Profesor: Rubén Coello Alumnos: Justo Loyola Donoso José...

Profesor: Rubén CoelloAlumnos: Justo Loyola Donoso

José Luis Saa Vargas Sección:

INACAP – Taller Sistemas Operativos II

Profesor Rubén Coello

Índice

...........................................................................................................................................1

Índice....................................................................................................................................................... 2

1. Introducción......................................................................................................................................... 4

2. Historia de Windows Server 2008........................................................................................................5

2.1 Historia de Windows Server 2008 R2................................................................................................6

3. Versiones de Windows Server 2008....................................................................................................7

Windows Server 2008 Foundation.............................................................................................7

Windows Web Server 2008.......................................................................................................8

Windows HPC Server 2008.....................................................................................................10

Windows Server 2008 Standard..............................................................................................12

Windows Server 2008 Enterprise Edition.................................................................................14

Windows Server 2008 Datacenter Edition................................................................................16

Comparación por especificaciones Técnicas.........................................................................................18

Comparación por especificaciones Técnicas.........................................................................................18

3. Requisitos de Sistemas Mínimos y Máximos.....................................................................................21

Windows Server 2008 Tabla Presentación .............................................................................21

Funciones y comparación Windows 2008.............................................................................................21

4. Servicios............................................................................................................................................ 23

5. Características...................................................................................................................................24

6. ¿Qué hay de nuevo en Windows Server 2008 R2?...........................................................................26

6.1 Active Directory Certificate Services (AD CS)....................................................................28

6.2 Active Directory PowerShell cmdlets..................................................................................30

6.3 Active Directory Best Practice Analyzer.............................................................................37

6.4 Active Directory Web Services (ADWS).............................................................................40

6.5 Active Directory Administrative Center...............................................................................43



6.6 Offline Domain Join............................................................................................................47

6.7 Active Directory Recycle Bin..............................................................................................50

6.8 AD DS: Comprobación del mecanismo de autenticación...................................................53

6.9 Windows AppLocker..........................................................................................................55

6.10 Biometrics........................................................................................................................57

6.11 DNS.................................................................................................................................59

6.12 Failover Clusters..............................................................................................................66

6.13 Hyper-V............................................................................................................................72

6.14 Group Policy....................................................................................................................75

6.15 Network Access Protection (NAP)...................................................................................84

6.16 Network Policy Server (NPS)...........................................................................................88

6.17 Networking.......................................................................................................................90

6.18 Server Manager...............................................................................................................96

6.19 Web Server (IIS)............................................................................................................101

6.20 PowerShell.....................................................................................................................104

6. 21 Windows Security Auditing............................................................................................106

6.22 Remote Desktop Services..............................................................................................111

6.23 Otros cambios en Windows Server 2008 R2..................................................................111

Instalador independiente de Windows Update.......................................................................114

7. Versiones de Windows 2008 en línea de Tiempo............................................................................117

7.1 Soporte para las distintas versiones Windows Server 2008.............................................118

........................................................................................................................................................... 119

8. Canales de Distribución de Windows 2008......................................................................................120

9. Conclusión.......................................................................................................................................121

9. Referencias.....................................................................................................................................122



1. Introducción.

Este sistema operativo es el más completo también tuvo uno variantes para cada una de las necesidades las cuales cubrían una gama de clientes dependiendo sus necesidades, pequeñas empresa, media, grandes y multinacionales. También en sus inicios este sistema operativo estaba en versiones de 32 y 64 bits.

Después de un periodo de tiempo se generó una nueva versión la cual solamente está disponible la versión de 64 bits.



2. Historia de Windows Server 2008

Windows Server 2008 es un sistema operativo de servidor, lanzado el 4 de Febrero de 2008.Es el sucesor de Windows Server 2003. Al igual que Windows Vista, Windows Server 2008 se basa en el núcleo Windows NT 6.0.

Entre las mejoras de esta edición, se destacan nuevas funcionalidades para el Active Directory, nuevas prestaciones de virtualización y administración de sistemas, la inclusión de IIS 7.5 y el soporte para más de 256 procesadores.

Service Pack 2

Debido a que Windows Server 2008 se basa en el núcleo Windows NT 6.0 Service Pack 1, la versión final (RTM) es considerada como Service Pack 1; de acuerdo con esto, el primer service pack lanzado será llamado "Service Pack 2". Anunciado el 24 de octubre de 2008, este service pack contiene los mismos cambios y mejoras que el equivalente Windows Vista Service Pack 2, así como la versión final de Hyper-V (1.0) y mejoras que le permiten una reducción del 10% en el uso de energía.

Windows Server 2008 tiene 10 ediciones:

• Windows Server 2008 Standard Edition (32-bit y 64-bit).

• Windows Server 2008 Enterprise Edition (32-bit y 64-bit).

• Windows Server 2008 Datacenter Edition (32-bit y 64-bit).

• Windows HPC Server 2008.

• Windows Web Server 2008 (32-bit y 64-bit).

• Windows Storage Server 2008 (32-bit y 64-bit).

• Windows Small Business Server 2008 (32-bit y 64-bit).

• Windows Essential Business Server 2008 (32-bit y 64-bit).

• Windows Server 2008 para Itanium-based Systems.

• Windows Server 2008 Foundation Server.



2.1 Historia de Windows Server 2008 R2

Microsoft introdujo Windows Server 2008 R2 en la Professional Developers Conference (PDC) del 2008 como una variante de servidor del nuevo sistema operativo Windows 7.Una guía preliminar publicada por la compañía describe muchas áreas de mejora, notablemente la inclusión de un número de nuevas características de virtualización incluyendo Live Migration y Cluster Shared Volumes, un reducido consumo de energía, un nuevo conjunto de herramientas de administración, nuevas características Active Directory como una "papelera de reciclaje" para objetos AD borrados, una nueva versión de IIS (7.5) que incluye un renovado servidor FTP, soporte para DNSSEC y el aumento del número de núcleos de procesamiento de 64 a 256. Los procesadores de 32-bits ya no están soportados.

Algunas mejoras en la opción de instalación Server Core incluyen la remoción total del entorno gráfico del sistema operativo, y el soporte a .NET Framework, incluyendo aplicaciones ASP.NET y soporte para Windows PowerShell.

Las mejoras en el rendimiento fueron un área de desarrollo importante en esta versión; Microsoft anunció que se habían realizado trabajos para disminuir el tiempo de arranque, mejorar la eficiencia de operaciones E/S a la vez que reducir potencia de procesamiento y mejoras generales de velocidad en dispositivos de almacenamiento, especialmente en iSCSI.

Service Pack 1

El Service Pack 1 para Windows Server 2008 R2 y Windows 7 fue anunciado el 9 de febrero de 2011.

Entre los cambios que introdujo se destacan dos nuevas funcionalidades de virtualización, RemoteFX y Dynamic Memory.

Dynamic Memory es una funcionalidad de Hyper-V que ayuda a utilizar la capacidad de la memoria física de forma más eficiente, tratándola como un recurso compartido que puede ser relocalizado entre las máquinas virtuales que se encuentran corriendo; ajusta la cantidad de memoria disponible para una máquina virtual, basándose en los cambios en la demanda y en los valores que se hayan especificado. De esta manera, permite aumentar la densidad de una máquina virtual sin pérdida del desempeño ni escalabilidad.

Remote FX es una tecnología que introduce mejoras en la experiencia final del usuario, integrándose al Protocolo de Escritorio Remoto (RDP). Permite virtualizar el GPU (Unidad de Procesamiento Gráfico) en el servidor, agregar multimedia y experiencias 3D para VDI (Infraestructura de Escritorio Virtual), entre otra características.



3. Versiones de Windows Server 2008

Windows Server 2008 Foundation

Información general

La tecnología probada y confiable de Windows Server Foundation proporciona una base para ejecutar la mayoría de pequeños negocios de aplicaciones. Es una plataforma asequible para la cartera básica de las capacidades de TI, incluyendo compartir archivos e impresoras, acceso remoto y seguridad. Una experiencia de Windows simple y familiar hace que sea fácil para las organizaciones a ponerse en marcha.

Como el corazón de una verdadera red de área local, Windows Server Foundation permite el intercambio seguro de datos de los trabajadores, sin necesidad de correo electrónico o acceso a Internet. Además, Windows Server Foundation proporciona una ruta de actualización sencilla a las versiones más completas de Windows Server, por lo que su solución de IT puede crecer a medida que crece su negocio.

Windows Server Foundation puede crecer junto con sus empresas, proporcionando la capacidad de actualizar a una edición de mayor capacidad de Windows Server según sea necesario. La fácil disponibilidad de mano de obra calificada, la compatibilidad con la mayoría de dispositivos de hardware, y la tranquilidad adquirida en la ejecución de una verdadera basada en Windows Server ayuda a lograr el mayor retorno de la inversión.

Beneficios

Servidor de propósito general

Al estar basado en Windows Server 2008 significa que puede ejecutar, no sólo la infraestructura básica, servicios de escritorio remoto y soluciones de gestión de identidad para su negocio, sino también se puede apoyar a su línea central de negocios (LOB). Windows Server Foundation se basa en la simplicidad y capacidades técnicas que Windows Server 2008 proporciona.

Ofrece la comodidad del canal

Windows Server Foundation viene preinstalado junto con el hardware del servidor.



Windows Web Server 2008


Windows Web Server 2008 fue diseñado para ser usado como un servidor Web de un solo propósito, internet. Se integra con el recién rediseñado IIS 7.0, ASP.NET y Microsoft. NET Framework. Windows Web Server 2008 permite a una organización a implementar rápidamente las páginas web, sitios web, aplicaciones web y servicios web.

Web y aplicaciones de la plataforma

• Mejor administración y diagnóstico.

• Desarrollo avanzado y herramientas de aplicación.

• Menores costos de infraestructura.

• No hay limitación de instalación de Microsoft SQL Server.

• Altamente eficaz plataforma para ASP.NET despliegues basados en web de Internet, ya que incluye el recientemente rediseñado Internet Information Services (IIS) 7.0, ASP.NET de Microsoft, y Microsoft. NET Framework.

• Servicio web dedicado compatible con cuatro sockets x64 y 32 gigabytes (GB) de RAM.

• Precio competitivo para las organizaciones empresariales.

Beneficios

Permite a las organizaciones crear fácilmente nuevas infraestructuras, o integrarse en los entornos existentes.

Los desarrolladores web pueden crear páginas web y servicios que pueden comunicarse con otras plataformas con interfaces basadas en estándares como XML y SOAP. Este nivel de desarrollo de aplicaciones rentable, fomenta la productividad y flexibilidad empresarial, y aumenta las oportunidades de negocio de soluciones.



Administre con facilidad

• Herramientas más eficientes de administración, incluida la administración delegada y la configuración compartida.

• Hosting de gran alcance de Aplicaciones y Servicios.

• Aplicación más amplia de alojamiento para NET, ASP, PHP y servicios de XML.

• Extensibilidad del servidor web en todas partes.

• Menores costos de infraestructura.

• Mejora de la escalabilidad, seguridad y fiabilidad con sandboxing.



Windows HPC Server 2008

Windows HPC Server 2008, la próxima generación de computación de alto rendimiento (HPC), ofrece herramientas de clase empresarial en un entorno HPC altamente productivo. Windows HPC Server 2008 de manera eficiente puede escalar a miles de núcleos de procesamiento, e incluye las consolas de administración que ayudan a supervisar de forma proactiva y mantener la salud y estabilidad del sistema. La interoperabilidad y la flexibilidad de programación de trabajos, permite la integración entre Windows y Linux basados en HPC, y apoya la aplicación de lote y orientada a servicios (SOA) de las cargas de trabajo.


Windows Server 2008 para sistemas basados en Itanium ofrece una base óptima para la mayoría de los análisis de negocios de computación intensiva y crítica y las aplicaciones empresariales. Windows Server 2008 para sistemas basados en Itanium ofrece una plataforma adecuada al fallo resistente de alto nivel substituyendo el sistema RISC/UNIX, de punto flotante de aplicaciones de uso intensivo y aplicaciones que comparten datos entre los procesos.

La estandarización de su centro de datos en la plataforma, basada en estándares de Windows Server 2008, puede mejorar su agilidad y ayudar a conseguir un menor TCO. La migración de las soluciones propietarias RISC/UNIX y mainframe en servidores basados en Itanium con Windows Server 2008 ayuda a mejorar el rendimiento, reducir costes y aumentar la escalabilidad.

Esta edición también ofrece los derechos de licencia para ejecutar un número ilimitado de instancias virtuales de Windows, para sistemas basados en Itanium, cuando se combina con la tecnología de virtualización de terceros.

Beneficios

La fiabilidad, disponibilidad y escalabilidad (RAS) de la plataforma Itanium, junto con capacidades simplificadas de Failover Clustering y escalabilidad de la plataforma le permiten moverse con confianza propia RISC / UNIX y las implementaciones de mainframe a una arquitectura basada en estándares con mayor agilidad y costo total de propiedad (TCO).



Mainframe: Fiabilidad y disponibilidad

• Esta tecnología contribuyen a la fiabilidad de Windows Server 2008 para sistemas basados en Itanium.

Particionamiento dinámico del hardware

• Particiones en el hardware de apoyo, que tanto ayuda a mejorar la confiabilidad y le permite hacer cambios a las particiones del servidor, evitando tiempo de inactividad.

• Permite el trabajo en caliente o el reemplazo de procesadores y memoria que ayuda a aumentar la fiabilidad y utilidad de los sistemas.

Failover Clustering

• Admite clústeres de hasta ocho nodos.

• Failover clustering ofrece amplias capacidades de alta disponibilidad para aplicaciones críticas de negocio de cargas de trabajo.

• El costo marginal de la adición de conmutación por error es bajo, ya que puede tener muchos nodos del clúster que ejecutan la aplicación con un solo nodo de conmutación por error.

Itanium de las funciones RAS

• Mejor memoria ECC, sin afectar la memoria.

• La duplicación de memoria.

• El CRC de la memoria.

• Apoyo unísono, y la arquitectura avanzada Machine Check que ayuda a prevenir, manejar y recuperarse de errores de memoria, mejorando la fiabilidad del sistema.

Escalabilidad masiva

• Apoyo para hasta 64 procesadores Itanium en un único servidor.

• Hasta 2 terabytes de memoria RAM.



Windows Server 2008 Standard


Windows Server 2008 Standard está diseñado para aumentar la fiabilidad y la flexibilidad de su infraestructura de servidores, mientras que ayuda a ahorrar tiempo y reducir costos. Sus potentes herramientas facilitan un mayor control sobre sus servidores y simplifican las tareas de configuración y gestión.

Windows Server 2008 Standard proporciona a las organizaciones la capacidad de ofrecer ricas experiencias basadas en la Web de manera eficiente y eficaz, con una mejor administración y diagnóstico, desarrollo avanzado y herramientas de aplicación, y menores costos de infraestructura.

Incluye tecnologías de virtualización de servidores estándar como Windows Server Hyper-V y mejoras de Servicios de Escritorio remoto.

Beneficios

Web y aplicaciones de la plataforma

• Internet Information Services 7.5

• Internet Information Services (IIS) 7.5, ofrece servidor estensible web con alojamiento de aplicaciones ampliado, manteniendo una excelente compatibilidad y la solución de los retos clave de los clientes.

Virtualización

• Windows Server Hyper-V. Función de virtualización basada en hipervisor incluida como una función de Windows. Contiene todo lo necesario para el soporte de virtualización de la máquina.



Remote Desktop Services

• Servicios de Escritorio remoto con seguridad mejorada.

• Facilidad de administrar la plataforma para la entrega de acceso a las aplicaciones de gestión centralizada y los recursos de Internet mediante el uso de HTTPS.

• Racionalización de la gestión y mejorar el consumo de energía de centros de datos

• Windows Server 2008 puede consumen hasta un 18% menos en comparación con el mismo hardware de Windows Server 2003.

• Mejorar la administración remota

• Administración remota de servidores.

• Consolas de administración gráfica, con línea de comandos o scripts automatizados. Incluye PowerShell 2.0.

• Sistema integrado de Best Practices Analyzer para cada una de las funciones de servidor.

• Conectividad remota simplificada de ordenadores corporativos con DirectAccess.

• Haciendo que la experiencia mejor con Windows 7

• Mejora del rendimiento para las sucursales

• BranchCache reduce el uso de ancho de banda de los enlaces WAN y mejora la experiencia del usuario final en las sucursales locales de almacenamiento en caché de contenido de uso frecuente en la red de oficinas.



Windows Server 2008 Enterprise Edition


Windows Server 2008 Enterprise Edition proporciona altos niveles de disponibilidad del sistema y la escalabilidad para soportar el crecimiento de las aplicaciones de misión crítica. También proporciona una forma rentable de obtener los beneficios de la virtualización.

Windows Server 2008 Enterprise proporciona una alta disponibilidad para aplicaciones de misión crítica como bases de datos, sistemas de mensajería, y servicios de archivos e impresión a través de características tales como conmutación por error y la opción de instalación Server Core. También incluye la tecnología Hyper-V, un sistema flexible de alto rendimiento para el hipervisor de virtualización rentable.

Beneficios

Alta disponibilidad

Windows Server 2008 Enterprise proporciona agrupación robusta, conmutación por error rápida y fácil de manejar y automáticamente toma medidas en el caso de un servidor que ha fallado, se mantiene el servicio para que los usuarios experimentan una interrupción mínima. Conmutación por error en Windows Server 2008 R2 Enterprise soporta hasta 16 nodos.

Server Core

Server Core, una opción de instalación mínima de Windows Server, sólo las capacidades esenciales para una determinada carga de trabajo se instalan, lo que resulta en una mayor fiabilidad, un servidor seguro que está optimizado para el funcionamiento de las aplicaciones más exigentes y servicios, y que requiere menos mantenimiento.

Virtualización rentable

• Consolidar servidores y mejorar la gestión.

• Reducir el costo asociado con el poder, refrigeración y espacio del centro de datos.

• Aumentar la disponibilidad de sus sistemas.

• Optimizar la utilización del sistema y realizar la infraestructura de gestión y ahorro de costes.

• Derechos para ejecutar cuatro Hyper-V de máquinas virtuales.



Una mayor escalabilidad

• Soporte para hasta 64 procesadores x64 física (hasta 256 procesadores lógicos) y 1 Terabyte de memoria RAM.

• El apoyo a un número prácticamente ilimitado de la red privada virtual (VPN) y conexiones de enlace de servicios a distancia.

• Autenticación y autorización para un número virtualmente ilimitado de servicios de acceso a la red y conexiones de red del servidor de directivas.

• Incluye características diseñadas específicamente para trabajar con equipos cliente que ejecutan Windows 7. Conectividad remota simplificada de ordenadores corporativos con DirectAccess.

• Múltiples accesos a los mismos datos se puede servir desde la caché local, mejorando así los tiempos de acceso y reducir el uso de ancho de banda WAN.



Windows Server 2008 Datacenter Edition


Windows Server 2008 Datacenter Edition está optimizado para virtualizaciones a gran escala y cargas de trabajo que requieren los más altos niveles de escalabilidad, fiabilidad y disponibilidad para soportar grandes aplicaciones.

Windows Server 2008 Datacenter proporciona flexibilidad y ahorro de costes. Además también per mite cubrir con las necesidades de memoria y procesamiento a gran escala, especialmente las cargas de trabajo críticas para el negocio, como ERP, bases de datos, consolidación de servidores, y aplicaciones de línea de negocio.

Beneficios

Gran escala de la virtualización

• Windows Server 2008 Datacenter incluye Hyper-V, un sistema flexible de alto rendimiento basada en hipervisor de la tecnología de virtualización.

• Derechos ilimitados de virtualización. Estos derechos le permiten ejecutar un número ilimitado de Hyper-V de máquinas virtuales en servidores físicos.

Una mayor escalabilidad

• Windows Server 2008 Datacenter es fácilmente escalable para adaptarse a las crecientes necesidades de almacenamiento de datos y procesamiento de transacciones.

• Soporte para hasta 64 procesadores x64 física (hasta 256 procesadores lógicos) y 2 terabytes de memoria RAM.

• Apoyo a un número prácticamente ilimitado de la red privada virtual (VPN).

• Autenticación y autorización para un número virtualmente ilimitado de servicios de acceso a la red y conexiones de red del servidor de directivas.



Alta disponibilidad

• Mejora la disponibilidad de las aplicaciones y servicios, incluida la conmutación por error y el apoyo para crear particiones de hardware dinámica.

Failover Clustering

• Ofrece cluster robusto, conmutación por error rápida y fácil de manejar.

• Conmutación por error. Soporta hasta 16 nodos.

• Particionamiento dinámico del hardware

• Windows Server se puede ejecutar en una o más particiones de hardware aislado dentro de un servidor.



Comparación por especificaciones Técnicas

Windows 2008 Server

Datacenter Enterprise Standard WebServer HPC ItaniumSmall Business

X64 1TB 1TB 32GB 32GB 128GB - 32GB

x86 64GB 64GB 4GB 4GB - - 4GB

IA64 - - - - - 2TB -

Comparación por especificaciones Técnicas



Windows 2008 Server R2

Datacenter Enterprise Standard WebServer HPC ItaniumFoundation

HOT ADD MEMORY SI SI NO NO NO SI NO


X64 Datacenter Enterprise Standard WebServer HPC Itanium Foundation

2TB 2TB 32GB 32GB 128GB - 128GB

IA64 - - - - - 2TB -


DatacenterEnterprise StandardWebServer HPC Itanium Foundation

PROCESADORES 64 8 4 4 4 64 1

Roles



3. Requisitos de Sistemas Mínimos y Máximos

Windows Server 2008 Tabla Presentación

Standard

Enterprise DataCenter Itanium

Web Foundation HPC

Versión de 32 bits X X X X

Versión de 64 Bits X X X X X X X

Edición Completa X X X X X X X

SERVER CORE X X X X

Versión Sin Hyper-V

X X X

Funciones y comparación Windows 2008

Features Foundation

Standard Web HPC

Enterprise

Datacenter Itanium

Maximum RAM on x86-64 8 GB 32 GB 32 GB

128 GB 2 TB 2 TB 2 TB

Maximum physical CPUs 1 4 4 4 8 64 64

Cross-file replication (DFS-R) No No No No Yes Yes Yes

Failover cluster nodes (Nodes) No No No No 16 16 8

Fault tolerant memory sync No No No No Yes Yes Yes

Memory modules: Hot addition No No No No Yes Yes YesMemory modules: Hot replacement No No No No No Yes Yes

CPUs: Hot addition No No No No No Yes Yes

CPUs: Hot replacement No No No No No Yes YesNetwork access connections: IAS 10 50 No No Unlimited Unlimited 2Network access connections: RRAS 50 250 No 250 Unlimited Unlimited NoRemote Desktop admin connections 2 2 2 2 2 2 2Remote Desktop Services gateway 50 250 No No Unlimited Unlimited No



Virtual image use rights No Host + 1 VM

Guest

Host + 1 VM

Host + 4 VMs Unlimited

Unlimited



4. Servicios



5. Características

Característica Descripción

Administración de directivas de grupo (Group Policy Management)

Instala el complemento MMC para administrar los objetos GP(GPO).

Administrador de almacenamiento para redes SAN (Storage Manager for Storage Area Networks)

Juego de herramientas para administración central de SANS sobre fibra o iSCSI.

Administrador de recursos del sistema de Windows (Windows System Resource Manager)

Proporciona control de administrador sobre cómo se asignan los recursos de CPU y memoria y ayuda a proporcionar fiabilidad a las aplicaciones.

Asistencia Remota (Remote Assitance)

Nos permite ver y compartir el control del escritorio de un usuario que necesita ayuda.

BranchCache Ayuda a reducir el consumo de banda ancha de clientes ubicados en escenarios de sucursales de oficinas. Los clientes han de ser 2008 R2 o Windows 7.

.Net Framework 3.5.1 Proporciona las API necesarias para que trabajen las aplicaciones.

Copias de seguridad de Windows Server (Windows Server Backup Features)

Herramientas de copia de seguridad y restauración de R2, para el sistema, aplicaciones y datos.

Cifrado de unidad bitlocker (Bitlocker Drive Encryption)

Cifrado de unidad en caso de pérdida o robo.

Cliente de impresión en Internet (Internet Printing Client)

Protocolos necesarios para impresión en la red o internet.

Cliente Telnet (Telnet Client)

Conexiones Telnet a Servidores.

Cliente TFTP (TFTP Client)

Escritura/Lectura hacia un servidor TFTP remoto.

Compresion diferencial remota (Remote Differential Compression)

Permite el cálculo para reducir el ancho de banda necesario a utilizar para transferencia entre dos recursos de red.

Consola de administración de Direct Access (Direct Access Management Console)

Consola MMC usada para administrar y configurar acceso directo a clientes Windows 7 y 2008 R2.



E/S de múltiples rutas (Multipath I/O)

Junto con DSM(Módulo específico de dispositivo) proporciona compatibilidad con el uso de varias rutas de acceso a datos a dispositivos de almacenamiento.

Equilibrio de carga de red (Network Load Balancing)

Compatibilidad para TCP/IP para distribuir el tráfico de red mediante varios servidores.

Experiencia de escritorio (Desktop Experience)

Incluye componentes comunes de escritorio, media player, windows aero, etc… Aún si las características han sido instaladas deben habilitarse manualmente.

Extensión IIS de WinRM (Windows Remote Management IIS Extension)

Comunicación segura con sistemas remotos y locales mediante servicios web.

Herramientas administración remota del servidor (Remote Server Administration Tools)

Administración remota de roles y características desde nuestro servidor R2.

Herramientas de migración de Windows Server (Windows Server Migration Tools)

Instala los cmdlets de PowerShell para migración.

Kit de administración Connection Manager (Connection Manager Administration Kit)

Herramienta para creación de perfiles de Connection Manager para escenarios de VPN.

Marco biométrico de Windows (Windows Biometric Framework)

Servicios compatibles necesarios para dispositivos lectores de huellas dactilares usados en el inicio de sesión.

Message Queue Server Entrega de mensajes garantizada entre aplicaciones.

Monitor de puerto LPR (LPR Port Monitor)

Permite la impresión en impresoras compartidas LPD, comúnmente usadas por servicios UNIX.

Protocolo de resolución de nombres de mismo nivel (Peer Name Resolution Protocol)

Permite a las aplicaciones registrar y resolver nombres en el equipo para que otros equipos puedan comunicarse con éstas.

