Windows Server 2025: roles y servicios esenciales

Windows Server 2025 representa la apuesta más reciente de Microsoft para el mercado de servidores empresariales, combinando mejoras significativas en seguridad, rendimiento y capacidades de nube híbrida. Lanzado con soporte hasta 2034, esta versión incorpora características que llevan tiempo madurando en el canal Insider y que responden directamente a las necesidades de los entornos corporativos modernos.

Para los administradores de sistemas que gestionan infraestructuras Windows, comprender en profundidad los roles disponibles y saber cuándo y cómo desplegarlos es fundamental. Windows Server 2025 no es simplemente una actualización incremental: introduce cambios en la arquitectura de seguridad, mejoras significativas en Hyper-V, soporte nativo para Kubernetes (AKS Edge Essentials) y una integración más estrecha con Azure Arc para la gestión híbrida. El salto desde Windows Server 2022 no es tan disruptivo como el que representó la transición de 2012 R2 a 2016, pero el conjunto de mejoras acumuladas justifica la planificación de una hoja de ruta de actualización en cualquier entorno empresarial maduro.

Esta guía aborda los roles más relevantes para entornos empresariales, sus casos de uso, consideraciones de diseño y las novedades que aporta esta versión respecto a Windows Server 2022. El objetivo es proporcionar una referencia práctica que ayude a tomar decisiones de diseño fundamentadas, con matices específicos para el mundo real: entornos con deuda técnica heredada, restricciones presupuestarias y equipos de tamaño reducido que tienen que sacar el máximo partido a cada servidor.

Novedades principales de Windows Server 2025

Antes de entrar en los roles específicos, conviene repasar las mejoras generales que afectan a toda la plataforma. La característica más destacada en el ámbito de seguridad es la habilitación por defecto de Secured-core Server, que requiere hardware compatible con TPM 2.0, Secure Boot y Virtualization Based Security (VBS). Esto protege el sistema incluso si el firmware UEFI es comprometido. En la práctica, Secured-core Server es relevante sobre todo para servidores físicos modernos adquiridos en los últimos tres o cuatro años; el hardware más antiguo puede no soportar todas las capacidades, aunque sí puede beneficiarse de las mejoras de software de la plataforma.

La arquitectura de red recibe mejoras notables: el soporte SMB sobre QUIC permite compartir ficheros de forma segura sin VPN tradicional, utilizando el protocolo de transporte QUIC (basado en UDP) con TLS 1.3. Esto es especialmente valioso para trabajadores remotos y escenarios de nube híbrida donde los puertos TCP tradicionales pueden estar bloqueados o ser subóptimos. A diferencia de SMB sobre TCP, QUIC gestiona de forma nativa la reconexión transparente ante cambios de red (por ejemplo, cuando un portátil cambia de WiFi a datos móviles), lo que mejora significativamente la experiencia de usuario en escenarios de movilidad.

El Administrador de Windows Server (Windows Admin Center) consolida su posición como interfaz de gestión principal, con mejoras en la experiencia de usuario y nuevas extensiones para la gestión de almacenamiento y redes. La integración con Azure Arc permite gestionar servidores on-premises desde el portal de Azure, aplicar políticas de Azure Policy y utilizar servicios de Azure como backup, monitorización y actualización directamente desde el portal cloud sin necesidad de migrar cargas de trabajo. Esta capacidad de gestión híbrida es uno de los pilares de la estrategia de Microsoft para organizaciones que no quieren o no pueden migrar todas sus cargas a la nube.

• Secured-core Server habilitado por defecto en hardware compatible con TPM 2.0 y VBS
• SMB sobre QUIC: compartición de ficheros segura sin VPN, con reconexión transparente ante cambios de red
• SMB signing obligatorio por defecto entre clientes y servidores Windows Server 2025
• Hyper-V con soporte para GPUs virtualizadas mejoradas, GPU particionada y live migration más rápida
• Active Directory: mejoras en el nivel funcional del dominio y nuevas características de seguridad Kerberos
• Soporte nativo para contenedores Windows y mejoras en la integración con AKS Edge Essentials
• ReFS v3: mayor resiliencia y rendimiento para cargas de trabajo de almacenamiento intensivo
• Windows Defender mejorado con integración con Microsoft Sentinel y Defender for Endpoint
• Mejoras en NFS 4.1 para interoperabilidad con entornos Linux/Unix
• Azure Arc integrado como servicio del sistema operativo, no como add-on

SMB signing obligatorio: impacto en entornos mixtos

Una de las decisiones de seguridad más importantes de Windows Server 2025 es la habilitación obligatoria del SMB signing para todas las conexiones entre clientes y servidores Windows. Esta medida mitiga los ataques de tipo NTLM relay y man-in-the-middle sobre el protocolo de compartición de ficheros. El impacto en entornos con muchos equipos y alta carga de tráfico SMB puede ser un ligero aumento de la carga de CPU en el servidor de ficheros, generalmente asumible en hardware moderno. Sin embargo, el impacto mayor puede aparecer en entornos con sistemas operativos y software de terceros que acceden a recursos compartidos SMB y no soportan signing: NAS de terceros, aplicaciones legacy y dispositivos embebidos pueden requerir actualizaciones de firmware o ajustes de configuración para mantener la compatibilidad. Catalogar estos sistemas antes de la actualización ahorra interrupciones imprevistas.

Active Directory Domain Services (AD DS)

Active Directory Domain Services continúa siendo el rol más crítico en la inmensa mayoría de los entornos Windows empresariales. En Windows Server 2025, el nivel funcional de dominio y bosque más reciente desbloquea nuevas características de seguridad que justifican la actualización en entornos que aún operan con niveles funcionales anteriores. La transición al nivel funcional de Windows Server 2025 es un proceso irreversible que debe planificarse con pruebas exhaustivas en entorno de preproducción, prestando especial atención a aplicaciones que dependan del comportamiento de Kerberos o de características específicas de versiones anteriores del protocolo LDAP.

Las mejoras en AD DS de Windows Server 2025 incluyen soporte mejorado para autenticación sin contraseña (passwordless) mediante FIDO2 y Windows Hello for Business, integración más estrecha con Azure AD (ahora Microsoft Entra ID) para escenarios híbridos y mejoras en el cifrado de Kerberos con soporte para AES-256 y SHA-2 en todas las operaciones de autenticación. La eliminación progresiva del soporte para RC4 en Kerberos, que viene impulsada desde versiones anteriores, se consolida en Windows Server 2025, lo que puede afectar a sistemas heredados que aún dependían de ese cifrado para la autenticación.

El diseño del dominio sigue siendo crítico. Para entornos nuevos, una topología de bosque único con múltiples dominios por región o unidad de negocio sigue siendo la recomendación general. Los controladores de dominio deben ejecutarse en pares redundantes (mínimo dos por sitio) y el rol FSMO (Flexible Single Master Operations) debe distribuirse conscientemente entre ellos. La separación del rol de controlador de dominio del resto de servicios es una buena práctica de seguridad que Windows Server 2025 facilita con la opción de instalación Server Core. Ejecutar controladores de dominio en Server Core reduce drásticamente la superficie de ataque: sin interfaz gráfica, sin navegador web, sin componentes innecesarios que parcheando.

Roles FSMO: distribución y consideraciones de diseño

Los cinco roles FSMO (Schema Master, Domain Naming Master, PDC Emulator, RID Master e Infrastructure Master) tienen características operativas distintas que determinan su distribución óptima. El PDC Emulator es el rol más activo en el día a día: gestiona los cambios de contraseña, sincroniza el tiempo para todo el dominio y es el responsable de la resolución de bloqueos de cuentas. Por ello, debe alojarse en el controlador de dominio con mejor conectividad con todos los sitios y con los mejores recursos de hardware. RID Master e Infrastructure Master pueden coexistir en el mismo DC si no hay varios dominios en el bosque. Schema Master y Domain Naming Master solo se usan durante operaciones administrativas poco frecuentes y pueden estar en el mismo DC que el PDC Emulator sin problema operativo.

En entornos con varios sitios geográficos, la replicación entre sitios se gestiona mediante site links con costes y frecuencias configurables. Un error común es mantener el coste por defecto en todos los enlaces, lo que hace que el ISTG (Inter-Site Topology Generator) seleccione rutas de replicación que no reflejan la topología real de la red. Ajustar los costes de site link para que coincidan con el ancho de banda y latencia reales de cada enlace WAN garantiza que la replicación siga las rutas más eficientes y que los DC de cada sitio obtengan actualizaciones con la menor latencia posible.

Mejores prácticas para controladores de dominio en 2025

• Ejecutar controladores de dominio en Server Core (sin GUI) para reducir la superficie de ataque y simplificar el parcheo
• Habilitar Credential Guard para proteger los hashes de contraseñas en memoria con aislamiento de hipervisor
• Configurar Protected Users Security Group para todas las cuentas privilegiadas (bloquea NTLM, RC4 y delegación Kerberos sin restricciones)
• Activar el modo de auditoría avanzada en todos los controladores de dominio con envío a SIEM
• Implementar Privileged Access Workstations (PAW) para la administración de AD y sistemas de Tier 0
• Replicación entre sitios configurada con ISTG y costes de enlace ajustados a la topología real de red WAN
• Snapshots y backups de AD con System State Backup al menos diariamente, con prueba de restauración mensual
• Deshabilitar el protocolo NTLM en controladores de dominio cuando todos los clientes sean compatibles con Kerberos
• Revisar y limpiar cuentas con SPN (Service Principal Names) registrados, especialmente las susceptibles de Kerberoasting
• Configurar notificaciones automáticas ante la adición de cuentas a grupos privilegiados (Domain Admins, Enterprise Admins)

DNS Server: el rol que todo lo conecta

El servidor DNS de Windows Server es inseparable de Active Directory: AD depende completamente de DNS para el registro y la localización de servicios mediante registros SRV. Sin DNS funcional, la autenticación Kerberos falla, las GPOs no se aplican y los equipos no encuentran los controladores de dominio. Sin embargo, el rol DNS también gestiona la resolución de nombres para la infraestructura en general, y su correcta configuración es crítica para el rendimiento y la seguridad de toda la organización.

Las zonas DNS integradas en Active Directory (AD-integrated zones) replican automáticamente con AD, eliminando la necesidad de gestionar transferencias de zona manuales y garantizando alta disponibilidad. DNS Security Extensions (DNSSEC) permite firmar las zonas para prevenir ataques de envenenamiento de caché. En Windows Server 2025, la gestión de DNSSEC desde el GUI y PowerShell es más accesible que en versiones anteriores, y la firma automática de zonas puede configurarse con un solo clic en el DNS Manager. La validación de respuestas DNSSEC en los clientes requiere que los resolvers intermedios también soporten DNSSEC, lo que en redes corporativas suele funcionar bien pero puede requerir ajustes en entornos con DNS de terceros en la cadena de resolución.

La configuración de DNS condicional (Conditional Forwarders) y de zonas stub permite gestionar la resolución en entornos complejos con múltiples dominios, bosques o integraciones con DNS de proveedores cloud. Para la resolución de Internet, los reenviadores DNS deben apuntar a servidores seguros y con capacidades de filtrado (DNS over HTTPS, DoH), como los que ofrecen Cloudflare for Teams o Microsoft 365 Defender. Configurar los servidores DNS de Windows Server como resolvers con DoH para las consultas externas añade una capa de privacidad y seguridad frente a la interceptación del tráfico DNS en redes no confiables.

