Windows Deployment Services (Tarea de Seccion)
Windows Deployment Services
HISTORIA de Windows Deployment Services
Las labores iniciales de Windows Deployment Service fueron diferentes, ya que Microsoft utilizaba los servicios de instalacion remota, mejor conocida como RIS.
RIS brinda a los servidores de Microsoft, que los ordenadores BIOS PXE se encuentre habilitado y de esta manera ejecutar parametros de arraque de forma remota. Este servicio se lanzo con Windows en el 2000 como un elemento opcional para el servidor Windows server 2000. Siendo WDS una version actualizada y rediseñada de RIS.
¿Que es Deployment?
Windows Depl0yment Services mejor conocido tambien como WDS es un servicio que nos permite implementar en Windows Server 2008, cabe destacar que es una caracteristica disponible en este servidor y que nos permite realizar distribucion masiva en sistemas operativos Windows por medio de la red, utilizando un optimo canal interno. Por lo tanto Windows Deployment Service puede hacer multiples labores de captura de imagen maestra y de igual manera instalaciones desatendidas con ayuda de archivos de auto respuesta.
¿Cual es su funcion?
Con esta herramienta podemos hacer despliegues de manera remota en Windows Vista , Windows 7 y por supesto Windows Server 2008 de igual manera es importante resaltar que es compatible con otros Sitemas Operativos. Windows Deployment Service utiliza el Windows imaging format que es el WIM siendo el formato de imagen de disco basado en archivos. Diferente a RIS que era un metodo para la automatizacion del proceso de instalacion. Tambien esta herramienta (WDS) brinda la funcion del servidor en todas las versiones de 32 bits y 64 bits de Windows Server 2008 y se determina como un herramienta instalable opcionalmente con Service pack 2 de Windows server 2003.
Ofrece automatizar la creacion de imagenes de disco y el proceso de implementacion del sistema operativo. De igual manera es una herramienta muy facil de utilizar cuando queremos hacer capturas de imagen de disco, sin tener restrincion a las diversas versiones del sistemas operativos, como se menciono anteriormente. Por lo tanto tiene la capacidad de desplegar sistema operativos tales como Windows XP y Windows 2000, entre muchos mas...un dato importante a resaltar es que no se puede realizar con los archivos de origen o controlada con vigilancia de scripts. Pero si brinda la automatizacion y personalizacion de archivos de secuencias de comandos (scripts) de instalacion desatendidas. De igual manera hace labores automaticas que incluye nombres de los dispositivos y de esta manera juntarlo a un dominio.
Las funciones WDS son ejecutadas de la mano con el Preboot Execution Environment, mejor conocido como PXE y desta manera ejecutar una version en miniatura de windows, mejor conocido como Windows PE para tareas de instalacion y mantenimiento.
Como se ha mencionado a lo largo de este articulo Windows Deployment Service trabaja como un deposito para guardar imagenes de sistema operatvo reales que se instalan en el equipo de destino. de igual manera imagenes de arranque de red PXE, con esta ejecucion de arranque PXE por medio de WDS se le muestra al usuario final un menu de arranque y este pueda selleccionar la imagen de preferencia.
Componentes previos: Active Directory, DNS y DHCP
Active Directory (AD)
Este servicio de directorio es desarrollado por Microsoft donde presenta una vista previa de Active directory en el año 1999, este servicio se lanza con la edicion de Windows Server 2000, siendo este analizado y de esta manera ampliar su funcionalidad y mejorar la gestion en Windows Server 2003. Tambien el soporte del servicio Active Directory se incorporo a Windows 95 y Windows 98 por medio de un parche y de esta manera se iria incluyendo en la mayoria de los sistemas operativos de Windows Server. En sus inicios este servicio de Active Directory solo se centraba en la gestion de dominios centralizados, por lo tanto AD se convierte en un uso de servicio con relacion a la identidad basado en directorios.
Ejecutandose AD como un servicio que brinda la labor del servicio de dominio de Active Directory tambien conocido como AS DS que es conocido como controlador de dominio.
Con este servicio se autoriza y autentica a todos los usuarios y equipos para que de esta manera cumplan con ciertos requerimientos de seguridad para todos los dispositivos e instalar o actualizar softaware, como por ejemplo cuando un usuario inicia sesion en un dispositivos que es parte de un dominio de Windows, pues AD supervisa la contraseña enviada de esta manera concluye si el usuario es un administrador del sistema o un usuario normal. Tambien brinda que la administracion y la recaudacion de datos, brinde mecanismos de autenticacion y autorizacion y de esta forma establece un marco para brindar otros servicios relacionados. Como por ejemplo (servicios de certificacion,Servicios de directorio ligero , servicios de federacion de active directory y servicios de administracion de derechos.)
Active directory brinda servicios de dominio AD DS por lo tanto son la piedra angular de cada dominio de windows segun lo denominan , ya que incoprora informacion sobre los miembros del dominio donde incluyen dispositivos y usuarios. Tambien un dato a resaltar que el servidor que gestiona este servicio se conoce como controlador de dominio.
Volviendo al tema de los certificados vamos hablar un poco mas de ellos y entender mas del tema.
Servicios de certificacion
los servicios de este directorio brindan un espacio de clave publica local...estos pueden crear , validar y revocar certificados de clave publica para utilidad interna de una organizacion. Es importante resaltar que dicho certificado se puede realizar para cifrar archivos por ejemplo cuando se usan con el sistema de cifrado de archivos , correos electronicos segun estandar y trafico de red que es cuando se hacen en redes privadas .
Servicios de directorio ligero
Estos servicios de directorio ligero, tambien se le conocen como como modo de aplicacion de active directory ADAM. Este es ejecutado en el protocolo LDAP y este se gestiona en windows server.
AD LDS y AD DS estan de la mano brindando la misma funcion donde incluye una API similar, aqunue si con estos servicios no es requesito la creacion de dominios o controladores de dominio. Y de esta manera brinda un almacenamiento de datos de directorio y a la vez un servicio de directorio con un interfaz de servicio de directorio LDAP. Hay un punto a resaltar que con AD DS puede funcionar en varias instancias de AD LDS en el mismo servidor.
Servicios de federacion
Estos servicios de federacion tambien conocidos como servicios de federacion de active directory AD FS brindan un inicio de sesion unico con un espacio de AD FS en su lugar y por medio de este los usarios utilizan duversos servicios en el que se basan en la web un ejemplo de ello estan los foros , blogs, correo web , entre otros ejemplos mas de este servicio. El objetivo de este servicio de certificacion brinda a los usuarios autenticarse y hacer uso de dispositivos que esten dento de una misma red con el uso de diversas credenciales.
Servicios de gestion de derecho
Los servicios de administracion de derechos de active directory tambien conocidos como AD RMS. Es un software que permite la administracion de derechos de informacion y estos son enviados a windows server y claro haciendo uso de un cifrado y de esta manera que limite el acceso a cierta informacion a usuarios no autorizados, ya sea si quiere acceder a documentos , correos electronicos o paginas web.
Estructura de Active Directory
la estrutura de este servicio estan basados en arreglos de informacion, lo cual se dividen en dos categorias que seria Recursos (impresoras) y principios de seguridad (que son los grupos y cuentas de usuario o dispositivos)...a estos principios de seguridad le son asignados los SID que son tambien conocidos como identificadores de seguridad.
Bosques, Arboles y Dominios
Active directory contiene objetos que son vistos en varios niveles que seria: El bosque, el arbol y el dominio que serian las divisiones en una red de AD. Estos se grupan en dominios que seria un solo dominio que es recaudado en una sola base de datos y este se puede replicar. Estos dominios se conocen por su estructura de nombres DNS.
Un dominio se clasifica como un grupo logico lo cual serian los dispositivos y usuarios que comparten la misma base de datos.
Un arbol es el almacenamiento de uno o mas dominios en una infraestructura de dombres contiguo y donde esta relacionado en una jerarquia de confianza transitiva.
Por otro lado se encuentra el bosque que es un almacenamiento de uno o mas aroboles. Este representa el limite de seguridad dentro de la cual los usuarios , grupos , dispositivos y otros objetos son accesibles.
DNS
El servicio DNS nace en la necesidad de recordar de forma sencilla los nombres de todos los servidores que se encuentren conectados a intenet. Si este servicio tan poderoso no existiera los usuarios tendrian que recordar cada direccion ip del sitio web con el que quieren acceder, lo cual seria complicado recordar cada numero sin equivocarnos generando una navegacion de internet muy complicada.
Este servidor funciona con una base de datos distribuida y jerarquica que recolecta suficuente informacion que este vinculada a los nombres de dominio en internet. Dicha asignacion de nombres a direcciones ip es la principal labor popular de DNS. Haremos mencion de un ejemplo cuando queremos acceder a un sitio y este por defecto tiene la direccion ip confomada por 192.168.163.12 optariamos por querer acceder por el nombre del sitio y no por su propia direccion ip. Ademas si navegamos haciendo uso de los nombres de fantasia tambien denominados de esta manera, seria una forma mas facil de recordar.
DHCP
Este servicio se define como el protocolo de configuracion dinamica de host. Dicho protocolo de definio en sus inicios como un protocolo de seguimiento estatico de las normas, como se define en la documentacion de la RFC 1531 en 1993, como el hijo de BOOTP que nacio antes de este servicio y siendo este el sucesor del mismo. El motivo del reemplazo de estos servicios fue por que BOOTP tenia que requerir intervencion manual para completar la informacion de configuracion en cada cliente, por lo tanto no brindaba un mecanismo de recuperacion para las direcciones ip que no tenian uso. Por lo tanto el servicio DHCP brinda al administrados de este supervisar y reapartir de manera centralizada las direcciones ip, ademas de de destinar una nueva IP si fuera el caso si el el dispositivo se encontrara conectado a una red diferente.
Este servicio tiene incorporado tres metodos para asignar direcciones IP. Una de ellas esta en la asignacion manual o estatica, con este metodos se permite asiganar direcciones Ip a una maquina en especifica. Por lo tanto es costumbre utilizar cuando se requiere controlar la asignacion de direcciones IP a cada cliente y de esta manera tambien prevenir que se conecten clientes desconocidos.
Como segundo metodo se encuentra la asignacion automatica que permite asignar direcciones ip a una maquina cliente que realiza por primera vez la solicitud del servidor DHCP. Se suele acostmbrar utilizar cuando el numero de clientes no varia seguido.
Como tercer metodo se encuentra la asignacion dinamica. Este metodo brinda la reutilizacion dinamica de direcciones IP a los dispositivos que se encuentren conectados a la red y donde se les determina un rango a cada dispositivo que se encuentre conectado a la red y este, este configurado para solicitar su direccion ip al servidor y esto es cuando la tarjeta de interfaz de red se encuentre iniciando. Es importante incorporar el punto que este metodo utiliza un concepto muy simple en un intervalo de tiempo controlable, permitiendo ser este metodo facil de instalar a las nuevas maquinas clientes.
Requerimientos de WDS
Para los servicios de dominio de Active Directory se implementan requisitos que son precisos en Windows Server 2008 y 2008 R2, ya que para que el servicio Windows Deployment Service se instale en estas versiones, es importante disponer con un dominio. Aunque un punto en agregar sobre esto que cuando Windows Server 2012 surgió, pues este requisito fue eliminado y junto con el, las versiones venideras. Por lo tanto con las versiones mas recientes es posible implementar la instalacion de este rol em nodo STAND-ALONE sin acudir a la necesidad de requerir de un dominio. Y esto es porque va a contribuir a la hora de autenticarnos ya que al hacer utilidad de este servicio, sin importar el modo de instalacion. tendremos que autenticarnos con una cuenta valida de dominio o con una local del servidor de implementacion.