Proxy RPC sobre HTTP (RPC over HTTP Proxy)

Utilizado por aplicaciones con capacidad de reenvío de tráfico RPC sobre HTTP. El más común es Outlook sobre RPC.

Servicio de transferencia inteligente en segundo plano (Background Intelligence Transfer Service BITS)

Servicio de transferencia asíncrono de archivos.

Servicio WAS (Windows Process Activation Service)

Elimina la dependencia sobre Http para IIS, permitiendo a otras aplicaciones usar protocolos no-http.

Servicio WLAN (Wireless LAN Service)

Servicios y configuraciones necesarios, para trabajar adecuadamente en R2, de los adaptadores Wireless.



Servicios de escritura con lápiz y a mano. (Ink and Hardwritting Services)

Compatibilidad para servicios típicos de Tablets.

Servicios simples TCP/IP (Simple TCP/IP Services)

Proporciona compatibilidad con versiones anteriores y sólo ha de instalarse en caso necesario.

Servicios SNMP (SNMP Services)

Instala agentes para control de la actividad de red.

Servicio de nombres de almacenamiento de Internet (Internet Storage Name Server)

Servicios necesarios para detección y compatibilidad para redes de área de almacenamiento iSCSI.

Servidor SMTP (SMTP Server)

Compatibilidad básica con servicios de transferencia de correo electrónico para mensajes y sistemas de correo electrónico.

Servidor Telnet (Telnet Server)

Proporciona capacidades remotas administrativas de línea de comando para aplicaciones de cliente Telnet.

Servidor WINS (WINS Server)

Resolución de nombres NetBIOS para equipos y grupos de la red, usado como compatibilidad de versiones anteriores.

Subsistema de aplicaciones UNIX (Subsystem for UNIX-based applications)

Permite a R2 ejecutar programas basados en UNIX.

Visor de XPS (XPS Viewer)

Compatibilidad con documentos XPS:

Windows Audio Video Experiencie Plataforma de red para aplicaciones de transmisión de audio y vídeo por secuencias en redes domésticas.

6. ¿Qué hay de nuevo en Windows Server 2008 R2?

Una guía revisor publicado por la compañía describe varias áreas de mejora en la versión R2. Estos incluyen nuevas capacidades de virtualización, reducción del consumo de energía, un nuevo conjunto de herramientas de gestión y las nuevas capacidades de Active Directory como una "papelera de reciclaje" para objetos AD borrados. IIS 7.5 se ha añadido a esta versión que también incluye servicios de servidor FTP actualizados. Incremento de la seguridad incluyen la adición de soporte para DNSSEC servicio DNS Server. Dado que muchas zonas de uso de un algoritmo diferente - incluyendo la zona de las raíces - esto significa que en realidad Windows todavía no puede servir como un resolutor recursivo) y sin cliente cifrado autenticado servicios VPN a través de DirectAccess para los clientes que utilizan Windows 7 - El servidor DHCP soporta un gran número de de mejoras tales como el filtrado de control basado en la dirección MAC, la conversión de concesiones activas en las reservas o los filtros basados en la capa de enlace, agotamiento de direcciones IPv4 a nivel de ámbito, la protección del nombre DHCP para máquinas que no sean Windows para evitar



que el nombre en cuclillas, un mejor rendimiento a través de agresivas caché de base de datos de arrendamiento, DHCP registro de actividades, auto-población de ciertas áreas de interfaz de red, un asistente para la configuración dividida alcance, DHCP migración función de servidor utilizando WSMT, soporte para DHCPv6 Opción 15 Opción 32. El servidor DHCP se ejecuta en el contexto de la cuenta de servicio de red que tiene menos privilegios para reducir el daño potencial si comprometida.

Windows Server 2008 R2 soporta hasta 64 procesadores físicos o hasta 256 procesadores lógicos por sistema. Cuando se implementa en una función de servidor de archivos, los nuevos servicios de infraestructura de clasificación de archivos permiten a los archivos que se almacenan en los servidores designados en la empresa basada en las convenciones de nombres de negocios, la relevancia de los procesos de negocio y las políticas corporativas globales.

Server Core incluye un subconjunto de. NET Framework, por lo que algunas aplicaciones se pueden utilizar.

Mejora del rendimiento era una importante área de enfoque para esta versión, Microsoft ha declarado que se ha trabajado para reducir el tiempo de arranque, mejorar la eficiencia de las operaciones de E/S utilizando menos potencia de procesamiento, y en general, mejorar la velocidad de los dispositivos de almacenamiento, especialmente en iSCSI.

Active Directory tiene varias características nuevas en la crianza de los bosques y los niveles funcionales de dominio a Windows Server 2008 R2 - Al subir el nivel funcional de dominio, dos características añadidas son la autenticación Mecanismo de Garantía y Administración SPN automática. Al elevar el nivel funcional del bosque, la función de papelera de reciclaje de Active Directory está disponible y se puede activar mediante el Módulo de Active Directory para Powershell.



6.1 Active Directory Certificate Services (AD CS)

Ahora permite una implementación más flexible de una infraestructura PKI, reduce administración y soporta NAP.

Los Servicios de certificados de Active Directory (AD CS) proporcionan servicios personalizables para emitir y administrar certificados de claves públicas que se usan en sistemas de seguridad de software que emplean tecnologías de clave pública.En las siguientes secciones, se proporciona más información acerca de AD CS, las características obligatorias y opcionales, y el hardware y software usados para ejecutar AD CS. Al final de este tema, se describe el procedimiento para abrir la interfaz de administración de AD CS y se indica cómo obtener más información.

Características de AD CS

Si usa el Administrador del servidor, puede instalar los siguientes componentes de AD CS:

• Entidades de certificación (CA). Las entidades de certificación raíz y subordinadas se usan para emitir certificados para los usuarios, equipos y servicios, y para administrar la validez de los certificados.

• Inscripción web de CA. La inscripción web permite a los usuarios conectarse con una entidad de certificación mediante un explorador web para solicitar certificados y recuperar listas de revocación de certificados (CRL).

• Respondedor en línea. El servicio Respondedor en línea acepta solicitudes de estado de revocación para certificados específicos, evalúa el estado de estos certificados y devuelve una respuesta firmada que contiene la información solicitada sobre el estado de los certificados.

• Servicio de inscripción de dispositivos de red. El Servicio de inscripción de dispositivos de red permite obtener certificados para enrutadores y otros dispositivos de red que no disponen de cuentas de dominio.

• Servicio web de inscripción de certificados. El Servicio web de inscripción de certificados permite a usuarios y equipos realizar una inscripción de certificados en que se usa el protocolo HTTPS. Junto con el Servicio web de directiva de inscripción de certificados, permite la inscripción de certificados basada en directivas si el equipo cliente no es miembro de un dominio o si un miembro del dominio no está conectado al dominio.



• Servicio web de directiva de inscripción de certificados. El Servicio web de directiva de inscripción de certificados permite a usuarios y equipos obtener información sobre directivas de inscripción de certificados. Junto con el Servicio web de inscripción de certificados, permite la inscripción de certificados basada en directivas si el equipo cliente no es miembro de un dominio o si un miembro del dominio no está conectado al dominio.

Ventajas de AD CS

Las organizaciones pueden usar AD CS para aumentar la seguridad al enlazar la identidad de una persona, un dispositivo o un servicio con la clave privada correspondiente. AD CS proporciona a las organizaciones un método rentable, eficaz y seguro para administrar la distribución y el uso de certificados.Algunas de las aplicaciones compatibles con AD CS son las extensiones seguras multipropósito al correo de Internet (S/MIME), las redes inalámbricas seguras, las redes privadas virtuales (VPN), el protocolo de seguridad de Internet (IPsec), el Sistema de cifrado de archivos (EFS), el inicio de sesión con tarjeta inteligente, los protocolos Capa de sockets seguros y Seguridad de la capa de transporte (TLS/SSL) y las firmas digitales.

Entre las nuevas características de AD CS en Windows Server 2008 R2, se encuentran las siguientes:

• Inscripción de certificados en que se usa el protocolo HTTPS.

• Inscripción de certificados a través de los límites del bosque de Servicios de dominio de Active Directory (AD DS).

• Compatibilidad mejorada para la emisión de un número elevado de certificados.

• Compatibilidad para entidades de certificación en una instalación Server Core de Windows Server 2008 R2.

Consideraciones de hardware y software

Aunque AD CS se puede implementar en un único servidor, muchas implementaciones incluyen varios servidores configurados como entidades de certificación, otros servidores configurados como Respondedores en línea y otros que actúan como portales de inscripción web. Las entidades de certificación se pueden instalar en servidores que ejecutan diferentes sistemas operativos, incluidos Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 y Windows 2000 Server. Sin embargo, no todos los sistemas operativos son compatibles con todas las características ni requisitos de diseño, por lo que la creación de un diseño óptimo precisará de una cuidadosa planeación y pruebas antes de implementar AD CS en un entorno de producción.



6.2 Active Directory PowerShell cmdlets

Como el nombre lo dice, son nuevos cmdlets administrativos en PowerShell para Active Directory.

Cambios más importantes

El Módulo de Active Directory para Windows PowerShell proporciona un scripting de línea de comandos con un vocabulario y una sintaxis coherentes destinado a tareas administrativas, de configuración y de diagnóstico. El Módulo Active Directory permite una capacidad de administración de un extremo a otro con Exchange Server, la directiva de grupo y otros servicios.

¿Para qué sirve el módulo Active Directory?

Windows PowerShell™ es un shell de línea de comandos y lenguaje de scripting que ayuda a los profesionales de las tecnologías de la información (TI) a controlar la administración del sistema más fácilmente, así como a lograr una mayor productividad.

El Módulo Active Directory en Windows Server 2008 R2 es un módulo de Windows PowerShell (llamado ActiveDirectory) que consolida un grupo de cmdlets. Estos cmdlets se pueden usar para administrar los dominios de Active Directory, los conjuntos de configuración de Active Directory Lightweight Directory Services (AD LDS) y las instancias de la herramienta de montaje de bases de datos de Active Directory en un único paquete independiente.

En Windows Server 2000, Windows Server 2003 y Windows Server 2008, los administradores usaban distintas herramientas de línea de comandos y complementos Microsoft Management Console (MMC) para conectarse a los dominios de Active Directory y a los conjuntos de configuración de AD LDS para supervisarlos y administrarlos. El Módulo Active Directory en Windows Server 2008 R2 proporciona una experiencia centralizada para administrar el servicio de directorio.

¿Qué nueva funcionalidad aporta el módulo Active Directory?

El Módulo Active Directory está compuesto del proveedor del Módulo Active Directory y de los cmdlets del Módulo Active Directory.



Proveedor del módulo Active Directory

Los administradores pueden usar el proveedor del Módulo Active Directory para navegar y obtener acceso fácilmente a los datos almacenados en los dominios de Active Directory, en las instancias de la herramienta de montaje de bases de datos de Active Directory y en las instancias y conjuntos de configuración de AD LDS. El proveedor del Módulo Active Directory expone la base de datos de Active Directory mediante un sistema de navegación jerárquico, muy parecido al sistema de archivos. Por ejemplo, mientras usa el Módulo Active Directory, puede usar los siguientes comandos para navegar por el directorio:

• cd

• dir

• remove

• .

• ..

El proveedor del Módulo Active Directory también sirve para asignar dominios de Active Directory, instancias de AD LDS e instancias de la herramienta de montaje de bases de datos de Active Directory a unidades específicas del proveedor. Cuando se carga el Módulo Active Directory por primera vez, se monta una unidad de Active Directory (AD:) predeterminada. Para conectarse a esa unidad, ejecute el comando cd AD:. Para conectar una nueva unidad de proveedor a un dominio de Active Directory, un servidor AD LDS o una instancia de la herramienta de montaje de bases de datos de Active Directory, se puede usar el siguiente cmdlet:

New-PSDrive -Name <name of the drive> -PSProvider ActiveDirectory -Root "<DN of the partition/NC>" –Server <server or domain name (NetBIOS/FQDN)[:port number]> -Credential <domain name>\<username>

Cmdlets del módulo Active Directory

Los cmdlets del Módulo Active Directory se pueden usar para realizar diversas tareas administrativas, de configuración y de diagnóstico en los entornos de AD DS y AD LDS. En esta versión de Windows Server 2008 R2, el Módulo Active Directory puede servir para administrar las cuentas de equipo y usuario, grupos, unidades organizativas (OU), dominios y bosques, controladores de dominio y directivas de contraseñas de Active Directory existentes, o bien para crear unos nuevos.En la siguiente tabla se enumeran todos los cmdlets disponibles en esta versión del Módulo Active Directory en Windows Server 2008 R2.



Cmdlet Descripción

Disable-ADAccount Deshabilita una cuenta de Active Directory.

Enable-ADAccount Habilita una cuenta de Active Directory.

Search-ADAccount Obtiene cuentas de usuario, de equipo y de servicio de Active Directory.

Unlock-ADAccount Desbloquea una cuenta de Active Directory.

Get-ADAccountAuthorizationGroup Obtiene los grupos de seguridad de Active Directory que contienen una cuenta.

Set-ADAccountControl Modifica los valores de Control de cuentas de usuario (UAC) relativos a una cuenta de Active Directory.

Clear-ADAccountExpiration Borra la fecha de expiración de una cuenta de Active Directory.

Set-ADAccountExpiration Establece la fecha de expiración de una cuenta de Active Directory.

Set-ADAccountPassword Modifica la contraseña de una cuenta de Active Directory.

Get-ADAccountResultantPasswordReplicationPolicy

Obtiene la directiva de replicación de contraseñas resultante de una cuenta de Active Directory.

Get-ADComputer Obtiene uno o varios equipos de Active Directory.

New-ADComputer Crea un nuevo equipo de Active Directory.

Remove-ADComputer Quita un equipo de Active Directory.

Set-ADComputer Modifica un equipo de Active Directory.

Add-ADComputerServiceAccount Agrega una o varias cuentas de servicio a un equipo de Active Directory.



Get-ADComputerServiceAccount Obtienen las cuentas de servicio que hospeda un equipo de Active Directory.

Remove-ADComputerServiceAccount Quita una o varias cuentas de servicio de un equipo.

Get-ADDefaultDomainPasswordPolicy Obtiene la directiva de contraseñas predeterminada de un dominio de Active Directory.

Set-ADDefaultDomainPasswordPolicy Modifica la directiva de contraseñas predeterminada de un dominio de Active Directory.

Move-ADDirectoryServer Traslada un controlador de dominio en AD DS a un nuevo sitio.

Move-ADDirectoryServerOperationMasterRole Traslada roles de maestro de operaciones, también conocidos como FSMO (Operaciones de maestro único flexible), a un controlador de dominio de Active Directory.

Get-ADDomain Obtiene un dominio de Active Directory.

Set-ADDomain Modifica un dominio de Active Directory.

Get-ADDomainController Obtiene uno o varios controladores de dominio de Active Directory en función de criterios de servicios detectables, parámetros de búsqueda o proporcionando un identificador de controlador de dominio, como el nombre de NetBIOS.

Add-ADDomainControllerPasswordReplicationPolicy

Agrega usuarios, equipos y grupos a la lista de permitidos o denegados de la Directiva de replicación de contraseñas (PRP) del controlador de dominio de solo lectura (RODC).

Get-ADDomainControllerPasswordReplicationPolicy

Obtiene los miembros de la lista de permitidos o denegados de la PRP del RODC.

Remove-ADDomainControllerPasswordReplicationPolicy

Quita usuarios, equipos y grupos de la lista de permitidos o denegados de la PRP del RODC.

Get-ADDomainControllerPasswordReplicationPolic

Obtiene la directiva de contraseñas resultante de la ADAccount especificada en el RODC especificado.



yUsage

Set-ADDomainMode Establece el nivel funcional de dominio de un dominio de Active Directory.

Get-ADFineGrainedPasswordPolicy Obtiene una o varias directivas de contraseñas específicas de Active Directory.

New-ADFineGrainedPasswordPolicy Crea una nueva directiva de contraseñas específica de Active Directory.

Remove-ADFineGrainedPasswordPolicy Quita una directiva de contraseñas específica de Active Directory.

Set-ADFineGrainedPasswordPolicy Modifica una directiva de contraseñas específica de Active Directory.

Add-ADFineGrainedPasswordPolicySubject Aplica una directiva de contraseñas específica a uno o más usuarios y grupos.

Get-ADFineGrainedPasswordPolicySubject Obtiene los usuarios y grupos a los que se aplica una directiva de contraseñas específica.

Remove-ADFineGrainedPasswordPolicySubject

Quita uno o varios usuarios de una directiva de contraseñas específica.

Get-ADForest Obtiene un bosque de Active Directory.

Set-ADForest Modifica un bosque de Active Directory.

Set-ADForestMode Establece el modo de bosque de un bosque de Active Directory.

Get-ADGroup Obtiene uno o varios grupos de Active Directory.

New-ADGroup Crea un grupo de Active Directory.

Remove-ADGroup Quita un grupo de Active Directory.

Set-ADGroup Modifica un grupo de Active Directory.

Add-ADGroupMember Agrega uno o varios miembros a un grupo de Active Directory.



Get-ADGroupMember Obtiene los miembros de un grupo de Active Directory.

Remove-ADGroupMember Quita uno o varios miembros de un grupo de Active Directory.

Get-ADObject Obtiene uno o varios objetos de Active Directory.

Move-ADObject Traslada un objeto de Active Directory o un contenedor de objetos a otro contenedor o dominio.

New-ADObject Crea un objeto de Active Directory.

Remove-ADObject Quita un objeto de Active Directory.

Rename-ADObject Cambia el nombre de un objeto de Active Directory.

Restore-ADObject Restaura un objeto de Active Directory.

Set-ADObject Modifica un objeto de Active Directory.

Disable-ADOptionalFeature Deshabilita una característica opcional de Active Directory.

Enable-ADOptionalFeature Habilita una característica opcional de Active Directory.

Get-ADOptionalFeature Obtiene una o varias características opcionales de Active Directory.

Get-ADOrganizationalUnit Obtiene una o varias OU de Active Directory.

New-ADOrganizationalUnit Crea una nueva OU de Active Directory.

Remove-ADOrganizationalUnit Quita una OU de Active Directory.

Set-ADOrganizationalUnit Modifica una OU de Active Directory.

Add-ADPrincipalGroupMembership Agrega un miembro a uno o varios grupos de Active Directory.

Get-ADPrincipalGroupMembership Obtiene los grupos de Active Directory que contienen un usuario, equipo o grupo especificados.

Remove-ADPrincipalGroupMembership Quita un miembro de uno o varios grupos de Active



Directory.

Get-ADRootDSE Obtiene la raíz de un árbol de información del controlador de dominio.

Get-ADServiceAccount Obtiene una o varias cuentas de servicio de Active Directory.

Install-ADServiceAccount Instala una cuenta de servicio de Active Directory en un equipo.

New-ADServiceAccount Crea una nueva cuenta de servicio de Active Directory.

Remove-ADServiceAccount Quita una cuenta de servicio de Active Directory.

Set-ADServiceAccount Modifica una cuenta de servicio de Active Directory.

Uninstall-ADServiceAccount Desinstala una cuenta de servicio de Active Directory de un equipo.

Reset-ADServiceAccountPassword Restablece la contraseña de una cuenta de servicio de un equipo.

Get-ADUser Obtiene uno o varios usuarios de Active Directory.

New-ADUser Crea un nuevo usuario de Active Directory.

Remove-ADUser Quita un usuario de Active Directory.

Set-ADUser Modifica un usuario de Active Directory.

Get-ADUserResultantPasswordPolicy Obtiene la directiva de contraseñas resultante de un usuario.



6.3 Active Directory Best Practice Analyzer

Por fin un buen BPA para Active Directory completo que nos puede decir dónde está el error de configuración.


El Analizador de procedimientos recomendados (BPA) es una herramienta de administración del servidor que está disponible en Windows Server 2008 R2 para los siguientes roles:

• Servicios de dominio de Active Directory (AD DS)

• Servicios de certificados de Active Directory (AD CS)

• Servidor DNS

• Terminal Services

El BPA de AD DS ayuda a implementar los procedimientos recomendados en la configuración del entorno de Active Directory. El BPA de AD DS examina el rol del servidor AD DS tal como está instalado en los controladores de dominio de Windows Server 2008 R2 y crea un informe con las infracciones de los procedimientos recomendados. El usuario puede filtrar o excluir los resultados de los informes del BPA de AD DS que no necesita ver. También puede realizar tareas del BPA de AD DS mediante la interfaz gráfica de usuario (GUI) del Administrador del servidor o mediante los cmdlets de la interfaz de línea de comandos de Windows PowerShell. Para obtener más información,

¿Qué nueva funcionalidad aporta el BPA de AD DS?

El Administrador del servidor de Windows Server 2008 R2 incluye un motor del BPA que puede ejecutar el servicio BPA de AD DS. El servicio BPA de AD DS tiene los siguientes componentes:

• Script de Windows PowerShell para el BPA de AD DS: este script recopila los datos de configuración de AD DS y los almacena en un documento XML.

• Esquema XML: este esquema define el formato, que sigue la estructura lógica del directorio, del documento XML que genera el script de Windows PowerShell para el BPA de AD DS.

• Reglas del BPA de AD DS: estas reglas definen la configuración de los procedimientos recomendados para un entorno de AD DS.



• Instrucciones del BPA de AD DS: esta información puede ayudar a los administradores a realizar ajustes en el entorno de AD DS para cumplir con la configuración de procedimientos recomendados.

Cuando se ejecuta el análisis BPA de AD DS en un controlador de dominio, el motor BPA invoca el script de Windows PowerShell para el BPA de AD DS que recopila los datos de configuración del entorno de AD DS al que pertenece este controlador de dominio.

A continuación, el script de Windows PowerShell para el BPA de AD DS guarda los datos de configuración de AD DS recopilados en un documento XML. El motor en tiempo de ejecución del BPA valida este documento XML con el esquema XML.

A continuación, el motor BPA aplica cada una de las reglas del conjunto de reglas del BPA de AD DS a este documento XML. Si los datos de configuración del documento XML no infringen el procedimiento recomendado definido en una determinada regla del BPA de AD DS, esta regla aparece como conforme en la GUI del Administrador del servidor.

Si el motor BPA detecta una infracción de procedimiento recomendado en el documento XML ante una determinada regla del BPA de AD DS, la correspondiente instrucción de no conformidad para dicha regla aparece en la GUI del Administrador del servidor. La instrucción de no conformidad para cada regla del BPA de AD DS incluye una descripción de la infracción del BPA de AD DS (el problema), una descripción del impacto que dicha infracción puede tener en el resto del entorno de AD DS y una recomendación relacionada con la resolución de la infracción del BPA de AD DS.La siguiente ilustración describe la funcionalidad del BPA de AD DS.



En la versión Windows Server 2008 R2, el examen del BPA de AD DS comprueba los siguientes valores de configuración de AD DS:

• Reglas relacionadas con el Sistema de nombres de dominio (DNS), que comprueban, entre otras, las siguientes condiciones:

o El controlador de dominio puede llegar a un servidor DNS y recuperar registros DNS asociados a este controlador de dominio (se trata de una regla de requisito previo).

o Todos los registros de recurso de host (A o AAAA) de dominio y de bosque necesarios para este controlador de dominio están registrados en DNS.

o Todos los registros de recurso de host (A o AAAA) de DNS necesarios para este controlador de dominio están registrados en DNS con direcciones IP correctas.

o Todos los registros de recurso de servicio (SRV) globales y específicos del sitio necesarios para este controlador de dominio están registrados en DNS.

o El registro de recurso de alias (CNAME) necesario para este controlador de dominio está registrado en DNS.

• Reglas de conectividad (reglas de requisito previo) del maestro de operaciones (llamadas también operaciones FSMO, Flexible Single Master Operations) que comprueban las siguientes condiciones:

o El controlador de dominio se puede conectar al maestro de operaciones de identificadores relativos (RID), al maestro de operaciones de infraestructura y al maestro de operaciones de emulador del controlador de dominio principal (PDC) en este dominio.

o El controlador de dominio se puede conectar al maestro de operaciones de esquema y al maestro de operaciones de nomenclatura de dominios en este bosque.

• Reglas de propiedad del rol de maestro de operaciones, que comprueban las siguientes condiciones:

o El rol de maestro de esquema y el rol de maestro de nomenclatura de dominios son propiedad del mismo controlador de dominio en el bosque.

o El rol de maestro de RID y el rol de maestro de emulador de PDC son propiedad del mismo controlador de dominio en el dominio.

• Número de controladores en la regla de dominio, que comprueba la siguiente condición: El dominio tiene al menos dos controladores de dominio en funcionamiento.



6.4 Active Directory Web Services (ADWS)

Es un nuevo servicio de un Domain Controller que sirve como interfaz web entre las instancias que corren de AD, LDS, etc. Si este servicio se para o se deshabilita, ya que se instala por defecto, algunas instancias como el Administrative Center o el PowerShell module no funcionaran.

¿Para qué sirve Servicios web de Active Directory?

Servicios web de Active Directory (ADWS) en Windows Server 2008 R2 es un nuevo servicio de Windows que proporciona una interfaz de servicio web a los dominios de Active Directory, instancias de Active Directory Lightweight Directory Services (AD LDS) e instancias de la herramienta de montaje de bases de datos de Active Directory que se ejecutan en el mismo servidor de Windows Server 2008 R2 que ADWS. Si el servicio ADWS se detiene o deshabilita en un servidor de Windows Server 2008 R2, las aplicaciones cliente como el Módulo de Active Directory para Windows PowerShell o el Centro de administración de Active Directory no podrán obtener acceso a ninguna instancia del servicio de directorio que se ejecute en este servidor, ni tampoco administrarla.

ADWS se instala automáticamente al agregar los roles de servidor de AD DS o AD LDS al servidor de Windows Server 2008 R2. ADWS está configurado para ejecutarse si este servidor de Windows Server 2008 R2 se convierte en un controlador de dominio (para lo cual deberá ejecutar Dcpromo.exe) o si se crea una instancia de AD LDS en este servidor de Windows Server 2008 R2.

Este certificado de autenticación de servidor se usará para autenticar el servidor ante el cliente, así como para proteger el nombre de usuario y la contraseña del cliente en la red mediante el cifrado del canal de comunicaciones.

¿Qué nueva funcionalidad aporta ADWS?

