Home
About
Archives
Contactenos
Ayuda | Help

12 2016

Active Directory Federation Services (ADFS) en Windows Server 2016

Con Windows Server 2016, tenemos una nueva versión de AD FS disponible para usar con nuestras diversas implementaciones en la nube. Por tal motivo, hoy veremos algunas de las nuevas características y funcionalidad de los Servicios de Federación de Active Directory (AD FS) en esta nueva versión.

Con Windows Server 2016 tenemos serias mejoras en el proceso de actualización, en la forma de realizar nuestra auditoría y en las herramientas de restauración rápida de AD FS. Anteriormente, con las versiones anteriores de AD FS, el proceso de actualizar la granja de servidores incluía la instalación de una nueva granja de servidores para luego, cambiar sus registros de DNS para apuntar a ella. Realmente esto no era lo que llamaríamos comúnmente una actualización sino mas bien una nueva instalación que luego reemplazaría la vieja.

El proceso de actualizar la granja de servidores de AD FS, con esta nueva versión de Windows Server 2016, es muy similar al proceso de actualizar nuestro Active Directory, por lo que es muy familiar y sencillo. Con Active Directory, hablamos de Forest Function Level (FFL) y Domain Function Level (DFL). Con AD FS, hablamos de Farm Behavior Level (FBL).

Ya con la version anterior, es decir con Windows Server 2012 R2, podemos agregar nuevos servidores Windows Server 2016 AD FS a nuestra granja de servidores existente y, luego podemos eliminar nuestros servidores Windows Server 2012 R2 AD FS existentes. Una vez que todos los servidores de nuestra arquitectura de AD FS se estén ejecutando en Windows Server 2016, podemos actualizar el nivel funcional de nuestros servidores y comenzar a aprovechar las nuevas características de AD FS. Si nuestra arquitectura de servidores de AD FS se está ejecutando sin una base de datos SQL (mediante WID), deberemos designar uno de los servidores de servidor de AD del Windows Server 2016 como nodo principal antes de realizar la promoción FBL ejecutando el siguiente cmdlet de PowerShell:

Set-AdfsSyncProperties -Role PrimaryComputer

Una vez que se configuramos el servidor principal de AD FS, necesitaremos hacer una preparación de bosque y una preparación de dominio y, a continuación, ejecutar el cmdlet de PowerShell:

Invoke-AdfsFarmBehaviorLevelRaise

Con la Auditoría mejorada que nos frece Windows Server 2016, nos sera mucho mas facil hacer el seguimiento y control de nuestra arquitectura de AD FS. Quedaran registrados varios eventos de auditoría para un solo evento y, en algunos casos, no registrarán nada. Con Windows Server 2016 AD FS, la auditoría de AD FS está activada de forma predeterminada en el nivel básico. Existen tres posibles niveles de auditoría para los servidores de AD FS: Ninguno, Básico (predeterminado) y Verbose. Siendo Verbose el nivel máximo de auditoria, se registraran todos los eventos, Basic registrará un máximo de 5 eventos para una sola solicitud.

En lo referido a las herramientas de restauración rápida de AD FS, este fue uno de los principales conflictos con una migración a la nube, y el esfuerzo que debíamos realizar para ello. Con AD FS, por ejemplo, podemos tener un "inicio de sesión único", pero requiere que se implementen varios servidores para garantizar la alta disponibilidad.

Con la nueva herramienta de restauración rápida de AD FS, los administradores tenemos la posibilidad de exportar la configuración de un solo servidor AD FS para poder implementar un nuevo servidor AD FS en caso de un fallo del servidor o la herramienta de restauración rápida pueda utilizarse para duplicar nuestro AD FS en un entorno de test.

La herramienta de restauración rápida respalda la siguiente información

  • Base de datos de configuración de AD FS
  • Archivo de configuración de AD FS
  • Certificados de firma de token
  • Certificado SSL y claves privadas correspondientes
  • Proveedores de autenticación personalizados, almacenes de atributos y trusts de proveedores de reclamaciones locales

Esta herramienta se puede descargar gratuitamente de Microsoft, y se puede utilizarse en Windows Server 2016 o en windows Server 2012 R2. Requiere .NET 4.0 o superior instalado en el servidor y el servidor recuperado debe estar en la misma versión que el servidor de origen original. Una vez instalado, podemos hacer una copia de seguridad de un servidor AD FS con el cmdlet Backup-ADFS PowerShell. Las restauraciones se realizan a través del cmdlet Restore-AD FS, tal como hemos visto en el pasado.

Con las Políticas de control de acceso, tenemos la capacidad de admitir reglas personalizadas que permiten a algunos usuarios autenticarse bajo condiciones especificadas. El escenario más común es que los empleados por hora sólo puedan iniciar sesión en su cuenta de correo electrónico de Office 365 cuando están físicamente en el trabajo.

Esto puede lograrse utilizando políticas de emisión de reclamaciones (o por su nombre en ingles: claims issuance policies), pero estas políticas son muy difíciles de configurar y administrar. Con Windows Server 2016 AD FS, tenemos la capacidad de controlar este tipo de autenticaciones a través de políticas de control de acceso que son muy similares a las politicas de grupo en Active Directory.

AD FS tiene plantillas de políticas de control de acceso integradas que nos servirán para cubrir la mayoría de los escenarios comunes que nuestra organización quiera imponer; tales como permitir que un grupo específico autentique o no se autentique en momentos específicos; o que requiera autenticación de múltiples factores para los usuarios que autentican fuera de la red corporativa son ejemplos de políticas de acceso que puede configurar.

Estas son solo algunas de las nuevas características que trae Windows Server 2016 con respecto a Active Directory Federation Services (ADFS), próximamente estaré publicando un video a modo de demo sobre esta característica.

Espero les sea de interés y utilidad. Saludos. Roberto Di Lello


30  11 2016

Active Directory Domain Services (AD DS) en una DMZ?

A menudo tenemos clientes que implementan aplicaciones Web Active Directory en una DMZ que aloja servidores web orientados al público. Estas aplicaciones suelen tener acceso a un Active Directory interno detrás del firewall y autentican a los usuarios del dominio de Active Directory interno.

Esto puede presentar un mayor riesgo de seguridad sobre los servidores web internos y tenemos algunas pautas para elegir el modelo mejor y más seguro de implementación para este escenario. Al implementar Active Directory en una DMZ, es importante utilizar las mejores prácticas.

Hemos completado algunas investigaciones para determinar estas prácticas recomendadas para configurar aplicaciones web en la DMZ que utilizan la autenticación integrada de Windows en IIS y acceder a Active Directory internamente detrás del firewall. Algunas preguntas simples podrían ser:

  • Hay cuatro modelos de implementación: Sin AD (servidor de grupo de trabajo independiente con solo cuentas locales); Isolated forest model (Modelo de bosque aislado); Extended corporate forest model (Modelo de bosque corporativo extendido) y Forest trust model (Modelo de confianza del forest).
  • No puede ejecutar la mayoría de las aplicaciones habilitadas para AD en servidores de grupo de trabajo independientes de Windows en la DMZ.
  • Dispone de varios modelos de arquitectura para permitir el acceso seguro desde una DMZ.
  • El modelo de bosque aislado y el modelo de bosque corporativo extendido que utiliza controladores de dominio de sólo lectura (RODC, Read Only Domain Controllers) proporcionan los riesgos de seguridad más bajos.
  • Todos los modelos se pueden endurecer para proporcionar una seguridad excelente.

Les recomiendo ver la nota de TechNet Active Directory Domain Services in the Perimeter Network (Windows Server 2008) que nos proporciona toda la información necesaria para implementar con seguridad las aplicaciones web habilitadas para AD en la DMZ. Igualmente no deja de ser una discusión interesante que van a tener que tener con Seguridad Informática (cuenten su experiencia y la publicare).

Espero les sea de interés. Saludos. Roberto Di Lello


28  11 2016

Resumen Semanal!

www.radians.com.ar Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean http://www.youtube.com/user/RadiansBlog.

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


23  11 2016

Que son las computadoras cuanticas, la nueva apuesta de Microsoft {News}

Nuevos superordenadores podrán resolver problemas hasta hoy fuera del alcance de los equipos más sofisticados en existencia, con aplicaciones prácticas que mejorarán la vida de millones de personas.

www.radians.com.ar 
Bill Gates, de Microsoft, y Ginni Rometty, de IBM, son dos de los protagonistas en la carrera por lanzar una aplicación práctica de computación cuántica al mercado

Como las primeras computadoras digitales, que revolucionaron el mundo allá por 1957 cuando John Backus creó el primer lenguaje de programación, bautizado FORTRAN, al lograr que los problemas del mundo real pudiesen ser resueltos rápidamente por máquinas; la industria tecnológica se enfrenta en la actualidad a una nueva revolución liderada por la computación cuántica, que promete elevar las posibilidades de procesamiento a niveles hoy sólo imaginables dentro de un contexto de ciencia ficción.

El nuevo paradigma de la computación abre nuevas puertas lógicas con algoritmos que permitirán resolver problemas hasta ahora inabordables por máquinas tradicionales, las cuales, a pesar de haber alcanzado niveles de sofisticación impensables hace sólo unos años, han llegado a un estado cercano al estancamiento en lo que respecta a sus posibilidades de evolución.

A pesar de la proliferación de supercomputadoras que pueden llegar a procesar en la actualidad la friolera de 93 cuatrillones de cálculos por segundo, la computación "clásica" basada en el uso de bits plantea ciertas limitaciones con determinadas tareas de altísima complejidad que hoy día no pueden ser resueltas debido a limitaciones técnicas.

Los distintos avances tecnológicos han hecho que los microchips sean cada vez más pequeños en tamaño y con velocidades de procesamiento impensadas, pero existe un limite lógico en lo que respecta al downsizing y al correcto funcionamiento de los chips. Una vez se llega a la escala de los nanómetros, la situación se complica y los electrones se escapan de los canales por donde deberían circular para que todo funcione de manera esperada.

www.radians.com.ar 
Todd Holmdahl ha estado a cargo de proyectos para Microsoft de la talla de la consola de videojuegos Xbox y hoy lidera la faraónica tarea de llevar a la realidad los esfuerzos de computación cuántica del gigante de Seattle

Esto plantea la necesidad de recurrir a nuevas tecnologías y es por este motivo que distintas compañías tecnológicas se encuentran invirtiendo cifras astronómicas en computación cuántica, la cual surgió por primera vez en 1981, cuando Paul Benioff compartió su visión sobre la utilización de las leyes cuánticas en el mundo de la computación, que para ese entonces recién comenzaba a estallar.

El concepto básico se basa en la suplantación de los voltajes eléctricos por los de nivel cuántico. Explicado para nosotros, los simples mortales, la computación digital opera con bits que sólo pueden representar dos valores: 0 ó 1. En contrapartida, la computación cuántica trabaja basada en leyes de la mecánica cuántica, lo que permite agregar combinaciones de valores: su partícula puede ser 0, 1 o puede ser 0 y 1 a la vez, lo que abre un nuevo mundo de posibilidades pudiendo realizarse varias operaciones a la vez, dependiendo del número de qubits.

Sólo para poner en perspectiva el potencial de la incipiente tecnología, una computadora cuántica de 30 qubits equivaldría a un procesador de tipo convencional de 10 teraflops, lo que significa 10 millones de millones de operaciones por segundo, cuando las computadoras en la actualidad trabajan "sólo" en el rango de los gigaflops, lo que representa miles de millones de operaciones.

Las aplicaciones prácticas de la computación cuántica son infinitas y su impacto en la industria farmacéutica y la inteligencia artificial promete revolucionar dos industrias clave para mejorar la calidad de vida de los seres humanos, además de que colaborarían en el entendimiento de los fundamentos de la física moderna.

www.radians.com.ar 
D-Wave Systems, originaria de Canadá, se convirtió en la primera compañía en comercializar computadoras cuánticas y hoy continúa siendo una de los jugadores clave de una industria en franco crecimiento

Expertos aseguran que la decisión del gigante Microsoft de tomar la delantera y pasar de sólo investigar la tecnología en el plano conceptual a proponerse fabricar un prototipo funcional es un símbolo de la carrera tecnológica que incluye a players de la talla de Google e IBM para ser los primeros en conquistar el nuevo territorio tech de manera masiva.

Según reportes del New York Times, Microsoft ha decidido tomar un camino alternativo con un aproximamiento basado en el "trenzado" de partículas de aniones, las cuales los físicos aseguran que sólo existen en dos dimensiones, para formar los bloques que compondrán la supercomputadora que podrá explotar las propiedades físicas inusuales de las partículas subatómicas.

La empresa a cargo de Bill Gates asegura estar lo suficientemente cerca de de diseñar los bloques de qubits necesarios para comenzar a poner en funcionamiento una computadora completa, con un proyecto a cargo de Todd Holmdahl, el ingeniero detrás de hitos como la consola de juegos Xbox y los lentes de realidad aumentada HoloLens.

IBM, por su parte, invertirá en los próximos cinco años más de USD 4 mil millones en computación cuántica y cerebros sintéticos que imitarán en funcionamiento a los de tipo humano.

www.radians.com.ar
Las computadoras cuánticas de Google recientemente simularon por primera vez una molécula de hidrógeno, lo que promete ser el primer paso para develar los misterios de la física con aplicaciones en la inteligencia artificial

Expertos aseguran que la era del silicón se acerca a su fin, con materiales como los nanotubos de carbón, grafeno y chips de tipo híbrido que permitirán velocidades de procesamiento más rápidas y cálculos más complejos.

Los más conservadores aseguran que las barreras existentes en la actualidad en lo que respecta a los desafíos que presenta la fabricación de maquinas cuánticas utilizables en el mundo real son enormes, tanto en lo que concierne al nivel básico de la física como al desarrollo de nuevo softwares capaces de capitalizar las posibilidades de los nuevos dispositivos.

Fuente: InfoBAE.com


21  11 2016

Resumen Semanal!

Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean http://www.youtube.com/user/RadiansBlog.

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


16  11 2016

Servicios de dominio de Azure AD

www.radians.com.ar Hoy vamos a hablar de Azure y Active Directory. Sabemos que Directory Services o Active Directory es el pilar fundamental en nuestras arquitecturas corporativas. Hoy en día todo esta tendiendo a estar en la nube, mas puntualmente en Azure.

Azure AD Domain Services nos permite implementar sus cargas de trabajo en Azure Infrastructure Services, sin tener que preocuparnos por mantener nuestra infraestructura de identidad, que es basicamente lo que hace nuestro Active directory (validar indentidades). Este servicio administrado es diferente de una implementación típica de Active Directory de Windows Server que se implementa y administra por nuestra cuenta. El servicio está diseñado para facilidad de implementacion, supervisión y remediación automatizadas de la salud y una infraestructura de identidad simple para la nube, donde Microsoft nos ofrece distintas opciones de implementacion que veremos mas adelante.

Hoy nos centraremos en las funciones nos brinda Azure, que podemos hacer y que no? Para empezar el nombre correcto para esta funcionalidad es Azure AD Domain Services, y las cosas que podemos hacer son:

  • Experiencia de implementación sencilla: podemos habilitar servicios de dominio de AD Azure para nuestro ambiente. Independientemente de si es Azure AD esta Azure completamente o si se encuentra sincronizado con nuestro directorio local, nuestro dominio administrado se puede aprovisionar rápidamente.
  • Soporte para domain-join: Soporte para unirse dominio: Podemos fácilmente unirse los equipos a nuestro dominio administrado en la red virtual Azure. Este procedimiento funciona de igual forma que lo hacemos con nuestro dominio hoy en día. Es decir es transparente para las workstation y servers. También podemos utilizar herramientas automatizadas para realizar esta tareas en nuestros dominios.

  • Crear dominios con nombres personalizados: Podemos crear dominios con nombres personalizados (por ejemplo, ‘contoso100.com’) usando los Servicios de dominio de AD Azure. Podemos utilizar nombres de dominio verificados o no verificados. Opcionalmente, también podemos crear un dominio con el sufijo de dominio incorporado (es decir, ‘* .onmicrosoft.com’) que ofrece nuestro directorio de Azure AD.

  • Integrado con Azure AD: No es necesario configurar o administrar la replicación de los Servicios de dominio de AD Azure. Las cuentas de usuario, las pertenencias a grupos y las credenciales de usuario (contraseñas) de nuestro directorio de Azure AD están disponibles automáticamente en los Servicios de dominio de Azure AD. Los nuevos usuarios, grupos o cambios de atributos de su inquilino de Azure AD o de nuestro directorio local se sincronizan automáticamente con los Servicios de dominio de Azure AD.

  • Autenticación NTLM y Kerberos: Con soporte para la autenticación NTLM y Kerberos, podemos implementar aplicaciones que se basan en la autenticación integrada de Windows.

  • Credenciales corporativas / contraseñas: Las contraseñas de los usuarios en su trabajo AD-tenant Azure funcionan sin problemas con los Servicios de dominio de AD Azure. Los usuarios pueden usar sus credenciales corporativas para unirse a máquinas de dominio, iniciar sesión de forma interactiva o en un escritorio remoto y autenticarse en el dominio administrado.

  • Enlace LDAP LDAP y soporte de lectura: Podemos utilizar aplicaciones que dependen de enlaces LDAP para autenticar usuarios en dominios atendidos por los Servicios de dominio de AD Azure. Además, las aplicaciones que usan operaciones de lectura LDAP para consultar atributos de usuario/equipo desde el directorio también pueden funcionar contra los Servicios de dominio de Azure AD.

  • Secure LDAP (LDAPS): Podemos habilitar el acceso al directorio a través de LDAP seguro (LDAPS). El acceso LDAP seguro está disponible en la red virtual de forma predeterminada. Sin embargo, también puede habilitar opcionalmente el acceso LDAP seguro a través de Internet.

  • Group Policy: Se Podemos usar una GPO built-in para las OUs de usuarios y Computadoras para hacer cumplir las políticas de seguridad necesarias para las cuentas de usuario y ordenadores unidos a nuestro dominio.

  • Administracion de DNS: Los miembros del grupo ‘AAD DC Administrators’ pueden gestionar DNS de nuestro dominio administrado usando las herramientas de administración de DNS familiares tales como el MMC Administración de DNS.

  • Crear unidades organizativas (OU) personalizadas: Los miembros del grupo ” ‘AAD DC Administrators’ pueden crear unidades organizativas en el dominio administrado. A estos usuarios se les conceden privilegios administrativos completos sobre las OUs personalizadas, por lo que pueden agregar / eliminar cuentas de servicio, equipos, grupos, etc. dentro de estas OUs personalizadas.

  • High availability: Azure AD Domain Services ofrece alta disponibilidad para nuestro dominio. Esta característica ofrece la garantía de mayor tiempo de servicio y resistencia a fallos. El monitoreo de la integridad de nuestro AD nos ofrece la posibilidad de hacer un diagnostico y evitar el impacto de forma automatizada ante los fallos mediante la creación de nuevas instancias para reemplazar las instancias fallidas y proporcionar un servicio continuo para su dominio.

  • Management Tools: Podemos utilizar las herramientas de administración de Active Directory de Windows Server con las cuales estamos familiarizados como el Centro de administración de Active Directory o Active Directory PowerShell para administrar los dominios gestionados.

Espero les sea de interes y utilidad. Saludos. Roberto Di Lello


11  11 2016

Windows Server 2016, todo para Virtualizar

Windows Server 2016 finalmente está aquí! Trae muchas características nuevas y mejoradas en la mayoría de las áreas de Windows Server. Este artículo se centrará en lo que viene para Hyper-V y tecnologías relacionadas.

Calidad de servicio de almacenamiento (QoS)

Almacenamiento es sin duda el mayor desafío al diseñar los tejidos de virtualización. No es casualidad que las nubes públicas como Microsoft Azure y Amazon Web Services (AWS) pongan un gran énfasis en el diseño de sus máquinas virtuales (VM) con el rendimiento IOPS en mente. (Por supuesto, si implementa una infraestructura de virtualización de la nube privada, se aplican las mismas consideraciones.)

Windows Server 2012 R2 le permite especificar valores mínimos, máximos o ambos, IOPS en una base por disco virtual. Estas IOPS se normalizan en 8KB (puede cambiar la cantidad), por lo que una operación de almacenamiento de 12KB se contaría como dos IOPS. Esto funciona bien siempre y cuando el almacenamiento subyacente (DAS, SAN, SMB 3.0 NAS o Scale Out File Server [SOFS] con espacios de almacenamiento) tenga suficiente rendimiento IOPS para satisfacer todos los hosts. Pero debido a que no hay una policía de almacenamiento central, si hay escasez de recursos, los límites individuales de QoS de almacenamiento no serán respetados.

Ese controlador de política de almacenamiento centralizado ya está disponible en SOFS de Windows Server 2016. Recuerde que los nodos SOFS se pueden implementar frente a una SAN o como parte de una estructura de almacenamiento basada en software que utiliza Espacios de almacenamiento. Puede definir dos tipos de políticas. En uno, todos los equipos virtuales a los que se aplica la política comparten el grupo de IOPS. En el otro, el mismo límite superior e inferior se aplica a todas las máquinas virtuales dentro de esa política.

Esta nueva QoS de almacenamiento no solo aplica límites para eliminar el problema de “vecino ruidoso” o bien garantiza un IOPS mínimo para VMs; También monitorea activamente el tráfico de almacenamiento, proporcionando una buena idea del requisito IOPS para diferentes VMs y cargas de trabajo. Estas directivas se establecen mediante PowerShell en Windows Server 2016, pero el Administrador de máquinas virtuales (VMM) 2016 de System Center proporciona una interfaz gráfica de usuario para crearlas y aplicarlas.

Sumergir un dedo en la piscina de hiper-convergencia

Windows Server 2016 también está realizando un disparo en el espacio hiperconvergido con el nuevo Storage Spaces Direct (S2D), que utiliza almacenamiento interno en nodos para crear volúmenes de espacios de almacenamiento. El almacenamiento puede ser SAS, SATA, SSD o NVMe, pero tenga en cuenta que las unidades SATA deben estar conectadas a una interfaz SAS.

Un competidor directo al VSAN de VMware, S2D requiere un mínimo de tres nodos y puede proporcionar espejo de dos o tres vías para proteger los datos (sólo duplicación bidireccional en un clúster de tres nodos). Tenga en cuenta que S2D puede utilizarse en la implementación hiperconvergida en la que cada nodo de almacenamiento es también un nodo Hyper-V o desagregado donde los nodos de almacenamiento proporcionan servicios de almacenamiento a otros nodos Hyper-V. Este último le permite escalar el almacenamiento y calcular de forma independiente, y ofrece flexibilidad a expensas de más hardware necesario.

Si está buscando un clúster Hyper-V con nodos en dos ubicaciones geográficamente separadas, Windows Server 2016 ahora viene con la réplica de almacenamiento (SR), lo que le permite replicar cualquier tipo de almacenamiento de una ubicación a otra, de forma síncrona o asincrónica.

Software-Defined Networking (SDN)

SDN se introdujo en Windows Server 2012, pero el estándar subyacente NVGRE nunca se apoderó de la industria. Es por eso que en Windows Server 2016 la nueva pila SDN se basa en VXLAN. Si realiza un nuevo despliegue de redes virtuales en Windows Server 2016, el valor predeterminado será VXLAN; Pero todavía puede seleccionar NVGRE.

Si ya ha implementado SDN en Hyper-V en 2012 o 2012 R2, tenga en cuenta que seleccionar NVGRE no le dará interoperabilidad entre las redes virtuales de Windows Server 2012 y Windows Server 2016. Esto se debe a la ubicación en la que se almacena la información sobre qué máquinas virtuales se encuentra en qué host y en qué red virtual. En 2012 se celebró en WMI; En 2016 Microsoft ha adoptado el protocolo OVSDB, que es utilizado por otros proveedores de la red virtual.

Eventualmente, esto debería conducir a la conectividad virtual de la red entre las máquinas virtuales que funcionan en los anfitriones de VMware y de Hyper-V. Tenga en cuenta que no hay un nuevo desarrollo de la pila NVGRE en Windows Server 2016, sino toda una serie de mejoras en la nueva pila, basadas en tecnologías nacidas en Azure, como el Network Controller, el Software Load Balancer (SLB), Network Function Virtualization (NFV) ) Y puerta de enlace RAS para SDN.

Las redes RDMA también han sido revisadas. Ha estado en Windows Server desde 2012 (bajo el nombre de SMB Direct), pero sólo para comunicarse con el almacenamiento de fondo (para igualar el rendimiento de SAN de Fibre Channel). Windows Server 2012 R2 agregó la posibilidad de realizar la migración en vivo a través de RDMA. Pero no se podían usar juntos, así que necesitabas dos telas separadas de RDMA, una para el acceso de almacenamiento y otra para Live Migration (y otro tráfico). Windows Server 2016 introduce Switch Embedded Teaming (SET), que permite utilizar una sola NIC para ambos tipos de tráfico.

Nano Server

El mayor cambio arquitectónico jamás realizado en Windows Server es Nano Server (Figura 1). Como una opción de implementación alternativa para Server Core y Server con una interfaz gráfica de usuario, Nano Server es un servidor de huella de disco mínimo, sin GUI, que le permite agregar sólo la funcionalidad que necesita. Soporta tres funciones actuales: host Hyper-V, host de almacenamiento SOFS y una plataforma de aplicaciones para aplicaciones modernas en la nube. Sólo está disponible a través de los canales de Licenciamiento por Volumen, lo que tiene sentido porque el atractivo es para las grandes empresas y los proveedores de la nube con grandes granjas de servidores.

a01

La historia de la actualización

La historia de actualización ha ido mejorando gradualmente para los clústeres de Hyper-V, aunque todavía no puede igualar la facilidad con la que se pueden actualizar los clústeres de VMware. Windows Server 2012 permitió la migración en vivo de máquinas virtuales a un nuevo clúster de Windows Server 2012 R2, lo que resulta en un tiempo de inactividad cero para cargas de trabajo de aplicaciones. La desventaja es que necesita hardware adicional para crear el nuevo clúster de Windows Server 2012 R2.

La historia de Windows Server 2016 es mejor (para todos los clústeres, no sólo Hyper-V), lo que permite la introducción de los nodos de Windows Server 2016 en un clúster de Windows Server 2012 R2. Al igual que la actualización de Active Directory, el clúster tiene un nivel funcional, por lo que el proceso básico es drenar las VM de un nodo, expulsar el nodo del clúster de Windows Server 2012 R2, formatearlo, instalar Windows Server 2016 e Hyper-V y luego unirse al Nodo de nuevo en el clúster. Se pretende ser un nodo de Windows Server 2012 R2 y las máquinas virtuales pueden ser Live Migrated de nuevo a él. Enjuague y repita para cada host hasta que todos los hosts ejecuten Windows Server 2016. Ahora ejecuta Update-ClusterFunctionalLevel, por lo que es imposible introducir hosts de Windows Server 2012 R2 en él mientras desbloquea las nuevas características de Windows Server 2016.

También hay nuevos formatos de configuración para las máquinas virtuales: los archivos .vmcx almacenan la configuración y los archivos .vmrs conservan el estado de ejecución. Un clúster de modo mixto utilizará los formatos de archivo antiguos hasta que se haya actualizado el nivel funcional del clúster. A continuación, puede actualizar las máquinas virtuales al nuevo formato (durante una ventana de mantenimiento), lo que requiere un apagado y la ejecución de Update-VmConfigurationVersion o un clic derecho en Hyper-V Manager (Figura 2). Una vez actualizado, una VM sólo se ejecutará en los servidores Windows Server 2016.

a02

Copias de seguridad y puntos de control

Hasta ahora, las copias de seguridad de Hyper-V VM se han basado en los servicios de copia de instantáneas de volumen (VSS), al igual que otras herramientas de copia de seguridad en Windows. Esta dependencia se elimina en Windows, haciendo que la copia de seguridad de VM sea una característica de Hyper-V; El uso de Resilient Change Tracking (RCT) ofrece a los proveedores de respaldo de terceros una ventaja en el soporte de Hyper-V.

Esta nueva plataforma también desbloquea un nuevo tipo de instantánea de VM llamada Production Checkpoints. A diferencia de los puntos de verificación en Windows Server 2012 R2 y anteriores, estos utilizan VSS dentro de la máquina virtual, lo que lleva a dos mejoras. En primer lugar, la VM es consciente de que está siendo respaldada y potencialmente restaurada (siempre arranca, en lugar de ser restaurada a un estado en ejecución). En segundo lugar, elimina los riesgos de corrupción de bases de datos distribuidas (Active Directory, DAG de Exchange, etc.), lo que hace que estos puntos de control sean mucho más seguros (ver Figura 3).

a03

Calcular Resiliencia

La agrupación de hosts de virtualización ofrece protección tanto para el tiempo de inactividad planeado como no planificado. Para planificar, simplemente migre las VM en vivo a otros hosts para que no haya tiempo de inactividad en la carga de trabajo de la aplicación; Para unplanned, es una cuestión de reiniciar VMs en otros hosts si un host falla.
Hay veces, sin embargo, cuando la agrupación puede ser perjudicial para la alta disponibilidad. Tomemos el ejemplo de una interrupción corta de la red en uno de los hosts más. Si excede el valor de tiempo de espera de la pulsación, el clúster asumirá que el nodo está inactivo y reinicia todas las máquinas virtuales que se ejecutan en esos hosts en otro lugar, lo que conduce a una posible pérdida de datos y menos disponibilidad.

De forma similar, la pérdida de conectividad de almacenamiento durante más de un minuto provocará que las máquinas virtuales se bloqueen en Windows Server 2012 R2. En Windows Server 2016, las desconexiones de red conducirán a que un host se coloque en modo de aislamiento durante un máximo de cuatro minutos (el número de minutos se puede cambiar), con la conmutación por error que se produce después de esto. Una interrupción de la conectividad del almacenaje llevará a los VMs que son puestos en un estado congelado en vez de estrellarse; Si el almacenamiento vuelve después de un tiempo, simplemente se reanudará donde lo dejaron.

El equilibrio de VMs entre hosts en un clúster de Hyper-V es crucial; En versiones anteriores Microsoft proporcionó esta funcionalidad como Optimización dinámica en System Center Windows Server 2012 R2 VMM. Si no tenías VMM, no tenías suerte, pero Windows Server 2016 proporciona esto como funcionalidad de la bandeja de entrada.

Guardias y Escudos

Hyper-V en Windows Server 2016 es la única plataforma de virtualización que ofrece una solución a la cuestión del control ilimitado de los administradores de host. Si soy el administrador de virtualización, puedo tomar copias de discos duros virtuales, montarlos y realizar ataques sin conexión contra aplicaciones como la base de datos de AD; También podría adjuntar un depurador a una máquina virtual en ejecución e inspeccionar el contenido de la memoria o inyectar código en la memoria de una máquina virtual. Este es un problema con las nubes públicas y los proveedores de alojamiento, pero incluso en las nubes privadas muchas empresas no virtualizar sus controladores de dominio por esta misma razón.

Las VM protegidas resuelven este problema. Una máquina virtual blindada se basa en varias tecnologías diferentes que trabajan en tándem: las máquinas virtuales de generación 2 con chips TPM virtuales permiten el cifrado de disco completo a través de dm-crypt en Linux y BitLocker en máquinas virtuales de Windows. Generación 2 VMs arrancan desde UEFI usando Secure Boot (Windows y Linux), que protege el firmware y los archivos de inicio del sistema operativo.

En el lado del host está Host Guardian Service (HGS), que se ejecuta en tres o más servidores protegidos en un bosque AD independiente del resto de su red. El HGS comprueba la salud de cada host Hyper-V aprobado, con dos niveles de certificación:

  • El certificado de administrador se basa en la adición de hosts de confianza a un grupo en AD.
  • El modo de atestiguación de hardware se basa en un chip TPM 2.0 en cada host para garantizar que el hipervisor está seguro y que no se ha cargado ningún código malicioso antes de que se inicie el sistema operativo.

Por último, el propietario de la aplicación o de la máquina virtual da a los administradores de la estructura archivos cifrados con datos de blindaje que Hyper-V utiliza para desbloquear las máquinas virtuales durante su proceso de inicio. Esto ocurre sin que los administradores de host tengan acceso a los secretos dentro de los datos de blindaje. Debido a que las VM sólo se ejecutarán en hosts específicos confiables, si toma una copia de una máquina virtual, no podrá iniciarla en otro host, ya que no es de confianza.

Esta solución también cifra todo el tráfico de Live Migration y deshabilita los volcados de bloqueo de VM. Si los habilita, se cifran, al igual que los volcados de bloqueo del host. Hoy en día, las máquinas virtuales invitadas necesitan ser Windows Server 2012 o posterior, ya que las VM de Generación 2 no son compatibles con sistemas operativos anteriores.

Hay herramientas integradas para convertir VMs existentes a máquinas virtuales blindadas, y Azure Pack proporciona la interfaz de usuario final para proporcionar los datos de blindaje y las máquinas virtuales de aprovisionamiento.

Debido a que esta solución requiere un nuevo hardware (TPM 2.0 es muy nuevo), es poco probable que esta tecnología vaya a ver una rápida adopción; Pero en el panorama de la seguridad actual es un enfoque innovador para un problema crucial.

Contenedores tan lejanos como los ojos pueden ver

Otra gran novedad en la próxima versión de Windows son los contenedores. Estos ya están disponibles en su PC con Windows 10, si tiene la actualización de aniversario. La capacidad de virtualizar el sistema operativo en copias ligeras en lugar de tener todo el servidor virtual y la pila de SO en cada VM proporciona numerosos beneficios. Los contenedores comienzan en menos de un segundo y usan significativamente menos recursos que las máquinas virtuales. He visto informes de empresas que utilizan contenedores de Windows en ensayos que ejecutan más de 800 contenedores por host.

Pero las garantías de seguridad de los contenedores de Windows (y Linux) son un problema. A pesar de que cada contenedor se ve como un sistema operativo independiente para las aplicaciones que se ejecutan en ellos, la escritura de código malicioso para salir de un contenedor en el sistema operativo host debe ser significativamente más fácil que salir de una máquina virtual.

Debido a esto, Windows Server 2016 ofrece otro sabor de contenedor en forma de contenedores Hyper-V. Aquí, cada contenedor se ejecuta en una VM ligera y separada. Todavía arrancan muy rápidamente, pero proporcionan el aislamiento completo de la seguridad de una VM completa.

Los desarrolladores no necesitan preocuparse acerca de cuál está siendo utilizado; Simplemente desarrollan el uso de contenedores y, en el momento de la implementación, pueden seleccionarse los contenedores de Windows o Hyper-V. Windows Server 2016 también viene con Docker incorporado para la gestión de contenedores. Tenga en cuenta que esto no es una emulación o algo así como “Docker-like”; Es el motor Docker integrado en Windows. Como alternativa, puede usar Windows PowerShell para administrar contenedores. Toda esta bondad de contenedores también permite que Hyper-V realice una virtualización aninhada por primera vez, por lo que puede ejecutar una VM dentro de una VM y así sucesivamente.

Nuevos sistemas de archivos y más

Un sistema de archivos introducido en Windows Server 2012, Resilient File System (ReFS), se utilizó rara vez debido a sus limitaciones. Esos límites ya no existen y ReFS es el sistema de archivos recomendado para alojar máquinas virtuales, ofreciendo migración de punto de comprobación muy rápida y creación increíblemente rápida de discos virtuales grandes y fijos. PowerShell Direct le permite ejecutar cmdlets en máquinas virtuales a través del VMBus, evitando la necesidad de PowerShell Remoting, siempre que tenga las credenciales adecuadas. La réplica de Hyper-V facilita la adición de discos virtuales a las máquinas virtuales sin alterar la replicación en curso y, opcionalmente, agrega el nuevo disco al conjunto replicado.

La adición y eliminación de NIC virtuales ahora son operaciones en línea; Si ha asignado una cantidad fija de memoria a una máquina virtual, ahora puede cambiar esa cantidad mientras se está ejecutando la máquina virtual. Si está realizando la agrupación de invitados de máquinas virtuales con el almacenamiento común proporcionado a través de VHDX compartido, ahora puede realizar copias de seguridad desde el host, así como cambiar el tamaño del archivo VHDX compartido mientras se ejecutan las máquinas virtuales.

El nuevo administrador de Hyper-V, que se muestra en la Figura 4, le permite usar credenciales alternativas para iniciarlo. También puede administrar hosts de Windows Server 2012/2012 R2. Los componentes de integración para las máquinas virtuales se distribuyen ahora a través de la actualización de Windows en lugar de instalarse desde el host.

a04

Hyper-V en Windows

Server 2016 es una gran plataforma en la que construir un tejido de nube privada, con la inclusión de tanta tecnología de redes Azure SDN. Y también es el mejor escalón para una nube híbrida, especialmente con la próxima Azure Stack, que se basa en la plataforma Windows Server 2016 Hyper-V. Hyper-V en Windows Server 2016 es una gran plataforma en la que construir un tejido de nube privada, con la inclusión de tanta tecnología de redes Azure SDN. Y también es el mejor escalón para una nube híbrida, especialmente con la próxima Azure Stack, que se basa en la plataforma Windows Server 2016 Hyper-V.

Fuente: VirtualizationReview.com


11 2016

Twitter en problemas: ¿podra renacer o comenzo su agonia? {News}

La red social atraviesa una crisis de identidad, tras el cierre de VIne y el despido de 350 empleados, encara una reestructuración para atraer a potenciales compradores

04

Disney, Salesforce y Google fueron algunos de los nombres que salieron a la luz, supuestamente interesados en adquirir Twitter. Sólo la firma de servicios en la nube reconoció haber considerado la posibilidad, para luego descartarla

La realidad de Silicon Valley no difiere de la de Wall Street, donde cualquier empresa, no importa cuan prometedora, mesiánica, disruptiva o revolucionaria, está sujeta a desaparecer y eventualmente caer en el olvido.

Distintos casos a lo largo de la última década han servido de recordatorio para muchos gigantes tecnológicos que se creían demasiado poderosos para “pasar a mejor vida”, y sin lugar a dudas uno de los momentos bisagra en la historia desde el surgimiento de Internet y la explosión de la industria tecnológica, con start-ups que se calcula fracasan en un 90% de los casos, ha sido la explosión de la burbuja de las punto com.

Este estadío estuvo marcado por un período de crecimiento en los valores económicos de empresas creadas con la red global como foco y la consecuente corriente especulativa que tuvo lugar desde 1997 hasta 2001, cuando el mercado se encargó de barrer con miles de prometedores sitios web.

Más recientemente las redes sociales han experimentado un proceso similar, más allá de que nadie dude de que han llegado para quedarse y cambiar por completo la forma en la que vivimos desde cómo nos relacionamos con otros hasta cómo gastamos nuestro dinero, conseguimos trabajo y básicamente nos presentamos ante “el mundo”, con distintos intentos fallidos que han marcado el camino para que nuevas start-ups no cometan los mismos errores.

Entre las plataformas que han pasado por el mundo digital sin pena ni gloria se encuentran Google +, la respuesta tardía del omnipresente buscador a la poderosa Facebook, la cual falló rotundamente al no brindar una experiencia superadora para la de la red social de Mark Zuckerberg.

Orkut fue otro engendro de Google, convertida en una de las primeras plataformas sociales online nacida en 2004, incluso anticipándose a Facebook, pero una mezcla de factores entre los que se encontraban una velocidad de respuesta por debajo de lo esperada, el hecho de no poder encontrar los perfiles sociales mediante motores de búsqueda o el no contar con opciones para compartir los posteos como su competidor, hicieron que la red social sólo ganara tracción en Brasil e India por un período corto hasta que Facebook tomó control total a nivel global.

MySpace es otro claro ejemplo de una red social que parecía demasiado poderosa para caer. Lanzada con bombos y platillos en 2003, fue adquirida en 2005 por News Corporation por la friolera en su momento de 580 millones de dólares.

De 2005 a 2009 fue la red social más importante del mundo, incluso superando en 2006 a Google como el sitio más visitado de los Estados Unidos. La llegada de Facebook marcó su ocaso y nunca pudo recuperar su popularidad, con el foco puesto en contenidos musicales más que en las relaciones generadas en el plano digital. Los esfuerzos de sus desarrolladores se concentraron más en generar ingresos mediante publicidades que en crear una plataforma social integral per se, dejando de lado los intereses reales de sus usuarios.

03

El controvertido Jack Dorsey, cofundador y actual CEO de Twitter, se encuentra impulsando un proceso de reestructuración que incluyó el reciente anuncio de despido del 9% de la plantilla de empleados de la red social

El caso de Twitter, la red social basada en San Francisco nacida hace una década que se caracterizó desde el comienzo por ser para el colectivo popular la más “respetable” siendo utilizada por políticos, comunicadores y celebridades para transmitir en 140 caracteres o menos mensajes simples, concisos y directos cambiando por completo la forma en la que empresas e individuos se relacionan con consumidores y seguidores.

Con más de 313 millones de usuarios activos a junio de 2016 e ingresos netos reportados para 2015 de 521 millones de dólares, la red social que popularizó hasta el hartazgo el verbo “tuitear” se encuentra atravesando un período de transición en el que su futuro está en juego.

El reciente anuncio oficial de que la empresa cerraría definitivamente la apliacación Vine puso en alerta a expertos de la industria que aseguran que podría ser el primer gran indicio de la eventual desaparición de Twitter.

La plataforma de sólo tres años de vida sirvió como base para que miles de ignotos y jóvenes aspirantes a comediantes y actores saltaran a la fama mediante videos de sólo seis segundos que en muchos casos superaban en creatividad y uso del humor a muchas producciones de alto presupuesto desarrolladas por medios reconocidos, ayudando a alimentar sin lugar a dudas la nueva tendencia en la que los contenidos nacidos desde y para las redes superan en muchos casos a los desarrollados en televisión y otros medios tradicionales que van camino a un replanteo integral de su modelo de negocios para poder subsistir.

El anuncio del cierre de Vine fue hecho sólo horas después de que Twitter confirmara que realizaría un significativo recorte a su plantilla laboral en un esfuerzo desesperado por ser rentable. Los motivos detrás de la decisión de poner fin a la apuesta de incorporar videos a la red social no fue declarada explícitamente pero analistas aseguran que, a pesar de que Vine gozaba de considerable popularidad, no contaba con una visión de producto clara y la falta de capacidad de mantenerse a la altura de competidores estrella como Snap Inc. le auguraban un futuro incierto a corto plazo.

02

La app de videos de sólo seis segundos Vine no logró despegar, identificada como una plataforma de nicho que nunca tuvo chances reales de competir contra Snapchat y que además no recibió el trato preferencial de su “prima”, Periscope

Los recientes anuncios vinculados a Vine no hacen más que resaltar las similitudes con el status de Twitter, gigante que bajo el mando de su controvertido CEO Jack Dorsey quien se encuentra en una encrucijada que lo obliga a preparar a la empresa que ayudó a crear para una inminente adquisición por parte de algún gigante de los medios a definir, intentando en el proceso pulir lo más posible a Twitter mediante una sucesión de medidas de ajuste que le permitan aparentar ser irresistible ante potenciales interesados en sumarla a su portfolio.

Cuando Twitter adquirió Vine en 2012 por una suma estimada en 30 millones de dólares, el mercado de las apps de video estaba compuesto por una infinidad de opciones pero la red social de los 140 caracteres esperaba apalancarse en su vasta red de usuarios para hacer despegar a Vine, cosa que nunca terminó de suceder en la realidad permaneciendo como una app de culto utilizada por una comunidad muy reducida.

La tremenda popularidad de Snapchat fue uno de los factores claves que colaboró con el deceso de Vine, convertida en la red social con mayores expectativas de crecimiento del mercado, siendo la preferida del codiciado segmento de millenials al que todos apuntan a conquistar hoy día, pero que pocos logran interpretar con éxito y descifrar de manera efectiva sus confusos gustos y preferencias.

El hecho de que la plataforma hermana de transmisión de video en tiempo real Periscope también propiedad de Twitter haya capturado mayor atención por parte de los altos mandos de la empresa probablemente también ayudó a tomar la decisión final de desprenderse de Vine, sobre todo con el reciente cambio de dirección de la red social, ahora concentrada en la transmisión en vivo mediante su plataforma de contenidos deportivos como los juegos de la NFL y los debates presidenciales de la campaña todavía en curso.

01

Zuckerberg de Facebook y Spiegel de Snap atraviesan hoy un buen momento, pero los cambios vertiginosos dentro de la industria sumado a los inestables gustos de ‘millenials’ no les permiten dormir en los laureles

Los despidos que involucran aproximadamente al 9% de la plantilla de la empresa que comprende a unos 350 empleados de departamentos que van desde Ventas, Alianzas y Mercadeo son parte de los esfuerzos de la red social de convertirse en un activo más atractivo y “en forma” para su adquisición, y a la vez volverla rentable como compañía independiente.

Según fuentes de la empresa la reestructuración permite continuar financiando las prioridades más importantes hoy día, eliminando la inversión en áreas no fundamentales para la red social y llegar a un mayor nivel de eficiencia.

Rumores de que gigantes de la talla de Disney, Google y Salesforce estarían interesados en adquirir Twitter no han logrado llegar a concretarse y sólo la empresa dedicada a servicios en la nube salió a declarar en público su real interés por la red social para luego descartar la posibilidad al asumir el CEO de Salesforce Marc Benioff que “no había compatibilidad entre las empresas”.

A pesar de que Dorsey declaró hace sólo días estar tomando todas las medidas necesarias para “asegurar que Twitter esté bien posicionado para un crecimiento a largo plazo”, la ausencia concreta de empresas interesadas en tomar el control de su red social o la existencia de signos reales de crecimiento sostenido, ponen en riesgo la perspectiva a corto plazo de la plataforma favorita del candidato republicano Donald Trump para expresar su ira ante el mundo.

Justamente esta noción de que la plataforma es usada en gran medida para realizar amenazas y declaraciones políticamente incorrectas desde un total anonimato, sumado al hecho de que para muchos restringe la libertad de poder expresar ideas completas dado lo limitado de los caracteres disponibles, hace que los usuarios de redes sociales más jóvenes prefieran expresarse por medio de otras plataformas.