Separación de zonas internas y externas: split-brain DNS

En entornos donde los mismos nombres de dominio deben resolverse de forma diferente desde dentro y desde fuera de la red corporativa, la configuración split-brain DNS es la solución estándar. El servidor DNS interno devuelve las IP privadas de los servidores para acceso desde la red corporativa, mientras que el DNS externo (o un servidor separado en la DMZ) devuelve las IP públicas para acceso desde Internet. Esta configuración es habitual para servicios como el correo electrónico (Exchange), la VPN o los portales web internos que también deben ser accesibles externamente. En Windows Server 2025, la gestión de esta configuración se puede automatizar con PowerShell, lo que simplifica el mantenimiento cuando cambian las IPs de los servicios.

La monitorización del servicio DNS en entornos empresariales es fundamental: los fallos de DNS son responsables de una parte significativa de las incidencias que los usuarios reportan como 'problemas de red' o 'aplicación caída'. Configurar alertas sobre el estado del servicio DNS, el tiempo de respuesta de las consultas y el número de consultas fallidas o reenviadas permite detectar degradaciones antes de que se conviertan en incidencias visibles. El DNS Debug Logging, disponible en Windows Server DNS, proporciona un registro detallado de todas las consultas y respuestas para el diagnóstico de problemas complejos.

DHCP Server: gestión centralizada de direcciones IP

El rol de servidor DHCP en Windows Server 2025 gestiona la asignación dinámica de direcciones IP, máscaras de subred, puertas de enlace y opciones adicionales (DNS, servidores NTP, opciones específicas de aplicación) para los dispositivos de la red. Su configuración correcta es fundamental para el funcionamiento de toda la infraestructura. Un DHCP mal configurado puede causar conflictos de IP, tiempos de espera en el arranque de equipos y problemas de conectividad difíciles de diagnosticar.

La alta disponibilidad del DHCP se logra mediante la replicación de failover DHCP entre dos servidores, característica disponible desde Windows Server 2012 R2 que garantiza que si un servidor DHCP falla, el otro continúa sirviendo concesiones sin interrupción. El modo de failover puede configurarse como Hot Standby (uno activo, uno en espera, con conmutación automática) o Load Balance (ambos activos, repartiendo el trabajo al 50% por defecto, configurable). El modo Load Balance es generalmente preferible porque aprovecha los recursos de ambos servidores y la conmutación en caso de fallo es automática sin necesidad de intervención.

Una práctica común en entornos empresariales es dividir el ámbito DHCP entre dos servidores en proporción 80/20 como alternativa al failover nativo, especialmente en entornos con Windows Server más antiguos. Sin embargo, el failover nativo es superior porque sincroniza activamente la base de datos de concesiones y evita la asignación de la misma IP a dos dispositivos distintos. Las exclusiones y reservas deben documentarse en la IPAM (IP Address Management) corporativa. El módulo IPAM integrado en Windows Server permite gestionar los rangos DHCP de toda la infraestructura desde una consola centralizada, con detección de conflictos de IP y auditoría de concesiones históricas.

DHCP y seguridad: NAP, logging y protección frente a rogue DHCP

El servidor DHCP es un punto de control potencialmente poderoso para la seguridad de la red. La función de DHCP snooping en los switches de red (que debe configurarse en paralelo al servidor DHCP) evita que servidores DHCP no autorizados (rogue DHCP) distribuyan configuraciones maliciosas a los clientes. En el lado del servidor Windows, la autorización del servidor DHCP en Active Directory garantiza que solo los servidores DHCP registrados pueden operar en el dominio. El DHCP logging, habilitado por defecto, registra todas las concesiones, renovaciones y liberaciones con la dirección MAC del cliente, lo que proporciona información forense valiosa para identificar qué equipo tenía una IP determinada en un momento dado.

Para entornos con múltiples subredes, el relay DHCP (configurado en los routers o en un servidor dedicado con el rol de DHCP Relay Agent) permite usar servidores DHCP centralizados sin necesidad de desplegar uno en cada segmento de red. En Windows Server 2025, el servicio de Routing and Remote Access (RRAS) puede actuar como relay DHCP, aunque en la práctica los routers de red suelen gestionar este rol de forma más eficiente. La documentación de los rangos DHCP, las reservas estáticas y las opciones configuradas en cada ámbito debe mantenerse actualizada en la IPAM corporativa para evitar conflictos durante cambios de infraestructura.

File Server: almacenamiento compartido con DFS y FSRM

El rol de servidor de ficheros en Windows Server 2025 va mucho más allá del simple uso compartido de carpetas por red. Distributed File System (DFS) proporciona un espacio de nombres unificado que abstrae la ubicación física de los ficheros y permite replicación entre servidores en distintas ubicaciones geográficas mediante DFS Replication. Para los usuarios, el espacio de nombres DFS es transparente: acceden a \corp.local\recursos sin importar en qué servidor físico esté almacenado cada recurso, lo que facilita el mantenimiento, la migración de datos y la continuidad ante fallos de servidor.

File Server Resource Manager (FSRM) añade capacidades de gestión avanzada: cuotas por usuario o carpeta, pantallas de ficheros para bloquear tipos de fichero no autorizados (especialmente útil para bloquear ransomware que intenta cifrar extensiones conocidas) e informes de uso de almacenamiento programables. La combinación de FSRM con clasificaciones de datos y Data Loss Prevention (DLP) forma la base de una política de protección de datos en ficheros. Las pantallas de ficheros de FSRM pueden configurarse para enviar notificaciones por correo electrónico y registrar eventos en el visor de eventos cuando se intenta guardar un tipo de fichero bloqueado, lo que proporciona visibilidad temprana de comportamientos sospechosos como un intento de cifrado masivo por ransomware.