En ADWS, existe un determinado número de parámetros de configuración que determina la forma en que ADWS en Windows Server 2008 R2 controla el tráfico que generan los administradores. Los administradores pueden administrar los dominios de AD DS, instancias de AD LDS e instancias de la herramienta de montaje de bases de datos de Active Directory mediante aplicaciones como el Módulo Active Directory o el Centro de administración de Active Directory. Estos parámetros de configuración se almacenan en el archivo Microsoft.ActiveDirectory.WebServices.exe.config, dentro del directorio %WINDIR%\ADWS.



Estos parámetros de configuración se pueden ajustar editando este archivo Microsoft.ActiveDirectory.WebServices.exe.config para dar cabida al tráfico dirigido en el servicio ADWS en los entornos de Active Directory. Cualquier cambio que se realice a los parámetros de configuración de ADWS en un determinado controlador de dominio solo afectará al servicio ADWS que se ejecuta en ese controlador de dominio en cuestión. En otras palabras, los cambios realizados en el archivo Microsoft.ActiveDirectory.WebServices.exe.config en un controlador de dominio dentro de un dominio o bosque concreto no se replicarán en otros controladores de dominio del mismo dominio o bosque.

En la siguiente tabla se enumeran los nombres, valores predeterminados y descripciones de los parámetros de configuración de ADWS que determinan la forma en la que el servicio ADWS controla el tráfico que generan los administradores que administran las instancias de AD DS y AD LDS y las instancias de la herramienta de montaje de bases de datos de Active Directory mediante el Módulo Active Directory o el Centro de administración de Active Directory.

Nombre del parámetroValor predeterminado

Descripción

MaxConcurrentCalls 32 Especifica el número máximo de solicitudes de servicio simultáneas que el servicio ADWS está configurado para procesar en un momento determinado.

MaxConcurrentSessions 500 Especifica el número máximo de sesiones de cliente que el servicio ADWS puede aceptar en un momento determinado.

MaxReceivedMessageSize 1 MB Especifica el tamaño máximo de solicitudes de mensaje, en megabytes (MB), que puede enviar un equipo cliente a las instancias del servicio de directorio que admite el servicio ADWS.

MaxStringContentLength 32 KB Especifica el tamaño máximo de cadena, en kilobytes (KB), de un atributo del Protocolo ligero de acceso a directorios (LDAP)

MaxPoolConnections 10 Especifica el número máximo de conexiones LDAP para cada instancia del servicio de directorio que usa el servicio ADWS que se ejecuta en un servidor de Windows Server 2008 R2 específicodisponible para procesar las solicitudes.



MaxPercentageReservedConnections

50% Especifica el porcentaje de conexiones LDAP reservadas para realizar operaciones de consulta para cada instancia del servicio de directorio que el servicio ADWS admite en un determinado servidor de Windows Server 2008 R2.

MaxConnectionsPerUser 5 Especifica el número máximo de conexiones LDAP (a una única instancia del servicio de directorio) que el servicio ADWS permite usar en un determinado momento para operaciones asociadas a un único conjunto de credenciales de cliente (un usuario).

MaxEnumContextExpiration 30 minutos Especifica el periodo máximo de tiempo permitido durante el cual el servicio ADWS procesa y recupera los resultados de una solicitud de consulta desde un equipo cliente.

MaxPullTimeout 2 minutos Especifica el valor máximo de tiempo de espera permitido que un equipo cliente puede establecer cuando recupera una página de resultados de búsqueda.

MaxEnumCtxsPerSession 5 Especifica el número máximo de solicitudes de búsqueda (contextos de búsqueda) que se pueden enviar a través de una única sesión de cliente al servicio ADWS.

MaxEnumCtxsTotal 100 Especifica el número máximo de solicitudes de búsqueda (contextos de búsqueda) que se pueden enviar a través de todas las sesiones de cliente activas al servicio ADWS.

Para cambiar los valores de los parámetros de configuración de ADWS, modifique el archivo Microsoft.ActiveDirectory.WebServices.exe.config en cualquier editor de texto y, a continuación, guárdelo en el directorio %WINDIR%\ADWS del servidor de Windows Server 2008 R2. Una vez modificado, se recomienda que detenga y reinicie el servicio ADWS:

• Para detener el servicio ADWS, ejecute el comando net stop ADWS en un símbolo del sistema.

• Para iniciar el servicio ADWS, ejecute el comando net start ADWS en un símbolo del sistema.



6.5 Active Directory Administrative Center

Ahora podemos administrar el Active Directory desde una nueva GUI mucho mejor que el anterior ADUC que sigue estando, pero esta nueva consola basada en scripts PowerShell nos da la oportunidad de administrar el AD centralizadamente de forma simple para las tareas rutinarias.


En los sistemas operativos Windows Server 2003 y Windows Server 2008, los administradores podían administrar y publicar información en los entornos de Active Directory mediante el complemento Usuarios y equipos de Active Directory de Microsoft Management Console (MMC). En Windows Server 2008 R2, además del complemento Usuarios y equipos de Active Directory, los administradores pueden administrar los objetos del servicio de directorio a través del nuevo Centro de administración de Active Directory.Basado en la tecnología de Windows PowerShell, el Centro de administración de Active Directory proporciona a los administradores de red una experiencia mejorada de administración de datos de Active Directory, así como una interfaz gráfica de usuario (GUI) enriquecida. Los administradores pueden usar el Centro de administración de Active Directory para realizar las tareas habituales de administración de objetos de Active Directory mediante la navegación controlada por datos y la navegación orientada por tareas.El Centro de administración de Active Directory se puede usar para realizar las siguientes tareas administrativas de Active Directory:

• Crear nuevas cuentas de usuario o administrar las cuentas de usuario existentes

• Crear grupos nuevos o administrar los grupos existentes

• Crear nuevas cuentas de equipo o administrar las cuentas de equipo existentes

• Crear nuevos contenedores y unidades organizativas (OU) o administrar las OU existentes

• Conectar uno o varios dominios o controladores de dominio en la misma instancia del Centro de administración de Active Directory y ver o administrar la información de directorio de dichos dominios o controladores de dominio

• Filtrar datos de Active Directory mediante la función de búsqueda mediante generación de consultas



Además de para estas tareas, la GUI mejorada del Centro de administración de Active Directory también sirve para personalizar el Centro de administración de Active Directory de modo que se ajuste a los requisitos particulares para la administración del servicio de directorio. Esto puede ayudar a mejorar la productividad y eficiencia cuando se realicen tareas habituales de administración de objetos de Active Directory.

¿Qué nueva funcionalidad aporta el Centro de administración de Active Directory?

El Centro de administración de Active Directory incluye las siguientes características nuevas:

• Página de introducción del Centro de administración: esta página de bienvenida aparece de forma predeterminada cuando se abre por primera vez el Centro de administración de Active Directory. La página de introducción del Centro de administración está compuesta de varios mosaicos, cada uno de los cuales presenta una tarea administrativa que se realiza con frecuencia, como restablecer una contraseña de usuario o realizar búsquedas en los datos de Active Directory. La página de introducción del Centro de administración se puede personalizar en cualquier momento con solo mostrar u ocultar estos mosaicos.

• Administración de objetos de Active Directory a través de varios dominios: cuando se abre el Centro de administración de Active Directory en el servidor de Windows Server 2008 R2, el dominio en que se ha iniciado sesión actualmente en dicho servidor de Windows Server 2008 R2 (el dominio local) aparecerá en el panel de navegación del Centro de administración de Active Directory. En función de los permisos del actual conjunto de credenciales de inicio de sesión, se pueden ver o administrar los objetos de Active Directory en este dominio local. También se puede usar la misma instancia del Centro de administración de Active Directory y el mismo conjunto de credenciales de inicio de sesión para ver o administrar objetos de Active Directory desde cualquier otro dominio (pertenezca o no al mismo bosque que el dominio local), siempre que tenga una confianza establecida con el dominio local (se admiten tanto las confianzas unidireccionales como bidireccionales).

• También se puede abrir el Centro de administración de Active Directory mediante un conjunto de credenciales de inicio de sesión que sea diferente al conjunto actual de credenciales de inicio de sesión. Esto puede resultar de utilidad si se ha iniciado una sesión en el equipo que ejecuta el Centro de administración de Active Directory con credenciales de usuario normal, pero se desea usar el Centro de administración de Active Directory en este equipo para administrar el dominio local como administrador. También puede ser práctico si desea usar el Centro de administración de Active Directory para administrar de forma remota un dominio que sea diferente del dominio local con un conjunto de credenciales distinto del conjunto actual de credenciales de inicio de sesión. Sin embargo, dicho dominio debe tener una confianza establecida con el dominio local.

• Panel de navegación del Centro de administración de Active Directory: para desplazarse por el panel de navegación del Centro de administración de Active Directory, se puede usar la vista de árbol (similar al árbol de consola de Usuarios y equipos de Active Directory) o la nueva vista de lista:



o En la vista de lista, se puede aprovechar la característica que permite buscar en esta columna. Esta característica facilita la exploración a través de los distintos niveles de la jerarquía de Active Directory al mostrar en una única columna todos los contenedores secundarios de un contenedor principal para el cual abrió esta característica.

o En la vista de lista, se puede sacar partido de la lista de últimos contenedores usados (lista MRU). La lista MRU aparece de forma automática bajo un nodo de navegación cuando se visita al menos un contenedor dentro de este nodo de navegación. La lista MRU siempre contiene los tres últimos contenedores que se han visitado en un determinado nodo de navegación. Cada vez que se selecciona un contenedor, éste se agrega a la parte superior de la lista MRU y se quita el último contendor de la lista.

o Tanto si se usa la vista de árbol como la vista de lista, se puede personalizar el panel de navegación del Centro de administración de Active Directory en cualquier momento mediante la adición de varios contenedores del dominio local o de cualquier dominio externo (es decir, un dominio distinto del dominio local que tiene una confianza establecida con éste) al panel de navegación como nodos independientes. Asimismo, para personalizar más aún el panel de navegación, se puede cambiar el nombre o quitar los nodos del panel de navegación agregados de forma manual, crear duplicados de dichos nodos, o subirlos o bajarlos en el panel de navegación.

o En el Centro de administración de Active Directory se pueden usar distintos controladores de dominio para administrar los dominios de Active Directory. Se puede cambiar la conexión de un controlador de dominio para cualquier nodo del panel de navegación. No obstante, cambiar la conexión de un controlador de dominio para un determinado nodo que representa a un contenedor dentro de un cierto dominio también cambia dicha conexión para todos los demás nodos del panel de navegación que representan a contenedores que pertenecen a ese mismo dominio.

• Barra de ruta de navegación del Centro de administración de Active Directory: se puede usar la barra de ruta de navegación para navegar directamente al contenedor que desea ver especificando el nombre distintivo del contenedor en dicha barra.

• Página de propiedades de objeto del Centro de administración de Active Directory: la página de propiedades de objeto consta de varias secciones de página de propiedades y una característica de vista previa incluida. Se puede mostrar, ocultar o contraer cualquier sección de la página de propiedades y la vista previa incluida para personalizar la página de propiedades de objeto del Centro de administración de Active Directory.



• Función de búsqueda mediante generación de consultas del Centro de administración de Active Directory: en lugar de dedicar horas a explorar los distintos niveles de datos jerárquicos, se pueden localizar rápidamente objetos de Active Directory mediante la función de búsqueda mediante generación de consultas del Centro de administración de Active Directory. Cuando los objetos de Active Directory en cuestión se devuelven como resultados de una consulta de búsqueda, se pueden realizar las tareas administrativas necesarias en ellos. Para usar la función de búsqueda mediante generación de consultas del Centro de administración de Active Directory, se puede recurrir a los siguientes métodos:

o Se puede usar la búsqueda global del Centro de administración de Active Directory para especificar un ámbito en el que realizar la consulta de búsqueda. El ámbito predeterminado de la búsqueda global se establece en el dominio local. La búsqueda global puede servir para buscar en los datos de Active Directory ya sea creando una consulta mediante palabras clave y distintos criterios de búsqueda o usando el modo de consulta del Protocolo ligero de acceso a directorios (LDAP).

o Si una OU contiene un conjunto de datos particularmente grande, se puede acotar creando una consulta y buscando a través de los datos de Active Directory de esa OU específica. El ámbito de la búsqueda a través de los datos de Active Directory de una OU específica siempre se establece para esa OU en particular, y no se puede ajustar. Dicho ámbito tampoco incluye ninguna OU secundaria de la OU principal seleccionada.

o Cuando se usa la búsqueda global o cuando se buscan datos de una OU específica, se pueden guardar las consultas creadas como vistas independientes y volver a usarlas más adelante. Cada vista se compone de los criterios de consulta, así como de la información de columna y de ordenación personalizada.



6.6 Offline Domain Join

Ahora vamos a poder programar las PCs para que ingresen al dominio sin necesidad de realmente hacerlo y cuando la PC inicie por primera vez se va a agregar sola. Esto sirve para deploys masivos.


La unión a un dominio sin conexión es un nuevo proceso por el cual los equipos que ejecutan Windows® 7 o Windows Server 2008 R2 se unen a un dominio en Servicios de dominio de Active Directory (AD DS), sin que sea necesaria ninguna conectividad de red. Este proceso incluye una nueva herramienta de línea de comandos, Djoin.exe, que se puede usar para completar una unión a un dominio sin conexión.

¿Para qué sirve la unión a un dominio sin conexión?

La unión a un dominio sin conexión puede servir para unir equipos a un dominio sin ponerse en contacto con un controlador de dominio a través de la red. Se pueden unir equipos al dominio cuando se inician por primera vez tras una instalación del sistema operativo. Además, para completar la unión al dominio no se necesitan reinicios adicionales, lo cual contribuye a reducir el tiempo y el esfuerzo necesarios para completar una implementación de equipos a gran escala en lugares como los centros de datos.Por ejemplo, una organización podría necesitar implementar muchas máquinas virtuales dentro de un centro de datos. La unión a un dominio sin conexión hace posible que las máquinas virtuales se unan al dominio cuando se inician por primera vez tras la instalación del sistema operativo. No es necesario reiniciar el equipo para completar la unión al dominio. Esto puede reducir significativamente el tiempo necesario para las implementaciones de máquinas virtuales a gran escala.

Una unión a un dominio establece una relación de confianza entre un equipo que ejecuta un sistema operativo Windows y un dominio de Active Directory. Esta operación requiere cambios de estado tanto en AD DS como en el equipo que se une al dominio. En el pasado, para completar una unión a un dominio con los sistemas operativos Windows anteriores, el equipo que se unía al dominio debía estar en ejecución y debía tener conectividad de red para ponerse en contacto con un controlador de dominio. La unión a un dominio sin conexión proporciona las siguientes ventajas con respecto a los requisitos anteriores:

• Los cambios de estado de Active Directory se llevan a cabo sin ningún tráfico de red hacia el equipo.

• Los cambios de estado en el equipo se llevan a cabo sin ningún tráfico de red hacia un controlador de dominio.

• Cada conjunto de cambios se puede realizar en un momento distinto.



En las siguientes secciones se explican algunas de las ventajas que puede proporcionar la unión a un dominio sin conexión.

Costo total de propiedad reducido en centros de datos

La unión a un dominio sin conexión puede reducir el costo total de propiedad de los equipos en tanto reduce el tiempo de inicio necesario para cada servidor y aumenta la confiabilidad de las operaciones de unión a un dominio en entornos de producción. Actualmente, es habitual que los centros de datos tengan un servidor de aprovisionamiento que configura una imagen y, a continuación, la envía para que se implemente en un equipo de producción. El equipo de producción se configura, se une al dominio y se reinicia. Si se produce algún problema asociado a la unión al dominio (como pueden ser problemas de conectividad de red o que los servidores necesarios estén sin conexión), deberá diagnosticarse y resolverse en ese momento. En esta situación, la unión a un dominio sin conexión ayuda a evitar los problemas que puedan surgir en la comunicación entre el equipo de producción y un controlador de dominio al configurar la información de la unión al dominio durante la configuración del equipo de producción. La cantidad total de tiempo para configurar cada servidor se reduce al eliminar el reinicio adicional necesario para completar una unión a un dominio en línea.

Experiencia mejorada para realizar uniones a dominios mediante un RODC

En Windows Server 2008, existe un mecanismo para realizar operaciones de uniones a dominios con un controlador de dominio de solo lectura (RODC). No obstante, una operación de unión a un dominio mediante un RODC conlleva todos los pasos descritos a continuación:

1. Crear previamente la cuenta del equipo en el directorio y definir algunos atributos adicionales mediante scripts.

2. Si es necesario, modificar la Directiva de replicación de contraseñas (PRP) del RODC para permitir que éste almacene en la memoria caché la contraseña del equipo que desea unir al dominio.

3. Aplicar la replicación de los secretos del equipo que se va a unir al dominio.

4. Comunicar la contraseña sin conexión al equipo que va a unirse a un dominio.

5. Ejecutar un script personalizado dirigido al RODC para completar la unión.

Sin embargo, cuando se usa la unión a un dominio sin conexión, los pasos para realizar las operaciones de unión a un dominio con un RODC se simplifican de la siguiente manera:

1. Crear previamente la cuenta en AD DS.

2. Enviar a un archivo de texto la información de estado relevante que el equipo que se va a unir al dominio necesita consumir.

3. El equipo consume la información del archivo de texto y, a continuación, cuando se inicia, se une al dominio.



Implementaciones empresariales rápidas

Mediante el uso de herramientas de implementación (como el Administrador de imágenes de sistema de Windows), se puede realizar una unión a un dominio desatendida durante una instalación del sistema operativo al proporcionar información que es relevante para la unión al dominio en un archivo Unattend.xml. A través de este mismo archivo Unattend.xml, se puede proporcionar la información necesaria para que los equipos que ejecutan Windows 7 y Windows Server 2008 R2 realicen una unión a un dominio sin conexión.

El archivo Unattend.xml para Windows 7 y Windows Server 2008 R2 incluye una nueva sección para admitir la unión a un dominio sin conexión.

¿Debe tenerse en cuenta alguna consideración especial?

Solo se puede ejecutar Djoin.exe en equipos que ejecutan Windows 7 o Windows Server 2008 R2. El equipo en el que se ejecute Djoin.exe para aprovisionar los datos de las cuentas de los equipos en AD DS debe ejecutar Windows 7 o Windows Server 2008 R2. El equipo que desea unir al dominio también debe ejecutar Windows 7 o Windows Server 2008 R2.

De forma predeterminada, el comando Djoin.exe tiene como objetivo un controlador de dominio que ejecuta Windows Server 2008 R2. No obstante, se puede especificar un parámetro /downlevel opcional si desea que el destino sea un controlador de dominio que ejecuta una versión de Windows Server anterior a Windows Server 2008 R2.

Para realizar una unión a un dominio sin conexión, debe tener los permisos de usuario necesarios para unir estaciones de trabajo al dominio. De forma predeterminada, los miembros del grupo Administradores de dominio tienen los permisos de usuario pertinentes para unir estaciones de trabajo a un dominio. Si no es miembro del grupo Administradores de dominio, se le deben conceder o delegar dichos permisos.

¿Qué ediciones incluyen esta característica?

Esta característica está disponible en todas las ediciones.

¿Está disponible tanto en las versiones de 32 bits como de 64 bits?

Djoin.exe se incluye en Windows 7 y en Windows Server 2008 R2, y está disponible tanto en las versiones de 32 bits como de 64 bits. Sin embargo, el BLOB con codificación de 64 bits que se obtiene del comando de aprovisionamiento es independiente de la arquitectura. Por consiguiente, Djoin.exe se puede ejecutar en un equipo de 32 bits o en uno de 64 bits para aprovisionar datos de la cuenta del equipo en AD DS. Djoin.exe se puede ejecutar en un equipo de 32 bits o en uno de 64 bits para solicitar la unión a un dominio sin conexión.



6.7 Active Directory Recycle Bin

Obviamente si traducimos el nombre sabemos para qué sirve. ¿Cuántas veces vemos que eliminan cuentas de usuario y después tienen que hacer un restore para poder recuperarlo? Ahora podemos hacerlo de una manera mucho más simple ya que queda en una papelera de reciclaje de AD. Acá les dejo un gráfico que muestra la vida de un objeto en el Active Directory con el Recycle Bin activado.


La eliminación accidental de objetos de Active Directory es algo habitual entre los usuarios de los Servicios de dominio de Active Directory (AD DS) y Active Directory Lightweight Directory Services (AD LDS).

En los dominios de Active Directory de Windows Server 2008, se podían recuperar los objetos eliminados de forma accidental a partir de las copias de seguridad de AD DS realizadas por Copias de seguridad de Windows Server. Se podía usar el comando de restauración autoritativa ntdsutil para marcar objetos como autoritativos y, de esta forma, garantizar que los datos restaurados se replicarían por todo el dominio. El inconveniente de la solución de restauración autoritativa era que debía realizarse en Modo de restauración de servicios de directorio (DSRM). Durante DSRM, el controlador de dominio que se restauraba debía permanecer sin conexión. Por consiguiente, era incapaz de atender las solicitudes de los clientes.

Asimismo, en Active Directory de Windows Server 2003 y AD DS de Windows Server 2008, se podían recuperar los objetos de Active Directory eliminados a través de una reanimación de marcadores de exclusión. En Windows Server 2003 y Windows Server 2008, un objeto de Active Directory eliminado no se quitaba físicamente de la base de datos de forma inmediata. En vez de ello, se alteraba el nombre distintivo (también denominado DN) del objeto, se borraba la mayoría de los atributos de valores no vinculados del objeto, se quitaban físicamente todos los atributos de valores vinculados del objeto y se trasladaba el objeto a un contenedor especial en el contexto de nombres (también denominado NC) del objeto llamado Objetos eliminados. El objeto, ahora llamado marcador de exclusión, se vuelve invisible a las operaciones de directorio normales. Los marcadores de exclusión se podían reanimar en cualquier momento dentro del período de duración del marcador de exclusión y volvían a convertirse en objetos vivos de Active Directory. La duración predeterminada de los marcadores de exclusión era de 180 días en Windows Server 2003 y Windows Server 2008. Se podía usar la reanimación de marcadores de exclusión para recuperar objetos eliminados sin necesidad de que el controlador de dominio o la instancia de AD LDS estuvieran sin conexión. No obstante, no se recuperaban ni los atributos de valores vinculados de los objetos reanimados (por ejemplo, la pertenencia a grupos de las cuentas de usuario) que se quitaron físicamente, ni los atributos de valores no vinculados que se borraron. Por lo tanto, los administradores no podían confiar en la reanimación de marcadores de exclusión como solución final ante la eliminación accidental de objetos.



La papelera de reciclaje de Active Directory en Windows Server 2008 R2 se basa en la infraestructura de reanimación de marcadores de exclusión existente y mejora la capacidad de conservar y recuperar los objetos de Active Directory eliminados accidentalmente. Para obtener más información acerca de la reanimación de marcadores de exclusión, vea Reanimación de objetos de desecho de Active Directory La papelera de reciclaje de Active Directory en Windows Server 2008 R2 minimiza el tiempo de inactividad del servicio de directorio. Se puede usar para conservar y restaurar completamente los objetos de Active Directory eliminados por error, sin necesidad de restaurar datos de Active Directory de las copias de seguridad, reiniciar AD DS o reiniciar los controladores de dominio.

¿Para qué sirve la papelera de reciclaje de Active Directory?

Cuando se habilita la papelera de reciclaje de Active Directory, se conservan todos los atributos de valores vinculados y valores no vinculados de los objetos de Active Directory eliminados y, asimismo, se restauran los objetos completamente al mismo estado lógico y coherente en el que se encontraban antes de la eliminación. Por ejemplo, las cuentas de usuario restauradas recuperan automáticamente todas las pertenencias a grupos y los derechos de acceso correspondientes que tenían justo antes de la eliminación, tanto dentro de los dominios como entre ellos. La papelera de reciclaje de Active Directory funciona en entornos de AD DS y de AD LDS.

¿Qué nueva funcionalidad aporta la papelera de reciclaje de Active Directory?

El siguiente diagrama muestra el ciclo de vida de un objeto nuevo de Active Directory en Windows Server 2008 R2 cuando la característica papelera de reciclaje de Active Directory está habilitada.

Después de habilitar la papelera de reciclaje de Active Directory en Windows Server 2008 R2, cuando un objeto de Active Directory se elimina, el sistema conserva todos los atributos de valores vinculados y valores no vinculados de los objetos, y el objeto queda eliminado lógicamente, que es un nuevo estado que se incluye por primera vez en Windows Server 2008 R2. Un objeto eliminado se traslada al contenedor Objetos eliminados y se altera su nombre distintivo. El objeto eliminado permanece en el



contenedor Objetos eliminados en un estado eliminado lógicamente durante toda la duración del objeto eliminado.



6.8 AD DS: Comprobación del mecanismo de autenticación


La comprobación del mecanismo de autenticación es una nueva característica de los Servicios de dominio de Active Directory (AD DS) en Windows Server 2008 R2. Esta característica no está habilitada de manera predeterminada. Requiere un nivel funcional del dominio de Windows Server 2008 R2, además de una infraestructura de autenticación basada en certificados y configuración adicional.

¿Para qué sirve la comprobación del mecanismo de autenticación?

Al habilitarla, la comprobación del mecanismo de autenticación agrega una pertenencia al grupo universal designada por el administrador a un token de acceso del usuario cuando las credenciales del usuario se autentican durante el inicio de sesión con un método de inicio de sesión basado en certificados. Esto permite a los administradores de recursos de red controlar el acceso a los recursos, como archivos, carpetas e impresoras, en función de si el usuario inicia la sesión con un método de inicio de sesión basado en certificados y del tipo de certificado usado para el inicio de sesión. Por ejemplo, si un usuario inicia una sesión con una tarjeta inteligente, el acceso de éste a los recursos de la red se puede especificar como distinto de lo que sería si el usuario no usara una tarjeta inteligente (es decir, cuando el usuario escribe un nombre de usuario y una contraseña). Sin una comprobación del mecanismo de autenticación, no existe distinción alguna en el token de acceso de un usuario que inicia sesión con una autenticación basada en certificados y un usuario que inicia una sesión con un método de autenticación distinto.

¿Qué nueva funcionalidad aporta esta característica?

