las versiones anteriores de Windows Server, VSS sólo apoyó la creación de sombra copias de los datos almacenados en los volúmenes locales. Debido a que Windows Server 2012 Hyper-V hosts pueden ahora utilizar SMB 3.0 almacenamiento compartido para el almacenamiento de archivos de la máquina virtual, VSS de Acciones archivos SMB es necesaria para garantizar que las máquinas virtuales que se ejecutan en los hosts mediante SMB 3 0,0 compartida de almacenamiento puede realizar copias de seguridad fiables de dicha máquina virtual archivos. Windows Server Backup no admite VSS para la funcionalidad Acciones SMB de archivos, pero la utilidad de línea de comandos del DiskShadow .exe incluye en Windows Server 2012 que expone la funcionalidad ofrecida por VSS no apoyarlo. Para obtener más información sobre VSS de recursos compartidos de archivos SMB y cómo configurarlo para su uso con Diskshadow.exe o System Center DPM, consulte el post "VSS de Acciones SMB de archivos" de Claus Joergensen, Gerente del Programa Principal en el equipo de Windows File Server, en su blog TechNethttp://blogs.technet.com/b/clausjor/archive/2012/06/14/vssfor- smb-file-shares.aspx . Para obtener información sobre la sintaxis del comando .exe DiskShadow, consulte la De línea de comandos de referencia para Windows Server 2012 ahttp://technet.microsoft.com/en-us/ biblioteca / hh831799 (WS.11) .aspx . Ya sea que usted está utilizando Copia de seguridad de Windows Server, System Center DPM, o un producto de copia de seguridad de terceros, el enfoque recomendado para realizar copias de seguridad de Hyper-V hosts es realizar copias de seguridad completas del sistema operativo host en sí. Estas copias de seguridad se incluyen todos los archivos de la máquina virtual, incluyendo discos duros virtuales, archivos de instantáneas, y archivos de configuración de la máquina virtual. Conmutadores virtuales no se incluyen en este tipo de copias de seguridad, sin embargo, y después de una serie ha sido restaurado, tiene que volver a crear conmutadores virtuales del host y volver a conectar los adaptadores de red virtuales en cada máquina virtual al conmutador virtual correspondiente. Debido a esto, usted debe asegurarse de que usted documenta cuidadosamente la configuración de todos los conmutadores virtuales en los hosts de Hyper-V como parte de su plan de recuperación de desastres. Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
303
El enfoque anterior para realizar copias de seguridad de Hyper-V host no va a funcionar, sin embargo, en escenarios donde el almacenamiento de host no admite el escritor VSS Hyper-V. Un ejemplo de esto es cuando los archivos de la máquina virtual se almacenan en un recurso compartido de archivos SMB 3.0 en un servidor de archivos Scale-Out. En estos escenarios, debe aumentar el enfoque anterior por también ejecutar el programa de copia de seguridad desde el sistema operativo invitado de cada máquina virtual. Una nueva característica de Hyper-V en Windows Server 2012 que puede proporcionar opciones adicionales para escenarios de desastres es la continuidad de Hyper-V Replica, que se puede utilizar para replicar todos los cambios en
304
Capítulo7
Virtualización Hyper-V
una máquina virtual a una máquina virtual contraparte se ejecuta en un host diferente. Por ejemplo, para una organización cuya infraestructura de TI se ha aplicado en una topología hub-and-spoke, donde hay una sola oficina central y varias sucursales, Hyper-V Replica puede utilizarse para replicar máquinas virtuales que se ejecutan en los hosts desplegados en la sede al modo de espera hosts desplegados en cada sucursal. De esta manera, si la red de área amplia (WAN) se pierde entre una sucursal y la sede, el anfitrión de espera en esa sucursal puede hacerse cargo de la carga de trabajo desde el host en la oficina central. Para obtener más información sobre Hyper-V Replica, consultehttp://technet.microsoft.com/en-us/library/jj134172 .
Instalación la función de Hyper-V Después de planificar el despliegue de sus hosts de Hyper-V, ya está listo para instalar la función Hyper-V en los servidores que planea utilizar para este propósito. Al igual que con otras funciones de servidor de Windows Server 2012, la función de Hyper-V se puede instalar en un servidor mediante una de las siguientes: ■
Administrador del servidor
■
Windows PowerShell
Utilizando el Administrador de servidores Ustedpuede utilizar el Administrador de servidores para instalar la función HyperV en un servidor de la siguiente manera: 1.
A ambos la página todos los servidores o una página de grupo de servidor personalizado en el Administrador de servidores, haga clic derecho en el servidor Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
305
remoto que desea instalar la función Hyper-V y seleccione Agregar funciones y características para iniciar el Agregar roles y características Asistente.
306
Capítulo7
Virtualización Hyper-V
2.
En la página Asistente Tipo de instalación, seleccione basado en roles o instalación de características basada.
3.
En la página de funciones de servidor, active la función de Hyper-V. En este punto, se le pedirá que instale el GUI y herramientas de administración de Windows PowerShell para la función de Hyper-V. Si el servidor va a instalar la función Hyper-V en una instalación Server Core, desactive la casilla de verificación Incluir Herramientas de administración.
4.
Continúe con las restantes páginas del asistente para instalar el papel, y reiniciar el servidor remoto cuando se le solicite.
El uso de Windows PowerShell UstedTambién puede usar Windows PowerShell para instalar la función Hyper-V en un servidor. El comando se utiliza depende de la opción de instalación se utiliza cuando se desplegó el servidor remoto. Por ejemplo, si el servidor remoto es un servidor con una instalación de GUI, se puede instalar la función Hyper-V, junto con las herramientas de gestión para el papel utilizando el siguiente comando: Aquí es el nombre de NetBIOS, una dirección IP o nombre de dominio completo (FQDN) del servidor remoto. Por ejemplo, para ver qué va a pasar si este comando se ejecuta en un servidor llamado Host4, puede incluir el parámetro -WhatIf de la siguiente manera:
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
307
Ejecute de nuevo el comando sin el parámetro -WhatIf instalar la función Hyper-V en el servidor remoto. Después de que el servidor remoto se ha reiniciado, puede usar el cmdlet Get-WindowsFeature para verificar la instalación de la función Hyper-V y las características de gestión asociados:
308
Capítulo7
Virtualización Hyper-V
Configuración de Hyper-Vhosts Después de instalar la función Hyper-V en un servidor, usted todavía tiene que configurar el papel para satisfacer las necesidades de su entorno. Configuración de un host Hyper-V incluye medidas como las siguientes: ■
Configuración de almacenamiento de máquina virtual
■
Creación de los conmutadores virtuales
■
Realizar otras tareas de configuración
Hyper-V anfitriones también se pueden configurar utilizando el Hyper-V complemento Administrador o Windows PowerShell cmdlets. Para ver la configuración de un host mediante la tecnología Hyper-V Server, haga clic derecho en el host en el árbol de la consola y seleccione Configuración de Hyper-V para mostrar el cuadro de diálogo Configuración de Hyper-V se muestra en las capturas de pantalla en esta sección. Para ver la configuración de un host con Windows PowerShell, utilice el cmdlet Get-VMHost como se muestra aquí:
Aver todos los valores de configuración asociados con el host especificado, canalizar la salida de la comando anterior en el cmdlet Format-List y especificar un comodín:
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
309
Tenga en cuenta que la configuración de los interruptores virtuales en un host no está incluido en el resultado del cmdlet Get-VMHost. Para ver una lista de los conmutadores virtuales que se han creado en el host, utilice el cmdlet Get-VMSwitch como se muestra aquí:
A ver todas las propiedades de todos los interruptores virtuales en el host, utilice el siguiente comando:
Configuración de almacenamiento de máquina virtual La Figura 7-1 muestra la ubicación predeterminada donde un host Hyper-V almacena los archivos de disco duro virtual para sus máquinas virtuales. Estos archivos pueden incluir los siguientes:
310
■
VHD o VHDX, que puede ser las unidades de accionamiento o sistema de datos para cada máquina virtual
■
AVHD archivos, que son los archivos de disco de diferenciación utilizados para las instantáneas de máquinas virtuales
Capítulo7
Virtualización Hyper-V
Como parte de la configuración posterior a la instalación de sus hosts de Hyper-V, debe cambiar esta ubicación al volumen donde desea que los archivos de disco duro virtual almacenados. Este volumen dependerá del tipo de solución de almacenamiento que se haya decidido a utilizar para sus hosts Hyper-V, como se describeanteriormente en esta lección en la sección titulada "Almacenamiento".
FIGURA 7-1Configuración de la ubicación donde se almacenarán los archivos de disco duro virtual.
Usted También puede usar el cmdlet Set-VMHost para configurar la ubicación de disco duro virtual con Windows PowerShell. Por ejemplo, puede utilizar el siguiente comando para cambiar la ubicación del disco duro virtual en Host4 a la carpeta E: \ VM de almacenamiento:
Figura 7-2 muestra la ubicación predeterminada donde un host Hyper-V almacena su máquina virtual archivos de configuración. Estos archivos pueden incluir los siguientes: ■
Archivos XML cuyo nombre es el identificador único global (GUID) que se utilizan para identificar internamente un máquina virtual o una instantánea
■
Archivos BIN que contienen la memoria de una máquina virtual o una instantánea
■
VSV archivos que contienen el estado guardado de los dispositivos asociados a una máquina virtual
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
311
FIGURA 7-2 Configuración de la ubicación donde se almacenarán los archivos de
configuración de la máquina virtual.
Usted También puede usar el cmdlet Set-VMHost para configurar el archivo de configuración de la máquina virtual de ubicación mediante Windows PowerShell. Por ejemplo, puede utilizar el siguiente comando para cambiar la ubicación de los archivos de configuración de la máquina virtual en Host4 al E: carpeta \ VM Configuraciones:
310
Capítulo7
Virtualización Hyper-V
Creación de los conmutadores virtuales Figura 7-3 muestra la página de conmutador de red virtual Nueva del cuadro de diálogo Switch Manager virtual para un host Hyper-V. Puede utilizar esta página para crear conmutadores virtuales de los tipos externos, internos y privados descritos anteriormente en esta lección en la sección titulada "Redes".
FIGURA 7-3Creación de un nuevo conmutador virtual en el Administrador de Hyper-V.
Al hacer clic en Create Virtual Switch, que se muestra en la Figura 7-3, crea un nuevo conmutador virtual del tipo seleccionado (en este caso, externo), y las propiedades del nuevo conmutador virtual ahora se pueden configurar como se muestra en la Figura 7-4. Las propiedades clave para configurar son los siguientes: ■
Especificación de un nombre descriptivo para el nuevo interruptor
■
Selección del tipo de conexión (externa, interna o privada) si usted decide cambiar su elección inicial
Si selecciona externa como tipo de conexión, se debe asignar un adaptador de red físico en el host para el nuevo interruptor. En ese caso, usted también tiene la opción de permitir que el sistema operativo de la gestión en el host para compartir el adaptador de red seleccionado. Si está utilizando una red física separada para la gestión de anfitrión, y el anfitrión tiene otro adaptador de red cal física conectada a la red de administración, puede desactivar la casilla de verificación se muestra como seleccionado en la Figura 7-3. Además, también tiene la opción de permitir a raíz única de E / S de virtualización (SR-IOV) si el adaptador de red seleccionado admite esta función. SR-IOV se describe más adelante en este capítulo. Por último, si usted está Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
311
usando las redes de área local virtuales (VLAN) a
312
Capítulo7
Virtualización Hyper-V
segmentar el tráfico en su red de producción, puede activar esta función y especificar un identificador de VLAN aquí.
FIGURA 7-4Configurar el nuevo conmutador virtual.
UstedTambién puede usar el cmdlet New-VMSwitch para crear nuevos switches virtuales mediante Windows PowerShell. Por ejemplo, el siguiente comando podría ser utilizado para crear el conmutador virtual CONTOSO muestra en la Figura 7-4:
Para obtener ayuda sobre la sintaxis de este cmdlet, utilice el comando Get-Help Nueva VMSwitch.
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
313
Además de la creación y configuración de los interruptores virtuales en los hosts, también puede configurar el rango de control de acceso al medio (MAC) que el anfitrión puede utilizar para asignar dinámicamente las direcciones MAC de los adaptadores de red virtuales de máquinas virtuales en el host. Figura 7-5 muestra el rango por defecto de direcciones MAC utilizadas para este fin. Aunque este rango por defecto puede ser suficiente cuando se están desplegando sólo unos anfitriones, es generalmente una buena idea para asignar un rango de direcciones MAC diferente para cada host para asegurar que duplicar direcciones MAC no se pueden asignar a máquinas virtuales en hosts diferentes, lo que podría causar a la red problemas para los sistemas operativos invitados de este tipo de máquinas virtuales.
FIGURA 7-5Configuración del rango de direcciones MAC que el anfitrión puede asignar a los adaptadores
de red virtuales.
314
Capítulo7
Virtualización Hyper-V
UstedTambién puede usar el cmdlet Set-VMHost para configurar el rango de direcciones MAC que el anfitrión puede asignar a los adaptadores de red virtuales de máquinas virtuales en el host. Por ejemplo, puede utilizar el siguiente comando para cambiar el rango de direcciones MAC en Host4 para abarcar desde 00-00-04-00-00-00 de 00-00-04-FF-FF-FF:
Otros pasos de configuración Pasos adicionales necesarios para la configuración de los hosts de Hyper-V dependen de qué tipo de funcionalidad que desea habilitar en ellos. Por ejemplo, mediante el cuadro de diálogo Configuración de Hyper-V, puede: ■
Habilitar migraciones en vivo en el host, y configurar el protocolo de autenticación utilizado para la migración en vivo, cuántas migraciones en vivo se pueden realizar simultáneamente, y que la red o la dirección IP puede utilizarse para migraciones en vivo entrantes.
■
Configure el número de migraciones de almacenamiento simultáneos se puede realizar en el host.
■
Habilitar Hyper-V funcionalidad Réplica en el host y el protocolo de autenticación y los puertos utilizados para la replicación, y si la replicación se permitirá desde cualquier servidor cado autenticación o de una lista de servidores especificados.
■
Habilitar spanning NUMA, una nueva función de Hyper-V en Windows Server 2012 que permite a las máquinas virtuales para abarcan arquitectura de memoria no uniforme (NUMA) nodos en los ejércitos capaces NUMA-. NUMA que abarca las obras mediante la proyección de una topología NUMA virtual para el sistema operativo invitado de manera que se optimiza para que coincida con la topología NUMA de la máquina host físico subyacente. El efecto es el de proporcionar máquinas virtuales con adiciones recursos informáticos cionales para aplicaciones de servidor de alto rendimiento, como los sistemas operativos de servidor modernas de Microsoft SQL Server y, como Windows Server 2012 que incluyen incorporado optimizaciones NUMA.
UstedTambién puede usar Windows PowerShell para realizar estos pasos de configuración adicionales en sus ejércitos. Por ejemplo, puede usar el cmdlet Set-VMHost para permitir la migración en vivo, con- entenderlo utilizar CredSSP para la autenticación, y configurarlo para permitir migraciones en vivo entrantes utilizando cualquier red disponible de la siguiente manera:
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
315
hh848559.
316
Capítulo7
Virtualización Hyper-V
Resumen de la lección ■
Consideraciones clave para la planificación de la implementación de los ejércitos de Hyper-V incluyen hardware, ediciones, redes, almacenamiento, gestión, seguridad, escalabilidad, disponibilidad, movilidad y recuperación de desastres.
■
La función de Hyper-V se puede instalar y configurar mediante el Administrador de Hyper-V complemento o Windows PowerShell.
■
Siempre que sea posible, debe implementar Hyper-V en instalaciones Server Core y gestionar sus anfitriones con Windows PowerShell.
■
Configuración de almacenamiento de máquina virtual para un host implica especificar la ubicación donde se almacenarán los archivos de configuración de máquinas virtuales y archivos de discos duros virtuales.
■
Configuración de red virtual para un host implica la creación y configuración virtuales interruptores del tipo y el número necesario de su entorno.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Qué edición y la opción de instalación de Windows Server 2012 son las mejores opciones para el despliegue de Hyper-V hosts en un entorno de centro de datos? A.
Edición Standard en Server Core
B.
Edición Standard en el servidor con una interfaz gráfica de usuario
C.
Edición Datacenter en Server Core
D. Edición Datacenter en el servidor con una interfaz gráfica de usuario 2.
Ustedque desee utilizar una instalación Server Core de Windows Server 2012 como un host de Hyper-V. El servidor se ha unido a un dominio de Active Directory y reside en su ter datacen-. Debido a que aún no se siente confiado de servidores que gestionan la línea de comandos, que desea gestionar el host utilizando la tecnología Hyper-V Server. Dado que la seguridad es una preocupación y también quiere mantener el servicio a bajo costo operativo para sus servidores, mientras que su gestión convenientemente, ¿cuál de los siguientes sería el mejor enfoque para que usted pueda seguir? A.
Inicie sesión en la consola local del servidor, escriba del sistema, y el tipo
en el símbolo
para convertir su instalación Server Core a una interfaz de servidor de instalación Minimal ción. Ahora conectarse de nuevo a la consola local del servidor, y lanzar la tecnología Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
317
Hyper-V complemento para administrar el servidor Hyper-V y sus máquinas virtuales.
318
Capítulo7
Virtualización Hyper-V
B.
Habilitar Escritorio remoto en el servidor, y configurarlo para permitir que sólo los clientes remotos que utilizan a nivel de red de autenticación para conectarse al servidor. Ahora iniciar sesión en una estación de trabajo de administrador con Windows 8, utilice Conexión a Escritorio remoto para conectarse al host remoto, y gestionar el anfitrión de su estación de trabajo.
C.
Inicie sesión en la consola local del servidor, escriba del sistema, y el tipo
en el símbolo
para convertir su instalación Server Core para una instalación mínima de interfaz de servidor. Habilitar Escritorio remoto en el servidor, y configurarlo para permitir que sólo los clientes remotos que utilizan a nivel de red de autenticación para conectarse al servidor. Ahora iniciar sesión en una estación de trabajo de administrador con Windows 8, utilice Conexión a Escritorio remoto para conectarse al host remoto, y gestionar el anfitrión de su estación de trabajo. D. Instale el RSAT para Windows 8 en una estación de trabajo de administrador
con Windows 8, iniciar el Administrador de Hyper-V, conectarse al host remoto, y gestionar el anfitrión de su estación de trabajo. 3.
Qué cmdlet de Windows PowerShell se puede utilizar para configurar el almacenamiento de ubicación por defecto para los archivos de la máquina virtual en un host Hyper-V? A. B. C. D.
Lección 2: Implementación y configuración de máquinas virtuales Después de desplegar y configurar los hosts de Hyper-V, el siguiente paso en la implementación de su infraestructura de virtualización está desplegando y configuración de las máquinas virtuales que se utilizarán para virtualizar las cargas de trabajo de servidor. Esta lección le ayudará a entender las cuestiones y consideraciones implicadas en la planificación de la implementación de la máquina virtual y cómo crear y configurar máquinas virtuales.
Lección 1: Implementación y configuración de Hyper-V hosts
Capítulo 7
319
Después de esta lección, usted será capaz de ■
Describir las diferentes maneras en que las máquinas virtuales se pueden implementar en Hyper-V hosts.
■
Describir las diversas consideraciones que intervienen en la planificación del despliegue de máquinas virtuales en Hyper-V hosts.
■
Describir los diferentes tipos de discos duros virtuales y sus propósitos y limitaciones.
■
Explique por qué la realización de instantáneas no se recomienda en entornos de producción.
■
Describir las diferentes opciones que tienen lugar cuando la importación de máquinas virtuales en un host.
■
Crear nuevas máquinas virtuales utilizando la tecnología Hyper-V complemento y Windows PowerShell.
■
Crear nuevos discos virtuales, y añadirlos a las máquinas virtuales utilizando la tecnología Hyper-V complemento y Windows PowerShell.
■
Añadir nuevos adaptadores de red virtuales para máquinas virtuales, y configurar el adaptadores.
■
Configurar hardware y gestión entornos virtuales para máquinas virtuales.
Tiempo de la lección estimado: 30 minutos
Planificación el despliegue de la máquina virtual Dependiendo del escenario que se prevé, la implementación de una máquina virtual puede significar diferentes cosas, por ejemplo: ■
Creación de una nueva máquina virtual, y la instalación de un sistema operativo invitado y aplicaciones en él.
■
Importación de una máquina virtual existente que ya tiene un sistema operativo invitado y las aplicaciones instaladas en él.
■
Realización de una (P2V) de conversión de físico a virtual de un servidor físico a migrar el sistema operativo del servidor y las aplicaciones en una máquina virtual.
■
Realización de una (V2V) conversión de virtual a virtual mediante la conversión de una máquina virtual de VMware a una máquina virtual de Hyper-V.
Los dos primeros tipos de despliegues de máquinas virtuales se pueden realizar utilizando las herramientas de administración en la caja de la función Hyper-V de Windows Server 2012-específicamente, el Hyper-V y el módulo de Hyper-V para Windows PowerShell. Implementación de nuevas máquinas virtuales mediante la realización de P2V o V2V conversiones requiere herramientas adicionales, como Virtual Machine Manager o de terceros servicios de System Center. Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
317
MÁS INFORMACIÓN VMM Y P2V
microsoft.com/enus/library/hh427286.aspx.
Los siguientes problemas se deben considerar al crear nuevas máquinas virtuales en un host Hyper-V: ■
Ubicación de los archivos de configuración
■
La memoria de inicio
■
Memoria dinámica
■
Procesadores virtuales
■
La creación de redes virtuales
■
Los discos duros virtuales
■
Implementación del sistema operativo Invitado
■
Realización de instantáneas
Tenga en cuenta que estas cuestiones se aplican principalmente a la creación de nuevas máquinas virtuales. Importación de máquinas virtuales existentes implica un conjunto diferente de condiciones que se describen por separado más adelante en esta sección.
Ubicación de los archivos de configuración Aunque la ubicación predeterminada en la que los archivos de configuración de la máquina virtual se configura a nivel de host, usted también tiene la opción de anular esta configuración predeterminada cuando se crea una nueva máquina virtual. Usted puede hacer esto, por ejemplo, si va a crear una máquina virtual para alta capacidad, es decir, una máquina virtual en clúster disponibles en un clúster de conmutación por error de Hyper-V hosts que utiliza CSV almacenamiento compartido. En tal escenario, es necesario especificar el CSV en la carpeta ClusterStorage en el Administrador de clústeres de conmutación por error como la ubicación donde se almacenará la máquina virtual. Otro escenario donde es posible anular la ubicación de almacenamiento de archivos de configuración por defecto es cuando se crea una máquina virtual que se almacena en un recurso compartido de archivos SMB 3.0 en una Escala y salida del servidor de archivos. En este caso, debe especificar el punto de acceso de cliente que está configurado en el clúster de conmutación por error para el servidor de archivos de escalabilidad horizontal como la ubicación donde se almacenará la máquina virtual. Para ver un ejemplo de este segundo escenario, consultehttp://technet.microsoft.com/en-us/ biblioteca / hh831463.aspx .
La memoria de inicio 318
Capítulo7
Virtualización Hyper-V
La memoria que necesitará cada nueva máquina virtual es una consideración importante en la planificación de la creación de nuevas máquinas virtuales. Sistemas host físicos tienen una cantidad fija de memoria física, y esto de memoria deben ser compartidos de manera adecuada entre el
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
319
diferentes máquinas virtuales que se ejecutan en el host. (. El anfitrión sí también requiere un poco de memoria física para poder funcionar con un rendimiento óptimo) Planificación de la cantidad de memoria física que se asignarán a una nueva máquina virtual se creará implica dos consideraciones: ■
Decidir sobre la cantidad de memoria de inicio para asignar a la máquina virtual. Instalado en una máquina virtual El operativo invitado debe tener acceso a suficiente memoria; de lo contrario, la máquina virtual no podría ser capaz de empezar. La memoria de inicio recomendada varía con el sistema operativo invitado involucrado y también de si la memoria dinámica está habilitada en el host. Algunos valores recomendados para la memoria de arranque incluyen
■
■
512 MB para Windows Server 2008 R2 y Windows 7
■
128 MB para Windows Server 2003
Decidir si se habilita la memoria dinámica en la máquina virtual. Memoria dinámica administra la memoria física en el host como un recurso compartido que se pueden reasignarse automáticamente entre máquinas virtuales en ejecución en base a cambios en la demanda de memoria y los valores que se pueden especificar. Memoria dinámica se analiza con más detalle en la Lección 3 de este capítulo.
Procesadores virtuales Algunas cargas de trabajo pueden requerir recursos adicionales de procesador con el fin de lograr un rendimiento óptimo. Hyper-V permite asignar uno o más procesadores virtuales para cada máquina virtual mar- cha en el host, hasta el número máximo de procesadores lógicos soportados por el sistema operativo huésped instalado en la máquina virtual. También puede utilizar Hyper-V para mantener una reserva de los recursos del procesador disponibles a una máquina virtual, especificar un límite a la cantidad de recursos de procesador pro- la máquina virtual puede utilizar y configurar la forma en Hyper-V asigna recursos del procesador cuando múltiples en ejecución máquinas virtuales en un host compiten por los recursos del procesador del huésped. Para obtener más información sobre los ajustes de control de recursos para los procesadores virtuales, consultehttp://technet.microsoft.com/en-us/library/cc742470.aspx .
La creación de redes virtuales Networking virtual implica la creación de adaptadores de red virtuales en máquinas virtuales y la asignación de estos adaptadores para interruptores virtuales en el host. Las siguientes consideraciones se aplican en la planificación de redes virtuales para máquinas virtuales:
320
■
Cada máquina virtual puede tener hasta 12 adaptadores de red virtuales instalados en ella. De estos 12 adaptadores de red virtuales, hasta 8 puede ser el tipo de adaptador de red y hasta el 4 puede ser el tipo de adaptador de red heredado. Estos dos tipos de adaptadores de red virtuales se analizan con más detalle más adelante en esta lección.
■
Cada adaptador de red virtual se puede configurar con una dirección MAC estática o
Capítulo7
Virtualización Hyper-V
una dirección dinámica MAC que se asigna automáticamente a partir del rango de direcciones MAC configurada en el host.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
321
■
Cada red virtual se puede asignar un canal de VLAN única de segmento o aislado tráfico de red.
■
Hasta 512 máquinas virtuales se pueden asignar a cada conmutador virtual en el host.
Los discos duros virtuales Cuando se crea una nueva máquina virtual, usted tiene tres opciones relativas a los discos duros virtuales asociados a las nuevas máquinas virtuales: ■
Usted puede crear un nuevo disco duro virtual cuando se crea la nueva máquina virtual.
■
Usted puede asignar un disco duro virtual existente a la nueva máquina virtual que está creando.
■
Ustedpuede crear una nueva máquina virtual sin disco duro virtual y luego asignar un disco duro virtual para después.
Otra consideración relativa a la planificación de los discos duros virtuales es el tipo de almacenamiento de controlador utilizado para el disco. Las máquinas virtuales incluyen IDE y controladoras SCSI, y usted puede añadir discos duros virtuales para cualquier tipo de controlador. Y mientras que el disco de arranque (boot) de una máquina virtual debe estar conectado a la controladora IDE, el almacenamiento físico subyacente utilizado para el dispositivo IDE virtual puede ser cualquiera de los tipos de almacenamiento descritos en la sección titulada "Almacenamiento" en la Lección 1 anteriormente en este capítulo. Otra consideración la planificación es el tipo de disco virtual a utilizar, es decir, uno de los siguientes tipos: ■
■
De tamaño fijo Este tipo de disco duro virtual tiene su archivo de imagen preasignado en el dispositivo de almacenamiento físico para el tamaño máximo solicitado cuando se crea el disco. Por ejemplo, una, de tamaño fijo de disco duro virtual de 250 GB ocupará 250 GB de espacio en el dispositivo de almacenamiento del host. Dinámicamente expansiónEste tipo de disco duro virtual utiliza sólo la cantidad de espacio de almacenamiento físico, ya que necesita para almacenar los datos reales de que el disco contiene actualmente. El tamaño del archivo de imagen del disco virtual y luego crece a medida que los datos adicionales se escribe en ella. Por ejemplo, el archivo de imagen de disco duro virtual dinámica de una máquina vir- tual de nueva creación que no tiene un sistema operativo instalado en él tiene un tamaño de sólo 4 MB, aunque su tamaño máximo está configurado con el valor predeterminado de 127 GB. Una vez que Windows Server 2012 se ha instalado como sistema operativo invitado, sin embargo, el tamaño del
320
Capítulo7
Virtualización Hyper-V
archivo de imagen del disco virtual crecerá a más de 8 GB. Vea Lección 3 en este capítulo para obtener información sobre la forma de ampliar, compacto, o reducir los discos de expansión dinámica.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
321
■
DiferenciaciónEste tipo de disco duro virtual le permite hacer cambios en un disco duro virtual principal sin modificar el disco primario. Por ejemplo, el disco de los padres podría tener una instalación limpia de Windows Server 2012 como sistema operativo invitado, mientras que el disco de diferenciación contiene cambios en la matriz. Los cambios pueden ser revertidos si es necesario mediante la fusión del disco de diferenciación con el padre. Instantáneas de Hyper-V utilizan esta tecnología de disco de diferenciación.
Algunas consideraciones de planificación adicionales relativas a discos duros virtuales incluyen ■
Ya sea para usar discos duros virtuales que utilizan el formato de disco VHD utilizado por versiones anteriores de Hyper-V o el formato VHDX nuevo introducido en Windows Server 2012. Aunque el formato VHD mayor apoyó discos duros virtuales de hasta 2040 GB de tamaño, el formato VHDX nuevo ahora es compatible con los discos duros virtuales de hasta 64 TB de tamaño. VHDX también incluye otras mejoras, como la mejora de alineación para hacer el trabajo bien en formato de discos de gran formato, tamaño de los bloques más grandes para los discos dinámicos y de diferenciación, el apoyo para el ajuste, el apoyo a 4 KB discos virtuales sector lógico, mejores salvaguardas contra la corrupción de datos cuando se producen interrupciones de energía, y otras características. Para obtener más información sobre las mejoras VHDX, consultehttp://technet.microsoft.com/enus/library/ hh831446.aspx .
322
■
Si la capacidad de almacenamiento proporcionado por un solo disco duro virtual no es suficiente para las necesidades de carga de trabajo de la máquina virtual, discos virtuales adicionales pueden ser creados y conectados a la máquina virtual utilizando el controlador IDE, el controlador SCSI, o ambos controladores.
■
El almacenamiento máxima admitida para una sola máquina virtual es de 512 TB para todos los tipos.
■
Si sus hosts Hyper-V están utilizando una SAN para su almacenamiento, se puede mejorar el rendimiento del almacenamiento mediante el aprovechamiento de la nueva transferencia de datos descargados (ODX) funcionalidad incluye en Windows Server 2012. ODX puede ayudar a minimizar la latencia, maximizar el rendimiento de matriz,
Capítulo7
Virtualización Hyper-V
y reducir el procesamiento y el uso de recursos de red en Hyper-V hosts mediante la descarga de forma transparente las operaciones de transferencia de archivos desde el host a la SAN. Para obtener más información, consultehttp://technet.microsoft.com/en-us/library/hh831628.aspx . ■
Si sus máquinas virtuales necesitan para poder acceder al almacenamiento en una SAN de canal de fibra, pueden aprovechar la nueva característica virtual de canal de fibra de Windows Server
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
323
2012 Hyper-V. Esta característica proporciona puertos de canal de fibra en el sistema operativo invitado para que pueda conectarse directamente a las máquinas virtuales de almacenamiento SAN. Los beneficios de canal de fibra virtuales incluyen la posibilidad de virtualizar cargas de trabajo que requieren conectividad directa SAN y ser capaces de agrupar los sistemas operativos invitados sobre Fibre Channel. La implementación de Fibre Channel virtual requiere que el adaptador de bus de host (HBA) en el host tiene un controlador actualizado que soporta Fibre Channel virtual y que los puertos HBA se configura con una topología de canal de fibra que soporta N_Port ID Virtualization (NPIV). Para obtener más información, consultehttp://technet.microsoft.com/en-us/ biblioteca / hh831413.aspx .
Implementación del sistema operativo Invitado Sistemas operativos invitados se pueden instalar en las máquinas virtuales de la misma manera que se instalan en los sistemas físicos. Por ejemplo, puede hacer lo siguiente: ■
Instale manualmente el sistema operativo invitado adjuntando una imagen ISO de los medios de comunicación de productos para la unidad de DVD virtual de la máquina virtual, y luego caminar a través de los pasos del proceso de instalación.
■
Realizar una instalación Lite Touch (LTI) despliegue del sistema operativo invitado por arrancar la máquina virtual de un servidor que tiene la función de servicios de implementación de Windows instalado y luego paso a paso a través (o automatización) el Asistente para implementación de Windows de Microsoft Deployment Toolkit (MDT) 2012 Actualización 1. Para obtener más información, consulte el Capítulo 2 "Implementación de servidores".
■
Realice una Zero Touch Installation (ZTI) despliegue del sistema operativo invitado con System Center Configuration Manager 2012 SP1 para desplegar una imagen de referencia creada usando MDT 2012 Update 1. Para obtener más información, consulte http://technet.microsoft. com / es-es / library / gg682018 .
Realización de instantáneas Aunque no se recomiendan instantáneas para su uso en entornos de producción, podrían tener valor en ciertos escenarios limitados. Por ejemplo, usted podría considerar la realización de una instantánea de una máquina virtual producción justo antes de aplicar una actualización de software crítico para el sistema operativo invitado de la máquina virtual. De esta forma, si algo sale mal después de aplicar la actualización, puede volver rápidamente a la máquina virtual a su estado anterior (es decir, antes de aplicar la actualización). Sin embargo, hay ciertas situaciones en las que nunca se debe realizar instantáneas, en concreto:
324
■
No realice instantáneas en los controladores de dominio virtualizados.
■
No realice instantáneas en las cargas de trabajo virtualizadas que se ejecutan los servicios sensibles al tiempo.
■
No realice instantáneas en las cargas de trabajo virtualizadas que utilizan datos distribuidos a través de múltiples bases de datos.
Capítulo7
Virtualización Hyper-V
Además, no tratar de restaurar instantáneas más de 30 días debido a que la contraseña de equipo para el sistema operativo invitado podría haber caducado, lo que hará que el huésped se dis-unirse en sí del dominio. Por último, si usted planea en instantáneas escénicas, asegúrese de que el host tiene suficiente espacio de almacenamiento para todos los archivos de instantáneas es posible crear. Las instantáneas pueden consumir una gran cantidad de espacio en disco, y usted podría terminar quedando sin espacio de almacenamiento si realiza demasiados de ellos.
Consideraciones para la importación de máquinas virtuales Aunque el proceso de importación de una máquina virtual existente en un host Hyper-V se ha simplificado en Windows Server 2012, todavía hay una serie de cuestiones que se deben considerar antes de realizar la importación. Las siguientes mejoras se han hecho para el proceso de importación de la máquina virtual en Windows Server 2012: ■
El proceso de importación se ha actualizado para que los problemas de configuración que pueden impedir la importación de ser exitoso se detectan y resuelven. Por ejemplo, si va a importar la máquina virtual en un host de destino que tiene un conjunto diferente de los conmutadores virtuales que aquellos en el host de origen, el Asistente de Máquina Virtual de Importación, que puede ser lanzado desde Hyper-V, ahora le pide para elegir un conmutador virtual para conectar con el adaptador de red virtual en la máquina virtual.
■
Las máquinas virtuales ahora pueden ser importados directamente desde el archivo de configuración de la máquina virtual sin primero exportar la máquina virtual. Esto se puede hacer mediante la copia manualmente los archivos de la máquina virtual en lugar de exportarlos. De hecho, al exportar una máquina virtual en Windows Server 2012, ahora todo lo que sucede es que se crea una copia de los archivos de la máquina virtual.
■
Hyper-V ahora incluye cmdlets de Windows PowerShell que se pueden utilizar para exportar e importar máquinas virtuales.
Los siguientes problemas pueden ser importantes a considerar en la planificación de la importación de virtualesmáquinas en su anfitriones: ■
Al importar una máquina virtual, usted tiene la posibilidad de elegir de los siguientes enfoques: ■
El registro de la máquina virtual en el lugar, y asignando el GUID de la máquina virtual existente a la nueva máquina virtual (por defecto). Usted puede elegir esta opción si los archivos de la máquina virtual ya están en el lugar donde tienen que estar en orden para ejecutarse en el host de destino, y lo que desea para empezar a ejecutar la máquina virtual desde donde se encuentra.
■
Restauración de la máquina virtual, y asignar el GUID de la máquina virtual existente a la nueva máquina virtual. Puede utilizar esta opción si los archivos de la máquina virtual se almacenan en un recurso compartido de archivos o dispositivo de almacenamiento extraíble y desea moverlos a la ubicación de almacenamiento predeterminada en el host de destino. Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
325
■
■
Copia de la máquina virtual, y generar un nuevo GUID para la nueva máquina virtual. Puede utilizar esta opción si desea utilizar la máquina virtual existente como una plantilla que va a importar varias veces para crear nueva máquinas- virtuales por ejemplo, para el trabajo de ensayo o desarrollo.
Si va a migrar las máquinas virtuales de un host que ejecuta una versión anterior de Windows Server 2012, puede usar el cmdlet-VM comparación para generar un informe de compatibilidad que enumera posibles incompatibilidades que la máquina virtual puede tener con el host de destino. A continuación, puede utilizar este informe para tomar medidas para resolver estas cuestiones de manera que cuando se utiliza el cmdlet Import-VM después, el proceso de importación se irá sin problemas.
■
Si va a importar máquinas virtuales de un host a un host no agrupado en clúster, puede haber consideraciones adicionales, como por ejemplo si necesita importar las máquinas virtuales al almacenamiento compartido utilizado por el clúster de conmutación por error.
Creación máquinas virtuales Usted puede crear nuevas máquinas virtuales en un host Hyper-V mediante el uso de cualquiera de Hyper-V o Windows PowerShell.
Con el Administrador de Hyper-V Crear una nueva máquina virtual mediante el Administrador de Hyper-V se lleva a cabo de la misma manera que en las versiones anteriores de Windows Server. Los pasos de este proceso son los siguientes: 1.
Inicie el Asistente para nueva máquina virtual haciendo clic derecho en el host de Hyper-V Manager y seleccionar Nuevo y luego Máquina Virtual.
2.
Especifique un nombre descriptivo para la nueva máquina virtual, y opcionalmente especificar una ubicación diferente para almacenar los archivos de la máquina virtual (archivos de configuración, discos duros virtuales y capturas) si las ubicaciones de almacenamiento por defecto para el host no son los que usted desea utilizar.
3.
Especifique la cantidad de memoria de inicio para ser utilizado por el sistema operativo invitado de la máquina virtual, y especifique si la memoria dinámica se va a utilizar para la máquina virtual.
4.
Seleccione un conmutador virtual existente en el host que debe ser conectado al adaptador de red virtual en la máquina virtual, o salir de la máquina virtual sin conexión de los interruptores virtuales en el host.
5.
Crea un nuevo disco virtual como el volumen del sistema en la máquina virtual, conecte un disco virtual existente para este fin, o crear la máquina virtual sin discos duros virtuales conectados de modo que usted puede adjuntar una más tarde. Si elige la primera opción, puede especificar si desea instalar el sistema operativo invitado después, instalarlo desde el CD de la unidad virtual / DVD o archivo de imagen ISO o
326
Capítulo7
Virtualización Hyper-V
de disquete virtual, o instalarlo desde un servidor de instalación basada en la red (si haber conectado el adaptador de red virtual a un conmutador virtual).
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
327
El uso de Windows PowerShell UstedTambién puede usar el cmdlet New-VM para crear una nueva máquina virtual con Windows PowerShell. Por ejemplo, para crear una nueva máquina virtual denominado SRV-A en Host4, asigne la máquina virtual 1 GB de memoria de inicio, adjuntarlo al conmutador virtual denominado CONTOSO Virtual Switch, cree un nuevo disco duro virtual (archivo VHDX) de tamaño 500 GBs en la ubicación por defecto, y hacer que el CD virtual a impulsar el dispositivo de arranque predeterminado, utilice el siguiente comando:
Importación de máquinas virtuales Importación de máquinas virtuales existentes en un host Hyper-V también se puede realizar utilizando Hyper-V o Windows PowerShell. Por ejemplo, para importar una máquina virtual con Hyper-V Manager, seleccione el host de destino y haga clic en Importar máquina virtual en el panel de acciones. Esto inicia el Asistente para importación de máquinas virtuales. Como muestra la Figura 7-6, puede utilizar este asistente para realizar los diversos escenarios de importación descritos anteriormente en esta lección.
FIGURA 7-6Uso del Asistente de Máquina Virtual Importar.
Amáquinas virtuales de importación que utilizan Windows PowerShell, utilice el cmdlet Import-VM. Para obtener ayuda sobre el uso de este cmdlet, consulte los ejemplos al final del tema "Importación-VM" enhttp://technet.microsoft.com/enus/library/hh848495 . 328
Capítulo7
Virtualización Hyper-V
Configuraciónmáquinas virtuales Una vez que haya creado una máquina virtual, puede que tenga que seguir configurando su configuración de hardware y de gestión virtuales. Usted puede hacer esto ya sea por la apertura de la configuración de la máquina virtual de Hyper-V Manager o mediante Windows PowerShell. Por ejemplo, para ver o modificar la configuración de una máquina virtual mediante el Administrador de Hyper-V, haga clic en la máquina virtual y seleccione Configuración. Hacer esto muestra un cuadro de diálogo Configuración, como la que se muestra en la Figura 7-7.
FIGURA 7-7Configuración de hardware virtual para una máquina virtual.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
329
Aver la configuración de la misma máquina virtual con Windows PowerShell, puede usar el cmdlet Get-VM como se muestra aquí:
330
Capítulo7
Virtualización Hyper-V
A modificar esta configuración de la máquina virtual, puede usar el cmdlet Set-VM y otros cmdlets de Hyper-V. En las secciones que siguen, examinaremos sólo unos pocos de estos diferentes ajustes de la máquina virtual y cómo configurarlos. Para obtener información adicional sobre la configuración de la máquina virtual de ING configura-, buscar en la biblioteca de TechNet para el tema correspondiente.
Adición discos virtuales Ustedpuede utilizar el controlador IDE 0, IDE Controller 1, y páginas del controlador SCSI del cuadro de diálogo de configuración de la máquina virtual en Hyper-V Manager para agregar nuevos discos virtuales para una máquina virtual. También puede usar las subpáginas de estas páginas para inspeccionar, revisar o editar un disco duro virtual existente; eliminar un disco virtual que está conectado a la máquina virtual; o adjuntar un disco físico en el sistema de almacenamiento de la sede de la máquina virtual. Al agregar un disco virtual mediante el Asistente para nuevo disco duro virtual, usted tiene la opción de usar ya sea el formato VHD VHDX o para el nuevo disco. (El valor predeterminado es VHDX.) El nuevo Asistente de disco duro virtual también permite configurar un nombre para el nuevo disco, el tipo de disco (con ser el valor por defecto de forma dinámica en expansión), el tamaño máximo para el disco (con el valor por defecto es 127 GBs) y si el nuevo disco debe estar en blanco o contener los datos en un disco físico en el host o en un disco virtual existente, como se muestra en la Figura 7-8.
FIGURA 7-8Configuración de un nuevo disco virtual para copiar sus datos de un disco físico en el host.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
331
Usted También puede utilizar la página para agregar hardware de la caja de diálogo de configuración de la máquina virtual para agregar controladores SCSI adicionales a su máquina virtual para que pueda conectar más discos virtuales a la máquina virtual. UstedTambién puede usar Windows PowerShell para crear nuevos discos virtuales y añadirlos a sus máquinas virtuales. Por ejemplo, digamos que usted desea crear y adjuntar una de 500 GB de disco dinámicamente datos camente expansión de máquina virtual SRV-A en Host4. Usted puede comenzar con el comando Get-VHD para mostrar una lista de los discos conectados al SRV-A de la siguiente manera:
El comando anterior se aprovecha de las capacidades de tuberías de Windows PowerShell y funciona así: 1.
El comando Get-VM -VMName SRV-A devuelve un objeto que representa la máquina virtual SRV-A.
2.
La salida del comando anterior se canaliza a continuación, en el comando SelectObject VMID, que devuelve un objeto que representa el GUID SRV-A.
3.
El GUID para SRV-A se canaliza luego en el comando Get-VHD para indicar que la máquina virtual se preguntó por sus discos virtuales.
4.
La salida del comando Get-VHD se formatea luego como una lista para mostrar sólo aquellas propiedades de-saber, el interés, la ruta y el nombre del archivo de disco virtual, el formato que utiliza, el tipo de disco, y el tamaño del disco .
A continuación, puede utilizar el cmdlet New-VHD para crear el nuevo disco de datos de la siguiente manera:
A continuación, puede utilizar el cmdlet Add-VMHardDiskDrive para fijar el nuevo disco de datos a la ubicación 1 del controlador IDE 0 de la siguiente manera:
332
Capítulo7
Virtualización Hyper-V
Usteda continuación, puede usar el cmdlet Get-VHD como antes para verificar el resultado:
Como alternativa, puede usar el cmdlet Get-VMHardDiskDrive para mostrar todos los discos conectados a los controladores IDE en la máquina virtual:
Viendo la página Controlador IDE 0 y sus sub-páginas en el cuadro de diálogo Configuración para el máquina virtual también confirma que el procedimiento se ha realizado correctamente.
Adicióny configurar los adaptadores de red virtuales Usted puede utilizar la página para agregar hardware de la caja de diálogo de configuración de la máquina virtual en Hyper-V Manager para añadir nuevos adaptadores de red virtual para su máquina virtual. Se puede elegir entre dos tipos de adaptadores de red virtuales para añadir: ■
Adaptador de redOriginalmente llamado un adaptador de red sintético en la primera versión de Hyper-V, este tipo de adaptador de red virtual se basa en componentes de integración que se está instalando en la máquina virtual para garantizar un rendimiento óptimo. Los sistemas operativos como Windows Server 2008 R2 y posteriormente tienen componentes de integración incorporada en ellos. Al utilizar los sistemas operativos más antiguos para el huésped, es posible que tenga que instalar componentes de integración en la máquina virtual.
■
Legadoadaptador de redEste tipo de adaptador de red virtual emula un adaptador de diciembre 21140 10 / 100TX 100 MB Ethernet multipuerto y se proporciona principalmente por tres razones: ■
330
Capítulo7
Asistemas operativos invitados de legado de apoyo que no admiten la Virtualización Hyper-V
instalación de componentes de integración.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
331
■
A apoyar los sistemas operativos invitados que no son de Windows para que Hyper-V no proporciona componentes de integración.
■
Asoporte de red basados en las instalaciones. (Adaptadores de red heredados tienen la capacidad de arrancar a la ejecución previo al inicio de Medio Ambiente [PXE] para iniciar el proceso de instalación basada en la red.)
Una vez que el adaptador de red virtual ha sido añadido a su máquina virtual, puede configurar el adaptador al seleccionar la página correspondiente en el cuadro de diálogo de configuración de la máquina virtual como se muestra en las figuras 7-9, 7-10 y 7-11. Los valores de configuración disponibles para el tipo de adaptador de red de adaptador de red virtual son los siguientes: ■
■
■
332
VirtualinterruptorUstedpuede conectar el adaptador de red virtual a un conmutador virtual diferente en el host o incluso eliminar toda la conectividad si es necesario. Habilitar identificación LAN virtualUstedpuede permitir la identificación de VLAN y especifique un ID de VLAN para segmentar o aislar el tráfico de red para el adaptador de red virtual. Gestión de ancho de bandaEsta característica le permite especificar cuánto ancho de banda de red del adaptador de red virtual debe utilizar para las comunicaciones sobre el conmutador virtual conectado.
Capítulo7
Virtualización Hyper-V
Figura 7-9Ajustes disponibles para los adaptadores de red virtuales de configuración.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
333
■
Virtualcola de la máquina (VMQ)Esta tecnología permite que el apoyo adaptadores de red para utilizar el filtrado de paquetes de hardware para ofrecer paquetes de datos de una red de máquina virtual externa directamente a la máquina virtual. El efecto es reducir la sobrecarga de enrutamiento de paquetes y copia del sistema operativo de gestión de la máquina virtual. VMQ está activado por defecto en los nuevos adaptadores de red virtuales.
■
■
La descarga de tareas IPsecEsta tecnología permite apoyado adaptadores de red para realizar el procesamiento IPsec para reducir la carga de procesamiento en el host. La descarga de tareas IPsec está activado por defecto en los nuevos adaptadores de red virtuales. Virtualización sola raíz de E / SAdaptadores de red SR-IOV-capaces se pueden asignar directamente a una máquina virtual para maximizar el rendimiento de la red y reducir al mínimo la latencia de red y la sobrecarga de CPU requerido para el tráfico de red de procesamiento. La implementación de SR-IOV requiere firmware host, como Intel VT-d, que soporta SR-IOV y un SR-IOV con capacidad de adaptador de red y controlador instalado tanto en el sistema operativo de administración y la máquina virtual.
FIGURA 7-10Ajustes disponibles para los adaptadores de red virtuales aceleración de hardware. ■
Dirección MACUstedpuede configurar un adaptador de red virtual para obtener su dirección MAC dinámica del conjunto de direcciones MAC disponibles configuradas en el host, o puede asignar una dirección MAC estática para el adaptador.
■
334
Capítulo7
Falsificación de direcciones MACEsta característica ayuda a proteger la Virtualización Hyper-V
máquina virtual contra los intentos de utilizar ARP Spoofing para robar las direcciones IP de la máquina virtual
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
335
permitiendo que la máquina virtual para cambiar la dirección MAC de origen de los paquetes salientes a una dirección que no está asignado a la misma. ■
Guardia de DHCPEsta característica ayuda a proteger la máquina virtual contra Dynamic Host Configuration Protocol (DHCP) man-in-the-middle ataques de dejar caer los mensajes del servidor DHCP de las máquinas virtuales no autorizadas que fingen ser servidores DHCP.
■
Guardia RouterEsta característica ayuda a proteger la máquina virtual contra los intentos de utilizar ARP Spoofing para robar las direcciones IP de la máquina virtual al permitir que la máquina virtual para cambiar la dirección MAC de origen de los paquetes salientes a una dirección que no está asignado a ellos.
■
La duplicación de puertos Esta característica ayuda a proteger la máquina virtual contra routers no autorizadas por la caída anuncio de enrutador y mensajes de redirección de las máquinas virtuales no autorizadas pretendiendo ser routers.
■
NIC TeamingTambién conocido como el balanceo de carga y conmutación por error (LBFO), esta característica permite varios adaptadores de red virtual para configurarse como un equipo con el propósito de agregación de ancho de banda o para asegurar la conmutación por error del tráfico con el fin de evitar la pérdida de conectividad en el caso de fallo de una red componente. La agrupación de NIC se apoya tanto a nivel de host y huéspedes en Windows Server 2012, y se puede configurar en el invitado si los adaptadores de red físicos del anfitrión no lo soportan.
FIGURA 7-11Ajustes adicionales de configuración disponibles para los adaptadores de red virtuales.
336
Capítulo7
Virtualización Hyper-V
`
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
337
UstedTambién puede usar Windows PowerShell para ver, añadir, eliminar y configurar los adaptadores de red virtuales tanto del tipo de adaptador de red y la red legado tipo de adaptador. Por ejemplo, digamos que usted desea agregar un segundo adaptador de red virtual a una máquina virtual, conéctelo a un conmutador virtual en el host, y permitir que tanto DHCP Guardia y Router Guardia en el adaptador. Para hacer esto, usted podría comenzar con el cmdlet Get-VMNetworkAdapter para mostrar una lista de adaptadores de red virtuales instalados en la máquina virtual:
A continuación, puede utilizar el complemento VMNetworkAdapter para crear el nuevo adaptador y conéctelo al conmutador virtual deseada:
Usteda continuación, puede utilizar el Get-VMNetworkAdapter de nuevo para comprobar el resultado:
Usted puede canalizar la salida del comando anterior en el cmdlet Format-List para determinar si DHCP Guardia y Router Guardia ya están habilitadas en el adaptador:
Ahora usa el Set-VMNetworkAdapter habilitar ambas características en el adaptador:
Correr Get-VMNetworkAdapter verifica nuevamente el resultado:
338
Capítulo7
Virtualización Hyper-V
Configuración de otros ajustes de hardware Algunas de las otras configuraciones de hardware virtual es posible que desee configurar incluyen la siguiente: ■
Ajustes para la BIOS ejemplo, para modificar el orden de los dispositivos de arranque o se encienden Num Lock
■
Memoria ajustes, por ejemplo, si usted quiere cambiar la cantidad de RAM de inicio o habilitar la memoria dinámica en la máquina virtual
■
Ajustes de Procesador ejemplo, para configurar el número de procesadores virtuales que utiliza la máquina virtual, permiten la compatibilidad del procesador para permitir migraciones en vivo a los hosts que tienen una arquitectura diferente procesador, o configurar la topología NUMA en un host-NUMA capaces
Estos ajustes y otros pueden ser configurados utilizando Hyper-V o Windows PowerShell, y usted puede buscar en la biblioteca de TechNet para obtener más información acerca de lo que hacen y cómo configurarlos.
Configuración de administración de máquinas virtuales Además de configurar el hardware virtual para una máquina virtual nueva, éstos también deberá configurar algunos de los ajustes de gestión. Al igual que con el hardware virtual, usted puede hacer esto, ya sea mediante la apertura de la configuración de la máquina virtual de Hyper-V, como se muestra en la Figura 7-12, o mediante el uso de Windows PowerShell.
FIGURA 7-12Configuración de los ajustes de gestión para una máquina virtual.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
339
Los ajustes de gestión que se pueden configurar para una máquina virtual son los siguientes: ■
NombreSi desea, puede cambiar el nombre de la máquina virtual como se muestra en Hyper-V Manager y se utiliza con los cmdlets de Windows PowerShell. Cambiar el nombre de la máquina virtual no cambia los nombres de los archivos de configuración de la máquina virtual y archivos de disco duro virtual, sin embargo.
■
Servicios de IntegraciónPor defecto, todos los servicios de integración se ofrecen a la máquina virtual. Sin embargo, si es necesario, puede deshabilitar todos o algunos de estos servicios -por ejemplo, si el sistema operativo invitado no admite algunos de ellos.
■
Archivos de instantáneas de ubicaciónDe forma predeterminada, los archivos de instantánea se almacenan en subcarpetas de la ubicación predeterminada donde se almacenan los archivos de configuración de la máquina virtual. Si suele realizar instantáneas y se están quedando sin espacio de almacenamiento en el dispositivo de almacenamiento de host, es posible que desee cambiar la ubicación de los archivos de instantánea a un dispositivo de almacenamiento diferente.
■
■
InteligenteMegafoníaEsta nueva característica de Windows Server 2012 HyperV permite a una máquina virtual que se está reiniciado para utilizar temporalmente los recursos de disco en el host como una fuente para cualquier memoria adicional necesaria para reiniciar con éxito la máquina virtual. Luego, una vez que la máquina virtual se ha reiniciado y sus requisitos de memoria han disminuido, inteligente Paging libera los recursos de disco utilizados anteriormente debido al rendimiento golpean que tal uso puede crear. Paging inteligente sólo se utiliza cuando se reinicia una máquina virtual y no hay memoria física libre en el host y ninguna memoria se puede reclamar de otras máquinas virtuales que se ejecutan. Paging inteligente no se utiliza si simplemente tratar de iniciar una máquina virtual que está en un estado de detención, o si una máquina virtual está fallando más de un clúster. Acción automática inicioEste ajuste le permite especificar lo que la máquina virtual debe hacer cuando se inicia el equipo host para arriba. Las opciones que se pueden elegir son para iniciar automáticamente la máquina virtual si se estaba ejecutando cuando el servicio de VMM en el host parado (por defecto), para iniciar siempre la máquina virtual de forma automática, o no hacer nada. También puede especificar un retardo de arranque en segundos para reducir el contenido de recursos entre diferentes máquinas virtuales a partir arriba en el host.
■
Acción automática paradaEste ajuste le permite especificar lo que la máquina virtual debe hacer cuando el ordenador central se apaga. Las opciones que se pueden elegir son para guardar el estado de la máquina virtual (por defecto), apagar la máquina virtual, o apagar el sistema operativo invitado.
UstedTambién puede utilizar Set-VM cmdlet de Windows PowerShell para configurar los ajustes de gestión de máquinas virtuales anteriores. Por ejemplo, para cambiar el nombre de la máquina virtual SRV-A en Host4 a SQL de carga de trabajo, se utiliza este comando: 340
Capítulo7
Virtualización Hyper-V
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
341
Resumen de la lección ■
Las consideraciones clave al planificar el despliegue de máquinas virtuales incluyen la ubicación de los archivos de configuración, la memoria de arranque, la memoria dinámica, redes virtuales, discos duros virtuales, de despliegue del sistema operativo invitado y instantáneas escénicas.
■
Los diferentes tipos de discos virtuales tienen ventajas o desventajas que los hacen adecuados para diferentes escenarios.
■
Las instantáneas deben por lo general no pueden utilizar en entornos de producción.
■
Las nuevas máquinas virtuales pueden ser creados y configurados mediante el Administrador de Hyper-V complemento o Windows PowerShell.
■
Nuevos discos virtuales se pueden crear y asociadas a máquinas virtuales utilizando la tecnología Hyper-V complemento o Windows PowerShell.
■
Nuevos adaptadores de red virtuales se pueden crear y configurar las máquinas virtuales utilizando Hyper-V complemento o Windows PowerShell.
■
Adaptadores de red virtual de Hyper-V en Windows Server 2012 tienen muchas características avanzadas que pueden proporcionar seguridad, ancho de banda de control, reducir la sobrecarga del procesador, y proporcionar otros beneficios.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no es cierto en relación con los adaptadores de red virtuales? A.
Cada máquina virtual puede tener hasta 12 adaptadores de red virtuales instalados en ella.
B.
Cada adaptador de red virtual puede configurarse con una dirección de MAC estática o una dirección MAC dinámica.
C.
Cada red virtual se puede asignar un canal de VLAN único.
D. Interruptores virtuales en un host Hyper-V se pueden conectar a un adaptador de
red inalámbrica en el sistema host. 2.
342
¿Por qué los discos de acceso directo ya no se recomienda para las máquinas virtuales Hyper-V? (Elija todas las que correspondan.) A.
De Transmisión de discos ya no se fabrican y, por lo tanto, son difíciles para obtener hoy en día.
B.
Las pruebas han demostrado que los discos duros virtuales de tamaño fijo
Capítulo7
Virtualización Hyper-V
realizan casi tan bien como discos de acceso directo al tiempo que proporciona los beneficios de flexibilidad de los discos duros virtuales.
Lección 2: Implementación y configuración de máquinas virtuales
Capítulo 7
343
C.
Las pruebas han demostrado que los discos duros virtuales de expansión dinámica realizan casi tan bien como discos de acceso directo al tiempo que proporciona los beneficios de flexibilidad de los discos duros virtuales.
D. Configuración de una máquina virtual para utilizar un disco de paso es una tarea
compleja podría introducir errores. 3.
Aunque funciona instantáneas no se recomienda en entornos de producción, se utilizan a veces. ¿Cuál de las siguientes acciones instantáneas debe nunca hacer? (Elija todas las que correspondan.) A.
Instantáneas escénicas en controladores de dominio virtualizados
B.
Realización de instantáneas en una máquina virtual justo antes de aplicar una actualización de software crítico para el sistema operativo invitado
C.
Instantáneas escénicas en las cargas de trabajo virtualizadas que utilizan datos distribuidos a través de múltiples bases de datos
D. Restauración de las instantáneas más de 30 días en las máquinas virtuales unidos
a un dominio 4.
Usted desee habilitar Guardia DHCP en un adaptador de red virtual en la máquina virtual SRV-B se ejecuta en Host4 anfitrión. Para ello, ejecute el siguiente comando:
Desafortunadamente, ejecutar este comando devuelve el siguiente error:
¿Cuál es la razón de este error? A.
El adaptador de red virtual no admite Guardia DHCP.
B.
Ustedse olvidó de incluir la-VMNetworkAdapterparámetro en el comando para especificar qué virtual de adaptador de red que desea configurar en la máquina virtual.
C.
Usteddebería haber especificado -DhcpGuard bien en lugar de -DhcpGuard: $ true en su comando.
D. Usteddebería haber especificado -DhcpGuard 1 en lugar de -DhcpGuard: $
true en su comando.
344
Capítulo7
Virtualización Hyper-V
Lección 3: Administración de máquinas virtuales Una vez que haya implementado las máquinas virtuales en los hosts de Hyper-V en su entorno, lo que necesita para gestionar y mantener esas máquinas virtuales. Esta lección se centra en algunas tareas de gestión de claves que puede realizar usando herramientas integradas en Windows Server 2012, como optimización de consolidación de carga de trabajo, la optimización de rendimiento de la red, optimización de discos virtuales, la gestión de las instantáneas, y el seguimiento de las máquinas virtuales.
Optimizar la consolidación de carga de trabajo en Hyper-V hosts mediante la configuración dinámica Memoria sobre las máquinas virtuales.
Optimizar los discos duros virtuales mediante la compactación, la conversión, la ampliación o reducción según sea necesario. Administrar instantáneas utilizando el Hyper-V complemento Administrador o Windows PowerShell. Monitorear las máquinas virtuales utilizando el Hyper-V complemento Administrador o Windows PowerShell.
Optimización consolidación de carga de trabajo Una de las principales ventajas de la virtualización de servidores es que permite a las empresas a utilizar mejor sus recursos de hardware. Por ejemplo, en un entorno tradicional (no virtualizados), usted podría tener una docena de servidores a su ubicación de la oficina cabeza con cada servidor realizando alguna función especializada, como servidor de archivos, servidor de impresión, servidor de base de datos, servidor DHCP, y así sucesivamente. Muchas de estas funciones de servidor puede incurrir en baja sobrecarga de procesamiento promedio, y esto significa que la mayor parte del hardware del sistema en su sala de servidores podrían estar infrautilizados significativamente. Por ejemplo, un servidor DHCP dedicado podría tener un uso medio de la CPU de menos de 10 por ciento. Al virtualizar las cargas de trabajo de servidor, sin embargo, es posible que pueda consolidar la mayoría o incluso la totalidad de sus servidores físicos existentes como las máquinas virtuales que se ejecutan en un solo de dos modo de clúster de conmutación por error de Hyper-V hosts. Esto reduce el número de servidores físicos en su entorno de una docena a sólo dos, que no sólo simplifica la infraestructura física, sino también podría dar lugar a un ahorro significativo de costes debido a los requisitos de energía reducidos. Mediante el uso de la conversión P2V utilizando las herramientas disponibles en System Center Virtual Machine Manager o un producto de otro fabricante, ahora tiene una docena Lección 3: Administración de máquinas virtuales Capítulo 7
339
de cargas de trabajo de servidores virtualizados para administrar en lugar de una docena de sistemas físicos. Y analizando cuidadosamente el procesador y la memoria los requisitos de los servidores originales, se puede elegir el hardware del sistema apropiado para su dos
340
Capítulo7
Virtualización Hyper-V
Hyper-V acoge a asegurar que tengan suficientes recursos de procesamiento y memoria para ejecutar todas estas máquinas virtuales con un rendimiento óptimo. Esto lleva a la pregunta de cuántas máquinas virtuales uno puede ejecutar en un host de Hyper-V. Esta cuestión se discutió previamente en la Lección 1 en una readeraid Mundo Real titulado "Planificación del procesador principal y la memoria" para demostrar una forma sencilla de determinar cómo un host pueden ejecutar varias máquinas virtuales si cada máquina virtual se asigna una cantidad fija de memoria física del host. Pero en el mundo real, los requisitos de memoria de un servidor (ya sea físico o virtual) puede variar significativamente con el tiempo en función de la carga efectuados por clientes que acceden al sistema operativo y las aplicaciones que se ejecutan en el servidor. Mediante el ajuste de la memoria asignada a cada máquina virtual en un host para que la máquina virtual tiene suficiente memoria para realizar de manera óptima, es posible que pueda aumentar significativamente el número de máquinas virtuales que se pueden ejecutar simultáneamente en el host. El logro de tasas de consolidación de máquinas virtuales más altas a través de este enfoque puede resultar en un ahorro de costes al eliminar la necesidad de costosas actualizaciones de memoria o las compras más costosas de los sistemas host adicionales. Esta capacidad es lo que la memoria dinámica se trata. Memoria dinámica se introdujo primero para Hyper-V en Windows Server 2008 R2 como una forma de permitir a Hyper-V hosts para hacer un uso más eficaz de la memoria física asignada a las máquinas virtuales que se ejecutan en el host. Memoria dinámica funciona ajustando la cantidad de memoria disponible para una máquina virtual en tiempo real. Estos ajustes en la asignación de memoria se basan en la cantidad de memoria las necesidades de la máquina virtual y de cómo la configuración de memoria dinámica se han configurado para la máquina virtual. Aunque puede proporcionar algún beneficio al virtualizar cargas de trabajo de servidor, la memoria dinámica es especialmente valioso para la infraestructura de escritorio virtual (VDI) escenarios, en los que puede proporcionar escalabilidad y rendimiento beneficios que pueden resultar en ahorros significativos. Esto se debe a que en un momento dado en un entorno VDI, algunas de las máquinas virtuales mar- cha en el host tienden ya sea para estar inactivo o tener una carga relativamente baja. Mediante el uso dinámico La memoria, sin embargo, usted puede consolidar un mayor número de máquinas virtuales en los hosts de Hyper-V. Esto significa que usted tendrá menos hosts para el aprovisionamiento de escritorios virtuales a su población de usuarios, lo que significa que no tendrá que adquirir hardware de servidor de gama alta tanto y por lo tanto puede ahorrar dinero.
Configuración de la memoria dinámica Como se muestra en la Figura 7-13, puede utilizar la página de la memoria de la caja de diálogo de configuración de la máquina virtual en Hyper-V Manager para activar y configurar la memoria dinámica para una máquina virtual. Memoria dinámica puede ser activado y configurado sólo sobre una base de máquina-per virtual. Una vez que se habilita para una máquina virtual, las opciones que puede configurar Lección 3: Administración de máquinas virtuales Capítulo 7
341
para memoria dinámica se incluyen las siguientes: ■
■
342
Capítulo7
RAM mínima Esta configuración especifica la cantidad mínima de memoria que el máquina virtual puede utilizar mientras se está ejecutando. RAM máxima Esta configuración especifica la cantidad máxima de memoria que el máquina virtual puede utilizar.
Virtualización Hyper-V
■
Búfer de memoriaEsta configuración especifica la cantidad de memoria (como porcentaje de la cantidad que la máquina virtual realmente necesita para llevar a cabo su carga de trabajo) que se puede asignar a la máquina virtual cuando hay suficiente memoria disponible en el host.
■
MemoriapesoEste valor es un parámetro que determina cómo se asigna la memoria disponible en el host entre las diferentes máquinas virtuales que se ejecutan en el host.
FIGURA 7-13Configuración de la memoria dinámica para una máquina virtual.
Lección 3: Administración de máquinas virtuales Capítulo 7
341
El ajuste RAM mínima es nuevo en Windows Server 2012 Hyper-V, y se introdujo porque Windows generalmente necesita más memoria al arrancar de lo que hace cuando está en reposo y en funcionamiento. Como resultado de este cambio, ahora se puede especificar la suficiente memoria RAM de inicio para que la máquina virtual para empezar rápidamente y luego, en menor cantidad de memoria (RAM mínimo) para cuando la máquina virtual está en ejecución. De esa manera, una máquina virtual puede conseguir un poco de memoria extra para que se pueda iniciar correctamente, y luego una vez empezada, Windows reclama la memoria que no sean necesarios para que otras máquinas virtuales en el host pueden utilizar la memoria recuperada si es necesario. Otro cambio en la forma en que la memoria dinámica se puede configurar en Windows Server 2012 es que ahora se puede modificar la configuración de memoria RAM máxima y mínima de RAM, mientras que la máquina virtual está en ejecución. En Windows Server 2008 R2, la configuración máxima de RAM podría modificarse sólo cuando la máquina virtual estaba en un estado detenido. Este cambio le da una nueva forma de aprovisionar rápidamente más memoria a una máquina virtual crítica cuando sea necesario. Usted También puede usar el cmdlet Set-VM para activar y configurar la memoria dinámica para un máquina virtual con Windows PowerShell. Por ejemplo, digamos que usted quiere permitir que la memoria dinámica para una máquina virtual denominado SRV-B que se ejecuta en Host4 y configurar la memoria RAM máxima de hasta 4 GB. Para ello, primero se tiene que parar la máquina virtual porque no se puede activar o desactivar la memoria dinámica mientras la máquina virtual está en ejecución. Puede usar el cmdlet Stop-VM para hacer esto de la siguiente manera: A continuación, puede usar el cmdlet Set-VM para permitir la memoria dinámica de la máquina virtual y configurar la memoria RAM máxima de 4 GB de la siguiente manera:
Ahora usted puede utilizar Start-VM para reiniciar la máquina virtual detenido:
Por último, puede utilizar Get-VM para verificar el resultado:
Ahora vamos a decir que más adelante decide que 3 GB sería un mejor valor para el máximo de memoria RAM de 4 GB. Al utilizar el parámetro -PassThru, que especifica que un objeto es ser pasado a través de la tubería, se puede hacer el cambio y compruebe el resultado usando un solo sistema de Windows PowerShell de la siguiente manera:
342
Capítulo7
Virtualización Hyper-V
Lección 3: Administración de máquinas virtuales Capítulo 7
343
MÁS INFORMACIÓNUSANDO EL-PASAR A TRAVÉS DEPARÁMETROS
Configuración de la memoria de acogida reservada Aunque la memoria dinámica puede ayudarle a consolidar más cargas de trabajo virtualizadas en un host, es importante que el propio anfitrión tiene suficiente memoria. Si el host no tiene suficiente memoria, el sistema operativo de administración podría colgar o accidente, lo que resulta en todas las máquinas virtuales de ser detenido de forma inesperada, con una posible pérdida de datos que se producen. A evitar que esto suceda, Hyper-V se reserva automáticamente algunos de la memoria física del host para el sistema operativo de administración. Con Hyper-V en Windows Server 2008 R2 SP1, también se puede especificar manualmente la cantidad de memoria debe ser reservada para el host mediante el Editor del Registro para crear un valor de registro REG_DWORD denominado MemoryReserve en la siguiente ubicación: HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ virtualización MemoryReserve podría ser utilizado para especificar la cantidad de memoria física en MB que deben ser reservados para la partición de los padres, con 2 GB (2048 MBs) siendo el valor recomendado. El anfitrión tuvo que ser reiniciado para que los cambios surtan efecto. Con Hyper-V en Windows Server 2012, sin embargo, el sistema operativo de administración en el host ahora se reserva más memoria que en versiones anteriores de Hyper-V para garantizar una mayor fiabilidad y capacidad de respuesta. Además, configurar manualmente el valor de Mi- REG MemoryReserve como acabo de describir puede tener resultados no deseados en algunas circunstancias. Por ejemplo, puede ocurrir que una combinación de la actividad de gestión, procesos en segundo plano, tareas programadas, y otras actividades de la causa anfitrión uso de la memoria por el sistema operativo de gestión aumente temporalmente por encima del valor que ha configurado manualmente utilizando el valor del registro MemoryReserve. Si esto ocurre, el sistema operativo de administración podría colgar o accidente, lo que resulta en la interrupción del servicio y la posible pérdida de datos. Como resultado, Microsoft ya no recomienda configurar manualmente el valor del Registro MemoryReserve. En su lugar, debe permitirse Hyper-V para asegurar suficiente memoria siempre está reservado para el huésped.
