Control de Ancho de Banda con QoS por GPO

En esta demostración veremos cómo aplicar QoS para limitar el ancho de banda de red utilizado por un cliente. El esquema planteado en este caso es simplemente limitar el ancho de banda cuando se copian archivos hacia una carpeta compartida en el servidor, pero dejo a cargo del lector las posibles aplicaciones, ya que con pocas modificaciones puede adaptarse para otros protocolos y puertos, y muchos casos más.

Partiremos de un ejemplo simple, con un Controlador de Dominio Windows Server 2008 R2, llamado DC1, del dominio "guillermo.ad", con dirección IP 192.168.1.200.
Y un cliente Windows 7 llamado CL1 que es parte del dominio "guillermo.ad"

Para llevar a cabo la demostración, usaremos la herramienta administrativa Performance para monitorizar el ancho de banda usado durante la copia de un archivo desde el cliente al servidor. Y luego aplicaremos al cliente una GPO que limita el ancho de banda para copiar archivos al servidor, comparando los resultados.

Para la configuración inicial el cliente XP se encuentra en una Unidad Organizativa llamada "Clientes"

Una vez que tenemos el cliente en el dominio, creamos en DC1 una carpeta compartida, que yo llamaré "Compartida", y nos aseguramos que los usuarios tengan permisos de escritura, tanto de compartido como de seguridad. No es el momento para consideraciones de seguridad ya que el objetivo es demostrar el control de ancho de banda utilizado.

En el cliente crearé o usaré cualquier archivo con un tamaño no muy chico a fin de poder ver el proceso en Performance. En mi caso crearé un archivo TESTFILE de aproximadamente 50MB utilizando el comando:

FSUTIL FILE CREATENEW TESTFILE 50000000

Para preparar la comparación, en DC1 abrimos Performance Monitor desde Administrative Tools, eliminamos los contadores predefinidos y agregamos solamente Network Interface / Bytes Total/SecDebemos tener cuidado y seleccionar la interfaz de red correcta y no la Loopback.

 

Hecho lo anterior desde el cliente copiamos el archivo TestFile.txt a la carpeta "Compartida" y observamos el gráfico producido en performance. El valor máximo mostrado depende de la configuración de red y equipos; el que muestra mi ejemplo está hecho sobre máquinas virtuales.

 

Ahora crearemos una GPO vinculada a la unidad organizativa Clientes donde limitaremos el ancho de banda, a por ejemplo, 256KBps

Es importante notar cuando editemos la GPO que el objetivo lo podemos hacer por máquina o por usuario, por lo tanto lo podremos hacer para un equipo en concreto sin importar quién inicie sesión, o también por usuario lo que nos permite controlarlo en cualquier equipo donde inicie sesión.

Haciéndolo por máquina, debemos modificar Computer Configuration / Policies / Windows Settings / Policy.based QoS, entrando con botón derecho y seleccionando Create New Policy…
Ponemos un nombre y el valor al que deseamos limitar la utilización de ancho de banda

 

Y siguiendo con el asistente vemos muy satisfechos que nos ofrece opciones muy útiles, como por ejemplo: determinadas aplicaciones, desde/hacia direcciones IP, protocolos (TCP y UDP) y puertos. Para este caso, por tratarse de una simple demostración dejaré los valores por omisión por lo que se aplicará a cualquier tráfico TCP.

En CL1 refrescamos la GPO con GPUPDATE /FORCEy repetimos la experiencia anterior, monitoreando el uso de ancho de banda ahora

 

Creo que el gráfico demuestra claramente lo que podemos lograr con una simple configuración de QoS.

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • carlos balderrama  On 27/12/2012 at 23:23

    Excelente! justo lo que buscaba, se puede limitar uso de internet teniendo en cuenta que mi server es gateway de internet y administrador de dominio.

    Gracias por la información!!!

    • Delprato  On 28/12/2012 at 06:49

      No es para eso, pero todo depende de qué es lo que quieras limitar
      Si en el asistente te aparecen opciones que sirvan, como ser dirección IP de origen, protocolo, puerto, etc. puede dar una funcionalidad básica, de otra forma no

  • andres  On 03/06/2014 at 13:01

    esta bueno el tutorial, pero debido a mi poca experiencia no logro encontrar donde se aplica la política, alguien me podría ayudar?
    Computer Configuration / Policies / Windows Settings / Policy.based QoS, esa es la ruta que no consigo encontrar

    • Guillermo Delprato  On 04/06/2014 at 08:14

      Hola Andrés, ¿No encuentras el camino (“path”)? ¿o no encuentras cómo editar la política?
      Para crear/editar una GPO debes desde Group Policy Management crear una directiva enlazada a la Unidad Organizativa en cuestión

      Para saber cómo funcionan las GPO revisa este enlace: Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer:
      https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/

      • andres  On 30/06/2014 at 18:24

        Guillermo, no encuentro el path donde crear la politica basada en QoS.

      • Guillermo Delprato  On 30/06/2014 at 18:46

        Hola Andrés, tal como está anotado en la nota :-)
        Tanto en la parte de usuario, como en la de máquina, está en: “Policies / Windows Settings / Policy-based Qos”
        ¿O no te aparece?

  • Tom Nilo Quispe Prieto  On 28/05/2015 at 14:28

    Tengo un servidor windows server 2012r2 y lo uso como gatway y quiero controlar o limitar el ancho de banda a los equipos de mi red ya que me genera mucho trafico con los correos electronicos y tambien quisiera ativar el firewall para poder restringir algunas webs como Facebook, Twitter, y otras. Gracias.

    • Guillermo Delprato  On 28/05/2015 at 16:29

      Hola Tom, con el cortafuegos de Windows no puedes limitar webs de la red, eso generalmente se hace con un Router que tenga esa capacidad
      Con el control de ancho de banda puedes limitar cuánto “pasa por segundo”, pero no puedes evitar que envíen o reciban archivos grandes con el correo

      • Tom Nilo Quispe Prieto  On 28/05/2015 at 20:23

        creo que me exprese mal, quiero prohibir el ingreso a Facebook u otra red social. y como me podrías ayudar a a limitar el ancho de banda. y si tienes razon no puedo evitar el recibir/enviar archivos de gran tamaño pero al menos tengo menos trafico por PC. si tubieras un manual de como realizarlo seria genial. Saludos.

      • Guillermo Delprato  On 29/05/2015 at 07:24

        Hola Tom, no te haz expresado mal, por lo menos yo comprendí
        En tu caso por lo que me dices estás compartiendo la conexión a Internet desde un servidor Windows, y entonces en este caso:
        – No tienes forma de permitir o denegar acceso a ningún sitio al resto de las máquinas de acuerdo al sitio que visiten. Lo máximo que podrías hacer es bloquear por dirección IP, pero no te serviría porque las redes sociales tienen múltiples servidores
        – Para limitar ancho de banda, se podría llegar a hacer por sitio, pero supongo que dará bastante trabajo. Revisa en el asistente para crear la GPO porque está la opción específica de HTTP pero tienes que agregar cada sitio manualmente. Supongo que funcionará también para HTTPS pero no lo he probado. Otra opción sería por dirección IP
        Debes probar en tu infraestructura para ver cuánto puedes adaptar el sistema a tu necesidad

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: