Windows Server 2012, new features

WindowsServer2012Logo[1]Hoy vamos a ver algunas de las nuevas funcionalidades que vienen en Windows Server 2012. Me parece interesante antes de ir directamente a los screencast hacer una breve introducción teórica sobre varios de los features. Pueden seguir los temas dedicados a este producto en el Cloud del SideBar del blog, bajo el titulo Windows Server 2012; ya he escrito un par de notas sobre el producto; y tengo mucho mas material para compartir con ustedes, mas después del TechEd 2012 donde pude verlo en funcionamiento y en escenarios mas complejos. Obviamente veremos una breve descripción de cada funcionalidad ya que sino seria interminable, si quieren mayor información les dejo al final de la nota los links relacionados.

www.radians.com.ar © 2012

Algo importante para aclarar, esto puede cambiar ya que estamos en versiones previas del producto.

¿Qué hay de nuevo en AD CS?

Active Directory Certificate Services (AD CS) en Windows Server 2012 ofrece varias nuevas características y capacidades con respecto a versiones anteriores. Disponemos de mejoras en el deployment, gestión y capacidades adicionales de AD CS en Windows Server 2012. Ya he publicado una nota puntual sobre este tema.

ActiveDirectory Domain Services

Active Directory Domain Services (AD DS) en Windows Server 2012 incluye nuevas características que hacen que sea más sencillo y rápido de implementar controladores de dominio (tanto en las instalaciones y en la nube), más flexibles y más fáciles de auditoría y autorizar el acceso a los archivos, y más fácil de realizar tareas administrativas en la escala, ya sea localmente o remotamente, a través de experiencias de gestión consistentes gráficos y secuencias de comandos. Podremos ver varias cosas al respecto, como ser:

  • Clonado de VM,s con DC,s virtualizados simplificado
  • Copia del VHD, script de configuración
  • Permite el deployment rápido de DCs adicionales
  • Solo los administradores del dominio podrán preparar y autorizar DCs para clonado
  • La nueva VM contacta con el DC con rol de emulador PDC, que debe ser Windows 8
  • El PDC comprueba si la operación está autorizada, y en caso afirmativo asigna SID, nombre y contraseña a la VM, la cual completa el proceso de promoción a DC clonado.
  • Seguridad en la virtualización de DCs
  • Detección de aplicación de instantáneas y copia de VMs
  • Generación de un VM-GenerationID asociado al DC en VM durante el dcpromo
  • Mediante comparación del VM-GenerationID en el AD y en el DIT (Windows\NTDS) determina si es correcto: en cada reinicio del DC y en cada transacción. Si no coincide, descarta el RID pool actual y crea uno nuevo para evitar inconsistencias en la creación de USN
  • Integración de AD DS en Server Manager
  • ADprep está integrado en la promoción con Server Manager
  • Validación de prerrequisitos antes del despliegue de DCs
  • AD FS (Active Directory Federation Services) ahora es un rol de Windows 8
  • Podemos unir equipos al dominio desde Internet si tenemos habilitado “Direct Access”
  • Interfaz gráfico para la papelera de reciclaje del AD (en AD Administrative Center)
  • Permite recuperar objetos borrados accidentalmente (con un tombstone de hasta 180 días)
  • Visor de Powershell scripts en AD AC (Administrative Center)
  • AD DS facilita aplicación de Fine-Grained Password Policies, ya presentes desde Server 2008, permitiendo diferentes políticas de contraseñas a distintos grupos de usuarios.
  • Cmdlets de Powershell para administración de AD
  • Creación y configuración de Sitios de AD, enlaces, subredes, y demás
  • Configuración y supervisión de la réplica entre DCs
  • AD BA (AD Based Activation)
  • Activación de clientes mediante el AD (sin necesidad de servidor KMS)
  • AD BA es un rol de W8 server
  • Puede coexistir con servidores KMS
  • KCD (Kerberos Constrained Delegation) entre dominios y bosques
  • Añade KCD intra-dominios e intra-bosques
  • La autorización se hace en el back-end que posee los recursos
  • Ya no requiere permisos de admin del dominio, solo admin de la cuenta en el back-end que proporciona los servicios
  • Flexible Authentication Secure Tunneling (FAST): Kerberos Armoring
  • Reduce ataques de diccionario a logons basados en contraseña
  • Proporciona protección adicional entre clientes y DCs evitando ataques de spoofing

Novedades de Servicios de Active Directory Rights Management Services (AD RMS)?

Activo Directory Rights Management Services (AD RMS) es la función de servidor que proporciona herramientas de gestión y desarrollo que trabajan con tecnologías de seguridad de la industria, incluyendo el cifrado, los certificados y la autenticación para ayudar a las organizaciones a crear soluciones fiables de protección de la información.

Novedades en BitLocker

BitLocker cifra los discos duros en su computadora para proporcionar una mayor protección contra el robo de datos o la exposición en los equipos y unidades extraíbles que se pierden o son robados.

Novedades en BranchCache

BranchCache en Windows Server 2012 y Windows 8 Release Preview proporciona un rendimiento importante, manejabilidad, escalabilidad y disponibilidad de las mejoras.

Novedades en Failover Clustering

Failover clusters nos proporciona una alta disponibilidad y escalabilidad para cargas de trabajo del servidor de muchos. Estos incluyen el almacenamiento compartido de archivos para aplicaciones de servidor, tales como la tecnología Hyper-V y Microsoft SQL Server y el servidor de aplicaciones que se ejecutan en servidores físicos o máquinas virtuales.

Novedades en el Administrador de recursos del servidor de archivos

Servidor de archivos de Resource Manager proporciona un conjunto de características que le permiten gestionar y clasificar los datos que se almacenan en servidores de archivos.

Novedades en Hyper-V

La función Hyper-V permite crear y administrar un entorno virtualizado mediante el uso de la tecnología de virtualización que está integrado en Windows Server 2012. Hyper-V virtualiza el hardware para proporcionar un entorno en el que se pueden ejecutar varios sistemas operativos al mismo tiempo en un equipo físico, mediante la ejecución de cada sistema operativo en su propia máquina virtual.

Con Hyper-V v3.0 dispondremos de las nuevas características:

  • Host: hasta 160 procesadores lógicos y 2 Tb RAM
  • Máquinas Virtuales: hasta 32 procesadores virtuales y 1 Tb RAM
  • Mejoras en la gestión de memoria
  • Soporte para discos con sectores de 4 Kb
  • Soporte arquitectura NUMA (para máquinas multiprocesador)
  • Almacenamiento de VHX en SMB shares
  • Nuevo formato de discos VHXD (mejoras en el rendimiento)

Algo muy bueno, es que ya no va a ser necesario exportar una máquina virtual para luego importarla en otro host.

  • Virtual switches.
  • Virtual SAN. Permite a las máquinas virtuales acceder directamente a una SAN de fibra óptica, sin depender del host. Podremos mover máquinas virtuales de host sin perder el acceso a la SAN.
  • Live Migrations. Podremos migrar una máquina virtual a otro servidor en caliente, sin que los usuarios pierdan acceso a la misma. Esto lo hacíamos con Virtual Machine Manager.
  • Réplica a través de LAN/WAN, SAN o SMB Share. Con esta característica podemos tener una réplica en otro Hyper-V de una máquina virtual, y que ésta pase a dar servicio en caso de fallo de la original.
  • Mejoras para soportar controladores de dominio en máquinas virtuales, tal como hemos mencionado en la parte de AD DS.
  • Hyper-V Metering. Permite evaluar el costo de uso de recursos por las máquinas virtuales por parte de los usuarios.

Novedades en la autenticación Kerberos

Los sistemas operativos Microsoft Windows Server implementa la versión 5 del protocolo Kerberos de autenticación y las extensiones de clave pública y autenticación basada en contraseña. El cliente de la autenticación Kerberos se implementa como un proveedor de soporte de seguridad (SSP) y se puede acceder a través de la Interfaz de proveedor de compatibilidad para seguridad (SSPI).

Novedades para las cuentas de servicios gestionados

Las cuentas de servicio independientes, que fueron introducidas en Windows Server 2008 R2 y Windows 7, son administradas las cuentas de dominio que permita la gestión automática de contraseñas y gestión simplificada SPN, incluida la delegación de la gestión de otros administradores.

Novedades en Remote Desktop Services

El rol de Remote Desktop Services de Windows Server 2012 proporciona tecnologías que permiten a los usuarios conectarse a los escritorios virtuales, programas de RemoteApp y escritorios basados ​​en sesión. Con Remote Desktop Services, los usuarios pueden acceder a las conexiones remotas desde el interior de una red corporativa o desde Internet.

Novedades en la auditoría de seguridad

La auditoría de seguridad es una de las herramientas más poderosas para ayudar a mantener la seguridad de una empresa. Uno de los objetivos clave de las auditorías de seguridad es para verificar el cumplimiento normativo.

Novedades en tarjetas inteligentes

Las tarjetas inteligentes y sus números correspondientes de identificación personal (PIN) son cada vez más popular, forma fiable y rentable de autenticación de dos factores. Con los controles adecuados en el lugar, el usuario debe tener la tarjeta inteligente y conoce el número PIN para acceder a recursos de red.

Novedades de TLS / SSL (Schannel SSP)

Schannel es un Proveedor de compatibilidad con seguridad (SSP) que implementa el protocolo Secure Socket Layer (SSL) y Transport Layer Security (TLS) protocolos de Internet estándar de autenticación. La compatibilidad con seguridad (SSPI) es una API que utilizan los sistemas de Windows para llevar a cabo funciones relacionadas con la seguridad como la autenticación.

Novedades de Windows Deployment Services

Windows Deployment Services es una función de servidor que permite implementar de forma remota los sistemas operativos Windows. Se puede utilizar para configurar equipos nuevos mediante una instalación basada en red.