Fuente: InfoBAE.com


11 2016

Resumen Semanal!

www.radians.com.ar Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean http://www.youtube.com/user/RadiansBlog.

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


11 2016

Windows Server 2016, como impactan los niveles funcionales de nuestro Active Directory en nuestro Exchange 2016

www.radians.com.ar Ya hemos hablado varias veces de los niveles funcionales de Active Directory en las distintas versiones de Windows Server, ya sea 2008, 2012, 2012r2 y ahora finalmente 2016. En este caso veremos el impacto sobre nuestro Exchange Server 2016. Es algo a tener en cuenta si estamos pensando en implementar tanto Windows Server 2016 o Exchange Server 2016, o ambos.

En septiembre de este año 2016 se ha publicado una declaración que está causando cierta confusión entre los clientes. La confusión se relaciona con el soporte de Windows Server 2016 con Exchange Server 2016. En el blog se decía: "Los controladores de dominio que ejecutan Windows Server 2016 son compatibles, siempre que el nivel funcional del bosque sea Windows Server 2008R2 o posterior". Por lo cual se debe tener en cuenta varias cosas y entender que es lo que significa esta declaración, que funciona y que no.

  • Preguntaa #1: Si quiero implementar Exchange Server 2016, ¿mi entorno de Active Directory debe usar Forest Functional Level 2008R2 o posterior?
    Respuesta #1: No. Exchange Server 2016 está soportado en entornos configurados para Forest Functional Level 2008 y posteriores.
  • Preguntaa #2: ¿Si quiero instalar Exchange Server en un servidor que ejecuta Windows Server 2016, mi entorno de Active Directory necesita estar en el nivel funcional del bosque a 2008R2 o posterior?
    Respuesta #2: No. Se puede tener la instalación de Exchange Server 2016 en Windows Server 2016 si Active Directory está configurado en Forest Functional Level 2008 y posteriores.
  • Preguntaa #3: ¿Cuál es el requisito real que necesitamos en cuento al nivel funcional de nuestro Active Directory?
    Respuesta #3: Si estamos ejecutando Exchange 2016 en cualquier parte de nuestro entorno y si alguno de los controladores de dominio que utiliza Exchange ejecuta Windows Server 2016, el nivel funcional del bosque debe elevarse a 2008R2 o posterior. Según Microsoft, los clientes que mantienen sus controladores de dominio implementados la versión más reciente del SO, también emplean el más alto nivel de confiabilidad, seguridad y funcionalidad y este requisito no debería ser un bloqueador de implementación.
  • Preguntaa #4: ¿Por qué se requiere el Nivel Funcional Forestal 2008R2 o posterior?
    Respuesta #4: Implementar un nivel más alto de funcionalidad en nuestro Active Directory requiere que los DCs que tengan sistemas operativos antiguos sean retirados. Nuestro objetivo es asegurarnos de que Exchange Server utilice el nivel más alto en referencia a las configuraciones de seguridad, incluyendo los estándares criptográficos más recientes. Windows Server 2008 ya no cumple con el estándar mínimo que estamos requiriendo y que es solicitado por los clientes. Los clientes que están implementando la última versión de Exchange y Windows Server a menudo lo hacen para mejorar la seguridad de su ecosistema general. Nuestro objetivo es asegurarse de que Exchange Server funciona correctamente bajo estas suposiciones y requisitos. Limitar el uso de estándares antiguos permite que Exchange Server cumpla con los requisitos de los estándares de seguridad actuales.
  • Preguntaa #5: ¿Exchange Setup bloqueará la instalación de Exchange Server 2016 si utilizo Windows Server 2016 en un controlador de dominio pero no he aumentado el nivel funcional de bosque?
    Respuesta #5: En este momento, no hay ningún bloque de instalación. Este requisito previo es un requisito “suave” impuesto por una política solamente. Si un cliente llama al soporte y está utilizando los controladores de dominio de Windows Server 2016 con Exchange Server 2016 y no ha aumentado el nivel funcional del bosque al valor mínimo, Microsoft puede pedirnos que lo hagamos como parte de la eliminación de causas raíz ante cualquier inconveniente que tengamos.
  • Preguntaa #6: ¿Cuándo el programa de instalación de Exchange forzará el uso de 2008R2 Forest Functional Level para una instalación de Exchange Server?
    Respuesta #6: El Nivel Funcional del Forest mínimo soportado se elevará a 2008R2 en el Cumulative Update 7 para todas las implementaciones de Exchange Server 2016. Sabemos que los clientes necesitan tiempo para planificar e implementar la migración/desactivación necesaria de los servidores Active Directory. El nivel funcional del bosque 2008R2 será un requisito “duro” en la Cumulative Update 7, impuesta por el programa de instalación de Exchange. Cumulative Update 7 estara disponible en el 3er trimestre de 2017, un año después del primer anuncio.

Para obtener una lista completa de los requisitos de cambio les recomiendo revisar la nota de TechNet.microsoft.com

Espero que les sea de interés. saludos. Roberto Di Lello


31  10 2016

Resumen Semanal!

Calendario2016111111111111111111[1] Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean http://www.youtube.com/user/RadiansBlog.

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


28  10 2016

Windows Server 2016 AD DS {Active Directory Domain Services} –Parte2- Primera Instalacion {ScreenCast}

www.radians.com.ar Hoy vamos a ver como realizar la instalación de Windows Server 2016. Esta será la primera virtual en donde veremos como instalar para luego configurar nuestro rol de AD DS (Active Directory Domain Services) en nuestra arquitectura de Directory Services.

 

Espero les sea de interés y utilidad, les dejo también unos resúmenes en el video como para que sigan con su capacitación. Saludos. Roberto Di Lello.


26  10 2016

Windows Server 2016 AD DS {Active Directory Domain Services} –Parte1-

www.radians.com.ar Como ya vimos, Windows Server 2016 brida soporte Azure (la nube de Microsoft), pero no por eso deja de ser util o tener mejoras para los roles primordiales que son la base de nuestra arquitectura, como es el caso de Directory Services (Active Directory). Algunas de estas mejoras son en lo relativo a los AD DS (Active Directory Domain Services), los Servicios de Federacion o el Time Synchronization; solo por mencionar algunos.

Directory Services o AD DS (Active Directory Domain Services) es uno de los servicios más utilizados nuestras compañías ya que es el pilar fundamental de los entornos corporativos, que brindan servicios básicos de autenticación (autorización) para nuestras aplicaciones y servicios.

Con Windows Server 2016 tenemos nuevas funcionalidades para nuestros roles de Active Directory Domain Services (AD DS) y Active Directory Federation Services (AD FS), muchas de estas características apuntan a www.radians.com.araplicaciones en la nube, ya sean públicas, privadas o híbridas. Esto ya no es una novedad, Microsoft esta tendiendo a volcar todos sus productos hacia la nube y sus variantes, y brindarnos mayor integración hacia ese modelo.

En AD DS por ejemplo, Windows Server 2016 nos da soporte para los “group membership expirations”, lo que permite agregar un usuario a un grupo durante un determinado período de tiempo. Esto es útil para muchas aplicaciones, tales como proporcionar privilegios de administrador por un tiempo limitado con el fin de instalar una aplicación, o por ejemplo al agregar a un equipo de trabajo y su manager en los grupos adecuados para un periodo determinado. Una desventaja esta funcionalidad es que requiere que el nivel funcional de Windows Server 2016, algo que es muy difícil para las grandes organizaciones para poner en práctica debido a la necesidad de actualizar los controladores de dominio en toda la empresa. Aunque tenemos un workaround para las organizaciones que no puedan realizar la actualización, Microsoft recomienda una solución que implica un bosque AD DS “Shadow” con forest-trust junto con grupos de seguridad universal con el fin de conseguir esta funcionalidad. En resumen, este bosque AD DS “Shadow” en el nivel funcional de Windows Server 2016 manejara las pertenencias a grupos junto con sus vencimientos. A su vez estos grupos universales tienen su pertenencia a los grupos legacy de AD DS.

Respecto a la sincronizacion de tiempo, algo no menor y que hemos visto que nos trae mas de un dolor de cabeza, con Windows Server 2016 tenemos varias mejoras: la eliminación de errores de redondeo, haciendo los ajustes más frecuentes, y mejorando la precisión de los 100 de milisegundos a los 10 ‘s de microsegundos.

Microsoft está invirtiendo fuertemente en su estrategia de identidad, no sólo en en las instalaciones servicios como Servicios de dominio de Active Directory y Servicios de federación de Active Directory, sino también Azure AD y sus aplicaciones en la nube con las que se puede integrar. Las identidades corporativas son una gran inversión que ya han hecho muchas empresas, sobre todo aquellas que tienen certificaciones ISO e ISAE.

Respecto a los servicios de federacion que hemos comentado, sirve principalmente (y a grandes rasgos) cómo se permite que las aplicaciones y servicios en la nube para autenticarse en el directorio local. Para empezar, AD FS en Windows Server 2016 apoyará cualquier directorio LDAP v3, no sólo aquellos que ejecutan AD DS. Esto nos permite que nuestras empresas que utilizan un directorio LDAP v3 de terceros federan sus identidades contra Azure AD y Office 365, entre otras cosas.

El login ID puede ser cualquier atributo único del forest, y el alcance de autenticación se puede limitar a una unidad organizativa (OU). Con el soporte a LDAP v3, incluso podemos permitir hacerlo contra un forest que no tiene relación de confianza, algo sumamente útil cuando nuestra empresa compro a otra y tenemos que fusionar nuestra arquitectura con otra.

Una de las característica mas importante de Windows Server 2016 AD FS es referido al control de acceso. Ahora podemos configurar los requisitos, tales como la resistencia a través de la autenticación de múltiples factores, verificar si un equipo es compliance, la identidad del usuario, la pertenencia al grupo, o varios otros factores. Estos requisitos se pueden establecer en función de cada aplicación, por lo que es fácil de requerir una mayor seguridad para las aplicaciones empresariales sensibles, o simplificar los requisitos para aplicaciones que no necesitan los mayores niveles de seguridad.

Control de acceso condicional se puede utilizar incluso para permitir que sólo los dispositivos que se han unido a la instancia de AD Azure corporativa o dispositivos que están siendo gestionado por Microsoft Intune. Con el Control de Acceso Condicional de forma automática e inmediatamente se revoca el acceso a los dispositivos que pierden el cumplimiento de su política de autenticación, lo que requiere el usuario para completar el proceso de inicio de sesión de nuevo con el fin de recuperar el acceso.

También disponemos de soporte para OpenID Connect y Oauth, este soporte para la autenticación basada en estándares, hace que la integración de sus identidades existentes con aplicaciones web que mucho más fácil.

La migración de AD FS de Windows Server 2012 R2 es tan simple como añadir nuevos servidores de Windows Server 2016 a la granja de servidores de AD FS. Una vez que sus servidores AD FS están totalmente actualizados, podemos actualizar la versión de la granja a la AD FS 2016.

Debido a que la conexión entre AD FS y Azure AD es tan crítica, Microsoft introduce AD ​​Azure Conectar la Salud, que proporciona telemetría en las solicitudes de autenticación basada en la aplicación, los tipos de autenticación, ubicación de red o errores de autenticación, incluso información sobre los usuarios con contraseñas débiles. Azure AD Connect Health nos permite no sólo identificar las áreas problemáticas, sino tambien predecir las necesidades de capacidad en función del uso de la aplicación.

Espero que les sea de interes. Roberto Di Lello

Les comparto algunas capturas del proceso de creacion de nuestro domain controller en Windows Server 2016. El dia viernes estare publicando la primera parte del video.

www.radians.com.ar www.radians.com.ar www.radians.com.ar


24  10 2016

Resumen Semanal!

Calendario201611111111111111111[1] Buenos días, estoy publicando el resumen de las notas de la semana pasada. Para aquellos que no entran diariamente; el calendario semanal seria, los días lunes un resumen de la semana y los viernes un laboratorio o nota de mayor interés.

Quería contarles que estoy subiendo videos de los ScreenCast en YouTube en el canal del blog, hay muchos sobre Windows Server 10 TP, Windows 10 TP, Windows Server 2012 R2 y sobre Windows 8.1. Les paso el link para que los vean http://www.youtube.com/user/RadiansBlog.

Como siempre estaré contestando todos y cada uno de ellos! GRACIAS por la paciencia. Esta semana estaré retornando a escribir la nota importante los viernes, ya que en el ultimo tiempo estuve muy, muy complicado. Gracias por todo!

Saludos, Roberto Di Lello.

Resumen Semanal


21  10 2016

Como utilizar Server Manager de Windows Server 2012 r2 para administrar todos nuestros servidores

www.radians.com.arHoy vamos a ver como administrar el resto de nuestros servidores, que no son Windows Server 2012 r2, desde el server manager de esta ultima versión. Es decir, administrar todos los Windows Server 2008 R2 desde el Windows Server 2012 R2. Con esto podremos administrar nuestros Windows tanto locales como remotos, sin necesidad de tener acceso físico a los servidores, o la necesidad de habilitar Remote Desktop (RDP) a cada servidor. Aunque Server Manager soporta la administración remota, servidor y ayudar a aumentar el número de servidores, un administrador puede gestionar.

La consola Server Manager está incluida con Remote Server Administration Tools for Windows 8.1 y Remote Server Administration Tools for Windows 8. Tengamos en cuenta que cuando las herramientas de administración de servidor remoto se instalan en un equipo cliente, no puedemos manejar el equipo local mediante el administrador de servidor; El Administrador de servidores no puede utilizarse para administrar equipos o dispositivos que se están ejecutando un sistema operativo cliente de Windows. Podemos utilizar el administrador de servidores para administrar sólo los servidores basados en Windows

www.radians.com.ar

La consola Server Manager está incluida en Remote Server Administration Tools for Windows 8.1 y en Remote Server Administration Tools for Windows 8. Como en versiones anteriores, como cuando queríamos administrar nuestro servidores desde el server manager de Windows Server 2008 R2, ahora con Windows Server 2012 R2, también tenemos que instalar algunos prerrequisitos:

Si vamos a habilitar el administrador de servidores con Performance Counters desde Windows Server 2008 SP2 o Windows Server 2008 R2 servers, vamos a necesitar el siguiente hotfix: Server Manager in Windows Server 2012 does not retrieve performance data for computers that are running Windows Server 2008 or Windows Server 2008 R2.

Entonces, para habilitar el Server Manager remote management en Windows Server 2012 R2 o en Windows Server 2012 debemos ejecutar el PowerShell como administrador (recuerden, el run as administator) y ejecutamos lo siguiente:

  • Configure-SMRemoting.exe –Enable

Luego, lo para habilitar el Server Manager y Windows PowerShell remote management en servidores con sistemas operativos mas antiguos, es decir, con Windows Server 2008 y Windows Server 2008 R2:

  • Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
  • Configure-SMRemoting.ps1 -force –enable

www.radians.com.ar

Una vez que realizamos esto ya podemos ir a nuestro Windows Server 2012 y hacer un Add Server, y seguir adelante con el Wizard.

www.radians.com.ar

Con esto podremos administrar todos los servidores de nuestra arquitectura desde una sola consola. la mayoría de los servidores en una sola consola. La semana que viene estaré publicando el video de Windows Server 2016, y luego empezaremos a trabajar con esa maquina virtual. Espero que les sea de interés. Saludos, Roberto Di Lello.


Next Page »