Optimización rendimiento de la red Buen rendimiento de la red también es importante entre las cargas de trabajo virtualizadas y clientes acceder a ellos. Windows Server 2012 funciones de redes se ha descrito anteriormente en la sección titulada "Cómo agregar y configurar los adaptadores de red virtuales" en la Lección 2. Las siguientes secciones describen cuáles de estas características puede ayudar a optimizar el rendimiento de la red para máquinas virtuales. 344
Capítulo7
Virtualización Hyper-V
Configuración de la gestión de ancho de banda Usted puede usar la página principal de un adaptador de red virtual en el cuadro de diálogo de configuración de la máquina virtual para activar y configurar la gestión de ancho de banda para el adaptador. Gestión de ancho de banda, también conocida como la calidad de Hyper-V de servicio (QoS Hyper-V), es una nueva característica de Windows Server 2012 que le permite garantizar niveles de tráfico de red para los adaptadores de red virtuales y conmutadores virtuales. En la versión anterior de Hyper-V, puede configurar sólo el ancho de banda máximo permitido para un adaptador de red virtual. Nuevo en Windows Server 2012 Hyper-V es la capacidad de configurar también un ancho de banda mínimo para un adaptador de red virtual, como se muestra en la figura 7-14.
FIGURA 7-14 Configuración de máximo y mínimo ancho de banda para un adaptador de red virtual.
Usted También puede usar el cmdlet Set-VMNetworkAdapter para configurar el ancho de banda configuración de administración para un adaptador de red virtual mediante Windows PowerShell. La Set-VMNetworkAdapter cmdlet permite especificar el ancho de banda máximo y el mínimo, ya sea en Mbps o en términos de un peso relativo entre 0 y 100. Usted puede utilizar este último enfoque para controlar la cantidad de ancho de banda del adaptador de red virtual puede haber comparación con otros adaptadores de red virtuales conectados al mismo conmutador virtual. Por ejemplo, el siguiente comando se puede utilizar para implementar el intercambio justo de ancho de banda, en la que cada adaptador de red virtual para las máquinas virtuales especificadas se asigna el mismo peso mínimo de ancho de banda: Lección 3: Administración de máquinas virtuales Capítulo 7
345
346
Capítulo7
Virtualización Hyper-V
Usted También puede configurar un ancho de banda mínimo (ya sea absoluta o relativa) para un conmutador virtual mediante el cmdlet Set-VMSwitch. También puede hacer esto al crear un nuevo conmutador virtual utilizando el cmdlet New-VMSwitch. No se puede configurar este ajuste mediante el Administrador de Hyper-V. MÁS INFORMACIÓNDOS TIPOS DE QOS
Otras optimizaciones Otras optimizaciones de rendimiento de la red, como el SR-IOV y VMQ, también están disponibles en Windows Server 2012 Hyper-V, pero requieren hardware especializado, como se ha descrito anteriormente en la sección titulada "Cómo agregar y configurar los adaptadores de red virtuales" en la Lección 2. Estos ad- optimizaciones condicionales se pueden configurar en la subpágina aceleración de hardware para un adaptador de red en el cuadro de diálogo de configuración de la máquina virtual o mediante cmdlets de Windows PowerShell.
Optimización discos virtuales Aunque ambos de tamaño fijo y ampliar los discos duros virtuales de forma dinámica se soportan en entornos de producción, Microsoft sigue recomendando en Windows Server 2012 Hyper-V que continúa utilizando los discos duros virtuales de tamaño fijo para asegurar que las cargas de trabajo virtualizadas en sus anfitriones de producción no se ejecutan sin espacio de almacenamiento. Debido a que los discos de expansión dinámica pueden crecer de forma automática a través del tiempo ya que los datos se escriben en ellos, pero no reducir automáticamente cuando los datos se elimina de ellos, es posible que desee reducir este tipo de discos para recuperar espacio de almacenamiento no utilizado en el host para que pueda asignar el espacio recuperado a otras máquinas virtuales. Y debido a que los discos de tamaño fijo puede llenar con el tiempo, puede que tenga que ampliar esos discos para hacer más espacio para que el sistema operativo invitado y las aplicaciones pueden seguir para realizar de manera óptima. Hyper-V le permite realizar diferentes tipos de acciones en los discos duros virtuales para ayudar a mantener u optimizar su rendimiento: ■
Compactación discos virtualesEsta acción recupera espacio en disco vacío y reduce el tamaño del disco duro virtual. Dicho espacio de disco vacío se queda atrás cuando se borran los archivos en el disco. Usted debe desfragmentar el sistema operativo invitado antes de compactar el disco. Ambos discos de expansión dinámica y de diferenciación pueden ser compactados; discos de tamaño fijo no pueden ser compactados.
■
La conversión de discos virtualesEsta acción se puede utilizar para Lección 3: Administración de máquinas virtuales Capítulo 7
347
convertir entre diferentes formatos de disco duros virtuales (VHD y VHDX), entre los diferentes tipos virtuales de disco duro (en expansión dinámica y de tamaño fijo), o ambos. Durante el proceso de conversión, todos los datos se mantiene y el sistema operativo invitado no se cambia. No se puede convertir de forma dinámica expansión o de tamaño fijo discos hacia o desde los discos de diferenciación.
348
Capítulo7
Virtualización Hyper-V
■
Ampliando discos virtualesEsta acción se puede utilizar para ampliar el tamaño de un disco duro virtual existente en lugar de crear un nuevo disco y migrar manualmente los datos. Puede ampliar todos los tipos de discos duros virtuales siempre que disponga de espacio de almacenamiento gratuito en el host.
■
La disminución de los discos virtualesEste acción no es nueva en Windows Server 2012 Hyper-V y se puede utilizar para reducir la capacidad de almacenamiento de un disco duro virtual. Usted puede reducir todos los tipos de discos duros virtuales siempre que haya liberado primero espacio en ellos.
También hay dos acciones que puede realizar sólo en discos de diferenciación: ■
La fusión de discos de diferenciaciónEsta acción se puede utilizar para combinar los cambios almacenados en un disco de diferenciación con los contenidos de su disco primario. Usted puede hacer esto ya sea copiando el contenido del disco principal y diferenciación de disco en un nuevo disco duro virtual, dejando a los dos discos de origen intacto, o mediante la aplicación de los cambios contenidos en el disco de diferenciación en el disco de los padres.
■
Volver a conectar discos de diferenciaciónEsta acción sólo está disponible cuando se selecciona un disco de diferenciación y el disco de los padres no puede ser localizado. Si los discos implicados pertenecen a una cadena de discos de diferenciación, esta acción sólo está disponible si ninguno de los discos de la cadena se puede encontrar.
Lección 3: Administración de máquinas virtuales Capítulo 7
349
Con el Administrador de Hyper-V Usted puede utilizar Hyper-V para compactar, convertir, ampliar, reducir, fusionar y realizar otras acciones en los discos duros virtuales. Las acciones que están disponibles para llevar a cabo dependerá del tipo de disco virtual que está seleccionando. Para realizar cualquiera de estas acciones, haga clic en Editar disco en el panel Acciones para iniciar el Asistente de disco duro virtual en Editar. Luego, después de la navegación para seleccionar el disco que desea editar, puede elegir la acción que desea realizar en el disco, como se muestra en la Figura 7-15.
FIGURA 7-15Edición de un disco duro virtual con el Administrador de Hyper-V.
El uso de Windows PowerShell UstedTambién puede usar Windows PowerShell para compactar, convertir, ampliar, reducir, fusionar y realizar otras acciones en los discos duros virtuales. Por ejemplo, puede usar el cmdlet Optimizar-VHD para compactar un disco virtual, el cmdlet Redimensionar-VHD para ampliar o reducir el tamaño del disco virtual, o el cmdlet Convert-VHD para cambiar la versión de formato o tipo de un disco virtual. Para obtener ayuda con cualquiera de estos cmdlets, utilice el cmdlet Get-Help.
350
Capítulo7
Virtualización Hyper-V
Gerente instantáneas Como se ha descrito anteriormente en este capítulo, que realizan instantáneas en las máquinas virtuales no se recomienda en entornos de producción. Las instantáneas se utilizan comúnmente en entornos de prueba y desarrollo, sin embargo, por lo que es importante ser capaz de gestionar de manera adecuada. Hyper-V le permite realizar los siguientes tipos de acciones relativas a las instantáneas de máquinas virtuales: ■
Realización de instantáneasUstedpuede realizar instantáneas en una máquina virtual para crear imágenes de punto en el tiempo de la máquina virtual que se puede volver más tarde si es necesario. Las instantáneas se pueden realizar tanto en funcionamiento y se detuvieron las máquinas virtuales y con cualquier sistema operativo huésped instalado. No hay interrupción de la ejecución de máquinas virtuales instantáneas cuando se llevan a cabo en ellos.
■
La aplicación de instantáneasEsta acción copia el estado de la máquina virtual a partir de la instantánea seleccionada a la máquina virtual. Como resultado, se perderán los datos no guardados en la máquina virtual. Si la instantánea se realizó originalmente cuando la máquina virtual estaba en funcionamiento, la máquina virtual estará en un estado guardado después de la instantánea se ha recorrían AP. Si la instantánea se realizó originalmente cuando se detuvo la máquina virtual, la máquina virtual estará en un estado detenido después de aplicar la instantánea.
■
■
Volviendo máquinas virtualesEsta acción se lleva a la máquina virtual de nuevo a la última instantánea que fue tomada o aplicada, que se indica en el panel Instantáneas de Hyper-V por una cabeza de flecha verde con la palabra "ahora" al lado de él, como se muestra en la Figura 7-16. La acción también eliminará todos los cambios que se han hecho a la máquina virtual desde que se realizó esa instantánea. Eliminación de instantáneasEsta acción elimina los archivos asociados con la instantánea. Como resultado, usted ya no será capaz de restaurar la máquina virtual hasta el punto en el tiempo representado por la instantánea eliminado.
■
■
Eliminación de un árbol de instantáneasEsta acción elimina las instantáneas seleccionadas y también las instantáneas por debajo de ella en la jerarquía de las instantáneas de la máquina virtual. ExportadorinstantáneasEsta acción exporta la instantánea seleccionada como una máquina virtual separada e independiente, que luego pueden ser importados a otro host de Hyper-V, si se desea.
Lección 3: Administración de máquinas virtuales Capítulo 7
351
FIGURA 7-16La aplicación de una instantánea de una máquina virtual.
352
Capítulo7
Virtualización Hyper-V
Con el Administrador de Hyper-V Usted puede utilizar Hyper-V Manager para realizar, aplicar, eliminar, revertir, o instantáneas de exportación de máquinas virtuales. Para realizar una instantánea o revertir una máquina virtual, haga clic en la máquina virtual correspondiente en el panel de Máquinas Virtuales de Hyper-V, como se muestra en la Figura 7-17. Para aplicar, exportar, cambiar el nombre o eliminar un árbol snapshot o instantánea, haga clic en la instantánea correspondiente en el panel de instantáneas como se muestra en la Figura 7-16 antes.
FIGURA 7-17Realizar una instantánea en una máquina virtual.
El uso de Windows PowerShell UstedTambién puede usar Windows PowerShell para realizar, aplicar, cambiar el nombre, exportar o eliminar instantáneas y para revertir las máquinas virtuales. Por ejemplo, puede usar el cmdlet Checkpoint-VM para realizar una instantánea en una máquina virtual, el cmdlet Get-VMSnapshot para mostrar una lista de instantáneas de una máquina virtual, el cmdlet RemoveVMSnapshot para borrar una instantánea o Snap árbol de tiro, y así sucesivamente. Por ejemplo, he aquí algo de salida se ejecute Get-VMSnapshot para una máquina virtual en el que se está probando una actualización de software crítico:
Lección 3: Administración de máquinas virtuales Capítulo 7
353
Monitoreo máquinas virtuales Aunque las mejores herramientas para el monitoreo de las máquinas virtuales que se ejecutan en Hyper-V anfitriones son los de la familia de productos System Center, puede controlar ciertos aspectos de las máquinas virtuales utilizando Hyper-V o Windows PowerShell. Por ejemplo, la Figura 7-18 muestra el panel central tom parte inferior en Hyper-V cuando se selecciona una máquina virtual denominado SRV-B en el centro superior del panel de máquinas virtuales. Al seleccionar la ficha Memoria en este panel, puede ver los valores actuales de la memoria y de la memoria de la demanda asignada para máquinas virtuales en el que la memoria dinámica se ha habilitado.
FIGURA 7-18Visualización de la memoria dinámica en tiempo real para una máquina
virtual.
Usted También puede supervisar las máquinas virtuales mediante el uso de la medición de los recursos, una nueva función de Hyper-V en Windows Server 2012 que le permite utilizar PowerShell para recopilar e informar sobre el uso de recursos histórico de las siguientes mediciones: ■
Promedio de uso de CPU por una máquina virtual
■
Promedio de uso de memoria física por una máquina virtual
■
Uso mínimo de memoria física por una máquina virtual
■
Uso máximo de memoria física de una máquina virtual
■
Cantidad máxima de espacio de disco asignado a una máquina virtual
■
El tráfico total de la red de entrada para un adaptador de red virtual
■
El tráfico total de la red de salida para un adaptador de red virtual
Además, estas cifras se pueden recoger de una manera coherente, incluso cuando las máquinas virtuales se mueven entre los hosts utilizando la migración en vivo o cuando se mueve su almacenamiento mediante la migración de almacenamiento. Las organizaciones que utilizan la tecnología Hyper-V para construir soluciones de cloud computing también pueden usar la medición de los recursos para fines tales como el seguimiento de cuántos recursos unidades de negocio o clientes están consumiendo con el fin de cobrar por su uso de estos recursos. Por ejemplo, puede usar el cmdlet Enable-VMResourceMetering para permitir la medición de los recursos en una máquina virtual de la siguiente manera:
Use el cmdlet Get-VM para verificar el resultado: 350
Capítulo7
Virtualización Hyper-V
Lección 3: Administración de máquinas virtuales Capítulo 7
351
Ustedahora puede usar el cmdlet Medida-VM para mostrar el uso de recursos en tiempo real por la máquina virtual:
Para obtener más información sobre el uso de estos cmdlets, utilice el cmdlet Get-Help.
Resumen de la lección ■
Memoria dinámica se puede utilizar para lograr tasas de consolidación de máquinas virtuales más altos sobre los hosts de Hyper-V.
■
Editar el registro para configurar manualmente la memoria host-reservado en Hyper-V ejércitos es No se recomienda en Windows Server 2012.
■
Hyper-V QoS se puede configurar en ambos adaptadores de red virtuales y conmutadores virtuales para garantizar el ancho de banda mínimo para el adaptador o el interruptor de puerto.
■
Los discos duros virtuales se pueden optimizar mediante la compactación, la ampliación, la reducción, o convertirlos. Los diferentes tipos de discos virtuales soportan diferentes tipos de optimizaciones.
■
Ustedpuede utilizar la tecnología Hyper-V complemento o Windows PowerShell para realizar, aplicar, eliminar o instantáneas de exportación, o para revertir una máquina virtual.
■
Ustedpuede utilizar la medición de recursos para supervisar el uso de recursos por parte de una máquina virtual con Windows PowerShell.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Ustedtener tres máquinas virtuales que se ejecutan en un host de Hyper-V que tiene 16 GB de memoria física. El sistema operativo huésped instalado en las tres máquinas virtuales es Windows Server 2008 R2, y ninguna de las máquinas virtuales es un servidor de archivos. Memoria dinámica está habilitada en las tres máquinas y se configura de la siguiente manera: ■
VM-1tiene 1 GB de RAM como mínimo, 4 GB de RAM máxima, y 20 por ciento búfer de memoria.
■
352
VM-2 tiene 2 GB de RAM como mínimo, 8 GB de memoria RAM máxima, y el
Capítulo7
Virtualización Hyper-V
30 por ciento de búfer de memoria. ■
VM-1tiene 1 GB de RAM como mínimo, 6 GB de RAM máximo, y 100 por ciento búfer de memoria.
Lección 3: Administración de máquinas virtuales Capítulo 7
351
Con el tiempo, usted encuentra que el rendimiento de VM-1 y VM-2 se está convirtiendo lenta. ¿Por qué? A.
La memoria RAM mínimo asignado a VM-1 es probablemente demasiado bajo.
B.
La memoria RAM máximo asignado a VM-2 es probablemente demasiado alto.
C.
El búfer de memoria para ambos VM-1 y VM-2 es probablemente demasiado bajo.
D. El búfer de memoria de VM-3 es probablemente demasiado alto. 2.
¿En cuál de estos escenarios podría usted tratar de optimizar un disco duro virtual mediante la compactación, la ampliación, la reducción, o la fusión de él? A.
Cuando el disco está asociado con una máquina virtual que tiene instantáneas
B.
Cuando usted necesita para liberar espacio de almacenamiento en el host
C.
Cuando el disco está asociado con una máquina virtual que ha permitido la replicación
D. Cuando el disco se asocia con una cadena de discos de diferenciación 3.
Which oF la follovictoriag es nAntiguo Testamento verdadero acerca de instantáneas? (Choose todos que aplicar.) A.
Realización de instantáneas crea imágenes de punto en el tiempo de la máquina virtual que se puede volver más tarde si es necesario. No hay interrupción de la ejecución de máquinas virtuales instantáneas cuando se llevan a cabo en ellos.
B.
Cuando usted solicita una instantánea, se perderán los datos no guardados en la máquina virtual.
C.
Las instantáneas se pueden realizar sólo cuando se detiene la máquina virtual.
D. Exportación de instantáneas no se admite en Hyper-V.
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Instalación y configuración de Hyper-V en Server Core
■
Creación y configuración de máquinas virtuales
A realizar los siguientes ejercicios, necesita al menos una instalación limpia de Windows Server 2012 realiza utilizando la opción de instalación Server Core. El servidor debe ser un servidor independiente que pertenece a un grupo de trabajo, tener por lo menos dos unidades de disco duro físicas con la segunda unidad formateada como un volumen de 354
Capítulo7
Virtualización Hyper-V
datos, tener por lo menos dos adaptadores de red físicos con tanto configurado con los valores de TCP / IP estáticas, tienen conectividad a Internet , y no tienen papeles adicionales o características instaladas. Usted debe estar conectado de forma interactiva en el servidor utilizando la cuenta de administrador por defecto. A los efectos de estos ejercicios, el nombre del servidor se supone que es HOST7 y el volumen de datos es la unidad E. Si desea, puede realizar estos ejercicios de forma remota desde otro equipo al permitir a Escritorio remoto en HOST7 y usar Remote Desktop Connection en su ordenador. Si usted hace esto, tenga en cuenta que ciertas acciones (como la creación de nuevos switches virtuales) podría alterar temporalmente la conectividad de escritorio remoto con el host remoto.
Lección 3: Administración de máquinas virtuales Capítulo 7
351
Ejercicio 1: Instalación y configuración de Hyper-V en Server Core En este ejercicio, vamos a usar Windows PowerShell para instalar la función Hyper-V, configurar virtuales lugares de almacenamiento de la máquina, y crear conmutadores virtuales. 1.
Inicie sesión en HOST7 y escribapowershellen el símbolo del sistema para abrir un símbolo de Windows PowerShell.
2.
Use el cmdlet Get-WindowsFeature para verificar que la función de Hyper-V y el módulo de Hyper-V para Windows PowerShell están disponibles para la instalación, pero se eliminan los Hyper-V Herramientas de administración GUI y no está disponible para su instalación.
3.
Use el cmdlet Install-WindowsFeature instalar la función Hyper-V y el módulo de Hyper-V para Windows PowerShell. Puede utilizar eter los -IncludeManagementTools tros de hacer esto usando un solo comando. Asegúrese de incluir el parámetro Restart.
4.
Una vez reiniciado el servidor, inicie sesión como administrador, el tipopowershellen el símbolo del sistema y utilice el cmdlet Get-WindowsFeature para verificar que la función de Hyper-V y el módulo de Hyper-V para Windows PowerShell se han instalado correctamente.
5.
Type mkdir E: \ vmstorabia a crecomió un Nebraskaw directorio en la unidad de datos.
6.
Use el cmdlet Get-VMHost para mostrar los valores de la VirtualHardDiskPath y VirtualMachinePath propiedades.
7.
Utilice el cmdlet Set-VMHost para cambiar los valores de las dos propiedades anteriores a E: \ vmstorage.
8.
Use el cmdlet Get-VMHost para verificar el cambio realizado en el almacenamiento predeterminado ubicación para los archivos de la máquina virtual.
9.
Use el cmdlet Get-VMSwitch para verificar que no hay interruptores virtuales configurados en el anfitrión.
10. TipoGet-NetAdaptery tomar nota de los nombres de los dos adaptadores de red
físicos en el host. 11. Utilice el cmdlet New-VMSwitch para crear un nuevo conmutador virtual de tipo
externo llamado CONTOSO. Asegúrese de que el nuevo interruptor está conectado a uno de los adaptadores de red en el host. 12. Utilice el cmdlet New-VMSwitch para crear un segundo conmutador virtual de tipo
externo llamado GESTIÓN. Asegúrese de que el nuevo interruptor está conectado a otro adaptador de red en el host. 13. Use el cmdlet Get-VMSwitch para verificar que ambos conmutadores
virtuales se han creado con éxito. 356
Capítulo7
Virtualización Hyper-V
14. Deja ti mismo iniciar sesión para HOST7, y proceda al siguiente ejercicio.
Ejercicios de práctica Capítulo 7
353
Ejercicio 2: Creación y configuración de máquinas virtuales En este ejercicio, vamos a usar Windows PowerShell para crear una nueva máquina virtual, activar y configurar la memoria dinámica en la máquina virtual, cambie el número de procesadores virtuales en la máquina virtual, activar y configurar la gestión de ancho de banda en el adaptador de red, y realizar una instantánea de la máquina virtual. 1.
Tipo para crear un nuevo virtualmáquina nombrado Server8 que tiene un disco duro virtual de expansión dinámica del tamaño de 100 GB y un adaptador de red virtual conectado al conmutador virtual CONTOSO.
2.
Tipo Y verificar que los archivos de configuración para la máquina virtual se almacenan en la E: \ vmstorage \ directorio Server8.
3.
Type , nAmed servidor8 .vhdx existas yon este locación.
4.
Tipo RAMestablecer como 2 GB.
5.
Tipo dinámicafunción en la máquina virtual.
6.
Tipo Memoria dinámica RAM mínima establecer como 1 GB.
para configurar el
7.
Tipo Dinámica Memoria Máxima RAM establecer como 4 GB.
para configurar el
8.
Tipo dinámica Memoria Buffer establecer un 40 por ciento.
9.
Tipo ver el número de procesadores lógicos en el sistema host.
y verify que un expediente
para configurar el inicio para permitir que la memoria
para configurar la
Para
10. Tipo
para ver el número de virtuales procesadores configurados actualmente en la máquina virtual. (Esto debería ser 1 procesador.)
11. Tipo
para cambiar el número deprocesadores virtuales en la máquina virtual 1-2 procesadores.
12. Tipo
de nuevo para confirmar el cambio. 13. Tipo para ver la información sobreel adaptador de red virtual en la máquina virtual. Tome nota del nombre del adaptador. (Debe ser nombrado adaptador de red.) 14. Tipo
358
Capítulo7
Virtualización Hyper-V
para asignar un valor mínimo de ancho de
banda de50 Mbps a adaptador de red virtual de la máquina virtual.
Ejercicios de práctica Capítulo 7
353
15. TipoSet-VMNetworkAdapter -VMName Server8 -Nombre "Adaptador de red"
-MaximumBandwidth 200000000para asignar un valor máximo de ancho de banda de 200Mbps a adaptador de red virtual de la máquina virtual. 16. Tipo
para realizar una instantánea de la máquina virtual. 17. Type
y verify que la instantánea archivos
have ha creado. 18. Los pasos restantes de este ejercicio de práctica son opcionales, debido a la
cantidad de tiempo que pueden estar involucrados en la ejecución de ellos. 19. Tipo
para convertir suInstalación Server Core para una instalación mínima de interfaz de servidor. Debido a que tendrá que ser instalado desde Windows Update los binarios de características, este paso puede tardar algún tiempo en completarse.
20. Una vez reiniciado el servidor y que se haya conectado de nuevo, el Administrador
de servidores de forma automática debe abrirse. Cuando se abre, lanzar las funciones y características Asistente para agregar e instalar las herramientas de administración GUI Hyper-V cuentan, que se encuentra en Herramientas de administración de funciones \ Herramientas de administración de Hyper-V en la página Características del asistente. 21. Seleccione la página de Hyper-V en el Administrador de servidores, haga clic en
HOST7 y seleccione Hyper-V para abrir el Hyper-V Server. 22. Usar la tecnología Hyper-V complemento para verificar todos los pasos de
configuración que realizado en los dos ejercicios de práctica en este capítulo.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
■
Práctica 1 Modificar los dos ejercicios de práctica para que utilicen el menor número de Windows Ordena posible PowerShell para realizar todas las acciones de configuración necesarios. Práctica 2Construir en el segundo ejercicio de la práctica mediante la adición de un segundo adaptador de red virtual a la máquina virtual, conecte el segundo adaptador al segundo conmutador virtual en el host, y configurar la agrupación de NIC para la máquina virtual.
Ejercicios prácticos sugeridos 7
Capítulo
355
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 Respuesta correcta: C
1.
A.
Incorrecto: Usteddebe elegir la edición estándar, si usted necesita para implementar Windows Server 2012 como una carga de trabajo en metal desnudo en un entorno no virtualizados.
B.
Incorrecto: Usteddebe elegir la edición estándar, si usted necesita para implementar Windows Server 2012 como una carga de trabajo en metal desnudo en un entorno no virtualizados.
C.
Correcto:La edición Datacenter es la mejor opción si usted necesita para implementar Windows Server 2012 Hyper-V hosts para un centro de datos virtualizado o escenario privado en la nube. Y la opción de instalación Server Core es la mejor opción para hosts Hyper-V, debido a su menor superficie de ataque y la reducción de la huella de mantenimiento.
D. Incorrecto:La edición Datacenter es la elección correcta si usted necesita
para implementar Windows Server 2012 Hyper-V hosts para un centro de datos virtualizado o escenario privado en la nube. Sin embargo, debe implementar la opción de instalación Server Core en sus hosts de Hyper-V en lugar del servidor con una opción de instalación GUI debido a la superficie de ataque más pequeño y reducido mantenimiento huella de la opción de instalación Server Core. Respuesta correcta: D
2.
A.
Incorrecto:Instalación de la Interfaz Mínimo Server podría aumentar la superficie de ataque del ejército y aumentar sus gastos generales de mantenimiento. Debido a que usted está preocupado acerca de la seguridad y el mantenimiento de arriba, esto podría no ser el mejor enfoque. Además, si el servidor se encuentra en un centro de datos, por lo general no es conveniente para administrar el servidor desde la consola local.
B.
Incorrecto:El uso de Escritorio remoto para administrar de forma remota servidores tiene el beneficio de la comodidad, especialmente cuando los servidores están ubicados en un centro de datos. Sin embargo, el uso de Escritorio remoto para administrar una instalación Server Core todavía le presenta con sólo una línea de comandos para fines de gestión.
C.
Incorrecto:El uso de Escritorio remoto para administrar de forma remota servidores tiene el beneficio de la comodidad, especialmente cuando los servidores están ubicados en un centro de datos. Sin embargo, la instalación de la Interfaz Mínimo Server podría aumentar la superficie de ataque del ejército y
356
Capítulo7
Virtualización Hyper-V
aumentar sus gastos generales de mantenimiento. Debido a que usted está preocupado acerca de la seguridad y el mantenimiento de arriba, esto podría no ser el mejor enfoque. D. Correcto:La administración remota está activado por defecto en los servidores
que ejecutan Windows Server 2012. Instalando RSAT para Windows 8 en una estación de trabajo de administrador con Windows 8, se puede iniciar el Administrador de Hyper-V, la conexión a un host remoto y gestionar el host desde la comodidad de su estación de trabajo.
Ejercicios prácticos sugeridos 7
Capítulo
357
3.
Respuesta correcta: B A.
Incorrecto: sólo se puede utilizar para ver los ajustes de configuración de host, no configurarlos.
B.
Correcto: es el cmdlet correcta y se puede utilizar para configurar los ajustes para un host de Hyper-V.
C.
Incorrecto: se usa para agregar una ruta de acceso a un fondo de recursos de almacenamiento. No se puede utilizar para configurar la ubicación de almacenamiento predeterminada para archivos de máquinas virtuales en un host de Hyper-V.
D. Incorrecto:Set-VM se puede utilizar para configurar los ajustes de las máquinas
virtuales, no anfitriones.
Lección 2 1.
Respuesta correcta: D A.
Incorrecto:Cada máquina virtual puede tener hasta 12 adaptadores de red virtuales instalados en ella. De estos 12 adaptadores de red virtuales, hasta 8 puede ser el "adaptador de red" tipo y hasta el 4 puede ser del tipo "adaptador de red heredado".
B.
Incorrecto:Cada adaptador de red virtual se puede configurar con una dirección MAC estática o una dirección dinámica MAC que se asigna automáticamente a partir del rango de direcciones MAC configurada en el host.
C.
Incorrecto:Cada red virtual se puede asignar un canal de VLAN única para segmento o el tráfico de red aislada.
D. Correcto:Interruptores virtuales en un host Hyper-V se pueden conectar
a un adaptador de red inalámbrica en el sistema host. 2.
Correctorespuestas: B y C A.
Incorrecto:Un disco de acceso directo es un disco físico en el host que está conectado a una máquina virtual. Discos de acceso directo son, pues, los discos duros estándar, simplemente, que se obtienen fácilmente.
B.
Correcto:Las pruebas realizadas por Microsoft han demostrado de hecho que los discos duros virtuales de tamaño fijo realizan casi tan bien como discos de acceso directo al tiempo que proporciona los beneficios de flexibilidad de los discos duros virtuales.
C.
Correcto:Las pruebas realizadas por Microsoft han demostrado de hecho que los discos duros virtuales de expansión dinámica realizan casi tan bien como discos de acceso directo al tiempo que proporciona los beneficios de flexibilidad de los discos duros virtuales.
D. Incorrecto:Configuración de una máquina virtual para utilizar un disco de Respuestas Capítulo 7
357
paso es más difícil que configurarlo para usar un disco duro virtual.
358
Capítulo7
Virtualización Hyper-V
3.
Correctorespuestas: A, C, y D A.
Correcto: Ustednunca debe realizar instantáneas en los controladores de dominio virtualizados.
B.
Incorrecto: Ustedpodría considerar la posibilidad de realizar una instantánea de una máquina virtual producción justo antes de aplicar una actualización de software crítico para el sistema operativo invitado de la máquina virtual. De esta forma, si algo sale mal después de aplicar la actualización, puede volver rápidamente a la máquina virtual a su estado anterior (es decir, antes de aplicar la actualización).
C.
Correcto: Ustednunca debe realizar instantáneas en las cargas de trabajo virtualizadas que utilizan datos distribuidos a través de múltiples bases de datos.
D. Correcto: Ustednunca debe restaurar instantáneas más de 30 días en las
máquinas virtuales unidos a un dominio. 4.
Correctorespuestas: A, B, y C A.
Correcto:Todos los adaptadores de red virtuales (excepto los adaptadores de red legacy) soporte de DHCP Guardia.
B.
Correcto:Mientras que usted debe incluir la VMNetworkAdapter parámetro en el comando para especificar qué virtual de adaptador de red que desea configurar en la máquina virtual, esto es innecesario si la máquina virtual tiene un solo adaptador instalado.
C.
Correcto:Especificar bien -DhcpGuard también genera un error.
D. Incorrecto:Especificar -DhcpGuard 1 obras, como no especificando -
DhcpGuard On. La clave está en la cadena "Microsoft.HyperV.PowerShell.OnOffState", que indica el tipo de datos aceptados por este parámetro.
Lección 3 1.
Respuesta correcta: D A.
Incorrecto:1 GB es una cantidad razonable para la memoria RAM mínima de VM-1 cuando Windows Server 2008 R2 es el sistema operativo invitado.
B.
Incorrecto:8 GB es una cantidad razonable para la memoria RAM máxima de VM-2 cuando en comparación con la RAM máximo configurado para los otros dos máquinas virtuales.
C.
Incorrecto:Búfer de memoria en general necesita ser aumentado sólo para servidores de archivos que hacen un uso intensivo de la memoria caché de disco. Debido a que ninguna de las máquinas virtuales es un servidor de archivos, manteniendo este ajuste cercano a su valor por defecto de 20 por ciento es razonable.
D. Correcto:Búfer de memoria en general necesita ser aumentado sólo para
Respuestas Capítulo 7
359
servidores de archivos que hacen un uso intensivo de la memoria caché de disco. Debido a VM-3 no es un servidor de archivos, que es hábilmente no probable- una buena idea configurar un valor del buffer de memoria de alta como de la máquina virtual.
360
Capítulo7
Virtualización Hyper-V
2.
Respuesta correcta: B A.
Incorrecto:No realice compacto, convertir, ampliar, reducir, o combinar un disco duro virtual cuando el disco está asociado con una máquina virtual que tiene las instantáneas. Si realiza alguna de estas acciones en tales condiciones, se pueden producir pérdida de datos o la corrupción.
B.
Correcto:La capacidad de reducir el tamaño del disco duro virtual es nuevo en Windows Server 2012 Hyper-V y se puede utilizar para reducir la capacidad de almacenamiento de un disco duro virtual. Usted puede reducir todos los tipos de discos duros virtuales siempre que haya liberado primero espacio en ellos.
C.
Incorrecto:No compacta, convertir, ampliar, reducir, o combinar un disco duro virtual cuando el disco está asociado con una máquina virtual que tiene la replicación habilitada. Si realiza alguna de estas acciones en tales condiciones, se pueden producir pérdida de datos o la corrupción.
D. Incorrecto:No compacta, convertir, ampliar, reducir, o combinar un disco duro
virtual cuando el disco está asociado con una cadena de discos de diferenciación. Si realiza alguna de estas acciones en tales condiciones, se pueden producir pérdida de datos o la corrupción. 3.
Correctorespuestas: C y D A.
Incorrecto:Realización de instantáneas crea imágenes de punto en el tiempo de la máquina virtual que se puede volver más tarde si es necesario.
B.
Incorrecto:La aplicación de una instantánea de copia el estado de la máquina virtual a partir de la instantánea seleccionada a la máquina virtual. Como resultado, se perderán los datos no guardados en la máquina virtual. Si la instantánea se realizó originalmente cuando la máquina virtual estaba en funcionamiento, la máquina virtual estará en un estado guardado después de haber aplicado la foto instantánea. Si la instantánea se realizó originalmente cuando se detuvo la máquina virtual, la máquina virtual estará en un estado detenido después de aplicar la instantánea.
C.
Correcto:Las instantáneas se pueden realizar tanto en funcionamiento y se detuvieron las máquinas virtuales y con cualquier sistema operativo huésped instalado.
D. Correcto:Exportación de una instantánea lo exporta como una máquina
virtual separada e independiente, que luego pueden ser importados a otro host de Hyper-V, si se desea.
Respuestas Capítulo 7
361
C HA P T E R 8
Servicios y almacenamiento de archivos rovisioning y gestión de almacenamiento es una función clave de trabajo para los administradores de TI en las organizaciones de todos los tamaños. Los datos son un activo empresarial que debe estar disponible, accesible y seguro; de lo contrario, el negocio no va a sobrevivir en el competitivo mercado de hoy.
P
En infraestructuras de TI tradicionales, la gestión del almacenamiento puede ser una tarea compleja ya que los datos a menudo se almacena utilizando una amplia gama de tecnologías de almacenamiento que podrían incluir una red de área de almacenamiento iSCSI (SAN), almacenamiento conectado en red (NAS), almacenamiento de conexión directa ( DAS) dispositivos, sólo un montón de discos (JBOD) recintos, y dispositivos de almacenamiento extraíbles, incluso como unidades USB. Algunas de estas tecnologías, como las redes SAN, podría requerir conocimientos especiales para administrar, lo que puede complicar aún más la tarea de administración de almacenamiento. Afortunadamente, Microsoft Windows Server 2012 puede ayudar a aliviar parte de la carga y el coste de la adquisición, implementación y administración de almacenamiento con su nueva tecnología de espacios de almacenamiento. En este capítulo se explica cómo implementar espacios de almacenamiento en su entorno y cómo utilizar los espacios de almacenamiento de almacenamiento de prestación de varios tipos de necesidades y diferentes escenarios. El capítulo también se explica cómo configurar el almacenamiento iSCSI utilizando la función incorporada de 000 servidor de destino y el iniciador iSCSI en Windows Server 2012.
Lecciones en este capítulo: ■
Lección 1: Implementación de espacios de almacenamiento362
■
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido377
■
Lección 3: Configuración de almacenamiento iSCSI397
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Usted necesita saber cómo realizar una instalación limpia de Windows Server 2012 y 361
realizar tareas de configuración iniciales, como la configuración de los ajustes TCP / IP del servidor de conectividad a Internet. ■
364
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Capítulo8 Servicios y almacenamiento de archivos
Lección 1: Implementación de espacios de almacenamiento La virtualización de los recursos de almacenamiento no es nada nuevo para los administradores de las grandes empresas que tienen redes SAN desplegados dentro de sus infraestructuras de red. Hasta ahora, sin embargo, lización de almacenamiento virtualmente ha requerido la compra de soluciones de terceros de propiedad que son caros y requieren el uso de su propio conjunto de herramientas de gestión. Estas soluciones no sólo aumentan el costo de la red, pero también requieren un entrenamiento especial para implementar, administrar y mantener. Espacios de almacenamiento, una nueva característica de Windows Server 2012, está diseñado para hacer que la virtualización del almacenamiento asequible, incluso para las pequeñas empresas. Espacios de almacenamiento es fácil de implementar y administrar, y puede proporcionar a su negocio con almacenamiento compartido que puede crecer en la demanda para satisfacer las cambiantes necesidades de su organización. Esta lección explica cómo funcionan los espacios de almacenamiento, describe sus capacidades, y demuestra cómo implementarlo utilizando, hardware común de almacenamiento off-the-shelf.
Comprender los conceptos y beneficios de los espacios de almacenamiento básicos. Explicar la diferencia entre el aprovisionamiento fija y delgada.
Describir las diferentes opciones disponibles de resiliencia con espacios de almacenamiento. Describir los diferentes consideraciones implicadas en la planificación de una implementación espacios de almacenamiento. Implementar espacios de almacenamiento que utilizan tanto el Administrador de servidores y Windows PowerShell.
La comprensión de los espacios de almacenamiento La virtualización del almacenamiento consiste básicamente en hacer dos cosas: ■
Tomando dispositivos de almacenamiento físico y la creación de grupos virtuales de almacenamiento de los mismos.
■
El aprovisionamiento de almacenamiento compartido de estas piscinas a medida que surja la necesidad.
Por ejemplo, una solución de almacenamiento de virtualización puede permitir que usted para poner en común varios discos duros internos y conectados externamente en un único pool de almacenamiento. A continuación, podría porciones de provisión de este almacenamiento para sus diversos servidores de archivos sin necesidad de estar preocupados por que las unidades están siendo utilizados por cada servidor de archivos o 361
cuando en las unidades se almacena ningún dato en particular. Los beneficios de este enfoque son evidentes para los administradores experimentados e incluyen los siguientes: ■
366
Mayor flexibilidadUstedpuede crear nuevas piscinas y ampliar los existentes sin añadir nuevos dispositivos de almacenamiento físico.
Capítulo8 Servicios y almacenamiento de archivos
■
■
■
■
Mayor escalabilidadAlmacenamiento físico adicional se puede agregar fácilmente y se utiliza cuando es necesario para satisfacer las crecientes demandas del negocio. AumentadoelasticidadUstedpuede pre-asignación de la capacidad de almacenamiento mediante el uso de thin provisioning. La capacidad puede ser aumentada para satisfacer la creciente demanda, incluso cuando el almacenamiento físico subyacente es insuficiente. Aumento de la eficienciaUstedpuede recuperar la capacidad de almacenamiento cuando ya no se necesita utilizar los recursos de almacenamiento físico de manera más eficiente. Precio bajoMediante el uso de bajo costo, discos duros basados en productos básicos, puede crear grandes piscinas de almacenamiento. Estas piscinas pueden fácilmente satisfacer las necesidades de las pequeñas y medianas empresas.
Windows Server 2012 ahora incluye soporte para la virtualización del almacenamiento a través de una nueva función denominada espacios de almacenamiento, lo que le permite agregar discos físicos internos y externos en grupos de almacenamiento de bajo costo que pueden tener diferentes niveles de resistencia. Estas piscinas son simples de administrar, se pueden asignar de forma manual o automática, se puede delegar para fines de administración, y se pueden entregar usando thin provisioning o fijo.
Conceptos y terminología Aimplementar y utilizar espacios de almacenamiento, primero hay que entender sus conceptos básicos y terminología. La siguiente es una lista de la terminología asociada con espacios de almacenamiento: ■
Interfaz de programación de aplicaciones de administración de almacenamiento (SMAPI)Una colecciónde Windows Management Instrumentation (WMI) interfaces para la gestión de plataforma neutral e independiente del proveedor de almacenamiento que se incluye en Windows Server 2012 y en System Center Virtual Machine Manager 2012 (VMM).
■
Proveedor de Storage Management (PSM)Una interfaz que proporciona un mecanismo para descubrir, gestionar y aprovisionar almacenamiento. Windows Server 2012 incluye soporte para los siguientes tipos de SMP: ■
■
Proveedor de espacios de almacenamientoEsta SMP se incluye en Windows Server 2012 y se utiliza para implementar la virtualización del almacenamiento utilizando espacios de almacenamiento. Storage Management Initiative Specification (SMI-S) proveedoresEstosproveedores compatibles con el estándar de la Asociación de la Industria de almacenamiento en red Storage Management Initiative Specification (SMI-S) (SNIA) y pueden utilizarse para independiente de la plataforma y la aplicación independiente del proveedor de virtualización de almacenamiento con soluciones de almacenamiento de terceros, Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
363
tales como redes SAN. ■
364
Subsistema de almacenamientoUtiliza un SMP para exponer los dispositivos de almacenamiento físico para que puedan ser virtualizados en agrupaciones de almacenamiento.
Capítulo8 Servicios y almacenamiento de archivos
■
Agrupación de almacenamientoUna colección de discos físicos que se pueden utilizar para crear discos virtuales. Una sola agrupación de almacenamiento puede consistir en discos físicos que tienen diferentes tamaños y utilizando interconexiones de almacenamiento diferentes. Por ejemplo, usted podría mezclar y combinar Small Computer System Interface (SCSI) y Attached SCSI (SAS) unidades de disco duro Serial para crear un grupo. Usted puede crear y eliminar grupos de almacenamiento para administrar el almacenamiento virtualizado en su entorno. Cada disco físico se puede incluir en una sola agrupación de almacenamiento a la vez, y una vez que se agrega un disco físico a una piscina, el disco ya no se expone en Administración de discos para crear directamente particiones o volúmenes en.
■
Agrupación de almacenamiento PrimordialLa piscina predeterminada que contiene todos los dispositivos de almacenamiento físico en un sistema de almacenamiento que el proveedor de espacios de almacenamiento es capaz de enumerar, independientemente de si estos dispositivos se han agregado a otras piscinas o no. Los discos físicos se muestran en la piscina primordial sólo cuando no tienen particiones o volúmenes creados en ellos. Si no hay discos no utilizados disponibles conectados a su servidor de archivos, la piscina primordial no se muestra en el Administrador de servidores.
■
VirtualdiscoUn número de unidad lógica (LUN) que se ha aprovisionado de una agrupación de almacenamiento. Los discos virtuales se comportan como discos físicos, pero han aumentado la flexibilidad, escalabilidad y elasticidad, ya que representan el almacenamiento virtualizado lugar de almacenamiento físico. Los discos virtuales también se refieren a veces como espacios.
■
■
Volumen Una parte de un disco virtual que se ha formateado con un sistema de archivos como NTFS. CuotaUna carpeta en el sistema de archivos de un volumen que se ha hecho accesible a través de la red a los usuarios que tienen los permisos adecuados.
MÁS INFORMACIÓNEL SMI-S STANDARD Para obtener más información sobre el estándar SMI-S, consultehttp://blogs.technet.com/b/filecab/
http://blogs.technet.com/b/filecab/archive/2012/07/05/getting-started-with-smi-s-onSMI-S con los arreglos de almacenamiento de EMC,
Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
365
Fijo vs. thin provisioning Una vez que hayas agregados discos físicos en una agrupación de almacenamiento, puede aprovisionar almacenamiento de ese grupo mediante la creación de discos virtuales. Espacios de almacenamiento admite dos modos de aprovisionamiento de discos virtuales: ■
■
Aprovisionamiento fijaEl tamaño del disco virtual es la cantidad real de espacio de almacenamiento físico asignado desde la piscina. Thin provisioningEl tamaño del disco virtual representa la cantidad máxima de espacio de almacenamiento físico que se puede asignar de la piscina. No hay espacio se utiliza realmente, sin embargo, hasta que los datos se almacenan en un volumen en el disco virtual, y la cantidad de espacio utilizado crecerá o disminuirá como los datos se escriben o se elimina del disco.
La diferencia entre estos dos tipos de aprovisionamiento se puede explicar mediante el siguiente ejemplo. Figura 8-1 muestra una agrupación de almacenamiento denominada agrupación de almacenamiento 1 que se ha creado a partir de tres discos duros físicos de 2 TB. Si utiliza el aprovisionamiento fija para crear discos virtuales de este grupo, puede crear, por ejemplo, un disco virtual que es de 4 TB de tamaño y un segundo disco virtual que se encuentra a 2 TB de tamaño, para un total de 6 TB, que es igual a el espacio físico de almacenamiento disponible en la piscina. En este punto, ya que todo el almacenamiento disponible en el grupo se ha aprovisionado, no hay nuevos discos virtuales se pueden crear a menos que se añaden discos físicos adicionales a la piscina.
366
Capítulo8 Servicios y almacenamiento de archivos
2 TB
4 TB
2 TB
Aprovisionamiento fija
2 TB
2 TB
Grupo de almacenamiento 1
Discos virtuales
FIGURA 8-1Creación de discos virtuales de una agrupación de almacenamiento utilizando el
aprovisionamiento fija.
Por el contrario, la Figura 8-2 muestra el aprovisionamiento ligero se utiliza para crear discos virtuales de la misma agrupación de almacenamiento de discos físicos. Dos discos virtuales se han creado: un 20 TB de tamaño y los otros 10 TB de tamaño, para un total de 30 TB. Ahora puede crear volúmenes en estos discos virtuales y el uso de los volúmenes para almacenar datos. Por ejemplo, tres volúmenes de tamaños 10 TBS, 5 TB y 5 TB podría crear en el disco virtual de 20 TB, mientras que un solo volumen 10-TB se podría crear en el disco virtual de 10 TB. Si usted descubre que los volúmenes creados son insuficientes para satisfacer las necesidades de su entorno, puede realizar cualquiera de las siguientes acciones: ■
Crear discos virtuales finamente provisionados adicionales de la misma agrupación de almacenamiento.
■
Ampliar una (o más) de los discos virtuales existentes para crear más espacio en él, y luego crear volúmenes adicionales en el disco extendida (o discos).
2 TB 2 TB
20 TB
Thin Provisioning
10 TB
2 TB
Grupo de almacenamiento 1
Discos virtuales
FIGURA 8-2Creación de discos virtuales de una agrupación de almacenamiento utilizando thin
provisioning.
Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
367
¿Cómo se pueden utilizar 6 TB de espacio de almacenamiento físico para crear 30 TB de NTFS-formateado volúmenes para almacenar datos en? Con el aprovisionamiento fija, esto no es posible. Sin embargo, con fina
368
Capítulo8 Servicios y almacenamiento de archivos
aprovisionamiento, los volúmenes de datos utilizar espacio en los discos físicos solamente cuando vaya a guardar algunos datos sobre los volúmenes. ¿Qué sucede, entonces, si usted comienza a copiar grandes cantidades de datos en los dos volúmenes que se muestran en la Figura 8-2? Una vez que comience a acercarse a la capacidad física real disponible de la agrupación de almacenamiento, se mostrará un mensaje de notificación para avisarle de la situación. En ese momento, puede dejar de copiar datos a los volúmenes o añadir más discos físicos para la agrupación de almacenamiento.
escala
Resistencia Espacios de almacenamiento se pueden utilizar para proporcionar almacenamiento elástico similar (pero no idéntica) a RAID 0 (fragmentación de discos) y RAID 1 (espejo) que puede ser implementado utilizando soluciones de hardware RAID. Siempre y cuando su agrupación de almacenamiento tiene un número suficiente de discos físicos en ella, puede utilizar espacios de almacenamiento para crear discos virtuales cuya disposición de almacenamiento es cualquiera de los siguientes tres tipos: ■
SimpleLos datos sobre los volúmenes creados en este tipo de disco virtual se dividen entre todos los discos físicos en la piscina. Puede utilizar discos virtuales simples para el suministro de la cantidad máxima de almacenamiento de la piscina, pero no proporcionan la resistencia contra el fallo de disco físico.
■
Espejo Los datos sobre los volúmenes creados en este tipo de disco virtual se dividen entre todos los discos físicos en la piscina. Cada segmento de datos también se duplican en dos o tres discos físicos, tal como se especifica cuando se crea el disco virtual de espejo, por lo que una copia de todos los datos seguirá estando disponible si un disco físico falla en la piscina. Discos virtuales espejo proporcionan flexibilidad para ayudar a protegerse de la pérdida de datos derivada de la falla de un disco físico en la piscina. El grado de resiliencia proporcionada depende del número de discos físicos en el ejemplo piscina para: ■
Una piscina que contiene dos discos físicos se puede utilizar para crear discos virtuales espejo que son resistentes contra el fallo de un solo disco físico.
■
Una piscina que contiene cinco discos físicos se puede utilizar para crear discos virtuales de espejo que son resistentes contra el fallo de dos discos físicos. Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
369
■
Paridad Los datos sobre los volúmenes creados en este tipo de disco virtual, junto con la información de paridad que se pueden utilizar para facilitar la reconstrucción automática de datos en caso de un fallo de disco físico, se dividen entre todos los discos físicos en la piscina. Discos virtuales de paridad también proporcionan resistencia para ayudar a protegerse de la pérdida de datos derivada de la insuficiencia
370
Capítulo8 Servicios y almacenamiento de archivos
de un disco físico en la piscina, pero se obtienen mejores resultados con grandes escrituras en disco secuenciales que con al azar de E / S.
Cuando un disco físico falla en una piscina que se utiliza para el suministro elástico (espejo o paridad) discos virtuales, espacios de almacenamiento continuarán proporcionando acceso a los datos almacenados en volúmenes en el disco virtual y regenerará automáticamente copias de datos de todos los discos virtuales afectados, siempre ya que hay discos físicos alternativos suficientes disponibles en la piscina. Al agregar un disco físico a una agrupación de almacenamiento, usted tiene una opción de dos maneras de asignar el disco a la piscina: ■
■
Automático La piscina utilizará automáticamente el disco para el almacenamiento de los datos escritos en los volúmenes creados en el disco. Hot-repuestoEl disco se llevará a cabo en la reserva de la piscina para que pueda ser utilizado si otra unidad física en la piscina falla.
NOTA QUÓRUM
Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
371
372
Capítulo8 Servicios y almacenamiento de archivos
Planificaciónun despliegue de espacios de almacenamiento Implementación exitosa requiere una planificación cuidadosa para garantizar problemas no surgen durante o después del proceso de implementación. Los siguientes temas deben ser considerados en la planificación de la implantación de espacios de almacenamiento para su organización: ■
Hardware
■
Rendimiento
■
Resistencia
■
Disponibilidad
■
Administración
■
Escalabilidad
Hardware Los requisitos de hardware para la implementación de espacios de almacenamiento definen los tipos de dispositivos y formatos de almacenamiento físicos que se pueden utilizar para la creación de agrupaciones de almacenamiento. Estos requisitos de hardware varían dependiendo de si la característica Clúster de conmutación por error se utiliza para proporcionar alta disponibilidad para las agrupaciones de almacenamiento. Si va a implementar espacios de almacenamiento sin Failover Clustering, los tipos compatibles de los dispositivos de almacenamiento físicos son los siguientes: ■
Serial ATA (SATA) de los discos duros, incluyendo unidades de estado sólido (SSD)
■
Attached SCSI (SAS) unidades de disco duro de serie, incluyendo los discos SSDs
Además, estos dispositivos pueden ser conectados a un servidor que ejecuta Windows Server 2012 de las siguientes maneras: ■
Conexión interna utilizando controladores SATA o SAS
■
Conexión externa a un recinto JBOD de discos SATA
■
Conexión externa a una matriz de almacenamiento SAS
Si va a implementar una solución de alta disponibilidad Espacios (HA) de almacenamiento, los requisitos son los siguientes: ■
Dos los servidores que ejecutan Windows Server 2012 con la función Failover Clustering instalados y configurado para utilizar clúster compartido volúmenes (CSV). Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
373
374
■
JBOD que cumplen con el Certificado para Windows Server 2012 logo SAS conectadorequisitos.
■
Ustedno pueden utilizar dispositivos de almacenamiento iSCSI para una solución Espacios HA almacenamiento.
Capítulo8 Servicios y almacenamiento de archivos
Rendimiento Agarantizar un rendimiento óptimo de los espacios de almacenamiento, asegúrese de considerar lo siguiente: ■
Utilice discos de nivel empresarial SAS, si se lo puede permitir obtener un rendimiento óptimo de su solución de espacios de almacenamiento. Asegúrese de que usted también está usando de la mejor calidad tarjetas controladoras SAS también. La mayoría de las tarjetas controladoras SAS son compatibles para la conexión a los discos SATA, para que pueda utilizar estos si tu presupuesto es limitado. Si se necesita el máximo rendimiento y el dinero no es, considerar el uso de SSD.
■
Crear diferentes agrupaciones de almacenamiento para las diferentes necesidades de rendimiento de su entorno, y llenar las piscinas con tipos Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
375
apropiados de discos físicos. Por ejemplo, una agrupación de almacenamiento de un servidor de archivos de alta velocidad puede contener una mezcla de los SSD
370
Capítulo8 Servicios y almacenamiento de archivos
y discos SAS de 15.000 rpm, mientras que otro grupo de almacenamiento utiliza principalmente para el archivo de presentaciones multimedia podría utilizar más baratas discos de 7.200 RPM SATA.
Resistencia Aprovisionamiento el tipo de disco virtual a partir de una agrupación de almacenamiento implica las siguientes consideraciones: ■
Para los servidores de archivos de propósito general y aplicaciones similares, discos virtuales uso de espejos para asegurar la resistencia contra el fallo de uno o dos discos físicos en la piscina.
■
Para los datos de archivo y medios de transmisión, utilice discos virtuales de paridad. Debido a la sobrecarga superior requieren al realizar E / S aleatorias, no utilice discos virtuales de paridad para los servidores de archivos de propósito general.
■
Para el almacenamiento temporal como archivos temporales de aplicaciones de edición de datos, discos virtuales simples se pueden implementar.
lo espejo o la paridad discos virtuales pueden proporcionar. Para más información sobre ReFS, consultehttp://blogs.msdn.com/b/b8/archive/2012/01/16/building-the-next-generationfile-system- for-windows-refs.aspx.
volúmenes formateados. Para más información sobre este
Disponibilidad Espacios de almacenamiento se pueden implementar junto con la característica Clúster de conmutación por error de Windows Server 2012. Este escenario se puede utilizar para ofrecer almacenamiento compartido continuamente disponible para su entorno por lo que permite un almacenamiento compartido a fallar de forma transparente a un nodo diferente en un servidor de archivos en clúster cuando sea necesario. También puede integrar espacios de almacenamiento con CSV a implementar un servidor de archivos de escalabilidad horizontal que incorpora los beneficios del uso de los espacios de almacenamiento. Usteddeben mantener las siguientes consideraciones en cuenta al implementar espacios de almacenamiento junto con Failover Clustering: ■
Usted necesitará un mínimo de tres discos físicos.
■
Los discos físicos deben ser SAS, SATA no. Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
377
370
■
Los discos físicos deben apoyar reservas persistentes.
■
Los discos físicos deben pasar las pruebas de validación de clúster de conmutación por error.
■
Sólo aprovisionamiento fija se puede utilizar, no thin provisioning.
Capítulo8 Servicios y almacenamiento de archivos
sí
Administración Después de espacios de almacenamiento se ha implementado en su entorno, puede administrar en las siguientes maneras: ■
Uso del archivo de almacenamiento y servicios página de papel en el Administrador de servidores
■
El uso de cmdlets en el módulo de almacenamiento de Windows PowerShell
Para implementaciones más pequeñas, Server Manager ofrece una forma sencilla de gestionar las agrupaciones de almacenamiento, discos virtuales, volúmenes y acciones. Para implementaciones más grandes -por ejemplo, cuando los espacios de almacenamiento se utilizan para el almacenamiento compartido de Hyper-V en un centro de datos o entorno de nube de Windows PowerShell proporciona una manera de automatizar las tareas de administración utilizando scripts.
Escalabilidad La escalabilidad de espacios de almacenamiento le permite ser utilizado en diversos escenarios, que van desde la implementación de servidores de archivos para las pequeñas empresas para la implementación de una solución privada en la nube para una organización de tamaño medio. Por ejemplo, un único servidor de archivos independiente utilizando espacios de almacenamiento con una docena de discos físicos conectados puede ser utilizado para cualquiera de los fines siguientes: ■
Un servidor de archivos de propósito general para una pequeña empresa o departamento
■
Una solución de almacenamiento de archivos para documentos accede con poca frecuencia o archivos multimedia
■
Almacenamiento de la máquina virtual para un host Hyper-V utilizado para la prueba o desarrollo
Como segundo ejemplo, puede combinar espacios de almacenamiento con Failover Clustering para desplegar una, de dos nodos, servidor de archivos en clúster de alta disponibilidad que se puede utilizar para proporcionar almacenamiento compartido para las máquinas virtuales que se ejecutan en los hosts en clúster de Hyper-V en su entorno de producción. 372
Capítulo8 Servicios y almacenamiento de archivos
Este escenario es posible porque la versión de Hyper-V de Windows Server 2012 es compatible con una nueva opción de host-agrupación de utilizar Server Message Block (SMB) 3 0,0 acciones para almacenar sus archivos de la máquina virtual. El servidor de archivos en este escenario posiblemente podría escalar hasta el uso de varios cientos de discos desplegados en SATA o SAS recintos montados en bastidor, y se podía utilizar un servidor de archivos, tales como el almacenamiento de la solución en la nube privada de su organización.
Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
373
Implementación de AlmacenamientoEspacios La implementación de una solución de almacenamiento independiente espacios en su entorno, básicamente, consiste en hacer dos cosas: ■
Instalación del servicio de función de servidor de archivos
■
Conexión de almacenamiento físico adicional a su servidor si esto es necesario
Ustedpuede realizar el primer paso mediante el Administrador Server o Windows PowerShell, como las siguientes secciones demuestran. Almacenamiento físico adicional se puede añadir en cualquier momento, ya sea mediante la instalación de más discos internos en el servidor o mediante la conexión de arma- rios de almacenamiento externos al servidor. Tal almacenamiento físico adicional también se puede añadir ya sea antes o después de instalar el servicio de rol de servidor de archivos.
Utilizando el Administrador de servidores Ustedpuede utilizar el Administrador de servidores para implementar espacios de almacenamiento en un servidor con Windows Server 2012. Para ello, inicie la Agregar roles y características Asistente desde el menú Administrar en la barra de herramientas del Administrador de servidores. A continuación, seleccione el servicio de rol de servidor de archivos, que se encuentra bajo el archivo y Servicios iSCSI servicios de función en el fichero y la función de servicios de almacenamiento como se muestra en la Figura 8-3.
374
Capítulo8 Servicios y almacenamiento de archivos
FIGURA 8-3Instalación del servicio de rol Servidor de archivos implementa espacios de
almacenamiento en el servidor.
El uso de Windows PowerShell UstedTambién puede usar Windows PowerShell para implementar espacios de almacenamiento en un servidor con Windows Server 2012. Puede usar el cmdlet GetWindowsFeature para visualizar el estado de los diferentes servicios de función del fichero y la función de servicios de almacenamiento instalar en una instalación limpia de Windows Server 2012 de la siguiente manera:
Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
375
Por ejemplo, puede utilizar el siguiente comando para implementar espacios de almacenamiento en HOST7 servidor mediante la instalación del servicio de función de servidor de archivos:
Después, puede utilizar el siguiente comando para verificar la instalación del servicio de función:
Resumen de la lección ■
Espacios de almacenamiento le permite virtualizar discos físicos de productos básicos en las piscinas de las que puedas volúmenes de provisión y acciones para diferentes propósitos.
■
Espacios de almacenamiento soporta tanto delgado y aprovisionamiento fija de almacenamiento.
■
Espacios de almacenamiento pueden proporcionar capacidad de recuperación similar al hardware RAID 0 y RAID 1 soluciones.
■
Al planificar el despliegue de espacios de almacenamiento, se debe considerar el hardware, el rendimiento, la resistencia, la disponibilidad, la gestión y la escalabilidad.
■
Espacios de almacenamiento se pueden implementar utilizando el Administrador de servidores o Windows PowerShell.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Cuál de las siguientes podría ser cierto si la piscina primordial no es visible en el azulejo de agrupaciones de almacenamiento en el de agrupaciones de almacenamiento subpágina del fichero y la página de servicios de almacenamiento de Server Manager? (Elija todas las que correspondan.) A.
Una nueva agrupación de almacenamiento se ha creado en el servidor.
B.
El servidor puede tener un solo disco físico conectado (el disco de arranque).
C.
Los discos físicos pueden ya ser asignados a las agrupaciones de almacenamiento en el servidor.
D. Podrían Los discos físicos ya tienen volúmenes sobre ellos.
376
Capítulo8 Servicios y almacenamiento de archivos
2.
¿Cuál de las siguientes utilidades de administración de almacenamiento ya no se utiliza en Windows Server 2012? (Elija todas las que correspondan.) A.
DiskPart
B.
DiskRAID
C.
El complemento Administración de equipos en
D. WMI 3.
Ustedhan utilizado Windows PowerShell para crear dos volúmenes de datos 5-TB en el servidor de archivos. El espacio libre total de todos los discos físicos conectados está a sólo 2 TB. ¿Qué característica de espacios de almacenamiento hace que esto sea posible? A.
Thin provisioning
B.
Aprovisionamiento fija
C.
Espejo resiliencia
D. Resiliencia Paridad 4.
¿Cuál de los siguientes no se cumplen al implementar espacios de almacenamiento junto con conmutación por error? (Elija todas las que correspondan.) A.
Se requiere un mínimo de dos discos físicos.
B.
Los discos físicos deben ser discos SATA.
C.
Los discos físicos deben pasar las pruebas de validación de clúster de conmutación por error.
D. Thin provisioning debe ser utilizado.
Lección 1: Implementación de espacios de almacenamiento
Capítulo 8
377
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido Aprovisionamiento y gestión de almacenamiento compartido es una parte importante del trabajo del administrador del sistema. En la lección anterior, usted aprendió cómo los espacios de almacenamiento, una nueva función de servidor de 2.012 servidores de archivos de Windows, puede que usted pueda aplicar bajo costo, soluciones de almacenamiento flexibles utilizando hardware del disco basado en los productos básicos. Esta lección muestra cómo utilizar los espacios de almacenamiento para aprovisionar, administrar y mantener el almacenamiento compartido utilizando tanto el Administrador de servidores y Windows PowerShell.
Crear grupos de almacenamiento utilizando el Administrador de servidores o Windows PowerShell. Crear discos virtuales mediante el Administrador de servidores o Windows PowerShell.
Crear volúmenes utilizando el Administrador de servidores o Windows PowerShell. Describir los diferentes tipos de acciones que se pueden crear SMB y sus diversas opciones de configuración. Crear recursos compartidos SMB utilizando el Administrador de servidores o Windows PowerShell.
Administrar grupos de almacenamiento, discos virtuales, volúmenes y recursos compartidos SMB utilizando el Administrador de servidores o
Aprovisionamientoalmacenamiento compartido El aprovisionamiento de almacenamiento compartido mediante espacios de almacenamiento implica la realización de los siguientes pasos: 1.
Crear una o más agrupaciones de almacenamiento.
2.
Crear discos virtuales de agrupaciones de almacenamiento.
3.
Crear volúmenes en los discos virtuales.
Una vez que complete los pasos anteriores, usted está listo para crear recursos compartidos de archivos SMB en los volúmenes que ha creado. Aprovisionamiento de recursos compartidos de archivos SMB se expone más adelante en la sección siguiente éste.
Creación de una agrupación de almacenamiento El primer paso en el aprovisionamiento de almacenamiento es crear una o más agrupaciones de almacenamiento. Antes de crear una nueva agrupación de almacenamiento, asegúrese de que usted tiene Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
377
378
■
Al menos un disco físico disponible en su piscina primordial si usted planea en la creación de volúmenes simples.
■
Al menos dos discos físicos disponibles en su piscina primordial si planean crear volúmenes flexibles.
Capítulo8 Servicios y almacenamiento de archivos
■
Al menos tres discos físicos disponibles en su piscina primordial si usted piensa en la creación de volúmenes flexibles de un clúster de conmutación por error que contiene dos servidores de archivos.
Figura 8-4 muestra la agrupación de almacenamiento primordial en un servidor denominado HOST7 en Administrador de servidores. Los discos físicos del azulejo de la página agrupaciones de almacenamiento indica que hay tres discos físicos disponibles. Estos discos son discos SAS, y cada uno tiene una capacidad de 233 GB. Usted puede crear diferentes configuraciones de la piscina de estos discos; por ejemplo: ■
Tres piscinas de almacenamiento, con cada grupo crean utilizando un solo disco físico. Este configuración permitiría sólo simples (no elástico) los volúmenes que se creen.
■
Dos piscinas de almacenamiento, con una piscina utilizando dos de los discos físicos y la segunda piscina utilizando el disco físico restante. En esta configuración, la primera piscina le permitirá crear volúmenes simples y flexibles, mientras que la segunda piscina apoyaría sólo la creación de volúmenes simples.
■
Una agrupación de almacenamiento que utiliza los tres discos físicos para apoyar la creación de volúmenes simples o resistentes.
FIGURA 8-4La agrupación de almacenamiento primordial en este servidor tiene tres discos
físicos.
Acrear una nueva agrupación de almacenamiento utilizando el Administrador de servidores, realice los siguientes pasos: Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
379
1.
380
Inicie el nuevo almacenamiento Asistente-para Piscina ejemplo, haciendo clic derecho en el elemento de agrupación de almacenamiento Primordial muestra como seleccionado en la Figura 8-4.
Capítulo8 Servicios y almacenamiento de archivos
2.
Dele a su nueva agrupación de almacenamiento un nombre descriptivo, como "Archivo piscina", que identifica el propósito del nuevo ejemplo piscina para, para proporcionar almacenamiento de archivos para presentaciones y archivos multimedia para su empresa.
3.
Seleccione los discos físicos de la piscina primordial que desea asignar a la nueva piscina. Cuando se selecciona un disco físico, usted tiene la opción de elegir la asignación automática de repuesto o caliente para el disco. La configuración que se muestra en la Figura 8-5 hará dos discos físicos disponibles para la creación de nuevos discos virtuales de la piscina, mientras que un disco físico adicional se mantendrá en reserva como repuesto dinámico en caso de que uno de los otros dos discos falla.
4.
Haga clic en Siguiente y complete los pasos restantes del asistente para crear la nueva piscina.
FIGURA 8-5Asignación de discos físicos a una nueva agrupación de almacenamiento.
Como alternativa, puede usar Windows PowerShell para crear la misma agrupación de almacenamiento. Comience con el cmdlet Get-StoragePool para mostrar una lista de las agrupaciones de almacenamiento en el servidor:
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
381
A continuación, utilice el cmdlet Get-DiscoFísico para mostrar una lista de los discos físicos conectados al servidor:
Sólo los discos que tienen su propiedad CanPool establecidos en True están disponibles para asignar a nuevos grupos de almacenamiento que cree. Utilice Get-DiscoFísico nuevo para asignar dichos discos a una variable:
A continuación, utilice el cmdlet Get-StorageSubSystem para visualizar el subsistema de almacenamiento disponible en el servidor:
Asigne el objeto que es el resultado de este comando a otra variable: Ahora usa el cmdlet New-StoragePool para crear la nueva agrupación de almacenamiento de la siguiente manera:
Tenga en cuenta que los $ subsystem.FriendlyName en el comando anterior representa el valor de la propiedad FriendlyName de la variable $ subsistema. En otras palabras, representa el nombre descriptivo del subsistema de almacenamiento. Por último, puede utilizar Get-StoragePool de nuevo para comprobar el resultado:
380
Capítulo8 Servicios y almacenamiento de archivos
Y si desea obtener información detallada acerca de la nueva agrupación de almacenamiento, puede utilizar este comando:
Creación de discos virtuales Antes de crear un disco virtual, debe crear al menos una agrupación de almacenamiento en el servidor de archivos. Continuando con el procedimiento que se inició en el apartado anterior, la Figura 8-6 muestra que HOST7 servidor de archivos tiene ahora una agrupación de almacenamiento denominada Archivo piscina que tiene una capacidad de 696 GB, pero no hay discos virtuales todavía.
FIGURA 8-6La agrupación de almacenamiento denominada Archivo piscina no tiene discos virtuales
todavía.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
381
A crear un nuevo disco virtual a partir de una agrupación de almacenamiento utilizando el Administrador de servidores, realice los siguientes pasos: 1.
Lanzamiento del Nuevo ejemplo Asistente-de disco virtual, haciendo clic derecho en el elemento Archivo piscina mostrado como seleccionado en la Figura 8-6.
2.
Seleccione la agrupación de almacenamiento desde el que desea crear su nuevo disco virtual. En este ejemplo, se utiliza Archivo piscina.
3.
Dele a su nuevo disco virtual un nombre descriptivo, como "Disco Archivo", que identifica el propósito del nuevo disco.
4.
Seleccione el diseño de almacenamiento que desea utilizar para el nuevo disco virtual. Debido Archivo piscina tiene más de un disco físico en el mismo, se puede elegir cualquiera de simple, Espejo, o paridad como el diseño de almacenamiento para su nuevo disco virtual. Debido a que el disco en este ejemplo se utiliza para almacenar información valiosa empresas, seleccione Espejo por su diseño de almacenamiento como se muestra en la Figura 8-7.
5.
Seleccione el tipo de aprovisionamiento que desea utilizar para el nuevo disco virtual. Debido a que el disco en este ejemplo se utilizará para el almacenamiento de archivos de información de la empresa que puedan crecer con el tiempo, seleccione Delgado para el tipo de aprovisionamiento.
6.
Especifique el tamaño del nuevo disco virtual que está creando como se muestra en la Figura 8-8. El tamaño posible puede especificar depende del tipo de aprovisionamiento, a saber: ■
Si ha seleccionado Fijo como el tipo de aprovisionamiento, puede seleccionar Tamaño máximo para permitir espacios de almacenamiento para crear un disco virtual que tiene la capacidad máxima de la agrupación de almacenamiento, o puede especificar el tamaño en MB, GB o TB que desea su disco virtual sea. Si especifica un tamaño, usted tiene la opción de seleccionar el Cre comió El disco virtual más grande posible, hasta La casilla de verificación tamaño especificado, lo que limitará el tamaño de su nuevo disco, si se especifica un valor demasiado grande para la agrupación de almacenamiento seleccionado.
■
382
Si ha seleccionado Delgado como el tipo de aprovisionamiento, es suficiente con la opción de especificar el tamaño en MB, GB o TB que desea que su disco virtual sea.
Capítulo8 Servicios y almacenamiento de archivos
En este ejemplo, especifique 2 TB como el tamaño máximo del nuevo disco virtual. Este gran valor es posible que este servidor sólo porque ha seleccionado Delgado como el tipo de aprovisionamiento. 7.
Complete los pasos restantes del asistente para crear el nuevo disco virtual.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
383
FIGURA 8-7Especificación del diseño de almacenamiento para el nuevo disco virtual.
FIGURA 8-8Especificar el tamaño del nuevo disco virtual.
384
Capítulo8 Servicios y almacenamiento de archivos
Como alternativa, puede usar Windows PowerShell para crear el mismo disco virtual. Comience con el cmdlet New-virtualDisk para crear el nuevo disco virtual:
Cualquier nuevo disco virtual creado de esta manera debe entonces ser inicializado (traído en línea) antes de que pueda ser utilizado. Puede usar el cmdlet Get-disco para mostrar más información acerca de los discos (físicos y virtuales) en el servidor:
Desde la salida del comando solo se muestra, se puede ver que el número del nuevo disco virtual es 4. Usted usará esta información con el cmdlet Inicializar-disco de la siguiente manera:
De forma predeterminada, el cmdlet Initialize Disk crea una tabla de particiones GUID (GPT) Tipo de disco:
Si desea, puede utilizar el parámetro -PartitionStyle del cmdlet Inicializar-discos para crear discos virtuales de la Master Boot Record (MBR) tipo; Sin embargo, para los discos virtuales de más de 2 TB de tamaño, se debe utilizar el tipo GPT.
Creación de volúmenes Antes de crear un nuevo volumen, debe crear al menos un disco virtual a partir de una agrupación de almacenamiento en el servidor de archivos. Siguiendo el procedimiento de la sección anterior, la Figura 8.9 muestra que HOST7 servidor de archivos tiene ahora un disco virtual denominado Archivo de disco que tiene una capacidad de 2 TB, pero no hay volúmenes en él todavía.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
385
FIGURA 8-9El disco virtual denominado Archivo disco tiene volúmenes en él todavía.
A crear un nuevo volumen de un disco virtual mediante el Administrador de servidores, realice los siguientes pasos: 1.
Inicie el Asistente para nuevo ejemplo-para Volumen, haciendo clic derecho en el elemento Archivo disco se muestra como seleccionado en la Figura 8-9.
2.
Seleccione el disco virtual en el que desea crear el nuevo volumen y el servidor al que desea aprovisionar el volumen. En este ejemplo, se utiliza Archivo de discos para el suministro de un nuevo volumen a HOST7.
3.
Especifique el tamaño del nuevo volumen que está creando como se muestra en la Figura 8-10. El tamaño máximo que puede seleccionar aquí es el tamaño del disco virtual que ha seleccionado en el paso anterior.
386
4.
Asigne el nuevo volumen una letra de unidad, una carpeta, o ninguno. Si asigna una carpeta (por ejemplo, C: \ Data), el volumen aparecerá en el sistema de archivos como una carpeta (de datos) dentro de una unidad (C :).
5.
Seleccione el sistema de archivos (NTFS o ReFS) para el nuevo volumen.
6.
O bien dejar el tamaño de unidad de asignación para el sistema de archivos como predeterminado o seleccione una de las valores disponibles.
7.
Especifique un nombre de volumen descriptivo para el nuevo volumen.
Capítulo8 Servicios y almacenamiento de archivos
8.
Especifique si desea generar cortos nombres (8.3) de archivo para el nuevo volumen. Nombres de archivo cortos suelen ser necesarios sólo para apoyar las aplicaciones heredadas, tales como programas de 16 bits. La generación de nombres cortos de archivo, no se recomienda ya que hará que las operaciones de archivos más lento.
9.
Complete los pasos restantes del asistente para crear el nuevo volumen.
FIGURA 8-10Especificación del tamaño para el nuevo volumen.
Como alternativa, puede usar Windows PowerShell para crear el mismo volumen. Comience con el cmdlet Get-volumen para mostrar una lista de volúmenes en el servidor de archivos:
A crear un nuevo volumen en el disco virtual, que se vio en la sección anterior es el número de disco 4 en el servidor, se utiliza el cmdlet New-partición de la siguiente manera:
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
387
Una vez creado el nuevo volumen, puede usar el cmdlet Format-volumen para dar formato de la siguiente manera:
SMB Provisioningacciones Después de crear volúmenes utilizando espacios de almacenamiento, puede crear almacenamiento compartido para diversos fines por el aprovisionamiento de nuevos recursos compartidos de archivos. Espacios de almacenamiento apoya la provisión de dos tipos de acciones: ■
Acciones SMBServer Message Block (SMB) es un protocolo de intercambio de archivos de red que permite a los clientes SMB a leer y escribir a los archivos y solicitar los servicios de res cios SMB en la red. Windows Server 2012 es compatible con el nuevo protocolo SMB 0.0 3, que incluye numerosas mejoras en el rendimiento, seguridad y escalabilidad. Utilización de SMB 3.1 le permite implementar nuevos escenarios archivo-servidor, como el almacenamiento de máquinas virtuales Hyper-V y bases de datos Microsoft SQL Server en recursos compartidos de archivos SMB. SMB 3.0 también ayuda
388
Capítulo8 Servicios y almacenamiento de archivos
reducir la latencia a través de conexiones de sucursales de ancho de red de área extensa (WAN) y puede ayudar a proteger los datos de los ataques de espionaje. Para más información sobre SMB 3 0.0 en Windows Server 2012, consultehttp://technet.microsoft.com/en-us/library/hh831795 . ■
Compartidos NFSSistema de archivos de red (NFS) permite el intercambio de archivos en entornos heterogéneos que incluyen tanto los ordenadores no son de Windows de Windows y. Windows Server 2012 incluye dos componentes de NFS: ■
■
Servidorpara NFSEste componente permite a Windows Server 2012 para actuar como un archivo servidor para los equipos cliente que no sean Windows. Cliente para NFSEste componente permite a Windows Server 2012 para acceder a los archivos que se almacenan en un servidor que no sea Windows NFS.
Servidor para NFS también se ha mejorado en Windows Server 2012 para apoyar la disponibilidad continua. Esto hace posibles nuevos escenarios, como la ejecución de VMware ESX máquinas virtuales de almacenamiento basado en archivos a través del protocolo NFS en lugar de utilizar más caro de almacenamiento SAN. Esta mejora permite a Windows Server 2012 para proporcionar una disponibilidad continua de las máquinas virtuales de VMware, lo que facilita a las organizaciones integrar su infraestructura VMware con la plataforma Windows. El uso de Servidor para NFS como un almacén de datos para máquinas virtuales VMware requiere el uso de VMware ESX 4 0.1. También es necesario un servidor de administración con VMware vSphere Client versión 4 0.1 instalado. Usted puede utilizar PowerShell para el suministro y configurar los archivos compartidos en el servidor de almacén de datos NFS. Para obtener más información, consultehttp://technet.microsoft.com/enus/library/hh831653 . Debido a que NFS es útil sólo para ciertos tipos de escenarios, el resto de esta sección se centra en el aprovisionamiento de recursos compartidos SMB.
Las opciones de configuraciónpor acciones SMB Cuando se crea un nuevo recurso compartido SMB, se puede seleccionar entre las siguientes opciones de configuración: ■
Activar Enumeración Access-baseAl habilitar esta opción hace que los usuarios que acceden a uncuota para ver sólo los archivos y carpetas que tienen permiso para acceder. Cuando la enumeración basada en el acceso está desactivado por una parte, los usuarios pueden ver todos los archivos y carpetas en el recurso compartido, incluso si no tienen permiso para leer o modificar los archivos y carpetas. La implementación de la enumeración basada en el acceso ayuda a reducir la confusión de los usuarios que podrían ser causados cuando los usuarios no pueden acceder a algunos de los archivos y carpetas en un recurso compartido.
■
Permitir el almacenamiento en caché de CompartirAl habilitar esta opción hace que el contenido de la parte disponible para usuarios fuera de línea. Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
389
Esto asegura que los usuarios pueden tener acceso a los archivos de la cuota, incluso cuando está trabajando sin conexión y sin acceso a la red. ■
Habilitar BranchCacheAl activar esta opción, usted permite que las computadoras en una sucursal de usar BranchCache para almacenar en caché los archivos descargados de la carpeta compartida. Las computadoras pueden entonces servir de forma segura los archivos a otros equipos de la sucursal. Esta opción sólo se puede activar si el almacenamiento en caché de la opción Permitir Compartir también está habilitada.
390
Capítulo8 Servicios y almacenamiento de archivos
■
■
CifrarAcceso a datosAl habilitar esta opción hace que el acceso a archivos remotos a la acción a ser encriptado para proteger contra la escucha. Uso de carpetasUstedpuede utilizar esta opción para especificar el objetivo de la acción y los tipos de archivos almacenados en ella. Uso de carpetas es utilizado por las políticas de gestión de datos, como la hora de especificar las reglas de clasificación para la nueva característica de infraestructura de clasificación de archivos de Windows Server 2012.
■
CuotaUstedpuede utilizar esta opción para limitar el espacio permitido para un volumen o carpeta. También puede definir plantillas de cuota que se pueden aplicar automáticamente a los nuevos volúmenes o carpetas.
Tiposde las acciones de pequeñas y medianas empresas Las nuevas acciones SMB pueden aprovisionarse en su entorno utilizando el Administrador de servidores o Windows PowerShell. Como muestra la figura 8-11, tienes tres opciones para elegir al crear recursos compartidos SMB utilizando el Asistente de nuevo la acción: ■
RápidoElija esta opción si necesita crear un recurso compartido SMB de propósito general para el intercambio de archivos. Esta opción permite el almacenamiento en caché de la cuota por defecto y le permite habilitar la enumeración basada en el acceso y cifrar el acceso a datos si se desea. También puede habilitar BranchCache en la cuota si la característica BranchCache está instalado en el servidor.
■
AvanzadoElija esta opción si va a necesitar para configurar las cuotas en su acción o práctica de clasificación de archivos. Esta opción también permite el almacenamiento en caché de la cuota por defecto y le permite habilitar la enumeración basada en el acceso y cifrar el acceso a datos si se desea. También puede habilitar BranchCache en la cuota si la característica BranchCache está instalado en el servidor.
■
AplicacionesElija esta opción si la cuota será utilizado por hosts Hyper-V para el almacenamiento compartido, por una aplicación de base de datos, y para otras aplicaciones de servidor. Esta opción le permite cifrar el acceso a datos, si lo desea, pero no se puede activar la caché o habilitar la enumeración basada en el acceso en el recurso compartido.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
391
FIGURA 8-11La elección del tipo de recurso compartido SMB para crear.
Creación de recursos compartidos SMB de propósito general Acrear un nuevo propósito general SMB compartido en un volumen con el Administrador de servidores, realice los siguientes pasos: 1.
Inicie el Asistente de Nuevo Compartir-por ejemplo, haciendo clic derecho sobre el volumen denominado Archivo de volumen en la Figura 8-12.
2.
Seleccione el SMB Compartir - opción Quick demostrado previamente en la Figura 811.
3.
Seleccione un volumen en un ejemplo de servidor de archivos, el volumen de 2 TB llamado Archivo de volumen que hubiera sido dotado utilizando espacios de almacenamiento en la sección anterior de esta lección.
4.
Tipoun nombre para la nueva acción. De forma predeterminada, se creará una nueva carpeta local para la participación en la siguiente ubicación: \ Shares \ Por ejemplo, si especifica Archivo Compartir como el nombre para la nueva acción que se está creando en el volumen E, se creará la carpeta local después de la acción nueva: E: \ Shares \ Archivo de carpetas
5.
Si se desea la enumeración basada en el acceso, que pueda en el recurso compartido.
6.
Siustedquerer, deshabilitar el almacenamiento en caché en el recurso compartido. (Almacenamiento en caché está habilitadode forma predeterminada.) Si deja el caché habilitada y la característica BranchCache está instalado en el servidor, puede habilitar BranchCache en la cuota si se desea.
390
Capítulo8 Servicios y almacenamiento de archivos
7.
Si quieres, permitir el acceso de datos encriptados en el recurso compartido.
8.
Revise los permisos para la nueva acción. Si desea, abra el cuadro de diálogo Configuración de seguridad avanzada y modificar los permisos según sea necesario.
9.
Haga clic en Siguiente y complete los pasos restantes del asistente para crear la nueva acción.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
391
FIGURA 8-12Ustedpuede hacer clic derecho sobre el volumen E para crear un nuevo recurso compartido en el
volumen.
UstedTambién puede usar Windows PowerShell para crear nuevas acciones SMB de uso general en un volumen. Por ejemplo, usted podría comenzar con el cmdlet New-Item para crear una carpeta local llamado E: \ \ Acciones contenido archivado para su acción nueva:
Usteda continuación, podría utilizar el cmdlet New-SmbShare para crear un nuevo recurso compartido llamado Archivo Compartir que se asigna a la carpeta local y asignar el permiso de carpeta Cambiar compartido al grupo Ventas CONTOSO \ de la siguiente manera:
Si más adelante decide que desea habilitar la enumeración basada en el acceso en su acción nueva, puede utilizar el cmdlet Set-SmbShare hacerlo así:
392
Capítulo8 Servicios y almacenamiento de archivos
El -Confirm: $ false parte del comando anterior suprime el "¿Está seguro que desea realizar esta acción?" Pregunta de confirmación que el cmdlet Set-SmbShare generalmente muestra. Usteda continuación, puede usar el cmdlet Get-SmbShare para verificar que la enumeración basada en el acceso se ha habilitado en el recurso compartido:
Creación de recursos compartidos SMB avanzada El procedimiento para crear un recurso compartido SMB avanzada utilizando el Administrador de servidores es similar a la creación de una participación de propósito general, sino que incluye los siguientes pasos adicionales: ■
Usted puede utilizar las opciones en la página Propiedades de gestión para especificar el tipo de uso de la carpeta. Puede seleccionar uno o más de los siguientes valores:
■
■
Archivos de usuario
■
Archivos de Grupo
■
Archivos de aplicación
■
Archivos de copia de seguridad y archivo
UstedTambién puede especificar una o más direcciones de correo electrónico para el propietario de la carpeta o propietarios.
La página Cuota muestra en la Figura 8-13 le permite aplicar una cuota a la carpeta seleccionando entre una lista de plantillas disponibles.
FIGURA 8-13Configuración de una cuota en una acción nueva.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
393
Gerente almacenamiento compartido Después de que el suministro de almacenamiento compartido mediante espacios de almacenamiento, lo que necesita para gestionar su almacenamiento compartido. Usted puede usar tanto el Administrador de servidores y Windows PowerShell para administrar el almacenamiento compartido en su entorno. Sus tareas de gestión incluirá lo siguiente: ■
La gestión de las agrupaciones de almacenamiento
■
Administrar discos virtuales
■
La gestión de volúmenes
■
Gestión de acciones
En las secciones siguientes se centran en el Administrador de servidores para la gestión de almacenamiento compartido. Para obtener ayuda sobre el uso de Windows PowerShell para administrar el almacenamiento compartido, consulte la referencia de cmdlet para el módulo de almacenamiento enhttp://technet.microsoft.com/en-us/library/hh848705 .
La gestión de las agrupaciones de almacenamiento Ustedpuede utilizar las piscinas de almacenamiento subpágina del archivo y la página Servicios de Almacenamiento en el Administrador de servidores para administrar sus piscinas de almacenamiento-ejemplo: ■
Al hacer clic en el control de las tareas de la baldosa agrupaciones de almacenamiento como se muestra en la Figura 8-14 le permite crear nuevos grupos de almacenamiento o actualiza la vista actual. Al hacer clic derecho en un espacio abierto en el mosaico de agrupaciones de almacenamiento también le permite realizar las mismas tareas.
■
Haga clic en una agrupación de almacenamiento existente en el azulejo de agrupaciones de almacenamiento le permite ver las propiedades de la piscina, agregar más discos físicos a la piscina si está disponible, cree un nuevo disco virtual de la piscina, o eliminar la agrupación de almacenamiento, siempre y cuando todos se han eliminado de sus discos virtuales. UstedTambién puede utilizar el azulejo agrupación de almacenamiento en la subpágina Discos para determinar rápidamente cuánta capacidad se ha utilizado en una agrupación de almacenamiento.
FIGURA 8-14La gestión de una agrupación de almacenamiento utilizando el Administrador de
394
servidores. Capítulo8 Servicios y almacenamiento de archivos
Administrar discos virtuales Ustedpuede utilizar las piscinas de almacenamiento subpágina del archivo y la página Servicios de Almacenamiento en el Administrador de servidores para administrar sus discos virtuales. Por ejemplo, haciendo clic derecho en un disco virtual en el azulejo de discos virtuales como se muestra en la Figura 8-15, puede realizar tareas como crear una nueva
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
395
volumen en el disco, la reparación del disco, que se extiende el disco, o borrar el disco. Algunas opciones pueden no estar disponibles, dependiendo de cosas tales como el estado del disco o de la disponibilidad de espacio libre en el disco.
FIGURA 8-15Extensión de un disco virtual de la subpágina agrupaciones de almacenamiento.
La Discos subpágina del fichero y la página de servicios de almacenamiento se puede utilizar para gestionar tanto los discos físicos y virtuales conectados al servidor de archivos. Por ejemplo, haga clic en un disco virtual en el azulejo de discos, como se muestra en la Figura 8-16 le permite tomar la línea de disco, traerlo de vuelta en línea, o restablecer el disco. El azulejo de disco también le permite ver el estado de sus discos físicos, así como su capacidad, el formato de la partición, y otra información.
FIGURA 8-16Tomando una línea de disco virtual de la subpágina Discos.
UstedTambién puede utilizar el azulejo de disco en la subpágina volúmenes para determinar rápidamente cuánta capacidad se ha asignado en un disco físico o virtual.
La gestión de volúmenes Ustedpuede utilizar el Volúmenes subpágina del fichero y la página de servicios de almacenamiento en el Administrador de servidores para administrar sus volúmenes. Por ejemplo, haciendo clic derecho en un volumen en el azulejo de volúmenes, como se muestra en la Figura 8-17, puede realizar tareas como crear un nuevo recurso compartido en el volumen, formatear el volumen, la ampliación del volumen o escaneo del sistema de archivos del volumen si hay errores. 396
Capítulo8 Servicios y almacenamiento de archivos
FIGURA 8-17La exploración del sistema de archivos en un volumen de errores.
Ustedtambién puede realizar las mismas tareas de la baldosa volúmenes sobre la subpágina Discos. Además, puede utilizar el azulejo de volumen en la subpágina Acciones para determinar rápidamente cuánta capacidad se ha utilizado en un volumen.
Gestión de acciones Ustedpuede utilizar la subpágina Acciones del fichero y la página de servicios de almacenamiento en el Administrador de servidores para administrar sus acciones. Por ejemplo, haciendo clic derecho en un recurso compartido en el azulejo de Acciones, como se muestra en la Figura 8-18, puede realizar tareas como la configuración de una cuota en la carpeta, detener el uso compartido de la carpeta (esto no elimina la carpeta subyacente para la categoría), o abrir las propiedades de la cuota. Abrir las propiedades de la cuota le permite configurar aún más la cuota mediante la modificación de sus permisos, lo que permite la enumeración basada en el acceso, configurar el uso de la carpeta, y así sucesivamente.
FIGURA 8-18Configuración de un cupo en un recurso compartido.
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
397
Resumen de la lección ■
Las agrupaciones de almacenamiento, discos virtuales, volúmenes y acciones pueden ser creados y gestionados utilizando tanto el Administrador de servidores y Windows PowerShell.
■
Ustedpuede crear tanto SMB y recursos compartidos NFS con espacios de almacenamiento.
■
Acciones SMB tienen varias opciones de configuración, algunos de los cuales están disponibles sólo cuando se instalan componentes adicionales como el Administrador de recursos del servidor de archivos (FSRM) en un servidor de archivos.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál es el número mínimo de discos físicos necesarios para una agrupación de almacenamiento que será utilizado para aprovisionar volúmenes elásticos para un clúster de conmutación por error que consiste en dos servidores de archivos? A.
1
B.
2
C.
3
D. 4 2.
Qué cmdlet de Windows PowerShell se puede usar para ver el estado de salud de Almacenamiento Espacios en el servidor de archivos? (Elija todas las que correspondan.) A. B. C. D.
3.
¿Cuál de las siguientes tareas no pueden realizarse en un disco virtual mediante el Administrador de servidores o Windows PowerShell? A.
Extendiendo el disco virtual
B.
Reducir el tamaño del disco virtual
C.
Extracción del disco virtual
D. Borrar el disco virtual 4.
398
¿Cuál de los siguientes perfiles debe seleccionar cuando se utiliza el Asistente de Nuevas Acciones para crear una cuota para el almacenamiento de archivos de la máquina virtual de Hyper-V en la red? (Elija todas las que correspondan.)
Capítulo8 Servicios y almacenamiento de archivos
A.
SMB Compartir - Rápida
B.
SMB Compartir - Avanzada
C.
SMB Compartir - Aplicación
D. NFS Compartir
Lección 2: Aprovisionamiento y gestión de almacenamiento compartido
Capítulo 8
399
Lección 3: Configuración de almacenamiento iSCSI Las empresas siempre están buscando maneras de mantener los costes bajo control. Esto puede ser especialmente cierto en departamentos como de TI que a menudo son vistos más como centros de costos que los proveedores de nuevos ingresos. Parte de su puesto de trabajo, entonces, como un administrador es encontrar formas innovadoras de reducir costos en su departamento, manteniendo los servicios y calidad. Las características de almacenamiento iSCSI integradas de Windows Server 2012 le puede proporcionar una vía para explorar en esta dirección.
Entender los beneficios de almacenamiento iSCSI, los usos, los conceptos y la terminología.
Comprender las herramientas de gestión y consideraciones de implementación de la aplicación de almacenamiento iSCSI con Windows Server 2012. Configurar un servidor que ejecuta Windows Server 2012 como un servidor iSCSI Target. Crear nuevos objetivos iSCSI y discos virtuales iSCSI en el servidor de destino. Configure el iniciador iSCSI en un servidor que ejecuta Windows Server 2012. Utilice el iniciador iSCSI para conectarse a un blanco en un servidor de destino y el almacenamiento prestación mediante la creación de nuevos
Almacenamiento iSCSI Entendimiento El protocolo de Internet Small Computer System Interface (iSCSI) es un protocolo estándar de la industria que permite el intercambio de almacenamiento de bloques en una red TCP / IP. iSCSI está diseñado para transmitir y recibir Small Computer System Interface (SCSI) comandos y datos encapsulado como paquetes TCP. Esto permite a las computadoras para utilizar el almacenamiento en un dispositivo de almacenamiento basado en iSCSI como una red de área de almacenamiento iSCSI (SAN), incluso cuando las computadoras y SAN se encuentran a gran distancia de separación.
Beneficios y usos Un beneficio clave de almacenamiento basado en iSCSI es el costo. Un típico SAN Fibre Channel puede ser prohibitivamente caro como una solución de almacenamiento para que una empresa pequeña o mediana empresa. En contraste con canal de fibra, la tecnología iSCSI no requiere cableado de propósito especial debido a que el almacenamiento puede ser transmitida y recibida a través de una red Ethernet simple. Esto permite el almacenamiento iSCSI para ser desplegados utilizando la infraestructura de red existente de una organización, lo que ayuda a mantener el costo de esta solución de bajo. Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
397
Una segunda ventaja de almacenamiento basado en iSCSI es que permite a los administradores localizar el almacenamiento en un centro de datos donde puede ser gestionado de forma centralizada y fácilmente una copia de seguridad. Desde la perspectiva del usuario en el equipo consume almacenamiento iSCSI, sin embargo, el almacenamiento aparece como una unidad instalada localmente a pesar de que el almacenamiento se encuentra realmente en una
398
Capítulo8 Servicios y almacenamiento de archivos
SAN iSCSI o servidor de almacenamiento se encuentra en un centro de datos remoto. Los usuarios de este modo pueden copiar y guardar archivos en el almacenamiento iSCSI de la misma manera que les a los discos duros instalados en sus ordenadores, lo que conduce a la tercera ventaja de basada en iSCSI de almacenamiento, es decir, la transparencia y la facilidad de uso. Windows Server 2012 ahora incluye un servicio integrado de papel (iSCSI Target Server) y el componente de cliente (iniciador iSCSI) que se puede utilizar para implementar una solución de almacenamiento basada en iSCSI sin necesidad de desplegar un tercero SAN iSCSI. Mediante el uso de estas nuevas características, puede obtener los beneficios del almacenamiento iSCSI sin necesidad de comprar ningún hardware o software adicional. Algunos de los posibles usos de almacenamiento iSCSI incluyen ■
Implementación de servidores sin disco que arrancar desde discos virtuales iSCSI en la red.
■
Proporcionar almacenamiento de bloques para aplicaciones que requieran o puedan beneficiarse de ella.
■
Creación de entornos de prueba de almacenamiento iSCSI donde se puede validar las aplicaciones antes de implementarlas en un tercero SAN iSCSI.
Debido a las tecnologías Microsoft iSCSI se basan en estándares de la industria, también se puede implementar soluciones de almacenamiento de Microsoft iSCSI junto con soluciones de terceros en un entorno heterogéneo.
Conceptos y terminología Antes de poder implementar una solución de almacenamiento iSCSI de Microsoft basado en Windows Server 2012 tecnologías, primero debe comprender los siguientes conceptos y terminología iSCSI (que se ilustran en la Figura 8-19): ■
servidor de destino iSCSIEste es el servidor o dispositivo (por ejemplo, SAN) que comparte el almacenamiento de modo que los usuarios o aplicaciones que se ejecutan en un equipo diferente puede consumirla. Un servidor de destino es a veces llamado un portal de destino o, simplemente, un portal. En Windows Server 2012, un servicio de rol llamado iSCSI Target Server se utiliza para implementar esta funcionalidad.
■
destino iSCSIEste es un objeto creado en el servidor de destino que permite que un iniciador iSCSI para establecer una conexión. El objetivo también realiza un seguimiento de los iniciadores que tienen permiso para conectarse a él y los discos virtuales iSCSI que se asocian con él.
■
iSCSI disco virtualEsto se refiere al almacenamiento de respaldo de un archivo de disco duro virtual (VHD) en el servidor de destino. El disco virtual aparece adjunta como local de almacenamiento en el servidor de destino. El disco también puede ser montado por el iniciador iSCSI en la consumación ordenador ing el almacenamiento de modo que nuevos volúmenes se pueden aprovisionar de ella. Un disco virtual iSCSI a veces se llama un LUN iSCSI (número de unidad lógica) o simplemente un LUN. Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
399
■
iniciador iSCSIEste es un servicio que se ejecuta en un equipo que permite a los usuarios o aplicaciones para consumir almacenamiento compartido por un servidor de destino. En Windows Server 2012, una característica incorporada llamado iniciador iSCSI proporciona esta funcionalidad por un servicio de Windows llamado el iSCSI servicio de Microsoft.
400
Capítulo8 Servicios y almacenamiento de archivos
■
ConexiónEsta es una conexión TCP entre un iniciador y un objetivo. Conexiones transmiten y reciben mensajes de control, comandos SCSI, parámetros y datos. Típicamente, un iniciador puede establecer una conexión con un único objetivo. Esta limitación está en su lugar para evitar lectura simultánea múltiples / escribe de corromper el sistema de archivos en un volumen aprovisionado de un disco virtual asociado con el objetivo. Sin embargo, en escenarios de agrupamiento es común para múltiples iniciadores para formar conexiones con el mismo objetivo, aunque sólo se permite un iniciador para acceder al disco virtual en un momento dado.
■
Sesión Esto se refiere a la recogida de las conexiones TCP que unen un iniciador con un objetivo. Una sesión puede tener una o más conexiones, y usted puede agregar o quitar las conexiones de una sesión.
■
IQN El nombre calificado iSCSI (IQN) es un identificador único para un objetivo o iniciador. En la implementación de un servidor de destino iSCSI de Windows Server 2012, un objetivo IQN se ve así:
Por ejemplo, si un objetivo llamado "fabrikam-db" se crea en el servidor de destino llamado HOST7, el IQN para este objetivo sería
Del mismo modo, en la aplicación del iniciador iSCSI, un iniciador IQN Windows Server 2012se parece a esto:
Por ejemplo, si el iniciador iSCSI se ejecuta en un servidor llamado .corp Host4 .fabrikam.com, el IQN para este iniciador sería
iniciador
objetivo
Sesión
iSCSI disco virtual Servidor de almacena miento de consumir
servidor de destino iSCSI
FIGURA 8-19Conceptos básicos y la terminología iSCSI.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
401
Herramientas de gestión Windows Server 2012 incluye las siguientes herramientas para la gestión de la incorporada en el iSCSI iniciador y los servicios de la función del servidor iSCSI Target: ■
Administrador de servidores, específicamente el archivo y la página Servicios de Almacenamiento y subpáginas. Esta es la misma interfaz de usuario que se utiliza para gestionar el almacenamiento Espacios característica descrita anteriormente en este capítulo.
■
Windows PowerShell, específicamente los cmdlets incluidos en los dos módulos siguientes: ■
■
iscsitargetEste módulo incluye comandos para configurar y administrar iSCSI servidores de destino, las metas y los discos virtuales. iscsi Este módulo incluye comandos para configurar y administrar iSCSI iniciadores, conexiones y sesiones.
Ustedpuede utilizar el comando Get-Command -Módulo para mostrar una lista de cmdlets para cada uno de estos módulos.
Consideraciones de implementación Aunque permitiendo iSCSI Target Server para proporcionar almacenamiento de bloques para su entorno no requiere otro hardware de red Ethernet existente y un servidor que ejecuta Windows Server 2012, hay algunas consideraciones adicionales que necesita para tener en cuenta: ■
Ustedno pueden albergar discos virtuales iSCSI en discos físicos que se han añadido a una agrupación de almacenamiento en el servidor. En otras palabras, el servidor iSCSI Target en Windows Server 2012 no es compatible con el nuevo Storage Spaces disponen de esta plataforma.
■
400
discos virtuales iSCSI puede ser respaldada solamente por archivos VHD y no los archivos nuevos que VHDX se utilizan de forma predeterminada por Hyper-V en Windows Server 2012.
Capítulo8 Servicios y almacenamiento de archivos
■
Ustedpuede crear nuevos discos virtuales iSCSI sólo en volúmenes NTFS, no en volúmenes con formato utilizando el nuevo sistema de archivos Resiliente (refs) en Windows Server 2012.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
401
Configuración de iSCSI TargetServidor En esta sección se describe cómo realizar las siguientes tareas para servidor iSCSI Target en Windows Server 2012: ■
Habilitación del iniciador iSCSI
■
Instalación del servicio de función iSCSI Target Server
■
Creación de discos virtuales iSCSI
La sección muestra cómo realizar estas tareas utilizando tanto el Administrador de servidores y Windows PowerShell.
Habilitación del iniciador iSCSI Antes de configurar iSCSI Target Server, debe habilitar la función de iniciador iSCSI en el equipo que se conecta al servidor de destino. El procedimiento siguiente muestra cómo habilitar la característica de iniciador iSCSI en un servidor que ejecuta Windows Server 2012: 1.
Abra el Administrador de servidores y seleccione Iniciador iSCSI en el menú Herramientas.
2.
Cuando aparezca el cuadro de diálogo Microsoft iSCSI, haga clic en Sí para iniciar el servicio Microsoft iSCSI y cerrar el cuadro de diálogo:
3.
Cuando se abra el cuadro de diálogo Propiedades del iniciador iSCSI, haga clic en Aceptar para cerrarlo.
UstedTambién puede permitir que el iniciador iSCSI mediante Windows PowerShell para iniciar el Micro- soft Servicio iSCSI y cambie el tipo de inicio del servicio en Automático mediante la ejecución de estos dos comandos:
Instalación del papel iSCSI Target Server Como vimos en la lección anterior en este capítulo, la instalación del Archivo Servicios iSCSI servicio de función del fichero y la función de servicios de almacenamiento en un servidor que ejecuta Windows Server 2012 agrega un nuevo archivo y la página Storage Services Manager Server. La selección de esta página muestra un número de sub-páginas, incluyendo uno llamado iSCSI, pero si selecciona esta página iSCSI verá un mensaje en el iSCSI discos virtuales baldosas como se muestra en la Figura 8-20. Este mensaje indica que primero debe instalar el servidor iSCSI Target antes de poder utilizar la página para administrar el almacenamiento iSCSI.
402
Capítulo8 Servicios y almacenamiento de archivos
FIGURA 8-20El servicio de rol de servidor iSCSI Target aún no se ha instalado en este
servidor.
Ustedpuede instalar la función iSCSI Target Server mediante el Administrador Server o Windows PowerShell. Para instalar iSCSI Target Server mediante el Administrador del servidor, inicie la Agregar roles y características Asistente en el menú Administrar. En la página Seleccionar funciones de servidor de este asistente, verá dos servicios de función iSCSI como se muestra en la Figura 8-21: ■
■
Servidor iSCSI TargetLa instalación de este servicio de rol instala los servicios y herramientas de gestión de destinos iSCSI. Proveedor de almacenamiento iSCSI Target (proveedores de hardware VDS y VSS)La instalación de esteservicio de función permite a las aplicaciones en un servidor que está conectado a un destino iSCSI para realizar instantáneas de volumen de los datos en los discos virtuales iSCSI.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
401
FIGURA 8-21Agregar el servicio de rol Servidor iSCSI Target al servidor.
UstedTambién puede usar Windows PowerShell para instalar iSCSI Target Server. Usted puede hacer esto mediante el cmdlet Add-WindowsFeature así:
No se necesita reiniciar después de la instalación de este servicio de rol.
Creación de discos virtuales iSCSI Una vez que termine de instalar el servicio de rol de servidor iSCSI utilizando el Agregar Roles y cuentan Asistente, el mensaje en el iSCSI discos virtuales baldosas en la página iSCSI de los cambios del Administrador del servidor para indicar que ahora puede crear un disco virtual iSCSI. (Ver Figura 8-22.) Creación de discos virtuales iSCSI es el primer paso en el aprovisionamiento de almacenamiento iSCSI para aplicaciones que requieren o pueden utilizar almacenamiento en bloque.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
403
FIGURA 8-22Después de instalar el servicio de rol de servidor iSCSI Target, ahora puede crear discos
virtuales iSCSI.
Ustedpuede crear un nuevo disco virtual iSCSI utilizando Administrador de servidores o Windows PowerShell. Para crear un nuevo disco virtual iSCSI utilizando el Administrador de servidores, realice cualquiera de los siguientes: ■
Haga clic en el mensaje en el iSCSI discos virtuales baldosas en la página iSCSI.
■
Seleccione Nuevo iSCSI disco virtual en el menú Tareas de esta iSCSI discos virtuales baldosas en la página iSCSI.
■
Haga clic en cualquier volumen NTFS en el azulejo de volúmenes en la página de discos o en la página Volúmenes y seleccione Nuevo iSCSI disco virtual.
Si realiza cualquiera de estas acciones se iniciará el Asistente para disco virtual iSCSI Nueva, que se puede utilizar para crear su nuevo disco virtual iSCSI de la siguiente manera: 1.
En la página Ubicación de disco virtual Seleccione iSCSI, comience seleccionando un servidor de destino. La lista de servidores disponibles son los que el Administrador de servidores ha determinado que el papel iSCSI Target Server se ha instalado en.
404
Capítulo8 Servicios y almacenamiento de archivos
2.
Después de seleccionar un servidor iSCSI Target, seleccione un volumen con formato NTFS en el servidor que tiene suficiente espacio libre para alojar su nuevo disco virtual iSCSI:
3.
En la captura de pantalla anterior, se selecciona el volumen X en HOST7 servidor para alojar el nuevo disco virtual iSCSI. El nuevo disco será respaldado por un archivo VHD que se almacena en una carpeta llamada iSCSIVirtualDisks en la raíz de la unidad X.
4.
En la página virtual Nombre del disco Especifique iSCSI, escriba un nombre y una descripción opcional para el nuevo disco virtual iSCSI. Por ejemplo, si el nombre del disco "Base de datos", un archivo llamado .vhd base de datos se creará en la localización X: \ iSCSIVirtualDisks en HOST7. Este archivo VHD se utilizará para respaldar el nuevo disco virtual iSCSI que está creando.
5.
En la página Especificar iSCSI Tamaño de disco virtual, especifique un tamaño para el nuevo disco virtual iSCSI. El tamaño máximo posible del disco depende de la cantidad de espacio libre disponible en el volumen seleccionado.
6.
En la página Asignar iSCSI Target, seleccione Nueva iSCSI Target, porque este es el primer disco virtual iSCSI que está creando. También puede asignar el nuevo disco a un destino existente en su caso ya existen en su entorno.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
405
7.
En la página Nombre de destino Especifique, escriba un nombre y una descripción opcional para la nueva meta:
8.
En la página Especificar servidores de acceso, haga clic en Agregar para especificar el iniciador iSCSI que acceder a su disco virtual iSCSI. Al hacer esto, se abre el cuadro de diálogo Iniciador ID Añadir, que ofrece tres formas de identificar los iniciadores iSCSI: ■
Al consultar un equipo en el que el iniciador iSCSI se ha habilitado para su ID de Iniciador. Este método sólo se admite en Windows Server 2012 y Windows 8.
■
Al seleccionar una disposición Iniciador ID de la lista de ID en caché en el servidor de destino. Este método funciona sólo si hay entradas en la caché de iniciador en el servidor de destino.
■
Al especificar manualmente el IQN del iniciador.
Por ejemplo, digamos que el equipo iniciador es un servidor llamado Host4 que ejecuta Windows Server 2012. Para consultar el Iniciador ID en Host4, seleccione la primera opción en la lista anterior y cualquier tipo Host4 o haga clic en Examinar para buscar Active Directory para el equipo iniciador y, a continuación, haga clic en Aceptar para volver a la página Servidores ac- ceso Especifique del Asistente Virtual Disk Nueva iSCSI. En este punto, el IQN del iniciador se mostrará como se muestra aquí:
406
Capítulo8 Servicios y almacenamiento de archivos
9.
En la página Autenticación Activar, puede habilitar opcionalmente uno o ambos de los siguientes protocolos de autenticación: ■
■
CHAPEl protocolo de desafío mutuo Protocolo de autenticación (CHAP) se puede utilizar para autenticar las conexiones iniciador. CHAP inversaEste protocolo se puede utilizar para permitir que el iniciador para autenticar el destino iSCSI.
10. Si habilita cualquiera de estos protocolos, debe especificar un nombre de usuario y
contraseña para cada uno de ellos. En este punto, debe revisar la información en la página Confirmar selecciones para asegurarse de que no es necesario cambiar nada. Una vez que esté satisfecho, haga clic en Crear para crear el nuevo disco virtual iSCSI, cree el destino (si es necesario), y asignar el disco a la meta. Después de crear el disco virtual iSCSI y de destino, puede ver y administrar ellos en la subpágina iSCSI del fichero y la página de servicios de almacenamiento de Administrador de servidores, como se muestra en la Figura 8-23.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
407
FIGURA 8-23El nuevo objetivo iSCSI y disco virtual se muestran en el Administrador de
servidores.
UstedTambién puede usar Windows PowerShell para crear nuevos discos virtuales iSCSI y objetivos iSCSI, y asignar discos virtuales iSCSI a los objetivos. Por ejemplo, puede comenzar con la apertura de una consola de Windows PowerShell en el HOST7 servidor iSCSI Target y con el cmdlet Get-IscsiVirtualDisk para mostrar una lista de los discos virtuales existentes iSCSI en el servidor:
Tenga en cuenta que el valor de la propiedad Path en la salida del comando anterior es lo que cabe esperar en base a lo que has visto antes en el iSCSI discos virtuales baldosas en la Figura 8-23.
408
Capítulo8 Servicios y almacenamiento de archivos
Ahora vamos a usar el cmdlet New-IscsiVirtualDisk para crear un nuevo disco virtual iSCSI que es 50 GB en tamaño y está respaldado por un archivo llamado data.vhd:
Ahora usted puede asignar este nuevo disco virtual iSCSI con el destino existente que creó anteriormente el Administrador del servidor, o puede crear un nuevo objetivo y asignar el disco a la misma. Elijamos el segundo enfoque, pero primero vamos a usar el cmdlet Get-IscsiServerTarget para mostrar una lista de objetivos en el servidor iSCSI Target:
Tenga en cuenta que el valor de la propiedad TargetName en la salida del comando anterior es lo que cabe esperar en base a lo que has visto antes en el iSCSI objetivos de baldosas en la Figura 8-23.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
409
Ahora usa el cmdlet New-IscsiServerTarget para crear un nuevo objetivo llamado "-datos fabrikam" que utilizará la misma Iniciador ID utilizado por nuestro objetivo fabrikam-db existente:
Tenga en cuenta que la propiedad LunMappings en el comando anterior indica que no hay discos virtuales iSCSI se han asignado a este objetivo todavía. Puede asignar sus datos .vhd disco virtual a su objetivo-fabrikam datos mediante el cmdlet AddIscsiVirtualDiskTargetMapping así: Por último, para verificar que la asignación fue creado, puede usar el cmdlet GetIScsiServerTarget otra vez, así:
410
Capítulo8 Servicios y almacenamiento de archivos
El uso de iniciador iSCSI En esta sección se describe cómo realizar las siguientes tareas para iniciador iSCSI en Windows Server 2012: ■
Configuración del iniciador iSCSI
■
El descubrimiento de objetivos
■
Establecer una conexión
■
Creación de volúmenes
La sección muestra cómo realizar estas tareas utilizando tanto el Administrador de servidores y Windows PowerShell.
Configuración del iniciador iSCSI Antes de que pueda conectarse a un destino iSCSI para el suministro y el uso de almacenamiento iSCSI, primero debe configurar el iniciador iSCSI en el equipo. Para configurar el iniciador en el servidor que ejecuta Windows Server 2012, abra el Administrador de servidores y seleccione Iniciador iSCSI en el menú Herramientas para abrir el cuadro de diálogo Propiedades del iniciador iSCSI como se muestra en la Figura 824. Tenga en cuenta que si usted no ha activado previamente el iniciador en el equipo, se le pedirá primero para iniciar el servicio Microsoft iSCSI como se describe en la sección "Activación de iniciador iSCSI" al principio de esta lección.
FIGURA 8-24El cuadro de diálogo Propiedades del iniciador iSCSI.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
411
Ustedpuede utilizar las diferentes configuraciones en las seis fichas del cuadro de diálogo Propiedades del iniciador iSCSI para configurar el iniciador. Configuración puede ser necesario antes de que pueda conectar su ordenador a destinos iSCSI en su entorno. La siguiente lista describe las seis fichas que están disponibles: ■
Blancos Usted utilizar esta ficha para ver y conectarse a objetivos descubiertos, configurar las opciones de conexión avanzadas, desconectar de los objetivos, los valores de configuración vista de sesión, o ver la configuración de los dispositivos asociados a un objetivo. También puede utilizar Conexión rápida para descubrir y conectarse a un objetivo y añadirlo a su lista de destinos favoritos.
■
DescubrimientoUstedpuede utilizar esta ficha para descubrir, ver o eliminar los portales de destino (dispositivos de destino iSCSI) y Nombre de almacenamiento de Internet (iSNS) servidores en su entorno. Un funciones de servidor iSNS similares a un servidor de Sistema de nombres de dominio (DNS). El iniciador equipo que ejecuta pide al servidor iSNS para destinos iSCSI disponibles. Adición de un servidor iSNS permite la detección automática de todos los destinos iSCSI disponibles en el ordenador.
■
■
Objetivos favoritosUstedutilizar esta ficha para agregar un destino a la lista de destinos favoritos, ver los detalles del destino o eliminar el destino en la lista de favoritos. Al hacer esto, el iniciador utiliza guarda información de acceso a intentar siempre para volver a conectar a un objetivo cada vez que se reinicia el equipo. Volúmenes y DispositivosUtilice esta ficha para ver una lista de los volúmenes y dispositivos vinculados por el iniciador. Si se monta actualmente un volumen en la lista, se muestran la letra de unidad y punto de montaje. También puede utilizar esta ficha para configurar automáticamente todos los dispositivos disponibles y para añadir o eliminar manualmente los dispositivos.
■
RADIUSUstedutilizar esta ficha para configurar acceso telefónico de autenticación de usuario de servicios de autenticación (RADIUS) a distancia mediante la adición de un servidor RADIUS. A diferencia de la autenticación CHAP, que se realiza entre pares, la autenticación de RADIUS se realiza entre un servidor RADIUS y un cliente RADIUS. Para utilizar RADIUS, debe tener un servidor RADIUS en la red.
■
ConfiguraciónEsta ficha muestra el IQN del iniciador, y se puede utilizar la configuración para modificar el nombre del iniciador, configurar un secreto CHAP para el iniciador, configurar direcciones de modo de túnel IPsec para el iniciador, o generar un informe de todos los objetivos y dispositivos conectados en la sistema.
UstedTambién puede usar los cmdlets de Windows PowerShell como SetIscsiChapSecret y Registrar-IscsiSession para configurar algunos aspectos del iniciador iSCSI.
El descubrimiento de objetivos
412
Después de configurar el iniciador iSCSI, el siguiente paso es descubrir destinos iSCSI disponibles en su entorno. Usted puede hacer esto mediante la realización de los siguientes pasos:
Capítulo8 Servicios y almacenamiento de archivos
1.
Haga clic en la ficha Descubra del cuadro de diálogo Propiedades del iniciador iSCSI y haga clic en Descubrir Portal para abrir el cuadro de diálogo Descubra Portal de destino.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
411
2.
Tipola dirección IP o el nombre DNS (nombre de host o FQDN) para el portal de destino (iSCSI Target Server) que aloja la meta a la que desea conectarse y, a continuación, haga clic en Aceptar. Si se requiere una configuración adicional para descubrir el portal de destino, haga clic en Opciones avanzadas.
3.
Después de hacer clic en Aceptar, el portal de destino especificado se mostrará en el Meta Lista Portales en la pestaña Discover.
Si ahora se cambia a la pestaña Objetivos, la lista Objetivos Descubierto debe mostrar todos los destinos disponibles en el portal para el iniciador para conectarse a. (Ver Figura 825.)
FIGURA 8-25Dosobjetivos se han descubierto en el portal de destino llamado HOST7.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
413
Establecer una conexión Después de descubrir los objetivos disponibles en un portal de destino, puede utilizar el iniciador para conectarse a un objetivo, para que pueda aprovisionar almacenamiento del objetivo. Por ejemplo, la Figura 8-25 muestra dos objetivos disponibles en HOST7. Para conectar con el primer objetivo en esta lista, haga lo siguiente: 1.
Seleccione el primer objetivo que aparece en la ficha Destinos de su iniciador, y haga clic en Conectar. Este muestra la conexión a TARGET cuadro de diálogo, que muestra el nombre (IQN) del objetivo:
Tenga en cuenta que, por defecto, la conexión a la meta también se sumará la conexión a la lista de objetivos de la ficha blancos favoritos de manera que cada vez que el equipo iniciador de lo inicia automáticamente intentará restaurar la conexión a la meta. 2.
Al seleccionar la opción Multi-Path en el Conectar permiten Meta cuadro de diálogo permite al iniciador de usar MultiPath IO (MPIO), que permite el uso de varias rutas para el almacenamiento iSCSI para redundancia y tolerancia a fallos.
3.
Al hacer clic en Advanced abre el cuadro de diálogo Configuración avanzada, lo que le permite especificar o configurar lo siguiente: ■
414
El adaptador local o iniciador de la dirección IP
Capítulo8 Servicios y almacenamiento de archivos
■
CRC / Suma de comprobación configuración de datos o la cabecera digest
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
415
■
Información de inicio de sesión CHAP, incluyendo la posibilidad de utilizar RADIUS
■
La configuración de IPsec
Cuando esté listo para conectar con el destino, haga clic en Aceptar. Si el intento de conexión se realiza correctamente, la columna Estado mostrará Connected para el destino seleccionado. (Ver Figura 8-26.)
FIGURA 8-26El iniciador ha establecido una conexión con uno de los objetivos en HOST7.
UstedTambién puede usar Windows PowerShell para establecer una conexión entre un iniciador y un objetivo. A modo de ejemplo, comenzar con el cmdlet Get-IscsiConnection para mostrar una lista de conexiones activas en el equipo iniciador:
A Ver información sobre el período de sesiones para esta conexión, puede obtener la conexión con el cmdlet Get-IscsiConnection y el tubo de la conexión en el cmdlet GetIscsiSession así:
416
Capítulo8 Servicios y almacenamiento de archivos
Tenga en cuenta que el valor de la propiedad TargetNodeAddress en la salida del comando anterior es lo que cabe esperar en base a lo que has visto antes en la lista Objetivos Descubierto en la Figura 8-26. Ahora vamos a establecer una conexión con el segundo objetivo se muestra en la Figura 8-26. Para ello, comience con el cmdlet Get-IscsiTarget para mostrar una lista de destinos disponibles que se han descubierto en el portal de destino:
Usted ya establecida una conexión con el destino con nombre-datos Fabrikam, así que vamos a tratar de establecer una conexión con destino fabrikam-db lugar. Para ello, utilice el cmdlet Connect-IscsiTarget y especifique el IQN del objetivo fabrikamdb como esto:
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
417
418
Capítulo8 Servicios y almacenamiento de archivos
La propiedad isConnected en la salida del comando anterior indica que el intento de conexión tuvo éxito, pero el valor de la propiedad IsPersistent indica que su conexión no persistirá en los reinicios. Para solucionar este problema, puede utilizar el cmdlet RegisterIscsiSession con el SessionIdentifier tomada de la salida del comando anterior: Si ahora ve el valor de la propiedad IsPersistent para esta sesión, se puede ver que el la sesión se ha configurado para persistir en los reinicios:
Creación de volúmenes Una vez que haya configurado sus objetivos iSCSI y ha creado los discos virtuales iSCSI en ellos, habilitado y configurado sus iniciadores iSCSI, y estableció conexiones y sesiones entre iniciadores y las metas, usted está listo para la provisión de almacenamiento iSCSI mediante la creación de nuevos volúmenes. Voy a concluir esta lección usted camina a través de un ejemplo de cómo crear un nuevo volumen en Host4 (el servidor que tiene el iniciador) a partir de un objetivo y de disco virtual en HOST7 (el servidor con el servidor de destino iSCSI instalado): 1.
Comience por abrir Administrador de servidores en Host4 y seleccione el archivo y la página Servicios de Almacenamiento.
2.
Debido a que ha creado dos discos virtuales iSCSI que son 50 y 150 GB de tamaño previamente en esta lección, estos discos se muestran en la baldosa de discos en la subpágina Discos. Para crear un nuevo volumen en Host4 del disco virtual de 50 GB iSCSI en HOST7, se empieza haciendo clic derecho en el disco de 50 GB y seleccionando Nuevo volumen:
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
419
3.
Hacer esto inicia el Asistente para volumen nuevo, que se demostró anteriormente en la lección 2 de este capítulo. Debido a que usted desea que el nuevo volumen que aparezca como una unidad local en el servidor iniciador (Host4), selecciona Host4 en la lista de servidores en el seleccione el servidor y la página de discos de este asistente:
4.
Continúe con los pasos restantes del asistente hasta que usted ha hecho clic en Crear. En este punto, se muestra un cuadro de diálogo sin inicializar el disco fuera de línea o porque el disco seleccionado (el disco seleccionado en la captura de pantalla anterior de la baldosa discos) tiene Desconocido como su estilo de partición. Al hacer clic en Aceptar en este cuadro de diálogo trae el disco en línea y lo inicializa como un disco GPT.
Una vez que el nuevo volumen ha sido creado, abriendo Explorer en Host4 muestra el disco como un volumen local a pesar de que la real de almacenamiento iSCSI se encuentra en otra parte de HOST7. Ahora puede copiar o guardar archivos en el nuevo volumen como si fuera un disco instalado localmente en el equipo. UstedTambién puede crear nuevos volúmenes que utilizan Windows PowerShell como se describió anteriormente en la lección 2 de este capítulo.
Resumen de la lección ■
Aprovisión de almacenamiento iSCSI, el iniciador iSCSI en un equipo debe establecer una conexión con un destino iSCSI en un servidor de destino iSCSI.
420
■
iniciadores iSCSI y metas en un ambiente puede ser identificada por su nombre calificado iSCSI (IQN).
■
Configuración del servidor iSCSI Target implica la instalación del servicio de función
Capítulo8 Servicios y almacenamiento de archivos
iSCSI Target Server y la creación de discos virtuales iSCSI. ■
El aprovisionamiento de almacenamiento mediante un iniciador iSCSI implica configurar el iniciador, el descubrimiento de objetivos, el establecimiento de conexiones, y la creación de volúmenes.
Lección 3: Configuración de almacenamiento iSCSI
Capítulo 8
421
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
En un entorno donde se ha desplegado el servicio de rol iSCSI Target Server de Windows Server 2012, lo que podría significar la siguiente secuencia? iqn.1991-05.com.microsoft:srv4-finance-target A.
Tsu es la IQN oF la yoSCSI yonitiator on un computer nAmed "SRV4 ".
B.
Este es el IQN del iniciador iSCSI en un equipo denominado "financiamiento".
C.
Tsu es la IQN oF una yoSCSI target on un target puertootros nAmed "SRV4 ".
D. Este es el IQN de destino iSCSI en un portal de destino llamado "financiamiento". 2.
¿Qué medidas puede tomar para hacer su entorno de almacenamiento iSCSI más seguro? (Elija todas las que correspondan.) A.
Habilitar y configurar el CHAP y Reverse protocolos CHAP en sus objetivos iSCSI.
B.
Implementar un servidor RADIUS y configurar sus iniciadores iSCSI utilizarlo para autenticación.
C.
Configurar las direcciones de modo de túnel IPsec para el iniciador.
D. Configure los destinos iSCSI para permitir conexiones desde iniciadores con un
IQN de IQN: *. 3.
¿Cuál de los siguientes cmdlets de Windows PowerShell produce la salida que se puede utilizar para determinar la asignación de LUN a un destino iSCSI? A. B. C. D.
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Aprovisionamiento y gestión compartida de almacenamiento mediante el Administrador del servidor
■
Aprovisionamiento y gestión de almacenamiento compartido mediante Windows PowerShell
A realizar los siguientes ejercicios, necesita al menos una instalación limpia de Windows Server 2012 utilizando el servidor con una opción de instalación GUI. El servidor debe ser un servidor autónomo perteneciente a un grupo de trabajo, tienen conexión a Internet, y no tienen funciones adicionales o características instaladas. Además del volumen de arranque, Ejercicios de práctica Capítulo 8
419
el servidor también debe tener al menos dos discos físicos adicionales (ya sea interna o externamente conectados) de un tipo compatible
420
Capítulo8 Servicios y almacenamiento de archivos
por el Storage Spaces cuentan (por ejemplo, discos SAS o SATA). Estos discos inicialmente no deben tener volúmenes sobre ellos. Usted debe estar conectado de forma interactiva en el servidor mediante una cuenta de usuario que sea miembro del grupo Administradores local, pero que no es la cuenta de administrador predeterminada. También debe crear una segunda cuenta de usuario denominada prueba del usuario que sea miembro del grupo local Usuarios incorporados en el servidor. A los efectos de estos ejercicios, el nombre del servidor se supone que es HOST7. Si desea, puede realizar estos ejercicios de forma remota desde otro equipo al permitir a Escritorio remoto en Host4 y utilizando Conexión a Escritorio remoto en el equipo. Si usted hace esto, tenga en cuenta que ciertas acciones, como la creación de nuevos switches virtuales, podría interrumpir temporalmente la conectividad de escritorio remoto con el host remoto.
Ejercicio 1: Aprovisionamiento y gestión de almacenamiento compartido mediante el Administrador del servidor En este ejercicio, utilizará el Administrador de servidores para crear una nueva agrupación de almacenamiento, crear discos virtuales en la piscina, crear volúmenes en los discos virtuales, crear recursos compartidos SMB en los volúmenes, y gestionar varios aspectos para su almacenamiento compartido. 1.
Inicie el Agregar roles y características Asistente del Administrador de servidores, e instalar el servicio de rol Servidor de archivos del fichero y la función de servicios de almacenamiento en el servidor.
2.
Seleccione la subpágina agrupaciones de almacenamiento del fichero y la página de servicios de almacenamiento en el Administrador de servidores, y compruebe que tiene al menos dos discos físicos disponibles en la piscina primordial en su servidor. Si usted tiene menos de dos discos físicos en la piscina primordial, conectar discos físicos adicionales a su servidor.
3.
Haga clic en el control de las tareas en los discos físicos del azulejo de la subpágina agrupaciones de almacenamiento y seleccione Nueva agrupación de almacenamiento para iniciar el Asistente piscina de almacenamiento nuevo.
4.
Especifique piscina 1 como el nombre para el nuevo grupo.
5.
Añadir el primer disco físico a la nueva piscina, dejando la opción de asignación como automática.
6.
Complete los pasos restantes del Asistente para la piscina de almacenamiento nuevo para crear la nueva piscina.
7.
Haga click en la piscina 1 en el mosaico de agrupaciones de almacenamiento en la subpágina agrupaciones de almacenamiento, y seleccione Nuevo disco virtual para iniciar el Asistente para nuevo disco virtual. Ejercicios de práctica Capítulo 8
421
8.
Seleccione piscina 1 como la agrupación de almacenamiento de la que va a crear el nuevo disco virtual.
9.
TipoSimple Diskcomo el nombre para el nuevo disco virtual.
10. Seleccione simple como el diseño de almacenamiento para el nuevo disco
virtual. 11. Seleccione Delgado como el tipo de aprovisionamiento para el nuevo disco
virtual. 12. Especifique un valor igual a diez veces la cantidad de espacio libre en el Grupo 1 para
el tamaño del nuevo disco virtual. 13. Complete los pasos restantes del Asistente para nuevo disco virtual para crear el
nuevo disco virtual. El Asistente para volumen nuevo se iniciará automáticamente.
422
Capítulo8 Servicios y almacenamiento de archivos
14. Seleccionar disco simple como el disco virtual en el que va a crear el nuevo volumen. 15. Especifique un valor igual a la mitad de la capacidad disponible del disco simple
como el tamaño para el nuevo volumen. 16. Especifique S como la letra de unidad para el nuevo volumen. 17. Especifique NTFS como el sistema de archivos para el nuevo volumen. 18. TipoVolumen simplecomo la etiqueta para el nuevo volumen. 19. Complete los pasos restantes del Asistente para volumen nuevo para crear el nuevo volumen. 20. Haga clic derecho en el disco simple en el azulejo de discos virtuales en la
subpágina agrupaciones de almacenamiento y seleccione Extender disco virtual. 21. Especifique un nuevo tamaño que duplicará el tamaño actual de disco simple. 22. Haga click en la piscina 1 en el mosaico de agrupaciones de almacenamiento en la
subpágina agrupaciones de almacenamiento y seleccione Agregar disco físico. 23. Seleccione un disco físico disponible, y agregarlo a la piscina 1, dejando la opción de
asignación establecido en Automático. 24. Haga click en la piscina 1 en el mosaico de agrupaciones de almacenamiento en la
subpágina agrupaciones de almacenamiento, y seleccione Nuevo disco virtual para iniciar el Asistente para nuevo disco virtual. 25. Seleccione piscina 1 como la agrupación de almacenamiento de la que va a crear el nuevo disco
virtual. 26. TipoEspejo de discocomo el nombre para el nuevo disco virtual. 27. Seleccione Espejo como el diseño de almacenamiento para el nuevo disco virtual. 28. Seleccione Fijo como el tipo de aprovisionamiento para el nuevo disco virtual. 29. Seleccione Tamaño máximo para el tamaño del nuevo disco virtual. 30. Complete los pasos restantes del Asistente para nuevo disco virtual para crear el
nuevo disco virtual. El Asistente para volumen nuevo se iniciará automáticamente. 31. Seleccione Espejo de disco como el disco virtual en el que va a crear el nuevo volumen. 32. Especifique un valor igual a la capacidad disponible del disco simple como el
tamaño para el nuevo volumen. 33. Especifique W como la letra de unidad para el nuevo volumen. 34. Especifique ReFS como el sistema de archivos para el nuevo volumen. 35. TipoEspejo de volumencomo la etiqueta para el nuevo volumen. 36. Complete los pasos restantes del Asistente para volumen nuevo para crear el nuevo volumen. 37. Seleccionar disco simple en el azulejo discos en la subpágina Discos.
Compruebe que el volumen S se muestra en la baldosa volúmenes en esta página. 38. Seleccione Espejo de disco en el azulejo discos en la subpágina Discos.
Compruebe que el volumen W se muestra en la baldosa volúmenes en esta página. Ejercicios de práctica Capítulo 8
421
39. Lea la información que aparece en el mosaico de agrupación de almacenamiento en la
subpágina Discos.
422
Capítulo8 Servicios y almacenamiento de archivos
40. Seleccione el volumen S en el azulejo volúmenes en la subpágina volúmenes.
Lea la información que aparece en el mosaico de discos en esta página. 41. Seleccione el volumen de M en el azulejo volúmenes en la subpágina volúmenes.
Lea la información que aparece en el mosaico de discos en esta página. 42. Haga clic en S en el azulejo de volúmenes en la subpágina Volúmenes y
seleccione Extender volumen. 43. Especifique un nuevo tamaño equivalente a la mitad el tamaño máximo
posible para el volumen. 44. Haga clic en S en el azulejo de volúmenes en la subpágina volúmenes, y seleccione
Nuevo Compartir. 45. Seleccione SMB Compartir - Rápido como el perfil de la nueva acción. 46. Seleccione S como el volumen en el que se creará el nuevo recurso
compartido. 47. TipoSencillo Compartircomo el nombre para la nueva acción. 48. Seleccione la casilla de verificación para habilitar la enumeración basada en el acceso
para la nueva acción. 49. Complete los pasos restantes del Asistente para Compartir en Nuevo para crear la
nueva acción. 50. Pulse la tecla de Windows + R, y el tipoS: \ Shares \ simple
Compartirpara abrir la carpeta en el Explorador. 51. Haga clic en la carpeta abierta, seleccione Nueva carpeta y
escribaABE_TESTcomo el nombre para la nueva carpeta. 52. Haga clic derecho en la carpeta y seleccione Propiedades ABE_TEST, seleccione
la pestaña de Seguridad, y haga clic en Avanzadas para abrir las Opciones de seguridad avanzada para la caja de diálogo ABE_TEST. 53. En la ficha Permisos, haga clic en Deshabilitar Sucesiones y seleccione
Convertir heredados Permisos En permisos explícitos en este objeto. 54. Seleccione las dos entradas de permisos para el grupo local Usuarios incorporados,
y haga clic en Quitar para eliminarlos. Luego haga clic en Aplicar. 55. Haga clic en la ficha Acceso efectivo, haga clic en Seleccione un usuario,
escribaAdministrador, Haga clic en Aceptar y haga clic en Ver Acceso efectivo. Tenga en cuenta el acceso efectivo de que la cuenta de administrador integrada tendrá cuando se accede a la participación a nivel local y en la red. 56. Haga clic en Seleccione un usuario nuevo, tipoPruebaUsuario, Haga clic en
Aceptar y haga clic en Ver Acceso efectivo. Tenga en cuenta el acceso efectivo de que la prueba de usuario tendrá cuando se accede a la participación a nivel local y en la red. 57. Cierre el Explorador, pulse la tecla de Windows + R, y el tipo\\ Host4 \ simple Cuota
accederla cuota con el Explorador. Verifique que el Administrador puede abrir la carpeta ABE_TEST pero no puede crear nuevos archivos en ella porque los Ejercicios de práctica Capítulo 8
423
permisos de recurso compartido de Simple Compartir se configuran como Todo el mundo tiene permiso de lectura. 58. Cierre la sesión como administrador, e inicie sesión como usuario de
prueba. 59. PrensaTecla de Windows + R, y el tipo\\ Host4 \ simple Cuota para acceder a la
cuota de uso de Ex-plorer. Verifique que la prueba del usuario no puede ver la carpeta ABE_TEST porque basada en el acceso enumeración se ha configurado en simple Compartir y el grupo de usuarios no tiene permiso para acceder a la carpeta ABE_TEST.
424
Capítulo8 Servicios y almacenamiento de archivos
60. Cierre la sesión como usuario de prueba e inicie sesión como administrador. 61. Haga click en la simple Compartir en el azulejo Acciones en la subpágina Acciones
y seleccione Dejar de compartir. 62. Haga clic en S en el azulejo de volúmenes en la subpágina Volúmenes y seleccione
Delete Volume. Repita este paso para eliminar W también. 63. Haga clic derecho en el disco simple en el azulejo de discos virtuales en la
subpágina agrupaciones de almacenamiento y seleccione Eliminar disco virtual. Repita este paso para eliminar duplicación de disco también. 64. Haga click en la piscina 1 en el mosaico de agrupaciones de almacenamiento en la
subpágina agrupaciones de almacenamiento y seleccione Eliminar agrupación de almacenamiento. Compruebe que se muestra a la piscina primordial y que hay al menos dos discos físicos disponibles en el azulejo de discos físicos. Ahora está listo para comenzar el ejercicio de práctica siguiente.
Ejercicio 2: Aprovisionamiento y gestión de almacenamiento compartido mediante Windows PowerShell En este ejercicio, vamos a usar Windows PowerShell para crear una nueva agrupación de almacenamiento, crear discos virtuales en la piscina, crear volúmenes en los discos virtuales, y crear recursos compartidos SMB en los volúmenes. 1.
Use el cmdlet Get-DiscoFísico para verificar que al menos dos discos físicos conectados al servidor de tener la propiedad CanPool se establece en True.
2.
Tipo para mostrar el valor de la Nombre amigablepropiedad del subsistema de almacenamiento en el servidor.
3.
Tipo el siguiente comando para crear una nueva agrupación de almacenamiento denominada Pool 2 que incluye todos los discos físicos disponibles en la piscina primordial y utiliza tanto el thin provisioning y espejo de resiliencia de forma predeterminada al crear nuevos discos virtuales:
4.
Tipoel siguiente comando para crear un nuevo disco virtual denominado disco virtual 1 que es de 5 TB de tamaño y utiliza el aprovisionamiento y la configuración por defecto de resiliencia para Piscina 2:
Ejercicios de práctica Capítulo 8
425
5.
Utilice el cmdlet New-virtualDisk de nuevo para crear un segundo disco virtual denominado disco virtual 2, que es de 10 TB de tamaño y utiliza el aprovisionamiento y la configuración por defecto de resiliencia para Piscina 2.
6.
426
Use el cmdlet Get-virtualDisk para verificar que los discos virtuales son 5 TB y 10 TB de tamaño, respectivamente.
Capítulo8 Servicios y almacenamiento de archivos
7.
Tipo para mostrar información sobre los dos discos virtuales. Tenga en cuenta que los discos virtuales son fuera de línea y tener el estilo de partición RAW.
8.
Utilice el siguiente comando para inicializar ambos discos virtuales y establecer su estilo de partición a GPT:
9.
Utilice Get-disco para verificar que los dos discos están ahora en línea y tener el estilo de partición GPT.
10. Utilice el comando siguiente para crear un nuevo volumen en cada disco virtual, con
cada nuevo volumen de ser lo más grande posible y con una letra de unidad asignada automáticamente a la misma:
11. Verifique el resultado de la salida del comando anterior, y tenga en cuenta las letras
de unidad asignadas a los nuevos volúmenes. 12. Utilice el cmdlet New-Item para crear una carpeta Acciones nombradas en cada
nuevo volumen y subcarpetas de la carpeta llamada 1 y la carpeta 2, respectivamente, en cada volumen. 13. Utilice el cmdlet New-SmbShare para crear nuevas acciones SMB nombrados
Compartir 1 y 2 Compartir que se asignan a las dos carpetas locales que ha creado en el paso anterior. 14. Utilice el cmdlet Set-SmbShare para habilitar la enumeración basada en el
acceso en Compartir 2. 15. Actualice la vista en el Administrador de servidores, y verifique que todas las
tareas que ha realizado mediante Windows PowerShell lograron su resultado previsto.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
Práctica 1Utilice el SMB Compartir - opción Avanzada en el Asistente para Compartir en Nuevo para crear un recurso compartido que tiene una cuota asignada. Verifique las configuraciones de la cuota por copiar los archivos en la cuota hasta que se emita una notificación.
■
Práctica 2Crear un script de Windows PowerShell (archivo .ps1) que lleva a cabo todas las tareas en el segundo ejercicio en este capítulo. Ejecute la secuencia de comandos para la Ejercicios de práctica Capítulo 8
427
provisión de una agrupación de almacenamiento, discos virtuales, volúmenes y acciones.
428
Capítulo8 Servicios y almacenamiento de archivos
■
Práctica 3Eliminar todas las acciones, volúmenes, discos virtuales y grupos de almacenamiento que ha creado en los ejercicios 1 y 2 de este capítulo. A continuación, utilice la configuración de implementar la solución de un almacenamiento iSCSI como se describe en la lección 3, y configurar y gestionar el medio ambiente utilizando tanto el Administrador de servidores y Windows PowerShell.
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Correctorespuestas: B, C y D A.
Incorrecto: Ustedpuede crear una nueva agrupación de almacenamiento utilizando uno, varios o todos los discos físicos de la piscina primordial en el servidor.
B.
Correcto:Si no hay discos no utilizados disponibles conectados a su servidor de archivos, el Piscina primordial no se muestra en el Administrador de servidores.
C.
Correcto:Si no hay discos no utilizados disponibles conectados a su servidor de archivos, el Piscina primordial no se muestra en el Administrador de servidores.
D. Correcto:Los discos físicos se muestran en la piscina primordial sólo cuando
no tienen particiones o volúmenes creados en ellos. 2.
Correctorespuestas: A, B, y C A.
Correcto:DiskPart se basa en el servicio de disco virtual (VDS), que ahora está en desuso en Windows Server 2012. Puede seguir utilizando esta utilidad en Windows Server 2012, pero no va a trabajar con espacios de almacenamiento o con cualquier componente SMAPI o herramientas.
B.
Correcto:DiskRAID se basa en el servicio de disco virtual (VDS), que ahora está en desuso en Windows Server 2012. Puede seguir utilizando esta utilidad en Windows Server 2012, pero no va a trabajar con espacios de almacenamiento o con cualquier componente SMAPI o herramientas.
C.
Correcto:El complemento Administración de equipos en cuenta con el servicio de disco virtual (VDS), que ahora está en desuso en Windows Server 2012. Puede seguir utilizando esta utilidad en Windows Server 2012, pero no va a trabajar con espacios de almacenamiento o con cualquier componente SMAPI o herramientas.
D. Incorrecto:El espacio de nombres v1 para WMI está desfasada y en Windows
Server 2012. Ahora debe utilizar las API de gestión basados en WMIv2 Windows Storage y utilidades para la gestión de almacenamiento en la plataforma. Respuestas Capítulo 8
425
3.
Respuesta correcta: A A.
Correcto:Con el thin provisioning, el tamaño del disco virtual representa la cantidad máxima de espacio de almacenamiento físico que se puede asignar de la piscina. No hay espacio se utiliza realmente, sin embargo, hasta que los datos se almacenan en un volumen en el disco virtual, y la cantidad de espacio utilizado crecerá o disminuirá como los datos se escriben o se elimina del disco.
B.
Incorrecto:Con el aprovisionamiento fija, el tamaño del disco virtual es la cantidad real de espacio de almacenamiento físico asignado desde la piscina.
C.
Incorrecto:Con Espejo resiliencia, los datos sobre los volúmenes creados en este tipo de disco virtual se dividen entre todos los discos físicos en la piscina. Cada segmento de datos también se duplican en dos o tres discos físicos, tal como se especifica cuando se crea el disco virtual de espejo, por lo que una copia de todos los datos seguirá estando disponible si un disco físico en la piscina falla.
D. Incorrecto:Con capacidad de recuperación de paridad, los datos sobre los
volúmenes creados en este tipo de disco virtual, junto con la información de paridad que se pueden utilizar para facilitar la reconstrucción automática de datos si un disco físico falla, se dividen entre todos los discos físicos en la piscina. 4.
Correctorespuestas: A, B, y D A.
Correcto:Un mínimo de tres discos físicos se debe utilizar al implementar espacios de almacenamiento junto con Failover Clustering.