Para el servicio DHCP este requisito de dominio si es fundamental ya que se encarga de que todo el proceso asociado a nuestro servicio de implementacion.
Un punto en agregar que el dispositivo debe tener BIOS habilitado para la funcionalidad Pre-Execution Environmente, mejor conocido como PXE. Dicho servicio permite que desde la NIC se carguen en los host pequeñas aplicaciones, en este punto lo que cargara es Windows-PE, donde sera el encargado de disponer con la instalacion del sistema, por lo tanto durante el arranque debe estar seleccionado las preferencias del arranque de la BIOS, siendo de esta manera arrancado desde la NIC, este proceso realiza un broadcast que buscara al servidor DHCP y este asigne direccionamiento, una vez este proceso se haya realizado se generara redireccionamiento a nuestro host hacia el servidor de implementacion y de esta manera iniciando con el proceso de instalacion.
Roles del servicio y formas de ejecucion
El servicio de implementación de Windows brinda dos roles o formas de trabajo
- Servidor de implementación.
- Servidor de transporte.
Servidor de implementación
El servidor de implementación proporciona funcionalidad completa de los servicios de implementación de Windows, que se puede usar tanto para configurar y como para instalar remotamente las imágenes o sistemas operativos de Windows, el servidor de implementación depende de las partes básicas del servidor de transporte.
Servidor de transporte
El servidor de transporte nos proporciona un subconjunto de funcionalidades de servicios de implementación de Windows, solo contiene las partes de red más básicas, que puede usarse para transmitir datos mediante multidifusión en un servidor independiente, se debe usar este servicio de rol si nosotros deseamos transmitir datos mediante multidifusión, pero no se requiere incorporar todos los servicios de WDS.
En el procesos de Booteo se debe iniciar el sistema operativo cuando el usuario enciende la computadora, este es responsable de la inicialización del sistema y equipo. El gestor de arranque es un programa sencillo específicamente utilizado para preparar todo lo necesario para que el sistema operativo se ejecute. Es responsable de la configuración BIOS, los dispositivos de hardware y la búsqueda del sistema operativo en la secuencia de arranque. Y lo que hace es modificar la configuración de arranque de lectura que la computadora tiene de forma predeterminada. Al utilizar windows domain controller para crear una partición para el disco, o cuando desee formatear la computadora y reparar el sistema de arranque de Windows cuando se produce una falla, puede completar esta operación sin mostrar una pantalla negra que Windows o el escritorio están cargando.
Lo primero que debemos hacer es iniciar el asistente de configuración de todos los servicios de implementación de Windows, luego nos aparecen las opciones de cómo queremos que Windows Deployment Services se integra con Active Directory o que sea independiente.
En este punto dejamos selaccionado la primera opcion que seria tal cual se presenta en la imagen.
Windows PE con WAIK
Como se ha mencionado anteriormente, la funcion principal de Windows Deployment Service es depositar diversas imagenes de diferentes servicios. Por lo tanto cabe mencionar que las imagenes de arranque de Windows PE se crean gracias al suso de KIT de instalacion automatizada de Windows, de la mano con los medios de instalacion de Windows 7 que contienen las imagenes WIM de origen.
Proceso de instalación, configuración del servicio y otras configuraciones
En este apartado hablare y mencionaré sobre diferentes servicios como DHCP, DNS, AD DS y WDS tanto como sus configuraciones, métodos y servicios que se integran entre sí para su correcta implementación y ejecución en los servidores Windows. Las configuraciones y servicios respectivos serán acorde a un orden.Es de suma importancia aprender estos procesos de instalaciones y configuración para tener conocimientos fundamentales al momento de implementarlos en un entorno real y realizar buenas prácticas. En este apartado se dividirán en 3 secciones para mantener el orden y coherencia de la Wiki de la materia de gestión de redes 1. Estas se conformaran por Configuraciones principales, Integración de DHCP, Integración de DNS y Integración de AD DS.
Configuraciones principales
Mencionaré este apartado ya que son configuraciones necesarias para proceder a instalar los servicios de AD DS, DNS, DHCP y WDS, primero instalar el sistema operativo a través de un ejecutor de máquinas virtuales que en este caso sería VMWARE 16 pro y luego instalar el Windows server 2016 con sus direcciones IP, mascara de subred y puertas de enlace.En el servidor tendremos que agregarle un disco secundario para instalar WDS para tenerlo en una sección aparte y que no interrumpa otros servicios. Ahora que tendremos todo instalado, debemos de introducir al primer servicio importante llamado AD DS
Integración AD DS
En esta implementación se necesitara la instalación del servicio AD DS para el correcto funcionamiento pero debemos de contar con un servidor DNS para su correcta configuración estableciendo diferentes configuraciones como conjunto de nombres de dominio(conocido como Forest) y configuraciones adicionales como NetBIOS y directorios principales para así tenerlo funcionando en nuestro servidor.
Integración DHCP
DHCP ha sido uno de los servicios más utilizado en la asignación automática que configuración TCP/IP a dispositivos clientes por un servidor Windows o CentOS. Su proceso de instalación es de manera sencilla, pero se deben de tener ciertos aspectos a la hora de configurarlo. Primero hablamos sobre el pool de direcciones que son un conjunto de direcciones IP que son asignadas automáticamente a equipos clientes, después sobre exclusiones que nos permite excluir dirección dentro del pool de direcciones, también establecemos puertas de enlace.
Hay que comentar que DHCP y el cliente posee una un proceso de comunicación llamado DORA, DORA a sido uno de los procesos más interesante en la materia de gestión de redes 1. Es muy importante comprender este proceso ya que con esto entenderemos como funciona más a fondo como DHCP ofrece direcciones IP a clientes. Pero en este caso nos toca hablar como funciona DHCP y WDS
WDS establece servicios de DHCP ya que existe un proceso de arranque llamado PXE, el funcionamiento de PXE implica una serie de paquetes DHCP y que estos involucran tanto DHCP, PXE y los clientes. Primero el cliente al momento de encenderla tira un paquete de tipo broadcast llamado Discovery pero en ese mismo paquete también solicita los parametros de PXE conocido como "descubrimiento" y esta responde al server por ruta NBP y realizará el respectivo proceos de arranque.
Integración DNS
Como hablamos anteriormente, en el proceso de instalación de AD DS se necesita el servicio de DNS para que se ejecute de manera correcta creando asi distintos archivos de configuración de DNS en las zona de busqueda directa. En estos archivos se encuentran configuración TCP/UDP, nombre de servidor e inicios de autoridad SOA pero un punto importante acá, se necesitara crear una zona de busqueda inversa, esta configuración adicional sería una buena practica como administradores de la materia ya que tambien podremos realizar consultas inversas y asi evitar fallas a futuros.
Tambien otro punto importante es la delegación de nombres DNS que nos beneficiara, este proceso se encarga en la asignación de responsabilidad por parte de nombres DNS a servidores DNS, en pocas palabras, podemos delegar nombre de dominio a un servidor secundarios que obtengas todas las configuraciones y parametos del servidor principañ, aumentando el tiempo de respuesta en caso que el servidor este saturado o dañado. Tambien existen otras razones porque utilizar delegaciones, una de ellas es la necesidad administración de grandes bases de datos para mejorar rendimiento de resolución de nombres
Como punto adicional AD DS permite una fácil integración del espacio de nombres de Active Directory en un espacio de nombres DNS existente. Las características como las zonas DNS integradas en Active Directory facilitan la implementación de DNS al eliminar la necesidad de configurar zonas secundarias y luego configurar transferencias de zona.
