Introducción 1. Introducción 17 2. Las distintas ediciones de Windows Server 2016 17 3. Los grandes ejes de Windows Server 2016 19 3.1 Un mejor control de la información 19 3.2 Una mejor protección del sistema de información orientada a la movilidad y al Cloud 20 3.3 Una plataforma que evoluciona 22 Dominio Active Directory 1. Introducción 25 2. Presentación del servicio de directorio de Microsoft: Active Directory Domain Services 25 2.1 Definición de un dominio de Active Directory 26 2.2 Funcionalidades de Active Directory en Windows Server 2016 29 2.2.1 Instalación de un directorio de Active Directory 29 2.2.2 Configuración del sistema para el futuro controlador de dominio 30 2.2.3 Instalación del rol AD DS 31 2.2.4 Presentación de la auditoría ligada al servicio de directorio 45 2.2.5 Controlador de dominio de solo lectura 53 2.2.6 Directivas de contraseña específica y de bloqueo de cuenta granular 61 2.2.7 Active Directory como servicio de Windows 65 2.2.8 Clonado de un controlador de dominio Active Directory virtualizado 68 2.2.9 Instantánea de Active Directory 71 2.2.10 Las cuentas de servicio administradas 75 2.2.11 La papelera de reciclaje de Active Directory 84 2.2.12 Otras especificaciones desde Windows Server 2008 R2 93 3. Las directivas de grupo 95 1/17
3.1 Detección de enlaces lentos 96 3.2 Almacenamiento en caché de las directivas de grupo 97 3.3 El formato ADMX 98 3.4 Registro de eventos 99 3.5 Parámetros de las directivas de grupo que debe conocer 100 3.6 La consola Administración de directiva de grupo 102 3.7 Los objetos GPO Starter 109 4. Azure AD 110 5. Las demás cuentas asociadas a un servicio de directorio 121 5.1 Active Directory Federation Services (o AD FS) 121 5.2 Workplace Join 124 5.3 Active Directory Rights Management Services (AD RMS) 126 5.4 Active Directory Certificate Services (AD CS) 127 6. Conclusión 130 Arquitectura distribuida de acceso a los recursos 1. Introducción 131 2. Descripción de DFS 131 3. Instalación 133 3.1 El módulo de espacio de nombres 134 3.2 El módulo de replicación 134 3.3 La consola de administración 134 3.4 El caso de los controladores de dominio 135 3.5 El procedimiento de instalación gráfica 135 4. Configuración del servicio DFS 143 4.1 Los distintos tipos de raíces distribuidas 143 2/17
4.1.1 Las raíces autónomas 143 4.1.2 Las raíces de nombres de dominio 148 4.2 Creación de enlaces DFS y destinos DFS 154 4.3 Replicación 155 4.3.1 Los filtros de replicación 155 4.3.2 La implementación gráfica de la replicación 156 4.3.3 La topología de replicación 165 5. Configuración avanzada 165 5.1 Los métodos de ordenación 165 5.1.1 Configuración a nivel de las raíces DFS 165 5.1.2 Configuración a nivel de los enlaces DFS 167 5.1.3 Configuración a nivel de los destinos DFS 167 5.2 Delegación de la administración 168 6. Administración de DFS con PowerShell 169 6.1 Administración de los espacios de nombres con PowerShell 169 6.1.1 Gestión de raíces 169 6.1.2 Gestión de los destinos (de carpetas) y de los accesos 171 6.2 Administración de la replicación con PowerShell 172 6.2.1 Ejemplo de creación de la infraestructura necesaria para un grupo de replicación de dos servidores 172 6.2.2 El clonado de la base de DFSR 173 7. Uso de DFS y buenas prácticas 175 8. Interacción con otros componentes 176 8.1 La detección del sitio por parte de DirectAccess 176 8.2 El soporte a la desduplicación 177 8.3 DFS dispone de un proveedor WMI completo (espacios de nombres y replicación) 177 9. BranchCache 179 9.1 Instalación de BranchCache 180 9.2 Configuración de los recursos compartidos 187 3/17
9.3 Configuración de los clientes 188 10. Las carpetas de trabajo 195 10.1 Presentación 195 10.2 Requisitos previos 196 10.3 Instalación en el servidor 196 10.4 Configuración en el puesto cliente 207 11. Conclusión 211 Alta disponibilidad 1. Introducción 213 2. Elecciones de arquitectura 214 2.1 Las distintas arquitecturas 214 2.2 Alta disponibilidad, la panacea de su infraestructura? 216 3. Reparto de carga (clúster NLB) 218 3.1 Requisitos previos de una solución NLB 218 3.2 Crear una granja NLB 219 3.3 Configurar la granja 222 3.4 Ejemplo: granja Web IIS 225 3.5 Actualización de una granja NLB 226 4. Clúster de conmutación por error 227 4.1 Validación de su clúster 232 4.2 Implementación del clúster 233 4.2.1 Configurar la red para el clúster 234 4.2.2 Configurar el almacenamiento para el clúster 235 4.2.3 Configurar el quórum para el clúster 236 4.2.4 Instalación del clúster 237 4.2.5 Implementar un clúster de archivos 245 4/17
4.2.6 Casos particulares 250 4.3 Migración de un clúster de una versión anterior a Windows Server 2016 a Windows Server 2016 251 4.4 Configurar un clúster de conmutación por error en modo multisitio 254 4.5 Actualización compatible con clústeres de conmutación por error 255 5. Conclusión 261 Implementar los servicios de red de la empresa 1. Introducción 263 2. Seleccionar una infraestructura de red 263 2.1 La elección de la arquitectura de red 264 2.1.1 La zona DNS 264 2.1.2 La clase de red 265 2.2 La instalación de un servidor DHCP 265 2.2.1 Definición 265 2.2.2 Instalación 265 2.2.3 Configuración 266 2.2.4 Reservas 280 2.2.5 Registros DNS basados en directivas DHCP 282 2.2.6 Configuración de la conmutación por error del ámbito DHCP 288 3. Implementar los sistemas de resolución de nombres 295 3.1 La resolución DNS 295 3.1.1 Definición 295 3.1.2 Instalación 295 3.1.3 Los distintos tipos de zona 296 3.1.4 Los distintos tipos de replicación 297 3.1.5 Zonas de búsqueda inversa 298 3.1.6 La zona GlobalNames o GNZ 298 3.1.7 Pruebas y verificaciones 299 5/17
3.1.8 Los distintos tipos de registro 300 3.1.9 Buenas prácticas 301 3.1.10 DNSSEC 301 3.1.11 Administración de DNS mediante PowerShell 317 3.1.12 Mejoras aportadas por Windows Server 2012 R2 y Windows Server 2016 320 3.2 La resolución WINS 321 3.2.1 Definición 321 3.2.2 Instalación 321 3.2.3 Configuración 321 3.2.4 La replicación entre servidores WINS 322 3.2.5 Cuándo y por qué utilizar WINS? 322 4. Implementar la cuarentena de red 322 5. Implementar una entidad de certificación 323 5.1 La instalación básica 323 5.2 Los elementos configurables 338 5.3 Las peticiones por plantillas de certificados 345 5.4 Las peticiones personalizadas 357 5.5 Un poco de administración 370 6. Conclusión 380 La evolución de la red 1. La consola IPAM 381 1.1 Ventajas de esta solución 382 1.2 La arquitectura IPAM 382 1.3 Instalación 383 1.4 Configuración inicial 387 1.5 Grupos utilizados por IPAM 397 1.6 Tareas de administración cotidianas 398 1.7 Limitaciones a tener en cuenta 398 1.8 La migración de IPAM a IPAM 2016 399 6/17
1.9 Los roles de IPAM 2012 R2 401 1.9.1 La lista de roles integrados 402 1.9.2 Creación de un rol personalizado 403 1.9.3 Creación de un ámbito de acceso 404 1.9.4 Definición de las directivas de acceso 406 2. El protocolo IPv6 408 2.1 Tabla de equivalencia entre IPv4 e IPv6 409 2.2 Comandos principales 410 2.3 La configuración de DHCP v6 411 2.3.1 Configuración del cliente DHCPv6 sobre el servidor DHCP 412 2.3.2 Configuración del servicio DHCPv6 412 2.4 Configuración DNS v6 de la zona de búsqueda inversa 418 2.5 TEREDO 423 2.6 ISATAP 423 3. Asociación de tarjetas de red en equipo (Teaming) 423 4. Presentación de SMBv3 428 4.1 Características de SMBv3 428 4.2 Caso práctico: implementar el modo Multicanal 430 4.2.1 Requisitos previos 430 4.2.2 Comandos PowerShell 430 4.3 Observaciones 434 4.4 Las modificaciones de SMB desde Windows Server 2012 R2 434 5. La pasarela WSG (Windows Server Gateway) 435 5.1 Instalación 436 5.1.1 En el servidor Hyper-V 436 5.1.2 Configuración de la pasarela WSG 437 5.1.3 La configuración del router interno 438 5.2 Esquema de un ejemplo de uso 438 5.3 Conclusión 439 6. Experiencia con Windows Server Essentials 439 7/17
6.1 Instalación 440 6.2 Configuración inicial 444 6.3 Administración 447 6.4 Configuración del cliente en el equipo del usuario 450 6.5 Uso 456 6.6 Conclusión 458 7. Conclusion 458 Servicios de Escritorio remoto 1. Introducción 459 2. Implementar los servicios de Escritorio remoto 463 2.1 Administración remota 465 2.2 Instalación de los servicios de Escritorio remoto 469 2.2.1 Requisitos previos 470 2.2.2 Instalación en modo Inicio rápido 471 2.2.3 Implementación en modo estándar 477 2.2.4 Instalación en modo MultiPoint 480 2.2.5 Instalación mediante PowerShell 481 2.3 Presentación del Administrador de Servicios de Escritorio remoto 482 3. Configuración 487 3.1 Propiedades de implementación 487 3.2 Configuración de una colección de sesiones 488 3.2.1 Instalación de una aplicación sobre un servidor de sesiones 497 3.2.2 Mantenimiento de un servidor de sesiones 498 3.2.3 Mejora en la experiencia de usuario sobre un servidor de sesiones 499 3.3 Configuración de una colección de escritorios virtuales 502 3.3.1 Agregar escritorios virtuales a una colección - creación de un escritorio virtual 507 3.4 Desplegar aplicaciones con RemoteApp 508 8/17
4. Configuración avanzada 513 4.1 Configuración del Acceso Web de los servicios de Escritorio remoto 513 4.2 Configuración de la puerta de enlace de Escritorio remoto 518 4.3 Configuración del Administrador de licencias de Escritorio remoto 530 4.4 RemoteFX 534 4.4.1 RemoteFX para un host de virtualización de Escritorio remoto 535 4.4.2 RemoteFX para un host de sesión de Escritorio remoto 537 4.4.3 RemoteFX para la redirección de USB 538 5. Conclusión 539 Acceso remoto 1. Introducción 541 2. Principios básicos del acceso remoto 541 2.1 Acceso telefónico 542 2.1.1 Generalidades sobre las conexiones telefónicas Dial-up 542 2.1.2 Ventajas e inconvenientes de las conexiones telefónicas Dial-up 542 2.2 Acceso mediante Internet 543 2.2.1 Generalidades sobre las VPN 543 2.2.2 Los distintos tipos de VPN que ofrece Windows Server 2016 545 2.2.3 Ventajas e inconvenientes de VPN 546 2.2.4 DirectAccess, el "VPN-killer" 547 2.2.5 Rol Proxy de aplicación Web 548 2.2.6 Funcionalidades de acceso remoto de Windows Server 2016 549 3. Implementar un acceso seguro a través de Internet 552 3.1 Implementar un enlace VPN 552 3.1.1 Instalación del rol Acceso remoto 552 3.1.2 Configuración de las funcionalidades VPN 556 3.2 Administración de la seguridad de los accesos 563 9/17
3.3 Administración de la autenticación RADIUS 570 3.4 Implementación de DirectAccess tras un Firewall 573 3.5 Supervisión de las conexiones 578 4. Conclusión 580 Aplicaciones de Internet 1. Implementar un servidor Intranet/Internet 581 1.1 Presentación de IIS 10 581 1.1.1 Presentación general 581 1.1.2 Arquitectura heredada 582 1.1.3 Administración 582 1.1.4 Funcionalidades de IIS 10 en Windows Server 2016 584 1.2 Instalación del rol Servidor Web (IIS) en modo Windows Server mínimo (Core) 586 1.2.1 Instalación por defecto 586 1.2.2 Instalación completa 586 1.3 Instalación del rol Servidor Web (IIS) en modo gráfico 587 2. Crear un sitio web 590 2.1 Creación y configuración de un sitio 590 2.2 Uso de los encabezados host 595 2.3 Implementar una DMZ 597 2.4 Implementación del CPU Throttling 598 3. Instalar un sitio FTP con aislamiento de usuarios 601 3.1 Instalación del rol Servidor FTP 601 3.2 Configuración del aislamiento de usuarios 602 3.3 Configuración de la restricción de intentos de conexión 608 4. Conclusión 609 10/17
Reducir la superficie de ataque 1. Introducción 611 2. Principios del servidor Core 611 2.1 Restricciones ligadas a una instalación mínima 611 2.2 Instalación mínima 612 3. Configurar de manera local un servidor Core 614 3.1 Sconfig 614 3.2 Parámetros regionales 616 3.3 Resolución de pantalla 616 3.4 Salvapantallas 617 3.5 Administración de controladores 618 3.6 Activación de Windows 618 3.7 Gestión del informe de errores 620 3.8 Configurar el archivo de paginación 621 3.9 Administrar el registro de eventos 621 4. Administración remota 622 4.1 Activación del Escritorio remoto 622 4.2 Activación de WinRM 623 5. Dotar de seguridad al servidor Core 625 5.1 Administración del firewall 625 5.2 Administración automática de las actualizaciones 626 5.3 Hacer una copia de seguridad del servidor 626 6. Implementar un servidor Core y sus aplicaciones asociadas 627 6.1 Instalación de roles y características 627 6.1.1 Roles de red 627 6.1.2 El rol servidor de archivos 629 6.1.3 El rol servidor de impresión 631 6.2 Servicio de directorio (AD) 632 11/17
6.3 Ejecutar aplicaciones de 32 bits 632 6.4 Uso de funcionalidades bajo demanda 633 6.5 Funcionalidades de PowerShell 634 7. Nano Server 635 7.1 Principio 635 7.2 Instalación 635 8. Conclusión 639 Consolidar sus servidores 1. Introducción 641 2. Por qué consolidar? 641 2.1 Virtual frente a Físico 641 2.1.1 Optimización de los costes 642 2.1.2 Límites de la virtualización 643 2.2 Nuevas problemáticas 645 2.2.1 Entorno consolidado 645 2.2.2 Copia de seguridad 646 2.3 Preparar el despliegue 648 2.3.1 Requisitos previos 648 2.3.2 Metodología de trabajo 650 2.3.3 Determinar los servidores y las aplicaciones adecuados para la virtualización 651 2.3.4 Respetar las buenas prácticas 653 3. Desplegar Hyper-V 655 3.1 Instalación 655 3.1.1 Instalación del rol Hyper-V 655 3.1.2 Configuración del rol 655 3.1.3 Configuración de las redes virtuales 657 12/17
3.1.4 Configuración del almacenamiento 658 3.2 Versiones y generación de máquinas virtuales 660 3.2.1 Las versiones y formatos de máquinas virtuales 660 3.2.2 Las generaciones de las máquinas virtuales 661 3.3 Creación y configuración de una máquina virtual 666 3.3.1 Dynamic Memory 667 3.3.2 Resource Metering 669 3.3.3 Redimensionamiento de los discos duros virtuales en caliente 671 3.3.4 Gestión de la QoS en el almacenamiento de una máquina virtual 671 3.3.5 Activación automática de máquinas virtuales 674 3.3.6 Exportación de máquinas virtuales en caliente 675 3.3.7 Mejora de VM Connect (RDP over VMbus) 675 3.3.8 PowerShell Direct (PowerShell over VMbus) 680 3.3.9 Identificación de las tarjetas de red virtuales 681 3.3.10 Protección de máquinas virtuales (shielded VM) 683 3.3.11 Asignación de periféricos (Discret Device Assignment) 687 3.3.12 Puntos de control de producción 687 3.4 Contenedores Hyper-V (Hyper-V containers) 689 3.5 Gestión de la alta disponibilidad con Hyper-V 690 3.5.1 Live Migration 690 3.5.2 Réplicas Hyper-V 693 3.5.3 Compartición de discos virtuales (Shared VHDX) 697 3.6 System Center Virtual Machine Manager (SCVMM) 703 3.7 Actualizaciones de Windows 710 4. Conclusión 712 Despliegue de servidores y puestos de trabajo 1. Introducción 713 2. Preparar bien el despliegue planteando una buena estrategia 713 2.1 Definir el perímetro 714 2.2 Administración de las licencias 715 13/17
2.3 Seleccionar la edición y el tipo de instalación 716 3. Crear y desplegar imágenes del sistema operativo 716 3.1 Microsoft Deployment Toolkit 717 3.2 Lite Touch 724 3.3 WDS 730 4. Para ir más allá... 734 4.1 Microsoft Application Compatibility Toolkit 734 4.2 Entorno a la carta 735 4.3 ImageX 735 4.4 DISM (Deployment Image Servicing and Management) 736 4.5 Zero touch con SCCM 737 4.6 Unirse al dominio sin red 737 4.7 Qué hacer si ocurre algún problema? 738 5. Conclusión 738 Securizar su arquitectura 1. Introducción 739 2. Los principales riesgos de seguridad dentro de un dominio Active Directory 740 2.1 Desarrollo de un ataque tipo 740 2.2 Riesgos relacionados con la identidad de las cuentas dentro de un directorio Active Directory 742 3. Diseño de una arquitectura segura 745 3.1 Enfoque centrado en terceros de confianza 745 3.2 Dar seguridad a los controladores de dominio 750 3.2.1 Seguridad física 750 3.2.2 Seguridad durante el arranque 750 14/17
4. Protección de las cuentas con permisos y buenas prácticas 751 4.1 Principio de mínimo privilegio y JEA 751 4.2 Los distintos tipos de cuenta 753 4.2.1 Cuenta de usuario VS cuenta de administrador 753 4.2.2 Cuentas con permisos 756 4.3 Las tecnologías que permiten de proteger las cuentas y los accesos 758 4.3.1 Protected Users o Usuarios protegidos 758 4.3.2 Silos de directivas de autenticación 760 4.3.3 Credential Guard 761 4.3.4 Dar seguridad al acceso RDP 762 4.3.5 El control de cuentas de usuario 767 4.3.6 Administrar grupos con ayuda de grupos restringidos 771 5. Otros sistemas de protección nativos de Windows Server 2016 774 5.1 AppLocker o el control de las aplicaciones 774 5.1.1 Configuración de AppLocker 775 5.1.2 Ejemplo de reglas AppLocker que intentan proteger sus puestos cliente de las amenazas más comunes 782 5.2 Cifrado de datos mediante BitLocker 784 5.2.1 Activación de la tarjeta TPM en los equipos 787 5.2.2 Activación de BitLocker en los equipos 787 5.2.3 Despliegue de BitLocker en equipos del Active Directory 788 5.2.4 Visualizar las claves de recuperación de BitLocker 790 5.3 Herramientas de seguridad indispensables 793 5.3.1 SCM (Security Compliance Manager) 793 5.3.2 EMET (Enhanced Mitigation Experience Toolkit) 794 5.3.3 CFG (Control Flow Guard) 795 5.3.4 Reliability Workbook 795 5.4 El control de acceso dinámico 796 5.4.1 Principio del control de acceso dinámico 796 5.4.2 Terminología 797 5.4.3 Formas de implementación y requisitos previos 798 5.4.4 Caso práctico y análisis de necesidades 798 5.4.5 Para ir más allá... 812 15/17
6. Delegación de la administración en Active Directory 815 6.1 Enfoque de la delegación de la administración 815 6.2 Delegación de cuentas de usuario 815 7. Securización de la red 822 7.1 El Firewall de Windows 822 7.2 Securización de las transacciones de red mediante IPsec 832 8. Conclusión 836 El ciclo de vida de su infraestructura 1. Introducción 837 2. Administración de la copia de seguridad 837 2.1 Windows Server Backup 838 2.1.1 Instalación de Windows Server Backup 839 2.1.2 Creación de una copia de seguridad completa planificada 840 2.1.3 Creación de la copia de seguridad planificada de carpeta 844 2.1.4 Herramientas asociadas a WSB y copias de seguridad únicas 846 2.1.5 Las instantáneas 847 2.2 Restaurar los datos 851 2.2.1 Restaurar archivos y/o carpetas 851 2.2.2 Restaurar el estado del sistema 853 2.3 Almacenamiento 855 2.3.1 Conjunto RAID 855 2.3.2 Espacios de almacenamiento 856 2.3.3 Resilient File System (ReFS) 858 2.4 Desduplicación de datos 860 3. Administrar las actualizaciones 866 3.1 Presentación de WSUS 866 16/17
3.2 Instalación de WSUS 867 3.3 Uso de WSUS 872 4. Conclusión 877 Prepararse para el futuro 1. Más allá de Windows Server 2016 879 índice 881 17/17