También disponemos de muchos servicios y features relacionados con la conectividad a servicios de nube, tema fundamental en la nueva gama de productos de Microsoft. En Windows Server 2012 podemos enumerar lo siguiente:

  • Se simplifica el acceso a los recursos desde dentro y fuera de las fronteras de nuestra organización, manteniendo la seguridad de las aplicaciones y proporcionando un servicio de Single SingOn
  • Servicios de Identidad común
  • Federación de identidades
  • Relaciones de confianza entre federaciones
  • Cross-Premises Connectivity: nos permite conectar varias LAN de nuestra organización de forma segura a través de la nube, mediante el rol de Remote Access Server, y con seguridad IKEv2-IPSEC.

Algunos temas interesantes tambien son ReFS y Storage Spaces. En donde con ReFS (Resilient File System), podremos mantener las características de NTFS: ACLs, Enlaces, Bitlocker, y demás, sin disponer de cuotas de disco ni encriptación a nivel de archivos ni de duplicación.  Tenemos algo que se llama “Integrity Streams” que sirve para evitar la corrupción de archivos. Por ejemplo, cuando modificamos un archivo, el nuevo archivo se guarda en otros sectores del disco distintos al del archivo original, lo que permite revertir al estado anterior en caso de corrupción.

El feature “Scrubbing”, en combinación con los Storage Spaces, hace un expurgado de todas las copias de un archivo en los Storage Spaces, y compara sus metadatos. Si se encuentra un archivo corrupto, lo sustituye automáticamente por una copia en buen estado.

Con Storage Spaces, podremos organizar los discos físicos en “Storage Pools”, y en “virtual disks” o “Spaces”, que se ven como un único disco lógico, y que pueden tener distintas tecnologías (USB, SATA, SAS). En un “Pool” podemos crear uno o varios “Spaces”.

  • Dispone de características de paridad y mirroring.
  • Paridad: almacena información adicional para permitir recuperar datos en caso de error
  • Mirroring: se asegura de que la información se almacena en al menos dos discos físicos
  • El tamaño del volumen lógico puede ser mayor que la suma de los discos iniciales, y se puede aumentar con posterioridad.
  • “Thin provisioning”: cuando el SO detecta que necesita más espacio físico, pedirá que se añada un disco

Tambien tenemos soporte nativo de teaming en el propio Sistema Operativo para placas de red, incrementando la disponibilidad de la red, rendimiento y fiabilidad, sin necesidad de instalar software de teaming de terceros.

Windows Server 2012 incorpora un nuevo sistema de copia para movimientos de grandes volúmenes de datos, el ODX (Offload Data Transfer). En lugar de la copia tradicional, este sistema se basa en aprovechar el administrador de copia de datos que tenga implementado nuestro sistema de almacenamiento. ODX inicia una operación de copia mediante una lectura offload, obteniendo un token que representa los datos a copiar en origen. Luego realiza una escritura offload con dicho token; el administrador de copia del dispositivo de almacenamiento realiza el movimiento de datos de acuerdo a la información en el token. Con este sistema se reduce considerablemente el tráfico de red y el uso de procesador. La idea es utilizar esta nueva característica ODX para el deployment de máquinas virtuales, migraciones masivas de datos, y demás operaciones que impliquen la copia de grandes volúmenes de datos.

Espero que les sea de interés, la semana próxima estaré publicando algunos videos de Windows Server 2012. Saludos, Roberto Di Lello.

Mas Información:

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

3 Comments

  1. Estimado, junto con saludarte, te cuento que al momento de ocupar el ntdsutil para restaurar una base de datos completa, me da error de sintaxis

    “authoritative restore: restore database
    error parsing input – invalid syntax”

    Necesito autorizar la base completa, no solo algunos objetos

    Espero su ayuda
    muchas gracias

    Diego Lagos C.

  2. Diego Lagos, disculpa mi demora en contestar pero estuve en el TechEd en USA y estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Te paso un par de logs que te pueden ayudar a solucionar tu problema:
    * Authoritative Restore not performed after non authoritative restore in windows server 2008 R2 http://social.technet.microsoft.com/Forums/en/winserverDS/thread/c9639789-0a46-466d-af53-ce45c34bc1d7

    Lo que deberias verificar es lo siguiente:
    You don’t necessarily need to restore the object in AD booting into DSRM mode, you just need to (net stop ntds )stop/disableActive Directory Domain Services service from services. msc
    Open cmd

    ntdsutil
    activate instance NTDS
    authoritative restore
    restore object “CN=abc,OU=account,DC=MYDOMAIN,DC=COM”

    http://blogs.technet.com/b/marcelodiiorio/archive/2008/11/20/windows-server-2008-active-directory-authoritative-restore-d4-part-1.aspx

    For steps check below link.

    http://technet.microsoft.com/en-us/library/cc779573%28WS.10%29.aspx#BKMK_after_deletions
    The syntax is wrong for specifying OU ou=spt\staff(it should be ou=spt,ou=staff) & if user in USERS contains it has to be cn=ravi,cn=users

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
    Saludos y gracias!

Comments are closed.