Mes: diciembre 2011

Copia de seguridad y Restauración.

Los accidentes ocurren. Hay multitud de escenarios en los que los datos se pueden perder, borrar, infectar o corromper, ya sea porque un usuario borre accidentalmente un archivo del disco, falle un disco duro o falle el propio sistema operativo. También podemos pensar que la naturaleza a veces nos aguarda con tristes desastres.

Ha llegado la hora de saber cómo resguardar esos datos y poder recuperarlos posteriormente.

Entender la terminología: Copia de seguridad y Recuperación.

Al trabajar con estas tecnologías en Windows Server 2008 R2 ® o en un entorno Windows, necesitamos aprender el argot utilizado por el propio Sistema.

Copia de seguridad normal o completa: Las copias de seguridad normales o completas son las más lentas en terminar el proceso de copia. El tiempo vendrá determinado por la cantidad de datos. Aunque, si podemos hacerla cada noche y fuera de horario de trabajo sería el camino ideal para la protección del sistema. Es la opción predeterminada de Windows Server Backup.

Copia de seguridad incremental: Las copias de seguridad incrementales son las más rápidas en realizar el proceso de copia, ya que éste tipo sigue sólo los cambios en los datos desde la última copia, de cualquier tipo. Este tipo determina también el cómo trabajará tú proceso de recuperación. Cuando quieras recuperar datos, primero necesitarás restaurar la última copia de seguridad normal, seguida de todas las copias incrementales en orden. Este método produce también un impacto en el rendimiento de los servidores.

Estado del sistema: Estado del sistema contiene la mayor parte de la información de configuración del sistema. No toda la necesaria, así que debemos utilizarla junto a una copia de seguridad normal. Los Roles que estén instalados determinarán la copia del estado del sistema también.

Copia desde-cero (Bare-metal): Este tipo de copia nos permite recuperar un servidor desde una imagen creada previamente (y sin tener que instalar un sistema antes). Esto nos permite la recuperación de un servidor que de otra manera y debido a errores que una copia de seguridad normal no puede arreglar, sería inoperable. Digamos que esta recuperación es uno de los últimos cartuchos de recuperación de un sistema roto.

Instantáneas (Shadow copy): Una copia hecha en un momento concreto de datos que normalmente están compartidos. Proporciona a los usuarios un método self-service de recuperación de archivos que hayan sido borrados o sobreescritos accidentalmente.

Servicio de instantáneas de volumen (VSS): Servicio maestro dentro de Windows Server 2008 R2 que dirige la mayor parte de la infraestructura de copias de seguridad. Proporciona la capacidad de crear instantáneas.

Las herramientas

Tres son las que nos permiten acceder al juego de aplicaciones de copia de seguridad y recuperación en Windows Server 2008 R2®. Tenemos a Windows Server Backup, una herramienta totalmente funcional con interfaz a wbadmin.exe, una herramienta en símbolo del sistema, y finalmente nuestro querido PowerShell, con el que podemos llevar a cabo estas tareas.

Asegúremonos que tenemos las herramientas en nuestro servidor. De hecho la característica no está instalada de forma predeterminada, con lo cual si intentamos ejecutarla recibiremos un mensajito similar a:

copiasseg01

Así que hemos de instalarla por nuestra cuenta.

Desde el administrador del servidor elegimos características, del panel agregar características.

copseg02

Bajamos hasta Características de copias de seguridad de Windows Server.

copseg04

Puede que al marcar cualquiera de las dos opciones se nos solicite agregar, pincharemos en el botón de Agregar características requeridas.

copseg03

Pinchamos en siguiente y seguimos el asistente.

copseg05

copseg06

Ahora ya si tenemos la posibilidad de ejecutar la herramienta gráfica:

copseg07

PowerShell y las GPO

Con Active Directory desplegado en nuestra entorno deberíamos ser capaces de controlar la seguridad, administración y el acceso a los recursos desde una ubicación centralizada. Y además administrar y controlar los escritorios!

Cómo hemos ido viendo en multitud de ocasiones, AD tiene una herramienta… Group Policy (Directiva de grupo), para centralizar los escritorios. Con ella podemos administrar virtualmente todo en los sistemas de nuestro entorno, desde el fondo del escritorio hasta qué aplicaciones pueden ejecutarse. Incluyendo no sólo los escritorios cliente sino también los servidores.

Directiva de grupo nos permite obligar el cumplimiento de nuestras políticas, implementar cualquier configuración de seguridad que queramos e, implementar un entorno estándar a través de todo el Directorio Activo.

Con un entorno estándar proporcionamos una base consistente y además aligerar las llamadas de soporte al departamento. Antes de ver como podemos trabajar con Poweshell y GP, repasemos algunas cuestiones básicas:

Conocer sobre:

DESCRIPCIÓN
GPMC
Consola administración Directivas		 Interfaz principal, aquí creamos los GPOs. Definimos a qué se aplicarán los enlaces creados. Disponemos de tres ámbitos o alcances: Sites, Dominios y OUs.
GPO
Objeto de Directiva de Grupo		 Objeto que contiene la configuración que queremos aplicar a usuarios y/o equipos. Se enlazan a OUs.
Enlace de Directiva de Grupo Enlaza un GPO a la parte del entorno AD al qué queremos que se le aplique. Conocido como ámbito o alcance: Sites, Dominios y OUs.
Archivo ADMX Archivo de plantilla administrativa, define la ubicación de la configuración y valores en el sistema local, y crea el interfaz que usamos para modificar dicha configuración/valores desde el Editor de Directivas de grupo, que no es más que un GUI de administración de las mismas.
Preferencias de Directiva de Grupo Proporciona alternativas para trabajar con imágenes en toda la organización y así administrar configuraciones que no son fáciles desde la Directiva de Grupo. Esta configuración, inicialmente establecida por el administrador, refleja un estado del sistema predeterminado y que no es obligatorio.
RSoP Conjunto de configuraciones de directiva aplicadas después del completo proceso de las mismas. Puede ser una combinación de muchos niveles de Directivas.

En cuanto a los ámbitos o alcance hemos de tener en cuenta qué:

El ámbito más grande es el SITE y aquí se ven afectados todos los dominios y objetos que contenga.

En el DOMINIO se verán afectados todos los objetos contenidos en él.

En las OU, todos los objetos que contengan, así como los sucesivos anidamientos de OUs y sus objetos.

El uso de unos u otros se determina por las necesidades, si bien hay algunas recomendaciones al efecto:

Configuración de seguridad de red o IPSec, a nivel de SITE.

Contraseñas y resto de valores de seguridad, DOMINIO.

Aplicación de Directivas de Grupo en las OU, es lo que más recomiendan, proporcionan facilidad de administración y localización de nuestras Directivas.

Administrar las Directivas de Grupo

Como otras herramientas, powershell ha dedicado un módulo para almacenar los cmdlets que podemos usar en la administración de Directivas de Grupo. Éste módulo no está disponible en todos los sistemas en los que Powershell está instalado. Sólo se encuentra en DCs, servidores miembros con GPMC instalada o Windows 7 con RSAT instaladas.

Para importar el módulo usamos el comando:

Import-Module grouppolicy

Aunque si lo intentamos en un equipo que no cumpla los requisitos recibiremos un mensajito…

importmodulegrouppolicyNO

Pero sigamos en uno que sí,

importmodulegrouppolicySI

Una vez importado podemos listar los cmdlets disponibles, Get-Command –module grouppolicy 

importmodulegrouppolicylist

El comando Get-GPO –All nos permite ver las GPO del dominio.

Establece un valor de Preferencia. Igual que el anterior, hay que conocer la ubicación en el Registro.

Cmdlet

Qué hace:
Get-GPO Lista las GPO en el Dominio, podemos listar una específicamente o todas.
New-GPO Crea una nueva GPO en el dominio.
New-GPLink Crea un nuevo vínculo de GPO hacia una GPO existente en el dominio.
Set-GPRegistryValue Establece un valor de directiva. Para que este cmdlet sea efectivo en la GPO, hay que conocer la ubicación de la misma en el Registro.
Set-GPPrefRegistryValue Establece un valor de Preferencia. Hay que conocer la ubicación en el Registro.

Ejemplos: Get-GPO –All

gpoAll

Podemos ver la configuración de una en particular, por ejemplo listamos las que hay en SySVol…

dirGPOSysVOL

Y con su GUID…

GPO-ID

Y con su nombre…

GPO-DisplayName

 

Carpetas: seguridad, acceso y replicación IV

Crear y configurar un DFS Namespace

Después de la instalación del role DFS podemos comenzar el proceso de creación del espacio de nombres DFS y configurar la raíz DFS.

  1. Abrimos el administrador del servidor
  2. Expandimos Roles
  3. Expandimos servicios de archivo
  4. Seleccionamos el elemento Administración DFS
  5. Clic derecho, Nuevo espacio de nombres
    namespace01
  6. Escribimos el nombre del servidor o lo buscamos mediante Examinar.
    namespace02
  7. Siguiente
  8. Le damos nombre al espacio de nombres. (es el que verán los usuarios)
    namespace03
  9. Podemos editar la configuración, sino Siguiente
    namespace03settings
  10. Ahora se nos pregunta el tipo de espacio de nombres, basado en dominio (que es el que voy a seguir haciendo) o independiente.
    namespace04
  11. Un resumen de todo lo elegido antes de darle el sí final.
    namespace05
  12. Creación del espacio de nombres.
    namespace06namespace07
  13. Ahora ya tenemos la raíz DFS.
    namespace08
  14. Desde aquí, con clic derecho sobre esta raíz añadiremos las carpetas y sus rutas correspondientes.
    namespace09namespace10