Windows Server 2012 R2, en conjunto con System Center y Windows Azure, son las tres plataformas que forman parte de la visión hacia el sistema operativo en la nube de Microsoft. En este vídeo hablamos de las novedades que nos ofrece esta última versión de Windows Server.
4. Propósito del Directorio Activo:
• Los administradores deben controlar quien accede a los recursos de la
compañía, basándose en aplicación, usuario, dispositivo y ubicación
• Los empleados pueden acceder a aplicaciones y datos desde cualquier lugar
desde cualquier dispositivo, y con single sign-on
Soluciones:
Workplace Join Multifactor Authentication
Device Registration Service Multifactor Access Control
Single Sign On
5. WorkPlace Join
• Los usuarios pueden unir sus dispositivos personales a la compañía y
acceder a recursos y servicios.
• Un objeto lo representa en AD, con atributos que se utilizan para
condicionar el acceso.
• Pueden ser unidos con WorkPlace Join dispositivos Windows 8.1 e iOS.
Device Registration Service
• Hace posible WorkPlace Join.
• Se incluye como un servicio de ADFS
• Cuando se une un dispositivo, DRS provisiona el objeto en AD y un
certificado en el dispositivo del usuario para representarlo como
entidad.
• El despliegue de DRS con Web App Proxy permite unir dispositivos a
través de internet.
6. Single Sign-On
• Reduce el número de solicitudes de contraseña que el usuario
deberá cumplimentar cuando acceda a recursos de la compañía
desde sus dispositivos.
• Solamente será preguntado una única vez durante el período de vida
del SSO (7 días por defecto)
Multifactor Authentication
• One-time Passwords o Smart-Cards
• Podemos configurar Web App Proxy y ADFS para usar mutifactor
authentication para todas las solicitudes de autenticación o por
aplicación.
• Además se puede configurar ADFS para permitir acceso únicamente
a dispositivos registrados. (así tendremos dos factores: credenciales
de usuario y registro del dispositivo)
7. Multifactor Access Control
Se ha añadido a ADFS mecanismos de autenticación como:
• Usuario
• Dispositivo
• Ubicación
• Datos de autenticación
9. Soporte para Device Encryption
• A diferencia del cifrado habitual, Device encryption se habilita
automáticamente de forma que el dispositivo queda protegido desde el inicio.
• Cuando se completa una nueva instalación de Windows 8.1, el equipo se
prepara para el primer uso. Parte de dicha preparación consisten en el cifrado
de la unidad que contiene el sistema operativo y las unidades de disco fijo
con una “clear key”.
• Si el dispositivo no está unido al dominio cuando el administrador hace login
la clear key se borra y una recovery key se sube a Online Microsoft Account.
En caso de recuperación el usuario será guiado desde un dispositivo
alternativo a una url de recuperación
• Si se usa una cuenta de dominio, la clear key no se borra hasta que el
usuario une el dispositivo al dominio y la recovery key se copia en el
Directorio Activo.
• La Gpo Computer Config/AT/Windows Components/Bitlocker Drive
Encryption/OS Drives -> Do Not Enable Bitlocker until recovery infor is stored
in ADDS for OS Drives debe estar Habilitada
10. Se puede evitar el cifrado automático, desplegando con archivo de
respuestas la siguiente clave de registro:
•HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlBitLocker
•Value: PreventDeviceEncryption equal to True (1)
•Type: REG_DWORD
12. Policy Module Support for NDES
• Hasta ahora el mecanismo de enrollment podia realizarse mediante un
password, incluso sin password
• Existe por tanto una afectación clara respecto a la necesidad de
autenticación sobre todo en lo que respecta a dispositivos móviles,
como iOS o Android y equipos que no son miembros del dominio
• Windows NO proporciona ningún Policy Module, sinó que admite los
creados por fabricantes (como los de dispositivos móviles)
• Por ejemplo, SCCM proporciona un Policy Module para desplegar
Certificate Profiles
13. TPM Key attestation
• Permite a la CA verificar que una clave privada está protegida por un
TPM por hardware, y que confía en dicho TPM.
• Esto evita que el certificado sea exportado a un dispositivo no
autorizado y asociar la identidad del usuario al dispositivo.
• Todos los TPM tienen una “endorsement key” única a cada TPM, la
cual se puede usar para validar el dispositivo TPM
• Válido para Windows 8.1 y Windows Server 2012 R2
• Necesitamos Enterprise CA
• Plantilla de Certificado Versión 4
16. Data Deduplication para almacenamiento Remoto de workloads VDI
• Se optimiza VHDs activos, implementando Data Deduplication en
Cluster Shared Volumes (CSVs)
• Se logra un gran ahorro de hasta poco más de 95% de espacio en disco
• No se garantiza ni se da soporte a máquinas virtuales ejectuándose en
los servidores de Hyper-V
Expansión de un archivo optimizado a su ruta original
• El cmdlet Expand-DataDedupFile permite expandir archivos optimizados
si es necesario debido a requisitos de compatibilidad, rendimiento,
etc….
18. • Nuevo módulo de PowerShell para gestionar la replicación
• Nuevo Provider WMI
• Database Cloning for Initial Sync
Permite exportar la base de datos de replicación desde un volúmen en un
servidor y copiarla en otro con lo cual se reduce el tiempo de copia inicial
• Database corruption recovery
Permite que después de una recuperación no se pierda información sobre
conflictos y se pierda información en los servidores que albergan réplicas.
Ahora se usan Update Sequence Numbers (USNs) que son comparados con
la información en los servidores de réplica permitiendo mantener los datos
más actualizados no sean reemplazados o borrados.
19. Cross-File RDC Disable
Capacidad para deshabilitar cross-file remote differential compression, para
casos de replicación de información sobre enlaces rápidos de millones de
datos. Paradójicamente puede afectar de forma negativa a transacciones
con tráfico tan elevado dada la gran cantidad de recursos de CPU usados.
Ahora podemos deshabilitar la característica que hasta ahora venia por
defecto habilitada.
File Staging Tunning
Ahora podemos configurar un tamaño mínimo de archivo para que un
archivo se prepare para replicar.
Aumentar el tamaño de Staging aumenta el rendimiento de la replicación
Por defecto el valor es de 64K, ahora se puede modificar desde 256 KB
hasta 512 TB
20. Preserved File Restoration
Con los cmdlets Get-DfsrPreservedFiles y Restore-DfsrPreservedFiles,
podemos recuperar archivos eliminados debido a conflictos o versiones
antiguas.
Unexpected shutdown database recovery
Ahora valida la base de datos con los archivos y retoma la replicación de
forma normal. En versiones anteriores se debía retomar la replicación
utilizando un mecanismo WMI
Membership Disabling
Ahora cuando deshabilitamos un servidor de réplica no se borran
automáticamente las carpetas ConflictAndDeleted o PreExisting, lo cual
permite recuperar datos que antes no era posible.
22. • 22 nuevos PowerShell Cmdlets
• Registro DNS
Podemos usar políticas para configurar condiciones basadas en el
FQDN de los clientes DHCP y registrar equipos en grupo de trabajo
usado un sufijo DNS invitado
• Registro PTR
Podemos habilitar el registro de records A o PTR, o únicamente de
records A
25. Soporte DNSSEC mejorado:
El proceso de firma y generación, almacenamiento, actualización,
cancelación y borrado únicamente se puede iniciar desde el servidor DNS
designado como Key Master (servidor DNS que genera y administra las
claves par proteger una zona con DNSSEC)
27. Shared virtual hard disk
Permite usar archivos .vhdx como almacenamiento compartido en un Guest
Cluster
Virtual machine drain on shutdown
Permite a un Host de Hyper-V migrar VMs i el host recibe la orden de realizar
un Shut Down
Virtual Machine network health detection
Permite migrar VMs si deja de estar disponible una red externa en el host de
virtualización.
Active Directory Detached Cluster
Ahora podemos crear un cluster sin necesidad de crear objetos que los
representen en AD. Con ello permitimos que se pueda crear un cluster sin
necesidad de tener permisos de administrador en AD, también que tengamos
problemas en el cluster si un administrador borra un objeto de cluster por error
en AD
28. Dynamic Witness
Ahora el mismo cluster decide cuando debemos usar witness y cuando no. En
le caso de tener un número par de nodos se usará y en número impar no.
Antes debíamos ajustarlo manualmente dependiendo del número de nodos.
Se retirará el voto a nodos que no participan, así que mientras haya nodos
disponibles se dará servicio
Force Quorum Resiliency
Ahora, después de un problema donde debemos forzar el quorum
manualmente (/fq por ejemplo, al iniciar el servicio de cluster), el cluster
detecta cualquier partición (o split brain) cuando la conectividad entre nodos
se restituye. La parte iniciada con /fq (force quorum) queda como autoritativa.
Cuando se reprende la comunicación en el cluster, los nodos particionados
reinician el servicio de cluster y vuelven a unirse.
Anteriormente estos nodos debían reiniciarse con el parámetro /pq (prevent
quorum) para evitar desastres y debía realizarse manualmente.
29. Tie Breaker for 50% node split
Ajusta el número de votos de forma que siempre sea impar.
En caso de cluster entre dos oficinas con un número igual de nodos, debido
por ejemplo a un fallo del witness, se retira el voto e uno de los nodos, de
forma que en una oficina existen 3 nodos con derecho a voto y en otra oficina
3 nodos pero con únicamente 2 con derecho a voto, por tanto el primer grupo
sigue prestando servicio
Podemos predeterminar que nodo no tendrá voto mediante la propiedad
LowerQuorumPriorityNodeID
(Get-Cluster).LowerQuorumPriorityNodeID = 1
30. Global Update Manager Mode
Cuando hay un cambio en el estado de un cluster, como un recurso sin
acceso, es el responsable de notificarlo a todos los los nodos. Ahora podemos
configurarlo.
All o Majority.
Con All, todos los nodos deben recibir los cambios antes de que el cluster
considere el cambio como “commited”
Con Majority es lo mismo pero en donde se tolera que se realice un “commit”
de los cambios cuando una mayoría de nodos los tengan.
Esto mejora la velocidad en caso de que exista una latencia producida por
algún tipo de error (de hardware por ejemplo) que impida actualizar los nodos
31. Cluster node health detection
En Windows Server 2012 la latencia máxima era de 5 segundos
En Windows Server 2012 R2 Hyper-V la latencia máxima es de 10 segundos
en la misma subnet y de 20 segundos en distintas subnets
No se aconseja una latencia de más de 20 segundos debido a que excedería
el time-out de la ventana de TCP
33. Work Folders
Permiten almacenar y acceder a archivos corporativos en equipos o dispositivos
personales
• Se pueden desplegar mediante Folder Redirection y Offline files.
• Los archivos se almacenan en una carpeta llamada “sync share” en un
servidor
• Basado en certificados
• Control del contenido sincronizado
35. Classification
Podemos borrar de forma dinámica, valores de propiedades que ya no
aplican a un archivo actualizado durante una reevaluación de valores de
propiedades en clasificaciones existentes
Valores máximos en informes
Permite configurar el número máximo de archivos por Storage Report y
configurar un máximo de valores por defecto.
37. Policy Caching
Cuando un equipo obtiene la última versión de una gpo de un DC la
almacenan en un Local Store. Si la gpo debe aplicarse en el siguiente
reinicio, se lee la política de este local store en lugar de descargarla de del
DC a través de la red.
Esto es muy beneficioso en escenarios donde tenemos una conexión con
alta latencia con los DCs
39. • Shared Virtual Hard Disk
Permite que múltiples máquinas virtuales accedan al mismo disco VHDX,
lo que proporciona almacenamiento compartido para utilizar con Failover
Clustering. Estos volúmenes pueden estar almacenados en CSV o SMB
• Redimensión de VHDX en caliente (SCSI Controller)
• Storage QoS
Permite especificar un máximo y mínimo de operaciones por segundo
IOPS para cada disco duro virtual. Contempla notificaciones y métricas
• Live Migration desde Hyper-V 2012 a Hyper-V 2012 R2
• Virtual Machine Generation
La Generación de VM determina el hardware y funcionalidad presentada a
la máquina virtual.
Generación 1 presenta el mismo hardware que en Server 2012
Generación 2 presenta Secure Boot, Boot from scsi, Boot from scsi virtual
DVD, PXE Boot con standard network adapter y UEFI firmware support.
Lo soportan Windows Server 2012, 2012 R2, Windows 8 y 8.1
40. • Enhanced session mode
Permite la redirección de recursos locales en una conexión con la
máquina virtual desde Hyper-V
• Configuración de pantalla
• Audio
• Impresoras
• Portapapeles
• SmartCards
• Unidades
• Dispositivos USB
• Dispositivos Plug and Play que se soporten
• Habilitado por defecto en Client Hyper-V y deshabilitado en Hyper-V en
Windows Server
• Debemos activar Remote Desktop en la máquina virtual y las opciones
gráficas en Hyper-V
41. Automatic Virtual Machine Activation
• Vincula la activación de la máquina virtual al servidor de virtualización
licenciado sin tener que administrar claves para cada equipo virtual, incluso
en entornos desconectados de Internet. AVMA activa el equipo durante el
inicio.
• El Host debe ser Windows Server 2012 R2 Datacenter
• El Guest en el equipo virtual de be ser Windows Server 2012 R2
Datacenter, Windows Server 2012 R2 Standard, o Windows Server 2012
R2 Essentials
• Después de instalar en el equipo Host Hyper-V, instalamos la clave en el
virtual: slmgr /ipk <AVMA_key> (las claves estan en el TechNet con acceso
libre)
43. • Inbox HNV Gateway
Es un gateway Multi-Tenant para realizar funciones Site-to-Site VPN,
NAT y reenvio. Permite que varios tenants conecten a Internet y envíen
tráfico desde la red de un Datacenter a redes virtuales en un Nube
Privada
• Nuevas Herramientas de diagnóstico
ping –p (permite realizar ping desde la dirección del proveedor (PA))
Nuevos cmdlets de powershell (Test-VMNetworkAdapter…)
Message Analyzer ahora puede decodificar paquetes NVGRE (Network
Virtualization Generic Routing Encapsulation)
• Integración de HNV con NIC Teaming
44. • Extended Port ACLs
En el Switch. Lo convierte en un Firewall. Incluye número de socket.
Ahora podemos configurar “stateful rules”
• Load Balancing con NIC Teaming
Ahora sí se produce una distribución de tráfico cuando configuramos un
NIC Teaming, lo que en versiones anteriores no sucedía.
• vRSS (Virtual Receive Side Scaling)
Ahora todo el tráfico de red de la máquina virtual se puede repartir entre
distintos cores de CPU, lo cual permite llegar a velocidades de 10gb. Las
máquinas virtuales deben tener asignado más de un core.
46. • Role Based Access Control
• DNS Record Administrator,
• IP Address Record Administrator
• IPAM Administrator
• IPAM DHCP Administrator
• IPAM DHCP reservations administrator
• IPAM DHCP Scope administrator
• IPAM MSM administrator (dhcp y dns)
• Capacidad para administrar el espacio IP Virtual
• Alojamiento de la base de datos en un servidor SQL remoto
• Capacidad de migración de la base de datos de IPAM desde Windows
Server 2012 a 2012 R2 de forma transparente
• 55 nuevos cmdlets para administración de IPAM desde PowerShell
48. • Mejoras en Discos Virtuales
• Protección contra corrupción de datos por fallo de fuente de
alimentación
• Optimización del alineamiento de discos dinámicos y diferenciales
para evitar la degradación de rendimiento en discos físicos con
sectores de gran tamaño.
• Aumento de las sesiones por Target Server a 544
• Aumento de LUNs por Target Server a 256
50. 802.1x Authenticated Wired Access
• Permite reutilizar credenciales a usuarios que conectan de forma segura
desde sus dispositivos. Los credenciales se almacenan en local, pero por
motivos de seguridad, cuando los usuarios desconectan, estos datos se
pierden
• Disponible para equipos no unidos a dominio
• Windows 8.1 Windows Server 2012 R2
• Mecanismos de autenticación válidos: EAP-MS-CHAP v2, PEAP-EAP-MS-
CHAP v2 y EAP-TTLS con EAP-MS-CHAP v2
51. • 802.1X Authenticated Wireless Access
• Soporte para 802.11ac
• Estándar que permite mayor velocidad, fiabilidad, ancho de banda
• Pensado para aplicaciones de HDTV, videos de alta calidad, subida
y bajada de archivos a gran velocidad y juegos online
• Basado en multi user MIMO (multiple In, Multiple Out) 802.11n no
está basado en multiuser MIMO.
• Wireless Display
Proyectar por wifi el portátil o tablet en TV o monitores
52. Windows Server Gateway
Componente de enrutamiento basado en VM que permite a los
Proveedores de servicios de cloud y a las empresas habilitar
enrutamiento de tráfico de Datacenter y cloud entre redes físicas y
virtuales, incluyendo Internet
54. • Roaming Printer Connections
Ahora cualquier conexión de impresora que un usuario crea o borra se
refleja en otros dispositivos desde los que se conecta
• Windows RT
Los usuarios de Windows RT pueden encontrar y conectar fácilmente a
impresoras compartidas (Driver versión 3 o 4)
• Capacidad de conexión a impresoras via NFC (Near Field
Communications)
• Common Framework for PIN-protected printing
Los IHV (Independent Hardware Vendors) que proporcionan impresión
protegida por PIN pueden beneficiarse del soporte a dicho sistema de
impresión incluido en Windows 8.1
56. • Multi-Tenant Site-To-Site VPN Gateway
• Multi-Tenant Remote Access VPN Gateway
• Border Gateway Protocol (BGP) Aprendizaje y distribución dinámica de
rutas de los interfaces Site-to-Site del servidor de Acceso Remoto, lo
cual permite decidir si hay que enrutar paquetes a Internet, a la oficina
del Tenant, o a la red virtual del Tenant (en un Hosted cloud)
• Web Application Proxy
Proporciona servicio de Reverse Proxy para aplicaciones Web en la
red corporativa permitiendo conexión externa para usuarios
• Auto-Trigered VPN
En los clientes Windows 8.1 se puede permitir que ciertas aplicaciones
inicien una conexión VPN cuando éstas inician
58. • Session Shadowing
Permite controlar o visualizar remotamente una sesión activa de otro usuario
• Online Data Deduplication
Para los discos duros virtuales en entornos VDI, almacenados en un
servidor 2012 R2 y accedido via SMB
• Aspecto de RemoteApp mejorado (contenido visible mientras se arrastra la
ventana, transparencias…)
• Quick Reconnect para remote desktop clients y RemoteApps
• Compresión mejorada (50% menos de ancho de banda)
• RemoteFX soporta DX11.1
60. • Automatic rebalancing of Scale-Out File Server clients
Las conexiones clientes se monitorizan por recurso compartido y no por
servidor. Los clientes son redirigidos al nodo con mejor acceso al
volumen del recurso compartido
• Archivos VHDX utilizados como storage para guest clustering
• Hyper-V Live Migration over SMB
Permite realizar migraciones de VMs usando SMB 3.0 como transporte,
lo cual permite una alta velocidad de migración con un consumo de CPU
bajo
• SMB bandwidth management
Permite configurar límites para controlar distintos tipos de tráfico SMB:
live migration, virtual machine, el resto.
62. • Storage Tiers
Mueve de forma automática los datos más accedidos al sistema de
almacenamiento más rápido y los menos accedidos a los más lentos
• Parity Space Support for failover clusters
La opción de Parity Storage aparece como opción cuando creamos un
disco virtual en Server Manager o a través del cmdlet New-VirtualDisk
• Dual parity
Cuando usamos un Parity Space con muchos discos podemos
protegerlo mejor con paridad dual, protegiendo de dos fallos de disco
simultáneos
• Rebuild storage spaces from free space
Ofrece la capacidad de reconstruir storage spaces desde espacio libre
en el storage pool en lugar de hacerlo desde discos de hot spare, lo cual
acelera mucho el tiempo de recuperación
64. • Administración de imágenes VHD desde entorno gráfico
• Archivos VHDX en instalación directa o Multicast
• Soporte para TFTP y multicast sobre IPv6 y DHCPv6
• Reducción del tamaño de bloque, para encajar con el MTU de Ethernet y
poder trabajar con hardware que no soporta fragmentación IP
• Soporte para PowerShell y Scripting
66. • Desired State Configuration (DSC)
Consiste en una estructura de código anidado para realizar diversas
comprobaciones en equipos.
Por ejemplo
DSC puede asegurarse de que el role Web Server está instalado en
un “target computer” llamado ServerX y que en una carpeta wwwroot
de este servidor existen unos archivos concretos.
• Save-Help permite ahora guardar la ayuda de módulos instalados en
equipos remotos
• Debugging para Workflows
• Default Execution policy es ahora RemoteSigned
67. • Ahora podemos desconectar y reconectar a una sesión de PowerShell
Web Access
• Administración remota de las Authorization Rules para PSWA
• Utilización de múltiples sesiones de PSWA en un mismo navegador, a
través de pestañas para cada sesión