Windows Server 2003 R2 BETA 2 Update Deck

1
Lanzamiento Técnico
Windows Server R2
2
Introducción a Windows Server R2
Germán DíazProduct Manager Windows
Servergermand_at_microsoft.comJosé Parada
GimenoMicrosoft IT Pro Evangelistjparada_at_microso
ft.comhttp//blogs.technet.com/PadreParada
3
Agenda

• Introducción
• Que es Windows Server R2?
• Ciclo de Vida de Servidores
• Pilares y tecnologías incluidas en Windows Server
  2003 R2
• Cómo se instala Windows Server 2003 R2
• Gestión de la Identidades y ADFS

4
Qué es R2?

• Conjunto de tecnologías adicionales que se
  instalan sobre Windows Server 2003 con Service
  Pack 1 (SP1)
• No hay cambios de núcleo respecto a Windows
  Server 2003 SP1.
• Comparte con Windows Server 2003 SP1 las
  subsiguientes actualizaciones de seguridad y
  Service Packs.
• La compatibilidad con aplicaciones es idéntica
  que con Windows Server 2003 SP1.
• Mismo ciclo de vida que Windows Server 2003 SP1

5
Ciclo de Versiones de Windows Server
4 años
2 años
Versión
Versión
Versión
Actualización R2
Actualización R2
principal
principal
principal
6
Familia Windows Server R2
7
Gestión de la Identidad

• Gestionar una única identidad a través de
  aplicaciones. Web y UNIX

Redes de Oficinas
Mejor conectividad, más fiabilidad, TCO hasta un
50 menos de tráfico WAN
Gestión del Almacenamiento
Mejor control sobre el almacenamiento y 10 de
reducción de costes de gestión
Plataforma Web
Últimas tecnologías en 64 bits y .NET para
duplicar rendimiento de aplicaciones Web
Flexibilidad y valor para la virtualización de
servidores
Virtualización
8

• Active Directory Federation Services
• Gestión de Identidad para UNIX

Gestión de la Identidad

• Distributed File System (DFS)
• Consolas centralizadas File Print

Redes de Oficinas
Gestión del Almacenamiento

• File Server Resource Manager (FSRM)
• Storage Manager para SANs

Plataforma Web

• .NET Framework 2.0
• Windows SharePoint Services

• Nueva Versión Virtual Server R2 y Cambio de
  licencias virtuales

Virtualización
9
R2 Más con menos, aun Mejor
Más funcionalidad Igual precio
Opcional para clientes actuales
Gratuito para Licencias con SA
Por defecto para licencias nuevas
Más valor para nuestros partners
10
Instalación

• Windows Server 2003 R2 contiene dos discos de
  producto
• CD1 Windows Server 2003 SP1 (Slipstream)
• CD2 Componentes para R2
• Si ya tienes Windows Server 2003 con SP1
  instalado, solo necesitas instalar el Disco 2
• La instalación del CD requiere un nuevo Product
  Key diferente a los correspondientes a Windows
  Server 2003 RTM o Slipstream con SP1
• Casi todas las características de R2 se instalan
  vía Panel de Control - Añadir/Quitar Programas

11
Actualización del Esquema

• Es necesario actualizar el esquema de Directorio
  Activo antes de
• Instalar R2 en un DC
• Configurar un servidor R2 para que sea un DC
• Para ello
• Ir al directorio cmpnentes\r2\adprep
• Ejecutar adprep /forestprep

12
Requerimientos del sistema
13
Gestión de la Identidad

• Las necesidades
• ADAM (Active Directory Application Mode)
• Gestión de Identidades para UNIX
• Active Directory Federation Services

14
Necesidad de la Gestión de Identidades
Tus EMPLEADOSTus APLICACIONES Tus PLATAFORMAS
15
Active Directory Application Mode

• Modo del Directorio Activo independiente de
  cualquier dominio pensado para proveer de
  servicios de Directorio LDAP a aplicaciones
• Mismo código que Directorio Activo
• Instalación sencilla basada en un asistente
• Esquema flexible. Sincronización con Directorio
  Activo
• Estrategia de seguridad usándolo en combinación
  con el Directorio Activo
• Autenticación contra el Directorio Activo
• Autorización contra ADAM
• Acceso a los datos almacenados en ADAM por parte
  de las aplicaciones

16
Escenarios de uso de ADAM
Acceso a Datos
Autenticación
Cliente
Servidor
Directorio Activo
LDAP bind (authN)
Cliente Web
LDAP admin connection (search, Update)
Servidores Web
17
Active Directory Federation ServicesAutenticación
Integrada Estupenda para Intranets
Inicio de Sesión

• Autenticación Flexible
• Single Sign-On (SSO) a muchas aplicaciones

18
Escenario de ADFSWeb Single Sign-On (SSO)

• Credenciales del usuario y atributos gestionados
  por la Aplicación en el Directorio Activo o ADAM

19
Escenario de ADFSFederación de Identidad

• Las credenciales y atributos del usuario se
  manejan en home realm por la organización del
  Partner

20
Federación de Identidades en Acción
Proveedor Bosque de Recursos
Cliente Bosque de Cuentas
Confianza Federada
21
ADFS Solución basada en Estándares
Interoperabilidad Multi-vendor, multi-plataforma
vía Servicios Web
WS-Federation
IBM PingIDBMC OracleCA Quest RSA Centrify
otros
ActiveDirectoryFederationServices
22
Escalabilidad y Virtualización con R2 y 64-bits
23
Arquitecturas de 64 bits

• Marta Beltrán Pardo
• Profesor Titular de Universidad
• GAAP, Universidad Rey Juan Carlos
• marta.beltran_at_urjc.es
• http//dac.escet.urjc.es/investigacion/gaap

David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon
24
Agenda

• Introducción
• Objetivos de las arquitecturas de 64 bits
• Alternativas de diseño
• Arquitecturas x86 de 64 bits
• Arquitecturas EPIC
• Relación con el sistema operativo
• Escenarios para arquitecturas de 64 bits

25
Introducción

• Las tareas computacionales han aumentado
  considerablemente su complejidad y su volumen en
  los últimos años.
• Las arquitecturas de 32 bits basadas en el
  estándar x86 están alcanzando sus límites.
• Recordatorio Estas arquitecturas se basan en un
  núcleo de procesador RISC con una envoltura
  CISC.
• Pero se han hecho inversiones muy importantes en
  32 bits que no deben ni pueden ser
  desaprovechadas
• Hardware.
• Conocimientos de administración y de desarrollo.
• Aplicaciones.