B.
Correcto:Los discos físicos deben ser SAS al implementar espacios de almacenamiento junto con Failover Clustering.
C.
Incorrecto:Los discos físicos deben pasar las pruebas de validación de clúster de conmutación por error al implementar espacios de almacenamiento junto con Failover Clustering.
D. Correcto:Sólo aprovisionamiento fija se puede utilizar al implementar espacios
de almacenamiento junto con Failover Clustering.
Lección 2 1.
Respuesta correcta: C A.
Incorrecto:Con un disco físico en la piscina, se puede aprovisionar sólo volúmenes simples. Se necesitan al menos tres discos físicos si usted planea crear volúmenes flexibles en un clúster de conmutación por error que contiene dos servidores de archivos.
B.
Incorrecto:Con dos discos físicos de la piscina, se puede volúmenes prestación resistentes, pero son necesarios al menos tres discos físicos si usted planea crear volúmenes flexibles en un clúster de conmutación por error que
426
Capítulo8 Servicios y almacenamiento de archivos
contiene dos servidores de archivos. C.
Correcto:Se necesitan al menos tres discos físicos si usted planea crear resiliente volúmenes de un clúster de conmutación por error que contiene dos servidores de archivos.
Respuestas Capítulo 8
427
D. Incorrecto:Se necesitan al menos tres discos físicos si usted planea crear
volúmenes flexibles en un clúster de conmutación por error que contiene dos servidores de archivos. El cuarto volumen se puede utilizar pero no es necesario. 2.
Respuesta correcta: D A.
Incorrecto:El cmdlet Get-StoragePool devuelve un conjunto de almacenamiento específico o un conjunto de objetos StoragePool de todos los subsistemas de almacenamiento a través de todos los proveedores de almacenamiento, u opcionalmente devuelve un subconjunto filtrado basado en parámetros específicos.
B.
Incorrecto:El cmdlet Get-virtualDisk devuelve una lista de objetos virtualDisk en todas las agrupaciones de almacenamiento y en todos los proveedores, u opcionalmente devuelve un subconjunto filtrado basado en criterios proporcionados.
C.
Incorrecto:El cmdlet Get-DiscoFísico devuelve una lista de todos DiscoFísico objetos visibles a través de cualquier proveedor de gestión de almacenamiento disponibles, u opcionalmente devuelve una lista filtrada.
D. Correcto:El cmdlet Get-StorageSubsystem devuelve un solo
StorageSubsystemobjeto o un conjunto de objetos subsistema, dependiendo de los parámetros dados. La información devuelta incluye el nombre descriptivo, estado de salud y el estado operativo de cada subsistema de almacenamiento en el servidor. 3.
Correctorespuestas: A, C, y D A.
Correcto: Ustedpuede utilizar el Administrador de servidores o Windows PowerShell para extender un disco virtual.
B.
Incorrecto: Ustedno se puede reducir el tamaño del disco virtual.
C.
Correcto: Ustedpuede utilizar el Administrador de servidores o Windows PowerShell para separar un disco virtual
D. Correcto: Ustedpuede utilizar el Administrador de servidores o Windows
PowerShell para eliminar un disco virtual 4.
Correctoresponder: A, B, y C A.
Correcto:Utilice el SMB Compartir - opción rápida si usted necesita para crear una generalización compartido SMB propósito para el intercambio de archivos.
B.
Correcto:Utilice el SMB Compartir - opción Avanzada si necesita configurar las cuotas en su acción o práctica de clasificación de archivos.
C.
Correcto:Utilice el SMB Compartir - opción Application si la cuota será utilizado por hosts Hyper-V para el almacenamiento compartido, por una aplicación de base de datos, y para otras aplicaciones de servidor.
D. Incorrecto:Crear un recurso compartido NFS si usted necesita utilizar para compartir
428
archivos en la heterogénea entornos que incluyen tanto los ordenadores no son de Windows de Windows y.
Capítulo8 Servicios y almacenamiento de archivos
Lección 3 1.
Correctorespuestas: A, B, y C A.
Correcto:En la implementación de un iniciador iSCSI de Windows Server 2012, el iniciador IQN se ve así:
Porque "SRV4-finanzas-objetivo" no está en la forma apropiada para un FQDN, la cadena no puede ser el IQN del iniciador iSCSI. B.
Correcto:En la aplicación del Iniciador iSCSI de Windows Server 2012, un iniciador IQN se ve así:
Porque "SRV4-finanzas-objetivo" no está en la forma apropiada para un FQDN, la cadena no puede ser el IQN del iniciador iSCSI. C.
Correcto:En la implementación de un servidor de destino iSCSI de Windows Server 2012, el objetivo IQN se ve así:
Porque "SRV4-finanzas-objetivo" es de esta forma, la cadena es el IQN de destino iSCSI llamado "financiación" en un portal de destino llamado "SRV4." D. Incorrecto:En la implementación de un servidor de destino iSCSI de
Windows Server 2012, el objetivo IQN se ve así:
Porque "SRV4-finanzas-objetivo" es de esta forma, la cadena es el IQN de destino iSCSI. Sin embargo, las "finanzas" es el nombre del objetivo, no el portal de destino. El nombre del portal de destino es "SRV4." 2.
Correctorespuestas: A, B, y C A.
Correcto:Desafío Protocolo de autenticación mutuo (CHAP) es un nivel básico de seguridad iSCSI que se utiliza para autenticar el homólogo de una conexión y se basa en que los homólogos comparten un secreto.
B.
Correcto:Autenticación telefónica de usuario (RADIUS) a distancia es un estándar que se utiliza para el mantenimiento y la gestión de la autenticación de usuario y la validación. A diferencia de CHAP, autenticación con RADIUS no se realiza entre pares, pero entre un servidor y un cliente RADIUS. Para utilizar este nivel de seguridad con iSCSI, debe tener un servidor RADIUS que se ejecuta en la red, o debe implementar una.
C.
Correcto:Protocolo de seguridad de Internet (IPsec) es un protocolo que impone la autenticación y el cifrado de datos en la capa de paquete IP. IPsec se puede utilizar, además de CHAP o autenticación RADIUS para proporcionar Respuestas Capítulo 8
429
un nivel adicional de seguridad para iSCSI.
430
Capítulo8 Servicios y almacenamiento de archivos
D. Incorrecto:Configuración de los destinos iSCSI para permitir conexiones
desde iniciadores con un IQN de "IQN: *" en realidad debilita la seguridad de su entorno, ya que permite que cualquier iniciador para acceder al destino. 3.
Correctorespuestas: A, B, y C A.
Correcto:El cmdlet Get-IscsiConnection obtiene información acerca de las conexiones de iniciador iSCSI conectados. La salida de este comando no incluye la asignación de LUN a un destino iSCSI.
B.
Correcto:El cmdlet Get-IscsiServerTarget obtiene objetivos iSCSI y sus propiedades asociadas desde el servidor local o especificado ordenador. La salida de este comando incluye la asignación de LUN para los objetivos iSCSI en el servidor de destino.
C.
Correcto:El cmdlet Register-IscsiSession registra una sesión iSCSI activo a ser persistentes utilizando el identificador de sesión como entrada. La salida de este comando no incluye la asignación de LUN a un destino iSCSI.
D. Incorrecto:El cmdlet Get-IscsiTarget devuelve información sobre objetivos
iSCSI conectados. La salida de este comando no incluye la asignación de LUN a un destino iSCSI.
Respuestas Capítulo 8
431
C HA P T E R 9
Servicios de impresión y documentos M
impresoras U Í y servidores de impresión no es uno de los trabajos más interesantes de la TI administrador, pero es muy importante. La llamada "oficina sin papeles" no podría llegar, a pesar de los numerosos avances en hardware y software de ordenador en los últimos años. Como resultado, los administradores necesitan saber cómo implementar, configurar y administrar servidores de impresión de Microsoft Windows en entornos empresariales. Y eso es lo que este capítulo se trata.
Lecciones en este capítulo: ■
Lección 1: implementación y administración de servidores de impresión431
■
Lección 2: Administración de servidores de impresión con Windows PowerShell450
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Usted necesita saber cómo realizar una instalación limpia de Windows Server 2012 y realizar tareas de configuración iniciales, como la configuración de los ajustes TCP / IP del servidor de conectividad a Internet.
■
Usted necesita saber cómo promover un servidor que ejecuta Windows Server 2012 como un controlador de dominio.
■
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Lección 1: implementación y administración de servidores de impresión Ustedpuede usar el Administrador del servidor para centralizar el despliegue de Windows Server 2012 los servidores de impresión. Una vez que la impresión y papel 432
Capítulo9 Servicios de impresión y documentos
Servicios documento se ha instalado en servi- dores remotos, puede utilizar la consola Administración de impresión para configurar y administrar los servidores de impresión, impresoras y controladores de impresora. También puede utilizar la consola para implementar y administrar conexiones de impresora para los clientes de la red.
431
Utilice el Administrador de servidores para instalar diferentes servicios de rol del rol Servicios de impresión y documentos. Utilice el Administrador de servidores para instalar las herramientas de administración de papel para la impresión y documentos. Utilice la consola de Administración de impresión para administrar servidores de impresión, controladores de impresora e impresoras.
Implementar conexiones de impresora a los usuarios y equipos cliente mediante la directiva de grupo. Sea consciente de las herramientas utilizadas para la migración de las colas de impresión y controladores de impresora desde los servidores de impresión que ejecutan versiones anteriores de Windows Server.
Implementación de impresiónservidores Implementación de servidores de impresión en un entorno empresarial implica realizar las siguientes tareas: ■
Instalación del servicio de rol de servidor de impresión y, opcionalmente, otros servicios de rol del rol Servicios de impresión y documentos en los servidores de destino en su entorno.
■
Instalación de la impresión y documentos Herramientas figurar en el equipo o equipos que va a utilizar para gestionar los servidores de impresión e impresoras en su entorno.
Las siguientes secciones muestran cómo realizar estas tareas mediante el Administrador de servidores.
Instalación del servicio de rol Servidor de impresión Ustedpuede utilizar el Agregar roles y características Asistente para implementar servidores de impresión en el servidor local o en servidores remotos que ejecutan Windows Server 2012. Por ejemplo, para configurar el servidor local como servidor de impresión, lleve a cabo las siguientes tareas: 1.
Inicie el Agregar roles y características Asistente desde el menú Administrar en la barra de herramientas del Administrador de servidores.
2.
Basado en roles Select O instalación de características basadas en, y luego seleccione el servidor local desde el grupo de servidores.
3.
En la página Seleccionar funciones de servidor, seleccione la función Servicios de impresión y documentos y haga clic en Aceptar cuando se le pida para instalar las herramientas de gestión para este papel.
4. 434
En la página Seleccionar servicios de función, seleccione el servicio de rol
Capítulo9 Servicios de impresión y documentos
Servidor de impresión y continúe con los pasos restantes del asistente.
431
Autilizar el Administrador de servidores para configurar un servidor remoto como servidor de impresión, siga estos pasos: 1.
Asegúrese de que el servidor remoto se ha añadido al grupo de servidores en el equipo que está ejecutando el Administrador de servidores en.
2.
Inicie el Agregar roles y características Asistente desde el menú Administrar en la barra de herramientas del Administrador de servidores y seleccione basado en roles o instalación de características basada.
3.
Seleccione el servidor remoto desde el grupo de servidores y luego proceder con los pasos res- tantes del asistente.
Instalación de otros servicios de rol Como muestra la Figura 9-1, hay servicios de función adicionales de la impresión y papel Servicios de documento que se puede instalar al configurar un servidor que ejecuta Windows Server 2012 como servidor de impresión. Estos otros servicios de función son opcionales y proporcionan las siguientes capacidades: ■
Servidor de digitalización distribuidaEste servicio de función proporciona un servicio que puede recibir documentos escaneados de escáneres de red y la ruta de los documentos a sus destinos correctos. Al instalar este servicio de función, la Administración de digitalización complemento también se instala, y se puede utilizar este complemento para administrar los escáneres de red y configurar los procesos de digitalización. Debido a que un complemento se instala junto con este servicio de función, no puede instalar Servidor de digitalización distribuida en una instalación Server Core de Windows Server 2012. Distributed Scan Server se introdujo por primera vez en Windows Server 2008 R2 y no ha cambiado significativamente en Windows Server 2012. Para obtener más información sobre us/library/jj134196 .
■
esta
función,
consultehttp://technet.microsoft.com/en-
Impresión en InternetEste servicio de función instala el servidor web (IIS) y crea un nuevo sitio web que los usuarios pueden utilizar para gestionar sus trabajos de impresión. Impresión en Internet también permite a los usuarios que tienen el Cliente de impresión en Internet instalado en sus equipos a utilizar un navegador web para abrir http: // / impresoras con el fin de conectarse e imprimir en impresoras compartidas en un servidor de impresión de Windows utilizando el protocolo de impresión de Internet (IPP) . Los equipos cliente que ejecutan Windows 7 y más tarde pueden instalar Impresión en Lección 1: implementación y administración de servidores de impresión
Capítulo 9
433
Internet Client como una característica opcional en la caja. Impresión en Internet e IPP se introdujeron por primera vez en Windows Server 2003. La característica se ha mejorado en Windows Server 2008 y no ha cambiado significativamente desde entonces. Para obtener más información sobre esta función, consultehttp://technet.microsoft.com/en-us/library/ ee126092 (v = WS.10) .aspx. ■
434
Line Printer Daemon (LPD) ServicioEste servicio de función permite UNIX basados en computadoras y de utilizar el mando de Line Printer (LPR) Servicio de imprimir en común basado en Linux
Capítulo9 Servicios de impresión y documentos
impresoras en un servidor de impresión de Windows. LPD y LPR se introdujeron por primera vez en Windows 2000 Server como parte de los Servicios de impresión para Unix componente. Para obtener información sobre el uso de LPD y LPR, consultehttp://technet.microsoft.com/en-us/library/cc976747.aspx . A partir de Windows Server 2012, los servicios LPD LPR y ahora se consideran obsoletos. Esto significa que el apoyo a estos servicios probablemente será eliminado en futuras versiones de Windows Server.
FIGURA 9-1Configuración de un servidor como servidor de impresión.
Instalación de la impresión y documentos característica Herramientas La impresión y documentos Tools es una subfunción de la sección Herramientas de administración de funciones de la característica Herramientas de administración de servidor remoto. No es necesario instalar los impresión y documentos Tools en los servidores remotos en el que se instala la función del servidor de impresión. En su lugar, instale la impresión y documentos Herramientas cuentan en el equipo que va a utilizar para gestionar todos los servidores de impresión en su entorno. Este equipo puede ser uno de los siguientes: Lección 1: implementación y administración de servidores de impresión
Capítulo 9
435
■
436
Un servidor que ejecuta Windows Server 2012, en cuyo caso se puede utilizar el Agregar roles y características Asistente, como se muestra en la Figura 9-2, para instalar la impresión y documentos Herramientas cuentan en el servidor.
Capítulo9 Servicios de impresión y documentos
■
Un equipo cliente que ejecuta Windows 8, en cuyo caso puede instalar las Herramientas de administración remota del servidor (RSAT) para Windows 8 y habilitar la impresión y documentos Herramientas característica en el equipo.
FIGURA 9-2Instalación de las herramientas de administración de servidores de impresión.
Instalación de los impresión y documentos Tools en una computadora instala las siguientes herramientas para administrar servidores de impresión e impresoras: ■
Imprimir Gestión de Microsoft Management Console (MMC) en
■
Módulo PrintManagement para Windows PowerShell
El resto de esta lección se centra en utilizar el complemento Administración de impresión para administrar los servidores de impresión e impresoras en su entorno, mientras Lección 2 más adelante en este capítulo se describe cómo utilizar los cmdlets de Windows PowerShell en el módulo PrintManagement por hacer lo mismo.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
437
Gerente impresoras mediante Administración de impresión La Administración de impresión snap-in se introdujo por primera vez en Windows Server 2003 R2. A continuación, el complemento se ha mejorado con nuevas funcionalidades y mejoras de rendimiento y escalabilidad, por primera vez en Windows Server 2008 y luego en Windows Server 2008 R2. El complemento no ha cambiado significativamente, sin embargo, en Windows Server 2012. Esta es una buena noticia para los administradores de Windows, ya que significa que pueden hacer uso de su conocimiento existente de la forma de gestionar los servidores de impresión que ejecutan versiones anteriores de Windows Server. Como resultado de esto, la siguiente discusión acerca de cómo utilizar este complemento para administrar servidores de impresión e impresoras serán concisos y cubrirá únicamente las siguientes tareas: ■
Lanzamiento de Administración de impresión
■
Gestión de servidores de impresión
■
La gestión de los controladores de impresora
■
Gestión de impresoras
■
Implementación de conexiones de impresora
■
Migración de servidores de impresión
Lanzamiento de Administración de impresión Instalación del rol Servicios de impresión y documentos y sus herramientas de gestión de papel da lugar a una nueva página llamada Servicios de impresión que se añade a Administrador de servidores. (Ver Figura 9-3.) Con esta nueva página, usted puede hacer lo siguiente:
438
■
Ver eventos relacionados con la impresión
■
Reinicie el servicio de cola de impresión si es necesario
■
Iniciar contadores de rendimiento en el servidor de impresión
■
Ver una lista de los servicios de rol instalados para la impresión y papel Servicios documento
Capítulo9 Servicios de impresión y documentos
FIGURA 9-3La página de Servicios de impresión en el Administrador de servidores.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
439
Usted También puede iniciar la consola de Administración de impresión en el menú Herramientas en el Administrador de servidores. Cuando Administración de impresión se abre en el servidor de impresión, el anfitrión local es visible en el árbol de la consola a menos que haya sido retirado. Puede agregar otros servidores de impresión a la consola para que pueda administrarlos haciendo lo siguiente: 1.
Haga clic en el nodo Servidores de impresión y seleccione Agregar / Quitar Servidores para abrir el Agregar / Quitar Servidores cuadro de diálogo:
2.
Si el servidor local no está visible, haga clic en Agregar el servidor local.
3.
En el cuadro de texto Agregar servidores, escriba el nombre de un servidor de impresión remoto que desea administrar y haga clic en Añadir a la lista. También puede buscar otros servidores de impresión en la red.
4.
Haga clic en Aceptar cuando haya terminado.
Por ejemplo, la Figura 9-4 muestra Administración de impresión que se utiliza para gestionar dos servidores de impresión:
440
■
El servidor llamado Host4 locales
■
Un HOST7 servidor remoto llamado
Capítulo9 Servicios de impresión y documentos
FIGURA 9-4Gestión de servidores de impresión utilizando la consola Administración de
impresión.
El árbol de la consola de Administración de impresión tiene los siguientes nodos: ■
■
Administración de impresiónEste nodo raíz le permite agregar o quitar servidores de impresión y migrar impresoras. Filtros personalizadosEste nodo le permite ver rápidamente todas las impresoras, todos los controladores de impresora, todas las impresoras que no están listas para imprimir, o todas las impresoras que se espera de los trabajos de impresión. También puede utilizar este nodo para crear nuevos filtros de su propio para filtrar las impresoras o controladores de impresora de acuerdo a las condiciones que especifique.
■
Servidores de impresiónEste nodo muestra todos los servidores de impresión siendo gestionados por la consola como subnodos. También puede utilizar este nodo para agregar o quitar servidores de impresión desde la consola como se describió anteriormente.
■
Cada nodo que muestra el nombre de un servidor de impresión le permite administrar el servidor de impresión, agregar impresoras a la misma, y realizar otras tareas de administración. Cada nodo de servidor de impresión también tiene cuatro subnodos que le permiten ver y administrar los controladores de impresora, formas impresoras, puertos de impresora e impresoras.
■
Impresoras implementadasEste nodo le permite ver las impresoras que se han desplegado mediante Directiva de grupo.
Las secciones siguientes proporcionan más detalles para realizar algunas de estas tareas.
Gestión de servidores de impresión Al hacer clic derecho en un servidor de impresión y seleccionando Propiedades, puede ver o Lección 1: implementación y administración de servidores de impresión
Capítulo 9
441
modificar las propiedades del servidor de impresión. Por ejemplo, la Figura 9-5 muestra la pestaña de Seguridad, que se utiliza como si se debe permitir a imprimir en el servidor para configurar sus permisos ure para diferentes grupos y usuarios en su entorno para controlar este tipo de cosas. Por ejemplo, si desea restringir el uso de impresoras en el servidor de impresión en particular a los usuarios de un determinado departamento, usted podría quitar
442
Capítulo9 Servicios de impresión y documentos
la entrada permisos de Todos que aparece en el área de usuario de nombres de grupos o y añadir una nueva entrada para un grupo de seguridad al que los usuarios de ese departamento pertenecen.
FIGURA 9-5Configuración de permisos de impresión para un servidor de impresión.
Otras tareas de administración que puede realizar usando la página de propiedades de un servidor de impresión incluyen ■
La creación de nuevas formas para requisitos fines de impresión especiales ejemplo, para la impresión de tarjetas de nota o papel afiche.
■
Adición de nuevos puertos de impresora, entre ellos los dos puertos locales y puertos TCP / IP estándar. Por ejemplo, antes de conectar una nueva impresora de red, debe crear un puerto TCP / IP estándar para él.
■
Adición de nuevos controladores de impresora al ejemplo del servidor-a, cuando se le implementando nuevas impresoras para las que Windows Server 2012 no tiene controladores en-caja.
■
Cambio de la ubicación de la carpeta de ejemplo de cola de impresión, si el volumen de la carpeta se encuentra actualmente en está casi lleno.
■
Mostrar u ocultar las notificaciones informativas para las impresoras.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
443
444
Capítulo9 Servicios de impresión y documentos
La gestión de los controladores de impresora Como se muestra en la Figura 9-6, el nodo Drivers debajo de cada nodo de servidor de impresión muestra una lista de los controladores de impresora instalados actualmente en el servidor. Algunas de las tareas que puede realizar con los controladores instalados incluyen ■
Eliminación del controlador, que desinstala el controlador de la impresora, pero deja el paquete de controladores en el almacén de controladores en caso de que quiera volver a instalar el controlador en una fecha posterior.
■
Extracción del paquete de controladores, que desinstala el controlador de impresora y completamente elimina el paquete de controladores del almacén de controladores. Si más adelante desea volver a instalar el controlador, tendrá que proporcionar el software del controlador.
■
Viendo detalles adicionales de controladores en la página Propiedades para el ejemplo de conductor para, el tipo de controlador, controlador de ruta, y los nombres de los diversos archivos del controlador.
■
Configurar el aislamiento del conductor, que permite a los controladores de impresora que se ejecuten en los procesos que están separados del proceso en el que el servicio de cola de impresión se ejecuta. Los conductores pueden ejecutar en modo de aislamiento sólo si han sido diseñados específicamente para ser capaz de ejecutar en un proceso aislado o compartido separado del proceso de cola de impresión. Los modos de aislamiento disponibles incluyen ■
■
■
CompartidoEl conductor se ejecuta en un proceso compartido con otros controladores de impresora, pero separada del proceso de cola de impresión. AisladoEl conductor se ejecuta en un proceso que es independiente de otros controladores de impresora y del proceso de cola de impresión. Ninguno El conductor se ejecuta en el proceso de cola de impresión.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
445
FIGURA 9-6Configurar el aislamiento del conductor de un controlador de impresora.
440
Capítulo9 Servicios de impresión y documentos
UstedTambién puede hacer clic derecho sobre el nodo Drivers para un servidor de impresión y seleccione una de las siguientes opciones: ■
■
Añadir ConductorSeleccione esta opción para iniciar el Asistente para agregar controladores de impresora, lo que le permite instalar nuevos controladores de impresora desde medios de instalación que proporcione. Administrar DriversSeleccione esta opción para mostrar la ficha Controladores de la página Propiedades del servidor de impresión, como se muestra en la Figura 97, que se utiliza para mostrar el nombre, el procesador, y el tipo de cada controlador de impresora instalado en el servidor.
FIGURA 9-7Visualización de los controladores instalados en un servidor de impresión.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
447
Windows Server 2012 servidores de impresión compatibles con la instalación de dos tipos de controladores de impresora: ■
controladores de impresora v4Este tipo de controlador de la impresora es nueva en Windows Server 2012. Estos controladores tienen una huella de disco más pequeño, puede soportar múltiples dispositivos, apoyar el aislamiento del conductor por lo que no van a bloquear la aplicación haciendo la impresión si el controlador de la impresora no funciona, y no requieren la instalación de controladores que responden a la arquitectura cliente. Los controladores de impresora v4 vienen en dos subtipos: ■
■
■
Drivers de impresión-ClassEstos controladores admiten las funciones de un amplio conjunto de dispositivos que utilizan la misma impresora lenguaje de descripción, como PCL, PS, o XPS. Drivers específicas del modeloEstos controladores están diseñados para modelos de impresoras específicas.
v3controladores de impresoraEste tipo de conductor se introdujo en Windows 2000 y fue utilizado a través de Windows Server 2008 R2.
MUNDO REALSPRAWL CONDUCTOR
Gestión de impresoras Al hacer clic derecho en el nodo Impresoras de cualquier servidor de impresión inicia el Asistente de instalación de impresoras de red se muestra en la Figura 9-8. Puede utilizar este asistente para buscar impresoras en la red, añada una impresora de red utilizando un puerto de impresora existente o crear un nuevo puerto para agregar la nueva impresora.
442
Capítulo9 Servicios de impresión y documentos
FIGURA 9-8Instalación de una nueva impresora de red TCP / IP.
Selección del nodo Impresoras le permite ver y administrar las impresoras que se han instalado en el servidor de impresión. Como se muestra en la Figura 9-9, las tareas que se pueden realizar en una impresora incluye ■
La apertura de la cola de impresión para ver, pausar, reanudar, reiniciar o cancelar trabajos de impresión pendientes en la impresora.
■
Añadir la impresora en Active Directory para facilitar a los usuarios la búsqueda de impresoras en el directorio.
■
Implementación de la impresora para usuarios o equipos de destino utilizando la directiva de grupo.
■
Impresión de una página de prueba para verificar que la impresora está funcionando correctamente.
■
La apertura de la página Propiedades de la impresora para gestionar los distintos ajustes disponibles.
■
Habilitación Sucursal Impresión directa, una nueva característica de Windows Server 2012 que ayuda a sitios sucursales reducir su red de área amplia (WAN) uso imprimiendo directamente a un dispositivo de impresión en lugar de poner en cola los trabajos de impresión a una cola de impresión en el servidor de impresión. Sucursal Impresión directa requiere servidores de impresión que ejecuta los equipos cliente de Windows Server 2012 y para ser con Windows 8. Para obtener más información sobre esta función, consultehttp://technet.microsoft.com/en-us/library/jj134156 yhttp: // TechNet. microsoft.com/en-us/library/jj134152.aspx.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
443
FIGURA 9-9La gestión de una impresora instalada en un servidor de impresión.
Como muestra la figura 9-10, la página Propiedades de una impresora haya varios ajustes agrupados en diferentes pestañas de la siguiente manera: ■
■
General Usted utilizar esta ficha para especificar la ubicación de la impresora, configurar la impresión preferencias, e imprimir una página de prueba. CompartiendoUstedutilizar esta ficha para compartir o dejar de compartir la impresora, especifique si desea render trabajos de impresión en equipos cliente, y especificar si la impresora debe estar listado en el directorio.
■
Puertos Usted utilizar esta ficha para seleccionar el puerto de impresora para la impresora, agregar nuevos puertos, y configurar o eliminar puertos existentes. (Ver Figura 9-10.) También puede crear un grupo de impresión para distribuir automáticamente los trabajos de impresión a la siguiente impresora disponible cuando se necesita grandes volúmenes de impresión para su entorno. Un grupo de impresión consiste en una sola impresora lógica conectada a múltiples dispositivos de impresión físicas utilizando varios puertos en el servidor de impresión. Con cola de la impresora, el dispositivo de impresión física que está inactivo recibe el siguiente documento enviado a la impresora lógica.
■
AvanzadoUstedutilizar esta ficha para especificar si la impresora está disponible, la prioridad de la impresora, cómo se deben en cola documentos, páginas de separación, y varios otros ajustes de la impresora. Mediante la creación de varias impresoras lógicas que se imprimen en el mismo dispositivo de impresión física, asignar diferentes prioridades a cada impresora lógica, la creación de los diferentes grupos de usuarios que deben tener diferentes niveles de prioridad en el acceso al dispositivo de impresión, y la configuración de permisos para cada grupo utilizando la pestaña de Seguridad , puede permitir que los documentos impresos por los usuarios con acceso de alta prioridad para eludir una cola de documentos de prioridad más
444
Capítulo9 Servicios de impresión y documentos
baja que están esperando para ser impreso en el dispositivo.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
445
■
SeguridadUstedutilizar esta ficha para configurar permisos que controlen cómo los diferentes grupos o los usuarios pueden utilizar la impresora. De forma predeterminada, la identidad incorporada Todo el mundo tiene el permiso de impresión configurado como Permitir, mientras que el grupo Administradores construir-en en el servidor tiene la impresión, esta impresora Administrar y gestionar documentos permisos configurados como Permitir.
■
Configuración del dispositivoUstedutilizar esta ficha para especificar la configuración para el dispositivo de impresión, como la forma de asignación de bandeja.
FIGURA 9-10Configuración de un puerto TCP / IP estándar para una impresora de red instalado en el
servidor de impresión.
Otra característica del complemento Administración de impresión se extiende en Vista, que se utiliza para ver y gestionar los trabajos de impresión pendientes para la impresora seleccionada. (Ver Figura 9-11.) Extended View está activado haciendo clic derecho en el nodo Impresoras de un Show servidor de impresión y seleccionando Vista desde el menú contextual extendido.
446
Capítulo9 Servicios de impresión y documentos
FIGURA 9-11Cancelación de un trabajo de impresión en espera usando Vista ampliada.
Implementación de conexiones de impresora Una de las opciones disponibles en el menú contextual al hacer clic en una impresora se llama Deploy Con la directiva de grupo. Al seleccionar esta opción se abre el cuadro de diálogo que se muestra en la Figura 9-12, que se utiliza para asociar la impresora con un objeto específico de la directiva de grupo (GPO) para permitir la conexión de la impresora que se desplegarán automáticamente a usuarios o equipos dirigidos por el GPO. Este método de implementación de las impresoras es útil cuando los usuarios de los equipos cliente son res US- estándar y no los administradores locales en sus equipos, ya que los usuarios normales no tienen privilegios suficientes para poder instalar impresoras en sus equipos.
FIGURA 9-12Implementación de una conexión de la impresora a un cliente mediante Directiva de
grupo.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
447
Migración servidores de impresión Los administradores que están migrando la infraestructura de su organización a partir de versiones anteriores de Windows Server para Windows Server 2012 también va a querer migrar sus servidores de impresión a la nueva plataforma. Instalación de la impresión y documentos Herramientas característica le proporciona las siguientes herramientas para migrar de servidores de impresión que ejecuta Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 o Windows Server 2008 R2: ■
El Asistente para migración de impresoras se muestra en la Figura 9-13, que se puede lanzar desde la consola de Administración de impresión con un clic derecho en el nodo raíz en el árbol de la consola y seleccionando Migrar impresoras.
■
448
Herramienta de línea de comandos La Printbrm .exe,que se encuentra en la carpeta% windir \% System32 \ spool \ tools.
Capítulo9 Servicios de impresión y documentos
FIGURA 9-13Uso de la impresora Asistente para la migración.
ro
Resumen de la lección ■
Administrador del servidor se puede utilizar para instalar Print y el papel Document Services servicios y herramientas de gestión en el servidor o servidores remotos locales que ejecutan Windows Server 2012.
■
Las funciones que están en desuso en Windows Server 2012 deben por lo general no pueden implementar ya que pueden ser retirados en futuras versiones de Windows Server.
■
La consola Administración de impresión se puede utilizar para implementar, configurar y administrar de impresión servidores, controladores de impresora e impresoras.
■
Conexiones de la impresora se pueden implementar para los usuarios y los equipos cliente mediante la directiva de grupo.
■
Windows Server 2012 incluye herramientas para migrar las colas de impresión y controladores de impresora desde los servidores de impresión que ejecutan versiones anteriores de Windows Server.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de las siguientes tareas debe realizar para poder gestionar los servidores de Lección 1: implementación y administración de servidores de impresión
Capítulo 9
449
impresión que ejecuta Windows Server 2012 desde una sola estación de trabajo con Windows 8? (Elija todas las que correspondan.)
450
Capítulo9 Servicios de impresión y documentos
A.
Instale RSAT para Windows 8 en la estación de trabajo y habilitar las herramientas de administración remota necesarias.
B.
Haga gestión remota segura está habilitada en los servidores de impresión.
C.
Agregue los servidores de impresión al grupo de servidores en el Administrador de servidores.
D. Agregue los servidores de impresión para el árbol de consola, en Administración de impresión. 2.
¿Cuál de los siguientes nodos en el árbol de la consola de Administración de impresión le permite instalar nuevos controladores de impresora en un servidor de impresión? (Elija todas las que correspondan.) A.
El nodo Administración de impresión
B.
El nodo Servidores de impresión
C.
Un nodo que representa un servidor de impresión
D. El nodo Drivers debajo de un nodo que representa un servidor de impresión 3.
Ustedquieren mejorar la fiabilidad de los servicios de impresión en su entorno mediante la ejecución del controlador de la impresora para cada controlador de impresora instalado en el servidor de impresión en un proceso separado que está aislado del servicio de cola de impresión en el servidor. ¿Qué conjunto de requisitos le permitirá alcanzar este objetivo? (Elija todas las que correspondan.) A.
Los controladores de impresora pueden ser del tipo v3 mayor, siempre y cuando el archivo INF del conductor indica que el controlador es compatible con el aislamiento del conductor. Una vez instalados los controladores, debe utilizar Administración de impresión para configurar Conjunto de aislamiento del conductor al valor compartido.
B.
Los controladores de impresora pueden ser del tipo v3 mayor, siempre y cuando el archivo INF del conductor indica que el controlador es compatible con el aislamiento del conductor. Una vez instalados los controladores, debe utilizar Administración de impresión para configurar Conjunto de aislamiento del conductor al valor aislado.
C.
Los controladores de impresora son del tipo v4 más reciente. Una vez instalados los controladores, debe utilizar Administración de impresión para configurar Conjunto de aislamiento del conductor al valor compartido.
D. Los controladores de impresora son del tipo v4 más reciente. Una vez instalados
los controladores, debe utilizar Administración de impresión para configurar Conjunto de aislamiento del conductor al valor aislado.
Lección 1: implementación y administración de servidores de impresión
Capítulo 9
451
Lección 2: Administración de servidores de impresión con Windows PowerShell Aunque el complemento Administración de impresión en el se puede utilizar para la gestión de servidores de impresión y las impresoras en todos los tamaños de los ambientes, Windows PowerShell ofrece algo más, es decir, la capacidad de automatizar la gestión de los servidores de impresión e impresoras de la línea de comandos o mediante el uso de scripts. Los administradores que necesitan para llevar a cabo ciertas tareas de gestión en varias ocasiones en un gran número de impresoras encontrarán esta capacidad invaluable. Esta lección muestra algunas de las formas que puede utilizar Windows PowerShell para administrar servidores de impresión, impresoras y controladores de impresora.
Uso de Windows PowerShell para ver información acerca de las impresoras, los controladores de impresora y los trabajos de impresión. Uso de Windows PowerShell para administrar impresoras, controladores de impresora y los trabajos de impresión.
Visualización de la informaciónacerca de las impresoras, los controladores de impresora y los trabajos de impresión Windows Server 2012 incluye un nuevo módulo de Windows PowerShell llamado PrintManagement que contiene los cmdlets que puede utilizar para ver y administrar impresoras, controladores de impresora y los trabajos de impresión. Puede usar el cmdlet Get-Command para mostrar una lista de cmdlets PrintManagement de la siguiente manera:
450
Capítulo9 Servicios de impresión y documentos
Las siguientes secciones describen cómo realizar las siguientes tareas: ■
Recuperar una lista de las impresoras instaladas en un servidor de impresión
■
Ver información sobre trabajos de impresión pendientes
■
Ver información sobre las impresoras
■
Ver información sobre los controladores de impresora y puertos
Recuperar una lista de las impresoras instaladas en un servidor de impresión Usted puede usar el cmdlet Get-impresora para mostrar una lista de las impresoras instaladas en el servidor de impresión. Por ejemplo, el siguiente comando muestra que hay cuatro impresoras instaladas en un servidor de impresión HOST7 remoto denominado:
Usted puede canalizar la salida del comando anterior en el cmdlet Where-Object para determinar cuál de estas impresoras son compartidas:
Visualización de información sobre trabajos de impresión pendientes Utilizando el cmdlet Get-impresora de la siguiente manera indica que una de las impresoras en HOST7 tiene error de su estado:
Lección 2: Administración de servidores de impresión con Windows PowerShell
Capítulo 9
451
A ver más información sobre la causa de este error, puede usar el cmdlet Get-PrintJob así:
El primer trabajo de impresión en la cola (trabajo # 3) es la generación de la condición de error. Usted puede encontrar más información sobre este trabajo de la siguiente manera:
El hecho de que el estado del trabajo incluye retenidas sugiere que, o bien el trabajo de impresión está dañado o el dispositivo de impresión está en línea o fuera de papel. De cualquier manera, el usuario Karen Berg, probablemente se debe informar porque el trabajo de impresión pertenece a ella. UstedTambién puede utilizar la canalización de Windows PowerShell con ciertas combinaciones de cmdlets en el módulo PrintManagement. Por ejemplo, se puede canalizar la salida del cmdlet Get-impresora en el cmdlet Get-PrintJob para ver todos los trabajos de impresión pendientes en todas las impresoras instaladas en un servidor de impresión:
Visualización de la información acerca de las impresoras Ustedpuede usar el cmdlet Get-PrinterConfiguration para mostrar los ajustes de configuración de un en particular de la impresora:
El uso de la tubería también le permite mostrar los valores de configuración para todas las impresoras instaladas en un servidor de impresora remota: 452
Capítulo9 Servicios de impresión y documentos
Si desea una lista de todas las impresoras de color instalados en HOST7, puede hacerlo de esta manera:
Otra cmdlet Get-PrinterProperty le permite mostrar propiedades adicionales para una impresora instalada como esto:
Visualización de la información acerca de los controladores de impresora y puertos A principios de esta lección, que utilizó el cmdlet Get-impresora anterior a la lista de las impresoras instaladas en HOST7 servidor de impresión:
Lección 2: Administración de servidores de impresión con Windows PowerShell
Capítulo 9
453
Los controladores de los dos impresoras HP tienen "Driver Class" en sus nombres, lo que indica que son los conductores v4, y el controlador para la impresora Microsoft XPS Document Writer es claramente un conductor v4 también. Pero ¿qué pasa con el controlador de Samsung? El controlador de esta impresora no tiene ni "v4" ni "Conductor Clase" en su nombre de controlador, por lo que podría ser un conductor v3 en lugar de un tipo v4? Una manera fácil de determinar esto es usar el cmdlet Get-PrinterDriver así:
Claramente, el conductor Samsung es del tipo v4. Otra cmdlet útil es Get-puerto de impresora, lo que le permite recuperar una lista de puertos de impresora instalados en un servidor de impresión. Por ejemplo, el siguiente comando muestra información acerca de todos los puertos en HOST7 del tipo estándar TCP / IP:
454
Capítulo9 Servicios de impresión y documentos
Gerenteimpresoras, controladores de impresora y los trabajos de impresión Usted puede usar Windows PowerShell no sólo para ver información acerca de las impresoras, los controladores de impresora y los trabajos de impresión en los servidores de impresión remotos, sino también para administrar impresoras, controladores de impresión y trabajos de impresión. Las siguientes secciones muestran dos ejemplos de esto, en concreto: ■
Cancelación de un trabajo de impresión
■
Instalación de una impresora de red
Eliminación de un trabajo de impresión En una sección anterior de esta lección, vio que uno de los trabajos de impresión para la impresora LaserJet 5200 impresora HP tuvo un error de su estado. Para determinar qué trabajo es, se puede canalizar la salida de el cmdlet Get-PrintJob en el cmdlet Where-Object para mostrar todos los trabajos cuya propiedad JobStatus tiene "Error" en su valor:
Habiendo determinado que el trabajo # 3 es el problema, usted puede ahora utilizar el cmdlet Remove-PrintJob para cancelar el trabajo de problema: Pero en vez de hacer esto, usted simplemente puede pulsar la flecha hacia arriba para mostrar el comando ejecutado previamente y el tubo de salida en su Remove-PrintJob de la siguiente manera:
Utilizando el cmdlet Get-PrintJob nuevo verifica que el problema se ha resuelto:
Instalación de una impresora de red Instalación de una nueva impresora de red mediante Windows PowerShell implica la realización de los siguientes pasos: 1.
Instalación de un controlador de impresora para la impresora nueva
2.
Creación de un / puerto estándar TCP IP de la impresora
3.
Instalación de la impresora utilizando el controlador y el puerto especificado Lección 2: Administración de servidores de impresión con Windows PowerShell
Capítulo 9
455
4.
Realizar cualquier configuración adicional necesaria para la impresora
Por ejemplo, digamos que usted desea instalar una impresora que utiliza el controlador de Dell Color Laser PCL6 Clase en el servidor de impresión. Usted podría comenzar con el cmdlet Add-PrinterDriver para instalar el controlador de la impresora en el servidor:
Usted podría usar el cmdlet Get-PrinterDriver para verificar el resultado de la siguiente manera:
A continuación, se puede usar el cmdlet Add-puerto de impresora para agregar un nuevo puerto para la impresora de esta manera:
456
Capítulo9 Servicios de impresión y documentos
Ustedpodría usar el cmdlet Get-puerto de impresora para verificar el resultado:
A continuación, se puede usar el cmdlet Add-impresoras para instalar, nombre, y compartir la nueva impresora mediante el controlador y el puerto especificado previamente como sigue:
El cmdlet Get-impresora podría utilizar para comprobar la instalación de la nueva impresora de red:
Por último, es posible que desee cambiar el tamaño de papel predeterminado para la nueva impresora de Carta aLegal de esta manera:
Usteda continuación, podría utilizar el cmdlet Get-PrintConfiguration para verificar el resultado:
Lección 2: Administración de servidores de impresión con Windows PowerShell
Capítulo 9
457
Resumen de la lección ■
Usted puede usar el cmdlet Get-impresora para obtener una lista de las impresoras instaladas en el servidor de impresión.
■
Usted puede usar el cmdlet Get-PrintJob para ver información acerca de trabajos de impresión pendientes.
■
Ustedpuede utilizar el Get-PrintConfiguration y Get-PrinterProperty cmdlets para ver información sobre las impresoras.
■
Usted puede utilizar el Get-PrinterDriver y Get-puerto de impresora cmdlets para ver información acerca de los controladores de impresora y puertos.
■
Ustedpuede usar el cmdlet Remove-PrintJob para cancelar un trabajo de impresión.
■
Ustedpuede utilizar diferentes cmdlets de Windows PowerShell para instalar un controlador de impresora, cree un puerto de impresora, e instalar y configurar una impresora de red que utiliza el nuevo controlador y el puerto.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Qué cmdlet de Windows PowerShell le permite determinar si cualquier impresora instalada en el servidor de impresión se comparten? A. B. C. D.
2.
Qué cmdlet de Windows PowerShell se puede utilizar para dejar de compartir una impresora que está actualmente compartida? A. B. C. D.
3.
Usted que desee instalar una nueva impresora en un servidor de impresión que ejecuta Windows Server 2012. El dispositivo de impresión utiliza el controlador de impresora HP LaserJet 6L controlador PS Clase y requiere un puerto de impresora estándar TCP / IP. Utilizó el Bloc de notas para crear un archivo de texto denominado install. ps1 que contiene lo siguiente comandos de Windows PowerShell:
458
Capítulo9 Servicios de impresión y documentos
4.
Ustedabra un símbolo de Windows PowerShell en el servidor de impresión local y ejecute el script anterior, pero genera un error. Cuál de las siguientes podría ser la causa del error? (Elija todas las que correspondan.) A.
El controlador de impresora requerido no está instalado en el servidor de impresión.
B.
Hay un error de sintaxis en la primera línea del script.
C.
Hay un error de sintaxis en la segunda línea del guión
D. Hay un error de sintaxis en la tercera línea del guión 5.
Modificael script de instalación .ps1 de la pregunta anterior, por lo que ya nogenera un error cuando lo ejecuta. Después de ejecutar el script, utilice Administración de impresión para verificar que el controlador de impresora, puerto de impresora, y la impresora han sido instalados con éxito y puede imprimir una página de prueba para la nueva impresora. Por desgracia, los usuarios indican que no pueden imprimir en la impresora. ¿Cuál podría ser la razón probable de esto? A.
Usted aún no han desplegado una conexión de la impresora a los usuarios.
B.
La impresora no se ha compartido.
C.
El dispositivo de impresión no se ha activado.
D. No es un trabajo atascado en la cola de impresión para la impresora.
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Gestión de servidores de impresión con Administración de impresión
■
Gestión de servidores de impresión con Windows PowerShell
Arealizar los ejercicios en esta sección, se necesitan al menos dos servidores que ejecutan Windows Server 2012, que a los efectos de estos ejercicios se supone que ser nombrado Host4 y HOST7. Host4 debe ser un controlador de dominio para el dominio .com fabrikam, mientras HOST7 debe ser un servidor miembro en el dominio .com fabrikam. Ambos servidores deberían tener roles adicionales instalados y deben tener conectividad a Internet. Todas las tareas se llevarán a cabo a partir Host4, y usted debe iniciar sesión en este servidor con una cuenta que pertenece al grupo de administradores del dominio de .com fabrikam. Para asegurarse de que puede administrar de forma remota desde HOST7 Host4, asegúrese HOST7 ha sido añadido al grupo de servidores en el Administrador de servidores en Host4.
Respuestas Capítulo 9
459
Ejercicio 1: Gestión de servidores de impresión con Administración de impresión En este ejercicio, utilizará el Administrador de servidores para instalar la consola de Administración de impresión en Host4 y los servicios de la función de servidor de impresión en la HOST7. A continuación, utilice la consola de Administración de impresión en Host4 para gestionar las colas de impresión y controladores de impresora en HOST7. 1.
Inicie sesión en Host4 utilizando una cuenta que pertenece al grupo Administradores de dominio y abrir la consola de Windows PowerShell.
2.
Utilice la opción Agregar roles y características Asistente para instalar la impresión y documentos Herramientas cuentan en Host4 anfitrión. Esta característica se encuentra bajo Herramientas de administración remota del servidor de administración \ Papel Herramientas en agregar funciones y características Asistente.
3.
Utilice el Agregar roles y características Asistente para instalar el servicio de rol Servidor de impresión de la impresión y papel Servicios Documento sobre HOST7.
4.
Inicie la consola de Administración de impresión, y añadir HOST7 a la lista de servidores de impresión gestionados por la consola.
5.
Instale el HP LaserJet 5200 PCL6 driver Clase en HOST7.
6.
Ver las propiedades del controlador que acaba de instalar, y compruebe que la versión es Tipo 4 Modo de Usuario.
7.
Añadir un nuevo puerto de tipo Standard TCP / IP Port en HOST7 usando una dirección IP en la subred local. Dar el nuevo puerto un nombre descriptivo para que pueda identificar fácilmente, y configurar el puerto a utilizar Hewlett Packard Jet Direct como su tipo de dispositivo.
8.
Configure el nuevo puerto para utilizar TCP número de puerto 9109.
9.
Instalar una nueva impresora de red mediante el puerto nuevo que acaba de crear y el conductor que acaba de instalar en el servidor. Dar a la nueva impresora el nombre de "prueba de la impresora" y asegurarse de que la impresora está compartida.
10. Imprima una página de prueba para la nueva impresora. 11. Abra la cola de impresión para su nueva impresora, compruebe que el estado
del trabajo de impresión (impresión de una página de prueba) es un error, y luego cierre la cola de impresión. 12. Habilitar Vista ampliada para el nodo Impresoras y confirmar una vez más que el 460
Capítulo9 Servicios de impresión y documentos
estado de la trabajo es un error. Entonces cancelar el trabajo de impresión. 13. Retire la impresora llamada "prueba de la impresora" de HOST7. 14. Retire el paquete de controladores para la impresora LaserJet 5200 controlador
de impresora PCL6 Clase controlador HP desde HOST7. 15. Elimine el puerto de impresora para la impresora que quitó, y cerca de administración
de impresión. 16. Desinstalar el servicio de rol Servidor de impresión de HOST7. 17. Desinstalar la impresión y documentos Herramientas disponen de Host4. 18. Usted ahora está listo para proceder con el siguiente ejercicio.
Ejercicio 2: Gestión de servidores de impresión con Windows PowerShell En este ejercicio, vamos a usar Windows PowerShell para instalar la consola de Administración de impresión en Host4 y los servicios de la función de servidor de impresión en la HOST7. A continuación, ejecutar comandos de Windows PowerShell desde Host4 para gestionar las colas de impresión y controladores de impresora en HOST7. 1.
Inicie sesión en Host4 utilizando una cuenta que pertenece al grupo Administradores de dominio y abrir la consola de Windows PowerShell.
2.
Use el cmdlet Install-WindowsFeature para instalar la característica RSAT-Print-Servicios localmente en Host4.
3.
Use el cmdlet Install-WindowsFeature para instalar el servicio de función Print-Server de forma remota en HOST7.
4.
Utilice el cmdlet Add-PrinterDriver para instalar la HP LaserJet 5200 PCL6 Clase controlador en HOST7.
5.
Use el cmdlet Get-PrinterDriver para verificar el resultado del comando anterior.
6.
Utilice el cmdlet Add-puerto de impresora para agregar un nuevo puerto de tipo Standard TCP / IP Port en HOST7 usando una dirección IP en la subred local.
7.
Use el cmdlet Get-puerto de impresora para verificar el resultado del comando anterior.
8.
Utilice el cmdlet Add-impresoras para instalar una nueva impresora de red mediante el puerto nuevo que acaba de crear y el conductor que acaba de instalar en el servidor. Dar a la nueva impresora el nombre de "prueba de la impresora", y asegúrese de que la impresora está compartida.
9.
Tipoel comando
para crear un nuevo directorio.
10. Type la comando 11. Tipolacomando
a crecomió un Nebraskaarchivo de texto w. para
enviar el archivo de texto a la impresora. 12. Use el cmdlet Get-PrintJob para ver información sobre los trabajos de impresión en espera en la
cola de impresión.
Respuestas Capítulo 9
461
13. Use el cmdlet Remove-PrintJob para borrar el trabajo de impresión desde la cola de impresión. 14. Uso de Windows PowerShell para desinstalar la impresora, desinstale el controlador de la impresora,
elimine el puerto de la impresora y retire el papel de servidor de impresión de HOST7 y las herramientas de gestión de Host4.
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
■
Práctica 1Escribir un script de PowerShell que se puede utilizar para instalar la impresora se ha descrito anteriormente en el Ejercicio 2 ejecutando un solo comando. Práctica 2Modificar la secuencia de comandos de la Práctica 1 ejercicio para que se instale varias impresoras en varios servidores de impresión.
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
462
Correctorespuestas: A, B, y D A.
Correcto: Usteddebe instalar RSAT para Windows 8 en un equipo con Windows 8 antes de poder usar ese equipo para administrar de forma remota servidores que ejecutan Windows Server 2012 en su entorno.
B.
Correcto:Gestión de servidores de Windows de forma remota que requiere gestión remota estar habilitado en ellos.
C.
Incorrecto:Dado que va a utilizar el Administrador de la consola de
Capítulo9 Servicios de impresión y documentos
administración de impresión y no Server para administrar de forma remota los servidores de impresión, no es necesario añadir los servidores al grupo de servidores. Sin embargo, mediante su inclusión en el grupo de servidores, puede realizar otras tareas de administración en ellos, como reiniciar los servicios y la visualización de alertas planteadas por los registros de eventos en los servidores. D. Correcto:Antes de poder administrar un servidor de impresión con
Administración de impresión, debe agregar el servidor al árbol de la consola con la opción Agregar / Quitar Servidores cuadro de diálogo. 2.
Correctorespuestas: C y D A.
Incorrecto:Al hacer clic derecho en el nodo Administración de impresión le permite agregar o quitar servidores de impresión en la consola y migrar impresoras de los servidores de impresión que ejecutan versiones anteriores de Windows Server.
B.
Incorrecto:Al hacer clic derecho en el nodo Impresoras le permite agregar o quitar servidores de impresión en la consola.
C.
Correcto:Al hacer clic derecho en un nodo que representa un servidor de impresión le permite abrir la página Propiedades del servidor de impresión. A continuación, puede utilizar la ficha Controladores de esta página Propiedades para instalar nuevos controladores de impresora en el servidor.
D. Correcto:Al hacer clic derecho en el nodo Drivers debajo de un nodo que
representa un servidor de impresión le permite instalar y administrar los controladores de impresora en el servidor. 3.
Correctorespuestas: B y D •
Incorrecto:Los controladores de impresora del tipo v3 mayores pueden ejecutar en un proceso separado que está aislado del servicio de cola de impresión, siempre y cuando el ajuste DriverIsolation = 2 está incluido en su archivo INF. Si el ajuste DriverIsolation = 0 está en su archivo INF, el conductor no soporta el aislamiento del conductor. Sin embargo, el uso de Administración de impresión para configurar Conjunto de aislamiento del conductor al valor compartido hará que el controlador para ejecutar en un proceso compartido con otros controladores de impresora, pero separada del proceso de cola de impresión. Para configurar el controlador para funcionar en un proceso que es independiente de otros controladores de impresora y del proceso de cola de impresión, debe configurar Conjunto de aislamiento del conductor al valor aislado.
B.
Correcto:Los controladores de impresora del tipo v3 mayores pueden ejecutar en un proceso separado que está aislado del servicio de cola de impresión, siempre y cuando el ajuste DriverIsolation = 2 está incluido en su archivo INF. Si el DriverIsolation ajuste = 0 es en su archivo INF, el Respuestas Capítulo 9
463
controlador no admite el aislamiento del conductor. El uso de Administración de impresión para configurar Conjunto de aislamiento del conductor al valor aislado hará que el controlador se ejecute en un proceso que es independiente de otros controladores de impresora y del proceso de cola de impresión. C.
Incorrecto:Los controladores de impresora del tipo v4 nuevos tienen una huella de disco más pequeño, puede soportar múltiples dispositivos, puede soportar el aislamiento del conductor por lo que no van a bloquear la aplicación haciendo la impresión si el controlador de la impresora no funciona, y no requieren INSTALL- conductores ing que coinciden la arquitectura cliente. Sin embargo, el uso de Administración de impresión para configurar Conjunto de aislamiento del conductor al valor compartido hará que el controlador para ejecutar en un proceso compartido con otros controladores de impresora, pero separada del proceso de cola de impresión. Para configurar el controlador para funcionar en un proceso que es independiente de otros controladores de impresora y del proceso de cola de impresión, debe configurar Conjunto de aislamiento del conductor al valor aislado.
A.Correcto:Los controladores de impresora del tipo v4 nuevos tienen una huella de disco más
pequeño, puede soportar múltiples dispositivos, puede soportar el aislamiento del conductor por lo que no van a bloquear la aplicación haciendo la impresión si el controlador de la impresora no funciona, y no requieren la instalación de controladores que coincidan con el cliente arquitectura. El uso de Administración de impresión para configurar Conjunto de aislamiento del conductor al valor aislado hará que el controlador se ejecute en un proceso que es independiente de otros controladores de impresora y del proceso de cola de impresión.
Lección 2 1.
Respuesta correcta: A A.
Correcto: Ustedpuede utilizar Get-Impresora | donde Shared -eq $ true para recuperar las impresoras compartidas en un servidor de impresión.
B.
Incorrecto:El cmdlet Get-PrintConfiguration se utiliza para mostrar los valores de configuración de la impresora, como si la impresora es compatible con el cotejo y el modo de impresión a doble cara actual de la impresora.
C.
Incorrecto:El cmdlet Get-PrinterProperty se utiliza para mostrar las propiedades de la impresora, tales como la forma y la bandeja de salida seleccionada. D. Incorrecto:Get-PrintServer no es un cmdlet de Windows PowerShell válida
en Windows Server 2012. 2.
464
Respuesta correcta: C A.
Incorrecto:El cmdlet Set-PrintConfiguration se utiliza para modificar los valores de configuración de la impresora, como si la impresora es compatible con el cotejo y el modo de impresión a doble cara actual de la impresora.
B.
Incorrecto:El cmdlet Set-PrinterProperty se utiliza para modificar propiedades de la impresora, tales como la forma y la bandeja de salida seleccionada.
Capítulo9 Servicios de impresión y documentos
C.
Correcto: Ustedpuede usar el cmdlet Set-impresora para actualizar el controlador de impresora, puerto de impresora, o permisos de una impresora. También puede utilizar Set-impresora para especificar si la impresora debe ser compartida o no.
D. Incorrecto:El cmdlet Get-impresora se utiliza para recuperar una lista de las
impresoras instaladas en un equipo. El cmdlet no se puede utilizar para modificar las impresoras instaladas. 3.
Correctorespuestas: A y B A.
Correcto:El siguiente comando debe ser incluido en el comienzo de la secuencia de comandos:
Ustedque incluir esta línea para instalar el controlador que necesita la impresora que está instalando. B.
Correcto:La primera línea de la secuencia de comandos debe tener este aspecto:
C.
Incorrecto:La sintaxis de esta línea es la correcta.
D. Incorrecto:La sintaxis de esta línea es la correcta. 4.
Respuesta correcta: B A.
Incorrecto: Suorganización podría estar usando Apuntar e imprimir para permitir a los usuarios instalar impresoras de red propios navegando por la red. Si este es el caso, es posible que no necesite usar la directiva de grupo para implementar conexiones de impresora a ellos.
B.
Correcto:La impresora no se ha compartido de manera que los usuarios puedan acceder a él desde la red. Para compartir la impresora al instalar utilizando la secuencia de comandos, incluya el -shared parámetro en la línea final de la secuencia de comandos.
C.
Incorrecto:Si puede imprimir correctamente una página de prueba, la impresora debe estar encendida.
D. Incorrecto:Si puede imprimir correctamente una página de prueba, es
probable ningún trabajo atascado en la cola de impresión.
Respuestas Capítulo 9
465
C HA P T E R 1 0
Implementación de directivas de grupo G
Política rupo ha sido el método principal para la gestión de la configuración de Microsoft Cliente de Windows y sistemas de servidor desde Windows 2000. La mayoría de los administradores están familiarizados con los conceptos básicos de directiva de grupo, pero la aplicación de esta tecnología de manera efectiva en un entorno de grandes empresas requiere una planificación adecuada. Windows Server 2012 incluye una serie de mejoras en cómo se procesa la directiva de grupo y cómo se puede gestionar. Por ejemplo, ahora se puede realizar una actualización remota de directiva de grupo en equipos de destino sin necesidad de registro en los equipos para ejecutar el .exe Gpupdatecomandos. Cientos de nuevas políticas se han añadido para ING gerentes diferentes características de los sistemas operativos de Windows 8 y Windows Server 2012, y se puede implementar y hacer cumplir esta configuración para utilizar las computadoras mediante la configuración de objetos de directiva de grupo (GPO) de la forma habitual. Nuevos GPO Starter simplificar las tareas de permitir la capacidad política de actualización de grupo a distancia y la recogida de Conjunto resultante de directivas (RSoP) la información de equipos de destino mediante la directiva de grupo. Y el nuevo módulo NetSecurity de Firewall de Windows con seguridad avanzada ahora le permite configurar los perfiles de firewall y reglas de GPO.
Lecciones en este capítulo: ■
Lección 1: Planificación, configuración y administración de directivas de grupo466
■
Lección 2: Administración de la directiva de grupo con Windows PowerShell489
■
Lección 3: Implementación de las preferencias de directiva de grupo493
Antes de que empieces Acompletar los ejercicios de práctica en este capítulo ■
Usted necesita saber cómo realizar una instalación limpia de Windows Server 465
2012 y realizar tareas de configuración iniciales, como la configuración de los ajustes TCP / IP del servidor de conectividad a Internet.
466 Capítulo10 directivas de grupo
■
Usted necesita saber cómo promover un servidor que ejecuta Windows Server 2012 como un controlador de dominio.
■
UstedTambién debe tener un conocimiento al menos rudimentario de uso de Windows PowerShell en las versiones anteriores de Windows Server.
Implementación de
Lección 1: Planificación, implementación y administración de directivas de grupo Antes de implementar la directiva de grupo en un entorno empresarial, primero tiene que diseñar y preparar la infraestructura. Esta lección proporciona orientación en las áreas de planificación y la directiva de grupo Menting en práctica en un entorno de Active Directory basado en Windows Server 2012.
TomarDirectiva de grupo en cuenta al diseñar una jerarquía de unidades organizativas (OU) en Active Directory. Configurar un almacén central de directiva de grupo de archivos de plantilla administrativa utilizada en un Crear nuevos GPO Starter y utilizarlos para crear GPO para un entorno de producción. Realizar una actualización remota de la directiva de grupo en los equipos de una unidad organizativa. Comprender y configurar las opciones de seguridad que puede configurar usando Grupo
La planificación de Directiva de grupo La planificación de una implementación de la directiva de grupo en un entorno empresarial consiste en una serie de diferentes tareas y consideraciones, incluyendo las siguientes: ■
La comprensión de las políticas vs. preferencias
■
Diseñar una estructura de unidades organizativas que apoya la directiva de grupo
■
Configuración de un almacén central para los archivos de definición de políticas
■
Creación y uso de GPO de inicio
■
La comprensión de cómo actualizar de forma remota la directiva de grupo
http://technet.microsoft.com/en-us/library/cc754948(WS.10).aspx. 467
La comprensión de las políticas frente a las preferencias Antes de implementar la directiva de grupo en el entorno de Active Directory, es necesario entender la diferencia entre las políticas y preferencias. Directiva de grupo permite a los administradores implementar dos tipos de ajustes: ■
Ajustes ManagedEstos son los valores de configuración que la organización considera obligatoria y que debe ser estrictamente. Configuraciones administradas son empujados a cuentas o computadoras de usuario específicas, y se actualizan periódicamente para asegurarse de que siguen siendo aplicadas. Un ejemplo de un entorno gestionado puede ser un fondo de escritorio de marca corporativa que la empresa requiere para ejecutarse en ordenadores de todos los empleados. Un usuario estándar (un usuario sin derechos administrativos) no puede modificar un entorno administrado. Y aunque los usuarios que son administradores locales en sus equipos podrían ser capaces de cambiar temporalmente un entorno administrado, el ajuste se vuelve a aplicar ya sea la próxima vez que el usuario inicia sesión, la próxima vez que se reinicie el equipo, o durante un fondo periódica de actualización de la directiva de grupo .
■
Ajustes no administradosEstos son los valores de configuración que la organización no considera obligatoria, pero podría considerar recomendada o conveniente. Ajustes no administrados son empujados a cuentas o computadoras de usuario específicas, pero a diferencia de valores gestionados, que siempre se hacen cumplir, los ajustes no administrados pueden ser modificados por los usuarios si quieren hacerlo. Un ejemplo de un entorno no administrado es una unidad asignada. Debido a que este ajuste es administrado, un usuario (incluso un usuario estándar) puede eliminar la unidad asignada. La unidad asignada podría o no podría reaparecer cuando el usuario inicia la sesión siguiente, dependiendo de cómo el administrador ha configurado el entorno administrado.
En la directiva de grupo, valores gestionados se llaman las políticas y los ajustes no administrados se llaman preferencias. La figura 10-1 muestra que un objeto de directiva de grupo (GPO) tiene varios tipos de políticas y preferencias, algunos de ellos por equipo y los demás por usuario.
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
467
FIGURA 10-1Un objeto de directiva de grupo tiene dos ajustes administrados y no administrados (políticas y
preferencias).
468 Capítulo10 directivas de grupo
Implementación de
Algunas de las otras diferencias entre las políticas y preferencias incluyen los siguientes: ■
Una política desactiva el tema de su interfaz de usuario asociada en el ordenador del usuario; una preferencia no lo hace.
■
Una política se quita cuando el GPO sale del ámbito, es decir, cuando el usuario o el ordenador ya no está dirigido por el GPO. Una preferencia, sin embargo, permanece configurado para el usuario objetivo o computadora, incluso cuando el GPO sale de ámbito de aplicación. Otra forma de decir esto es que las preferencias tatúan el Registro en el equipo cliente, mientras que las políticas no se tatúan el Registro en el equipo cliente.
■
Cuando se aplica una política, no se cambian los ajustes del registro originales en el equipo cliente. En cambio, la política se almacena en una sección política consciente especial del registro en el cliente. Si la política se retira después, la configuración del registro original del cliente se restauran. Otra forma de decir esto es que una política sustituye el valor de configuración correspondiente en la interfaz de usuario en el cliente. Con las preferencias, sin embargo, la configuración del registro originales en el cliente se sobrescriben y la eliminación de la preferencia no restaura la configuración original. En otras palabras, una preferencia en realidad modifica la configuración de ajuste correspondiente en la interfaz de usuario en el cliente. Porque de esta diferencia, las políticas pueden ser eficaces sólo para funciones de Windows operativo sistemas y aplicaciones que son Grupo de Política consciente ing, mientras que las preferencias pueden ser eficaces para cualquier característica de los sistemas operativos Windows y aplicaciones, siempre y cuando se carga la extensión de preferencias apropiado.
■
Las políticas se pueden configurar tanto en dominio y GPO locales; preferencias pueden ser configurado sólo en los GPO de dominio.
■
La preferencia se puede aplicar sólo una vez si lo desea; políticas siempre se actualizan periódicamente.
Windows 8 y Windows Server 2012 incluye más de 350 nuevas políticas administradores pueden utilizar para administrar las nuevas características de estas plataformas. Algunos de los nuevos tipos de políticas para estas nuevas plataformas incluyen políticas de gestión de los siguientes: ■
BitLocker Volume Encryption
■
BranchCache (por ejemplo, para configurar el almacenamiento en caché de igual a igual)
■
Proveedor de credenciales (por ejemplo, para configurar la foto contraseña de inicio de sesión)
■
Personalización de escritorio (por ejemplo, para configurar la pantalla de bloqueo y Pantalla de inicio fondo) Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
469
■
Configuración del controlador de dispositivos y configuración de compatibilidad
■
Ajustes DNSClient (por ejemplo, para configurar el protocolo reordenamiento inteligente y respuesta preferencias)
■
Opciones de arranque externos para Windows-to-Go
■
Archivo de configuración de historia
■
Autenticación Hotspot
■
Internet Explorer 10 personalización (incluye más de 150 ajustes nuevos)
470 Capítulo10 directivas de grupo
Implementación de
■
Kerberos blindaje
■
La gestión de la instalación de la empresa de aplicaciones de Windows 8
■
Redirección de carpetas (por ejemplo, para configurar la redirección sólo en primaria de un usuario computadora)
■
Servicios de Escritorio remoto (por ejemplo, para configurar RDP 8.0 y RemoteFX)
■
Configuración de la interfaz de usuario de Windows Explorer
■
Impresión (por ejemplo, para configurar la nueva arquitectura simplificada v4 printproveedor)
■
La puesta en pantalla de personalización (por ejemplo, para configurar si desea mostrar Ejecutar como Diferente del usuario en la pantalla de inicio)
■
Sincronización de la configuración (por ejemplo, para sincronizar con SkyDrive)
■
TCPIP(Por ejemplo, para configurar protocolo de Internet versión 6 (IPv6) autoconfiguración sin estado)
■
El Trusted Platform Module (TPM) (por ejemplo, para configurar una copia de seguridad de TPM para Directorio Activo)
■
Personalización de la interfaz de usuario (por ejemplo, para desactivar el cambio entre aplicaciones recientes)
■
Perfil de usuario móvil (por ejemplo, para permitir la itinerancia sólo en primaria de un usuario computadora)
■
Proveedor de instantáneas VSS (para el servicio de rol de servidor de archivos)
■
Política de ejecución de Windows PowerShell
■
Windows Store (para encenderla o apagado)
■
WAN inalámbrica (por ejemplo, para configurar políticas de gastos para las redes 3G / 4G)
WindowsServer2012andWindows8GroupPolicySettings.xlsxDel Referencia Configuración de directiva de grupo para la página de Windows y de Windows Server en el Centro de descarga de Microsoft
Directiva de grupo y el diseño de Active Directory Directiva de grupo ofrece y hace cumplir las políticas dirigidas a los objetos, como usuarios y equipos mediante la creación de GPO y vincularlos a los dominios de Active Directory, unidades organizativas o sitios que contienen estos objetos. La forma en que el diseño de Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
471
su estructura de Active Directory puede pues tener un impacto significativo en la eficacia de su capacidad de implementar, administrar y mantener la infraestructura de la directiva de grupo.
472 Capítulo10 directivas de grupo
Implementación de
La mayor parte de sus esfuerzos de planificación de directiva de grupo debe incluir el diseño de la jerarquía de unidades organizativas para cada uno de los dominios en el bosque. Debe tener en cuenta los siguientes aspectos al diseñar una estructura de este tipo OU: ■
■
■
ManejabilidadSuimplementación de la directiva de grupo debe ser lo más fácil de administrar como sea posible. Delegación Usted puede ser que desee delegar el control administrativo de las unidades organizativas específicos a usuarios específicos o grupos en su departamento de TI. HerenciaCuando un GPO está vinculado a un dominio, el GPO se aplica a los usuarios y equipos en cada OU y OU niño en el dominio. Y cuando un GPO está vinculado a una unidad organizativa, el GPO se aplica a los usuarios y equipos de todos los niños de esa OU OU.
■
PrecedenciaCuando varios GPO que se aplican a un usuario o equipo tienen la misma política configurada, el orden en que se aplican los GPO determina su prioridad. De forma predeterminada, los GPO se aplican en el siguiente orden de prelación: 1. GPO vinculados al sitio donde reside el usuario o equipo 2. GPO vinculados al dominio donde reside el usuario o equipo 3. GPO vinculados a la unidad organizativa donde reside el usuario o
equipo 4. GPO vinculados a la unidad organizativa secundaria donde reside el
usuario o equipo Además, cuando varios GPO se vinculan a un sitio específico, dominio o unidad organizativa, el orden de vínculos se puede modificar. La herencia también se puede hacer cumplir o bloqueado en función de cada enlace, y GPO puede dirigirse selectivamente a los usuarios en grupos específicos de seguridad o computadoras de tipos específicos mediante el uso de filtrado de seguridad o Windows Management Instrumentation (WMI) de filtrado. Reunión con todos los requisitos anteriores puede ser un reto para las organizaciones que tienen varias sucursales, categorías especiales de usuarios o dispositivos, o un organigrama complejo. Un buen lugar para comenzar con el diseño de una estructura de unidades organizativas que apoya la directiva de grupo es hacer algo similar a lo que se muestra en la Figura 10-2. Los elementos básicos de esta estructura OU son los siguientes: ■
Cada ubicación geográfica, que incluye tanto la oficina central y las sucursales, está representado por una unidad organizativa de primer nivel en el dominio.
■
Unidades organizativas de segundo nivel se crean bajo la OU sede para representar diferentes tipos de los usuarios (administradores, usuarios ordinarios) y sistemas (equipos cliente, servidores).
■
El segundo nivel Computadoras OU contiene dos unidades organizativas niño que representan las computadoras de escritorio y portátiles. La OU Servidores también
470 Capítulo10 directivas de grupo
Implementación de
contiene unidades organizativas secundarias para cada tipo de servidor en el entorno.
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
471
FIGURA 10-2Un ejemplo de una estructura de unidades organizativas diseñado para la directiva de
grupo.
Si los diferentes departamentos de la organización tienen diferentes requisitos, podría modificar la estructura de unidades organizativas se muestra en la Figura 10-2 mediante la inclusión de un nuevo nivel de departamental unidades organizativas (ventas, recursos humanos, etc.) entre el primer nivel y segundo nivel de las unidades organizativas descrito. Desde la perspectiva de la implementación y administración de directivas de grupo, las ventajas del enfoque anterior para el diseño OU incluyen los siguientes: ■
La estructura de unidades organizativas es fácil de entender y visualizar, y su infraestructura de GPO coincidirá con esta jerarquía simple. Mantener las cosas simples es una clave para tener un entorno manejable.
■
Delegación de la administración es fácil de implementar. Por ejemplo, si usted delega la autoridad para llevar a cabo el modelado de directivas de grupo análisis de los objetos de la Informática OU mediante la asignación de los permisos adecuados para el grupo de apoyo, el grupo automáticamente será capaz de realizar la misma tarea para los objetos en los ordenadores de sobremesa y portátiles unidades organizativas, que son unidades organizativas secundarias de la UO Equipos.
472 Capítulo10 directivas de grupo
Implementación de
■
GPO vinculados a profundamente anidado unidades organizativas pueden tener un menor número de políticas para configurar que su padre unidades organizativas. Por ejemplo, el GPO vinculado a la UO Equipos podrían hacer cumplir las políticas que se aplican a todos los tipos de ordenadores, incluidos los dos equipos de escritorio y portátiles. Los GPO vinculados a unidades organizativas del niño (Desktops, Laptops) serían entonces sólo tienen las pocas políticas configuradas que se aplican a los tipos específicos de sistemas. Directiva de grupo herencia será entonces asegurarse de que la configuración en el GPO vinculados a la unidad organizativa Computadoras serán procesados por las computadoras, tanto en el escritorio y portátiles unidades organizativas.
Configuración de un almacén central Antes de Windows Vista y Windows Server 2008, todos los archivos de plantilla administrativa por defecto (archivos .adm) se añadieron a la carpeta ADM de cada GPO en un controlador de dominio. Debido a que los GPO se almacenan en la carpeta SYSVOL en controladores de dominio y cada GPO normalmente ocupa unos 2 MB de espacio en disco, los más GPO había en el ambiente, mayor será la tamaño de la carpeta SYSVOL era. Esta condición se refiere a veces como "hincha SYSVOL."Además, debido a que los contenidos de la carpeta SYSVOL se replican automáticamente a todos los controladores de dominio del dominio, este problema se multiplicó considerablemente. A partir de Windows Vista y Windows 2008, sin embargo, esta situación ha cambiado de dos maneras: ■
Un nuevo formato basado en XML para los archivos de plantillas administrativas llamado ADMX ha reemplazado el formato ADM anteriormente utilizado para la definición de las políticas basadas en el Registro de GPO. Un formato ado asollamada LMDP soporta la pantalla multilingüe de las políticas.
■
Todos los archivos de definición de la política (.admx y .adml) para un dominio ahora se pueden almacenar en un almacén central en SYSVOL. Esto significa que sólo una copia de cada plantilla ADMX necesita ser almacenado en SYSVOL, en lugar de almacenar una copia de cada plantilla ADM para cada GPO en el dominio.
Usted puede crear un almacén central para un dominio realizando el siguiente procedimiento: 1.
Crear una carpeta PolicyDefinitions con nombre en la siguiente ruta de acceso UNC en un dominio controlador de dominio: \\ Dominio \ SYSVOL \ nombre_dominio \ policies Para examplia, for la corp .fabrikam .com dominio, you crearía la siguiente carpeta: \\ Corp.fabrikam.com \ SYSVOL \ corp.fabrikam.com \ Policies \ PolicyDefinitions
2.
Copie todos los archivos de la carpeta% \% systemroot PolicyDefinitions en una Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
473
estación de trabajo administrativa basada en 8 de Windows a la carpeta PolicyDefinitions en un controlador de dominio. Como alternativa, puede descargar la última plantilla administrativa archivos para Windows 8 desde el Centro de descarga Microsoft y copiarlos a la PolicyDefinitions carpeta en un controlador de dominio. 3.
474 Capítulo10 directivas de grupo
Espere a que SYSVOL para replicar los cambios a todos los controladores de dominio del dominio.
Implementación de
El uso de GPO de inicio GPO de inicio son básicamente plantillas que puede utilizar para crear rápidamente GPO preconfigurados. Mediante la creación y configuración de una colección adecuada de GPO de inicio, puede acelerar significativamente el proceso de implementación de la directiva de grupo en un entorno grande, distribuida. GPO de inicio se puede crear, editar, importar, exportar, copia de seguridad, y restaurado. Pueden contener políticas sólo plantilla administrativa y no a las preferencias u otros ajustes, como la configuración de seguridad. Antes de poder utilizar GPO de inicio, debe crear la carpeta Starter GPO para el dominio. Ustedpuede hacer esto mediante la realización de los siguientes pasos: 1.
Seleccione el nodo Starter GPO bajo un nodo de dominio en el Grupo de Política Management Console (GPMC).
2.
Haga clic en el botón de GPO de inicio de carpetas en el panel de detalles en Crear.
Al realizar los pasos anteriores, se crea una carpeta con el nombre StarterGPOs en el recurso compartido SYSVOL de los controladores de dominio del dominio. Esta carpeta está inicialmente llena con una colección de sólo lectura del sistema de arranque GPO que proporcionan ajustes básicos para Cliente de empresa (EC) y Seguridad especializada: Funcionalidad limitada (SSLF) entornos que ejecutan versiones anteriores de los sistemas operativos cliente Windows.
http://www.microsoft.com/downloads/.
Acrear un nuevo GPO de inicio, realice los siguientes pasos: 1.
Haga clic derecho en el nodo GPO de inicio, y seleccione Nuevo.
2.
Tipo un nombre descriptivo para su GPO de inicio, y añadir un comentario opcional si se desea.
Después de haber creado un nuevo GPO de inicio, es necesario configurarlo siguiendo estos pasos: 1.
Haga clic en el GPO de inicio y seleccione Editar para abrir el Editor de directivas de grupo GPO de inicio.
2.
Configurar las políticas de plantilla administrativa si lo deseas.
Después de configurar un GPO de inicio, se puede utilizar para crear nuevos GPO para el principal do-. Para ello, siga este procedimiento: 1.
Haga clic en el GPO de inicio, y seleccione Nuevo GPO De GPO de inicio:
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
475
2.
Tipo un nombre descriptivo para el nuevo GPO:
El nuevo GPO se creará disociados de cualquier contenedor en Active Directory. Al expandir el nodo de objetos de directiva de grupo y seleccionando el nuevo GPO, puede utilizar la ficha Configuración para comprobar que el almacén central está funcionando correctamente. (Véase la figura 10-3.) Puede enlazar el nuevo GPO a una unidad organizativa arrastrándolo hacia el nodo que representa la unidad organizativa.
476 Capítulo10 directivas de grupo
Implementación de
FIGURA 10-3El HQ-Desktops GPO se ha creado.
Refrescante de directiva de grupo En versiones anteriores de Windows, si quería forzar una actualización de la directiva de grupo para un equipo, que tenía que ejecutar el comando .exe Gpupdate localmente en el equipo dirigido por el GPO. Esto hacía difícil para los administradores para asegurar que todos los nuevos valores de directiva de grupo que configuran se aplicaron de inmediato a los equipos de destino por el GPO. A partir de Windows Server 2012, sin embargo, ahora se puede forzar remotamente una actualización de la directiva de grupo. Esta capacidad de actualización remota permite actualizar la directiva de grupo para todos los equipos de una unidad organizativa con GPO vinculados a la misma. Para ello, siga estos pasos: 1.
Haga clic derecho en la unidad organizativa que desee en la GPMC y seleccione Actualización de Directiva de grupo. Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
477
2.
Lea el mensaje de confirmación y haga clic en Sí si desea que la directiva de grupo que se actualiza para los equipos de destino por los GPO vinculados a la unidad organizativa:
Cuando la barra de progreso en el cuadro de diálogo de actualización de Resultados de directivas de grupo remoto indica Completado, actualizar la directiva de grupo se verá obligado para todos los equipos en la unidad organizativa y también para los ordenadores en cualquier unidades organizativas por debajo de la unidad organizativa.
Configuración configuraciones de seguridad Como muestra la Figura 10-4 muestra, la directiva de grupo para Windows 8 y Windows Server 2012 incluye numerosos tipos de configuración de seguridad. La mayoría de estas políticas son ajustes por equipo que se encuentran en Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad en el Editor de administración de directivas de grupo, pero también hay dos tipos de políticas que se encuentran en Configuración de usuario \ Directivas \ Configuración de Windows \ Configuración de seguridad como el figura muestra.
478 Capítulo10 directivas de grupo
Implementación de
Las siguientes secciones tratan brevemente algunas de estas categorías de configuración de seguridad, Incluyendo ■
Asignación de derechos de usuario
■
Opciones De Seguridad
■
Control De Cuentas Del Usuario
■
Directiva de auditoría
■
Configuración de directiva de auditoría avanzada
■
AppLocker
■
Las políticas de restricción de software
■
Firewall De Windows
FIGURA 10-4Directiva de grupo configuración de seguridad para computadoras (arriba) y los usuarios
(por debajo).
Asignación de derechos de usuario Ajustes de Asignación de derechos de usuario se encuentran en Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario, y se puede utilizar para controlar los derechos de usuario asignados a usuarios o grupos de seguridad para los equipos de destino por el
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
479
GPO. Puede utilizar estas políticas para especificar los usuarios y grupos de seguridad que deben tener los derechos para llevar a cabo diferentes tipos de tareas que afectan a la seguridad de sus clientes y servidores Windows. Por ejemplo, puede controlar quién puede ■
Computadoras de acceso de la red
■
Inicio de sesión local
■
Apague el sistema
UstedTambién puede especificar quién debe tener derechos para realizar tareas administrativas críticos, tales como copias de seguridad y restauración de archivos y directorios, tomando posesión de archivos y objetos, y forzando el cierre de un equipo remoto. Asignación de derechos de usuario para la configuración de Windows 8 y Windows Server 2012 no se han modificado de las de Windows 7 y Windows Server 2008 R2.
Opciones De Seguridad Configuración Opciones de seguridad se encuentran en Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Opciones de seguridad, y se puede utilizar para controlar una amplia variedad de opciones de seguridad para equipos de destino por el GPO. Por ejemplo, usted puede ■
Obligar a los usuarios cerrar la sesión cuando sus horas de inicio de sesión caducan
■
Desactivar Ctrl + Alt + Supr para iniciar la sesión de inicio de sesión de tarjeta inteligente forzar
■
Computadoras de la Fuerza para detener cuando la auditoría no se puede
realizar en ellos Windows 8 y Windows Server 2012 incluye cuatro nuevas políticas en esta categoría: ■
■
■
Cuentas: Bloquear cuentas de MicrosoftEsta política impide que los usuarios agreguen nueva Microsoft explica en este equipo. Inicio de sesión interactivo: Umbral de cuenta de la máquinaLa directiva de bloqueo de equipose hace cumplir sólo en equipos que tienen BitLocker habilitado proteger operativo ing volúmenes del sistema. Usted debe asegurarse de que las políticas de copia de seguridad de contraseña de recuperación apropiados están habilitadas. Inicio de sesión interactivo: límite de inactividad de la máquinaVentanas nota la inactividad de la sesión de inicio de sesión y si la cantidad de tiempo de inactividad excede el límite de inactividad, el protector de pantalla se ejecutará, cerrando la sesión.
■
Microsoft servidor de red: Intento S4U2Self para obtener información de la demandaEsteconfiguración de seguridad se utiliza para apoyar a los clientes que ejecutan una versión de Windows anteriores a Windows 8 que están tratando de acceder a un recurso compartido de archivos que requiere reclamaciones de los
480 Capítulo10 directivas de grupo
Implementación de
usuarios. Este ajuste determina si el servidor de archivos local intentará usar Kerberos Servicio-For-User- (S4U2Self) Para funcionalidad de sí para obtener de un cliente de red principales reclamaciones de dominio de la cuenta del cliente.
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
481
Control De Cuentas Del Usuario Control de cuentas de usuario (UAC) ajustes son un subconjunto de la configuración de Opciones de Seguridad descrito en la sección anterior. Hay diez políticas que se pueden utilizar para configurar el comportamiento de UAC en equipos dirigidos por la directiva de grupo, y estas políticas son las mismas que las de Windows 7 y Windows Server 2008 R2. Para obtener información detallada acerca de cada política de UAC, consultehttp://technet.microsoft.com/enus/library/dd835564(WS.10).aspx . Una cosa que ha cambiado en Windows 8 y Windows Server 2012 es que ya no es posible desactivar completamente el UAC en el equipo. Esto se debe a la infraestructura que soporta con Windows 8 aplicaciones requiere UAC. Como resultado, la desactivación de UAC ya no se admite en Windows 8.
AuditoríaPolítica Políticas para la auditoría de base, que se encuentran en Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Directiva de auditoría, le permiten auditar eventos cuenta de inicio de sesión, el uso de privilegios, y otra actividad del usuario o del sistema.
Configuración de directiva de auditoría avanzada Políticas para la auditoría avanzada, que se encuentran en Configuración del equipo \ Directivas \ Configuración de Windows Política Settings \ Configuración de seguridad \ Advanced Auditoría, realizan funciones de auditoría similares a las realizadas por las políticas de auditoría básicos que se encuentran en Directivas locales \ Directiva de auditoría. Sin embargo, las políticas de auditoría avanzadas le permiten ser más selectivo sobre el número y los tipos de eventos que desea auditar. Por ejemplo, mientras que la política de auditoría de base establece un único escenario de la auditoría de cuentas inicios de sesión, la directiva de auditoría avanzada ofrece cuatro ajustes separados para este propósito. Un nuevo tipo de directiva de auditoría avanzada (Auditoría de almacenamiento extraíbles) se muestra en la Figura 10-5. Esta nueva política le proporciona la capacidad de rastrear el uso de dispositivos de almacenamiento extraíbles. Si se habilita esta directiva en un GPO que se dirige a los usuarios, un evento de auditoría se genera cada vez que un usuario intenta acceder a un dispositivo de almacenamiento extraíble. Hay dos tipos de eventos de auditoría se registran por esta política: ■
Auditorías Éxito (Event 4663) récord intentos exitosos para escribir o leer desde un dispositivo de almacenamiento extraíble.
■
Las auditorías de errores (evento 4656) récord intentos fallidos de acceder a objetos de dispositivo de almacenamiento extraíbles.
482 Capítulo10 directivas de grupo
Implementación de
FIGURA 10-5La política de almacenamiento extraíbles nueva auditoría.
sí
ral / hh849638
AppLocker AppLocker se puede utilizar para controlar qué aplicaciones y archivos de los usuarios pueden ejecutar en sus equipos. AppLocker se introdujo en Windows 7 y Windows Server 2008 R2, y sus políticas se encuentran en Configuración del equipo \ Policies \ Policies Configuración de Windows \ Configuración de seguridad \ Application Control \ AppLocker.
480 Capítulo10 directivas de grupo
Implementación de
Las políticas de restricción de software La función de las políticas de restricción de software (SRP) se introdujo en Windows XP y Windows Server 2003 para proporcionar a los administradores con un mecanismo basado en políticas para identificar los programas que se ejecutan en máquinas en un dominio y controlar cómo los programas pueden ejecutar. Configuración de SRP se encuentran bajo las dos Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad y Configuración de usuario \ Directivas \ Configuración de Windows \ Configuración de seguridad. SRP es similar a AppLocker pero tiene una funcionalidad más limitada. Con la introducción de AppLocker en Windows 7 y Windows Server 2008 R2, ahora debe utilizar AppLocker lugar de SRP si todos los equipos cliente ejecutan Windows 7 o posterior. Organizaciones que incluyen una mezcla de Windows 8, Windows 7, y los clientes más antiguos de Windows, sin embargo, puede utilizar una combinación de AppLocker y SRP para bloquear sus entornos de aplicaciones de escritorio.
ral / h
Configuración de Firewall de Windows con seguridad avanzada Firewall de Windows con seguridad avanzada proporciona basado en host, de dos vías de la red de filtrado de tráfico para sistemas cliente Windows y operativos de servidor. Firewall de Windows con seguridad avanzada se introdujo en Windows Vista y Windows Server 2008. Firewall de Windows con seguridad avanzada políticas se encuentran en Configuración del equipo \ Policies \ Policies Configuración de Windows \ Configuración de seguridad \ Control \ Application Firewall de Windows con seguridad avanzada.
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
481
Gerente Directiva de grupo La gestión de la directiva de grupo en un entorno de Active Directory es un tema muy amplio que tiene muchos aspectos diferentes. Las próximas secciones cubren algunas de las siguientes tareas básicas: ■
Visualización del estado de la infraestructura
■
La creación de GPO
■
Administrar vínculos de GPO
■
Configuración de filtrado de seguridad
■
Copia de seguridad y restauración de GPO
Visualización del estado de la infraestructura Una nueva característica de la GPMC en Windows Server 2012 es la ficha Estado muestra en la Figura 10-6, que proporciona información sobre el estado de Active Directory y la replicación de SYSVOL. La información de estado que se muestra en esta pestaña puede ser cualquiera de los siguientes: ■
El estado de todos los GPO si se selecciona el nodo para el dominio
■
El estado de un GPO particular, si se selecciona el nodo para que GPO
FIGURA 10-6Visualización del estado de la replicación SYSVOL para monitorear la salud
de directiva de grupo. 482 Capítulo10 directivas de grupo
Implementación de
La creación de GPO Mediante el uso de GPMC, puede crear GPO ya sea desde cero o desde un GPO de inicio. También puede crear un nuevo GPO para que sea ■
Vinculado a una unidad organizativa, un sitio o el dominio haciendo clic derecho sobre el contenedor y seleccionando Nuevo.
■
Disociados de cualquier contenedor en Active Directory haciendo clic derecho en el nodo Objetos de directiva de grupo y seleccionando Nuevo.
Nuevos GPO están habilitados de forma predeterminada, pero después se puede deshabilitar el GPO: ■
Los valores de configuración del usuario
■
Las opciones de configuración del ordenador
■
Todos los ajustes
Una vez que se crea un GPO, puede abrirlo en el Editor de administración de directivas de grupo y configurar las políticas y preferencias de GPO: ■
■
PolíticasEstos son los ajustes que hace cumplir la directiva de grupo para los usuarios o equipos dirigidos por el GPO. Los tipos de políticas son los siguientes: ■
Plantillas administrativas, que son configuraciones basadas en el Registro que se escriben en un área especial del Registro en los equipos cliente
■
Configuración de Windows, que incluyen la configuración de seguridad descritos anteriormente en esta lección
■
Configuración de software, que pueden usarse para instalar aplicaciones para usuarios o equipos de destino
PreferenciasEstos son los ajustes que puede utilizar para modificar los valores de configuración para las características de los sistemas operativos Windows o aplicaciones que no son conscientes Grupo PolÃtica.
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
483
Administrar vínculos de GPO GPO se puede vincular a las unidades organizativas, sitios o dominios. La figura 10-7 muestra el GPO HQ-Desktops seleccionado en el árbol de consola de GPMC. La sección de Enlaces de la ficha Ámbito en el panel de detalles indica lo siguiente: ■
El GPO está vinculado a la Desktops OU, que está en la UO Equipos bajo el HQNYC OU del corp .fabrikam dominio .com.
■
El enlace está habilitado. Si desactiva el enlace, la configuración en el GPO no se aplicarán a los usuarios o equipos dirigidos por el GPO.
■
Configuración del GPO pueden ser bloqueados por la configuración heredadas de un GPO vinculado a una unidad organizativa o al dominio. Esto se indica mediante Forzadas está establecido en No.
FIGURA 10-7Visualización de información sobre los enlaces para un GPO.
484 Capítulo10 directivas de grupo
Implementación de
Configuración de filtrado de seguridad Ustedpuede configurar el filtrado de seguridad en un GPO para refinar la que los usuarios y equipos recibirán y aplicar la configuración en el GPO. Por ejemplo, puede utilizar el filtrado de seguridad para especificar que sólo ciertos grupos de seguridad dentro de la unidad organizativa donde está vinculado el GPO se aplican el GPO. A configurar el filtrado de seguridad en un GPO, realice los siguientes pasos: 1.
Seleccione el GPO bajo el nodo Objetos de directiva de grupo en GPMC.
2.
Selecciona la pestaña Ámbito en el panel de detalles y haga clic en Añadir en la sección Filtrado de seguridad de esta ficha.
3.
Explorar el directorio para seleccionar el grupo de seguridad para filtrar.
4.
Una vez que el grupo que ha seleccionado se muestra en la sección Filtrado de seguridad de la ficha Ámbito, seleccione Usuarios autenticados y haga clic en Quitar. Esto asegura que la configuración en el GPO se aplicarán únicamente a los usuarios y equipos que pertenecen al grupo especificado.
Configuración del filtrado de WMI Windows Management Instrumentation (WMI) de filtrado permite al alcance de un GPO a dinámica se determina con base en atributos del equipo de destino. Filtros WMI son consultas escritas con el lenguaje de consulta de WMI (WQL), un lenguaje de tipo SQL. Un ejemplo de un filtro WMI es la siguiente:
Los filtros de consulta anteriores en función de si el equipo de destino ejecuta Windows 8. Configuración de esta consulta como un filtro WMI para un GPO se traducirá en el GPO que se aplican sólo a los equipos que ejecutan Windows 8. Para crear y vincular este filtro para un GPO, haga lo siguiente: 1.
Haga clic en el nodo Filtros WMI en GPMC y seleccione Nuevo para abrir el cuadro de diálogo Nuevo filtro WMI.
2.
Dar el nuevo filtro de un nombre y, opcionalmente, una descripción.
3.
Haga clic en Agregar y escriba su consulta en el campo de consulta del cuadro de diálogo WMI consulta. Entonces haga clic en Aceptar para volver al cuadro de diálogo Nuevo filtro WMI:
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
485
4.
Haga clic en Guardar para guardar la consulta. El nuevo filtro se mostrará debajo de los filtros WMI nodo.
5.
Seleccione el GPO que desea vincular el filtro, y cambiar a la ficha Ámbito.
6.
En la sección Filtrado WMI en la ficha Ámbito, seleccione el filtro que ha creado de la lista de filtros disponibles. Haga clic en Sí cuando aparezca el cuadro de diálogo de confirmación.
486 Capítulo10 directivas de grupo
Implementación de
Copia de seguridad y restauración de GPO Ustedpuede usar GPMC para copia de seguridad de los GPO. También puede restaurar una versión eliminado o anterior de un GPO existente, copiar un GPO, importar la configuración de un GPO, o migrar un GPO a un dominio diferente. Por copias de seguridad de los GPO, puede restaurar rápidamente su infraestructura de directiva de grupo en el caso de un desastre. Acopia de seguridad de un GPO específico, siga estos pasos: 1.
Haga clic derecho en el GPO y seleccione Copia de seguridad para abrir el cuadro de diálogo Objeto de directiva de grupo de copia de seguridad.
2.
Especifique la ruta a la ubicación donde desea almacenar la copia
de seguridad. También puede hacer copias de seguridad de todos los GPO en un dominio de la siguiente manera: 1.
Haga clic en la directiva de grupo Objetos nodo y seleccione Copia de seguridad.
2.
Especifique la ruta a la ubicación donde desea almacenar la copia de seguridad.
Después de una copia de seguridad GPO, puede gestionar las copias de seguridad haciendo clic derecho sobre la directiva de grupo Objetos nodo y seleccionando Administrar copias de seguridad.
Resumen de la lección ■
Usted necesita para planificar su estructura de unidades organizativas para apoyar la directiva de grupo.
■
Usted debe configurar un almacén central para almacenar los archivos de definición de políticas en el dominio.
■
Creación y uso de GPO de inicio se puede simplificar el proceso de implementación de nuevos GPO.
■
Windows Server 2012 ahora le permite realizar una actualización remota de directiva de grupo en equipos de destino.
■
La configuración de seguridad de directiva de grupo de Windows Server 2012 incluyen nuevas políticas y capacidades.
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
487
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
Usted han creado una estructura plana OU para su dominio que tiene solamente unidades organizativas de nivel superior y ningún niño unidades organizativas. De cada departamento de sobremesa, ordenadores portátiles, y los usuarios se encuentran en diferente unidades organizativas. ¿Cuál es la razón principal por la que este diseño es una mala elección cuando se trata de la aplicación de la directiva de grupo para su entorno? A.
Directiva de grupo de gestión será difícil debido a la gran cantidad de GPO necesitará.
B.
Delegación de la directiva de grupo será difícil debido al gran número de GPO que necesitará.
C.
Directiva de grupo de gestión será difícil porque no va a ser capaz de hacer el uso efectivo de la herencia de directivas de grupo.
D. Delegación de la directiva de grupo será difícil porque no va a ser capaz
de hacer el uso efectivo de la herencia de directivas de grupo. 2.
Usted haga clic en una unidad organizativa en el árbol de consola de GPMC que contiene las computadoras y luego selecciona la opción del menú de actualización de la directiva de grupo en el menú contextual. El cuadro de diálogo Resultados de la actualización de la directiva de grupo a distancia indica Completado, y ningún mensaje de error que se haya mostrado. Más tarde descubre que al menos una de las políticas Configuración del equipo del GPO vinculados a la unidad organizativa no reposó en los equipos de la unidad organizativa. ¿Cuál podría ser la causa de este fracaso? (Elija todas las que correspondan.) A.
Los puertos de firewall necesarias en los equipos de destino no se han abierto a permitirá una actualización remota de directiva de grupo.
B.
El GPO que debe estar vinculado a la unidad organizativa se ha convertido desvinculado de la OU.
C.
La parte Configuración del equipo del GPO vinculados a la unidad organizativa ha sido discapacitados.
D. Las directivas de grupo Actualizar remoto puertos de Firewall de arranque de
GPO se ha eliminado del dominio. 3.
Qué nodo debe seleccionar en el árbol de consola de GPMC para ver el estado actual de la replicación SYSVOL en su relación con la directiva de grupo en un dominio?
488 Capítulo10 directivas de grupo
Implementación de
A.
El nodo raíz denominado Group Policy Management
B.
El Bosque nodo denominado:
C.
Los Dominios de nodo llamado
D. El nodo denominado
Lección 1: Planificación, implementación y administración de directivas de grupo
Capítulo 10
489
Lección 2: Administración de la directiva de grupo con Windows PowerShell Aunque la mayoría de las tareas administrativas de la directiva de grupo pueden ser más fácilmente realizadas por nosotrosing herramientas visuales tales como la GPMC y el Editor de administración de directivas de grupo, algunas tareas también pueden realizarse mediante Windows PowerShell. Esta lección examina algunas de las formas que puede utilizar Windows PowerShell para configurar y administrar la directiva de grupo en un entorno de Active Directory basado en Windows Server 2012.
Crear y vincular GPO mediante Windows PowerShell. Configurar y realizar la directiva de grupo de actualización remota mediante Windows PowerShell. Realizar copias de seguridad y restaurar los GPO mediante Windows PowerShell.
Creacióny vincular GPO Amostrar cómo se pueden crear y vincular GPO mediante Windows PowerShell, va a crear un nuevo GPO denominado "BO-1-Desktops", basada en el GPO de inicio llamado "Ordenadores de sobremesa" que creó en la Lección 1 de este capítulo. A continuación, vincular el nuevo GPO a la OU llamado "BO-1-MAR", que representa la Sucursal # 1 en Seattle en el corp.fabrikam.com dominio. Ustedpuede comenzar con el cmdlet Get-StarterGPO para confirmar que su GPO de inicio existe:
490 Capítulo10 directivas de grupo
Implementación de
A continuación, puede utilizar el cmdlet New-GPO para crear el nuevo GPO de su GPO de inicio de la siguiente manera:
Por último, puede vincular el nuevo GPO a la unidad organizativa específica de la siguiente manera:
Por otra parte, mediante el uso de la función de canalización de Windows PowerShell, puede crear y vincular el GPO utilizando un único comando como este:
Remotamenterefrescante de directiva de grupo Usted puede usar el cmdlet Invoke-GPUpdate para actualizar la configuración de directiva de grupo en equipos remotos. Este cmdlet funciona mediante la programación de la ejecución de comandos del Gpupdate .exe en los equipos remotos. Antes de que pueda hacer esto, sin embargo, es necesario abrir los puertos de firewall necesarias en los equipos que ajustará, como se explicó en la lección anterior en este capítulo. Puede realizar este paso preliminar mediante Windows PowerShell. Por ejemplo, el comando siguiente crea y vincula un GPO que se abrirá los puertos de firewall necesarias para todos los equipos del corp .fabrikam dominio .com:
Lección 2: Administración de la directiva de grupo con Windows PowerShell
Capítulo 10
489
Una vez que este GPO se ha procesado, puede realizar una actualización remota de la directiva de grupo en equipos de un OU específico. Por ejemplo, el siguiente comando actualiza la directiva de grupo de forma remota para computadoras en los escritorios OU descritas anteriormente en la Lección 1 de este capítulo:
El comando anterior utiliza el cmdlet Get-ADComputer para obtener una lista de los nombres de los equipos en la unidad organizativa de destino. La salida de este comando se canaliza entonces en una instrucción foreach que inicia una actualización inmediata de la directiva de grupo en cada equipo.
Copia de seguridad y restauración de GPO Ustedpuede utilizar la copia de seguridad y restauración de GPO-GPO cmdlets para realizar copias de seguridad y restaurar los GPO ellos. Por ejemplo, los siguientes comandos espaldas hasta el GPO denominado "HQ-Desktops" a la carpeta local llamado C: \ GPOBackups:
Usteda continuación, puede usar el cmdlet Get-ChildItem para verificar el resultado de la siguiente manera:
492 Capítulo10 directivas de grupo
Implementación de
Lección 2: Administración de la directiva de grupo con Windows PowerShell
Capítulo 10
491
Resumen de la lección ■
Ustedpuede utilizar el Get-StarterGPO Nueva GPO y cmdlets Nueva gPLink para crear nuevos GPO desde Starter GPO y vincular los nuevos GPO a unidades organizativas.
■
Ustedpuede utilizar el cmdlet New-GPO para crear y vincular un nuevo GPO que permitirá a la directiva de grupo de actualización a distancia en todos los equipos en su dominio.
■
Usted puede usar el cmdlet Get-ADComputer GPO y Invoke-GPUpdate para realizar una actualización remota de la directiva de grupo para computadoras en una unidad organizativa específica.
■
Ustedpuede utilizar el Get-GPO y cmdlets-Backup GPO a una copia de seguridad de un GPO.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Qué dos cmdlets se pueden utilizar para crear un nuevo GPO y vincularlo mediante un solo comando? A.
Get-StarterGPO y Nueva-GPO
B.
Nueva-GPO y Nueva-gPLink
494 Capítulo10 directivas de grupo
Implementación de
C.
Nueva-GPO y Set-gPLink
D. Get-GPO y Nueva-gPLink 2.
¿Cómo deberá realizar el siguiente comando? Copia de seguridad-GPO -Todos -Path \\ host6 \ GpoBackups
Lección 2: Administración de la directiva de grupo con Windows PowerShell
Capítulo 10
491
A.
El comando respalda el GPO denominado "Todos" a la carpeta C: \ GpoBackups en host6.
B.
El comando respalda el GPO denominado "todo" para la participación en GpoBackups host6.
C.
El comando respalda todos los GPO en la carpeta C: \ GpoBackups en host6.
D. El comando respalda todos los GPO a la cuota GpoBackups en host6.
Lección 3: Implementación de las preferencias de directiva de grupo Aunque la mayoría de los administradores están familiarizados con el uso de las políticas de directiva de grupo para configurar o bloqueo por entornos de escritorio de los usuarios, muchos están menos familiarizados con las capacidades y los beneficios del uso de las preferencias de directiva de grupo. Esta lección ofrece una visión general de cómo funcionan las preferencias de directiva de grupo, cómo configurar ellos, y los diferentes tipos de características de Windows y los ajustes que se pueden configurar de usarlos.
Explicar la diferencia entre las políticas y preferencias. Crear y configurar nuevos elementos de preferencias.
Conocer los diferentes tipos de extensiones de preferencias y lo que pueden ser utilizados para.
Preferencias Comprensión Como se explicó anteriormente en la Lección 1 de este capítulo, las preferencias de directiva de grupo son los valores de configuración no administrados. Es decir, son los valores de configuración que la organización no considera obligatoria, pero podría considerar recomendable o conveniente. Ajustes no administrados son empujados a cuentas o computadoras de usuario específicas, pero a diferencia de valores gestionados, que siempre se hacen cumplir, los ajustes no administrados pueden ser modificados por los usuarios si quieren hacerlo. Preferencias de directiva de grupo se implementan utilizando extensiones de cliente (CSE) y suplementar la gama de opciones configurables disponibles dentro de un GPO. Preferencias de directiva de grupo se pueden usar para administrar la configuración de las siguientes versiones de Windows: ■
Windows 8 y Windows Server 2012 Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
493
■
Windows 7 y Windows Server 2008 R2
■
Windows Vista y Windows Server 2008
■
Windows XP SP2 o posterior y Windows Server 2003 SP1 o posterior
494 Capítulo10 directivas de grupo
Implementación de
Como muestra la Figura 10-8, las preferencias de directiva de grupo dentro de un GPO se pueden configurar mediante la apertura de la GPO en el Editor de administración de directivas de grupo. Extensiones de preferencias se pueden encontrar tanto en las secciones Configuración del equipo y Configuración de usuario del GPO. Al hacer clic derecho sobre una extensión de preferencias y seleccionando Nuevo en el menú contextual, puede crear un nuevo elemento de preferencia que se puede utilizar para distribuir la configuración establecida en el artículo a usuarios o equipo dirigidos por el GPO.
FIGURA 10-8Preferencias de directiva de grupo en el Editor de administración de directivas
de grupo.
Categorías de preferencia Como muestra la Figura 10-8, las preferencias se pueden clasificar de dos maneras: ■
Configuración de WindowsEstas son las preferencias que pueden utilizarse para configurar diferente aspectos del entorno Windows para usuarios específicos y computadoras. Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
495
■
Configuración del panel de controlEstos son preferencias que pueden utilizarse para configurar el Control Configuración del Panel para usuarios específicos y computadoras.
Los diferentes tipos de Configuración de Windows y Configuración Panel de control preferencias se describen más adelante en esta lección. NOTAOVERLAP
Configuración de preferencias Opciones de preferencias se configuran generalmente usando hojas de propiedades. Por ejemplo, la Figura 9.10 muestra la ficha General en la hoja de propiedades de un elemento de preferencia nueva unidad, que se puede utilizar para configurar nuevas unidades asignadas para los usuarios o equipos dirigidos por un GPO. Para la mayoría de tipos de extensiones de preferencia, cuando se crea un nuevo elemento de preferencia que tiene una selección de cuatro acciones para elegir: ■
Crea un nuevo elemento de preferencias para el usuario objetivo o ejemplo por ordenador para, una nueva unidad asignada para los usuarios.
■
Elimina un elemento de preferencias creado anteriormente para el usuario objetivo o equipo-por ejemplo, una unidad asignada previamente configurado para los usuarios.
■
Elimina y vuelve a crear el elemento de preferencias para el usuario objetivo o ejemplo por ordenador para, elimina una unidad previamente asignada y crea una nueva. La acción Reemplazar sobrescribe todos los ajustes existentes asociados con el elemento de preferencias configurado previamente. Si el elemento de preferencias (por ejemplo, una asignación de unidades) no existe, la acción Reemplazar crea un nuevo elemento de preferencias (por ejemplo, una nueva asignación de unidades) para el usuario objetivo o computadora.
■
Modifica la configuración de un elemento de preferencias existentes, tales como una unidad asignada. Actualización difiere de Reemplazar en que actualiza sólo los ajustes definidos en el artículo preferencia. Si el elemento de preferencias (por ejemplo, una asignación de unidades) no existe, la acción Actualizar crea un nuevo elemento (por ejemplo, una nueva asignación de unidades) para el usuario objetivo o computadora.
Las opciones de configuración restantes disponibles en la ficha General dependen de qué tipo de la acción que ha seleccionado para el nuevo elemento de preferencias.
496 Capítulo10 directivas de grupo
Implementación de
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
497
FIGURA 10-9La ficha General en la hoja de propiedades de un elemento de preferencia nueva unidad.
Las opciones comunes Varias opciones de preferencia son comunes a la mayoría de los tipos de preferencias. Estas opciones se pueden configurar mediante la ficha Común en la hoja de propiedades del elemento de preferencias. Por ejemplo, la Figura 10-10 muestra la ficha Común aparece al crear una nueva preferencia elemento del tipo preferencia Mapas Drive, que se puede utilizar para configurar nuevas unidades asignadas para los usuarios o equipos dirigidos por un GPO. Como puede ver, una de las opciones de preferencias de esta ficha no está disponible para la configuración de este tipo particular de preferencia.
498 Capítulo10 directivas de grupo
Implementación de
FIGURA 10-10La ficha Común en la hoja de propiedades de un elemento de preferencia nueva unidad.
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
499
Las distintas opciones disponibles en la ficha Común incluyen ■
Detener el procesamiento de artículos en esta extensión Si produce un errorUna preferenciaextensión puede contener uno más elementos de preferencias. Si se selecciona esta opción, un elemento de preferencia que no llega a aplicarse no evitará que los elementos de preferencias restantes en la extensión de procesamiento.
■
Ejecutar En usuario conectado's Seguridad (Opción Política Usuario) ContextoPor defecto,preferencias se procesan utilizando el contexto de seguridad de la cuenta del sistema en el cliente. Si se selecciona esta opción, la preferencia será procesada utilizando el contexto de seguridad del usuario que actualmente ha iniciado la sesión en el cliente, lo que permite a las variables de entorno específicas del usuario que se utilizarán en rutas del sistema de archivos.
■
Quitar este artículo cuando ya no es AplicadoDe forma predeterminada, los elementos de preferencias no se eliminan desde el cliente cuando el GPO dirigida al usuario o equipo sale del ámbito. Al seleccionar esta opción hace que el elemento de preferencias para ser retirado del cliente cuando el GPO dirigida al usuario o equipo sale del ámbito, que se realiza mediante la eliminación y volver a crear el elemento de preferencias.
■
■
Aplicar una vez y no ReapliqueDe forma predeterminada, los elementos de preferencias se reescriben cuando la directiva de grupo se actualiza en el cliente. Al seleccionar esta opción hace que el elemento de preferencia que se aplicará una sola vez al cliente. La focalización a nivel de artículoDe forma predeterminada, un elemento de preferencias configurado en un GPO se aplica a todos los usuarios y equipos de destino por ese GPO. Al seleccionar esta opción le permite cambiar este comportamiento tal como se describe más adelante en esta lección.
Utilizando las variables de entorno Las variables de entorno se pueden utilizar en los elementos de preferencias para simplificar la configuración de opciones tales como rutas del sistema de archivos. Estas variables pueden incluir ■
Las variables de entorno de Windows estándar por equipo
■
Las variables de entorno de Windows estándar por usuario
■
Las variables de entorno que son específicos a las preferencias de directiva de grupo
Además, algunas variables se pueden aplicar sólo a ciertos versiones de Windows. La siguiente es una lista de variables que pueden ser procesados por las extensiones de preferencia: ■ ■
% AppDataDir% Directorio de datos de aplicación del usuario actual % BinaryComputerSid%El identificador de seguridad (SID) del equipo en hexadecimal formato
500 Capítulo10 directivas de grupo
Implementación de
■
% BinaryUserSid% El SID del usuario actual en formato hexadecimal
■
% CommonAppdataDir% Todos los usuarios El directorio de datos de aplicación
■
% CommonDesktopDir% El directorio de escritorio Todos los usuarios
■
% CommonFavoritesDir% El directorio Todo Explorador Usuarios Favoritos
■
% CommonProgramsDir% El directorio de usuarios Todos los programas
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
501
■
% CommonStartMenuDir% Los Todos los usuarios comienzan Directorio del menú
■
% CommonStartUpDir% El directorio de Todos los usuarios de inicio
■
% ComputerName% El nombre NetBIOS del equipo
■
% CurrentProcessId% La identidad numérica del proceso principal del cliente
■
% CurrentThreadId% La identidad numérica del hilo principal cliente
■
% Fecha y hora% La hora actual (UTC)
■
% DateTimeEx% La hora actual (UTC) con milisegundos
■
% DesktopDir% Directorio del escritorio del usuario actual
■
% Nombre de dominio% El nombre de dominio o grupo de trabajo de la computadora
■
% FavoritesDir% Directorio Favoritos Explorador del usuario actual
■
% LastError% El último código de error encontrado durante la configuración
■
% LastErrorText% El último error de descripción de texto de código
■
% LdapComputerSid%El SID del equipo en el Lightweight Directory Access Protocol (LDAP) escapó formato binario
■
% LdapUserSid%El SID del usuario actual en LDAP escapó formato binario
■
% Hora local% La hora actual
■
% LocalTimeEx% La hora actual en milisegundos
■
% LogonDomain% El dominio del usuario actual
■
% LogonServer% El controlador de dominio que autentica el usuario actual
■
% LogonUser% El nombre de usuario del usuario actual
■
% LogonUserSid% El SID del usuario actual
■
■ ■
% Dirección MAC%La dirección de control de acceso a los medios de comunicación primero detectado (MAC) en la computadora % NetPlacesDir% Directorio Mis sitios de red del usuario actual % OSVersion%El sistema operativo, que puede ser una de Windows específica operativo sistema o Desconocido
■
% ProgramFilesDir% El directorio Archivos de programa de Windows
■
% ProgramsDir% Directorio de programas del usuario actual
■
% RecentDocumentsDir%Del usuario actual de documentos recientes de directorio
■
% ResultCode% Código de salida del cliente
■
% ResultText% Salida de descripción de texto de código del cliente
■
502 Capítulo10 directivas de grupo
% ReversedComputerSid%El SID del equipo en formato hexadecimal byte-orden inverso Implementación de
■
% ReversedUserSid%El SID del usuario actual en formato hexadecimal byte-orden inverso
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
503
■
% SendToDir% Enviar del usuario actual Para directorio
■
% StartMenuDir% Directorio del menú de inicio del usuario actual
■
% StartUpDir% Directorio de Inicio del usuario actual
■
% Systemdir% El directorio de sistema de Windows
■
% SystemDrive% El nombre de la unidad desde la que el sistema operativo se está ejecutando
■
% TEMPDIR% Directorio Temp del usuario actual, determinado por Windows API
■
% De TimeStamp% El sello de tiempo de las configuraciones siendo implementado
■
% TraceFile% La ruta / nombre del archivo de rastreo
■
% WindowsDir% El directorio de Windows
A seleccione una variable al configurar un elemento de preferencias, haga lo siguiente: 1.
Abra las propiedades del elemento de preferencias, y haga clic en cualquier campo, cuando se puede utilizar una variable, como el campo Ubicación en la ficha General de un tema Mapas Drive.
2.
Pulse F3 para abrir el cuadro de diálogo Seleccionar variable A:
3.
Seleccione la variable que desea utilizar en el campo que se utiliza para la configuración de la preferencia artículo.
4.
Desactive la casilla de verificación Variable Resolver si desea que la variable en lugar del valor acordado aparecen en las propiedades del elemento de preferencias.
504 Capítulo10 directivas de grupo
Implementación de
5.
Haga clic en Seleccionar para insertar la variable en las propiedades del elemento de preferencias.
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
505
Focalización a nivel de artículo El ámbito predeterminado de un elemento de preferencia son los usuarios o equipos dirigidos por el GPO en el que el elemento de preferencias se ha configurado. Puede modificar este ámbito predeterminado mediante el uso de la focalización a nivel de artículo, que se puede utilizar para crear uno o más elementos de orientación para un elemento de preferencia. Estos artículos dirigidos pueden utilizarse para determinar si o no el elemento de preferencia debe ser aplicado sobre la base de diversas condiciones; por ejemplo: ■
Independientemente de si una batería está presente en el equipo de destino
■
Si el nombre del equipo de destino coincida con el nombre especificado en el elemento de destinatarios
■
Ya sea una variable de entorno para el usuario objetivo o computadora tiene el valor especificado
La lista completa de las diferentes categorías de artículos de orientación es el siguiente: ■
Presente Batería
■
Nombre de equipo
■
UPC Velocidad
■
Fecha Partido
■
Espacio Del Disco
■
Dominio
■
Variable de entorno
■
Partido Archivo
■
Intervalo de direcciones IP
■
Idioma
■
Consulta LDAP
■
Intervalo de direcciones MAC
■
MSI consulta
■
Conexión De Red
■
Sistema Operativo
■
Unidad Organizacional
■
PCMCIA Presente
■
Ordenador Portátil
■
Modo de procesamiento
■
RAM
500 Capítulo10 directivas de grupo
Implementación de
■
Registro Partido
■
Grupo de Seguridad
■
Sitio
■
Terminal Sesión
■
Intervalo De Tiempo
■
Usuario
■
WMI consulta
Configuración de un elemento de preferencias Como un ejemplo de la configuración de un elemento de preferencias, va a crear un elemento que se asigne una unidad de red para un usuario el blanco de un GPO. Para ello, siga este procedimiento: 1.
Abra el GPO en el Editor de administración de directivas de grupo, y ampliar la configuración de Windows para el nodo Preferencias en Configuración de usuario para mostrar la extensión de preferencias Mapas Drive. (Ver Figura 10-8 anteriormente en esta lección.)
2.
Haga clic derecho sobre la extensión de preferencias Mapas Drive y seleccione Nuevo y, a continuación, seleccione unidad asignada. Esto abre las propiedades de la nueva unidad con el foco en la pestaña General, que se configurará de la siguiente manera: ■
Acción Reemplazar.
■
Ubicación UNC ruta a un recurso compartido de red.
■
■ ■
■
■
■
Vuelva a conectar Esta opción se selecciona para guardar la unidad asignada en el perfil del usuario y tratar de restablecer una conexión que en cada inicio de sesión posterior. Etiqueta Como Una etiqueta descriptiva para la nueva unidad asignada. Letra de unidad Seleccione una letra de unidad disponible para la nueva unidad asignada, o utilice el primera unidad disponible, a partir de la letra de unidad especificada. Conecte ComoEsta opción se puede utilizar para asignar la unidad utilizando credenciales diferentes de los del usuario actualmente conectado. Ocultar/ Mostrar This Drive Tsu opción cuna be usod a configurar la visibility oF la unidad asignada en el cliente. Ocultar/ Mostrar All Conducirs visibility oF todos las unidades asignadas en el cliente.
Tsu opción cuna be usod a configurar la
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
501
3.
Cambie a la ficha Común y seleccione Quitar este artículo cuando se aplica de manera que ya no se eliminará la unidad asignada si el usuario objetivo sale del ámbito de la GPO.
Después de completar los pasos anteriores, el nuevo elemento de preferencia aparecerá en el panel de detalles del Editor de administración de directivas de grupo cuando se selecciona la extensión Mapas de unidad en el panel de contexto. (Ver Figura 10-11.)
FIGURA 10-11Un nuevo elemento de preferencia Mapas Drive ha sido creada.
502 Capítulo10 directivas de grupo
Implementación de
Como continuación del ejemplo anterior, vamos ahora utilizan a nivel de elemento de destinatarios para configurar el nuevo elemento Mapas Drive para que se aplique sólo a los miembros del grupo de seguridad de ventas que están dirigidos por el GPO: 1.
Con la extensión de preferencias Mapas de unidad seleccionada en el árbol de consola del Editor de administración de directivas de grupo, haga clic en el nuevo elemento Drive mapa (unidad S) y seleccione Propiedades.
2.
Cambie a la ficha Común, y seleccione la opción de nivel de elemento de orientación en esta ficha.
3.
Haga clic en el botón Orientación para abrir el Editor de orientación.
4.
Haga clic en la opción de menú Nuevo Tema y seleccione Grupo de Seguridad como el objetivo a nivel de artículo:
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
503
5.
En el campo de grupo en el Editor de Orientación, seleccione el grupo de seguridad de ventas, como se muestra Aquí:
6.
Haga clic en Aceptar para finalizar la configuración de nivel de elemento para el elemento de preferencias. Como La figura 10-12 muestra, la información en la ficha de procesamiento se actualizará para indicar que el elemento de preferencias se filtra utilizando la focalización a nivel de artículo.
FIGURA 10-12Un elemento de preferencias que se filtra utilizando la focalización a
nivel de artículo. 504 Capítulo10 directivas de grupo
Implementación de
La gestión de los elementos de preferencias Una vez que haya creado nuevos elementos de preferencia en un GPO, puede utilizar el Editor de administración de directivas de grupo para administrar esos artículos. Como muestra la figura 10-13, las tareas de administración que puede realizar en los elementos de preferencias incluyen ■
Habilitación o inhabilitación del artículo.
■
Al mover el elemento hacia arriba o hacia abajo en la lista de elementos extensión de preferencias. Los elementos de preferencia se procesan desde el fondo de esta lista a la cima.
■
Viendo el XML para el elemento.
■
Abrir las propiedades del elemento a modificar sus ajustes de configuración en la general o ficha Común.
FIGURA 10-13La gestión de los elementos de preferencias utilizando el Editor de administración de
directivas de grupo.
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
505
Ventanas Ajustes extensiones La figura 10-14 muestra las diferentes extensiones de preferencias de configuración de Windows que están disponibles en Configuración del equipo y Configuración de usuario. Estas extensiones de preferencias se pueden utilizar para configurar los siguientes tipos de ajustes para usuarios o equipos dirigidos por el GPO: ■
■
■
■
■ ■
■
■
■
Aplicaciones Utilice esta opción para configurar los ajustes para las aplicaciones. Mapas DriveUtilice esta opción para crear, modificar o suprimir unidades asignadas, y configurar el visibilidad de todas las unidades. Medio ambiente Utilice esta opción para crear, modificar o borrar las variables de entorno. Archivos Utilice esta opción para copiar, modificar los atributos de, reemplazar o eliminar archivos. Carpetas Utilice esta opción para crear, modificar o borrar carpetas. Ini archivosUtilice esta opción para agregar, reemplazar o eliminar secciones o propiedades en los ajustes (.ini) de configuración y la información de configuración (.inf) archivos. Acciones de redUtilice esta opción para crear, modificar o borrar ("noparticipación") de acciones. RegistroUtilice esta opción para copiar la configuración del Registro y aplicarlos a otros ordenadores. Puede crear, sustituir o eliminar la configuración del Registro. Accesos directos Utilice esta opción para crear, modificar o eliminar los accesos directos.
FIGURA 10-14Ajustes de Windows extensiones de preferencias de directiva de grupo.
Panel De Control Ajustes extensiones La figura 10-15 muestra las diferentes extensiones de preferencia para la configuración del panel de control que están disponibles en Configuración del equipo y Configuración de usuario. Estas extensiones de preferencias se pueden utilizar para configurar los siguientes tipos de ajustes para usuarios o equipos dirigidos por el GPO: 506 Capítulo10 directivas de grupo
Implementación de
■
■
Fuentes De DatosUtilice esta opción para crear, modificar o borrar Database Connectivity (ODBC) nombres de las fuentes de datos abiertas. DispositivosUtilice esta opción para activar o desactivar los dispositivos de hardware o clases de dispositivos.
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
507
■
Opciones De CarpetaUtilice esta opción para configurar las opciones de carpeta; crear, modificar o borrar Abrir con asociaciones para las extensiones de nombre de archivo; crear, modificar o eliminar extensiones de nombre de archivo asociadas con un tipo de archivo.
■
■
■
■
■
■ ■
Configuración de Internet Utilice esta opción para modificar la configuración de Internet configurables por el usuario. Usuarios y grupos localesUtilice esta opción para crear, modificar o eliminar usuarios y grupos locales. Opciones de redUtilice esta opción para crear, modificar o suprimir las redes privadas virtuales (VPN) o conexiones de acceso telefónico de red. Opciones de energíaUtilice esta opción para modificar las opciones de energía y crear, modificar o eliminar combinaciones de energía. Impresoras Utilice esta opción para crear, modificar o borrar IP compartida, y la impresora TCP / local conexiones. Opciones regionales Utilice esta opción para modificar las opciones regionales. ProgramadoTareasUtilice esta opción para crear, modificar o borrar tareas programadas o inmediatas.
■
Servicios Utilice esta opción para modificar los servicios.
■
Menu De Inicio Utilice esta opción para modificar las opciones del menú Inicio.
FIGURA 10-15Extensiones Configuración Panel de control para las preferencias de directiva de grupo.
Resumen de la lección ■
Extensiones de preferencias consisten en la configuración de Windows y la configuración del panel de control.
■
Elementos de preferencias se pueden configurar para crear, eliminar, sustituir o actualizar un ajuste de configuración y registrador basado en el cliente.
508 Capítulo10 directivas de grupo
Implementación de
■
Las opciones comunes son un conjunto de cinco opciones de configuración con el apoyo de la mayoría de preferencias extensiones.
■
Las variables de entorno se pueden utilizar en los elementos de preferencias para simplificar la configuración de opciones tales como rutas del sistema de archivos.
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
509
■
Focalización a nivel de artículo se puede utilizar para determinar si el elemento de preferencias se debe aplicar sobre la base de varias condiciones.
■
Elementos de preferencias se pueden manejar con un clic derecho sobre ellos en el Editor de administración de directivas de grupo.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de los siguientes no son ciertas sobre preferencias de directiva de grupo? (Elija todas las que correspondan.) A.
Preferencias no se pueden configurar en GPO locales.
B.
Preferencias tienen prioridad sobre las políticas cuando entran en conflicto.
C.
Al crear un nuevo elemento de preferencia, la selección de la acción borra y vuelve a crear el elemento de preferencias para el usuario objetivo o computadora Crear.
D. Ustedpuede presionar F3 para seleccionar una variable cuando la configuración
de un campo de un elemento de preferencias en el que se puede utilizar una variable. 2.
¿Cuál de los siguientes no se pueden utilizar como un elemento de destinatarios para la preferencia de nivel de elemento de destinatarios? A.
Intervalo de direcciones MAC
B.
Unidad Organizacional
C.
Registro Partido
D. Computadora de Escritorio 3.
Ustedhan configurado varios Maps Drive elementos de preferencias de modo que los usuarios destinatarios de la GPO pueden haber unidades asignadas para facilitar su acceso a las carpetas compartidas en la red. Estas carpetas compartidas están ubicados en diferentes servidores de archivos. Aliado ocasión-, uno de los servidores de archivos se toma por mantenimiento, y usted todavía quiere que el usuario sea capaz de utilizar las unidades restantes asignada cuando esto ocurre. ¿Qué opción en la ficha Común del elemento de preferencias Mapas Drive puede ser configurado para permitir esto? A.
Detener el procesamiento de artículos en esta extensión Si produce un error
B.
Ejecutar En iniciado la sesión Contexto de Seguridad del usuario (opción del usuario)
C.
Quitar este artículo cuando ya no es Aplicado
510 Capítulo10 directivas de grupo
Implementación de
D. Aplicar una vez y no Reaplique
Lección 3: Implementación de las preferencias de directiva de grupo Capítulo 10
511
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Diseño e implementación de la directiva de grupo
■
Creación y gestión de los GPO mediante Windows PowerShell
A realizar los siguientes ejercicios, necesita al menos una instalación limpia de Windows Server 2012 mediante el servidor con una opción de instalación GUI. El servidor debe ser un controlador de dominio en un dominio, tienen conexión a Internet, y no tienen funciones adicionales o características instaladas. A los efectos de estos ejercicios, el nombre del servidor se supone que es Host4 y el dominio es corp .fabrikam .com. Ustedtambién necesitan acceso de lectura / escritura para cada uno a una carpeta compartida en la red. Esta carpeta compartida puede estar en un servidor de archivos que ejecuta Windows Server 2012 o una versión anterior de Windows Server. Usteddebe estar conectado de forma interactiva en Host4 utilizando una cuenta de usuario que sea miembro del grupo Administradores local.
Ejercicio 1: Diseño e implementación de la directiva de grupo En este ejercicio, vamos a diseñar una estructura de unidades organizativas para apoyar la directiva de grupo, crear GPO de inicio, y configurar el entorno para apoyar una actualización remota de directiva de grupo. 1.
2.
Diseño y crear una estructura de unidades organizativas del dominio corp.fabrikam.com que satisface la siguientes requisitos: ■
Fabrikam tiene sus oficinas en Chicago y en la actualidad no tiene sucursales.
■
Los departamentos llamados Ejecutivo, recursos humanos, informática, marketing y cada uno tiene diferentes requisitos de seguridad para sus usuarios y equipos.
■
Todos los servidores están gestionados por el departamento de TI.
■
Los host de sesión de Escritorio remoto (RDSH) servidores tienen diferentes requisitos de seguridad que el resto de los servidores de Fabrikam.
■
Usuarios en el departamento de recursos humanos sólo tienen escritorios.
■
Usuarios en el departamento de Marketing sólo tienen computadoras portátiles.
■
Los usuarios de los departamentos ejecutivos y TI tienen ambos equipos de escritorio y portátiles.
Cree las siguientes GPO Starter: ■
Start-InformáticaEste GPO de inicio se utilizará en el próximo ejercicio para la creación de GPO que se vincularán a cualquier niño que contenga unidades Ejercicios de práctica Capítulo 10
509
organizativas unidades organizativas para diferentes tipos de computadoras. ■
Start-UsuariosEste GPO de inicio se utilizará en el próximo ejercicio para la creación de GPO que se vincularán a los contenedores para todo tipo de usuarios, excepto los del departamento de TI.
510 Capítulo10 directivas de grupo
Implementación de
■
■
Start-RDSEste motor de arranque GPO se usó en la siguiente ejercicio para configurar el seguridad para servidores RDSH de Fabrikam. Puesta en miembroEste motor de arranque GPO se usó en la siguiente ejercicio para configurar el seguridad para otros servidores miembro de Fabrikam.
3.
Configurar un par de políticas adecuadas en cada uno de los nuevos GPO arranque que acaba de crear.
4.
Crear un nuevo GPO llamado Refresh que se puede utilizar para permitir una actualización remota de directiva de grupo en equipos de destino por el GPO. No vincular el nuevo GPO a cualquier contenedor en Active Directory.
Ejercicio 2: Creación y gestión de los GPO mediante Windows PowerShell En este ejercicio, utilizará el Refresh GPO que creó en el ejercicio anterior para habilitar la actualización remota de la directiva de grupo para todos los equipos, excepto los utilizados por el departamento de TI. A continuación, crear nuevos GPO del GPO de inicio que ha creado en el ejercicio anterior y relacionarlos con diferentes unidades organizativas en su infraestructura de Active Directory. Por último, se realizará una copia de seguridad de todos los GPO que acaba de crear para que pueda restaurarlos rápidamente en caso de un desastre, y que pondrá a prueba la copia de seguridad mediante la realización de una restauración. Todas las tareas en este ejercicio se llevará a cabo mediante Windows PowerShell. Sigue estos pasos: 1.
Utilice el cmdlet New-gPLink vincular la actualización GPO a las unidades organizativas que contienen los equipos para los diferentes departamentos a excepción del departamento de TI.
2.
Utilice la Nueva-StarterGPO Nueva GPO y cmdlets Nueva gPLink para crear y vincular nuevos GPO a cualquier niño que contenga unidades organizativas unidades organizativas para diferentes tipos de computadoras.
3.
Utilice la Nueva-StarterGPO Nueva GPO y cmdlets Nueva gPLink para crear y vincular nuevos GPO a contenedores para todo tipo de usuarios, excepto para aquellos en el departamento de TI.
4.
Utilice la Nueva-StarterGPO Nueva GPO y cmdlets Nueva gPLink para crear y vincular nueva GPO para configurar la seguridad para servidores RDSH de Fabrikam.
5.
Utilice la Nueva-StarterGPO Nueva GPO y cmdlets Nueva gPLink para crear y vincular nueva GPO para configurar la seguridad para otros servidores miembro de Fabrikam.
6.
Utilice el Get-GPO y copia de seguridad GPOcmdlets para copias de seguridad de todos los GPO en el .fabrikam corp. dominio com a una carpeta compartida en la red.
7.
Use el cmdlet Get-ChildItem para verificar que la copia de seguridad se ha Ejercicios de práctica Capítulo 10
511
realizado correctamente. 8.
Eliminar uno de los GPO en su entorno.
9.
Use el cmdlet Restore-GPO para restaurar el GPO eliminado y su vínculo.
10. Abra el GPO restaurado en el Editor de administración de directivas de grupo, y
verifique que el GPO restaurado contiene las políticas del GPO eliminado.
512 Capítulo10 directivas de grupo
Implementación de
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
■
■
Práctica 1 Explorar el uso de diferentes extensiones de preferencias de directiva de grupo para configurar diferentes tipos de ajustes para los clientes de Windows en su entorno. Práctica 2Escribir un script de Windows PowerShell que crea una jerarquía de unidades organizativas y luego crea un nuevo GPO vinculados a cada unidad organizativa en su jerarquía. Práctica 3Aprende a usar los nuevos cmdlets de Windows PowerShell para AppLocker, que se describen enhttp://technet.microsoft.com/enus/library/hh847210 .
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Respuesta correcta: D A.
Incorrecto:Una estructura de unidades organizativas plana como esto no necesariamente tiene más unidades organizativas que una estructura jerárquica diseñada para el mismo propósito. De hecho, una estructura jerárquica OU a menudo tiene GPO más OU y por lo tanto más.
B.
Incorrecto:Una estructura de unidades organizativas plana como esto no necesariamente tiene más unidades organizativas que una estructura jerárquica diseñada para el mismo propósito. De hecho, una estructura jerárquica OU a menudo tiene GPO más OU y por lo tanto más.
C.
Incorrecto:Directiva de grupo herencia puede hacer delegación de autoridad sobre los GPO más fácil de implementar. No significa necesariamente que un entorno de GPO más manejable, sin embargo.
D. Correcto:Delegación de la directiva de grupo es más difícil de implementar en
una estructura de unidades organizativas plana porque la herencia de directivas de grupo no puede ser utilizado para pasar las políticas de padre a hijo OU OU. 2.
Correctorespuestas: A, B, y C A.
Correcto:Directiva de grupo de actualización a distancia no funcionará si los puertos de firewall necesarias en los equipos de destino no se han abierto. Respuestas Capítulo 10
511
B.
Correcto:Directiva de grupo de actualización a distancia no funcionará si el GPO que debe estar vinculado a la unidad organizativa se ha convertido desvinculado de la OU.
C.
Correcto:Directiva de grupo de actualización remota se actualizará políticas de configuración de usuario en los equipos de destino sólo si la parte Configuración del equipo del GPO vinculados a la unidad organizativa se ha desactivado.
512 Capítulo10 directivas de grupo
Implementación de
D. Incorrecto:La directiva de grupo Actualizar remoto Puertos Firewall GPO de
inicio hace que sea más fácil para habilitar actualización remota de directiva de grupo en equipos de destino. Sin embargo, también se puede habilitar la actualización remota de directiva de grupo mediante la apertura manualmente los puertos de firewall necesarias en equipos de destino o ejecutando un script de PowerShell Netsh o Windows para hacer esto. 3.
Respuesta correcta: D A.
Incorrecto:Selección del nodo raíz en la GPMC muestra un acceso directo al nodo del dominio raíz del bosque. Haga clic en este nodo le permite añadir otro bosque a la consola.
B.
Incorrecto:Selección del nodo denominado Bosque: muestra accesos directos a diferentes nodos de la consola. Haga clic en este nodo le permite buscar los GPO en todos los dominios del bosque.
C.
Incorrecto:Selección del nodo denominado Dominio muestra un acceso directo al nodo denominado . Haga clic en este nodo le permite elegir qué dominios para mostrar, gestionar las copias de seguridad de GPO, o abrir el Editor de tablas de migración.
A. Correcto:Selección del nodo denominado le permite ver el
estado actual de la replicación SYSVOL en su relación con la directiva de grupo en un dominio.
Lección 2 1.
Respuesta correcta: B A.
Incorrecto: Ustedpuede utilizar Get-StarterGPO y Nueva-GPO para crear un nuevo GPO de un GPO de inicio, pero no vincular el nuevo GPO.
B.
Correcto: Ustedpuede utilizar Nuevo-GPO y Nueva-gPLink para crear un nuevo GPO y vincular el GPO utilizando un solo comando canalizando la salida de Nueva-GPO en Nueva gPLink.
C.
Incorrecto: Ustedpuede utilizar Nuevo-GPO para crear un nuevo GPO. Puede usar Set-gPLink sólo para establecer las propiedades de un vínculo de GPO existente, no crear un nuevo vínculo de GPO.
D. Incorrecto: Ustedpuede utilizar Get-GPO y Nueva-gPLink vincular un GPO
existente, pero no para crear y vincular un nuevo GPO. 2.
Respuesta correcta: D A.
Incorrecto:El guión prefijo "Todos" indica que "todos" es un parámetro, no el nombre de un GPO.
B.
Incorrecto:El guión prefijo "Todos" indica que "todos" es un parámetro, no el nombre de un GPO. Respuestas Capítulo 10
513
C.
Incorrecto:\\ Host6 \ GpoBackups es una ruta de red, no una ruta local.
D. Correcto:El parámetro-Todosindica que todos los GPO deben ser respaldados.
El -Path parámetro especifica una ruta UNC, que significa que los GPO se copiarán a una carpeta compartida en la red.
514 Capítulo10 directivas de grupo
Implementación de
Lección 3 1.
Correctorespuestas: B y C A.
Incorrecto:A diferencia de las políticas, que se pueden configurar tanto en dominio y locales GPO, las preferencias se pueden configurar sólo en los GPO de dominio. Esto significa que si se abre la Directiva de equipo local en un equipo ejecutando .msc gpedit, no verá un nodo Preferencias en Configuración del equipo o Configuración de usuario.
B.
Correcto:Unas políticas y preferencias se superponen y permiten configurar la misma configuración para los usuarios o equipos de destino. Para resolver este tipo de situaciones, las políticas siempre tienen prioridad sobre las preferencias.
C.
Correcto:Al crear un nuevo elemento de preferencia, la selección de la acción Crear crea un nuevo elemento de preferencias para el usuario objetivo o computadora. Por el contrario, la selección de la acción Reemplazar y re-crea el elemento de preferencias para el usuario objetivo o computadora.
D. Incorrecto: Paraseleccione una variable al configurar un elemento de
preferencias, abra las propiedades del elemento de preferencias, haga clic en cualquier campo, cuando se puede utilizar una variable y pulse F3 para abrir el cuadro de diálogo Seleccionar variable A. 2.
Respuesta correcta: D A.
Incorrecto:Un rango de direcciones MAC focalización elemento permite un elemento de preferencias que se aplicará a equipos o usuarios sólo si ninguna de las direcciones MAC de la computadora de procesamiento están dentro del rango especificado en el elemento de destinatarios.
B.
Incorrecto:Una unidad organizativa focalización elemento permite un elemento de preferencias que se aplicará a equipos o usuarios sólo si el usuario o el equipo es miembro de la unidad organizativa (OU) especificada en el elemento de destinatarios.
C.
Incorrecto:Un elemento de destinatarios Registro Partido permite que un elemento de preferencia que se aplicará a equipos o usuarios sólo si existe la clave del registro o el valor especificado en el elemento de destinatarios, si el valor del registro contiene los datos especificados en el elemento de destinatarios, o si el número de versión en el valor del registro está dentro del rango especificado en el elemento de destinatarios.
D. Correcto:No hay Computadora de Escritorio focalización elemento
disponible. Sin embargo, puede utilizar la opción del ordenador portátil de la orientación para este fin y seleccione No es lugar de Is para la condición de orientación.
Respuestas Capítulo 10
515
Correctorespuestas: A, B, y C
3.
A.
Correcto:Una extensión de preferencias puede contener uno más elementos de preferencias. Si se selecciona esta opción, un elemento de preferencias que no llega a aplicarse no evitará que los elementos de preferencias restantes en la extensión de procesamiento.
B.
Correcto:Por defecto, las preferencias se procesan utilizando el contexto de seguridad de la cuenta del sistema en el cliente. Si se selecciona esta opción, la preferencia será procesada utilizando el contexto de seguridad del usuario que actualmente ha iniciado la sesión en el cliente, lo que permite a las variables de entorno específicas del usuario que se utilizarán en rutas del sistema de archivos.
C.
Correcto:De forma predeterminada, los elementos de preferencias no se eliminan desde el cliente cuando el GPO dirigida al usuario o equipo sale del ámbito. Al seleccionar esta opción hace que el elemento de preferencias ha sido eliminada del cliente cuando el GPO dirigida al usuario o equipo sale del ámbito, que se realiza mediante la supresión y después volver a crear el elemento de preferencias.
D. Incorrecto:De forma predeterminada, un elemento de preferencias
configurado en un GPO se aplica a todos los usuarios y equipos de destino por ese GPO. Puede seleccionar esta opción para cambiar este comportamiento.
516 Capítulo10 directivas de grupo
Implementación de
C HA P T E R 1 1
Configuración de Firewall de Windows e IPsec rotecting equipos de una organización es un puesto de trabajo clave de cada administrador de TI. Dos tecnologías esenciales que pueden ayudar a asegurarse de que sus ordenadores sean seguras son firewalls y Seguridad del protocolo Internet (IPsec). Microsoft Windows Server 2012 incluye un firewall basado en host denominado Firewall de Windows con seguridad avanzada que ayuda a proteger los servidores de la red. Firewall de Windows con seguridad avanzada también se incluye en el sistema operativo cliente de Windows 8.
P
Pero la protección de equipos individuales en la red no es suficiente. También debe ser capaz de proteger el tráfico de red que fluye entre sus ordenadores, y entre sus ordenadores y otros equipos fuera de la red corporativa. Esto puede ser acom- plished mediante la configuración de IPsec en los equipos que necesitan para comunicarse entre sí. Firewall de Windows con seguridad avanzada también incluye una función de funcionalidad para la configuración de IPsec en el equipo. En este capítulo se muestra cómo utilizar Firewall de Windows con seguridad avanzada para configurar tanto firewall y funcionalidad IPsec en equipos que ejecutan Windows Server 2012.
Lecciones en este capítulo: ■
Lección 1: Configuración de Firewall de Windows con seguridad avanzada516
■
Lección 2: Configuración de IPsec541
Antes de que empieces ■
Usted necesita saber cómo realizar una instalación limpia de Windows Server 2012 y realizar tareas de configuración inicial como la configuración de los ajustes TCP / IP del servidor de conectividad a Internet.
■
Usted necesita saber cómo implementar Active Directory con Windows Server 2012 y cómo unir equipos a un dominio.
■
UstedTambién necesita tener conocimiento al menos rudimentario de uso de 515
Windows PowerShell en las versiones anteriores de Windows Server.
516 Capítulo11 IPsec
Configuración de Firewall de Windows e
Lección 1: Configuración de Firewall de Windows con Seguridad avanzada Los cortafuegos son una tecnología clave para ayudar a garantizar la seguridad de una infraestructura de sistemas de información. Firewalls perimetrales actúan como puertas de acceso para proporcionar un primer nivel de defensa contra intrusiones en la red, pero los firewalls basados en host son igualmente importantes para ambos sistemas de cliente y servidor, ya que proporcionan una capa adicional de protección. Esta lección examina cómo configurar la funcionalidad de firewall de host de Firewall de Windows con seguridad avanzada en Windows Server 2012.
Describir la arquitectura y el funcionamiento de Firewall de Windows con seguridad avanzada. Explicar cómo los perfiles de firewall funcionan y cómo se pueden configurar. Describir los diferentes tipos de reglas de firewall con el apoyo de Firewall de Windows con Explicar el orden en que las reglas del cortafuegos son procesados por Firewall de Windows con Crear reglas de firewall utilizando el Firewall de Windows con seguridad avanzada complemento Configurar reglas de firewall en los equipos de destino mediante la directiva de grupo.
La comprensión de Firewall de Windows con seguridad avanzada Firewall de Windows con seguridad avanzada es un firewall con estado basado en host incluido en Windows Server 2012 y Windows 8. La característica fue introducida por primera vez en Windows Vista y Windows Server 2008, y su funcionalidad se ha mejorado de varias maneras en versiones posteriores de Windows. Como un firewall basado en host, Firewall de Windows con seguridad avanzada está diseñado para proteger el equipo local, a diferencia de un servidor de seguridad perimetral, que está diseñado para proteger la red sí mismo. Sin embargo, para proteger una red, también es necesario para proteger a cada equipo de la red, ya que incluso si un solo equipo se ve comprometida, podría proporcionar un atacante con una manera de poner en peligro al resto de la red. 517
Como un firewall stateful, Firewall de Windows con seguridad avanzada puede realizar un seguimiento del estado de los paquetes a medida que viajan a través de la red. Los paquetes que coincidan con una regla especificada pueden ser ya sea permitido o denegado en función de cómo se ha configurado la regla. Firewall de Windows con
518 Capítulo11 IPsec
Configuración de Firewall de Windows e
Seguridad avanzada puede inspeccionar y filtrar tanto los paquetes entrantes y salientes, y soporta tanto Protocolo de Internet versión 4 (IPv4) y la versión 6 (IPv6). Firewall de Windows con seguridad avanzada también incluye una función de funcionalidad para la creación de normas que rigen la comunicación IPsec. Esto significa que puede utilizar Firewall de Windows con Avanzadas de Seguridad para cifrar y proteger las comunicaciones entre los equipos de la red. Firewall de Windows con seguridad avanzada interactúa con otras características de Windows para ayudar a garantizar la seguridad de la computadora. Para entender completamente cómo funciona Firewall de Windows con seguridad avanzada, es necesario comprender estas otras características: ■
Plataforma de filtrado de Windows
■
Endurecimiento servicio de Windows
■
El reconocimiento de ubicación de red
Plataforma de filtrado de Windows Plataforma de filtrado de Windows (WFP) es un conjunto de interfaces de programación de aplicaciones (API) y los servicios del sistema que permiten la creación de aplicaciones de filtrado de red en Windows Vista o posterior. Mediante el uso de PMA, los desarrolladores de terceros pueden crear herramientas de seguridad basadas en host como éstas: ■
Cortafuegos
■
Sistemas de detección de intrusiones
■
Herramientas de supervisión de red
■
Los programas antivirus
■
Controles parentales
El PMA es también el motor subyacente utilizado para la implementación de la lógica de filtrado de paquetes en Windows Firewall con seguridad avanzada. Los componentes del PMA son los siguientes: ■
■
Base Motor Filtro (BFE)Este componente se ejecuta en modo de usuario y recibe solicitudes de filtrado del Firewall de Windows con seguridad avanzada. Dichas solicitudes se remiten al Motor Filtro genérico. Genérico Motor Filtro (GFE)Este componente se ejecuta en modo kernel y recibe solicitudes de filtrado de la BFE. El GFE luego hace esas peticiones a disposición de los módulos de llamada que se asignan a las diferentes capas del protocolo Transmission Control Protocol / Internet (TCP / IP) pila de protocolos. Como la pila de protocolos TCP / IP procesa un paquete, cada módulo de llamada llama al GFE para determinar si acepta o rechaza el paquete.
■
Módulos de LlamadaEstos se ejecutan en modo de núcleo y son utilizados por el GFE para inspeccionar las diferentes capas de un paquete como el paquete se transmite de la pila de protocolos TCP / IP. Por ejemplo, el módulo de la capa de transporte se utiliza para inspeccionar la parte de protocolo de capa de transporte del Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
517
paquete, que es o bien TCP o protocolo de datagramas de usuario (UDP).
518 Capítulo11 IPsec
Configuración de Firewall de Windows e
mor
abou º W ro
sí victoria
Cuando se inicia un equipo que ejecuta Windows Vista o posterior, Firewall de Windows con seguridad avanzada inicialmente utiliza filtros en tiempo de arranque para proteger el sistema durante las primeras etapas del proceso de arranque. Una vez que comienza la BFE, los filtros en tiempo de arranque se sustituyen por persistentes Los filtros que se almacenan en el registro y aplicarse siempre que la BFE se está ejecutando. Entonces una vez que se inicia el servicio Firewall de Windows, se aplican las reglas de política y los ajustes que se han configurado para el Firewall de Windows con seguridad avanzada.
Endurecimiento servicio de Windows Endurecimiento servicio de Windows es un conjunto de estrategias que ayuda a proteger los servicios críticos de Windows se comporte de manera anormal. Endurecimiento servicio de Windows está diseñado tanto para ayudar a reducir los posibles daños que podrían ocurrir si un servicio de Windows se ve comprometida por un atacante. Endurecimiento servicio de Windows se implementa el uso de estrategias como las siguientes: ■
Usando LocalService o NetworkService lugar de LocalSystem como el contexto de seguridad de un servicio siempre que sea posible
■
Asignación de servicios sólo los privilegios mínimos de Windows que necesitan para realizar su función
■
La implementación de la identidad de cada servicio utilizando el identificador de cada servicio de seguridad (SID), que permite a los servicios que se aplican las listas de control de acceso (ACL) explícitas a los recursos utilizados sólo por el servicio
■
La aplicación de un token de acceso restringido de escritura en el proceso de servicio para que los intentos del servicio a escribir a los recursos que no conceden explícitamente el acceso a la per-servicio SID fallará
Endurecimiento servicio de Windows también protege los servicios de Windows que utilizan reglas de restricción de servicios, que no son configurables por el usuario. Reglas de restricción de servicio definen los tipos de ets red paquete que pueden ser transmitidos o recibidos desde un servicio de Windows. Cuando un paquete es BEing examinó, reglas de restricción de servicio se aplican antes de Firewall de Windows con seguridad avanzada reglas se aplican.
El reconocimiento de ubicación de red Conocimiento de la ubicación de la red es una característica de Windows Vista y posterior que permite a las aplicaciones conscientes Network- para cambiar su comportamiento basado en la conectividad de red del ordenador. Los tipos de ubicación de tres de red que Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
519
un equipo que ejecuta Windows puede detectar son los siguientes: ■
520 Capítulo11 IPsec
PúblicoUna computadora en una red pública se considera para ser compartido con el mundo. Por defecto, cuando un equipo con Windows se conecta a una red nueva, por primera vez, el tipo de ubicación de red para esa red se configura como pública.
Configuración de Firewall de Windows e
■
PrivadoUna computadora en una red privada es aquella que no es directamente accesible por el mundo. Para configurar el tipo de ubicación de red de un ordenador Windows como privada, debe ser un administrador local en el equipo.
■
Dominio Un equipo que pertenece a un dominio de Active Directory se le asigna automáticamente un tipo de ubicación de red de dominio.
El reconocimiento de ubicación de red es utilizada por el Firewall de Windows con seguridad avanzada para determinar qué perfil de servidor de seguridad se utilizará para la protección de cada conexión en el ordenador. Esto se describe con más detalle en la siguiente sección.
Firewall Gestiónperfiles Las computadoras de hoy a menudo se conecta a redes diferentes en momentos diferentes, y que incluso podría conectarse a varias redes al mismo tiempo. Cada tipo de red puede tener un conjunto diferente de los requisitos de seguridad: ■
Un ordenador conectado a una red pública debe tener en cuenta que la red insegura debido a la amenaza de malware desde Internet. Como resultado, el Firewall de Windows con seguridad avanzada en un equipo como debería ser configurado para restringir la mayoría de las formas de trata.
■
Un ordenador conectado a una red privada, como una pequeña oficina / oficina en casa (SOHO) con acceso a Internet proporcionado por una traducción de direcciones de red (NAT) del router, debe tener el Firewall de Windows con seguridad avanzada configurado de una manera menos restrictiva que para un público red. Esto es necesario para permitir que el equipo se comunique libremente con otros equipos de la misma red privada.
■
Un equipo que pertenece a un dominio de Active Directory debe tener Firewall de Windows con seguridad avanzada configurado aún menos restrictiva que para una red privada. Esto se debe a entornos de Active Directory suelen incluir capas adicionales de seguri- dad, tales como firewalls perimetrales que aíslan aún más la red del mundo exterior.
Un día típico con una computadora portátil empresa podría ser la siguiente: 1.
Bob trae su ordenador portátil para trabajar, lo inserta en la estación de acoplamiento, se convierte en, y se conecta a Active Directory.
2.
Bob hace una pausa para el almuerzo y decide hacer más trabajo, por lo que utiliza el punto de acceso Wi-Fi en la cafetería para establecer una conexión a Internet y busca las noticias por un tiempo. Debido a que su empresa ha implementado Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
521
DirectAccess, Bob también puede conectarse de forma segura a los recursos de la red de su empresa, incluso mientras está conectado a la Internet pública.
522 Capítulo11 IPsec
Configuración de Firewall de Windows e
3.
Cuando Bob regresa a la oficina, se le informa de que tiene que visitar un pequeño sitio del cliente para ayudarles a solucionar un problema en su red de grupo de trabajo. Cuando Bob llega a las instalaciones del cliente, que conecta su portátil a su red para que pueda ayudarles a resolver su problema.
4.
Si bien conectado a la red del cliente, Bob se da cuenta de que necesita acceder a un recurso en la red de su propia compañía. Por desgracia, el router NAT en red del cliente no se ha configurado para permitir el tráfico de DirectAccess, por lo Bob tiene que establecer una conexión de red privada virtual (VPN) con la red de su empresa.
Examinando el día se acaba de describir para Bob, se puede ver que los siguientes escenarios entraron en juego: 1.
Por la mañana, Bob se conecta a una red (la red de su empresa). Esta red tiene un tipo de ubicación de red de dominio.
2.
En el almuerzo, Bob se conecta a dos redes: ■
Una red Wi-Fi, que tiene un tipo de ubicación de red de público
■
La red de su empresa (a través de DirectAccess), que tiene un tipo de ubicación de red de dominio
3.
En el sitio del cliente, Bob conecta inicialmente a una red (red del cliente). Debido a que esta red es un grupo de trabajo y no un dominio, el tipo de ubicación de red es privada.
4.
Más tarde, en las instalaciones del cliente, Bob necesita para permanecer conectado a la red del cliente a la vez que se conecta a la red de su propia compañía. Para ello, Bob establece una conexión VPN a la red de su empresa. En este punto, Bob está conectado a dos redes: ■
La red del cliente, que tiene un tipo de ubicación de red de privada
■
La red de su propia compañía, que tiene un tipo de ubicación de red de dominio
Aunque el ejemplo anterior utiliza los sistemas cliente, también es común que los servidores sean multitarjeta y conectado a varias redes en ciertos escenarios. Por ejemplo, un clusters cados host Hyper-V en un entorno de producción puede estar conectado simultáneamente a las siguientes redes: ■
■
Red de producciónEsta es la red que los sistemas clientes son capaces de acceder y consumir servicios de. Gestión de redEsta red se utiliza sólo para la gestión de los servidores nosotrosing una plataforma de gestión de sistemas, como System Center Configuration Manager Microsoft.
■
Red de clústeres de conmutación por errorEsta red se utiliza para comunicaciones de clúster de conmutación por error, como las comunicaciones de latido, y para conectar a un volumen compartido de clúster (CSV).
■
520 Capítulo11 IPsec
Red de la migración en vivoEsta red se utiliza para apoyar la migración en vivo de máquinas virtuales. Configuración de Firewall de Windows e
Servidores multitarjeta también son comunes en escenarios de borde donde el servidor está conectado tanto a la intranet corporativa y la Internet pública. Firewall de Windows con seguridad avanzada hace que asegurar los escenarios precedentes posible mediante la implementación de un perfil de servidor de seguridad independiente para cada conexión de red en el equipo. Un perfil de servidor de seguridad es un conjunto de reglas de cortafuegos y otras opciones de configuración que se aplican a una conexión de red que tiene un tipo de ubicación de red específica. Firewall de Windows con seguridad avanzada se aplica perfiles de cortafuegos para todos los tipos de conexiones de red en el equipo, incluidos los adaptadores de red y los interfaces de túnel. Firewall de Windows con seguridad avanzada tiene tres perfiles de firewall, que corresponden a los tipos de ubicación de red de tres en la plataforma Windows: ■
■
■
Perfil de dominio Este perfil se aplica automáticamente a cualquier conexión de red que Windows identifica por tener un tipo de ubicación de red de dominio. Perfil privadoEste perfil se aplica automáticamente a cualquier conexión de red que Windows identifica por tener un tipo de ubicación de red de privada. Perfil públicoEste perfil se aplica automáticamente a cualquier conexión de red que Windows identifica como tener un tipo de ubicación de red de público.
Los tres perfiles pueden estar activos al mismo tiempo en un equipo si Windows detecta que hay conexiones de red de cada tipo presentes. Puede ver el estado de cada perfil de servidor de seguridad en un equipo abriendo el Firewall de Windows con seguridad avanzada de Microsoft Management Console (MMC) en. Una forma de hacer esto en Windows Server 2012 es mediante la selección de Firewall de Windows con seguridad avanzada en el menú Herramientas del Administrador de servidores. Una vez que el complemento está abierto, seleccione el nodo raíz en el árbol de la consola y examinar la sección Información general en el panel de detalles. Figura 11-1 muestra un ejemplo de esto para un equipo que tiene sólo una conexión a la red del tipo de dominio. Tenga en cuenta que los tres perfiles tienen Firewall de Windows activado para ellos, pero sólo el perfil de dominio está activo. La razón de los otros perfiles están encendidos es para que si una conexión a una red pública o privada se establece en el equipo, protección firewall será inmediatamente implementado para este tipo de conexiones.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
521
FIGURA 11-1Visualización del estado de los perfiles de firewall.
522 Capítulo11 IPsec
Configuración de Firewall de Windows e
Configuración de perfiles De forma predeterminada, los tres perfiles de firewall están activados en equipos con Windows. Se puede cambiar el estado de cualquier perfil o configurar sus propiedades haciendo clic derecho en el nodo raíz en el Firewall de Windows con seguridad avanzada y seleccionando Propiedades. Hacer esto abre el Firewall de Windows con seguridad avanzada propiedades que se muestran en la Figura 11-2.
FIGURA 11-2Configuración de los ajustes del perfil de firewall.
Usted puede utilizar este cuadro de diálogo de propiedades para configurar las propiedades siguientes para el perfil seleccionado: ■
Firewall EstadoUstedutilice esta opción para activar o desactivar el Firewall de Windows con seguridad avanzada para el perfil seleccionado. Microsoft recomienda que siempre deja esta opción encendida.
■
Conexiones entrantesUstedutilice esta opción para configurar cómo Firewall de Windows con Advanced Security maneja el tráfico entrante. Estas son las tres opciones disponibles: ■
■
■
Bloque Bloquea todas las conexiones que no tienen reglas de firewall que permiten explícitamente la conexión. Bloquear todas las conexionesBloquea todas las conexiones, independientemente de las reglas de firewall que permitir explícitamente la conexión. Permitir Permite la conexión a menos que exista una regla de firewall que explícitamente se hace con el Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
523
conexión.
524 Capítulo11 IPsec
Configuración de Firewall de Windows e
El valor predeterminado de la propiedad conexiones entrantes es Bloquear. Esto significa que si una regla de entrada para el perfil permite explícitamente un determinado tipo de tráfico de entrada, cualquier tráfico que coincide con la regla será aceptada por el anfitrión. Pero si un determinado tipo de tráfico entrante no coincide con ninguna de las reglas de entrada para el perfil, que tipo de tráfico no será aceptada por el anfitrión. ■
Conexiones salientesUstedutilice esta opción para configurar la forma de Firewall de Windows con seguridad avanzada maneja el tráfico saliente. Las dos únicas opciones disponibles aquí son Block y Permitir. El ajuste predeterminado de la propiedad Conexiones de salida es Permitir, lo que significa que se permite todo el tráfico dejando el anfitrión para pasar a través del servidor de seguridad a menos que una regla de salida explícita prohíbe esto para un determinado tipo de tráfico saliente.
■
Conexiones de red protegidasEsta opción abre un cuadro de diálogo que puede utilizar para especificar qué conexiones de red debe ser protegida por las reglas asociadas con el perfil seleccionado. Por ejemplo, en un equipo multitarjeta con dos conexiones de red a diferentes redes de tipo privado, el cuadro de diálogo para el perfil privado mostraría dos casillas de verificación. Por defecto, las dos redes privadas estarían protegidos por defecto, pero en la limpieza de las casillas de verificación se puede desactivar esta protección a una o ambas redes.
Los ajustes y las opciones de registro se describen en las dos secciones siguientes.
Configuración de ajustes de perfil Al hacer clic en Personalizar en la sección Configuración de las propiedades de un perfil se abre el cuadro de diálogo que se muestra en la Figura 11-3, que se puede utilizar para especificar otros ajustes que controlan el comportamiento de Firewall de Windows con seguridad avanzada. Por ejemplo, puede hacer lo siguiente: ■
Especifique si el Firewall de Windows con seguridad avanzada debe mostrar una notificación al usuario cuando un programa en la computadora del usuario está bloqueado y no podrá recibir conexiones entrantes. Cuando se muestra una notificación, el usuario puede seleccionar una opción que desbloquea el programa, siempre y cuando el usuario tiene privilegios suficientes (pertenece a los administradores locales o grupo de seguridad Operadores de configuración de red). Cuando el usuario elige para desbloquear un programa, una regla de programa de entrada para el programa se crea automáticamente en el ordenador del usuario.
■
Permitir respuestas de unidifusión a peticiones de difusión o multidifusión para permitir que el Firewall de Windows con seguridad avanzada que esperar varios segundos para respuestas unicast de otros equipos en los que el equipo local ha enviado mensajes de difusión o multidifusión.
■
Regla fusión permite a los usuarios que son miembros de los administradores Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
525
locales o grupo de seguridad Operadores de configuración de red en el equipo para crear y aplicar las reglas locales que se combinan junto con las reglas que se aplican al equipo por la directiva de grupo.
526 Capítulo11 IPsec
Configuración de Firewall de Windows e
FIGURA 11-3Configuración de otros ajustes para un perfil de servidor de seguridad.
Configuración de registro Al hacer clic en Personalizar en la sección Registro de las propiedades de un perfil se abre el cuadro de diálogo que se muestra en la Figura 11-4, que se utiliza para especificar cómo Firewall de Windows con seguridad avanzada operaciones de tala se comportará para el perfil seleccionado. Por ejemplo, puede hacer lo siguiente: ■
Especifique una ubicación para el archivo de registro de servidor de seguridad para ser salvo.
■
Especifique el tamaño máximo en KBs a la que el archivo de registro puede crecer. Una vez que el archivo de registro alcanza este tamaño, el archivo se ".old" anexa a su nombre de archivo y se crea un segundo archivo. Cuando el segundo archivo alcanza el tamaño máximo, el archivo .old * existente se elimina y el segundo archivo se convierte en el nuevo archivo .old *.
■
Especifique si una entrada de registro debe ser creado cuando Firewall de Windows con seguridad avanzada no permite una conexión por cualquier motivo. Estas entradas se pueden identificar por la palabra "DROP" en el campo de acción.
■
Especifique si una entrada de registro debe ser creado cuando Firewall de Windows con seguridad avanzada permite una conexión entrante por cualquier razón. Estas entradas se pueden identificar por la palabra "PERMITIR" en el campo de acción.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
527
FIGURA 11-4Configurar el registro para un perfil de servidor de seguridad.
Aplicaciones y Servicios Registros / / Firewall de Windows / Windows Microsoft con seguridad avanzada / Firewall
Configuración de perfiles utilizando Windows PowerShell UstedTambién puede usar Windows PowerShell para ver y configurar los ajustes de los perfiles de firewall. Por ejemplo, puede usar el cmdlet Get-NetFirewallProfile para mostrar los ajustes activos actualmente para el perfil de dominio en el equipo local como esto:
528 Capítulo11 IPsec
Configuración de Firewall de Windows e
Amodificar cualquiera de estos ajustes del perfil, utilice el cmdlet SetNetFirewallProfile. Para obtener ayuda sobre el uso de este cmdlet, el tipo en la consola de Windows PowerShell.
Configuración del cortafuegosreglas La funcionalidad principal de Firewall de Windows con seguridad avanzada se expresa mediante reglas. Una regla es básicamente un conjunto de criterios que determina si un paquete de red debe ser manejado. Los dos tipos básicos de reglas que se pueden configurar en el Firewall de Windows con seguridad avanzada son ■
Un conjunto de criterios que especifica si un determinado tipo de tráfico que pasa entre el equipo local y otros equipos de la red debe ser aceptado (pasó) o rechazado (bloqueado).
■
Un conjunto de criterios que especifica cómo el tráfico que pasa entre el equipo local y otros equipos de la red debe ser protegido mediante IPsec.
El resto de esta lección se ocupa de las reglas del cortafuegos. Reglas de seguridad de conexión están cubiertos en la Lección 2 más adelante.
Tiposreglas de firewall Como muestra la Figura 11-5, puede utilizar el Firewall de Windows con seguridad avanzada para configurar dos tipos de reglas de firewall: ■
Una regla que especifica cómo el tráfico de red entrante debe ser manejado, es decir, el tráfico procedente de otros equipos y que tiene el equipo local como su destino.
■
Una regla que especifica cómo el tráfico de red entrante debe ser manejado, es decir, tráfico que se origina desde el equipo local y con otros ordenadores o dispositivos de red como su destino.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
529
FIGURA 11-5Las reglas de firewall pueden ser de entrada o salida.
Tanto las reglas de entrada y salida se pueden configurar para permitir que sea (permiso) o denegar el tráfico (bloque) sobre la base de los criterios contenidos en la regla. Debido a que hay muchos tipos de tráfico de red posible, Firewall de Windows con seguridad avanzada también tiene reglas especiales llamadas reglas predeterminadas que determinan cómo el tráfico se debe manejar cuando no coincide con ninguno de los criterios contenidos en cualquiera de las reglas de entrada y salida. A menos que de otro modo configurado por el administrador del sistema, las reglas predeterminadas para los tres perfiles de firewall son los siguientes: ■
Bloquear todo el tráfico procedente de otros equipos y que tiene el equipo local como su destino.
■
Permitir todo el tráfico que se origina desde el equipo local y con otros ordenadores o dispositivos de red como su destino.
Las reglas predeterminadas de entrada y salida para cada perfil de servidor de seguridad se pueden configurar en la ficha correspondiente de la hoja de propiedades del nodo raíz en el Firewall de Windows con seguridad avanzada en. Para ver cómo hacerlo, consulte de nuevo a la figura 11-2 anteriormente en este capítulo.
Procesamiento de Reglas Cuando un paquete de tráfico de red es procesada por el Firewall de Windows con seguridad avanzada, una o más reglas se pueden aplicar a ese paquete en particular. La figura 11-6 muestra que el orden en que se aplican las reglas para el tráfico entrante y saliente es el siguiente: 1.
Cualquier reglas que permiten el tráfico que de otro modo se bloquea se aplican primero. Estas reglas tienen la opción Invalidar reglas de bloqueo seleccionado y que se discuten en la Lección 2 más adelante en este capítulo. Si el paquete coincide con una norma de este tipo, se aplica la regla y el procesamiento de reglas se detiene en este punto.
2.
Reglas que bloquean de forma explícita el tráfico se aplican segundos. Si el paquete coincide con una regla, la regla se aplica y el procesamiento de reglas se detiene en este punto.
3.
Reglas que permiten explícitamente el tráfico se aplican tercero. Si el paquete coincide con una regla de este tipo, el
530 Capítulo11 IPsec
Configuración de Firewall de Windows e
regla se aplica y el procesamiento de reglas se detiene en este punto. 4.
La regla por defecto se aplica la última.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
531
Cuando las reglas del cortafuegos son procesados por el Firewall de Windows con seguridad avanzada, tan pronto como un paquete coincide con una regla, se aplica la regla y el procesamiento de reglas se detiene en ese punto. Por ejemplo, si no se aplica una regla de bloqueo (que se describe en el paso 2) bloques de un determinado tipo de paquete, una regla de permiso (que se describe en el paso 3) para el mismo tipo de paquete porque permitirá reglas tienen una prioridad más baja que reglas de bloqueo. Así, el resultado neto es bloquear ese tipo particular de paquete. Bl oquear Permita
Defecto FIGURA 11-6El orden en el que el Firewall de Windows con seguridad avanzada procesa reglas.
Reglagrupos Firewall de Windows con seguridad avanzada incluye una serie de reglas de entrada y de salida predefinidos. Estas reglas se utilizan para filtrar los distintos tipos de tráfico asociados con diferentes características y servicios de Windows. Como muestra la Figura 11-7, estas reglas predefinidas se agrupan en grupos de reglas. Cada grupo de reglas contiene uno o más reglas utilizadas para control de tráfico para una característica de Windows o servicio en particular. Por ejemplo, la administración remota de Windows (HTTP-In) grupo de reglas contiene dos normas: una que se aplica a sólo el perfil público, y otro que se aplica tanto al dominio y perfiles privados.
FIGURA 11-7Un ejemplo de un grupo de reglas.
532 Capítulo11 IPsec
Configuración de Firewall de Windows e
Creación de reglas de firewall Usted puede crear manualmente nuevas reglas de cortafuegos (ya sean entrantes o salientes) usando ya sea el Firewall de Windows con seguridad avanzada o Windows PowerShell. Como muestra la Figura 11-8, hay cuatro tipos de reglas de firewall que puede crear: ■
■
■
■
Norma de programa Esta es una regla que especifica cómo el tráfico asociado con una específica programa (ejecutable) que se ejecuta en el equipo local debe ser manejado. Regla de puertoEsta es una regla que especifica cómo el tráfico asociado a un TCP o UDP específico puerto o rango de puertos en el equipo local se deben manejar. Regla predefinidaEsta es una regla que especifica cómo el tráfico asociado con una específica Característica de Windows o el servicio que se ejecuta en el equipo local se deben manejar. Regla personalizadaEsta es una regla que especifica cómo el tráfico debe ser manejado en base a cualquiera de los criterios de filtrado de tráfico con el apoyo de Firewall de Windows con seguridad avanzada.
FIGURA 11-8Los tipos de reglas de firewall puede crear utilizando el Firewall de Windows con seguridad
avanzada.
A crear nuevas reglas de firewall utilizando el Nueva entrada (o salida) Regla Asistente, haga clic en la entrada (o salida) nodo en el Firewall de Windows con seguridad avanzada en, seleccione Nueva regla, y seguir los pasos del asistente. En las secciones siguientes se explica más acerca de los pasos involucrados en la creación de cada uno de estos diferentes tipos de reglas de firewall. Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
533
Creación de una regla del programa Los siguientes pasos se pueden utilizar para crear una nueva regla de programa utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el nuevo entrante (o saliente) asistente de reglas, y seleccione Programa en la página Tipo de regla.
2.
En la página Programa, especifique la ruta completa y el nombre del programa ejecutable del programa en el equipo local que desea que la nueva regla para aplicar a. Alternativamente, puede seleccionar Todos los programas para tener la nueva regla se aplica a todo el tráfico que coincide con los criterios especificados en la regla:
3.
En la página Acción, seleccione uno de los siguientes: ■
■
■
Permitir la conexiónAl seleccionar esta opción hace que el tráfico que se permita, independientemente de si el tráfico está protegido mediante IPsec. Permitir la conexión si es seguraAl seleccionar esta opción hace que el tráfico que se permite sólo cuando el tráfico está protegido mediante IPsec. Bloquear la conexiónAl seleccionar esta opción hace que el tráfico a ser bloqueada, independientemente de si el tráfico está protegido mediante IPsec.
4.
En la página Perfil, seleccione qué perfiles de firewall debe aplicarse a la nueva regla. Por defecto, las nuevas reglas se aplican a los tres perfiles (dominio, privado y público).
5.
En la página Nombre, especifique un nombre y una descripción opcional para la nueva regla.
530 Capítulo11 IPsec
Configuración de Firewall de Windows e
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
531
Creación de una regla de puerto Los siguientes pasos se pueden utilizar para crear una nueva regla de puerto utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el nuevo entrante (o saliente) asistente de reglas, y seleccione Puerto en la página Tipo de regla.
2.
En la página Protocolos y puertos, empiece especificando si la nueva regla debería aplicarse a los puertos TCP o UDP. Luego especifica si la regla debe aplicarse a todos los puertos locales o sólo a puertos específicos:
3.
Las opciones de la Acción, el perfil y página Nombre son los mismos que los descritos en la sección anterior.
Creación de una regla predefinida Los pasos siguientes se pueden utilizar para crear una nueva regla predefinida utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el nuevo entrante (o saliente) Regla Asistente, y seleccione predefinidas en la Regla Tipo de página.
2.
Haga clic en el control de la lista se muestra en la Figura 11-8 antes, y seleccione la característica de Windows o servicio que va a utilizar la nueva regla de controlar.
3.
En la página Reglas predefinidas, seleccione una o más reglas predefinidas que se creará.
4.
Las opciones de la página Acción son los mismos que los descritos anteriormente.
Una vez que una regla predefinida ha sido creado, puede abrir sus propiedades haciendo doble clic sobre el Estado en cualquiera de las secciones Reglas de entrada o Reglas de salida del Firewall de Windows con seguridad avanzada en. Como muestra la Figura 11-9, reglas predefinidas se denominan con una barra especial mensaje informativo, y sólo un subconjunto de los criterios establecidos en la norma puede ser configurado por el administrador. Esto es cierto independientemente de si la regla predefinida se creó automáticamente cuando instaló su característica de Windows asociada o manualmente creó la regla. 532 Capítulo11 IPsec
Configuración de Firewall de Windows e
FIGURA 11-9Reglas predeterminadas tienen limitadas opciones que puede configurar.
Creación de una regla personalizada Los siguientes pasos se pueden utilizar para crear una nueva regla de programa utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el nuevo entrante (o saliente) asistente de reglas, y seleccione Personalizar en la página Tipo de regla.
2.
En la página Programa, especifique la ruta completa y el nombre del programa ejecutable del programa en el equipo local que desea que la nueva regla para aplicar a. Alternativamente, puede seleccionar Todos los programas para tener la nueva regla se aplica a todo el tráfico que coincide con los criterios especificados en la regla:
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
533
UstedTambién puede hacer clic en Personalizar para especificar qué servicios de Windows debe aplicarse a la nueva regla. Al hacer esto, se abre el cuadro de diálogo Personalizar configuración de servicio, que se utiliza para configurar la regla para que se aplique a lo siguiente:
3.
■
Todos los programas y servicios que se ejecutan en el equipo local
■
Todos los servicios que se ejecutan en el equipo local
■
Un servicio especial que se ejecuta en el equipo local
■
Un servicio particular que tiene un nombre corto especificado que ejecuta en el equipo local
En la página Protocolos y puertos, empiece especificando el tipo de protocolos en los que se aplique la regla. Tipos de protocolo de apoyo incluyen TCP, UDP, ICMPv4, IGMP, IPv6, ICMPv6, L2TP, y otros. Si selecciona ICMPv4 o ICMPv6, puede hacer clic Customs tomize para especificar si la regla debe aplicarse a todo tipo o tipos específicos de mensajes ICMP. También puedes seleccionar Cualquier para que la regla se aplica a todos los tipos de protocolos, o seleccione Personalizar para que la regla se aplica a un número de protocolo que especifique. Luego especifica si la regla debe aplicarse a todos los puertos locales o sólo a puertos específicos tanto para los puertos locales y remotos:
534 Capítulo11 IPsec
Configuración de Firewall de Windows e
4.
En la página Ámbito, especifique las direcciones IP local y remota a la que se aplique la nueva regla:
5.
Las opciones de la Acción, el perfil y página Nombre son los mismos que los descritos más temprano.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
535
Creación de reglas de firewall mediante Windows PowerShell UstedTambién puede usar los cmdlets de Windows PowerShell desde el módulo NetSecurity para ver, crear, modificar y eliminar reglas de firewall en ambos los equipos locales y remotos. Por ejemplo, para mostrar una lista de reglas de entrada en el grupo de reglas de descubrimiento de red en el equipo local, puede usar el cmdlet Get-NetFirewallRule así:
Como segundo ejemplo, puede crear una nueva regla para bloquear el tráfico saliente a través del puerto TCP 80 en el equipo local mediante el cmdlet New-NetFirewallRule de la siguiente manera:
La propiedad PolicyStoreSource para la nueva regla es PersistentStore. Esto significa que la nueva regla es una regla estática que se configura en la tienda política local en el equipo en lugar de a través de la directiva de grupo. Por defecto, la nueva regla está habilitada y está configurada para los tres perfiles de firewall. 536 Capítulo11 IPsec
Configuración de Firewall de Windows e
Creación de reglas para actualizar la directiva de grupo Como se indica en la Lección 1 de este capítulo, ahora con Windows Server 2012 puede forzar una actualización remota de la directiva de grupo en los equipos que pertenecen a un dominio de Active Directory. Para que esto funcione, sin embargo, ciertos puertos de firewall en el equipo remoto se deben abrir. En lugar de crear manualmente las normas necesarias en Firewall de Windows con seguridad avanzada en el equipo remoto, sin embargo, puede utilizar dos nuevos incorporados GPO de inicio incluido en Windows Server 2012 para crear los GPO que tienen reglas de firewall diseñado para propósitos especiales. Estos nuevos GPO de inicio se muestran en la figura 11-10 y son como sigue: ■
Directiva de grupo remoto de actualización de Firewall PuertosLa capacidad remota-actualización de la directiva de grupo se describe anteriormente en esta lección requiere que ciertos puertos de firewall se abrirán en los equipos dirigidos por una acción de actualización. Puede utilizar las directivas de grupo Actualizar remoto Puertos Firewall arranque GPO como una plantilla para crear un GPO que se abre automáticamente los puertos de firewall necesarias a tal fin en los equipos dirigidos por el GPO. Las reglas de firewall entrantes necesarios que deben habilitarse son los siguientes:
■
■
Gestión remota de tareas programadas (RPC-EPMAP)
■
Gestión de Tareas programadas remoto (RPC)
■
Windows Management Instrumentation (WMI-in)
Directiva de grupo Firewall Reporting PuertosLa capacidad del Grupo de Política Management Console (GPMC) para recoger Conjunto resultante de directivas (RSoP) información desde un equipo remoto requiere que ciertos puertos de firewall se abrirán en el equipo remoto. Puede utilizar los puertos de directiva de grupo Firewall Reporting arranque GPO como una plantilla para crear un GPO que se abre automáticamente los puertos de firewall necesarias a tal fin en los equipos dirigidos por el GPO. Las reglas de firewall entrantes necesarios que deben habilitarse son los siguientes: ■
Gestión de registro de eventos remoto (RPC-EPMAP)
■
Gestión de registro de eventos remoto (RPC)
■
Gestión de Registro de eventos remotos (NP-in)
■
Windows Management Instrumentation (WMI-in)
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
537
FIGURA 11-10Las reglas de firewall definidas en Starter GPO para permitir una actualización remota de
la directiva de grupo.
Visualización y gestión de reglas Ustedpuede ver y administrar las reglas del cortafuegos utilizando el Firewall de Windows con seguridad avanzada en o Windows PowerShell. Como muestra la Figura 11-11 muestra, se puede utilizar el Firewall de Windows con seguridad avanzada en filtrar reglas entrantes o salientes de varias maneras: ■
■
■
Filtrar por PerfilUtilice esta opción para mostrar todas las reglas asociadas con un perfil específico del cortafuegos. Filtrar por EstadoUtilice esta opción para mostrar o bien todas las reglas habilitadas o todas las reglas de movilidad reducida. Filtrar por GrupoUtilice esta opción para mostrar todas las reglas asociadas con una norma específica grupo.
FIGURA 11-11Filtrado de reglas para que sean más fáciles de manejar.
538 Capítulo11 IPsec
Configuración de Firewall de Windows e
Después de mostrar las reglas que desea administrar, puede hacer clic derecho sobre ellos y seleccione alguna de las siguientes opciones: ■ ■
■
■
Permitir Utilice esta opción para activar una regla que está desactivado. Inhabilitar Utilice esta opción para desactivar una regla que está actualmente habilitado. Borrar Utilice esta opción para eliminar una regla que ya no es necesario. Propiedades Utilice esta opción para abrir las propiedades de la regla y configurar cualquiera criterios editables para la regla.
UstedTambién puede utilizar el nodo de supervisión en el árbol de la consola del Firewall de Windows con seguridad avanzada para ver el estado y la configuración de cada perfil de firewall y para ver las reglas del cortafuegos activos asociados con un firewall. La figura 11-12 muestra algunos detalles sobre el Perfil de dominio cuando se selecciona el nodo de supervisión en un equipo.
FIGURA 11-12El nodo de supervisión se puede utilizar para ver los detalles de cada perfil.
Como se indica anteriormente, se puede utilizar el Get-NetFirewallProfile y GetNetFirewallRule cmdlets para mostrar información sobre los perfiles de firewall y reglas en las computadoras.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
539
Configuración de reglas usando la directiva de grupo Aunque el Firewall de Windows con seguridad avanzada es útil para configurar reglas de firewall y la configuración en el equipo local, en entornos administrados usted querrá usar la directiva de grupo para implementar reglas de firewall y la configuración de equipos de destino. Para ello, puede seguir estos pasos: Utilice el Editor de administración de directivas de grupo para abrir el objeto de directiva de grupo (GPO) que se dirige a los equipos en los que desee implementar la directiva de firewall. Se le suele hacerlo utilizando la Consola de administración de directivas de grupo. 1.
Expanda el árbol de la consola para mostrar la siguiente nodo de la política (como se muestra en la Figura 11-13):
2.
En el panel de detalles, haga clic en Propiedades de Firewall de Windows si desea implementar ajustes para perfiles de firewall a los equipos de destino.
3.
Aimplementar reglas de entrada a los equipos de destino, haga clic en Reglas de entrada y seleccione Nueva regla. Luego, completa los pasos del Asistente para nueva regla de entrada para configurar la nueva regla de entrada.
4.
Aimplementar reglas de salida a los equipos de destino, haga clic en Reglas de salida y seleccione Nueva regla. Luego, completa los pasos del Asistente para nueva regla de entrada para configurar la nueva regla de salida.
FIGURA 11-13Configuración de reglas y configuración de equipos de destino utilizando la
directiva de grupo de firewall.
540 Capítulo11 IPsec
Configuración de Firewall de Windows e
UstedTambién puede usar Windows PowerShell para configurar reglas de firewall y la configuración en un GPO y luego usar el GPO para implementar la política de firewall para equipos de destino. Por ejemplo, vamos a empezar con el cmdlet Get-NetFirewallProfile para ver el valor de la configuración de directiva NotifyOnListen para el perfil de firewall de dominio en el GPO Ventas del dominio corp.fabrikam.com:
La salida del comando indica que esta configuración de directiva de firewall no está configurado en el GPO Ventas. Para activar este ajuste, se puede canalizar la salida del comando anterior en el comando Set-NetFirewallProfile así:
Ustedpuede utilizar Get-NetFirewallProfile de nuevo para comprobar el resultado:
Ahora vamos a crear una nueva regla para bloquear el tráfico saliente a través del puerto TCP 80 en los equipos dirigidos por el GPO Ventas. Para empezar, con el cmdlet GetNetFirewallRule para apuntar el GPO Ventas indica que actualmente no hay reglas de firewall configuradas en este GPO:
Ustedpuede utilizar el cmdlet New-NetFirewallRule para crear la nueva regla en el GPO de la siguiente manera:
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
541
Apertura de la GPO Ventas en el Firewall de Windows con seguridad avanzada en verificará que la nueva norma se ha configurado como se esperaba en la directiva de firewall para el GPO.
Resumen de la lección ■
Firewall de Windows con seguridad avanzada interactúa con otras características- de Windows, como Windows Filtering Platform, endurecimiento servicio de Windows, y la ubicación de red concienciación para ayudar a garantizar la seguridad de la computadora.
■
Laperfil de cortafuegosEs una agrupación de reglas de cortafuegos y otras opciones de configuración que se aplican a una conexión de red que tiene un tipo de ubicación de red específica.
■
Firewall de Windows con seguridad avanzada tiene tres perfiles de firewall (dominio privado, y público) que corresponden a los tres tipos de ubicación de red.
■
Los tres perfiles de firewall pueden estar activos al mismo tiempo en un equipo si Windows detecta que hay conexiones de red de cada tipo presentes.
■
Las reglas de firewall pueden ser tanto reglas de entrada o reglas de salida. Tipos de reglas de firewall incluyen el programa, el puerto predefinido, y la costumbre.
■
La regla de firewall por defecto para las conexiones de entrada se puede configurar como Bloque, Bloque Todo Conexiones o Permitir. De forma predeterminada, se establece en Bloquear.
■
La regla de firewall por defecto para las conexiones de salida se puede configurar
542 Capítulo11 IPsec
Configuración de Firewall de Windows e
como Bloquear o Permitir. De forma predeterminada, se establece en Permitir. ■
Firewall de Windows con seguridad avanzada procesa las reglas de firewall en la siguiente orden de prioridad: anulación, bloque, permitirá, por defecto. Tan pronto como un paquete coincide con una regla, se aplica la regla y el procesamiento de reglas se detiene en ese punto.
■
Políticas y reglas del cortafuegos se pueden configurar y administrar mediante el Firewall de Windows con seguridad avanzada, los cmdlets en el módulo NetSecurity de Windows PowerShell o el Firewall de Windows con seguridad avanzada en el nodo de un objeto de directiva de grupo.
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
543
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo. 1.
¿Cuál de las siguientes afirmaciones no es cierto con respecto a los perfiles de firewall de Windows Fuegopared con seguridad avanzada? (Elija todas las que correspondan.) A.
El perfil de dominio se aplica automáticamente a cualquier conexión de red que Windows identifica por tener un tipo de ubicación de red de dominio.
B.
Sólo un perfil de firewall puede estar activo en un momento dado.
C.
El comportamiento predeterminado del perfil de dominio es bloquear las conexiones entrantes a menos que esas conexiones se permiten explícitamente por las reglas del cortafuegos.
D. A mostrar los valores actualmente activas para el perfil de dominio en el
equipo local, puede usar el cmdlet Get-NetFirewallProfile con el parámetro PolicyStore PersistentStore. 2.
Usted tienen dos reglas de cortafuegos configurado en el equipo de la siguiente manera: ■
Regla Un tráfico explícitamente bloques de salida del proceso svchost.exe se ejecuta en la computadora.
■
Regla B permite explícitamente el tráfico saliente del proceso svchost.exe se ejecuta en la computadora.
Además, la regla por defecto de salida se establece en Bloquear. El proceso svchost exe se ejecuta en el equipo intenta enviar unpaquetea otro equipo de la red. ¿Qué respuesta describe mejor lo que va a pasar? A.
El paquete será permitido porque la regla B tiene una prioridad más alta que la regla A.
B.
El paquete será bloqueado porque la regla B tiene una prioridad más alta que la regla A.
C.
El paquete será bloqueado porque la regla A tiene una prioridad más alta que la regla B.
D. El paquete será bloqueado porque la regla por defecto de salida se establece
en Bloquear. 3.
Usted que desee crear una regla de firewall que bloquea el tráfico entrante a% windir% regedit.exe on la computadora. Which type oF rule cuna you nosotrose a hacer esto? (Choose todos que aplicar.) A.
544 Capítulo11 IPsec
Norma de programa Configuración de Firewall de Windows e
B.
Regla de puerto
C.
Regla predefinida
D. Regla personalizada
Lección 1: Configuración de Firewall de Windows con seguridad avanzada
Capítulo 11
545
Lección 2: Configuración de IPsec Seguridad del protocolo Internet (IPsec) es un conjunto de extensiones que traen la autenticación a nivel de red de pares, la autenticación de origen de datos, integridad de los datos, la confidencialidad de datos (cifrado), y protección de repetición para el conjunto de protocolos TCP / IP. IPsec permite a los administradores proteger el tráfico de red contra las escuchas, la intercepción y modificación. Esta lección examina cómo implementar IPsec en diferentes escenarios utilizando el Firewall de Windows con seguridad avanzada en Windows Server 2012.
Explicar los conceptos básicos de IPsec, como la encapsulación, los protocolos IPsec, asociaciones de seguridad, los algoritmos de intercambio de claves, métodos de autenticación, los algoritmos de integridad de datos y algoritmos de cifrado de datos. Configurar la configuración de IPsec utilizando el Firewall de Windows con seguridad avanzada Describir los diferentes tipos de reglas de seguridad de conexión. Configurar las reglas de seguridad de conexión utilizando el Firewall de Windows con avanzada Seguridad complemento y Windows PowerShell.
Configurar omisión autenticada para una regla de firewall en un ambiente donde IPsec está siendo utilizado.
Seguridad de conexión Entendimiento IPsec puede ser implementado utilizando el Firewall de Windows con seguridad avanzada mediante la creación y configuración de las reglas de seguridad de conexión. Una regla de seguridad de conexión es un conjunto de criterios configurados en el Firewall de Windows con seguridad avanzada que especifica cómo se utilizará IPsec para proteger el tráfico entre el equipo local y otros equipos de la red. Reglas de seguridad de conexión se pueden utilizar para especificar si una conexión de red entre dos ordenadores primero debe autenticarse antes de los datos se pueden intercambiar entre ellos. Reglas de seguridad de conexión también se puede utilizar para asegurarse de que todos los datos intercambiados entre los equipos se cifran a proteger contra el espionaje o modificación. A entender cómo la seguridad de conexión se puede implementar utilizando IPsec, primero tiene que comprender los siguientes conceptos de IPsec: ■
La encapsulación
■
Protocolos IPsec Lección 2: Configuración de IPsec Capítulo 11
543
■
Asociaciones de seguridad
544 Capítulo11 IPsec
Configuración de Firewall de Windows e
■
Algoritmos de intercambio de claves
■
Los métodos de autenticación
■
Algoritmos de integridad de datos-
■
Algoritmos de cifrado de datos
Las secciones que siguen entrar en más detalles acerca de estos conceptos que se aplican a Windows Server 2012 y Windows 8.
un
ro
trabajo / bb531150.aspx
La encapsulación IPsec protege los datos enviados a través de una red no segura mediante la encapsulación de una carga útil de los paquetes de red. Esto se puede hacer de dos maneras: ■
El modo de transporteLa carga útil se encapsula con un encabezado IPsec.
■
El modo de túnelLa carga útil se encapsula con una cabecera IP adicional.
Protocolos IPsec IPsec soporta dos protocolos para el cifrado de la carga útil de los paquetes, que encapsula la carga útil de los paquetes, o ambos: ■
Encabezado de autenticación (AH)Este mecanismo proporciona autenticación de origen de datos, integridad de datos y la protección anti-replay para todo el paquete (tanto de la cabecera IP y la carga útil de datos realizada en el paquete), a excepción de los campos de la cabecera IP que tienen permiso para cambiar en tránsito . No proporciona confidencialidad de los datos, lo que significa que no cifra los datos. Los datos son legibles pero protegido de modificación.
■
Protocolo de seguridad encapsuladora (ESP)Este mecanismo proporciona autenticación de origen de datos, integridad de los datos, la protección anti-replay, y la opción de confidencialidad sólo para la carga IP. ESP en modo de transporte no protege todo el paquete con una suma de comprobación criptográfica, y la cabecera de IP no está protegida.
Asociaciones de seguridad Una asociación de seguridad (SA) es una solución mutuamente acordada colección de claves criptográficas y políticas que un ordenador habilitado para IPsec utiliza para las comunicaciones unicast seguras con otro equipo habilitado para IPsec. Una SA puede ser pensado como una especie de contrato que especifica cómo los ordenadores usarán IPsec para intercambiar información de forma segura entre ellos.
Lección 2: Configuración de IPsec Capítulo 11
545
Aestablecer una SA entre ellos, los ordenadores pueden utilizar uno de los siguientes protocolos IPSec: ■
Internet Key Exchange (IKE)Este mecanismo se define en el RFC 2409 y combina la Asociación de Seguridad de Internet y el Protocolo de administración de claves (ISAKMP) del RFC 2408 con el Protocolo de Oakley Key Determinación (Oakley) de la RFC 2412. IKE se admite en equipos que ejecutan Windows 2000 o posterior.
■
Jurada IP (AuthIP)Este mecanismo es una extensión propietaria de Microsoft IKE que proporciona una mejor negociación de métodos de autenticación y apoya admétodos de autenticación dicionales no incluidos en IKE. AuthIP se admite en equipos que ejecutan Windows Vista, Windows Server 2008 o posterior.
Cuando dos equipos negocian para establecer la comunicación IPsec entre ellos, el intercambio de claves se realiza durante dos fases: ■
■
Modo principalEsta fase de negociación IPsec se realiza primero y se utiliza para generar una clave maestra compartida que los ordenadores pueden utilizar para intercambiar de forma segura introducir información. Modo rápidoEsta fase de negociación IPsec utiliza la clave maestra de modo principal para generar una o más claves de sesión que se pueden utilizar para asegurar la integridad de datos y cifrado.
Debido a que cada SA sólo define un solo sentido de comunicaciones, una sesión de IPsec requiere dos SAs.
De intercambio de claves algoritmos En los sistemas de cifrado, claves se utilizan para cifrar y descifrar las comunicaciones entre las distintas entidades. Para enviar y recibir tráfico cifrado sobre una red, equipos compatibles con IPsec deben tener acceso a la misma clave de sesión compartida. La clave primero debe cambiar de forma segura entre los ordenadores. Este intercambio de llaves se realiza a través de un proceso llamado intercambio de claves. Los algoritmos de intercambio de claves compatibles para las comunicaciones IPsec en Windows 8 y Windows Server 2012 son los siguientes: ■
Diffie-Hellman Group 1 (Grupo DH 1)Este algoritmo no es recomendado y se proporciona únicamente la compatibilidad hacia atrás.
546 Capítulo11 IPsec
Configuración de Firewall de Windows e
■
DH Grupo 2 Este algoritmo es más fuerte que el Grupo DH 1.
■
DH Grupo 14 Este algoritmo es más fuerte que DH Grupo 2.
■
■
■
DH Grupo 24Este algoritmo es nuevo en Windows Server 2012 y es más fuerte que DH Grupo 14. Curva Elíptica Diffie-Hellman P-256Este algoritmo es más fuerte que DH Grupo 2. Tiene el uso de recursos a medio y sólo es compatible con Windows Vista y versiones posteriores. Curva Elíptica Diffie-Hellman P-384Este algoritmo tiene la mayor seguridad, sino también el mayor uso de recursos. Es compatible sólo con Windows Vista y versiones posteriores.
Los métodos de autenticación En referencia a IPsec, un método de autenticación se refiere a un proceso por el cual los ordenadores de IPsec habilitado para verificar su identidad con unos a otros antes de que comiencen las comunicaciones seguras. Una serie de métodos de autenticación son compatibles para las comunicaciones IPsec en Windows 8 y Windows Server 2012. Los métodos de autenticación disponibles dependen de si se están utilizando para la primera o segunda autenticación. Los métodos de autenticación disponibles para la autenticación primero son los siguientes: ■
■
Equipo (Kerberos V5)Este método de autenticación es compatible con Windows 2000 o posterior. Informática (NTLMv2)Este método de autenticación se puede utilizar en redes que incluyen sistemas que ejecutan una versión anterior del sistema operativo Windows y en sistemas autónomos.
■
Certificado de equipoEl algoritmo de firma predeterminado para este método de autenticación es RSA, pero Firma digital de curva elíptica Algoritmo (ECDSA) -P256 y ECDSA-P384 también se soportan algoritmos de firma. También puede utilizar una entidad emisora de certificados intermedia (CA) como un almacén de certificados, además de utilizar una CA raíz, y la asignación de cuentas certificado-to-también es compatible. Tenga en cuenta que primero la autenticación también puede ser configurado para aceptar certificados sanitarios sólo cuando se utiliza una protección de acceso a redes (NAP) infraestructura.
■
Pre-Shared KeyEste método de autenticación no se recomienda excepto para entornos de prueba.
Los métodos de autenticación disponibles para la autenticación segundos son como sigue: ■
■
Usuario (Kerberos V5)Este método de autenticación es compatible con Windows 2000 o posterior. Usuario (NTLMv2)Este método de autenticación se puede utilizar en redes que in- cluyen sistemas que ejecutan una versión anterior del sistema operativo Lección 2: Configuración de IPsec Capítulo 11
547
Windows y en sistemas autónomos. ■
548 Capítulo11 IPsec
Certificado de usuarioEl algoritmo de firma predeterminado para este método de autenticación es RSA, pero ECDSA-P256 y ECDSA-P384 también se apoyan algoritmos de firma. Puedes
Configuración de Firewall de Windows e
También utilizar un CA intermedia como un almacén de certificados, además de utilizar una CA raíz, y la cartografía certificado a cuenta también es compatible. ■
Certificado de salud InformáticaEl algoritmo de firma predeterminado para este método de autenticación es RSA, pero ECDSA-P256 y ECDSA-P384 también se apoyan firmando algoritmos. También puede utilizar una CA intermedia como un almacén de certificados, además de utilizar una CA raíz, y la cartografía certificado a cuenta también es compatible.
Algoritmos de integridad de datosIntegridad de los datosasegura que los datos intercambiados entre los equipos compatibles con IPsec no se ha modificado en tránsito entre ellos. Integridad de los datos se realiza mediante el uso de hashes salvia jes, que se utilizan para firmar digitalmente los paquetes para que el equipo de recibirlos puede estar seguro de que los paquetes no han sido manipulados. Los algoritmos de integridad de datos soportados para las comunicaciones IPsec en Windows 8 y Windows Server 2012 son los siguientes: ■
■
■
■
■
■
Message-Digest Algorithm 5 (MD5)Este algoritmo no es recomendado y se proporciona únicamente la compatibilidad hacia atrás. SecureHash Algorithm 1 (SHA-1)Este algoritmo es más fuerte que MD5 pero utiliza más recursos. SHA de 256 bits (SHA-256)Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y versiones posteriores. SHA-384 Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y versiones posteriores. Advanced Encryption Standard-Galois Mensaje Código de autenticación de 128 bits(AES-GMAC 128)Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y sólo el modo más rápido, y es compatible con Windows Vista SP1 y versiones posteriores. Es equivalente a AESGCM 128 para la integridad. AES-GMAC 192Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y sólo el modo más rápido, y es compatible con Windows Vista SP1 y versiones posteriores. Es equivalente a AES-GCM 192 para la integridad.
■
AES-GMAC 256Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y sólo el modo más rápido, y es compatible con Windows Vista SP1 y versiones posteriores. Es equivalente a AES-GCM 256 para la integridad.
■
AES-GCM 128Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y sólo el modo más rápido, y es compatible con Windows Vista SP1 y versiones posteriores. Es equivalente a AES-GMAC 128 Lección 2: Configuración de IPsec Capítulo 11
549
para la integridad. ■
AES-GCM 192Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y sólo el modo más rápido, y es compatible con Windows Vista SP1 y versiones posteriores. Es equivalente a AES-GMAC 192 para la integridad.
550 Capítulo11 IPsec
Configuración de Firewall de Windows e
■
AES-GCM 256Este algoritmo se puede utilizar para el modo principal solamente y es compatible con Windows Vista SP1 y sólo el modo más rápido, y es compatible con Windows Vista SP1 y versiones posteriores. Es equivalente a AES-GMAC 256 para la integridad.
Algoritmos de cifrado de datos El cifrado de datosasegura que los datos intercambiados entre los equipos compatibles con IPsec está protegida de ver. IPsec puede regenerar claves de cifrado de manera que si se expone una llave, todo los datos no se vea comprometida. Los algoritmos de cifrado de datos soportados para las comunicaciones IPsec en Windows 8 y Windows Server 2012 son los siguientes: ■
■
■
■
■
■
Data Encryption Standard (DES)Este algoritmo no es recomendado y se proporciona únicamente la compatibilidad hacia atrás. Triple-DES (3DES)Este algoritmo es más seguro que DES, pero tiene mayor uso de recursos. Advanced Encryption Standard-Cipher Block Chaining 128 bits (AES-CBC 128)Este algoritmo es más rápido y más fuerte que DES. Es compatible con Windows Vista y versiones posteriores. AES-CBC 192Este algoritmo es más fuerte que AES-CBC 128 y tiene el uso de recursos medio. Es compatible con Windows Vista y versiones posteriores. AES-CBC 256Este algoritmo tiene la mayor seguridad, sino también el mayor uso de recursos. Es compatible con Windows Vista y versiones posteriores. AES-GCM 128Este algoritmo puede ser utilizado para solamente el modo rápido. Es más rápido y más fuerte que DES y es compatible con Windows Vista y versiones posteriores. Tenga en cuenta que AES-GCM 128 debe especificarse tanto para la integridad de datos y cifrado si se utiliza este algoritmo.
■
■
AES-GCM 192Este algoritmo puede ser utilizado para solamente el modo rápido. Tiene el uso de recursos de mediano y es compatible con Windows Vista y versiones posteriores. Tenga en cuenta que AES-GCM 192 debe especificarse tanto para la integridad de datos y cifrado si se utiliza este algoritmo. AES-GCM 256Este algoritmo puede ser utilizado para solamente el modo rápido y es más rápido y más fuerte que DES. Es compatible con Windows Vista y versiones posteriores. Tenga en cuenta que AES-GCM 256 debe especificarse tanto para la integridad de datos y cifrado si se utiliza este algoritmo.
Configuración La configuración de IPsec En contraste con la configuración del firewall, que se configuran para cada firewall perfil separado, IPsec ajustes son los ajustes de todo el sistema que definen los valores predeterminados para las comunicaciones entre IPsec el equipo local y otros equipos de la red. Estas configuraciones IPsec de todo el sistema Lección 2: Configuración de IPsec Capítulo 11
551
se puede configurar utilizando el Firewall de Windows con seguridad avanzada complemento, utilizando
552 Capítulo11 IPsec
Configuración de Firewall de Windows e
el Firewall de Windows con seguridad avanzada nodo de directiva en Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad en un GPO o Windows PowerShell. Aconfigurar los ajustes de IPsec utilizando el Firewall de Windows con seguridad avanzada en el equipo local, haga clic en el nodo raíz en el árbol de la consola, seleccione Propiedades y vaya a la ficha Configuración IPsec como se muestra en la Figura 11-14. Estas son las opciones que puede configurar aquí: ■
Predeterminados de IPsecUtilice esta opción para configurar los ajustes por defecto de IPsec que el equipo local va a utilizar cuando se trata de establecer conexiones seguras con otros equipos habilitados IPsec-. Para configurar estas opciones, haga clic en el botón Personalizar para abrir el cuadro de diálogo Personalizar predeterminados IPsec se muestra en la Figura 11-15 en la siguiente sección.
■
Exenciones IPsecUtilice esta opción para configurar el modo IPsec maneja el tráfico de control de Internet Message Protocol (ICMP). Por defecto, el tráfico ICMP no está exento de usar IPsec, pero se puede cambiar esto seleccionando Sí en el control de lista.
■
IPsec Túnel AutorizaciónUtilice esta opción para configurar los usuarios y los equipos que desee ser autorizado para establecer comunicaciones IPsec con el equipo local. Para configurar estos ajustes, seleccione Opciones avanzadas y haga clic en el botón Personalizar para abrir el cuadro de diálogo Personalizar IPsec Túnel Las autorizaciones se muestra en la Figura 11-19 más adelante en esta lección.
FIGURA 11-14Configuración de los ajustes de IPsec en todo el sistema en el equipo.
Lección 2: Configuración de IPsec Capítulo 11
553
Personalización de los valores predeterminados de IPsec Como se describe en la sección anterior, el cuadro de diálogo Personalizar predeterminados IPsec se muestra en la Figura 11-15 se utiliza para configurar los ajustes por defecto de IPsec que el equipo local usará cuando se trata de establecer conexiones seguras con otros equipos compatibles con IPsec. Los tipos de ajustes por defecto se pueden configurar incluyen ajustes para ■
Intercambio de claves (modo principal)
■
Protección de datos (modo rápido)
■
Método de autenticación
FIGURA 11-15Cuadro de diálogo para la personalización de los valores predeterminados de IPsec.
La figura 11-16 muestra la configuración de IPsec por defecto para el intercambio de claves. El proceso para la aplicación de ellos es el siguiente: 1.
Comience por intentar utilizar el grupo Diffie-Hellman algoritmo 2 Tecla de intercambio de negociar el uso de SHA-1 para la integridad de los datos y AES-CBC 128 para el cifrado de datos.
2.
Si eso no funciona, intente utilizar DH Grupo 2 de negociar el uso de SHA-1 para la integridad de los datos y 3DES para el cifrado de datos.
Usted puede agregar otros métodos de seguridad a la lista de métodos que el equipo debe intentar utilizar. También puede configurar vidas clave y otras opciones de intercambio de claves que utilizan este cuadro de diálogo. 550 Capítulo11 IPsec
Configuración de Firewall de Windows e
FIGURA 11-16Configuración de los valores de intercambio de clave avanzada.
La figura 11-17 muestra la configuración de IPsec por defecto para la protección de datos. El proceso para la aplicación de ellos es el siguiente: ■
■
Si no se requiere el cifrado de datos sólo la integridad de los datos, pero, a continuación, haga lo siguiente: 1.
Comience por intentar usar ESP para negociar el uso de SHA-1 para la integridad de los datos.
2.
Si eso no funciona, intente utilizar AH para negociar el uso de SHA-1 para la integridad de los datos y 3DES para el cifrado de datos.
Si se requieren tanto la integridad de datos y cifrado, haga lo siguiente: 1.
Comience por intentar usar ESP para negociar el uso de SHA-1 para la integridad de los datos y AES-CBC 218 para el cifrado de datos.
2.
Si eso no funciona, intente utilizar AH para negociar el uso de SHA-1 para la integridad de los datos y 3DES para el cifrado de datos.
Usted puede utilizar este cuadro de diálogo para agregar otros algoritmos de datos de integridad y cifrado a la lista de algoritmos de la computadora debe intentar utilizar. También puede utilizarlo para requerir el cifrado de todas las comunicaciones IPsec en el equipo
Lección 2: Configuración de IPsec Capítulo 11
551
FIGURA 11-17Configuración de datos en la integridad y la configuración de cifrado.
Como figura 11-18 muestra, los métodos de autenticación por defecto que utiliza IPsec para la primera y segunda autenticación son los siguientes: ■
Por primera autenticación, el único método de autenticación es tratado por ordenador (Kerberos V5). Si lo desea, puede añadir otros métodos de autenticación y dar prioridad a la forma en que se utilizan.
■
Por segunda autenticación, se intenta la autenticación. Si lo desea, puede añadir métodos de autenticación y dar prioridad a la forma en que se utilizan.
UstedTambién puede utilizar este cuadro de diálogo para especificar si la primera o segunda autenticación debe ser considerado opcional.
FIGURA 11-18Configuración de métodos de autenticación.
552 Capítulo11 IPsec
Configuración de Firewall de Windows e
Personalización de las autorizaciones de túnel IPsec Si se permitirán conexiones de túnel IPsec con el ordenador, puede utilizar el cuadro de diálogo Personalizar IPsec Túnel Las autorizaciones se muestra en la Figura 11-19 para configurar esto. El uso de este cuadro de diálogo, puede especificar ■
¿Qué equipos están autorizados para establecer conexiones de túnel con el equipo local.
■
¿Qué usuarios están autorizados para establecer conexiones de túnel con el
equipo local. También puede especificar excepciones para cada uno de los ajustes anteriores.
FIGURA 11-19Configuración de las autorizaciones de túnel IPsec.
Configuración de los ajustes de IPsec usando Windows PowerShell UstedTambién puede usar Windows PowerShell para configurar la configuración de IPsec, ya sea en la tienda de la política en el equipo local, un equipo remoto, o un GPO. Usted puede hacer esto mediante los cmdlets del módulo NetSecurity de Windows PowerShell.
Lección 2: Configuración de IPsec Capítulo 11
553
Por ejemplo, puede usar el cmdlet Get-NetIPsecMainModeCryptoSet para mostrar los juegos en modo principal de cifrado en un equipo:
Comparar la salida del comando anterior a la figura 11-16 anteriormente en esta lección. Para configurar los principales conjuntos criptográficos modo en el equipo, puede utilizar la . Como segundo ejemplo, puede usar el cmdlet Get-NetIPsecPhase1AuthSet para mostrar cómo primero la autenticación está configurado en el equipo:
554 Capítulo11 IPsec
Configuración de Firewall de Windows e
Comparar la salida del comando anterior a la figura 11-18 anteriormente en esta lección. Para configurar primero la autenticación en el equipo, puede usar el cmdlet SetNetIPsecPhase1AuthSet.
Configuración de la conexiónreglas de seguridad Después de configurar los valores predeterminados de IPsec para el equipo, a continuación, puede crear reglas de seguridad de conexión. Como se explica en el comienzo de esta lección, una regla de seguridad de conexión es un conjunto de criterios que especifica cómo se utilizará IPsec para proteger el tráfico entre el equipo local y otros equipos de la red. Pueden ser utilizados para especificar si una conexión de red entre dos ordenadores primero debe autenticarse antes de los datos se pueden intercambiar entre ellos y para asegurarse de que todos los datos intercambiados entre los equipos están cifrados para proteger contra el espionaje o modificación.
Tipos de reglas de seguridad de conexión Reglas de seguridad de conexión se pueden crear con el Asistente para reglas de seguridad en Nueva conexión. Como muestra la Figura 11-20 muestra, Firewall de Windows con seguridad avanzada soporta cinco tipos de reglas de seguridad de conexión: ■
■
AislamientoEste tipo de regla de seguridad de conexión se puede utilizar para aislar los ordenadores de otros equipos. Por ejemplo, puede utilizar las reglas de aislamiento para proteger los ordenadores que se unen a su dominio de los ordenadores que están fuera de su dominio. Exención de autenticaciónEste tipo de regla de seguridad de conexión se puede utilizar para especificar los equipos que deben quedar exentos de ser necesario para autenticarse, independientemente de cualquier otra regla de seguridad de conexión que se han configurado. Lección 2: Configuración de IPsec Capítulo 11
555
Por ejemplo, puede utilizar las reglas de exención de autenticación para permitir el acceso a los controladores de dominio y otros servidores de infraestructura que el equipo necesita para comunicarse con antes de la autenticación se puede realizar.
556 Capítulo11 IPsec
Configuración de Firewall de Windows e
■
De servidor a servidorEste tipo de regla de seguridad de conexión se puede utilizar para proteger las comunicaciones entre dos equipos, dos grupos de computadoras, dos subredes, o alguna combinación de éstos, como entre un ordenador y una subred. Por ejemplo, puede utilizar las reglas de servidor a servidor para proteger las comunicaciones entre un servidor de base de datos y un servidor web front-end.
■
Túnel Este tipo de regla de seguridad de conexión se puede utilizar para proteger las comunicaciones entre dos equipos que utilizan el modo de túnel IPsec en lugar del modo de transporte IPsec. Por ejemplo, puede utilizar reglas de túnel para especificar un equipo de puerta de enlace que las rutas de tráfico a una red privada.
■
CostumbreEste tipo de regla de seguridad de conexión se puede utilizar para configurar reglas personalizadas utilizando criterios de otros tipos de reglas, excepto reglas de túnel.
FIGURA 11-20Tipos de reglas de seguridad de conexión.
Acrear nuevas reglas de seguridad de conexión utilizando el Asistente para nueva regla de seguridad de conexión, haga clic en el nodo de conexión Reglas de Seguridad en el Firewall de Windows con seguridad avanzada en, seleccione Nueva regla, y seguir los pasos del asistente. Las secciones que seguimos a explicar más con respecto a los pasos a seguir en la creación de cada uno de estos diferentes tipos de reglas de seguridad de conexión.
Creación de una regla de aislamiento Los siguientes pasos se pueden utilizar para crear una nueva regla de aislamiento utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el Asistente para nueva regla de seguridad de conexión y elija el aislamiento Lección 2: Configuración de IPsec Capítulo 11
557
en la página Tipo de regla.
558 Capítulo11 IPsec
Configuración de Firewall de Windows e
2.
En la página Requisitos, especifique si se debe solicitar o requerir autenticación para conexiones entrantes, conexiones salientes, o ambos, seleccionando una de las siguientes opciones: ■
Solicitud de autenticación para conexiones entrantes y salientesEsta opciónse suele utilizar en entornos de baja seguridad o donde las computadoras no pueden utilizar los métodos de autenticación IPsec disponibles con Firewall de Windows con seguridad avanzada. También puede utilizarlo para ordenadores en la zona de frontera en un servidor y en un escenario de aislamiento de dominio.
■
■
Requerir autenticación para conexiones entrantes y Solicitud de autenticación para conexiones salientesEsta opción se suele utilizar en entornos donde las computadoras son capaces de utilizar los métodos de autenticación IPsec disponibles con Firewall de Windows con seguridad avanzada. También puede utilizarlo para ordenadores en la zona principal de aislamiento en un servidor y en un escenario de aislamiento de dominio. Requerir autenticación para conexiones entrantes y salientesEsta opciónse suele utilizar en ambientes donde el tráfico de red debe ser controlado y asegurado. También puede utilizarlo para ordenadores en la zona principal de aislamiento en un servidor y en un escenario de aislamiento de dominio.
3.
En la página Método de autenticación, especifique si desea utilizar los métodos de autenticación por defecto o para especificar un método o una lista de métodos diferentes:
Lección 2: Configuración de IPsec Capítulo 11
559
4.
En la página Perfil, seleccione qué perfiles de firewall debe aplicarse a la nueva regla. Por defecto, las nuevas reglas de seguridad de conexión aplican a los tres perfiles (dominio, privado y público).
5.
En la página Nombre, especifique un nombre y una descripción opcional para la nueva regla.
Creación de una regla de exención de autenticación Los siguientes pasos se pueden utilizar para crear una nueva regla de exención de autenticación mediante elFirewall de Windows con seguridad avanzada complemento: 1.
Inicie el Asistente para nueva regla de seguridad de conexión y seleccione Exención de autenticación en la página Tipo de regla.
2.
En la página Equipos Exentos, especifique los equipos a los que se aplique la exención:
Al hacer clic en Agregar en esta página, puede especificar equipos exentos de las siguientes características:
3.
560 Capítulo11 IPsec
■
Una dirección IP (IPv4 o IPv6)
■
Una subred IP (IPv4 o IPv6)
■
Un rango de direcciones IP (IPv4 o IPv6)
■
Un conjunto predefinido de ordenadores como servidores DHCP, servidores DNS, ordenadores de la subred local, y así sucesivamente
Las opciones de la página Nombre de perfil y son los mismos que los descritos en el sección anterior. Configuración de Firewall de Windows e
Creación de una regla de servidor a servidor Los pasos siguientes se pueden utilizar para crear una nueva regla de servidor a servidor utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el Asistente para nueva regla de seguridad de conexión y seleccione servidor a servidor en la página Tipo de regla.
2.
En la página Puntos finales, especificar una dirección IP o rango de direcciones para cada uno de los dos puntos extremos de la conexión segura:
3.
En la página Requisitos, especifique si se debe solicitar o requerir autenticación para conexiones entrantes, conexiones salientes, o ambos, seleccionando una de las mismas tres opciones descritas anteriormente para las reglas de aislamiento.
4.
En la página Método de autenticación, especifique si desea utilizar un certificado de equipo como método de autenticación o especificar una lista personalizada de los métodos de primera y segunda de autenticación. Si usted elige utilizar un certificado de equipo como método de autenticación, hay algunos ajustes adicionales que puede configurar.
5.
Las opciones de la página Nombre de perfil y son los mismos que los descritos en el sección anterior.
Creación de una regla de túnel Los siguientes pasos se pueden utilizar para crear una nueva regla de túnel utilizando el Firewall de Windows con seguridad avanzada complemento: 1.
Inicie el Asistente para nueva regla de seguridad de conexión y seleccione Túnel en la página Tipo de regla.
Lección 2: Configuración de IPsec Capítulo 11
561
2.
En la página Tipo de túnel, especifique el tipo de túnel que desea crear como indican las opciones que se muestran aquí:
3.
En la página Requisitos, elegir una de las opciones de autenticación disponibles. Dependiendo de qué tipo de túnel que ha especificado en la página anterior del asistente, estas opciones podrían incluir: ■
Requerir autenticación para conexiones entrantes y salientesEsta opciónse suele utilizar en ambientes donde el tráfico de red debe ser controlado y asegurado.
■
Solicitud de autenticación para conexiones entrantes y salientesEsta opciónse suele utilizar en entornos de baja seguridad o donde las computadoras no pueden utilizar los métodos de autenticación IPsec disponibles con Firewall de Windows con seguridad avanzada.
■
■
4.
Requerir autenticación para conexiones entrantes. No establecen túnelesPara conexiones salientesEsta opción se suele utilizar en un equipo que sirve como punto final del túnel para los clientes remotos. La regla se utiliza para indicar que el túnel se aplica sólo a tráfico de red entrante de los clientes. No AutenticarEsta opción se suele utilizar para crear una exención de autenticación para conexiones a equipos que no requieren la protección de IPsec.
En la página Puntos finales del túnel, especifique las direcciones IP de los puntos finales para la conexión del túnel. Las opciones disponibles en esta página dependerá de la opción que haya seleccionado en la página Tipo de túnel.
5.
560 Capítulo11 IPsec
Las opciones en el método de autenticación, el perfil y página Nombre son los mismos que los descritos en la sección anterior.
Configuración de Firewall de Windows e
Creación de una regla personalizada Creación de una regla personalizada implica la configuración de opciones en los puntos finales, Requisitos, Método de autenticación, protocolos y puertos, y del perfil y el nombre de las páginas. La única página de nuevo aquí es la página Protocolo y puertos se muestra en la Figura 11-21. Usted puede utilizar esta página para especificar qué protocolo y qué puerto o puertos especificados en un paquete de red coincide con esta regla de seguridad de conexión. Una vez hecho esto, sólo el tráfico de red que coincide con los criterios de esta página y la página de Endpoints coincide con la regla y estará sujeto a sus requisitos de autenticación.
FIGURA 11-21Configuración de protocolos y puertos para una regla de seguridad de conexión
personalizada.
Creación de reglas de seguridad de conexión que utilizan Windows PowerShell UstedTambién puede usar Windows PowerShell para ver, crear, configurar y eliminar reglas de seguridad de conexión, ya sea en la tienda política en el equipo local, un equipo remoto, o un GPO. Usted puede hacer esto mediante los cmdlets del módulo NetSecurity de Windows PowerShell. Por ejemplo, puede utilizar el Nuevo-NetIPsecRule para crear una nueva regla de aislamiento de servidor en el almacén persistente en el equipo local que requiere la autenticación entrante y saliente:
Lección 2: Configuración de IPsec Capítulo 11
561
Si abre el Firewall de Windows con seguridad avanzada en este punto y seleccionar el nodo Reglas de seguridad de conexión, verá la nueva regla que ha creado. UstedTambién puede usar el cmdlet Get-NetIPsecRule para ver las reglas de seguridad de conexión, Set-NetIPsecRule modificarlos, o quitar-NetIPsecRule para eliminarlos. Para obtener más ayuda en relación con cualquiera de estos cmdlets, utilice el cmdlet Get-Help.
Configuración de omisión autenticada En la lección 2 de este capítulo, usted aprendió cómo crear reglas de firewall utilizando el nuevo entrante (o saliente) Asistente para reglas, que puede ser lanzado desde el Firewall de Windows con seguridad avanzada en. Una de las opciones de configuración en ese mago fue aplazado hasta más tarde porque tenía que ver con cómo las reglas de firewall interactuar con IPsec. Ese escenario es la opción Permitir la conexión si es la opción segura en la página Acción. (Ver Figura 11-22.) Al seleccionar esta opción especifica que sólo las conexiones protegidas por IPsec
562 Capítulo11 IPsec
Configuración de Firewall de Windows e
serán permitidos por la nueva regla de firewall. Dicha protección IPsec se implementa por separado utilizando las reglas de seguridad de conexión.
Lección 2: Configuración de IPsec Capítulo 11
563
FIGURA 11-22Configuración de una nueva regla de firewall para permitir sólo las conexiones que están
protegidos por IPsec.
Como muestra la Figura 11-22 muestra, seleccionando la opción Permitir la conexión si es la opción Secure también añade dos nuevas páginas del asistente Usuarios y equipos nombrados al Nuevo Entrante (o de salida) Asistente para reglas. Usted puede utilizar estas dos nuevas páginas para especificar confiables usuarios, equipos o ambos que se permiten conectar a la computadora local. El comportamiento predeterminado de una regla de firewall que tiene la opción Permitir la conexión si es segura opción seleccionada es para el tráfico de red a juego la regla de firewall que se le permitiera si el tráfico se autentica y la integridad-protegido por IPsec. Esta opción por defecto se admite en equipos que ejecutan Windows Vista, Windows Server 2008 o posterior. Al hacer clic en Personalizar en la página Acción, puede cambiar este comportamiento mediante la selección de una opción diferente en la Personalizar Permitir Si el cuadro de diálogo Config segura se muestra en la Figura 11-23. En concreto, puede seleccionar entre las siguientes opciones: ■
Exigir Las conexiones a cifrarLa elección de esta opción agrega el requisito de cifrado de datos a los requisitos predeterminados de autenticación e integridad de datos. Si va a crear una regla de entrada, también puede seleccionar Permitir Las Computadoras de negociar dinámicamente cifrado para permitir la conexión de red para enviar y recibir tráfico sin cifrar, mientras que un algoritmo de cifrado IPsec se está negociando después de la autenticación IPsec se ha logrado.
■
Permitir la conexión para utilizar Null encapsulaciónLa elección de esta opción requiereque el uso de tráfico de red de adaptación de autenticación IPsec, pero no requiere ya sea la integridad o la protección de cifrado. Debe seleccionar
564 Capítulo11 IPsec
Configuración de Firewall de Windows e
esta opción sólo si tiene equipos de red o software que no es compatible ni con el ESP o protocolos de integridad AH.
Lección 2: Configuración de IPsec Capítulo 11
565
■
Invalidar reglas de bloqueoLa elección de esta opción permite a juego el tráfico de red para anular cualquier regla de firewall que bloquearían dicho tráfico. En general, las reglas de firewall generales que bloquean de forma explícita una conexión tienen prioridad sobre las reglas de firewall que permiten explícitamente la conexión. Pero si usted selecciona la opción Invalidar reglas de bloqueo, se le permitirá la conexión incluso si una regla diferente está configurado para bloquearlo.
FIGURA 11-23Configuración del comportamiento de una regla de firewall que tiene la opción Permitir la
conexión si es la opción segura seleccionado.
Al seleccionar la opción Invalidar reglas de bloqueo al crear una nueva regla de firewall se llama derivación autenticado, porque significa que la adecuación de tráfico de red se permite porque se ha autenticado como proveniente de un usuario o equipo autorizado y de confianza. 566 Capítulo11 IPsec
Configuración de Firewall de Windows e
Como muestra la Figura 11-24 muestra, debe especificar al menos un equipo de confianza cuando se configura omisión autenticada para una regla de firewall.
FIGURA 11-24Configuración de equipos de confianza para una regla de firewall de derivación
autenticado.
Monitoreo IPsec Después de crear y configurar reglas de seguridad de conexión, puede utilizar tanto el Firewall de Windows con seguridad avanzada y Windows PowerShell para vigilar las comunicaciones IPsec entre el equipo local y otros equipos de la red. Como figura 11-25 muestra, puede seleccionar el nodo Reglas de seguridad de conexión en el nodo Supervisión para ver todas las reglas de seguridad de conexión activas configuradas en el equipo. Esto incluye reglas creadas manualmente en la computadora y reglas configuradas por la directiva de grupo dirigidas a la computadora. Para ver más información acerca de cualquier regla, haga clic derecho en la regla y seleccione Propiedades.
Lección 2: Configuración de IPsec Capítulo 11
567
FIGURA 11-25Viendo reglas de seguridad de conexión activas en el equipo.
Como figura 11-26 muestra, puede seleccionar el nodo de modo principal en el nodo Reglas de seguridad de conexión para ver todo el modo activo principal SAS y sus puntos finales, los métodos de autenticación, y otras propiedades.
FIGURA 11-26Visualización de las SA de modo principal activas en el equipo.
Como figura 11-27 muestra, puede seleccionar el nodo de modo rápido en el nodo Reglas de seguridad de conexión para ver todo el modo rápido activa SAS y sus puntos finales, puertos, protocolos y otras propiedades.
FIGURA 11-27Visualización de las SA de modo rápido activos en el equipo.
568 Capítulo11 IPsec
Configuración de Firewall de Windows e
UstedTambién puede usar Windows PowerShell para ver las SA activas en el equipo local o un equipo remoto. Por ejemplo, puede utilizar el Get-NetIPsecMainModeSA para ver una lista de modo principal activo SA para el equipo local de la siguiente manera:
Como segundo ejemplo, se puede utilizar el Get-NetIPsecQuickModeSA para ver una lista de modo rápido activa SA para el equipo local como esto:
Lección 2: Configuración de IPsec Capítulo 11
569
570 Capítulo11 IPsec
Configuración de Firewall de Windows e
Aplicaciones y Servicios Registros / / Firewall de Windows / Windows Microsoft con seguridad avanzada / ConnectionSecurity
Resumen de la lección ■
IPsec implica una serie de diferentes conceptos, mecanismos y tecnologías que usted debe entender antes de intentar ponerlo en práctica en su entorno de producción.
■
IPsec puede proporcionar autenticación, integridad de datos, encriptación de datos, o cualquier combinación de los tres para proteger el tráfico de red.
■
La configuración de IPsec en un equipo se pueden configurar utilizando el Firewall de Windows con Advanced Security complemento, la directiva de grupo o Windows PowerShell.
■
Reglas de seguridad de conexión pueden ser del aislamiento, la exención de autenticación, servidor To--servidor, túnel o tipo personalizado.
■
Ustedpuede crear y administrar reglas de seguridad de conexión utilizando el Firewall de Windows con seguridad avanzada en, la directiva de grupo o Windows PowerShell.
■
Omisión autenticada permite el tráfico de red a juego que se ha autenticado como procedente de un usuario o equipo autorizado y de confianza.
■
El modo principal y las asociaciones de seguridad de modo rápido pueden ser monitoreados mediante el Firewall de Windows con seguridad avanzada en o Windows PowerShell.
Revisión de la lección Responda las siguientes preguntas para evaluar su conocimiento de la información en esta Lección 2: Configuración de IPsec Capítulo 11
571
lección. Usted puede encontrar las respuestas a estas preguntas y explicaciones de por qué cada opción de respuesta es correcta o incorrecta en la sección "Respuestas" al final de este capítulo.
572 Capítulo11 IPsec
Configuración de Firewall de Windows e
1.
Diffie-Hellman Grupo 14 es un ejemplo de qué? A.
Un método de autenticación IPsec
B.
Un algoritmo IPsec datos integridad
C.
Un algoritmo de cifrado de datos IPsec
D. Un algoritmo de intercambio de claves de IPsec 2.
Usted desee utilizar IPsec para proteger las comunicaciones entre el servidor y los equipos de una subred específica de su red. ¿Qué tipo de regla de seguridad de conexión se puede crear para hacer esto? (Elija todas las que correspondan.) A.
Regla de aislamiento
B.
Regla de exención de autenticación
C.
De servidor a servidor de normas
D. Regla personalizada 3.
Al crear reglas de seguridad de conexión, que opción de autenticación le suele utilizar en un entorno que incluye computadoras que no pueden utilizar los métodos de autenticación IPsec disponibles con el Firewall de Windows con seguridad avanzada? A.
Solicitud de autenticación para conexiones entrantes y salientes
B.
Requerir autenticación para conexiones entrantes y Solicitud de autenticación para conexiones salientes
C.
Requerir autenticación para conexiones entrantes y salientes
D. No Autenticar
Ejercicios de práctica El objetivo de esta sección es para ofrecerle práctica en la práctica con lo siguiente: ■
Configuración de reglas de firewall
■
Implementación de IPsec
A realizar los siguientes ejercicios, se necesitan al menos dos instalaciones unidos a un dominio de Windows Server 2012 utilizando el servidor con una opción de instalación GUI. Por ejemplo, uno de los servidores podría ser un controlador de dominio en el dominio .com .fabrikam corp y el otro servidor puede ser un servidor miembro en el mismo dominio. Los servidores pueden ser tanto servidores físicos o máquinas virtuales. Usted debe iniciar sesión para cada servidor con una cuenta de usuario que sea miembro del grupo Administradores de dominio. A los efectos de estos ejercicios, los nombres de los servidores se supone que son Host4 y HOST7 y sus direcciones IP son, respectivamente, 172 0,16 0,11 0,230 0,16 0,11 172 y 0.240. Si los servidores tienen diferentes nombres o direcciones IP, debe modificar los pasos de estos ejercicios en consecuencia. 570 Capítulo11 IPsec
Configuración de Firewall de Windows e
Ejercicio 1: Configuración de reglas de firewall En este ejercicio, va a crear y configurar reglas de firewall y examinar lo que sucede cuando el conflicto reglas de firewall entre sí. 1.
Inicie sesión en Host4, y utilizar el Administrador de servidores para instalar el rol de servidor web (IIS) en el equipo.
2.
Utilice la página del servidor local de Server Manager para desactivar la seguridad mejorada de IE Configuración para Administradores.
3.
Inicie Internet Explorer y compruebe que puede abrir la página de inicio IIS8 predeterminado del sitio Web predeterminado en el equipo local, escribahttp: // localhost enlaBarra de dirección.
4.
Inicie sesión en HOST7, y utilice la página del servidor local de Administrador de servidores para apagar el IE Configuración de seguridad mejorada para los administradores.
5.
Inicie Internet Explorer y compruebe que puede abrir la página de inicio IIS8 predeterminado del sitio Web predeterminado en Host4 escribiendohttp://172.16.11.230 en la barra de direcciones.
6.
Abra el Firewall de Windows con seguridad avanzada en el menú Herramientas del Administrador de servidores, haga clic derecho en el nodo raíz y seleccione Propiedades.
7.
Configure los ajustes en la ficha Perfil de dominio para que la regla de firewall por defecto para las conexiones salientes es para bloquear el tráfico, y luego haga clic en Aplicar.
8.
Eliminar el historial de navegación en Internet Explorer, asegurándose de desmarque la opción Preserve Favoritos de datos de sitios web, a continuación, presione F5 para intentar abrir el sitiohttp://172.16.11.230 de nuevo. Pregunta:¿Por qué no se puede mostrar el sitio? Respuesta:La regla por defecto se aplica pasado cuando se procesan las reglas del cortafuegos. Porque el regla de salida por defecto es de bloque, el acceso al sitio está bloqueado.
9.
Cambie la configuración en la ficha Perfil de dominio para que la regla de firewall por defecto para las conexiones salientes es para permitir el tráfico, y luego haga clic en Aceptar.
10. Presione F5 en Internet Explorer para comprobar que puede abrirhttp://172.16.11.230. 11. Haga clic derecho en el nodo Reglas de salida en el Firewall de Windows con
seguridad avanzada, y seleccione Nueva regla para iniciar el Asistente para nueva regla de salida. 12. En la página Tipo de regla, seleccione Puerto. 13. En la página Protocolos y puertos, seleccione TCP, seleccione determinados puertos remotos, y
escriba80 Ejercicios de práctica Capítulo 11
571
en el cuadro de texto. 14. En la página Acción, deje bloquear la conexión seleccionada. 15. Acepte la configuración predeterminada en la página de perfil. 16. TipoBloquee el puerto TCP 80en la página Nombre y haga clic en Finalizar para
crear el nuevo regla de firewall.
572 Capítulo11 IPsec
Configuración de Firewall de Windows e
17. Eliminar el historial de navegación en Internet Explorer, asegurándose de desmarque
la opción Preserve Favoritos de datos de sitios web, a continuación, presione F5 para intentar abrir el sitiohttp://172.16.11.230 de nuevo. Pregunta:¿Por qué no se puede mostrar el sitio? Respuesta:Un bloques de reglas de puerto de salida explícitas petición HTTP desde el acceso a la web en el puerto TCP 80. 18. Seleccione el nodo Reglas de entrada, haga clic en la regla denominada Bloque
puerto TCP 80, y seleccione Regla Deshabilitar. 19. Presione F5 en Internet Explorer para comprobar que puede
abrirhttp://172.16.11.230. Pregunta:¿Por qué es el sitio aparece ahora? Respuesta:La regla de puerto de salida para bloquear el puerto TCP 80 ha sido desactivado, y el regla de salida por defecto es para permitir el tráfico saliente. 20. Haga clic derecho en el nodo Reglas de salida en el Firewall de Windows con
seguridad avanzada, y seleccione Nueva regla para iniciar el Asistente para nueva regla de salida de nuevo. 21. En la página Tipo de regla, seleccione Programas. 22. En la página de los programas, seleccione TCP, seleccione Este Camino Programa,
y busque y seleccione la siguiente ejecutable: C:\ archivos de programa (X86) \ Internet Explorador\ Iexplore exe 23. En la página Acción, deje bloquear la conexión seleccionada. 24. Acepte la configuración predeterminada en la página de perfil. 25. TipoBloquear Internet Exploreren la página Nombre y haga clic en Finalizar
para crear el nuevo regla de firewall. 26. Eliminar el historial de navegación en Internet Explorer, asegurándose de desmarque
la opción Preserve Favoritos de datos de sitios web, a continuación, presione F5 para intentar abrir el sitiohttp://172.16.11.230 de nuevo. Pregunta:¿Por qué no se puede mostrar el sitio? Respuesta:Un programa de bloques de reglas explícitas salientes petición HTTP desde el acceso a la web en el puerto TCP 80. 27. Seleccione el nodo Reglas de entrada, haga clic en la regla denominada Bloque
Internet Explorer y seleccione Regla Deshabilitar. 28. Haga clic en la regla denominada Bloque puerto TCP 80, y seleccione Habilitar regla. 29. Eliminar el historial de navegación en Internet Explorer, asegurándose de desmarque
la opción Preserve Favoritos de datos de sitios web, a continuación, presione F5 para intentar abrir el sitiohttp://172.16.11.230 de nuevo. Usted no debe ser capaz de acceder al sitio a causa de la regla de salida que bloquea el acceso al puerto TCP 80. Ejercicios de práctica Capítulo 11
573
30. En este punto, usted debe seguir directamente a la práctica de ejercicio 2.
574 Capítulo11 IPsec
Configuración de Firewall de Windows e
Ejercicio 2: La implementación de IPsec En este ejercicio, creará reglas de seguridad de conexión para implementar comunicaciones IPsec entre Host4 y HOST7. 1.
Cambie a Host4 y abra el Firewall de Windows con seguridad avanzada en.
2.
Haga clic en el nodo de conexión Reglas de seguridad bajo el nodo raíz y seleccione Nueva regla para abrir el Asistente para nueva regla de seguridad de conexión.
3.
En la página Tipo de regla, seleccione servidor a servidor.
4.
En la página Puntos finales, en las computadoras que se encuentran en el punto extremo 1? sección, seleccione Estas direcciones IP. Luego haga clic en Agregar, escriba172.16.11.230Y haga clic en Aceptar.
5.
En la misma página, en las computadoras que se encuentran en el punto extremo 2? sección, seleccione Estas direcciones IP. Luego haga clic en Agregar, escriba172.16.11.240Y haga clic en Aceptar.
6.
En la página Requisitos, deje Solicitud de autenticación para conexiones entrantes y salientes seleccionados.
7.
En la página Método de autenticación, seleccione Avanzado y haga clic en Personalizado para abrir el cuadro de diálogo Personalizar métodos de autenticación avanzada.
8.
En la sección Primeras Métodos de autenticación, haga clic en Agregar, seleccione clave previamente compartida (no recomendado), tipomytestkeyY haga clic en Aceptar dos veces.
9.
Acepte la configuración predeterminada en la página de perfil.
10. TipoHost4a HOST7en la página Nombre y haga clic en Finalizar para
crear la nueva regla de seguridad de conexión. 11. Seleccione la conexión Seguridad Reglas nodo bajo el nodo Supervisión, y verificar
que la nueva regla de seguridad de conexión está activa (la lista). 12. Abra un símbolo del sistema de Windows PowerShell de ping y el
tipo172.16.11.240para tratar de establecer la comunicación IPsec entre Host4 y HOST7. 13. Cambie al Firewall de Windows con seguridad avanzada complemento y
seleccione el nodo de modo principal en el nodo Reglas de seguridad de conexión. Pregunta:¿Por qué no una SA de modo principal entre ha establecido todavía entre Host4 y HOST7? Respuesta:Reglas de seguridad de conexión deben configurarse en ambos equipos antes Comunicaciones IPsec se pueden establecer entre ellos. 14. Cambie a HOST7 y abra el Firewall de Windows con seguridad avanzada en. 15. Haga clic en el nodo de conexión Reglas de seguridad bajo el nodo raíz y Ejercicios de práctica Capítulo 11
575
seleccione Nueva regla para abrir el Asistente para nueva regla de seguridad de conexión. 16. En la página Tipo de regla, seleccione servidor a servidor. 17. En la página Puntos finales, en las computadoras que se encuentran en el punto
extremo 1? sección, seleccione Estas direcciones IP. Luego haga clic en Agregar, escriba172.16.11.240Y haga clic en Aceptar.
576 Capítulo11 IPsec
Configuración de Firewall de Windows e
18. En la misma página, en las computadoras que se encuentran en el punto extremo 2?
sección, seleccione Estas direcciones IP. Luego haga clic en Agregar, escriba172.16.11.230Y haga clic en Aceptar. 19. En la página Requisitos, deje Solicitud de autenticación para conexiones entrantes y
salientes seleccionados. 20. En la página Método de autenticación, seleccione Avanzado y haga clic en
Personalizado para abrir el cuadro de diálogo Personalizar métodos de autenticación avanzada. 21. En la sección Primeras Métodos de autenticación, haga clic en Agregar,
seleccione clave previamente compartida (no recomendado), tipomytestkeyY haga clic en Aceptar dos veces. 22. Acepte la configuración predeterminada en la página de perfil. 23. TipoHOST7 a Host4en la página Nombre y haga clic en Finalizar para
crear la nueva regla de seguridad de conexión. 24. Seleccione la conexión Seguridad Reglas nodo bajo el nodo Supervisión, y verificar
que la nueva regla de seguridad de conexión está activa (la lista). 25. Abra un símbolo del sistema de Windows PowerShell y escribade ping
172.16.11.230para tratar de establecer la comunicación IPsec entre HOST7 y Host4. 26. Cambie al Firewall de Windows con seguridad avanzada complemento y seleccione
el nodo de modo principal en el nodo Reglas de seguridad de conexión. Usted debe ver una SA de modo principal con 172 0,16 0,11 0,240 como la dirección local y 172 0.16 0.11 0.230 como la dirección remota. 27. Haga clic en la SA de modo principal, y seleccione Propiedades. Haga clic en
Aceptar después de ver las propiedades de la SA. 28. Seleccione el nodo de modo rápido en el nodo Reglas de seguridad de conexión.
Usted debe ver una SA de modo rápido con 172 0,16 0,11 0,240 como la dirección local y 172 0.16 0.11 0.230 como la dirección remota. 29. Haga clic en la SA de modo rápido y seleccione Propiedades. Haga clic en
Aceptar después de ver las propiedades de la SA. 30. Inicie Internet Explorer y trate de abrir el sitio Web predeterminado en Host4
escribiendohttp://172.16.11.230 en la barra de direcciones. Debería ver un mensaje que indica que la página no se puede mostrar. Esto se debe a la regla de firewall de salida que ha creado anteriormente para bloquear el puerto TCP 80 está todavía en efecto en HOST7. 31. Seleccione el nodo Reglas de salida en el Firewall de Windows con seguridad
avanzada en. 32. Haga clic en la regla denominada Bloque puerto TCP 80 y seleccione Propiedades
para abrir el propiedades de la regla de firewall. Ejercicios de práctica Capítulo 11
577
33. En la ficha General, seleccione Permitir la conexión si es segura y haga clic en
Aceptar. 34. Presione F5 en Internet Explorer para comprobar que puede
abrirhttp://172.16.11.230.
578 Capítulo11 IPsec
Configuración de Firewall de Windows e
Ejercicios prácticos sugeridos Los siguientes ejercicios de práctica adicionales están diseñados para darle más oportunidades para practicar lo que has aprendido y para ayudar a dominar con éxito las lecciones presentadas en este capítulo. ■
■
Práctica 1Rehacer la práctica de ejercicio 1 utilizando comandos en lugar de utilizar el Firewall de Windows con seguridad avanzada en Windows PowerShell. Práctica 2 Rehacer la práctica de ejercicio 2 usando comandos en lugar de utilizar el Firewall de Windows con seguridad avanzada en Windows PowerShell.
Respuestas Esta sección contiene las respuestas a las preguntas de repaso lección de este capítulo.
Lección 1 1.
Correctorespuestas: B y D A.
Incorrecto:Firewall de Windows con seguridad avanzada tiene tres perfiles de firewall, que corresponden a los tres tipos de ubicación de red en forma de plataforma de Windows. El perfil de dominio se aplica automáticamente a cualquier conexión de red que Windows identifica por tener un tipo de ubicación de red de dominio. El perfil privado se aplica automáticamente a cualquier conexión de red que Windows identifica por tener un tipo de ubicación de red de privada. Y el perfil público se aplica automáticamente a cualquier conexión de red que Windows identifica como tener un tipo de ubicación de red de público.
B.
Correcto:Los tres perfiles pueden estar activos al mismo tiempo en un ordenador si Windows detecta que hay conexiones de red de cada tipo presentes.
C.
Incorrecto:El ajuste de las conexiones de entrada le permite configurar la forma en Firewall de Windows con seguridad avanzada maneja el tráfico entrante. La opción por defecto es de bloque, que bloquea todas las conexiones que no tienen reglas de firewall que permiten explícitamente la conexión. Las otras dos opciones son Bloquear todas las conexiones, lo que bloquea todas las conexiones, independientemente de cualquier regla de firewall que permiten explícitamente la conexión; y Permitir, que permite la conexión a menos que exista una regla de firewall que bloquea explícitamente la conexión.
D. Correcto: Paramostrar los valores actualmente activas para el perfil de dominio
en el equipo local, puede usar el cmdlet Get-NetFirewallProfile con el PolicyStoreActiveStore parámetro. La tienda activa es la tienda política que contiene la política activa en ese momento, que es la suma de todas las tiendas Respuestas Capítulo 11
575
políticas que se aplican a la computadora. El almacén persistente es la tienda política que contiene la política persistente para el equipo local. Esta política no es de los GPO y ha sido creado manualmente o mediante programación (durante la instalación de la aplicación) en el equipo.
576
Capítulo11 IPsec
Configuración de Firewall de Windows e
2.
Respuesta correcta: C A.
Incorrecto:Las reglas que permitan explícitamente algún tipo de tráfico tiene más baja, no superior, la prioridad de las reglas que bloquean de forma explícita la misma forma de tráfico. Debido a que la regla A es una regla de bloqueo y la regla B es una regla de permiso, la regla A tiene mayor prioridad que la regla B.
B.
Incorrecto:Las reglas que permitan explícitamente algún tipo de tráfico tiene más baja, no superior, la prioridad de las reglas que bloquean de forma explícita la misma forma de tráfico. Debido a que la regla A es una regla de bloqueo y la regla B es una regla de permiso, la regla A tiene mayor prioridad que la regla B.
C.
Correcto:Reglas que permiten explícitamente algún tipo de tráfico se aplican antes de reglas que bloquean de forma explícita la misma forma de tráfico. Debido a que la regla A es una regla de bloqueo y la regla B es una regla de permiso, la regla A tiene mayor prioridad y se aplicó por primera vez. El resultado es que el tráfico de salida del proceso svchost.exe en ejecución en el ordenador se bloquea.
D. Incorrecto:Cuando las reglas del cortafuegos son procesados por el Firewall
de Windows con seguridad avanzada, tan pronto como un paquete coincide con una regla, se aplica la regla y normas Processing paradas en ese punto. Debido a que el tráfico de salida del proceso svchost.exe se ejecuta en el equipo coincide con la regla A, procesamiento de reglas se detiene en ese punto y la regla por defecto de salida no se aplica al tráfico. 3.
Correctorespuestas: A y D A.
Correcto:Una regla programa especifica cómo el tráfico asociado a un programa específico (Ejecutable) que se ejecuta en el equipo local debe ser manejado.
B.
Incorrecto:Una regla de puerto especifica cómo el tráfico asociado con una TCP o UDP específico puerto o rango de puertos en el equipo local se deben manejar.
C.
Incorrecto:Una regla predefinida especifica cómo el tráfico asociado con un Win- dows específicos característica o servicio que se ejecuta en el equipo local debe ser manejado.
D. Correcto:Una regla personalizada especifica cómo se debe manejar el tráfico
basado en cualquiera de los criterios de filtrado de tráfico con el apoyo de Firewall de Windows con seguridad avanzada. Estos criterios incluyen la posibilidad de especificar un programa (ejecutable) que se ejecuta en el equipo local.
Lección 2 1.
Respuesta correcta: D A.
Incorrecto:Métodos de autenticación IPsec incluyen equipo o usuario (Kerberos V5), ordenador o usuario (NTLMv2), ordenador o certificado de usuario, certificado de salud de la computadora, y la clave pre-compartida. Respuestas Capítulo 11
577
578
Capítulo11 IPsec
B.
Incorrecto:Algoritmos de integridad de datos IPsec incluyen MD5, SHA-1, SHA256, SHA-384,AES-GMAC 128, AES-GMAC 192, AES-GMAC 256, AES-GCM 128, AES-GCM 192 y AES-GCM 256.
C.
Incorrecto:Algoritmos de cifrado de datos IPsec incluyen DES, 3DES, AES-CBC 128, AES-CBC 192, AES-CBC 256, AES-GCM 128, AES-GCM 192 y AES-GCM 256.
Configuración de Firewall de Windows e
D. Correcto:Algoritmos de intercambio de claves de IPsec incluyen, Diffie-Hellman Grupo 1,
Diffie-Hellman Group 2, Diffie-Hellman Group 14, Diffie-Hellman Group 24, Curva Elíptica Diffie-Hellman P-256, y la curva elíptica Diffie-Hellman P-384. 2.
Correctorespuestas: C y D A.
Incorrecto:Las reglas de aislamiento se pueden utilizar para aislar los ordenadores desde otros equipos. Por ejemplo, puede utilizar las reglas de aislamiento para proteger los ordenadores que se unen a su dominio de los ordenadores que están fuera de su dominio.
B.
Incorrecto:Normas de exención de autenticación pueden utilizarse para especificar los equipos que deben quedar exentos de ser requerido para autenticar, independientemente de cualquier otra regla de seguridad de conexión que se han configurado. Por ejemplo, puede utilizar las reglas de exención de autenticación para permitir el acceso a los controladores de dominio y otros servidores de infraestructura que el equipo necesita para comunicarse con antes de la autenticación se puede realizar.
C.
Correcto:Reglas de servidor a servidor se pueden utilizar para proteger las comunicaciones entre dos equipos, dos grupos de equipos, dos subredes, o alguna combinación de éstos, por ejemplo, entre un ordenador y una subred. Por ejemplo, puede utilizar las reglas de servidor a servidor para proteger las comunicaciones entre un servidor de base de datos y un servidor web front-end.
D. Correcto:Las reglas personalizadas se pueden configurar utilizando criterios
de otros tipos de reglas, excepto reglas de túnel. Esto significa que puede crear una regla personalizada que tiene el mismo efecto que una regla de servidor a servidor. 3.
Respuesta correcta: A A.
Correcto:La solicitud de autenticación Para la opción conexiones entrantes y salientes se suele utilizar en entornos de baja seguridad o donde las computadoras son incapaces de utilizar los métodos de autenticación IPsec disponibles con Firewall de Windows con seguridad avanzada. También puede utilizarlo para ordenadores en la zona de frontera en un servidor y en un escenario de aislamiento de dominio.
B.
Incorrecto:La autenticación se requieren para conexiones entrantes y Solicitud de Autenticación Para la opción Conexiones salientes se suele utilizar en entornos donde las computadoras son capaces uso los métodos de autenticación IPsec disponibles con Firewall de Windows con seguridad avanzada. También puede utilizarlo para ordenadores en la zona principal de aislamiento en un servidor y en un escenario de aislamiento de dominio.
C.
Incorrecto:La autenticación se requieren para la opción de conexiones entrantes y salientes se suele utilizar en entornos en los que el tráfico de red Respuestas Capítulo 11
579
debe ser controlado y asegurado. También puede utilizarlo para ordenadores en la zona principal de aislamiento en un servidor y en un escenario de aislamiento de dominio. D. Incorrecto:La opción no se autentican se suele utilizar para crear una
exención de autenticación para conexiones a equipos que no requieren la protección de IPsec.
580
Capítulo11 IPsec
Configuración de Firewall de Windows e
Índice
Símbolos 0: 0: 0: 0: 0: 0: 0: 0 dirección, 267 6to4, 276 128 bits (16 bytes) direcciones, 263-264. Ver también IPv6
195 Cmdlets de administración de Windows PowerShell, 212-213
La binarios ausentes, 42-43. Ver también los binarios enumeración basada en el acceso, 388 políticas de acceso, 196, cuenta las políticas centrales de bloqueo, 202 Cuentas: Bloque Microsoft representa la política, 478, 481 ACT (Application Compatibility Toolkit), 28, 29, 35 Active Directory ADAC, administrando con, 184-197 administradora, 183-223 administrar con Windows PowerShell, 208-217 navegación, 186 gestión granel, 190 objetos eliminados, restaurar, objetos 200-201 directorio, estados, 198-199, 207 Control dinámico de acceso, 196 políticas de contraseñas de grano fino, configuración, 202-206 Directiva de grupo y, 469472 unidades organizativas, creando, 190-193 actualizaciones de esquema, 5 buscar, 188-189 servidores, buscando en, 95 las cuentas de usuario, gestión, 208-211 usuarios, creando, 193-
579
Centro de administración de Active Directory (ADAC). Ver ADAC (Active Directory Centro Administrativo) Directorio de Dominios y confianzas de MMC Snap activa en, 221 Servicios de dominio de Active Directory (AD DS). Ver AD DS (Active Directory Domain Services) Active Directory Domain Services papel, 146 instalar, 150 a 151, 163, 169, 176, 221 desinstalación, 174 Entornos de Active Directory los controladores de dominio, el despliegue, 139 Directiva de grupo, la planificación y ejecución, 466-488 nube privada, migrando hacia, 9 2012 características de Windows Server, la aplicación de, 7 Sitios y servicios de Active Directory de la consola MMC, 215 usuarios y equipos de Active Directory en, 184 tienda activo, 575 ADAC (Centro de administración de Active Directory), 184-197 Active Directory, búsqueda, 188-189 Agregar nodos de navegación del explorador, 193 AD Papelera de reciclaje, lo que permite, desde 198 hasta 201 consultas de búsqueda avanzada, bar 189 Breadcrumb, 185 Explorador de Columna, 186, 220 Crear Organizacional página de propiedades de la unidad, 190191 Crear página de propiedades del usuario, 193-194 objetos de directorio, la creación, 197 políticas de contraseñas de grano fino, configuración, 2 0 2 580
206 vista de lista, 186-187 vista de lista, personalización, 191-192 lista Gestión, 185 Usados más recientemente (MRU), 186, 197, 220 a 221 los nodos de navegación, 220
ADAC (continuación)
ADAC (continuación) Panel de navegación, 185, 220 Unidades organizativas, creando, 190-193 configuraciones de contraseña, de visión, 205-206 panel de vista previa, 185 páginas de propiedades, 191 tareas permitido, 195, 197 tareas anulado, 196, 197 Panel Tareas, 185 Vista de árbol, 187 las cuentas de usuario, creando, 193-195 características de interfaz de usuario, 185-186 Windows PowerShell History Viewer, 185, 193-194 Add-ADDSReadOnlyDomainControllerAccount cmdlet, 171 Add-DhcpServerv4ExclusionRange cmdlet, 254 Add-DhcpServerv4Failover cmdlet, 283 Add-DhcpServerv4Reservation cmdlet, 254 Añadir DhcpServerv4Scope-cmdlet, 254, 282 Add-DnsServerForwarder cmdlet, 256, 285 Add-DnsServerResourceRecordA cmdlet, 255 Add-DnsServerStubZone cmdlet, 256 Agregar nodos de navegación del explorador, 193 cmdlet Addimpresora, 456 Añadir página Impresora Dispositivo Asistente del controlador de impresora Selección, 441 Añadir PrinterDriver-cmdlet, 455, 463 Asistente para agregar el controlador de impresora, 441 Addpuerto de impresora cmdlet, 455, 463 Añadir / Quitar Servidores cuadro de diálogo, 437 direcciones, IPv6, 259 concesiones de direcciones, replicando, 227 Agregar funciones y características Asistente, 110113, 150-151, 161, 163, 180, 304-305, 373374, 432 Confirme la página Selección de instalación, 112 Módulo de Hyper-V para Windows PowerShell opción, 305 Hyper-V función de servidor, la instalación con la página de funciones de servidor 306 Eliminar, 161 SeleccionarPágina Destino Server,
Características 111 Seleccionar página, 112 Página Seleccionar tipo de instalación, 110 página Seleccionar funciones de servidor, 111-112, 402 Especifique un enlace Camino Fuente Alterna, 113 AD DS (Servicios de dominio de Active Directory), 135 Funcionalidad Adprep, 5, 34 ubicación, 140, 147, 153, 179 de base de datos
581
escenarios de implementación, 136-139 estructura de directorios, de planificación, 137 de despliegue existente bosque, 144-146 archivos de registro de ubicación, 140, 147, 153, 179 nuevo despliegue bosque, 139-144. Ver también nuevos bosques proceso de planificación, 137 recursos para la planificación y diseño, 138 de esquema, que se extiende, 145, 148-149, 163 desinstalación, 159 a 162, 174 validación antes de la instalación, 5-10, 34 AD DS Asistente de configuración (dcpromo.exe), 135, 151-157 controladores adicionales de dominio, el despliegue, 154-156 página Opciones adicionales, 153, 155 Herramienta Adprep, 180 Página Credenciales, 162 Página de configuración de despliegue, 152, 154, 156 Página Opciones de DNS, 153, 155 Página Opciones de controlador de dominio, 152, 154 controladores de dominio, forzando la retirada, 162 bosque existente, añadiendo los controladores de dominio que, 156-157 primer controlador de dominio en el nuevo bosque, promover, 152-153 Instalar desde los medios de comunicación la opción (IFM), 155, página 156 Caminos, 153 Página Opciones de preparación, 157 Requisitos previos Comprobar página, 153 página Opciones de revisión, 153 Windows PowerShell scripting de, 153-154 módulo ADDSDeployment, 167, 175, 181 AD DS Guía de Diseño, 4, 138 Add-VMHardDiskDrive cmdlet, 329 Add-VMNetworkAdapter cmdlet, 334 Add-VMStoragePath cmdlet, 357 Add-WindowsFeature cmdlet, 118 -IncludeAllSubFeature Parámetro, 133 ADK (Evaluación de Windows y Deployment Kit) para Windows 8, 52 componentes, la elección, el 55 instalación, 55 archivos .adm, 472 el alcance del administrador de la autoridad, el formato 135 LMDP, 472 Formato ADMX, 472
580
mejores prácticas
Ladprep .exe, 5, 145, 148-150, 180-181 integración con AD DS, 5 requisitos para, 149 extensión de esquema, verificación, 163-168 sintaxis, 149, 163 Adprep / forestprep, 149 AD Papelera de reciclaje permitiendo, 221, 222 permitiendo con ADAC, 195, 198-201 permitiendo con Windows PowerShell, 200, 207 funcionalidad, 198 utilizando, 200-201 acciones avanzadas SMB, 389, 396, 427 alertas, 86-87 configurar, 98 alertas de eventos, 100-101 gestión, 127-128 alertas de rendimiento, 104 alertas de servicio, 102 Todo página Servidores (Administrador de servidores), 88 a 90, 107, 130 todos los servidores baldosa (Administrador de servidores), 86 AMD NX bits, 293 AMD Virtualization (AMD-V) tecnologías, la protección anti-replay 293, 544 anycast direcciones IPv6, 265 APIPA (Automatic Private IP Addressing), 266 Application Compatibility Toolkit (ACT). Ver ACT (Application Compatibility Toolkit) particiones de aplicación, eliminar, 161 aplicaciones, importación, 60 aplicaciones compartidos SMB, 389, 396, 427 AppLocker, 480, 481 Armstrong, Ben, 310, 346 ARP Spoofing, 332-333 evaluación de la preparación para la migración, 12, 19-29 con Application Compatibility Toolkit, 28 manual, 19-22 con MAP Toolkit, 22-27 con System Center Configuration Manager, 27-28 con productos de terceros, 28 con catálogo de Windows Server, 2122 directiva de auditoría de almacenamiento extraíble, 479-480 negación autenticada de la existencia, 236 Jurada IP (AuthIP), 545 autenticación, 234 omisión autenticada, 562-565 Desafío Handshake Authentication Protocol (CHAP), 407, 428
basada en notificaciones, 196 origen de datos, 544 primero, 546, 554 Métodos IPsec, 546-547, 576 La configuración de IPsec, 552 de negociación de los métodos, 545 de las conexiones de red, 543 Autenticación remota telefónica de usuario (RADIUS), 412, 428 requisitos, configuración, 557, 560, 570, 577 segundo, 546-547 reglas de seguridad de conexión exención de autenticación, 555, 577 crear, 558 Encabezado de autenticación (AH), 544 servidores autorizados, 238 autoridad alcance administrador, 135 de los datos, lo que confirma, delegación de 236, 135 autoconfiguración de direcciones, 268, 280281 estado, 274 apátrida, 273, 290 Automatic Private IP Addressing (APIPA), 266 de automatización del proceso de implementación, 61-62 de despliegue del controlador de dominio, 135, 164 a 175 de la administración de servidores, 119-125 de las tareas operativas de gestión de servidores, 83 disponibilidad de hosts de Hyper-V, 300301 del sistema de almacenamiento, 371-372
B trabajos en segundo plano, 119 a 120, 125 gestión, 133-134 programación, 120-121 -GPO de copia de seguridad cmdlet, 491-493 copias de seguridad de GPO, 487, 491-493, 512 de hosts Hyper-V, 302-303 gestión, 69, 71, 344 a 345 de ancho de banda, 354355 mejores prácticas para la migración de la infraestructura, 10-17 para los
despliegues de
nuevos bosques, 138-139
581
580
Best Practices Analyzer (BPA)
Best Practices Analyzer (BPA), 87 controladores de dominio, de exploración, 158, 173 binarios ausente, 42-43 instalado, 42-43 eliminación, 38, 78 de funciones y características, 108-109 fuente, especificando, 116 UNC ruta de acceso a, 113 Windows Update, la descarga de, 108, 116, 118, 133 BIOS, la compatibilidad con el sistema operativo desplegado, 62, 66, 80 almacenamiento en bloque. Ver también el intercambio de almacenamiento iSCSI, 397 discos de arranque, 375 medio de arranque, 63 preparar, 65, 80 la seguridad del proceso de arranque, 518 filtros en tiempo de arranque, 518 BPAResultados de miniaturas (Administrador de servidores), 87 BranchCache, 388, 389 Sucursal de impresión directa, 443 pan rallado, 84 construir laboratorios, 37, 48 automatización, 63 componentes, 48-50, 53 preparar, 47-53 la creación de, 48-50, 53 la creación de cuentas de usuario a granel, 210 a 211, 216
C Los servidores DNS de sólo caché, 283-285 comparte caché, 388 creación almacén central, 472 funcionalidad, verificando, 475 certificados, 546-547 Desafío Handshake Authentication Protocol (CHAP), 407, 428 gestión del cambio, 27-28 notificación de cambio, lo que permite, 214 CHAP (Protocolo de autenticación por desafío mutuo), 407, 428 Checkpoint-VM cmdlet, 349 dominios secundarios, 141-142, 171
CIA tríada (Confidencialidad, Integridad y Disponibilidad), 236 autenticación basada en reclamaciones, 196 Cmdlet, 256, 284 Cliente para NFS, 388 Clear-DnsServerCache extensiones de cliente (CSE), 493la computación en nube, 8 modelos de servicio, 8-9 controladores de dominio virtualizados, 144 volumen compartido de clúster (CSV) de almacenamiento compartido, 295 Comparar-VM cmdlet, 324 certificados de equipo, 546 certificados de salud de ordenador, 547 Administración de equipos, en 425 ordenadores autenticación, eximiendo de, 555, 558, 577 aislamiento, 555-558, 577 de modo principal conjuntos criptográficos, de visión, 554, 573 confidencialidad de datos, 236 de carga IP, 544 configuración Políticas de directiva de grupo y, 468 Gestión, 27-28 Configurar conmutación por error Asistente, 230 Comando Configure-SMRemoting, 91-92, 94 seguridad de conexión, 543-548 conexión de las normas de seguridad, 526, 543, 555569, 573 reglas de autenticación de exención, 555, 558, 577 opciones de autenticación, 570 configurar con Windows PowerShell, 561-562 reglas personalizadas, 556, 561, 570, 577 permitiendo, 558 reglas de aislamiento, 555-558, 561, 577 de servidor a servidor de reglas, 556, 559, 570, 577 reglas de túnel, 556, 559-560 tipos,555-556 Registro operativo ConnectionSecurityVerbose, 569 Connect-IscsiTarget cmdlet, 416 Cmdlet, 122, 134 ConnectPSSession Conectar a Target cuadro de diálogo, 414 Extensiones Configuración Panel de control para las preferencias de directiva de grupo, 495, 506-
507 ConvertFrom-SecureString cmdlet, 223 ConvertTo-SecureString cmdlet, 223 Parámetro -Force, 223
582
Cmdlet Convert-VHD, 347 Crear Organizacional página de propiedades de la unidad, 190-191
Servidores DHCP
Cuadro de diálogo Crear grupo de servidores, 96 Crear página de propiedades del usuario, 193-194 (CSE extensiones de cliente), 493 Formato CSV, 211, 222 reglas de conexión personalizada de seguridad, 556, 570, 577 crear, 561 personalizados reglas de firewall, 529, 542, 576 crear, 532-534 personalizaciones, por usuario vs. máquina per-, 48, 50 Archivo CustomSettings.ini, 64 edición, 63
D DAC (Dynamic Access Control), 6, 195196 DAS (Direct Attached Storage), 361 para Hyper-V hosts, el archivo de datos 297, 368 los centros de datos tradicionales, 8 virtualizar, 8 cifrado de datos. Ver cifrado Prevención de ejecución de datos (DEP), integridad de datos 293, 544, 547-548, 576 algoritmos, protección de datos 547-548 302-303, la configuración de IPsec basados en cinta basada en disco y, 551 dcpromo .exe, 135. Ver también la configuración de AD DS Wizard (Dcpromo .exe) Predeterminado de directiva de grupo Directiva de dominio objeto (GPO), 202, 203 reglas de firewall por defecto, 527 Delegación Firmante (DS) registros de recursos, 238 estado del objeto eliminado, 198-199, 221 DEP (Data Execution Prevention), 293 despliegue iniciada sistema operativo cliente, 70 de los controladores de dominio, 135-181 greenfield, 4, 34 de hosts Hyper-V, 292-316 multidifusión, 69
fuera de línea, 70 de servidores de impresión, 432-435 de servidores, 37-82 de espacios de almacenamiento, 362-376 desatendida, 70, 71
de las máquinas virtuales, la infraestructura 316-338 despliegue establecer, 67-68 Servicios de implementación de Windows en, 68 acciones de implementación aplicaciones, importación, 60 archivos de configuración, 61 crear, 56-57 controladores de dispositivos, importadores, 5859 vinculado, 69, 80 Nodo Supervisión, 57 paquetes, importación, 60 actualización, 63, 66, 80 Deployment Workbench, 57 Acciones de implementación vinculados cuentan, los archivos de origen del sistema 69 operativos, importación, 57-58 carpeta Out-of-Box Drivers, 59 Experiencia de escritorio, 41 servidores de destino, 14 Herramientas
de migración, instalación, 15-16 controladores de dispositivos informes disponibilidad, 69, 71 hallazgo, 59 importación, 58-59 Disponibilidad DHCP. Ver también asegurar DHCP conmutación por error, 226-234 los enfoques anteriores, 226-227, 233 Consola DHCP, 231 DHCP (Dynamic Host Configuration Protocol), 226 configuración automática de direcciones con estado, 274 de conmutación por error de DHCP, 7, 227-229, 233, 286 el modo de espera en caliente, 228, 233-234, 286-287 implementar, 229-231 limitaciones de, 227 modo, 228, 233, 283, 286 de la carga compartida gestión, 231-232 Windows PowerShell, la configuración con, 231, 282-283 DHCP Guardia, 333, 338, 358 Paquetes DHCP, 227 Agentes de retransmisión DHCP, 227, 228 función de servidor DHCP, 225 Instalación, 282 servidores DHCP Active Directory, se autoriza en, 229, 282 direcciones, la adquisición de, 283 disponibilidad, 226-234 en el laboratorio de construcción, 49
583
Servidores DHCP (continuación)
Servidores DHCP (continuación) solicitudes de renovación de contrato de arrendamiento, la gestión de 226, 253-255 alcances, configuración, 229230 alcances, de visión, 254 subredes, localizando en, 227 DHCPv6, 274 software de cliente, 274 Servidores DHCPv6, 280, 290 configurar, 274-276 diferenciación discos duros virtuales, 321 fusión, 346 reconexión, 346 Diffie-Hellman Group 1 (Grupo DH 1), 545 Diffie-Hellman Group 2 (Grupo DH 2), 546, 555 Diffie-Hellman Grupo 14 (Grupo DH 14), 546, 570 Diffie-Hellman Grupo 24 (Grupo DH 24), 546 DirectAccess, 12 Almacenamiento adjunto directo (DAS), 297, 361 objetos de directorio crear, cmdlets para, 212 eliminar, restaurar, 200-201 estados, 198-199, 201, 207 Servicios de directorio Modo (DSRM), cuenta de administrador 169, 153 Restaurar DisabledComponents valor del registro, 262-263 Disable-NetAdapterBinding cmdlet, 253, 257, 288 Desactivar-NetAdapter cmdlet, 253, 288 de recuperación de desastres de los ejércitos de Hyper-V, 302-304 sesiones desconectadas, 121-123 Cmdlet Desconecte-PSSession, 134 cuadro de diálogo Descubra Portal Target, 412-413 complemento Administración de discos en, 365, 376, 425 DiskPart, 365, 376, 425 DiskRAID, 365, 376, 425 Diskshadow .exe, 303 Replicación del sistema de archivos distribuido, 69 Distribuido servicio Scan Server papel, 433 DNS64, 277 Envenenamiento de caché DNS, 236 Delegación, 142, 153, 155, 160 DNS, 179 DNS (Domain Name System) las tareas de administración, cmdlets para, 256 consultas, 95 DNS de clave pública (DNSKEY) registros de
recursos, 238, 243 registros de recursos DNS y agrega: 255-256 eliminación, 256
DNSSEC (DNS Security Extensions), 234 a 243, 288 beneficios, 235-236 despliegue, 239-243 funcionalidad, 237-239 gestión de claves, 240-241 versiones anteriores, 237 registros de recursos, 238 seguridad entre los clientes DNS y servidores DNS, 242-243, 288 validación de paso, 238-239, 243, memoria caché del servidor DNS 287 claro, 284 contenidos, mostrando, 284 DNS papel, 138, 146, 147, 152, 225 Servidor instalación, 141, 283 eliminación, 159-161 servidores DNS el almacenamiento en caché de sólo configuración, 283-285 forwarders, 285 gestión, 255-256 zonas, ver, 255 DnsserverMódulo de Windows PowerShell, 256 zonas DNS. Ver también zonas eliminación, 160 firma, 239 Administradores de dominio del grupo de seguridad, 142 a 144 controladores de dominio
584
Papel de Active Directory Domain Services, 150. Ver también el papel de Active Directory Domain Services adicional, 142, 145, 154-156, 167, 170-171, 177-178 Mejores Prácticas exploraciones Analyzer, 158, 173 servidores dedicados, 138 degradar, 159-161, 174 despliegue, 135-181 despliegue, las credenciales para, 144 implementación en los bosques existentes, 144146, 148-149, 156-157, 163, 167 el despliegue en nuevos bosques, 139-144, 148, 152-156, 162-166, 168-169 despliegue, Virtualización, 135 implementación con el Administrador de servidores, 147-163 despliegue con Windows PowerShell, las opciones de delegación DNS 164-175, 153. Ver también DNS delegación Servidores DNS, 141, 147, 152 por primera vez en los nuevos dominios, 141142, 154-156 por primera vez en nuevos bosques, 140-141, 164-166
Eventos en miniatura (Administrador de servidores)
controladores de dominio (continuación) flexibles individuales funciones de maestro de operaciones, 145 eliminación de forzar, 162 raíz del bosque, 137 servidores de catálogo global, 142, 147, 153 instalación, verificación, 157-159, 172173 Instale opción Media (IFM) De, 155156 maestros clave, 240 perfil, 214 se mueve entre sitios, 215 número de, 138, 146 efectos de, 137 de sólo lectura, 137, 143, 171, 179 en los sitios remotos, 139 asociados de replicación, 155 seleccionar, 195 Carpeta SYSVOL, 472 actualización, 144-146 fase de validación, 141 virtualizado, 137, 143-144 Windows Server 2012, 7 escritura, 138, 179 perfiles de firewall de dominio, 521, niveles funcionales de dominio, 35 542 de políticas de contraseñas de grano fino, 204 fondos, 6, 195 especificando, 140, 147, 152, 179 Sistema de nombres de dominio (DNS). Ver DNS (Domain Name System); Rol de servidor DNS ubicación de red de dominio, 519 dominios, 135 políticas de bloqueo de cuentas, 202 controladores de dominio adicionales, instalar, 170-171 almacén central, creando, 472 niño, 141-142 crear, 221 primer controlador de dominio, despliegue, 141-142, 154-156 bosques, la eliminación de, 160 GPO, que une a, 484 instalación, 171 controlador último dominio, degradar, 160161 número de, 139 políticas de contraseñas, 202 seleccionar, 195 sitios, perfil, 214 Carpeta de GPO de inicio, 473
árbol, 141-142 fideicomisos, 221 impulsar mapas, 501-503 incompatibilidades de controladores, 59 Dsquery .exe, 150, 163 Control Dinámico de acceso (DAC), 6 configurar, 195-196 expansión dinámica discos duros virtuales, 320, 338 encogimiento, 345 discos dinámicos y espacios de almacenamiento, 365 Dynamic Host Configuration Protocol (DHCP), 226, 274. Ver disponibilidad también DHCP; Conmutación por error de DHCP; Función de servidor DHCP Dynamic Memory, 340 configuración, 340-342, 354
E Curva Elíptica Diffie-Hellman P-256, 546 Curva Elíptica Diffie-Hellman P-384, 546 Enable-ADOptionalFeature cmdlet, 200, 207, 222 Enable-NetAdapter cmdlet, 253 Enable-VMResourceMetering cmdlet, 350 de seguridad de encapsulación Protocolo (ESP), 544 de encapsulación, 544 cifrado, 70, 543, 576 algoritmos, 548 La configuración de IPsec, 551 algoritmos de intercambio de claves, 545-546 negociar dinámicamente, 564 requiriendo, 563 para el acceso compartido de archivos, 389 Mejorado Apuntar e imprimir, 447 Empresa grupo de seguridad Administradores, 141, 144 Cliente (CE) entornos empresariales, 473 implementación en la empresa, 37 variables de entorno en la directiva de grupo los elementos de preferencias, 497-499 ESP (Encapsulating Protocolo de Seguridad), 544 interfaces Ethernet. Ver alertas interfaces de red de eventos, 100101 eventos alertas para, configurar, 100101 coleccionismo, 98-101 para los nuevos controladores de dominio, 157 visualización de
información sobre, 99-100, 101
Eventos en miniatura (Administrador de servidores), 86, 101
585
Evento Firewall de Windows con el Visor de registro de operaciones de seguridad avanzada
Evento Firewall de Windows Viewer con registro operativo de seguridad avanzada, 525 ejecutables, reglas de cortafuegos para, 532 Execute Disable bits, 293 bosques existentes controlador de dominio en el despliegue, 139, 144146, 148-149, 156-157, 163, 167 Export-SmigServerSetting cmdlet, 35 switches virtuales externos, 295-296
F conmutación por error. Ver DHCP de conmutación por error Función de conmutación por error, 226, 286 para Hyper-V hosts, 301 con espacios de almacenamiento, 369, 371-372, 376, 426 clústeres de conmutación por error, 295 La tolerancia a fallos, 138 binarios característica la obtención, 42 eliminación, 45, 78-79 de lado a lado de la tienda, 42, 78 estados de, 42-43 Características On Demand, 38, 43, 108 características, servidor instalación, 108-118, 126-127 instalar en varios computadores, 115-116 instalar con el Administrador de servidores, 110-118, 126127 instalar con Windows PowerShell, 114-116, 126-127 perfil, 114-115, 132 requisitos previos para, 108-110 eliminación, 116-117, 132 Fibre Channel, 321-322, 397 para el almacenamiento compartido, 373 Archivo Servicios de almacenamiento, la integración en el Administrador de servidores, 90 Archivo Y la página Storage Services (Administrador de servidores), 89, 400 Discos subpágina, 394, 417 subpágina iSCSI, 401-402, 407-408 Acciones subpágina, 395 Agrupaciones de almacenamiento subpágina, 393,
420 Volúmenes subpágina, 394-395 Archivo Y función Servicios de almacenamiento, 300 Función Servicios de almacenamiento, 374 clústeres de servidores de archivos, 373
Archivo de recursos del Administrador de servidores, 389 Servicio de función de servidor de archivos, instalar, 373-375, 420 servidores de archivos estado de salud, visión, gestión 396, 8990 reservas, y agrega: 254 scale-out, 298 Espacios de almacenamiento. Ver espacios de almacenamiento recursos compartidos de archivos. Ver también accionesaprovisionamiento, 387-392 filtración filtros en tiempo de arranque, 518 filtrado de GPO de seguridad, 485 Windows Management Instrumentation (WMI) GPO filtrado, 485-486 de grano fino políticas de contraseñas asignar, 222 configuración, 195, 202-206, 221 creación, 204-205, 222 nivel funcional de dominio y, 204 políticas de retorno, 203, 207, 222 Implementación, 203, 207 gestión con Windows PowerShell, 205 valores de precedencia, 202 valores de preferencia, 203, 207, 222
586
Ver resultados, 205-206, 221 puertos de firewall, apertura, 488, 490, 536 perfiles de firewall, 542 configurar, 522-524 configurar con Windows PowerShell, 525-526 reglas de firewall para, 527. Ver reglas también firewall registro, configuración, 524-525 gestión, 519-526 estado, visualización, 521, 575 tipos, 521, 542 reglas de firewall, 526-541 omisión autenticada, 562-565 reglas de bloqueo, de primer orden, 564 configuración, 571572 configuración con directiva de grupo, 539-541 configuración con Windows PowerShell, 540-541 conflictos, 571-572 crear, 529 creando con Windows PowerShell, 535 personalizados reglas de firewall, 529, 532-534, 542, 576 De forma predeterminada, 527, 534, 571 permitiendo, 530 filtrado por el perfil, estado, grupo, 537
Get-NetIPsecPhase1AuthSet cmdlet
reglas de firewall (continuación) Directiva de grupo, refrescante, 536-537 IPsec y, 562-565 gestión, 537-538 orden de procesamiento, 527, 542, 576 reglas de puerto, 529, 531, 576 reglas predefinidas, 529, 531-532, 576 las reglas del programa, 529, 530, 542, 576 grupos de reglas, 528 estática, 535 tipos, 526-527, 529 visualización, 537-538 cortafuegos. Ver también el Firewall de Windows con seguridad avanzada basado en host, 516 estado, 516-517 registro FirewallVerbose operativa, 525 de aprovisionamiento fija, 365, 426 discos de tamaño fijo duros virtuales, 320, 338, 347, 357 expansión, 345 operaciones de maestro único flexible (FSMO), 145 Uso de carpetas, 389 niveles funcionales de bosque, 34 de Papelera de reciclaje AD, 199 fondos, 6, 195, 221, 222 retroceder, 200 especificando, 140, 147, 179 la recuperación del bosque, 5 controladores de dominio raíz del bosque, 137, 141 Nombre NetBIOS, 153 requisitos previos para, 137 promover, 169-170 bosques, 135 diseño, 139, 146 dominios, instalación, 171 dominios, quitar, 160 instalación, 169 nueva, 137-138. Ver también nuevos bosques esquema de bosque, la actualización, 5 mejoras forestales, 5-6 la preparación, 5 Windows Server 2012 mejoras y, 18 Cmdlet Format-List, 307 Cmdlet, 387 foros de Windows Server, 17 instalaciones completas, 39,
78 Formato-volumen nombre de dominio completo (FQDN) dominio, 140, 147, 179 cambios de nivel funcional, 6-7 raíz
G Identificador GenerationID, 144 Cmdlet GetADComputer, 491 GetADDomainController cmdlet, 214, 215 Get-ADReplicationSite cmdlet, 214 GetADReplicationSiteLink cmdlet, 215 Get-ADUser cmdlet, 208, 222 Cmdlet GetADUserResultantPasswordPoli cy, 206 Get-BPAResult cmdlet, 172-173 Get-ChildItem cmdlet, 491 Get-Command cmdlet, 167, 212, 217, 223 cmdlets, buscar, 245-246 * Opció n* dhcp, 255 -Módulo De comando s, 400 Get-DhcpServerInDC
cmdlet, 282 Get-DhcpServerv4Failover cmdlet, 283 Get-DhcpServerv4Lease cmdlet, 283 Get-DhcpServerv4Scope cmdlet, 254, 282, 283 Get-disco cmdlet, 384, 424 Cmdlet Get-dnsserver, 256 Cmdlet Get-DnsServerForwarder, 285 Get-DnsServerResourceRecord cmdlet, 255 cmdlet Where-Object, tuberías en, 255 Get-DnsServerRootHint cmdlet, 284 Get-DnsServerStatistics cmdlet, 256 Cmdlet Get-DnsServerZone, 255 Cmdlet Get-ExecutionPolicy, 218 Cmdlet, 17, 123-124, 217, 223 Get-Help sintaxis, 246-247 Get-IscsiConnection cmdlet, 415, 429 Get-IscsiServerTarget cmdlet, 409, 429 Get-IscsiSession cmdlet, 415 Get-IscsiTarget cmdlet, 416, 429 Get-IscsiVirtualDisk cmdlet, 408 Cmdlet Get-Item, 166 Get-Job cmdlet, 119-120 Get-NetAdapterBinding cmdlet, 253, 288 Get-NetAdapter cmdlet, 252, 270 Get-NetFirewallProfile cmdlet, 525, 538, 540, 542, 575 Cmdlet Get-NetFirewallRule, 535, 538, 540 Get-NetIPAddress cmdlet, 270, 281, 289 Parámetro -AddressFamily, 271-272 -InterfaceAlias Parámetro, 249-250 Get-NetIPInterface cmdlet, 277 Get-NetIPsecMainModeCryptoSet cmdlet, 554 Get-NetIPsecMainModeSA cmdlet, 567 Get-NetIPsecPhase1AuthSet cmdlet, 554
587
Get-NetIPsecQuickModeSA cmdlet
Get-NetIPsecQuickModeSA cmdlet, 567-569 Get-NetIPsecRule cmdlet, 562 Get-DiscoFísico cmdlet, 380, 423, 427 Get-PrintConfiguration cmdlet, 456, 462 Get-impresora cmdlet, 451, 457, 462, 463 Get-PrintJob cmdlet, tuberías de, 452 Get-PrinterConfiguration cmdlet, 452-454 Get-PrinterDriver cmdlet, 454 Get-puerto de impresora cmdlet, 454, 456 Get-PrinterProperty cmdlet, 453, 462 Get-PrintJob cmdlet, 452 Cmdlet Where-Object, tubería para, 454 Get-PSSession cmdlet, 123 salida, tuberías, 123 Cmdlet Get-ScheduledJob, 133 Get-SmbShare cmdlet, 392 Get-SmigServerFeature cmdlet, 35 Get-StarterGPO cmdlet, 489, 512 Get-StoragePool cmdlet, 379-381, 427 Get-StorageSubsystem cmdlet, 380, 396, 427 Get-VHD cmdlet, 329, 330 Get-virtualDisk cmdlet, 427 Get-VM cmdlet, 327-328, 342 Get-VMHardDiskDrive cmdlet, 330 Get-VMHost cmdlet, 307-308, 357 Get-VMNetworkAdapter cmdlet, 334 Get-VMSnapshot cmdlet, 349 Get-VMSwitch cmdlet, 308 Cmdlet Get-Volumen, 386 Get-WindowsFeature cmdlet, 19, 35, 114 a 115, 117, 166, 374 parámetro -name, 114 salida de la tubería, 132 Filtro Where-Object, 114 servidores de catálogo global, 142, 147, 153 direcciones unicast globales, 265-266 asignar, 271 GPO (Objetos de directiva de grupo) los archivos de plantillas administrativas, 472 copias de seguridad, 487, 491-493, 512 crear, 483-484, 490, 492, 510 la desactivación de los ajustes de dominio, 483, 468, 470 herencia, 470, 511 linking, 474-475, 484-485, 489-490, 492, 512 local 468 fuera del ámbito de aplicación, 468
políticas y preferencias, 467, 483. Véase también las preferencias de directiva de grupo; políticas, la directiva de grupo precedencia, 470 preferencias, configuración 494. Véase también las preferencias de directiva de grupo impresoras, asociarse con, 446447 restaurar, 487, 491-492 filtrado de seguridad, 485 GPO de inicio, 473-475, 489, 509-510 estado, visualización, 482 Windows Management Instrumentation (WMI) filtrado, 485-486 Discos GPT, 384, 387 Gpactualización .exe, 475, 490 despliegues greenfield, 4, 34 Directiva de grupo, 465-514 Diseño de Active Directory y, 469-472 AppLocker, 480 políticas de auditoría, 479-480 binarios configuración de la ruta, 109, 113, 133 almacén central, 472 delegación de la administración, 470-471, 488, 511 reglas de firewall, configurar, 539-541 GPO, la creación y la vinculación, 489-490. Véase también (Objetos de directiva de grupo) GPO ejecución, planificación, 466-476 estado de la infraestructura, la visualización, 482 IPv6 configuración de tecnologías de transición, 279, 470, manejabilidad 471 valores gestionados, 467 gestión, 482-487 gestionar con Windows PowerShell, la jerarquía 489-493 OU, diseño, 470-471, 488, 509, 511 vs políticas. preferencias, 467-469. Ver también Grupo Preferencias políticas; políticas, la directiva de grupo refrescante remotamente, 475-477, 488, 490491, 509-511, 536-537 Configuración de opciones de seguridad, la configuración de seguridad 478, 476-481 Políticas de restricción de software (SRP) ajustes, 481 ajustes no administrados, 467 Control de cuentas de usuario (UAC) de ajustes, ajustes de Asignación de derechos de usuario 479, 477 a 478 de Firewall de Windows con seguridad avanzada políticas, 481 Windows Server 2012 mejoras, 465
588
Hyper-V hosts
Grupo Policy Management Console nodo, 488, 512 Nodo de dominio, 512 Nodo Bosque, 512 Objetos de directiva de grupo de nodos, 474 Conjunto resultante de directivas (RSoP) información, recolección, 536 nodo de dominio raíz, 512 ficha Estado, 482 Editor de administración de directivas de grupo Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad, 476-477 Políticas de GPO y preferencias, configurar, 483 preferencias de directiva de grupo, configuración, 494 elementos de preferencias, configuración, 501-504 elementos de preferencias, administrar 505 Configuración de usuario \ Directivas \ Configuración de Windows \ Configuración de seguridad, 476-477 Objetos de directiva de grupo (GPO). Ver (Objetos de directiva de grupo) GPO Planificación de directiva de grupo y despliegue, 466 preferencias de directiva de grupo, 483, 493-508, 508 aplican una sola vez, 497 categorías, 494-495 Ficha Común de la hoja de propiedades, 496497, 502, 503, 508 configuración, 495-496, 508, 513 Extensiones Configuración Panel de control, 495, 506-507 en los GPO de dominio, 494, 513 variables de entorno como, 497499 extensiones, 494, 506, 513 Ficha General de las propiedades de la hoja, 495, 501 Orientación, 486, 497, 500-501, 503-505 ArtículoNivel vs . políticas, 467-469 elementos de preferencias, configuración 501-504 elementos de preferencias, crear, 495, 513 elementos de preferencias, borrar, 495 elementos de preferencias, gestión, 505 elementos de preferencias, en sustitución de, 495, 513 artículos de preferencia, actualización, 495 opciones de preferencia, 496-497 prioridad de, 495, 513 procesamiento, detención, 497
eliminación, 497, 514 alcance, 486, 500, 514 contexto de seguridad, 497, 514 focalización, artículos 500 a 501, 508, 513 Extensiones Configuración de Windows, 494, 506
Directiva de grupo a distancia Puertos Actualización Firewall GPO, 536 de directiva de grupo a distancia Puertos Actualización Firewall Starter GPO, 512 Directiva de grupo Firewall Reporting Puertos GPO, 536 de directiva de grupo de referencia de configuración para Windows y Página Windows Server, 469, 484 grupos crear, 221 de grano fino políticas de contraseñas, sistemas operativos 202-203 invitados, que despliegan, 322
H RAID hardware, espacios de almacenamiento y, 370 Holmes, Lee, 124 host-base cortafuegos , 516 hosts. Véase también hosts Hyper-V IPv6, 258 ISATAP,278
descubrimiento de enrutadores, 273 servidores DHCP de espera activa, 226-228, 286-287 HTTPS (HTTP seguro), 235 topología, 228, 234, 286, 304 Hyper-V huband-spoke IaaS con, 9 función de medición de recursos, función 350 Inteligente de paginación, 336 actualizar para la actualización a Windows Server 2012, ordenadores 2 Hyper-V, 292-316 disponibilidad, 300-301 copias de seguridad, 302-303 en el laboratorio de construcción, 48-49 configuración, 307-314, 357 despliegue, planificación, 292-304 la planificación de recuperación de desastres, 302-304 controladores de dominio en, 143-144 Archivo y papel Servicios de almacenamiento, 300 requisitos de hardware, 293-295 Hyper-V, lo que permite la reproducción, 314 migraciones en vivo, lo que permite, 314 soluciones de gestión, 298-300, 315-316 de control de acceso al medio (MAC) rango de direcciones, configurar, 313 memoria, reservado, 343 movilidad, 301-302 adaptadores de red, 295 conectividad de red, 313
589
Hyper-V anfitriones (continuación)
Hyper-V anfitriones (continuación) Spanning NUMA, permitiendo, 314 procesadores, planificación, 294 Escritorio remoto, lo que permite en, 316 escalabilidad, 300 seguridad, 300 SMB 3 0.0 de almacenamiento compartido, 301, 303 migraciones de almacenamiento, configurar las opciones de almacenamiento 314, 297-298, 304, 316 rendimiento de almacenamiento, 321 máquinas virtuales, el número de 340, Windows Server 2012 ediciones, 294, 315, 356 Hyper-V, 298, 315-316 Memoria dinámica, la configuración, 340-341 Hyper-V hosts, configurar 307 instantáneas, gestión, 349 discos, optimización, 347 ajustes duros virtuales virtuales de gestión de la máquina, configurar, 335 máquinas virtuales, configurar, 326 máquinas virtuales, creando, 324 máquinas virtuales, importadores, 325 máquinas virtuales, seguimiento, 350 interruptores virtuales, creando, 311-314 Calidad de Hyper-V de servicio (QoS HyperV), 344 Hyper-V Replica, 303-304 permitiendo, 314 Función de servidor Hyper-V, 291 configurar, 353 instalación, 304-306, 353 Cuadro de diálogo de Hyper-V Configuración, 307-314 Virtualización, 8, 291-359 Hyper-V. Ver también hosts Hyper-V; máquinas virtuales planes de copia de seguridad, 302 anfitriones, implementación y configuración, 292-316 función de servidor Hyper-V, la instalación, 304-306, 353 creación de redes, 295-297 máquinas virtuales, configurar e implementar, 316-338 máquinas virtuales, gestión, 339-352 switches virtuales, 295-296 redes inalámbricas y, 320
YO IaaS (Infraestructura como Servicio), 9 IETF (Internet Engineering Task Force), 236
IKE (Internet Key Exchange), gestión del ciclo de vida de la imagen 545, 47-48 Import-CSV cmdlet, 216, 222 Cmdlet Import-DnsServerRootHint, Asistente de importación 256 conductores, 58 importar máquinas virtuales, 323-326 Importación Wizard Sistema Operativo, 58 cmdlet Import-SmigServerSetting, 35 Importación-VM cmdlet, 325 reglas de firewall entrantes, 526-527 seguridad de la información de la CIA tríada (Confidencialidad, Integridad, y disponibilidad), 236 infraestructura. Ver también la infraestructura de despliegue de infraestructura de virtualización, 67-68 evolución de, 4 Infraestructura como Servicio (IaaS), la migración 9 infraestructura, 1, 10-17 fase de evaluación, 12, 19-29 mejoras forestales, 5-6 despliegues greenfield, 4 escenarios híbridos, 3 entornos mixtos, 6-7 pruebas piloto, 11 soluciones de nube privada, 8-10 soluciones de nube pública, 10
590
escenarios, 3-10 servidor consolidación, 7-8 servidor migración, 12-17 servidor papel y la función de migración, cmdlet 14-15 Inicializar-Disco, 384 Parámetro -PartitionStyle, 384 en el lugar actualizaciones, 13, 144, 145, 149 realizar, 32-33 Install-ADDSDomain cmdlet, 171 Install-ADDSDomainController cmdlet, 170-171 Parámetro -Credential, 171 Parámetro -ReadOnlyReplica, 171 Install-ADDSForest cmdlet, 169 instalación Active Directory Domain Services papel, 150-151, 163, 169 ADK para Windows 8, el papel 55 Servidor DHCP, servidor DNS papel 282, 141, 283 los controladores de dominio, 170171 los controladores de dominio, verificación, 157-159, 172-173 Servicio de función de servidor de archivos, 373 a 375, 420 Función de Hyper-V, 304-306, 353
IPsec
Instalación (continuación) iSCSI Target Server, 401403MDT 2012 Update 1, 56 Herramientas de migración, 15-16 impresoras de red, 455-456 opciones para la implementación del servidor, 38-46 Imprimir Y función Document Services, 436 Impresión y documentos Herramientas, 434-435, 447 controladores de impresora, 441, 449, 455 impresoras, 455-457 Servicio de rol Servidor de impresión, desde 432 hasta 433 funciones y características del servidor, 108-118 binarios de instalación. Ver también la eliminación de los binarios, 38 opciones de instalación para servidores, 38-46 elegir, 39 la conversión entre, 41-45 huella de disco, 46, 78 Instalaciones completas, 39, 78 Servidor Mínimo Interface, 40. Véase también instalaciones de interfaz de servidor mínima ServidorCore, 39, 40. Véase también instalaciones Server Core ServidorCon una interfaz gráfica de usuario, 39. Véase también servidor con una instalación de GUI binarios instalados, 42-43 eliminación, 78 Instalar desde la opción por los controladores de dominio de Medios (IFM), 155-156 Install-WindowsFeature cmdlet, 42, 45, 114 a 115, 118, 283, 353, 375 -IncludeManagementTools Parámetro, 115, 353 -Nombre AD-DomainServicios -IncludeManagementTools, 169 -Reanudarparámetro, 115-116, 353 Parámetro Server-Gui-mgmt-Infra-Restart, 43 Servidor-Gui-mgmt-Infra, Servidor-Gui-Shell Restart parámetro, 43 Parámetro -Fuente, 43-44, 46, 79 -WhatIf Parámetro, 305-306 Integration Services, 336 comprobación de integridad, 234
integridad de los datos, 236, 547-548, 576 Intel Virtualization Technology (Intel® VT), poco 293 Intel XD, 293 Inicio de sesión interactivo: cuenta Máquina política umbral, 478 Inicio de sesión interactivo: Máquina política límite de inactividad, 478
interfaces, 259. Ver también las interfaces de red switches virtuales internos, 295 El tráfico de Internet Control Message Protocol (ICMP), 549 Internet Engineering Task Force (IETF), 236 Internet Key Exchange (IKE), 545 Internet Key Exchange versión 2 (IKEv2), 545 Protocolo de impresión de Internet (IPP), 433, 447 Servicio de rol Impresión en Internet, 433, 435 Protocolo de Internet versión 6 (IPv6), 258-281 Protocolo de Internet versión 6 (IPv6 TCP /) de diálogo Propiedades caja, 268, 272 Internet Small Computer Interface System (iSCSI), 295, 397. Ver también el almacenamiento iSCSI Nombre de almacenamiento de Internet (iSNS) servidores, 412 "Introducción a Windows Server 2012" ebook, 1 Invoque-BPAModule cmdlet, 172 Invoke-Command cmdlet, 115116, 122, 168, 171 Parámetro ThrottleLimit, 116-117 Invoque-GPUpdate cmdlet, 490
Direcciones IP. Ver también Protocolo de Internet versión 6 (IPv6) reglas de firewall para, 534 suplantación de direcciones IP, el comando Ipconfig 235, 269 IPP (Internet Printing Protocol), 433, 447 IPsec, 242, 243, 428, 543 a 570 omisión autenticada, configuración, 562-565 Jurada IP (AuthIP), 545 Encabezado de autenticación (AH), 544 métodos de autenticación, 546-547, 552, 576-577 comunicaciones, vigilancia, 565-569 configurar, 548-555 configurar con Windows PowerShell, seguridad 553-555 de conexión, 543-548 reglas de seguridad de conexión, configuración, 555569, 573 cifrado de datos, 548, 576 configuración de cifrado de datos, 551, 555 integridad de los datos, 547548, 576 Ajustes de protección de datos, 551 configuración predeterminada, 549-552 Encapsular Protocolo de Seguridad (ESP), 544 de encapsulación, 544 reglas de firewall y, 562565 exenciones ICMP, 549 implementar, 573-574 Internet Key Exchange (IKE), 545 ajustes de intercambio de clave, 550-551, 555, 577 asociaciones de seguridad (SA), autorizaciones 544-545 túnel, 549, 553
591
IPsec (continuación)
IPsec (continuación) en los adaptadores de red virtuales, 332 Firewall de Windows con las normas de seguridad avanzada, 517 IPv6, 258-281 la asignación de direcciones, 267-276 direccionamiento, 263-267 la representación de direcciones, 264 espacio de direcciones, 263-264 estados de direcciones, 273 tipos de direcciones, 265-267 transmitido funcionalidad, 267 conceptos y la terminología, 258259 funcionalidad por defecto, 261 incapacitante, 262-263 notación de dos puntos dobles, 264 direcciones unicast globales, 265-266, 277-280 ISATAP link-direcciones locales, 266, 268 direcciones de bucle, 267 asignación de dirección manual, 268272 migrar a, 258 direcciones multicast, 267 prefijos, 264-265 configuración automática de direcciones con estado, 274 apátridas autoconfiguración de direcciones, 273 de apoyo, 12 TCP / IP protocolo de pila de red, 260 a 261 direcciones de transición, 267 tecnologías de transición, 276290 direcciones locales únicas, 266-267 en las plataformas Windows, 261 IPv6 sobre IPv4 túnel, 277 Tecnologías de la traducción del tráfico IPv4 IPv6-to-, 277 Ordenadores Windows, la configuración de, 279, 277-280 ISATAP direcciones, 277-278 despliegue, ámbito de aplicación, 280 componentes de la infraestructura, 278-279 ISATAP anfitriones, 278 ISATAProuters, 278, 280, 281, 290 ISATAP subredes, 278 Iniciador iSCSI, 398, 411-418 configurar, 411-412 permitiendo, 401 IQN, 412, 428 iSNS servidores y dispositivos de destino, 412 autenticación RADIUS, 412 objetivos, la conexión a, 414-416
objetivos, descubriendo, 412-414 objetivos, favorito, 412 volúmenes y dispositivos, visualización, 412 cuadro de diálogo Propiedades del iniciador iSCSI, 411-412 iSCSI Nombre Calificado (IQN), 399 de almacenamiento iSCSI, 397-419 beneficios, 397-398 conceptos y la terminología, 398399 conexiones, 399 en entornos heterogéneos, 400 servicio iniciador, 398, 406-407 IQN, 399, 410 Iniciador iSCSI, 411-418 iSCSI Target Server, la configuración, 401-410 ubicación, 397-398 herramientas de gestión, 400 sesiones, 399 objetivos, 398, 412-416, 429 servidores de destino, 398 usos, 398 discos virtuales, 398, 400 discos virtuales, creando, 403410 volúmenes, creando, 417418 objetivos iSCSI, 398 la conexión a, 414-416 descubrir, 412-414 IQN, 414 seguridad, 429 iSCSI Target Server, 398 configurar, 401-410 instalación, 401-403 papel de proveedores de almacenamiento de destino iSCSI, 402 ubicación de la instalación, 403 reglas de seguridad de conexión aislamiento, 555, 577 creación, 556-558, 561
J JBOD (sólo un montón de discos), 361, 370 puestos de trabajo fondo, 119-120 finalización, verificando, 119-120 programado, 120-121, 125, 128-129 estado, 120 disparadores, 134 Joergensen, Noel, 303
Jones, Don, 124 Sólo un montón de discos (JBOD) recintos, 361, 370 592
Microsoft ServidorY la página Cloud Platform
K Kerberos V5, 546 atajos de teclado en el Administrador de servidores, el 85 de intercambio de claves, 545, 577-578 algoritmos, 545-546, 555, 570 La configuración de IPsec, 550-551 gestión de claves, 240-241 maestros clave, 240 clave de la clave de firma (KSK), 240, 243
L LBFO (balanceo de carga y conmutación por error), 333 Aprenda Windows PowerShell en un mes de para llevar (Jones), 124 adaptadores heredados de red, 330-331 Legado Apuntar e imprimir, 447 licencias de Windows Server 2012, 20 gestión del ciclo de vida, 28 Line Printer Daemon (LPD) Servicio, a distancia de servicios 433-434 Line Printer (LPR), direcciones de 433-434 enlace locales, 266, 268 autoconfiguración, 273 identificadores de prefijo, 281, 289 identificadores de zona, 270 enlaces, 259 Instalación Touch Lite (LTI). Ver LTI despliegues (Lite Touch de instalación) LiteTouchPE_arch .iso, 63 LiteTouchPE_arch.wim, 63 migraciones en vivo, 295 permitiendo, 314 Windows Server 2012 mejoras, 301-302 Estado del objeto vivo, 198, 221 balanceo de carga y conmutación por error (LBFO), 333 Página Servidor local (Administrador de servidores), 87-88, 94 servidores locales. Ver también servidores capacidades de administración remota, 91 baldosas servidor local (Administrador de servidores), 86 de registro en Windows Firewall con Advanced Seguridad, 524525 interfaces lógicas, 259 direcciones de bucle, 267
LTI(instalación Lite Touch) despliegues, 67-69, 71, 81 monitoreo, 57
M de modo principal conjuntos criptográficos, 554, 573 Manejabilidad miniatura (Administrador de servidores), 86 ajustes administrados en la directiva de grupo, 467. Ver también políticas, directivas de grupo hombreen-the-middle ataques, 333 las unidades asignadas, 467, 501-505, 508 MAP Toolkit, 2, 22-27 opciones de la consola, 25 Inventario y evaluación Asistente, Asistente Métrica 24 Rendimiento, 24, 27 la realización de una evaluación, 24, 29, 36 que se prepara para usar, 23-24 correr, 24-25 informes de ejemplo, 25 a 27, 29, 36 utilizando, 30-31 instalaciones principales,
actualizaciones de software, 60 discos MBR, 384, 387 MDT 2012 Update 1, 13, 52 despliegue automatización, 63 instalación, 56 imágenes de referencia, construcción, 5464, 74-77 perfiles de selección, 59 software prerrequisitos, 66, 80 con System Center Configuration Manager, 69-70 con los Servicios de implementación de Windows, 68-69 Medida-VM cmdlet, 351 de control de acceso al medio (MAC) rango de configuración, 313 de adaptadores de red virtuales, 319, 332 servidores miembro. Ver también servidores Windows Server 2012, el valor del registro 7 MemoryReserve, 343 mensaje de hashes, 547 Microsoft Assessment and Planning (MAP) Toolkit. VerMAP Toolkit Servicios de Microsoft Consulting (MCS), 28 Microsoft Deployment Toolkit (MDT). Ver MDT 2012 Update 1 Servidor de red Microsoft: Intento S4U2Self obtener la política de información reclamación, 478 Microsoft Pinpoint sitio, 10 Microsoft Private Cloud programa Fast Track, 9 Programa de Proveedor de Servicios de Microsoft Private Cloud, 10 productos de Microsoft, la descarga de la seguridad líneas de base, 473 Microsoft Server y la página Cloud Platform, 1
593
Servicios de Microsoft Soporte Premier
Microsoft Services Premier Support, 28 Microsoft System Center 2012 SP1, Habitación con 9 Microsoft System Center, 86 Microsoft Windows Server 2012. Ver Windows Server 2012 migración. Ver también la evaluación de la infraestructura de la migración de preparación, 12, 19-29 mejores prácticas, 10-17 caminos, admitidas y no admitidas, 15, 18, 35 pruebas piloto, 11 de servidores de impresión, 447-448 de aplicaciones de servidor, 14 de los servidores, 1216 Herramientas de migración cmdlets, 17, 18 instalación, 14-17 de partida, 16 Instalaciones mínimas de interfaz de servidor, la conversión a 40, 43-44, 71-74 convertir a la opción de instalación diferente, papel 41 Hyper-V Server y, 305, 316, 356 características instaladas, 78 minipuertos, 296 discos duplicados virtuales, 367, 371, 426 escenario de migración entorno mixto, 6-7 desventajas, 18, 34 limitaciones, 7 entornos mixtos AppLocker y SRP en, 481 gestión host de Hyper-V, 299 iSCSI en, 400 movilidad de los hosts Hyper-V, 301302 Los conductores de modelos específicos, 442 Nodo Supervisión, 57 montado en archivos de disco duro virtual, 109 montados imágenes de Windows, 109 MPIO (MultiPath IO), 414 Srainfo32 .exe, 35 direcciones multicast, IPv6, 265, 267 implementaciones de multidifusión, 69 equipos multitarjeta, el reconocimiento de ubicación de
red, 520-521 519 MultiPath IO (MPIO), 414 multitenancy, 10
N Resolución de nombres, 234. Ver también DNS función de servidor; Servidores DNS con DNSSEC, 237-238 optimización, 284 recursiva, 284 sugerencias de raíz, 284 Resolución de nombres Mesa Política (NRPT), 242 NAS (Network Attached Storage), 298, 304, 361 NAT64, 277 NDIS controladores de filtro, 297 vecinos, 259 Nombres NetBIOS de los controladores de dominio raíz del bosque, 153 .exe Netsh contexto netsh interface ipv6, 268 Comando netsh interface isatap enrutador conjunto, módulo 279 NetTCPIP Windows PowerShell, 246 adaptadores de red consolidaciones, activar y desactivar, 253, 257 incapacitante, 253 se presentan, 252 en los hosts de Hyper-V, 295 virtuales, 319, 330-334 interruptores virtuales, la unión a, 296 administración de la red, 225-290
594
DHCP disponibilidad, asegurando, 226-234 servidores DHCP, gestión, 253-255 DNSSEC, implementación, 234-243 IPv6 / IPv4 interoperabilidad, configuración, 258281 fijaciones de adaptador de red, lo que permite y incapacitante, 253 adaptadores de red, discapacitantes, 253 adaptadores de red, que muestra, 252 con Windows PowerShell, 244-257 Red y utilidad de Internet, 312 Network Attached Storage (NAS), 298, 304, 361 de comunicaciones de red, secuestrados, 234 conexiones de red crear, 312 perfiles de firewall para, 521 IPv6 configuración por defecto, 261 múltiple, 519-520 el reconocimiento de ubicación de red, 518-519 aseguramiento, 543-548 Carpeta Conexiones de red, 251, 261, 312 Protocolo de Internet versión 6 (TCP / IPv6) Propiedades cuadro de diálogo, 268, 272
Asistente Secuencia Nueva tarea
unidades de red, cartografía, 501, 505, 508 del sistema de archivos de red (NFS), aplicaciones de filtrado de red 388, 517 redes cmdlets para, 244-252 Hyper-V, 295-297 gestión con Windows PowerShell, 244-257 interfaces de red direcciones, asignación, 267-276 información de la dirección, se presentan, 270, 281 consolidaciones, mostrando, 253 hallazgo, 248-249 Direcciones IP, y agrega: 249251 direcciones IP, eliminando, 252 anuncios, 277 multitarjeta, 272 TCP / IP , observación, reconocimiento de la ubicación de red 249, 518-519 rendimiento de la red, optimizando, Asistente de instalación de impresoras de red 343-345, 442 impresoras de red de configuración, instalación, 455-456 redes, 259 requisitos de seguridad, 519 segmentos de red, 259 servicios de red, 225 conmutadores de red, virtual, 295-296 el tráfico de red cifrado, la negociación dinámica, 564 filtrado, 481 reglas de firewall, 526-527 el filtrado de paquetes, 516-517 la seguridad de, 543-570 Cmdlet New-ADFineGrainedPasswordPolicy, 205, 222 Cmdlet New-ADOrganizationalUnit, 218 Cmdlet New-ADReplicationSite, 214 Nueva ADReplicationSiteLink cmdlet, 214 Cmdlet, 208, 209, 219 Nueva-ADUser Parámetro -instance, 219 Parámetro -PassThru, 210 Parámetro --PasswordNotRequired, 210 Parámetro -Path, 209 Parámetro -UserPrincipalName, 210, 211 en Nueva conexión Seguridad Asistente para reglas, 555, 556 Página, 557, 559 Conexión nodo Reglas de seguridad, página 556 puntos finales, 559 Método de autenticación Página Equipos exentos, 558 página Nombre, 558
Perfil Y la página Nombre, 558, 559 Perfil de la página, 558 Protocolo y Puertos página, página 561 Requisitos, 557, 559, 560 página Tipo de regla, 556 Página Extremos de túnel, página Nº 560 Túnel, 560 Nuevo Despliegue Compartir Wizard, 57 nuevos bosques controladores de dominio adicionales, desplegar, 142, 148, 154-156, 167, 170-171, 177-178 las mejores prácticas para la implementación, 138-139, 146 controladores de dominio, el despliegue, 137-144 primer controlador de dominio, el despliegue, 140141, 148, 162-166, 168-169, 179 primer controlador de dominio en el nuevo dominio, 141-142 primer controlador de dominio, la promoción, 152-153 nivel funcional, especificando, 152 instalación, 169, 176 nombres, 154 planificación, 147 sólo lectura controladores de dominio, 143 Nueva-gPLink cmdlet, 490, 492, 512 Cmdlet, 490, 492, 512 Nueva-GPO Nueva entrada (o salida) Asistente para reglas, 529-534 Permitir la conexión si es la opción segura, 562564 Página Equipos, 563 Página Usuarios, 563 Nueva IscsiServerTarget cmdlet, 410 Cmdlet New-IscsiVirtualDisk, 409 Nuevo Asistente para disco virtual iSCSI, 404-408 cmdlet New-Item, 391 Cmdlet New-Job, 134 Cmdlet, 120, 125, 134 Nueva-JobTrigger Parámetro -DaysInterval, 134 Cmdlet New-NetFirewallRule, 535, 540 Cmdlet New-NetIPAddress, 247-248, 268, 271 Nueva NetIPsecRule cmdlet, 561 Cmdlet New-partición, 386, 424 Cmdlet New-PSSession, 121-123, 134 Cmdlet New-ScheduledJob, 125 Nuevo Asistente para ámbito, 276 Nuevo Asistente Acciones, 390, 396 Nueva SmbShare cmdlet, 391, 424 Cmdlet New-StoragePool, 380, 423 Nueva agrupación de almacenamiento
Asistente, 378-379, 420 Nueva
secuencia de tareas Asistente, 60-61
595
Cmdlet New-VHD
Cmdlet New-VHD, 329 Cmdlet New-virtualDisk, 384, 423 Nuevo Asistente de disco virtual, 382, 420 Nueva virtual Asistente para disco duro, 328 Asistente para nueva máquina virtual, 324 Nueva-VM cmdlet, 325 Nueva VMSwitch cmdlet, 312 Asistente para nuevo volumen, 385, 418 Registros de recursos Siguiente seguros (NSEC o NSEC3), 238 NFS (Network File System), 388 NIC Teaming, 333 nodos, 258 conmutación por error, 301 sin ejecutar bits, 293 arquitectura de memoria no uniforme (NUMA) spanning, 314 Notificaciones bandera (Administrador de servidores), 84, 106, 113 notificaciones, estado, 105106 NSEC3 algoritmo de hash, 240 nslookup, 284 NTLMv2, 546 nulo encapsulación, 563 Spanning NUMA, 314
O ODX (Descargó transferencia de datos), 321 Oficina 365, 8, 10 offline despliegues, 70 discos duros virtuales offline opciones de instalación, la conversión entre, 4445 roles y funciones, instalación, 111 Descargado de transferencia de datos (ODX), 321 sistemas operativos. Ver también Windows 8; Windows Server 2003; Windows Server 2008 / Windows Server 2008 R2; Windows Server 2012 archivos de origen, la importación, 57-58 OptimizarVHD cmdlet, 347 Unidades organizativas (unidades organizativas), 135. Ver también el control administrativo de directiva de grupo, delegar, 221, 470 computadoras, ver, 491 creando con ADAC, 190-193 creando con Windows PowerShell, 217-218 GPO, que une a, 484 jerarquía, el diseño, 470-471, 509-510 orden de vínculos, 470
reglas de firewall de salida, 526 a 527 conductores de fuera de la caja, la importación, el 58
P PaaS (Plataforma como Servicio), 8-9 Paquete Point Consciente e imprimir, 447 paquetes, importación, 60 el filtrado de paquetes, 516-517 discos de paridad virtuales, 367 a 368, 371, 426 particiones, eliminar, 160 discos de paso a través, 321, 337, 357 Parámetros -PassThru, 342 políticas de contraseñas de grano fino, 202-206 los valores de precedencia, 202 protección con contraseña, 70 Payette, Bruce, 124 rendimiento la recogida de datos sobre, 103-104, 131 hardware y, 21 Filtrado de W MI y, 486 alertas de rendimiento, configuración, 104, 107 Miniatura Rendimiento (Administrador de servidores), 87, 104 por equipo personalizaciones, 48 permisos para impresoras, 439, 445 para servidores de impresión, 439 sesiones persistentes, 121-122 almacenamiento persistente, 575 por usuario personalizaciones, 48, 50 discos físicos asignaciones automáticas y hot-piezas, 379 disco de arranque, 375 número de, 396 quórum, 368 piscinas de almacenamiento, 364, 375, 377, 396, 425. Véase también las agrupaciones de almacenamiento volúmenes, 375, 426-427 interfaces físicas, 259 perfil, 270 multitarjeta, 268 servidores físicos. Ver también servidorespruebas en, 2
dispositivos de almacenamiento físico conexión a los servidores, tipos, 369
596
Almacenamiento Espacioscompatibles, 369
perfiles de firewall privadas
sistemas físicos, 49 (P2V) conversiones-físicos a virtuales, la migración de pruebas 317-318 piloto, 11 planificación para Windows Server 2012, 2-18 proceso de migración, 10-17 escenarios de migración, 3-10 Plataforma como servicio (PaaS), 89 políticas, directivas de grupo, 467, 483, 494 nueva en Windows Server 2012 y Windows 8, 468-469 prioridad de, 495, 513 almacén de directivas, 575 reglas de puerto de firewall, 529, 533-534, 576 crear, 531 duplicación de puertos, 333 Portproxy, 277 puertos reglas de seguridad de conexión para, 561 impresora, 444, 445, 455 Pre-Boot Execution Environment [PXE], 331 reglas predefinidas del firewall, 529, 531-532, 576 propiedades, 531-532 preferencias. Ver las preferencias de directiva de grupo antes de la autenticación de clave compartida, 546 piscinas primordiales de almacenamiento, 364, 375, 425 discos físicos, 377-378, 425 Imprimir y papel Document Services, 94, 130, 431 instalación, 436 servicios de función, la instalación, 433434 Impresión y Documentos Herramientas, instalación, 434-435, 447 Printbrm .exe, 447 Drivers de impresión de clase, 442 conexiones de impresora, implementar 446-447 controladores de impresora expansión conductor, 442 instalación, 441, 449, 455 modo, 440, 449, 461-462 aislamiento gestión, 440-442, 450 el tipo, la determinación, 453-454 actualización, 441, 463 v3, 442, 449, 461 v4, 442, 449, 462 visualización, 450, 453-454 Asistente para migración de impresoras, impresoras 447-448 gestión avanzada, 444
ajustes de configuración, visualización, 452
desplegar con la directiva de grupo, 446-447 errores, seguimiento, 451452, 463 instalación, automatización, 456-458, 463 instalación, 443, 455-456 gestión, 442-446 puertos, gestión, 444, 445, 455 en los servidores de impresión, la lista, página 451 Propiedades, 444-445 ajustes para, 445 compartida, 457 compartir y unsharing, 444, 457, 462 a 463 visual ización, 450, 452 a 453 trabajos de impresió n gestión, 445-446 eliminación, 454-455 visualización, 450-452 Consola de Administración de impresión, 431, 435449 nodo filtros personalizados, 438 Nodo
Impresoras Desplegado, 438 nodos Drivers, 440-441, 449, 461 Extendido Ver, 445-446 lanzamiento, 437-438 Nodo Impresoras, 443 Nodo Administración de impresión, 438 nodos servidores de impresión, 438 servidores, y agrega: 461 permisos de impresión, 439, 445 Servicio de rol Servidor de impresión, instalación, 432-433 servidores de impresión despliegue, 432-435 la gestión, 94 la gestión con la consola de Administración de impresión, 436-449, 458-459 gestionar con Windows PowerShell, 450-460 migración, 447-448 impresoras en, perfil, 451 permisos de impresión, 439, 445 propiedades, 438-439 gestión remota, 461 Servicios de impresión para Unix, 434 Página Print Services (Administrador de servidores), 130 de cola de impresión controladores de impresora, aislando de, 440, 449, 461 a 462 reinicio, 436 soluciones de nube privada, software 8.10 Evaluación, 9 configuraciones prevalidated, 9 perfiles de firewall privadas, 521
597
ubicaciones de red privados
ubicaciones de red privados, 519 interruptores virtuales privadas, 295 entornos de producción, 48 infraestructura de implementación, 67-68 imágenes de referencia, el despliegue, 67-71 instantáneas, 304, 322, 338, 348 esquema de producción, lo que refleja, 5 reglas de firewall programa, 529, 532, 542, 576 crear, 530 protocolos reglas de seguridad de conexión para, 561 reglas de firewall para, 533 de aprovisionamiento fijo, 426 fijo vs. delgada, 365367 de resiliencia, 371 , espejo, y discos de paridad simple, 368 delgada, 368, 376, 426 PSSessions, 121, 125 Para terminar, 123 crear, 122 la gestión, 134 escenarios de migración de nube pública, 10 perfiles de firewall públicos, 521 infraestructura (PKI) criptografía de clave pública, 237 lugares en la red pública, 518 PXE (Pre-Boot Execution Environment), 331
Q la calidad del servicio de Hyper-V, 344 basado en políticas, 345 acciones rápidas SMB, 389, 396, 427 cuotas, compartir, 389, 392
R RADIUS autenticación, 412, 428 Read-Host cmdlet, 210 sólo lectura controladores (RODC), 137, 143, 171 de dominio, 179 Receive-Job cmdlet, 120
Estado reciclado de objetos, 199, 201, 221 equipos de referencia, 49, 79 el despliegue de imagen para, 51
imágenes de referencia edificio, 54-66 laboratorios de construcción para, 48-53, 5052 proceso de construcción captura, 51, 64, 80 definido, 47 el despliegue en el entorno de producción, 67-71 desplegar para hacer referencia a la computadora, 51 para probar el despliegue de sistemas, 51 gestión del ciclo de vida, 47-48 MDT 2012 Update 1, 54-64 por usuario personalizaciones, 48 técnico en computación para, 52 pruebas, 65, 79 verificar, 51 instalaciones de referencia, 79 refresca, servidor, 13 ReFS (Resilient File System), 371 cmdlet Register-IscsiSession, 429 Registrar-ScheduledJob cmdlet, 120-121, 134 registro, sección política consciente, 468 Autenticación remota telefónica de usuario (RADIUS), 412, 428 equipos remotos, sesiones persistentes, 121-122 Servicios de Escritorio remoto infraestructura, despliegue, 110
598
Administrador de servidores, la integración en el 90 servidores de impresión remotos, 433, 448449 gestión Administración remota del servidor, instalar, 115 de servidor remoto Herramientas administrativas (RSAT). Ver RSAT (Herramientas de administración de servidor remoto) gestión de servidor remoto, 83-134, 165 discapacitante, 91 permitiendo, 130 Servidor Manager, la configuración en, 90-92 verificación, 94 servidores remotos. Véase también servidores sesiones desconectadas, 121123 datos de rendimiento, la recolección, 103-104 PSSessions, 121 servicios, vigilancia, 101-102 TrustedHosts lista, añadiendo a, 165, 174 sesiones remotas volver a conectarse a, 122 guiones, invocación, 122 interacción remota, 165, 169 Cmdlet Remove-ADFineGrainedPasswordPolicy, 205
esquema
Cmdlet Remove-ADUser, 208 Remove-DnsServerResourceRecord cmdlet, 256 Estado Eliminado objeto, 199, 207, 222 Remove-Job cmdlet, 134 Remove-NetIPAddress cmdlet, 252 Remove-NetIPsecRule cmdlet, 562 Remove-PrintJob cmdlet, 455 Cmdlet Remove-PSSession, 123 Quitar funciones y características Asistente, página 159-160 de Credenciales, 160 Nueva página Contraseña de administrador, página 161 Opciones de eliminación, 160 Retire la página Funciones del servidor, 159-160 Página de resultados de validación, 159-160 Página Advertencias, 160 RemoveVMSnapshot cmdlet, 349 Remove-WindowsFeature cmdlet, 117, 132 reparticionado, 70 sustitución de servidores, 13 replicación, 69 notificación de cambio, 214 forzando, 232 asociados de replicación, 155 resiliencia del sistema de almacenamiento, 371, 426 Sistema Resilient File (refs), cmdlet 371 Redimensionar-VHD, 347 medición de recursos, 350 registros de recursos y agrega: 255-256 eliminación, 256 Registro de recursos Firma (RRSIG) de recursosregistros, 238 Restore-GPO cmdlet, 491 Conjunto resultante de directivas (RSoP) recoger información 536 CHAP inversa, 407 papeles, servidor Papel de Active Directory Domain Services, 150. Ver también el papel de Active Directory Domain Services instalación, 108-118, 115, 126-129 instalación en varios equipos, 115-116 perfil, 114-115, 132 migración, 14-17 requisitos previos para, 108-110 eliminación, 116-117 Servidor Manager, la instalación con, 110-113, 126-127 página Administrador de servidor, 113
Windows PowerShell, la instalación con, 114116, 126-127 planes de rollback, 13 dominio raíz, el nombre de dominio completo, 147 sugerencias de raíz, la visualización, 284 Mensajes de anuncio de enrutador, 273 descubrimiento de enrutadores, 273 Router Guardia, 333 routers, 258-259 configuración de la dirección, 273 ISATAP,278, 280, 281, 290 RSAT para Windows 8, 7, 34, 92-94, 130-131, 435, 449, 461 RSAT (Herramientas de administración remota del servidor) despliegue, 93 requisitos previos, 93 reglas. Ver reglas de firewall
S SaaS (Software as a Service), 8, 10 Administrador de Contraseñas modo seguro, 169 SAN (redes de área de almacenamiento), 297 a 298, 361 para Hyper-V hosts, 297298 SAS (Serial Attached SCSI), 364 tarjetas controladoras, 370 discos de nivel empresarial, 370 SATAdiscos, 368-370, 376 escalabilidad de hosts de Hyper-V, 300 de almacenamiento, 363 de espacios de almacenamiento, 372-373 servidores de archivos scale-out, 298 de aplicación, 371 , 433 documentos escaneados Scan complemento Administración, 433 SCCM (System Center Configuration Manager). Ver System Center Configuration Manager (SCCM) trabajos programados, 120-121, 128-129, 299 crear, 125 desencadenante, 125 esquema
extendiéndose, 145, 148-149, 163
pruebas de actualización, 6-7 actualización, 5
599
Esquema Grupo de seguridad Administradores
Administradores de esquema de grupos de seguridad, 141, 144 ámbitos activante, 254 y agrega: 254 rangos de direcciones, excluyendo, 254 creación, 282 direcciones de puerta de enlace predeterminada, la configuración, 254, 257 relaciones de conmutación por error, la configuración, 230-232 replicación, obligando, 232 división, 226, 233, 286 visualización, 254 scripting automatizando con, 39 política de ejecución, estableciendo, 169 SCSI Enclosure Services (SES), 370 HTTP seguro (HTTPS), 235 Secure Sockets Layer (SSL), 235cuerdas seguras, 223 seguridad del proceso de arranque, 518 Desafío Protocolo Handshake autenticación (CHAP), 428 entre los clientes DNS y servidores DNS, 242, 243 para el protocolo DNS, 234 GPO, filtrado de seguridad, 485 configuración de directiva de grupo, de 476 a 481 hosts Hyper-V, 300 IPsec, 543-570 requisitos de red, 519 Plataforma Windows Filtrado (PMA), 517-518 Firewall de Windows con seguridad avanzada, 516542 de Windows endurecimiento servicio, 518 asociaciones de seguridad (SA), 544-545 de visión, 566-567 líneas de base de seguridad, descargar, 473 grupos de seguridad, 141, 144 derechos de usuario asignados a, 477-478 perfiles de selección, 59, 80 Cmdlet Select-Object, 120 Send-SmigServerData cmdlet, 35 Serial Attached SCSI (SAS), 364, 370 aplicaciones de servidor, la migración, 14 clústeres de servidores, 226-227 servidor consolidación, 7-8, 34 ServidorInstalaciones básicas, 37, 39, 40 AD DS soporte papel, 164 de conversión VHD sin
conexión, 44-45 conversión a, 43
la conversión a Minimal Servidor Interface, 43, 71-74 convertir al servidor con una interfaz gráfica de usuario, 43, 71-74 el uso de espacio en disco, 78 binarios de características, 42 en los hosts de Hyper-V, 300, 315-316, 353 de sólo lectura controladores de dominio, 143, 175 de conmutación de servidor despliegue, 37-82 automatización, 61-62 medio de arranque, 63 proceso de personalización, 50 incompatibilidades de controladores, 59 opciones de instalación, 38-46 pistoletazo de partida, 63 LTI enfoque, 68-69, 71 estrategias, 67 secuencias de tareas, 60-61 ZTI enfoque, 69-71 Servidor para NFS, 388 grupos de servidores, 107 crear, 96-97 funciones de, 131-132 la gestión, 97 membresía, 97 para los controladores de dominio remoto, 148, 150 servidores, y agrega: 131
600
servidor gestión, 83 automatización, 119-125 Basada en GUI, 90 Herramientas de la GUI, 39 remoto, 83-134 con el Administrador de servidores, 84-94, 95-108 en ambientes pequeños, 40 con Windows PowerShell, Gerente 253-254 Server, 84-94 Active Directory Domain Services papel, instalación, 150-151 controladores adicionales de dominio, el despliegue, 148 AD DS, desinstalar, 159-162 alertas, 86-87 Todo página Servidores, 88-90, 130 consola, 41 controles, 84-85 Dashboard, 85-86, 103, 127-128, 130 controladores de dominio, degradar, 159-161 controladores de dominio, que despliegan, grupos de servidor controlador de dominio 147-163, 158-159 eventos, colectores, 98101
ServidorCon Una instalaciones GUI
ServidorManager (continuación) características, instalación, 110-113, 126-127 características, la eliminación, 116-117 Archivo Y la página Servicios de almacenamiento, 89, 372, 400. Véase también archivo y la página Storage Services (Administrador de servidores) primer controlador de dominio, el despliegue, 148 función Hyper-V Server, la instalación, 304-305 opciones de instalación, la conversión entre, 45 iniciador iSCSI, lo que permite, 401 discos virtuales iSCSI, creando, 404408 atajos de teclado, 85 Página servidor local, 8788 menús, 84-85 navegar, 84-90 nuevo bosque, instalación, 176 bandera de notificación, 113 Menú de notificaciones, 151, 159, recogiendo los datos de rendimiento, desde 103 hasta 104 servidores de impresión, configurar, 433 Página de servicios de impresión, 130, 436 propiedades, 85 Página Cuota, 392 intervalo de actualización, 85-86, 132 gestión remota, configuración, 90-92 gestión remota, solución de problemas, 91-92 papeles, instalación, 110-113, 126-127 papel-específicas páginas, 89 papeles, la eliminación, 116-117 servidor grupos, creando, 96-97, 107 tareas de servidor de gestión, desde 95 hasta 108 servidores, agregando, 95-96 servidores, reinicio, 97-98 servicios, vigilancia, 101-103, 108 almacenamiento compartido, aprovisionamiento y gestión, 420-423 Acciones SMB, creando, 390-392 las notificaciones de estado, ver, 105106 piscinas de almacenamiento, creando, 378-379 piscinas de almacenamiento, gestión, 393 página piscinas de almacenamiento, 378 Espacios de almacenamiento, aplicación, 373 requisitos previos de tareas, 97 miniaturas, 86-87 azulejos, 86 discos virtuales, creando, 382-
383 discos virtuales, gestión, 393-394 volúmenes, creando, 385-386
en Windows 8, 92-93 servidores de grupos de trabajo, la gestión de forma remota, los cmdlets de Administrador de servidor de 91, 114 ServidorMessage Block (SMB), 387. Ver también acciones SMBservidor migración, 1-19 evaluación de la preparació n, 19-29 mejores prácticas, 12-14 servidor de destino, la instalación de herramientas de migración en, 15-16 papel y la función de migración, 13-15 servidor de origen, la instalación de herramientas de migración en, 16-17 grupos de servidores, 131 servidor grupos, 96 servidores,y agrega: 95-96, 107, 130, 131 funciones de servidor. Ver papeles, servidor servidores. Ver también los servidores DHCP; Servidores DNS; dominiocontroladores; servidores remotos Active Directory Domain Services papel, 150-151 añadiendo a grupo de servidores, 95-96, 107, 130,
131 servidores de destino, 14-16 dominio de unión, 165-166 recopilación de eventos, configuración, 98-101 actualizaciones in situ, 13 entorno mixto, 7 multitarjeta, 520-521 datos de rendimiento, la recolección, 103-104, 107, 131-132 la promoción de los controladores de dominio, 151, 159 monitoreo en tiempo real, 86 refresca, 13 gestión remota, 356, 461 reemplazo, 13 reinicio, 97-98 funciones y características, instalación, 108-118, 126-127 funciones y características, perfil, 114-115 servidores de origen, 14, 16 a 17 de Windows Servicios de implementación, 49 reglas de seguridad de conexión de servidor a servidor, 556, 570, 577 crear, 559 servidorvirtualización. Ver virtualización Hyper-V Server con una interfaz gráfica de usuario de instalaciones, 39 la conversión fuera de línea VHD, 44-45 conversión a, 7174 convertir a la opción de instalación diferente, 41 convertir a Interface Mínimo Server, 44, 78 la conversión a Server Core, 43-44, 175 Experiencia de escritorio, 41
601
ServidorCon unas instalaciones de GUI (continuación)
ServidorCon unas instalaciones de GUI (continuación) Herramientas de administración gráfica y de infraestructura, 41 características instaladas, 78 ServidorGráfica Shell, 41 alertas de servicio, 102 endurecimiento de servicio, 518 reglas de restricción de servicios, 518 servicios gestión, 108, 132 monitoreo, 101-103 en nuevos controladores de dominio, el contexto de seguridad 158, 518 Servicios consola MMC, 101, 132 Serviciosminiatura (Administrador de servidores), 87, 102, 132 SES (SCSI Enclosure Services), 370 sesiones desconectado, 121-123 persistente, 121 Set-ADAccountPassword cmdlet, 223 Parámetro -AsPlainText, 211 Parámetro -Force, 211, 216 Parámetro -NewPassword, 211 Cmdlet Set-ADFineGrainedPasswordPolicy, 205 Cmdlet Set-ADForestMode, 200, 222 Set-ADReplicationSiteLink cmdlet, 214 Cmdlet Set-ADUser, 208 Establecer DhcpServerv4OptionValue-cmdlet, 254, 257 Set-DhcpServerv4Scope cmdlet, 254 Cmdlet Set-DnsClientServerAddress, 268, 272 Cmdlet Set-DnsServerCache, 256 Cmdlet Set-DnsServerScavenging, 256 Cmdlet Set-Ejecución, 169 Cmdlet Set-ExecutionPolicy, 218 Set-gPLink cmdlet, 512 Cmdlet Set-Item, 166, 174 Parámetro -Concatenate, 166 Parámetro -Force, 166 Establecer NetFirewallProfile-cmdlet, 526, 540 Cmdlet Set-NetIPInterface, 252 Set-NetIPsecRule cmdlet, 562 Cmdlet Set-NetIsatapConfiguration, 279 Cmdlet Set-PrintConfiguration, 456, 462 Cmdlet Set-impresora, 457, 463 Set-PrinterProperty cmdlet, 462 Set Service-msiscsi cmdlet, 401 Set-SmbShare cmdlet, 391, 424 Establecer VM-cmdlet, 328, 336, 342, 357 Establecer VMHost-cmdlet, 309, 310, 314, 316, 357
Establecer VMNetworkAdapter-cmdlet, 334, 338, 344 Set-VMSwitch cmdlet, 345 Instantáneas de carpetas compartidas, 302 de almacenamiento compartido disponibilidad, 371372 de canal de fibra de, 373 gestión, 393-395, 420-424 aprovisionamiento, 377-387, 420-424 acciones, gestión, 395-396 Acciones SMB, aprovisionamiento, 387-392 piscinas de almacenamiento, creando, piscinas 377-381 de almacenamiento, gestión, 393 discos duros virtuales, creando, 381-384 discos duros virtuales, gestión, 393-394 volúmenes, creando, 384-387 volúmenes, gestionar, 394395 comparte, 364. Ver también acciones SMB enumeración basada en el acceso, 388 el almacenamiento en caché, 388 acceso encriptado, 389 Uso de carpetas, 389 Archivos de la máquina virtual de Hyper-V, almacenar, gestionar 396, 395-396 aprovisionamiento, 387-392 cuotas, 389 Show-Comando cmdlet, 247-249 asterisco (*), 257, 288 Cmdlet Show-DnsServerCache, 256, 284 tiendas de lado a lado de la carpeta (SxS) binarios, copiando de, 108, 109 copias discos virtuales simples, 367-368, 371 -raíz única de E / S de virtualización (SR-IOV), 311, 332 vínculos a sitios costo y frecuencia de replicación, 214 propiedades, visualización, 215 sitios, 135, 259 crear, 214, 221 controladores de dominio, se mueve entre, 215 GPO, que une a 484, la vinculación, 214 perfil, 214 verificar, 214 losas, 367 SMAPI (Interfaz de programación de aplicaciones de administración de almacenamiento), 363, 365 Paging inteligente, 336
SMB 3 0.0, 387-388
602
Espacios de almacenamiento
Compartidos SMB. Ver también comparte avanzado, 392, 427 BranchCache, 389 configuración, 388-389, 427 de propósito general, 390-392 aprovisionamiento, 387392 cuotas, 392 tipos, 389-390, 396, 427 .exe SmigDeploy, 15 Proveedores de SMI-S, 363-364 SMP (Proveedor de Administración de almacenamiento), 363 instantáneas aplicar, 348, 352, 359 vs . copias de seguridad, 304 borrado, 348 exportación, 348, 359 gestión, 348-349 realizar, 322-323, 338, 348, 352, 354-355, 358, 359 el cambio de nombre, 349 lugar de almacenamiento, 336 Software como Servicio (SaaS), 8, 10 Las políticas de restricción de software (SRP) ajustes de la directiva de grupo, 481 softwareactualizaciones en la instalación principal, 60 archivos de origen sistema operativo, importadores, 57-58 servidores de origen, 14 Herramientas de migración, instalación, 16-17 espacios, 364 Especializada de Seguridad de funcionalidad limitada (SSLF), 473 ámbitos de división, 226-227, 233, 286 direcciones IP falsificadas, 235, 234 spoofing SQL Azure, 9 SSL (Secure Sockets Layer), 235organizado binarios, computadoras 42-43 independientes conectando con WS-Management, 165-166, 172 Standard Client Tarea Secuencias, 60 cuerdas estándar conversión hacia y desde cadenas seguras, 223 servidores en espera, 226-227 Cmdlet Start-DnsServerScavenging, 256 GPO de inicio, 473-475
crear, 509-510 Directiva de grupo Actualizar remoto Puertos Firewall, 536
Directiva de grupo Firewall Reporting Puertos, 536 visualización, 489 Carp eta de GPO de inicio, 473 cmdle t StartJob, 133 Comando msiscsi Puesta en Servicio, 401 Start-VM cmdlet, 342 configuración automática de direcciones con estado, 274 firewalls, 516-517 autoconfiguración de direcciones sin estado, 273, 280, 281, 290 reglas de firewall estáticos, 535 las notificaciones de estado breve resumen, 106 v is ua liz ac ió n, 10 510 6 St op -
VM cmdlet Parámetro -PassThru, 342-343 la administración del almacenamiento, 361429 almacenamiento iSCSI, 397-419 almacenamiento, aprovisionamiento, 377-387 espacios de almacenamiento compartidos, despliegue, 362-376 redes de área de almacenamiento (SAN), 297-298, 361 Aplicación de administración de almacenamiento de programación Interface (SMAPI), 363, 365 Storage Management Initiative Specification (SMI-S) proveedores, 363-364 Proveedor de Storage Management (PSM), función de almacenamiento 363 Migración, 302 migraciones de almacenamiento, 314 piscinas de almacenamiento, 364 de capacidad, 382 configuraciones, 378 crear, 377-381 la gestión, 393 para las necesidades de rendimiento, 370 a 371, 396 primordiales, 364, 375 de rol Servicios de almacenamiento, 374 espacios de almacenamiento, 361 disponibilidad de sistema, 371-372 beneficios, 362-363 conceptos y la terminología, 363364 métodos de almacenamiento de datos, implementación, 367 362-376 discos dinámicos y, 365 con Failover Clustering, 369, 371-372, 376, servicio de rol Servidor de 426 archivos, instalar, 373-375 RAID de hardware y, 370 los requisitos de hardware, 369-370 estado de salud, visión, 380, 396, 427 soluciones de alta disponibilidad, 369, 373
603
Espacios de almacenamiento (continuación)
Espacios de almacenamiento (continuación) implementar, 373-375 la gestión, 372 rendimiento, 370-371 almacenamiento resistente, 367-368, 371 escalabilidad, 372-373 almacenamiento compartido, aprovisionamiento y gestión, 377-396 losas, 367 Dispositivos USB y, 369 duros virtuales discos, provisioing, 365-367 Almacenamiento Espacios proveedores, 363 subsistema de almacenamiento, 363 se presentan, 380, 427 virtualización de almacenamiento, 362-376 subredes, 259 Tráfico de DCHP, Spanning, 227 IPv6 prefijo, 265 ISATAP,278 rutas resumidas, 265 Suspender-Trabajo cmdlet, 134 adaptadores de red sintéticos, 330 copias de seguridad del sistema, 13 System Center Configuration Manager (SCCM), 13, 27-28, 86, 299 la evaluación de medio ambiente, con, 2728 beneficios de, 81 servidor implementación con, 69-70 Gerente de System Center Data Protection (DPM), 302-303 System Center Operations Manager, 86 System Center Virtual Machine Manager (VMM), 13, 299 Herramienta de preparación del sistema (Sysprep), 51 requisitos del sistema para Windows Server 2012, 2021 Restaurar sistema, 302 productos de gestión de sistemas, evaluar la preparación para la migración, con 28 Hinchazón SYSVOL, 472 Carpeta SYSVOL, 472 almacén central, 472 ubicación, 140, 147, 153, 179 Replicación, 472, 482, 488 SYSVOL
T
los equipos de destino, abrir puertos de firewall, 488, 490
Tarea Cuadro de diálogo Detalles, 105 tareas automatización, 119 notificaciones de estado, secuencias 105106 de tareas la automatización de la implementación con, 61-63 creación, 60-61 Grupo Instalar, 81 Grupo postinstall, 81 Preinstalar grupo, 81 Client Standard Tipo de secuencia de tareas, 65 grupo Validar, 66 TCP / IP protocolo de pila de red, 260 a 261, 289 Tcpip .sys, 261 TechNet Foro de servicios de directorio, 138 guía de implementación de controlador de dominio, 172 foros de Windows Server, 17 equipos técnicos, 49, 79 acciones de implementación, 56-57 MDT 2012 Update 1, 54-64 configurar, 52 cuentas de plantilla, 211, 218-220 Teredo, 276, 290 Test-AGREGA * cmdlets, 168 Cmdlet Test-ADDSDomainControllerInstallation, 175 entornos de prueba, creando, 5 pruebas cambios en el nivel funcionales, 6-7
604
metodología, definiendo, 11 imágenes de referencia, 65 actualizaciones de esquema, 6-7 planes de ensayo para la migración de servidores, sistemas de prueba 11 imágenes de referencia, la implementación de, 51, 65 requisitos, 2 thin provisioning, 365, 368, 376, 426 Parámetro ThrottleLimit, 116 miniaturas (Administrador de servidores), 86-87 azulejos (Administrador de servidores), 86 filtrado de tráfico, 481 direcciones de transición, 267 encapsulación modo de transporte, 544 dominios de árboles, 141 a 142, 171 solución de problemas detección de destino iSCSI, 414 anclas de confianza, 240-242 Archivo TrustAnchors.dns, 242 Lista TrustedHosts, añadiendo servidores para, 165166, 172, 174
infraestructura de virtualización
conexiones de túnel, 549 configurar, 553 reglas de seguridad de conexión del túnel, 556 creación, 559-560 tunneling, 276 IPv6 sobre IPv4, 277 modo de encapsulación túnel, 544 tipo A (dirección) registros de recursos, 255
U implementaciones desatendidas, 70, 71 direcciones IPv6 unicast, 265 Desinstalar-ADDSDomainController cmdlet, 174 Cmdlet, 42, 45, 114, 117, 132 DesinstalarWindowsFeature, 175 Parámetro -remove, 45, 46, 78 Servidor-Gui-mgmt-Infra parámetro -Restart, 44, 46 Servidor-Gui-mgmt-Infra, Servidor-Gui-Shell Restart parámetro, 43 direcciones locales únicas, 266-267 ajustes no administrados, 467. Véase también las preferencias de directiva de grupo actualizaciones de controladores de dominio existentes, 145-146 dispositivos USB, espacios de almacenamiento y, 369 Control de cuentas de usuario (UAC) en la configuración de directiva de grupo, 479 cuentas de usuario creación granel, 210-211, 216 crear, 193-195, 209, 218-220 permitiendo, 210 ubicación, 209 gestión, cmdlets para, 212-213 gestionar con Windows PowerShell, 208-211 contraseñas, especificando, 210 propiedades, 209 recuperación, 222 cuentas de plantilla, 211, 218-220 certificados de usuario, 546 de asignación de derechos de usuario en la directiva de grupo, 477 a 478 usuarios control administrativo, delegando en, 470 políticas de contraseñas de grano fino, 202 preferencias de directiva de grupo y, 493 ajustes de contraseña, visión, 205206
V v3 controladores de impresora, 442, 449, 461 controladores de impresora v4, 442, 449, 462 validación del equipo de destino, 80 VDI (infraestructura virtual de escritorio) ambientes, 291 de memoria dinámica para, 340 verificación del controlador de dominio de instalación, 141, 157, 172 a 173 de requisitos previos, 168 de extensión de esquema, el formato de disco VHD 150, 321, 328 Formato de disco VHDX, 321, 328 infraestructura de escritorio virtual (VDI), 291 de memoria dinámica para, 340 Servicio de disco virtual (VDS), 365, 402, 425 discos virtuales, iSCSI, 398, 400 crear, 403-410 Canal virtual de fibra, 321-322 archivos de disco duro virtual ubicación, 308309 discos duros virtuales, 320-322, 337338, 364 y agrega: 328-330 asignaciones automáticas, 368, 379 compactación, 345 la conversión entre formatos, 345 creación, 381-384 pérdida de datos, evitando, 346 formatos de disco, 321, 357 expansión, 346 asignaciones en caliente de repuesto, 368, 379 inicialización, 384, 387 gestión, 393-394, 396, 427 optimización, 345-347, 352, 359 aprovisionamiento, 365-367, 382 resiliencia, 426 encogimiento, 346, 359 tamaño, especificando, 382, 383 capacidad de almacenamiento, 321 diseños de almacenamiento, 367-368, 382, 383 virtualización, 291-359 multitenancy, 10 servidor consolidación, 7-8 de los recursos de almacenamiento, 362. Ver también la infraestructura de almacenamiento Espacios virtualización, 291 Hosts de Hyper-V, la implementación y configuración,
292-316 máquinas virtuales, configurar e implementar,
316-338 máquinas virtuales, gestión, 339-352
605
virtualizado controladores de dominio
controladores de dominio virtualizados, 137, 143 a 144 redes de área local virtuales (VLAN), 311-312 Virtual Asistente para importación de máquina, 325 cola de máquina virtual (VMQ), 332 máquinas virtuales, 337 acción de inicio automático, 336 acciones de parada automática, 336 copias de seguridad, 302304 gestión de ancho de banda, 344-345, 354355 archivos de configuración de ubicación, 309310, 318 configuración, 326-336, 354-355 copiado, 324, 326 creación, 324-326, 354-355 despliegue, 316-338 despliegue, planificación, 317-324 Dynamic Memory, 319, 340-342, 354-355 sistemas operativos invitados, que despliegan, 322 recursos de hardware, 293 configuración de hardware, 335 Gerente, creando con, 324 importadores, 323-326 Hyper-V Integration Services, 336 configuración de la administración, configuración, 335-336 Administración, 339352 medios gama de control de acceso (MAC), configurar, 313 buffers de memoria, 341, 351-352, 358 memoria, ajuste de peso 318 a 319 de memoria, 341 de vigilancia física, 350-351 nombre, 336 rendimiento de la red, optimización, 343-345 número de, 293, 340 RAM, 340,342, 351-352, 358 registro, 323 replicante, 303-304 restaurar, 323 revertir, 348 configuración, visualización, 327-328 Paging inteligente, 336 instantáneas, la ubicación del archivo, 336 instantáneas, gestión, 304, 348-349 instantáneas, ejecución, 322-323, 352, 354355 almacenamiento,
configuración, 308-310 controladores de almacenamiento, 320 pruebas en, 2 discos duros virtuales, añadiendo, 328-330 discos duros virtuales, optimizando, 345-347
discos duros virtuales, planificación, 320-322, 337 adaptadores de red virtuales, añadiendo y configuración, 330-334, 357 redes virtuales, 319-320 procesadores virtuales, asignar, 319, 354-355 de Windows PowerShell, creando con, 325 de Windows PowerShell, gestionando con, 299 consolidación de carga de trabajo, optimizando, 339-343 adaptadores virtuales de red, 330 a 334, 337, 357, 358 gestión de ancho de banda, 344-345 redes virtuales, 319-320 "Guy Blog Virtual PC", 310, 346 procesadores virtuales, 319 número de, 354-355 interruptores virtuales, 295 a 297, 357 copias de seguridad, 303 tipo de conexión, 311-312 crear, 311-314 características de extensibilidad, 297 perfil, 308 propiedades, perfil, 308 Cuadro de diálogo Administrador de Virtual Switch, 311 (V2V) conversiones de virtual a virtual, 317 identificación de VLAN, 331 VLAN(redes virtuales de área local), 311-312 VMQ
606
(cola de máquina virtual), 332 VMguerrae ESX 4 0.1, 388 Máquinas virtuales VMware, 388 copias de seguridad de volumen, 302-303 volúmenes, 364 creación, 384-387, 417-418 gestión, 394-395 aprovisionamiento, 426-427 resistente, 426-427 tamaño, especificando, 385, 386 Volume Shadow Copy Service (VSS), 302303, 545 conexiones VPN VSS de Acciones SMB File, 303 VSS (Volume Shadow Copy Service), 302, 303
W Web Server (IIS), 433 sitios web, autenticación, 235 Bienvenido a baldosas Administrador de servidores, 86 PMA (Plataforma de filtrado de Windows), 297, 517518 Cmdlet Where-Object, 173, 223
Windows PowerShell
Windows 8 expedientes administrativos plantilla, descargan, 472 políticas de directiva de grupo, nuevo, 468-469 Directiva de grupo de referencia de configuración, 484 RSAT para, 9294, 130-131 Servidor Gerente, correr, 92-93 Firewall de Windows con seguridad avanzada, 515 Evaluación Windows y Deployment Kit (ADK) para Windows 8, 52, 80 Kit de instalación automatizada de Windows (AIK de Windows), 80 de Windows Servicios de implementación, 49, 68, 79 Asistente para la implementación de Windows, 63, 64 páginas que muestran, 64 De Windows Filtering Platform (PMA), 297, 517 a 518 Firewall de Windows con seguridad avanzada, 481, 515 cmdlets para, 526 configurar, habilitar y deshabilitar 516-542, 522 perfiles de firewall, 519-526, 575 reglas de firewall, 526-541 conexiones entrantes, 522-523, 575 IPsec comunicaciones, vigilancia, 565-569 reglas IPsec, 517 de registro, configuración, 524-525 sensibilización ubicación de red, 518 a 519 notificaciones, 523 conexiones de salida, 523 el filtrado de paquetes, 516-517 conexiones de red protegidas, fusión 523 regla, 523 respuestas unicast, 523 Firewall de Windows con seguridad avanzada snap-in, 521 Conexión nodo Reglas de seguridad, 556 reglas de firewall, filtrado, 537 de entrada (o de salida) de nodos, 529 IPsec ajustes, configuración, 548549 nodo Supervisión, 538 nodo raíz, 522 imágenes de Windows edificio, 47 captura y sysprepping, 51, 53, 80 gestión del ciclo de vida, 47-48 Windows Management Instrumentation (WMI) filtrado, 485-486 alternativa a, 486 rendimiento y, 486 de Windows NIC Teaming, 295
Sistema operativo Windows archivos de origen, la importación, 57-58 de Windows PowerShell La administración de Active Directory, 208217 Gestión mayor de Active Directory, 190, 210 a 211 controladores de dominio adicionales, el despliegue, 167, 170-171, 177-178 Módulo ADDSDeployment, 167, 175, 181 Papelera de reciclaje AD, permitiendo, 200, 207 trabajos en segundo plano, 119 a 120, 125 BPAexploraciones, 173 sólo caching-servidores DNS, la configuración, 283285 cmdlets, hallazgo, 212-213, 217, 223 reglas de seguridad de conexión, configuración, 561-562 objetos de directorios borrados, restauración, 201 Conmutación por error DHCP, configurar, 231, 282 a 283 servidores DHCP, gestión, 253-255 Servidores DNS, gestionar, 255-256 despliegue controlador de dominio, scripting, 135, 164-175 instalación de controlador de dominio, la verificación, 172-173 controladores de dominio, degradar, 174 indicaciones elevadas, 169 caracteres de escape, 171 bosques existentes, la implementación de controladores de dominio, 167 características, instalación, 126-127 políticas de grano fino de contraseñas, gestión, 205 resultados de directiva de contraseñas de grano fino, de visión, 206 perfiles de firewall, la configuración, 525-526 reglas de firewall, configurar, 540-541 reglas de firewall, crear, 535 primer controlador de dominio en el nuevo bosque, el despliegue, 164166, 168-170 GPO, creación y gestión, 510 Directiva de grupo, gestión, 489493 ayuda, 123 ayudar, en línea, 124 ayuda, actualizable, 124 Cmdlets de Hyper-V, 314 Hosts de Hyper-V, la configuración, 307-308 módulo de Hyper-V, 298299 Función de Hyper-V, la instalación, 305306
Opciones de instalación, convirtiendo el medio, 42-43 IPsec comunicaciones, vigilancia, 565-569
configuración de IPsec, configurar, 553-555 conexiones iSCSI, estableciendo, 415416 iniciador iSCSI, lo que permite, 401
607
Windows PowerShell (continuación)
Windows PowerShell (continuación) Módulo iSCSI, 400 módulo iscsitarget, 400 discos virtuales iSCSI, creando, 408410 recursos de aprendizaje, 123124 aprendizaje para usar, 252 comandos de varias líneas, 171 Módulo NetSecurity, 526, 553, 561 encuadernaciones de adaptador de red, lo que permite y incapacitante, 253 adaptadores de red, desactivar, 253 adaptadores de red, que muestra, 252 cmdlets de redes, 244-252 redes, gestión, con 244 a 257 unidades de la organización, creando, 217-218 Parámetro -PassThru, 342-343 capacidades de tuberías, 329, 452, 490 requisitos previos cheques, 168, 175, 181 Módulo PrintManagement, 435, 450 a 451 servidores de impresión, gestión, 450-458 los controladores de dominio, instalar, 171 Administración de servidor remoto, la instalación, la comunicación remota 115, 165, 169 de sólo lectura trabajos programados, 120-121, 125, 128129, 299 escritura política de ejecución, configuración, 169 Servidor Instalaciones básicas y, 164 características del servidor, instalar, 114-116 servidor características, perfil, 114115 servidor gestión, automatización con, 119-125 cmdlets Administrador de servidores, 114 servidor roles y funciones, la instalación en varios equipos, 115-116 servidorpapeles, instalación, 114-116, 126-127 servidor papeles, perfil, 114115 servidor papeles, la eliminación, 116-117 almacenamiento compartido, aprovisionamiento y gestión, 423-424 Acciones SMB, creando, 391392 instantáneas, gestión, 349 Módulo de almacenamiento, 372, 387 piscinas de
almacenamiento, creando, 379-381 Espacios de almacenamiento, implementación, 374-375 sintaxis, 247 las cuentas de usuario, crear, 195, 218 a 220 cuentas de usuario, gestión, 208-211 versión 2 0.0, 119 versión 3 0.0, 83, 119, 212 discos virtuales, crear, 384
discos duros virtuales, optimización, 347 máquinas virtuales, configurar, 336 máquinas virtuales, creando, 325 máquinas virtuales, importadores, 325 máquinas virtuales, monitoreo, 350-351 adaptadores de red virtuales, configurar, 334 volúmenes, creando, 386-387 Sintaxis cmdlet Where-Object, 115 Windows Server 2012 el apoyo a, 39 flujos de trabajo, 299 Windows PowerShell Cookbook, segunda edición (Holmes), 124 Windows PowerShell History Viewer, 185, 193 a 194 copias de comandos, 195 Windows PowerShell en acción, segunda edición (Payette), 124 Guía de supervivencia de Windows PowerShell, 124 Windows Server 2003 DNSSEC, 237 gestión remota y, 90 apoyo a 139 , Kit Directorio de Recursos Guía de implementación de Windows Server 2003 Windows Server 2008 138 Activo de Microsoft Press, 138 Windows Server 2008 R2 SP1 copia de evaluación, 2 Windows Server 2008 / Windows Server 2008 R2 DNSSEC, 237
608
Característica Clúster de conmutación por error, 226, 286 gestión remota y, 90, 130 gestión remota, configuración, 92, 95 Windows Server 2012 despliegue, 37-82 Características en desuso, 365, 376, 402, 425, 434 Diskshadow .exe, 303 capa TCP de doble pila IP / IP, 260, 280, 289 entornos de Active Directory existentes, implementación en, 7 Mejoras clústeres de conmutación por error, 301 cuentan con canal de fibra, 321-322 Mejoras de directiva de grupo, 465 políticas de directiva de grupo, nuevo, 468-469 Grupo política de configuración de referencia, 484 opciones de instalación, 38-46 modelo de licencia, 20, 294 mejoras de migración en vivo, 301-302 planificar, 2-18 compartir impresoras, 447 Grupo remota capacidad Política de refresco, 475
ZTI despliegues (Zero Touch Installation)
Windows Server 2012 (continuación) herramientas de administración de servidor remoto, 83-134 pantalla Inicio, 32-33 Espacios de almacenamiento de tecnología, 361-362. Ver también espacios de almacenamiento requisitos del sistema, 20-21 derechos de virtualización, 294 Firewall de Windows con seguridad avanzada, el apoyo 515 de Windows PowerShell, 39 2012 edición Datacenter, 20, 294, 315 de Windows Server, 356 2012 nivel funcional de dominio, 6 de Windows 2012 edición Essentials, 20 Server 2012 nivel funcional de Windows bosque, 6 de Windows Server Servidor Windows Server 2012 Edición Fundación 20 de Windows Server 2012 Licensing & Precios FAQ, 20 de Windows 2012 Edición Standard, 20, 294, 356 Servidor Copia de seguridad de Windows Server, 302-303 Catálogo de Windows Server, 2122, 35 foros de Windows Server, 17 Herramientas migración de Windows Server cmdlets, 17, 18 instalación, 14-17 Endurecimiento servicio de Windows, 518 Servicios de Windows, las reglas de firewall para, 533 extensiones Configuración de Windows para directivas de grupo preferencias, 494, 506 Programador de tareas de Windows planificación de tareas, 120-121 trabajos programados, finalización verificar, 121
Windows Update, 441 binarios, descarga, 108, 116, 118, 133 Carpeta WinSxS, 42-43 la eliminación de los binarios, 45 redes inalámbricas, Hyper-V y, 320 archivos .wim, 47 WMI Query Language (WQL), 485 flujos de trabajo, 299 servidores de grupos de trabajo, gestión remota, 91 cargas de trabajo, virtualizado, 301 disponibilidad de, 301 WQL (WMI Query Language), 485 de protocolo WS-Management, 165
Z Zero Touch Installation (ZTI), 67. Ver las implementaciones también ZTI (Instalación Touch Cero) identificadores de zona, 270, 281 zonas firma, 239-241, 243, 287, 288 visualización, 255 clave de firma de zona (ZSK), 240 Zona Firmar Asistente, 240 ZTI (Zero Touch Installation) despliegues, 67, 69-70, 81 beneficios, 71
609
Sobre el Autor MITC H TULLOC H es un reconocido experto en la administración
de Windows, la implementación y la virtualización. Ha publicado cientos de artículos sobre una gran variedad de sitios de tecnología y ha escrito más de dos docenas de libros, incluyendo el Kit de recursos de Windows 7 (Microsoft Press, 2009), por la que fue el autor principal; La comprensión de Soluciones Microsoft de virtualización: desde el escritorio hasta el centro de datos (Microsoft Press, 2010); y Presentación de Windows Server 2012 (Microsoft Press, 2012), un libro electrónico gratuito que se ha descargado más de un cuarto de millón de veces. Mitch es también el redactor mayor de WServerNews (http://www.wservernews.com), boletín de noticias más importante del mundo se centró en administrador del sistema y los problemas de seguridad para servidores Windows. Publicado semanal, WServerNews ayuda a mantener los administradores de sistemas al día en nuevo servidor y las cuestiones relacionadas con la seguridad, las herramientas de terceros, actualizaciones, mejoras, cuestiones de compatibilidad de Windows, y temas relacionados. Con más de 100,000 suscriptores en todo el mundo, WServerNews es el más grande de noticias de Windows Server centrada en el mundo. Mitch ha sido galardonado en varias ocasiones Most Valuable Professional (MVP) de estado por parte de Microsoft por sus destacadas contribuciones a apoyar a la comunidad global de TI. Él es un MVP ocho veces en el área de la tecnología de Windows Server Setup / Despliegue. Mitch también se ejecuta un negocio en el desarrollo de contenidos de TI con sede en Winnipeg, Canadá, que produce libros blancos y otras garantías para la toma de decisiones de negocio (BDM) y constructor decisión técnica (TDM) audiencias. Su contenido publicado varía de libros blancos sobre las tecnologías de nube de Microsoft a comentarios de productos de terceros diseñadas para la plataforma Windows Server. Antes de iniciar su propio negocio en 1998, Mitch trabajaba como Microsoft Certified Trainer (MCT) para la Productividad Point. Para obtener más información acerca de Mitch, visite el sitio web http://www.mtit.com . UstedTambién puede seguir en Twitter en Mitchhttp://twitter.com/mitchtulloch o un amigo de él en Facebook enhttp://www.facebook.com/mitchtulloch .
Guía de Capacitación: Instalación y configuración Ventanas Server 2012 y Examen 70-410 Este libro está diseñado para ayudar a construir y avanzar en su experiencia en roles de trabajo. Además, cubre algunos de los temas y habilidades relacionadas con el examen de certificación Microsoft 70-410, y puede ser útil como recurso de estudio complementario. Nota: Este libro no está diseñado para cubrir todos los temas del examen; véase el gráfico a continuación. Si usted se está preparando para el examen, utilizar materiales adicionales para ayudar a reforzar su preparación, en conjunto con la experiencia del mundo real. EXAM OBJETIVOS / SKILLS
VERTEMA RELACIONADO COBERTURA AQUÍ
Instalar y configurar SERVIDORES Instale servidores
Los capítulos 1 y 2
Configurar servidores
Los capítulos 2 y 3
Configurar el almacenamiento local
Capítulo 8
Configurar servidor FUNCIONES Y CARACTERÍSTICAS Configurar archivo y compartir el acceso
Capítulo 8
Configurar los servicios de impresión y documentos
Capítulo 9
Configurar servidores para la gestión remota
Los capítulos 2, 3 y 11
CONFIGURAR HYPER-V Crear y configurar los ajustes de la máquina virtual
Capítulo 7
Crear y configurar el almacenamiento de la máquina virtual Creación y configuración de redes virtuales
Capítulo 7 Capítulo 7
Implementación y configuración de Core Network Services Configurar IPv4 e IPv6
Capítulo 6
Implementación y configuración de la configuración dinámica de host Servicios (DHCP) Protocolo Implementar y configurar el servicio DNS
Capítulo 6 Capítulo 6
Instalar y administrar DIRECTORIO ACTIVO Instale los controladores de dominio
Capítulo 4
Crear y administrar usuarios y equipos de Active Directory
Capítulo 5
Creación y gestión de grupos de Active Directory y unidades organizativas (OU)
Capítulo 5
CREAR Y GESTIONAR LA POLÍTICA DE GRUPO Crear objetos de directiva de grupo (GPO)
Capítulo 10
Configurar las políticas de seguridad
Capítulo 10
Configurar las directivas de restricción de aplicaciones
Descubierto
Configurar Firewall de Windows
Capítulo 11
Para obtener información completa sobre el examen 70-410, vaya ahttp://www.microsoft.com/learning/en/ nosotros / exam.aspx? ID = 70-410. Y para más información sobre las certificaciones de Microsoft, vaya ahttp://www.microsoft.com/learning .
Qué hacer te parece este libro? Nosotros quieren saber de usted! Aparticipar en una breve encuesta en línea, por favor visite:
microsoft.com/learning/booksurvey
Decirnosotros lo bien este libro se adapte a sus necesidades -lo que funciona de manera efectiva, y lo que podemos hacer mejor. Sus comentarios nos ayudarán a mejorar continuamente nuestros libros y recursos de aprendizaje para usted. Gracias de antemano por sus comentarios!