La comprobación del mecanismo de autenticación permite controlar el acceso a recursos de red para reconocer los inicios de sesión basados en certificados a través de certificados emitidos por directivas específicas de emisión de certificados. Cuando se usa un método de inicio de sesión basado en certificados (por ejemplo, mediante una tarjeta inteligente) y la comprobación del mecanismo de autenticación está habilitada, se agrega una pertenencia de grupo adicional al token de acceso del usuario durante el inicio de sesión. Un administrador vincula la pertenencia al grupo universal a una determinada directiva de emisión de certificados, que se incluye en la plantilla de certificados. Dado que se pueden vincular distintas directivas de emisión de certificados a distintos grupos universales, el administrador puede usar la pertenencia al grupo universal para averiguar si un certificado se usó durante la operación de inicio de sesión. Asimismo, el administrador puede distinguir entre diferentes certificados en función del identificador de objeto (OID) de directiva de emisión de certificados correspondiente a la directiva de emisión de certificados desde la que se emitió el certificado. En última instancia, con la comprobación del mecanismo de autenticación el administrador de recursos puede proteger los recursos usando pertenencias a grupos que identifiquen que un usuario se autenticó con un método de autenticación basado en certificados a través de un certificado emitido desde una determinada directiva de emisión de certificados.



Por ejemplo, supongamos que un usuario llamado Tomás tiene una tarjeta inteligente con un certificado emitido por una directiva de emisión de certificados llamada Top Secret. Si se usa la comprobación del mecanismo de autenticación para asignar certificados emitidos por la directiva de emisión de certificados Top Secret con el fin de proporcionar pertenencia a un grupo universal llamado Usuarios de Top Secret, cuando Tomás inicia una sesión usando su tarjeta inteligente, recibirá una pertenencia a grupos adicional que indica que es un miembro de Usuarios de Top Secret. Los administradores de recursos pueden establecer permisos sobre recursos de forma que solo se conceda acceso a los miembros de Usuarios de Top Secret. Esto significa que cuando Tomás inicia una sesión usando su tarjeta inteligente, podrá tener acceso a recursos que conceden acceso a Usuarios de Top Secret, pero no podrá tener acceso a dichos recursos cuando inicie una sesión sin usar la tarjeta inteligente (por ejemplo, escribiendo un nombre de usuario y una contraseña).

¿Qué preparación es necesaria para implementar esta característica?

Si desea implementar la comprobación del mecanismo de autenticación, se debe elevar el nivel funcional del dominio a Windows Server 2008 R2. También se debe tener o establecer un método de autenticación basado en certificados. Los certificados que se van a usar para los inicios de sesión se deberán distribuir desde una directiva de emisión de certificados, ya que es el OID de esta directiva de emisión de certificados el que se va a vincular a una pertenencia a un grupo de seguridad universal.


La comprobación del mecanismo de autenticación está disponible en las siguientes ediciones de Windows Server 2008 R2 (incluidas las ediciones sin Hyper-V™):

• Windows Server 2008 R2 Standard

• Windows Server 2008 R2 Enterprise

• Windows Server 2008 R2 Datacenter

Windows Web Server 2008 R2 no incluye Servicios de dominio de Active Directory (AD DS). Por lo tanto, no se puede usar Windows Web Server 2008 R2 para habilitar o implementar la comprobación del mecanismo de autenticación. No obstante, cualquier sistema operativo cliente o servidor que sea capaz de interpretar tokens de acceso de Windows® (incluido Windows Web Server 2008 R2) se puede usar para conceder o denegar acceso en función de la pertenencia a un grupo o de las pertenencias que la comprobación del mecanismo de autenticación agregue al token de un usuario.



6.9 Windows AppLocker

Este features es nuevo tanto en Windows Server 2008 R2 como en Windows 7 reemplaza las políticas de restricción de Software. Sigue basado en reglas que uno puede exportar e importar.

¿Cuáles son los cambios principales?

AppLocker™ es una característica nueva de Windows® 7 y Windows Server® 2008 R2 que reemplaza a la característica de directivas de restricción de software. AppLocker incluye nuevas capacidades y extensiones que reducen la sobrecarga administrativa y ayudan a los administradores a controlar el modo en que los usuarios obtienen acceso a los archivos y el modo en que usan los archivos, como archivos .exe, scripts, archivos de Windows Installer (archivos .msi y .msp) y archivos DLL.

¿Cuál es la función de AppLocker?

Con AppLocker, puede:

• Definir reglas basadas en atributos de archivo derivados de la firma digital, incluida el publicador, el nombre de producto, el nombre de archivo y la versión del archivo. Por ejemplo, puede crear reglas basadas en los atributos publicador y versión del archivo que se han conservado a lo largo de las actualizaciones, o puede crear reglas destinadas a una versión específica de un archivo.

• Asignar una regla a un grupo de seguridad o a un usuario individual.

• Crear excepciones para archivos .exe. Por ejemplo, puede crear una regla que permita la ejecución de todos los procesos de Windows salvo Regedit.exe.

• Usar el modo de solo auditoría para identificar archivos que no podrían ejecutarse si la directiva estuviese en vigor.

• Importar y exportar reglas.


• De forma predeterminada, las reglas de AppLocker no permiten a los usuarios abrir o ejecutar archivos que no estén específicamente permitidos. Los administradores deben mantener una lista actualizada de aplicaciones permitidas.



• Inicialmente, puede esperar un incremento en el número de llamadas al servicio técnico debido a aplicaciones bloqueadas. A medida que los usuarios empiecen a entender que no pueden ejecutar las aplicaciones no permitidas, puede producirse un descenso en las llamadas al servicio técnico.

• Se produce una degradación de rendimiento mínima debido a las comprobaciones en tiempo de ejecución.

• Dado que AppLocker es similar al mecanismo de la directiva de grupo, los administradores deben entender la creación y la implementación de la directiva de grupo.

• Las reglas de AppLocker no pueden usarse para administrar equipos que ejecuten un sistema operativo Windows anterior a Windows 7.

• Si se definen reglas de AppLocker en un GPO, solamente se aplicarán dichas reglas. Para garantizar la interoperabilidad entre las reglas de las directivas de restricción de software y las reglas de AppLocker, defina reglas de directivas de restricción de software y reglas de AppLocker en distintos GPO.

• Cuando una regla de AppLocker se establece en Solo auditoría, no se aplica. Cuando un usuario ejecuta una aplicación incluida en la regla, la aplicación se abre y se ejecuta con normalidad, y la información sobre dicha aplicación se agrega al registro de eventos de AppLocker.

¿Qué ediciones incluyen AppLocker?

AppLocker está disponible en todas las ediciones de Windows Server 2008 R2 y en algunas ediciones de Windows 7.



6.10 Biometrics

Windows 7 soporta habilitar biometrics para la autenticación como por ejemplo a través de un lector de huellas digitales y poder elevar privilegios con el UAC. Esta configuración puede ser enviada por GPO.

Para mayor comodidad, Windows® 7 permite a los administradores y usuarios usar dispositivos biométricos de huella digital para iniciar sesión en equipos, conceder privilegios de elevación a través del Control de cuentas de usuario (UAC) y realizar tareas de administración básicas de los dispositivos de huella digital. Los administradores pueden administrar los dispositivos biométricos de huella digital en la configuración de la directiva de grupo, habilitando, limitando o bloqueando su uso.

Novedades de biometría

Un grupo cada vez mayor de equipos, sobre todo de equipos portátiles, incluyen lectores de huella digital. Los lectores de huella digital pueden usarse para la identificación y autenticación de usuarios en Windows. Hasta ahora, no existía una compatibilidad estándar para los dispositivos biométricos o las aplicaciones habilitadas para la biometría en Windows. Los fabricantes de equipos tenían que suministrar el software necesario para admitir los dispositivos biométricos en sus productos. Esto dificultaba a los usuarios el uso de los dispositivos y a los administradores la administración del uso de los dispositivos biométricos.Windows 7 incluye el Marco biométrico de Windows, que expone los lectores de huella digital y otros dispositivos biométricos a aplicaciones de mayor nivel de una forma uniforme, y ofrece una experiencia de usuario coherente para detectar e iniciar aplicaciones de huella digital. Para ello, proporciona los siguientes elementos:

• El elemento Dispositivos biométricos del Panel de control, que permite a los usuarios controlar la disponibilidad de dispositivos biométricos, y si pueden usarse para iniciar sesión en un equipo local o en un dominio.

• Compatibilidad con el Administrador de dispositivos para administrar los controladores de los dispositivos biométricos.

• Compatibilidad con el proveedor de credenciales para habilitar y configurar el uso de datos biométricos para iniciar sesión en un equipo local y realizar una elevación UAC.

• La configuración de la directiva de grupo para habilitar, deshabilitar o limitar el uso de datos biométricos para un equipo local o un dominio. La configuración de la directiva de grupo también puede impedir la instalación de software controlador de dispositivos biométricos o forzar su desinstalación.

• Software controlador de dispositivos biométricos disponible en Windows Update.



Usuarios que se benefician de los dispositivos biométricos

Los dispositivos biométricos de huella digital ofrecen a los usuarios una forma cómoda de iniciar sesión en equipos y conceder una elevación a través de UAC.

Ventajas de las nuevas características biométricas

Las nuevas características biométricas proporcionan una forma cómoda de implementar aplicaciones de huella digital habilitadas para la biometría y de administrar dispositivos biométricos de huella digital en equipos independientes o en una red. El Marco biométrico de Windows facilita a los usuarios y administradores la configuración y el control de los dispositivos biométricos en un equipo local o en un dominio.

¿Cómo afectan estos cambios a la biometría?

La introducción del Marco biométrico de Windows permite la integración de dispositivos biométricos de huella digital en Windows. Ofrece una experiencia de usuario coherente para iniciar sesión en Windows y realizar una elevación UAC. Además, proporciona un conjunto común de puntos de detección e integración que ofrece una experiencia de usuario más coherente entre los distintos dispositivos y aplicaciones. El Marco biométrico de Windows también incluye funciones de administración que permiten a los administradores controlar la implementación de dispositivos biométricos de huella digital en la empresa.



6.11 DNS

Existe algo nuevo en el DNS también, ahora soporta Domain Name System Security Extensions (DNSSEC). Ahora con Windows Server 2008 R2 podemos firmar y hostear zonas firmadas-DNSSEC y darle seguridad al ambiente. Soporta los registros DNSKEY, RRSIG, NSEC y DS.

6.11.1 DNSSEC

What are the major changes?

Support for Domain Name System Security Extensions (DNSSEC) is introduced in Windows Server® 2008 R2 and Windows® 7. With Windows Server 2008 R2 DNS server, you can now sign and host DNSSEC-signed zones to provide security for your DNS infrastructure.The following changes are available in DNS server in Windows Server 2008 R2:

• Ability to sign a zone and host signed zones.

• Support for changes to the DNSSEC protocol.

• Support for DNSKEY, RRSIG, NSEC, and DS resource records.

The following changes are available in DNS client in Windows 7:

• Ability to indicate knowledge of DNSSEC in queries.

• Ability to process the DNSKEY, RRSIG, NSEC, and DS resource records.

• Ability to check whether the DNS server with which it communicated has performed validation on the client’s behalf.

The DNS client’s behavior with respect to DNSSEC is controlled through the Name Resolution Policy Table (NRPT), which stores settings that define the DNS client’s behavior. The NRPT is typically managed through Group Policy.

What does DNSSEC do?

DNSSEC is a suite of extensions that add security to the DNS protocol. The core DNSSEC extensions are specified in RFCs 4033, 4034, and 4035 and add origin authority, data integrity, and authenticated denial of existence to DNS. In addition to several new concepts and operations for both the DNS server



and the DNS client, DNSSEC introduces four new resource records (DNSKEY, RRSIG, NSEC, and DS) to DNS.In short, DNSSEC allows for a DNS zone and all the records in the zone to be cryptographically signed. When a DNS server hosting a signed zone receives a query, it returns the digital signatures in addition to the records queried for. A resolver or another server can obtain the public key of the public/private key pair and validate that the responses are authentic and have not been tampered with. In order to do so, the resolver or server must be configured with a trust anchor for the signed zone, or for a parent of the signed zone.

What new functionality does DNSSEC provide?

The DNSSEC implementation in Windows Server 2008 R2 DNS server provides the ability to sign both file-backed and Active Directory–-integrated zones through an offline zone signing tool. This signed zone will then replicate or zone-transfer to other authoritative DNS servers. When configured with a trust anchor, a DNS server is capable of performing DNSSEC validation on responses received on behalf of the client.The DNS client in Windows Server 2008 R2 and Windows® 7 is a non-validating security-aware stub resolver. This means that the DNS client will offload the validation responsibilities to its local DNS server, but the client is capable of consuming DNSSEC responses. The DNS client’s behavior is controlled by a policy that determines whether the client should check for validation results for names within a given namespace. The client will return the results of the query to the application only if validation has been successfully performed by the server.

Why is this change important?

As DNS security threats become more topical, it is important to realize that securing the DNS is critical to securing enterprise networks and the Internet. DNS is often subject to man-in-the-middle, spoofing, and cache-poisoning attacks that are hard to defend against. DNSSEC is the best available solution that helps protects against these security threats against DNS. DNSSEC will be the technology of choice for enterprises, registrars, and ISPs as they look for ways to secure their DNS deployments.

Are there any dependencies?

Last hop communication refers to the communication between a DNSSEC-enabled client computer running Windows 7 and its local DNS server. We strongly recommend the use of Internet Protocol security (IPsec) to secure last hop communication between the client and the DNS server, but keep the following deployment considerations mind:

• DNSSEC uses Secure Sockets Layer (SSL) to ensure that client-to-server communication is secure. The use of SSL allows the DNS client to check that the server has a certificate that proves its identity as a valid DNS server. This adds an additional level of trust between the client and the server.

• If you have a domain IPsec policy as part of a server and domain isolation deployment, then you must exempt TCP/UDP port 53 traffic (DNS traffic) from the domain IPsec policy. Otherwise, the domain IPsec policy will be used and certificate-based authentication will not be performed. The client will fail the EKU validation and will not trust the DNS server.



6.11.2 DNS Devolution

Devolution is a behavior in Active Directory environments that allows client computers that are members of a child namespace to access resources in the parent namespace without the need to explicitly provide the fully qualified domain name (FQDN) of the resource.With devolution, the DNS resolver creates new FQDNs by appending the single-label, unqualified domain name with the parent suffix of the primary DNS suffix name, and the parent of that suffix, and so on, stopping if the name is successfully resolved or at a level determined by devolution settings. Devolution works by removing the left-most label and continuing to get to the parent suffix.For example, if the primary DNS suffix is central.contoso.com and devolution is enabled with a devolution level of two, an application attempting to query the host name emailsrv7 will attempt to resolve emailsrv7.central.contoso.com andemailsrv7.contoso.com. If the devolution level is three, an attempt will be made to resolve emailsrv7.central.contoso.com, but not emailsrv7.contoso.com.Devolution is not enabled in Active Directory domains when the following conditions are true:

1. A global suffix search list is configured using Group Policy.

2. The Append parent suffixes of the primary DNS suffix check box is not selected on the DNS tab in the Advanced TCP/IP Settings for IPv4 or IPv6 Internet Protocol (TCP/IP) Properties of a client computer’s network connection. Parent suffixes are obtained by devolution.


The DNS client in Windows Server 2008 R2 and Windows 7 introduces the concept of a devolution level, which provides control of the label where devolution will terminate. Previously, the effective devolution level was two. An administrator can now specify the devolution level, allowing for precise control of the organizational boundary in an Active Directory domain when clients attempt to resolve resources within the domain. This update to DNS devolution is also available for previous versions of Microsoft Windows. If the number of labels in the forest root domain is 1 (single labeled), devolution is not performed.

Example: The FRD is contoso and the primary DNS suffix is contoso.com. Devolution is not performed in this case because contoso is single-labeled. Previously, the devolution level was two.

1. If the primary DNS suffix is a trailing subset of (ends with) the forest root domain, the devolution level is set to the number of labels in the FRD.

Example: The FRD is corp.contoso.com and the primary DNS suffix is east.corp.contoso.com. Devolution level in this case is three because east.corp.contoso.com ends with corp.contoso.com and the FRD has three labels. Previously, the devolution level was two.

2. If the primary DNS suffix is not a trailing subset of the FRD, devolution is not performed.

Example: The FRD is corp.contoso.com and the primary DNS suffix is east.contoso.com. Devolution is not performed in this case because east.contoso.com does not end with corp.contoso.com. Previously, the devolution level was two.

The following table summarizes the default behavior for devolution after applying the update.



Primary DNS Suffix

FRD: contoso

FRD: contoso.comFRD: corp.contoso.com

FRD: corp.contoso.net

contoso OFF(FRD is single-labeled)

OFF(contoso does not end with contoso.com)

OFF(contoso does not end with corp.contoso.com)

OFF(contoso does not end with corp.contoso.net)

contoso.com OFF(FRD is single-labeled)

Devolution level: 2(contoso.com ends with contoso.com and FRD has two labels)

OFF(contoso.com does not end with corp.contoso.com)

OFF(contoso.com does not end with corp.contoso.net)

corp.contoso.com

OFF(FRD is single-labeled)

Devolution level: 2(corp.contoso.com ends with contoso.com and FRD has two labels)

Devolution level: 3(corp.contoso.com ends with corp.contoso.com and FRD has three labels)

OFF(corp.contoso.com does not end with corp.contoso.net)

corp.contoso.net

OFF(FRD is single-labeled)

OFF(corp.contoso.net does not end with contoso.com)

OFF(corp.contoso.net does not end with corp.contoso.com)

Devolution level: 3(corp.contoso.net ends with corp.contoso.net and FRD has three labels)

Previously, devolution was done until only two labels in the suffix were left. Now, assuming a contiguous namespace, devolution proceeds down to the FRD name and no further. If DNS resolution is required past the level of the FRD, the following options are available:

1. Configure a global suffix search list. When you configure a suffix search list, devolution is disabled and the suffix search list is used instead.

2. Specify the devolution level. You can configure the devolution level using Group Policy or by configuring theDomainNameDevolutionLevel registry key.

What settings have been added or changed?

Devolution can be configured using Group Policy or using the Windows Registry. The following tables provide values that are used to configure DNS devolution.

Registry settings



Setting name Location

UseDomainNameDevolution(DWORD)

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient

DomainNameDevolutionLevel(DWORD)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

Group Policy settings

Setting name

LocationPrevious default value (if applicable)

Default value

Possible values

Primary DNS Suffix Devolution

Computer Configuration\Administrative Templates\Network\DNS Client

Not configured Not configured

Enabled, Disabled, Not configured

Primary DNS Suffix Devolution Level

Computer Configuration\Administrative Templates\Network\DNS Client

N/A(did not exist)

Not configured

Enabled, Disabled, Not configured

Which editions include this feature?

This feature is available in all editions.



6.11.3 DNS Cache Locking

Cache locking is a new security feature available with Windows Server® 2008 R2 that allows you to control whether or not information in the DNS cache can be overwritten.


Cache locking is a new feature available if your DNS server is running Windows Server 2008 R2. When you enable cache locking, the DNS server will not allow cached records to be overwritten for the duration of the time to live (TTL) value. Cache locking provides for enhanced security against cache poisoning attacks. You can also customize the settings used for cache locking.

What does cache locking do?

When a recursive DNS server responds to a query, it will cache the results obtained so that it can respond quickly if it receives another query requesting the same information. The period of time the DNS server will keep information in its cache is determined by the Time to Live (TTL) value for a resource record. Until the TTL period expires, information in the cache might be overwritten if updated information about that resource record is received. If an attacker successfully overwrites information in the cache, they might be able to redirect traffic on your network to a malicious site.

Are there any special considerations?

Cache locking is configured as a percent value. For example, if the cache locking value is set to 50, then the DNS server will not overwrite a cached entry for half of the duration of the TTL. By default, the cache locking percent value is 100. This means that cached entries will not be overwritten for the entire duration of the TTL. The cache locking value is stored in the CacheLockingPercent registry key. If the registry key is not present, then the DNS server will use the default cache locking value of 100.


The following registry keys can be used to configure the cache locking. However, the recommended method for configuring cache locking settings is with the dnscmd.exe command line tool. Which editions include this feature?




6.11.4 DNS Socket Pool

The socket pool enables a DNS server to use source port randomization when issuing DNS queries. This provides enhanced security against cache poisoning attacks.


A DNS server running Windows Server® 2008 R2, or that has installed security update MS08-037, will use source port randomization to protect against DNS cache poisoning attacks. With source port randomization, the DNS server will randomly pick a source port from a pool of available sockets that it opens when the service starts.

What does Socket Pool do?

Instead of using a predicable source port when issuing queries, the DNS server uses a random port number selected from this pool, known as the socket pool. The socket pool makes cache poisoning attacks more difficult because an attacker must correctly guess the source port of a DNS query in addition to a random transaction ID to successfully execute the attack.

Are there any special considerations?

The socket pool is automatically enabled with default settings if you have installed Security Update MS08-037(http://go.microsoft.com/fwlink/?LinkID=148634). Ports numbers that are reserved for the socket pool depend on the operating system. For more information about the range of port numbers reserved, see Microsoft Knowledge Base article 956188 (http://go.microsoft.com/fwlink/?LinkID=165771).The default size of the socket pool is 2500. When you configure the socket pool, you can choose a size value from 0 to 10000. The larger the value, the greater protection you will have against DNS spoofing attacks. If you configure a socket pool size of zero, the DNS server will use a single socket for remote DNS queries. If the DNS server is running Windows Server 2008 R2, you can also configure a socket pool exclusion list.


The following registry keys can be used to configure the Socket Pool. However, the recommended method for configuring Socket Pool settings is with the dnscmd.exe command line tool. Which editions include this feature?




6.12 Failover Clusters

Algunas mejoras en el proceso de validación de un cluster nuevo o existente. Las mejoras de Cluster con Virtual Machines a través de Hyper-V. La interfaz PowerShell para la administración del servicio, y mejoras en la posibilidad de migrar las configuraciones de un cluster a otro.


En Windows Server® 2008 R2 Enterprise y Windows Server® 2008 R2 Datacenter, los cambios relacionados con los clústeres de conmutación por error son, entre otros, los siguientes:

• Mejoras en el proceso de validación de un clúster nuevo o existente.

• Mejoras en la funcionalidad de las máquinas virtuales en clúster (que se ejecutan con la característica Hyper-V). Estas mejoras contribuyen a mejorar el tiempo de actividad y simplifican la administración de las máquinas virtuales en clúster.

• Incorporación de una interfaz de Windows PowerShell.

• Opciones adicionales para migrar la configuración de un clúster a otro.

¿Para qué sirve un clúster de conmutación por error?

Un clúster de conmutación por error es un grupo de equipos independientes que trabajan juntos para aumentar la disponibilidad de las aplicaciones y los servicios. Los servidores agrupados (denominados nodos) se conectan mediante cables físicos y software. Si se produce un error en uno de los nodos del clúster, otro comienza a dar servicio (proceso que se denomina conmutación por error). Los usuarios experimentarán un número de interrupciones mínimo en el servicio.


Microsoft solo admite una solución de clúster de conmutación por error si todos los componentes de hardware están "Certificados para Windows Server 2008 R2". Además, la configuración completa (servidores, red y almacenamiento) debe superar todas las pruebas del Asistente para validar una configuración, incluido en el complemento Administrador de clúster de conmutación por error.Observe que esta directiva difiere de la directiva de compatibilidad relativa a los clústeres de servidores de Windows Server 2003, que requería que toda la solución de clúster figurara entre las soluciones de clúster en el Catálogo de Windows Server.



¿Qué nueva funcionalidad aporta la característica Clúster de conmutación por error?

• Cmdlets de Windows PowerShell para clústeres de conmutación por error. Windows PowerShell es un nuevo shell de línea de comandos y tecnología de scripting que usa patrones de sintaxis y de nomenclatura coherentes en todos los roles y características de Windows Server 2008 R2. Estos nuevos cmdlets para clústeres de conmutación por error proporcionan una forma eficaz de crear scripts para la configuración de clústeres y tareas de administración. Los cmdlets de Windows PowerShell reemplazarán en última instancia a la interfaz de línea de comandos de Cluster.exe.

Si usa la opción de instalación Server Core de Windows Server 2008 R2 para el clúster de conmutación por error, los cmdlets de Windows PowerShell para clústeres de conmutación por error simplifican la administración local del clúster.

• Opción de permisos de solo lectura. Puede asignar permiso de solo lectura a un usuario o grupo que pueda necesitar ver el clúster, pero no cambiar la configuración de éste.

• Volúmenes compartidos de clúster. Con Volúmenes compartidos de clúster, la configuración de las máquinas virtuales en clúster (posible a través de la característica Hyper-V) es mucho más sencilla que antes. Con Volúmenes compartidos de clúster se pueden realizar las siguientes acciones:

o Se puede reducir el número de LUN (discos) necesario para las máquinas virtuales, en lugar de tener que administrar un LUN por máquina virtual (antes, la configuración recomendada era un LUN por máquina virtual, porque el LUN era la unidad de conmutación por error). Varias máquinas virtuales pueden usar un solo LUN y pueden conmutar por error sin provocar la conmutación por error de las otras máquinas virtuales del mismo LUN.

o Puede usar mejor el espacio del disco, porque no necesita colocar cada archivo VHD (disco duro virtual) en un disco independiente con espacio en disco adicional reservado exclusivamente para ese archivo VHD. En su lugar, cualquier archivo VHD de ese LUN puede usar el espacio libre de un volumen compartido de clúster.

o Puede realizar más fácilmente un seguimiento de las rutas de acceso de los archivos VHD y de otros archivos que las máquinas virtuales usan. Puede especificar los nombres de las rutas de acceso en lugar de identificar los discos mediante las letras de unidad (limitadas al número de letras del alfabeto) o mediante identificadores denominados GUID (difíciles de usar y de recordar). Con Volúmenes compartidos de clúster, la ruta de acceso parece estar en la unidad de sistema del nodo, en la carpeta\ClusterStorage. Sin embargo, esta ruta de acceso es la misma cuando se ve desde cualquier nodo del clúster.

o Si usa algunos volúmenes compartidos de clúster para crear una configuración que admite varias máquinas virtuales en clúster, puede realizar la validación más



rápidamente que con una configuración que use varios LUN para admitir varias máquinas virtuales en clúster. Con menos LUN, la validación se ejecuta más rápidamente. La validación se realiza ejecutando el Asistente para validar una configuración del complemento para clústeres de conmutación por error.

o No hay ningún requisito de hardware especial aparte de los que son normalmente necesarios para el almacenamiento en un clúster de conmutación por error (aunque Volúmenes compartidos de clúster requiere NTFS).

o Aumenta la resistencia, puesto que el clúster puede responder correctamente aunque se interrumpa la conectividad entre un nodo y la SAN o una parte de la red esté fuera de servicio. El clúster desviará el tráfico de Volúmenes compartidos de clúster a una parte intacta de la SAN o la red.

