Title: Windows Server 2003 R2 BETA 2 Update Deck
1Lanzamiento Técnico
Windows Server R2
2Introducción a Windows Server R2
Germán DíazProduct Manager Windows
Servergermand_at_microsoft.comJosé Parada
GimenoMicrosoft IT Pro Evangelistjparada_at_microso
ft.comhttp//blogs.technet.com/PadreParada
3Agenda
- Introducción
- Que es Windows Server R2?
- Ciclo de Vida de Servidores
- Pilares y tecnologías incluidas en Windows Server
2003 R2 - Cómo se instala Windows Server 2003 R2
- Gestión de la Identidades y ADFS
4Qué es R2?
- Conjunto de tecnologías adicionales que se
instalan sobre Windows Server 2003 con Service
Pack 1 (SP1) - No hay cambios de núcleo respecto a Windows
Server 2003 SP1. - Comparte con Windows Server 2003 SP1 las
subsiguientes actualizaciones de seguridad y
Service Packs. - La compatibilidad con aplicaciones es idéntica
que con Windows Server 2003 SP1. - Mismo ciclo de vida que Windows Server 2003 SP1
5Ciclo de Versiones de Windows Server
4 años
2 años
Versión
Versión
Versión
Actualización R2
Actualización R2
principal
principal
principal
6Familia Windows Server R2
7Gestión de la Identidad
- Gestionar una única identidad a través de
aplicaciones. Web y UNIX
Redes de Oficinas
Mejor conectividad, más fiabilidad, TCO hasta un
50 menos de tráfico WAN
Gestión del Almacenamiento
Mejor control sobre el almacenamiento y 10 de
reducción de costes de gestión
Plataforma Web
Últimas tecnologías en 64 bits y .NET para
duplicar rendimiento de aplicaciones Web
Flexibilidad y valor para la virtualización de
servidores
Virtualización
8- Active Directory Federation Services
- Gestión de Identidad para UNIX
Gestión de la Identidad
- Distributed File System (DFS)
- Consolas centralizadas File Print
Redes de Oficinas
Gestión del Almacenamiento
- File Server Resource Manager (FSRM)
- Storage Manager para SANs
Plataforma Web
- .NET Framework 2.0
- Windows SharePoint Services
- Nueva Versión Virtual Server R2 y Cambio de
licencias virtuales
Virtualización
9R2 Más con menos, aun Mejor
Más funcionalidad Igual precio
Opcional para clientes actuales
Gratuito para Licencias con SA
Por defecto para licencias nuevas
Más valor para nuestros partners
10Instalación
- Windows Server 2003 R2 contiene dos discos de
producto - CD1 Windows Server 2003 SP1 (Slipstream)
- CD2 Componentes para R2
- Si ya tienes Windows Server 2003 con SP1
instalado, solo necesitas instalar el Disco 2 - La instalación del CD requiere un nuevo Product
Key diferente a los correspondientes a Windows
Server 2003 RTM o Slipstream con SP1 - Casi todas las características de R2 se instalan
vía Panel de Control - Añadir/Quitar Programas
11Actualización del Esquema
- Es necesario actualizar el esquema de Directorio
Activo antes de - Instalar R2 en un DC
- Configurar un servidor R2 para que sea un DC
- Para ello
- Ir al directorio cmpnentes\r2\adprep
- Ejecutar adprep /forestprep
12Requerimientos del sistema
13Gestión de la Identidad
- Las necesidades
- ADAM (Active Directory Application Mode)
- Gestión de Identidades para UNIX
- Active Directory Federation Services
14Necesidad de la Gestión de Identidades
Tus EMPLEADOSTus APLICACIONES Tus PLATAFORMAS
15Active Directory Application Mode
- Modo del Directorio Activo independiente de
cualquier dominio pensado para proveer de
servicios de Directorio LDAP a aplicaciones - Mismo código que Directorio Activo
- Instalación sencilla basada en un asistente
- Esquema flexible. Sincronización con Directorio
Activo - Estrategia de seguridad usándolo en combinación
con el Directorio Activo - Autenticación contra el Directorio Activo
- Autorización contra ADAM
- Acceso a los datos almacenados en ADAM por parte
de las aplicaciones
16Escenarios de uso de ADAM
Acceso a Datos
Autenticación
Cliente
Servidor
Directorio Activo
LDAP bind (authN)
Cliente Web
LDAP admin connection (search, Update)
Servidores Web
17Active Directory Federation ServicesAutenticación
Integrada Estupenda para Intranets
Inicio de Sesión
- Autenticación Flexible
- Single Sign-On (SSO) a muchas aplicaciones
18Escenario de ADFSWeb Single Sign-On (SSO)
- Credenciales del usuario y atributos gestionados
por la Aplicación en el Directorio Activo o ADAM
19Escenario de ADFSFederación de Identidad
- Las credenciales y atributos del usuario se
manejan en home realm por la organización del
Partner
20Federación de Identidades en Acción
Proveedor Bosque de Recursos
Cliente Bosque de Cuentas
Confianza Federada
21ADFS Solución basada en Estándares
Interoperabilidad Multi-vendor, multi-plataforma
vía Servicios Web
WS-Federation
IBM PingIDBMC OracleCA Quest RSA Centrify
otros
ActiveDirectoryFederationServices
22Escalabilidad y Virtualización con R2 y 64-bits
23Arquitecturas de 64 bits
- Marta Beltrán Pardo
- Profesor Titular de Universidad
- GAAP, Universidad Rey Juan Carlos
- marta.beltran_at_urjc.es
- http//dac.escet.urjc.es/investigacion/gaap
David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon
24Agenda
- Introducción
- Objetivos de las arquitecturas de 64 bits
- Alternativas de diseño
- Arquitecturas x86 de 64 bits
- Arquitecturas EPIC
- Relación con el sistema operativo
- Escenarios para arquitecturas de 64 bits
25Introducción
- Las tareas computacionales han aumentado
considerablemente su complejidad y su volumen en
los últimos años. - Las arquitecturas de 32 bits basadas en el
estándar x86 están alcanzando sus límites. - Recordatorio Estas arquitecturas se basan en un
núcleo de procesador RISC con una envoltura
CISC. - Pero se han hecho inversiones muy importantes en
32 bits que no deben ni pueden ser
desaprovechadas - Hardware.
