Con la entrada del nuevo sistema operativo de Microsoft, Windows Server 2016, nos iremos a encontrar con nuevas funcionalidades que seguramente nos permitirán como administradores tener una mejor gestión de nuestro entorno. En esta oportunidad hablaremos de las nuevas características en el rol de AD DS (Active Directory Domain Services) el cual viene con mayor seguridad y mejoras a nivel de administración.
En Windows Server 2016 veremos mejoras en la seguridad de Active Directory (Directorio Activo) y encontraremos herramientas que nos ayudarán a migrar nuestros datos a la nube, más concretamente a la plataforma Windows Azure.
El proceso de instalación del rol de Directorio Activo no cambia en nada respecto a Windows Server 2012 por lo cual no explicaremos el proceso para instalar dicho rol.
Algunas de las características que sobresalen en Windows Server 2016 son las siguientes:
Esta nueva característica en Windows Server 2016, llamada PAM, ayuda a mejorar la seguridad en todo lo relacionado al Directorio Activo en el ámbito de credenciales no autorizadas de acceso y otros tipos de ataques de acceso. Esta nueva característica es gestionada a través de MIM (Microsoft Identity Manager).
El MIM introduce nuevas funciones como:
- Un nuevo bosque que es gestionado por MIM y éste brinda un nuevo ambiente en el Directorio Activo libre de cualquier software malicioso.
- Nuevos procesos en MIM para requerir accesos privilegiados.
- Ahora es posible añadir un usuario a un grupo que tiene un límite determinado de tiempo y luego expira. La duración se expresa en TTL (Time To Life).
- Mejoras en los KDC (Key Distribution Center) los cuales están integrados en los controladores de dominio de Active Directory.
Para implementar MIM debemos realizar una serie de cmdlets en Powershell, para más información acerca de cómo instalar por favor visite este sitio web de Microsoft:
Como hemos visto, la nueva tendencia de la tecnología es tener la infraestructura en la nube y con Windows Server 2012 no es la excepción, ya que se incluye esta nueva característica de integración.
Las ventajas que tenemos como administradores usando Azure son las siguientes:
Para aquellos desarrolladores se implementan una gran cantidad de útiles aplicaciones.
Imaging, esta opción permite compartir imágenes con diversos usuarios.
¿Cómo usamos Azure con Windows Server 2016?
Para vincular nuestro sistema Windows Server 2016 debemos tener nuestra cuenta activa en Azure.
Una vez entremos en nuestra plataforma de Azure podremos ver las diferentes opciones de gestión, allí iremos a buscar nuestra opción de Directorio Activo de Azure (AD Azure).
[color=#a9a9a9]Pulsa la imagen para ampliarla[/color]
Para ello daremos clic en +Nuevo, seleccionaremos la opción Seguridad e Identidad y allí elegiremos Active Directory.
[color=#a9a9a9]Pulsa la imagen para ampliarla[/color]
Una vez seleccionemos la opción Active Directory se abrirá una nueva ventana donde debemos ingresar la información de nuestro directorio activo.
[color=#a9a9a9]Pulsa la imagen para ampliarla[/color]
Ya vemos cómo hemos creado nuestro Directorio Activo en Azure y desde allí podremos gestionar todo lo relativo al Directorio Activo de nuestro servidor asociando el servidor físico a Azure usando la opción Conectar este servidor a servicios de nube ubicado en el menú de inicio rápido.
De esta manera podremos vincular nuestra infraestructura física a la nube (Un datacenter de Microsoft ubicado en cualquiera de las regiones disponibles a nivel mundial).
Es una nueva característica de Microsoft a nivel de seguridad, la cual nos permite establecer parámetros de acceso sin necesidad de contraseñas, esto con el fin de mejorar los niveles de acceso a la plataforma. Esta característica tiene con fin prevenir el robo de identidad, la violación de la privacidad y el acceso no autorizado.
Passport permite loguear al usuario no sólo en Windows Server sino también en el AD Azure. Passport está configurado en el dispositivo del usuario el cual puede iniciar sesión a través de un gesto o estableciendo un Pin de acceso y Windows se encarga de validar dicha información y permitir o no su acceso al sistema.
Vale la pena recordar que la clave priva sólo estará disponible a través de un “gesto” del usuario ya sea un pin, biometría o algún dispositivo, como una tarjeta inteligente, con la cual el usuario inicie sesión.
La pregunta que nos puede surgir es porqué las empresas u organizaciones pueden implementar Passport, las respuestas que pueden brindar un respaldo son:
- Establecer Microsoft Passport como una opción de hardware.
- Definir el largo y la complejidad del PIN y verificar si el uso del gesto “Hola” está habilitado en la organización.
- Configurar Passport para soportar entornos que requieran el uso de tarjeta inteligentes.
El funcionamiento de Microsoft Passport es el siguiente:
- Las claves o keys son generadas en el software de TPM (Trusted Platform Module). TPM 1.2 o 2.0 genera las claves correspondientes.
- El TPM valida las respectivas claves para generar el acceso.
- Solo un gesto de desbloqueo puede desbloquear, valga la redundancia, el dispositivo. Este gesto le permite al usuario tener acceso a múltiples aplicaciones.
Existen ciertos requerimientos para la implementación de TPM, estos son dichos requisitos:
- A nivel empresarial, tener una cuenta activa de Azure
- A nivel de usuario, el host debe correr Windows 10 Enterprise o Professional.
Para ejecutar TPM podemos ir ejecutar (Windows +R) y allí ingresamos tpm.msc, damos enter y se desplegará la siguiente ventana:
[color=#a9a9a9]Pulsa la imagen para ampliarla[/color]
Para activar TPM debemos activarlo desde la BIOS.
Como hemos observado tenemos mejoras en la nueva versión de Windows Server 2016 las cuales nos van a brindar mejoras en nuestra administración de la infraestructura. Si quieres conocer más novedades que nos brinda esta nueva versión de S.O, no te pierdas este otro artículo:
La mejor opción que me ha sorprendido para el nuevo Directorio Activo de Windows Server 2016 es la de Azure... se ve y mola que lo integren y puedas tener algunos servidores físicos y otros en la nube y sincronizados entre ellos.