26
Introducción

• Limitaciones de las arquitecturas de 32 bits
• Repertorio de instrucciones de 32 bits.
• Falta de soporte a ciertas instrucciones en los
  repertorios tradicionales.
• Limitación en el número de bits para los
  operandos inmediatos, los desplazamientos de los
  direccionamientos indirectos y los
  desplazamientos de las instrucciones de salto.
• Direccionamiento de memoria con 32 bits.
• Capacidad de memoria limitada a 4 GB.
• Registros de propósito general del procesador de
  32 bits.
• Tipos de datos enteros de 32 bits.

27
Introducción

• Se han propuesto diferentes soluciones para
  superar las limitaciones impuestas por las
  arquitecturas de 32 bits
• Transición a arquitecturas de 64 bits.
• Esta última solución implica varias
  modificaciones en las arquitecturas
  tradicionales
• Repertorio de instrucciones de 64 bits.
• Direccionamiento de memoria de 64 bits.
• Registros internos del procesador de 64 bits.

28
Objetivos de las arquitecturas de 64 bits

• Aumento de prestaciones.
• Compatibilidad con las arquitecturas
  pre-existentes.
• Imprescindible para una transición cómoda para
  los usuarios.
• Evitar recompilación de ciertas aplicaciones.
• Dar tiempo a la adaptación de los sistemas
  operativos ya existentes.
• La computación de 64 bits no tiene sentido en
  todas las aplicaciones.
• Escalabilidad.
• Combinación de las soluciones de 64 bits con las
  que soportan
• Múltiples threads de ejecución.
• Múltiples núcleos de procesador.
• Virtualización.

29
Alternativas de diseño
30
Arquitecturas x86 de 64 bits

• Extensión del estándar x86 de 32 bits ya
  existente.
• El compilador traduce de alto nivel a un
  repertorio máquina de tipo CISC.
• Conjunto complejo de instrucciones.
• Antes de pasar a la ejecución de estas
  instrucciones, el propio procesador las traduce a
  un repertorio RISC.
• Conjunto reducido de instrucciones muy sencillas.
• Se plantean dos enfoques diferentes.
• Claros ejemplos en los procesadores para PC
• AMD64.
• IA-32 con EM64T.

31
Arquitecturas x86 de 64 bits AMD64
Arquitectura x86 diseñada para la computación con
64 bits
32
Arquitecturas x86 de 64 bits IA-32con EM64T

• EM64T Extended Memory Technology
• Arquitectura básica de 32 bits con extensiones de
  64 bits.
• Al final todas las extensiones realizadas al
  procesador IA-32 lo convierten prácticamente en
  una arquitectura de 64 bits.

33
Arquitecturas x86 de 64 bits IA-32con EM64T
Arquitectura tradicional de Intel, denominada
IA-32, completamente adaptada a la computación
con 64 bits mediante extensiones sucesivas
34
Arquitecturas x86 de 64 bits
PROCESADORES
35
Arquitecturas x86 de 64 bits

• Aspectos que diferencian a las arquitecturas
  AMD64 e IA-32 con EM64T
• Filosofía de diseño.
• Controlador de memoria incluido en el procesador
  para el AMD64.
• Soporte para 3DNow el caso del AMD64 y para SSE3
  y HT en el caso del EM64T.
• Diferencias en los repertorios de instrucciones.
• Por lo que puede haber problemas de
  compatibilidad en aplicaciones específicas
  compiladas para un cierto procesador.

36
Arquitecturas EPIC

• EPIC Explicitly Parallel Instruction Computing.
• Procesadores Itanium e Itanium 2.
• Arquitecturas completamente diferentes que las
  x86 y las RISC.
• Nuevo paradigma de computación.
• También denominado IA-64.
• Basadas en
• ILP (Instruction Level Parallelism) explícito con
  el compilador.
• Ejecución de predicados.
• Especulación a todos los niveles.

37
Arquitecturas EPIC
Arquitectura tradicional
Arquitectura EPIC
38
Arquitecturas EPIC
39
Arquitecturas EPIC

• Principales ventajas.
• Mayor ILP gracias a la ayuda del compilador.
• Recursos masivos en el procesador y mejor
  utilización.
• Minimiza (porque las oculta) las latencias de
  memoria.

40
Arquitecturas EPIC

• Principales desventajas.
• Gran dependencia del compilador.
• En muchas ocasiones aumenta el tamaño de código
• Muchas instrucciones NOP que no hacen trabajo
  útil
• No se soporta el direccionamiento indirecto con
  desplazamiento, por lo que hay que introducir
  instrucciones explícitas para el cálculo de
  direcciones.
• Consumo de potencia innecesario debido a la
  ejecución de una gran número de instrucciones
  especuladas.

41
Relación con el Sistema Operativo
42
Windows Server 2003 - 64 bit

• Para Sistemas 32-bit x86
• Para despliegues en sistemas para los que no
  existen aplicaciones o drivers de 64-bit.
• Común en servidores con 1-4 CPUs

• Para Sistemas 64-bit x64
• Para combinaciones de aplicaciones de 32-bit y
  64-bit, o para aplicaciones de 64-bit puras en HW
  x64
• Común en servidores con 1-4 CPUs

• Para Sistemas 64-bit Itanium
• Para pilas puras de 64-bit soportando grandes
  bases de datos y aplicaciones de negocio y
  misisón crítica en HW basado en IPF.
• Común en servidores con 8 o más procesadores

43
Familia de Windows Server 2003
44
Posicionamiento de cada plataforma
Versatilidad
Más Implementado
32-bit x86
64-bit x64
Amplitud de Aplicaciones
64-bit IPF
Mayor Escalabilidad
Escalabilidad
45
Arquitectura de Windows
Environment Subsystems
System Processes
Services
Applications
OS/2
Session Manager
Windows
System Threads
NTDLL.DLL
System Service Dispatcher
Windows USER, GDI
(kernel mode callable interfaces)
Object Mgr.
File System Cache
I/O Mgr
Plug and Play Mgr.
Power Mgr.
SecurityReferenceMonitor
VirtualMemory
Processes Threads
Local Procedure Call
Configura- tion Mgr (registry)
Device File Sys. Drivers
Graphics Drivers
Kernel
Hardware Abstraction Layer (HAL)
46
Las 4GB de Espacio de Direccionamiento Virtual en
32-bit

• 2 GB por proceso
• El espacio de direcciones de un proceso no es
  accesible por los demás
• 2 GB para el sistema
• El Sistema Operativo se carga aquí, y aparece en
  el espacio de direcciones de cada proceso
• El Sistema Operativo NO es un proceso

00000000
Code EXE/DLLs Data EXE/DLL static storage,
per-thread user mode stacks, process heaps, etc.
Único por proceso, accesible en modo kernel o
user
7FFFFFFF
80000000
Code NTOSKRNL, HAL, drivers Data kernel
stacks, File system cache Non-paged pool, Paged
pool
Por proceso, accesible solo en modo kernel
C0000000
Process page tables, hyperspace
Para todo el sistema, Accesible solo en modo
kernel
FFFFFFFF
47
Limitaciones de la arquitectura de 32-bit (x86)

• Solo podemos direccionar 232 bits 4 GB espacio
  de direccionamiento virtual
• Los procesos usan solamente las primeras 2 GB
  (3GB si usamos /3GB)
• El paso entre memoria virtual y memoria física
  impacta el rendimiento
• Que hacemos con la memoria adicional en sistemas
  de mas de 4GB de memoria física?
• Ocuparla con más procesos
• Address Windowing Extensions (AWE)
• Physical Address Extension (PAE)

48
Physical Address Extensions (PAE)

• Modelo de mapeo de memoria introducido por el
  procesador Intel Pentium Pro x86
• Permite el acceso del procesador a memoria física
  RAM por encima de
• 64 GB en x86
• 128 GB en x64 (en teoría podría ser hasta 1024
  GB)
• Hay una versión especial del Kernel de 32-bit
  (NTkrnlpa.exe) que se invoca cuando ponemos el
  modificador /PAE en el boot.ini
• Es decir, sin /PAE el sistema no será capaz de
  acceder a RAM por encima de 4GB aunque esté
  presente físicamente en el equipo

49
Address Windowing Extensions (AWE)

• Conjunto de funciones que permiten a los procesos
  de 32-bit reservar y acceder a más memoria de la
  que puede ser representada en su espacio de
  memoria virtual.
• Para ello la aplicación
• Reserva la memoria que va a usar
• Crea una región del espacio virtual de
  direcciones que actúa como una ventana en la
  que mapear vistas de la memoria física
• Mapea vistas de la memoria física en la ventana
• Ejemplos de funciones
• AllocateUserPhysicalPages, VistualAlloc con la
  flag MEM_PHYSICAL, MapUserPhysicalPages, etc.
• La aplicación debe por tanto estar desarrollada
  explícitamente para hacer uso de estas extensiones

50
Efectos de /3GB (también conocido como 4GT) sobre
el Sistema
00000000
.EXE code Globals Per-thread user mode
stacks .DLL code Process heaps

• /3GB en el BOOT.INI
• Windows 2003 soporta configuraciones intermedias
  entre 2GB y 3GB (/USERVA)
• Solo disponible en
• Windows 2003 Server Enterprise Edition Win2000
  Advanced Server
• Memoria física limitada a 16 GB
• Ofrece 3 GB de direccionamiento por proceso
• Usado generalmente en servidores de bases de
  datos (para mapeo de ficheros en RAM)
• .EXE debe tener la flag large address space
  aware o son limitados a los 2GB por defecto
  (/LARGEADDRESSAWARE )
• El principal sacrificado es la file system
  cache
• Mejor solución AWE
• Aún mejor solución 64-bit Windows

Único por proceso, accesible en modo kernel o
user
Unique per process ( per appl.), user mode
Por proceso, accesible solo en modo kernel
BFFFFFFF
C0000000
Process page tables, hyperspace
Para todo el sistema, Accesible solo en modo
kernel
Exec, kernel, HAL, drivers, etc.
FFFFFFFF
51
Por tanto

• Para que el equipo y el Sistema Operativo puedan
  acceder y gestionar más de 4GB de memoria física
  necesitamos PAE
• Para que una aplicación pueda y sepa direccionar
  mas de 2GB de memoria Virtual debe
• O bien ser compilada con /LARGEADDRESSAWARE para
  ser capaz de utilizar usar la optimización 4GT
  (/3GB)
• O bien usar AWE para poner grandes cantidades de
  datos en las ventanas correspondientes a
  memoria física por encima de 4GB (necesita /PAE)
• Por tanto, es necesario consultar con el
  fabricante de las aplicaciones las capacidades de
  las mismas en lo tocante a la gestión de la
  memoria. NO es algo que afecte solamente al
  sistema operativo.
• Todo esto no es gratis. Tiene un impacto que
  puede llegar a ser importante.

52
BENEFICIOS DE LA ARQUITECTURA DE 64-Bit
53
Beneficios de la Arquitectura de 64-bit (x64)

• Ejecuta Aplicaciones de 32-bit con un mejor
  rendimiento
• Ofrece los 4GB de Direccionamiento virtual para
  los procesos Large Memory Aware
• Ejecuta aplicaciones de 64-bit
• 8 TB Espacio de direccionamiento virtual
• Reducción en el mapeo de memoria y de los fallos
  de página en la mayoría de los casos
• Facilita la migración a infraestructuras de
  64-bit puras
• Elimina la necesidad de complejos workarounds a
  los límites de memoria de los 32-bit

32-bit Process Address Space (2GB) 64-bit Process
Address Space (8TB)
54
Comparativa x86 x64
55
Se ejecutará más rápidamente una aplicación en
64-bit?

• Quizás... Depende de muchos de factores
• Es la memoria un cuello de botella?
• Tiene la aplicación dependencia de la CPU?
• Hay punteros en el Working Set?
• Tiene la aplicación dependencia de las
  instrucciones de la cache?
• Hace mucho uso de operaciones de coma flotante?
• Usa la aplicación excepciones para control del
  flujo?

56
Rumbo a los 64-bit

• Migración del Hardware
• Migración del Sistema Operativo Drivers de
  dispositivos
• Migración de las aplicaciones
• Plataformas x64 o IA64 puras

32-bit
32-bit
Aplicaciones
32-bit
Itanium
x64
x64
32-bit
32-bit
x64
Itanium
x64
Windows Server
32-bit
x64
Itanium
x64
32-bit
Drivers
x64
x64
Itanium
x64
32-bit
Hardware
Pila 32-bit pura
Pila 64-bit pura
57
Soporte a aplicaciones de 32-bit
Ejecución directa en x64
32-bit convertidos a 64-bit por la Execution
layer en IA64
32-bit Application
64-bit Application
32-bit Application
64-bit Application
Windows 32-bit
Windows 32-bit
Windows 64-bit
Exec. Layer
Windows 64-bit

• Aplicaciones que usan instaladores de 16-bit
• Windows x64 no ejecuta código de 16-bit
• Detecta muchos instaladores de 16-bit y de forma
  transparente instancia una versión de 32-bit
• Windows x64 soporta código de 32-bit vía Windows
  on Windows 64 (WOW64)
• La mayor parte de las aplicaciones de 32-bit
  funcionan normalmente

58
Que es WoW64?

• Capa de emulación de aplicaciones Windows de
  32-bit en Windows 64-bit (x64)
• Windows instala archivos de sistema de 64-bit y
  32-bit
• Los archivos del sistema de 32-bit se copian a
  windir\sysWoW64
• Se crea SystemDrive\Program Files (x86) para
  aplicaciones de 32-bit
• Las variables de entorno se duplican
• ProgramFiles y ProgramFiles(x86)
• CommonProgramFiles y CommonProgramFiles(x86)
• Ciertas partes del registro están separadas en
  dos vistas 64-bit y WoW64 para la vista de
  32-bit.
• HKEY_LOCAL_MACHINE\Software
• HKEY_CLASSES_ROOT
• Por Compatibilidad y porque se ofrece una
  ejecución más segura para ambos tipos de
  aplicaciones (p.e. un valor del registro que da
  el path a una DLL
• Se duplican ciertas ramas y valores del registro
  en tiempo real entre las vistas de 32-bit y
  64-bit
• HKEY_LOCAL_MACHINE\Software\Classes
• HKEY_LOCAL_MACHINE\Software\Ole
• HKEY_LOCAL_MACHINE\Software\Rpc
• HKEY_LOCAL_MACHINE\Software\COM3
• HKEY_LOCAL_MACHINE\Software\EventSystem

59
Seguridad

• Los procesadores x64 soportan el No Execution
  (AMD) o Execute Disable bit (Intel) que
  controla las áreas de memoria que pueden ser
  utilizadas para ejecutar código.
• Data Execution Prevention evita la propagación
  de gusanos y malware que utilicen
  vulnerabilidades del tipo desbordamiento de
  buffer.
• DEP habilitado por defecto en el sistema
  operativo para sistemas x64
• Controlable a través de /NOEXECUTE en BOOT.INI
  (AlwaysOn, AlwaysOff, OptIn, OptOut)

60
Para qué utilizar Servidores x64
Database Especialmente OLTP, OLAP, Data
Warehouse, Business Intelligence
Business Applications Especialmente ERP, SCM,
CRM, y LOB a medida
Terminal Services Especialmente Aplicaciones
cliente de 32-bit
Technical Computing Especialmente Compute
Clusters
Active Directory Especialmente si ntds.dit es
mayor de 2 GB
Web Serving (IIS 6.0) Mejora la fiabilidad
reduciendo el reciclaje de la cache
61
Windows x64 Una idea de lo que puede suponer la
mejora
62
REFERENCIAS

• Microsoft Windows Internals (Fourth Edition)
• Mark Russinovich David Solomon
• Incluido en el Resource Kit de Windows Server
  2003
• http//www.microsoft.com/whdc/system/platform/64bi
  t/default.mspx
• http//www.microsoft.com/windowsserversystem/64bit
  /default.mspx
• http//www.microsoft.com/windowsserver2003/64bit/x
  64/overview.mspx
• Resource and Memory Management Technologies (en
  el Windows Server System TechCenter)
• http//technet2.microsoft.com/WindowsServer/en/Lib
  rary/ed991fce-6a5d-45cb-9ab6-93c1198bffae1033.mspx
  

63
Virtual Server 2005 R2
David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon
Jose Parada Gimeno Microsoft IT Pro
Evangelist jparada_at_microsoft.com http//blogs.tech
net.com/padreparada
64
Microsoft Virtual Server 2005 R2

• Gestionar los recursos de hardware de manera
  eficiente y flexible optimizado mediante Virtual
  Server con soporte de Clustering y x64

• Prueba y desarrollo
• Consolidación/automatización en una granja de
  servidores gestionada centralmente
• Simulación de aplicaciones distribuidas en un
  único servidor
• Permite a los alumnos tener su propia
  infraestructura de red sin añadir complejidad de
  gestión al profesor

• Migración y consolidación
• Aplicaciones antiguas o a medida
• Disponer de las últimas tecnologías Hardware en
  sistemas operativos no soportados de forma nativa
• Consolidar servidores departamentales o
  delegaciones
• Recuperación frente a desastres

65
Flexibilidad en Licencias para Servidores
Virtuales
1 instalación 1 licencia
Servidores (o dispositivos)
Múltiples instancias por dispositivo
SAN o servidor de archivo con múltiples imágenes
66
Management Pack de VS para MOM
Muestra todos los hosts, diferenciando máquinas
físicas y virtuales
Genera scripts que aprovechan la API COM para
automatizar tareas
Control muy granular sobre las máquinas virtuales
(guests)
Panel unificado de MOM 2005 para gestionar
servidores físicos de máquinas virtuales
Asociacion de VMs a hosts con información de la
salud del servidor

• Gestión uno-a-muchos de hosts y máquinas
  virtuales (guests)
• Monitorización de salud y cambios de
  configuración
• Automatización en circuito cerrado mediante
  scripting y API COM

67
DEMOVirtual Server 2005 R2 para x64

• Aprovechamiento de la infraestructura de 64-bit
• Clusterización de una máquina virtual

68
SUSCRIPCIÓN TECHNET EN CD o DVD
http//www.microsoft.com/spain/technet/recursos/cd
/default.mspx
69
Optimización para la Gestión del Almacenamiento y
las Oficinas Remotas
David Cervigón LunaMicrosoft IT Pro
Evangelistdavidce_at_microsoft.comhttp//blogs.tech
net.com/davidcervigonhttp//blogs.technet.com/win
dowsvista
70
Retos de los escenarios de Delegaciones Remotas
71
La WAN

• Bajo ancho de banda y alta latencia
• Puedes comprar ancho de banda, pero no bajar la
  latencia.
• Los gastos de mantenimiento son un buen
  porcentaje de los gastos de IT
• Existen protocolos optimizados para su uso en LAN
• BITS, Http, Modo Cache de Exchange...
• Pero muchos otros todavía no son eficientes en
  este escenario
• Archivos Muchos tráfico de ida y vuelta
• A las aplicaciones les gusta mirar dentro de los
  archivos
• SMB/CIFS son charlatanes
• Las shells agravan la situación
• Impresión Los datos renderizados viajan hasta el
  servidor donde esta la impresora.
• Autenticación latencia cuando se realiza a
  través de la WAN

72
La Administración

• Administración en las Delegaciones
• Pocos Administradores o incluso ninguno.
• Se reúnen múltiples roles en la misma persona
• Las copias de seguridad obtenidas por usuarios
  normales son caras y poco fiables.
• Límites de la delegación de permisos difíciles de
  mantener
• Administración en los sitios centrales
• Los administradores de las oficinas remotas están
  en los sitios centrales, trabajando remotamente.
• En ocasiones incluso las grandes sedes se tratan
  como oficinas remotas.
• Administradores que trabajan 24x7 en modelos de
  follow the sun
• Se necesitan herramientas de administración que
• Sean escalables.
• Sirvan para manejar muchos servidores, cada uno
  de ellos con muchos roles simultáneos.
• Los empleados en las delegaciones deben ser tan
  productivos (o más) como los de las oficinas
  centrales.

73
DFS en Windows Server 2003 R2
74
Que es DFS? (1)
75
Que es DFS? (2)
76
Espacio de Nombres DFS

• Raíz
• De dominio \\empresa.es\publico
• Stand-Alone \\Srv-Datos-01\publico
• Carpeta
• Ej \\empresa.es\publico\aplicaciones
• Destinos
• \\server1\aplicaciones
• \\server2\aplicaciones

77
Espacios de Nombres DFS en R2

• Windows Server 2003
• Las referencias pueden ser ordenadas por
  proximidad al sitio (Site costing).
• Los servidores DFS pueden albergar raíces de
  múltiples espacios de nombres DFS.
• Los servidores DFS pueden albergar la raíz para
  antiguos servidores de ficheros UNC
• Interceptan antiguos \\servidor\recurso como
  nuevas raíces DFS
• Configurado usando el File Server Migration
  Toolkit
• Windows Server R2
• Mejor administración
• Renombrado de enlaces
• Delegación implementada en la consola
• Menos conceptos que recordar para el usuario
• Posibilidad de definir prioridades en los
  destinos de carpetas en los sites (servidores
  preferidos)
• Evita failovers entre delegaciones remotas
• Mejor control sobre el failback de los clientes

78
Replicación DFS en R2

• La Replicación DFS es se basa en una tecnología
  de replicación de ficheros que junto con los
  Espacios de Nombres ofrece un sistema de archivos
  distribuidos, de alta disponibilidad, optimizado
  para la WAN
• Reemplaza(rá) a FRS
• Re-diseñado completamente de cara a una mejor
  disponibilidad y rendimiento.
• Incluye nuevas características de administración
• Consola MMC, configurado vía AD, chequeo de salud
  y monitorización vía proveedor WMI, capacidades
  de informes y diagnosis, MOM pack.
• Utiliza Remote Differential Compression para
  enviar solamente los cambios realizados en los
  archivos

79
Ejemplo de RDC
Cliente
Servidor
Archivo Actualizado
Archivo Original
Petición de archivo
SHA121 SHA125
usa recursividad
Recoge los nuevos trozos 3, 4
No ha mucho que vivía un
hidalgo de los
80
Factores de reducción del ancho de banda
RDC vs. Transferencia completa del archivo
450
409
400
350
292
300
250
200
150
92
100
41
31
30
50
17
15
13
3
0
.DOC 489 K
.DOC 2.6 M
.MPP 241K
.PPT 594K
.XLS 2.4M
.ZIP 348K
.HTM 425K
.PPT 3.9M
.PST 293M
.VSD 318 K
81
Resumen de características de la Replicación DFS
82
Administración de DFS

• MMC 3.0
• Vista jerárquica del Espacio de Nombres
• Permite operaciones de drag drop, mover y
  renombrar.
• Delegación Administrativa
• Línea de comandos para usarla en scripts
• WMI para Configuración y Monitorización
• Informes de salud y eficiencia
• MOM 2005 Management Pack

83
Herramientas
84
Escenarios Colección de datos
Servidor en Central
Replicación DFS
Espacio de Nombres DFS
X
Servidor en Delegación
Usuario en Delegación
85
Escenarios Publicación de contenido
Usuario en Delegación
Servidor en Delegación
Replicación DFS
Servidor en Central
X
Espacio de Nombres DFS
Usuario en Delegación
Servidor en Delegación
86
Escenarios Documentos para usuarios móviles
Servidor en Delegación
Replicación DFS
Servidor en Central
Espacio de nombres DFS
Servidor en Delegación
87
Escenarios mixtos con topologías complejas
Madrid-Hub-1
Barna-Hub-2
Barna-Hub-1
Madrid-Hub-2
Sevilla
Vigo
Bilbao
Teruel
Zaragoza
Valencia
Palma
88
DEMO DFS-N y DFS-R
\\empresa.es
\\empresa.es\Publico
\\empresa.es\Publico\Aplicaciones
\\empresa.es\Publico\Datos
\\empresa.es\Publico\Datos\Delegacion1
89
Gestión de la Impresión
90
Retos en la gestión de la impresión en
delegaciones remotas

• Algunos estudios indican que el 22 de los
  servidores de impresión se localizan en
  delegaciones (cuenta a equipos cliente actuando
  como tales?)
• Necesitan estar en las delegaciones para evitar
  que el tráfico asociado a la impresión no vaya y
  vuelva del sitio central
• Falta de una herramienta 1muchos para la gestión
  de impresoras. Los administradores manejan cada
  servidor remoto de forma individual
• Instalar una impresora, puerto de impresión o
  formulario en un servidor remoto se convierte en
  una tarea tediosa
• Desplegar las impresoras agregadas a los clientes
  es complicado y más tedioso todavía

91
Consola de Administración de Impresoras (PMC)

• Basada en MMC 3.0
• Gestión unificada y escalable de los servidores
  de impresión.
• Creación remota de impresoras
• No más Terminal Server
• No más Printui.dll (ver rundll32
  printui.dll,PrintUIEntry /?)
• Despliegue inmediato de las impresoras instaladas
  por GPOs

92
Despliegue a los clientes (1)

• Utiliza GPOs (por OUs, con ACLs, filtros WMI,
  etc)
• Conexión de las impresoras por
• Máquina Para equipos compartidos
• Usuario. La impresora persigue al usuario
• Requiere la actualización del esquema de R2
• Crea un nuevo objeto para almacenar los datos de
  conexión msPrint-ConnectionPolicy
• Los objetos se crean en
• CNSystem,CNPolicies,CNGPO,CNMachine,CNPushe
  dPrinterConnections
• CNSystem,CNPolicies,CNGPO,CNUser,CNPushedPr
  interConnections

93
Despliegue a los clientes (2)

• Desplegar pushprinterconnections.exe a los
  equipos cliente
• Esta utilidad lee la GPO que aplican al usuario o
  equipo (solo para XP)
• Compara la lista de conexiones de impresoras de
  la GPO con la lista de las conexiones
  administradas del equipo
• Agrega o elimina las conexiones necesarias
• Parámetro log para resolución de problemas
• Mejor manera de desplegar la herramienta es por
  políticas
• Logon Scripts de usuario o de equipo, según
  aplique
• Recomendable usar la misma GPO que para la
  impresora

94
DEMO Gestión de la Impresión en R2
95
Gestión del Almacenamiento

• Las necesidades
• File Server Resource Manager (FSRM)
• Storage Manager for SANs (SMFS)

96
El reto del almacenamiento

• Suele crecer entre el 60 - 100 cada año
• A veces de forma caótica
• Quien puede almacenar donde ? Permisos
• Cuanto puede almacenar quien ? Cuotas NTFS
• Que podemos almacenar donde ? ?????
• Cuanto podemos almacenar donde ? ?????
• El coste de gestionarlo es 10 veces superior a
  coste del almacenamiento en si
• Parte clave de soluciones de alta disponibilidad.

97
Gestión de cuotas en R2

• Limitan el tamaño de un árbol de directorios o de
  un volumen
• Aplican a todos los archivos de usuarios en la
  carpeta.
• Los límites pueden ser
• Duro o Cuota máxima Se evita el
  almacenamiento del archivo
• Blando o Cuota de Advertencia Para control
• Interoperabilidad con el sistema de archivos
• Solo se soportan volúmenes NTFS
• Seguimiento del uso en tiempo real. Cuando de
  alcanza el límite máximo se produce un error de
  E/S
• Solo se monitorizan los volúmenes con cuotas
  configuradas
• El uso de la cuota se contabiliza basándose en el
  tamaño ocupado en disco.
• Soporte de ficheros especiales
• Comprimidos, sparse, named streams, hard links,
  reparse points
• Múltiples umbrales de notificación configurables
  según el nivel de uso de la cuota
• Configuración del volumen auto-consistente (la
  configuración viaja con el volumen)
• Soporte de cluster

98
Gestión de cuotas en R2 Por qué no las cuotas
de NTFS?

• Cuotas NTFS (desde Windows 2000)
• Por volumen
• Por usuario
• Basadas en tamaño lógico del fichero
• Lo que no permiten las cuotas NTFS
• Ceñirse a un directorio en particular
• Contabilidad basada en tamaño de disco
• Mecanismos de notificación más potentes.

99
Filtrado de Archivos en R2

• Se aplica a volúmenes o árboles de directorios.
• Reglas de filtrado
• Basado en grupos de tipos ficheros
• Aplica a todos los archivos de usuarios en las
  carpetas
• La configuración del filtrado se puede almacenar
  en una plantilla
• Se soporta filtrado activo y pasivo
• Activo Se evita el almacenamiento del archivo
• Pasivo Para control
• Los eventos se almacenan en el las Auditorias en
  el visor de sucesos
• Mismo conjunto de notificaciones que para las
  quotas

100
Filtrado de Archivos en R2 (cont.)

• Interoperabilidad con el sistema de archivos
• Solo soportado en volúmenes NTFS
• Seguimiento del uso en tiempo real
• Solo se monitorizan los volúmenes en los que el
  filtrado está habilitado
• El filtrado se lleva a cabo basado en patrones de
  ficheros (.mp3, FY04), no por contenido
• Configuración del volumen auto-consistente (la
  configuración viaja con el volumen)
• Soporte de cluster

101
Políticas de Filtrado

• Las configuraciones de filtrado se pueden anidar
• Semántica similar a la de los permisos en ACLs
  Las subcarpetas heredan las políticas.
• Excepciones de filtrado
• Permiten explícitamente que se almacenen archivos
  cuyo patrón se ajuste a un grupo de tipos de
  archivo.
• Generalmente se configuran en una subcarpeta bajo
  una política más restrictiva.
• No se generan notificaciones cuando un fichero se
  ajusta a grupo de tipos de archivos permitido.

102
Informes de Almacenamiento

• Se generan por volumen o árboles de directorios
• Informes disponibles, algunos de ellos
  parametrizables
• Archivos duplicados
• Archivos grandes
• Usados / No usados
• Por grupo
• Por propietario
• Auditoria de filtrado de archivos
• Uso de quotas
• Se almacenan en Systemdrive\StorageReports
• Pueden enviarse por correo los administradores
  que se definan
• Formatos en DHTML, HTML, XML, CSV o TXT
• Se pueden programar una tarea para su ejecución
  en el momento más adecuado, y agregar o quitar
  informes a la tarea posteriormente

103
Storage Management for SANs

• Las herramientas actuales son caras y complejas
• Los administradores tienen conocimientos
  limitados en las tecnologías SAN
• Ofrece una funcionalidad limitada de gestión de
  SANs
• Descubrimiento de dispositivos
• Creación de LUNs
• Aprovisionamiento del espacio
• Soporta Cluster

104
SMFS Arquitectura
Storage Managerfor SANs

• Usa la API del Virtual Disk Service para manejar
  el almacenamiento a través de diferentes
  proveedores
• Fibre Channel
• iSCSI
• PCI RAID (DAS)
• iSCSI y HBA API
• Multipath I/O (MPIO) para path management
• Proveedores proporcionados por el fabricante de
  la solución

VDS
Proveedor
Proveedor
iSCSI
MPIO
HBAAPI
(Gestionado via VDS)
Hardware de Almacenamiento
105
Windows Storage Server 2003 R2

• Solución NAS, hasta 60TB
• Servidor de archivos e Impresoras optimizado
• Diseñado para mayor fiabilidad, fácil integración
  y precio competitivo
• Adquirible a través de OEMs
• Incluye las mejoras de Windows Server 2003 SP1,
  así como soporte para Exchange Server 2003
• Optimización para servidor de archivos por
  defecto
• Virtual Disk Service 1.1 (hot-fix post-SP1)
• Al llevar R2 ya incluye
• SMFS
• FSRM
• DFS
• Print Management Console
• NFS
• Soporte de SIS (Single Instance Storage)
• Soporte de Full-text search para archivos de
  Microsoft y de terceros
• Hasta 3-4 millones de archivos

106
DEMO Cuotas, Filtros e Informes de
Almacenamiento
107
RECURSOS

• http//www.microsoft.com/windowsserver2003/default
  .mspx
• R2 Product Help en el TechCenter de Windows
  Server 2003
• Windows Server 2003 R2 Overview and Reviewer
  Guide
• http//www.microsoft.com/windowsserversystem/wss20
  03/techinfo/plandeploy/default.mspx
• http//www.microsoft.com/windowsserversystem/stora
  ge/simplesan.mspx

108
Servicios de Interoperabilidad con UNIX
David Cervigón LunaMicrosoft IT Pro
Evangelistdavidce_at_microsoft.comhttp//blogs.tech
net.com/davidcervigonChema AlonsoInformática64M
S MVP Windows Securitychema_at_informatica64.com
109
Agenda

• Servicios de Interoperabilidad con UNIX
• Utilidades y SDK para aplicaciones basadas en
  UNIX
• Gestión de Identidades para UNIX
• Servicios NFS
• Integración de UNIX en el Directorio Activo
• Subsistema para Aplicaciones UNIX (SUA)
• Interix

110
Necesidades

• Entornos de trabajo heterogéneo
• Distintas arquitecturas
• Dependientes de aplicaciones
• Distintos servicios para mismas funciones
• Compartición de recursos
• Gestión de identidades
• Herramientas de administración diferentes
• Gestión
• Monitorización

111
Características

• Sincronización de Contraseñas
• Servidor NIS
• Cliente y Servidor NFS
• Interix Subsistema para Aplicaciones UNIX (SUA)
• Mapeo de Usuarios
• No incluye todos los servicios SFU 3.5
• NFS Gateway
• GNU Interix SDK
• FreeBSD utilities

112
NIS

• Network Information Services (YP)
• Ofrece una base de datos centralizada de
  información
• Compartición de ficheros (mapas) de configuración
• Soporta arquitectura maestro/esclavos
• NIS expande características de NIS
• No servidor NIS en Linux

113
Gestión de Identidades

• Sincronización de Contraseñas
• Sincronización en dos sentidos
• UNIX -gt Windows
• Windows -gt UNIX
• Integración de Windows Directory Services y NIS
• AD como servidor NIS master
• Clientes pueden acceder a AD NIS con LDAP
• NIS/AD migration

114
Demo

• Servidor NIS
• Sincronización de Contraseñas

115
Integración de Unix/Linux en Directorio Activo
con Vintela Authentication Services
Carles MartinSales Consultant QUEST
SOFTWAREcarles.martin_at_quest.comhttp//www.quest.
com
116
Integración Unix/Linux

• Entorno Heterogéneo
• Windows debe convivir con otros sistemas que
  disponen de un mecanismo de autenticación propio
  y una gestión de usuarios independiente
• En el otro lado encontramos habitualmente

117
Vintela Authentication Services (VAS)

• Integración nativa de Unix y Linux en AD
• Proporciona single sing-on basado en AD para
  sistemas heterogéneos (Unix y Linux)
• Seguridad en la Autenticación (LDAP/Kerberos)
• Integración, no sincronización, entre plataformas
• Todas las credenciales residen en AD
• Puede reemplazar a NIS y /etc/passwd
• Atributos de esquema en RFC 2307
• Extensión del esquema para Windows 2000 y 2003
• Extensión NO necesaria en Windows Server 2003 R2
• Soporte multi-plataforma
• HP-UX, IBM AIX, Sun Solaris, RedHat, SuSE

118
Arquitectura y componentes VAS
vastool (joins domain, etc.)
Unix Host
Users Cache
vascd
Kerberos/LDAP
IPC
IPC


NSS
NIS Server
PAM
nss_vas.so
pam_vas.so
Kerberos
nss_nis.so
pam_unix.so
/etc/group
nss_files.so
/etc/passwd
Login Application (dtlogin, sshd, telnetd, etc)
119
DEMO Vintela Authentication Services
120
Sumario

• Beneficios de la Integración Unix/Linux
• Reducir la complejidad en la gestión de usuarios
• Aumentar la seguridad
• Disminuir costes de operaciones

• Otras soluciones complementarias
• Vintela Management Extensions (VMX)
• SMS (System Management Server) para Unix, Linux
  y Mac
• Vintela Systems Monitor (VSM)
• MOM (Microsoft Operations Manager) para Unix,
  Linux y Mac

121
Network File Services

• Servicio de compartición de ficheros e impresoras
  a través de red
• Utilizado tradicionalmente en sistemas UNIX
• Arquitectura Cliente/Servidor

122
Microsoft Services para NFS

• Compartición de ficheros interoperable
• Servidor NFS
• Cliente NFS
• Herramienta de administración NFS
• Soporta características de Microsoft Windows 2003
• Volume Shadowcopy Services
• Cluster awareness
• Dynamic performance tuning
• Permissions translation

123
Microsoft Services para NFS

• Cliente NFS
• Opción de case sensitive
• Uso de caché en cliente
• Soporte para múltiples juegos de caracteres
• Optimizado
• Mapeo de Cuentas
• Asocia cuentas Windows a cuentas UNIX
• Uno a Uno o Uno a Varios
• Acceso a recursos entre plataformas

124
Demo

• Servicios NFS

125
Subsistema para Aplicaciones UNIX

• Compila y ejecuta de forma nativa aplicaciones
  UNIX y scripts sobre Windows 2003 Server R2
• Interix
• Nuevas características respecto SFU 3.5
• Conectividad OCI y ODBC
• Integrado en Visual Studio VS Debugger Extension
  
• Soporte de aplicaciones de 64-bits

126
Arquitectura
127
Demo

• Interix

128
RECURSOS

• http//www.microsoft.com/windowsserver2003/default
  .mspx
• R2 Product Help en el TechCenter de Windows
  Server 2003
• Windows Server 2003 R2 Overview and Reviewer
  Guide
• http//www.microsoft.com/windowsserversystem/wss20
  03/techinfo/plandeploy/default.mspx
• http//www.microsoft.com/windowsserversystem/stora
  ge/simplesan.mspx

129
Web MVPs
130
Grupos Reducidos de 10 a 15 asistentes. Cada
asistente tiene un escenario virtualizado para
ejecución de laboratorios. Un técnico por grupo
imparte explicaciones teóricas y plantea y
resuelve las practicas con los asistentes al
mismo tiempo que resuelve dudas. 6 horas de
duración cada uno y 24 horas los seminarios de
Contramedidas Hacker.