1. Libros y videos
  2. Windows Server 2022
  3. Windows Server y Azure
Extrait - Windows Server 2022 Administración avanzada
Extractos del libro
Windows Server 2022 Administración avanzada
1 opinión
Volver a la página de compra del libro

Windows Server y Azure

Introducción

1. Caso de uso

Si utiliza una arquitectura local combinada con servicios en la nube, está hablando de una arquitectura híbrida. A lo largo de los años, Microsoft ha desarrollado muchas herramientas para implantar y gestionar estas arquitecturas híbridas. Obviamente, esto requiere conexiones seguras entre la empresa y la nube y aquí también hay una variedad de herramientas disponibles.

Ante todo, una arquitectura híbrida permite ampliar su infraestructura a la nube, lo que abre un sinfín de posibilidades, entre ellas:

  • gestionar los picos de actividad desplegando rápidamente recursos adicionales en la nube de Azure,

  • implantar soluciones de copia de seguridad para elementos críticos de la infraestructura de la empresa, como controladores de dominio o servidores de archivos, que permitan una recuperación rápida,

  • simplificar y proteger la gestión de la autenticación sincronizando las identidades entre Microsoft 365 y Active Directory,

  • supervisar y proteger los elementos de la infraestructura local mediante Azure,

  • crear entornos de prueba en la nube antes de implantar soluciones en la empresa,

  • almacenar y analizar los datos generados por las herramientas in situ mediante las soluciones Azure.

2. Medios de conexión

Para garantizar una comunicación segura entre la red física de la empresa y las redes virtuales de Azure, conocidas como VNet, en las que se despliegan los recursos de la nube, podemos elegir entre varias herramientas:

  • La pasarela Azure VPN, que establece una conexión VPN entre la nube y la empresa. Azure VPN puede gestionar conexiones a varios sitios físicos al mismo tiempo. También puede crear conexiones VPN entre diferentes cuentas de Azure.

  • Azure Express...

El trabajo práctico

El trabajo práctico que vamos a utilizar para implementar nuestra arquitectura híbrida, contendrá tres máquinas Windows Server 2022 y una máquina cliente Windows 10 u 11.

images/07EI01.PNG

Tendremos un controlador de dominio, dos servidores que se utilizarán para sincronizar directorios y una máquina cliente de prueba. Todas las máquinas están en el dominio cole.com.

Las máquinas utilizadas para la sincronización no tienen ningún rol instalado.

Sincronización de directorios

1. Conceptos básicos

La sincronización de directorios entre un Active Directory local y Entra ID, el directorio de servicios en la nube de Microsoft, se consigue mediante una aplicación que se debe descargar e instalar en un servidor miembro del dominio.

Durante la primera sincronización, se sincronizará todo el bosque de Active Directory. A continuación, podrá elegir qué unidades organizativas del bosque local desea sincronizar.

La aplicación Entra ID Connect no sólo garantizará la sincronización de los objetos locales de Active Directory, sino que también participará en el procesamiento de la autenticación cuando se conecte a los servicios en la nube de Microsoft 365.

Existen varios tipos de sincronización, que se pueden configurar en la aplicación Entra ID Connect:

  • PHS (Password Hash Synchronization). Se envía un hash de la contraseña del usuario Active Directory y se almacena en Entra ID. Este es el modo de sincronización por defecto. Con la sincronización PHS, es Entra ID el que realiza la identificación cuando se conecta a los servicios en la nube de Microsoft. Esto garantiza el acceso a los servicios en la nube incluso si falla la infraestructura local. Este es el modo de sincronización recomendado por Microsoft.

  • PTA (Pass-Through Authentication). Este modo de sincronización se debe configurar después de la sincronización inicial. Con la sincronización PTA, las solicitudes de conexión a los servicios en la nube se devuelven a Active Directory. Es posible dejar la sincronización PHS al mismo tiempo que la sincronización PTA, que se utilizará en caso de fallo de la infraestructura local.

  • ADFS (Active Directory Federation Services). Este modo de sincronización se basa en un rol de Windows Server: ADFS. Además del servidor de sincronización y del controlador de dominio, deberá añadir un servidor que implemente ADFS. También necesitará un servidor que tenga instalado el rol de proxy web. En este escenario, Active Directory es el que realiza la autenticación. La contribución del servidor de federación es centralizar las solicitudes de autenticación, incluso para las aplicaciones que no son de Microsoft. En este punto, las solicitudes...

Servidores con Azure Arc

1. Conceptos básicos

Azure Arc es una tecnología que permite vincular máquinas locales a la consola de administración de Azure y utilizar determinadas funciones de Azure con nuestras máquinas locales. Azure Arc es compatible con máquinas Windows Server y Linux, así como con entornos VMware vSphere. Azure Arc se puede instalar en máquinas físicas y virtuales. Azure Arc también se puede instalar en máquinas virtuales creadas por otros proveedores de servicios en la nube.

Esto funciona instalando un agente en las máquinas que actuará como enlace con Azure. Este agente se puede desplegar mediante scripts PowerShell proporcionados por Microsoft en la página de Azure dedicada a Azure Arc o a través de un instalador MSI disponible en el centro de descargas de Microsoft.

El agente también se puede desplegar con soluciones DevOps como Terraform o Ansible. 

Una vez instalado el agente, se creará un objeto de máquina híbrida en Azure para las máquinas locales y un objeto correspondiente en Entra ID.

Azure Arc ofrece distintas posibilidades:

  • Management: se pueden aplicar etiquetas, aplicar directivas de Azure e inventariar máquinas en Azure.

  • Protección: una máquina que ejecuta Azure Arc puede ser supervisada por Microsoft Defender for the Cloud y Microsoft Sentinel.

  • Monitorización: podemos utilizar Azure Monitor y Azure Logs Analytics para monitorizar una máquina Azure Arc.

  • Configuración: Azure Arc le permite gestionar actualizaciones mediante la funcionalidad de gestión de actualizaciones de Azure e implementar scripts PowerShell o Python mediante Azure Automation.

  • Gestión: las máquinas se pueden gestionar mediante Azure Arc desde el Windows Admin Center incluido en el portal Azure. También es posible desplegar SSH en máquinas Windows desde el portal de Azure.

2. Cómo funciona el agente

a. Requisitos previos de Windows Server

El agente Azure Arc, cuyo nombre completo es Azure Connected Machine agent, es compatible con todos los sistemas Windows Server desde Server 2012 hasta Windows Server 2022 inclusive.

Se admiten sistemas Core y GUI.

Se debe instalar .NET Framework 4.6 o posterior, junto con PowerShell 4.0 o posterior. Se requiere Windows management framework 5.1, con PowerShell DSC, WinRM y WMI. Estos...

Supervisión de infraestructuras

1. Monitor Azure

Azure Monitor es el servicio de monitorización de recursos incluido en Azure, que permite obtener y almacenar registros de eventos y contadores de rendimiento desde dentro de los recursos Azure.

Azure Monitor funciona con un agente, que se puede ejecutar tanto en máquinas virtuales Azure como en máquinas con Azure Arc. En el caso de las máquinas con Azure Arc, funciona y se instala como una extensión del agente de Azure Arc.

Los datos recopilados por Azure monitor se pueden enviar a varios lugares de Azure, pero se enviarán a un espacio denominado "log analytics workspace".

Hay que crear reglas para decidir qué tipo de datos se quieren recoger y adónde se deben enviar.

Hay muchas formas de visualizar los datos recopilados: puede crear alertas, cuadros de mando, utilizar Grafana y el servicio Logs Analytics de Azure, por nombrar sólo algunas. 

a. Instale la extensión Azure Monitor

Para poder utilizar los servicios de Azure Monitor en una máquina Azure Arc, necesitamos añadirle la extensión correspondiente.

 Escriba el nombre de la máquina en la búsqueda de Azure y haga clic en ella.

images/07EI78.PNG

 En la configuración de la máquina, vaya a Extensions y haga clic en Add.

images/07EI79.PNG

 Seleccione el agente de monitorización de Azure y haga clic en Next.

images/07EI80.PNG

 En la última página, si utiliza un proxy, haga clic en Review + create.

images/07EI81.PNG

 En la última página, haga clic en Create y comenzará el despliegue.

images/07EI82.PNG

b. Poner en práctica los insights

 En la página de la máquina, vaya a Monitoring y, a continuación, a Insights. En la página central, haga clic en Enable.

images/07EI83.PNG

 En la página siguiente, seleccione la suscripción. Se creará un espacio de trabajo de análisis de registros predeterminado. La configuración puede tardar 10 minutos.

images/07EI84.PNG

 Vaya a notificaciones para ver cómo avanza el despliegue.

images/07EI85.PNG

Puede volver a los insights de la máquina y en la pestaña Performance ya empiezan a llegar los datos.

images/07EI86.PNG

c. Creación de cuadros de mando

En la esquina superior...

Windows Admin Center

Windows Admin Center (WAC) es una aplicación gratuita de Microsoft diseñada para gestionar, tanto máquinas locales, como recursos en Azure. Como vimos en la sección anterior de este capítulo, se incluye en la consola de administración de Azure, a nivel de cada máquina.

Se puede desplegar in situ en una máquina Windows. Es una aplicación que ha evolucionado considerablemente con el tiempo y ahora ofrece una amplia gama de funciones, lo que la convierte en una solución completa para gestionar una infraestructura híbrida.

WAC puede tomar el control de máquinas de forma remota, enviar comandos PowerShell de forma remota, conectar máquinas con Azure Arc, administrar Active Directory, instalar Azure Monitor y mucho más.

Por tanto, Windows Admin Center puede administrar máquinas Windows Server desde 2012 hasta 2022, Windows 10 y 11, así como una gran cantidad de recursos de Azure, desde máquinas virtuales hasta almacenamiento y clústeres Kubernetes.

1. Instalar WAC

Windows Server es una aplicación que se puede instalar en una máquina, que actuará como portal, y a la que se podrán conectar el resto de máquinas. No es necesario instalar un agente, y las comunicaciones entre el conjunto de máquinas y el portal, se realizan mediante https.

Es posible instalar WAC en varios servidores y configurar un clúster de conmutación por error o un balanceo de carga de red. Uno de los tipos más comunes de despliegue es instalar WAC en una máquina que, a su vez, será gestionada desde WAC.

Para instalar el WAC, empiece por descargar el instalador de Microsoft en la dirección https://www.microsoft.com/en-us/windows-server/windows-admin-center

 Haga clic en Download Windows Admin Center, esto descargará el instalador en formato .msi.

images/07EI120.PNG

 Ejecute el instalador como administrador y acepte la licencia.

images/07EI121.PNG

 Deje la primera página con su configuración por defecto y, en la segunda página, especifique que el WAC debe ser actualizado por Windows Update.

images/07EI122.PNG

 En la página siguiente, deje las opciones por defecto....

Controladores de dominio en Azure

1. Conceptos básicos

Cuando una empresa tiene uno o más controladores de dominio en su infraestructura local, puede ser útil desplegar uno adicional en Azure.

El primer caso de uso que viene inmediatamente a la mente es la conmutación por error. Si no se puede acceder al controlador o controladores de dominio in situ, por ejemplo, si la red interna no funciona o el armario que contiene los servidores sufre un corte de energía, los clientes podrán seguir autenticándose con el controlador de dominio desplegado en Azure. Por supuesto, esto requiere conectividad de red, como una VPN de sitio a sitio o soluciones Azure como Express Route.

El otro caso de uso principal para un Active Directory en la nube, es autenticar recursos que también están en Azure, como bases de datos, otros servidores o aplicaciones. En este caso, el controlador de dominio en Azure puede ser independiente o formar parte del bosque local.

También puede aprovechar ciertas características de Azure, como el acceso condicional.

2. Consideraciones prácticas

a. Direcciones IP estáticas en Azure

Por defecto, la máquina virtual Azure dispone de una dirección IP dinámica, proporcionada por el DHCP de la red virtual en la que se encuentra, ya que todas las redes virtuales Azure disponen de un servicio DHCP integrado. Esta configuración se realiza a nivel del objeto adaptador de red de la máquina virtual Azure.

b. Roles FSMO y catálogo global

Si el controlador de dominio Azure está integrado en un bosque local, los roles FSMO no deben estar en la máquina ubicada en la nube. El rol maestro RID se puede colocar temporalmente en la máquina Azure mientras se resuelve cualquier problema con el controlador de dominio local.