¿Qué cambios hay en la funcionalidad existente?

La siguiente lista resume brevemente las mejoras en los clústeres de conmutación por error:

• Pruebas adicionales para la validación de clúster. Con las pruebas adicionales que se han integrado en el asistente para validación de clúster del complemento Clúster de conmutación por error, puede optimizar la configuración de clúster, realizar un seguimiento de dicha configuración e identificar posibles problemas de configuración de clúster antes de que den lugar a un estado de inactividad.

• Compatibilidad con otros servicios en clúster. Además de los servicios y aplicaciones que antes se podían configurar en un clúster, ahora puede agrupar en clúster servidores miembro del servicio Replicación del sistema de archivos distribuido (DFS) y un Agente de conexión a Escritorio remoto (antes Agente de sesiones de Terminal Services).

• Opciones adicionales para migrar la configuración de un clúster a otro. El Asistente para la migración integrado en el complemento Clúster de conmutación por error migra la configuración de clústeres que ejecutan Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, y no solo la de los clústeres que ejecutan Windows Server 2003, como ocurría antes. El asistente puede migrar también la configuración de otros tipos de recurso y grupo de recursos.

• Opciones para mover una máquina virtual a otro nodo con una interrupción mínima o inexistente para los clientes. Windows Server 2008 R2 incluye Migración en vivo, una opción para mover una máquina virtual a otro nodo de forma que los clientes siguen normalmente conectados a la máquina virtual. También incluye las opciones de migración y movimiento rápidos de máquinas virtuales, similares a las que había disponibles en los clústeres que ejecutaban Windows Server 2008.



Compatibilidad con otros servicios en clúster

Además de los servicios y aplicaciones que antes podía configurar en un clúster de conmutación por error, ahora puede configurar los siguientes:

• Agente de conexión a Escritorio remoto (antes Agente de sesiones de Terminal Services): el Agente de conexión a Escritorio remoto admite el equilibrio de carga y la reconexión de la sesión en una granja de servidores de Escritorio remoto con equilibrio de carga. El Agente de conexión a Escritorio remoto se usa también para ofrecer al usuario acceso a programas RemoteApp y escritorios virtuales mediante RemoteApp y Conexión a Escritorio.

• Replicación DFS: la replicación DFS es un motor de replicación con varios maestros eficaz que sirve para mantener las carpetas sincronizadas entre los servidores en las conexiones de red con ancho de banda limitado. Puede agrupar en clúster cualquier servidor miembro de un grupo de replicación.

Opciones adicionales para migrar la configuración de un clúster a otro

El Asistente para la migración integrado en el complemento Clúster de conmutación por error migra la configuración de clústeres que ejecutan Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2, y no solo la de un clúster que ejecuta Windows Server 2003, como ocurría en el pasado. Al igual que antes, el asistente puede migrar la configuración de los siguientes grupos de recursos:

• Servidor de archivos

• Protocolo de configuración dinámica de host (DHCP)

• Aplicación genérica

• Script genérico

• Servicio genérico

• Servidor WINS

En Windows Server 2008 R2, el Asistente para la migración también puede migrar la configuración de los siguientes grupos de recursos:

• Espacio de nombres de sistema de archivos distribuido (DFS-N)

• Coordinador de transacciones distribuidas (DTC)

• Servidor de Servicio de nombres de almacenamiento de Internet (iSNS)

• Message Queue Server (también denominado MSMQ)



• Network File System (NFS)

• Otro servidor (solo punto de acceso y almacenamiento de cliente)

• Agente de conexión a Escritorio remoto

Tenga en cuenta que existen otros procesos de migración para otros servidores en clúster, como los servidores de impresión en clúster.

Opciones para mover una máquina virtual a otro nodo con una interrupción mínima o inexistente para los clientes

Los clústeres de conmutación por error de Windows Server 2008 R2 ofrecen varias formas de mover máquinas virtuales entre clústeres.

• Migración en vivo: cuando se inicia la migración en vivo, el clúster copia del nodo actual en otro la memoria que está usando la máquina virtual, de modo que cuando se realice realmente la transición al otro nodo, la información de memoria y estado ya se encuentre en su lugar para la máquina virtual. La transición suele ser lo bastante rápida para que el cliente que usa la máquina virtual no pierda la conexión de red. Si usa Volúmenes compartidos de clúster, la migración en vivo es casi instantánea, puesto que no se requiere transferir la propiedad del disco.

La migración en vivo se puede usar para el mantenimiento planeado, pero no para una conmutación por error no planeada. En un servidor que ejecuta Hyper-V, solo se pueden realizar migraciones en vivo (hacia el servidor o desde éste) de una en una. Por ejemplo, si tiene un clúster de cuatro nodos, puede tener lugar un máximo de dos migraciones simultáneas si cada migración se produce entre nodos diferentes.

• Migración rápida: cuando se inicia una migración rápida, el clúster copia en un disco de almacenamiento la memoria que está usando la máquina virtual, de modo que cuando se realice realmente la transición a otro nodo, el nodo que asuma la propiedad pueda leer rápidamente la información de memoria y estado que necesita la máquina virtual.

La migración rápida se puede usar para el mantenimiento planeado, pero no para una conmutación por error no planeada. La migración rápida se puede usar para mover varias máquinas virtuales simultáneamente.

• Mover: cuando se inicia un movimiento, el clúster se prepara para dejar la máquina virtual sin conexión realizando una acción especificada por el usuario en la configuración del clúster para el recurso de máquina virtual:

o La opción Guardar (predeterminada) guarda el estado de la máquina virtual, de modo que se pueda restaurar el estado al volver a ponerla en conexión.

o La opción Apagar apaga el sistema operativo de forma ordenada (esperando a que se cierren todos los procesos) de la máquina virtual antes de dejarla sin conexión.



o La opción Apagar (forzado) apaga el sistema operativo de la máquina virtual sin esperar a que finalicen los procesos más lentos y, a continuación, deja la máquina virtual sin conexión.

o La opción Desactivar equivale a desconectar la alimentación de la máquina virtual, lo que significa que puede que se pierdan datos.

La opción especificada para la acción sin conexión no afecta a las migraciones en vivo o rápidas, ni a las conmutaciones por error no planeadas. Solo afecta a los movimientos (o cuando se deja el recurso fuera de línea mediante Windows PowerShell o una aplicación).

¿Es necesario cambiar el código o los scripts existentes para trabajar con Windows Server 2008 R2?

Si una aplicación o servicio se ejecutaba en un clúster con Windows Server 2008, no es necesario cambiar el código para ejecutarlos en un clúster con Windows Server 2008 R2. Si tiene scripts basados en Cluster.exe, puede continuar usándolos en Windows Server 2008 R2, si bien se recomienda reescribirlos con cmdlets de Windows PowerShell. En versiones futuras, Windows PowerShell será la única interfaz de línea de comandos disponible para los clústeres de conmutación por error.

¿Qué preparación es necesaria para implementar esta característica?

Revise detenidamente el hardware en el que planea implementar un clúster de conmutación por error para asegurarse de que es compatible con Windows Server 2008 R2. Esto es especialmente necesario si actualmente está usando ese hardware para un clúster de servidores que ejecuta Windows Server 2003. Un hardware que admite un clúster de servidores que ejecuta Windows Server 2003 no necesariamente admite un clúster de servidores que ejecute Windows Server 2008 R2.

Si planea usar Volúmenes compartidos de clúster, configure el sistema operativo de cada servidor del clúster para que arranque desde la misma letra de unidad que los demás servidores del clúster. En otras palabras, si uno de los servidores arranca desde la letra de unidad C, todos los servidores del clúster deben arrancar desde la letra de unidad C.

¿Qué ediciones incluyen Clúster de conmutación por error?

La característica Clúster de conmutación por error está disponible en Windows Server 2008 R2 Enterprise y Windows Server 2008 R2 Datacenter. No está disponible en Windows Web Server 2008 R2 o Windows Server 2008 R2 Standard.



6.13 Hyper-V

Ya lo comenté más en detalle antes, pero está Live Migration, Enhanced Processor Support, Enhanced Networking Support, Dynamic Virtual Machine Storage, etc.


El rol Hyper-V™ permite crear y administrar un entorno servidor virtualizado mediante una tecnología integrada en Windows Server® 2008 R2. Entre las mejoras realizadas en Hyper-V cabe destacar la nueva funcionalidad Migración en vivo, la compatibilidad con el almacenamiento en máquinas virtuales dinámicas y una mejor compatibilidad con los procesadores y las redes.Los siguientes cambios están disponibles en Windows Server 2008 R2:

• Migración en vivo

• Almacenamiento en máquinas virtuales dinámicas

• Compatibilidad con procesadores mejorada

• Compatibilidad con redes mejorada

¿Para qué sirve Hyper-V?

Hyper-V es un rol de Windows Server 2008 R2 que proporciona las herramientas y los servicios necesarios para crear un entorno servidor virtualizado. Este entorno virtualizado se puede usar para abordar diversos objetivos empresariales orientados a mejorar la eficacia y reducir los costos. Además, este tipo de entorno es útil en el sentido de que permite crear y administrar máquinas virtuales de manera que se puedan ejecutar varios sistemas operativos en un único equipo físico y aislar tales sistemas operativos entre sí.

¿Qué nueva funcionalidad aporta Hyper-V?

Entre las mejoras que presenta Hyper-V destaca la nueva funcionalidad Migración en vivo.



Migración en vivo

Migración en vivo permite mover de manera transparente máquinas virtuales en ejecución de un nodo del clúster de conmutación por error a otro nodo del mismo clúster sin que se interrumpa la conexión de red o se perciba tiempo de inactividad alguno. Esta característica requiere agregar y configurar el rol de clúster de conmutación por error en los servidores que ejecutan Hyper-V. Además, el clúster de conmutación por error necesita disponer de almacenamiento compartido para los nodos del clúster. Esto puede conseguirse a través de una red de área de almacenamiento (SAN) de canal de fibra o iSCSI. Todas las máquinas virtuales se almacenan en el área de almacenamiento compartido y uno de los nodos administra el estado de la máquina virtual en ejecución.En un servidor que ejecuta Hyper-V, solo se pueden realizar migraciones en vivo (hacia el servidor o desde éste) de una en una. Esto significa que no puede usar la migración en vivo para mover varias máquinas virtuales simultáneamente.La migración en vivo requiere la nueva característica Volúmenes compartidos de clúster (CSV) del Clúster de conmutación por error en Windows Server 2008 R2. CSV proporciona un espacio de nombres de archivos único y coherente para que todos los servidores que ejecutan Windows Server 2008 R2 vean el mismo almacenamiento.

¿Por qué es importante este cambio?

La migración en vivo realiza las siguientes acciones para aportar una mayor flexibilidad y un valor adicional:

• Proporciona más agilidad. Los centros de datos con varios servidores que ejecutan Hyper-V pueden mover máquinas virtuales en ejecución al mejor equipo físico para optimizar el rendimiento, el escalado y la consolidación sin que los usuarios se vean afectados.

• Reduce los costos. Los centros de datos con varios servidores que ejecutan Hyper-V pueden realizar tareas de mantenimiento en tales servidores sin interrumpir la actividad de la máquina virtual o sin tener que programar un período de mantenimiento. Asimismo, podrán reducir el consumo energético al aumentar dinámicamente las proporciones de consolidación y apagar los servidores sin usar durante períodos de menor demanda.

• Aumenta la productividad. Es posible mantener máquinas virtuales conectadas, incluso durante las tareas de mantenimiento, lo cual aumenta la productividad tanto de los usuarios como de los administradores del servidor.

¿Existe alguna dependencia?

La migración en vivo requiere agregar y configurar el rol de clúster de conmutación por error en los servidores que ejecutan Hyper-V.



¿Qué cambios hay en la funcionalidad existente?

La siguiente lista resume brevemente las mejoras realizadas en la funcionalidad existente de Hyper-V:

• Almacenamiento en máquinas virtuales dinámicas. Entre las mejoras realizadas en el almacenamiento en máquinas virtuales se incluye la posibilidad de conectar y desconectar el almacenamiento en caliente. Dado que se pueden agregar o quitar discos duros virtuales o físicos mientras la máquina virtual está en ejecución, las máquinas virtuales se pueden configurar rápidamente para que cumplan los requisitos en constante cambio. También se pueden agregar o quitar discos duros virtuales y físicos a las controladoras SCSI existentes de las máquinas virtuales. La conexión y desconexión en caliente del almacenamiento requiere la instalación de los servicios de integración de Hyper-V (que se suministran junto con Windows Server 2008 R2) en el sistema operativo invitado.

• Compatibilidad con procesadores mejorada. Ahora puede tener hasta 32 núcleos de procesador físicos. La mayor compatibilidad con procesadores permite ejecutar cargas de trabajo aún más exigentes en un único host. Además, también se admite SLAT (Second-Level Address Translation) y CPU Core Parking. CPU Core Parking permite que Windows y Hyper-V puedan consolidar el procesamiento en el menor número posible de núcleos de procesador y, además, suspende los núcleos de procesador inactivos. Por su parte, SLAT agrega un segundo nivel de paginación debajo las tablas de paginación de arquitectura basadas en x86/x64 en procesadores basados en x86/x64. Proporciona un nivel de indirección del acceso a la memoria de la máquina virtual al acceso a la memoria física. En escenarios de virtualización, la compatibilidad con SLAT basado en hardware mejora el rendimiento. En procesadores basados en Intel, esto recibe el nombre de tablas de paginación extendidas (ETP) y, en procesadores basados en AMD, recibe el nombre de tablas de paginación anidadas (NPT).

• Compatibilidad con redes mejorada. Ahora la compatibilidad con las tramas gigantes, que antes era exclusiva de los entornos no virtuales, se ha extendido a las máquinas virtuales. Esta característica permite que las máquinas virtuales puedan usar tramas gigantes de hasta 9.014 bytes si la red física subyacente lo admite.

¿Qué ediciones incluyen este rol?

Este rol está disponible en todas las ediciones de Windows Server 2008 R2, a excepción de Windows Server® 2008 R2 para sistemas basados en Itanium y Windows® Web Server 2008 R2.



6.14 Group Policy

No hay muchos cambios, si a nivel administrativo gracias a los Cmdlets de PowerShell, algunos ítems nuevos de Group Policy Preferences, mejoras en las Starter GPO’s, y otros administrative settings adicionales.


Los siguientes cambios están disponibles en Windows Server® 2008 R2 y en Windows® 7 con Herramientas de administración de servidor remoto (RSAT):

• Cmdlets de Windows PowerShell para la directiva de grupo: posibilidad de administrar la directiva de grupo desde la línea de comandos de Windows PowerShell™ y de ejecutar scripts de PowerShell durante el inicio y el inicio de sesión

• Preferencias de directiva de grupo: tipos adicionales de elementos de preferencias

• Objetos de directiva de grupo de inicio: mejoras en los GPO de inicio

• Configuración de plantillas administrativas: interfaz de usuario mejorada y configuraciones de directiva adicionales

¿Para qué sirve la directiva de grupo?

La directiva de grupo proporciona una infraestructura para la administración centralizada de la configuración del sistema operativo y de las aplicaciones que se ejecutan en el sistema operativo.


La directiva de grupo local y de dominio se puede administrar mediante versiones basadas en dominio de Windows Server 2008 R2. Aunque el Consola de administración de directivas de grupo (GPMC) se distribuye con Windows Server 2008 R2, se debe instalar Administración de directivas de grupo como característica mediante el Administrador del servidor.La directiva de grupo local y de dominio también se puede administrar mediante Windows 7. Para administrar la directiva de grupo local, se ha reemplazado el Editor de objetos de directiva de grupo por el Editor de directivas de grupo local. Para administrar la directiva de grupo de dominio, primero se debe instalar el GPMC.

RSAT permite a los administradores de TI administrar los roles y características en Windows Server 2008 R2 de forma remota desde un equipo que ejecuta Windows 7. RSAT incluye compatibilidad para la administración remota de equipos que ejecutan una instalación Server Core o la



opción de instalación completa de Windows Server 2008 R2. La funcionalidad que RSAT proporciona es similar al paquete de herramientas de administración de Windows Server 2003.La instalación de RSAT no instala de forma automática el GPMC. Para instalar el GPMC después de hacer lo propio con RSAT, haga clic en Programas en el Panel de control, haga clic en Activar o desactivar las características de Windows, expanda Herramientas de administración remota del servidor, expanda Herramientas de administración de características y active las casillas Herramientas de administración de características y Herramientas de administración de directivas de grupo.


La directiva de grupo está disponible en todas las ediciones de Windows Server 2008 R2 y Windows 7. Tanto la directiva de grupo basada en dominios como la local se pueden administrar mediante cualquier versión de Windows Server 2008 R2 o de Windows 7 que admita RSAT.

¿Tiene un funcionamiento diferente en algunas ediciones?

Sin RSAT, la directiva de grupo local solo se puede administrar mediante Windows 7. Con RSAT, tanto la directiva de grupo basada en dominios como la local se pueden administrar mediante cualquier versión de Windows 7 que admita RSAT.

¿Está disponible tanto en las versiones de 32 bits como de 64 bits?

La directiva de grupo está disponible tanto en las versiones de 32 bits como de 64 bits de Windows Server 2008 R2. La elección de una versión de 32 bits o de 64 bits no afecta a la interoperabilidad, escalabilidad, seguridad o capacidad de administración de la directiva de grupo.

6.14.1 Cmdlets de Windows PowerShell para la directiva de grupo

¿Para qué sirven los cmdlets de directiva de grupo de Windows PowerShell?

Windows PowerShell es un shell de línea de comandos y lenguaje de scripting de Windows que se puede usar para automatizar muchas de las tareas que se realizan en la interfaz de usuario mediante la Consola de administración de directivas de grupo (GPMC). Para ayudarle a realizar estas tareas, la directiva de grupo de Windows Server 2008 R2 proporciona más de 25 cmdlets. Cada cmdlet es una sencilla herramienta de línea de comandos con una sola función.Los cmdlets de directiva de grupo se pueden usar para realizar las siguientes tareas relativas a los objetos de directiva de grupo (GPO) basados en dominios:

• Mantenimiento de GPO: creación, eliminación, copia de seguridad e importación de GPO.

• Asociación de GPO a contenedores de Active Directory®: creación, actualización y eliminación de vínculos de directiva de grupo.



• Configuración de marcas de herencia y permisos en las unidades organizativas (OU) y dominios de Active Directory.

• Configuración de opciones de directivas basadas en el Registro y opciones del Registro de Preferencias de directiva de grupo: actualización, recuperación y eliminación.

• Creación y edición de GPO de inicio.


Para usar los cmdlets de directiva de grupo de Windows PowerShell, debe ejecutar Windows Server 2008 R2 en un controlador de dominio o en un servidor miembro donde se haya instalado GPMC, o bien Windows 7 con Herramientas de administración remota del servidor (RSAT) instaladas. RSAT incluye GPMC y sus cmdlets.También se debe usar el comando Import-Module grouppolicy para importar el módulo de directiva de grupo antes de usar los cmdlets, al principio de cada script que los use y al principio de cada sesión de Windows PowerShell.Se pueden usar los cmdlets de GPRegistryValue para modificar la configuración de directivas basada en el Registro y los cmdlets de GPPrefRegistryValue para modificar los elementos de preferencias del Registro. Para obtener información acerca de las claves del Registro asociadas a la configuración de directiva basada en el Registro.

¿Cuáles son las configuraciones de directiva que se han agregado o cambiado?

La nueva configuración de directivas ahora permite especificar si los scripts de Windows PowerShell se ejecutan antes de scripts que no son de Windows PowerShell al iniciar o apagar el equipo, así como al iniciar o cerrar una sesión. De forma predeterminada, los scripts de Windows PowerShell se ejecutan después de los scripts que no son de Windows PowerShell.

6.14.2 Preferencias de directiva de grupo


Los siguientes nuevos tipos de elementos de preferencias se pueden administrar mediante Windows Server 2008 R2 y Windows 7 con Herramientas de administración de servidor remoto (RSAT). Windows Server 2008 R2 y Windows 7 incluyen las extensiones de cliente para estos nuevos tipos de elementos de preferencias:

• Elementos de preferencias de plan de energía (Windows Vista y posterior)

• Elementos de preferencias de tarea programada (Windows Vista y posterior)

• Elementos de preferencias de tarea inmediata (Windows Vista y posterior)



• Elementos de preferencias de Internet Explorer 8

¿Para qué sirve Preferencias de directiva de grupo?

Preferencias de directiva de grupo permite administrar asignaciones de unidades, configuración del Registro, usuarios y grupos locales, servicios, archivos y carpetas sin que sea necesario conocer un lenguaje de scripting. Se pueden usar los elementos de preferencias para reducir el scripting y el número de imágenes personalizadas del sistema necesarias, estandarizar la administración y ofrecer asistencia en la protección de las redes. El uso de destinos de nivel de elemento de preferencias permite simplificar la administración de escritorios mediante la reducción del número de objetos de directiva de grupo necesarios.


Windows Server 2008 R2 y Windows 7 con RSAT mejoran varias extensiones de preferencias con la adición de nuevos tipos de elementos de preferencias, que proporcionan compatibilidad con planes de energía, tareas programadas y tareas inmediatas para Windows 7, Windows Server 2008 y Windows Vista, y Windows Internet Explorer 8.Elementos de preferencias de plan de energía (Windows Vista y posterior)Windows Server 2008 R2 y Windows 7 con RSAT mejoran la extensión de preferencias Opciones de energía con la adición de los elementos de preferencias de plan de energía (Windows Vista y posterior).


Los elementos de preferencias de plan de energía sirven para configurar opciones de suspensión y visualización predeterminadas que permiten administrar el consumo energético de los equipos, reducir el consumo energético y cuidar el medio ambiente. Con los elementos de preferencias de plan de energía, puede permitir que sean los usuarios quienes cambien dichas opciones predeterminadas. Aunque también se pueden administrar las opciones de energía mediante la aplicación de configuraciones de directivas, es posible que algunos roles de usuario (como usuarios móviles) necesiten flexibilidad de cambiar dichas configuraciones por sí mismos.

La interfaz de usuario de los elementos de preferencias de plan de energía se parece a la configuración avanzada de energía en Opciones de energía del Panel de control. Esta similitud hace que sea más fácil familiarizarse con la funcionalidad. Como con cualquier otro tipo de elemento de preferencias, se pueden usar los destinos de nivel de elemento de preferencias para restringir los equipos y usuarios a los que se aplica el elemento de preferencias del plan de energía.


Los elementos de preferencias del plan de energía solo se pueden usar para administrar el consumo de energía de equipos que ejecutan Windows 7, Windows Server 2008 y Windows Vista. En los equipos que ejecutan Windows XP o Windows Server 2003, se deben usar en su lugar los elementos de preferencias Opciones de energía (Windows XP) y Combinación de energía (Windows XP).



Elementos de preferencias de tarea programada (Windows Vista y posterior)Windows Server 2008 R2 y Windows 7 con RSAT mejoran la extensión de preferencias Tareas programadas con la adición de los elementos de preferencias de tarea programada (Windows Vista y posterior).


Los elementos de preferencias de tarea programada (Windows Vista y posterior) sirven para crear, reemplazar, actualizar y eliminar tareas (así como sus propiedades asociadas). Aunque los elementos de preferencias de tarea programada se pueden seguir usando para administrar tareas para Windows 7, Windows Server 2008 y Windows Vista, los elementos de preferencias de tarea programada (Windows Vista y posterior) proporcionan una interfaz de usuario similar al Programador de tareas en Windows 7, Windows Server 2008 y Windows Vista, junto con las opciones que proporciona. Como con cualquier otro tipo de elemento de preferencias, se pueden usar los destinos de nivel de elemento de preferencias para restringir los equipos y usuarios a los que se aplica el elemento de preferencias de tarea programada.


Los elementos de preferencias de tarea programada (Windows Vista y posterior) solo se pueden usar para administrar tareas de equipos que ejecutan Windows 7, Windows Server 2008 y Windows Vista. Para equipos que ejecutan Windows XP o Windows Server 2003, use en su lugar los elementos de preferencias de tarea programada.Elementos de preferencias de tarea inmediata (Windows Vista y posterior)Windows Server 2008 R2 y Windows 7 con RSAT mejoran la extensión de preferencias Tareas programadas con la adición de los elementos de preferencias de tarea inmediata (Windows Vista y posterior).


Los elementos de preferencias de tarea inmediata (Windows Vista y posterior) sirven para crear tareas que se ejecutan inmediatamente al actualizar la directiva de grupo y que, después, se eliminan. Anteriormente, los elementos de preferencias de tarea inmediata no eran compatibles con Windows Server 2008 ni con Windows Vista. Los elementos de preferencias de tarea inmediata (Windows Vista y posterior) proporcionan una interfaz de usuario intuitiva similar al Programador de tareas en Windows 7, Windows Server 2008 y Windows Vista, junto con las opciones que proporciona. Como con cualquier otro tipo de elemento de preferencias, se pueden usar los destinos de nivel de elemento de preferencias para restringir los equipos y usuarios a los que se aplica el elemento de preferencias de tarea inmediata.


Los elementos de preferencias de tarea inmediata (Windows Vista y posterior) solo se pueden usar para administrar tareas de equipos que ejecutan Windows 7, Windows Server 2008 y Windows Vista. Para equipos que ejecutan Windows XP o Windows Server 2003, use en su lugar los elementos de preferencias de tarea inmediata.



Elementos de preferencias de Internet Explorer 8

Windows Server 2008 R2 y Windows 7 con RSAT mejoran la extensión de preferencias de configuración de Internet con la adición de los elementos de preferencias de Internet Explorer 8.


Los elementos de preferencias de Internet Explorer 8 sirven para actualizar las opciones de Internet de Internet Explorer 8. Como con cualquier otro tipo de elemento de preferencias, se pueden usar los destinos de nivel de elemento de preferencias para restringir los equipos y usuarios a los que se aplica el elemento de preferencias de tarea inmediata.

¿Dónde radica la diferencia?

Internet Explorer 8 e Internet Explorer 7 tienen una configuración predeterminada distinta, de forma que los tipos correspondientes de elementos de preferencias también tienen una configuración predeterminada diferente.


Los elementos de preferencias de Internet Explorer 8 solo se pueden usar para administrar las opciones de Internet de Internet Explorer 8. Para administrar las opciones de Internet de versiones anteriores de Internet Explorer, use los elementos de preferencias de Internet Explorer 7 o los de Internet Explorer 5 y 6.

6.14.3 Objetos de directiva de grupo de inicio


Hay disponibles Objetos de directiva de grupo (GPO) de inicio del sistema para los siguientes escenarios en Windows Server 2008 R2 y Windows 7 con Herramientas de administración de servidor remoto (RSAT):

• Cliente de empresa de Windows Vista (EC)

• Cliente de Seguridad especializada: Funcionalidad limitada de Windows Vista (SSLF)

• Windows XP Service Pack 2 (SP2) EC

• Cliente de Windows XP SP2 SSLF



¿Para qué sirven los GPO de inicio de sistema?

Los GPO de inicio del sistema son GPO de inicio de solo lectura que proporciona una línea base de la configuración para un determinado escenario. Al igual que los GPO de inicio, los GPO de inicio del sistema proceden de un GPO, permiten almacenar una colección de configuraciones de la directiva de plantillas administrativas en un solo objeto y se pueden importar.


Los GPO de inicio de sistema se incluyen como parte de Windows Server 2008 R2 y Windows 7 con RSAT y no se deben descargar e instalar de forma independiente.


Los GPO de inicio de sistema incluidos en Windows Server 2008 R2 y Windows 7 con RSAT proporcionan configuraciones de directiva de grupo recomendadas para los siguientes escenarios descritos en la Guía de seguridad de Windows Vista o en la Guía de seguridad de Windows XP:

• La configuración de directiva de grupo de equipo y usuario recomendada para el entorno de cliente de Windows Vista EC está incluida en los GPO de inicio del sistema Equipo con Windows Vista EC y Usuario de Windows Vista EC.

• La configuración de directiva de grupo de equipo y usuario recomendada para el entorno de cliente de Windows Vista SSLF está incluida en los GPO de inicio del sistema Equipo con Windows Vista SSLF y Usuario de Windows Vista SSLF.

• La configuración de directiva de grupo de equipo y usuario recomendada para el entorno de Windows XP SP2 EC está incluida en los GPO de inicio del sistema Equipo con Windows XP SP2 EC y Usuario de Windows XP SP2 EC.

• La configuración de directiva de grupo de equipo y usuario recomendada para el entorno de cliente de Windows XP SP2 SSLF está incluida en los GPO de inicio del sistema Equipo con Windows XP SP2 SSLF y Usuario de Windows XP SP2 SSLF.


Ya no es necesario descargar estos GPO de inicio de sistema, puesto que ya se incluyen en Windows Server 2008 R2 y Windows 7 con RSAT.



6.14.4 Configuración de plantillas administrativas


Los siguientes cambios están disponibles en Windows Server 2008 R2 y en Windows 7 con Herramientas de administración de servidor remoto (RSAT):

• Interfaz de usuario mejorada

• Compatibilidad con tipos de valor del Registro de cadenas múltiples y QWORD

¿Para qué sirven las plantillas administrativas?

Las plantillas administrativas (archivos .ADMX) son configuraciones de directiva basadas en el Registro que aparecen en el nodo Plantillas administrativas de los nodos Configuración del equipo y Configuración de usuario. Esta jerarquía se crea cuando la Consola de administración de directivas de grupo lee los archivos de plantillas administrativas basadas en XML.


Las plantillas administrativas ahora proporcionan una interfaz de usuario mejorada y compatibilidad con los tipos de valor del Registro de cadenas múltiples (REG_MULTI_SZ) y QWORD.

Interfaz de usuario mejorada

En versiones anteriores de Windows, el cuadro de diálogo de propiedades de una configuración de directiva de plantillas administrativas incluía tres fichas independientes: Configuración (para habilitar o deshabilitar una configuración de directiva y para configurar otras opciones), Explicación (para obtener más información acerca de una configuración de directiva) y Comentario (para escribir información adicional sobre la configuración de directiva). En Windows Server 2008 R2, estas opciones están disponibles en una única ubicación dentro del cuadro de diálogo de propiedades en lugar de en tres fichas independientes. Además, el tamaño del cuadro de diálogo ahora es ajustable.Asimismo, el campo Explicación, que proporciona información adicional sobre una configuración de directiva, ahora se llama Ayuda.


Al incluir todas las opciones necesarias para la configuración de las directivas en una única ubicación, la interfaz de usuario de plantillas administrativas reduce el tiempo de administración necesario para configurar y obtener más información sobre la configuración de las directivas.Compatibilidad con tipos de valor del Registro de cadenas múltiples y QWORDLas plantillas administrativas ahora proporcionan compatibilidad con los tipos de valor del Registro de cadenas múltiples (REG_MULTI_SZ) y QWORD.




Este campo amplía las opciones de administración de directivas de grupo en tanto permite que las organizaciones usen la configuración de directiva de plantillas administrativas para administrar aplicaciones que usan los tipos de valor del Registro REG_MULTI_SZ y QWORD.La compatibilidad con el tipo de valor del Registro REG_MULTI_SZ permite realizar las siguientes tareas durante la configuración de directiva de plantillas administrativas:

• Habilitar una configuración de directiva, escribir varias líneas de texto y ordenar las entradas.

• Editar una opción configurada existente y agregar nuevos elementos de línea.

• Editar una opción configurada existente y editar elementos de línea individuales.

• Editar una opción configurada existente, seleccionar una o más entradas y eliminar las entradas seleccionadas. Las entradas no deben ser contiguas.

La compatibilidad con el tipo de valor del Registro QWORD permite usar la configuración de directiva de plantillas administrativas para administrar aplicaciones de 64 bits.

¿Cuáles son las configuraciones de directiva que se han agregado o cambiado?

En relación con la directiva de grupo de Windows Server 2008 R2 y de Windows 7 con RSAT, se han agregado más de 300 configuraciones de directiva de plantillas administrativas. Para obtener más información sobre si se han agregado o cambiado configuraciones de directiva específicas para las tecnologías tratadas en esta guía, vea los temas específicos de las tecnologías en cuestión.



6.15 Network Access Protection (NAP)

Multi-Configuration SHV que simplemente permite la configuración de múltiples System Health Validators (SHV). En cuanto al cliente NAP tiene algunas mejoras para Windows 7.


Protección de acceso a redes (NAP) proporciona la siguiente nueva característica en Windows Server® 2008 R2:

• SHV con múltiples configuraciones. Esta característica tiene como objetivo tanto el costo de implementación como la propiedad de servidores NAP al permitir especificar múltiples configuraciones de un Validador de mantenimiento del sistema (SHV). Cuando se configuran directivas de mantenimiento, se puede seleccionar una de esas configuraciones de SHV. Cuando se configura una directiva de red para una evaluación de mantenimiento, se selecciona una directiva de mantenimiento específica. Por lo tanto, diferentes directivas de red pueden especificar distintos conjuntos de requisitos de mantenimiento basados en una configuración específica del SHV. Por ejemplo, se puede crear una directiva de red que especifique que los equipos conectados a la intranet deben tener activado un software antivirus, y otra en la que se especifique que los equipos conectados a la VPN deben tener activado el software antivirus y el archivo de firma actualizado.

NAP proporciona la siguiente nueva característica en Windows® 7:

• Mejoras en la interfaz de usuario del cliente de NAP. Tras recopilar comentarios sobre la interacción del usuario final con NAP en Microsoft y las implementaciones de asociados, se ha mejorado la experiencia del usuario final mediante la integración de la interfaz de usuario del cliente de NAP en el Centro de actividades de los equipos que ejecutan Windows 7.


A continuación se incluyen algunas consideraciones especiales para el uso de las nuevas características con NAP:

• Para usar los SHV con múltiples configuraciones, los servidores de directivas de mantenimiento de NAP deben ejecutar un sistema operativo Windows Server 2008 R2.

• Los SHV con múltiples configuraciones solo están disponibles para los SHV compatibles con esta característica, por ejemplo, el Validador de mantenimiento de la seguridad de Windows (WSHV).

• Para usar las mejoras de la interfaz de usuario de clientes de NAP, los equipos cliente deben ejecutar un sistema operativo Windows 7.



¿Qué nueva funcionalidad aportan estas características?

Estas características proporcionan mayor flexibilidad y simplicidad a los administradores que administran una infraestructura de NAP. En las secciones siguientes se describe cómo se pueden usar estas mejoras.

SHV con múltiples configuraciones

Los SHV definen requisitos de configuración para equipos que intentan conectarse a la red. Por ejemplo, el WSHV se puede configurar para requerir que algunas o todas las opciones siguientes estén habilitadas en los equipos cliente de NAP:

• Firewall. Si se selecciona, el equipo cliente debe disponer de un firewall registrado con el Centro de seguridad de Windows y habilitado para todas las conexiones de red.

• Protección contra virus. Si se selecciona, el equipo cliente debe tener una aplicación antivirus instalada, registrada con el Centro de seguridad de Windows y activada.

• Antivirus actualizado. Si se selecciona, también se puede comprobar el equipo cliente para asegurarse de que el archivo de firma del antivirus está actualizado.

• Protección contra spyware. Si se selecciona, el equipo cliente debe tener una aplicación anti spyware instalada, registrada con el Centro de seguridad de Windows y activada.

• Anti spyware actualizado. Si se selecciona, también se puede comprobar el equipo cliente para asegurarse de que el archivo de firma del anti spyware está actualizado.

• Actualizaciones automáticas. Si se selecciona, el equipo cliente debe estar configurado para buscar actualizaciones en Windows Update. Se puede elegir si se desea descargarlas e instalarlas.

• Protección de actualizaciones de seguridad. Si se selecciona, el equipo cliente debe tener actualizaciones de seguridad instaladas basadas en una de las cuatro clasificaciones de gravedad de la seguridad del Centro de respuestas de seguridad de Microsoft (MSRC). El cliente también debe buscar dichas actualizaciones cada cierto intervalo de tiempo especificado. Para obtener las actualizaciones de seguridad, puede optar por usar Windows Server Update Services (WSUS), Windows Update o ambos.

Para asegurarse de que los equipos cliente de NAP cumplen estos requisitos, debe establecer la configuración de WSHV, habilitar WSHV en las directivas de mantenimiento y, a continuación, agregar la condición de las directivas de mantenimientos a una directiva de red.Cuando un SHV es compatible con la característica de SHV con múltiples configuraciones, se pueden almacenar distintos valores de configuración en múltiples perfiles de configuración de SHV. Cuando se configuran las directivas de mantenimiento, se puede elegir el SHV que se va a usar y una



configuración personalizada para el SHV si se ha configurado. Por ejemplo, mediante esta característica se podrían crear las dos configuraciones de directivas de mantenimiento siguientes:

• Configuración predeterminada. El equipo cliente debe tener un firewall y Windows Update habilitados, las aplicaciones de antivirus y anti spyware deben estar activadas y actualizadas y, asimismo, todas las actualizaciones de seguridad importantes deben estar instaladas.

• Configuración de confianza. El equipo cliente debe tener una aplicación antivirus activada y actualizada.

Estas configuraciones se pueden usar para crear directivas de mantenimiento que requieran unos valores de configuración predeterminados o unos valores de configuración de confianza. Se pueden crear tantas configuraciones únicas como sean necesarias.


Antes era necesario usar un servidor de directivas de mantenimiento de NAP distinto para especificar un conjunto de configuraciones diferente para el mismo SHV. Con SHV con múltiples configuraciones, se puede usar un único servidor de directivas de mantenimiento de NAP para implementar varias configuraciones en el mismo SHV.


Los SHV con múltiples configuraciones afectan a los procedimientos usados para configurar los SHV y las directivas de mantenimiento. La configuración de los SHV está dividida en la configuración de los valores de configuración y la configuración de los códigos de error. Si un SHV admite SHV con múltiples configuraciones, se podrán crear configuraciones adicionales, para lo cual deberá hacer clic con el botón secundario en Configuración, hacer clic enNueva y, a continuación, proporcionar un nombre descriptivo para la nueva configuración. Si un SHV no admite SHV con múltiples configuraciones, puede configurar los requisitos mediante la opción Configuración predeterminada.


El SHV con múltiples configuraciones solo está disponible si el proveedor de SHV ha diseñado el SHV para que admita esta característica.

¿Qué preparación es necesaria para este cambio?

Revise las opciones y la configuración de las directivas NAP en todos los servidores de directivas de mantenimiento NAP de la red para determinar cómo se verán afectadas por esta característica. Si actualiza estos servidores de Windows Server® 2008 a Windows Server 2008 R2, compruebe que todas las configuraciones de SHV se migran correctamente a la opción Configuración predeterminada para todos los SHV instalados.

Mejoras en la interfaz de usuario del cliente de NAP

Se ha mejorado la experiencia de usuario final en tanto se han mejorado los mensajes que el usuario final ve acerca de NAP y la integración de la interfaz de usuario de cliente de NAP en el Centro de



actividades de los equipos que ejecutan Windows 7. El Centro de actividades proporciona una ubicación centralizada donde se pueden ver alertas y realizar acciones que ayuden a que Windows funcione sin problemas.


Mediante la integración de las notificaciones de cliente de NAP con el Centro de actividades, el usuario final tiene una visión global de todas las configuraciones de seguridad y mantenimiento importantes en el equipo que podrían requerir atención.


Cuando la configuración o los servicios de un equipo de usuario final no cumplen los requisitos de red, el usuario podría recibir un mensaje de notificación de NAP. Estos mensajes se han mejorado e integrado en el Centro de actividades en los equipos que ejecutan Windows 7.


Los mensajes de notificación de cliente de NAP solo se proporcionan en equipos que tienen el servicio de agente NAP en ejecución. El Centro de actividades solo está disponible en equipos que ejecutan Windows 7.

¿Qué preparación es necesaria para este cambio?

Revise los tipos de mensajes que proporciona el Centro de actividades en equipos que ejecutan Windows 7. Por ejemplo, un elemento rojo en el Centro de actividades indica un problema importante que se debe resolver pronto. Los elementos amarillos son tareas sugeridas, como las tareas de mantenimiento.



6.16 Network Policy Server (NPS)

La administración de los templates y los templates de NPS son uno de las nuevas características. Esto permite generar la configuración para un determinado servicio o server y reutilizarlo en otro equipo o en el mismo equipo local. También hay mejoras en el accounting del RADIUS que permite configurar un SQL para guardar los logs.


El Servidor de directivas de redes (NPS) proporciona las siguientes nuevas características en Windows Server® 2008 R2:

• Plantillas NPS y Administración de plantillas. Las plantillas NPS le permiten crear elementos de configuración, como clientes RADIUS (Servicio de autenticación remota telefónica de usuario) o secretos compartidos, que se pueden volver a usar en el servidor que ejecuta NPS local y exportar para su uso en otros servidores NPS. Administración de plantillas agrega un nodo a la consola de NPS en el que se pueden crear, modificar y guardar plantillas. Además, se pueden exportar plantillas para su uso en otros servidores NPS o importar plantillas a Administración de plantillas para su uso en el equipo local.

• Mejoras en las cuentas RADIUS. Entre estas mejoras se incluye un nuevo asistente para la configuración de cuentas que le permite configurar fácilmente la creación de registros de Microsoft SQL Server®, de registros de archivos de texto o combinaciones de ambos tipos de registro. Además, este asistente puede servir para configurar de forma automática una base de datos NPS en un equipo local o remoto que ejecuta SQL Server.

• Total compatibilidad con conjuntos de caracteres internacionales que usan la codificación UTF-8. En cumplimiento de la solicitud de comentarios (RFC) 2865 del Grupo de trabajo de ingeniería de Internet (IETF), NPS procesa el valor del atributo User-Name en una solicitud de conexión que usa una codificación de Formato de transformación Unicode de 8 bits (UTF-8). El atributo User-Name incluye la identidad del usuario o del equipo y el dominio kerberos. Opcionalmente, se puede usar una clave del Registro para hacer que NPS procese el valor del atributo User-Name en formato American Standard Code for Information Interchange (ASCII).




A continuación se incluyen algunas consideraciones especiales para usar +las nuevas características de NPS:

• Todos los servidores NPS en los que desee ejecutar las nuevas características enumeradas anteriormente deben ejecutar un sistema operativo Windows Server 2008 R2.

• Para implementar el registro de SQL Server, es necesario adquirir, instalar y configurar Microsoft SQL Server.

¿Qué ediciones incluyen el Servidor de directivas de redes?

NPS está disponible como un servicio de rol del rol Servicios de acceso y directivas de redes en los sistemas operativos Windows Server® 2008 R2 Standard, Windows Server® 2008 R2 Enterprise y Windows Server® 2008 R2 Datacenter.

¿Funciona el Servidor de directivas de redes de forma diferente en algunas ediciones?

NPS proporciona una funcionalidad diferente según cuál sea la edición de Windows Server 2008 R2 que se instale:

• Windows Server 2008 R2 Enterprise y Windows Server 2008 R2 Datacenter. Estas ediciones de servidor incluyen NPS. Con NPS en Windows Server 2008 R2 Enterprise y Windows Server 2008 R2 Datacenter, es posible configurar un número ilimitado de clientes RADIUS y grupos de servidores RADIUS remotos. Además, puede configurar un grupo de clientes de RADIUS si especifica un intervalo de direcciones IP.

• Windows Server 2008 R2 Standard. Esta edición de servidor incluye NPS. Con NPS en Windows Server 2008 R2 Standard, es posible configurar un número máximo de 50 clientes RADIUS y un máximo de 2 grupos de servidores RADIUS remotos. Se puede definir un cliente de RADIUS mediante un nombre de dominio completo o una dirección IP, pero no se pueden definir grupos de clientes de RADIUS mediante un intervalo de direcciones IP. Si el nombre de dominio completo de un cliente de RADIUS se resuelve como varias direcciones IP, el servidor NPS usará la primera dirección IP devuelta en la consulta del Sistema de nombres de dominio (DNS).

• Windows® Web Server 2008 R2. Esta edición de servidor no incluye NPS.



6.17 Networking

Hay varias mejoras en cuanto a networking tanto para Windows Server 2008 R2 como para Windows 7. Algunas de ellas son, Direct Access que permite conectarte a la red de tu compañía sin necesidad de iniciar una VPN antes. VPN Reconnect, que simplemente si se cayó la conexión de VPN la vuelve a iniciar. BrandCache que como el nombre lo dice, hace un caché de archivos y webs a través de una WAN. URL QoS con el que podemos definir prioridad según la URL desde donde se origine el tráfico. Multiple active firewall profiles, con el que cambiará las reglas de firewall según la red a la que estemos conectados.


Los sistemas operativos Windows Server® 2008 R2 y Windows® 7 incluyen mejoras de red que permiten a los usuarios conectarse y permanecer conectados con mayor facilidad e independientemente de su ubicación y del tipo de red. Estas mejoras también permiten a los profesionales de TI satisfacer las necesidades de su negocio de una forma segura, confiable y flexible.Entre las nuevas características de red que se tratan en este tema se encuentran las siguientes:

• DirectAccess, que permite a los usuarios obtener acceso a una red de empresa sin el paso adicional de iniciar una conexión de red privada virtual (VPN).

• Reconexión VPN, que vuelve a establecer una conexión VPN de forma automática en cuanto se restaura la conectividad a Internet, lo cual evita que los usuarios tengan que volver a escribir sus credenciales y volver a crear la conexión VPN.

• BranchCache™, que permite almacenar el contenido actualizado de los servidores web y de archivos de una red de área extensa (WAN) en la memoria caché de los equipos de una sucursal local, mejora el tiempo de respuesta de las aplicaciones y reduce el tráfico WAN.

• Calidad de servicio (QoS) basada en direcciones URL, que permite asignar un nivel de prioridad al tráfico en función de la dirección URL desde la que dicho tráfico se origina.

• Compatibilidad con dispositivos de banda ancha móvil, que proporciona un modelo basado en controladores para los dispositivos que se usan para obtener acceso a una red de banda ancha móvil.

• Múltiples perfiles de firewall activos, que habilitan las reglas de firewall más adecuadas para cada adaptador de red en función de la red a la que está conectado.



• NDF, Seguimiento de red y Netsh Trace, que integra el Marco de diagnóstico de redes con Seguimiento de red y un nuevo contexto Netsh, Netsh Trace, para simplificar y consolidar procesos de solución de problemas de conectividad de red.

¿Para qué sirve DirectAccess?

Con DirectAccess, los equipos pertenecientes al dominio que ejecutan Windows 7 Enterprise, Windows 7 Ultimate o Windows Server 2008 R2 se pueden conectar a los recursos de la red corporativa siempre que estén conectados a Internet. Un usuario de un equipo cliente de DirectAccess que está conectado a Internet tiene prácticamente la misma experiencia que si se hubiera conectado directamente a la red privada de una organización Además, DirectAccess permite a los profesionales de TI administrar equipos portátiles fuera de la oficina. Cada vez que un equipo cliente de DirectAccess se conecta a Internet, antes de que el usuario inicie sesión, DirectAccess establece una conexión bidireccional con la red corporativa que permite al equipo cliente mantenerse actualizado con las directivas de la compañía y recibir actualizaciones de software.

Entre las características de seguridad y rendimiento de DirectAccess se incluyen la autenticación, el cifrado y el control de acceso. Los profesionales de TI pueden configurar los recursos de red a los que se pueden conectar cada uno de los usuarios, concediendo acceso ilimitado o permitiendo acceso solo a determinados servidores. De forma predeterminada, DirectAccess envía únicamente el tráfico destinado a la red corporativa a través del servidor de DirectAccess. Los clientes de DirectAccess redirigen el tráfico de Internet directamente al recurso de Internet. DirectAccess se puede configurar para enviar todo el tráfico a través de la red corporativa.


El servidor de DirectAccess debe ejecutar Windows Server 2008 R2, debe ser miembro de un dominio, debe tener instalados dos adaptadores de red físicos y debe estar configurado con dos direcciones del protocolo de Internet versión 4 (IPv4) públicas consecutivas. Los clientes de DirectAccess deben ser miembros de un dominio. Use el Asistente para agregar características del Administrador del servidor para instalar la característica Consola de administración de DirectAccess. Tras la instalación, use la consola de administración de DirectAccess de Herramientas administrativas para instalar el servidor de DirectAccess y supervisar las operaciones de DirectAccess.Entre las consideraciones de infraestructura se incluyen las siguientes:

• Servicios de dominio de Active Directory (AD DS). Se debe implementar al menos un dominio de Active Directory®. No se admiten los grupos de trabajo.

• Directiva de grupo. Se recomienda usar la directiva de grupo para implementar la configuración del cliente de DirectAccess, del servidor de DirectAccess y del servidor seleccionado.

• Controlador de dominio. Al menos un controlador de dominio debe ejecutar Windows Server 2008 o posterior.

• Servidor de Sistema de nombres de dominio (DNS). Windows Server 2008 R2, Windows Server 2008 con la revisión de Q958194 (http://go.microsoft.com/fwlink/?LinkID=159951), Windows Server 2008 SP2 o posterior o un servidor de DNS de terceros que admita



intercambios de mensajes de DNS a través de un protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP o Intra-Site Automatic Tunnel Addressing Protocol).

• Infraestructura de clave pública (PKI). Se requiere una infraestructura de clave pública (PKI) para emitir certificados para una autenticación de seguridad de protocolo de Internet (IPsec) del mismo nivel entre clientes y servidores de DirectAccess. Por lo general, esto se hace mediante la implementación de certificados de equipo para clientes y servidores de DirectAccess. No se requieren certificados externos. El servidor de DirectAccess también requiere un certificado SSL adicional, que debe tener un punto de distribución de listas de revocación de certificados (CRL) accesible a través de un nombre de dominio completo (FQDN) que se puede resolver públicamente.

• IPsec. DirectAccess usa IPsec para proporcionar autenticación del mismo nivel y cifrado en las comunicaciones a través de Internet. Se recomienda que los administradores estén familiarizados con IPsec.

• IPv6. La versión 6 del protocolo de Internet (IPv6) proporciona las direcciones de un extremo a otro necesarias para la conectividad en la red corporativa. Las organizaciones que aún no están preparadas para implementar totalmente IPv6 nativo pueden usar la tecnología de transición IPv6 ISATAP para obtener acceso a los recursos IPv4 de la red corporativa. Los clientes de DirectAccess pueden usar las tecnologías de transición IPv6 Teredo y 6to4 para conectarse a través de Internet IPv4. IPv6 o el tráfico de tecnologías de transición de IPv6 deben estar disponibles en el servidor de DirectAccess y deben tener permiso para pasar a través del firewall de la red perimetral.

¿Para qué sirve Reconexión VPN?

Reconexión VPN es una nueva característica de Servicios de enrutamiento y acceso remoto (RRAS) que proporciona a los usuarios una conectividad a VPN coherente y sin problemas, al tiempo que restablece de forma automática una VPN cuando los usuarios pierden la conexión a Internet de forma temporal. Los usuarios que se conectan a través de la banda ancha móvil inalámbrica serán quienes más se beneficien de esta funcionalidad. Con Reconexión VPN, Windows 7 restablece las conexiones VPN activas de forma automática cuando se restablezca la conectividad a Internet. Aunque la reconexión pueda tardar algunos segundos, resulta transparente a los usuarios.Reconexión VPN usa el modo de túnel IPsec con la versión 2 de Intercambio de claves por red (IKEv2), descrita en RFC 4306, de forma que se saca partido específicamente de la extensión de movilidad y hospedaje múltiple de IKEv2 (MOBIKE) descrita en RFC 4555.


La Reconexión VPN se implementa en el servicio de rol RRAS del rol Servicios de acceso y directivas de redes (NPAS) de un equipo que ejecuta Windows Server 2008 R2. Las consideraciones de infraestructura incluyen las de NPAS y RRAS. Los equipos cliente deben ejecutar Windows 7 para sacar partido de Reconexión VPN.



¿Para qué sirve BranchCache?

Con BranchCache, el contenido de los servidores web y de archivos de la WAN empresarial se almacena en la red de la sucursal local para mejorar el tiempo de respuesta y reducir el tráfico a través de la WAN. Cuando otro cliente de la misma sucursal solicita el mismo contenido, podrá tener acceso a él directamente desde la red local sin obtener todo el archivo a través de la WAN. BranchCache se puede configurar para funcionar en modo de caché distribuida o en modo de caché hospedada. El modo de caché distribuida usa una arquitectura de punto a punto. En la sucursal, el contenido se almacena en la caché del primer equipo cliente que lo haya solicitado. Posteriormente, el equipo cliente pone el contenido almacenado en caché a disposición de los demás clientes locales. El modo de caché hospedada usa una arquitectura cliente/servidor. El contenido solicitado por un cliente de la sucursal se almacena en caché posteriormente en un servidor local (llamado el servidor de caché hospedada), donde se pone a disposición de los demás clientes locales. En ambos modos, antes de que un cliente recupere el contenido, el servidor donde se origina el contenido autoriza el acceso al contenido y se comprueba que el contenido es actual y preciso mediante un mecanismo de hash.


BranchCache admite HTTP, incluido HTTPS, y SMB (Bloque de mensajes del servidor), incluido SMB firmado. Los servidores de contenido y el servidor de caché hospedada deben ejecutar Windows Server 2008 R2, mientras que los equipos cliente deben ejecutar Windows 7.

¿Para qué sirve QoS basada en direcciones URL?

QoS marca paquetes IP con un número de Punto de código de servicios diferenciados (DSCP) que, a continuación, los enrutadores examinan para determinar la prioridad del paquete. Si los paquetes están en cola en el enrutador, aquéllos que tengan una prioridad superior se enviarán antes que los que posean una prioridad inferior. Con QoS basada en direcciones URL, los profesionales de TI pueden dar prioridad al tráfico de red en función de la dirección URL de origen, además de basar dicha prioridad en los puertos y direcciones IP. Esto otorga al profesional de TI un mayor control sobre el tráfico de la red, lo cual le permite asegurarse de que el tráfico web importante se procesa antes que el tráfico de menos importancia, incluso cuando el tráfico se origina en el mismo servidor. De este modo, el rendimiento en las redes ocupadas será mejor. Por ejemplo, se puede asignar al tráfico web para sitios web internos críticos una prioridad superior a la de los sitios web externos. De forma similar, a los sitios web que no estén relacionados con el trabajo y que puedan consumir ancho de banda de red se les puede asignar una prioridad inferior de forma que el resto del tráfico no se vea afectado.



¿Para qué sirve la compatibilidad con dispositivos de banda ancha móvil?

El sistema operativo Windows 7 proporciona un modelo basado en controladores para dispositivos de banda ancha móvil. Las versiones anteriores de Windows requerían que los usuarios de dispositivos de banda ancha móvil instalaran un software de otros fabricantes, que a los profesionales de TI les resulta difícil de administrar debido a que cada proveedor y dispositivo de banda ancha móvil tiene un software distinto. De igual modo, los usuarios también deben saber usar el software y tener acceso administrativo para poder instalarlo, lo que impide que los usuarios estándar puedan agregar de forma sencilla un dispositivo de banda ancha móvil. Ahora, los usuarios solo tienen que conectar un dispositivo de banda ancha móvil y empezar a usarlo de inmediato. La interfaz en Windows 7 es la misma independientemente del proveedor de banda ancha móvil, de modo que se reduce la necesidad de aprendizaje y los esfuerzos de administración.

¿Para qué sirven los múltiples perfiles de firewall activos?

La configuración de Firewall de Windows viene determinada por el perfil que se está usando. En Windows Vista y Windows Server 2008, solo puede haber un perfil de firewall activo al mismo tiempo. Por lo tanto, si se dispone de múltiples adaptadores de red conectados a diferentes tipos de redes, se sigue teniendo un único perfil activo, que es el perfil que proporciona las reglas más restrictivas. En Windows Server 2008 R2 y Windows 7, cada adaptador de red aplica el perfil de firewall más adecuado para el tipo de red a la que está conectado: privado, público o dominio. Esto significa que si el usuario está en la zona con cobertura WI-FI de una cafetería y se conecta a la red de dominio corporativa mediante una conexión VPN, el perfil público continuará protegiendo el tráfico de red que no pasa a través del túnel, y el perfil dominio protegerá el tráfico de red que pasa a través del túnel. Esto también resuelve el problema de un adaptador de red que no está conectado a una red. En Windows 7 y Windows Server 2008 R2, a esta red sin identificar se le asignará el perfil público, mientras que los demás adaptadores de red del equipo seguirán usando el perfil adecuado para la red a la que están conectados.

¿Para qué se utilizan NDF, Seguimiento de red y Netsh Trace?

El Marco de diagnósticos de redes (NDF) proporciona un procedimiento que permite a los usuarios finales, técnicos de soporte y desarrolladores de componentes y aplicaciones simplificar el proceso de solución de problemas de redes mediante la automatización de muchos pasos y soluciones comunes. En Windows® 7, el Marco de diagnóstico de redes (NDF) y el Seguimiento de eventos para Windows (ETW) están mejor integrados, lo que permite realizar diagnósticos para registrar paquetes y eventos de red en un único archivo. Reunir toda la información necesaria en un solo paso proporciona un método eficaz para solucionar problemas de conectividad de red. Cuando un usuario ejecuta Diagnósticos de red de Windows, se crea automáticamente un registro de sesión de diagnóstico que se almacena en Centro de actividades/Solución de problemas/Ver historial. Cada sesión de diagnóstico genera un informe con los resultados de los diagnósticos.



En NDF y seguimiento de red de Windows 7, los eventos relacionados con un problema específico se clasifican mediante una correlación basada en identificadores de actividad (conocida como agrupación) y, a continuación, los resultados se colocan en un archivo de registro de seguimiento de eventos (ETL). La agrupación captura todos los eventos relacionados con el problema en la pila; todos los eventos relacionados se agrupan juntos. Esto permite examinar la transacción completa, de extremo a extremo, como un único conjunto de eventos. Podrá analizar los datos del archivo ETL con distintas herramientas, como Network Monitor 3.3, Visor de eventos, el comando de conversión de Netsh Trace o Tracerpt.exe.

Windows 7 incluye un nuevo contexto de Netsh, NetshTrace. Netsh Trace también se integra con NDF y seguimiento de red y le permite realizar un seguimiento global, junto con captura de paquetes de red y filtrado. Dos conceptos clave relacionados con Netsh Trace son los escenarios y los proveedores. Un escenario de seguimiento se define como un conjunto de proveedores de eventos seleccionados. Los proveedores son los componentes individuales de la pila de protocolos de red, como WinSock, TCP/IP, Plataforma de filtrado de Windows y Firewall, Servicios de WLAN o NDIS. Puede usar los comandos del contexto Netsh Trace para habilitar escenarios predefinidos para solucionar problemas concretos y configurar parámetros específicos para una sesión de seguimiento. Para un escenario determinado, podrá ver la lista de proveedores asociados que comunicarán eventos cuando ejecute una sesión de seguimiento y también podrá ver detalles sobre proveedores específicos. Además, podrá especificar proveedores adicionales que no estén incluidos en un escenario habilitado. Asimismo, como con frecuencia resulta beneficioso minimizar los resultados de seguimiento limitando los detalles irrelevantes del seguimiento, podrá aplicar distintos filtros de Netsh Trace para reducir el tamaño del archivo ETL de seguimiento.

Por último, un beneficio adicional de NDF y de seguimiento de red en Windows 7 es que podrá usar Netsh Trace para reunir capturas de paquetes y eventos de seguimiento en el cliente, sin que sea necesario instalar Netmon en el equipo en el que esté solucionando un problema. La ejecución de una sesión de seguimiento con Netsh Trace correlaciona y agrupa paquetes con eventos de seguimiento relacionados. Como Netmon solo es necesario en el equipo que se utiliza para examinar los paquetes, el usuario solamente tendrá que copiar el archivo que se recopiló en el Centro de actividades y, a continuación, enviárselo a usted por correo electrónico o a través de un medio extraíble, como una unidad flash USB.



6.18 Server Manager

Podemos administrar servidores remotamente desde la consola de Server Manager. Best Practice Analyzer (BPA) para determinados roles y features. Nuevos PowerShell Cmdlets propios de Server Manager como por ejemplo Add-WindowsFeature. WSUS está disponible como rol desde el Server Manager. Y obviamente la posibilidad de agregar o configurar los nuevos features comentados acá.


El sistema operativo Windows Server® 2008 R2 facilita la tarea de administrar y proteger varios roles del servidor en una empresa gracias a las mejoras que se han incluido en el Administrador de servidores.Se han agregado las siguientes funcionalidades al Administrador de servidores de Windows Server 2008 R2:

• Administración remota con el Administrador del servidor. En Windows Server 2008 R2, se puede usar el Administrador de servidores para realizar algunas tareas de administración en equipos remotos que ejecutan Windows Server 2008 R2. Para administrar un equipo de forma remota mediante el Administrador de servidores, es necesario conectar el Administrador de servidores a un equipo remoto de la misma manera que se haría para conectar Microsoft Management Console (MMC) para otras tecnologías.

También se puede crear una MMC personalizada que contenga varios complementos del Administrador de servidores, cada una de ellas con el objetivo de administrar un equipo remoto distinto. Para obtener información detallada sobre la administración de equipos de forma remota mediante el Administrador de servidores.

• Analizador de procedimientos recomendados. El Best Practices Analyzer (BPA) es una herramienta de administración del servidor que está disponible para un conjunto limitado de roles que se ejecutan en Windows Server 2008 R2. El Best Practices Analyzer puede ayudar a los administradores a reducir las infracciones de los procedimientos recomendados mediante el examen de uno o más roles instalados en Windows Server 2008 R2 y el posterior envío al administrador de un informe con las infracciones de los procedimientos recomendados. Los administradores pueden filtrar o excluir aquellos resultados de los informes de BPA que no necesitan ver. Asimismo, los administradores pueden llevar a cabo tareas de BPA a través de la GUI de Administrador de servidores o mediante los cmdlets de Windows PowerShell™. El Best Practices Analyzer es una de las áreas de la sección Resumen de la página principal de un rol.

• Cmdlets de Windows PowerShell para tareas del Administrador del servidor. Los tres siguientes cmdlets de Windows PowerShell permiten instalar, quitar o ver información acerca de los roles disponibles cuando se usa Windows PowerShell. Para obtener más información



acerca de cómo usar cualquiera de estos cmdlets, en una sesión de Windows PowerShell, escriba Get-Helpnombre_del_cmdlet–full, donde nombre_del_cmdletrepresenta uno de los siguientes valores.

o Add-WindowsFeature

o Get-WindowsFeature

o Remove-WindowsFeature

• Cambios en los roles y características disponibles. Windows Server 2008 R2 incluye los siguientes cambios realizados en los roles y características disponibles para su instalación mediante el Administrador de servidores.

o Roles

Terminal Services ahora se llama Servicios de Escritorio remoto.

Windows Server Update Services (WSUS) ahora está disponible con Windows Server 2008 R2. En Windows Server 2008, WSUS está disponible como un paquete independiente.

Servicios de impresión ahora se llama Servicios de impresión y documentos.

Servicios de Universal Description, Discovery, and Integration (UDDI) ya no está disponible para su instalación en Windows Server 2008 R2 mediante el Administrador de servidores.

o Características

Windows BranchCache, una nueva característica de Windows Server 2008 R2, ayuda a reducir los requisitos de ancho de banda de red de los equipos cliente ubicados en oficinas remotas.

La consola de administración de DirectAccess, característica que proporciona la capacidad de supervisar y configurar el acceso directo, se ha agregado a Windows Server 2008 R2.

Servicios de Escritura con lápiz y Escritura a mano, una novedad de Windows Server 2008 R2, proporciona compatibilidad tanto con el reconocimiento de escritura a mano como con el uso de un lápiz con la superficie de un equipo, como en un Tablet PC.



Herramientas de administración de servidor remoto ahora incluye el Centro de administración de Active Directory®, las Herramientas del Agente de conexión a Escritorio remoto y el Visor de contraseñas de recuperación de BitLocker.

La característica Compatibilidad con clientes de Windows 2000 se ha quitado de Message Queue Server.

El Marco biométrico de Windows le permite usar dispositivos de lectura de huellas digitales en un equipo para comprobar la identidad de los usuarios.

Herramientas de migración de Windows Server permite que un administrador migre algunos roles del servidor, características, configuraciones del sistema operativo, recursos compartidos y otros datos de equipos que ejecutan ciertas ediciones de Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 a equipos que ejecutan Windows Server 2008 R2. Para obtener más información acerca de Herramientas de migración de Windows Server y de la migración de roles, características y otros datos a Windows Server 2008 R2.

La extensión de IIS de Administración remota de Windows (WinRM) permite que un servidor reciba una solicitud de administración remota de un cliente mediante el uso del protocolo WS-Management.

El visor de XPS, que forma parte de las características de .NET Framework 3.0 en Windows Server 2008, está disponible en Windows Server 2008 R2 como una característica independiente.

¿Para qué sirve el Administrador del servidor?

Administrador de servidores, disponible por primera vez en el sistema operativo Windows Server 2008, proporciona un único origen para administrar la información de identidad y de sistema de un servidor, mostrar el estado del servidor, identificar problemas relativos a la configuración de los roles del servidor o la alineación de algunos roles con procedimientos recomendados y, asimismo, administrar todos los roles instalados en el servidor. Con la versión de Windows Server 2008 R2, el Administrador de servidores se puede usar para administrar equipos remotos, ya sea desde otro equipo que ejecuta Windows Server 2008 R2 o desde un equipo que ejecuta Windows 7.


Cuando se ejecuta el Administrador de servidores en un equipo local, o bien cuando se ejecuta una consola del Administrador de servidores cuyo destino es un equipo remoto, es necesario ser miembro del grupoAdministradores en el equipo que se está administrando.A continuación se indican otras consideraciones y requisitos necesarios para el uso de la nueva funcionalidad del Administrador de servidores.

Consideraciones especiales para ejecutar el Analizador de procedimientos recomendados



• Para esta versión, se pueden realizar exámenes del Best Practices Analyzer en los siguientes roles. Antes de ejecutar un examen, se deben instalar en el equipo aquellos roles que se desea examinar.

o Servicios de dominio de Active Directory

o Servicios de certificados de Active Directory

o Servidor de Servicios del sistema de nombres de dominio (DNS).

o Servicios de Escritorio remoto

o Servidor web (IIS)

• Para examinar varios roles a la vez, se debe ejecutar un análisis del Best Practices Analyzer usando cmdlets de Windows PowerShell. Para obtener información detallada acerca del uso de Windows PowerShell para ejecutar análisis del Best Practices Analyzer,

Consideraciones especiales para la administración remota con el Administrador del servidor

• Si se usa el Administrador de servidores para administrar equipos remotos desde un equipo que ejecuta Windows 7 o Windows Server 2008 R2, la administración remota mediante el Administrador de servidores requiere varios pasos de configuración desde la línea de comandos antes de que el equipo remoto otorgue conexiones a los usuarios. Además, en el equipo remoto en el que se ejecuta Windows Server 2008 R2, la opción que permite la administración remota de este servidor desde otros equipos mediante el Administrador del servidor y Windows PowerShelldebe estar seleccionada. Para obtener información detallada sobre la preparación de los equipos para la administración remota mediante el Administrador de servidores.

• Si bien la consola del Administrador de servidores no se puede ejecutar en la opción de instalación Server Core de Windows Server 2008 R2, sí se pueden usar los cmdlets de Windows PowerShell en dicha opción de instalación, después de instalar en ella Windows PowerShell. Para poder administrar equipos remotos que ejecutan la opción de instalación Server Core de Windows Server 2008 R2 mediante la consola del Administrador de servidores que hay disponible en la opción de instalación completa, es necesario ser miembro del grupo de Administradores en el equipo que ejecuta la opción de instalación Server Core.

Consideraciones especiales para usar los cmdlets de Windows PowerShell en tareas del Administrador del servidor

• Para ejecutar cualquier cmdlet de Windows PowerShell relacionado con el Administrador de servidores en Windows Server 2008 R2, incluidos los cmdlets de Herramientas de migración de Windows Server y Best Practices Analyzer, Windows PowerShell se debe ejecutar con permisos de usuario elevados. Para ello, haga clic en Inicio, en Todos los programas,



en Accesorios y en Windows PowerShell; a continuación, haga clic con el botón secundario en el acceso directo de Windows PowerShell y haga clic en Ejecutar como administrador.

• Debe cargar el módulo del Administrador de servidores en cada sesión nueva de Windows PowerShell antes de trabajar con los cmdlets del Administrador de servidores. Para ello, en una sesión de Windows PowerShell abierta con permisos de usuario elevados, escriba Import-Module Servermanager y, a continuación, presione ENTRAR.

• Para realizar análisis de Best Practices Analyzer usando cmdlets de Windows PowerShell, además de cargar el módulo del Administrador de servidores en la sesión de Windows PowerShell, también debe cargar el módulo del Best Practices Analyzer. Para obtener instrucciones detalladas sobre cómo realizar análisis de Best Practices Analyzer usando Windows PowerShell.

• Como Windows PowerShell no se instala de forma predeterminada en un equipo que ejecuta la opción de instalación Server Core de Windows Server 2008 R2, para usar Windows PowerShell en dicha opción de instalación, debe instalarla mediante ocsetup o pkgmgr en una sesión de línea de comandos. Para obtener instrucciones pasó a paso para instalar Windows PowerShell en un equipo que ejecuta la opción de instalación Server Core.

¿Es necesario realizar algún cambio en el código existente?

No es necesario realizar ningún cambio en el código o en los scripts para usar la nueva funcionalidad del Administrador de servidores.

¿Qué ediciones incluyen la nueva funcionalidad del Administrador del servidor?

La nueva funcionalidad del Administrador de servidores está disponible en todas las ediciones de Windows Server 2008 R2.Si bien la consola del Administrador de servidores no se puede ejecutar en la opción de instalación Server Core de Windows Server 2008 R2, sí se pueden usar los cmdlets de Windows PowerShell en dicha opción de instalación, después de instalar en ella Windows PowerShell. Para poder administrar equipos remotos que ejecutan la opción de instalación Server Core de Windows Server 2008 R2 mediante la consola del Administrador de servidores que hay disponible en la opción de instalación completa, es necesario ser miembro del grupo de Administradores en el equipo que ejecuta la opción de instalación Server Core.



6.19 Web Server (IIS)

IIS 7.5 ahora tiene nuevos features y mejoras en WebDAV y FTP, los módulos de administración, Best Practice Analyzer (BPA), PowerShell, Hostable Web Core, FastCGI y .NET en Server Core.


• Integrated extensions

o WebDAV and FTP

o Request Filtering

o Administration Pack modules

• Management enhancements

o Best Practices Analyzer

o Windows PowerShell™ Provider and cmdlets

o Configuration logging and tracing

• Application hosting enhancements

o Service hardening

o Managed service accounts

o Hostable Web Core

o Failed Request Tracing for FastCGI

• Enhancements to .NET support on Server Core

Integrated extensions

Building on the extensible and modular architecture introduced with IIS 7,5, the new IIS 7,5 integrates and enhances existing extensions while still providing additional extensibility and customization.



WebDAV and FTP

WebDAV and FTP functionality available in IIS 7 has been greatly enhanced by incorporating many new features that enable Web authors to publish content more reliably and securely than before. The new FTP and WebDAV modules also offer Web server administrators more options for authentication, auditing, and logging.

Request Filtering

The Request Filtering module, previously available as an extension for IIS 7, helps prevent potentially harmful requests from reaching the server by allowing you to restrict or block specific HTTP requests.

Administration Pack modules

Extension modules previously available for IIS 7 as part of the IIS Administration Pack offer additional tools to help you administer your IIS 7.5 Web server from Administrador de IIS. These modules include the Configuration Editor and UI extensions that will help you manage Request Filtering rules, FastCGI, and ASP.NET application settings.

Management enhancements

IIS 7.5 has the same distributed and delegated management architecture as IIS 7, but IIS 7.5 also offers new administration tools.

Best Practices Analyzer

Best Practices Analyzer (BPA) is a management tool that can be accessed by using Server Manager and Windows PowerShell. BPA can help administrators reduce best practice violations by scanning an IIS 7.5 Web server and reporting when potential configuration issues are found.

Windows PowerShell Provider and cmdlets

The IIS module for Windows PowerShell is a Windows PowerShell snap-in that allows you to perform IIS administrative tasks and manage IIS configuration and run-time data. In addition, a collection of task-oriented cmdlets provide a simple way to manage Web sites, Web applications, and Web servers.

Configuration logging and tracing

Configuration logging and tracing allows you to audit access to the IIS configuration and to track successful or failed modifications by enabling any new logs that become available in the Event Viewer.

Application hosting enhancements



Offering a variety of new features that help increase security and improve diagnostics, IIS 7.5 is an even more flexible and manageable platform for many types of Web applications, such as ASP.NET and PHP.

Service hardening

Building on the IIS 7 application pool isolation model that increased security and reliability, every IIS 7.5 application pool now runs each process as a unique, less-privileged identity.

Managed service accounts

Domain accounts that have passwords managed by the host computer are now supported as service identities in IIS 7.5. This means that server administrators no longer have to worry about expiring application pool passwords.

Hostable Web Core

Core IIS Web engine components can be consumed or hosted by other applications. This lets IIS components service HTTP requests directly in an application. This is useful for enabling basic Web server capabilities for custom applications or for debugging applications.

Failed Request Tracing for FastCGI

In IIS 7.5, PHP developers that use the FastCGI module can implement IIS trace calls within their applications. Developers can then troubleshoot application errors by using IIS Failed Request Tracing to debug the code during development.

Enhancement to .NET support on Server Core

The Server Core installation option of Windows Server 2008 R2 provides support for the .NET Framework 2.0, 3.0, 3.5.1, and 4.0. This means you can host ASP.NET applications, perform remote management tasks from Administrador de IIS, and locally run cmdlets included with the Windows PowerShell Provider for IIS.

Who will be interested in these features?

Any business or organization that hosts or develops Web sites or Windows Communication Foundation (WCF) services can benefit from the improvements made in IIS 7.5.The following groups might be interested in these changes:

• Enterprise IT planners and designers for organizations.

• IT professionals who deploy or administer IIS.

• Developers who create Web sites or WCF services.

• Internet service providers (ISPs) or similar organizations that provide Web hosting.



Which editions include the Web Server (IIS) role?


6.20 PowerShell

Este sí que tuvo cambios. Obviamente nuevos Cmdlets, administración remota, Windows Integrated Scripting Environment (ISE) que es una interfaz gráfica para poder armar scipts complejos con PowerShell. Background Jobs permite ejecución de trabajos en el background como lo dice su nombre, Debugger con el que podremos hacer un debug de las funciones o scripts que armemos, Eventos, Funciones Avanzadas, Internacionalización, etc.

Windows PowerShell™ es un shell de línea de comandos y lenguaje de scripting diseñado especialmente para la administración del sistema. Basado en Microsoft .NET Framework, Windows PowerShell ayuda a los profesionales de TI a controlar y automatizar la administración del sistema operativo Windows y las aplicaciones que se ejecutan en Windows.Las herramientas de comandos simples de Windows PowerShell, que reciben el nombre de cmdlets, permiten administrar los equipos de la empresa desde la línea de comandos. Los proveedores de Windows PowerShell permiten obtener acceso a almacenes de datos, como el Registro y el almacén de certificados, con la misma simplicidad con que se obtiene acceso al sistema de archivos. Además, Windows PowerShell incluye compatibilidad total para todas las clases WMI (Instrumental de administración de Windows).Windows PowerShell es completamente extensible. Puede escribir sus propios cmdlets, proveedores, funciones y scripts, así como empaquetarlos en módulos para compartirlos con otros usuarios.Windows Server® 2008 R2 incluye Windows PowerShell 2.0. También incluye cmdlets y proveedores que puede agregar a Windows PowerShell de modo que pueda usar y administrar otros roles y otras características de Windows Server en Windows PowerShell. Entre los roles y las características de servidor que pueden administrarse en Windows PowerShell se incluyen los Servicios de dominio de Active Directory®, Cifrado de unidad Windows® BitLocker™, el servicio Servidor DHCP, la directiva de grupo, Servicios de Escritorio remoto y Copias de seguridad de Windows Server.

¿Cuáles son los cambios principales?

En Windows PowerShell de Windows Server 2008 R2 se han realizado los siguientes cambios:

• Nuevos cmdlets. Windows PowerShell incluye más de 100 cmdlets nuevos, como Get-Hotfix, Send-MailMessage, Get-ComputerRestorePoint, New-WebServiceProxy, Debug-Process, Add-Computer, Rename-Computer y Reset-ComputerMachinePassword.

• Administración remota. Es posible ejecutar comandos en un equipo o en cientos de equipos con un único comando. Es posible establecer una sesión interactiva con un solo equipo o establecer una sesión que puede recibir comandos remotos de varios equipos.



• Windows PowerShell Integrated Scripting Environment (ISE). Windows PowerShell ISE es una interfaz gráfica de usuario para Windows PowerShell que permite ejecutar comandos y escribir, editar, ejecutar, probar y depurar scripts en la misma ventana. Ofrece hasta ocho entornos de ejecución independientes e incluye un depurador integrado, edición multilínea, ejecución selectiva, colores de sintaxis, números de línea y columna, y ayuda contextual. Windows PowerShell ISE es una característica opcional de Windows Server 2008 R2. Para instalarla, use el Asistente para agregar características.

• Trabajos de segundo plano. Con los trabajos de segundo plano de Windows PowerShell, puede ejecutar comandos asincrónicamente y "en segundo plano", de modo que pueda seguir trabajando en su sesión. Puede ejecutar trabajos de segundo plano en un equipo local o remoto, y puede almacenar los resultados de forma local o remota.

• Depurador. El depurador de Windows PowerShell puede ayudarle a depurar funciones y scripts. Puede establecer y quitar puntos de interrupción, analizar el código, comprobar los valores de las variables y mostrar un seguimiento de la pila de llamadas.

• Módulos. Los módulos de Windows PowerShell permiten organizar los scripts y las funciones de Windows PowerShell en unidades independientes. Puede empaquetar los cmdlets, proveedores, scripts, funciones y otros archivos en módulos que puede distribuir a otros usuarios. Para los usuarios, los módulos resultan más fáciles de instalar y de usar que los complementos de Windows PowerShell. Los módulos pueden incluir cualquier tipo de archivo, como archivos de audio, imágenes, archivos de Ayuda e iconos. Los módulos se ejecutan en una sesión independiente para evitar conflictos de nombres.

• Transacciones. Ahora, Windows PowerShell admite transacciones, lo que permite administrar un conjunto de comandos como una unidad lógica. Una transacción puede confirmarse o puede deshacerse completamente de modo que la transacción no modifique los datos afectados.

• Eventos. Windows PowerShell incluye una nueva infraestructura de eventos que permite crear eventos, suscribirse a eventos del sistema y de la aplicación y, a continuación, escuchar, reenviar y actuar en los eventos de forma sincrónica y asincrónica.

• Funciones avanzadas. Las funciones avanzadas se comportan como los cmdlets, pero se escriben en el lenguaje de scripting de Windows PowerShell en lugar de escribirse en C#.

• Internacionalización de scripts. Los scripts y las funciones pueden mostrar mensajes y texto de Ayuda a los usuarios en varios idiomas.

• Ayuda en pantalla. Además de la Ayuda de la línea de comandos, el cmdlet Get-Help incluye un nuevo parámetro Online que abre una versión completa y actualizada de cada tema de Ayuda en Microsoft TechNet.



6. 21 Windows Security Auditing

Mejoras en cuanto a la auditoría donde ahora ofrece mucho más detalle. Muchas más políticas de auditoría para configurar que antes a través de GPOs o políticas locales. Nuevos SACLs y ACEs que van a ayudar a hacer tu vida más fácil.

Novedades de Control de cuentas de usuario

Antes de la introducción del Control de cuentas de usuario (UAC), cuando un usuario iniciaba sesión como administrador, a dicho usuario se le concedía automáticamente acceso completo a todos los recursos del sistema. Aunque la ejecución de software como administrador permitía al usuario instalar software legítimo, el usuario también podía instalar involuntariamente o no un programa malintencionado. Un programa malintencionado instalado por un administrador puede afectar completamente al equipo y a todos los usuarios.Con la introducción de UAC, el modelo de control de acceso ha cambiado para ayudar a mitigar el impacto de un programa malintencionado. Cuando un usuario intenta iniciar una tarea o un servicio de administrador, el cuadro de diálogo Control de cuentas de usuario solicita al usuario que haga clic en Sí o No para que pueda usarse el token de acceso de administrador completo del usuario. Si el usuario no es administrador, debe proporcionar las credenciales de un administrador para ejecutar el programa. Debido a que UAC requiere que un administrador apruebe instalaciones de aplicación, las aplicaciones no autorizadas no se pueden instalar automáticamente o sin el consentimiento explícito de un administrador.En Windows® 7 y Windows Server® 2008 R2, la funcionalidad UAC ha mejorado para:

• Aumentar el número de tareas que puede realizar un usuario estándar que no solicitan la aprobación del administrador.

• Permitir que un usuario con privilegios de administrador configure la experiencia UAC en el Panel de control.

• Proporcionar otras directivas de seguridad locales que permiten que un administrador local cambie el comportamiento de los mensajes UAC para administradores locales en el Modo de aprobación de administrador.

• Proporcionar otras directivas de seguridad locales que permiten que un administrador local cambie el comportamiento de los mensajes UAC para usuarios estándar.

Usuarios que se benefician de UAC

UAC ayuda a los usuarios estándar y a los administradores a proteger sus equipos impidiendo la ejecución de programas que podrían ser malintencionados. La experiencia de usuario mejorada simplifica la realización de tareas diarias por parte del usuario, al mismo tiempo que protege su equipo.



UAC ayuda a los administradores de empresa a proteger su red impidiendo que los usuarios ejecuten software malintencionado.

Ventajas de las características nuevas y modificadas

De forma predeterminada, los usuarios estándar y los administradores obtienen acceso a los recursos y ejecutan aplicaciones en el contexto de seguridad de los usuarios estándar. Cuando un usuario inicia sesión en un equipo, el sistema crea un token de acceso para dicho usuario. Este token de acceso contiene información acerca del nivel de acceso que se le concede al usuario, incluidos identificadores de seguridad específicos (SID) y privilegios de Windows.Cuando un administrador inicia sesión, se crean dos tokens de acceso diferentes para el usuario: un token de usuario estándar y un token de acceso de administrador. El token de acceso de usuario estándar contiene la misma información específica de usuario que el token de acceso de administrador pero se han quitado los privilegios de Windows administrativos y los SID. El token de acceso de usuario estándar se usa para iniciar aplicaciones que no realizan tareas administrativas (aplicaciones de usuario estándar).Cuando el usuario ejecuta aplicaciones que realizan tareas administrativas (aplicaciones de administrador), se le pide al usuario que cambie o "eleve" el contexto de seguridad de un usuario estándar a un administrador, lo que recibe el nombre de Modo de aprobación de administrador. En este modo, el administrador debe aprobar la ejecución de aplicaciones en el escritorio seguro con privilegios administrativos. Las mejoras realizadas en UAC en Windows 7 y Windows Server 2008 R2 dan lugar a una experiencia de usuario mejorada a la hora de configurar el equipo y solucionar problemas del equipo.

Reducción del número de avisos UAC

Windows 7 y Windows Server 2008 R2 reducen el número de avisos UAC a los que deben responder los administradores locales y los usuarios estándar.Para reducir el número de avisos a los que debe responder un administrador local:

• Se han combinado los avisos de operaciones de archivos.

• Se han combinado los avisos de Internet Explorer de ejecución de instaladores de aplicaciones.

• Se han combinado los avisos de Internet Explorer de instalación de controles ActiveX®.

La configuración predeterminada de UAC permite que un usuario estándar realice las siguientes tareas sin recibir ningún aviso UAC:

• Instalar actualizaciones de Windows Update.

• Instalar controladores descargados de Windows Update o incluidos con el sistema operativo.

• Ver la configuración de Windows. (No obstante, a un usuario estándar se le pedirán privilegios administrativos cuando cambie la configuración de Windows.)

• Acoplar dispositivos Bluetooth al equipo.



• Restablecer el adaptador de red y realizar otras tareas de diagnóstico de red y reparación.

Configurar la experiencia UAC en el Panel de control

Windows Vista® ofrece dos niveles de protección UAC al usuario:activado o desactivado. Windows 7 y Windows Server 2008 R2 presenta dos niveles de aviso adicionales similares al modelo de zonas de seguridad de Internet Explorer. Si ha iniciado sesión como administrador local, puede habilitar o deshabilitar los avisos UAC, o seleccionar cuándo se le deben notificar los cambios realizados en el equipo. Existen cuatro niveles de notificación entre los que puede elegir:

• No notificarme nunca. No se notifica al usuario ningún cambio realizado en la configuración de Windows, ni se le notifica si se instala software.

• Notificarme solo cuando un programa intente realizar cambios en el equipo. No se notifican los cambios realizados por el usuario en la configuración de Windows, pero se envían notificaciones cuando un programa intenta realizar cambios en el equipo.

• Notificarme siempre. Se notifican los cambios realizados por el usuario en la configuración de Windows y si los programas intentan realizar cambios en el equipo.

• UAC enviará siempre una notificación y esperará una respuesta. El usuario recibe avisos para todas las tareas de administrador en el escritorio seguro. Esta opción es similar al comportamiento actual de Windows Vista.

En la siguiente tabla se compara el número de avisos UAC para las acciones del usuario en Windows 7 y Windows Server 2008 R2 con el número de avisos UAC en Windows Vista Service Pack 1.



AccionesNotificarme solo cuando un programa intente realizar cambios en el equipo

Notificarme siempre

Cambiar la configuración de personalización

Sin avisos Menos avisos

Gestionar el escritorio Sin avisos Menos avisos

Configurar y solucionar problemas de la red


Usar Windows Easy Transfer

Menos avisos Mismo número de avisos

Instalar controles ActiveX a través de Internet Explorer

Menos avisos Menos avisos

Conectar dispositivos Sin avisos Sin avisos si los controladores están en Windows Update, o un número similar de avisos si los controladores no están en Windows Update

Usar Windows Update Sin avisos Sin avisos

Configurar copias de seguridad

Sin avisos Mismo número de avisos

Instalar o quitar software


Cambiar el comportamiento de los mensajes UAC para administradores locales

Si ha iniciado sesión como administrador local, puede cambiar el comportamiento de los avisos UAC en las directivas de seguridad local para administradores locales del Modo de aprobación de administrador.

• Elevar sin preguntar. Las aplicaciones marcadas como aplicaciones de administrador y las aplicaciones detectadas como aplicaciones de configuración se ejecutan automáticamente con



el token de acceso de administrador completo. Todas las demás aplicaciones se ejecutan automáticamente con el token de usuario estándar.

• Pedir credenciales en el escritorio seguro. El cuadro de diálogo Control de cuentas de usuario se muestra en el escritorio seguro. Para dar consentimiento a una aplicación para que se ejecute con el token de acceso de administrador completo, el usuario debe especificar credenciales administrativas. Esta configuración admite el cumplimiento de los criterios comunes o las directivas corporativas.

• Pedir consentimiento en el escritorio seguro. El cuadro de diálogo Control de cuentas de usuario se muestra en el escritorio seguro. Para dar consentimiento a una aplicación para que se ejecute con el token de acceso de administrador completo, el usuario debe hacer clic en Sí o en No en el cuadro de diálogo Control de cuentas de usuario. Si el usuario no es miembro del grupo local Administradores, se le pedirán credenciales administrativas. Esta configuración admite el cumplimiento de los criterios comunes o las directivas corporativas.

• Pedir credenciales. Esta opción es similar a Pedir credenciales en el escritorio seguro, pero el cuadro de diálogo Control de cuentas de usuario se muestra en el escritorio seguro.

• Pedir consentimiento. Esta opción es similar a Pedir consentimiento en el escritorio seguro, pero el cuadro de diálogo Control de cuentas de usuario se muestra en el escritorio.

• Pedir consentimiento para binarios que no son de Windows. El cuadro de diálogo Control de cuentas de usuario se muestra en el escritorio para todos los archivos que no están firmados digitalmente con el certificado digital de Windows.

Cambiar el comportamiento de los mensajes UAC para usuarios estándar

Si ha iniciado sesión como administrador local, puede cambiar el comportamiento de los avisos UAC en las directivas de seguridad local para usuarios estándar.

• Rechazar solicitudes de elevación automáticamente. No pueden ejecutarse las aplicaciones del administrador. El usuario recibe un mensaje de error que indica que una directiva está impidiendo la ejecución de la aplicación.

• Pedir credenciales. Éste es el valor predeterminado. Para que una aplicación se ejecute con un token de acceso de administrador completo, el usuario debe especificar credenciales administrativas en el cuadro de diálogo Control de cuentas de usuario que se muestra en el escritorio.

• Pedir credenciales en el escritorio seguro. Para que una aplicación se ejecute con un token de acceso de administrador completo, el usuario debe especificar credenciales administrativas en el cuadro de diálogoControl de cuentas de usuario que se muestra en el escritorio seguro.

¿Cómo afectan estos cambios a UAC?



En respuesta a las solicitudes de los clientes, el UAC mejorado permite a los usuarios realizar sus tareas diarias con un número inferior de avisos y ofrece a los administradores un mayor control sobre la forma en que UAC pregunta a los usuarios.

6.22 Remote Desktop Services

Este sí que es largo de comentar. Para empezar sabemos que cambió el nombre obviamente del anterior Terminal Services a Remote Desktop Services. Muchísimas mejoras de performance en la experiencia del usuario, compatibilidad con Windows Installer RDS, administración de la caché de los perfiles de usuarios roaming. No soporta más el descubrimiento automático de servidores de licencias, la administración de CALs, mejoras en cuanto a la parte de networking y WAN, etc. También se integra con Hyper-V para brindar RemoteApp y RemoteDesktop a las máquinas virtuales. Remote Desktop Client 7.0 soporta Aero en las sesiones de Windows 7 y Windows Server 2008 R2.

6.23 Otros cambios en Windows Server 2008 R2• Active Directory Rights Management Services

• Servicios básicos y aspectos fundamentales

• Instalador independiente de Windows Update

• TCP Chimney

• Servicio de transferencia inteligente en segundo plano

• Nuevas guías y herramientas de migración de servidores

• Codificador y decodificador de audio y voz de Windows Media

Active Directory Rights Management Services

Los nuevos cmdlets de Windows® PowerShell™ permiten implementar y administrar Active Directory® Rights Management Services (AD RMS) desde la línea de comandos.

• Implementación de PowerShell. Esta característica se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter y Windows Server 2008 R2 Foundation. Antes de Windows Server 2008 R2, solo era posible agregar y aprovisionar el rol de AD RMS a través del Administrador del servidor. En Windows



Server 2008 R2, puede crear cmdlets de Windows PowerShell para agregar y aprovisionar el rol de AD RMS.

• Administración de PowerShell. Esta función se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Foundation y Microsoft® Hyper-V™ Server 2008 R2. Antes de Windows Server 2008 R2, la funcionalidad de administración de AD RMS se encontraba disponible mediante el Administrador del servidor o con scripts. En Windows Server 2008 R2, toda la funcionalidad de administración del rol de AD RMS también se encuentra disponible mediante los cmdlets de Windows PowerShell.

Servicios básicos y aspectos fundamentales

Directiva de grupo

En Windows Server 2008 R2, la directiva de grupo se ha mejorado de las siguientes maneras:

• Nuevos cmdlets de Windows PowerShell. Esta característica se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter y Windows Server 2008 R2 Foundation. Antes de Windows Server 2008 R2, los profesionales de TI administraban y automatizaban la directiva de grupo mediante la Consola de administración de directivas de grupo (GPMC) o con scripts escritos en las interfaces COM de GPMC. Windows Server 2008 R2 presenta un eficaz conjunto de 25 cmdlets, que le permite administrar y automatizar la directiva de grupo mediante Windows PowerShell. Con estos cmdlets, un administrador de TI puede hacer una copia de seguridad, restaurar, crear informes de y configurar (a través de la configuración del Registro) objetos de directiva de grupo (GPO). Esta funcionalidad se agrega cuando se instala GPMC.

• Compatibilidad de ADMX con Reg_QWORD & Reg_MultiSZ. Antes de Windows Server 2008 R2, no era posible configurar una clave del Registro tipo QWORD o MultiSZ mediante Plantillas administrativas de la directiva de grupo (ADMX). El esquema ADMX se ha actualizado para admitir los tipos de Registro QWORD y MultiSZ.

• Mejoras en el editor ADMX. Esta característica se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter y Windows Server 2008 R2 Foundation. Antes de Windows Server 2008 R2, el editor ADMX se mostraba como un cuadro de diálogo con pestañas no ajustable. El texto de la interfaz de usuario generalmente estaba cortado y resultaba difícil encontrar el contenido de la Ayuda. El nuevo editor ADMX se muestra en una ventana ajustable que evita que el texto quede cortado, y donde la información sobre la configuración, incluidos la Ayuda y los comentarios, es más fácil de encontrar.

• Mejoras de Preferencias de directiva de grupo. Esta característica se aplica a Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Datacenter y Windows Server 2008 R2 Foundation. Se han agregado nuevas características a Preferencias de directiva de grupo que le permiten configurar Internet Explorer® 8. La nueva funcionalidad también se encuentra disponible en Tareas programadas y Planes de energía de Windows Server 2008 R2. Los profesionales de TI pueden usar Preferencias de directiva de



grupo para configurar Internet Explorer 8, Tareas programadas y Planes de energía de forma centralizada. Esta funcionalidad se agrega cuando se instala GPMC. Además, las extensiones del lado cliente de Preferencias de directiva de grupo se incluyen en Windows Server 2008 R2, por lo que no es necesario descargarlas desde Windows Update o el Centro de descarga de Microsoft.

• Los GPO de inicio se incluyen en Windows Server 2008 R2. Se incluyen ocho GPO de inicio basados en instrucciones de seguridad de Microsoft en Windows Server 2008 R2. Esto le permite a un administrador seleccionar GPO de inicio desde GPMC. Antes de Windows Server 2008 R2, cuando un administrador seleccionaba el nodo GPO de inicio en GPMC, éste estaba vacío a menos que se hubieran creado o descargado GPO de inicio desde del Centro de descarga.

Windows PowerShell 2.0

Windows PowerShell 2.0 es compatible con Windows PowerShell 1.0, pero presenta algunos cambios. Es necesario actualizar los scripts y las aplicaciones existentes para dar cabida a los siguientes cambios:

• El valor de la entrada del Registro PowerShellVersion de HKLM\SOFTWARE\Microsoft\PowerShell\1\PowerShellEngine ha cambiado a 2.0

• Se han agregado nuevos cmdlets y variables que podrían entrar en conflicto con las variables y funciones de los perfiles y scripts.

• El operador -ieq realiza una comparación de caracteres que no distingue entre mayúsculas y minúsculas.

• El cmdlet Get-Command realiza funciones de forma predeterminada (además de los cmdlets).

• Los comandos nativos que generan una interfaz de usuario no pueden enviarse al cmdlet Out-Host.

• Las nuevas palabras clave de lenguaje Begin, Process, End y Dynamic Param podrían entrar en conflicto con palabras similares que se usan actualmente en scripts y funciones. Se pueden producir errores de análisis si estas palabras se interpretan como palabras clave de lenguaje.

• Se ha modificado la resolución de nombres de cmdlet. En Windows PowerShell 1.0, se producía un error en tiempo de ejecución cuando dos complementos de Windows PowerShell exportaban cmdlets con el mismo nombre. En Windows PowerShell 2.0, el último cmdlet que se agrega a la sesión se ejecuta cuando se escribe el nombre del comando. Para ejecutar un comando que no se ejecuta de forma predeterminada, certifique el nombre del cmdlet con el nombre del complemento o módulo en el que se originó.

• Un nombre de función seguido de -? activa el tema de Ayuda para dicha función, en caso de que haya uno incluido en la función.



• Se ha modificado la resolución de parámetros de los métodos de Microsoft .NET Framework. En Windows PowerShell 1.0, si se le asignaba un nombre a un método .NET sobrecargado con más de una sintaxis adecuada, no se informaban errores. En Windows PowerShell 2.0, se informan los errores de ambigüedad. Además, en Windows PowerShell 2.0, el algoritmo para elegir el método más adecuado se revisa con gran detalle para minimizar el número de ambigüedades.

• Si usa Import-Module para cargar comandos que usan verbos no aprobados o caracteres restringidos en el nombre del comando, recibirá una advertencia. Use el comando Get-Verb para ver una lista de los verbos aprobados. No use ninguno de estos caracteres en los nombres de comandos:

[ # , ( ) { } [ ] & - / \ $ ^ ; : " ' < > | ? @ ` * ~ % + =

• Si, al enumerar una colección en la canalización, intenta modificar la colección de la canalización, Windows PowerShell 2.0 crea una excepción. Por ejemplo, los siguientes comandos funcionan en Windows PowerShell 1.0, pero presentan errores después de la primera iteración de canalización en Windows PowerShell 2.0.

Codificador y decodificador de audio y voz de Windows Media

Se han actualizado en Windows Server 2008 R2 los objetos de DirectX Media (DMO) para el codificador de audio y voz de Windows Media (wmspdmoe.dll) y para el descodificador de audio y voz de Windows Media (wmspdmod.dll). Actualmente producen un error ante un intento de usarlos fuera del conjunto de frecuencias de muestreo compatibles, que son 8 kHz, 16 kHz, 11.25 kHz y 22.5 kHz.Instalador independiente de Windows UpdateEl Instalador independiente de Windows Update (Wusa.exe) proporciona las siguientes mejoras en Windows Server 2008 R2:

• Compatibilidad con la desinstalación. Antes de Windows Server 2008 R2, Wusa.exe incluía solamente compatibilidad con la instalación. En Windows Server 2008 R2, Wusa.exe incluye compatibilidad con la desinstalación para que los administradores puedan desinstalar las actualizaciones desde una línea de comandos. Los usuarios pueden desinstalar una actualización al proporcionar la ruta de acceso al archivo .msu o el número de paquete (desde Microsoft Knowledge Base) de la actualización que se desinstalará.

Use el siguiente comando para desinstalar una actualización mediante la especificación de la ruta de acceso completa de la actualización:

• wusa.exe /uninstall <Path>

Use el siguiente comando para desinstalar una actualización mediante la especificación del número del paquete de actualización desde Microsoft Knowledge Base:

wusa.exe /uninstall /kb:<KB Number>



• Parámetros de la línea de comandos adicionales. Hay nuevos parámetros disponibles en Windows Server 2008 R2 para habilitar el registro, extraer el contenido de un archivo .msu y controlar el comportamiento de reinicio cuando se instala una actualización en modo silencioso.

Parámetro de la línea de comandos

Windows Server 2008 Windows Server 2008 R2

/log No está disponible. El registro puede habilitarse solamente a través de herramientas de seguimiento.

El nuevo parámetro habilita el registro a través de la herramienta Wusa.exe.

/extract No está disponible. El contenido de los archivos .msu puede extraerse solamente a través de la herramienta Expand.exe.

El nuevo parámetro habilita los archivos .msu que se van a extraer a través de la herramienta Wusa.exe.

/quiet Solo admite la opción /norestart.

Se ha extendido para admitir las opciones /forcerestart, /warnrestart y/promptrestart.

• Información extendida de errores. La herramienta Wusa.exe brinda información extendida de escenarios de error para realizar mejores diagnósticos.

ErrorCódigo de error en Windows Server 2008

Código de error en Windows Server 2008 R2

Ya se instaló la actualización.

1 (S_FALSE) 0x240006 (WU_S_ALREADY_INSTALLED)

No se puede aplicar la actualización.

1 (S_FALSE) 0x80240017 (WU_E_NOT_APPLICABLE)

TCP Chimney



El comportamiento predeterminado de las descargas TCP se ha modificado de la siguiente forma:

• En los adaptadores de red 10 GbE, las conexiones TCP se descargan de forma predeterminada.

• En los adaptadores de red 1 GbE, las conexiones TCP no se descargan de forma predeterminada.

Para descargar conexiones TCP en un adaptador de red 1 GbE, debe habilitar explícitamente la descarga TCP. Para habilitar la descarga TCP, siga estos pasos:

1. Compruebe que el adaptador de red 1 GbE compatible con TCP Chimney esté instalado en el equipo y que la descarga TCP esté habilitada en el adaptador de red.

2. Ejecute el siguiente comando en un símbolo del sistema con permisos elevados:

3. netsh int tcp set global chimney=enabled

Servicio de transferencia inteligente en segundo plano

El Servicio de transferencia inteligente en segundo plano (BITS) 4.0 se sirve de la infraestructura BranchCache™ para proporcionar la funcionalidad de transferencia de archivos punto a punto. No interopera con la solución de caché de sistemas de mismo nivel BITS 3.0 que se incluyó con Windows Vista® y Windows Server 2008.

Nuevas guías y herramientas de migración de servidores

Las guías y herramientas de migración del servidor se han introducido para facilitar el proceso de migración de roles de servidor, configuraciones del sistema operativo y datos de un servidor existente que ejecute Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 a un equipo que ejecute Windows Server 2008 R2. La mayoría de estas herramientas y guías de migración admiten lo siguiente:

• Migraciones entre arquitecturas (de plataformas informáticas basadas en x86 a plataformas basadas en x64)

• Migraciones entre entornos físicos y virtuales

• Migraciones entre las opciones de instalación completa y Server Core del sistema operativo Windows Server

Las herramientas de migración del servidor, las guías de migración, o ambas, se encuentran disponibles para los Servicios de dominio de Active Directory (AD DS), DNS, DHCP, roles de servidor de archivos e impresoras, la característica BranchCache, datos y carpetas compartidas, datos de configuración de IP, y usuarios y grupos locales



7. Versiones de Windows 2008 en línea de Tiempo

Color Rojo: Tiempo pasado

Color Azul: Tiempo Restante Soporte



7.1 Soporte para las distintas versiones Windows Server 2008

Producto

Fecha de inicio del ciclo de vida

Fecha de fin del soporte técnico principal

Fecha de fin del soporte técnico extendido

Fecha de fin de soporte de Service Pack

Windows Server 2008 Datacenter 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 Datacenter without Hyper-V 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 Enterprise 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 Enterprise without Hyper-V 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 for Itanium-Based Systems 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 Foundation 21-05-2009 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 Service Pack 2 29-04-2009Nota de revisión

Nota de revisión

Windows Server 2008 Standard 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Server 2008 Standard without Hyper-V 06-05-2008 13-01-2015 14-01-2020 12-07-2011

Windows Web Server 2008 06-05-2008 09-07-2013 10-07-2018

Windows Server 2008 R2 Datacenter 22-10-2009 13-01-2015 14-01-2020 09-04-2013

Windows Server 2008 R2 Enterprise 22-10-2009 13-01-2015 14-01-2020 09-04-2013

Windows Server 2008 R2 for Itanium-Based Systems 22-10-2009 13-01-2015 14-01-2020 09-04-2013

Windows Server 2008 R2 Service Pack 1 22-02-2011Nota de revisión

Nota de revisión

Windows Server 2008 R2 Standard 22-10-2009 13-01-2015 14-01-2020 09-04-2013

Windows Web Server 2008 R2 22-10-2009 09-07-2013 10-07-2018 09-04-2013



8. Canales de Distribución de Windows 2008



9. Conclusión

Si es uno de los mejores por todas sus opciones y características



9. Referencias.

• http://en.wikipedia.org

• http://www.cabai.com.ar/2009/03/que-hay-de-nuevo-en-windows-server-2008- r2.html#sthash.uGj2StKm.dpuf

• http://support.microsoft.com

• http://klickea.blogspot.com/2012/10/versiones-de-la-familia-windows-server.html

• http://www.microsoft.com/windowsserver2008/en/us/whats-new.aspx

• http://www.microsoft.com/windowsserver2008/en/us/R2-better-together.aspx

• http://www.microsoft.com/windowsserver2008/en/us/R2-scalability-reliability.aspx

• http://technet.microsoft.com/library/



http://technet.microsoft.com/library/

http://www.microsoft.com/windowsserver2008/en/us/R2-scalability-reliability.aspx

http://www.microsoft.com/windowsserver2008/en/us/R2-better-together.aspx

http://www.microsoft.com/windowsserver2008/en/us/whats-new.aspx

http://klickea.blogspot.com/2012/10/versiones-de-la-familia-windows-server.html

http://support.microsoft.com/

http://www.cabai.com.ar/2009/03/que-hay-de-nuevo-en-windows-server-2008-r2.html#sthash.uGj2StKm.dpuf

http://www.cabai.com.ar/2009/03/que-hay-de-nuevo-en-windows-server-2008-r2.html#sthash.uGj2StKm.dpuf

http://en.wikipedia.org/

Profesor: Rubén Coello Alumnos: Justo Loyola Donoso José...

Documents

Transcript of Profesor: Rubén Coello Alumnos: Justo Loyola Donoso José...