- Conocimientos de administración y de desarrollo.
- Aplicaciones.
26Introducción
- Limitaciones de las arquitecturas de 32 bits
- Repertorio de instrucciones de 32 bits.
- Falta de soporte a ciertas instrucciones en los
repertorios tradicionales. - Limitación en el número de bits para los
operandos inmediatos, los desplazamientos de los
direccionamientos indirectos y los
desplazamientos de las instrucciones de salto. - Direccionamiento de memoria con 32 bits.
- Capacidad de memoria limitada a 4 GB.
- Registros de propósito general del procesador de
32 bits. - Tipos de datos enteros de 32 bits.
27Introducción
- Se han propuesto diferentes soluciones para
superar las limitaciones impuestas por las
arquitecturas de 32 bits - Transición a arquitecturas de 64 bits.
- Esta última solución implica varias
modificaciones en las arquitecturas
tradicionales - Repertorio de instrucciones de 64 bits.
- Direccionamiento de memoria de 64 bits.
- Registros internos del procesador de 64 bits.
28Objetivos de las arquitecturas de 64 bits
- Aumento de prestaciones.
- Compatibilidad con las arquitecturas
pre-existentes. - Imprescindible para una transición cómoda para
los usuarios. - Evitar recompilación de ciertas aplicaciones.
- Dar tiempo a la adaptación de los sistemas
operativos ya existentes. - La computación de 64 bits no tiene sentido en
todas las aplicaciones. - Escalabilidad.
- Combinación de las soluciones de 64 bits con las
que soportan - Múltiples threads de ejecución.
- Múltiples núcleos de procesador.
- Virtualización.
29Alternativas de diseño
30Arquitecturas x86 de 64 bits
- Extensión del estándar x86 de 32 bits ya
existente. - El compilador traduce de alto nivel a un
repertorio máquina de tipo CISC. - Conjunto complejo de instrucciones.
- Antes de pasar a la ejecución de estas
instrucciones, el propio procesador las traduce a
un repertorio RISC. - Conjunto reducido de instrucciones muy sencillas.
- Se plantean dos enfoques diferentes.
- Claros ejemplos en los procesadores para PC
- AMD64.
- IA-32 con EM64T.
31Arquitecturas x86 de 64 bits AMD64
Arquitectura x86 diseñada para la computación con
64 bits
32Arquitecturas x86 de 64 bits IA-32con EM64T
- EM64T Extended Memory Technology
- Arquitectura básica de 32 bits con extensiones de
64 bits. - Al final todas las extensiones realizadas al
procesador IA-32 lo convierten prácticamente en
una arquitectura de 64 bits.
33Arquitecturas x86 de 64 bits IA-32con EM64T
Arquitectura tradicional de Intel, denominada
IA-32, completamente adaptada a la computación
con 64 bits mediante extensiones sucesivas
34Arquitecturas x86 de 64 bits
PROCESADORES
35Arquitecturas x86 de 64 bits
- Aspectos que diferencian a las arquitecturas
AMD64 e IA-32 con EM64T - Filosofía de diseño.
- Controlador de memoria incluido en el procesador
para el AMD64. - Soporte para 3DNow el caso del AMD64 y para SSE3
y HT en el caso del EM64T. - Diferencias en los repertorios de instrucciones.
- Por lo que puede haber problemas de
compatibilidad en aplicaciones específicas
compiladas para un cierto procesador.
36Arquitecturas EPIC
- EPIC Explicitly Parallel Instruction Computing.
- Procesadores Itanium e Itanium 2.
- Arquitecturas completamente diferentes que las
x86 y las RISC. - Nuevo paradigma de computación.
- También denominado IA-64.
- Basadas en
- ILP (Instruction Level Parallelism) explícito con
el compilador. - Ejecución de predicados.
- Especulación a todos los niveles.
37Arquitecturas EPIC
Arquitectura tradicional
Arquitectura EPIC
38Arquitecturas EPIC
39Arquitecturas EPIC
- Principales ventajas.
- Mayor ILP gracias a la ayuda del compilador.
- Recursos masivos en el procesador y mejor
utilización. - Minimiza (porque las oculta) las latencias de
memoria.
40Arquitecturas EPIC
- Principales desventajas.
- Gran dependencia del compilador.
- En muchas ocasiones aumenta el tamaño de código
- Muchas instrucciones NOP que no hacen trabajo
útil - No se soporta el direccionamiento indirecto con
desplazamiento, por lo que hay que introducir
instrucciones explícitas para el cálculo de
direcciones. - Consumo de potencia innecesario debido a la
ejecución de una gran número de instrucciones
especuladas.
41Relación con el Sistema Operativo
42Windows Server 2003 - 64 bit
- Para Sistemas 32-bit x86
- Para despliegues en sistemas para los que no
existen aplicaciones o drivers de 64-bit. - Común en servidores con 1-4 CPUs
- Para Sistemas 64-bit x64
- Para combinaciones de aplicaciones de 32-bit y
64-bit, o para aplicaciones de 64-bit puras en HW
x64 - Común en servidores con 1-4 CPUs
- Para Sistemas 64-bit Itanium
- Para pilas puras de 64-bit soportando grandes
bases de datos y aplicaciones de negocio y
misisón crítica en HW basado en IPF. - Común en servidores con 8 o más procesadores
43Familia de Windows Server 2003
44Posicionamiento de cada plataforma
Versatilidad
Más Implementado
32-bit x86
64-bit x64
Amplitud de Aplicaciones
64-bit IPF
Mayor Escalabilidad
Escalabilidad
45Arquitectura de Windows
Environment Subsystems
System Processes
Services
Applications
OS/2
Session Manager
Windows
System Threads
NTDLL.DLL
System Service Dispatcher
Windows USER, GDI
(kernel mode callable interfaces)
Object Mgr.
File System Cache
I/O Mgr
Plug and Play Mgr.
Power Mgr.
SecurityReferenceMonitor
VirtualMemory
Processes Threads
Local Procedure Call
Configura- tion Mgr (registry)
Device File Sys. Drivers
Graphics Drivers
Kernel
Hardware Abstraction Layer (HAL)
46Las 4GB de Espacio de Direccionamiento Virtual en
32-bit
- 2 GB por proceso
- El espacio de direcciones de un proceso no es
accesible por los demás - 2 GB para el sistema
- El Sistema Operativo se carga aquí, y aparece en
el espacio de direcciones de cada proceso - El Sistema Operativo NO es un proceso
00000000
Code EXE/DLLs Data EXE/DLL static storage,
per-thread user mode stacks, process heaps, etc.
Único por proceso, accesible en modo kernel o
user
7FFFFFFF
80000000
Code NTOSKRNL, HAL, drivers Data kernel
stacks, File system cache Non-paged pool, Paged
pool
Por proceso, accesible solo en modo kernel
C0000000
Process page tables, hyperspace
Para todo el sistema, Accesible solo en modo
kernel
FFFFFFFF
47Limitaciones de la arquitectura de 32-bit (x86)
- Solo podemos direccionar 232 bits 4 GB espacio
de direccionamiento virtual - Los procesos usan solamente las primeras 2 GB
(3GB si usamos /3GB) - El paso entre memoria virtual y memoria física
impacta el rendimiento - Que hacemos con la memoria adicional en sistemas
de mas de 4GB de memoria física? - Ocuparla con más procesos
- Address Windowing Extensions (AWE)
- Physical Address Extension (PAE)
48Physical Address Extensions (PAE)
- Modelo de mapeo de memoria introducido por el
procesador Intel Pentium Pro x86 - Permite el acceso del procesador a memoria física
RAM por encima de - 64 GB en x86
- 128 GB en x64 (en teoría podría ser hasta 1024
GB) - Hay una versión especial del Kernel de 32-bit
(NTkrnlpa.exe) que se invoca cuando ponemos el
modificador /PAE en el boot.ini - Es decir, sin /PAE el sistema no será capaz de
acceder a RAM por encima de 4GB aunque esté
presente físicamente en el equipo
49Address Windowing Extensions (AWE)
- Conjunto de funciones que permiten a los procesos
de 32-bit reservar y acceder a más memoria de la
que puede ser representada en su espacio de
memoria virtual. - Para ello la aplicación
- Reserva la memoria que va a usar
- Crea una región del espacio virtual de
direcciones que actúa como una ventana en la
que mapear vistas de la memoria física - Mapea vistas de la memoria física en la ventana
- Ejemplos de funciones
- AllocateUserPhysicalPages, VistualAlloc con la
flag MEM_PHYSICAL, MapUserPhysicalPages, etc. - La aplicación debe por tanto estar desarrollada
explícitamente para hacer uso de estas extensiones
50Efectos de /3GB (también conocido como 4GT) sobre
el Sistema
00000000
.EXE code Globals Per-thread user mode
stacks .DLL code Process heaps
- /3GB en el BOOT.INI
- Windows 2003 soporta configuraciones intermedias
entre 2GB y 3GB (/USERVA) - Solo disponible en
- Windows 2003 Server Enterprise Edition Win2000
Advanced Server - Memoria física limitada a 16 GB
- Ofrece 3 GB de direccionamiento por proceso
- Usado generalmente en servidores de bases de
datos (para mapeo de ficheros en RAM) - .EXE debe tener la flag large address space
aware o son limitados a los 2GB por defecto
(/LARGEADDRESSAWARE ) - El principal sacrificado es la file system
cache - Mejor solución AWE
- Aún mejor solución 64-bit Windows
Único por proceso, accesible en modo kernel o
user
Unique per process ( per appl.), user mode
Por proceso, accesible solo en modo kernel
BFFFFFFF
C0000000
Process page tables, hyperspace
Para todo el sistema, Accesible solo en modo
kernel
Exec, kernel, HAL, drivers, etc.
FFFFFFFF
51Por tanto
- Para que el equipo y el Sistema Operativo puedan
acceder y gestionar más de 4GB de memoria física
necesitamos PAE - Para que una aplicación pueda y sepa direccionar
mas de 2GB de memoria Virtual debe - O bien ser compilada con /LARGEADDRESSAWARE para
ser capaz de utilizar usar la optimización 4GT
(/3GB) - O bien usar AWE para poner grandes cantidades de
datos en las ventanas correspondientes a
memoria física por encima de 4GB (necesita /PAE) - Por tanto, es necesario consultar con el
fabricante de las aplicaciones las capacidades de
las mismas en lo tocante a la gestión de la
memoria. NO es algo que afecte solamente al
sistema operativo. - Todo esto no es gratis. Tiene un impacto que
puede llegar a ser importante.
52BENEFICIOS DE LA ARQUITECTURA DE 64-Bit
53Beneficios de la Arquitectura de 64-bit (x64)
- Ejecuta Aplicaciones de 32-bit con un mejor
rendimiento - Ofrece los 4GB de Direccionamiento virtual para
los procesos Large Memory Aware - Ejecuta aplicaciones de 64-bit
- 8 TB Espacio de direccionamiento virtual
- Reducción en el mapeo de memoria y de los fallos
de página en la mayoría de los casos - Facilita la migración a infraestructuras de
64-bit puras - Elimina la necesidad de complejos workarounds a
los límites de memoria de los 32-bit
32-bit Process Address Space (2GB) 64-bit Process
Address Space (8TB)
54Comparativa x86 x64
55Se ejecutará más rápidamente una aplicación en
64-bit?
- Quizás... Depende de muchos de factores
- Es la memoria un cuello de botella?
- Tiene la aplicación dependencia de la CPU?
- Hay punteros en el Working Set?
- Tiene la aplicación dependencia de las
instrucciones de la cache? - Hace mucho uso de operaciones de coma flotante?
- Usa la aplicación excepciones para control del
flujo?
56Rumbo a los 64-bit
- Migración del Hardware
- Migración del Sistema Operativo Drivers de
dispositivos - Migración de las aplicaciones
- Plataformas x64 o IA64 puras
32-bit
32-bit
Aplicaciones
32-bit
Itanium
x64
x64
32-bit
32-bit
x64
Itanium
x64
Windows Server
32-bit
x64
Itanium
x64
32-bit
Drivers
x64
x64
Itanium
x64
32-bit
Hardware
Pila 32-bit pura
Pila 64-bit pura
57Soporte a aplicaciones de 32-bit
Ejecución directa en x64
32-bit convertidos a 64-bit por la Execution
layer en IA64
32-bit Application
64-bit Application
32-bit Application
64-bit Application
Windows 32-bit
Windows 32-bit
Windows 64-bit
Exec. Layer
Windows 64-bit
- Aplicaciones que usan instaladores de 16-bit
- Windows x64 no ejecuta código de 16-bit
- Detecta muchos instaladores de 16-bit y de forma
transparente instancia una versión de 32-bit - Windows x64 soporta código de 32-bit vía Windows
on Windows 64 (WOW64) - La mayor parte de las aplicaciones de 32-bit
funcionan normalmente
58Que es WoW64?
- Capa de emulación de aplicaciones Windows de
32-bit en Windows 64-bit (x64) - Windows instala archivos de sistema de 64-bit y
32-bit - Los archivos del sistema de 32-bit se copian a
windir\sysWoW64 - Se crea SystemDrive\Program Files (x86) para
aplicaciones de 32-bit - Las variables de entorno se duplican
- ProgramFiles y ProgramFiles(x86)
- CommonProgramFiles y CommonProgramFiles(x86)
- Ciertas partes del registro están separadas en
dos vistas 64-bit y WoW64 para la vista de
32-bit. - HKEY_LOCAL_MACHINE\Software
- HKEY_CLASSES_ROOT
- Por Compatibilidad y porque se ofrece una
ejecución más segura para ambos tipos de
aplicaciones (p.e. un valor del registro que da
el path a una DLL - Se duplican ciertas ramas y valores del registro
en tiempo real entre las vistas de 32-bit y
64-bit - HKEY_LOCAL_MACHINE\Software\Classes
- HKEY_LOCAL_MACHINE\Software\Ole
- HKEY_LOCAL_MACHINE\Software\Rpc
- HKEY_LOCAL_MACHINE\Software\COM3
- HKEY_LOCAL_MACHINE\Software\EventSystem
59Seguridad
- Los procesadores x64 soportan el No Execution
(AMD) o Execute Disable bit (Intel) que
controla las áreas de memoria que pueden ser
utilizadas para ejecutar código. - Data Execution Prevention evita la propagación
de gusanos y malware que utilicen
vulnerabilidades del tipo desbordamiento de
buffer. - DEP habilitado por defecto en el sistema
operativo para sistemas x64 - Controlable a través de /NOEXECUTE en BOOT.INI
(AlwaysOn, AlwaysOff, OptIn, OptOut)
60Para qué utilizar Servidores x64
Database Especialmente OLTP, OLAP, Data
Warehouse, Business Intelligence
Business Applications Especialmente ERP, SCM,
CRM, y LOB a medida
Terminal Services Especialmente Aplicaciones
cliente de 32-bit
Technical Computing Especialmente Compute
Clusters
Active Directory Especialmente si ntds.dit es
mayor de 2 GB
Web Serving (IIS 6.0) Mejora la fiabilidad
reduciendo el reciclaje de la cache
61Windows x64 Una idea de lo que puede suponer la
mejora
62REFERENCIAS
- Microsoft Windows Internals (Fourth Edition)
- Mark Russinovich David Solomon
- Incluido en el Resource Kit de Windows Server
2003 - http//www.microsoft.com/whdc/system/platform/64bi
t/default.mspx - http//www.microsoft.com/windowsserversystem/64bit
/default.mspx - http//www.microsoft.com/windowsserver2003/64bit/x
64/overview.mspx - Resource and Memory Management Technologies (en
el Windows Server System TechCenter) - http//technet2.microsoft.com/WindowsServer/en/Lib
rary/ed991fce-6a5d-45cb-9ab6-93c1198bffae1033.mspx
63Virtual Server 2005 R2
David Cervigón Luna Microsoft IT Pro
Evangelist davidce_at_microsoft.com http//blogs.tech
net.com/davidcervigon
Jose Parada Gimeno Microsoft IT Pro
Evangelist jparada_at_microsoft.com http//blogs.tech
net.com/padreparada
64Microsoft Virtual Server 2005 R2
- Gestionar los recursos de hardware de manera
eficiente y flexible optimizado mediante Virtual
Server con soporte de Clustering y x64
- Prueba y desarrollo
- Consolidación/automatización en una granja de
servidores gestionada centralmente - Simulación de aplicaciones distribuidas en un
único servidor - Permite a los alumnos tener su propia
infraestructura de red sin añadir complejidad de
gestión al profesor
- Migración y consolidación
- Aplicaciones antiguas o a medida
- Disponer de las últimas tecnologías Hardware en
sistemas operativos no soportados de forma nativa - Consolidar servidores departamentales o
delegaciones - Recuperación frente a desastres
65Flexibilidad en Licencias para Servidores
Virtuales
1 instalación 1 licencia
Servidores (o dispositivos)
Múltiples instancias por dispositivo
SAN o servidor de archivo con múltiples imágenes
66Management Pack de VS para MOM
Muestra todos los hosts, diferenciando máquinas
físicas y virtuales
Genera scripts que aprovechan la API COM para
automatizar tareas
Control muy granular sobre las máquinas virtuales
(guests)
Panel unificado de MOM 2005 para gestionar
servidores físicos de máquinas virtuales
Asociacion de VMs a hosts con información de la
salud del servidor
- Gestión uno-a-muchos de hosts y máquinas
virtuales (guests) - Monitorización de salud y cambios de
configuración - Automatización en circuito cerrado mediante
scripting y API COM
67DEMOVirtual Server 2005 R2 para x64
- Aprovechamiento de la infraestructura de 64-bit
- Clusterización de una máquina virtual
68SUSCRIPCIÓN TECHNET EN CD o DVD
http//www.microsoft.com/spain/technet/recursos/cd
/default.mspx
69Optimización para la Gestión del Almacenamiento y
las Oficinas Remotas
David Cervigón LunaMicrosoft IT Pro
Evangelistdavidce_at_microsoft.comhttp//blogs.tech
net.com/davidcervigonhttp//blogs.technet.com/win
dowsvista
70Retos de los escenarios de Delegaciones Remotas
71La WAN
- Bajo ancho de banda y alta latencia
- Puedes comprar ancho de banda, pero no bajar la
latencia. - Los gastos de mantenimiento son un buen
porcentaje de los gastos de IT - Existen protocolos optimizados para su uso en LAN
- BITS, Http, Modo Cache de Exchange...
- Pero muchos otros todavía no son eficientes en
este escenario - Archivos Muchos tráfico de ida y vuelta
- A las aplicaciones les gusta mirar dentro de los
archivos - SMB/CIFS son charlatanes
- Las shells agravan la situación
- Impresión Los datos renderizados viajan hasta el
servidor donde esta la impresora. - Autenticación latencia cuando se realiza a
través de la WAN
72La Administración
- Administración en las Delegaciones
- Pocos Administradores o incluso ninguno.
- Se reúnen múltiples roles en la misma persona
- Las copias de seguridad obtenidas por usuarios
normales son caras y poco fiables. - Límites de la delegación de permisos difíciles de
mantener - Administración en los sitios centrales
- Los administradores de las oficinas remotas están
en los sitios centrales, trabajando remotamente. - En ocasiones incluso las grandes sedes se tratan
como oficinas remotas. - Administradores que trabajan 24x7 en modelos de
follow the sun - Se necesitan herramientas de administración que
- Sean escalables.
- Sirvan para manejar muchos servidores, cada uno
de ellos con muchos roles simultáneos. - Los empleados en las delegaciones deben ser tan
productivos (o más) como los de las oficinas
centrales.
73DFS en Windows Server 2003 R2
74Que es DFS? (1)
75Que es DFS? (2)
76Espacio de Nombres DFS
- Raíz
- De dominio \\empresa.es\publico
- Stand-Alone \\Srv-Datos-01\publico
- Carpeta
- Ej \\empresa.es\publico\aplicaciones
- Destinos
- \\server1\aplicaciones
- \\server2\aplicaciones
77Espacios de Nombres DFS en R2
- Windows Server 2003
- Las referencias pueden ser ordenadas por
proximidad al sitio (Site costing). - Los servidores DFS pueden albergar raíces de
múltiples espacios de nombres DFS. - Los servidores DFS pueden albergar la raíz para
antiguos servidores de ficheros UNC - Interceptan antiguos \\servidor\recurso como
nuevas raíces DFS - Configurado usando el File Server Migration
Toolkit - Windows Server R2
- Mejor administración
- Renombrado de enlaces
- Delegación implementada en la consola
- Menos conceptos que recordar para el usuario
- Posibilidad de definir prioridades en los
destinos de carpetas en los sites (servidores
preferidos) - Evita failovers entre delegaciones remotas
- Mejor control sobre el failback de los clientes
78Replicación DFS en R2
- La Replicación DFS es se basa en una tecnología
de replicación de ficheros que junto con los
Espacios de Nombres ofrece un sistema de archivos
distribuidos, de alta disponibilidad, optimizado
para la WAN - Reemplaza(rá) a FRS
- Re-diseñado completamente de cara a una mejor
disponibilidad y rendimiento. - Incluye nuevas características de administración
- Consola MMC, configurado vía AD, chequeo de salud
y monitorización vía proveedor WMI, capacidades
de informes y diagnosis, MOM pack. - Utiliza Remote Differential Compression para
enviar solamente los cambios realizados en los
archivos
79Ejemplo de RDC
Cliente
Servidor
Archivo Actualizado
Archivo Original
Petición de archivo
SHA121 SHA125
usa recursividad
Recoge los nuevos trozos 3, 4
No ha mucho que vivía un
hidalgo de los
80Factores de reducción del ancho de banda
RDC vs. Transferencia completa del archivo
450
409
400
350
292
300
250
200
150
92
100
41
31
30
50
17
15
13
3
0
.DOC 489 K
.DOC 2.6 M
.MPP 241K
.PPT 594K
.XLS 2.4M
.ZIP 348K
.HTM 425K
.PPT 3.9M
.PST 293M
.VSD 318 K
81Resumen de características de la Replicación DFS
82Administración de DFS
- MMC 3.0
- Vista jerárquica del Espacio de Nombres
- Permite operaciones de drag drop, mover y
renombrar. - Delegación Administrativa
- Línea de comandos para usarla en scripts
- WMI para Configuración y Monitorización
- Informes de salud y eficiencia
- MOM 2005 Management Pack
83Herramientas
84Escenarios Colección de datos
Servidor en Central
Replicación DFS
Espacio de Nombres DFS
X
Servidor en Delegación
Usuario en Delegación
85Escenarios Publicación de contenido
Usuario en Delegación
Servidor en Delegación
Replicación DFS
Servidor en Central
X
Espacio de Nombres DFS
Usuario en Delegación
Servidor en Delegación
86Escenarios Documentos para usuarios móviles
Servidor en Delegación
Replicación DFS
Servidor en Central
Espacio de nombres DFS
Servidor en Delegación
87Escenarios mixtos con topologías complejas
Madrid-Hub-1
Barna-Hub-2
Barna-Hub-1
Madrid-Hub-2
Sevilla
Vigo
Bilbao
Teruel
Zaragoza
Valencia
Palma
88DEMO DFS-N y DFS-R
\\empresa.es
\\empresa.es\Publico
\\empresa.es\Publico\Aplicaciones
\\empresa.es\Publico\Datos
\\empresa.es\Publico\Datos\Delegacion1
89Gestión de la Impresión
90Retos en la gestión de la impresión en
delegaciones remotas
- Algunos estudios indican que el 22 de los
servidores de impresión se localizan en
delegaciones (cuenta a equipos cliente actuando
como tales?) - Necesitan estar en las delegaciones para evitar
que el tráfico asociado a la impresión no vaya y
vuelva del sitio central - Falta de una herramienta 1muchos para la gestión
de impresoras. Los administradores manejan cada
servidor remoto de forma individual - Instalar una impresora, puerto de impresión o
formulario en un servidor remoto se convierte en
una tarea tediosa - Desplegar las impresoras agregadas a los clientes
es complicado y más tedioso todavía
91Consola de Administración de Impresoras (PMC)
- Basada en MMC 3.0
- Gestión unificada y escalable de los servidores
de impresión. - Creación remota de impresoras
- No más Terminal Server
- No más Printui.dll (ver rundll32
printui.dll,PrintUIEntry /?) - Despliegue inmediato de las impresoras instaladas
por GPOs
92Despliegue a los clientes (1)
- Utiliza GPOs (por OUs, con ACLs, filtros WMI,
etc) - Conexión de las impresoras por
- Máquina Para equipos compartidos
- Usuario. La impresora persigue al usuario
- Requiere la actualización del esquema de R2
- Crea un nuevo objeto para almacenar los datos de
conexión msPrint-ConnectionPolicy - Los objetos se crean en
- CNSystem,CNPolicies,CNGPO,CNMachine,CNPushe
dPrinterConnections - CNSystem,CNPolicies,CNGPO,CNUser,CNPushedPr
interConnections
93Despliegue a los clientes (2)
- Desplegar pushprinterconnections.exe a los
equipos cliente - Esta utilidad lee la GPO que aplican al usuario o
equipo (solo para XP) - Compara la lista de conexiones de impresoras de
la GPO con la lista de las conexiones
administradas del equipo - Agrega o elimina las conexiones necesarias
- Parámetro log para resolución de problemas
- Mejor manera de desplegar la herramienta es por
políticas - Logon Scripts de usuario o de equipo, según
aplique - Recomendable usar la misma GPO que para la
impresora
94DEMO Gestión de la Impresión en R2
95Gestión del Almacenamiento
- Las necesidades
- File Server Resource Manager (FSRM)
- Storage Manager for SANs (SMFS)
96El reto del almacenamiento
- Suele crecer entre el 60 - 100 cada año
- A veces de forma caótica
- Quien puede almacenar donde ? Permisos
- Cuanto puede almacenar quien ? Cuotas NTFS
- Que podemos almacenar donde ? ?????
- Cuanto podemos almacenar donde ? ?????
- El coste de gestionarlo es 10 veces superior a
coste del almacenamiento en si - Parte clave de soluciones de alta disponibilidad.
97Gestión de cuotas en R2
- Limitan el tamaño de un árbol de directorios o de
un volumen - Aplican a todos los archivos de usuarios en la
carpeta. - Los límites pueden ser
- Duro o Cuota máxima Se evita el
almacenamiento del archivo - Blando o Cuota de Advertencia Para control
- Interoperabilidad con el sistema de archivos
- Solo se soportan volúmenes NTFS
- Seguimiento del uso en tiempo real. Cuando de
alcanza el límite máximo se produce un error de
E/S - Solo se monitorizan los volúmenes con cuotas
configuradas - El uso de la cuota se contabiliza basándose en el
tamaño ocupado en disco. - Soporte de ficheros especiales
- Comprimidos, sparse, named streams, hard links,
reparse points - Múltiples umbrales de notificación configurables
según el nivel de uso de la cuota - Configuración del volumen auto-consistente (la
configuración viaja con el volumen) - Soporte de cluster
98Gestión de cuotas en R2 Por qué no las cuotas
de NTFS?
- Cuotas NTFS (desde Windows 2000)
- Por volumen
- Por usuario
- Basadas en tamaño lógico del fichero
- Lo que no permiten las cuotas NTFS
- Ceñirse a un directorio en particular
- Contabilidad basada en tamaño de disco
- Mecanismos de notificación más potentes.
99Filtrado de Archivos en R2
- Se aplica a volúmenes o árboles de directorios.
- Reglas de filtrado
- Basado en grupos de tipos ficheros
- Aplica a todos los archivos de usuarios en las
carpetas - La configuración del filtrado se puede almacenar
en una plantilla - Se soporta filtrado activo y pasivo
- Activo Se evita el almacenamiento del archivo
- Pasivo Para control
- Los eventos se almacenan en el las Auditorias en
el visor de sucesos - Mismo conjunto de notificaciones que para las
quotas
100Filtrado de Archivos en R2 (cont.)
- Interoperabilidad con el sistema de archivos
- Solo soportado en volúmenes NTFS
- Seguimiento del uso en tiempo real
- Solo se monitorizan los volúmenes en los que el
filtrado está habilitado - El filtrado se lleva a cabo basado en patrones de
ficheros (.mp3, FY04), no por contenido - Configuración del volumen auto-consistente (la
configuración viaja con el volumen) - Soporte de cluster
101Políticas de Filtrado
- Las configuraciones de filtrado se pueden anidar
- Semántica similar a la de los permisos en ACLs
Las subcarpetas heredan las políticas. - Excepciones de filtrado
- Permiten explícitamente que se almacenen archivos
cuyo patrón se ajuste a un grupo de tipos de
archivo. - Generalmente se configuran en una subcarpeta bajo
una política más restrictiva. - No se generan notificaciones cuando un fichero se
ajusta a grupo de tipos de archivos permitido.
102Informes de Almacenamiento
- Se generan por volumen o árboles de directorios
- Informes disponibles, algunos de ellos
parametrizables - Archivos duplicados
- Archivos grandes
- Usados / No usados
- Por grupo
- Por propietario
- Auditoria de filtrado de archivos
- Uso de quotas
- Se almacenan en Systemdrive\StorageReports
- Pueden enviarse por correo los administradores
que se definan - Formatos en DHTML, HTML, XML, CSV o TXT
- Se pueden programar una tarea para su ejecución
en el momento más adecuado, y agregar o quitar
informes a la tarea posteriormente
103Storage Management for SANs
- Las herramientas actuales son caras y complejas
- Los administradores tienen conocimientos
limitados en las tecnologías SAN - Ofrece una funcionalidad limitada de gestión de
SANs - Descubrimiento de dispositivos
- Creación de LUNs
- Aprovisionamiento del espacio
- Soporta Cluster
104SMFS Arquitectura
Storage Managerfor SANs
- Usa la API del Virtual Disk Service para manejar
el almacenamiento a través de diferentes
proveedores - Fibre Channel
- iSCSI
- PCI RAID (DAS)
- iSCSI y HBA API
- Multipath I/O (MPIO) para path management
- Proveedores proporcionados por el fabricante de
la solución
VDS
Proveedor
Proveedor
iSCSI
MPIO
HBAAPI
(Gestionado via VDS)
Hardware de Almacenamiento
105Windows Storage Server 2003 R2
- Solución NAS, hasta 60TB
- Servidor de archivos e Impresoras optimizado
- Diseñado para mayor fiabilidad, fácil integración
y precio competitivo - Adquirible a través de OEMs
- Incluye las mejoras de Windows Server 2003 SP1,
así como soporte para Exchange Server 2003 - Optimización para servidor de archivos por
defecto - Virtual Disk Service 1.1 (hot-fix post-SP1)
- Al llevar R2 ya incluye
- SMFS
- FSRM
- DFS
- Print Management Console
- NFS
- Soporte de SIS (Single Instance Storage)
- Soporte de Full-text search para archivos de
Microsoft y de terceros - Hasta 3-4 millones de archivos
106DEMO Cuotas, Filtros e Informes de
Almacenamiento
107RECURSOS
- http//www.microsoft.com/windowsserver2003/default
.mspx - R2 Product Help en el TechCenter de Windows
Server 2003 - Windows Server 2003 R2 Overview and Reviewer
Guide - http//www.microsoft.com/windowsserversystem/wss20
03/techinfo/plandeploy/default.mspx - http//www.microsoft.com/windowsserversystem/stora
ge/simplesan.mspx
108Servicios de Interoperabilidad con UNIX
David Cervigón LunaMicrosoft IT Pro
Evangelistdavidce_at_microsoft.comhttp//blogs.tech
net.com/davidcervigonChema AlonsoInformática64M
S MVP Windows Securitychema_at_informatica64.com
109Agenda
- Servicios de Interoperabilidad con UNIX
- Utilidades y SDK para aplicaciones basadas en
UNIX - Gestión de Identidades para UNIX
- Servicios NFS
- Integración de UNIX en el Directorio Activo
- Subsistema para Aplicaciones UNIX (SUA)
- Interix
110Necesidades
- Entornos de trabajo heterogéneo
- Distintas arquitecturas
- Dependientes de aplicaciones
- Distintos servicios para mismas funciones
- Compartición de recursos
- Gestión de identidades
- Herramientas de administración diferentes
- Gestión
- Monitorización
111Características
- Sincronización de Contraseñas
- Servidor NIS
- Cliente y Servidor NFS
- Interix Subsistema para Aplicaciones UNIX (SUA)
- Mapeo de Usuarios
- No incluye todos los servicios SFU 3.5
- NFS Gateway
- GNU Interix SDK
- FreeBSD utilities
112NIS
- Network Information Services (YP)
- Ofrece una base de datos centralizada de
información - Compartición de ficheros (mapas) de configuración
- Soporta arquitectura maestro/esclavos
- NIS expande características de NIS
- No servidor NIS en Linux
113Gestión de Identidades
- Sincronización de Contraseñas
- Sincronización en dos sentidos
- UNIX -gt Windows
- Windows -gt UNIX
- Integración de Windows Directory Services y NIS
- AD como servidor NIS master
- Clientes pueden acceder a AD NIS con LDAP
- NIS/AD migration
114Demo
- Servidor NIS
- Sincronización de Contraseñas
115Integración de Unix/Linux en Directorio Activo
con Vintela Authentication Services
Carles MartinSales Consultant QUEST
SOFTWAREcarles.martin_at_quest.comhttp//www.quest.
com
116Integración Unix/Linux
- Entorno Heterogéneo
- Windows debe convivir con otros sistemas que
disponen de un mecanismo de autenticación propio
y una gestión de usuarios independiente - En el otro lado encontramos habitualmente
117Vintela Authentication Services (VAS)
- Integración nativa de Unix y Linux en AD
- Proporciona single sing-on basado en AD para
sistemas heterogéneos (Unix y Linux) - Seguridad en la Autenticación (LDAP/Kerberos)
- Integración, no sincronización, entre plataformas
- Todas las credenciales residen en AD
- Puede reemplazar a NIS y /etc/passwd
- Atributos de esquema en RFC 2307
- Extensión del esquema para Windows 2000 y 2003
- Extensión NO necesaria en Windows Server 2003 R2
- Soporte multi-plataforma
- HP-UX, IBM AIX, Sun Solaris, RedHat, SuSE
118Arquitectura y componentes VAS
vastool (joins domain, etc.)
Unix Host
Users Cache
vascd
Kerberos/LDAP
IPC
IPC
NSS
NIS Server
PAM
nss_vas.so
pam_vas.so
Kerberos
nss_nis.so
pam_unix.so
/etc/group
nss_files.so
/etc/passwd
Login Application (dtlogin, sshd, telnetd, etc)
119DEMO Vintela Authentication Services
120Sumario
- Beneficios de la Integración Unix/Linux
- Reducir la complejidad en la gestión de usuarios
- Aumentar la seguridad
- Disminuir costes de operaciones
- Otras soluciones complementarias
- Vintela Management Extensions (VMX)
- SMS (System Management Server) para Unix, Linux
y Mac - Vintela Systems Monitor (VSM)
- MOM (Microsoft Operations Manager) para Unix,
Linux y Mac
121Network File Services
- Servicio de compartición de ficheros e impresoras
a través de red - Utilizado tradicionalmente en sistemas UNIX
- Arquitectura Cliente/Servidor
122Microsoft Services para NFS
- Compartición de ficheros interoperable
- Servidor NFS
- Cliente NFS
- Herramienta de administración NFS
- Soporta características de Microsoft Windows 2003
- Volume Shadowcopy Services
- Cluster awareness
- Dynamic performance tuning
- Permissions translation
123Microsoft Services para NFS
- Cliente NFS
- Opción de case sensitive
- Uso de caché en cliente
- Soporte para múltiples juegos de caracteres
- Optimizado
- Mapeo de Cuentas
- Asocia cuentas Windows a cuentas UNIX
- Uno a Uno o Uno a Varios
- Acceso a recursos entre plataformas
124Demo
125Subsistema para Aplicaciones UNIX
- Compila y ejecuta de forma nativa aplicaciones
UNIX y scripts sobre Windows 2003 Server R2 - Interix
- Nuevas características respecto SFU 3.5
- Conectividad OCI y ODBC
- Integrado en Visual Studio VS Debugger Extension
- Soporte de aplicaciones de 64-bits
126Arquitectura
127Demo
128RECURSOS
- http//www.microsoft.com/windowsserver2003/default
.mspx - R2 Product Help en el TechCenter de Windows
Server 2003 - Windows Server 2003 R2 Overview and Reviewer
Guide - http//www.microsoft.com/windowsserversystem/wss20
03/techinfo/plandeploy/default.mspx - http//www.microsoft.com/windowsserversystem/stora
ge/simplesan.mspx
129Web MVPs
130Grupos Reducidos de 10 a 15 asistentes. Cada
asistente tiene un escenario virtualizado para
ejecución de laboratorios. Un técnico por grupo
imparte explicaciones teóricas y plantea y
resuelve las practicas con los asistentes al
mismo tiempo que resuelve dudas. 6 horas de
duración cada uno y 24 horas los seminarios de
Contramedidas Hacker.