Work Folders es una característica que permite sincronizar ficheros del servidor de ficheros corporativo con dispositivos de los usuarios (Windows, iOS, Android) de forma segura, sin necesitar VPN. Aunque OneDrive for Business ha desplazado esta solución en muchos entornos con licencias Microsoft 365, Work Folders sigue siendo relevante en organizaciones con requisitos estrictos de soberanía de datos, en sectores regulados donde los datos no pueden almacenarse en la nube, o en empresas sin licencias de Microsoft 365 completas. La integración de Work Folders con MDM (Mobile Device Management) permite aplicar políticas de cifrado y borrado remoto de los datos sincronizados en dispositivos móviles.

DFS Replication: consideraciones de diseño y resolución de conflictos

DFS Replication (DFSR) replica los contenidos de las carpetas compartidas entre varios servidores usando un protocolo de replicación diferencial que solo transfiere los bloques de datos modificados, no los ficheros completos. Esto lo hace eficiente incluso con ficheros grandes o conexiones WAN lentas. Sin embargo, DFSR no es una solución de alta disponibilidad en tiempo real: tiene una latencia de replicación que depende del ancho de banda disponible y de la configuración de la planificación de replicación. Para entornos donde la coherencia inmediata de los datos entre servidores es crítica (por ejemplo, para aplicaciones que escriben y leen desde el mismo espacio compartido), DFSR no es la solución adecuada.

Los conflictos de replicación (cuando el mismo fichero se modifica simultáneamente en dos servidores antes de que la replicación sincronice los cambios) se resuelven por la regla de 'último escritor gana' basada en marca de tiempo. Esta resolución automática puede causar pérdida de datos si dos usuarios editan el mismo fichero simultáneamente desde servidores distintos. Para evitarlo, el diseño correcto de DFSR incluye designar un servidor primario para las escrituras en cada espacio de nombres y usar los demás como réplicas de solo lectura, o asegurarse de que los usuarios de cada sitio siempre acceden al servidor de su localización para escrituras.

Hyper-V: virtualización empresarial en Windows Server 2025

Hyper-V en Windows Server 2025 recibe mejoras significativas orientadas a las cargas de trabajo más exigentes. La compatibilidad ampliada con hasta 2048 vCPUs y 240 TB de RAM virtual por máquina virtual abre nuevas posibilidades para la consolidación de servidores de alta potencia. El soporte mejorado para GPU passthrough y virtualización de GPU particionada (GPU-PV) es relevante para cargas de trabajo de inteligencia artificial, renderizado o CAD que requieren aceleración gráfica en entornos virtualizados. Las mejoras en la migración en vivo (Live Migration) con compresión de memoria acelerada reducen el tiempo de la ventana de pausa durante la migración, lo que es crítico para aplicaciones sensibles a la latencia.

El diseño de un clúster Hyper-V empresarial requiere planificación cuidadosa en varios niveles: red, almacenamiento, cómputo y gestión. El Failover Clustering de Windows Server permite agrupar varios hosts Hyper-V en un clúster de alta disponibilidad donde las máquinas virtuales pueden migrar automáticamente en caso de fallo de un nodo. La configuración correcta del quórum del clúster (Witness Disk, File Share Witness o Cloud Witness en Azure) es crítica para evitar situaciones de split-brain. En entornos con solo dos nodos, el Cloud Witness en Azure es la opción recomendada por Microsoft como testigo de quórum, ya que elimina la dependencia de un tercer dispositivo físico.

Storage Spaces Direct (S2D) es la solución hiperconvergida de Microsoft que combina almacenamiento local de múltiples nodos en un pool compartido usando SMB Direct (RDMA) para la comunicación entre nodos. En Windows Server 2025, S2D mejora su rendimiento con soporte optimizado para NVMe, mejor aprovechamiento del RDMA y mayor eficiencia en la reconstrucción del almacenamiento tras el fallo de un disco o nodo. La arquitectura hiperconvergida reduce los costes de infraestructura al eliminar la necesidad de una SAN dedicada, aunque requiere hardware calificado en la lista de compatibilidad de Windows Server para entornos de producción con soporte completo.

Máquinas virtuales Generation 2: requisitos y ventajas

Windows Server 2025 incentiva el uso exclusivo de máquinas virtuales Generation 2, que ofrecen arranque UEFI (con soporte para Secure Boot), eliminan los dispositivos emulados lentos del Generation 1 (como el controlador IDE) y soportan las características de seguridad más recientes como vTPM (Trusted Platform Module virtual). Las VMs Generation 2 requieren que el sistema operativo invitado sea de 64 bits y compatible con arranque UEFI, lo que excluye sistemas operativos antiguos como Windows Server 2008 R2 o versiones de Linux sin soporte UEFI. Para sistemas operativos guest más recientes, la migración de Generation 1 a Generation 2 no es directa (no hay conversión in-place) pero el rendimiento y las capacidades de seguridad adicionales justifican el esfuerzo en sistemas nuevos.

El vTPM es especialmente importante para VMs que ejecuten Windows 11 como guest o para VMs que necesiten almacenar secretos de Bitlocker, credenciales de servicio o certificados de forma protegida por hardware virtual. El vTPM de Hyper-V usa el hipervisor como raíz de confianza para el chip TPM virtual, lo que garantiza que los secretos no son accesibles desde el host físico ni desde otras VMs en el mismo host. Para VMs con datos especialmente sensibles, la combinación de vTPM con Shielded VMs (VMs blindadas) proporciona el nivel más alto de protección contra acceso no autorizado al contenido de la VM, incluso por administradores del host.

Remote Desktop Services (RDS): acceso remoto centralizado

Remote Desktop Services proporciona acceso remoto a escritorios y aplicaciones de Windows desde cualquier dispositivo. En entornos empresariales donde se necesita centralizar el acceso a aplicaciones de línea de negocio o proporcionar escritorios virtuales a trabajadores remotos, RDS es una solución madura y bien integrada con el ecosistema Windows. La arquitectura basada en servidor centraliza la ejecución de las aplicaciones, lo que simplifica el mantenimiento (una sola instalación sirve a todos los usuarios) y facilita el control de acceso a datos sensibles que nunca salen del perímetro corporativo.

La arquitectura de RDS en Windows Server 2025 incluye los roles de Connection Broker (gestiona las conexiones, el balanceo de carga y la reconexión a sesiones existentes), Session Host (donde se ejecutan las sesiones de usuario, puede haber múltiples para escalar horizontalmente), Gateway (proporciona acceso seguro desde Internet sin VPN mediante HTTPS en el puerto 443) y Web Access (portal web HTML5 para acceso a aplicaciones y escritorios remotos desde cualquier navegador). Para alta disponibilidad, Connection Broker puede configurarse en modo activo-activo con una base de datos SQL Server compartida, y los Session Hosts se agrupan en colecciones con balanceo de carga automático.

Una alternativa moderna a RDS para los nuevos despliegues es Azure Virtual Desktop (AVD), especialmente en organizaciones con Microsoft 365 E3/E5 que incluyen licencias para Windows 11 multi-sesión. AVD ofrece escalado automático según la demanda, acceso desde cualquier lugar sin necesidad de Gateway propio gestionado por el equipo de TI y licenciamiento simplificado. Sin embargo, para organizaciones con requisitos estrictos de soberanía de datos, con aplicaciones que requieren latencia muy baja hacia servidores on-premises, o que necesitan que los datos nunca salgan de sus instalaciones, un despliegue RDS on-premises sigue siendo la opción técnicamente correcta.

Publicación de RemoteApp: aplicaciones sin escritorio completo

RemoteApp es una de las funcionalidades más valiosas de RDS para entornos empresariales: permite publicar aplicaciones individuales que se ejecutan en el servidor RDS pero aparecen en el escritorio del usuario como si fueran aplicaciones locales, con su propia barra de tareas, ventana redimensionable e integración con el portapapeles del cliente. Esta tecnología es ideal para publicar aplicaciones de línea de negocio que no pueden instalarse en los equipos de usuario por razones de compatibilidad, licenciamiento o control de versiones. Un ejemplo típico es publicar una aplicación ERP o de gestión documental como RemoteApp: los usuarios la abren desde su escritorio de Windows 10/11, trabajan con ella con fluidez, y la aplicación en realidad se ejecuta centralizada en el servidor, simplificando enormemente el mantenimiento y la actualización de la aplicación.

Web Server (IIS): publicación de aplicaciones empresariales

Internet Information Services (IIS) en Windows Server 2025 continúa siendo el servidor web de referencia para aplicaciones ASP.NET y .NET Core en entornos Windows. Aunque Nginx y Apache dominan en entornos Linux, IIS es frecuentemente el único servidor web compatible certificado para aplicaciones empresariales desarrolladas con tecnologías Microsoft, especialmente aquellas que usan autenticación integrada de Windows (Kerberos/NTLM), que requieren integración con certificados del almacén de Windows o que utilizan componentes COM/DCOM que solo funcionan correctamente bajo la identidad de servicio de IIS.

La configuración segura de IIS requiere atención a varios aspectos: eliminar las cabeceras HTTP que revelan información del servidor (X-Powered-By, Server), configurar correctamente los certificados TLS (mínimo TLS 1.2, preferiblemente TLS 1.3 con deshabilitación explícita de versiones anteriores), deshabilitar los módulos no utilizados (cada módulo habilitado es código que se ejecuta en el proceso del servidor y que puede contener vulnerabilidades), configurar Request Filtering para bloquear peticiones maliciosas (longitudes máximas de URL, extensiones bloqueadas, verbos HTTP permitidos) y habilitar el registro detallado de acceso con retención adecuada y envío a un SIEM.

Para entornos con múltiples aplicaciones web, el modelo de Application Pools de IIS permite aislar las aplicaciones entre sí: cada pool corre en su propio proceso w3wp.exe con su propia identidad de servicio y su propio espacio de memoria. Si una aplicación tiene un bug que provoca un fallo del proceso worker, el resto de aplicaciones en otros pools continúan funcionando sin interrupción. La habilitación de la Protección de AppPool mediante identidades virtuales (ApplicationPoolIdentity) es la práctica recomendada, ya que estas identidades tienen permisos mínimos por defecto y no requieren gestión de contraseñas. Para aplicaciones que necesitan acceder a recursos de red (bases de datos remotas, recursos compartidos), se puede usar una cuenta gMSA (Group Managed Service Account) como identidad del Application Pool, lo que elimina completamente la gestión de contraseñas de cuentas de servicio.

IIS y .NET Core: el modelo de hospedaje moderno

Con la consolidación de .NET Core (ahora simplemente .NET) como la plataforma de desarrollo principal de Microsoft, el rol de IIS en el hospedaje de aplicaciones web ha evolucionado. Las aplicaciones .NET modernas pueden ejecutarse de dos formas en IIS: en proceso (in-process), donde el runtime de .NET se ejecuta directamente dentro del proceso worker de IIS (mejor rendimiento, sin penalización de IPC); o fuera de proceso (out-of-process), donde IIS actúa como proxy inverso hacia el servidor Kestrel integrado en la aplicación. El modelo in-process es el recomendado para la mayoría de los escenarios por su mejor rendimiento y menor complejidad de despliegue. Para aplicaciones que necesitan escalar de forma independiente al servidor IIS o que se ejecutan en contenedores, el modelo out-of-process con Kestrel directamente expuesto (detrás de un proxy como Nginx o Application Gateway de Azure) puede ser más adecuado.

Windows Server Update Services (WSUS)

WSUS sigue siendo la solución estándar para gestionar las actualizaciones de Windows en entornos empresariales sin acceso directo a Windows Update o con necesidad de control centralizado sobre qué actualizaciones se aprueban y cuándo se despliegan. Aunque Microsoft ha apostado fuertemente por Windows Update for Business y Microsoft Intune como alternativas cloud, WSUS mantiene su relevancia en entornos con restricciones de conectividad a Internet, en redes clasificadas o con airgap, y en organizaciones con grandes parques de servidores y clientes donde el control granular del despliegue de actualizaciones es un requisito operativo.

El diseño de la infraestructura WSUS debe considerar la jerarquía de servidores (upstream/downstream) para entornos con múltiples oficinas con links WAN limitados, la base de datos subyacente (WID para hasta 30.000 clientes, SQL Server para entornos mayores o con mayor carga) y la estrategia de aprobación de actualizaciones. La práctica recomendada es crear grupos de equipos que permitan desplegar las actualizaciones primero en equipos de prueba (10-15% del parque), luego en el entorno piloto (usuarios que aceptan ser early adopters) y finalmente en producción con al menos una semana de desfase respecto al piloto, lo que proporciona tiempo suficiente para detectar problemas de compatibilidad.

WSUS presenta desafíos conocidos de mantenimiento que todo administrador que lo gestione debe conocer: la base de datos crece indefinidamente si no se ejecuta la tarea de limpieza periódicamente (la tarea Server Cleanup Wizard debe ejecutarse mensualmente), las sincronizaciones fallan silenciosamente con cierta frecuencia (especialmente tras actualizaciones del propio WSUS) y el rendimiento del portal web puede degradarse en entornos grandes con miles de clientes. Para organizaciones que buscan una alternativa más moderna y mantenible, Windows Update for Business con Intune (para gestión cloud) o Microsoft Endpoint Configuration Manager (MECM, anteriormente SCCM) para entornos on-premises complejos son las opciones a evaluar. PDQ Deploy y Patch My PC son alternativas de terceros especialmente populares en empresas medianas.

Seguridad integrada: Windows Defender y características avanzadas

Windows Server 2025 incluye un conjunto completo de características de seguridad integradas que han madurado significativamente. Windows Defender Antivirus ya no es solo un antivirus: con la activación de Tamper Protection y la integración con Microsoft Defender for Endpoint, proporciona capacidades de EDR (Endpoint Detection and Response) que antes solo estaban disponibles en soluciones de terceros. La detección de comportamientos sospechosos, la telemetría de amenazas y la respuesta automatizada a incidentes son capacidades que, con la correcta configuración e integración con Microsoft Sentinel, convierten cada servidor en un sensor de seguridad activo dentro de la infraestructura.

Credential Guard, basado en Virtualization Based Security (VBS), aísla los hashes de credenciales y los tickets Kerberos en un contenedor protegido por el hipervisor (Isolated User Mode), haciendo que ataques de tipo Pass-the-Hash y Pass-the-Ticket sean extremadamente difíciles incluso si el sistema operativo es comprometido. Device Guard y Application Control (WDAC) permiten crear políticas de lista blanca de aplicaciones que impiden la ejecución de código no autorizado, incluyendo malware, herramientas de los atacantes y scripts no firmados. La implementación de WDAC requiere un inventario exhaustivo del software legítimo que se ejecuta en cada tipo de servidor antes de activar la política, para evitar bloquear aplicaciones de negocio.

El Windows Admin Center incluye herramientas de seguridad integradas que permiten ejecutar análisis de configuración de seguridad contra benchmarks como CIS o STIG directamente desde la interfaz de gestión, con resultados que muestran las desviaciones respecto al estándar y recomendaciones de remediación. Esto reduce la barrera de entrada para implementar configuraciones de seguridad bien documentadas sin necesidad de herramientas externas adicionales como OpenSCAP o scripts personalizados de PowerShell.

Hardening del sistema operativo: configuraciones críticas

• Habilitar Windows Defender Firewall en todos los perfiles (Domain, Private, Public) con reglas mínimas necesarias
• Configurar auditoría avanzada de seguridad: inicio de sesión, gestión de cuentas, acceso a objetos, cambios de política
• Deshabilitar servicios no necesarios: Print Spooler en servidores que no sean de impresión, Bluetooth, Remote Registry si no es necesario
• Configurar política de AppLocker o WDAC para controlar qué ejecutables, scripts y DLLs pueden ejecutarse
• Habilitar Protected Event Logging para cifrar los logs de PowerShell y evitar que el atacante los borree
• Configurar LSA Protection (RunAsPPL) para proteger el proceso LSASS contra inyección de DLLs no confiables
• Deshabilitar SMBv1 de forma explícita (viene deshabilitado por defecto en Windows Server 2025 pero verificar en upgrades)
• Configurar TLS mínimo en 1.2 con deshabilitación explícita de SSLv3, TLS 1.0 y TLS 1.1 mediante GPO
• Implementar Microsoft Security Compliance Toolkit para aplicar las baselines de seguridad recomendadas por Microsoft
• Configurar alertas en Microsoft Defender for Endpoint o el SIEM corporativo para los eventos de seguridad más críticos

Certificate Services (AD CS): la autoridad de certificación corporativa

Active Directory Certificate Services (AD CS) es el rol que permite emitir y gestionar certificados digitales dentro del ecosistema Windows corporativo. Una autoridad de certificación (CA) interna es imprescindible para autenticar dispositivos en redes 802.1X (WiFi y cableado corporativo), publicar certificados para el cifrado de comunicaciones internas (LDAPS, RDP, IIS con TLS), habilitar la autenticación con tarjeta inteligente o Windows Hello for Business y firmar scripts de PowerShell con certificados corporativos.

La arquitectura recomendada para AD CS en entornos empresariales es una jerarquía de dos niveles: una CA raíz offline (Root CA instalada en un servidor sin conexión de red, guardado físicamente en un lugar seguro) y una o más CAs emisoras subordinadas en línea que emiten los certificados del día a día. La CA raíz solo se conecta para renovar los certificados de las CAs subordinadas, lo que la protege contra cualquier ataque de red. Las CAs subordinadas en línea son las que los sistemas contactan para emitir, renovar y revocar certificados, y su disponibilidad es crítica para el funcionamiento de los servicios que dependen de certificados.

La gestión del ciclo de vida de los certificados es un aspecto frecuentemente descuidado que causa incidentes evitables. Los certificados tienen fechas de caducidad, y un certificado caducado en un servicio crítico (un certificado de RDP, un certificado de IIS de la intranet, un certificado de autenticación WiFi) puede causar interrupciones inmediatas difíciles de diagnosticar bajo presión. Configurar alertas automáticas cuando los certificados se acercan a su caducidad (60 y 30 días antes) y mantener un inventario actualizado de todos los certificados emitidos y sus usos es una práctica imprescindible en cualquier entorno con AD CS.

Network Policy Server (NPS) y control de acceso a red

Network Policy Server es el servidor RADIUS de Microsoft, que actúa como punto central de autenticación y autorización para el acceso a la red corporativa. NPS procesa las solicitudes de autenticación de los switches (para acceso cableado 802.1X), los puntos de acceso WiFi (para la red corporativa con autenticación EAP), las soluciones de VPN (RRAS y VPN de terceros) y cualquier otro cliente RADIUS. La integración con Active Directory es nativa: NPS autentica a los usuarios y equipos contra AD y aplica políticas de acceso basadas en la pertenencia a grupos o en los atributos del objeto de equipo.

La autenticación 802.1X con certificados (EAP-TLS) es el método más seguro para el acceso a la red corporativa: tanto el equipo como el servidor de autenticación presentan certificados para verificar su identidad mutuamente, eliminando la posibilidad de que un equipo no gestionado se conecte a la red corporativa. La combinación de NPS con AD CS para la emisión automática de certificados de equipo mediante GPO y con Active Directory para la validación de la pertenencia al dominio forma un sistema de control de acceso robusto que impide la conexión de dispositivos no gestionados, personales o comprometidos a la red de datos corporativa.

Planificación del licenciamiento y ediciones

Windows Server 2025 está disponible en tres ediciones principales: Datacenter, Standard y Essentials. La edición Datacenter ofrece derechos de virtualización ilimitados (tantas VMs Windows Server como el host pueda soportar con licencia Datacenter en ese host) y acceso exclusivo a características como Storage Spaces Direct, Software-Defined Networking y AKS Edge Essentials. Standard incluye derechos para dos máquinas virtuales Windows Server por licencia y cubre la mayoría de los roles y características para entornos sin requisitos de virtualización masiva. La edición Essentials (para organizaciones de hasta 25 usuarios y 50 dispositivos) elimina algunas características avanzadas y tiene restricciones en el número de usuarios y conexiones.

El modelo de licenciamiento por núcleo (Core-based licensing) requiere licenciar todos los núcleos físicos del servidor, con un mínimo de 16 núcleos por servidor (dos paquetes de 8 núcleos como mínimo para los procesadores modernos con más de 8 núcleos). En servidores con procesadores de 32 o más núcleos (habituales en plataformas Intel Xeon Scalable o AMD EPYC de gama alta), el coste de la licencia puede ser significativo. Las CALs (Client Access Licenses) para los servicios como RDS (necesaria por usuario o dispositivo que acceda a RemoteApp o escritorios remotos) y para AD DS añaden coste por usuario o por dispositivo accedente. La planificación cuidadosa del licenciamiento, idealmente con la ayuda de un partner Microsoft, es importante tanto para el cumplimiento como para el control de costes, especialmente en entornos con muchos servidores físicos de alta densidad de núcleos.

Software Assurance y Azure Hybrid Benefit

Las organizaciones con Software Assurance (SA) activo en sus licencias de Windows Server obtienen varios beneficios adicionales relevantes: derechos de uso en Azure para las cargas de trabajo migrables (Azure Hybrid Benefit, que permite ejecutar VMs Windows Server en Azure con descuento significativo usando las licencias on-premises), acceso a nuevas versiones durante el periodo de SA y derechos de virtualización adicionales en algunos escenarios. El Azure Hybrid Benefit es especialmente valioso para organizaciones que operan en modo híbrido: los servidores con cargas variables pueden escalar temporalmente a Azure usando las licencias existentes durante los picos de demanda, pagando solo por el uso computacional adicional sin coste de licencia. Revisar periódicamente las licencias con SA activo y aprovechar el Azure Hybrid Benefit puede representar ahorros significativos en organizaciones con presencia en Azure.

Windows Server 2025 no es solo una actualización técnica: es una plataforma que acerca el datacenter on-premises al mundo cloud sin forzar una migración completa, permitiendo a las empresas avanzar a su propio ritmo con el nivel de control que cada organización necesita.

Azure Arc y gestión híbrida: el puente con la nube

Azure Arc es la característica que más diferencia a Windows Server 2025 de sus predecesores en términos de visión estratégica. Integrado directamente como capacidad del sistema operativo (no como software adicional que hay que instalar por separado), Azure Arc permite registrar servidores on-premises en Azure y gestionarlos desde el portal cloud de forma unificada. Una vez conectado, un servidor Windows Server 2025 on-premises aparece en Azure como un recurso gestionable al que se pueden aplicar políticas de Azure Policy, iniciar backups con Azure Backup, configurar la monitorización con Azure Monitor, gestionar las actualizaciones con Azure Update Manager y evaluar el cumplimiento de seguridad con Microsoft Defender for Cloud.

Esta capacidad es especialmente valiosa para organizaciones con entornos híbridos donde conviven servidores on-premises con cargas en Azure: la gestión unificada desde un único plano de control (el portal de Azure) simplifica las operaciones y reduce los silos entre los equipos que gestionan infraestructura on-premises y los que operan en la nube. Para equipos de seguridad, la visibilidad unificada de la postura de seguridad de todos los servidores (independientemente de si están en el datacenter propio o en Azure) desde Defender for Cloud es una mejora significativa respecto a las herramientas separadas que requería la gestión de entornos puramente on-premises.

Un aspecto práctico relevante de Azure Arc es que no requiere migrar cargas de trabajo a Azure: los servidores siguen ejecutándose on-premises con sus datos y aplicaciones sin cambios. Arc solo instala un agente ligero (Connected Machine Agent) que establece un canal de comunicación seguro saliente hacia Azure, sin necesidad de abrir puertos entrantes adicionales en el firewall perimetral. Esta arquitectura permite adoptar la gestión híbrida de forma incremental, comenzando con los beneficios más inmediatos como la monitorización centralizada o el inventario unificado.

Errores comunes al desplegar Windows Server 2025 en empresa

• Mantener niveles funcionales de dominio antiguos por miedo, perdiendo las mejoras de seguridad de los nuevos niveles
• No probar la compatibilidad del SMB signing obligatorio con NAS y aplicaciones de terceros antes de la actualización
• Instalar roles con GUI completa (Desktop Experience) en servidores de producción que solo necesitan Server Core
• No documentar las decisiones de diseño: un entorno bien configurado pero no documentado es frágil ante cambios de equipo
• Ignorar las alertas de caducidad de certificados de AD CS hasta que causan una incidencia en producción
• No distribuir conscientemente los roles FSMO y dejarlos todos en el mismo controlador de dominio
• Omitir la configuración de Credential Guard y Protected Users Security Group en cuentas privilegiadas
• No configurar Cloud Witness para el quórum del clúster Hyper-V en entornos con solo dos nodos
• Dejar WSUS sin la tarea de limpieza de base de datos programada, lo que causa degradación del rendimiento progresiva
• No revisar periódicamente los derechos de Azure Hybrid Benefit de las licencias con Software Assurance activo

Hoja de ruta de actualización: de Windows Server 2019/2022 a 2025

La actualización desde Windows Server 2019 o 2022 a la versión 2025 puede realizarse mediante upgrade in-place (actualización del sistema operativo en el mismo servidor) o mediante migración a servidores nuevos. El upgrade in-place es la opción más rápida pero implica un periodo de riesgo durante el proceso y limita la posibilidad de revertir si aparecen problemas de compatibilidad. La migración a servidores nuevos (o VMs nuevas) con Windows Server 2025, seguida de la migración de los datos y roles, es más lenta pero permite hacer el cambio de forma controlada con la posibilidad de mantener el servidor antiguo como respaldo durante un periodo de convivencia.

Para los controladores de dominio, Microsoft recomienda un proceso de actualización gradual: primero añadir nuevos controladores de dominio con Windows Server 2025 al dominio existente, luego transferir los roles FSMO a los nuevos DCs, verificar que la replicación funciona correctamente y que todos los clientes pueden autenticarse contra los nuevos DCs, y finalmente reducir el nivel funcional del dominio y bosque a Windows Server 2025 y retirar los controladores de dominio antiguos. Elevar el nivel funcional es irreversible, por lo que debe hacerse solo cuando se está seguro de que no hay servicios que dependan de características de versiones anteriores.

Antes de iniciar cualquier proceso de actualización, conviene auditar el entorno para identificar posibles problemas de compatibilidad: aplicaciones que dependan de SMBv1, servicios que usen autenticación NTLM donde Kerberos debería ser posible, certificados próximos a caducar, software de terceros que no soporte la versión de TLS más reciente o que use APIs del sistema operativo obsoletas. Esta auditoría, aunque costosa en tiempo, evita sorpresas durante el proceso de actualización y permite planificar las remediaciones con antelación.

La actualización a Windows Server 2025 no es un proyecto de un día: es una hoja de ruta que empieza con la auditoría del entorno, avanza con servidores de prueba y culmina con una migración controlada que no interrumpe el negocio.

Conclusión: modernizar sin migrar todo a la nube

Windows Server 2025 ofrece un conjunto de roles y servicios que cubren prácticamente todas las necesidades de infraestructura empresarial. Desde la gestión de identidades con AD DS hasta la virtualización con Hyper-V, pasando por el almacenamiento distribuido con DFS y S2D, la autoridad de certificación interna con AD CS, el control de acceso a red con NPS y la gestión híbrida con Azure Arc, la plataforma proporciona una base sólida y coherente para entornos on-premises, híbridos y en transición a la nube.

La clave para aprovechar al máximo Windows Server 2025 está en adoptar las prácticas de seguridad modernas que vienen habilitadas por defecto (Secured-core, Credential Guard, Defender con EDR) y en integrar la gestión on-premises con Azure Arc para obtener las ventajas de la visibilidad cloud sin abandonar el control sobre los datos. Para los equipos de IT que gestionan entornos Windows, la inversión en formación específica sobre las nuevas características de seguridad y en la revisión periódica de la configuración contra benchmarks del sector (CIS Benchmarks para Windows Server, STIG de DISA) es el mejor punto de partida para elevar la madurez del entorno.

A largo plazo, la verdadera modernización de una infraestructura Windows no consiste en migrar todo a Azure, sino en gestionar cada carga de trabajo en el lugar donde mejor se adapta a los requisitos de negocio, seguridad y coste: algunas cargas en Azure, otras on-premises con gestión híbrida vía Arc, y otras en modo hiperconvergido con S2D. Windows Server 2025 está diseñado para ser la plataforma que hace posible esa estrategia sin forzar decisiones binarias.