Por otro lado, todos los controladores de dominio en Azure deben tener una copia del catálogo global. En cualquier caso, así lo recomienda Microsoft.

c. Ubicación de la base de datos de Active Directory

La base de datos Active Directory NTDS.dit, la carpeta SYSVOL y los registros no deben estar en el mismo disco que el sistema en una máquina Azure. Esto plantea problemas de consistencia de datos porque los discos del sistema son gestionados de una manera especial por Azure. El disco añadido a la máquina Azure para alojar la base de datos Active Directory...

Azure File Sync

1. Introducción

Azure File sync es una característica de Azure que sincroniza datos entre una carpeta compartida en Azure y una carpeta en un servidor Windows local. Azure File Sync tiene varias características que la convierten en una extensión interesante para un servidor de archivos local.

Azure File Sync está diseñado para trabajar con datos no estructurados, es decir, archivos como Word, PDF, Excel, VHDX, etc.

Para utilizar Azure File Sync, necesita una cuenta de almacenamiento Azure con, al menos, un recurso compartido Azure File. El servicio Azure File Sync es un servicio independiente del recurso compartido. También necesitará un grupo de sincronización, que sigue siendo un objeto independiente en Azure. La carpeta compartida de Azure, el grupo de replicación y el servicio Azure File Sync deben estar en la misma región y en la misma suscripción de Azure.

Será necesario desplegar un agente en el servidor de archivos in situ. Los volúmenes utilizados en el servidor in situ pueden estar formateados en NTFS o ReFS.

Aunque es posible sincronizar varias carpetas repartidas en varios servidores in situ con un único servicio Azure File Sync, un servidor solo puede sincronizarse con un único servicio Azure File Sync.

a. Gestión de conflictos

Azure File Sync utiliza el enfoque de "el último que escribe tiene razón" en caso de conflicto, por ejemplo, cuando dos personas editan el mismo archivo al mismo tiempo. En este caso, la última entrada será la que conserve el servicio.

Tenga en cuenta que este método significa que si crea un archivo con el mismo nombre que un archivo existente, el archivo antiguo se sobrescribirá.

b. Sincronización inicial

Son posibles dos tipos de sincronización inicial:

  • Carga autoritativa: los servidores locales son autoritativos, y su contenido tendrá prioridad sobre cualquier cambio que se pueda producir en el recurso compartido de Azure. La eliminación de un archivo en el servidor también lo eliminará en Azure.

  • Fusión: los datos se sincronizan en ambas direcciones; es el escenario preferido para la sincronización inicial.

c. Jerarquía cloud

La jerarquía cloud es una característica de Azure File Sync que permite conservar en los servidores locales sólo los archivos...

Todo debe ser borrado

Como siempre con los recursos en la nube en fase de prueba, no olvide borrar o desactivar todo para evitar cargos sorpresa. Si ha creado una cuenta de prueba de Azure, no se cargará ni un céntimo en tu tarjeta, pero no podrá crear más recursos ni entrenar si se gastan todos los créditos.

Si tiene una cuenta de pago, te recomendamos encarecidamente que cree un presupuesto con una alerta si lo supera. Pero lo mejor es eliminar los grupos de recursos.

Eliminar recursos no debería ser un gran problema, pero Azure Cloud Sync puede ser un poco complicado.

Eliminar recursos de Azure File Sync

 Comience por desactivar la jerarquización de la nube en los extremos del servidor. Lo encontrará en el grupo de sincronización.

images/cap7_pag120.png

 A continuación, vuelva a la vista previa y haga clic en el icono para eliminar el punto final.

images/cap7_pag120_b.png

 En la nueva página que se abre, seleccione la opción I want to delete my server endpoint and stop using my local server.

images/cap7_pag121.png

 Confirme y haga clic en Delete.

images/cap7_pag122.png

A continuación, debe eliminar el Cloud endpoint.

images/cap7_pag123.png

Puede eliminar el grupo de sincronización.

 Si los equipos en los que está instalado el agente ya no están disponibles, vaya a los servidores registrados en el grupo de sincronización y haga clic con el botón derecho del ratón en el servidor para anular su registro.

images/cap7_pag123_b.png

 En la nueva ventana...