Control de Ancho de Banda con QoS por GPO

En esta demostración veremos cómo aplicar QoS para limitar el ancho de banda de red utilizado por un cliente. El esquema planteado en este caso es simplemente limitar el ancho de banda cuando se copian archivos hacia una carpeta compartida en el servidor, pero dejo a cargo del lector las posibles aplicaciones, ya que con pocas modificaciones puede adaptarse para otros protocolos y puertos, y muchos casos más.

Partiremos de un ejemplo simple, con un Controlador de Dominio Windows Server 2008 R2, llamado DC1, del dominio "guillermo.ad", con dirección IP 192.168.1.200.
Y un cliente Windows 7 llamado CL1 que es parte del dominio "guillermo.ad"

Para llevar a cabo la demostración, usaremos la herramienta administrativa Performance para monitorizar el ancho de banda usado durante la copia de un archivo desde el cliente al servidor. Y luego aplicaremos al cliente una GPO que limita el ancho de banda para copiar archivos al servidor, comparando los resultados.

Para la configuración inicial el cliente XP se encuentra en una Unidad Organizativa llamada "Clientes"

Una vez que tenemos el cliente en el dominio, creamos en DC1 una carpeta compartida, que yo llamaré "Compartida", y nos aseguramos que los usuarios tengan permisos de escritura, tanto de compartido como de seguridad. No es el momento para consideraciones de seguridad ya que el objetivo es demostrar el control de ancho de banda utilizado.

En el cliente crearé o usaré cualquier archivo con un tamaño no muy chico a fin de poder ver el proceso en Performance. En mi caso crearé un archivo TESTFILE de aproximadamente 50MB utilizando el comando:

FSUTIL FILE CREATENEW TESTFILE 50000000

Para preparar la comparación, en DC1 abrimos Performance Monitor desde Administrative Tools, eliminamos los contadores predefinidos y agregamos solamente Network Interface / Bytes Total/SecDebemos tener cuidado y seleccionar la interfaz de red correcta y no la Loopback.

 

Hecho lo anterior desde el cliente copiamos el archivo TestFile.txt a la carpeta "Compartida" y observamos el gráfico producido en performance. El valor máximo mostrado depende de la configuración de red y equipos; el que muestra mi ejemplo está hecho sobre máquinas virtuales.

 

Ahora crearemos una GPO vinculada a la unidad organizativa Clientes donde limitaremos el ancho de banda, a por ejemplo, 256KBps

Es importante notar cuando editemos la GPO que el objetivo lo podemos hacer por máquina o por usuario, por lo tanto lo podremos hacer para un equipo en concreto sin importar quién inicie sesión, o también por usuario lo que nos permite controlarlo en cualquier equipo donde inicie sesión.

Haciéndolo por máquina, debemos modificar Computer Configuration / Policies / Windows Settings / Policy.based QoS, entrando con botón derecho y seleccionando Create New Policy…
Ponemos un nombre y el valor al que deseamos limitar la utilización de ancho de banda

 

Y siguiendo con el asistente vemos muy satisfechos que nos ofrece opciones muy útiles, como por ejemplo: determinadas aplicaciones, desde/hacia direcciones IP, protocolos (TCP y UDP) y puertos. Para este caso, por tratarse de una simple demostración dejaré los valores por omisión por lo que se aplicará a cualquier tráfico TCP.

En CL1 refrescamos la GPO con GPUPDATE /FORCEy repetimos la experiencia anterior, monitoreando el uso de ancho de banda ahora

 

Creo que el gráfico demuestra claramente lo que podemos lograr con una simple configuración de QoS.

Anuncios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • carlos balderrama  El 27/12/2012 a las 23:23

    Excelente! justo lo que buscaba, se puede limitar uso de internet teniendo en cuenta que mi server es gateway de internet y administrador de dominio.

    Gracias por la información!!!

    • Delprato  El 28/12/2012 a las 06:49

      No es para eso, pero todo depende de qué es lo que quieras limitar
      Si en el asistente te aparecen opciones que sirvan, como ser dirección IP de origen, protocolo, puerto, etc. puede dar una funcionalidad básica, de otra forma no

  • andres  El 03/06/2014 a las 13:01

    esta bueno el tutorial, pero debido a mi poca experiencia no logro encontrar donde se aplica la política, alguien me podría ayudar?
    Computer Configuration / Policies / Windows Settings / Policy.based QoS, esa es la ruta que no consigo encontrar

    • Guillermo Delprato  El 04/06/2014 a las 08:14

      Hola Andrés, ¿No encuentras el camino (“path”)? ¿o no encuentras cómo editar la política?
      Para crear/editar una GPO debes desde Group Policy Management crear una directiva enlazada a la Unidad Organizativa en cuestión

      Para saber cómo funcionan las GPO revisa este enlace: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
      https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

      • andres  El 30/06/2014 a las 18:24

        Guillermo, no encuentro el path donde crear la politica basada en QoS.

      • Guillermo Delprato  El 30/06/2014 a las 18:46

        Hola Andrés, tal como está anotado en la nota :-)
        Tanto en la parte de usuario, como en la de máquina, está en: “Policies / Windows Settings / Policy-based Qos”
        ¿O no te aparece?

  • Tom Nilo Quispe Prieto  El 28/05/2015 a las 14:28

    Tengo un servidor windows server 2012r2 y lo uso como gatway y quiero controlar o limitar el ancho de banda a los equipos de mi red ya que me genera mucho trafico con los correos electronicos y tambien quisiera ativar el firewall para poder restringir algunas webs como Facebook, Twitter, y otras. Gracias.

    • Guillermo Delprato  El 28/05/2015 a las 16:29

      Hola Tom, con el cortafuegos de Windows no puedes limitar webs de la red, eso generalmente se hace con un Router que tenga esa capacidad
      Con el control de ancho de banda puedes limitar cuánto “pasa por segundo”, pero no puedes evitar que envíen o reciban archivos grandes con el correo

      • Tom Nilo Quispe Prieto  El 28/05/2015 a las 20:23

        creo que me exprese mal, quiero prohibir el ingreso a Facebook u otra red social. y como me podrías ayudar a a limitar el ancho de banda. y si tienes razon no puedo evitar el recibir/enviar archivos de gran tamaño pero al menos tengo menos trafico por PC. si tubieras un manual de como realizarlo seria genial. Saludos.

      • Guillermo Delprato  El 29/05/2015 a las 07:24

        Hola Tom, no te haz expresado mal, por lo menos yo comprendí
        En tu caso por lo que me dices estás compartiendo la conexión a Internet desde un servidor Windows, y entonces en este caso:
        – No tienes forma de permitir o denegar acceso a ningún sitio al resto de las máquinas de acuerdo al sitio que visiten. Lo máximo que podrías hacer es bloquear por dirección IP, pero no te serviría porque las redes sociales tienen múltiples servidores
        – Para limitar ancho de banda, se podría llegar a hacer por sitio, pero supongo que dará bastante trabajo. Revisa en el asistente para crear la GPO porque está la opción específica de HTTP pero tienes que agregar cada sitio manualmente. Supongo que funcionará también para HTTPS pero no lo he probado. Otra opción sería por dirección IP
        Debes probar en tu infraestructura para ver cuánto puedes adaptar el sistema a tu necesidad

  • Pablo  El 18/04/2018 a las 12:51

    Que tal, hago todo tal cual veo en tu excelente instructivo, pero no me reduce el ancho de banda…
    te cuento mi esquema,
    El servidor es windoes 2012 R2 con AD, con usuarios pero sin unidad organizativa, por ende los equipos estaban en el grupo equipos y los usuarios en grupos usuario
    Cree una unidad organizativa con sus sub unidades, luego moví para realizar una prueba, un equipo con su usuario…
    creo el GPO y lo vincule e a la unidad organizativa llamada “equipos”, la actualice, cargo perfectamente y después también corrí el PUPDATE /FORCE y así todo, sigo copiando un archivo y me utiliza todo el ancho de banda del servidor

    algún consejo? algún paso que estoy haciendo mal o no estoy haciendo? te agradezco tu tiempo , ya no se que mas tocar
    espero tu respuesta, saludos y gracias nuevamente

    • Guillermo Delprato  El 18/04/2018 a las 13:39

      Hola Pablo, primero aclarar ni “Computers” ni “Users” son Unidades Organizativas así que no se le pueden enlazar GPOs, en este caso la GPO se debe aplicar a la Unidad Organizativa donde están las cuentas de máquina. Y si las has movido entonces lleva uno o dos reinicios hasta que se detecta el cambio
      Por otra parte, QoS afecta sólo el tráfico saliente, no el entrante, así que no es lo mismo copiar para un lado que para otro

      • Pablo  El 18/04/2018 a las 14:56

        Gracias por tu pronta respuesta
        Te explico… lo que te comentaba era que, cuando se creó él AC, no se crearon unidades organizativas, directamente se crearon todos los usuarios y se fueron creando los equipos en la raíz del dominio

        Cómo tal cual explicas, los GOP se aplican en unidad organizativas, así que cree una unidad llamada “XXXX” Y dentro de esta, cree tres unidades más … que las llame “equipos”y “Usuarios” y luego moví un equipo a la unidad organizativa “equipos” y al usuario de ese equipo, lo movi a la unidad organizativa “usuarios”

        Luego cree en “Administración de directivas de grupo” un GPO llamado “QoS” lo edité, y se abre el “editor de administrativas de grupo” fui a “configuración de equipos / configuración de windows / QoS basado en directiva” y cree una directiva llamada “limite de ancho de banda” y lo limite a 256 k, luego vincule el GPO, a la unidad organizativa “equipos” actualice

        Se abrió el cuadro del proceso mostrando que se efectuó satisfactoriamente (aparte te comento que me daba error al lanzar la actualización y vi en un foro que se debe al firewall del equipo cliente, lo resolví por el momento, des habilitandolo)

        bueno… corrí el el gppudate /forcé en el equipo cliente y mostró la ventana de comando que se efectuaron las actualizaciones satisfactorias

        Bueno… desde el equipo cliente, agarre un iso alojado en el servidor y lo copié al escritorio y la velocidad sigue siendo la máxima.e igual se copio desde le cliente al server

        alguna recomendación?, por lo que veo, no estaría haciendo nada mal… necesito que lo usuarios saquen o coloquen info al server sin que me utilicen todo el ancho de banda de la placa de red, ya que cuando pasa eso, el tango crm dns y demás tareas del server, se pone muy lento y trabajan mal

        espero haber sido claro y nuevamente te agradezco por tu excelente atención y tiempo dedicado

      • Guillermo Delprato  El 18/04/2018 a las 15:30

        No has interpretado el uso. Este uso de QoS es para aplicar a un servidor de archivos para cuando los usuarios descargan datos. No afectará para nada cuando desde una máquina que tenga aplicada la GPO un usuario cargue datos a un servidor

  • Pablo  El 18/04/2018 a las 15:41

    tal cual, es lo es lo que quiero lograr, pero no hay caso… vez algo que estoy haciendo mal o no haciendo? porque la carga sigue siendo al 100% de la placa de red del server, gracias

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: