Windows 2008 Server Core

Ya estamos oyendo hablar de la nueva versión de servidor de Microsoft: Windows Server 2008. Como en la versión anterior, tenemos varias ediciones: Web, Standard, Enterprise y Datacenter. Para estas tres últimas ediciones (Standard, Enterprise y Datacenter) hay la posibilidad de realizar una instalación Core, que tiene sólo las aplicaciones y servicios necesarios para su función.

 

Un servidor Core no permite tener todos los servicios que puede tener un servidor instalado de forma "normal"; lo que reduce su superficie de exposición a ataques y reduce sus tareas de mantenimiento, entre otras cosas. A cambio, es más "incómodo" de administrar, al carecer de GUI (interfaz de usuario) y por tanto ser necesario para su administración recurrir a la línea de comandos y/o scripts.

Como he dicho antes, sólo determinados roles pueden ser asumidos por un servidor Core. Estos roles son:

  • Servidor de ficheros
  • Servidor de impresión
  • Controlador de dominio
  • Servidor DNS
  • Servidor DHCP
  • Servidor WINS

Una vez instalado, el servidor Core sólo tiene adjudicado el rol de servidor de ficheros, para permitir la administración remota. Aparte de estos roles, un servidor Core permite tener las siguientes prestaciones:

  • Cluster Server
  • El subsistema Unix
  • Windows Server Backup
  • Multipath Input/Output (I/O)
  • Administración de almacenamiento extraíble
  • Windows BitLocker Drive Encryption
  • Simple Network Management Protocol (SNMP)
  • Single Instance Storage
  • Cliente Telnet

Esto provoca que el servidor Core tenga ciertas ventajas y ciertos inconvenientes:

Ventajas Inconvenientes
Reduce el mantenimiento de software y los parche de seguridad a instalar, ya que al tener menos servicios en ejecución, el tiempo aplicando parches es reducido y el número de reinicios y, por tanto, la cantidad de tiempo en que el servidor no estña operativo es menor. No puede ostentar todos los roles de servidor.
Es más fácil administrar el servidor, al tener limitados los roles y las prestaciones instaladas, lo que reduce el esfuerzo administrativo. No soporta el Framework de .NET; esto implica, por ejemplo, que no se pueda usar PowerShell.
Reduces the attack surface. Reducing the number of services minimizes the risks related to server performance, such as attack of hackers and viruses.Tiene menos superficie de ataque, ya sea por parte de virus como por parte de hackers, debido a que al tener reducido el número de servicios, el número de vulnerabilidades posibles reduce igualmente. No admite actualizaciones a Core desde versiones anteriores de Windows Server.
Removes legacy and client components from the server. The components and dynamic-link libraries (DLLs), which were the primary targets of viruses and malware, are not installed.Elimina componentes de cliente y elementos legados (Legacy, de versiones previas y ahora obsoletos) del servidor. Esto significa que los componentes y las librerías (DLLs), que estos componentes y elementos legados instalan, no están presentes en el sistema, lo que evita el ataque de malware y virus que tienen a estos componentes y DLLs como objetivos. No se puede cambiar de la versión Core a la versión Standard.
Requiere menos espacio en disco, al suprimir el interfaz de usuario (GUI) y tener limitado el número de servicios instalados en el sistema. Requiere estar familiarizado con la línea de comandos y las técnicas de Scripting.

Una vez realizada la instalación es preciso establecer determinadas configuraciones imprescindibles:

  • Establecer la contraseña del administrador (net user administrator *).
  • Establecer las propiedades IP del servidor (netsh interface ipv4 set address name=”LAN” addr=192.168.0.10 mask=255.255.255.0 gateway=192.168.0.1).
  • Establecer nombre del servidor y su pertenecia a dominio/grupo (para el nombre: netdom renamecomputer coreserv /newname:legolas), para la membresía: netdom join legolas /domain:bosquenegro.org /userD:administrator /passwordD:*)
  • Activar la instalación (en local: Slmgr.vbs –ato, en remoto: cscript windows\system32\slmgr.vbs legolas administrator contraseña -ato)
  • Habilitar el Firewall (netsh firewall set opmode enable)
  • Añadir los roles y/o prestaciones deseadas. Para esta tarea se utiliza ocsetup.exe de la forma:start ocsetup <rol o prestacion>; por ejemplo, para instalar el servidor DNS se ejecutaría: start ocsetup DNS-Server-Core-Role. Podemos ver una lista de los roles y prestaciones, y su estatus de instalación con el comando oclist.exe.

Estas tareas se deben hacer desde línea de comandos, en un script, o bien por medio de un fichero de respuestas que las dejará ya hechas desde la propia instalación.

A la hora de administrar un Core, podemos hacerlo:

  • Desde la propia línea de comandos, ya sea de forma local o remota
  • Usando Terminal Server (necesitamos habilitar el escritorio remoto ejecutando el scriptscregedit.wsf )
  • Usando Windows Remote Shell (sólo desde Windows Vista y Windows Server 2008), que permite lanzar comandos y scripts de forma remota
  • Usando los Addins necesarios desde una MMC ejecutada en remoto y conectando los Addins al servidor Core

Personalmente, me parece un acierto por parte de Microsoft el que haya desarrollado este tipo de servidor, pues para determinados equipos dedicados, nada hay mejor que el evitarte el GUI (fuente muchas inestabilidades y vulnerabilidades) y tener servicio inútiles (lo que incrementa la superficie de ataque). Por ejemplo, se me ocurre, que un controlador de dominio con DHCP, DNS y WINS sería un candidato ideal para ser instalado en un Core.

Compartir

One&One

SEMrush

Visitanos en: