Poradnik administratora Windows Server 2008

Poradnik administratora Windows Server 2008

Materia powsta przy wspudziale wykadowcw autoryzowanych orodkw szkoleniowych Microsoft: ABC Data Altkom Akademia Combidata Comp Safe Support

Spis Treci
1. Instalacja i konfiguracja systemu Altkom Akademia .................................................................. 13
Edycje systemu Microsoft Windows 2008 ........................................................................................................13 Wymagania instalacyjne .........................................................................................................................................16 Proces instalacji i wstpnej konfiguracji penej wersji Windows Server 2008..................................... 17 Proces instalacji i wstpnej konfiguracji wersji Core .................................................................................... 23 Aktywacja systemu Volume Activation 2.0.......................................................................................................25 Boot Configuration Data......................................................................................................................... 28

Windows Deployment Services sieciowa dystrybucja systemw operacyjnych nowej generacji ........................................................................................................................................... 31
Troch historii..............................................................................................................................................................31 Format WIM.................................................................................................................................................................31 WDS charakterystyka usugi ..............................................................................................................................32 Instalacja i aktualizacja do usugi WDS .............................................................................................................34 Konfiguracja usugi WDS i dystrybucja systemw operacyjnych ..................................................... 36

2. Usuga wirtualizacji systemw operacyjnych ABC Data ............................................................ 55 Wstp .............................................................................................................................................................. 55

Korzyci z wirtualizacji ............................................................................................................................. 55

Usugi wirtualizacji Windows Server 2008 ........................................................................................ 56

Kluczowe funkcje wirtualizacji systemu Windows Server .................................................................. 56

Wirtualizacja Windows Serwer 2008 jako skadowa strategii Microsofts Datacenter-to-desktop Virtualization .......................................................................... 58
Wirtualizacja serwerowa (Server Virtualization) ............................................................................................ 59 Wirtualizacja prezentacji (Presentation Virtualization)................................................................................ 60 Wirtualizacja stacji roboczych (Desktop Virtualization) .............................................................................. 60 Wirtualizacja aplikacji (Application Virtualization) ....................................................................................... 61 Kompleksowe zarzdzanie rodowiskiem wirtualnym ....................................................................... 61

Identyfikacja kluczowych potrzeb biznesowych ............................................................................. 62

Konsolidacja serwerw ............................................................................................................................................62 Cigo dziaania procesw biznesowych i oporno na awarie ........................................................... 63 Testowanie i rozwj...................................................................................................................................................65 Zarzdzanie oddziaami zdalnymi ......................................................................................................... 66

Wymagania sprztowe i wsparcie ........................................................................................................ 68

Instalacja ........................................................................................................................................................ 69
Instalacja Hyper-V w systemie Windows 2008 CORE ................................................................................... 72 Zarzdzanie wirtualizacj systemu Windows Server za porednictwem programu MMC ............ 73 Instalacja systemu Gocia na Hyper-V .................................................................................................. 73

Procedura: Instalacja i konfiguracja Usug Terminalowych dostpnych przez www ........................ 112 Scenariusze wdroenia/wykorzystania ..............................................................................................................113 Zalecenia .......................................................................................................................................................................114 Podsumowanie ...........................................................................................................................................................114

Zakoczenie.................................................................................................................................................. 114 3. Usugi terminalowe Combidata .......................................................................................................... 77 Wprowadzenie ............................................................................................................................................. 77 Podstawowa funkcjonalno Usug Terminalowych ...................................................................... 78
Wstp .............................................................................................................................................................................78 Wsparcie dla architektury 64-bitowej ................................................................................................................82 Instalacja i konfiguracja ...........................................................................................................................................83 Uwierzytelnianie.........................................................................................................................................................84 Przekierowanie urzdze........................................................................................................................................85 Nowe moliwoci rodowiska ...............................................................................................................................87 Zarzdzanie zasobami Usug Terminalowych .................................................................................................90 Scenariusze wdroenia/wykorzystania ..............................................................................................................91 Zalecenia .......................................................................................................................................................................92 Podsumowanie ......................................................................................................................................... 93

4. Bezpieczna administracja zdalnymi lokalizacjami Comp Safe Support ............................... 117

Wstp ......................................................................................................................................................... 117

Kontroler domeny tylko do odczytu RODC (Read Only Domain Controller) ...................... 117
Wstp .............................................................................................................................................................................117 Active Directory tylko do odczytu.......................................................................................................................118 Replikacja jednokierunkowa ..................................................................................................................................118 System nazw domen (DNS) tylko do odczytu ................................................................................................118 Buforowanie Powiadcze ......................................................................................................................................118 Wymagania wstpne ................................................................................................................................................119 Instalacja RODC na penej platformie Windows Serwer 2008 .................................................................. 120 Instalacja RODC na Windows Serwer 2008 Server Core ............................................................................. 122 Instalacja RODC w trybie delegacji uprawnie .............................................................................................. 123 Delegowanie uprawnie lokalnego Administratora RODC ....................................................................... 126 Konfiguracja polityki replikacji hase dla kontrolera RODC. ...................................................................... 127 Reset hase przechowywanych na kontrolerze RODC........................................................................ 128

Brama Usug Terminalowych .................................................................................................................. 93

Wstp .............................................................................................................................................................................93 Zalety Bramy Usug Terminalowych ...................................................................................................................94 Zarzdzanie Bram Usug Terminalowych .......................................................................................................95 Wymagania Bramy Usug Terminalowych ........................................................................................................95 Konfiguracja Bramy Usug Terminalowych ......................................................................................................96 Procedura: Konfiguracja Bramy Usug Terminalowych................................................................................ 98 Zalecenia .......................................................................................................................................................................102 Podsumowanie ......................................................................................................................................... 103

BitLocker Drive Encryption (BDE) szyfracja dyskw ................................................................... 129

Do czego i dla kogo? ...............................................................................................................................................129 Szyfracja danych ........................................................................................................................................................130 Ochrona klucza VEK..................................................................................................................................................130 Sytuacje awaryjne ......................................................................................................................................................131 Szyfracja dodatkowych dyskw............................................................................................................................132 Konfiguracja BDE poprzez GPO (Group Policy Object) ............................................................................... 132 Wymagania sprztowe ............................................................................................................................................133 Partycjonowanie dysku bez systemu operacyjnego pod ktem funkcji BitLocker ........................... 134 Wczanie funkcji BitLocker Drive Encryption (BDE) .................................................................................... 135 Porcedura odzyskiwania dostpu do danych przy uyciu Bitlocker Drive Encryption (BDE)........ 139 Wyczanie funkcji Bitlocker Drive Encryption (BDE) ......................................................................... 140

Usuga TS RemoteApp .............................................................................................................................. 103

Wstp .............................................................................................................................................................................103 Praktyka.........................................................................................................................................................................105 Procedura: Wdroenie TS RemoteApp ..............................................................................................................107 Scenariusze wdroenia/wykorzystania ..............................................................................................................109 Zalecenia .......................................................................................................................................................................109 Podsumowanie ...........................................................................................................................................................110

Windows Serwer 2008 NetIO ............................................................................................................. 140

Wstp .............................................................................................................................................................................140 TCP/IP nowa generacja............................................................................................................................................140 Protoko IPv6 ...............................................................................................................................................................145

Usuga TS Web Access .............................................................................................................................. 110

Wstp .............................................................................................................................................................................110 Praktyka.........................................................................................................................................................................111

Kontrola jakoci pocze (Quality of service) ................................................................................................146 Zapora systemu Windows Serwer 2008 ............................................................................................... 147

Konfiguracja serwera IIS za pomoc ApplicationHost.config ........................................................... 196

Monitorowanie i obsuga bdw ........................................................................................................ 197

Monitoring FREB/MFRT (Making Failed Request Tracing) ......................................................................... 198 Runtime Status and Control API (RSCA) ............................................................................................... 200

Blok komunikatw serwerw (SMB) 2.0............................................................................................. 148

Wstp .............................................................................................................................................................................148 Cechy protokou SMB 2.0 .......................................................................................................................................149

Bezpieczestwo ........................................................................................................................................... 200

Delegowanie kontroli ...............................................................................................................................................201 Lokalne konta w IIS 7.0 ............................................................................................................................................202 Zdalna administracja ................................................................................................................................................203 Autoryzacja ............................................................................................................................................... 204

5. Zarzdzanie tosamoci i dostpem Altkom Akademia ......................................................... 151

Czym jest tosamo i dostp? .............................................................................................................................151 Tosamo i dostp w Windows Server 2003..................................................................................................152 Tosamo i dostp w Windows Server 2003 R2 ........................................................................................... 152 Tosamo i dostp w Windows Server 2008 ...................................................................................... 153

Podsumowanie ............................................................................................................................................ 204 7. Zarzdzanie usugami systemu Comp Safe Support .................................................................. 207 Wstp .............................................................................................................................................................. 207 Cechy konsoli, role oraz funkcje serwera........................................................................................... 207
Przegld konsoli Server Manager .......................................................................................................................207 Role serwera Windows Server 2008 ...................................................................................................................209 Funkcje serwera Windows Server 2008.............................................................................................................210 Zarzdzanie rolami i funkcjami z konsoli Server Manager ........................................................................ 213

Active Directory Rights Management Services ............................................................................... 154

Role administracyjne AD RMS ..............................................................................................................................155 Wymagania dla usugi AD RMS ...........................................................................................................................155 Zalecenia przed-instalacyjne .................................................................................................................................157 Zalecenia dla aktualizacji RMS do AD RMS .....................................................................................................157 Instalacja AD RMS .................................................................................................................................... 158

Network Access Protection ..................................................................................................................... 169

Czym jest NAP ............................................................................................................................................................169 Kiedy stosowa ...........................................................................................................................................................170 Komponenty infrastruktury ...................................................................................................................................170 Jak skonfigurowa NAP z usug DHCP ............................................................................................................172 Jak skonfigurowa NAP z uwierzytelnieniem 802.1X................................................................................... 175 Jak skonfigurowa poczenia VPN wykorzystujc NAP............................................................................. 178 Jak skonfigurowa NAP w poczeniu z IPsec ................................................................................................182

Server Core.................................................................................................................................................... 215

Wstp ......................................................................................................................................................... 215

Instalacja i konfiguracja Server Core ................................................................................................... 217

Instalacja .......................................................................................................................................................................217 Lokalna konfiguracja Server Core........................................................................................................................218 Ustawienie hasa administratora ..........................................................................................................................218 Przypisywanie staego adresu IP oraz domylnej bramy ............................................................................ 218 Konfiguracja waciwoci protokou TCP/IP.....................................................................................................219 Inne czynnoci administracyjne............................................................................................................................219 Instalacja i usuwanie rl serwerowych ...............................................................................................................220 Instalacja pozostaych rl .......................................................................................................................................221 Instalacja funkcji serwera ........................................................................................................................................223 Zdalna administracja systemem Server Core....................................................................................... 223

6. Platforma webowa IIS 7.0 ABC Data ................................................................................................. 185 Wstp .............................................................................................................................................................. 185 Instalacja Serwera IIS 7.0 .......................................................................................................................... 186
Instalacja Serwera IIS 7.0 za pomoc aplikacju Server Manager ............................................................. 187 Instalacja za pomoc narzdzi linii polece ....................................................................................................187 Instalacja niepilnowana ...........................................................................................................................................188 Weryfikacja poprawnoci instalacji ....................................................................................................... 188

Windows PowerShell wstp................................................................................................................. 224

Czym jest PowerShell Cmdlet?..............................................................................................................................225 Uycie PowerShell w administracji ......................................................................................................................225 Instalacja Windows PowerShell ............................................................................................................................227 Uycie polece interpretera CMD .......................................................................................................................227 Zarzdzanie usugami ..............................................................................................................................................228

Administracja serwerem IIS 7.0 ............................................................................................................. 189 Podstawowe operacje administracyjne ........................................................................................ 190 Konfiguracja Serwera IIS 7.0 ................................................................................................................... 196

Zarzdzanie procesami ............................................................................................................................................234 Kontrolowanie wykonywanych polece ............................................................................................... 236

8. Wysoka dostpno Combidata ......................................................................................................... 241 Wprowadzenie ............................................................................................................................................. 241 Klastry niezawodnociowe ...................................................................................................................... 241
Wstp ......................................................................................................................................................... 241 Weryfikowanie zawartoci wza klastra...........................................................................................................244 Udoskonalenia w procesie instalacji klastra .....................................................................................................244 Udoskonalenia w zarzdzaniu i funkcjonowaniu klastrw......................................................................... 245 Udoskonalenia konfiguracji i zarzdzania pamiciami masowymi......................................................... 245 Udoskonalenia w bezpieczestwie .....................................................................................................................247 Udoskonalenia w komunikacji sieciowej...........................................................................................................247 Praktyka.........................................................................................................................................................................249 Wymagania klastra niezawodnociowego .......................................................................................................250 Migracja klastrw ......................................................................................................................................................251 Procedura: Instalacja funkcji klastra niezawodnociowego ....................................................................... 251 Kreator Weryfikowania Konfiguracji Klastra (ClusPrep) .............................................................................. 252 Weryfikowanie konfiguracji wzw klastrw .................................................................................................253 Procedura: Kreator weryfikacji konfiguracji klastra ...................................................................................... 254 Administrator klastra ................................................................................................................................................255 Procedura: Konfigurowanie klastra .....................................................................................................................255 Maksymalizowanie dostpnoci...........................................................................................................................256 Klastry niezawodnociowe rozproszone geograficznie............................................................................... 257 Zalecenia .......................................................................................................................................................................257 Podsumowanie ......................................................................................................................................... 258

Zakoczenie.................................................................................................................................................. 258 Partnerzy: ABC Data ........................................................................................................................................................ 260 Altkom ................................................................................................................................................................... 261 Combidata..................................................................................................................................................... 262 Comp Safe Support ................................................................................................................................... 263

10

1.

Instalacja i konfiguracja systemu

Microsoft Windows Server 2008 w porwnaniu z poprzednimi wersjami sytemu posiada zoptymalizowany i bardzo prosty proces instalacji. Uczestnictwo uytkownika zostao ograniczone do minimum. Instalator systemu wymaga podania tylko najistotniejszych informacji, takich jak miejsce instancji czy edycja systemu, ktra ma zosta zainstalowana. Pozostae elementy zwizane z konfiguracj zostay przeniesione do narzdzia Initial Configuration Tasks Wizard, ktre jest automatycznie uruchamiane po zakoczeniu instalacji i pierwszym zalogowaniu do systemu. Ten ulepszony instalator skraca znacznie czas oraz wysiek powicony na przygotowanie serwera do pracy. W tabeli poniej zosta porwnany proces instalacji i wstpnej konfiguracji systemu Windows Server 2008 z systemem Windows Server 2003 Windows Server 2003 Windows Server 2003 Setup Security updates Manage Your Server Configure Your Server Wizard Windows Components Computer Management Security Configuration Wizard Windows Server 2008

Operating System Setup Initial Configuration Tasks Server Manager

Edycje systemu Microsoft Windows 2008

Podobnie jak wczeniejsze wersje systemu, Microsoft Windows Server 2008 wystpuje w kilku edycjach, ktre maj zaspokoi potrzeby rnych klientw. Poniej zostao przedstawione zestawienie edycji. Edycja Opis Edycja systemu Windows Server 2008 zapewnia podstawow funkcjonalno serwera w wikszoci jego rl i zastosowa. Dotyczy to obu opcji instalacji: wersji penej i wersji Server Core. Jest to edycja oparta na Windows Server 2008 Standard Edition, zapewniajca jednak wiksz skalowalno i dostpno, a take wzbogacona o technologie przeznaczone dla duych przedsibiorstw, takie jak klastry i Active Directory Federation Services.

Windows Server 2008 Standard Editionx

Windows Server 2008 Enterprise Edition

13

Windows Server 2008 Datacenter Edition

Edycja oferuje takie same funkcje jak Windows Server 2008 Enterprise Edition, a ponadto obsuguje dodatkow pami i procesory oraz zapewnia nieograniczone prawa uywania obrazu wirtualnego. Edycja ta jest przeznaczona w szczeglnoci do zastosowania jako serwer sieci Web i aplikacji. Inne role serwera i s niedostpne w tej wersji. Jest to wersja przeznaczona dla komputerw z 64-bitowym procesorem Intel Itanium. Peni funkcje serwera sieci Web i aplikacji. Inne role i funkcje serwera mog by niedostpne.

DNS Server Fax Server UDDI Services Windows Deployment Services Active Directory Certificate Services File Services Network Policy and Access Services Terminal Services

2 3 4 5

Windows Web Server 2008

Windows Server 2008 dla systemw opartych na procesorze Itanium

Microsoft Windows Server 2008 pracuje zarwno na 32-bitowej jak i 64-bitowej platformie sprztowej. Poniej zostay przedstawione role serwera, ktre mog by instalowane na poszczeglnych edycjach Windows Server 2008

Server Role Web Services (IIS) Application Server Print Services Hyper-V1 Active Directory Domain Services Active Directory Lightweight Directory Services Active Directory Rights Management Services DHCP Server

Enterprise

Datacenter

Standard

Itanium

Web

Active Directory Federation Services

Dla klientw, ktrzy nie potrzebuj wirtualizacji firma Microsoft przygotowaa edycje Windows Server 2008 Standard, Enterprise oraz Datacenter bez technologi Windows Server 2008 Hyper-V Technology. Ograniczenie tylko do tworzenia urzdw certyfikatw (Certificate Authorities) bez innych funkcji ADFS (NDES, Online Responder Service). Ograniczenie do jednego wolno stojcego roota DFS. Ograniczenie do 250 pocze RRAS, 50 pocze IAS i 2 IAS Server Groups. Ograniczenie do 250 pocze Terminal Services Gateway.

Scenariusze aktualizacji

Niniejszy rozdzia opisuje czyst instalacj systemu Windows 2008 nie zajmujc si moliwoci aktualizacji z wczeniejszych wersji systemu, niemniej jednak w tabeli poniej zostay podane moliwe uaktualnienia, aby uatwi potencjalnym nabywcom decyzj, co do zakupu produktu.

14

15

Posiadana wersja Windows Server 2003 R2 Standard Edition Windows Server 2003 Standard Edition z Service Pack 1 (SP1) Windows Server 2003 Standard Edition z Service Pack 2 (SP2) Windows Server 2008 Standard RC0

Do jakiej wersji mona wykona aktualizacj

Pami:

Pena instalacja systemu Windows Server 2008 Standard Pena instalacja systemu Windows Server 2008 Enterprise

Minimum: 512 MB zarwno dla wersji penej jak i Server Core Rekomendowane: 1 GB lub wicej dla wersji penej Optymalne: 2 GB lub wicej dla wersji penej systemu i 1GB lub wicej dla Server core Maksimum (dla 32-bit systemw): 4 GB dla Windows Server 2008 Standard, 64 GB dla Windows Server 2008 Enterprise lub Windows Server 2008 Datacenter Maksimum (dla 64-bit systemw): 32 GB dla Windows Server 2008 Standard, 2 TB dla Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, lub Windows Server 2008 for Itanium-Based Systems

Dysk:
Windows Server 2003 R2 Enterprise Edition Windows Server 2003 Enterprise Edition z Service Pack 1 (SP1) Windows Server 2003 Enterprise Edition z Service Pack 2 (SP2) Windows Server 2008 Enterprise RC0

Pena instalacja systemu Windows Server 2008 Enterprise

Minimum: 8 GB dla wersji penej jak i Server Core Rekomendowane: 40 GB dla wersji penej systemu, 8 GB dla Server Core Optymalne: 80 GB dla penej wersji systemu, 40 GB dla Server Core Komputery posiadajce wicej ni 16 GB RAM potrzebuj wicej miejsca na dysku na pliki stronicowania, hibernacj, czy zrzut pamici.

Windows Server 2003 R2 Datacenter Edition Windows Server 2003 Datacenter Edition z Service Pack 1 (SP1) Windows Server 2003 Datacenter Edition z Service Pack 2 (SP2) Windows Server 2008 Datacenter RC0

Proces instalacji i wstpnej konfiguracji penej wersji Windows Server 2008

Pena instalacja systemu Windows Server 2008 Datacenter Proces instalacji Windows Server 2008 zosta bardzo uproszczony i jest identyczny z instalacj Windows Vista. Po woeniu pyty instalacyjnej do napdu, pojawia si pierwsze okno instalatora, w ktrym mona wybra ustawienia jzyka, czasu i ukadu klawiatury.

Aktualizacja wersji 32-bitowej na 64-bitow i odwrotnie nie jest wspierana. Nie moliwoci aktualizacji poprzednich wersji systemu do instalacji Server Core. Nie ma rwnie moliwoci aktualizacji penej instalacji Windows Server 2008 do instalacji Server Core. Podobnie jest zreszt z instancj Server Core nie moe by ona uaktualniana do penej wersji Windows Server 2008.

Wymagania instalacyjne
Poniej zostay podane wymagania, ktre musi spenia sprzt, aby bya moliwa instancja i praca z Windows Server 2008

Procesor:

Minimum: 1 GHz (dla x86) lub 1.4 GHz (dla x64) dla penej wersji systemu Rekomendowane: 2 GHz lub szybszy Optymalne: 3 GHz lub szybszy

16

17

Instalator systemu Windows 2008 bdzie potrzebowa jeszcze kilku podstawowych informacji, podanych w pocztkowe fazie procesu. Midzy innymi jest to klucz produktu. W tym momencie mona rwnie zaznaczy aktywacj systemu, jeli komputer ma moliwo poczenia z Internetem. Nowoci jest moliwo zainstalowania bez podawania klucza produktu w czasie instalacji.

Kolejny krok instalatora to umowa licencyjna, ktr naley zaakceptowa.

Poniszy ekran wyglda rnie w zalenoci od tego czy zosta wprowadzony klucz produktu czy nie. Jeli klucz produktu zosta podany jest wybierana odpowiednia edycja systemu do instalacji, w przeciwnym razie mona wybra edycj systemu do instalacji.

Ostatnie informacje wymagane przez instalator to konfiguracja partycji, na ktrej system zostanie zainstalowany. Oprcz moliwoci stworzenia nowej partycji, skasowania, sformatowania lub rozszerzenia mona rwnie poda sterowniki potrzebne do prawidowej instalacji. Nowoci jest moliwo dodania sterownikw z dowolnego napdu: CD, DVD, lub USB.

18

19

Po podaniu wymaganych informacji system ju instaluje si dalej automatycznie. Instalator systemu Windows Server 2008 wykona automatycznie wszystkie wymagane restarty, a nastpnie nastpi pierwsze uruchomienie systemu. Domylnie haso administratora pozostaje puste, trzeba je ustawi w czasie pierwszego uruchomienia systemu.

minimum pewne parametry przyjmuj domylne wartoci pocztkowe. Ponisza tabela pokazuje niektre ustawienia domylne instalacji Windows Server 2008. Ustawienie Haso administratora Nazwa komputera Czonkostwo w domenie Usuga Windows Update Poczenia sieciowe Zapora systemu Windows Zainstalowane role Domylna konfiguracja Domylnie haso konta administratora jest puste. Podczas instalacji nadawana jest losowa nazwa komputera. Domylnie komputer nie jest wpity do domeny; znajduj si grupie roboczej o nazwie WORKGROUP . Usuga Windows Update jest domylnie wyczona. Adresy IP pobierane s z serwera DHCP . Zapora systemu Windows jest domylnie wczona. Domylnie nie s zainstalowane adne role ani funkcje.

Po uruchomieniu systemu, zmianie hasa administratora i pierwszym zalogowaniu automatycznie pojawi si okno Initial Configuration Tasks. Narzdzie Initial Configuration Tasks jest wykorzystywane w celu szybkiego skonfigurowania ustawie serwera przede wszystkim domylnej konfiguracji poinstalacyjnej. Pozwala ono ustawi stref czasow, przypisa stay adres IP , zmieni nazw komputera i jego czonkostwo w domenie, oraz ustawienie pobierania poprawek systemowych i konfiguracj zapory sieciowej. W fazie wstpnej konfiguracji mog rwnie zosta przypisane role i funkcje do serwera.

Proces instalacji Windows Server 2008 przebiega szybko i sprawnie a osoba instalujca nie musi stale kontrolowa instalacji i wprowadza informacji wymaganych przez instalator systemu. Poniewa ilo informacji wprowadzanych w czasie pracy instalatora zostaa ograniczona do

20

21

Nie tylko proces instalacji systemu zosta bardzo uproszczony. Prostsze jest rwnie konfigurowanie systemu do wykonywania okrelonych zada w sieci. Konfiguracja serwera zostaa sprowadzona do przypisywania mu konkretnych rl i funkcji. Rola serwera opisuje gwne zadanie, do ktrego serwer jest przeznaczony. Jednemu serwerowi mona przydzieli wiele rl: Active Directory Certificate Services Active Directory Domain Services Active Directory Lightweight Directory Services Active Directory Federation Services Active Directory Rights Management Services DNS Server DHCP Server Fax Server File Server Terminal Services Network Access Services Print server Windows Deployment Services Windows Media Services UDDI Services Web Server (IIS) Windows SharePoint Services

Windows Activation Service (WAS) Wireless Networking LPR Port Monitor Removable Storage Manager Remote Assistance Simple TCP/IP Services Telnet Client Telnet Server TFTP Client Windows Internet Name Service (WINS) Windows Server Backup Failover Clustering

Zwykle przypisywanie i rl i funkcji serwera zwizane jest z procesem zarzdzania serwerem i wykonywane przy pomocy Server Manager opisanego w dalszej czci niniejszej ksiki.

Proces instalacji i wstpnej konfiguracji wersji Core

Opcja instalatora Windows Server 2008 Server Core Instalation pozwala na zainstalowanie systemu z podstawow minimaln funkcjonalnoci potrzebn do uruchamiania wybranych rl i funkcji serwera bez rodowiska graficznego, redukuje to czynnoci zwizane z konserwacj i zarzdzaniem rodowiskiem, jak rwnie przestrze naraon na atak. Poza ograniczeniem liczby serwisw i dostpnoci rozbudowanych narzdzi graficznych do zarzdzania systemem, wersja Server Core ma rwnie ograniczone moliwoci konfiguracji rl i funkcji serwera. W tabeli poniej zostay zestawione role, ktre mog by konfigurowane na instalacji Server Core dla rnych edycji systemu. Server Role Web Services (IIS) Enterprise Datacenter Standard Web Itanium

Funkcja nie oznaczaj zwykle gwnych zada serwera, tylko pomocnicze lub dodatkowe elementy wspierajce prac i funkcjonalno serwera: Background Intelligent Transfer Service (BITS) Server Extensions Windows BitLocker Drive Encryption Multipath I/O Storage Manager for Storage Area Networks (SANs)

Print Services Hyper-V1 Active Directory Domain Services

22

23

Active Directory Lightweight Directory Services DHCP Server DNS Server File Services

Zmieni nazw serwera Doda serwer do istniejcej domeny, jeli ma pracowa w rodowisku domenowym Aktywowa system Skonfigurowa zapor sieciow Wikszo tych czynnoci trzeba wykona z wiersza polece, tabela poniej zestawia polecenia uywane w tym celu. Wiersz polece Interfejs graficzny Podczas logowania na konto administratora wcisn klawisze CTL+ALT+DEL i wybra Change Password

Dla klientw, ktrzy nie potrzebuj wirtualizacji firma Microsoft przygotowaa edycje Windows Server 2008 Standard, Enterprise oraz Datacenter bez technologi Windows Server 2008 Hyper-V Technology. Ograniczenie do jednego wolnostojcego roota DFS Podczas instalacji kopiowane s tylko te binaria, ktre s niezbdne do poprawnego funkcjonowania rl i usug dostpnych w wersji Server Core. Proces instalacji systemu nie rni si niczym od instalacji penej wersji. Rnic mona zobaczy dopiero po pierwszym zalogowaniu, zamiast interfejsu graficznego pojawi si wiersz polece.

Ustawienie hasa administratora

Net user administrator *

Konfiguracja stae adresu IP

netsh interface ipv4 set address name=<ID> source=static address=<StaticIP> mask=<SubnetMask> gateway=<DefaultGateway> netsh interface ipv4 add dnsserver name=<ID> address=<DNSIP>index=1 Naley konfigurowa zdalnie z innego komputera Netsh advfirewall Set machine <ServerName> Netdom renamecomputer %computername% / NewName:<NewComputerName> slmgr.vbs -ato netdom join %computername% /domain:<DomainName> / userd:<UserName> /passwordD:*

Nie ma

Konfiguracja adresu serwera DNS

Nie ma

Konfiguracja Windows Firewall

Mona wykorzysta konsol Windows Firewall z Windows Vista lub Windows 2008 do zdalnego ustawienia zapory.

Zmiana nazwy serwera Aktywacja Dodanie serwera do domeny Podobnie jak w przypadku penej wersji Server Core zostanie zainstalowany z domylnymi ustawieniami. Na pocztek, wic trzeba wykona wstpn konfiguracj: Ustawi haso administratora, domylnie haso jest puste Ustawi adres IP jeli ma by stay domylnie jest on pobierany z serwera DHCP ,

Nie ma Nie ma Nie ma

Aktywacja systemu Volume Activation 2.0

Wszystkie instalacje systemu Windows Vista oraz Windows Server 2008 musz zosta aktywowane w cigu 30 dni od chwili instalacji. Technologia Volume Activation 2.0 zostaa zaprojektowana

24

25

aby pomc specjalistom IT aktywowa edycje systemu Windows licencjonowane zbiorowo. Wykorzystanie technologii aktywacji zbiorowej moe przyspieszy i uproci wdraanie, zapewni skuteczne rodki przeciwko piractwu, jak rwnie da wiele korzyci zwizanych z zarzdzaniem i bezpieczestwem. Edycje licencjonowane zbiorowo domylnie nie wymagaj wprowadzania klucza produktu w trakcie instalacji. Administratorzy systemu mog zlicza aktywacje przy uyciu standardowego oprogramowania zarzdzania systemem, na przykad Microsoft Operations Manager (MOM) oraz mie dostp do bardzo szczegowych informacji na temat instalowanych licencji, stanu licencji i biecego terminu aktywacji lub terminu wygasania. Technologia Volume Activation 2.0 zapewnia klientom dostp do dwch typw kluczy oraz trzech metod aktywacji: Klucz Multiple Activation Key (MAK) Niezalena aktywacja klucza MAK Aktywacja proxy klucza MAK Klucz Key Management Service (KMS) Aktywacja usugi KMS

Server Group B

Windows Server 2008 Standard Windows Server 2008 Enterprise Windows Server 2008 Storage Server Enterprise Windows Server 2008 Datacenter Windows Server 2008 Itanium

MAK_B

KMS_B

Server Group C

MAK_C

KMS_C

Grupy produktw zorganizowane s wedug hierarchii celw aktywacji. Kada kolejna grupa produktw aktywuje wszystkie wczeniejsze grupy produktw. Innymi sowy, host usugi KMS z zainstalowanym kluczem KMS_B bdzie mg aktywowa nie tylko urzdzenia klienckie usugi KMS z grupy serwera B, ale rwnie urzdzenia klienckie korzystajce z systemu Vista oraz grupy serwera A. Klucz usugi KMS KMS KMS_A Grupy produktw Vista VL Vista VL Server Group A Vista VL Server Group A Server Group B Vista VL Server Group A Server Group B Server Group C

KMS_B

W zalenoci od potrzeb przedsibiorstwa i jego infrastruktury sieciowej, klienci mog wybra dowoln metod aktywacji. Aby uproci aktywacj zbiorow rnych wersji klienckich i serwerowych, firma Microsoft wprowadzia pojcie grup edycji produktw licencjonowanych zbiorowo (Volume Edition Product Groups). Klucze usugi KMS oraz MAK mona zastosowa do grup edycji produktw, zamiast do kadej edycji osobno. Upraszcza to znacznie zarzdzanie kluczami dziki redukcji liczby moliwych kluczy. Tabela poniej zawiera istniejce grupy produktw oraz edycje systemu Windows licencjonowane zbiorowo, nalece do kadej z grup. Grupa produktw licencjonowanych zbiorowo Vista VL

KMS_C

Aktywacja klucza MAK wykorzystuje technologi podobn do uywanej w subskrypcjach MSDN Universal i Microsoft Action Pack. Kady klucz produktu moe aktywowa okrelon liczb komputerw. Aktywacja klucza MAK wymagana jest tylko raz, chyba, e nastpi znaczce zmiany w sprzcie. Istniej dwa sposoby aktywacji komputerw przy uyciu klucza MAK:

Edycje systemu Windows Windows Vista Business Windows Vista Enterprise Windows Server 2008 Web Server Windows Server 2008 Compute Cluster Windows Server 2008 Storage Server*

Klucz MAK MAK

Klucz KMS KMS

Niezalena aktywacja klucza MAK: Wymaga, aby kady komputer docelowy czy si i aktywowa niezalenie od firmy Microsoft. Aktywacja proxy klucza MAK: Pozwala na scentralizowane danie aktywacji dla wielu komputerw dziki pojedynczemu poczeniu z firm Microsoft. Aktywacja Proxy klucza MAK dostpna jest w narzdziu Volume Activation Management Tool (VAMT).

Server Group A

MAK_A

KMS_A

Usuga Key Management Service (KMS) pozwala przedsibiorstwom przeprowadza procesy lokalnych aktywacji komputerw w zarzdzanych rodowiskach bez potrzeby czenia si z firm

26

27

Microsoft. Klucz usugi KMS wykorzystywany jest do uruchomienia usugi KMS na komputerze gwnym sterowanym przez administratora. Hostem usugi moe by system Windows Vista, Windows 2008 i Windows 2003. Usuga KMS zlicza liczb da aktywacji, jakie otrzymuje, i odpowiada na nie. Komputery klienckie musz czy si z hostem usugi KMS przynajmniej raz na 180 dni, aby odnawia aktywacj. Komputery, ktre nie zostay aktywowane, prbuj czy si z hostem, co dwie godziny (warto t mona skonfigurowa). Po aktywacji, komputery prbuj odnowi (lokalnie) swoj aktywacj, co siedem dni (warto t take mona skonfigurowa), i jeli proces si powiedzie, 180-dniowy termin aktywacji zostanie odnowiony. Komputery lokalizuj host usugi KMS przy uyciu jednej z nastpujcych metod: Wykrywanie automatyczne: Komputer DNS, aby automatycznie zlokalizowa host usugi KMS. Poczenie bezporednie: Administrator systemu okrela lokalizacj hosta usugi KMS oraz port komunikacyjny

BCD moe by edytowane na kilka sposobw: Okno Startup and Recovery

Wicej na temat aktywacji systemw mona znale na: www.microsoft.com/technet/volumeactivation. www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/default.mspx go.microsoft.com/fwlink/?LinkID=75674 MSConfig.exe

Boot Configuration Data

Boot Configuration Data jest magazynem, w ktrym system Windows Vista oraz Windows Server 2008 przechowuj pliki oraz ustawienia aplikacji dotyczce rozruchu, zastpi on plik Boot.ini znany z poprzednich wersji systemu. BCDEdit.exe jest edytorem z linii polece systemu, dziki ktremu mona zarzdza magazynem danych konfiguracji rozruchu. Microsoft wprowadzi takie rozwizanie w zwizku z wprowadzeniem EFI (Extensible Firmware Interface), systemem opracowywanym przez firm Intel, ktry ma zastpi znany wszystkim BIOS. BCD znajduje si w: W folderze Boot, ktry umieszczony jest na partycji aktywnej, jeli komputer wyposaony jest w BIOS. Na specjalnej partycji EFI, gdy komputer wyposaony jest w to rozwizanie.

28

29

WMI pozwala na tworzenie skryptw, ktrymi mona edytowa BCD. BCDEdit suy do modyfikacji BCD z poziomu wiersza polecenia.

Windows Deployment Services sieciowa dystrybucja systemw operacyjnych nowej generacji

Microsoft Windows Deployment Services (WDS) to unowoczeniona i przeprojektowana wersja usugi Remote Installation Services (RIS). WDS jest czci skadow systemu operacyjnego Windows Server 2008. Wystpuje rwnie jako dodatek do systemu Windows Server 2003. Umoliwia automatyczn dystrybucj systemw operacyjnych z rodziny Vista / Server 2008, przy jednoczesnym zachowaniu kompatybilnoci ze starszymi wersjami systemw operacyjnych. Daje moliwo w peni zautomatyzowanej instalacji zrnicowanych obrazw systemw operacyjnych poprzez sie, na komputerach zgodnych ze standardem PXE, bez koniecznoci fizycznej obecnoci przy kadym z docelowych komputerw oraz bez uycia jakichkolwiek nonikw instalacyjnych .

Poprzez BCDEdit. Mona wykonywa nastpujce czynnoci: Modyfikowa, dodawa oraz usuwa wpisy z BCD Importowa oraz eksportowa wpisy BCD Zarzdza menederem rozruchu Tworzy nowe magazyny BCD dla innych instalacji Kontrolowa usugi zarzdzania awaryjnego (EMS) dla aplikacji i systemu Zmienia opcje wpisw Przeglda listy wszystkich aktywnych wpisw Stosowa zmiany globalne we wszystkich magazynach BCD Konfigurowa debugowanie w systemie

Troch historii
Windows Deployment Services nie jest pierwszym rozwizaniem firmy Microsoft, uatwiajcym i automatyzujcym proces instalacji systemw operacyjnych. Pocztkowe wersje systemw operacyjnych (np.Windows NT4) korzystay z licznych plikw konfiguracyjnych, co umoliwiao czciowe usprawnienie procesu instalacji. Od momentu wypuszczenia na rynek produktw z serii Windows 2000, pojawiy si nowe moliwoci, zwizane z usug Remote Installation Services. Jednak i ona posiadaa pewne ograniczenia. Gwnym z nich by sposb przechowywania obrazw systemw operacyjnych w postaci duej iloci plikw. Kolejnym krokiem w kierunku nowoczesnej dystrybucji systemw operacyjnych bya usuga Automated Deployment Services. Opieraa si ona na sektorowej odmianie obrazw. Dedykowana bya jednak do dystrybucji systemw serwerowych. Wraz z usug SMS Operating System Deployment, pojawi si zupenie nowy standard pierwsza wersja formatu Windows Image format (WIM). Wanie na tym formacie zapisu obrazw opiera si usuga WDS zaimplementowana w Serwerze 2008, pozwalajc na poczenie wszystkich zalet poprzednich rozwiza, eliminujc zarazem ich wady. W przeciwiestwie do swoich poprzednikw rozwizanie to wspiera najnowsze wersje systemw operacyjnych.

Wicej informacji na temat BCD mona znale na www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/cr143.mspx

Format WIM
WIM to nic innego jak kolejny format zapisu obrazw systemw operacyjnych. Bazuje on na pojedynczych plikach. W odrnieniu do innych rozwiza, posiada on jednak wiele ciekawych cech.

30

31

Po pierwsze nie jest on zwizany z platform sprztow komputerw bdcych odbiorcami dystrybuowanych systemw operacyjnych. Oznacza to bezproblemow prac w dowolnie zrnicowanym rodowisku. Kolejna kwestia to brak w obrazie zapisu informacji o strukturze dyskw twardych na ktrych instalowany jest docelowy system. Oszczdno ta wpywa korzystnie na rozmiar obrazw. W ramach zmniejszania objtoci plikw dystrybucyjnych, format ten zapewnia kompresj, oraz daje moliwo przechowywania wielu obrazw systemowych w jednym pliku. Moliwe jest rwnie zrnicowanie w obrbie jednego pliku obrazw na rozruchowe i instalacyjne. Implementacja tego formatu, bdcego kluczowym skadnikiem usugi WDS, jest usprawnion wersj standardu opracowanego na potrzeby usugi SMS Operating System Deployment. Daje to praktycznie nieograniczone moliwoci dystrybucji systemw operacyjnych w nawet najbardziej zrnicowanym rodowisku.

Komponenty klienckie. Obejmuj graficzny interfejs uytkownika (GUI) w rodowisku Microsoft Windows Preinstallation Environment (Windows PE), ktry daje moliwo skomunikowania si z komponentami serwerowymi oraz wybrania i zainstalowania odpowiedniego obrazu systemu operacyjnego.

Komponenty zarzdzajce:
Konsola zarzdzania usugami WDS

WDS gwarantuje znacznie wyszy poziom funkcjonalnoci narzdzi administracyjnych ni usuga RIS. Dedykowana konsola MMC daje moliwo dodawania i usuwania serwerw, konfigurowania opcji (takich, jak reguy nazewnictwa komputerw, opcje DHCP opcje odpowiedzi PXE, itp.), , dodawania i usuwania obrazw instalacyjnych i rozruchowych. Daje rwnie pen kontrol nad dodawanymi grupami obrazw i samymi obrazami. Wiersz polece

WDS charakterystyka usugi

Poza wykorzystaniem nowego formatu zapisu obrazw, usuga WDS posiada wiele moliwoci niedostpnych u jej poprzednikw. Podstawow z nich jest dystrybucja systemw operacyjnych z rodziny Microsoft Vista, oraz Server 2008. W przeciwiestwie do usugi RIS, WDS posiada rwnie wasn konsol MMC, dajc moliwo zarzdzania wszystkimi jej funkcjami. Kolejn nowoci jest natywne wsparcie dla systemu Windows PE, umoliwiajcego rozpoczcie procesu instalacji, oraz wiele innych zada opisanych poniej. Poprawiono rwnie wydajno serwera PXE, odpowiadajcego za zdalne uruchamianie instalacji systemw operacyjnych na komputerach posiadajcych zgodne z tym standardem karty sieciowe. Usug WDS, ze wzgldu na obszary jej administracji mona podzieli na trzy kategorie: Komponenty zarzdzajce. Komponentem zarzdzajcym WDS jest specjalnie przygotowana konsola MMC. S to narzdzia uywane do administrowania serwerem WDS, obrazami systemw operacyjnych i kontami komputerw. Komponenty serwerowe. Obejmuj one przede wszystkim rodowisko Pre-Boot eXecution Environment (PXE) oraz protok Trivial File Transfer Protocol (TFTP), pozwalajce prze transferowa pliki do komputerw, w ktrych ma by zainstalowany system operacyjny i uruchomi je w celu instalacji systemu. Udostpniony folder i repozytorium z obrazami instalacyjnymi i plikami niezbdnymi dla uruchomienia zdalnego komputera przez sie, to rwnie komponenty serwerowe usug WDS.

Alternatyw dla konsoli MMC jest narzdzie WDSUTIL, dajce dostp do takiego samego poziomu funkcji administracyjnych, z poziomu linii komend. Jest to doskonae rozwizanie dla zaawansowanych administratorw, dajce moliwo automatyzacji i skryptowania wszystkich dostpnych zada administracyjnych usugi WDS.

Komponenty serwerowe
Serwer TFTP

Rozwizanie to opiera si na protokole FTP jest jego mocno uproszczon wersj. W protokole tym dane przesyane s w blokach o staej dugoci 512 bajtw kady z nich musi by potwierdzony przez pakiet potwierdzajcy. W rodowisku WDS, odpowiada on za transport obrazu rozruchowego Windows PE na komputery klienckie wyposaone w kartu zgodne z PXE. Suy rwnie do przesyania obrazw systemw operacyjnych. Serwer PXE

Dostawca usugi PXE zawiera w sobie zintegrowan logik do komunikacji z rdzeniem usugi WDS. Do przechowywania informacji wykorzystuje usug katalogow Active Directory, czc fizyczny komputer z obiektem w Active Directory, jakim jest konto komputera wraz z przypisanym mu identyfikatorem GUID. Dla zapewnienia kompatybilnoci z usug RIS zawiera komponenty emulujce RIS na WDS. Ze wzgldu na przeznaczenie mona go podzieli na trzy obszary pracy:

Komponenty klienckie

rodowisko Windows Preinstallation Environment (PE) 2.0 to nic innego jak rodowisko znane z procesu instalacji systemw operacyjnych Windows Vista, oraz Server 2008 znacznie uatwiajce instalowanie spersonalizowanych wersji tych systemw. W trakcie instalowania systemu Windows

32

33

Vista, w ramach rodowiska Windows PE, uruchamia si graficzne narzdzia zbierajce informacje o konfiguracji. Ponadto rodowisko Windows PE mona dostosowa i poszerzy tak, aby speniao indywidualnie okrelone potrzeby. rodowisko to wykorzystywane jest w procesie instalacji systemw operacyjnych, w szczeglnoci w trybie nienadzorowanym lub do przeprowadzania czynnoci serwisowych, gdy domylny system operacyjny serwera lub stacji roboczej uleg jakiemu uszkodzeniu. Ze wzgldu na fakt wykorzystania jdra systemw Windows, nie istnieje ju konieczno korzystania ze specjalnie przygotowanych sterownikw do sprztu pracujcych w trybie 16-bitowym wykorzystuje si tu domylne sterowniki systemu Windows. Firma Microsoft zaprojektowaa Windows PE tak, aby mg on zastpi MS-DOS w roli rodowiska pre-instalacyjnego. Windows PE wykrywa najnowsze rozwizania sprztowe oraz potrafi komunikowa si za pomoc protokou Internet Protocol (IP). rodowisko Windows PE zajmuje mniej ni 100 MB przestrzeni dyskowej i moe by uruchamiane w caoci z pamici RAM, co pozwala na odczytywanie w napdzie DVD pyty z innym oprogramowaniem, np. ze sterownikami. Dziki temu Windows PE moe by uruchamiany take w komputerach, ktrych twardy dysk nie zosta jeszcze sformatowany oraz komputerach nie posiadajcych adnego systemu operacyjnego. Jednake Windows PE nie jest penym systemem operacyjnym takim, jak Windows Vista. Dostpne s wersje dla platformy x86, x64 oraz Itanium.

Aktualizacja usugi WDS

Istnieje moliwo aktualizacji systemu operacyjnego Microsoft Windows Server 2003 z zainstalowan usug WDS do systemu Server 2008. Moliwo wykonania tej operacji zaley od trybu pracy usugi WDS na serwerze 2003. Aby sprawdzi biecy tryb pracy usugi naley wykona z linii komend polecenie: WDSUTIL /get-server /show:config

Instalacja i aktualizacja do usugi WDS

Niezalenie od tego, czy wybrana zostanie nowa instalacja, czy te proces uaktualniania systemu Windows Server 2003, musz by spenione nastpujce warunki: Element systemu Usuga Active Directory Wymagana konfiguracja Serwer usugi WDS, musi by czonkiem domeny Active Directory. Tryb pracy domeny nie ma wpywu na funkcjonowanie usugi. Sie objta dziaaniem usugi WDS musi posiada serwer DHCP , ktrego konfiguracja umoliwi klientom PXE otrzymywanie konfiguracji IP pozwalajcej na komunikacj z serwerem WDS. Sie objta dziaaniem usugi WDS musi posiada serwer DNS. Serwer WDS wymaga partycji zgodnej z systemem plikw NTFS, do przechowywania obrazw systemw operacyjnych. Uprawnienia niezbdne do instalacji i konfiguracji serwera WDS, to czonkostwo w grupie lokalnych administratorw na serwerze WDS.

Jedyny tryb pracy, ktry umoliwia aktualizacj usugi do platformy Server 2008, to tryb Native. Jeeli system pracuje w trybie Legacy, lub Mixed, naley przeczy go do trybu Native. Tryby Legacy i Mixed, aktywne s w sytuacji, kiedy na serwerze skonfigurowana jest usuga RIS.

Jeeli system pracuje w trybie Legacy

W celu zmiany trybu pracy z Legacy na Mixed naley: Aktualizowa usug RIS do usugi WDS. Zainicjalizowa serwer WDS za pomoc konsoli MMC usugi WDS, lub komend:

WDSUTIL /Initialize-Server /RemInst:D:\RemoteInstall

Serwer DHCP

Gdzie:

D:\RemoteInstall oznacza ciek do folderu REMINST wykorzystywanego przez usug RIS. Po wykonaniu tych operacji usuga WDS przechodzi do pracy w trybie Mixed (koegzystencji z systemem RIS)

Serwer DNS Partycja NTFS Uprawnienia

Jeeli system pracuje w trybie Mixed

W celu zmiany trybu pracy z Mixed na Native naley: Prze konwertowa istniejce obrazy systemw operacyjnych wykorzystywane przez serwer RIS na standard WIM. Mona tego dokona na kilka sposobw.

34

35

Za pomoc konsoli MMC: Zaznaczajc wybrany obraz legacy w konsoli WDS, mona wybra funkcj Convert To WIM

Wstpna konfiguracja

Z linii komend: WDSUTIL /Convert-RIPREPImage /FilePath:<cieka1> /DestinationImage / FilePath:<cieka2>

Pierwszym krokiem po instalacyjnym jest inicjalizacja usugi WDS. Obejmuje ona utworzenie udostpnionego folderu, w ktrym przechowywane bd dystrybuowane obrazy systemw operacyjnych, oraz wybr sposobu odpowiadania na dania klientw. Folder ten powinien znajdowa si na partycji z systemem plikw NTFS. Metoda odpowiadania na dania klientw daje nastpujce moliwoci wyboru: Respond only to known client computers - serwer odpowiada na zapytania wycznie klientom znanym (ang. prestaged), tj. posiadajcym w domenie przeinstalowane konto komputera wraz z przypisanym do niego identyfikatorem GUID. Respond to All (known and unknown) client computers powoduje wybranie trybu zezwalajcego na obsug wszystkich urzdze, chyba e zostania zaznaczona opcja For unknown client, notify administrator and respond after approval co spowoduje konieczno zatwierdzania kadego nowego dania klienckiego przez administratora.

Gdzie:

<cieka1> to cieka do pliku riprep.sif <cieka2> to cieka do nowego obrazu w formacie WIM Nastpnie naley uruchomi komend: WDSUTIL /Set-Server /ForceNative Jeeli usuga pracuje ju w trybie Native standardowa aktualizacja systemu operacyjnego do systemu Server 2008, spowoduje przeniesienie wszystkich jej ustawie do nowej platformy.

Nowa instalacja

Instalacja usugi WDS w systemie Microsoft Windows Server 2008, moliwa jest zarwno przy wykorzystaniu narzdzia Initial Configuration Tasks, jak i z poziomu Server Managera. Usuga ta jest jedn z rl systemowych, tak wic niezalenie od wybranego narzdzia, naley skorzysta z funkcji Add roles. W menu dodawania nowej roli, naley wybra Windows Deployment Services a nastpnie w kolejnym menu wybra komponenty usugi: Transport Server - Instalacja podstawowych usug sieciowych usugi WDS. Komponent ten pozwala na utworzenie serwera korzystajcego z transmisji typu multicast do dystrybuowania obrazw systemw operacyjnych. Deployment Server - Instalacja penej funkcjonalnoci usugi WDS.

Wykorzystanie tej opcji umoliwia odpowiadanie rwnie tym klientom, ktrzy nie maj wstpnie zdefiniowanego konta komputera w domenie. Takie konto, po zatwierdzeniu dania przez administratora, bdzie automatycznie tworzone. Poniszy diagram obrazuje zachowanie si systemu w zalenoci od wybranego rozwizania.

Konfiguracja usugi WDS i dystrybucja systemw operacyjnych

Konfiguracja usugi WDS moe odbywa si na dwa sposoby. Za pomoc konsoli MMC, oraz korzystajc z polecenia WDSUTIL dostpnego z linii komend. W zwizku z tym kolejne procedury konfiguracyjne bd uwzgldniay obydwie moliwoci. Poszczeglne zadania konfiguracyjne warto podzieli na kroki.

36

37

Za pomoc konsoli MMC naley: Uruchomi Windows Deployment Services Klikn prawym przyciskiem myszy konfigurowany serwer i wybra funkcj Configure Server Uruchomiony w ten sposb kreator umoliwi okrelenie cieki do katalogu w ktrym przechowywane bd obrazy systemw operacyjnych, oraz sposobu odpowiadania na dania klientw

%Last - nazwa identyczna z nazwiskiem %Username nazwa identyczna z nazw uytkownika (login) %MAC - adres MAC komputera %n# - przyrostowa liczna n-cyfrowa (%2# daje numery za zakresu 1,2,3,99) %0n# - jak wyej, ale z nieznaczcymi zerami (so %02# daje numery 01,02,03,99)

Chcc osign ten sam cel za pomoc narzdzia WDSUTIL naley wykona polecenia: WDSUTIL /initialize-server /reminst:<litera_dysku>\<nazwa_folderu> WDSUTIL /Set-Server /AnswerClients:all Gdzie: <litera_dysku> - dysk na ktrym znajdowa si bd obrazy systemw operacyjnych <nazwa_folderu> - folder w ktrym znajdowa si bd obrazy systemw operacyjnych Jeeli serwer WDS peni rwnie rol serwera DHCP naley rwnie wykona polecenie: WDSUTIL /Set-Server /UseDHCPPorts:no /DHCPoption60:yes W wikszoci przypadkw, dystrybucja systemw operacyjnych powizana jest z tworzeniem kont dla nowych urzdze w usudze Active Directory. Na tym etapie konfiguracji mona wic okreli metodologi tworzenia tych nazw, oraz docelow lokalizacj kont ( jednostka organizacyjna lub folder). Najprostszym sposobem konfiguracji jest skorzystanie z konsoli administracyjnej WDS. We waciwociach w zakadce znale mona nastpujce warianty konwencji nazewniczej:

W miejscu tym moliwe jest rwnie okrelenie cieki w usudze katalogowej w ktrej zostan utworzone konta komputerw.

Konfiguracja metod rozruchu klientw PXE

Ta cz zada konfiguracyjnych odnosi si do sposobw pocztkowej obsugi da stacji klienckich zwizanych z menu rozruchowym. Pozwoli to na zrnicowan obsug klientw w zalenoci od ich architektury systemowej. Na pocztek warto przyswoi sobie trzy brzmice podobnie pojcia, ktre bd niezbdne do prawidowej konfiguracji usugi. Boot menu Pocztkowe menu pojawiajce si w trakcie rozruch sieciowego po stronie klienta PXE. Boot images Obrazy systemu Windows PE wykorzystywane w procesie wstpnej re konfiguracji stacji roboczej, przed waciwym procesem instalacyjnym, lub w procesie naprawczym. Install images Obrazy zawierajce pliki instalacyjne systemw operacyjnych Domylna konfiguracja usugi WDS zawiera menu rozruchowe zarwno dla architektury x64 jak i x86.

%First nazwa identyczna z imieniem uytkownika tworzcego konta w Active Directory

38

39

Skutkiem tego klienci posiadajcy systemy klasy x86 bd mieli moliwo uruchomiania tylko i wycznie 32-bitowej wersji rozruchu , natomiast stacje 64-bitowe z racji moliwoci uruchamiania aplikacji x86 bd mieli dostp do dwch rodzajw menu. Zmian sposobu obsugiwania stacji mona wykona za pomoc polecenia WDSUTIL /Set-Server /Defaultx86x64ImageType:{x86|x64|both}. Jeeli zaistnieje potrzeba dokonania zmian w treci pocztkowego menu, naley skorzysta z narzdzia bcdedit. Konfigurujc menu rozruchowe pamita naley rwnie o pewnych jego ograniczeniach: Menu nie moe zawiera wicej ni 13 pozycji Nazwy obrazw WIM nie mog zawiera spacji

Gdzie: <Bootimage> to cieka do pliku boot.wim znajdujcego si na noniku instalacyjnym Windows Server 2008 Mona w ten sposb utworzy wiele obrazw rozruchowych, ktrych celem moe by np.: Uruchomienie procesu instalacji systemu operacyjnego Prze formatowanie dyskw twardych do korzystania ze standardu BitLocker Drive Encryption Uruchomienie narzdzi Windows Recovery Environment (Windows RE)

Celem pocztkowego menu rozruchowego jest uruchomienie rodowiska systemu Windows PE. System ten znajduje si na noniku instalacyjnym serwera 2008, oraz Vista pod nazw boot.wim. Cho w obydwu tych systemach wyglda on niemal identycznie, do zastosowania z usug WDS naley korzysta tylko i wycznie z wersji dostarczanej z serwerem 2008, co umoliwi kompatybilno z usugami takimi jak multicasting.

Poza standardowym zastosowaniem na uwag zasuguj rwnie dwie dodatkowe funkcjonalnoci obrazw rozruchowych - Capture image, oraz Discover image. Obraz systemu Windows PE nie jest standardowo powizany z usug WDS. Chcc dokona tego za pomoc konsoli MMC naley: W konsoli usugi WDS rozwin list wybranego serwera WDS. Klikn menu Boot Images I wybra polecenie Add Boot Image. W kreatorze wskaza na plik boot.wim znajdujcy si na noniku instalacyjnym Windows Server 2008 Capture image jest to obraz rozruchowy, ktrego celem jest przechwycenie w peni skonfigurowanego systemu operacyjnego urzdzenia, ktre zostao uruchomione z tego obrazu. Odnosi si to do komputerw, skonfigurowanych administracyjnie jako szablony (wzorce) konfiguracyjne i dostosowanych za pomoc programu sysprep do masowej dystrybucji. Przechwycony system zostaje zapisany w formacie WIM i przesany do serwera WDS, w celu dalszej dystrybucji. Discover image ta do specyficzna funkcjonalno pozwala na stworzenie obrazu rozruchowego dla komputerw nie kompatybilnych ze standardem PXE. Obraz taki gwarantuje moliwoci analogiczne do swojego sieciowego odpowiednika, jest jednak uruchamiany z nonika (USB, CD, DVD). Zawarty w nim system Windows PE, potrafi skomunikowa si z serwerem WDS, niezalenie od tego, czy dany klient posiada zgodny z PXE interfejs sieciowy.

Natomiast z linii komend wystarczy polecenie: WDSUTIL /Add-Image /ImageFile:<bootimage> /ImageType:boot

40

41

Obydwie te funkcjonalnoci, mog by uzyskane z dodanego wczeniej obrazu rozruchowego Windows PE. Tak jak i w poprzednich wypadkach, zamiana standardowego obrazu na Capture lub Discovery moliwa jest zarwno z poziomu konsoli MMC, jak i z linii komend. Za pomoc konsoli MMC naley: Chcc stworzy Capture image W konsoli WDS wybra odpowiedni serwer. W folderze BOOT Images klikn prawym przyciskiem myszki obraz rozruchowy Wykona funkcj Create Capture BOOT Image

nonikach instalacyjnych systemw Vista i Server 2008. Opublikowanie ich w usudze WDS jest niezwykle proste.

Chcc stworzy Discover image W konsoli WDS wybra odpowiedni serwer. W folderze BOOT Images klikn prawym przyciskiem myszki obraz rozruchowy Wykona funkcj Create Discover BOOT Image

Za pomoc konsoli MMC naley: W konsoli WDS wybra odpowiedni serwer. Klikn prawym przyciskiem myszki na folder Install Images Wybra funkcj Add Install Image W kreatorze wskaza obraz systemu operacyjnego w formacie WIM

Z linii komend cel mona osign wpisujc: Chcc stworzy Capture image WDSUTIL /New-CaptureImage /Image: <obraz_rozruchowy> /Architecture:x86 / Filepath:<captureimage> Gdzie: <obraz_rozruchowy> to nazwa istniejcego obrazu rozruchowego <captureimage> cieka w ktrej zostanie utworzony obraz typu capture Chcc stworzy Discover image WDSUTIL /New-DiscoverImage /Image:<obraz_rozruchowy> /Architecture:x86 / Filepath:<discoverimage> Gdzie: <obraz_rozruchowy> - to nazwa istniejcego obrazu rozruchowego <discoverimage> - cieka w ktrej zostanie utworzony obraz typu discover

Ta sama operacja z wiersza polece wyglda nastpujco: WDSUTIL /add-image /ImageFile:<obraz_instalacyjny> /ImageType:install / ImageGroup:<nazwa_grupy> Gdzie: <obraz_instalacyjny> pena cieka do pliku w formacie WIM zawierajcego obraz systemu operacyjnego <nazwa_grupy> nazwa grupy obrazw systemw operacyjnych Jeeli plik WIM zawiera wiele obrazw systemowych a konieczne jest dodanie tylko jednego z nich, naley skorzysta z dodatkowego przecznika do komendy wdsutil /SingleImage:<nazwa_obrazu Druga opcja to tworzenie obrazw w peni dostosowanych systemw operacyjnych. Mog one zawiera dowoln konfiguracj oraz zainstalowany zestaw aplikacji wykorzystywanych w przedsibiorstwie. Ten rodzaj przygotowywania dystrybucji opiera si na wykorzystaniu komputera wzorca, bdcego szablonem instalacyjnym dla pozostaych urzdze w sieci. Proces ten podzieli mona na kilka faz: Instalacja gwna na komputerze wzorcowym Modyfikacja instalacji domylnej/dodanie aplikacji i sterownikw dodatkowych

Tworzenie i dystrybucja obrazw systemw operacyjnych

Przygotowywanie obrazw Przygotowywanie obrazw instalacyjnych systemw operacyjnych moe odbywa si na dwa sposoby. Pierwszym z nich jest wykorzystanie gotowych obrazw w formacie WIM zawartych na

42

43

Przechwycenia obrazu systemu Umieszczenie obrazw przechwyconych w punkcie dystrybucji Wdroenie na komputerze/ach docelowych

Wdroenie na komputerze/ach docelowych Cho standardowo celem przygotowania obrazw jest ich dystrybucja za pomoc rodowiska WDS, nie ma przeciwwskaza do instalowania ich za pomoc dowolnych nonikw (DVD, USB, itp.) Przygotowane obrazy wzorcowe mona w pniejszym czasie off-lineowo modyfikowa bez koniecznoci ponownego wykonywania fazy wstpnej przygotowywania komputera wzorcowego. Instalacja obrazw systemw operacyjnych Proces zainicjowania standardowej instalacji przygotowanych wczeniej obrazw, odbywa si z poziomu systemu Windows PE. Jeeli nie s wykorzystywane pliki odpowiedzi automatyzujce proces instalacji, uytkownik uruchamiajcy system rozruchowy po uwierzytelnieniu si zobaczy list systemw operacyjnych moliwych do zainstalowania na danym komputerze.

Instalacja gwna na komputerze wzorcowym Polega na zainstalowaniu wybranego systemu operacyjnego z dowolnego nonika na wydzielonym komputerze. Modyfikacja instalacji domylnej/dodanie aplikacji i sterownikw dodatkowych Ten etap to dopasowywanie rodowiska systemowego. Polega na konfiguracji Wzorca tak aby reprezentowa standard rodowiska systemu operacyjnego, przeznaczonego dla danej organizacji. Konfiguracja ta jest zupenie dowolna i powinna bazowa jedynie na polityce organizacji dotyczcej infrastruktury IT. Przechwycenia obrazu systemu Zanim obraz systemu operacyjnego zostanie przechwycony za pomoc obrazu rozruchowego typu Capture Image, musi by on dostosowany do dystrybucji za pomoc narzdzia sysprep. W zalenoci od tego, czy jest to system klasy XP czy Vista naley po zmodyfikowaniu domylnej , instalacji wykona nastpujce polecenie: W systemie Vista sysprep /oobe /generalize /reboot W systemie XP sysprep -mini -reseal Po zakoczeniu operacji komputer wolno uruchomi jedynie poprzez rozruch sieciowy, wybierajc obraz typu Capture Image, ktry przechwyci dostosowany system operacyjny i przeniesie go w postaci pliku WIM na serwer WDS. Umieszczenie obrazw przechwyconych w punkcie dystrybucji Obraz przygotowany za pomoc funkcji Capture Image dodawany jest do usugi WDS tak samo jak zwyke obrazy WIM znajdujce si na nonikach instalacyjnych. Jeeli jednak instalacja systemu ma przebiec pomylnie musz by spenione okrelone warunki. Dla systemu Microsoft Windows Vista wyglda to nastpujco: Wymagania dotyczce partycji systemu, Windows Vista. Aby system Windows Vista funkcjonowa poprawnie, aktywna partycja musi zawiera okoo 700 MB wolnego miejsca podczas instalacji systemu Windows. Wymagania rodowiska odzyskiwania systemu Windows dotyczce partycji. rodowisko odzyskiwania systemu Windows musi by zainstalowane na innej partycji, ni partycja systemu Windows Vista. Partycja ta powinna mie nastpujce waciwoci:

44

45

Musi by sformatowana, jako system plikw NTFS. Co najmniej 700 MB musi by zarezerwowane dla rodowiska odzyskiwania systemu, Windows przy instalowaniu go, jako rozszerzonego obrazu.
<ImageSelection> <WillShowUI>OnError</WillShowUI> <InstallImage> <ImageName>Windows Vista with Office</ImageName> <ImageGroup>ImageGroup1</ImageGroup> <Filename>Install.wim</Filename> </InstallImage> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> </ImageSelection> </WindowsDeploymentServices> <DiskConfiguration> <WillShowUI>OnError</WillShowUI> <Disk> <DiskID>0</DiskID> <WillWipeDisk>false</WillWipeDisk> <ModifyPartitions> <ModifyPartition> <Order>1</Order> <PartitionID>1</PartitionID> <Letter>C</Letter> <Label>TestOS</Label> <Format>NTFS</Format> <Active>true</Active> <Extend>false</Extend> </ModifyPartition> </ModifyPartitions> </Disk> </DiskConfiguration> </component> <component name=Microsoft-Windows-International-Core-WinPE publicKeyToken=31bf3856ad364e35 language=neutral versionScope=nonSxS processorArchitecture=x86> <SetupUILanguage> <WillShowUI>OnError</WillShowUI> <UILanguage>en-US</UILanguage> </SetupUILanguage> <UILanguage>en-US</UILanguage> </component> </settings> </unattend>

Szyfrowanie dyskw funkcj BitLocker wymagania dotyczce partycji. Szyfrowanie dyskw funkcj BitLocker wymaga aktywnej partycji innej, ni partycja sytemu Windows Vista. Aktywna partycja musi mie nastpujce waciwoci: nie moe by szyfrowana ani uywana do przechowywania plikw uytkownika.

Automatyzacja procesu instalacji tryb nienadzorowany

Podobnie, jak we wczeniejszych wersjach systemu Windows, procedur instalacyjn Windows Vista mona zautomatyzowa, stosujc pliki odpowiedzi. W przypadku systemu Windows Vista pliki odpowiedzi Unattend.xml maj format Extensible Markup Language (XML), a nie format tekstowy. Plik Unattend.xml jest bardziej zoony ni wczeniejsze wersje plikw odpowiedzi i dla ograniczenia prawdopodobiestwa wystpienia bdw zaleca si przygotowywanie i edytowanie go w narzdziu Windows System Image Manager (Windows SIM), bdcym skadnikiem pakietu WAIK. Usuga WDS pozwala skojarzy osobny plik odpowiedzi z kadym dodanym do niej obrazem instalacyjnym. Mona rwnie wykorzysta globalny plik odpowiedzi dla kadej obsugiwanej platformy, tj. x86, x84 i IA64. Taki globalny plik odpowiedzi zawiera dane uwierzytelniajce, pozwalajce automatycznie zalogowa si do serwera WDS. Plik ten specyfikuje te obraz zaadowywany do docelowych komputerw klasy x86 oraz zawiera liczne inne ustawienia wystpujce w typowym pliku odpowiedzi, takie jak sposb konfiguracji partycji, czonkostwo domeny czy stref czasow. cznie zawiera kilkadziesit rnych ustawie systemowych, ktrych szczegowy opis znajduje si w dokumentacji pakietu WAIK. Przykadowy plik unattend.xml ma nastpujc posta: <?xml version=1.0 ?> <unattend xmlns=urn:schemas-microsoft-com:unattend> <settings pass=windowsPE> <component name=Microsoft-Windows-Setup publicKeyToken=31bf3856ad364e35 language=neutral versionScope=nonSxS processorArchitecture=x86> <WindowsDeploymentServices> <Login> <WillShowUI>OnError</WillShowUI> <Credentials> <Username>username</Username> <Domain>wds-dom</Domain> <Password>my_password</Password> </Credentials> </Login>

46

47

Posiadany plik unattend.xml, mona powiza z usug WDS na trzech poziomach. Architektury wszystkie komputery o danej architekturze sprztowej (x86, x64 lub ia64), bd korzystay z wsplnych ustawie instalacji niepilnowanej. Konfigurujc t funkcjonalno za pomoc konsoli MMC naley: Skopiowa plik Unattend.xml do folderu RemoteInstall\WDSClientUnattend na serwerze WDS. W konsoli usugi WDS klikn prawym przyciskiem myszy wybrany serwer i poleceniem Properties wej w jego waciwoci

Obrazu instalacyjnego kade urzdzenie korzystajce z danego obrazu bdzie stosowao ustawienia zawarte w pliku instalacji niepilnowanej. W konsoli MMC naley: W konsoli MMC usugi Windows Deployment Services rozwin grup obrazw instalacyjnych danego serwera WDS. Prawym przyciskiem myszy klikn wybrany obraz i wybra Properites Zaznaczy opcj Allow image to install in unattend mode. Wybra Select File. Wprowadzi nazw i ciek pliku unattend.xml

W oknie waciwoci serwera w zakadce Client wybra opcj Enable unattended installation Wskaza pliki unattend.xml dla poszczeglnych architektur

Ta sama operacja ma nastpujc posta w linii polece: Natomiast korzystajc z wiersza polece naley wprowadzi polecenie: WDSUTIL /set-server /wdsunattend /policy:enabled /file:<cieka_do_pliku> / architecture:<arch> Gdzie: <cieka_do_pliku> cieka do pliku unattend.xml <arch> rodzaj architektury (x86, x64, lub ia64) WDSUTIL /Set-Image /Image:<nazwa_obrazu> /ImageType:install / ImageGroup:<nazwa_grupy_obrazw> /UnattendFile:<cieka_do_pliku> Gdzie: <nazwa_obrazu> to nazwa obrazu z ktrym powizany bdzie plik unattend <nazwa_grupy_obrazw> to nazwa grupy obrazw w ktrej znajduje si obraz przeznaczony do skojarzenia z plikiem unattend <cieka_do_pliku> cieka do pliku unattend.xml

48

49

Indywidualnego komputera jeeli zaistnieje taka potrzeba mona indywidualnie skojarzy dany plik odpowiedzi z konkretnym urzdzeniem. Komputer ten rozpoznany bdzie na podstawie unikalnego identyfikatora GUID, lub adresu MAC jego karty sieciowej. Realizuje si to za pomoc komendy: WDSUTIL /set-device /device:<computername> /ID:<GUID lub adres MAC> / WdsClientUnattend:<cieka_do_pliku> Gdzie: <GUID lub adres MAC> to identyfikator danego urzdzenia <cieka_do_pliku> to cieka do pliku unattend Dystrybucja obrazw systemowych za pomoc technologii Multicast W sytuacji kiedy istnieje potrzeba jednoczesnej dystrybucji systemw operacyjnych do duej liczby urzdze, mona skorzysta z transmisji typu Multicast, bdcej jedn z nowoci zawartych w usudze WDS. Ten sposb komunikowania si z klientami usugi WDS moliwy jest tylko w sieciach wspierajcych Multicasting i tylko przy wykorzystaniu obrazu rozruchowego pobranego z nonika systemu Windows Server 2008. Rozwizanie to pozwala na pozbycie si ogranicze zwizanych z przepustowoci sieci przy standardowym sposobie dystrybucji obrazw wykorzystujc sie Gigabit Ethernet maksymalna liczba jednoczesnych instalacji nie przekroczy ze wzgldw wydajnociowych 75-ciu urzdze. Usuga WDS daje moliwo skorzystania z dystrybucji multicastowej na dwch poziomach funkcjonalnoci: Auto-Cast W tym trybie usuga multicast rozpoczyna natychmiastow obsug klientw Scheduled-Cast Ten rodzaj transmisji daje moliwo okrelenia momentu rozpoczcia rozgaszania obrazw systemw operacyjnych, oraz ustalenia limitu maksymalnej liczby odbiorcw usugi. W tym trybie tylko stacje zgaszajce potrzeb instalacji systemu przed rozpoczciem transmisji zostan obsuone. Konfiguracja transmisji multicast odbywa si moe zarwno za pomoc konsoli MMC, jak i linii komend. W pierwszym wypadku naley w konsoli WDS: Rozwin menu serwera WDS. W folderze Install Images wybra obraz instalacyjny, ktry ma by dystrybuowany technologi multicast, a nastpnie klikn na niego prawym przyciskiem myszki. Wybra z menu polecenie Create Multicast Transmission

Za pomoc kreatora okreli rodzaj transmisji

Za pomoc polecenia WDSUTIL chcc: stworzy transmisj Auto-Cast, naley wykona polecenie :

WDSUTIL /New-MulticastTransmission /Image:<nazwa_obrazu> / FriendlyName:<nazwa> /ImageType:Install /ImageGroup:<Image group name> / TransmissionType:AutoCast stworzy transmisj Scheduled-Cast, naley wykona polecenie:

WDSUTIL /New-MulticastTransmission /Image:<nazwa_obrazu> / FriendlyName:<nazwa> /ImageType:Install /ImageGroup:<Image group name> / TransmissionType:ScheduledCast [/Time:<yyyy/mm/dd:hh:mm>][/Clients:<liczba_ klientw>] Gdzie: <nazwa_obrazu> to nazwa obrazu przeznaczonego do dystrybucji metod multicast <nazwa> nazwa wywietlana, identyfikujca dan transmisj <nazwa_grupy_obrazw> to nazwa grupy obrazw w ktrej znajduje si obraz przeznaczony do dystrybucji metod multicast <liczba_klientw> maksymalna liczba obsugiwanych klientw W kadej chwili moliwe jest biece monitorowanie postpu instalacji obrazw systemowych dystrybuowanych usug multicast. W konsoli MMC usugi WDS bieca aktywno widoczna jest w folderze Multicast Transmissions Natomiast z poziomu linii polece suy do tego komenda, WDSUTIL /Get-MulticastTransmission /Image:<nazwa_obrazu> /ImageType:Install / ImageGroup:<nazwa_grupy_obrazw> /show:clients Dodatkowo dostpne s rwnie funkcje pozwalajce na wstrzymanie i wznowienie transmisji w dowolnym momencie: uruchomienie transmisji

WDSUTIL /Start-MulticastTransmission /Image:<nazwa_obrazu> /ImageType:Install / ImageGroup:<nazwa_grupy_obrazw> usunicie transmisji

WDSUTIL /Remove-MulticastTransmission /Image:<nazwa_obrazu> / ImageType:Install /ImageGroup:<nazwa_grupy_obrazw> /Force

50

51

deaktywacja transmisji:

WDSUTIL /Remove-MulticastTransmission /Image:<nazwa_obrazu> / ImageType:Install /ImageGroup:<nazwa_grupy_obrazw> waciwoci transmisji

TpMulticastTTL Warto TTL oznacza liczb maksymalnych przeskokw (hops) po ktrych pakiet zostanie odrzucony. Przeskoki odnosz si do komunikacji poprzez urzdzenia sieciowe. Ograniczanie tej wartoci ma sens w przypadku potrzeby zawenia dystrybucji do okrelonego obszaru sieci. Naley pamita, e zmiana okrelonego parametru wymaga restartu usugi WDS.

WDSUTIL /Get-MulticastTransmission /Image:<nazwa_obrazu> /ImageType:Install / ImageGroup:<nazwa_grupy_obrazw> Gdzie: <nazwa_obrazu> to nazwa obrazu dystrybuowanego metod multicast <nazwa_grupy_obrazw> to nazwa grupy obrazw w ktrej znajduje si obraz dystrybuowany metod multicast Optymalizacja transmisji multicast Transmisja multicast dostpna w usudze WDS, potrafi dostosowywa parametry swojej pracy do jakoci posiadanego transportu sieciowego. Posiada zrnicowane profile dziaania dla konfiguracji sieci 10 Mb, 100 Mb i 1 Gb. Nie zawsze jednak standardowe ustawienia bd optymalne dla transmisji w danym rodowisku sieciowym. W wypadku koniecznoci dopasowania parametrw transmisji, mona skorzysta z profilu typu custom, umoliwiajcego dowoln konfiguracj transportu multicast. Uruchomienie profile custom nastpuje po wykonaniu nastpujcej komendy: WDSUTIL /set-server / transport /profile:custom. Natomiast parametry naley edytowa za pomoc rejestru w kluczu znajdujcym si na serwerze WDS HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSServer\Providers\ WDSMC\Profiles\Custom Najwaniejsze z parametrw to: TpMaxBandwidth Warto ta okrela maksymalne procentowe wykorzystanie przepustowoci interfejsw sieciowych zainstalowanych na serwerze WDS. Ustawienie to funkcjonuje prawidowo, nawet jeeli interfejsy te pracuj z rn prdkoci. ApBlockSize Ta warto okrela rozmiar blokw na ktre dzielona jest przesyana informacja. Rozmiar ten definiowany jest w bajtach. Rekomendowane ustawienia to 4096 bajtw. Zwikszenie tej wartoci powoduje przyspieszenie transferu, jakkolwiek zwiksza si ryzyko utraty przesyanego pakietu.

52

53

2.

Usuga wirtualizacji systemw operacyjnych

Wstp
Dzisiejsze systemy informatyczne przedsibiorstw to skomplikowane systemy skadajce si z duej iloci serwerw, systemw operacyjnych i aplikacji i kady z tych elementw musi by dostpny w odpowiednim czasie dla uytkownikw i ich stacji roboczych. To powoduje, e dla dziaw IT zarzdzanie i utrzymywanie krytycznych dla biznesu technologii to jedno z najwaniejszych wyzwa. Jednym z rozwiza tego problemu jest technologia wirtualizacji, ktra umoliwia konsolidacj infrastruktury serwerowej do rodowiska maszyn wirtualnych, dziaajcych na jednym serwerze rzeczywistym. Zastosowanie wirtualizacji umoliwia administratorom zminimalizowa ilo serwerw rzeczywistych w sieci z zachowaniem separacji rl przy rwnoczesnym zmniejszeniu kosztw zwizanych z utrzymaniem systemw informatycznych. Wymienione korzyci wirtualizacji pozycjonuj j, jako jedn z najbardziej interesujcych technologii dla przedsibiorstw w nastpnych latach.

Korzyci z wirtualizacji
Windows Server 2008 zawiera technologi wirtualizacji Hyper-V, ktra posiada wiele moliwoci, ktre spowoduj, e dziay IT oraz przedsibiorstwa mog odczu wiele korzyci z jej zastosowania, bez dodatkowych zakupw i wdroe oprogramowania firm trzecich. Korzyci z wirtualizacji: Konsolidacja serwerw dziki moliwoci uruchomienia podstawowych serwerw np. DNS, DHCP Active Directory, Exchange na pojedynczym serwerze moemy oczekiwa oszczdnoci , z zmniejszonego zapotrzebowania na sprzt przy wzrastajcym zapotrzebowaniu na ilo serwerw dostpnych przez sie przedsibiorstwa. Separacja rl serwerw ta moliwo wpywa znaczco na dostpno podstawowych serwerw jak i powoduje, e infrastruktura jest bardziej odporna na bedy. Posiadajc serwery np. DNS, DHCP , Active Directory na poszczeglnych serwerach wirtualnych moemy oczekiwa sprawniejszego zarzdzania i rozwizywania problemw. Testowanie oprogramowania dziki wirtualizacji oprogramowanie moe by przetestowane w sposb nie moliwy lub trudny do uzyskania w sieci produkcyjnej. Technologia pozwala na agodne przejcie na nowsze technologie bez ryzyka, e technologie te s nieprzetestowane w warunkach produkcyjnych. Zwikszenie dostpnoci serwerw przy awariach w momencie uszkodzenia fizycznego serwera moliwo uruchomienia wirtualnych maszyn z podstawowymi dla przedsibiorstwa aplikacjami i usugami, na waciwie dowolnym serwerze powoduje ze infrastruktura firmowa jest bardziej odporna na bdy.

55

Zmniejszenie kosztw infrastruktury koszty serwerw fizycznych mona zmniejszy nawet 5 krotnie a jeli wzi pod uwag coraz wiksze skomplikowanie infrastruktury przedsibiorstwa, korzyci s jeszcze wiksze. Skalowalno rozwiza dziki wirtualizacji moemy stopniowo przyspiesza nasz infrastruktur w zalenoci od posiadanych moliwoci finansowych przedsibiorstwa i rozwija j zgodnie z zwikszajcymi si wymaganiami funkcjonalnymi.

Obsuga wielu systemw operacyjnych. Rozszerzona obsuga rwnoczenie uruchamianych systemw operacyjnych rnego typu, z systemami 32-bitowymi i 64-bitowymi wcznie, na rnych platformach serwerw, takich jak Windows, Linux i inne. Obsuga symetrycznego przetwarzania wieloprocesorowego. Obsuga nawet 4 procesorw w rodowisku maszyny wirtualnej umoliwia pene wykorzystanie moliwoci aplikacji wielowtkowych na maszynie wirtualnej. Obsuga pamici. Uwzgldniajc obsug duych przydziaw pamici dla maszyny wirtualnej, umoliwiajc wirtualizacj dla wikszoci poziomw obcienia, mona uzna wirtualizacj systemu Windows Server za optymaln platform dla duych przedsibiorstw oraz maych i rednich firm. Ulepszony dostp do magazynu. Dostp do dyskw z przekazywaniem oraz rozszerzona obsuga sieci magazynowania (SAN) i dostpu do dyskw wewntrznych to czynniki zapewniajce wiksz elastyczno wirtualizacji systemu Windows Server w zakresie optymalnej konfiguracji i wykorzystania rodowisk magazynowania. Rwnowaenie obcienia sieciowego. Wirtualizacja systemu Windows Server oferuje nowe funkcje przecznika wirtualnego. Maszyny wirtualne mona wic atwo konfigurowa do uruchamiania z rwnowaeniem obcienia sieciowego systemu Windows w celu rwnowaenia obcienia maszyn wirtualnych na rnych serwerach. Nowa architektura udostpniania sprztu. Nowa architektura wirtualnego dostawcy/ klienta usug (VSP/VSC) wirtualizacji systemu Windows Server zapewnia sprawniejszy dostp do podstawowych zasobw, takich jak dysk, sie, karta wideo itp., oraz lepsze wykorzystanie tych zasobw. Szybka migracja. Wirtualizacja systemu Windows Server umoliwia szybk migracj uruchomionej maszyny wirtualnej na inny fizyczny system hosta przy minimalnym przestoju za pomoc znanych, zapewniajcych wysoki poziom dostpnoci funkcji systemu Windows Server i narzdzi do zarzdzania pakietu System Center. Kopia stanu maszyny wirtualnej. Wirtualizacja systemu Windows Server umoliwia wykonywanie kopii stanu uruchomionej maszyny wirtualnej, uatwiajcych przywrcenie poprzedniego stanu i usprawnienie caego rozwizania w zakresie wykonywania kopii zapasowych i odzyskiwania. Skalowalno. Korzystajc z obsugi wielu procesorw i rdzeni na poziomie hosta oraz ulepszonego dostpu do pamici w ramach maszyn wirtualnych, mona skalowa rodowisko wirtualizacji pionowo w celu obsugi duej liczby maszyn wirtualnych na danym hocie i kontynuowa skalowanie na wielu hostach przy uyciu funkcji szybkiej migracji. Moliwoci rozbudowy. Korzystajc ze zgodnych ze standardami interfejsw WMI i API wirtualizacji systemu Windows Server, niezaleni dostawcy i deweloperzy oprogramowania mog szybko opracowywa niestandardowe narzdzia i ulepszenia platformy wirtualizacji.

Usugi wirtualizacji Windows Server 2008

Technologia wirtualizacji jest obecna w produktach Microsoft od lat. Ju dzi wiele firm wykorzystuje t technologi w rodowisku produkcyjnym. Produkty takie jak Microsoft Virtual Server 2005 oferuj rozwizania, ktre spopularyzoway t technologi. Firmy wykorzystuj wirtualizacje midzy innymi do konsolidacji serwerw, w tej dziedzinie zwrot inwestycji z wdroenia jest najwikszy, dlatego tak wane byo stworzenie rodowiska, ktrego moliwoci s cile powizane z wydajnoci i a z drugiej strony atwoci wdroenia i zarzdzania. Jednym z podstawowych waciwoci, jaka oczekiwa rynek to wydajno, jak daje wirtualizacja w poczeniu ze sprztow platform 64-bitow. Rozwizania 64-bitw daj moliwoci, ktre powoduj, e dla wikszoci zastosowa i uytkownikw nie ma rnicy w wydajnoci w dostpie do usug i danych poprzez sie. Z punktu widzenia administratora natomiast wirtualizacja daje korzyci, ktre trudno przeceni, np. moliwo przenoszenie serwerw na inn platform sprztow, trwa kilka minut, dokadnie tyle ile przegranie plikw .vhd. To wszystko powoduj, e wirtualizacja jest kluczow cech, Windows 2008. To wanie ta technologia bdzie kluczow dla rynku, IT w nastpnych latach

Elastyczne moliwoci wirtualizacji

Technologia wirtualizacji Windows 2008 jest czci szerszej strategii dostpu stacji roboczych do centrw danych, ktra to pozwala odczu korzyci z wirtualizacji na kadym poziome infrastruktury przedsibiorstwa. Co wicej model ten atwo rwnie zaadaptowa dla duych rozwiza central firm a po korzyci z wirtualizacji w oddziaach zdalnych czy mniejszych firmach. W dzisiejszych czasach gdzie wiat IT staje si coraz bardziej skomplikowany, nasze zapotrzebowanie na wyspecjalizowane serwery ronie coraz mocnej. Nasze serwerownie s czsto przeadowane nowoczesnym hardwarem, wykorzystujcym najnowsze technologie, ktre wydajno dzisiejszych serwerw i zasoby ktrymi zarzdzaj, przewyszaj moliwoci dzisiejszego software. Ten moment jest doskonaym punktem do zastosowania np. konsolidacji serwerw w naszych sieciach.

Kluczowe funkcje wirtualizacji systemu Windows Server

Nowa i ulepszona architektura. Nowa 64-bitowa architektura hypervisor z zastosowaniem technologii mikrojdra umoliwia rozszerzenie obsugi urzdze oraz zwikszenie wydajnoci i skutecznoci zabezpiecze przy uyciu wirtualizacji Windows.

56

57

Wirtualizacja Windows Serwer 2008 jako skadowa strategii Microsofts Datacenter-to-desktop Virtualization
W rd wielu rozwiza wirtualizacyjnych dostpnych na rynku, oferta firmy Microsoft cechuje si kompleksowym rozwizaniem umoliwiajcym maksymalne wykorzystanie korzyci wynikajcych z zastosowania technologii wirtualizacji w przedsibiorstwie. Wirtualizacja Serwerowa dostpna w Windows Server 2008 jest integraln czci promowanej przez firm strategii o nazwie The Microsoft datacenter-to-desktop virtualization. Poniej zwile omwione zostan rne komponenty stanowice rodzin technologii wirtualizacji objtych strategi Microsoft. Wyjanione zostanie w jaki sposb technologie te wraz z wirtualizacj Windows Server 2008 powag rozwiza szereg problemw pojawiajcych si w rnych obszarach funkcjonowania system teleinformatycznego przedsibiorstwa. Strategia wirtualizacji Microsoft skada si z piciu kluczowych komponentw: Wirtualizacja serwerowa (Server virtualization), umoliwia konsolidacj wielu rl serwerw infrastrukturalnych przedsibiorstwa do rodowiska wirtualnego, w ktrym serwery te wykorzystywa bd zasoby fizyczne tego samego komputera Wirtualizacja prezentacji (Presentation virtualization), umoliwia uytkownikom zdalnym dostp do wirtualnych instancji ich komputerw biurowych lub aplikacji serwerowych Wirtualizacja pulpitu (Desktop virtualization), umoliwia na stacja roboczych tworzenie rodowiska testowego opartego o wiele systemw operacyjnych (ten rodzaj wirtualizacji najczciej realizowany jest w oparciu o Microsoft Virtual PC 2007) Wirtualizacja aplikacji (Application virtualization), jest to bardzo interesujce rozwizanie dla przedsibiorstw, umoliwiajce zminimalizowanie wystpowania konfliktw aplikacji dziaajcych na tym samym komputerze. Rozwizanie to umoliwia rwnie dystrybucj aplikacji w przedsibiorstwie bez koniecznoci jej instalowania na komputerze docelowym co znacznie poprawia stabilno stacji roboczych (produkt ten pod nazw SoftGrid jest integraln czci pakietu Microsoft Desktop Optimalization Package 2007) Zintegrowane zarzdzanie, wszystkimi wirtualnymi komponentami przedsibiorstwa w ramach ujednoliconego narzdzia do administrowania, monitorowania i kontroli zasobw zarwno maszyn wirtualnych jak i fizycznych.

Tabela 1 Produkty Microsoft w zastosowaniu w wirtualizacji

Produkty Microsoft Windows Server 2008 Virtual Server 2005 R2 Terminal Services SoftGrid Application Virtualization Virtual PC 2007 Windows Vista Enterprise Centralized Desktop (VECD)

Typ wirtualizacji Sprztowa wirtualizacja serwerowa Programowa wirtualizacja serwerowa Wirtualizacja prezentacji Wirtualizacja aplikacji Wirtualizacja pulpitu stacji klienckich Wirtualizacja pulpitu

Wirtualizacja serwerowa (Server Virtualization)

Firma Microsoft oferuje dwie technologie wirtualizacyjne dla platform serwerowych: Windows Server virtualization (WSv) na platformie Windows Server 2008 oraz obecny ju od duszego czasu Virtual Server 2005 R2.

Wirtualizacja serwerowa realizowana w zaoeniu na 64-bitowych systemach operacyjnych diametralnie zwikszya wydajno i moliwoci zarzdzania rodowiskiem 32-bitowych maszyn wirtualnych, rozszerzya ilo dostpnej pamici wirtualnej dla komputerw goci oraz wprowadzia obsug wielu procesorw. Wirtualizacja staa si obecnie gwnym narzdziem umoliwiajcym uzyskanie penej izolacji rodowiska wirtualnego z zachowaniem korzyci wynikajcych z konsolidacji rl serwerowych.

58

59

Tabela 2 Porwnanie moliwo Hyper-V i Virtual Servera

Wirtualizacja Windows Server 2008 (Hyper-V) 32-bit host 64-bit host Wsparcie dla wielu procesorw w systemie gocia Rozszerzone narzdzia do zarzdzania Hypervisor typu 1 (Wirtualizacja serwerowa hardwarowa) Wirtualizacja serwerowa softwarowa

Virtual Server 2005 R2 SP2

Wirtualizacja stacji roboczej jest rwnie bardzo czsto wykorzystywana do budowania rodowisk testowych umoliwiajcych analiz zachowania aplikacji w rnych systemach operacyjny oraz rn konfiguracj. Pomimo zbienoci w funkcjonowaniu tych dwch metod wirtualizacji naley pamita, e przeznaczeniem technologii Virtual Server 2005 jest konsolidacja rl serwerowych i tworzenie rodowiska infrastrukturalnego, natomiast zastosowanie wirtualizacji stacji roboczych jest w gwnej mierze rozwizywanie problemw z kompatybilnoci oraz budowa rodowiska testowego.

Wirtualizacja aplikacji (Application Virtualization)

Wirtualizacja aplikacji pomaga w izolowaniu rodowiska uruchomieniowego aplikacji od procesu instalacji w systemie operacyjnym, poprzez tworzenie specyficznej kopii rodowiska (kopia rejestrw, systemu plikw itp.) dla potrzeb dziaania aplikacji. Zastosowanie tej technologii minimalizuje koszty kadzione na testowanie zgodnoci aplikacji. Wykorzystujc Microsoft SoftGrid, w rodowisku lokalnym i sieciowym uytkownicy mog zminimalizowa czas instalacji aplikacji i wyeliminowa potencjalne konflikty pomidzy aplikacjami dajc kadej z nich wirtualne rodowisko dostpne wycznie dla nich. Dziki oparciu aplikacji wirtualnych o abstrakcyjn warstw dostpu do elementw systemu, mechanizm ten minimalizuje czas oraz koszty wdraania i aktualizacji aplikacji.

Wirtualizacja prezentacji (Presentation Virtualization)

Wirtualizacja prezentacji jest technologi umoliwiajc uruchamianie aplikacji na zdalnym serwerze i prezentowanie wynikw jej dziaania lokalnie u klienta. Technologia wirtualizacji prezentacji oraz Microsoft Terminal Services, umoliwiaj uytkownikom zdalnym dostp do rodowiska pracy z sieci zewntrznych przy zachowaniu penej funkcjonalnoci aplikacji, dostpu do zasobw oraz interfejsu aplikacji niezalenie od platformy systemowej lub zainstalowanych komponentw. Korzyci tej technologii widoczne s rwnie dla administratorw systemowych, gdy umoliwia im ona dostp do narzdzi administracyjnych ze zdalnych lokalizacji lub te wspdzieli je z administratorem pracujcym lokalnie. Wirtualizacja prezentacji dostarcza uytkownikom mechanizmw do centralizacji i zabezpieczania danych, redukuje koszty wdraania i zarzdzania aplikacjami, obnia koszty testowania kompatybilnoci aplikacji z systemem operacyjnym i potencjalnie zwiksza ogln wydajno caego rodowiska.

Kompleksowe zarzdzanie rodowiskiem wirtualnym

Technologie wirtualizacji dostarczaj szerokiej gamy korzyci, jednak wraz z konsolidacj komputerw do rodowiska wirtualnego, staje si ono bardziej abstrakcyjne. Zwikszanie poziomu abstrakcyjnoci rodowiska moe powodowa problemy administracyjne zwizane z zarzdzaniem, monitorowaniem i analiz rodowiska. Administracja rodowiskiem wirtualnym stawia przed administratorami takie same wymagania jak rodowiskiem rzeczywistym, wykorzystujc do tego celu te same narzdzia. Problem dostpnoci narzdzi do zarzdzania rodowiskiem zwirtualizowanym jest do powany i pomimo duej iloci rnego rodzaju narzdzi dostpnych na rynku, brak jest skonsolidowanego, ujednorodnionego narzdzia administracyjnego. Z tego te powodu firma Microsoft podczas projektu nowej linii produktw pooya bardzo duy nacisk na ich stworzenie. Wraz z pojawieniem si platformy Hyper-V Windows Server 2008 oraz System Center Virtualization Manager zostay udostpnione narzdzia tak zaprojektowane, aby dostarczy rodowisku przedsibiorstw sprawnych i wydajnych mechanizmw do zarzdzania, monitorowania rodowiska wirtualnego. Posiadanie duej iloci rnych interfejsw administracyjnych do zarzdzanie rodowiskiem wirtualnym powoduje problemy z monitorowaniem i diagnoz rodowiska. Gwn korzyci z zastosowania System Center Virtualization Manager jest dostarczenie zintegrowanych narzdzi administracyjnych dla wszystkich skadowych infrastruktury IT (w tym te infrastruktury zwirtualizowanej).

Wirtualizacja stacji roboczych (Desktop Virtualization)

Wirtualizacja stacji roboczych jest sytuacj kiedy technologia wirtualizacji wykorzystywana jest w rodowisku stacji roboczej klienta. Istnieje wiele sytuacji, w ktrych wirtualizacja stacji roboczych jest funkcjonalnie zbliona do wirtualizacji serwerowej znanej z Virtual Server 2005 R2. Zbienoci te wida gwnie w sytuacjach zwizanych z rozwizywaniem problemw niekompatybilnoci aplikacji, kiedy to uytkownik musi wykorzystywa w pracy aplikacj ktra jest niekompatybilna z jego systemem operacyjnym. W takiej sytuacji wykorzystuje si jedn z wymienionych technologii do stworzenia rodowiska wirtualnego opartego o wymagany dla aplikacji system operacyjny i udostpnienie go uytkownikowi lokalnie lub poprzez sie komputerow.

60

61

Poziom integracji narzdzi administracyjnych dostarczany przez rodzin System Center oraz standaryzacja rodowiska IT jest gwnym czynnikiem minimalizacji kosztw wdraania zarzdzania i rozwizywania problemw w przedsibiorstwie. Stosowanie tego typu narzdzi umoliwia usprawnienie procesu szkolenia administratorw i zarzdzania dynamicznie rozwijajcym si rodowiskiem wirtualnym. Pamita naley, e gwnym zadaniem rozwiza opartych o System Center jest stworzenie dynamicznie adoptowalnego rodowiska IT do pojawiajcych si w infrastrukturze sytuacji krytycznych. Dalsze informacje dotyczce rozwiza wirtualizacji na platformie Windows Server oraz omwienie gwnych korzyci i cech funkcjonalnych znale mona pod adresem www. microsoft.com/virtualization.

zapotrzebowania na energi elektryczn, obcienia klimatyzatorw oraz zmniejszenie kosztw zwizanych z przestojami infrastruktury w sytuacjach awaryjnych. Konsolidacja zmniejsza rwnie obszar potencjalnego ataku teleinformatycznego i umoliwia skupi wiksz uwag administratorw na mniejszej iloci urzdze serwerowych. Umieszczenie rodowiska maszyn wirtualnych na wysoko dostpnych rozwizaniach sprztowych w przedsibiorstwie podnosi niezawodno, sprawno i dostpno infrastruktury przy rwnoczesnym zmniejszeniu kosztw infrastruktury.

Identyfikacja kluczowych potrzeb biznesowych

Poniej omwione zostan informacje na temat w jaki sposb wirtualizacja Windows Server 2008 umoliwia wsparcie dla kluczowych potrzeb biznesowych zwizanych z funkcjonowaniem infrastruktury IT. Przedstawione zostan nastpujce scenariusze: Konsolidacja serwerw Utrzymanie cigoci procesu biznesowego i mechanizmy odpornoci na awarie Testowanie i rozwj Zarzdzanie oddziaami zdalnymi

Utylizacja sprztu rozwiza serwerowych w przedsibiorstwa siga obecnie 5%-15% ich moliwoci. Tak niska utylizacja zasobw wprowadza trudnoci w okrelenie wartoci bazowych i maksymalnych dla codziennej pracy serwera. Uniemoliwia to w racjonalny sposb okreli rzeczywiste zapotrzebowanie system na zasoby sprztowe. Wiele firm podejmuje decyzj o utylizacji zasobw na podstawie okrelenia gwnych komponentw majcych wpyw na realizowane przez serwer role. Decyzja o zalokowaniu zasobw serwera podejmowana jest na podstawie pomiaru obcienia dla procesora CPU, dostpu do dysku, zajtoci RAM i obcienia interfejsu sieciowego. Prowadzona w ten sposb analiza pokazuje, e serwery posiadaj zasoby, ktre moe wykorzysta technologia wirtualizacji. Dziki takiemu podejciu moliwe jest maksymalne wykorzystanie zasobw sprztowych w przedsibiorstwie z rwnoczesn realizacj oczekiwa dziaw IT w stosunku do rozwoju infrastruktury. Pomiar wydajnoci rodowiska serwerowego moe by realizowany w oparciu o narzdzia systemowe tj. Monitor Wydajnoci lub przez dedykowane do tego celu narzdzia infrastrukturalne takie jak System Center Operations Manager.

Optymalizacja infrastruktury

Elastyczno

Konsolidacja serwerw
Jednym z kluczowych powodw wdroenia rozwiza wirtualizacji w przedsibiorstwie jest konsolidacja rl serwerowych. Dynamiczne zmiany warunkw rynkowych, ch utrzymywania przewagi w sektorze branowym, lub konkurencyjno oferty wywiera na firmy coraz wikszy nacisk zwizany z minimalizacj kosztw. wiadome przedsibiorstwa szybko zauwayy, e jednym z narzdzi umoliwiajcych obnienie kosztw operacyjnych systemw teleinformatycznych jest uproszczenie administracji, przy rwnoczesnym zachowaniu elastycznoci, skalowalnoci i bezpieczestwa. Zachowanie tych atrybutw jest fundamentalnym zaoeniem konsolidacji serwerw.

Nowa architektura wirtualizacji Windows Server 2008 dostarcza elastycznych mechanizmw zarzdzania skonsolidowanym rodowiskiem serwerowym. Przez udostpnienie maszynom wirtualnym rozszerzonych zasobw sprztowych takich jak wielordzeniowe procesory, usprawniony dostp do dysku twardego czy te rozszerzenie przestrzeni adresowych pamici RAM, wirtualizacja serwerowa Windows Server 2008 znacznie zwikszya wydajno i skalowalno platform wirtualizacji. W poczeniu z pozostaymi moliwociami Windows Serwer 2008, mechanizmy wirtualizacji umoliwiaj obecnie optymalizacj obcienia systemw zarwno 32 jak i 64-bitowych na jednym systemie rzeczywistym. Nowe mechanizmy wirtualizacji takie jak Hyper-V umoliwiaj zmniejszenie odcienia maszyn 32-bitowych przez wykorzystanie cech rodowiska 64-bitowego.

Redukcja kosztw

Dziki konsolidacji serwerw zmniejsza si ilo potrzebnych jednostek komputerowych, co powoduje gwny spadek kosztw infrastruktury. Jednake na ogln redukcj kosztw infrastruktury wpywa bd rwnie oszczdnoci wynikajce ze zmniejszonego

Cigo dziaania procesw biznesowych i oporno na awarie

Wdraanie mechanizmw zapewnienia cigoci dziaania jest konieczne, aby zminimalizowa czas przerw funkcjonowania infrastruktury sieciowej przedsibiorstwa, zarwno tych

62

63

planowanych, jaki tych nieplanowanych,. Proces ten obejmuje czas, ktry jest przeznaczony zarwno na podstawowe czynnoci administracyjne, takie jak zarzdzanie i wykonywanie kopii zapasowych. Wirtualizacja w Windows Server 2008 jest doskonaym rozwizaniem dla zapewnienia cigoci dziaania, sprawia, e czas pracy serwera bez awarii, a co za tym idzie, czas dostarczania okrelonych usug biznesowych, zosta znacznie wyduony. Odtwarzanie systemu po awariach jest kluczowym elementem w procesie cigoci dziaania. Katastrofy naturalne, zoliwy kod, bdy, czy problemy w konfiguracji sprztowej i programowej, w wielu przypadkach s w stanie zakci dziaanie usug i aplikacji do czasu, w ktrym administrator nie naprawi zaistniaego problemu lub odtworzy kopii zapasowej. Wanym elementem procesu utrzymania cigoci dziaania s szybkie i wiarygodne czynnoci, dziki ktrym zminimalizuje si skutek utraty danych oraz dziki ktrym moliwe jest zdalne administrowanie rodowiskiem. Wirtualizacja Windows Server wspiera takie rozwizania jak Shadow Copy Services (VSS), czyli funkcjonalno kopii zapasowych, ktra umoliwia odtwarzanie wirtualnych maszyn bez przerwy w dziaaniu. We wsppracy z System Center Data Protection Manager lub innymi podobnymi technologiami kopii zapasowych partnerw Microsoft, moliwe jest przechowywanie danych w bezpieczny sposb, take w oddziaach zdalnych. W sytuacji, kiedy nastpi awaria serwera, ktry nie moe zosta odtworzony, administratorzy mog w szybki sposb odtworzy z kopii zapasowej maszyn wirtualn, zarwno w siedzibie gwnej, jak i w oddziale zdalnym, dziki temu czas przestoju jest niewielki. Co wicej, obecnie wirtualne maszyny przechowywane s w formacie VHD, dziki temu mona w bezpieczny sposb odtworzy maszyn wirtualn w oddziale zdalnym na kadym komputerze, na ktrym zostaa uruchomiona platforma Windows Server. Monitorowanie w System Center Operations Manager, poczone z moliwociami wirtualizacji w Windows Server, umoliwia administratorom w oddziaach zdalnych dowiedzie si, jaki jest stan serwerw w czasie rzeczywistym. Wykorzystywane s take czynnoci zwizane z administracj systemem operacyjnym, czsto przy wykorzystaniu skryptw administratorskich, ktre pozwalaj na uruchomienie zada przeciwdziaajcych awarii, czy zada odtwarzania. Monitorowanie systemw jest przydatne przy planowaniu ryzyka, np. poprzez sprawdzenie, jakie minimalne moliwoci musi posiada serwer, aby nadal pozostawa uyteczny lub minimalne wymagania potrzebne do skontaktowania si z serwerem, ktry przejmie zarzdzanie, podczas gdy obecny serwer nie jest w stanie wiadczy adnych usug. Jedn z waniejszych funkcjonalnoci wirtualizacji Windows Server jest Quick Migration. Opcja ta zostaa specjalnie utworzona do zwikszenia efektywnoci procesu cigoci dziaania. W poczeniu z usug klastrowania w Windows Server 2008, wspieran w edycjach Enterprise i Datacenter, Quick Migration umoliwia zarzdzanie usugami wysokiej dostpnoci dla maszyn wirtualnych (gdy jeden z serwerw ulegnie awarii, jego prac przejmuje inny wze, z minimaln przerw w dziaaniu w dostpie uytkownikw. Opcja ta jest take przydatna, aby poprawi dostpno podczas zaplanowanego zarzdzania systemem i umoliwia administratorom przeniesienie maszyn wirtualnych na inne systemy operacyjne przed dokonaniem aktualizacji sprztowej, czy programowej na serwerze bazowym. Cechy te, jak i wiele, wiele wicej sprawiaj, e wirtualizacja Windows Server staje si efektywn platform wirtualizacji, ulepszajc proces zachowania

cigoci dziaania i ochrony przed awari dla wszystkich dostpnych maszyn wirtualnych w przedsibiorstwie, zachowujc take moliwoci serwera bazowego oraz pozostaych jednostek rodowiska informatycznego organizacji.

Testowanie i rozwj
Testowanie i rozwj s bardzo czsto uwaane za jedne z waniejszych cech biznesowych przewaajcych na korzy wirtualizacji. Wykorzystanie maszyn wirtualnych oraz narzdzi wspomagajcych ich rozwj okazuje si przydatne do testw w wirtualnym rodowisku, odpowiadajcym rodowisku rzeczywistemu, a take zasymulowania sytuacji, ktre mog zdarzy si w przyszoci. Przykadowo, zesp programistw jest w stanie sprawdzi nowe wersje aplikacji na wielu platformach przy wielu konfiguracjach sprztowych. Dzia informatyczny moe wykorzystywa wirtualne maszyny do weryfikacji dziaania rozwiza wdroonych na serwerach oraz na komputerach uytkownikw. Wirtualizacja Windows Server zwiksza moliwoci sprawdzania poprawnoci dziaania sprztu, ograniczajc przy tym koszty oraz, w znacznym stopniu, poprawiajc zarzdzanie polityk testowania oraz zwikszajc obszar moliwych do przeprowadzenia testw.

Wsparcie dla innych systemw operacyjnych

Wirtualizacja Windows Server wspomaga 64-bitowe systemy operacyjne, take firm trzecich, wczajc w to niektre dystrybucje Xen+Linux, pozwalajc dziki temu na sprawdzenie jak funkcjonuj aplikacje innego typu. Wirtualizacja Windows Server pozwala take na uruchomienie wikszoci podstawowych systemw operacyjnych na maszynach 32-bitowych. Wirtualizacja Windows Server pozwala take na jednoczesn prac 64-bitowych i 32-bitowych rodowisk wirtualnych, przy wykorzystaniu ktrych mona budowa wiele scenariuszy wdroe, wykorzystujc do tego narzdzia stosowane w rodowisku produkcyjnym.

Repozytoria maszyn wirtualnych

System Center Virtual Machine Manager przechowuje i zarzdza maszynami wirtualnymi, ktre znajduj si w repozytorium. Jest to bardzo cenna funkcjonalno ze wzgldu na testowanie i rozwj. Repozytorium moe zawiera wirtualne maszyny lub szablony wirtualnych maszyn bazujce na kadym systemie operacyjnym wykorzystywanym w organizacji, umoliwiajc zespoowi programistw sprawdzenie poprawnoci dziaania nowych produktw, zaraz po tym jak si pojawi, a co za tym idzie, umoliwiajc take zaobserwowanie, jaki wpyw bdzie miaa dana aplikacja na rodowisko produkcyjne, zanim w rzeczywistoci aplikacja ta zostanie wdroona. W wielu rodowiskach maszyny wirtualne s tworzone i zarzdzane przez administratorw serwerw, podlegajcych wirtualizacji i przez nich s administrowane i dystrybuowane. Sytuacja ta tworzy niepotrzebne opnienia w dostarczaniu maszyn wirtualnych do zespow testujcych. Z portalem System Center Virtual Machine Self-service, zesp testujcy moe utworzy lub usuwa maszyny wirtualne w zalenoci od potrzeb, bez wczania w to administratorw. Rol administratorw jest kontrola przydziau zasobw dla kadego zespou testujcego, a take kontrola typw maszyn wirtualnych, ktre mona uruchamia,

64

65

bd tworzy w sieci. Wirtualizacja Windows Server stanowi platform dla tych moliwoci w oparciu o Active Directory i Group Policy. Szczegowa kontrola zasobw w wirtualizacji Windows Server pomaga take izolowa sprawdzane rodowiska poprzez wykorzystanie cech takich tak VLAN.

zdalnych wprowadza wiele problemw administracyjnych oraz podraa oglne koszty utrzymania infrastruktury IT przedsibiorstwa. Dziki konsolidacji serwerw do rodowiska wirtualnego administracja staje si wydajna i bezpieczniejsza, a koszty utrzymania nisze. Zastosowanie wirtualizacji wprowadza redukcj kosztw na poziomie planowania rozwoju infrastruktury, zakupie urzdze, zarzdzaniu i wykorzystaniu zasobw dziau IT. Dziki omwionym wczeniej narzdziom do zarzdzania rodowiskiem wirtualnym zdalnie moliwe jest ograniczenie iloci uytkownikw z uprawnieniami administracyjnymi w oddziaach zdalnych. Wirtualna infrastruktura oddziau zdalnego wprowadza rwnie korzyci, ktre ju omwione zostay wczeniej w tym podrczniku.

Kopie stanu maszyn wirtualnych w procedurze testowania i wdraania rodowiska

Kopie stanu jako punkty kontrolne s bardzo cennym narzdziem w procesie odzyskiwania, testowania i rozwoju rodowiska wirtualnego przedsibiorstwa. Procedury testowania i rozwoju zwykle wymagaj od zespou testujcego czasu na instalacj, reinstalacj i odinstalowanie. Dziki punktom kontrolnym w wirtualizacji Windows Server, moliwe staje si przywrcenie pierwotnego stanu maszyny wirtualnej, ktra zostaa zmodyfikowana np. tej na ktrej zostaa zainstalowana okrelona aplikacja, aby zaoszczdzi czas na przywrcenie maszyny do stanu sprzed instalacji. Opcja ta sprawia, e sprawdzanie wielu konfiguracji danej aplikacji przebiega duo szybciej, a wykorzystanie zasobw sprztowych jest ograniczone do minimum.

Utrzymanie cigoci procesu biznesowego w oddziaach zdalnych

Zarzdzanie oddziaami zdalnymi

Infrastruktura przedsibiorstwa oparta o oddziay zdalne stawia przed administratorami wiele wyzwa tj. wdraanie serwerw, utrzymanie cigoci procesw biznesowych, zdalne zarzdzanie zasobami oraz uniknicie w oddziaach zdalny uytkownikw z uprawnieniami administracyjnymi. Wirtualizacja Windows Serwer 2008 dostarcza administratorom szereg narzdzi umoliwiajcych zdalna administracj rodowiskiem eliminujc potrzeb posiadania uytkownika z uprawnieniami administracyjnym w oddziale zdalnym. Wszystkie czynnoci zwizane z utrzymaniem I konserwacj infrastruktury tj. kopie zapasowe mog zosta cakowicie zautomatyzowane. Nowe mechanizmy zarzdzania rodowiskiem i auto naprawy potrafi rozwizywa cz problemw z konfiguracja maszyn wirtualnych bez udziau administratora. Dziki wykorzystywaniu wirtualizacji Windows Server 2008 oddziaom zdalnym przedsibiorstw zostay udostpniane technologie dotychczas zarezerwowane dla centrw danych, tj. odporno na awarie i utrzymanie cigoci dziaania, testowanie zmian konfiguracji rodowiska oraz moliwo tworzenia rozwiza wysoko dostpnych bez znacznych nakadw finansowych.

Utrzymanie cigoci dziaania procesw biznesowych w oddziaach zdalnych ma takie same wymagania jak dla organizacji skupionej w pojedynczej lokalizacji. Oczywicie w czasie projektowania takiej infrastruktury naley pooy wikszy nacisk na bezpieczestwo dostpu do danych wytwarzanych, magazynowanych i przesyanych w kanaach komunikacyjnych pomidzy oddziaem zdalnym a central. Wykorzystanie wirtualizacji w infrastrukturze oddziau zdalnego umoliwi wyposaenie jej w wysokodostpne rodowisko wspierajce procesy biznesowe przedsibiorstwa. Wykorzystujc wirtualizacj serwerow Windows 2008 utrzymanie cigoci dziaania i procesu biznesowego moe by realizowane przy wykorzystaniu technologii klastrowych oraz wysoko dostpnych mechanizmw wykonywania kopii i odtwarzania rodowiska po awarii. W sytuacji awaryjnej w oddziale zdalnym administratorzy w centrali mog w swoim rodowisku testowym rozwiza problem wykorzystujc odpowiednio przygotowane rodowisko wirtualne a nastpnie przesa je do oddziau zdalnego i wdroy przy wykorzystaniu narzdzi zdalnej administracji.

Testowanie i wdraanie infrastruktury oddziau zdalnego

Organizacje wykorzystujce wirtualizacj dla optymalizacji infrastruktury oddziau zdalnego, z reguy buduj soje laboratoria testowe w centrali, gdzie przeprowadzane s wszelkie testy zwizane z optymalna konfiguracj rodowiska oddziau. Idea wykorzystania tego modelu zostaa przedstawiona ju w poprzedniej sekcji. Planujc taki model organizacyjny naley uwzgldni sposb dystrybucji skonfigurowanego rodowiska wirtualnego do oddziau zdalnego (np. wykorzystujc noniki DVD lub szybkie cza WAN).

Zwikszenie sprawnoci w oddziaach zdalnych

Konsolidacja serwerw w oddziaach zdalnych

Korzyci wynikajce z zastosowania konsolidacji najbardziej widoczne s dla infrastruktury opartej o oddziay zdalne. Organizacja, ktra wykorzystuje obecnie oddziay zdalne posiada z reguy kilka serwerw ktre peni okrelone role takie jak serwery pocztowe, serwery plikowe, serwery faxw i wydruku, itp. Zbudowanie takiej infrastruktury w oddziaach

Firma Microsoft projektuj now rodzin serwerw Windows 2008 pooya bardzo duy nacisk na optymalizacj infrastruktury opartej o oddziay zdalne. Jednym z gwnych wyzwa stawianych przed infrastruktur opart o oddziay zdalne jest niewystarczajca przepustowo czy WAN co czsto utrudnia prowadzanie czynnoci administracyjnych. Dostarczane wraz z rodowiskiem Hyper-V i System Center Virtual Machine Manager narzdzia maj za zadanie usprawni administracj na czach o niskiej przepustowoci. Wykorzystujc w infrastrukturze przedsibiorstwa SCVM administratorzy mog w tym samym czasie zarzdza centralnie przesyaniem, wdraaniem i administracj rodowiska wirtualnego w oddziaach zdalnych.

66

67

Wymagania sprztowe i wsparcie

Windows Server wymaga: procesora x64, sprztowej obsugi wirtualizacji i sprztowej ochrony wykonywania danych.

AMD

SOCKET AM2: Wszystkie procesory tej linii posiadaj wsparcie dla hardwarowej wirtualizacji AMD-V Athlon/Opteron Rev. F: lub pniejsze posiadaj wsparcie dla hardwarowej wirtualizacji AMD-V

BIOS

Poniej opcje BIOS musz by wczone w zalenoci od platformy hardwarowej: Platforma AMD: NX (No Execute) Platforma Intel: XD (eXecute Disable)) Wsparcie dla wirtualizacji hardwarowej Intel Hardware: w wikszoci opcja to VT w BIOS-ie AMD Hardware: nie ma najczciej adnej opcji w BIOS-ie,

Poniej zestawienie elementw ktre s wane dla poprawnoci instalacji i uruchomienia rodowiska Hyper-V.

PROCESOR

Virtualizacja Hyper-V wymaga 64-bitowych procesorw z technologiami wspomagania wirtualizacji AMD-V i Intel VT. W przypadku procesorw AMD moliwe jest uruchomienie wirtualizacji na procesorach z socjet AM2 lub Athlon/Opteron Revision F.

Intel

Xeon: Procesory XEON ktre posiadaj architektur Core 2 DUO maja wsparcie dla wirtualizacji. Procesory te posiadaj cztero cyfrowe oznaczenia np. x3220, x5355, x5320 i x 7120. Jednake odpowiedz nie jest prosta co do innych modeli, najlepszym rozwizaniem jest sprawdzi to na stronach porwnawczych Intela http://compare.intel.com/pcc/default. aspx?familyID=5&culture=pl-PL CORE 2 DUO: Wszystkie procesory CORE 2 DUO posiadaj wsparcie Intel VT, jedynym wyjtkiem jest procesor T5500 (1.66 GHz). Jeli nie ma wparcia dla Intel VT na komputerach z CORE 2 DUO naley sprawdzi czy posiadamy najnowszy BIOS CORE DUO: Procesory z CORE DUO s 32 bitowe co oznacza e niemoliwe jest wsparcie dla Hyper-V. Na tej platformie sprztowej jedynym rozwizaniem jest wirtualizacja softwarowa czyli Microsoft Virtual Server 2005 SP1 lub Virtual PC 2007. CORE SOLO: Procesory z CORE SOLO s 32 bitowe co oznacza e niemoliwe jest zainstalowanie systemu Windows 2008 64 bitowego a tylko ten system posiada wsparcia dla Hyper-V. Na tej platformie sprztowej jedynym rozwizaniem jest wirtualizacja softwarowa czyli Microsoft Virtual Server 2005 SP1 lub Virtual PC 2007.

Dla poprawnego dziaania zaleca si update do najnowszej wersji BIOS-u dostpnej dladanego komputera.

PAMI DYSKI

Do zastosowa wirtualizacji powinnimy posiada 2 GB RAM

Wielko i szybko dysku zaley od zamierze co do wykorzystania systemu operacyjnego wewntrz komputera wirtualnego i iloci komputerw wirtualnych. Mona przyj warto 2GB dla Windows 2003 i 8 GB dla Windows 2008. Jednake warto uniwersaln ktr naley przyj dla wdroe to 50 GB wolnej przestrzeni.

Instalacja
W systemie Windows 2008 wikszo usug instaluje, konfiguruje, zarzdza si z jednego miejsca Server manager. Ta zasada rwnie funkcjonuje dla instalacji, zarzdzania usugami wirtualizacyjnymi. Dziki. Hyper-V jest rol serwera Windows 2008 ktra moemy doinstalowa w penej instalacji Windows 2008 64- bit. Aby wczy Hyper-V naley: 1. Przed instalacj naley si upewni, e jest wczona sprztowa obsuga wirtualizacji. Jeeli wprowadzono zmiany w konfiguracji systemu BIOS w celu wczenia funkcji sprztowych, to przed kontynuowaniem procedury naley wykona pen procedur wyczania i ponownego wczania zasilania.

PENTIUM D.: Ostatnie modele tej linii procesorw posiadaj wsparcie dla wirtualizacji Intel VT. Jednake odpowiedz nie jest prosta co do innych modeli, najlepszym rozwizaniem jest sprawdzi to na stronach porwnawczych Intela http://compare.intel.com/pcc/default. aspx?familyID=1&culture=pl-PL

68

69

2.

Uruchom Menedera serwera. Aby to zrobi, kliknij przycisk Start, wska polecenie Administrative Tools, a nastpnie kliknij polecenie Server Manager. Aby doda role do serwera, naley si zalogowa przy uyciu konta z uprawnieniami administracyjnymi.

4.

Postpuj zgodnie z instrukcjami wywietlanymi na ekranie, aby zakoczy dziaanie Add Roles Wizard.

3.

W Server Manager dodaj rol wirtualizacji systemu Windows Server. Aby to zrobi, kliknij przycisk Add Roles w obszarze Roles Summary, a nastpnie wybierz opcj Windows Server Virtualization w kreatorze dodawania rl.

Uwaga: Opcjonalnie mona zezwoli maszynom wirtualnym na dostp do zasobw sieciowych. Co najmniej jedna karta sieciowa musi by wybrana w celu powizania z wirtualnym przecznikiem sieci. Jeeli w komputerze jest zainstalowana jedna karta sieciowa, zostanie wywietlone ostrzeenie. Zalecane jest udostpnienie co najmniej dwch kart sieciowych.

70

71

5. 6.

Po zakoczeniu dziaania Kreatora dodawania rl naley ponownie uruchomi komputer, aby umoliwi wczenie roli wirtualizacji systemu Windows Server. Zalecane jest wyczenie innych rl systemu Windows Server 2008 w systemie hosta, jeeli rola wirtualizacji systemu Windows Server jest wczona w systemie.

Zarzdzanie wirtualizacj systemu Windows Server za porednictwem programu MMC

Zainstalowan rol wirtualizacji systemu Windows Server mona zarzdza za porednictwem programu MMC, podobnie jak innymi rolami w systemie Windows Server 2008. 1. Naley wybra pozycj Virtualization Management systemu Windows z folderu Administrative Tools w menu Start,.

Wane: po ponownym uruchomieniu naley si zalogowa przy uyciu konta uywanego do instalacji roli wirtualizacji systemu Windows Server zgodnie z powysz procedur. Uwaga: Aby potwierdzi instalacj roli wirtualizacji systemu Windows Server, naley przej do przystawki Meneder serwera programu MMC, rozwin wze Rol i zaznaczy pozycj Wirtualizacja systemu Windows Server. Naley si upewni, e dwie usugi, vhdsvc i vmms, s uruchomione. Korzystajc z tej konsoli, mona zarzdza lokalnym systemem lub czy si z innymi serwerami i zarzdza nimi. Korzystajc z konsoli zarzdzania wirtualizacj, mona atwo tworzy nowe maszyny wirtualne, modyfikowa ustawienia dla komputera-hosta i maszyny wirtualnej, zatrzymywa i uruchamia maszyny wirtualne, wykonywa migawki itp. przy uyciu znanych kreatorw zgodnych z interfejsem systemu Windows.

Instalacja Hyper-V w systemie Windows 2008 CORE

W CORE czyli wersji instalacyjnej Windows 2008 pozbawionej rodowiska graficznego moemy uruchomi instalacje z linii komend. 1. 2. Wpisz Start /w ocsetup Microsoft-Hyper-V aby wczy rol Hyper-V. Po zakoczeniu instalacji, zrestartuj komputer

Instalacja systemu Gocia na Hyper-V

Usuga wirtualizacji w Windows 2008 (Hyper-V) jest doskonaym sposobem na konsolidacje serwerw. Jeli ju usuga zostaa skonfigurowana i dziaa, przysza kolej na instalacje systemu operacyjnego systemu gocia. System operacyjny gocia naszym przykadzie Windows 2008 jednake moe by: 1. Naley wybra pozycj Virtualization Management z folderu Administrative Tools w menu Start,.

72

73

2. 3.

Kliknij na New, ktry znajduje si na prawym panelu i wybierz Virtual Machine Uruchomi si virtual machine wizard, w kolejnych krokach wybierz: a. Nazw i lokalizacj dla nowego komputera wirtualnego

b.

Pamici RAM przydzielonej dla nowej maszyny Windows 2008 wymaga do poprawnego dziaania 512 MB dla sprawnego dziaania jeli to moliwe wybierz 1GB. Wielko i lokalizacje dla pliku VHD pliku ktry staje si wirtualnym dyskiem tworzonej maszyny wirtualnej, domylna warto 127 GB jest zupenie wystarczajca. Jeli chcesz aby po utworzeniu maszyny wirtualnej automatycznie rozpocz si proces instalacji systemu operacyjnego wska nonik Windows 2008. Moe by to nonik fizyczny, w takim wypadku wska napd a jeli posiadasz obraz pyty DVD wska odpowiedni plik ISO

c.

d.

4.

W podsumowaniu S

74

75

3.

Usugi terminalowe

Wprowadzenie
Zarwno firmy, jak i pracownicy s w cigym ruchu. Pracownicy potrzebuj dostpu do kluczowych danych i aplikacji biznesowych niezalenie od miejsca, w ktrym si aktualnie znajduj w samochodzie, w domu, w terenie, jak rwnie w biurze. Firmy, ktre zapewniaj scentralizowany dostp do aplikacji za pomoc systemu Windows Server 2008, mog zmniejszy wydatki, zwikszy produktywno i dostarczy pracownikom narzdzi potrzebnych do osigania sukcesw w pracy. Zapewnienie zdalnego dostpu do aplikacji przy jednoczesnym zachowaniu bezpieczestwa jest wyzwaniem dla specjalistw IT, a take stanowi gwny cel ulepsze scentralizowanego dostpu do aplikacji zawartego w Microsoft Windows Server 2008. System Windows Server 2008 dodaje ulepszenia oraz innowacje do Usug Terminalowych, ktre uatwiaj integracj zdalnych aplikacji na komputerach klientw, zapewniaj atwy dostp do tych samych programw za pomoc przegldarki internetowej, jak rwnie dostarczaj rodkw umoliwiajcych dostp do odlegych terminali i aplikacji, poprzez zapory firewall, bez potrzeby otwierania dodatkowych portw. Dziki Windows Server 2008 organizacje s w stanie zapewni swoim uytkownikom, zarwno tym pracujcym zdalnie, jak i tym pracujcym w sieci, dostp do aplikacji zebranych i zabezpieczonych w centrum danych, przy jednoczesnym zapewnieniu spjnoci danych i wydajnoci, niezalenie od lokalizacji uytkownika. Poniszy rozdzia przedstawi zarys technologii Usug Terminalowych w Windows Server 2008, umoliwiajcych organizacjom: Zapewnienie scentralizowanego dostpu do kluczowych aplikacji biznesowych za porednictwem Internetu. Zmniejszenie ryzyka utraty danych z komputerw przenonych poprzez wykorzystanie bezpiecznego dostpu zdalnego do centralnej bazy aplikacji i danych. Obnienie kosztw zarzdzania dziki rezygnacji z serwerw aplikacyjnych w innych lokalizacjach. Zapewnienie bezpiecznego dostpu do Usug Terminalowych bez koniecznoci udostpniania penego dostpu do sieci poprzez Wirtualne Sieci Prywatne (VPN).

77

Do nowych komponentw Usug Terminalowych nale: Terminal Services RemoteApp. TS RemoteApp pozwala uytkownikom na uruchomienie programw dostpu zdalnego w systemie Windows na ich pulpicie, tu obok lokalnych aplikacji, przy uyciu nowego klienta Remote Desktop Connection w wersji 6.0 lub wyszej. Terminal Services Gateway. TS Gateway poszerza zasig Usug Terminalowych poza firmow zapor firewall poprzez zapewnienie bezpiecznego dostpu do Usug Terminalowych oraz udostpnionych pulpitw, bez potrzeby korzystania z dodatkowej infrastruktury VPN. Terminal Services Web Access. TS Web Access oferuje rozwizanie upraszczajce proces publikowania aplikacji zdalnych dla administratora, przy jednoczesnym uatwieniu uytkownikom wyszukiwania i uruchamiania zdalnych aplikacji. Single Sign-on. SSO usprawnia prac uytkownika zdalnego dziki wyeliminowaniu koniecznoci wielokrotnego uwierzytelniania. Terminal Services Easy Print. TS Easy Print jest sterownikiem drukarki w Usugach Terminalowych, ktry usprawnia administracj w celu umoliwienia drukowania obsugiwanym klientom. Ulepszenia Licencyjne. Istnieje wiele ulepsze w licencjonowaniu Usug Terminalowych, ktre uatwiaj zarzdzanie i ledzenie licencji.

Kiedy uytkownik korzysta z programu na serwerze terminali, wykonanie programu ma miejsce na serwerze. Jedynie akcje klawiatury, myszy i obrazy ekranu s transmitowane przez sie. Kady z uytkownikw widzi jedynie swoj indywidualn sesj. Sesja jest zarzdzana indywidualnie przez system operacyjny serwera i jest niezalena od sesji pozostaych uytkownikw.

Korzyci z zastosowania Usug Terminalowych

Korzyci wynikajce z uytkowania Usug Terminalowych w systemie Windows Server 2008 s rnorodne. Zaliczamy do nich: Szybkie wdraanie aplikacji, ktre s czsto aktualizowane, rzadko uywane lub trudne w obsudze. Scentralizowany dostp do pojedynczych aplikacji bez potrzeby korzystania z penego Pulpitu Zdalnego. Aplikacje uruchamiane zdalnie s zintegrowane z lokalnym pulpitem uytkownika wygldaj i zachowuj si jak lokalne aplikacje. Uproszczenie dostpu do aplikacji dla uytkownikw, partnerw lub klientw. Kompleksowy model konfiguracji zabezpiecze, ktry daje moliwo kontroli dostpu do zasobw w sieci korporacyjnej. Organizacje mog zapewni pracownikom dostp do scentralizowanych aplikacji, pulpitw i rde z Internetu poprzez uycie HTTPS, bez koniecznoci konfiguracji penego dostpu przez Wirtualne Sieci Prywatne (VPN) lub otwierania niepodanych portw na zaporach firewall. Moliwo prostego i bezpiecznego poczenia zdalnego uytkownikw z serwerami terminali i zdalnymi pulpitami poprzez zapory firewall i translacj adresw sieciowych (NAT). Optymalizacja przepustowoci cza sieciowego, ktra jest wymagana przy dostpie do aplikacji zdalnych. Lepsze dziaanie programu dla pracownikw w biurach wydziaowych, ktrzy potrzebuj dostpu do centralnych magazynw danych.

Podstawowa funkcjonalno Usug Terminalowych

Wstp
Usugi Terminalowe w systemie Windows Server 2008 dostarczaj technologii umoliwiajcej uytkownikom dostp do programw dziaajcych pod kontrol systemu Windows, ktre zostay zainstalowane na serwerze terminali, lub dostp do pulpitu systemu Windows z niemal kadego urzdzenia klienckiego (np. komputera PC, laptopa, palmtopa itd.). Uytkownicy mog czy si z serwerem terminali, aby korzysta z programw lub zasobw sieci dostpnych na tym serwerze. Usugi Terminalowe pozwalaj na efektywne rozmieszczenie i wykorzystanie oprogramowania w rodowisku korporacyjnym. Programy mog by instalowane w jednej, centralnej lokalizacji. Poniewa instaluje si programy na serwerze terminali, a nie na komputerze klienta, atwiej je pniej aktualizowa i kontrolowa.

Kto bdzie zainteresowany nowymi moliwociami Usug Terminalowych w systemie Windows Server 2008?
Analitycy i planici IT, szukajcy rozwiza zapewniajcych zdalny dostp pracownikom firmy. Planici przedsiwzi IT, architekci i projektanci pracujcy dla organizacji. Architekci zabezpiecze, ktrzy odpowiadaj za wdraanie sprawdzonych rozwiza , speniajcych kryteria Trustworthy Computing (wicej informacji na stronie http://www.microsoft.com/poland/security/twc/projekt.mspx).

78

79

Profesjonalici IT odpowiedzialni za serwery terminali lub zdalny dostp do stacji roboczych. Profesjonalici IT, ktrzy poszukuj wydajnych i obniajcych koszty metod instalowania aplikacji dla uytkownikw.

Wsparcie dla licznych typw wywietlaczy i rnych rozdzielczoci, Moliwo rozszerzenia obrazu pulpitu na kilka monitorw, Wsparcie dla funkcji systemu Windows Vista (Windows Media Player, motywy pulpitu, zarzdzanie zdjciami), Wygadzanie czcionek, Wsparcie dla Windows Server 2008 Audio Mixer, Moliwo ustawienia 32-bitowej mapy kolorw, Wsparcie dla kompresji pocze RDP , TS Easy Print.

Usugi Terminalowe w systemie Windows Server 2008 oferuj funkcjonalno, ktra umoliwia scentralizowany dostp do aplikacji na potrzeby rnych scenariuszy korporacyjnych. Trzy rozszerzenia istniejcych cech funkcjonalnych Usug Terminalowych systemu Windows Server 2008 maj szczeglnie istotne znaczenie dla scentralizowanego dostpu do aplikacji: Brama Usug Terminalowych (TS Gateway) - umoliwia autoryzowanym zdalnym uytkownikom dostp do usug terminalowych i zdalnego pulpitu wewntrznej sieci korporacyjnej z dowolnego miejsca i urzdzenia ze skonfigurowanym klientem Remote Desktop Connection 6.0. TS Gateway eliminuje potrzeb konfigurowania pocze Wirtualnej Sieci Prywatnej (VPN), umoliwiajc zdalnym uytkownikom bezporednie i bezpieczne poczenie do wewntrznej sieci korporacyjnej z sieci zewntrznej, takiej jak na przykad Internet. Jednoczenie zapewnia pen kontrol nad tymi poczeniami przy dostpie do poszczeglnych zasobw sieci korporacyjnej. TS RemoteApp - funkcje TS RemoteApp s dostpne zdalnie poprzez usugi terminalowe i zachowuj si tak, jakby byy uruchomione na lokalnym komputerze docelowego uytkownika. TS Web Access - powoduje, e funkcje TS RemoteApp s dostpne dla uytkownikw z przegldarki internetowej. Za pomoc rozszerzenia TS Web Access uytkownik moe odwiedzi witryn sieci Web (zarwno z Internetu, jak i z intranetu), aby uzyska list dostpnych programw.

mechanizmy bezpieczestwa

Znaczna poprawa bezpieczestwa zostaa uzyskana poprzez wykorzystanie nowych funkcji systemu Windows Server 2008, w tym: Uwierzytelnianie dostpu klientw do sieci, Pojedyncze logowanie Single Sign-in dla klientw podczonych do domeny, Integracja z Credential Manager and Credential Security Support Provider (CredSSP), Moliwo blokowania klienta pre-RDPG, Izolacja sesji i bezporednio poczonych urzdze, Udoskonalone ustawienia zabezpiecze TS Gateway, midzy innymi wsparcie dla Network Access Protection (NAP), wskazwki dla przekierowywania urzdze i monitorowanie pocze.

Instalacja Usug Terminalowych, konfiguracja i zarzdzanie

Podstawow metod zarzdzania Usugami Terminalowymi jest Server Manager Console. To narzdzie umoliwia implementacj rl niezbdnych do wsparcia Usug Terminalowych i zarzdzanie waciwociami kadej roli; na przykad zarzdzanie funkcj Remote Program. Role niezbdne do implementacji Usug Terminalowych na pojedynczej maszynie to: Usugi Terminalowe, Serwer plikw, Usugi dostpu do sieci, Serwer Web (IIS).

Nowe mechanizmy kontroli dostpu i skalowalnoci

Usugi Terminalowe Windows Server 2008 zawieraj wiele nowych i udoskonalonych funkcji zwizanych z zarzdzaniem i skalowalnoci, midzy innymi: Narzdzie do zarzdzania rolami serwera, Priorytetyzacja przesyania danych ekranowych, Nowe metody kompresji, Lepsza skalowalno bufora wydruku, Polepszone liczniki wydajnoci,

Nowe cechy rodowiska pracy uytkownika

rodowisko pracy uytkownikw zdalnych czcych si z serwerem Usug Terminalowych Windows Server 2008 jest znacznie udoskonalone w porwnaniu z wersjami poprzednimi, dziki rozszerzeniu istniejcych i dodaniu nowych funkcji:

80

81

Pene wsparcie dla IPv6, ledzenie licencji w trybie Per User, Pojedynczy klient Win32 i ActiveX, zintegrowany z systemem i Windows Update, Wsparcie dla architektury i aplikacji 64-bit, Wbudowana usuga UPH Clean Service.

Uruchamiaj 32-bitowe aplikacje, zdolne do pracy w wikszej przestrzeni adresowej (large memory aware) i wymagajce wikszej wydajnoci w przestrzeni adresowej 4GB. Uruchamiaj 64-bitowe aplikacje w wirtualnej przestrzeni adresowej 8 TB. Uatwiaj migracj do 64-bitowej infrastruktury.

Instalacja i konfiguracja
Rola serwera Usug Terminalowych, znana wczeniej jako komponent serwera Usug Terminalowych w Windows Server 2003, umoliwia systemowi Windows Server 2008 udostpnianie pojedynczych aplikacji zgodnych z systemem Windows lub penego pulpitu systemu Windows. Usugi Terminalowe s rol serwera skadajc si z kilku podkomponentw, ktre mona oznaczy jako usugi rl. W systemie Windows Server 2008 na Usugi Terminalowe skadaj si nastpujce usugi rl: Serwer Terminali. Rola Serwera Terminali umoliwia udostpnianie programw zgodnych z systemem Windows lub caego pulpitu Windows. TS Licensing. Terminal Services Licensing (TS Licensing) zarzdza licencjami dostpowymi klienta Usug Terminalowych (TS CALs), ktre s wymagane do poczenia z serwerem terminalowym. TS Session Broker. Terminal Services Session Broker pozwala uytkownikowi na ponowne poczenie z serwerem, ktry zawiera biec sesj, w przypadku korzystania z technik rwnowaenia obcienia i farmy serwerw. TS Session Broker rwnoway obcienia, nawet jeli inne mechanizmy rwnowaenia obcienia nie s stosowane. Pozwala take wygasza sesje terminalowe na sewerach terminali, ktre maj by poddane przegldowi okresowemu.

Usuga UPH Clean Service, wydana poprzednio jako dodatek do Windows Server 2003, teraz zostaa wbudowana zarwno do systemu Windows Server 2008, jak i do Windows Vista. UPHClean jest usug zaprojektowan po to, by usuwa problemy zwizane z nierozadowujcymi si profilami uytkownikw. Symptomy tych problemw to dugotrwae wylogowywanie si, nieuzgodnione profile mobilne lub przekroczony limit rozmiaru rejestru. To kluczowe dla usugi terminalowej narzdzie nie wymaga ju oddzielnej instalacji, co oznacza, e jakiekolwiek aktualizacje usugi bd przeprowadzane przez Windows Updates Services, uatwiajc tym samym zarzdzanie.

Wsparcie dla architektury 64-bitowej

Jednym z gwnych problemw Usug Terminalowych uruchomionych na platformie Windows 32-bit jest ograniczona przestrze dostpna dla wirtualnej przestrzeni adresowej jdra systemu. 32-bitowy system operacyjny rezerwuje 2 GB wirtualnej przestrzeni adresowej dla struktur danych jdra. Ta wirtualna przestrze adresowa jest wspdzielona przez wszystkie procesy uruchomione w systemie. Kiedy przestrze adresowa jest wyczerpana, adne nowe procesy (lub jakiekolwiek inne obiekty systemowe) nie mog by tworzone. To oznacza, e nowi uytkownicy nie bd w stanie si zalogowa, a ju zalogowani bd mieli znaczne ograniczenia wydajnoci. 64-bitowa architektura dostarcza znacznie wiksz wirtualn przestrze adresow dla struktur danych jdra systemu (8 terabajtw [8 TB]). Z tego punktu widzenia 64-bitowa architektura bdzie normalnie zapewnia wicej pocze uytkownikw. Jest wskazane, aby zawsze uruchamia Usugi Terminalowe Windows Server 2008 na 64-bitowej architekturze, w celu uzyskania lepszej skalowalnoci i znaczco wikszej wirtualnej przestrzeni adresowej. Usugi Terminalowe systemu Windows Server 2008 uruchomione w 64-bitowym rodowisku oferuj nastpujc funkcjonalno: Uruchamiaj 32-bitowe oprogramowanie bez potrzeby jego rekompilowania. Obsuguj 64-bitowe sterowniki i oprogramowanie skompilowane dla zestawu instrukcji x64.

Jeli uytkownik przerwie sesj (niezalenie od tego, czy mia taki zamiar, czy te wynika to z awarii sieci), aplikacje bd nadal dziaay. Kiedy ponownie si poczy, TS Session Broker rozele zapytanie, aby ustali, czy ma on dziaajc sesj, a jeli tak, to na ktrym serwerze w farmie. Jeeli odbywa si sesja, TS Session Broker przekierowuje klienta do serwera terminali, na ktrym ta sesja si znajduje. Funkcjonalno ta chroni uytkownika przed rozpoczciem nowej sesji, jeli istnieje ju rozpoczta, lecz przerwana sesja. Brama Usug Terminalowych (TS Gateway). Brama Usug Terminalowych pomaga zapewni bezpieczne poczenie zdalne z serwerami terminali i zdalnymi pulpitami w sieci korporacyjnej z kadego miejsca w Internecie. TS Web Access. Dostp Internetowy dla Usug Terminalowych (TS Web Access) pozwala uytkownikom na dostp do zdalnych programw za porednictwem protokow internetowych.

82

83

Po zainstalowaniu usug na serwerze terminali, aby zakoczy konfiguracj Usug Terminalowych, administratorzy musz podj nastpujce kroki: Zainstalowa aplikacje na serwerze. Skonfigurowa ustawienia zdalnego poczenia (okrelajc uytkownikw i grupy, ktre potrzebuj poczenia z serwerem terminali). Rozway umieszczenie indywidualnych programw na oddzielnych serwerach terminali w nastpujcych przypadkach: Jeli program posiada problemy z kompatybilnoci, ktre mog wpyn na inne programy. Jeli parametry aplikacji lub liczba uytkownikw korzystajcych z aplikacji wymaga penej wydajnoci serwera.

Single Sign-on jest metod uwierzytelniania, ktra pozwala uytkownikowi z kontem w domenie zalogowa si raz, przy uyciu hasa lub karty procesorowej, a nastpnie uzyska dostp do zdalnych serwerw bez potrzeby ponownego wprowadzenia uwierzytelnie. Kluczowe scenariusze dla metody Single Sign-on to: Wdraanie aplikacji Linii Biznesowej (LOB), Scentralizowane wdraanie aplikacji.

Aby utrzyma nisze koszty, wiele organizacji woli instalowa swoje aplikacje Linii Biznesowej (LOB) na serwerze terminali i udostpnia je poprzez TS RemoteApp lub Pulpit Zdalny. Single Signon pozwala uytkownikom na wygodniejsze uytkowanie, eliminujc potrzeb kadorazowego wprowadzania uwierzytelnie przy rozpoczynaniu zdalnej sesji. Aby zaimplementowa funkcjonalno Single Sign-on w Usugach Terminalowych, naley si upewni, czy speniamy nastpujce wymagania: Z Single Sign-on mona korzysta jedynie w przypadku zdalnych pocze z komputerw dziaajcych pod kontrol systemu Windows Vista, z serwerem terminali dziaajcym pod kontrol systemu Windows Server 2008, lub w przypadku zdalnych pocze pomidzy dwoma serwerami dziaajcymi pod kontrol systemu Windows Server 2008. Konta uytkownikw, z ktrych korzystamy, musz mie odpowiednie uprawnienia do logowania, zarwno na serwerze terminali, jaki i na stacji roboczej Windows Vista. Zarwno komputer klienta, jak i serwer terminali musz nalee do domeny.

Skonfigurowa klientw do korzystania z Usug Terminalowych.

Uwierzytelnianie
Windows Server 2008 wspiera Network Level Authentication, Server Authentication oraz Single Sign-on, kiedy czymy si z serwerem terminali z serwera Windows Server 2008 , klienta Windows Vista lub z Windows XP Service Pack 2 z aktualizacj RDC 6.0. Network Level Authentication jest now metod uwierzytelniania, ktra pozwala na zakoczenie uwierzytelniania uytkownika, zanim zostanie ustanowione pene poczenie z Pulpitem Zdalnym i zanim pojawi si ekran logowania. Korzyci z Network Level Authentication to: Wymaga mniej zasobw zdalnego komputera, poniewa zdalny komputer wykorzystuje tylko ograniczone zasoby serwera terminali przed uwierzytelnieniem uytkownika. We wczeniejszych wersjach komputer zdalny od razu nawizywa pene poczenie Pulpitu Zdalnego. Pomaga uzyska wiksze bezpieczestwo poprzez redukowanie ryzyka ataku blokujcego usug (Denial of Service). Uywa identyfikacji zdalnego komputera, co pomaga ochroni uytkownikw przed poczeniem ze zdalnymi komputerami podajcymi nieprawdziw tosamo.

Przekierowanie urzdze
Windows Server 2008 wspiera przekierowanie urzdzenia dla pocze z serwerem terminali nawizywanych z serwera Windows Server 2008, stacji roboczej z systemem Windows Vista lub Windows XP Service Pack 2 z aktualizacj RDC 6.0.

Przekierowanie urzdze typu Plug and Play

W systemie Windows Server 2008 przekierowywanie zostao ulepszone i rozszerzone. Aktualnie mona, w poczeniu terminalowym, przekierowa przenone urzdzenia zgodne z platform Windows Portable Devices, szczeglnie odtwarzacze dziaajace w oparciu o Media Transfer Protocol (MTP) i kamery cyfrowe dziaajce w oparciu o Picture Transfer Protocol (PTP). Mona kontrolowa przekierowanie urzdze typu Plug and Play, wykorzystujc jedno z nastpujcych ustawie zasad grup:

Server Authentication sprawdza, czy czymy si z waciwym zdalnym komputerem lub serwerem. To zabezpieczenie pomaga uchroni uytkownika przed poczeniem z komputerem lub serwerem innym od tego, z ktrym mia zamiar si poczy. Zapobiega tym samym przypadkowemu ujawnieniu poufnych informacji. Domylnie uwierzytelnienie serwera jest wczone dla wszystkich pocze.

84

85

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device redirection policy setting, Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions policy settings.

Mona take kontrolowa przekierowanie urzdze typu Plug and Play za pomoc zakadki Client Settings w narzdziu Terminal Server Configuration tool (tsconfig.msc). Przekierowanie urzdzenia typu Plug and Play nie jest wspierane przez kaskadowe czenia serwerw terminali. Na przykad, jeli urzdzenie typu Plug and Play jest podczone do lokalnego komputera klienckiego, to mona przekierowa i uy tego urzdzenia, jeli czymy si z serwerem terminali (na przykad Server1). Jeli w trakcie zdalnej sesji na serwerze Server1 czymy si z innym serwerem terminalowym (na przykad Server2), to nie bdziemy mogli przekierowa i uywa urzdzenia typu Plug and Play podczas zdalnej sesji na serwerze Server2.

Po zaimplementowaniu Microsoft POS for .NET 1.1 na serwerze terminali i przekierowaniu urzdzenia dziaajcego pod kontrol systemu Windows Embedded for Point of Service w pliku .rdp naley podczy urzdzenie Windows Embedded for Point of Service, a nastpnie poczy si z komputerem zdalnym, uywajc zmodyfikowanego pliku .rdp. Po poczeniu z komputerem zdalnym urzdzenie, ktre zostao przekierowane, powinno by automatycznie instalowane na komputerze zdalnym. Informacja o instalacji urzdzenia typu Plug and Play pojawi si na pasku zada komputera zdalnego.

Windows Embedded for Point of Service Device Redirection

Kiedy przekierowane urzdzenie dziaajce pod kontrol systemu Windows Embedded Point of Services jest zainstalowane na komputerze zdalnym, kada aplikacja korzystajca z tego urzdzenia, dziaajca na serwerze terminali, ma dostp do urzdzenia Windows Embedded Point of Services, tak jakby urzdzenie to byo dostpne lokalnie. Istnieje prbna aplikacja w POS dla .NET 1.1 SDK, ktr mona wykorzysta do przetestowania dostpu do funkcjonalnoci wbudowanego urzdzenia POS. Aplikacja prbna to ccltestapp.exe i mona j znale w folderze \SDK\Samples\Sample Application, znajdujcym si w katalogu, w ktrym bya instalowana aplikacja POS dla .NET 1.1. Przekierowanie urzdzenia dziaajcego pod kontrol systemu Windows Embedded for Point of Services mona kontrolowa, uywajc jednego z nastpujcych ustawie zasad grupy: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device redirection policy setting, Computer Configuration\Administrative Templates\System\Device Installation\ Device Installation Restrictions policy settings.

W systemie Windows Server 2008 mona przekierowa urzdzenia dziaajce pod kontrol Windows Embedded for Point of Service, korzystajce z Microsoft POS dla .NET 1.1. Przekierowanie urzdzenia dziaajcego pod kontrol Windows Embedded for Point of Service jest wspierane, jeli serwer terminali dziaa na wersji Windows Server 2008 przeznaczonej dla architektury x86. Aby uzyska wicej informacji, sprawd haso Windows Embedded for Point of Service na stronie Microsoftu (http://go.microsoft. com/fwlink/?LinkId=67182). Mona pobra Microsoft POS for .NET 1.1 z Microsoft Download Center na stronie (http://go.microsoft.com/fwlink/?linkid=66169). Aby uaktywni przekierowanie dla urzdze dziaajcych pod kontrol systemu Windows Embedded for Point of Service, naley wykona nastpujce czynnoci: Zainstalowa Microsoft POS for .NET 1.1 na wasnym serwerze terminali. Skonfigurowa plik Remote Desktop Protocol (.rdp).

Przekierowanie urzdzenia dziaajcego pod kontrol systemu Windows Embedded for Point of Service mona take kontrolowa za pomoc zakadki Client Settings w narzdziu Terminal Server Configuration tool (tsconfig.msc).

Nowe moliwoci rodowiska

Usugi Terminalowe Windows Server 2008 zawieraj nowe cechy funkcjonalnoci, ktre w znaczny sposb wzbogacaj rodowisko pracy uytkownika zdalnie podczonego do serwera Usug Terminalowych Windows Server 2008.

Urzdzenia dziaajce pod kontrol systemu Windows Embedded for Point of Service domylnie nie s wymienione w zakadce Local Resources w Remote Desktop Connection. Dlatego, aby umoliwi przekierowanie urzdze Windows Embedded for Point of Service, naley edytowa plik Remote Desktop Protocol (.rdp), ktrego uywamy do poczenia z serwerem terminali. Aby zasign informacji o ustawieniach pliku .rdp, naley sprawdzi ustawienia Remote Desktop Protocol w Windows Server 2003 i w Windows XP (http://gp.microsoft.com/fwlink/?linkid=66168).

Wysoka rozdzielczo/indywidualna konfiguracja ekranu

Rozdzielczo ekranu Usug Terminalowych bya ograniczona przez standardy obowizujce w systemie Windows Server 2003 (format ekranu 4:3, maksymalna rozdzielczo 1600x1280). To ograniczenie zwizane byo z limitami pamici wirtualnej.

86

87

Usugi Terminalowe systemu Windows Server 2008 umoliwiaj indywidualne dostosowanie ekranu do wikszej rozdzielczoci oraz wybranie alternatywnych formatw ekranu, takich jak 16:9 lub 16:10. Na przykad nowsze monitory z rozdzielczoci 1680x1050 lub 1920x1200 s obecnie wspierane. Maksymaln wspieran rozdzielczoci jest 4096x2048. Indywidualne ustawienia rozdzielczoci ekranu mona ustawi w pliku .rdp, modyfikujc wartoci desktopwidth:i:<value> oraz desktopheight:i:<value>, gdzie <value> jest zadan liczb pikseli w poziomie lub pionie (odpowiednio), np. 1680 lub 1050. Ustawienie rozdzielczoci moe by take skonfigurowane w wierszu polecenia: mstsc.exe /w:<width> /h:<height>, gdzie width jest zadan liczb pikseli w poziomie, a height w pionie.

Windows Server 2008 obsuguje technologi ClearType, ktra wywietla czcionki na ekranie tak, e wydaj si one bardziej gadkie i wyrane. Rnic w stosunku do wczeniejszej wersji wida zwaszcza na ekranach monitorw LCD. Serwer Usug Terminalowych Windows Server 2008 moe by tak skonfigurowany, e klienci uzyskujcy z nim poczenie przy uyciu Pulpitu Zdalnego w wersji 6.0 bd mogli korzysta z funkcji wygadzania czcionek (ClearType). Wygadzanie czcionek jest moliwe, jeli na komputerach klienckich jest zainstalowany ktry z poniszych systemw operacyjnych: Windows Vista, Windows Server 2003 Service Pack 1, Windows XP Service Pack 2.

Wygadzanie czcionek na ekranie

Rozszerzenie obrazu pulpitu

Rozszerzanie obrazu pulpitu (monitor spanning) umoliwia wywietlenie zdalnej sesji na wielu monitorach. Monitory uyte do takiego rozszerzenia obrazu pulpitu musz spenia nastpujce wymagania: Musz pracowa w tej samej rozdzielczoci (nie mona na przykad ustawi rozdzielczoci jednego monitora na 1024x768, za drugiego na 800x600). Musz by zestawione w poziomie. Nie ma obecnie moliwoci rozszerzania obrazu w pionie. czna rozdzielczo monitorw nie moe przekroczy 4096x2048.

Domylnie funkcja ClearType w systemie Windows Server 2008 jest wczona. Stosowanie wygadzania czcionek w trakcie poczenia zdalnego pulpitu moe zwikszy obcienie cza pomidzy komputerem klienta i serwerem Usug Terminalowych Windows Server 2008.

Priorytetyzacja danych

Rozszerzanie obrazu pulpitu mona wczy w pliku .rdp, modyfikujc warto Span:i:<value>, gdzie <value> moe przyjmowa ustawienie 0 rozszerzanie wyczone, 1- rozszerzanie wczone. Rozszerzanie obrazu pulpitu moe te by wczone z wiersza polece: mstsc.exe /span.

Priorytetyzacja danych (Display Data Prioritization) kontroluje ruch w wirtualnym kanale sesji zdalnego pulpitu tak, e dane wywietlane na ekranie, wprowadzone z klawiatury lub za pomoc myszki, maj wyszy priorytet ni inny ruch w wirtualnym kanale sesji, taki jak drukowanie czy transfer plikw. Tego rodzaju uprzywilejowanie jest zaprojektowane w celu zapewnienia niezakconej pracy w zdalnym rodowisku, nawet w przypadku wystpienia zada silnie obciajcych poczenie, takich jak due zadania drukowania. Domylnie stosunek liczbowy podziau pasma sieciowego wynosi 70: 30. Dane wejciowe i ekranu maj przydzielonych 70 procent pasma, natomiast pozostay ruch, taki jak schowek, transfer plikw lub zadania drukowania, ma przydzielonych 30 procent pasma. Ustawienia priorytetyzacji danych mona dostosowa do wasnych potrzeb, zmieniajc ustawienia podkluczy w kluczu rejestru HKLM\SYSTEM\CurrentControlSet\Services\TermDD: FlowControlDisable. Mona wyczy priorytetyzacj danych, jeli warto FlowControlDisable zostanie ustawiona na 1. Jeli priorytetyzacja danych jest wczona, wszystkie dania s obsugiwane na zasadzie pierwszy wchodzi, pierwszy wychodzi (FIFO). Domylnym ustawieniem dla FlowControlDisable jest 0.

Funkcja Desktop Experience

Oprogramowanie Remote Desktop Connection 6.0 powiela zdalny pulpit serwera terminali na lokalny komputer klienta. Jeli komputer lokalny dziaa pod kontrol systemu operacyjnego Windows Vista, a serwer terminali pod kontrol sytemu Windows Server 2008, to dla uzyskania penej funkcjonalnoci rodowiska pracy uytkownika z systemu Vista, na serwerze terminali naley zainstalowa funkcj Desktop Experience. Wczenie tej funkcji umoliwi pojawienie si na Pulpicie Zdalnym wasnoci systemu Windows Vista, takich jak odtwarzacz multimedialny Windows Media Player 11, kompozycje pulpitu i zarzdzanie zdjciami.

Nowa jako koloru 32-bity

System Windows Server 2008 wspiera obecnie 32-bitow jako koloru. Ze wzgldu na wdroon technologi kompresji poczenia Pulpitu Zdalnego, uycie 32-bitowej jakoci koloru jest zalecane, gdy kompresja zapewnia lepsz wydajno sesji uytkownikowi kocowemu.

88

89

FlowControlDisplayBandwidth. Klucz ten okrela pasmo sieci przydzielone na ekran (i dane wejciowe). Domyln wartoci tego klucza jest 70, maksymaln dozwolon wartoci jest 255. FlowControlChannelBandwidth. Klucz ten okrela pasmo sieci przydzielone pozostaemu ruchowi (schowek, transfery plikw, zadania drukowania). FlowControlChargePostCompression. Warto tego klucza decyduje o tym, czy alokacja pasma sieciowego jest obliczana na podstawie bajtw przed, czy po kompresji. Domylna warto 0 oznacza, e pod uwag bd brane bajty przed kompresj.

zasobami zapewnia take stabilniejsze rodowisko uytkownikom aplikacji i usug uruchomionych na komputerze.

Scenariusze wdroenia/wykorzystania
Scentralizowany dostp do aplikacji
Scentralizowany dostp do aplikacji jest osigany dziki Usugom Terminalowym systemu Windows Server 2008, poniewa: Zapewnia dostp do aplikacji biznesowych poprzez Internet lub intranet z niemal kadego urzdzenia. Zapewnia uytkownikom dostp do centralnie zarzdzanych pulpitw Windows. Zapewnia atwe i bezpieczne zdalne poczenia z serwerami terminali i Pulpitami Zdalnymi take przez zapory firewall i translacj adresw sieciowych (NATs).

Stosunek liczbowy podziau pasma sieciowego obliczany dla priorytetyzacji danych opiera si przede wszystkim na wartociach kluczy FlowControlDisplayBandwidth i FlowControlChannelBandwidth. Jeli na przykad warto FlowControlDisplayBandwidth jest ustawiona na 150, a FlowControlChannelBandwidth na 50, to stosunek liczbowy wynosi 150:50, czyli danym ekranu i danym wejciowym bdzie przydzielonych 75 procent pasma sieciowego.

Zwikszenie bezpieczestwa

TS Easy Print

Bezpieczestwo zostao zwikszone dziki uyciu Usug Terminalowych systemu Windows Server 2008, poniewa: Usugi te usuwaj ryzyko utraty danych z laptopw dziki uyciu bezpiecznego, zdalnego dostpu do aplikacji i centralnego przechowywania danych. Zapewniaj bezproblemowy, scentralizowany i poufny dostp do pojedynczych aplikacji bez koniecznoci korzystania z caego Pulpitu Zdalnego. Kontroluj dostp do specyficznych zasobw w sieci korporacyjnej bez udzielenia penego dostpu do zasobw sieci korporacyjnej. Zapewniaj bezpieczny dostp do scentralizowanych aplikacji, pulpitw i zasobw organizacji z Internetu, dziki uyciu HTTPS bez potrzeby konfiguracji dostpu poprzez Wirtualne Sieci Prywatne (VPN) lub otwierania dodatkowych portw w zaporze firewall.

Poprzez now funkcj Windows Server 2008 o nazwie TS Easy Print zarwno drukarki lokalne, jak i sieciowe s wspierane na serwerze Usug Terminalowych bez potrzeby instalacji ich sterownikw. Umoliwia to uytkownikom bezproblemowe drukowanie z sesji Pulpitu Zdalnego lub z funkcji TS RemoteApp na lokalnej lub sieciowej drukarce zainstalowanej na komputerze klienta. W momencie, kiedy uytkownicy chc drukowa z sesji Pulpitu Zdalnego lub z funkcji TS RemoteApp, mog zobaczy okno dialogowe z waciwociami drukarki i otrzyma dostp do jej wszystkich ustawie. W celu zredukowania kosztw i poprawienia skalowalnoci moliwe jest skorzystanie z Zasad Grupy w celu ograniczenia iloci przekierowanych drukarek do jednej domylnej drukarki.

Zarzdzanie zasobami Usug Terminalowych

Funkcja Windows System Resorce Manager (WSRM) jest wbudowana w system operacyjny Windows Server 2008. Jest to opcjonalna funkcja, ktra moe by zainstalowana w systemie za pomoc przystawki Server Manager. Przed instalacj funkcji Windows System Resorce Manager musi by zainstalowana funkcja Windows Internal Database. Jeli nie jest ona jeszcze zainstalowana, kreator instalacji WSRM udostpnia moliwo jednoczesnego zainstalowania jej. Funkcja WSRM umoliwia administratorom kontrolowanie zasobw procesora i pamici oraz tego, w jaki sposb s one alokowane do aplikacji, usug i procesw komputera. Zarzdzanie zasobami tym sposobem znacznie poprawia wydajno systemu i redukuje moliwo wzajemnego odbierania sobie przez aplikacje, usugi i procesy zasobw procesora, pamici. Zarzdzanie

Scentralizowane zarzdzanie aplikacj

Scentralizowane zarzdzanie aplikacjami zostao ulepszone w przypadku Usug Terminalowych systemu Windows Server 2008, poniewa: Szybko rozlokowuj programy dziaajce w systemie Windows, na terminalach w caym przedsibiorstwie. Usugi Terminalowe bywaj szczeglnie przydatne, kiedy programy s czsto uaktualniane, rzadko uywane lub trudne w zarzdzaniu. Umoliwiaj zdalny dostp do wykorzystywanych aplikacji, sprawiajcych problemy przy pracy poprzez sie WAN.

Redukowanie obcienia cza sieciowego

Usugi Terminalowe mog znacznie zmniejszy potrzebn przepustowo cza sieciowego, wymagan przy dostpie do zdalnych aplikacji.

90

91

Polepszenie produktywnoci uytkownika

Produktywno uytkownika wzrasta przy wykorzystaniu Usug Terminalowych Windows Server 2008, gdy: Uytkownicy mog korzysta z programw, ktre s aktywne na serwerze terminali, czc si z nimi z takich urzdze, jak komputery, kioski internetowe, urzdzenia mobilne i systemy operacyjne inne ni Microsoft Windows. Usugi Terminalowe rozmieszczaj aplikacje, ktre bezproblemowo integruj si z lokalnym pulpitem uytkownika, zmniejszajc niepewno dotyczc miejsca przechowywania danych.

Korzysta z funkcji RemoteApp Usug Terminalowych, aby umoliwi uwierzytelnionym zdalnym uytkownikom poczenie z wybranymi programami uruchamianymi na serwerach terminali i Pulpitach Zdalnych (zdalnych komputerach}, a nie z caym pulpitem. Zaimplementowa funkcj TS Web Access, aby udostpni programy z sieci lokalnej poprzez przegldark WWW. Zaimplementowa Usugi Terminalowe na sprzcie x64 nawet wtedy, jeli nie jestemy jeszcze gotowi do korzystania z 64-bitowych aplikacji. Korzysta z funkcji WSRM, aby kontrolowa zasoby na serwerze terminalowym.

Zmniejszenie zoonoci/uproszczenie

Usugi Terminalowe zapewniaj pracownikom, partnerom handlowym i klientom uproszczony dostp do aplikacji.

Podsumowanie
Usugi Terminalowe daj moliwo korzystania z technologii, ktre umoliwiaj dostp do zainstalowanych na serwerze programw uruchamianych w systemie Windows lub do penego pulpitu Windows, zmniejszajc wysiki administracyjne i koszty zwizane z zapewnieniem zdalnego dostpu do zasobw. Uytkownicy w atwy sposb mog poczy si z serwerem terminali, aby uruchamia programy, zapisywa pliki i korzysta z zasobw sieciowych na tym serwerze.

Optymalizacja biura wydziaowego

Usugi Terminalowe mog zapewni lepsz wydajno programw uywanych przez pracownikw w biurach wydziaowych, ktrzy potrzebuj dostpu do centralnych magazynw danych. Programy intensywnie przetwarzajce dane czasami nie posiadaj protokow klienta/ serwera, ktre s zoptymalizowane dla pocze o niskiej prdkoci. Programy tego typu czsto dziaaj lepiej poprzez poczenie Usug Terminalowych ni poprzez sie WAN.

Zalecenia
Aby w peni wykorzysta moliwoci systemu Windows Server 2008 w zakresie zdalnego dostpu, naley: Uaktualni istniejce serwery terminali do Usug Terminalowych Windows Server 2008. Skonfigurowa systemy klienckie, aby korzystay z klienta Remote Desktop Connecrion 6.0. Zaimplementowa Desktop Experience i Display Data Prioritization na serwerach terminali Windows Server 2008, aby wykorzysta pen funkcjonalno systemu Windows Vista. Korzysta z usugi Single Sign-on Usug Terminalowych, aby scentralizowa administracj procesem uwierzytelniania i wspomc prac uytkownika. Korzysta z Bramy Usug Terminalowych w celu ustanowienia bezpiecznego, szyfrowanego poczenia pomidzy zdalnymi uytkownikami w Internecie oraz zdalnymi komputerami uruchamiajcymi aplikacje, bez moliwoci dostpu do reszty sieci korporacyjnej.

Brama Usug Terminalowych

Wstp
Brama Usug Terminalowych (TS Gateway) jest now rol Usug Terminalowych, ktra umoliwia autoryzowanym uytkownikom zdalnym czenie si z serwerami terminalowymi oraz Pulpitami Zdalnymi (zdalnymi komputerami) w sieci korporacyjnej z dowolnego urzdzenia majcego dostp do internetu. Brama Usug Terminalowych korzysta z RDP poprzez protok HTTPS do utworzenia bezpiecznego, szyfrowanego poczenia midzy zdalnymi uytkownikami a zdalnymi komputerami, na ktrych uruchomione s aplikacje biznesowe. Jeli firma udostpnia aplikacje oparte na Usugach Terminalowych uytkownikom spoza sieci korporacyjnej, Brama Usug Terminalowych moe uatwi administrowanie Usugami Terminalowymi oraz zmniejszy ryzyko zwizane z dostpem zdalnym. W tej sekcji omawiane bd nastpujce zagadnienia: Korzyci pynce z zastosowania Bramy Usug Terminalowych. Zarzdzanie Bram Usug Terminalowych. Warunki korzystania z Bramy Usug Terminalowych.

92

93

Zalety Bramy Usug Terminalowych

Zastosowanie serwera Bramy Usug Terminalowych wie si z wieloma korzyciami. Brama Usug Terminalowych: Zapewnia kompleksowy model zabezpiecze pozwalajcy na kontrol dostpu do okrelonych zasobw sieci. Przyczynia si do redukcji kosztw zarzdzania dziki eliminacji koniecznoci korzystania z serwerw aplikacyjnych w biurach wydziaowych.. Uatwia scalenie istniejcych serwerw terminali, poprzez migracje na architektrur x64. Moe by zintegrowana z serwerem Network Policy Server (NPS), co umoliwi centralne wdraanie konfiguracji bramy, a take zredukowanie cakowitego kosztu utrzymania (TCO) ponoszonego przez firm. Umoliwia monitorowanie statusu, jakoci oraz zdarze wystpujcych w trakcie pocze zdalnych. Pozwala uytkownikom na zdalne korzystanie z serwerw terminali oraz funkcji Pulpitu Zdalnego nawet, jeli komunikacja przechodzi przez zapory firewall i translacj adresw (NAT).

Gdy nie s wymagane lokalne kopie danych. Kiedy istnieje potrzeba szybkiego poczenia. Gdy przepustowo pasma lub rozmiary danych aplikacji czyni korzystanie z Wirtualnych Sieci Prywatnych (VPN) mao wydajnym.

Zarzdzanie Bram Usug Terminalowych

Przystawka TS Gateway Management zapewnia zintegrowane narzdzie do zarzdzania Bram Usug Terminalowych , co: Pozwala na konfigurowanie wymogw, jakie musz by spenione przez zdalnych uytkownikw, dajcych zdalnego dostpu do zasobw sieci. Przykadowo, mona zdefiniowa: Grupy uytkownikw, ktrzy bd posiada prawo zdalnego korzystania z zasobw sieci firmowej. Okrelone zasoby, z ktrymi uytkownicy ci bd si mogli poczy zdalnie. Czy uytkownicy zdalni musz by czonkami domeny. Wymg, aby zdalnie mogy si czy wycznie komputery bdce czonkami okrelonych grup Windows.

Zabezpieczenia stosowane w poprzednich wersjach systemw operacyjnych Windows, uniemoliwiay uytkownikom dostp z zewntrz do sieci firmowych przez zapory firewall i translacj adresw (NAT), gdy port 3389 wykorzystywany w poczeniach RDP (Remote Desktop Protocol) ze wzgldu na bezpieczestwo, by standardowo blokowany. W Windows Server 2008, TS Gateway transmituje ruch RDP do portu 443, wykorzystujc tunel TLS (HTTP Transport Layer Security). Oznacza to, e cay ruch przekazywany przez Internet midzy klientem a serwerem jest szyfrowany. Pozwala na czenie z Internetu z sieciami wewntrznymi firm bez koniecznoci zestawiania Wirtualnej Sieci Prywatnej (VPN). Usugi Terminalowe w Windows Server 2008 pozwalaj na bezpieczne, pynne poczenie z sieci korporacyjn bez koniecznoci wczeniejszego wdraania VPN, dziki skorzystaniu z RDP tunelowanego za pomoc protokou HTTPS. Korzystaj przy tym z tej samej infrastruktury co Microsoft Outlook, jeli program ten jest skonfigurowany do czenia si przez RPC po HTTPS. Moesz odgrodzi serwer Windows Server 2008 wieloma zaporami firewall, bez koniecznoci otwierania innych portw ni port 443. Naley stosowa Bram Usug Terminalowych w miejsce Wirtualnych Sieci Prywatnych (VPN) w nastpujcych przypadkach:

Umoliwia monitorowanie zdarze Bramy Usug Terminalowych. Mona okreli zdarzenia, np. takie jak nieudane prby poczenia z serwerem Bramy Usug Terminalowych, ktre naley monitorowa; w chwili ich wystpienia mona przeledzi podobne zdarzenia uywajc przystawki Podgldu Zdarze. Umoliwia przegldanie informacji o aktywnych poczeniach uytkownikw, ustawianie maksymalnego limitu pocze, oraz dokonywanie innych operacji sucych kontroli dostpu do zasobw sieci poprzez serwer Bramy Usug Terminalowych.

aden zdalny komputer nie jest bezporednio dostpny z Internetu, a wszystkie dane pozostaj w sieci korporacyjnej.

Wymagania Bramy Usug Terminalowych

Aby Brama Usug Terminalowych funkcjonowaa poprawnie, musz zosta spenione nastpujce wymagania: System operacyjny. Serwer musi pracowa pod kontrol systemu operacyjnego Windows Server 2008.

94

95

Uwierzytelnienia. Brama moe by konfigurowana wycznie przez czonkw grupy Administratorzy danego komputera. Network Policy Server (NPS). NPS to implementacja firmy Microsoft serwera RADIUS, tj. Remote Authentication Dial-In User Service, wczeniej znanego pod nazw Internet Authentication Service (IAS). Serwer NPS umoliwi centralne magazynowanie zasad dziaania bramy, centralne zarzdzanie zasadami oraz centraln ich walidacj.

Aby Brama Usug Terminalowych prawidowo funkcjonowaa, musz by zainstalowane rwnie nastpujce role: Web Server (IIS), Network Accesss Services, RPC over HTTP Proxy i Windows Activation Service. Skonfigurowa ustawienia IIS dla TS Gateway Server. W menaderze serwera pod Configuration Task, po klikniciu polecenia: Konfiguruj ustawienia IIS dla TS Gateway, ustawienia zostan automatycznie zmodyfikowane zgodnie z potrzeb. Uzyska/skonfigurowa certyfikat dla TS Gateway server. Certyfikat musi speni nastpujce wymagania: Nazwa w Subject line certyfikatu serwera (nazwa certyfikatu lub CN) musi odpowiada nazwie, ktra jest skonfigurowana na TS Gateway Server. Celem certyfikatu jest uwierzytelnienie serwera. Certyfikat ma klucz prywatny.

Jeli przed zainstalowaniem bramy serwer NPS nie by w danej organizacji wykorzystywany, to zostanie on automatycznie zainstalowany w trybie lokalnym na tej samej maszynie, co brama. Certyfikat Serwera. Standardowo komunikacja midzy bram TS Gateway a klientami w Internecie opiera si na szyfrowaniu TLS 1.0 (Transport Layer Security), ktre wymaga, aby serwer TS Gateway posiada certyfikat. Certyfikat mona uzyska wewntrz firmy, jeli posiada ona uprawnienia Urzdu Certyfikacji (CA), skonfigurowane do wydawania certyfikatw X.509 zgodnych z SSL, ktre speniaj wymogi Bramy Usug Terminalowych. Jednake taki certyfikat musi by take podpisany przez gwny Urzd Certyfikacji (CA), biorcym udzia w programie Microsoft Root Certificate Program Members, co zagwarantuje pracownikom moliwo czenia si z komputerw domowych, bd zewntrznych terminali. Jeli firma nie posiada wasnego Urzdu Certyfikacji (CA) ustawionego zgodnie z certyfikatami X.509 zgodnymi z SSL, moe naby certyfikat od sprzedawcy spoza firmy Microsoft, ktry uczestniczy w programie Microsoft Root Certificate Program Members. Wicej informacji znajduje si na stronie http://go.microsoft.com/fwlink/?LinkID=59547; niektrzy z tych dostawcw mog oferowa certyfikaty bezpatnie, lub w wersji testowej. Innym sposobem jest stworzenie oraz zaimportowanie na prb samodzielnie podpisanego certyfikatu dla Twojego serwera Bramy Usug Terminalowych. Takie certyfikaty mog by uywane jedynie do celw prbnych na pojedynczych komputerach. S one mniej bezpieczne od certyfikatw wydawanych przez Urzd Certyfikacji Przedsibiorstwa lub zaufanych sprzedawcw spoza firmy Microsoft, uczestniczcych w programie Microsoft Root Certificate Program Members, gdy nie gwarantuj one tosamoci organizacji, ktra go wydaa.

Utworzy Zasady uwierzytelniania poczenia (CAP) dla TS Gateway Server. Zasady uwierzytelniania poczenia (CAPs) kontroluj, czy uytkownik moe przekroczy granic bramki, aby uzyska dostp do sieci korporacyjnej. Pozwalaj na okrelenie uytkownikw, grup uytkownikw (i opcjonalnie grup komputerw), ktre maj dostp do serwera Bramy Usug Terminalowych. CAP-y tworzy si w celu: Uproszczenia zarzdzania i wzmocnienia zabezpiecze poprzez zapewnienie wyszego poziomu kontroli dostpu do zdalnych komputerw w sieci korporacji. Wczenia wymogu spenienia specyficznych warunkw dostpu do serwera Bramy Usug Terminalowych przez uytkownikw, grupy uytkownikw i grupy komputerw Moesz okresli specyficzne warunki w kadym CAP-ie. Na przykad moesz zada, by uytkownik uy karty procesorowej w celu poczenia przez Bram Usug Terminalowych. Udzielania uytkownikom dostpu do serwera Bramy Usug Terminalowych tylko wtedy, gdy speniaj lub przekraczaj warunki wymienione w CAP-ie, ktry dotyczy ich grupy.

Konfiguracja Bramy Usug Terminalowych

Aby skonfigurowa Bram Usug Terminalowych, naley wykona nastpujce czynnoci: Zainstalowa rol TS Gateway .

CAP-y zezwalaj uytkownikom jedynie na dostp do serwera Bramy Usug Terminalowych, a nie do konkretnych zdalnych komputerw w sieci. Po zdefiniowaniu CAP-w musisz utworzy grup zasobw i zasad przydziau zasobw (RAP), aby zezwoli na dostp z serwera Bramy Usug Terminalowych do konkretnego zdalnego komputera w sieci. Zamiast tworzy grup zasobw rcznie, mona uy grupy, bezpieczestwa zdefiniowanej w Active Directory.

96

97

Tworzenie grupy zasobw i zasady przydziau zasobw dla serwera Bramy Usug Terminalowych. RAP-y s tworzone w celu: Zdefiniowania grup zdalnych komputerw, do ktrych uytkownicy mog mie dostp. Pozwalaj na zarzdzanie dostpem uytkownika do grup zasobw. Udzielania dostpu do konkretnych komputerw zdalnych w sieci tylko w wypadku, kiedy zostan spenione lub przekroczone okrelone warunki. Zagwarantowania, e waciwi uytkownicy maj dostp do waciwych komputerw zdalnych w sieci.

Grupy zasobw reprezentuj list komputerw lub grup komputerw. RAP-y pozwalaj na okrelenie, do jakich komputerw uytkownicy mog mie dostp w sieci z internetu przez serwer Bramy Usug Terminalowych. Po utworzeniu jednej lub wikszej liczby grup zasobw moesz utworzy RAP przez skojarzenie jednej lub kilku grup zasobw z jedn lub kilkoma grupami uytkownikw, ktrzy maj dostp do zdalnych komputerw w tej grupie zasobw. Uytkownicy czcy si z Bramk usug Terminalowych [TS Gateway] uzyskuj dostp do zdalnych komputerw w sieci korporacyjnej, jeeli speniaj warunki przynajmniej jednego CAP-u i jednego RAP-u. Klient bramy musi wykorzystywa jedn z nastpujcych wersji Windows: Windows Vista Windows Server 2008 Windows XP z SP2 i RDC 6.0 (lub wyszym) Windows Server 2003 z SP1 i RDC 6.0 (lub wyszym)

2.

Rozwi list Roles/Web Server (IIS) i wybierz pozycj Internet Information Services (IIS) Manager. Nastpnie w panelu Connections wybierz pozycj Default Web Site. W panelu Action wybierz pozycj Advanced Setting i sprawd, czy parametr Start Automatically jest ustawiony na warto True, a astpnie zaakceptuj zmienione ustawienia i zamknij przystawk Server Manager.

Procedura: Konfiguracja Bramy Usug Terminalowych

Aby skonfigurowa Bram Usug Terminalowych: 1. Z menu Start wybierz pozycj All Programs/Administrative Tools i kliknij pozycj Server Manager. W oknie Server Manager rozwi list Roles i wybierz pozycj Terminal Services. Sprawd, czy wszystkie usugi s uruchomione.

Importowanie i mapowanie certyfikatu z Urzdu Certyfikacji dla Bramy Usug Terminalowych

3. Zaimportujesz teraz certyfikat z Urzdu Certyfikacji dla Bramy Usug Terminalowych. W tym celu uruchom konsol TS Gateway Manager z okna eksplorera. Wybierz odpowiedni serwer, a nastpnie wywietl jego waciwoci za pomoc panelu Action. Wybierz zakadk SSL Certificate, a nastpnie kliknij przycisk Create Certificate. W oknie Create Self-Signed Certificate w wpisz ciek dostpu do Twojego certyfikatu i potwierd klikajc przycisk OK.

98

99

Authorization Policies upewnij si, e jest zaznaczona opcja Create only a TS CAP i kliknij przycisk Next. Nastpnie sprawd, czy zaznaczona jest metoda autentykacji password i wprowad grup uytkownikw poprzez kliknicie przycisku Add Group. Po uzupenieniu wartoci zakocz prac z kreatorem.

4.

Dodaj przystawk Certificates do konsoli MMC (Microsoft Management Konsole). W przystawce Certificates wybierz pozycj Computer Account i kliknij przycisk Next. W oknie Select Computer zaznacz pozycj Local Computer, a nastpnie kliknij przycisk Finish. W oknie Add or Remove Snap-ins kliknij przycisk OK. W konsoli1 rozwi drzewo Console Root/Certificates (Local Computer)/Trusted Root Certification Authorities i zaznacz pozycj Certificates. W menu Action wybierz pozycj All Tasks, a nastpnie Import. Po uruchomieniu kreatora importu certyfikatu w drugim kroku w polu File Name: wpisz lokalizacj pliku z certyfikatem *.cer. W oknie Certificate Store upewnij si, e wszystkie pola wyboru s zaznaczone, a nastpnie wybierz przycisk Next. W ostatnim kroku kreatora importu certyfikatu zapoznaj si z podsumowaniem i kliknij przycisk Finish.

Tworzenie Grupy Zasobw

6. Z poziomu programu TS Gateway Manager utworzysz teraz Grup Zasobw. W tym celu rozwi drzewo nazwa serwera (Local)/Policies i zaznacz pozycj Resource Authorization Policies. Z panelu Actions wybierz pozycj Manage Local Computer Groups. W oknie Manage Local Computer Groups kliknij przycisk Create group. W oknie New TS Gateway na zakadce General wypenij odpowiednie pola. Przejd do zakadki Network resources. Podaj nazw stacji roboczej, a nastpnie kliknij przycisk Next. Powtrz t sam czynno dla pozostaych stacji i serwera.

Tworzenie Zasad Uwierzytelniania Poczenia (CAP) dla Bramy Usug Terminalowych

5. Aby utworzy Zasady Uwierzytelniania Poczenia dla Bramy Usug Terminalowych, w programie TS Gateway Manager rozwi drzewo nazwa_serwera (Local)/ Policies, a nastpnie wybierz pozycj Connection Authorization Policies. W panelu kliknij pozycj Create New Policy, a nastpnie kliknij pozycj Wizard. W oknie

100

101

Tworzenie zasad dostpu do zasobw w Bramie Usug Terminalowych

7. Aby utworzy zasady dostpu do zasobw w Bramie Usug Terminalowych, w TS Gateway Manager rozwi drzewo nazwa serwera (Local)/Policies i zaznacz pozycj Resource Authorization Policies. Z panelu Actions wybierz pozycj Create New Policy i wybierz pozycj Wizard. Po uruchomieniu kreatora upewnij si, e jest zaznaczona opcja Create only a TS RAP i kliknij przycisk Next. Aby dokoczy konfigurowanie kreatora, uzupenij wartoci, a na koniec zakocz prac z kreatorem.

Naley korzysta z zarzdzania Bram Usug Terminalowych, aby monitorowa status, ywotno i zdarzenia na zdalnych poczeniach. Nie naley korzysta z samopodpisanego (self-signed) certyfikatu SSL w rodowisku produkcyjnym; lepiej korzystaj z certyfikatu wydanego przez zaufany Urzd Certyfikacji, takiego jak certyfikatu moliwego do uzyskania z Verisign, aby unikn potrzeby dystrybuowania certyfikatw do klientw. Naley korzysta z zapory dziaajcej w warstwie aplikacji (application-layer firewall), takiej jak ISA Server, aby filtrowa przepyw danych RPC i wzmocni bezpieczestwo. Nie naley polega na funkcji Bramy Usug Terminalowych blokujcej urzdzenia; to raczej parametr konfiguracyjny (podpowied dla klienta) ni parametr bezpieczestwa.

Podsumowanie
Brama Usug Terminalowych umoliwia uwierzytelnionym zdalnym uytkownikom poczenie z serwerami terminali i Pulpitami Zdalnymi (zdalnymi komputerami) w sieci korporacyjnej z dowolnego poczonego z Internetem urzdzenia, na ktrym zainstalowana jest aplikacja Remote Desktop Connection (RDC) 6.0. Brama Usug Terminalowych eliminuje potrzeb konfiguracji pocze Wirtualnej Sieci Prywatnej (VPN), umoliwiajc zdalnym uytkownikom poczenie z sieci firmow przez Internet, jednoczenie zapewniajc bezpieczny model konfiguracji poczenia, ktry umoliwia kontrol dostpu do specyficznych zasobw.

Monitorowanie Pocze
8. Poczenia moesz monitorowa w TS Gateway Manager. W tym celu rozwi drzewo nazwa_serwera (Local)/Monitoring. Za pomoc tego okna mona analizowa poczenia i zarzdza nimi.

Usuga TS RemoteApp
Wstp
Usuga TS RemoteApp umoliwia organizacjom zapewnienie dostpu do standardowych programw Windows waciwie z kadej lokalizacji przez Internet lub intranet uytkownikom kadego komputera opartego na systemie Windows Vista lub uytkownikom komputerw opartych na systemie Windows XP z zainstalowanym nowym klientem Remote Desktop Connection 6.0. RemoteApp jest wbudowana w Usugi Terminalowe w Windows Server 2008. W przeszoci, Usugi Terminalowe dostarczay jedynie mechanizmu poczenia uytkownikw do caych Pulpitw Zdalnych. Potrzebny by nowy mechanizm by zintegrowa korzyci pynce z wykorzystania centralnie wdraanych i zarzdzanych aplikacji z korzyciami lokalnych aplikacji klienta. Usugi Terminalowe Windows Server 2008 zapewniaj taki mechanizm poprzez TS RemoteApp w celu dostarczenia aplikacji za porednictwem cisej integracji pomidzy serwerem terminali oraz klientem Windows.

Zalecenia
Naley korzysta z Bramy Usug Terminalowych zamiast VPN, gdy lokalne kopie danych nie s wymagane, gdy potrzebny jest szybszy czas poczenia, a take gdy przepustowo poczenia lub rozmiary danych przesyanych przez aplikacj sprawiaj, i poczenie za pomoc VPN nie jest optymalne. Naley wykorzysta dedykowany serwer jako Bram Usug Terminalowych; chocia Brama Usug Terminalowych moe wspegzystowa z serwerem Outlook RPC/HTTP , nie jest to zalecane poza sytuacjami zwizanymi z bardzo niskim obcieniem. Naley skonfigurowa zasady dostpu do pocze, grupy zasobw i zasady dostpu do zasobw.

102

103

Czym s programy TS RemoteApp?

Programy TS RemoteApp to aplikacje, do ktrych dostp przebiega zdalnie poprzez Usugi Terminalowe, a dziaaj, tak jakby zostay uruchomione byy na lokalnym komputerze uytkownika kocowego. Uytkownicy mog uruchamia programy RemoteApp jednoczenie ze swoimi programami lokalnymi.

Jakich korzyci dostarcza uytkowanie TS RemoteApp?

Niektre z podstawowych zmian dotyczcych systemu operacyjnego Windows Server 2008 mog mie wpyw na wczeniejsze wersje oprogramowania, ktre dziaaj poprawnie pod wczeniejszymi wersjami systemu operacyjnego Windows. Jeli wystpi trudnoci podczas uruchomienia programu pod TS RemoteApp naley sprawdzi czy dziaa on poprawnie na lokalnej konsoli serwera dziaajcego pod systemem Windows Server 2008.

TS RemoteApp umoliwia organizacjom zapewnienie dostpu do standardowych programw Windows waciwie z kadej lokalizacji przez Internet lub sie lokaln uytkownikom kadego komputera opartego na systemie Windows Vista lub uytkownikom komputerw opartych na systemie Windows XP z zainstalowanym nowym klientem Remote Desktop Connection 6.0. TS , RemoteApp przyczynia si do zwikszenia dowiadczenia uytkownika, otwiera nowe drogi do zastosowania programw oraz ogranicza zasb pracy administracyjnej koniecznej dla wsparcia tych programw w wielu przypadkach: W biurach wydziaowych, w ktrych lokalne wsparcie IT moe by ograniczone, w celu centralizacji zarzdzania aplikacjami oraz ulepszenia dziaania programw zdalnych w przypadku ograniczonej przepustowoci cza. Kiedy uytkownicy musz zdalnie czy si z aplikacjami. Kiedy istnieje potrzeba zastosowania aplikacji Lini Biznesowej (LOB), w szczeglnoci niestandardowych aplikacji LOB na komputerach korzystajcych z rnych konfiguracji i wersji Microsoft Windows. W rodowiskach stosujcych gorce biurka lub hotelowy obszar roboczy, w ktrym uytkownicy nie maj przydzielonych komputerw. Gdy wymagane jest uytkowanie wielu wersji aplikacji, szczegnie jeli lokalna instalacja wielu wersji powodowaaby konflikty. Gdy chodzi o zapewnianie rozwiza dla przemieszczajcych si uytkownikw, ktrzy musz pracowa na rnych komputerach, ktre mog nie mie zainstalowanych wymaganych programw lokalnie. Gdy organizacje szukaj sposobw na ulepszenie swoich stacji roboczych typu rich-client, na przykad w sytuacji biura wydziaowego, kiedy wybrane aplikacje umieszczane s w lokalizacji, gdzie mog by atwo zarzdzane, lecz jednoczenie pracownikom pozostawiane s stacje robocze typu rich-client, poniewa zawieraj aplikacje, ktre musz by uruchamiane lokalnie.

Praktyka
Uytkownicy mog uruchamia programy zdalnie z serwera terminali i odnosi wraenie, e s one uruchomione na komputerze lokalnym uytkownika kocowego.

Co dziaa inaczej?

Gdy klient czy si z serwerem Windows 2008, na ktrym uruchomiony jest Terminal Services TS RemoteApp nastpuje wiele zmian: Zdalny program zintegrowany jest z pulpitem klienta, wic zamiast ukazywa si uytkownikowi na Pulpicie Zdalnym serwera terminali, zostaje, uruchomiony we wasnym rozszerzalnym oknie z wasnym udziaem na pasku zada. Jeli program ten uywa ikony obszaru powiadamiania ikona ta pojawia si w obszarze powiadamiania klienta. Wyskakujce okienka typu Popup zostaj przekierowane na lokalny pulpit. Lokalne napdy oraz drukarki mog zosta przekierowane tak, by pojawiay si w zdalnym programie..

Wielu uytkownikw moe nie zauway, e program zdalny rni si od programu lokalnego.

Konfiguracja Serwera RemoteApp Usug Terminalowych

Wczy Dostp Zdalny. Doda przystawk TS Remote App. Skonfigurowa TS Remote App:

Administrator musi podj nastpujce kroki, by skonfigurowa Serwer TS RemoteApp:

Czy trzeba zmieni jakikolwiek istniejcy kod, by pracowa z TS RemoteApp?

Aby oprogramowanie dziaao zdalnie z TS RemoteApp, serwer terminali, bdcy hostem dla oprogramowania, musi dziaa pod kontrol systemu Windows Server 2008. Kady program mogcy dziaa w zakresie Usug Terminalowych lub w sesji Pulpitu Zdalnego powinien by zdolny do dziaania jako program TS RemoteApp.

Zainstalowa aplikacje na serwerze z zainstalowan i uruchomion rol Terminal Server. Uruchomi Kreator RemoteApp, aby doda program do listy dozwolonych programw (Allow) i udostpni go zdalnie uytkownikom.

104

105

By wykona t procedur, trzeba by czonkiem grupy Administratorzy na serwerze terminali. Utworzy Pakiet RDP lub Pakiet MSI.

Podwjnie klikaj plik, ktrego rozszerzenie jest powizane z programem TS RemoteApp. Moe tego dokona administrator, korzystajc z pliku .msi. Posuy si odnonikiem do programu na stronie Web, korzystajc z usugi Terminal Services Web Access.

Mona utworzy pakiet RDP dla dowolnego programu z listy dozwolonych programw (Allow). Mona utworzy wiele pakietw RDP z rnymi ustawieniami dla tego samego programu, jeli potrzeba. Dodatkowy utworzony plik .rdp otrzyma numer w nawiasie doaczony do nazwy pliku, np. Remote WordPd(1).rdp. Mona utworzy pakiet MSI dla dowolnego programu z listy dozwolonych programw (Allow). Jeli zostanie utworzony pakiet MSI za pomoc programu, ktry jest udostpniony uytkownikom poprzez TS Web Access, rozszerzenie pliku pakietu MSI przyjmie posta .rap.msi. Jeli pakiet zostanie utworzony za pomoc programu, ktry nie jest udostpniony uytkownikom poprzez TS Web Access, rozszerzenie pliku pakietu MSI przyjmie posta .rdp.msi. W obu przypadkach pakiet MSI zawiera plik .rdp, ktry zostanie zainstalowany na lokalnym komputerze kocowego uytkownika. Rozdystrybuowa programy TSRemoteApp do uytkownikw.

Pliki .rdp i .msi zawieraj ustawienia niezbdne do uruchomienia TS RemoteApp. Po otwarciu programu udostpnionego przez funkcj TSRemoteApp na lokalnym komputerze, uytkownik moe korzysta z programu uruchomionego na serwerze terminali tak jakby by uruchomiony lokalnie.

Procedura: Wdroenie TS RemoteApp

Dodawanie programu do listy Allow list
1. Aby doda program do listy Allow, powiniene zalogowa si na konto Administratora do kontrolera domeny. Z menu Start przejd do pozycji All Programs/Administrative Tools/Terminal Services/TS RemoteApp Manager, a nastpnie z menu Action wybierz pozycj Add RemoteApps. Na pierwszej stronie kreatora RemoteApp kliknij przycisk Add, aby przej do okna Choose RemoteApp to add to the allow list. Kliknij przycisk Browse, podaj ciek dostpu do programu i wybierz przycisk Open. W oknie podsumowujcym kreatora wybierz przycisk Finish. W podobny sposb moesz doda program, ktry znajduje si ju na licie dostpnych (wczeniej zdefiniowanych) programw. W konsoli RemoteApp w panelu Contents zaznacz wczeniej dodan aplikacj i z panelu Actions wybierz Properties. W oknie dialogowym Remote Program Properties moesz zmieni nazw wywietlanego programu. Na zakoczenie zatwierd wprowadzone zmiany.

2. Mona dystrybuowa plik .msi do lokalnego komputera uytkownika kocowego, korzystajc ze scentralizowanego procesu dystrybucji, takiego jak Microsoft System Management Server lub zasady grup Active Directory. Zarzdza list dozwolonych programw (Allow). Zmieni lub usun program RemoteApp. Wczy lub wyczy list dozwolonych programw (Allow). Wyeksportowa lub zaimportowa list dozwolonych programw (Allow).

W jaki sposb uytkownicy mog uzyska dostp do programw RemoteApp?

Uytkownicy systemu Windows Server 2008 mog uruchomi programy RemoteApp na kilka sposobw:

Podwjnie klikajc plik .rdp, ktry zosta utworzony i rozdystrybuowany przez administratora. (Mona dystrybuowa plik .msi, aby utworzy skrty do plikw .rdp na pulpitach uytkownikw lub w menu Start).

106

107

Tworzenie pliku MSI w celu zainstalowania aplikacji

3. Teraz utworzysz plik MSI do pniejszej jej dystrybucji. W tym celu w oknie RemoteApp Manager, w panelu Contents, zaznacz aplikacj z ktrej ma zosta stwoony plik MSI. W panelu Actions uruchom kreator, klikajc pozycj Create Windows Installer Package. W drugim kroku kreatora Specify Packages Settings okrel lokalizacj docelow zapisywanego pliku. W czci TS Gateway Settings kliknij przycisk Change, a w oknie Configure TS Gateway Settings zaznacz opcj Use these TS Gateway Server settings:. Wprowad odpowiednie ustawienia, a nastpnie zatwierd zmienione ustawienia. W RemoteApp Wizard, na stronie Configure Distribution Package zaakceptuj domylne ustawienia, a w ostatnim oknie kreatora zapoznaj si z podsumowaniem i kliknij przycisk Finish.

Scenariusze wdroenia/wykorzystania
Rozlokowanie aplikacji Linii Biznesu (LOB)
W przypadku fuzji, firmy czce si bd chciay w sposb niezakcony korzysta z aplikacji Lini Biznesu (LOB) na rnych konfiguracjach sprztowych, pod rznymi wersjami systemu Windows. Zamiast ponoszenia kosztw rozlokowania wszystkich aplikacji LOB do wszystkich komputerw w firmie, aplikacje LOB mog zosta zainstalowane na serwerze terminali i udostpnione poprzez funkcje TSRemoteApp.

Gorce biurka

W firmie stosujcej elastyczn polityk stanowisk pracy uytkownicy mog pracowa na rnych komputerach. W pewnych przypadkach komputer, na ktrym pracuje uytkownik, niekoniecznie musi mie programy zainstalowane lokalnie. Kiedy uywane s funkcje TS RemoteApp, programy mog by zainstalowane na serwerze terminali i udostpnione uytkownikom tak, jakby byy zainstalowane lokalnie.

Zarzdzanie wersjami

Dziki TS RemoteApp nie trzeba rozlokowywa i utrzymywa rnych wersji tego samego programu dla poszczeglnych komputerw. Jeli pracownicy musz korzysta z rnych wersji programu, wersje te mog by zainstalowane na jednym lub wikszej liczbie serwerw terminali i udostpnione za porednictwem funkcji TS RemoteApp.

Biura Wydziaw Wykorzystanie dostpu do zdalnych aplikacji

4. Aby podczy si do zdalnej aplikacji, musisz zalogowa si na stacji klienckiej na konto Administratora. W menu Start wybierz pozycj Search i podaj ciek do programu na zdalnym serwerze. W Windows Explorer dwukrotnie kliknij pozycj z plikiem *.RDP, a w oknie dialogowym Windows Security wprowad nazw logowania uytkownika i jego haso. Nastpnie zaznacz opcj Remember my credentials i zatwierd wprowadzone zmiany, a w oknie dialogowym RemoteApp zaznacz opcj Dont prompt me again for connections to this computer. Po klikniciu przycisku Yes zamkniesz zdalny program On The Server. W Windows Explorer dwukrotnie kliknij plik z aplikacj *.rap.msi, aby zainstalowa zdaln aplikacj. Kiedy aplikacja zostanie pomylnie zainstalowana, z menu Start/All Programs wybierz pozycj RemoteApp nazwa programu, co spowoduje uruchomienie tej aplikacji.

Firmy czsto maj oddziay w rnych lokalizacjach, w krych moliwo pomocy IT moe by ograniczona. TS RemoteApp pozwala im na scentralizowanie zarzdzania aplikacjami i popraw wydajnoci zdalnych programw w scenariuszach z ograniczon przepustowocci cza. Ten sposb wdroenia moe zredukowa jego zoono i ograniczy ilo wymaganych zasobw administracyjnych.

Zalecenia
Aby osign najwiksze korzyci z funkcji TSRemoteApp w Windows Server 2008, naley: Umieci podobne aplikacje, takie jak Microsoft Office, na tym samym serwerze terminali. Rozway umieszczenie poszczeglnych aplikacji na oddzielnych serwerach terminali w nastpujcych sytuacjach: Gdy aplikacja ma problemy z kompatybilnoci. Parametry aplikacji lub liczba korzystajcych z aplikacji uytkownikw wymagaj penej wydajnoci serwera.

5.

108

109

 W przypadku utworzenia farmy serwerw i balansowania obcienia dla pojedynczych aplikacji, ktre przekraczaj moliwoci wydajnociowe jednego serwera. Utworzy farm serwerw i zastosowa balansowanie obcienia dla pojedynczych aplikacji, ktre przekraczaj moliwoci wydajnociowe jednego serwera. Rozway umieszczenie serwera TSRemoteApp za ISA Server, a nie tylko za sprztow zapor (firewall). Korzysta z certyfikatu SSL podpisanego przez zaufany Urzd Certyfikujcy.

Administratorzy mog szybko i atwo dodawa i usuwa programy z listy udostpnionych bez koniecznoci dystrybuowania, instalacji i deinstalacji aplikacji na lokalnej maszynie. TS Web Access dostarcza prostego, gotowego rozwizania, jednoczenie zapewniajc infrastruktur, ktr mona wykorzysta w bardziej skomplikowanych scenariuszach.

Wymagania serwera i konfiguracja

Trzeba zainstalowa usug TS Web Access na serwerze, z ktrym uytkownicy maj si czy poprzez sie, aby uzyska dostp do funkcji TS RemoteApp. Podczas instalacji TS Web Access, instalowany jest take program Microsoft Internet Information Services (IIS) 7.0 jako wymagany komponent. Po zainstalowaniu funkcji TS Web Access mona okreli rdo danych suce do wypenienia listy programw TS RemoteApp, ktre pojawiaj si w webpartach. Poniewa serwer Web moe wypeni list na podstawie zewntrznego rda danych, serwer Web nie musi by serwerem terminali. Aby uytkownicy mieli dostp do strony WWW z Internetu, mona wykorzysta Bram Usug Terminalowych, aby zabezpieczy zdalne poczenia.

Podsumowanie
TS RemoteApp systemu Windows Server 2008 umoliwia organizacjom zapewnienie dostpu do standardowych programw Windows teoretycznie z kadego miejsca uytkownikom i uytkownikom kadego komputera dziaajcego w systemie Windows Vista lub o Windows XP z zainstalowanym klientem Remote Desktop Connection 6.0, poprzez Internet lub intranet. , Dostp do programw RemoteApp jest moliwy zdalnie poprzez Usugi Terminalowe. Programy te zachowuj si tak, jakby byy uruchomione na komputerze lokalnym kocowego uytkownika.

Wymagania klienta i konfiguracja

Usuga TS Web Access

Wstp
Terminal Services Web Access suy uruchamianiu aplikacji hostowanych na serwerze TS RemoteApp z poziomu strony internetowej. Programy te staj si dostpne dla uytkownikw korzystajcych z przegldarki internetowej. Za pomoc funkcji TS Web Access, uytkownik moe odwiedzi stron Web czc si zarwno z Internetu, jak i intranetu aby uzyska list dostpnych programw TS RemoteApp. Kiedy uytkownik uruchamia funkcj TS RemoteApp, rozpoczta zostaje sesja na serwerze terminali, ktry hostuje ten program. TS Web Access zawiera domyln stron Web, ktr mona wykorzysta w celu rozlokowania TS RemoteApp w sieci. Strona Web skada si z ramki i konfigurowalnych webpartw. Alternatywnie, moesz wczy webparty do serwisu Microsoft Windows SharePoint Services. TS Web Access zapewnia tylko mechanizm dostpu do aplikacji; nie zapewnia mechanizmu transportowego.

Aby moliwe byo poczenie z TS Web Access, na komputerze klienckim musi by zainstalowany jeden z poniszych systemw operacyjnych: Windows Vista. Microsoft Windows XP z Service Pack 2 lub pniejszym. Windows Server 2008. Microsoft Windows Server 2003 z Service Pack 1 lub pniejszym.

Komputer kliencki musi by skonfigurowany w nastpujcy sposb: Na komputerze klienckim musi by uruchomiony klient Remote Desktop Connection w wersji 6.0 lub pniejszej. Musi by wczona usuga Terminal Services ActiveX Client. Serwer TS Web Access musi by dodany do strefy Zaufanych Witryn lub Strefy Lokalnego Intranetu w przegldarce Internet Explorer.

Korzyci
Uwierzytelnieni uytkownicy mog szybko uzyska dostp do programw z dowolnej lokalizacji, czc si z prost stronWWW.

Praktyka
Wypenianie webpartw TS RemoteApp
TS Web Access moe wypeni webparty TS RemoteApp, korzystajc z jednego z poniszych rde danych:

110

111

Active Directory. Jeli usuga Active Directory jest okrelona jako rdo danych, lista programw zdalnych, ktra pojawia si w webpartach jest unikalna dla kadego uytkownika. Tylko pakiety .msi (z rozszerzeniem rap.msi), ktre s publikowane dla tego okrelonego uytkownika z wykorzystaniem Zasad Grup pojawiaj si na licie. Pojedynczy serwer terminali. Jeli pojedynczy serwer terminali jest okrelony jako rdo danych, lista dostpnych zdalnych programw, ktra pojawia si w webpartach, nie jest unikalna dla uytkownika. Zamiast tego, wszystkie zdalne programy, ktre zostay skonfigurowane jako dostpne przez WWW, znajduj si na licie Allow List na tym serwerze i pojawiaj si na stronie internetowej.

Wykorzystanie usugi Active Directory jako rda danych

Domylnie, TS Web Access wypenia list programw TS RemoteApp z Active Directory. Kiedy Active Directory jest okrelone jako rdo danych, webpart TS Web Access jest wypeniana przez pakiety TS Remote App .msi, ktre s publikowane dla uytkownika poprzez Zasady Grup. Zalety tego rozwizania s nastpujce: TS Web Access wywietli tylko te pakiety, ktre s unikalne dla obecnego uytkownika. Pakiety RemoteApp .msi, ktre kieruj do innych serwerw terminali mog zosta wszystkie skonsolidowane do postaci pojedynczej listy w webparcie TS Web Access.

Wykorzytanie pojedynczego serwera terminali jako rda danych

Domylnie, TS Web Access wypenia list programw TS RemoteApp z Active Directory. Jednake, mona skonfigurowa webpart TS Web Access, aby wypenia list programw TS RemoteApp z pojedynczego serwera terminali. Kiedy pojedynczy serwer jest okrelony jako rdo danych, webpart jest wypeniany wszystkimi programami Ts RemoteApp, ktre zostay skonfigurowane w celu uzyskania dostpu do sieci na licie Allow List na serwerze, a lista wywietlanych programw nie jest dostosowywana dla uytkownika.

Procedura: Instalacja i konfiguracja Usug Terminalowych dostpnych przez www

1. Aby zainstalowa i skonfigurowa dostp do Usug terminalowych przez www, zaloguj si do swojego serwera jako Administrator. Z menu Start przejd do pozycji All Programs/Administrative Tools/Server Manager i rozwi drzewo Roles/Terminal Services. Zaznacz opcj Terminal Services i w panelu Contents wybierz pozycj Add Roles Services. Zostanie uruchomione okno dialogowe Select Role Services, w ktrym zaznacz opcj TS Web Access, a nastpnie wybierz przycisk Add Required Role Services. W drugim kroku uruchomionego kreatora zaznacz opcj Web Server (IIS) i kliknij przycisk Next. Kolejne okna kreatora pozostaw z ustawieniami domylnymi, a w ostatnim oknie Confirm Installation Selections przeanalizuj podsumowanie i kliknij przycisk Install. Proces instalacji nie powinien zaj duej ni 3 do 5 minut.

2. Po zainstalowaniu i skonfigurowaniu Usug Terminalowych za porednictwem www aby uruchomi aplikacj na stacji roboczej, bdziesz musia przej kilka krokw. Zaloguj si na stacji roboczej, uruchom Internet Explorer i podaj adres swojego serwera, na ktrym zainstalowane s usugi www do obsugi Usug Terminalowych np.: http://nazwa serwera/ts. W oknie dialogowym Connect to podaj nazw uytkownika i haso. Na stronie www wybierz aplikacj, a w oknie dialogowym Windows Security wpisz nazw uytkownika i haso. Po zatwierdzeniu wprowadzonych danych aplikacja zostanie uruchomiona.

Scenariusze wdroenia/wykorzystania
Scentralizowany dostp do aplikacji
Uytkownicy mog uzyska dostp do aplikacji z dowolnej lokalizacji, czc si za pomoc przegldarki internetowej z prost stron internetow.

112

113

Rozlokowanie nowych wersji

Wiele organizacji wolaoby udostpnia uytkownikom nowe wersje aplikacji (np. Office 2007). Jednake, mog pojawi si czynniki zwizane z zarzdzaniem, sprztem lub kosztami, ktre zabraniaj rozlokowania aplikacji do lokalnych stanowisk. TS Web Access pomaga rozwiza ten problem, umoliwiajc uytkownikom wyprbowanie nowych cech aplikacji, zw ykorzystaniem istniejcej wersji produktu.

Nowe cechy Usug Terminalowych umoliwiaj dostp do nich znacznie wikszej liczbie klientw. Dziki nim moliwe jest take zastosowanie wielu nowych rozwiza. Nowe scenariusze, takie jak rozlokowanie Biura Wydziaowego, zostay zoptymalizowane dla rozwiza o niskim stopniu zoonoci, aby jak najwicej klientw mogo czerpa korzyci z moliwoci oferowanych przez Usugi Terminalowe. Nowe Opcje Usug Terminalowych w poczeniu z innymi moliwociami programu Windows Server 2008 dostarczaj rozwiza dla nastpujcych scenariuszy: Zdalny Dostp do Aplikacji. Zabezpieczenie Aplikacji i Danych (Zgodno Regulacyjna). Integracja Fuzji lub Outsourcing. Dyspozycyjni Uytkownicy Biura.

Zalecenia
Aby osign najwiksze korzyci z rozlokowania TS Web Access, trzeba rozway nastpujce dziaania: W rozlokowaniu opartym na pojedynczym serwerze korzysta z domylnych ustawie TS Web Access. W scenariuszu zakadajcym wykorzystanie wielu serwerw: Naley korzysta z Active Directory, gdy klienci maj dowiadczenie z dystrybucj plikw MSI poprzez Active Directory. Jeli klient nie posiada na miejscu mechanizmu rozlokowania MSI, naley skorzysta z innej metody, np. SMS, zaawansowane rozwizanie bazujce na skryptach ASP lub , produktu innych firm.

Zdalny Dostp do Aplikacji umieszcza aplikacj blisko potrzebnych danych i udostpnia je poprzez TS RemoteApp, TS Gateway i/lub TS Web Access, poprawiajc reakcj aplikacji zarwno w odniesieniu do uytkownikw zdalnych, jak i dostpnych w biurach wydziaowych. Funkcja TS Easy Print pozwala tym uytkownikom na pene korzystanie ze wszelkich udogodnie, jakie oferuje praca w biurze. Zabezpieczenie Aplikacji i Danych (Zgodno Regulacyjna) chroni aplikacj i jej dane w lokalizacji centralnej, zmniejszajc ryzyko przypadkowej utraty danych, spowodowanej na przykad utrat laptopa. Centralizacja aplikacji i danych minimalizuje ryzyko wydostania si ich poza sie korporacyjn. Dziki wykorzystaniu funkcji TS Gateway i TS RemoteApp, administratorzy nie musz przekazywa ju uytkownikom, partnerom ani klientom penego dostpu do sieci firmowej bd komputerw, a nawet mog go w razie potrzeby ograniczy do pojedynczej aplikacji. W przypadku fuzji przedsibiorstw czone firmy bd musiay korzysta ze spjnych aplikacji Linii Biznesowej [LOB] na rnych wersjach i konfiguracjach systemu Windows. Moe to dotyczy take stosowania outsourcingu dla organizacji partnerskich, ktre wymagaj dostpu tylko do specyficznych aplikacji LOB, a nie do caej sieci korporacyjnej. Zamiast ponosi koszty rozmieszczenia wszystkich aplikacji LOB na wszystkich komputerach w przyczonej firmie lub u outsourcera, pracownicy dziau IT mog zainstalowa aplikacje LOB na serwerze usug terminalowych i udostpni je za pomoc funkcji TS RemoteApp. Jest to szczeglnie przydatne w sytuacji, gdy aplikacj trudno wysa lub ni zarzdza, gdy nie mona jej rozpowszechni za pomoc Microsoft Systems Management Server (SMS) lub gdy istniej inne problemy zwizane z jej zarzdzaniem. W przedsibiorstwie, w ktrym pracownicy nie maj przypisanych stanowisk pracy, uytkownicy mog pracowa kadego dnia na innym komputerze w biurze. W niektrych przypadkach komputer, z ktrego korzysta uytkownik, moe nie mie zainstalowanych potrzebnych mu programw. Dziki Usugom Terminalowym specjalici IT mog zainstalowa te programy na serwerze usug terminalowych i udostpni je uytkownikom tak, jakby instalowali je lokalnie.

Podsumowanie
TS Web Access pracujcy w rodowisku Windows Server 2008 udostpnia uytkownikom programy TS RemoteApp, z poziomu przegldarki internetowej. Za pomoc TS Web Access uytkownik moe odwiedzi stron Web (z Internetu lub intranetu), aby uzyska dostp do listy dostpnych programw TS RemoteApp.

Zakoczenie
Usugi Terminalowe w Windows Server 2008 s najpotniejsz platform aplikacyjn, jaka kiedykolwiek zostaa wypuszczona na rynek przez firm Microsoft. Usugi te oferuj imponujcy zakres moliwoci, ktre radykalnie poprawiaj jako pracy administratorw i uytkownikw z aplikacjami rozlokowanymi i zarzdzanymi przy uyciu Usug Terminalowych. Windows Server 2008 wspiera Usugi Terminalowe, dostarczajc platform o podwyszonym stopniu bezpieczestwa, a zarazem atw w uytkowaniu, co zapewnia zdalny dostp z kadego miejsca do aplikacji i zasobw zarzdzanych centralnie.

114

115

4.

Bezpieczna administracja zdalnymi lokalizacjami

Wstp
Bezpieczne zarzdzanie danymi, usugami znajdujcymi si w zdalnych lokalizacjach moe by wyzwaniem dla nawet najbardziej dowiadczonych pracownikw IT. Windows Serwer 2008 wyposaony jest w liczne funkcjonalnoci, ktre pozwalaj na utrzymanie zarzdzalnej infrastruktury sieci komputerowych w lokalizacjach firmy nieposiadajcych zabezpiecze, jakie istniej w gwnej siedzibie firmy. Wanym elementem w komunikacji pomidzy filiami firmy, jest wydajno. Nowa architektura stosu protokou TCP/IP i liczne ulepszenia w funkcjach sieciowych powinny zadowoli nawet najbardziej wymagajcych uytkownikw sieci. W tym rozdziale zostan omwione cztery funkcjonalnoci Windows Server 2008. Dwie pierwsze maj kluczowe znaczenie dla bezpieczestwa aktywnych katalogw i tym samym danych przechowywanych na serwerach pracujcych w filiach naszej firmy. Kontroler domeny tylko do odczytu RODC (Read Only Domain Controller) BitLocker szyfracja dyskw

Dwie kolejne, dotycz zagadnie zwizanych wydajnoci i bezpieczestwem transmisji danych w sieciach LAN/WAN opartych o stos TCP/IP nowej generacji (New Generation TCP/IP stack), ktry jest integraln czci systemu Windows Serwer 2008. NetIO (Network Input/Output?) Blok komunikatw serwerw (SMB) 2.0

Kontroler domeny tylko do odczytu RODC (Read Only Domain Controller)

Wstp
Kontroler domeny tylko do odczytu (RODC) to nowy typ kontrolera domeny dostpny tylko na platformie Windows Serwer 2008. RODC zosta stworzony przedewszystkim dla niewielkich lokalizacji naszych firm, ktre posiadaj niewystarczajce zabezpieczenia dostpu fizycznego

117

do serwerw, brak pewnego, staego cza do siedziby gwnej i personel IT o niewielkiej wiedzy technicznej. Kontroler tylko-do-odczytu przetrzymuje pen kopie bazy AD DS (wyjtkiem s tutaj hasa uytkownikw i komputerw), ale tylko w trybie do odczytu. Zadaniem RODC jest przede wszystkim wsparcie procesw uwierzytelnienia i autoryzacji w obrbie danej lokalizacji. Administrator domeny wskazuje konta uytkownikw i konta komputerw, ktrych hasa maj by replikowane do RODC. Jeeli RODC peni rwnie role serwera DNS i Wykazu Globalnego (Global Catalog) nie ma potrzeby kontaktu z innym kontrolerem, aby proces uwierzytelnienia uytkownika zakoczy si sukcesem. Aplikacje lokalne, ktre daj dostpu do odczytu do katalogu, uzyskuj go. Aplikacje protokou LDAP, ktre daj dostpu do zapisu, otrzymuj odpowied odsyajc protok LDAP, ktra kieruje je do zapisywalnego kontrolera domen, znajdujcego si zwykle si w siedzibie gwnej organizacji.

kontrolera RODC i specjalne konto uytkownika Kerberos Ticket-Granting-Ticket (krbtgt_x), ktre jest tworzone w Aktywnych Katalogach dla kadego kontrolera RODC i suy do zabezpieczenia procesu uwierzytelnienia uytkownikw i komputerw. Administrator domeny musi jawnie wskaza konta uytkownikw i komputerw, ktrych hasa maj by przechowywane na kontrolerze RODC. Kontroler RODC stanowi centrum uwierzytelnie dla danej lokalizacji. (Oczywicie tej, w ktrej kontroler domeny tylko-do-odczytu si znajduje). Uytkownik identyfikuje kontroler dziki serwisowi DNS i wysya danie wystawienia biletu TGT do kontrolera RODC. Jeeli jest to pierwsze uwierzytelnienie uytkownika, kontroler RODC komunikuje si z najbliszym standardowym kontrolerem przetrzymujcym replik partycji danych w trybie odczyt-zapis i da kopi powiadcze uwierzytelnienia uytkownika. Kontroler sztandarowy rozpoznaje kontroler RODC i weryfikuje polityk replikacji hase dla danego RODC. Jeeli powiadczenia danego uytkownika mog by przechowywane przez RODC, od tej pory kontroler bdzie je buforowa (tym samym bdzie mia moliwo wystawiania biletw TGT podpisywanych kontem krbtg RODC) a do ich zmiany i kontakt ze standardowym kontrolerem nie bdzie potrzebny.(Przy pierwszym uwierzytelnieniu bilet TGT zostanie wystawiony przez standardowy kontroler i podpisany kontem domenowym Krbtg) Oczywicie dla tych uytkownikw i komputerw, ktrych hasa nie s buforowane na RODC proces uwierzytelnienia zakoczy si sukcesem, jeeli standardowy kontroler posiadajcy replik partycji danych odczyt-zapis bdzie dostpny. Domylnie polityka replikacji hase dla kontrolera RODC opiera si o czonkostwo w dwch grupach. Allowed RODC Password Replication Group powiadczenia czonkw tej grupy mog by replikowane do RODC. Grupa domylnie pusta. Denied RODC Password Replication Group - powiadczenia czonkw tej grupy nie mog by replikowane do RODC. Grupa domylnie zawiera: Enterprise Domain Controllers, Enterprise Read-Only Domain Controllers, Group Policy Creator Owners, Domain Admins, Cert Publishers, Enterprise Admins, Schema, Admins, i domenowe konto krbtgt.

Active Directory tylko do odczytu

Kontroler domeny RODC przechowuje wszystkie te informacje o obiektach i atrybutach, ktre znajduj si na standardowym kontrolerze AD (oprcz hase do kont). RODC nie pozwala jednak na wprowadzenie jakichkolwiek modyfikacji w replikach partycji, ktre posiada. Reasumujc administracja aktywnymi katalogami lub prba wprowadzenia zmian, ktre mogyby stanowi zagroenie dla bazy AD jest po prostu nie moliwe w oparciu tylko i wycznie o komunikacje z RODC.

Replikacja jednokierunkowa
Poniewa adne zmiany w bazie AD nie mog by realizowane na kontrolerze RODC, replikacja pomidzy kontrolerem tylko-do-odczytu a pozostaym kontrolerami jest replikacj jednokierunkow. Tworzenie nowych obiektw, usuwanie i modyfikacja istniejcych, jest realizowane w oparciu o kontroler, ktry posiada replik partycji danych w trybie odczyt-zapis. Zmiany s replikowane do RODC. Ruch zwizany z replikacj AD jest dziki temu znacznie mniejszy ni pomidzy standardowymi kontrolerami, co powoduje znaczne zmniejszenie wykorzystywanej przepustowoci czy WAN.

System nazw domen (DNS) tylko do odczytu

System nazw domen (Domain Name System) funkcjonujcy na kontrolerze RODC, moe posiada wszystkie partycje aplikacyjne przechowujce strefy DNS zintegrowane z AD, w szczeglnoci ForestDnsZone i DomainDnsZone. Podobnie jak repliki partycji Aktywnych Katalogw, strefy te bd strefami tylko-do-odczytu. Reasumujc, serwer DNS na kontrolerze RODC moe obsuy danie rozwizania nazwy, przez dowolny komputer kliencki, ale nie jest wstanie dokona aktualizacji ju istniejcych rekordw w przetrzymywanych strefach. Replikacja tych stref pomidzy standardowym kontrolerem a kontrolerem RODC jest jednokierunkowa.

Wymagania wstpne
Instalacja kontrolera tylko-do-odczytu zakoczy si sukcesem, jeeli zostan spenione ponisze warunki. Upewnij si, e rola PDC Emulator jest pooona na kontrolerze domeny opartym o Windows Serwer 2008 (tym samym przynajmniej jeden kontroler domeny musi by oparty o Windows Serwer 2008) Upewnij si, e minimalnym trybem funkcjonowania lasu Aktywnych Katalogw jest Windows Serwer 2003 Rozszerz schemat AD dla prowidowej replikacji stref DNS zintegrowanych z AD. (Uwaga operacja ta nie jest konieczna, jeeli nie posiadasz kontrolerw domen starszych ni Windows serwer 2008 lub nie uywasz stref DNS zintegrowanych z AD)

Buforowanie Powiadcze
Buforowanie powiadcze naley rozumie jako moliwo przechowywania niewielkich informacji dotyczcych hase kont uytkownikw i komputerw, ktre umoliwi proces uwierzytelnienia. Domylnie kontroler RODC nie przechowuje adnych hase obiektw AD, wyjtkiem jest konto

118

119

Uwierzytelnij si na kontrolerze domeny z uprawnieniami Enterprise Administrator (operacje najlepiej wykona z kontrolera penicego role Schema Master) a. Skopiuj zawarto katalogu \sources\adprep z pyty instalacyjnej Windows Serwer 2008 na dysk kontrolera domeny Nawigujc do powyszego katalogu z linii polece wykonaj komend adprep.exe /RODCprep 7. 8.

posiada uprawnienia Domain Admins, potwierdzamy przyciskiem Next. (Jeeli serwer nie jest czonkiem domeny nazwe domeny i konto uytkownika domenowego trzeba wprowadzi rcznie) W oknie Select Domain wskazujemy obiekt domeny i potwierdzamy przyciskiem Next W oknie Select Site wybieramy waciw lokalizacje, potwierdzamy przyciskiem Next

b.

Stay adres IP i prawidowy adres serwera DNS obsugujcy domene AD DS

Instalacja RODC na penej platformie Windows Serwer 2008

1. 2. 3. 4. 5. Zaloguj si na serwerze jako czonek grupy Domain Admins. W menu Start nacinij Run i wpisz Dcpromo i potwierd klawiszem ENTER (Kreator instalacji Aktywnych Katalogw powinien zosta uruchomiony) W pierwszym kroku kreatora wybierz Use advanced mode installation i potwierd przyciskiem Next. W oknie Operating System Compatibility potwierd przyciskiem Next W oknie Choose a Deployment Configuration wybierz Existing forest i potwierd przyciskiem Next.
Rysunek 2. Instalacja RODC. Wybr lokalizacji.

9.

W oknie Additional Domain Controller Options zaznacz Read-only domain Controller (RODC) (opcje DNS server i Global catalog zaznaczone s domylnie)

Rysunek 1: Instalacja RODC. Dodatkowy kontroler.

6.

W oknie Network Credentials potwierdzamy nazwe domeny, w ktrej bdzie instalowany RODC i konto uytkownika w kontekcie, ktrego przeprowadzamy instalacj. Poniewa serwer jest czonkiem domeny i aktualnie zalogowany uytkownik

Rysunek 3. Instalacja RODC. Dodatkowe opcje.

120

121

10. W oknie Specify the Password Replication Policy moemy zdefiniowa polityk replikacji hase dla kontrolera RODC. Wskazujemy grupy uytkownikw, ktrych hasa maj by replikowane (tryb Allow) i grupy uytkownikw, ktrych hasa nie mog by replikowane (tryb Deny). Polityk replikacji hase mona zdefiniowa i modyfikowa w dowolnym momencie po instalacji kontrolera RODC. 11. W oknie Delegation od RDOC Instalation and Administration wskazujemy obiekt grupy lub konto uytkownika, ktry bdzie mia prawa administracyjne do kontrolera RDOC (wskazany kontekst bezpieczestwa zostanie uyty do dokoczenia instalacji) 12. W oknie Install from Media kreator daje nam moliwo instalacji kontrolera na podstawie wykonanej kopii zapasowej ju istniejcego dowolnego kontrolera domeny. (kopie bazy AD mona wykona z dowolnego kontrolera w oparciu o konsole NTDSUTIL, polecenie ifm). Przyciskiem Next potwierdzamy domyln opcje Replicate data over network from an existing domain controller. 13. W oknie Source Domain Controller wskazujemy kontroler domeny, z ktrego ma nastpi cigniecie replik AD DS, lub pozostawiamy wybr kreatorowi. Potwierdzamy przyciskiem Next. 14. Wybierz domyln lokalizacje plikw bazy Aktywnych Katalogw, logw i katalogu SYSVOL, potwierd klawiszem Next 15. Wpisz i potwierd haso dla trybu Directory Services Restore Mode, potwierd klawiszem Next 16. W oknie Summary potwierd klawiszem Next 17. Potwierd restart systemu

DisableCancelForDnsInstall=No PasswordReplicationAllowed=Nazwy grup, ktrych czonkowie bd posiadali moliwo przechowywania hase na RDOC (konwencja LDAP) PasswordReplicationDenied= Nazwy grup, ktrych czonkowie nie bd posiadali moliwo przechowywania hase na RDOC (konwencja LDAP) Password=haso uytkownika posiadajcego uprawnienia Domain Admins RebootOnCompletion=No ReplicaDomainDNSName=pena nazwa domeny w konwencji DNS ReplicaOrNewDomain=ReadOnlyReplica ReplicationSourceDC=nazwa kontrolera domeny Windows Server 2008 w tej samej domenie SafeModeAdminPassword= haso dla trybu Directory Services Restore Mode SiteName=nazwa lokalizacji, w ktrej bdzie funkcjonowa RDOC UserDomain=nazwa domeny UserName=nazwa konta posiadajcego uprawnienia Domain Admins

*Sekcje PasswordReplicationAllowe i PasswordReplicationDenied s opcjonalne. 3. 4. Zaloguj si na konsole serwera z uprawnieniami Domain Admins Wywoaj z linii polece Dcpromo /unattended:ciekaDoPlikuOdpowiedzi

Instalacja RODC na Windows Serwer 2008 Server Core

Instalacja RODC na platformie Server Core jest realizowana w trybie instalacji niepilnowanej przy wykorzystaniu pliku odpowiedzi i wywoaniu kreatora Dcpromo w trybie cichym Dcpromo /unattended:ciekaDoPlikuOdpowiedzi 1. 2. Zainstaluj Windows Serwer 2008 w trybie Serwer Core Przygotuj plik odpowiedzi do instalacji niepilnowanej. (Przykad pliku odpowiedzi poniej)
[DCInstall] InstallDNS=Yes ConfirmGc=No CriticalReplicationOnly=No

Instalacja RODC w trybie delegacji uprawnie

Instalacja RODC w trybie delegacji skada si z dwch etapw. Pierwszy polega na stworzeniu i konfiguracji konta dla nowego kontrolera RODC w AD DS i wymaga uprawnie Domain Admins. Drugi etap to stowarzyszenie fizycznego komputera, na ktrym instalujemy RODC z uprzednio stworzonym kontem w AD DS. Proces ten wykonywany jest z kontekstu bezpieczestwa grupy wskazanej podczas realizacji pierwszego etapu i nie koniecznie posiadajcej uprawnienia administracyjne w obrbie domeny. Serwer, na ktrym instalujemy kontroler RODC nie moe by czonkiem domeny AD, dla ktrej bdzie peni role kontrolera. Ten typ instalacji zalecany jest w sytuacji, kiedy nie chcemy, aby osoby instalujce RODC w fili firmy posiaday uprawnienia administracyjne w obrbie domeny.

Stworzenie konta dla nowego kontrolera RODC w AD DS

1. 2. Uwierzytelnij si na konsoli istniejcego kontrolera z uprawnieniami Domain Admins Uruchom konsole Active Directory Users and Computers

122

123

3.

Rozwi obiekt domeny i zaznacz Domain Controllers OU. W meni podrcznym (prawy klik myszki) wybierz opcje Pre-create Read-only Domain Controller account.
Kreator instalacji AD DS powinien zosta uruchomiony.

6. 7. 8.

W oknie Specify the Computer Name wprowadzamy nazw komputera na ktrym ma funkcjonowa RODC W oknie Select a Site wskazujemy lokalizacje dla RODC W oknie Additional Domain Controller Options opcje DNS server i Global catalog zaznaczone s domylnie. Opcja Read only domain Controller (RODC) jest zaznaczona domylnie rwnie i nie mona jej odznaczy. W oknie Specify the Password Replication Policy moemy zdefiniowa polityk replikacji hase dla kontrolera RODC. Wskazujemy grupy uytkownikw, ktrych hasa maj by replikowane (tryb Allow) i grupy uytkownikw, ktrych hasa nie mog by replikowane (tryb Deny). Polityk replikacji hase mona zdefiniowa i modyfikowa w dowolnym momencie po instalacji kontrolera RODC.

9.

10. W oknie Delegation of RODC Installation and Administration wskazujemy obiekt grupy lub konto uytkownika ktry bdzie mia prawa administracyjne do kontrolera RDOC. (Wskazany kontekst bezpieczestwa zostanie uyty do dokoczenia instalacji) Jezeli konto nie zostanie wskazane tylko czonkowie grup Domain Admins lub Enterprise Admins bd mogli dokoczy instalacj.
Rysunek 4: Tworzenie konta kontrolera RODC

4. 5.

W pierwszym kroku kreatora wybierz Use advanced mode installation i potwierd przyciskiem Next. W oknie Network Credentials potwierdzamy nazw domeny i konto uytkownika ktre zostanie uyte do stworzenia konta RODC. Potwierdzamy przyciskiem Next

Rysunek 6. Delegacja uprawnie administracyjnych dla RODC

11. W oknie Summary, potwierd ustawienia przyciskiem Next 12. W oknie Completing the Active Directory Domain Services Installation Wizard zakocz operacj przyciskiem Finish
Rysunek 5. Kontekst bezpieczestwa instalacji RODC

124

125

Instalacja i stowarzyszenie RODC z kontem w AD DS

1. 2. 3. 4. Zaloguj si na serwer jako lokalny administrator Z linii pole wprowad dcpromo /UseExistingAccount:Attach. Kreator instalacji AD DS powinien zosta uruchomiony. W pierwszym kroku kreatora wybierz Use advanced mode installation i potwierd przyciskiem Next. W oknie Network Credentials wprowadzamynazwe domeny w ktrej bdzie instalowany RODC i konto uytkownika w kontekcie, ktrego przeprowadzamy instalacj. (Konto to moe by ustalone w trakcie Etapu I i nie musi mie uprawnie administracyjnych w obrbie domeny) Potwierdzamy przyciskiem Next. W oknie Select Domain Controller Account potwierdzamy konto kontrolera RODC znalezione w AD i zgodne z nazw serwera RODC. W oknie Install from Mednia kreator daje nam moliwo instalacji kontrolera na podstawie wykonanej kopii zapasowej ju istniejcego dowolnego kontrolera domeny. (Kopie bazy AD mona wykona z dowolnego kontrolera w oparciu o konsole NTDSUTIL, polecenie ifm). Przyciskiem Next potwierdzamy domyln opcje Replicate data over network from an existing domain controller. W oknie Source Domain Controller wskazujemy kontroler domeny, z ktrego ma nastpi cigniecie replik AD DS, lub pozostawiamy wybr kreatorowi. Potwierdzamy przyciskiem Next. W oknie Location for Database, Log Files, and SYSVOL w ybierz domyln lokalizacje plikw bazy Aktywnych Katalogw, logw i katalogu SYSVOL, potwierd klawiszem Next Wpisz i potwierd haso dla trybu Directory Services Restore Mode, potwierd klawiszem Next

1. 2.

Zaloguj si na konsole serwera RODC na uytkownika z uprawnieniami administracyjnymi. Uruchom z linii polece aplikacje DSMGMT.EXE (kad ponisz operacje potwierd klawiszem ENTER) Local Roles Add NazwaDomeny\NazwaUzytkownika Administrators Quit Quit

5. 6.

Konfiguracja polityki replikacji hase dla kontrolera RODC

Jeeli konfiguracja polityki replikacji hase dla kontrolera RODC nie zostaa zdefiniowana w trakcje instalacji kontrolera mona j skonfigurowa dowolnym momencie po instalacji. Do konfiguracji polityki potrzebne s uprawnienia Domain Admins. Polityka replikacji hase jednoznacznie definiuje, dla jakich uytkownikw domeny, hasa bd replikowane do kontrolera RODC. Domylnie jedynie hasa czonkw grupy Allowe RODC Password Replication Group bd replikowane do RODC (domylnie grupa ta jest grup pust) Sterowanie czonkostwem tej grupy daje moliwo okrelenia zbiorowoci uytkownikw, dla ktrych proces uwierzytelnienia bdzie si opiera wycznie o komunikacje z serwerem RODC. Wskazanie dodatkowych grup uytkownikw i komputerw, ktrych hasa maj by replikowane do RODC wymaga konfiguracji polityki replikacji hase dla RODC. 1. 2. 3. 4. 5. Uruchom konsole Active Directory Users and Computers z uprawnieniami Domain Admins Zaznacz konto kontrolera RODC (domylnie Domain Controllers OU) i wywoaj waciwoci obiektu.(Prawy klik myszki, opcja Properties) Uaktywnij zakadk Password Replication Policy Przyciskiem Add wska obiekty grupy (w trybie Allow). Hasa czonkw tej grupy bd replikowane do RODC. Przyciskiem Add wska obiekty grupy (w trybie Deny). Hasa czonkw tej grupy nie bd replikowane do RODC.

7.

8.

9.

10. W oknie Summary potwierd klawiszem Next 11. Potwierd restart systemu

Delegowanie uprawnie lokalnego Administratora RODC

Domylnie uprawnienia administratora na kontrolerze RODC posiadaj czonkowie grup Domain Admins, Enterprise Admins i grupa (lub konto uytkownika), ktre zostao wskazane w trakcie instalacji RODC (sekcja Delegation of RODC Installation and Administration instalatora DCPROMO). Nadanie uprawnie lokalnego administratora dla dodatkowych operatorw kontrolera RODC mona zrealizowa przy uyciu konsoli DSMGMT.

Uwaga! Wskazujc uytkownikw, ktrych hasa maj by replikowane do RODC naley pamita o kontach komputerw na ktrych ci uytkownicy pracuj. Hasa kont komputerw take powinny by replikowane do RODC, w przeciwnym wypadku komputer operujcy w domenie nie bdzie w stanie potwierdzi swojej tosamoci tylko w oparciu o dostp do kontrolera RODC.

126

127

Reset all password for computer accounts that were cached on this read-only domain controller spowoduje reset hase kont komputerw i wymusi powtrne doczenie ich do domeny.

Rysunek 7. Konfiguracja polityki replikacji hase dla RODC

Domylnie hasa uytkownikw bd replikowane do RODC przy pierwszym uwierzytelnieniu uytkownika. W zakadce Password Replication Policy po wczeniu przycisku Advanced moesz wskaza konta uytkownikw, ktrych hasa maj by natychmiast przereplikowane do RODC (przycisk Prepopulated Passwords...) lub otrzyma informacj dotyczc kont uytkownikw , ktrzy zostali ju uwierzytelnieni przez kontroler RODC (Accounts that have been authenticated to this Read-only Domain Controller) i dla ktrych RODC posiada hasa. (Accounts whose password are stored on this Read-only Domain Controller)

Rysunek 8. Kasowanie konta kontrolera RODC

4.

Potwierd operacje przyciskiem Delete

Reset hase przechowywanych na kontrolerze RODC.

Ponisza procedura powinna by wykonana w sytuacji kiedy kontroler RODC zosta skradziony lub zgubiony. Skasowanie konta kontrolera tylko-do-odczytu i reset hase uytkownikw i komputerw, ktre byy przechowywane na RODC spowoduje e wszelkie prby wycignicia hase z takiego kontrolera bd bezcelowe. 1. Uruchom konsole Active Directory Users and Computers z uprawnieniami Domain Admins 2. Zaznacz konto kontrolera RODC (domylnie Domain Controlersl OU) i rozpocznij procedur usunicia konta RODC.(prawy klik myszki, opcja Delete) 3. W oknie Deleting Active Directory Domain Controllers upewnij si e opcja Reset all password for users that were cached on this read-only domain controller jest zaznaczona. Hasa uytkownikw, ktre byy replikowane do RODC zostan zresetowane. Uytkownik bdzie zmuszony zmieni haso. Zaznaczenie opcji

BitLocker Drive Encryption (BDE) szyfracja dyskw

Do czego i dla kogo?
Bitlocker Drive Encryption (BDE) to funkcjonalno implementowana w systemach Windows Serwer 2008 i Windows Vista, (w wersjach Ultimate i Enterprise) ktra ma za zadanie chroni dane przechowywane na twardych dyskach. Funkcja ta jest szczeglnie atrakcyjna dla pracownikw firmy wykorzystujcych komputery przenone i dla serwerw znajdujcych si w filiach firm gdzie zabezpieczenie pomieszczenia serwerowni moe by niedostateczne. Utrata wanych danych, ujawnienie ich, nieprawidowe wykorzystanie przez osoby trzecie moe by katastrofalne w skutkach dla wielu firm. Szyfracja partycji dyskowych, ktr realizuje BitLocker daje gwarancje poufnoci i bezpieczestwa danych znajdujcych si na chronionych dyskach nawet wtedy kiedy trafi one w niepowoane rce. BitLocker podnosi poziom ochrony danych dziki poczeniu dwch gwnych funkcji skadowych: szyfrowaniu woluminu systemowego oraz sprawdzaniu integralnoci przez

128

129

komponenty uruchamiania systemu. Cay wolumin systemowy jest szyfrowany, cznie z plikami wymiany i hibernacji. BitLocker chroni przed kradzie danych oraz problemami ze zgubionymi, skradzionymi i wyrzuconymi komputerami. BitLocker pomaga rwnie organizacjom w spenianiu wymaga rzdowych, takich jak np. amerykaskie ustawy Sarbanes-Oxley i HIPAA, ktre wymagaj bardzo wysokich standardw zabezpiecze i ochrony danych.

Szyfracja danych
Potrzebne s przynajmniej dwie partycje. Jedna o zalecanej wielkoci 1,5G tzw partycja rozruchowa, ktra pozostanie niezaszyfrowana i na ktrej bdzie przechowywany klucz symetryczny VEK (Volume Encryption Key) sucy do szyfracji i deszyfracji danych na partycji systemowej. BitLocker oferuje nam moliwo uycia klucza 128 lub 256 bitowego zgodnego z algorytmem AES (Advanced Encryption Standard). Naley zdawa sobie spraw, e partycja rozruchowa pozostanie w stanie niezaszyfrowanym, wic umieszczanie tam jakichkolwiek wanych danych jest niewskazane. Druga partycja, to partycja systemowa, ktra bdzie szyfrowana za pomoc klucza VLK (oczywicie istnieje moliwo szyfracji dowolnej iloci partycji) Jeeli decydujemy si na implementacje BitLockera przed instalacj systemu operacyjnego, moliwo stworzenia odpowiednich partycji oferuje nam instalator systemu. Jeeli jednak posiadamy ju zainstalowany system z partycj z danymi, ktra zajmuje cay dysk jestemy zmuszeni j zmniejszy tak aby wygospodarowa przynajmniej 1,5G wolnej przestrzeni dla partycji rozruchowej. Do zmniejszania partycji (rwnie takiej , ktra zawiera ju dane) suy polecenie SHRINK systemowego programu DISKPART. W trybie ju dziaajcego BitLockera, klucz VLK posuy do zaszyfrowania kadego sektora na partycji systemowej zawierajcego dane. Proces ten jest zupenie nie zauwaalny dla uytkownika jak i uruchamianych aplikacji. Sterownik FVE odpowiedzialny za szyfracj sektorw dyskowych jest umieszczony bardzo nisko w systemie operacyjnym i od danych dzieli go tylko Volume Manager i sterowniki dyskowe. FVE dostaje dane, gdy tylko zostan one odczytane i od razu je deszyfruje. Kady inny element systemu, aplikacje operuj ju wycznie na danych rozszyfrowanych. Zapis jest realizowany bardzo podobnie, FVE szyfruje dane tu przed zapisem na dysk. Dane, ktre nie s aktualnie uywane pozostaj w stanie zaszyfrowanym. W trakcje inicjalizacji BitLockera sterownik FVE ma troch wicej pracy. Oprcz obsugi da odczytu i zapisu w trybie rzeczywistym (i tym samym szyfracji danych) FVE szyfruje sektor po sektorze a wszystkie dane niebdce aktualnie uywane zostan zaszyfrowane. Szybko tego procesu w duej mierze jest zaleny od mocy procesora, wielkoci dysku i moe trwa wiele godzin.

Computing Group (http://www.trustedcomputinggroup.org) i jest w tej chwili powszechnie implementowany przez producentw sprztu komputerowego. Zaoeniem twrcw TPMa byo umieszczenie sprztowego moduu kryptograficznego na pycie gwnej komputera, ktry bdzie wykonywa operacje kryptograficzne i dostarcza powszechnie uywanych algorytmw (midzy innymi RSA, SHA-1, HMAC i AES) jednoczenie gwarantujc ich bezpieczestwo. TPM jest rwnie wstanie wyliczy sum kontroln z aktualnie wykonywanego kodu przez procesor w postaci tzw. cigw SRK (Storage Root Key) Ta funkcjonalno jest wykorzystywana przez BitLockera, ktry da od TPMa (w momencie uruchamiania komputera) sumy kontrolnej policzonej z kodu sekwencji startowej. Tak wyliczony SRK przez modu TPM pozwala na wygenerowania klucza VMK (Volume Master Key), ktry posuy do deszyfracji klucza VLK. TPM nie przetrzymuje cigu SRK, wylicza go kadorazowo przy starcie komputera. Oznacza to e jeeli kod startowy ulegnie zmianie (np: dysk zostanie przeoony do innego komputera, zmiana modu TPM, utrata integralnoci, zmiany plikw startowych, zmiany w Master Boot Records lub sektorach startowych) wyliczony SRK nie bdzie mg by uyty do prawidowej deszyfracji klucza VEK i tym samym prawidowego startu systemu operacyjnego. Naley zwrci uwag, e proces ten moe by cakowicie transparentny dla uytkownika uruchamiajcego komputer o ile oczywicie TPM pracuje w znanym otoczeniu. Dodatkow ochron tego mechanizmu moe by wymuszenie podania PINu skadajcego si od 4 do 20 cyfr, ktry posuy do prawidowego wyliczenia i uycia SRK (opcja TPM with PIN) lub dostarczenie odpowiedniego klucza startowego (startup key) na noniku USB (opcja TPM with USB) Druga metoda pozwala na uycie BitLockera bez moduu TPM. Klucz startowy (startup key) musi by umieszczony na napdzie USB i kadorazowo przy starcie systemu bdzie stamtd pobierany aby BitLocker mg prawidowo dokona deszyfracji VLK i tym samym deszyfrowa dane na partycji systemowej.

Sytuacje awaryjne
Pozostaje pytanie, co si stanie jeeli administrator wgra now wersje BIOSu, lub zmieni pliki startowe instalujc atki systemowe bd w jakikolwiek (oczywicie suszny) dokona modyfikacji sekwencji startowej tak, e wyliczony SRK nie bdzie dawa moliwoci prawidowej deszyfracji klucza VLK ? Twrcy BitLockera przewidzieli tak sytuacj. Administrator ma moliwo posuenia si 48 cyfrowym kluczem (recovery password), ktry jest wpisywany z klawiatury komputera, jeeli system nie jest w stanie odszyfrowa klucza VLK. W praktyce oznacza to, e klucz VLK moe by szyfrowany wielokrotnie rnymi mechanizmami i wiele jego chronionych kopii moe istnie na partycji startowej. Inn metod jest wygenerowanie tzw. recoyery key w trakcie inicjalizacji BitLockera i w sytuacji awaryjnej dostarczenie go systemowi na napdzie USB.(klucze te mog by rwnie przetrzymywane w aktywnych katalogach, lub w postaci plikw) Jeeli administrator przewiduje operacj, ktra zmieni kod sekwencji startowej moe wygenerowa tzw. clear key, ktry w stanie jawnym jest skadowany na partycji startowej na czas realizowanej operacji (np: wgranie nowej wersji BIOS, instalacja service pack). Oczywicie w tym czasie sprawdzanie poprawnoci, integralnoci sekwencji startowej jest czasowo wyczona.

Ochrona klucza VEK

Klucz VEK, ktry suy do szyfracji partycji dyskowych jest przechowywany na partycji rozruchowej (niezaszyfrowanej). Klucz VEK moe by zaszyfrowany i tym samym chroniony w oparciu o jeden z dwch mechanizmw. Pierwszy i zalecany, opiera si o wykorzystanie moduu sprztowego TPM w wersji 1.2 (Trusted Platform Module). Modu TPM zosta opracowany przez organizacj Trusted

130

131

Szyfracja dodatkowych dyskw

Obecnie interfejs graficzny BitLockera nie daje moliwoci szyfracji dyskw innych ni systemowy. Szyfracja partycji innych ni partycja systemowa (w tym rwnie partycji systemowej) jest moliwe poprzez uruchomienie skryptu manage-bde.wsf z odpowiednimi parametrami linii polece (plik ten znajduje si w folderze system32 katalogu systemowego). Klucze VEK szyfrujce dodatkowe partycje mog by przechowywane w rejestrze systemu operacyjnego (opcja zalecana, partycje dodatkowe s automatycznie deszyfrowane po deszyfracji partycji systemowej) lub zabezpieczone i zoone na noniku USB. Najistotniejszym parametrem linii polece skryptu jest parametr h, ktry dostarczy nam informacje pomocy na temat pozostaych parametrw. Oto niektre z nich: status wywietla biece informacje na temat dyskw. W informacjach tych znajduj si dane na temat rozmiaru partycji, postpu szyfrowania, stosowanego algorytmu oraz dane o sposobie zaszyfrowania VEK. on wcza szyfrowanie dla wybranego dysku. Opcja ta pozwala na wybranie algorytmu szyfrowania i wybranie metody, ktr wyliczany jest VEK. off rozszyfrowuje wskazany dysk pause i resume wstrzymywanie i wznawianie procesu szyfrowania dysku lock i unlock wcza i wycza dostp do dysku w systemie. Domylnie, po restarcie wszystkie niesystemowe dyski s w stanie lock i trzeba podajc klucz je wczy, eby mc z nich skorzysta autounlock umoliwia zapisanie klucza w rejestrze, przez co dysk ma automatycznie wykonywan operacj unlock przy kadym starcie systemu. Jest to w praktyce bardzo uyteczna funkcjonalno protectors zarzdza kluczami pozwalajcymi rozszyfrowa VEK. Dziki tej opcji moliwe jest dodanie dowolnej iloci kluczy liczbowych i plikowych dla kadego zabezpieczanego dysku.

Znajdziemy tam siedem polityk, ktre pomog skonfigurowa BDE zgodnie z przyjtymi zaoeniami. 1. Turn on BitLocker Backup to Active Directory Services - politka umoliwia archiwizacj hasa odzyskiwania (recovery password) i kluczy do AD 2. Control Panel Setup: Configure recover folder wskazanie domylnej lokalizacji przechowywania hasa odzyskiwania. Przy uruchomieniu kreatora szyfracji i wyborze opcji Save the password in a folder wskazana siceka dostpu, pojawi si automatycznie. 3. Control Panel Setup: Configure recover Options konfiguracja metod odzyskiwania. Do wyboru moliwo uycia hasa odzyskiwania i (lub) klucza odzyskiwania (na noniku USB) 4. Control Panel Setup: Enabled advanced startup options moliwo definicji opcji zaawansowanych w kreatorze Bitlockera. Domylnie kreator proponuje jedynie sprawdzanie sekwencji startowej w oparciu o modu TPM. Plityka pozwala na moliwo dodatkowego wyboru pomidzy powysz opcja a opcjami TPM with PIN, TPM with USB. 5. Configure encryption method Domylnym algorytmem szyfrowania danych jest AES 128bit. Polityka daje moliwo wczenia trybu AES 256bit (dodatkowo moliwo wczenia lub wyczenia dyfuzora) 6. Prevent memory overwrite on restart zapobieganie czyszczenia pamici RAM z danych poufnych umieszczonych tam prze BiltLockera w trakcie restartu. 7. Configure platform validation profile polityka definiuje element startowe, ktre s sprawdzane przez TPM w trakcie rozruchu komputera.

Wymagania sprztowe
komputer speniajcy minimalne wymagania dla Windows Serwer 2008 ( Windows Vista Enterprise lub Ultimate) mikrochip TPM, wersja 1.2, wczony (dla opcji z TPM), BIOS speniajcy standardy organizacji Trusted Computing Group (TCG) (dla opcji z TPM), dwie partycje NTFS na dysku, jedna na wolumen systemowy, a druga na wolumen startowy. Partycja systemowa musi mie co najmniej 1,5 GB i by partycj aktywn, ustawienia BIOSu wskazujce na dysk twardy, jako pierwsze urzdzenie startowe, nie na napdy USB czy CD.

W praktyce uycie skryptu manage-bde.wsf jest o wiele bardziej efektywna ni uycie interfejsu graficznego BDE.

Konfiguracja BDE poprzez GPO (Group Policy Object)

Zestaw polityk konfiguracjucych BitLockera znajduje si w kadym obiekcie GPO definiowanym w obrbie Aktywnych Katalogw. Lokalne GPO rwnie posiadaj definicje polityk wspierajcych BDE. W obu przypadkach naley otworzy kontekst: Computer Configuration\Administrative Templates\Windows Componets\BitLocker Drive Encryptions

Uwaga: Przy kadym tecie z napdem flash USB, BIOS musi wspiera odczyt flash USB przy starcie systemu.

132

133

Partycjonowanie dysku bez systemu operacyjnego pod ktem funkcji BitLocker

Podczas tej procedury naley uruchomi komputer z DVD Windows serwew 2008, a nastpnie wprowadzi seri komend, aby wykona nastpujce czynnoci: utworzy now partycj o rozmiarze 1,5 GB, oznaczy t partycj jako aktywn, utworzy drug partycj podstawow, wykorzystujc pozostae miejsce na dysku, sformatowa obie nowe partycje, aby mogy by wykorzystane jako wolumeny Windows, zainstalowa Windows Serwer 2008 na wikszym wolumenie (dysk C).

11. Wpisz assign letter=D aby nada tej partycji oznaczenie D. 12. Wpisz active, aby ustawi now partycj jako aktywn. 13. Wpisz create partition primary, aby utworzy inn partycj systemow. Bdziesz instalowa Windows na tej wikszej partycji. 14. Wpisz assign letter=C aby nada tej partycji oznaczenie C. 15. Wpisz list volume, aby zobaczy list wszystkich wolumenw na dysku. 16. Wpisz exit, aby opuci aplikacj diskpart. 17. Wpisz format c: /y/q/fs:NTFS, aby prawidowo sformatowa wolumen C. 18. Wpisz format s: /y/q/fs:NTFS, aby prawidowo sformatowa wolumen D. 19. Wpisz exit, aby opuci wiersz polece. 20. W oknie System Recovery Options, uyj ikony zamykania okna w grnym prawym rogu (lub nacinij ALT+F4), aby zamkn okno i powrci do gwnego ekranu instalacyjnego. 21. Kliknij na Install now i kontynuuj proces instalacji systemu Windows Server 2008.

Aby spartycjonowa dysk bez systemu operacyjnego dla BitLocker: 1. 2. Uruchom komputer z pyty DVD z systemem Windows Serwer 2008. Na pocztkowym ekranie Install Windows, wybierz Installation language, Time and currency format oraz Keyboard layout (jzyk instalacji, format czasu i waluty, ukad klawiatury), a nastpnie kliknij Next. Na kolejnym ekranie Install Windows, kliknij opcj System Recovery Options (opcje odzyskiwania systemu) umiejscowione w lewym dolnym rogu ekranu. W oknie dialogowym System Recovery Options, wybierz swj ukad klawiatury, a nastpnie kliknij Next. W kolejnym oknie dialogowym System Recovery Options upewnij si, e nie zosta wybrany aden system operacyjny. Aby to zrobi, kliknij w pustym obszarze listy Operating Systems, poniej wszystkich wymienionych pozycji. Nastpnie kliknij Next. W kolejnym oknie dialogowym System Recovery Options, kliknij na Command Prompt. Uyj funkcji Diskpart do stworzenia partycji na wolumen startowy. W wierszu polece wpisz diskpart, a nastpnie wcinij ENTER. Wpisz select disk 0. Wpisz clean, aby wymaza istniejc tablic partycji.

Wczanie funkcji BitLocker Drive Encryption (BDE)

Przed wczeniem BitLockera naley go doinstalowa (Bitlocker instalowany jest jako funkcjonalno z konsoli Server Manager). Przed wykonaniem poniszej operacji mona rwnie dokona jednorazowej inicjalizacji moduu TPM poprzez konsole TPM.msc.(oczywicie jeeli pyta gwna naszego komputera jest wyposaona w modu TPM). (http://technet2.microsoft. com/WindowsVista/en/library/29201194-5e2b-46d0-9c77-d17c25c56af31033. mspx?mfr=true) Procedura zakada wykorzystanie opcji zaawansowanych wczanych w polityce Control Panel Setup: Enabled advanced startup options Dla BDE bez moduu TPM, pomi punkty 4 i 5. Dla BDE z moduem TPM, pomi punkty 6 i 7.

3. 4. 5.

6. 7. 8. 9.

1. 2.

10. Wpisz create partition primary size=1500 , aby utworzy partycj, ktra bdzie partycj rozruchow.

Kliknij przycisk Start, nastpnie opcj Control Panel i opcj BitLocker Drive Encryption. Na stronie BitLocker Drive Encryption, kliknij opcj Turn On BitLocker na wolumenie systemowym.

134

135

Jeli TPM nie jest uruchomiony, zobaczysz kreator Initialize TPM Security Hardware. Postpuj zgodnie ze wskazwkami, aby uruchomi TPM, a nastpnie zrestartuj komputer. (moesz dokona inicjalizacji moduu TPM wczeniej poprzez konsole TPM.msc) 3. 4. W oknie potwierdzajcym uycie BDE wybieramy opcj Continue with Bitlocker Drive encryption. (Tylko z TPM) Jeeli uywamy moduu TPM, kolejne okno kreatora daje nam wybr metody weryfikacji sekwencji startowej.

5.

(Tylko z TPM) W kolejnym kroku kreatora naley wprowadzi PIN. (sekwencja od 4 do 20 cyfr) Zdefiniowany PIN bdzie musia by wprowadzany przy kadym starcie systemu.

Opcja ta pojawia si tylko dla komputerw wyposaonych w modu TPM. Dostpne s trzy tryby startowe: Use BitLocker without additional keys (opcja only TPM) Require PIN at every startup (opcja TPM with PIN) Require startup USB at every startup (opcja TPM with USB)

Dalsza procedura zakada, e operator wybra najpopularniejsz i najbezpieczniejsz opcj ochrony serwerw w filiach firm opcje TPM with PIN. Uwaga: Jeeli w danej lokalizacji nie istnieje adna jednostka IT naley si zastanowi na wyborem opcji only TPM
Rysunek 10. Konfiguracja BDE. Definiowanie PINu.

6.

(Bez TPM) W oknie Set BitLocker Startup Preferences zanacz opcje Require Startup USB Key at every startup. Jest to jedyna opcja dostpna dla komputerw nieposiadajcych moduu TPM. Klucz startowy musi by dostarczany na napdzie USB przy kadym restarcie systemu. (Bez TPM) W oknie Save your Startup Key zanacz lokalizacj napdu USB i nacinij przycisk Soave Na stronie Save the recovery Password (zapisz haso odzyskiwania) zobaczysz nastpujce opcje: Save the password on a USB Drive. Zapisuje haso na napdzie flash USB. Save the password In a folder. Zapisuje haso na dysku sieciowym lub w innej lokacji. Sprint the password. Drukuje haso.

7. 8.

Rysunek 9. Konfiguracja BDE. Opcje startowe.

136

137

Rysunek 12. Konfiguracja BDE. Proces szyfracji.

Rysunek 11. Konfiguracja BDE. Haso odzyskiwania.

Przeprowadzenie tej procedury oznacza, e wolumen startowy zosta zaszyfrowany i utworzono dla niego unikalne haso odzyskiwania. Kolejne logowania bd przebiegay bez widocznych rnic. Jeli TPM si zmieni lub bdzie niedostpny, zmieni si kluczowe pliki systemu, lub jeli kto bdzie prbowa uruchomi komputer z innego nonika aby omin system operacyjny, komputer przeczy si w tryb odzyskiwania a do podania hasa odzyskiwania.

Uyj co najmniej jednej z tych opcji, aby zachowa haso odzyskiwania. Dla kadej opcji zaznacz j i postpuj zgodnie z instrukcj kreatora, aby wybra miejsce przechowywania hasa odzyskiwania lub jego sposb wydruku. 9. Kiedy skoczysz zapisywanie hasa odzyskiwania, kliknij Next?

Porcedura odzyskiwania dostpu do danych przy uyciu Bitlocker Drive Encryption (BDE)
Jeeli kod startowy uleg zmianie, napd wykorzystywanego nonika USB z kluczem startowym uleg uszkodzeniu lub PIN zosta zapomniany, naley uy poniszej procedury do poprawnego startu systemu operacyjnego. 1. Wcz komputer 2. Jeeli sekwencja startowa nie bdzie poprawna, start komputera zostanie zablokowany i pojawi si okno BitLocker Drive Encryption Recovery Console. W nonik USB zawierajcy haso odzyskiwania (recover password) i nacinij klawisz ESC. Komputer zrestartuje si automatycznie. 3. Jeeli nie posiadasz nonika USB z hasem odzyskiwania nacisnij ENTER. 4. Wprowad haso odzyskiwania z klawiatury (48 cyfr) i nacinij ENTER (jeeli nie znasz hasa odzyskiwania nacinij ENTER dwukrotnie i wycz komputer) Jeeli zapisae haso odzyskiwania w pliku na innym typie nonika ni USB lub na katalogu udostpnionym, poszukaj pliku ktry nazywa si tak samo jak cig numeryczny Password ID wywietlany na konsoli zablokowanego komputera. Otwrz plik, zczytaj haso odzyskiwania i wprowad w konsoli BitLocker Drive Encryption Recovery Console.

Wane: Haso odzyskiwania (recover password) bdzie wymagane w wypadku, gdy trzeba bdzie przenie zaszyfrowany dysk do innego komputera lub wprowadzi zmiany w informacjach startowych. To haso jest tak wane, e zaleca si wykonanie jego dodatkowych kopii przechowywanych w bezpiecznym miejscu, eby zapewni sobie dostp do swoich danych. Haso odzyskiwania bdzie potrzebne do odszyfrowania zaszyfrowanych danych na wolumenie, jeli BitLocker zablokuje komputer. 10. W oknie Encrypt the selected disk volume, upewnij si, e jest zaznaczone pole wyboru Run BitLocker System Check, a nastpnie kliknij przycisk Continue. 11. Potwierd, e chcesz uruchomi ponownie komputer, klikajc na Restart Now. Komputer uruchamia si ponownie i BitLocker sprawdza, czy komputer jest z nim kompatybilny i gotowy do szyfrowania. Jeli nie, zobaczysz komunikat bdu, informujcy o problemie. 12. Kiedy dysk bdzie gotowy do szyfrowania, pojawi si pasek stanu Encryption in Progress. Moesz ledzi postp szyfrowania dysku przez przecignicie kursora myszki na ikon BitLocker Drive Encryption na pasku narzdzi na dole ekranu.

138

139

Wyczanie funkcji Bitlocker Drive Encryption (BDE)

1. 2. 3. Kliknij przycisk Start, nastpnie opcj Control Panel i opcj BitLocker Drive Encryption. Na stronie BitLocker Drive Encryption, kliknij opcj Turn Off BitLocker na wolumenie systemowym. W oknie What level of decryption do you want wybierz, Disable BitLocker Drive Encryption lub Decrypt the volume.

Receive Window Auto-Tuning (automatyczne dostrajanie okna odbiorczego). Funkcja ta optymalizuje rozmiar okna odbiorczego osobno dla kadego nawizanego poczenia, mierzc iloczyn: pasmo-opnienie (bandwidth-delay product, BDP) oraz wspczynnik retrieval rate komunikujcej si aplikacji, ktry jest negocjowany w trakcie inicjalizacji poczenia. Wykorzystanie pasma sieci podczas transferw danych ronie wraz ze wzrostem przepywnoci midzy komunikujcymi si aplikacjami. Gdyby wszystkie aplikacje byy zoptymalizowane z punktu widzenia odbioru danych przesyanych protokoem TCP, to oglne wykorzystanie sieci mogoby si znacznie zwikszy.

Funkcja Compound TCP

Windows Serwer 2008 NetIO

Wstp
Jedn z podstawowych zmian odrniajcych nowy system Windows Serwer 2008 od jego poprzednikw jest implementacja nowego stosu TCP/IP. (Next Generation TCP/IP) Liczne ulepszenia, nowe funkcjonalnoci, obsuga protokou IPv6, nowa wersja protokuu SMB (SMB 2.0) powoduj zwikszenie szybkoci i stabilnoci transmisji danych. TCP/IP nowa generacja Protok IPv6 Kontrola jakoci pocze (QoS) Zapora systemu Windows serwer 2008

O ile automatyczne dostrajanie okna odbiorczego optymalizuje przepustowo po stronie odbiorcy, to funkcja Compound TCP (CTCP) stosu TCP/IP nastpnej generacji optymalizuje przepustowo po stronie nadawcy. Wsppracujc, obie funkcje mog doprowadzi do znacznie lepszego wykorzystania cza. Dla pocze TCP, ktre wykorzystuj due okna odbiorcze i gdzie parameter BDP jest stosunkowo duy, funkcja Compund TCP umoliwia agresywnie zwikszenie iloci danych wysyanych w porcji danych. W testach wykonanych wewntrznie w firmie Microsoft okazao si, e czas zapisu duego pliku kopii zapasowej przez cze o pamie 1 Gb/s i czasie RTT (round-trip) 50 ms spad prawie o poow..

Zwikszona przepustowo transmisji danych

Stos TCP/IP nastpnej wykorzystuje nastpujce algorytmy majce na celu zoptymalizowania przepustowoci w rodowiskach o wysokich stratach. O to najwaniejsze z nich: RFC 2582: Modyfikacja NewReno algorytmu Fast Recovery. Nowy algorytm NewReno zapewnia wiksz przepustowo dziki zmienionemu sposobowi, na jaki nadawca moe zwikszy tempo nadawania w sytuacji, gdy w oknie danych tracone s liczne segmenty i nadawca otrzymuje tylko czciowe potwierdzenia (potwierdzenie tylko danych pomylnie otrzymanych). RFC 2883: Poszerzenie opcji Selective Acknowledgement (SACK) dla TCP. Zdefiniowana w RFC 2018 opcja SACK pozwala odbiorcy potwierdzi maksymalnie 4 niessiadujce bloki nadesanych danych. W zaleceniu RFC 2883 zdefiniowano dodatkowe uycie pl opcji SACK TCP dla potwierdzania ponownie otrzymanych pakietw. Pozwala to odbiorcy segmentu TCP z opcj SACK okreli, kiedy niepotrzebnie wysa ponownie jaki segment i stosownie do tego dopasowa swe przysze zachowanie, aby unikn dublowania. Im mniej niepotrzebnych ponownych transmisji, tym lepsza przepustowo sieci. RFC 3517: Algorytm Loss Recovery dla TCP oparty o Conservative Selective Acknowledgment (SACK).

TCP/IP nowa generacja

Systemy Windows Serwer 2008 i Windows Vista posiadaj now architektur stosu protokou TCP/IP. Stos nowej generacja TCP/IP (Next Generation TCP/IP) oferuje funkcjonalnoci i wydajno transmisji danych, ktra nie bya osigalna w poprzednich systemach Windows. Cakowicie przeprojektowana funkcjonalno dotyczy zarwno wersji protokou IPv4, jak i IPv6. Nowe rozwizania speniaj jakociowe wymagania nawet bardzo zrnicowanych rodowisk i technologii sieciowych. Wprowadzono nastpujce zmiany i ulepszenia w protokole TCP/IP :

Automatyczne dostrajanie okna odbiorczego (Receive Window Auto-Tuning)

Rozmiar okna odbiorczego TCP to porcja danych, TCP jak odbiorca pozwala wysya nadawcy bez potrzeby potwierdzenia ich odbioru. W celu optymalizacji tego rozmiaru zalenie od biecych warunkw panujcych w czu, stos TCP/IP nowej generacji wykorzystuje funkcj

140

141

Implementacja stosu TCP/IP w systemie Windows Server 2003 oraz w Windows XP wykorzystuje informacje SACK tylko do okrelenia tych segmentw TCP, ktre nie dotary do miejsca przeznaczenia. W zaleceniu RFC 3517 zdefiniowano metod wykorzystywania tych informacji take do odzyskiwania utraconych pakietw w momencie, gdy pojawio si potwierdzenie duplikatu, zastpujcego algorytm szybkiego odzyskiwania wtedy, kiedy w danym poczeniu uaktywniona jest funkcja SACK. Stos TCP/IP nastpnej generacji przechowuje informacje SACK dla kadego poczenia z osobna i monitoruje nadchodzce potwierdzenia pakietw oraz potwierdzenia duplikatw, aby mc szybciej odtworzy dane w sytuacji, gdy do miejsca przeznaczenia nie dotaro wiele pakietw. RFC 4138: Algorytm Forward RTO-Recovery (F-RTO): wykrywanie w poczeniach TCP przekrocze czasu zbdnych ponownych transmisji (Spurious Retransmission Timeouts) i protok Stream Control Transmission (SCTP). Zbdne ponowne transmisje segmentw TCP mog zdarzy si wtedy, gdy wystpi nagy chwilowy wzrost czasu RTT. Algorytm F-RTO zapobiega zbdnej ponownej transmisji segmentw TCP. Nawet w rodowiskach, w ktrych wystpi nagy chwilowy wzrost RTT (np. kiedy jaki bezprzewodowy klient przemieci si z jednego punktu dostpu do innego punktu dostpu), algorytm F-RTO zapobiegnie niepotrzebnej, ponownej transmisji segmentw i spowoduje szybszy powrt do normalnego tempa nadawania

z routerw zawierajcych MTU nastpnego ogniwa. Jednake w niektrych przypadkach routery poredniczce ignoruj te pakiety, ktre nie mog by fragmentowane. Takie routery s znane, jako czarne dziury. Ponadto routery poredniczce mog gubi komunikaty ICMP ze wzgldu na reguy skonfigurowane na zaporach firewall. W wyniku ignorowania duych segmentw oraz gubienia komunikatw ICMP poczenia TCP mog by przerywane wskutek przekroczenia czasu. Funkcja wykrywania routerw PMTU, dziaajcych jak czarne dziury, wskazuje ponowne transmisje duych segmentw TCP i automatycznie dopasowuje PMTU danego poczenia zamiast polega na odbiorze komunikatw Destination Unreachable-Fragmentation Needed oraz Dont Fragment (DF) Set protokou ICMP.Stos TCP/IP w systemach Windows Server 2003 i Windows XP mia standardowo wyczon t funkcj, poniewa zwikszaa ona maksymaln liczb retransmisji wykonywanych w danym segmencie sieci. Natomiast w stosie nastpnej generacji jest ona standardowo wczona, aby zapobiec przedwczesnemu zrywaniu pocze TCP.

Separacja tablicy routingu (Routing compartments)

Wykrywanie niedostpnoci ssiadw w ruchu IPv4

Aby zapobiec niepodanemu przekazywaniu ruchu pomidzy interfejsami wirtualnych sieci prywatnych (VPN), stos TCP/IP nastpnej generacji obsuguje separacj tablicy routingu (routing compartments). Podzia tablicy routingu to poczenie zestawu interfejsw VPN z sesj logowania, ktra operuje swymi wasnymi tabelami routingu IP. Ten sam komputer moe mie wiele wzajemnie izolowanych podziaw tablicy routingu, jednak kady interfejs moe nalee tylko do jednego przedziau. Gdy uytkownik systemu Windows XP zainicjuje poczenie VPN przez Internet z jak sieci prywatn, jego komputer bdzie czy si zarwno z Internetem, jak i z intranetem, manipulujc pozycjami w tabeli routingu IPv4. W niektrych sytuacjach moe zaistnie moliwo przekazywania ruchu z Internetu przez zestawiony kana VPN do prywatnego intranetu. Natomiast w przypadku klientw VPN obsugujcych podzia tablicy routingu, stos TCP/IP nastpnej generacji odizoluje czno z Internetem od cznoci z prywatnym intranetem stosujc osobne tabele routingu IP.

Neighbor Unreachability Detection to funkcja protokou IPv6: wzy sieci cigle sprawdzaj, czy ssiednie wzy s dostpne, przez co mona szybciej wykrywa bdy i omija je w sytuacji, gdy ktry z wzw nagle stanie si niedostpny. Stos TCP/IP nastpnej generacji wspiera t funkcj take dla ruchu IPv4 poprzez ledzenie stanu ssiadw IPv4 i zapamitywanie go w pamici podrcznej routingu IPv4. Funkcja weryfikuje, czy ssiedni wze jest dostpny, wymieniajc z nim komunikaty ARP (Address Resolution Protocol) Request i ARP Reply albo posikuje si w tym celu protokoami wyszych warstw, np. TCP.

Wykrywanie nieaktywnych bram

W stos TCP/IP systemw Windows Server 2003 i Windows XP wbudowano funkcj wykrywania i omijania nieaktywnych bram (fail-over), ale nie posiadaj one waciwoci fail-back, tj. funkcji okresowego weryfikowania, czy nieaktywna brama nie zacza ponownie dziaa. Stos TCP/IP nastpnej generacji oferuje tak kontrol: okresowo podejmuje prby wysania pakietw TCP przez bram, ktra zostaa uprzednio zakwalifikowana, jako niedostpna. Jeli ktra z takich prb zakoczy si pomylnie, stos z powrotem przeczy ruch TCP na t bram, jako bram standardow. Funkcja fail-back moe zaowocowa wiksz przepustowoci, jeli ruch wrci do podstawowej bramy w danej podsieci.

Network Diagnostics Framework

Network Diagnostics Framework to bogata platforma, majca za zadanie wspiera uytkownikw w diagnozowaniu problemw sieciowych i przywracaniu dziaania sieci. W przypadku diagnozowania problemw w poczeniach TCP/IP platforma zadaje uytkownikowi seri pyta eliminujcych poszczeglne moliwe przyczyny, a przyczyna problemu zostanie zdiagnozowana albo wszystkie moliwoci zostan wyczerpane. Platforma Network Diagnostics Framework moe diagnozowa nastpujce kwestie, odnoszce si do komunikacji TCP/IP: niepoprawny adres IP niedostpna standardowa brama (router)

Wykrywanie routerw PMTU dziaajcych jako Black hole (czarne dziury)

Wykrywanie jednostek PMTU (Path Maximum Transmission Unit) wedug definicji w dokumencie RFC 1191 polega na odbiorze komunikatw Destination Unreachable-Fragmentation Needed oraz Dont Fragment (DF) Set protokou ICMP (Internet Control Message Protocol)

142

143

niepoprawna standardowa brama niepowodzenie przy okrelaniu nazwy NetBIOS over TCP/IP (NetBT) niepoprawne ustawienia DNS zajty port lokalny nie pracuje klient DHCP brak odlegego odbiorcy odczone media zablokowany port lokalny za mao wolnej pamici

Protoko IPv6
Wraz ze stosem TCP/IP nastpnej generacji wprowadzono nastpujce modyfikacje protokou IPv6

Domylnie wczona obsuga protokou IPv6

W systemach Windows Server 2008 i Windows Vista obsuga protokou IPv6 jest domylnie wczona.. Protokou IPv6 nie mona odinstalowa, mona go jedynie wyczy. Konfiguracja Ipv6 jest dokonywana poprzez interfejs graficzny (kontekst Network Connections) lub polecenie netsh.

Podwjny stos IP

Obsuga statystyk ESTATS

Stos TCP/IP nastpnej generacji obsuguje architektur z dwoma warstwami IP, w ktrej implementacja IPv4 dzieli z implementacj IPv6 wspln warstw transportow (obejmujc TCP i UDP) oraz warstw definiujc ramki. Obie implementacje IPv4 i IPv6 s w stosie TCP/ IP nastpnej generacji standardowo wczone i nie trzeba instalowa adnego osobnego komponentu, aby uzyska dostp do obsugi IPv6.

Stos TCP/IP nastpnej generacji obsuguje przedoon przez Internet Engineering Task Force propozycj TCP Extended Statistics MIB, w ktrej zdefiniowano poszerzone dane statystyczne obrazujce prac TCP. Analizujc statystyki ESTATS, dotyczce poczenia mona okreli, co jest wskim gardem w tym poczeniu: aplikacja wysyajca, aplikacja odbierajca, czy te cza. Zapisywanie statystyk ESTATS jest domylnie wyczone, funkcj mona wczy dla wykonania konkretnego poczenia. W oparciu o statystyki ESTATS niezaleni dostawcy oprogramowania (ISV) mog tworzy narzdzia do diagnostyki i analizy przepustowoci sieci.

Modernizacja adresacji Teredo

Windows Filtering Platform

Windows Filtering Platform (WFP) to nowa platforma stosu TCP/IP nastpnej generacji udostpniajca niezalenym dostawcom oprogramowania (ISV) interfejsy programistyczne API tak, e mog oni uczestniczy w podejmowaniu decyzji dotyczcych filtrowania pakietw na kilku poziomach stosu protokow TCP/IP oraz w kilku miejscach systemu operacyjnego. W platformie zintegrowano obsug takich cech zapr firewall nastpnej generacji jak czno uwierzytelniana czy dynamiczne konfigurowanie zapr uzalenione od wykorzystania przez aplikacje interfejsu Windows Sockets API (zasady uzalenione od konkretnych aplikacji). Uywajc platformy, dostawcy oprogramowania mog tworzy zapory, oprogramowanie antywirusowe, diagnostyczne, inne aplikacje i usugi. Zapora Windows Firewall oraz protok IPsec w systemach Windows Server 2008 i Windows Vista korzystaj z WFP API.

Technika Teredo umoliwia prac poprzez translatory adresw sieciowych (NAT) aplikacjom IPv6, wymagajcym dopuszczenia nie zamawianego ruchu przychodzcego i globalnego adresowania, np. aplikacjom klasy peer-to-peer. Gdyby takie aplikacje posugiway si protokoem IPv4, wymagayby rcznego skonfigurowania translatora NAT bd nawet w ogle nie mogyby pracowa bez modyfikacji protokou sieciowego. Obecnie technika Teredo ma zastosowanie w przypadku, kiedy klient Teredo znajduje si za translatorem adresw sieciowych NAT lub wiksz ich liczb. NAT mapuje w ruchu wychodzcym ten sam wewntrzny (prywatny) adres sieciowy i numer portu na rne zewntrzne (publiczne) adresy oraz porty, zalenie od zewntrznego adresu docelowego. Takie nowe zachowanie pozwala Teredo poczy przez Internet wiksz grup hostw.

Zintegrowana obsuga protokou IPsec

W systemach Windows Server 2008 i Windows Vista w aspekcie IPsec ruch IPv6 jest obsugiwany tak samo, jak ruch IPv4, cznie z obsug Internet Key Exchange (IKE) i szyfrowaniem transmisji danych. Zapora Windows Firewall z Advanced Security oraz IP Security Policies obsuguje teraz konfigurowanie zasad IPsec dla ruchu IPv6 podobnie, jak dla ruchu IPv4. Integracja protoku IPSec ze stosem IPv6, ulepszenia wprowadzone w formach uwierzytelnienia umoliwia tw implementacje bezpiecznej sieci i izolacje wybranych zasobw.

Funkcja Explicit Congestion Notification.

Gdy okae si, e jaki segment TCP zosta utracony, protok TCP przyjmuje, e zosta on utracony wskutek toku na routerze i przystpuje do kontroli zatoczenia, w wyniku, czego tempo nadawania danych moe radykalnie spa. Jeli w obu komunikujcych si aplikacjach TCP i w routerach uaktywni si funkcja ECN (Explicit Congestion Notification), zatoczone routery bd stosownie oznacza pakiety przed przekazaniem ich dalej. Aplikacja TCP, otrzymujca tak oznakowane pakiety da obnienia tempa transmisji po to, aby rozadowa tok i zapobiec utracie segmentw. Moliwo wykrycia natoku, zanim zdarzy si utrata pakietu, zwiksza ogln przepustowo pomidzy komunikujcymi si aplikacjami TCP. Funkcja ECN jest domylnie wyczona.

Protok Multicast Listener Discovery v2

Protok Multicast Listener Discovery, , v2 (MLDv2)wyspecyfikowany w RFC 3810, obsuguje ruch grupowy (wieloemisyjny) zalenie od nadawcy. Protok MLDv2 jest ekwiwalentem Internet Group Management Protocol, v3 (IGMPv3) dla IPv4.

Link-Local Multicast Name Resolution

Technika Link-Local Multicast Name Resolution (LLMNR) pozwala hostom IPv6 i IPv4 pracujcym w tej samej podsieci, okreli wzajemnie swe nazwy bez uycia serwera DNS.

144

145

IPv6 przez PPP

Wbudowany klient zdalnego dostpu obecnie obsuguje zdefiniowany w RFC 2472 protok IPV6CP (IPv6 Control Protocol), sucy do konfigurowania wzw IPv6 w czach PPP (Point-toPoint Protocol). Natywny ruch IPv6 moe by, wic teraz przesyany poczeniami PPP. Obsuga IPV6CP pozwala na przykad poczy si z dostawc Internetu operujcym adresacj IPv6 przez cze wydzwaniane lub przez cze PPPoE (PPP over Ethernet), ktre mona wykorzysta do szerokopasmowego dostpu do Internetu

Group Policy Management Console. Mechanizm pozwala na wprowadzenie rnych polityk dla rnych aplikacji w obrbie caej lub tylko czci korporacji. Zarzdzajc wykorzystaniem pasma sieci, administrator moe skonfigurowa zasady QoS, limitujce tempo nadawania ruchu wychodzcego z sieci. Taki limit spowoduje ograniczenie zagregowanej iloci danych wychodzcych z sieci do wyspecyfikowanego poziomu. Aby ustali priorytet dostarczania, pakiety danych mog by oznaczane odpowiednio skonfigurowan wartoci DSCP (Differentiated Services Code Point). Routery pracujce w infrastrukturze sieciowej bd segregowa pakiety wedug ich wartoci DSCP do rnych kolejek, a zatem rnicowa priorytet ich dostawy. Oznaczenia DSCP i technika limitowania tempa nadawania mog by uyte cznie dla skuteczniejszego zarzdzania ruchem. Poniewa obie te techniki dotycz warstwy sieci, aplikacje nie musz by w adnym stopniu przystosowywane.

Losowe identyfikatory kart sieciowych

Aby zapobiec wykrywaniu adresw IPv6 w oparciu o identyfikatory opublikowane przez producentw kart sieciowych, systemy Windows Server 2008 i Windows Vista domylnie generuj losowe identyfikatory interfejsw sieciowych w przypadku samo-konfigurujcych si na stae adresw IPv6, wczajc w to adresy publiczne i link-local.

Obsuga DHCPv6

W systemy Windows Server 2008 i Windows Vista wbudowano klienta DHCP (Dynamic Host Configuration Protocol) z moliwociami DHCPv6, ktry moe auto-konfigurowa adresy we wsppracy z serwerem DHCPv6.

Pene wsparcie DNS dla sieci IPv6

Serwisy DNS funkcjonujce na platformach Windows server 2008 w peni wspieraj rozwizywanie nazw dugich dla protokou IPv6 jak i dla IPv4. W nowej wersji DNS umoliwiono rwnie obsug rozwizywania nazw krtkich dziki strefom nowego typu tzw. GlobalNames zone

Kontrola jakoci pocze (Quality of service)

Mechanizm Qos (kontrola jakoci pocze) by implementowany ju w systemach Windows serwer 2008 i Windows XP dziki wykorzystaniu interfejsu programowego API Generic QoS (GqoS). Aplikacje mogy wykorzystywa t funkcjonalno poprzez ustalanie priorytetw dostarczanch pakietw. W systemach Windows Server 2008 i Windows Vista pojawiy si nowe moliwoci zarzdzania ruchem w sieciach korporacyjnych i domowych. Zasady dotyczce jakoci obsugi sieciowej w systemach Windows Server 2008 i Windows Vista pozwalaj administratorom ustala priorytety oraz zarzdza tempem nadawania ruchu wychodzcego z sieci. Zasady te mog by uzalenione od : nazw konkretnych aplikacji generujcych ruch sieciowy adresw IPv4 lub IPv6 aplikacji rdowej albo docelowej portw TCP lub UDP uywanych przez aplikacj rdow albo docelow.

Rysunek 13. Tworzenie nowej polityki kontroli jakoci pocze (QoS)

Zapora systemu Windows Serwer 2008

Zapora systemu Windows Serwer 2008 ma za zadanie w peni kontrolowa ruch przychodzcy i wychodzcy dla danego serwera. Moliwo dokadnej filtracji komunikacji sieciowej kierowanej do serwera zapobiega uzyskaniu nieautoryzowanego dostpu do aplikacji i usug sieciowych. Nadzorowanie ruchu wychodzcego zmniejsza ryzko ewentualnego infekowania pozostaych systemw sieciowych, wirusami, robakami (o ile nasz serwer zosta nimi zaraony) lub wykonywania pocze, ktre nie powinny mie miejsca.

Co nowego ?

Zasady te ustawia si w ramach zasad grupowych uytkownika lub komputera za pomoc edytora Group Policy Object Editor, po czym czy z odpowiednimi kontenerami usug Aktywnych Katalogw (domeny, lokalizacji, jednostki organizacyjne) za pomoc konsoli

Funkcjonalno firewall istniaa ju w poprzednich systemach Windows. Zapora systemu Windows serwer 2008 zawiera znacznie wiksz ilo funkcji i rozszerze. Moliwo automatycznego blokowania niechcianego ruchu wysyanego przez serwer. Zapora posiada definicj regu pozwalajc na komunikacje wybranych popularnych usug takich jak: DNS, DHCP, udostpnianie plikw i drukarek, ruch zwizany z AD. Pozostae transmisje mog by blokowane. Nowa konsola do zarzdzania. Przystawka Windows Firewall with Advanced Security pozwala na prost i czyteln definicje regu kontrolujcych ruch wychodzcych

146

147

(Out-bound Rules), regu ruchu przychodzcego (Inbound Rules) oraz monitorowania ruchu (kontekst Monitoring) Integracja zapory z protokoem IPSec. Protoku IPsec umoliwia ochrone transmisji danych pomidzy komputerami przy wykorzystaniu rnych metod szyfracji i uwierzytelnienia. Kontekst Connection Security Rules pozwala na tworzenie regu przy wykorzystaniu protokou IPSec, majcych na celu izolowanie i ochrone komunikacji midzy systemami domenowymi od pojawiajcych si w sieci obcych komputerw. (Moliwa jest definicja izolacji rwnie w obrbie danej domeny) Pene wsparcie dla protokou IPv6

Cechy protokou SMB 2.0

Protok SMB 2.0 zapewnia szereg udoskonale komunikacji, takich jak wiksza wydajno komunikacji z plikami udostpnianymi przez cza cechujce si duymi opnieniami oraz wysze bezpieczestwo dziki zastosowaniu techniki wzajemnego uwierzytelnienia i podpisywania komunikatw. Niektre cechy protokou SMB 2.0: Wykorzystanie standardowego portu 445/TCP Obsuga wysyania wielu polece SMB w tym samym pakiecie. Zmniejsza to liczb pakietw przesyanych midzy klientem i serwerem SMB, ktra to cecha bya wad wersji SMB 1.0. Zwikszenie restrykcyjnych staych w protokole, ktre maj umoliwia skalowalno. Na przykad zwikszono liczb doj do rwnoczenie otwartych plikw na serwerze i liczb udziaw plikw dozwolonych na serwerze. Obsuga o wiele wikszych rozmiarw buforw w porwnaniu z wersj SMB 1.0. Obsuga trwaych doj, umoliwiajca przetrwanie krtkich przerw w dostpnoci sieci. Obsuga czy symbolicznych.

Rysunek 14. Zapora systemu Windows serwer 2008

Systemy Windows Serwer 2003 i Windows Vista wspieraj uycie zarwno SMB 1.0 i SMB 2.0. Wersja protokou uywana pomidzy klientem i serwerem jest ustalana w fazie negocjacji SMB. Ponisza tabela pokazuje uyt wersja protokou SMB w zalenoci od wersji sytemu operacyjnego klienta i serwera. Klient Windows Serwer 2008 lub Windows Vista Serwer Windows Serwer 2008 lub Windows Vista Windows XP Windows , Serwer 2003 lub Windows 2000 Windows Serwer 2008 lub Windows Vista Windows XP Windows , Serwer 2003 lub Windows 2000 Uywana wersja SMB SMB 2.0

Blok komunikatw serwerw (SMB) 2.0

Wstp
Blok komunikatw serwera (Serwer Message Block) protok znany rwnie pod nazw CIFS (Common Internet Name Standard) jest domylnym protokoem pozwalajcym na dostp do sytemu plikw i drukarek na komputerach opartych o systemy Windows. Windows zawiera klienta SMB (skadnik Klient systemu Microsoft Windows) i serwer SMB (skadnik Udostpnianie plikw i drukarek systemu Microsoft Windows). Protok SMB 1.0 technologia dla wersji systemu Windows poprzedzajcych system Windows Server 2008 i Windows Vista zosta zaprojektowany 15 lat temu dla pierwszych sieciowych systemw operacyjnych Windows, takich jak Microsoft LAN Manager i Windows for Workgroups. Ograniczenia pierwszego projektu s widoczne w protokole SMB 1.0. Funkcja SMB w systemie Windows Server 2008 obsuguje wersj SMB 1.0 oraz wersj SMB 2.0 now wersj bloku komunikatw serwera, zaprojektowan od nowa dla potrzeb obecnych zoonych rodowisk sieciowych i serwerw nowej generacji.

Windows Serwer 2008 lub Windows Vista Windows XP , Windows Serwer 2003 lub Windows 2000 Windows XP , Windows Serwer 2003 lub Windows 2000

SMB 1.0

SMB 1.0

SMB 1.0

Tabela 1: Wersje uywanego protokou SMB pomidzy rnymi systemami operacyjnymi.

148

149

5.

Zarzdzanie tosamoci i dostpem

Zarzdzanie tosamoci i dostpem w Windows Server 2008

Zanim przejdziemy do dokadniejszego omwienia, jakie zmiany nastpiy w technologii AD RMS najpierw przyjrzymy si miejscu, jakie ona zajmuje w caociowej koncepcji zarzdzania tosamoci opracowanej przez Microsoft. Jest to o tyle istotne, i bez tego wiele zmian wprowadzonych w Windows Server 2008 moe wydawa si poprawkami kosmetycznymi, ktre nie maj ze sob niczego wsplnego.

Czym jest tosamo i dostp?

Czy zarzdzanie tosamoci i dostpem do informacji jest istotnym zagadnieniem dla przedsibiorstwa. Zastanwmy si, co ma miejsce w momencie kiedy uytkownik prbuje uzyska dostp do poufnego dokumentu przechowywanego na jednym z serwerw. Zakadamy, i chcemy chroni informacje zawarte w tym dokumencie. Nasza infrastruktura zarzdzajca tosamoci i dostpem powinna w takim przypadku: 1. 2. 3. 4. Okreli kim jest uytkownik, ktry prbuje dosta si do dokumentu. Przydzieli uytkownikowi odpowiedni poziom dostpu do tego dokumentu. Chroni poufne dane zawarte w tym dokumencie. Przechowywa informacji o czynnociach wykonywanych przez uytkownika korzystajcego z dokumentu.

Najprostszym rozwizaniem byoby ograniczenie dostpu na poziomie konkretnych uprawnie do pliku. Natomiast dodatkowa ochrona jest potrzebna aby zabroni okrelonym uytkownikom moliwoci kopiowania z dokumentu, ktry mog otworzy. Naley take pamita o odpowiednim audytowaniu dostpu do dokumentu. Wyzwanie zwizane z przygotowanie I wdroeniem takiej infrastruktury staje si jeszcze wiksze w chwili, kiedy ma ona obsugiwa nie tylko naszych etatowych pracownikw, ale take na przykad klientw czy firmy partnerskie. Dodatkowym wyzwaniem jest rozszerzenie granic dziaalnoci przedsibiorstwa i otwarcie na kolejne kanay komunikacji jak, poczta elektroniczna, komunikatory czy usugi webowe oraz urzdzenia mobilne zezwalajce na przenoszenie danych. Microsoft nieustannie pracuje na spjnym rozwizaniem pozwalajcym na wdroenie takiego mechanizmu. Poniej krtko zostanie omwiona ewolucja jaka nastpia w technologii zarzdzania tosamoci i dostpem.

151

Tosamo i dostp w Windows Server 2003

W stosunku do Windows 2000 Server zostay dokonane ulepszenia we wzajemnej wsppracy usug Active Directory (AD) oraz Certificate Services. Dodano take now funkcjonalno o nazwie Authorization Manager, ktra zezwalaa na uwierzytelnianie uytkownikw w oparciu o rol jak maj peni w konkretnej aplikacji biznesowej. Mimo, i Active Directory samo w sobie pozwalao na kontrol dostpu, bya to jednak kontrola jedynie na poziomie obiektu realizowana za pomoc ACL. Authorization Manager zezwala na role-based access control (RBAC), co pozwalao na przypisywanie jednemu uytkownikowi rnych uprawnie w oparciu o rol jak mg peni. Authorization Manager pozwala aplikacji na zarzdzanie oraz weryfikacj da uytkownika zwizanych z wykonaniem okrelonych czynnoci z uyciem aplikacji. Dostpna bya take odpowiednia konsolka MMC, ktra pozwalaa administratorowi aplikacji na zarzdzanie rnymi rolami uytkownikw I ich uprawnieniami. Inna usug, ktr Microsoft przygotowa dla Windows Server 2003 jest Windows Rights Management Service (RMS), technologia ochrony informacji, ktra pozwala, przy wsppracy z obsugujcymi j aplikacjami, na zabezpieczenie wartociowych danych cyfrowych przed nieautoryzowanym uyciem bez wzgldu na sposb i miejsce ich przechowywania. Efektywne korzystanie z RMS jest moliwie dziki scentralizowanemu zarzdzaniu szablonami okrelajcymi sposoby uycia dokumentu. Szablony te, wsppracujc z odpowiednimi aplikacjami klienckimi s stosowane bezporednio do istotnych biznesowo informacji na przykad wiadomoci e-mail. Wdroenie RMS wymaga usugi katalogowej Active Directory, PKI oraz IIS. Wszystkie te komponenty s czci skadow Windows Server 2003. Dodatkowo potrzebna s aplikacje wsppracujce z RMS, jak Microsoft Office 2003 i Internet Explorer oraz Microsoft SQL Server w celu zapewnienia odpowiedniej bazy danych dla usugi. Jako dodatek do wspomnianych powyej komponentw sucych do zarzdzania tosamoci i dostpem, opublikowany zosta Microsoft Identity Integration Server (MIIS) 2003, ktry umoliwia scentralizowane przechowywanie informacji zwizanych z tosamoci w przedsibiorstwie posiadajcym wiele usug katalogowych. Pozwala take na ujednolicon prezentacj wszystkich znanych informacji dotyczcych tosamoci uytkownika, aplikacji oraz zasobw sieciowych. MIIS 2003 jest zaprojektowany jako narzdzie suce do zarzdzania cyklem ycia tosamoci, polisami dostpu oraz polisami zarzdzajcymi prawami. Narzdzie dostpne jest w dwch wersjach, jako MIIS 2003 Enterprise Edition oraz Identity Integration Feature Pack dla Windows Server Active Directory, ktry udostpnia te same funkcje co MIIS 2003 EE, ale jedynie pomidzy usugami katalogowymi AD, Active Directory Application Mode (ADAM) oraz Exchange 2000 i pniejszym.

przechowuje i replikuje tylko dane zwizane z aplikacjami, ktre z nim wsppracuj, nie zawiera adnych informacji o zasobach sieciowych takich jak uytkownicy, grupy czy komputery. Istotna cech ADAM jest to, i nie jest usug systemow w zwizku z tym istnieje moliwo uruchomienia wielu jego instancji na jednym komputerze. Kada z takich instancji moe obsugiwa inn aplikacj, mie wasny magazyn danych oraz przypisane osobne porty LDAP i SSL a take dzienniki zdarze. ADAM stanowi opcjonalny komponent Windows Server 2003 R2, ale dostpna jest take wersja do pobrania, ktra moe zosta zainstalowana na Windows Server 2003 bd Windows XP . Active Directory Federation Services (ADFS) jest kolejnym opcjonalnym komponentem Windows Server 2003 R2, ktry udostpnia funkcjonalno single sgn-on (SSO) dla uytkownikw zasobw webowych. Moliwe jest to dziki bezpiecznej wymianie informacji o cyfrowej tosamoci oraz powizanych z ni praw. ADFS jest cile powizana z AD i moe wsppracowa zarwno z usug katalogow jak i ADAM. Korzystajc z ADFS przedsibiorstwo moe rozszerzy istniejc infrastruktur AD na Internet w celu umoliwienia dostpu do zasobw oferowanych za porednictwem Internetu przez zaufanych partnerw. Zaufanymi partnerami mog by zarwno firmy zewntrzne jak i oddziay wewntrz przedsibiorstwa.

Tosamo i dostp w Windows Server 2008

Spogldajc na ewolucj technologii zarzdzania tosamoci i dostpem dysponujemy w chwili obecnej nastpujcymi rozwizaniami zaimplementowanymi w Windows Server 2003 R2: usuga katalogowa Active Directory oraz Certificate Services dwa podstawowe komponenty, ktre mog by wdroone osobno bd wsplnie Authorization Manager, ADAM oraz ADFS oddzielne komponenty, ktre wymagaj usugi katalogowej AD (Authorization Manager wymaga dodatkowo Certificate Services) MIIS 2003 dostpny zarwno jako osobny produkt, bd darmowy Feature Pack RMS dostpny jako osobny component

W Windows Server 2008 Microsoft postanowi dokona konsolidacji tych rozwiza w jeden, zintegrowany mechanizm zarzdzania tosamoci i dostpem zbudowany w oparciu o AD. W zwizku z tym dostpne s cztery kluczowe komponenty zarzdzania tosamoci i dostpem: Active Directory Domain Services (AD DS) oraz Active Directory Lightweight Directory Services (AD LDS), ktre udostpniaj usug katalogow zarwno w rodowisku domenowym jak I w grupie roboczej Active Directory Certificate Services (AD CS), ktra umoliwia weryfikacj tosamoci przy pomocy PKI Active Directory Rights Management Services (AD RMS), ktry chroni informacje zawarte w dokumentach, poczcie elektronicznej itp.

Tosamo i dostp w Windows Server 2003 R2

W wersji Windows Server 2003 R2 Microsoft doda dwie kolejne usugi pozwalajce na bardziej kompleksowe wsparcie zarzdzania tosamoci. Jedn z nich jest Active Directory Application Mode a drug Active Directory Federation Services. W skrcie ADAM to samodzielna wersja AD zaprojektowana do wsppracy z aplikacjami wykorzystujcymi usug katalogow. ADAM nie wymaga do pracy istnienia lasu czy domeny AD, wic moe by wykorzystywany w grupach roboczych na serwerach, ktre nie musz peni funkcji kontrolera domeny. Dodatkowo ADAM

152

153

Active Directory Federation Services (AD FS), Tora eliminuje konieczno tworzenia i zarzdzania wieloma tosamociami.

Naley take zwrci uwag na zmian nazw niektrych usug: usuga katalogowa Active Directory nazywa si teraz AD DS. Active Directory Application Mode to teraz AD LDS Certificate Services nazwano AD CS Windows Rights Management Services przemianowano na AD RMS

Usuga AD RMS zostaa rozszerzona o kilka udoskonale: instaluje si j jako rol serwera zwykorzystaniem Server Managera, dostpna jest konsola MMC zamiast interfejsu webowego obecnego w poprzedniej wersji, usuga integruje si z AD FS oraz umoliwia bardziej efektywne zarzdzanie uprawnieniami do administracji serwerami AD RMS. Uycie konsoli administracyjnej zamiast interfejsu webowego pozwala na stworzenie w peni spjnego rodowiska wykorzystywanego w caym Windows Server 2008, ktre zostao zaprojektowane jako prostsze wobsudze i nawigacji. Dodatkowo zaimplementowanie rl administracyjnych dla serwera AD RMS powoduje, e konsola AD RMS wywietla tylko te elementy, do ktrych uytkownik ma dostp. Na przykad uytkownik, ktry naley do grupy penicej rol AD RMS Template Administrators jest ograniczony tylko do zada zwizanych z zarzdzaniem szablonami AD RMS, wszystkie pozostae zadania bd w konsoli niedostpne.

W oparciu o powysze rozwaania wida, e technologia RMS staa si w kocu integraln czci zarzdzania tosamoci i dostpem uytkownika realizowanym w oparciu o Active Directory.

Role administracyjne AD RMS

W celu lepszego zarzdzania delegowaniem uprawnie do rodowiska AD RMS zostay opracowane nowe role administracyjne. Te role s lokalnymi grupami typu security, ktre s tworzone w trakcie instalacji usugi AD RMS. Kada z tych grup ma inny poziom dostpu do AD RMS. Nowe role to AD RMS Service Group, AD RMS Enterprise Administrators, AD RMS Template Administrators, and AD RMS Auditors. AD RMS Service Group jest kontem usugi AD RMS. Kiedy dodawana jest rola AD RMS konto podane w czasie procesu instalacji jest automatycznie dodawane do tej grupy. Rola AD RMS Enterprise Administrators zezwala czonkom tej grupy na zarzdzanie wszystkimi ustawieniami i polisam AD RMS. W trakcie instalacji usugi AD RMS do grupy tej dodawane jest konto uytkownika, ktry t usug instaluje a take grupa lokalnych administratorw. Czonkostwo w tej grupie powinno by ograniczone tylko do kont uytkownikw wymagajcych penej kontroli administracyjnej nad usug AD RMS. Rola AD RMS Templates Administrators zezwala czonkom tej grupy na zarzdzanie rights policy templates w szczeglnoci na wywietlenie szablonw polis, tworzenie nowych szablonw, modyfikowanie istniejcych oraz eksport szablonw. Rola AD RMS Auditors zezwala na zarzdzanie logami i raportami. Rola ta ma przypisan tylko moliwo odczytu, ktra ograniczona jest jedynie do informacji o ustawieniach logw oraz zezwala na uruchomienie przygotowanych wczeniej raportw.

Active Directory Rights Management Services

Jak ju zostao wspomniane wczeniej AD RMS jest nastpc opcjonalnego komponentu Windows Server 2003, ktry nazywa si Windows RMS i by przeznaczony do ochrony kluczowych informacji przechowywanych w dokumentach, poczcie elektronicznej czy stronach internetowych przed nieautoryzowanym przegldaniem, modyfikacj czy uyciem. AD RMS zosta zaprojektowany do wsppracy z odpowiednimi aplikacjami obsugujcymi ten mechanizm takimi jak Microsoft Office 2007 System i Internet Explorer 2007. Udostpnia take API, ktre pozwala programistom na przygotowanie wasnych aplikacji czy rozszerze obsugujcych RMS. AD RMS pracuje w ukadzie klient-server, w ktrym serwer AD RMS jest odpowiedzialny za weryfikacj tosamoci oraz wystawienie odpowiedniego certyfikatu. Kiedy tylko uytkownik taki certyfikat otrzyma moe stara si o dostp do chronionej treci. Informacje chronione s przez publishing license, ktra tworzona jest dla danych i zawiera informacje o tym, w jaki sposb dane mog by uywane i przez kogo. W chwili dystrybucji treci, informacje o przysugujcych prawach s take dystrybuowane i dotycz zarwno uytkw wewntrz organizacji jak i poza ni. Uytkownicy, ktry otrzymaj chroniony dokument musz uzyska odpowiedni certyfikat od serwera AD RMS zanim uzyskaj dostp do chronionych informacji. W chwili, kiedy uytkownik prbuje przejrze chronione informacje aplikacja zgodna z technologi RMS wysya danie do serwera AD RMS w celu uzyskania odpowiedniego zezwolenia. Usuga AD RMS wystawia wtedy unikatow licencj pozwalajc na dostp do dokumentu z okrelonymi prawami w oparciu o warunki zdefiniowane w publishing license. AD RMS weryfikuje tosamo uytkownika woparciu o AD DS.

Wymagania dla usugi AD RMS

AD RMS pracuje na komputerze z systemem operacyjnym Windows Server 2008. W momencie instalacji roli AD RMS instalowane s wszystkie wymagane usugi, m. in. Internet Information Services (IIS). Do poprawnej pracy wymagana jest take baza danych taka jak Microsoft SQL Server, ktra moe by uruchomiona zarwno na tym samym komputerze jak i na zdalnym serwerze oraz las bd domena AD DS. Jeli w trakcie procesu instalacji nie okrelimy zdalnej

154

155

bazy danych dla AD RMS Configuration and Logging kreator instalacji roli AD RMS automatycznie zainstaluje i skonfiguruje Windows Internal Database do pracy z usug AD RMS. Dodatkowo potrzebne jest konto, bez adnych uprawnie w systemie, na ktrym bdzie pracowa usuga AD RMS. Ponisza tabela zawiera informacje o minimalnych jak i zalecanych wymaganiach sprztowych pozwalajcych na zainstalowanie roli AD RMS na komputerze pracujcym pod kontrol Windows Server 2008. Wymagania One Pentium 4 3 GHz processor or higher 512 MB of RAM 40 GB of free hard disk space Zalecenia Two Pentium 4 3 GHz processors or higher 1024 MB of RAM 80 GB of free hard disk space

Zalecenia przed-instalacyjne
Oprcz okrelonych wymaga dla usugi AD RMS warto zastosowa si do poniszych zalece: serwer bazodanowy obsugujcy baz AD RMS powinien by zainstalowany na osobnym komputerze dostp do serwera AD RMS powinien odbywa si z wykorzystaniem protokou SSL, certyfikat powinien by wystawiony przez zaufany gwny urzd certyfikujcy zdefiniowa aliasy (CNAME) zarwno dla serwera AD RMS jak i dla komputera obsugujcego baz danych, w przypadku awarii serwera AD RMS pozwoli to na szybkie zaktualizowanie aliasa bez koniecznoci ponownej publikacji wszystkich chronionych plikw w przypadku wykorzystania nazwanej instancji konfiguracyjnej bazy danych AD RMS naley si upewni czy na serwerze bazodanowym jest uruchomiona usuga SQL Server Browser, w przeciwnym wypadku prba instalacji roli AD RMS zakoczy si niepowodzeniem.

Nastpna tabela opisuje wymagania dotyczce konfiguracji oprogramowania, ktre pozwol na uruchomienie roli AD RMS. Niektre z tych wymaga zostan wczone i skonfigurowane na etapie instalacji roli serwera AD RMS. Oprogramowanie System operacyjny System plikw Messaging Usugi WWW Wymagania Windows Server 2008 pomijajc Windows Web Server 2008 NTFS zalecany Message Queuing Internet Information Services (IIS). ASP .NET must be enabled. AD RMS musi by zainstalowana w domenie Active Directory, w ktrej kontrolery domeny pracuj z uruchomionym Windows Server 2000 z Service Pack 3 (SP3), Windows Server 2003, bd Windows Server 2008. Wszyscy uytkownicy, ktrzy korzystaj z AD RMS w celu uzyskania licencji musz mie przypisany adres e-mail w Active Directory. AD RMS wymaga serwera bazodanowego takiego jak Microsoft SQL Server 2005

Dodatkowo naley wzi pod uwag nastpujce wskazwki: Windows Internal Database wsppracujcy z AD RMS zalecany jest tylko do wykorzystania w rodowisku testowym, poniewa Windows Internal Database nie wspiera zdalnych pocze, wic nie bdzie moliwoci dodania kolejnego serwera na etapie instalacji localhost nie jest wspierany jako adres URL wskazujcy na serwer AD RMS w trakcie okrelania konta, na ktrym bdzie funkcjonowa usuga AD RMS naley si upewni, e smart card nie jest woony do komputera, poniewa w takiej sytuacji wywietlony zostanie komunikat o bdzie stwierdzajcy, e konto uytkownika instalujcego AD RMS nie ma moliwoci odpytania AD DS w przypadku doczania kolejnego serwera do istniejcego ju klastra AD RMS certyfikat SSL dla nowego serwera musi znajdowa si na komputerze przed rozpoczciem procesu instalacji.

Active Directory lub Active Directory Domain Services

Serwer bazodanowy

Zalecenia dla aktualizacji RMS do AD RMS

Przed wykonaniem uaktualnienia z dowolnej wersji RMS do AD RMS naley wykona nastpujce czynnoci: kopi zapasow bazy danych RMS oraz zoy j w bezpiecznej lokalizacji w przypadku korzystania z MSDE do obsugi bazy danych AD RMS naley najpierw dokona aktualizacji rodowiska do Microsoft SQL Server, w przeciwnym wypadku aktualizacja nie jest wspierana

W celu przygotowania chronionej zawartoci wymagany jest Microsoft Office 2007 Enterprise, Professional Plus bd Ultimate. W celu zapewnienia dodatkowego bezpieczestwa AD RMS moe zosta zintegrowany z innymi technologiami, jak smart card. Klient AD RMS jest wbudowany w Windows Vista. Pozostae systemy operacyjne wymagaj pobrania i zainstalowania pakietu RMS client with Sernice Pack 2 (SP2).

156

157

oczyci kolejk RMS Message Queuing w celu upewnienia si, e wszystkie wiadomoci zostay zapisane w baize danych RMS.

Wybieramy rol AD RMS

Instalacja AD RMS
Po zainstalowaniu systemu operacyjnego na serwerze mona skorzysta z Initial Configuration Tasks bd Server Manager w celu zainstalowania odpowiednich rl. Aby zainstalowa AD RMS z listy zada naley wybra Add roles, a nastpnie klikn check box Active Directory Rights Management Services. 1. Instalacja roli za pomoc Initial Configuration Tasks:

2. Instalacja roli za pomoc Server Manager

Klikamy Add Role

158

159

Klikamy Roles

Wybieramy rol AD RMS

Wybieramy Add Roles

Pojawia si strona Role Services informujca o rolach i funkcjonalnociach, od ktrych zaley AD RMS. Naley si upewni, e wywietlone s Web Server (IIS), Windows Process Activation Service (WPAS) oraz Message Queuing. Klikamy Add Required Role Services a nastpnie Next.

160

161

Na stronie Select Server Role upewnij si, e s wybrane Active Directory Rights Management Server oraz Web Server (IIS) a nastpnie nacinij Next.

Na stronie Select Role Services sprawd czy zaznaczona jest opcja Active Directory Rights Management Server i nacinij Next.

Przeczytaj wprowadzenie od AD RMS i wybierz Next.

Wybierz opcj Create a new AD RMS cluster a pniej kliknij Next.

162

163

W przypadku braku zewnetrznego serwera bazodanowego moemy wybra opcj Use Windows Internal Database on his server, pamitajc o ograniczeniach tego rozwizania. Klikamy Next.

Upewniamy si, e wybrana jest opcja Use AD RMS centrally managed key storage i klikamy Next.

Wybieramy Specify i okrelamy konto uytkownika, na ktrym bdzie uruchamiana usuga AD RMS, klikamy OK a nastpnie Next.

Wprowad mocne haso w polach Password oraz Confirm password i wybierz Next.

164

165

Wybierz stron webow, na ktrej zainstaluje si AD RMS i kliknij Next. Instalator uyje domylnych ustawie, jedyn dostpn stron jest Default Web Site.

W polu Friendly name wpisz nazw, ktra atwo pozwoli na identyfikacj klastra i wybierz Next.

W przypadku braku certyfikatu dla serwera WWW wybierz opcj Use an unencrypted connection (http://). W polu Fully-Qualified Domain Name wpisz adres serwera i kliknij Validate. Jeli weryfikacja zakoczy si sukcesem przycisk Next stanie si aktywny i bdzie mona go klikn.

Upewnij si, e wybrana jest opcja Register the AD RMS service connection point now a nastpnie kliknij Next.

166

167

Przeczytaj instrukcje na stronie Web Server (IIS) i kliknij Next. Pozostaw zaznaczone ustawienia domylne i wybierz Next a nastpnie Install w celu zainstalowania AD RMS.

Network Access Protection

Czym jest NAP
Celem wielu godzin pracy administratorw jest uaktualnianie systemu operacyjnego i zainstalowanego dodatkowego oprogramowania wymaganego w korporacji. Przykadem takiego oprogramowania jest program antywirusowy, ktry powinien by aktualny to znaczy mie zainstalowane najnowsze definicje szczepionek. Do podobnej grupy naley te konfiguracja oprogramowania, nie chcemy aby uytkownik mg w ni ingerowa. Na przykad samodzielne wyczenie firewalla nie jest podan przez nas czynnoci. W domenie chcielibymy mie wszystkie komputery podczone i skonfigurowane wedug pewnych zasad. Tak aby tylko komputery speniajce pewne zasady mogy kontaktowa si z serwerami, oraz aby komputery ktre nie s skonfigurowane tak jak my chcemy nie byy dopuszczone do sieci z zasobami. Network Access Protection (NAP) to technologia ktra pomaga administratorom osign ten cel. Za pomoc NPS czyli Network Policy Server definiujemy zasady ktre musz by spenione przez NAP klienta aby mg si dosta do bezpiecznej sieci. W ten sposb komputer ktry nie podoa wymaganiom stawianym przez system nie dostanie certyfikatu zdrowia czyli nie bdzie mg si dosta do zabezpieczonej przez IPsec bezpiecznej czci firmy. Bdzie za to mg dosta si do serwerw z ktrych bdzie mg zaaplikowa sobie niezbdne aty. Schematycznie przedstawia to rysunek poniej:

Po zakoczeniu procesu instalacji kliknij Close. W celu umoliwienia zarzdzania usug AD RMS naley wylogowa i ponownie zalogowa uytkownika, ktrego konto posuyo do instalacji. Spowoduje to aktualizacj informacji o czonkostwie w grupach. Jest to istotne o tyle, e w trakcie procesu instalacji konto stao si czonkiem grupy AD RMS Enterprise Administrators.

168

169

NAP po stronie klienta wymaga komponentu NAP Client ktry jest ju wbudowany w Microsoft Vista, Windows Server 2008 oraz dostpny bdzie w SP3 do Windows XP Jeli chcemy uywa . Windows XP z SP2 to moemy doinstalowa klienta pobranego ze strony www.microsoft.com.

Network Policy Server (NPS). NPS jest uywany do sprawdzenia stanu zdrowia klienta NAP Jest on take odpowiedzialny za sprawdzenie dlaczego dany klient nie ma . dostpu do bezpiecznej sieci i jakie komponenty musz by poprawione aby mia dostp do sieci NPS Server Network Policy Server jest nastpc Internet Autentication Service (IAS). Uruchamia si na Windows Server 2008 i suy do sprawdzania klienta NAP oraz przyporzdkowania do odpowiedniej sieci. Na tym serwerze wystpuje System Health Validator (SHV) ktry odczytuje polisy, zbiera wyniki od klienta, porwnuje ze sob oraz decyduje w jakiej sieci ma si znale dany klient

Kiedy stosowa
NAPa mona wykorzysta w kilku przypadkach. Pierwszy to z usuga DHCP. Klient ktry jest niezgodny z polityk dostaje adres IP mask zawsze t sam 255.255.255.255 oraz zamiast , domylnej bramy jest wpis 0.0.0.0. Dodatkowo s dodawane statyczne wpisy ktre zapewniaj dostp do serwerw z ktrych mona pobra uaktualnienia tak aby dostosowa komputer do wymaganej polityki. Statyczne wpisy s dodawane za pomoc opcji Clessless Static Routes. W takim wypadku jeeli uytkownik chciaby skorzysta z serwera, do ktrego nie ma dostpu, zostanie wygenerowany bd. W chwili gdy jego stan si zmieni zgodnie z wymaganiami polisy, automatycznie zostanie wygenerowany dla niego certyfikat zdrowia i bdzie mia dostp do bezpiecznej sieci. Nastpnym przypadkiem w ktrej moemy korzysta z NAP s poczenia VPN. Serwer blokuje ruch do zasobw zabezpieczonych w wypadkach gdy stacja robocza nie ma odpowiedniego certyfikatu, w przeciwnym przypadku pozwala si z nim komunikowa. Ta technologia dziaa tylko dla klientw czcych si za pomoc poczenia VPN. Kolejn moliwoci zastosowania NAP-a s urzdzenia czce si za pomoc standardu IEEE 802.1X. Kiedy niezgodny klient prbuje czy si do punktu dostpowego (AP) dostaje si do VLAN-u z restrykcjami. Po uaktualnieniu si lub gdy si poczy klient speniajcy wymagane polityki jest kierowany do chronionego obszaru sieci. Najwiksz zalet technologii NAP jest wsppraca z IPSec. To wanie taki poczenie pozwala nam na pene odseparowanie od siebie poszczeglnych sieci. Komputer, ktry uzyska certyfikat zdrowia moe nalee do sieci bezpiecznej tam cay ruch odbywa si z wykorzystaniem szyfrowania. Dobrze jest to pokazane na ilustracji powyej. Do tej sieci mog nalee tylko i wycznie komputery z wanym certyfikatem zdrowia. Jeeli takiego nie ma, zostaje zakwalifikowany do sieci mniej bezpiecznej, ograniczonej w ktrej moe podnie swj stan zdrowia. Nastpn oddzieln sieci dla wszystkich ktrzy nie mog si wylegitymowa swoim stanem zdrowia czyli na przykad: komputery, ktre nie maja zainstalowanego klienta NAP lub komputery goci, dostaj si do sieci z ograniczeniami. Ta sie nie ma dostpu do adnych serwerw.

Policy Servers Komputer ktry przechowuje aktualny stan systemu dla NPS Active Directory Directory Service Ustawienie polis grupowych dla komunikacji wykorzystujcej IPsec oraz przetrzymuje wszystkie informacje niezbdne do uwierzytelnienia klientw VPN oraz 802.1X Restricted Network Oddzielony kawaek sieci w ktrym znajduj si serwery do podniesienia swojego stanu zdrowia (Remediation Servers). Na tych serwerach powinny znajdowa si uaktualnienia do systemu operacyjnego oraz innych programw na przykad najnowsze szczepionki do programu antywirusowego uywanego w korporacji Remediation Server Serwer ktry przechowuje uaktualnienia. Dostpny z sieci Restricted, zawiera wszystko co niezbdne komputerowi aby sta si klientem w peni zgodnym z obowizujc polityk firmy. Health Certificate Server Komponent odpowiedzialny za wystawianie certyfikatw X.509 klientom ktrzy przeszli poprawnie proces weryfikacji. System Health Agent Komponent ktry wystpuje po stronie klienta. Jest odpowiedzialny za sprawdzenie stanu systemu i ewentualnego porwnania go z serwerami Remediation. Wysya take Statement of Health (SoH) do odpowiedniego SHV

Komponenty infrastruktury
Infrastruktura NAP korzysta z nastpujcych komponentw: NAP Client komputer kliencki ktry uywa Network Access Protocol do zabezpieczenie komunikacji korzystajc z pocze 802.1X, DHCP IPSsc oraz VPN. , NAP Server komputer z systemem operacyjnym Windows Server 2008 ktry uywa

170

171

System Health Validator Porwnuje Statement of Health wysany przez agenta i odpowiedni konfiguracj polityk. Jeeli klient spenia wymagania jest tworzona wiadomo Statement of Health Response(SoHR) i zostaje wysana do Quarantine serwera. Jeeli za to nie spenia wymaga jest wysyana odpowied z odpowiednimi instrukcjami co naley zaktualizowa. Ten komponent dziaa na serwerze NPS Statement of Health Odpowiedz ze stanem zdrowia wysyana przez System Health Agenta do Sysyem Health Validator.

Tu jak wida moemy wybra kilka punktw do sprawdzenia. Nastpnie zatwierdzamy nasz konfiguracje i przechodzimy do serwerw korygujcych (remediation) Tu ustalamy numery IP i nazwy serwerw oraz przechodzimy dalej do Health Polices i wybieramy, e klientowi ktry speni wszystkie wymagania zostanie przypisana polisa compliant.

Jak skonfigurowa NAP z usug DHCP

Wemy teraz pod lup NAP-a z usug DHCP Jak to dziaa i czym jest. . Usuga DHCP ma za zadanie przydzieli klientowi numer IP taki aby umoliwi jemu komunikacje z innymi komputerami i serwerami w sieci. Dodatkowo z numerem IP s przepisywane opcje DHCP . Jak to skonfigurowa ? Na serwerze Windows 2008 trzeba najpierw doda role Network Policy Server oraz DHCP , nastpnie skonfigurowa DHCP Dalsz czynnoci jest skonfigurowanie serwera aby dziaa jako . Health Policy Server. Do tego bdzie potrzebne dodanie SHV w ktrym ustalamy co ma by sprawdzane na jakim systemie

Pozostaym klientom zostanie przypisana polisa noncompliant

Nastpnie naley ustawi polise sieciow dla komputerw compliant i noncompliant wskazujc im do jakiej sieci maj nalee. Warto wspomnie o tym, e mamy wybr pomidzy Allow Full Network Access czyli penym dostpem do sieci, oraz Allow Full Network Access for a limited time co pozwala nam zezwoli na dostp czasowy. Tutaj take konfigurujemy serwery Remediation oraz zaznaczajc enable auto-remediation of client computer wskazujemy aby po dopasowaniu si do wymaga polis komputer automatycznie dosta si do sieci z penym dostpem

172

173

Klient taki take nie bdzie mia penego dostpu do sieci - jego dostp bdzie ale ograniczony. Warto te zauway, e osoba moe sama zmieni IP na komputerze na poprawne. To zadziaa, ale trzeba pamita, e normalna osoba w firmie nie powinna mie uprawnie do wykonania takiej czynnoci. A ta usuga nie zabezpiecza przed takimi osobami (zabezpiecza przed tym NAP z IPSec)

Jak skonfigurowa NAP z uwierzytelnieniem 802.1X

W tym rozwizaniu moemy dokona uwierzytelnienia stacji na urzdzeniu sieciowym zgodnym z IEEE 802.1X. Weryfikacja wyglda nastpujco: urzdzenie sieciowe przesya stan zdrowia klienta do serwera NPS gdzie nastpuje sprawdzenie do ktrej sieci zakwalifikowa klienta. Jeeli z klientem jest wszystko dobrze zostanie przypisany do sieci penej czyli odpowiedniego VLAN-u bez restrykcji, w innym przypadku zostanie dopisany do kawaka sieci z restrykcjami. Klient nie ma moliwoci na przepicie si sam z jednego segmentu do drugiego. Do konfiguracji takiego rozwizania niezbdne jest urzdzenie ktre ma zaimplementowany standard 802.1X. Zamy, e mamy switch na ktrym tworzymy wirtualne sieci z nazwami compliant_vlan i noncompliant_vlan. Na urzdzeniu powinien by wyczony routing pomidzy tymi sieciami. Do dobrze dziaajcego rozwizania powinnimy korzysta z certyfikatw. Serwer certyfikatw moemy postawi lokalny. Tak samo jak w poprzednim rozwizaniu bdzie trzeba na serwerze Windows 2008 zainstalowa role Network Policy Server, dalej powinnimy zainstalowa certyfikat dla serwera i skonfigurowa go jako Health Policy Server. Nastpny krok to konfiguracja obsugi RADIUS clienta

Od strony konfiguracji to prawie wszystko, zostao tylko odpowiednie ustawienie usugi DHCP . Miejsce w ktrym to robimy to zakadka Network Access Protection ktra pojawia si w konsoli DHCP przy konfigurowaniu protokou IPv4. Warto zaznaczy, e konfiguracja NAP-a moe zosta zrobiona tylko i wycznie dla protokou IPv4. Ostatni czynnoci ktr naley zrobi jest skonfigurowanie klienta tak aby korzysta z serwera DHCP oraz zainstalowanie na nim NAP klienta, jeeli jest taka konieczno. Efektem dziaania dla klienta ktry ma na przykad wyczony firewall powinien by nastpujcy ekran

174

175

Kolejn czynnoci jest utworzenie polisy.

Jak wida klienta opisa moemy za pomoc kilku waciwoci. Dalej zostao nam okrelenie metody uwierzytelniania.

I przypisujemy klienta

Na koniec jeszcze zobaczymy ekran podsumowujcy wszystko i trzeba si zabra za konfiguracj SHV. Robi si to podobnie jak w poprzedniej metodzie. Wybieramy co jest wymagane do sprawdzania (firewall czy jest wczony, antywirus czy zainstalowany i uaktualniony, zabezpieczenie spyware, automatyczne update...) Nastpnie Health Policies tak samo jak w poprzednim temacie. W efekcie kocowym powinnimy zobaczy okno pokazane poniej.

176

177

Ostatnim krokiem jest konfiguracja klienta. W NAP kliencie mona skonfigurowa metod autentykacji oraz okreli czy ma korzysta z certyfikatw.

Oraz ustalamy numer IP serwera RADIUS

Po poczeniu si z klientem odpowiadajcym warunkom pracy u nas, w sieci powinnimy zobaczy informacj, ze mamy peny dostp do sieci. W przeciwnym przypadku otrzymujemy informacje o ograniczonym poczeniu.

Jak skonfigurowa poczenia VPN wykorzystujc NAP

Poczenia VPN s do czsto uywanymi a mechanizm jest podobny do znanego z ISA Server. Zasadnicz rnic pomidzy tymi rozwizaniami jest sposb przesyania wynikw do serwera. Wczeniejsze rozwizanie bazowao na skryptach ktre byy uruchamiane, sprawdzay i raportoway do serwera, teraz prace skryptw przej klient NAP . Do konfiguracji bdzie nam potrzebny serwer certyfikatw, ktry moemy zainstalowa na jakim serwerze w domenie. Podobnie jak w poprzednich scenariuszach dodajemy rol Network Policy Server oraz konfigurujemy System Health Validator, dalej dodajemy tak jak w pierwszym rozwizaniu polisy i ustalamy, ktre s dla komputerw speniajcych wymagania a ktre dla niespeniajcych ich. Dalej potrzebujemy Network Policy i Connection Request Policy aby okreli przynaleno klienta do danej sieci. Tworzc je wpisujemy nazw i wybieramy serwer dostpowy

178

179

Majc ju te ustawienie wybieramy jeszcze mechanizm autentykacji i to wszystko na tym serwerze. Na serwerze VPN instalujemy oraz konfigurujemy RRAS-a

I to tyle po stronie serwerw. Przenosimy si na klienta. Jego oczywicie dodajemy do domeny, instalujemy NAP klienta ( jeli nie ma wbudowanego), oraz konfigurujemy go. Konfiguracja sprowadza si do wczenia jednego komponentu Remote Access Quarantine Enforcement Client tak ja na ekranie poniej

Podczas konfiguracji wypeniamy informacje o serwerze RADIUS

Oraz to co przy kadej konfiguracji VPN czyli tworzenie nowego poczenia. Po pozytywnym poczeniu si powinnimy zobaczy informacj

180

181

Jak skonfigurowa NAP w poczeniu z IPsec

Najwaniejsza cz NAP Ten komponent wykorzystuje mechanizm nazwany izolacj domeny. Jak . izolacj poczymy z certyfikatami zdrowia wyjdzie nam potne dobrze dziaajce i bezpieczne rodowisko do pracy. Komputer ktry bdzie chcia dosta si do domeny bdzie potrzebowa certyfikatu IPsec a tym bdzie certyfikat zdrowa, dostanie go jak bdzie wyglda na odpowiednio skonfigurowany i z najnowszymi aktualizacjami. To rozwizanie moe by uywane bez izolacji domeny jednak nie jest to ju tak bezpieczne rozwizanie. To znaczy komunikacja moe by szyfrowana, ale nie musi by szyfrowana. Schemat takiego rozwizanie widzimy na poniszym diagramie.

Dalej dobrze jest ustawi autoenrollment w systemowych polisach. Na serwerze Windows 2008 instalujemy role Health Registration Authority oraz konfigurujemy aby korzystaa z certyfikatw wystawionych przez nasz CA. Pniej powinnimy zainstalowa na naszym serwerze z NAP podrzdne CA do wystawiania certyfikatw. Taki certyfikat powinien by wystawiony na do krtki czas

Dalej postpujemy zgodnie ze standardowymi procedurami czyli tworzymy Security Health Validatora, ktry okrela co ma by sprawdzane na kliencie A konfiguracje wyglda nastpujco: przyjmijmy, ze mamy serwer AD z DNS, Windows 2008 i stacje klienckie. Na serwerze z Active Directory instalujemy serwer certyfikacji na ktrym tworzymy szablon do naszych certyfikatw. Wane aby w polu Object identifier wpisa warto 1.3.6.1.4.1.311.47.1.1 I w zasadzie to wszystko. Przynajmniej od strony serwera NAP Na stacji trzeba zainstalowa . klienta NAP oraz zobaczy czy dziaa autoenrollment certyfikatw.

182

183

6.

Platforma webowa ILS 7.0

Wstp
Na wstpie warto wspomnie o poprzednich wersjach serwera. Zacznijmy od IIS 5.0 dostpnego na platformie Windows 2000. Rozwizanie to charakteryzowao sie tym, e produkt po zainstalowaniu zawiera wszystkie mozliwe usugi i komponenty: SMTP NNTP WWW. Serwer , , www posiada wszystkie dostpne uwczesnie moduy i rozwizania: IP Printing, obslug CGI, strony pomocy, rozszerzenia front page, webow stron administracyjn itd. Powodowao to sporo zagroe zwizanych z bezpieczestwem systemu operacyjnego. Stawiao to rwnie przed administratorem nowe wyzwania i wymagao od niego nie maej wiedzy z zakresu bezpieczestwa w celu waciwego zabezpieczenia serwera webowego. Przydatnymi narzdziami do tego celu byy midzy innymi takie programy jak IISLockdown, URLScan. Kolejna wersja Internet Information Serwera- IIS 6.0 zostaa napisana cakowicie od nowa. Wizao sie to midzy innymi ze zmian polityki w Microsofcie gdzie bezpieczestwo w myl hasa Secure by design, secure by default stao si sprawa kluczow. IIS 6.0 nie jest instalowany domylnie, natomiast po zainstalowaniu oferuje minimaln funkcjonalno- obsuga stron statycznych. Domylnie wyczona jest obsuga wszystkich rozszerze z wyjtkiem Static HTML. Kolejna kluczowa zmiana to pojawienie si pul aplikacyjnych. Wpyno to na stabilno i wydajno serwera webowego. Podnis si poziom bezpieczestwa poprzez zastosowanie konta lokalnego network_service w trybie, ktrego dziaaaj pule aplikacyjne. Rozwizania takie jak Recycling, health ping dalej s stosowane w kolejnej wersji produktu. W Wersji 7.0 podstawow zmian jest modularno rozwizania. Mamy dostpnych ponad 40 moduw. Kady modu stanowi pewn atomow jednostke jak np. AnonymousAuthenticationModule, ktre mozemy czy w pewne zestawy. Instalacja domylna powoduje dodanie tylko paru wymaganych, okrelanych nazw Core Modules. Moemy rwnie definiowa i dodawa swoje moduy dziki czemu jest to rozwiazanie w peni rozszerzalne. Warto wspomnie, e w przypadku Windows 2003 po dodadniu Serwera IIS 6.0 instalowal on sie w sposb okrojony komponenty domylnie instalowane byy wyczone, ale kod znajdowa si w systemie. Mogo to stanowic pewne zagroenie. Jezeli chodzi o IIS 7.0 nie wybranie moduu na etapie dodawania roli blokuje jego fizyczna instalacje i kopiowanie na dysk. Poniej znajduje si lista nowych rozwiza zaimplementowanych w tej wersji produktu.

Platforma webowa ILS 7.0 charakteryzuje si nastpujc funkcjonalnoci:

Architektura modularna, rozszerzalno Moliwoc dodawania pojedyczych moduw zarzdzanych niezalenie (instalacja, usunicie) Redukuje to ilo kodu zainstalowanego na serwerze co finalnie ogranicza mozliwoci ataku oraz podnosi wydajno. Redukuje te dziaania

185

administracyjne zwizane z zarzdzaniem i aktualizowaniem produktu. Mona atwo rozszerza funkcjonalno poprzez tworzenie i dodawanie swoich moduw Rozszerzony interfejs uzytkownika Zmiana sposobu prezentacji obiektw z zakadek na ikony. Zarzdzanie za pomoc aplikacji wywoywanych z linni polecen: APPCMD, Powershell. Konsola IIS 7.0 Manager umoliwia delegowanie kontroli i dostp tylko do konkretnych obiektw, pozwala to finalnie przypisywa administratorom rnego szczebla uprawnienia do operacji, ktre powinni wykonywa Schemat i konfiguracja IIS przechowywana w czytelnym pliku XML Jest moliwo przenoszenia plikw XML jak i trzymania ich w jednym centralnym punkcie. Uatwia to administracje serwerami webowymi zwaszcza w przypadku firm hostingowych Zwikszone bezpieczestwo W IIS 7.0. Moemy konfigurowa autentykacje opart na formularzach webowych do dowolnej zawartoci np: HTML, ASP PHP Istotn zmian wart , . podkrelenia jest moliwo definiowania kont lokalnych w IIS. Dziki czemu nie ma potrzeby autentykowa uytownikw w oparciu o konta domenowe lub konta lokalne serwera. Moemy zarzdza dostpem do obiektw z jednego miejsca przypisujc prawa uzytkownikom domenowym, lokalnym systemowym i IISa. Wbudowane narzdzia do analizy oraz ledzenia zdarze IIS 7.0 zawiera moduy uatwiajce diagnostyk problemw i zdarze. Wysoki poziom szczegowoci komunikatw pozwala programistom szybko wyizolowa i naprawi bd. Zdarzenia moemy sledzi podajc typ bdu, wywoanie rozszerzenia pliku, czy przekazania na serwer webowy okrelonego polecenia itp. Bezproblemowa i wydajna obsuga aplikacji webowych zawierajcych dowoln zawarto Obsugiwane s statyczne strony, PHP ASP ASP , , .NET i inne z mozliwoci mieszania technologi . Zwizane jest to z nowym zestawem publicznych API uywanych zamiast standardowych ISAPI. Nowy Serwer FTP dostpny poza dystrybuacj IIS 7.0 Najnowsz wersj serwera FTP mona pobra ze strony www.iis.net. Serwer FTP zamieszczony w wersji instalacyjnej systemu Windows 2008 jest produktem zgodnym z IIS 6.0

jest dostpnych okolo 40 gotowych moduw do wyboru. Mozna te rozszerza funkcjonalno serwera dodajc swoje komponenty. Dla przykadu- po zainstalowaniu IIS 6.0 otrzymywalimy platforme webowa z wszystkimi metodami autentykacji takimi jak: Anonymous, Basic, Windows Intagrated. Oczywicie od Administratora zaleao wczenie odpowiedniej metody. Istotne jest jednak to, e kod do wszystkich moduw by instalowany i znajdowa sie w systemie operacyjnym. W IIS wersja 7.0 Kady modu jest dodawany oddzielnie. Proces instalacji odbywa si poprzez sekcje Roles w aplikacji Server Manager.

Instalacja Serwera IIS 7.0 za pomoc aplikacju Server Manager

1. 2. 3. W celu zainstalowania serwer IIS 7.0 uruchom aplikacje Server Manager. Przejd do sekcji Roles i kliknij Add Role Services a nastepnie wybierz odpowiednie moduy. Po zweryfikowaniu wybranych moduw kliknij Next i po zakoczeniu instalacji Finish

Instalacja Serwera IIS 7.0

Podobnie jak w przypadku wersjji poprzedniej systemu operacyjnego. Serwer IIS 7.0 jest dostpny wraz z platform Windows 2008 natomiast nie jest automatycznie instalowany. System Operacyjny wraz z komponentami jest domylnie skonfigurowany w sposb maksymalnie bezpieczny. Oznacza to, ze po zainstalowaniu otrzymujemy podstawowa funkcjonalno i sami w peni wiadomie j rozszerzamy. Podstawowa rnica w do wersji 6.0 jest widoczna ju na etapie instalacji. Jest to modularno IIS. Serwer IIS 6.0 by monolityczny- albo wszystkie podstawowe komponenty albo zaden. W tej wersji
Rys 1. Instalacja serwera IIS 7.0 za pomoc aplikacji Server Manager

Instalacja za pomoc narzdzi linii polece

Kolejna metoda instalacji (przydatna zwaszcza na platformie bez trybu graficznego Core) to instalacja za pomoc aplikacji systemowych- ServerManagerCmd i PKGMGR. W celu zainstalowania IIS 7.0 z linii polece wykonaj ponisz operacj.

186

187

Ponizszy przykad pozwala na instalacje IIS 7.0 z domylnymi komponentami: ServerManagerCMD -I Web-Server Poniszy przykad pozwala na instalacje tylko wybranych komponentw: ServerManagerCMD -install Web-Http-Redirect Web-ASP-Net Web-Net-Ext Web-ASP Web-CGI Web-ISAPI-Ext Web-ISAPI-Filter Web-Http-Tracing Web-Basic-Auth Web-URL-Auth Web-DynCompression Web-Scripting-Tools Web-Mgmt-Service

rl, sprawdzenie sekcji Role Status, weryfikacje folderu c:\inetpub jak i usug IIS 7.0. Przejrzenie logu aplikacyjnego i systemowego

Administracja serwerem IIS 7.0

Konsola IIS Manager
Zaczniemy od omwienia konsoli administracyjnej Inernet Information Services Manager. Dla osoby znajcej poprzedni wersje IISa pierwsz widoczn rnic bedzie zmiana dotychczasowych zakadek konfiguracyjnych na ikony. Interfejs konsoli jest zgodny z interfejsem konsoli MMC 3.0. Skada si z trzech elementw: lewa- widok drzewa, srodkowa waciwoci obiektu, prawa akcje do wykonania. IIS Manager umozliwia przegldanie statusu serwera w czasie rzeczywistym, konfiguracje komponentw, zbierania informacji o zdarzeniach, konfigurowanie wspdzielenia konfiguracji, delegowania uprawnie do wybranych elementw.

Rys 2- lista zainstalowanych komponentw serwera IIS

Kolejna aplikacja wywoywana z linii polece to PKGMGR. Proces instalacyjny wykonywany za pomoc pkgmgr pozwala rwnie na uszczegowienie komponentw instalacyjnych: Start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IIS-CommonHttpFeatures;IISStaticContent;IIS-DefaultDocument;IIS-DirectoryBrowsing;IIS-HttpErrors;IIS-ASP;IISISAPIExtensions;IIS-ApplicationDevelopment;IIS-CGI;IIS-HealthAndDiagnostics;IIS-HttpLogging;IISLoggingLibraries;IIS-RequestMonitor;IIS-Security;IIS-RequestFiltering

Rys 3- Konsola administracyjna IISa 7.0

Instalacja niepilnowana
Instalacja IISa w sposb niepilnowany moe zostac wykonana za pomoca wyej opisancyh aplikacji PKGMGR i ServerManagerCMD, gdzie parametry instalacyjne zostan przekazane przez plik XML np. start /w pkgmgr /n:C:\unattend.xml

Aplikacje wywoywane z linii polece

Operacje administracyjne moga byc wykonywane za pomoc wyej wymienionej konsoli graficznej, lub za pomoc aplikacji wywoywanych z linii polece. Aplikacje wywoywane z linii polece s szczeglnie przydatne w przypadku instalacji serwera IIS 7.0 na platformie Core. Wykonujc zadania administracyjne moemy wspiera si potenymi narzdziami takimi jak appcmd i powershell. Poniej znajduje si przyklad zastosowania aplikacji APPCMD w celu utworzenia web site:AppCmd add site /name:test1 Website /bindings:http/*:80:www.test1.com /physicalPath:c:\inetpub\test2 Poniej znajduje si przyklad zastosowania aplikacji APPCMD w celu utworzenie puli aplikacyjnej: appcmd add apppool /name:Test1AppPool

Weryfikacja poprownoci instalacji

Po zainstalowaniu serwera IIS naley zweryfikowa poprawno instalacji. Najatwej wykona t operacj poprzez sprawdzenie statusu IIS w konsoli administracyjnej, przejrzenie zainstalowanych

188

189

Podstawowe operacje administracyjne

Utworzenie Web Site Jedn z podstawowych pocztkowych operacji po zainstalowaniu IIS jest utworzenie web situ. Wykonamy to w tym przykadzie za pomoc konsoli administracyjnej.
1. W celu utworzenia Web Situ kliknij prawym przyciskiem myszy na kontenerze Sites.

2.

Pod prawym przyciskiem wybierz opcj Add Web Site. Nastpnie wypenij nastpujce pola: Site Name, physical path, Bindings i Host name. Przykad zajduje si na poniszym rysunku.

Pula aplikacyjna definiuje nam waciwoci procesu danej aplikacji (worker process) okrela takie waciwoci jak Identity- tryb konta, w ktrym dziaa worker proces, parametry odzyskiwania (Recyckling) Oglnie rzecz biorc dziki temu, e automatycznie kada aplikacja webowa dziaa w oddzielnej puli aplikacyjnej mamy wieksz stabilno serwera jak i moliwo elastycznej konfiguracji kadego web situ. Pule aplikacyjne oddzielaj aplikacje webowe przed moliw interakcj midzy sob. Zawieszenia aplikacji webowej nie bdzie miao wpywu na pozostae web site. Konfiguracja Recyclingu umozliwia ustawienia np. odbudowania procesu w3wp.exe (worker proces) o wskazanych godzinach. Dodadkowe ustawienia odbudowywania procesu w3wp.exe znajduj si w Recycling Conditions. Serwer IIS 7.0 umoliwia tworzenie dwch typw pul aplikacyjnych Classic i Integrated. Domylnym typem jest Integrated Mode. Classic mode jest trybem zgodnosci z IIS 6.0. Dotyczy to mechanizmw Recyclingu, sprawdzania stanu procesu (health monitoring) Funkcjonalno pozostaa niezmieniona w porwnaniu do wersji IIS 6.0. Tryb Classic powoduje zainstalowanie i uycie tego samego moduu ISAPI oraz ASPNET_ISAPI.dll co w IIS 6.0. Kiedy worker proces puli aplikacyjnej otrzyma zdanie (request) najpierw jest on przetwarzany przez IISa, np. jest wykonywana autentykacja uzytkownika, nastpnie danie jest przekazywane do biblioteki ASPNET_ISAPI.dll, finalnie danie wraca do IISa w celu wysania odpowiedzi. Takie rozdzielenie powoduje wykonywanie podwjne niektrych krokw jak autentykacja i autoryzacja (na poziomie IISa i ASP .NET) dodatkowo uniemozliwia stosowanie np. formularzy autentykacyjnych w innych technologiach z wyjtkiem ASP .NET. Czy warto uzywa trybu Classic? Ciko jednoznacznie powiedzie. Zaley to od typu aplikacji i finalnie moe sie okaza, ze nie ktre aplikacje w trybie classic bd dziaac lepiej ni w integrated. Integrated mode nowy tryb, ktory jest trybem domylnym dla kadej nowej puli aplikacyjnej. Umozliwia przetwarzanie kodu w sposb strumieniowy dla wszystkich zda niezalenie od technologii np. mozemy zastosowa .NET Forms authentication dla dowolnej zawartoci. Kiedy aplikacja uywa trybu Integrated korzysta z zalet architektury IIS i ASP .NET. Kiedy worker proces puli aplikacyjnej otrzyma danie (request) przekazywany jest on przez uporzdkowan list moduw gdzie kazdy modu wykonuje sobie przypisane zadanie i wysya odpowied. Funkcjonuje to od nazw unified Pipeline. Za przetwarzanie dan w trybie integrated odpowiada Webengine.dll. Jest to natywny modu zaimplementowany w IIS, ktorego definicja znajduje sie pliku ApplicationHost.Config w sekcji <Global Modules>. Podsumowujc pozwala to programistom na mieszanie kodu (moduw) tworzonego w wielu technologiach i jest onfinalnie przetwarzany jako jeden strumie ni oddzielnie przez odpowiednie ISAPI. 1. W celu utworzenia puli aplikacyjnej przejd w sekcji connections do obiektu Application Pools.

Rys. 4 Tworzenie Web Site

Tworzenie pul aplikacyjnych

Warto zwrci uwag na to, e tworzc web site tworzymy od razu pul aplikacyjn dla danego situ. W przypadku IIS 6.0 administrator musia sam utworzy pul aplikacyjn i przeniec do niej aplikacje webow. Opcjonalnie pozostawi Web site w domylnej puli aplikacyjnej. W IIS 7.0 domyslnie kady web site dziaa w oddzielnej puli aplikacyjnej.

190

191

2.

Kliknij prawym przyciskiem i wybierz Add Aplication Pool. Wybierz tryb zgodnoci i kliknij OK

Przypisanie wygenerowanego certyfikatu do Web Situ.

1. 2. 3. 4. W tym celu przejd do sekcji Sites. Wybierz odpowiedni Web site. Kliknij w polu Actions na opcj Bindings. Nastpnie kliknij przycisk Add. W okienku Add site Bindings z listy type wybierz https. Po wybraniu https naley wskaza certyfikat ktry chcemy przypisa do tego web situ. Wcz stosowanie szyfrowanego poczenia. Wykonujemy to na poziomie web situ za pomoca opcji SSL Settings.

Rys 5. Tworzenie puli aplikacyjnej

Wygenerowanie Certyfikatu

Kolejna czsta operacja administracyjna jest wygenerowanie certyfikatu i przypisanie certyfikatu do situ webowego. Warto wspomnie o tym, e IIS 7.0 ma zawart w sobie aplikacje znan z Resource Kita do wczesniejszych wersji serwera IIS- SelfSSL. Umozliwia ona generowanie certyfikatu dla samego siebie bez odwoania do CA. Poniej znajduje si rysunek przedstawiajcy sekcje Server Certyficates. Warto zwrcic uwag na sekcj Actions i opcj Create SelfSignedCertyficates. 1. 2. W celu wygenerowanie certyfikatu Kliknij na serwerze webowym znajdujcym sie na licie connection. Kliknij w polu rodkowym na ikonie Server Certyficates a nastpnie w sekcji Actions na opcj Create SelfSigned Certyficate.
Rys.7 Wczenie SSL na poziomie web situ

Rys. 8 Przypisywanie certyfikatu do Web Situ Rys 6. Tworzenie certyfikatu

192

193

Konfiguracja metod Autentykacji

W celu skonfigurowanie wybranego typu autentykacji naley t operacj najpierw wykonac na poziomie serwera, gdzie globalnie okrelamy, ktre mechanizmy logowania mona edytowa (Patrz delegowanie uprawnie w czci bezpieczestwo). Domylna konfiguracja jest taka, e ustawie dot. autentykacji na poziomie serwera nie mozna nadpisa na poziomie Situ. Wobec tego na poziomie Web Situ mamy moliwo wczenia tylko tych mechanizmw, ktre zostay wczone wczesniej na poziomie serwera. Poniszy rysunek prezentuje zawarto moduu autentykacyjnego na poziomie serwera. Prosz zwrci uwage, e nie ma tam popularnej metody logowania Windows Integrated. Wynika to po prostu z tego, e ten modu nie zosta dodany w trakcie instalacji.

Rys 10. Dodawanie moduu

Dodanie nowego handlera (Handler Mappings)

Konfiguracja Handler Mappings jest kolejnym krokiem po dodaniu wasnego moduu. Handler Mappings stanowi powizanie pomidzy moduem zaisntalowanym w IIS a typem stronym obsugiwanym przez ten modu. Prosz zwrci uwag, e dostpne s standardowe handlery do obsugi stron: asp, aspx, soap, cer, asmx i innych.
Rys 9. Konfiguracja Autentykacji na poziomie serwera

1. 2.

W celu zdefiniowania nowego handlera kliknij w sekcji connections na wybranym web sicie. Przejd do sekcji srodkowej i kliknij na ikonie Handler Mappings, nastpnie z menu actions wybierz Add Module Mappings. Podaj okrelone rozszerzenia plikw obsugiwane przez dodawany handler, wybierz modu z listy. Podaj nazwe handlera i kliknij na przycisku OK.

Dodawanie moduu

Jak ju byo wielokrotnie wspominane IIS 7.0 charakteryzuje si budow modularn. Umozliwia to dodawanie tylko tego kodu, ktry jest niezbdny w celu osignicia oczekiwanej przez nas funkcjonalnoci. Ponizszy zrzut ekranu prezentuje w jaki sposb moemy zarzdzac moduami. 1. 2. 3. 4. W celu dodania nowego moduu wybierz odpowiedni web site z listy connections. W sekcji rodkowej kliknij na obiekcie Modules. Z sekcji z prawej strony wybierz Add Managed Module. Wybierz modu, ktry chcesz doda. Moduy momy rownie definiowa w ApplicationHost.Config w sekcji <Modules>. Proces dodania moduu zosta zaprezentowany na poniszym zrzucie ekranu.

3. 4.

Rys 11. Konfiguracja Handler Mappings

194

195

Konfiguracja Serwera IIS 7.0

Serwer webowy nie zawiera ju metabase znanej z poprzednich wersji serwera IIS. Wobec tego narzdzie MetaBaseEdit jest ju bezuyteczne. Konfiguracja znajduje si odpowiednio w plikach ApplicationHost.Config ustawienia serwera i Web.Config ustawienia web situ. MetaBase w poprzednich wersjach IISa bya cile powizana z okreslonym serwerem, wobec tego komplikowao to proces przenoszenia konfiguracji na inny serwer. Z applicationhost.config jest inaczej, jest on cakowicie przenony. Zalet tego rozwizania jest wanie mozliwoc kopiowania konfiguracji pomiedzy serweramy za pomoc Xcopy jak i skonfigurowanie jednego centralnego punktu przechowywania pliku konfiguracyjnego do ktrego rwnolegle, moe odwoywac si wiele serwerw. Jest to niewtpliwie przydatne w przypadku administrowania farm serwerw. Stwarza to nowe moliwoci dla firm hostingowych poniewa konfiguracja wielu serwerw moe by skadowana w jednym miejscu. Przechowywanie caej konfiguracji w XML umoliwia te w zalenoci od potrzeb biznesowych definiowanie odpowiednich sposobw administracji. Mamy moliwo nadawania uprawnie do wykonywania tylko okrelonych operacji, co byo niemozliwie w poprzedniej wersji. Mozemy np. da uprawnienia do zarzdzania moduami autentykacyjnymi. Uzytkownik z takimi prawami bdzie w stanie tylko konfigurowa mechanizmy autentykacyjne na poziomie danego web situ. Wobec tego moemy wprowadzic nastepujcy podzial metod administracji: Zcentralizowana - mozliwosc edycji pliku konfiguracyjnego na poziomie serwera applicationhost.config- administracja caym serwerem IIS Delegowana- nadanie uprawnien do wybranych sekcji w applicationhost.config i mozliwosc edytowania ich w pliku web.config przez administratora portalu Jednym ze sposobw konfiguracji serwera jest uycie PowerShella, ktry w sposb poredni wykonuje edycje pliku ApplicationHost.config. PowerShell jest mocno wspierany w IIS 7.0. Serwer webowy zawiera rwnie rozszrzenie WMI, ktre umozliwia dostp do informacji na temat serwera rwnie za pomoc VBScript, Jscript. Ze wzgldu na modularno IIS 7.0 w celu uzyskania wymienionej funkcjonalnoci naley doinstalowa komponent IIS Management Scripts and Tools.

zaley od allow lub deny na koncu wiersza danej sekcji w pliku applicationhost.config. Poniej zawarty fragment pliku ApplicationHost zawiera ustawienia dot. autentykacji. Warto zwrci uwag na overrideModeDefault=Deny blokuje to modyfikacje na poziomie web situ.
<sectionGroup name=security> <section name=basicAuthentication overrideModeDefault=Deny /> <section name=digestAuthentication overrideModeDefault=Deny /> <section name=windowsAuthentication overrideModeDefault=Deny/> </sectionGroup name=security>

Kolejna sekcja, ktrej sie przyjrzymy to fragment moduw globalnych. Zawiera ona domyslnie zainstalowane moduy, ktre s napisane w kodzie natywnym C\C++
<globalModules> <add name=DynamicCompressionModule image=%windir%\System32\inetsrv\compdyn.dll /> <add name=StaticCompressionModule image=%windir%\System32\inetsrv\compstat.dll /> <add name=DefaultDocumentModule image=%windir%\System32\inetsrv\defdoc.dll /> </globalModules> Sekcja <Sites> w pliku applicationhost.config zawiera konfiguracje poszczeglnych sitw <sites> <site name=Default Web Site id=1> <application path=/> <virtualDirectory path=/ physicalPath=%SystemDrive%\inetpub\wwwroot /> </application> <bindings> <binding protocol=http bindingInformation=*:80: /> </bindings> </site>

Monitorowanie i obsuga bdw

Jedn z kluczowych zmian w IIS 7.0 jest rozudowany system monitorowania i diagnostyki. Programici jak i administratorzy s w stanie szczegowo analizowa dziaanie kadej strony. Komunikaty o bdach w przypadku problemw s rwniez zdecydowanie bardziej rozbudowane niz w wersjach poprzednich. Jednym z czstych problemow w IIS 6.0 i IIS 5.0 byo analizowanie aplikacji webowych pod ktem wystpowania bdw. Pomidzy wysaniem dania z przegldarki a przetworzeniem i wysaniem odpowiedzi nastpuj wiele operacji a proces nie by transparenty. Analiza kadego kroku bya bardzo utrudniona. Niskopoziomowe monitorowanie wymagao specjalnych narzdzi dostpnych jako dodatki w pakiecie Resource Kit i w Service packu 1 do IIS 6.0.

Konfiguracja serwera IIS za pomoc ApplicationHost.config

ApplicationHost.config znajduje sie w lokalizacji %windir%\system32\inetsrv\config. Zawiera ustwawienia globalne dla caego serwera IIS. Zablokowanie okrelonych opcji powoduje calkowite zablokowanie dla wszystkich web sitw, czyli brak moliwoci waczenia w pliku web. config na niszym poziomie. Nalezy zauway, e mozliwo nadpisywania w pliku web.config

196

197

Weryfikacja poprawnego dziaania w IIS 7.0 moe by ukierunkowana na konkretn aplikacje i stron. Mona raportowa zdarzenia zwizane z procesami roboczymi IISa (worker proces). Mona przeglda status wykonania w czasie rzeczywistym lub zbiera dane do logu w momencie spenienia okrelonych warunkow, np. kady bd 500, lub dania ktrych przetworzenie trwao wicej jak 5 sekund. Dodatkowo programici mog rozszerza liste zdarze zapisywanych w logu Podstawowe raportowanie o zdarzeniach jest dostpne w server managerze na poziomie sekcji Rules. Klikajc na prezentowanym Evencie typu Error mozna wywoac szczegy tego zdarzenia. Sekcja Roles umoliwia rwnie zweryfikowanie dziaania usug.

Wczenie monitorowania FREB

1. 2. 3. 4. W celu wczenia monitorowanie FREB kliknij na serwerze webowym w sekcji connections. Nastpnie kliknij w sekcji centralnej kliknij na Failed Request Tracing Rules. Podaj jakiego typu zdarzenia chcesz logowac do pliku. Podaj na jakiego typu stronach: ASP ASP , .NET itd (Po zapisaniu reguly monitorowania w momencie wygenerowania zdefiniowanego bedu szczeglowe informacje zostana zapisane do logu tekstowego w formacie XML)

Rys 12. Bld prezentowany w sekcji Roles w server Managerze

Monitoring FREB/MFRT (Making Failed Request Tracing)

FREB jest jednym z najciekawszych narzdzi w IIS 7.0. Umoliwia szczegow analiz bdw jak i niskopoziomow analiz dziaania wybranych aplikacji webowych. Pozwala wyapa wystpienie konkretnego bdu, oraz szczegowo zapisac informacje na temat wystapienia tego zdarzenia w logu. W celu konfiguracje FREB naley wczy okreslony modu Failed Request Tracing Rules. Wynik monitorowania zostanie zapisany do lokalizacji podanej w ciece.

Rys. 13 Konfiguracja FREB

198

199

Poniej na zrzucie ekranu wida wynik logowania informacji na temat bedu zdefiniowanego w kroku poprzednim. Strona zawiera dwie sekcje: Request summary prezentujc podstawowe informacje na temat wystapienia zdarzenia i sekcje Errors & Warnings zawierajc szczegowy opis problemu

Zaczniemy od zmiany modelu administracyjnego. W IIS 6.0 w celu wykonywania wszystkich operacji administracyjnych na serwerze webowym byy wymagane uprawnienia lokalnego administratora. W IIS 7.0 pojawia sie moliwosc delegowania uprawnien do wykonywania okrelonych operacji.

Delegowanie kontroli
W celu delegowania kontroli naley ustawi wartosc Allow dla poszczeglnych moduw na poziomie serwera w pliku applicationhost.config do odpowiednich sekcji. Nastepnie nada prawa na poziomie web situ. Moemy to wykona w sposb bezporedni edytujc plik applicationhost.config ustawiajc wartoci Allow lub Deny na poziomie globalnym. Jednym ze sposobw na odblokowanie Unlock sekcji na poziomie serwera, to ustawienie wartoci dla klucza OverrideModeDefault na Allow (fragment pliku applicationhost.config- patrz powyej) Nastpnie sekcje Unlockedmog by delegowane i ustawiane w pliku web.config. Plik Web.config, moe byc kopiowany pomidzy serwerami dziki czemu automatycznie dana osoba uzyska dostp do wskazanej sekcji na kadym serwerze. Drug metod jest ustawienia opcji Read/Write na wybranym module w sekcji Feature Delegation na poziomie Web Serwera za pomoc konsoli administracyjnej IIS Manager. Opcja Read Only pozwala na przegladanie ustawie, Not Delagated blokuje wywietlanie danej opcji. Widok Feature Dlegation jest prezentowany poniej

Rys 14. Wynik dziaania FREB

Runtime Status and Control API (RSCA)

W IIS 7.0 pojawio si narzedzie umoliwiajce szczegow analiz dziaania serwera webowego w czasie rzeczywistym. RSCA umozliwia bardzo szczegowe monitorowanie sitw, pul aplikacyjnych, aplikacji .NET Framework. Zebrane informacje mog by bardzo przydatne dla administratorw i programistow w celu optymalizacji dziaania serwera IIS 7.0. RCSA pobiera informacje na temat dziaania obiektu poprzez WMI i API (Microsoft.Web.Administration) Do wyswietlania tych informacji moe posuy aplikacja AppCMD

Bezpieczestwo
Poruszajc zagadnienia zw. z bezpieczestwem serwera IIS 7.0 ponownie trzeba wspomnie o tym, e nie jest on instalowany domyslnie wraz z systemem operacyjnym a po instalacji otrzymujemy tylko podstawow funkcjonalno statyczny HTML. Dodatkowo na etapie instalacji mamy mozliwo doboru moduw do instalacji.
Rys 15. Ustawianie delegacji za pomoc IIS Managera

200

201

Podsumowujc Delegacja pozwala uzytkownikom nie posiadajacym uprawnie administacyjnych na serwerze, na zarzdzanie pewnym wycinkiem konfiguracji. Dziki czemu finalnie moemy zdefiniowa uzytkownikw penicych nastpujce funkcje administracyjne: Administrator Serwera Webowego- Web Administrator ma pene uprawnienia i molioci konfiguracyjne. Administrator serwera musi naleec do lokalnej grupy administratorow systemowych. Web Site Administrator- Administrator situ ma mozliwoci konfiguracyjne na poziomie Web situ. Musi mie mozliwo zalogowania do serwera Webowego co oznacza, e musi posiada konto na poziomie domeny, lokalnego komputera lub na poziomie serwera Webowego (nowe rozwizanie) Web Application administrator. Administrator Aplikacji webowej moe konfigurowa ustawienia aplikacji na poziomie web situ. W tym celu podobnie jak administrator web situ musi miec konto i delegowane uprawnienia do odpowiedniej sekcji.

Zdalna administracja
IIS 7.0 umoliwia zdaln administracje z poziomu konsoli IIS Managera . Konsola kontaktuje si z wybranym serwerem po HTTPS (domyslnie na porcie 8172) co uatwia cay proces konfiguracyjny. Nie ma dotychczasowej komunikacji DCOM pomidzy stacja zarzadzajc a serwerem IIS, ktra bya trudna do skonfigurowania na firewallu. Nowe rozwizanie o nazwie Management Service umozliwia zdalne podczenie do serwera IIS 7.0 za pomoc konsoli IIS 7.0 Manager. Poczenie obsugiwane jest przez specjalny serwis WMSVC. Poczenie jest szyfrowane, nastpuje weryfikacja powiadcze, oraz praw do obiektw (Feature Delegation).

Wczenie zdalnej administracji

1. 2. 3. W celu wczenia zdalnej administracji za pomoc IIS Managera kliknij na serwerze webowym w sekcji connections, przejd do srodkowej czeci (Feature View) kliknij na ikonie Management Service Ustaw Enable, parametry dostpu tylko konta windows lub konta Windows i lokalne IIS Serwera. W polu IP Adress Restriction podaj opcjonalnie z jakich adresw IP bdzie dostp do serwera Webowego.

Lokalne konta w IIS 7.0

Jedn z kluczowych nowoci w serwerze IIS 7.0 jest mozliwoc zakladania kont na poziomie serwera Webowego. Konta zakadamy na poziomie serwera a pniej delegujemy dostp na poziomie web situ. Ponizej znajduje si formularz tworzenia konta lokalnego w IIS 7.0

Tworzenie kont lokalnych

1. 2. 3. W celu utworzenia konta w IISie kliknij w sekcji lewej (connections) na serwerze webowym. W sekcji rodkowej (Feature View) kliknij na ikonie IIS Manager Users. Z prawej strony z sekcji Actions kliknij na Add User. Wypenij ponisze pola.

Rys 16. Tworzenie konta lokalnego

Rys 17. Zdalna administracja

202

203

Autoryzacja
W IIS 7.0 pojawia sie nowa metoda autoryzacji pozwalajca na nadanie uprawnie dostpowych dla konkretnego komputera, grupy komputerw, domen itd. do sitw, aplikacji, folderw i plikw na serwerze. Dla przykadu, mozemy mie wewntrzna strone webow, ktra zawiera trei dostepne dla pracownikw danej firmy. Jeli dodamy zawartoc, do ktrej dostp ma by ograniczony tylko do pracownikw dziau HR moemy doda regu autoryzacyjn weryfikujc przynaleno do grupy HR. Ten model jest dosyc podobny do modelu ASP .NET z t jednak rnic, e wynik przetwarzania regu nie zaley od ich kolejnosci, reguy deny jednak jak zawsze s przetwarzane jako pierwsze

Rys 18. Autoryzacja

Podsumowanie
Dziki modularnoi zostaa podniesiona wydajno i bezpieczenstwo aplikacji webowych. Plik konfiguracyjny xml umoliwia delegacje uprawnien, przenosno i zcentralizowan administracje. Polepszony monitoring serwera, szczegowe logowanie zdarze: FREB, RSCA pozwalaj administratorom na zbieranie bardziej dokadnych danych na temat dziaania serwera IIS 7.0. Obsuga wielu technologi programistycznych .NET. PHP uatwia proces tworzenia aplikacji webowych.

204

205

7.

Zarzdzanie usugami systemu

Wstp
Windows 2008 dostarcza nowych narzdzi do instalacji i zarzdzania systemem, ktre oferuj wydajniejszym administracj systemem i usugami. Na szczegln uwag zasuguje nowo wprowadzona konsola Server Manager, jest to narzdzie, ktre z jednego miejsca daje administratorowi moliwo kontroli nad wszystkimi rolami serwera, a przede wszystkim stanowi centrum informacji i monitoringu stanu serwera i wszystkich obsugiwanych rl. Nie jest to tylko narzdzie integrujce wiele konsol operacyjnych systemu Windows Server 2003, daje rwnie moliwo sigania do zaawansowanej konfiguracji z jednego centralnego miejsca.

Cechy konsoli, role oraz funkcje serwera

Konsola Server Manager to rozbudowana konsola MMC (Microsoft Management Console), ktra daje moliwo wykonywania wszystkich operacji zwizanych z administracj serwerem. Administrator moe instalowa i usuwa poszczeglne role oraz usugi serwera oraz dokonywa rekonfiguracji ju istniejcych. Server Manager pozwala ona przeglda praktycznie wszystkie informacje dotyczce dziaania serwera i korzysta z dostpnych narzdzi sucych do zarzdzania tym dziaaniem. Efektywno pracy administratora zostaje zwikszona przez moliwo wykonywania z jednego centralnego miejsca nastpujcych czynnoci: przegldanie i modyfikacja konfiguracji zainstalowanych rl oraz funkcje serwera wykonywanie czynnoci administracyjnych zwizanych z biecym utrzymaniem serwera (na przykad: zatrzymywanie, uruchamianie usug, zarzdzanie zasobami lokalnymi) wykonywanie czynnoci administracyjnych zwizanych z biec obsug rl i funkcji badanie stanu serwera, wykrywanie i identyfikowanie krytycznych zdarze, analiza i naprawa zaistniaych problemw

Przegld konsoli Server Manager

Gwne okno tego narzdzia administracyjnego: przedstawia zgrupowane informacje na temat zainstalowanych rl oraz funkcji

207

daje dostp do opcji diagnostycznych takich jak dziennik zdarze, meneder urzdze i monitor wydajnoci pozwala na konfiguracj harmonogramu zada, zapory systemowej, usug oraz kont lokalnych uytkownikw i grup udostpnia narzdzia suce do zarzdzania archiwizacj i odtwarzaniem systemu

ServerManagerCmd.exe -inputPath install.xml whatIf

Instalacja rl lub funkcji ze wskazanego pliku odpowiedzi wraz z wywietlaniem informacji o postpie wykonywanych krokw Doczenie tego parametru do wywoywanego polecenia powoduje automatyczne ponowne uruchomienie serwera, jeli bdzie ono potrzebne po wykonanych operacjach

-restart

Role serwera Windows Server 2008

Konsola Server Manager dostarcza zbir narzdzi i kreatorw uatwiajcych dodawanie, usuwanie rl Sewera zarwno pojedynczych jak i wielu na raz w jednej sesji redukujc tym samym czas powicony przez administratora na konfiguracj serwera. Role definiuj gwne cele, do ktrych moe zosta przeznaczony serwer. W systemie Windows Serwer 2008 odnajdziemy nastpujce role: Nazwa roli Usugi certyfikacyjne AD (Active Directory Certificate Services) Opis Pozwalaj na tworzenie i zarzdzanie cyfrowymi certyfikatami przeznaczonymi dla uytkownika, komputera lub organizacji, jako czci infrastruktury kluczy publicznych. Przechowuj informacje o obiektach znajdujcych si w zarzdzanej sieci. Serwery penice funkcj kontrolerw domeny daj moliwo zarzdzania procesami uwierzytelnienia i autoryzacji uytkownika podczas dostpu do zasobw sieciowych Dostarczaj prosty mechanizm zarzdzania tosamociami i implementacji rozwizania jednokrotnej rejestracji (single sign-on SSO) do zasobw Web. Daj moliwo magazynowania danych dla aplikacji wykorzystujcych DS., nie wymaga jednoczenie posiadania kontrolerw domenowych w infrastrukturze sieciowej. Daj moliwo zarzdzania dostpem do poufnych informacji z poziomu aplikacji przystosowanych do wsppracy z tymi usugami.

Rys.1 Konsola Server Manager

Usugi AD DS (Active Directory Domain Services)

Oprcz konsoli graficznej administrator ma moliwo automatyzacji wdraania i zarzdzania rolami poprzez aplikacj ServerManagerCmd.exe. Podstawow funkcjonalnoci tego narzdzia wiersza polece jest moliwo instalacji i usuwania rl i funkcji serwera zgodnie z parametrami zawartymi w przygotowanym pliku odpowiedzi (XML answer file).

Usugi AD FS (Active Directory Federation Services)

Przykad uycia ServerManagerCmd.exe

Polecenie ServerManagerCmd.exe query ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml Opis Zwraca informacje o zainstalowanych rolach i funkcjach Instaluje Serwer Internetowy (IIS) oraz przekazuje informacje wynikowe do wskazanego pliku Usugi AD LDS (Active Directory Lightweight Directory Services)

Usugi AD RMS (Active Directory Rights Management Services)

208

209

Serwer Aplikacyjny

Daje moliwo centralnej administracji aplikacjami biznesowymi dziaajcymi w oparciu o na przykad.NET Framework 3.0. Centralne przydzielanie i zarzdzanie adresami IP oraz konfiguracj protokou TCP/IP . Translacja nazw DNS na adresy IP Wymagany . przez usugi Active Directory Domain Services. Wysyanie, odbieranie faksw. Zarzdzanie zadaniami, raportami i konfiguracj urzdze faksujcych Daje moliwo zarzdzania pamici masow, replikacj plikw, szybkim wyszukiwaniem danych Wspieraj usugi routingu w sieciach LAN i WAN, pozwalaj na tworzenie i wymuszanie zasad bezpiecznego dostpu do zasobw dla klientw zdalnego dostpu oraz VPN Pozwala na zarzdzanie i okrelanie dostpu do drukarek sieciowych i ich sterownikw Dostarcza technologii pozwalajcych na zdalny dostp do pulpitu serwera oraz aplikacji Pozwalaj na zarzdzanie udostpnionymi informacjami zarwno na potrzeby intranetu jak i partnerw biznesowych w oparciu o usugi Web Pozwala na tworzenie niezawodnej, skalowalnej i w peni zarzdzanej infrastruktury aplikacji internetowych Instalacja systemw operacyjnych Windows na komputerach posiadajcych dostp do sieci w sposb prosty, szybki i bezpieczny

Nazwa funkcji

Opis Daje wsparcie dla nowych technologii pozwalajcych tworzy aplikacje oferujce wydajny interfejs uytkownika, chronicych tosamo i dane spersonalizowane, wspierajce bezpieczn komunikacj oraz procesy biznesowe Ochrona danych (szyfrowanie) na poziomie caego woluminu wspomagana sprztowo Pozwala klientom na pobieranie i wysyanie plikw do serwera BITS. Rozszerzenie nie jest wymagane by klienci mogli pobiera dane. Tworzy profile pocze zawierajce uprzednio zdefiniowane ustawienia, ktre mog zosta zastosowane na komputerach klienckich Rozszerzenie o funkcje systemu Windows Vista, takie jak odtwarzacz Windows Media Player, motywy pulpitu, zarzdzanie zdjciami Funkcja zwikszajca dostpno i niezawodno rl serwera oraz aplikacji takich jak serwer SQL, bazuje na wspdzielonej przestrzeni dyskowej Rozszerzenie oferujce efektywniejsze zarzdzanie obiektami GPO w rodowisku domenowym Pozwala klientom na wykorzystanie protokou HTTP do podczenia si do drukarek opublikowanych na serwerze wydruku Web Przetwarzania rejestracji i wyrejestrowywania zgosze oraz zapyta do urzdze iSCSI Pozwala na dostp do drukarek obsugiwanych przez systemy UNIX Pozwala na komunikowanie si aplikacji uruchomionych w systemach heterogenicznych, ktre rwnie mog czasowo znajdowa si w trybie offline. MSMQ jest gwarantem dostarczenia wiadomoci, prawidowego ich routingu, bezpieczestwa oraz uwzgldniania nadanych priorytetw

Serwer DHCP

.NET Framework 3.0

Serwer DNS

BitLocker Drive Encryption Background Intelligent Transfer Service (BITS) Server Extensions

Serwer faksowania

Serwer plikw

Connection Manager Administration Kit

Usugi kontroli dostpu przez sie (Network Policy and Access Services)

Desktop Experience

Serwer wydrukw

Failover Clustering

Serwer usug terminalowych

Group Policy Management

Usugi UDDI (Universal Description, Discovery and Integration)

Internet Printing Client

Serwer internetowy (IIS)

Internet Storage Naming Server (iSNS) Line Printer Remote (LPR) Port Monitor

Usugi WDS (Windows Deployment Services)

Funkcje serwera Windows Server 2008

W przeciwiestwie do rl, funkcje serwera nie stanowi gwnych zastosowa serwera, a s elementami wspierajcymi realizacj podstawowych zada. Dziki nim administratorzy maj moliwo wzbogaci funkcjonalno podstawowych rl serwerowych. Uywajc konsoli Server Manager mona zarzdza nastpujcymi funkcjami:

Message Queuing (MSMQ)

210

211

Multipath I/O

Pozwala na wykorzystanie rnych drg dostpu do pamici masowych Rozpraszanie zapyta klienckich do grupy serwerw obsugujcych odpytywan aplikacje. Daje rwnowaenie obcienia serwerw oraz zwiksza dostpno aplikacji Pozwala aplikacjom na rejestrowanie i rozwizywanie nazw komputerw komunikujcych si z wykorzystaniem danej aplikacji Platforma do strumieniowego przesyania danych audio/wideo dla aplikacji w sieciach IP Rozszerzenie gwarantujce zdefiniowan . wydajno w oparciu o quality-of-service (QOS) Funkcja wspierajca diagnoz i rozwizywanie problemw pojawiajcych si na komputerach zdalnych Funkcja oferujca moliwo rnicowego transferu danych midzy obiektami w sieci w celu zmniejszenia wykorzystania sieci Daje moliwo zdalnego zarzdzania rolami i funkcjami na innych serwerach Windows Server 2008. Funkcja nie instaluje rde wybranych komponentw a jedynie narzdzia administracyjne Katalogowanie, zarzdzanie nonikami wymiennymi oraz automatyzacja zarzdzania napdami. Przesyanie ruchu RPC generowanego przez aplikacje klienckie z wykorzystaniem protokou HTTP Alternatywa dla kanaw VPN . Usugi Simple TCP/IP Transfer poczty elektronicznej Zawiera usugi SNMP oraz dostawc SNMP WMI Konfiguracja i obsuga sieci SAN zgodnych z VDS (Virtual Disk Services)

Subsystem for UNIX-based Applications (SUA) Telnet Client

Pozwala na uruchamianie aplikacji i prac z wierszem polece systemu UNIX Pozwala na poczenie si i uruchamianie aplikacji na serwerze Telnet Zdalni klienci Telnet (w tym klienci UNIX) mog administrowa z poziomu wiersza polece oraz uruchamia aplikacje na serwerze Pozwala na transfer plikw do i z serwera TFTP Uywajca SQL Server 2005 Embedded Edition relacyjna baza danych, ktra przechowuje tylko informacje na temat rl i funkcji serwera. Powoka wiersza polece i jzyka skryptowego wspierajca i zwikszajca produktywno profesjonalistw IT Daje wsparcie dla interfejsu programistycznego rodowiska.NET Archiwizacja zasobw plikowych, systemu operacyjnego. Moliwo przywrcenia stanu z okresowo wykonywanych migawek Translacja nazw NetBIOS w sieciach IP Konfiguracja cznoci i profili WLAN

Network Load Balancing

Telnet Server Trivial File Transfer Protocol (TFTP) Client Windows Internal Database

Peer Name Resolution Protocol

Quality Windows Audio Video Experience (qWave)

Windows PowerShell

Remote Assistance

Windows Process Activation Service (WPAS)

Remote Differential Compression

Windows Server Backup Windows Internet Name Service (WINS) Server Wireless Networking

Remote Server Administration Tools

Removable Storage Manager

Zarzdzanie rolami i funkcjami z konsoli Server Manager

Kreator dodawania nowej roli serwera Add Roles Wizard (Rys.2) pozwala na dodawanie w tym samym momencie wielu rl. Wikszo rl jest instalowanych z domyln konfiguracj, jedynie w przypadku niektrych, na przykad usugi AD FS (Active Directory Federation Services), czy te usugi certyfikacyjne AD (Active Directory Certificate Services) dostpne s kolejne kroki konfigurujce rol lub pozwalajce wybra usugi, z ktrych skadaj si komponenty danej roli. Kreator na bieco analizuje rwnie zalenoci i jeeli wybrana rola wymaga funkcji serwera, ktre nie s jeszcze zainstalowane, wywietlany jest odpowiedni monit dajcy moliwo ich instalacji.

RPC over HTTP Proxy Simple TCP/IP Services Simple Mail Transfer Protocol (SMTP) Server SNMP Services Storage Manager for Storage Area Networks (SANs)

212

213

Rwnie tutaj nastpuje bieca weryfikacja zalenoci, ktra wskazuje, jakie role/funkcja s wymagane po wybraniu funkcji serwera. Usuwanie rl oraz funkcji serwera z konsoli Server Manager odbywa si z wykorzystaniem kreatorw Remove Roles Wizard oraz Remove Roles Wizard, ktre podobnie jak opisane wyej pozwalaj na zarzdzanie wieloma rolami lub funkcjami w jednej sesji. Po instalacji odpowiednich rl serwera, konsola Server Manager daje administratorowi doskonae narzdzie pozwalajce po wskazaniu odpowiedniego komponentu z jednego miejsca dostp do: zdarze zwizanych z danym elementem, sekcja Events
Rys.2 Kreator dodawania rl serwera

statusu zainstalowanych i powizanych z rol usug systemowych, sekcje System Services oraz Role Services moliwoci instalacji Add Role Services lub usunicia Remove Role Services poszczeglnych usug powizanych z dan rol informacji o rekomendowanej konfiguracji wybranej roli oraz zadaniach i najlepszych praktykach z ni zwizanych, sekcja Resources and Suport

Dodawanie nowych funkcji odbywa si z wykorzystaniem kreatora Add Features Wizard (Rys.3). Podobnie jak w przypadku rl, administrator ma moliwo w jednej sesji instalacji wszystkich wymaganych funkcji.

W przypadku niektrych rl z tego miejsca jest rwnie dostp do przystawek MMC pozwalajcych na zarzdzanie i konfiguracj danej roli, a take wszelkich komponentw z ni powizanych.

Server Core wstp

Czym jest Server Core? Z pewnoci nie jest to kolejna wersja systemu Windows Server 2008. Mona powiedzie, e jest to nowa opcja instalacyjna tego systemu. Dziki niej mamy moliwo uruchomienia systemu operacyjnego zawierajcego minimalne rodowisko pozwalajce na uruchomienie podstawowych (nie wszystkich) rl. Spord wszystkich rl dostpnych w penej instalacji Windows Server 2008, Server Core oferuje wsparcie dla:
Rys.3 Kreator dodawania funkcji serwera

Active Directory Domain Services Active Directory Lightweight Directory Services DHCP Server DNS Server File Services Print Services Windows Media Services

214

215

Web Server (IIS) Typer-V (Virtualization)

Odpowiedzi jest moliwo uycia: Zdalnych narzdzi administracyjnych ich zastosowanie nie wymaga dokadania adnych dodatkowych komponentw po stronie instalacji Server Core, a jedynie komunikacji do zdalnego systemu przy uyciu odpowiednich protokow sieciowych, np. RPC Lokalnych narzdzi administracyjnych nie oferuj adnego interfejsu uytkownika w rodowisku Server Core.

Dodatkowo, administrator bdzie ma moliwo skorzystania z nastpujcej funkcji: Failover Clustering Network Load Balancing Subsystem for UNIX-based Applications (SUA) Windows Server Backup Multipath I/O Removable Storage Manager BitLocker Drive Encryption SNMP Services Windows Internet Name Service (WINS) Server Telnet client

Instalacja i konfiguracja Server Core

Instalacja
Proces instalacji systemu Server Core przebiega podobnie do instalacji samego serwera Windows Server 2008, z t rnic e musi to by zawsze nowa instalacja. Nie jest dopuszczalna aktualizacja z poprzednich oraz biecej wersji systemw operacyjnych do wersji Server Core. Rwnie wersja Server Core nie moe by aktualizowana do systemu Windows Server 2008. Proces instalacji wersji Server Core przebiega podobnie do instalacji caego systemu Microsoft Windows Server 2008, jedynie na pocztku kreatora naley wskaza opcj instalacji Server Core Installation (rysunek poniej). W dalszej czci kreatora instalacji rwnie administrator ma moliwo skonfigurowania wykorzystywanych przestrzeni dyskowych

Jaki jest cel i korzyci z posiadania takiego systemu? Podstawowe zalety to: Wiksza stabilno i dostpno systemu. Ograniczenie iloci rl jakie dostpne s w Server Core, zmniejsza ryzyko zwizane z nieprawidow konfiguracj poszczeglnych elementw, dziki czemu bezporednio wpywa na stabilno systemu Mniejsze koszty i czas administracyjny zwizany z utrzymaniem serwera w porwnaniu do penej instalacji Windows Server 2008 Zwikszona odporno na ataki ze wzgldu na mniejsz ilo dostpnych usug, ktre mog stanowi potencjalne rdo ataku oraz brak moliwoci uruchamiania aplikacji dziaajcych w interfejsie graficznym Zmniejszenie wymaga sprztowych, mniejsza ilo danych instalowanych wraz z systemem operacyjnym

Przy podejmowaniu decyzji o wdroeniu instalacji typu Server Core, naley wsi pod uwag fakt, e nie moe on stanowi podstawy dla warstwy aplikacyjnej. Jedyne aplikacje dostpne lokalnie i moliwe do uruchomienia w instalacji typu Server Coreto powoka systemowa (CMD) oraz niektre narzdzia administracyjne. Pada wic pytanie, czy i jak mona zarzdza instalacj Server Core?
Rys.4 Wybr instalacji Server Core

216

217

Lokalna konfiguracja Server Core

Poniewa po procesie instalacji administrator nie ma do dyspozycji interfejsu graficznego, proces konfiguracji musi zosta przeprowadzony przy uyciu narzdzi dostpnych w wierszu polece. Pamita naley rwnie o tym, e niektre komendy konfiguracyjne uwzgldniaj wielko liter. Restrykcje z brakiem interfejsu graficznego nie objy jednake wszystkich aplikacji, nadal moemy w trybie graficznym mie dostp do: Notepad.exe Timedate.cpl graficzna regulacja czasu i stref czasowych Intl.cpl graficzne zarzdzanie ustawieniami jzykowymi i stron kodow Taskmgr.exe

3.

Po zapamitaniu wartoci Idx przechodzimy do konfiguracji IP W wierszu polece wpisz. . netsh interface IPv4 set address name = Idx source= static address = 192.168.1.101 mask = 255.255.255.0 gateway=192.168.1.1 gwmetric=1 (gdzie Idx przy parametrze name jest wartoci zapamitan w poprzednim kroku, a wprowadzony przykadowy statyczny adres IP to 192.168.1.101 z 24-bitow mask, dodatkowo zostaa wskazana domylna brama o adresie 192.168.1.1)

Weryfikacj ustawie mona przeprowadzi uywajc polecenia ipconfig.

Konfiguracja waciwoci protokou TCP/IP

Dodatkow konfiguracj protokou TCP/IP ktra moe by wymagana na maszynie z Server Core , jest wskazanie adresw IP serwera DNS, WINS. W takim przypadku mona nadal posuy si przywoywanym ju narzdziem netsh. 1. W wierszu polece wpisz. netsh interface IPv4 set dnsserver name = Idx source = static address = 192.168.1.100 register = primary 2. Potwierdzenie przez klawisz Enter. (w powyszym przykadzie zosta ustawiony adres IP serwera DNS na warto 192.168.1.100 oraz wczona rejestracja nazwy host w oparciu tylko o podstawowy sufiks, podobnie jak wczeniej parametr Idx jest identyfikatorem konfigurowanego interfejsu sieciowego)

Poniej zostay przedstawione podstawowe czynnoci administracyjne, ktre naley wykona po instalacji systemu.

Ustawienie hasa administratora

1. W wierszu polece wprowad, net user administrator * 2. 3. Potwierd przez klawisz Enter. Nastpnie wprowad nowe haso dla konta administratora i ponownie potwierd klawiszem Enter.

Przypisywanie staego adresu IP oraz domylnej bramy

Jeli Server Core powinien posiada skonfigurowany stay adres IP (po instalacji protok TCP/IP korzysta z serwera DHCP), naley wykona czynnoci wskazane poniej. 1. W wierszu polece wprowad netsh interface IPv4 show interface 2. Potwierd przez klawisz Enter. Zostanie wwczas wywietlona lista interfejsw sieciowych dostpnych w konfigurowanym systemie. Do dalszych czynnoci potrzebna jest warto parametru Idx lub Name dla interfejsu, ktry chcemy skonfigurowa. Jednake prostszym w praktycznym wykorzystaniu bdzie Idx, dlatego konfiguracja przedstawiona w dalszej czci wykorzystuje wanie ten parametr.

Inne czynnoci administracyjne

Opis czynnoci Przykad NETDOM RENAMECOMPUTER StaraNazwa / NewName:NowaNazwa /UserO:Administrator /PasswordO:* W przykadzie zostaje zmieniona nazwa z wykorzystaniem konta lokalnego uytkownika Administrator NETDOM JOIN NazwaKopmutera /Domain:NazwaDomeny / UserD:UytkownikDomenowy /PasswordD:* slmgr -ato Cscript %windir%\system32\scregedit.wsf /AU 4 (uycie parametru /AU 1 wycza automatyczn aktualizacj)

Zmiana nazwy serwera

Dodanie do domeny Aktywacja systemu operacyjnego Wczenie automatycznej aktualizacji

218

219

Wczenie zdalnych pocze terminalowych Dooenie sterownikw do systemu operacyjnego Zarzdzanie usugami

Cscript %windir%\system32\scregedit.wsf /AR 0 (uycie parametru /AR 1 wycza dostp terminalowy) Pnputil i a [lokalizacja oraz nazwa pliku INF] Polecenia NET START lub NET STOP Mona te wykorzysta WMIC i kontekst aliasu SERVICE

Zarzdzanie konfiguracj serwera DHCP moe by rwnie przeprowadzone z poziomu konsoli Server Core z wykorzystaniem polecenia netsh i kontekstu dhcp. Nie naley w tym miejscu zapomnie o potrzebie autoryzacji serwera DHCP jeli znajduje si on w rodowisku domenowym. Przykad konfiguracji zakresw DHCP: netsh dhcp server 192.168.1.101 add scope 192.168.1 255.255.255.0 ZakresLokalny OpisZakresu netsh dhcp server 192.168.1.101 add iprange 192.168.1.110 192.168.1.120 netsh dhcp server 192.168.1.101 scope 192.168.1.0 set state 1

Instalacja i usuwanie rl serwerowych

Poniewa instalacja typu Server Core nie dostarcza interfejsu graficznego do zarzdzania serwerem, rwnie proces lokalnej instalacji oraz usuwania nowych rl lub funkcji wymaga uycia wiersza polece. Poniej zostay przedstawione przykadowe polecenia zarzdzajce rolami. Naley pamita o uwzgldnieniu duych i maych znakw w nazwach instalowanych komponentw.

Instalacja pozostaych rl
Serwer plikw. Jest instalowany domylnie, mona jedynie wzbogaci jego funkcjonalno o nastpujce komponenty: File Replication Service: start /w ocsetup FRS-Infrastructure Distributed File System: start /w ocsetup DFSN-Server Distributed File System Replication: start /w ocsetup DFSR-Infrastructure-ServerEdition Network File System: start /w ocsetup ServerForNFS-Base Media Services. Instalacja roli z wiersza polece poprzez wywoanie:

DNS

Jeli chcesz zainstalowa usug DNS w wierszu polece wpisz: Start /w ocsetup DNS-Server-Core-Role Jeli chcesz usun rol DNS Server w wierszu polece wpisz: Start /w ocsetup DNS-Server-Core-Role /uninstall Zarzdzanie usug DNS mone przeprowadzi z konsoli lokalnej wykorzystujc aplikacj dnscmd. Przykad konfiguracji stref DNS: dnscmd /zoneadd test.local /dsprimary dnscmd test.local /zoneadd secondtest. test.local /secondary 192.168.1.2 dnscmd /recordadd gateway A 192.168.1.1

DHCP

Jeli chcesz doda serwer DHCP w wierszu polece wpisz: Start /w ocsetup DHCPServerCore Polecenie Start /w ocsetup DHCPServerCore /uninstall usuwa rol DHCP Server

start /w ocsetup MediaServer Po instalacji konfiguracj naley przeprowadzi zdalnie z poziomu konsoli MMC Serwer wydrukw. Instalacja poprzez wiersz polece: Start /w ocsetup Printing-ServerCoreRole

220

221

Active Directory Lightweight Directory Services.: Start /w ocsetup DirectoryServices-ADAM-ServerCore Serwer internetowy (IIS). Instalacja z domyln konfiguracj, w wierszu polece wprowadzamy: Start /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WASProcessModel Instalacja pozostaej funkcjonalnoci usug IIS wymaga wskazania pakietw poniej znajduje si lista wszystkich opcji: start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IISCommonHttpFeatures;IIS-StaticContent;IIS-DefaultDocument;IISDirectoryBrowsing;IIS-HttpErrors;IIS-HttpRedirect;IISApplicationDevelopment;IIS-ASP;IIS-CGI;IIS-ISAPIExtensions;IISISAPIFilter;IIS-ServerSideIncludes;IIS-HealthAndDiagnostics;IISHttpLogging;IIS-LoggingLibraries;IIS-RequestMonitor;IIS-HttpTracing;IISCustomLogging;IIS-ODBCLogging;IIS-Security;IIS-BasicAuthentication;IISWindowsAuthentication;IIS-DigestAuthentication;IIS-ClientCertificateMappingA uthentication;IIS-IISCertificateMappingAuthentication;IIS-URLAuthorization;IISRequestFiltering;IIS-IPSecurity;IIS-Performance;IIS-HttpCompressionStatic;IISHttpCompressionDynamic;IIS-WebServerManagementTools;IISManagementScriptingTools;IIS-IIS6ManagementCompatibility;IIS-Metabase;IISWMICompatibility;IIS-LegacyScripts;IIS-FTPPublishingService;IIS-FTPServer;WASWindowsActivationService;WAS-ProcessModel Active Directory Domain Services. Do instalacji tych usug wykorzysta naley polecenie dcpromo. Poniewa aplikacja ta nie moe zosta uruchomiona z jej interfejsem graficznym, naley wczeniej przygotowa odpowiedni plik odpowiedzi, a nastpnie w wierszu polece wykona: Dcpromo /unattend:PlikOdpowiedzi Do poprawnego dziaania usug Active Directory Domain Services bdzie potrzebne ponowne uruchomieni serwera. Zarzdza baz domenow mona rwnie z konsoli lokalnej systemu Server Core z wykorzystaniem aplikacji Dsadd dodaje obiekty do bazy Dsget daje moliwo wywietlenia waciwoci wskazanego obiektu Dsmod modyfikacja parametrw obiektu Dsmove przeniesienie obiektu do innej lokalizacji Dsquery wyszukuje obiekty speniajce wskazane kryteria Dsrm suy do usuwania obiektw z bazy Ldifde lub Csvde eksport/import danych Oczywicie dostpna jest rwnie aplikacja ntdsutil.exe

Instalacja funkcji serwera

Podobnie jak w przypadku rl wykorzystujemy aplikacj ocsetup. Poniej zostay przedstawione parametry, ktrych naley uy w wierszu polece w celu zainstalowania wybranej funkcji: Nazwa funkcji wprowadzana przy wywoaniu ocsetup WindowServerBackup BitLocker FailoverCluster-Core Microsoft-Windows-Multipathio NetworkLoadBalancingHeadlessServer Microsoft-WindowsRemovableStorageManagementCore SNMP-SC SUACore TelnetClient WINS-SC

Funkcjonalno Backup BitLocker Drive Encryption Failover Cluster Multipath IO Network Load Balancing Removable Storage Management Simple Network Management Protocol (SNMP) Subsystem for UNIX-based applications Telnet Klient Windows Internet Naming Service (WINS)

Zdalna administracja systemem Server Core

Poniewa instalacja typu Server Core wymaga wstpnej konfiguracji z wykorzystaniem wiersza polece i nie daje moliwoci wykorzystania standardowych narzdzi graficznych, duym uatwieniem w administracji takim systemem jest moliwo zdalnej administracji. W tym celu moemy posuy si nastpujcymi rozwizaniami: Zdalny dostp przez Usugi Terminalowe. Oczywicie zdalna konsola nie pozwoli nam na uywanie aplikacji graficznych, administracja systemem bdzie nadal polegaa na wykorzystaniu wiersza polece. By mona byo terminalowo czy si z systemem Server Core naley w pierwszej kolejnoci zezwoli na poczenia zdalne w wierszu polece wpisz: Cscript %windir%\system32\scregedit.wsf /AR 0 Dobrym rozwizaniem jest rwnie publikacja poprzez usugi terminalowe aplikacji cmd.exe poprzez Terminal Services Remote Programs.

222

223

Wykorzystanie Windows Remote Shell. Podobnie jak w poprzednim przypadku mamy dostp tylko do aplikacji dziaajcych w wierszu polece. 1. Wczenie Remote Shell wymaga z konsoli Server Core wykonania polecenia: Winrm quickconfig 2. Nastpnie z maszyny zdalnej moemy wykona czynnoci administracyjne z uyciem nastpujcej skadni: Winrs r:ZdalnyServer [polecenie, ktre chcemy wykona na zdalnym serwerze] Wykorzystanie zdalnej administracji w oparciu o konsol MMC. System z ktrego chcemy zarzdza Server Core musi posiada zarejestrowane odpowiednie przystawki do konsoli MMC, ktre dadz moliwo zdalnej administracji poszczeglnymi rolami, funkcjami czy waciwociami serwera. Mona si w tym celu posuy dostpn funkcj Remote Server Administration Tools i z niej wybra wszystkie niezbdne konsole administracyjne. W przypadku gdybymy chcieli zdalnie zarzdza podsystemem dyskowym, naley wczeniej na systemie Server Core uruchomi usug vds (Virtual Disk), mona to wykona z wiersza polece na przykad przez Net start vds Naley w tym przypadku pamita o tym, e nie wszystkie czynnoci mona wykona poprzez zdaln administracj przystawkami konsoli MMC. Przykadem moe tu by wczenie/wyczenie automatycznej aktualizacji lub usug zdalnego dostpu. Zarzdzanie poprzez aplikacje wiersza polece dajce moliwo zdalnej konfiguracji systemw. Ostatnim ze sposobw na zdaln administracj systemem Server Core jest wykorzystanie aplikacji wiersza polece, ktre oferuj poprzez parametryzacj moliwo zarzdzania systemami zdalnymi. Przykadem moe tu by aplikacja netdom.

Czym jest PowerShell Cmdlet?

Administratorzy wykorzystujc PowerShell w dalszym cigu maj moliwo uywania standardowych aplikacji i polece interpretera CMD.exe. Jednake nowa powoka oferuje wbudowany zbir polece zwanych cmdlet (command-let). Ich przeznaczeniem jest uatwienie pracy administracyjnej, poprzez wykorzystywanie programw wbudowanych w powok pozwalajcych na wykonywanie skomplikowanych zada. Dziki nim administrator ma moliwo pracy z powok bez znajomoci jzyka skryptowego PowerShell. Polecenia te w wikszoci bazuj na standardowej konwencji nazewniczej czasownik-rzeczownik gdzie czasownik okrela czynno jaka ma zosta wykonana na obiekcie wskazanym przez rzeczownik, na przykad: Get-Help, polecenie get pozwala na wywietlenie informacji o obiekcie wskazanym po prawej stronie mylnika, w przykadzie wywietlenie pomocy, Start-Service polecenie start pozwala na uruchomienie obiektu wystpujcego po prawej stronie mylnika, w tym przykadzie uruchomienie usugi.

Uycie PowerShell w administracji

Podstawowymi zaoeniami Windows PowerShell s dostarczenie lepszych, atwiejszych w uyciu narzdzi administracyjnych pozwalajcych na pen kontrol systemw w trybie interaktywnym lub te przy wykorzystaniu skryptw. Administracja z wykorzystaniem powoki PowerShell pozwala na Zarzdzanie procesami lokalnymi. Poprzez dwa polecenia Get-Process i Stop-Process administrator ma moliwo wykonywania skomplikowanych czynnoci zwizanych z monitorowaniem i zarzdzaniem uruchamianymi procesami. Zarzdzanie usugami lokalnymi. Polecenia cmdlet przeznaczone do administracji usugami to: Get-Service, Resume-Service, Start-Service, Stop-Service, Restart-Service, Suspend-Service, Set-Service, New-Service Zbieranie informacji o konfiguracji maszyny. Cmdlet Get-WmiObject jest bardzo wanym poleceniem, ktre umoliwia efektywne zarzdzanie systemem. Wszystkie krytyczne podsystemy i komponenty posiadaj swoj reprezentacj w repozytorium WMI. Dodatkowo WMI gromadzi informacje dotyczce tych obiektw a powoka PowerShell pozwala pracowa z tymi obiektami, przeglda przechowywane wartoci pojedynczych lub wielu obiektw w tym samym czasie, co pozwala na uproszczenie wielu zaawansowanych czynnoci administracyjnych Prac z Software Installation. Poniewa nie wszystkie aplikacje wykorzystuj w procesie instalacji usug Windows Installer, Windows PowerShell moe by elementem wspierajcym zautomatyzowan instalacj oprogramowania w przypadkach kiedy prawidowe przeprowadzenie procesu instalacji wymaga manipulowania zasobami typu pliki, foldery czy klucze rejestrowe

Windows PowerShell wstp

Windows PowerShell jest now powok systemu operacyjnego, ktra daje moliwo obsugi wiersza polece i nowego jzykw skryptw. Ma za zadanie wspomc prac administracyjn poprzez automatyzacj obsugi systemu operacyjnego. Udostpnia zestaw narzdzi oferujcych spjn skadnie i pozwalajcych efektywniej, szybciej i wydajniej zarzdza takimi danymi jak rejestr, Windows Management Instrumentation (WMI), usugami np. Active Directory. Niewtpliw zalet powoki PowerShell jest moliwo obsugi istniejcych skryptw VBScript (*.vbs), batch file (*.bat) czy te perl. Dziki temu w organizacji nie ma potrzeby wykonywania migracji istniejcych rozwiza skryptowych, a w oparciu o now powok i jej funkcjonalno wykorzystywanie istniejcych rozwiza i rozwijanie o now funkcjonalno.

224

225

Zmian stanu systemu. Cmdlet Get-WmiObject pozwala na zmian stanu systemu poprzez klas Win32_OperatingSystem reprezentujc system operacyjny. Uycie metody Win32Shutdown z odpowiednim parametrem daje moliwo Opis dziaania Wylogowanie Wymuszone wylogowanie Zamknicie systemu (Shutdown) Wymuszone zamknicie systemu (Shutdown) Ponowne uruchomienie systemu Wymuszone ponowne uruchomienie systemu Zamknicie systemu (Power Off ) Wymuszone zamknicie systemu (Power Off ) PS C:\> (Get-WmiObject Win32_OperatingSystem).Win32Shutdown(0)

Warto parametru 0 4 1 5 2 6 8 12

Wykonywanie czynnoci zwizanych z konfiguracj sieci. Podobnie jak w przypadku zmiany stanu systemu, dziki repozytorium WMI, powoka PowerShell umoliwia konfiguracj interfejsw sieciowych, Klas, ktra jest wykorzystywana w tym przypadku jest Win32_NetworkAdapterConfiguration. Prac z katalogami i plikami. Podstawowa codzienna praca wymaga rwnie wykonywania operacji na systemie plikw, PowerShell udostpnia odpowiednie polecenia umoliwiajce tak prac. Przykadem mog tu by cmdlet Set-Location, ktry jest odpowiednikiem polecenia CD, czy te Get-ChildItem, odpowiednik polecenia DIR. Oprcz tego administrator moe wykorzysta w codziennej pracy nastpujce polecenia Opis tworzy nowe elementy usuwa istniejce elementy kopiuje elementy przenosi elementy zmienia nazw elementw uruchamia program lub otwiera plik przy pomocy skojarzonego program

Polecenie New-Item Remove-Item Copy-Item Move-Item Rename-Item Invoke-Item

Administrator ma rwnie moliwo zarzdzania systemami zdalnymi, na przykad poprzez wykonanie nastpujcego polecenia PS C:\ > (Get-WmiObject Win32_OperatingSystem ComputerName SERWER1). Win32Shutdown(0) __GENUS __CLASS __SUPERCLASS __DYNASTY __RELPATH __PROPERTY_COUNT __DERIVATION __SERVER __NAMESPACE __PATH ReturnValue :2 : __PARAMETERS : : __PARAMETERS : :1 : {} : : : :0

Prac z rejestrem. Powoka PowerShell pozwala na operacje w rejestrze z wykorzystaniem polece uywanych w pracy z systemem plikw. Dziki temu praca z zawartoci rejestru jest zbliona do pracy z systemem plikw.

Instalacja Windows PowerShell

W systemie operacyjnym Microsoft Windows Server 2008 powoka PowerShell jest dostpna jako jedna z funkcji. Windows PowerShell moe zosta rwnie zainstalowany na starszych systemach operacyjnych, na przykad Windows XP z SP2, Windows Server 2003 z SP1 czy te Windows Vista, pod warunkiem, e na tych systemach rwnie znajdzie si Microsoft .NET Framework 2.0, ktry jest wymagany do poprawnego dziaania powoki. Po instalacji, powok moemy uruchomi wykorzystujc skrt dostpny w menu Start | Programs | Windows PowerShell lub poprzez uruchomienie z menu Run polecenia PowerShell.

Uycie polece interpretera CMD

Podobnie jak w standardowym interpreterze CMD mamy moliwo poruszania si po strukturze dysku oraz uruchamiania jego polece.

226

227

1. 1. 2. Uruchom PowerShell. Po uruchomieniu powoki zostanie wywietlony znak zachty, ktry domylnie znajduje si w katalogu Users zalogowanego uytkownika. PS C:\Users\Administrator> 3. Zmie katalog wprowadzajc polecenie PS C:\Users\Administrator> cd c:\ 4. Wywietl zawarto katalogu PS C:\> dir 5. Wpisz polecenie ipconfig/all wysyajc wynik do pliku tekstowego PS C:\> ipconfig /all > wynik.txt 6. Przejrzyj wynik uywajc Notatnika PS C:\> notepad wynik.txt Jednake PowerShell oferuje moliwo uruchamiania polece wieloskadnikowych w jednym wierszu. Poszczeglne polecenia s rozdzielane rednikiem. Kroki opisane powyej mog zosta wobec tego wywoane w nastpujcy sposb. 1. 2. Uruchom PowerShell Wykonaj polecenie wieloskadnikowe PS C:\Users\Administrator> ipconfig /all > wynik.txt; notepad wynik.txt 3. Wykonaj polecenie wieloskadnikowe, ktre do istniejcego pliku zawierajcego wynik polecenia ipconfig/all docz do wyniuk dziaania polecenia router print, wykorzystaj do tego znak przekserowania i doczenia (>>). PS C:\Users\Administrator> ipconfig /all >nowy_wynik.txt; route print >> nowy_ wynik.txt; notepad nowy_wynik.txt 3. 2.

Uruchom PowerShell Wykonaj polecenie PS C:\> Get-Command *-service CommandType ----------Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Name ---Get-Service New-Service Restart-Service Resume-Service Set-Service Start-Service Stop-Service Suspend-Service Definition ---------Get-Service [[-Name] <String.. New-Service [-Name] <String>.. Restart-Service [-Name] <Str.. Resume-Service [-Name] <Stri.. Set-Service [-Name] <String>.. Start-Service [-Name] <Strin.. Stop-Service [-Name] <String.. Suspend-Service [-Name] <Str..

Wykonanie powyszego polecenia pokazao wszystkie operacje jakie mog zosta wykonane na usugach. Jeeli potrzebujesz pomocy dotyczcej jakiego polecenia moesz uy nastpujcej skadni. PS C:\> get-help get-service Alternatyw moe by uycie polecenia PS C:\> get-service -? NAME Get-Service SYNOPSIS

Zarzdzanie usugami
W przypadku administracji usugami serwera powoka PowerShell oferuje zestaw cmdlet, ktre pozwalaj przeglda istniejce usugi oraz zarzdza ich waciwociami. Na pocztku wywietl list dostpnych polece zwizanych z usugami systemowymi (obiekt service).

Gets the services on the local computer. SYNTAX Get-Service [[-name] <string[]>] [-include <string[]>] [-exclude <string[]> ] [<CommonParameters>]

228

229

4.

Do wywietlenia listy dostpnych usug wybierz polecenie. PS C:\> get-service Status -----Running Stopped Stopped Stopped Running Running Running Running Stopped Stopped Name ---AeLookupSvc ALG Appinfo AppMgmt AudioEndpointBu... AudioSrv BFE BITS Browser CertPropSvc DisplayName ----------Application Experience Application Layer Gateway Service Application Information Application Management Windows Audio Endpoint Builder Windows Audio Base Filtering Engine Background Intelligent Transfer Ser... Computer Browser Certificate Propagation... 6.

Dispose Equals ExecuteCommand GetHashCode GetLifetimeService GetType

Method Method Method Method Method Method

System.Void Dispose() System.Boolean Equals(Object obj) System.Void ExecuteCommand(Int32 com... System.Int32 GetHashCode() System.Object GetLifetimeService() System.Type GetType()

Powyszy przykad uywa znaku przekazujcego strumienie danych (|) pozwalajcego na czenie wielu komend poprzez przekazanie danych z komendy poprzedniej do nastpnej. Jeli chcesz zawzi list otrzymywanych informacji tylko do waciwoci zwizanych z usugami wykonaj polecenie. PS C:\> get-service | Get-Member -MemberType property TypeName: System.ServiceProcess.ServiceController Name ---CanPauseAndContinue CanShutdown CanStop Container DependentServices DisplayName MachineName ServiceHandle ServiceName .. Dodatkowo w zwracanym wyniku dostajemy informacj o tym czy dana waciwo moe by czytana i modyfikowana {get;set;} w polu Definition MemberType ---------Property Property Property Property Property Property Property Property Property Definition ---------System.Boolean CanPauseAndContinue {get;} System.Boolean CanShutdown {get;} System.Boolean CanStop {get;} System.ComponentModel.IContainer... System.ServiceProcess.ServiceControl... System.String DisplayName {get;set;} System.String MachineName {get;set;} System.Runtime.InteropServices.Safe... System.String ServiceName {get;set;}

Powysze polecenie zwrcio list usug oraz pewne ich waciwoci. Jeeli ilo zwracanych informacji jest zbyt maa potrzebujesz informacji o tym jakie inne waciwoci s przypisane do danego obiektu. 5. Uyj komendy get-member do zwrcenia informacji o metodach i waciwociach dostpnych dla usug systemowych. PS C:\> get-service | Get-Member TypeName: System.ServiceProcess.ServiceController Name ---Name add_Disposed Close Continue CreateObjRef MemberType ---------AliasProperty Method Method Method Method Definition ---------Name = ServiceName System.Void add_Disposed(EventHandle... System.Void Close() System.Void Continue() System.Runtime.Remoting.ObjRef Creat...

230

231

7.

Jeeli chcesz zmieni sposb prezentacji wynikw wykonaj nastpujce polecenie. PS C:\> Get-Service | Sort-Object Status, ServiceName | Format-List ServiceName, Status, ServicesDependedOn

Powoka PowerShell daje rwnie moliwo ustawiania parametrw usug, takich jak sposb uruchomienia. Take zatrzymanie, uruchomienie, wstrzymanie oraz wznowienie dziaania usug moesz wykona z poziomu powoki poprzez polecenia cmdlet 1. Uruchom PowerShell Zmie sposb uruchomienia usugi Windows Audio Endpoint Builder wykonujc nastpujce polecenie. PS C:\> $usluga = get-service -displayname Windows Audio End* PS C:\> $usluga.Name PS C:\> Set-Service name $usluga.Name description Nowy opis uslugi StartupType Automatic W powyszym przykadzie uyto zmiennej, do ktrej zostaa przypisana modyfikowana usluga, nastpnie korzystajc z waciwoci (Name) zmieniono opis i spso uruchamiania danej uslugi. 3. Korzystajc z przypisania uslugi do zmiennej moemy rwnie uywa dostpnych metod danego obiektu. W przypadku usug s to na przykad Stop(), Start(), Pause(), Continue(). PS C:\> $service.Start() Jeli w konsoli nie zostanie zwrcony bd, polecenie zostao wykonane poprawnie. W przypadku na przykad prby ponownego uruchomienia ju dziaajcej usugi dostaniemy bd. Exception calling Stop with 0 argument(s): Cannot stop AudioEndpointBuilder .. At line:1 char:13 + $usluga.Stop( <<<< )

ServiceName : ALG Status : Stopped ServicesDependedOn : {}

2.

ServiceName : Appinfo Status : Stopped ServicesDependedOn : {RpcSs, ProfSvc}

ServiceName : AppMgmt Status : Stopped ServicesDependedOn : {} ... ServiceName : AeLookupSvc Status : Running ServicesDependedOn : {}

ServiceName : BFE Status : Running ServicesDependedOn : {RpcSs} Przykad uywa cmdlet Sort-Object do wskazania porzdku sortowania zwracanych wynikw (w przykadzie pierwsz grup sortowania stanowi waciwo Status, drug ServiceName, dodatkowo prezentacja danych zostaa uoona w formacie listy i zwracane s pola ServiceName, Status oraz ServicesDependedOn w wymienionej kolejnoci

4.

Naley w tym miejscu zaznaczy, ze nie kada usluga daje moliwo wstrzymania dziaania (Pause/Continue). Jeli chcesz zobaczy waciwo wskazujc czy usluga daje taka moliwo, wykonaj nastpujce polecenie. PS C:\> $usluga.CanPauseAndContinue False

232

233

Zarzdzanie procesami
Powoka PowerShell daje rwnie moliwo zarzdzania lokalnymi procesami. Masz dostp do takich polece cmdlet jak Get-Process oraz Stop-Process. Polecenia te mog posuy rwnie do monitorowania stanu i aktywnoci procesw w lokalnym systemie. 1. 2. Uruchom PowerShell Uruchom nowy proces Notepad.exe wprowadzajc nastpujce polecenie. PS C:\> notepad 3. Wywietl uruchomione procesy PS C:\> Get-Process

6.

Jeli chcesz zobaczy procesy, ktre wykorzystuj wicej ni 50MB RAM, wykonaj polecenie PS C:\> get-process | where-object {$_.WorkingSet -gt 50000000} Handles ------628 511 NPM(K) -----41 24 PM(K) ----WS(K) ----VM(M) CPU(s) ---------68.00 22.75 Id -956 2104 ProcessName ----------mmc powershell

175228 135312 692 76224 76032 580

W przykadzie zostaa dodatkowo wykorzystana komenda where-object, ktra pozwala na filtrowanie obiektw i wykonywanie na nich dostpnych operacji. Zaoony filtr sprawdza czy waciwo WorkingSet jest wiksza od 50 000 000 bajtw. Zosta tu rwnie uyty operator porwnawczy, poniej znajduje si zestawienie dostpnych operatorw. WS(K) ----3584 VM(M) CPU(s) ----6760 -----Id -ProcessName ----------cmd Operator eq ne gt -ge Opis Rwny Rny wikszy, wikszy lub rwny mniejszy, mniejszy lub rwny Jeli chcesz zatrzyma wybrany proces, moesz do tego uy nastpujcej skadni. PS C:\> Stop-Process id 49 8. Jeli chcesz zatrzyma wszystkie procesy realizowane przez na przykad program Notepad uyj nastpujcej skadni. PS C:\> Stop-Process name notepad Id -ProcessName ----------notepad 9. Jeli chcesz zatrzyma procesy wykorzystujce na przykad wicej ni 50MB RAM wykonaj polecenia PS C:\> $procesy = get-process | where-object {$_.WorkingSet -gt 50000000} PS C:\> Stop-Porcess InputObject $procesy W przykadzie zostaa wykorzystana zmienna $procesy, ktra gromadzi list procesw speniajcych okrelone kryteria.

Handles -------

NPM(K) -----82

PM(K) ----6

65 0.42 3068

171 49 4. 15 5 4172 2056 8600 5204 81 0.08 2540 63 0.38 2256 msdtc notepad

lt le 7.

Opis zwracanych informacji znajdziesz w pomocy szczegowej dla polecenia GetProcess, wykonujc ponisze polecenie. Get-Help Get-Process Full > c:\process.txt

5.

Wywietl stan procesu Notepad.exe poprzez polecenie. PS C:\> Get-Process -name notep* Handles ------NPM(K) -----49 PM(K) ----5 WS(K) ----2056 VM(M) CPU(s) ----5204 ------

63 0.38 2256

234

235

10. Jeli chcesz zatrzyma procesy o konkretnych nazwach wykonaj nastpujce polecenia PS C:\> $lista = Get-Process -name notepad, iex* PS C:\> Stop-Process -InputObject $lista W przykadzie zostaj zatrzymane wszystkie procesy notepad oraz te, ktrych nazwy rozpoczynaj si na iex

5. 6.

Ponownie sprawd czy proces notepad jest uruchomiony. Proces dziaa dalej mimo wywoania cmdlet Stop-Process w poprzednim punkcie. Uruchom kolejny proces notepad PS C:\> notepad

7.

Sprawd list procesw notepad PS C:\> Get-Process -name notepad

Kontrolowanie wykonywanych polece

Poniewa powoka PowerShell oferuje olbrzymie moliwoci konfiguracji i zarzdzania systemem, bardzo istotnym wydaje si moliwo kontrolowania procesu wykonywanych polece. Do dyspozycji s dwa argumenty whatIf, confirm oraz suspend -whatIf Argument ten uyty w wykonywanym poleceniu powoduje zwrcenie informacji o tym jak zadziaa wywoane polecenie przed jego rzeczywistym wykonywaniem. -confirm Argument ten powoduje, ze wybrane polecenie wymaga potwierdzenia przed wykonaniem Suspend Powoduje wstrzymanie dziaania polecenia, ktre zostao wywoane i oczekuje na potwierdzenie. Dziki temu mamy moliwo wykonania innych polece, ktre na przykad s wymagane do poprawnego wykonania polecenia wstrzymanego, a ktrych zapomnielimy wykona wczeniej. 1. 2. Uruchom PowerShell Uruchom notepad PS C:\> notepad 3. Sprawd czy proces notepad jest uruchomiony PS C:\> Get-Process -name notepad Handles NPM(K) PM(K) -----------49 4. ----5 WS(K) ----2056 VM(M) ----5204 CPU(s) -----63 Id -0.38 ProcessName ----------3592 notepad 8. Handles NPM(K) PM(K) -----------49 54 ----5 5 WS(K) ----2056 2272 VM(M) ----5204 5712 CPU(s) -----62 63 Id -0.20 0.38 ProcessName ----------2496 3592 notepad notepad

Wykonaj polecenie zatrzymujce proces notepad z argumentem confirm PS C:\> Stop-Process -name notepad confirm

9.

Pojawi si wwczas nastpujca informacja Confirm Are you sure you want to perform this action? Performing operation Stop-Process on Target notepad (2496). [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is Y):

10. Wpisz y i nacinij ENTER, proces zostanie zatrzymany i ponownie pojawi si komunikat Confirm Are you sure you want to perform this action? Performing operation Stop-Process on Target notepad (3592). [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is Y) 11. Tym razem wpisz s i nacinij ponownie ENTER. Polecenie zostanie wstrzymane, a w znaku zachty pojawi si potrojona strzaka. PS C:\>>>

Wykonaj polecenie zatrzymujce proces notepad z argumentem -whatIf PS C:\> Stop-Process -name notepad -whatIf What if: Performing operation Stop-Process on Target notepad (3592).

236

237

12. Uruchom kolejny proces notepad i wywietl list dziaajcych procesw notepad. PS C:\>>> notepad PS C:\>>> get-process -name notepad

Handles NPM(K) PM(K) -----------51 54 ----5 5

WS(K) ----1648 2272

VM(M) ----4308 5712

CPU(s) -----62 63

Id -0.03 0.38

ProcessName ----------1792 3592 notepad notepad

W ten sposb zawiesie dziaanie polecenia Stop-Process i masz moliwo wykonywania dodatkowych niezbdnych czynnoci w trakcie dziaania tego polecenia 13. Wpisz exit i nacinij ENTER by wrci do gwnego polecenia. Ponownie zobaczysz komunikat gwny potwierdzenia zatrzymania procesu notepad. PS C:\>>> exit

Confirm Are you sure you want to perform this action? Performing operation Stop-Process on Target notepad (3592). [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is Y): 14. Wpisz y i nacinij ENTER. Nastpnie wywietl list procesw notepad. PS C:\> get-process -name notepad

Handles NPM(K) PM(K) -----------51 ----5

WS(K) ----1648

VM(M) ----4308

CPU(s) -----62

Id -0.03

ProcessName ----------1792 notepad

Zwr uwag, ze proces, ktry zosta uruchomiony podczas wstrzymanego polecenia Stop-Process dziaa nadal.

238

239

8.

Wysoka dostpno

Wprowadzenie
Zachowanie cigoci procesw biznesowych wymaga stosowania rozwiza oferujcych wysok dostpno aplikacji i usug, na przykad klastra niezawodnociowego. Niestety, dotychczas byo to rozwizanie skomplikowane, wymagajce wysokich nakadw przy wdraaniu i wyspecjalizowanej kadry do obsugi. Ponadto nie istniaa moliwo atwego tworzenia klastrw rozproszonych geograficznie. Udoskonalenia wprowadzone w wersji klastra niezawodnociowego dla systemu operacyjnego Windows Server 2008 z powodzeniem eliminuj wikszo problemw zwizanych z wczeniejszymi wersjami. Jednoczenie znacznie upraszczaj procedury zwizane z instalacj i zarzdzaniem klastrem. Poniszy rozdzia przedstawia zmiany wprowadzone do klastra niezawodnociowego w systemie Windows Server 2008 oraz cechy, dziki ktrym powinno to by rozwizanie nadajce si do zainstalowania take w maych i rednich przedsibiorstwach, wymagajcych zapewnienia cigoci procesw biznesowych. Taki stan rzeczy zosta osignity midzy innymi dziki: Usprawnieniom procesu instalacji klastra i migracji danych. Usprawnieniom w zarzdzaniu klastrami. Usprawnieniom w zarzdzaniu i konfiguracji pamici masowych. Usprawnieniom dotyczcym bezpieczestwa danych. Usprawnieniom w obsudze sieci.

Klastry niezawodnociowe
Wstp
Funkcja klastra niezawodnociowego w Windows Server 2008 zostaa ulepszona pod ktem atwoci uytkowania, stabilnoci i bezpieczestwa. Klaster jest to grupa wielu komputerw dziaajcych jak jeden system w celu zwikszenia redundancji i dostpnoci. Komputery bdce czci klastra nazywane s wzmi (nodes).

241

Korzystanie z klastrw niezawodnociowego pozwala organizacjom uywa wysoce dostpnych rozwiza w celu dotrzymania zobowiza wynikajcych z gwarancji jakoci wiadczonych usug (SLA) dla serwera i cigoci dziaania aplikacji. Aplikacjami, ktre najlepiej nadaj si do skonfigurowania w klastrze niezawodnociowym s te, ktre uywaj scentralizowanych zbiorw danych. Aplikacje, takie jak SQL Server, Exchange Server i usugi, takie jak DHCP plik i drukowanie oraz WINS korzystaj ze scentralizowanych zbiorw , danych i dlatego nadaj si idealnie do konfigurowania do pracy w klastrze niezawodnociowym. Skonfigurowanie tych aplikacji i usug w klastrze pozwala zapewni ich wysok dostpno dla uytkownikw. Mae i rednie firmy czsto unikaj tworzenia klastrw niezawodnociowych , poniewa jest to uwaane za trudn i wymagajc technologi. Wypuszczenie na rynek Windows Server 2008 uatwi wdraanie klastrw niezawodnociowych przedsibiorstwom rnych rozmiarw.

nawiza poczenie z klastrem, a zasady przeczenia poawaryjnego zostan zaimplementowane. Domyln zasad przeczenia poawaryjnego jest zapobieganie przeczeniu poawaryjnemu.

Zmiany w klastrach niezawodnociowych w systemie Windows Server 2008

Rola klastra niezawodnociowego w Windows Server 2008 oferuje wiele znaczcych ulepsze pomagajcych w tworzeniu wysoce dostpnych rozwiza z zakresu klastrw serwerw i zarzdzania nimi. Nowe cechy przyczyniaj si do uproszczenia procesu wdraania i zarzdzania klastrami, co redukuje caociowy koszt posiadania (TCO) klastrw. Zmniejszenie TCO sprawia, e klastry niezawodnociowe stanowi atrakcyjne rozwizanie dla przedsibiorstw rnej wielkoci. Nowe cechy i ulepszenia dotyczce klastrw w systemie opercyjnym Windows Server 2008 uwzgldniaj: Instalacj i migracj. Zarzdzanie klastrami i funkcjonowanie. Zwikszanie dostpnoci. Prac z pamiciami masowymi. Prac z sieciami i konfiguracj zabezpiecze sieci.

Korzyci ze stosowania klastrw niezawodnociowych

Korzystanie z klastrw niezawodnociowych zapewnia kilka korzyci dotyczcych serwera oraz rozmieszcze aplikacji, wczajc: Redukcj okresu przestoju w wypadku awarii serwera. Redukcj okresu przestoju w wypadku awarii systemu operacyjnego. Redukcj okresu przestoju podczas planowanych konserwacji serwera.

Firmy, ktre musz spenia warunki wynikajce z gwarancji jakoci wiadczonych usug lub prowadzi aplikacje kluczowe dla codziennych interesw korzystaj z klastrw, aby osign wymagan sprawno serwera. Warto tej sprawnoci jest czsto opisywana liczb dziewitek. Nie s rzadkoci firmy dce do piciu dziewitek sprawnoci (99,999%), co oznacza mniej ni 10 minut przestoju serwera w cigu roku. Aplikacje i usugi w klastrze mog by przedmiotem trzech rnych dziaa: Przeniesienie. Operator zainicjowa przeniesienie pojedynczej instancji grupy zasobw do innego wza w klastrze. Moe tego dokona albo w przystawce Failover cluster Management wybierajc akcj Move this service or application to another node lub poprzez uycie narzdzia wiersza polece cluster.exe z wykorzystaniem przecznika /move dla grupy zasobw. Przeczenie awaryjne. Przeniesienie grupy zasobw do innego wza w klastrze w wypadku awarii zasobu (lub wielu zasobw) w grupie. Przeczenie poawaryjne. Jeli przeczenie awaryjne nastpio dla grupy zasobw i ta grupa zostaa przeniesiona do innego komputera w klastrze, gdy awarii uleg komputer, na ktrym bya pierwotnie udostpniana, wwczas zasoby zostan na ten komputer z powrotem przeniesione, gdy tylko z powodzeniem udao si

Do nowych cech i ulepsze w systemie operacyjnym Windows Server 2008 zaliczamy: Lepsz weryfikacj klastra poprzez narzdzie Kreatora Werfikowania Konfiguracji Klastra. Uproszczenie procedur instalacyjnych i zarzdzania opartego na zadaniach dziki przystawce Cluster Administrator. Zwikszone wsparcie wza klastra przez 64 bitow edycj systemu operacyjnego Windows Server 2008 Now architektur kworum (Witness disk). Ulepszone funkcjonalnoci adresowania IP (IPv6, DHCP). Eliminacj wymogu konfiguracji wirtualnej sieci (VLAN) dla rutowalnej komunikacji klastra. Eliminacj zalenoci od protokou NetBIOS. Wsparcie dla pamici masowych komunikujcych si poprzez wiatowd, iSCSI lub SAN.

242

243

Komponenty klastrw niezawodnociowych

Udana implementacja klastra jest zalena od spenienia koniecznych wymaga dotyczcych sprztu, oprogramowania i konfiguracji. Oto wymagania: Windows Server 2008 wersja Enterprise lub Datacenter Przynajmniej dwie karty sieciowe dla kadego wza w klastrze Wsplna pami masowa dla wzw w klastrze Sprzt certyfikowany jako Designed for Windows Server 2008

Udoskonalenia w zarzdzaniu i funkcjonowaniu klastrw

Wszystkie udoskonalenia procesu instalacyjnego uatwiaj instalowanie klastra i redukuj moliwo wystpienia bdu lub zestawienia nieprawidowej konfiguracji. Zmiany dokonane w funkcjonalnoci klastra nie kocz si jednak na tym. Windows Server 2008 zawiera take usprawnienia w zarzdzaniu i funkcjonowaniu klastra.

Klastrowe narzdzia administracyjne

Weryfikowanie zawartoci wza klastra

Tworzenie klastrw zawsze byo uwaane za trudne do poprawnego wdroenia. Traktowane byo jako wyspecjalizowana i wysoce techniczna funkcja, ktra moe zosta wdroona, a nastpnie zarzdzana wycznie przez dowiadczonego specjalist IT. Funkcja klastra w Windows Server 2008 rozpoczyna now er, upraszczajc proces tworzenia klastrw i usuwajc wiele technicznych trudnoci, ktre uniemoliwiay szersze stosowanie klastrw jako popularnego rozwizania chronicego dane. Windows Server 2008 wprowadza wiele nowoci: Uproszczony process instalacji nowych klastrw. Nowe narzdzie uatwiajce migracj istniejcych klastrw. Nowa konsola administracyjna upraszczajca zarzdzanie i konfiguracj. Zwikszona dostpno poprzez wsparcie wikszej liczby wzw na klaster. Udoskonalona konfiguracja pamici masowych i zada zarzdzania. Udoskonalone funkcje sieciowe. Udoskonalone mechanizmy bezpieczestwa.

Nowa, atwa w obsudze konsola zarzdzania zapewnia oparte na zadaniach zarzdzanie poszczeglnymi wzami w klastrze, nowymi wzami dodanymi do klastra, a take tworzenie klastra dla aplikacji lub usug. Nowa przystawka do konsoli MMC umoliwia zarzdzanie wieloma klastrami z poziomu jednej konsoli, a take pozwala na dynamiczne i szybkie dodawanie zasobw do pracujcych klastrw. Zaaawansowane zarzdzanie klastrem poprzez narzdzia lini polece jest dostpne w systemie operacyjnym Windows Server 2008 z wykorzystaniem polecenia cluster.exe. ledzenie zdarze dla Windows (ETW) jest bardziej wydajnym i szybszym narzdziem, ktre zastpio poprzedni metod debugowania do pliku cluster.log. ETW moe dostarcza penej informacji o systemie lub zosta wykorzystane do mierzenia konkretnych wskanikw w konkretnych rodowiskach. Tworzenie kopii zapasowych i odtwarzanie danych pracuj teraz w kontekcie nowego moduu zapisujcego usugi kopiowania woluminw w tle (VSS) . Przegldanie klastrw ujawnia tylko cieki i udziay, ktre s przypisane do klastra. Zasoby, ktre nie wchodz w skad konfiguracji klastra i s zasobami lokalnymi wzw, nie s wyswietlane.

Udoskonalenia w procesie instalacji klastra

Aspekty zwizane z tworzeniem klastrw w poprzednich wersjach systemu Windows czsto powodoway zamieszanie wrd wielu osb i skutkoway tym, e albo niewaciwie konfiguroway one klaster albo po prostu poddaway si, rezygnujc z tworzenia klastrw. Klienci firmy Microsoft raportowali, i tworzenieie klastrw nie byo wystarczajco intuicyjne lub byo zbyt trudne do poprawnego wdroenia. W celu przezwycienia problemw zwizanych z poprzednimi wersjami, Microsoft wprowadzi udoskonalenia do procesu instalacyjnego, ktre pomagaj wyeliminowa problemy z konfiguracj. Nowe narzdzie dostpne w Windows Server 2008 dokonuje penego sprawdzenia konfiguracji klastra , uwzgldniajc testy wzw, testy sieci i testy pamici masowych. Nowy kreator instalacji upraszcza tworzenie klastra, za nowe funkcje skryptw umoliwiaj automatyzacj instalacji i konfiguracji klastra.

Udoskonalenia konfiguracji i zarzdzania pamiciami masowymi

Wsparcie dla pamici masowych z interfejsem wiatowodowym FC, iSCSI ewentualnie szeregowo podczonym SCSI (SAS), w poczeniu z udoskonaleniem wsppracy pomidzy klastrem i pamici masow, pozwalaj na zwikszenie wydajnoci klastra. Wprowadzono nastpujce udoskonalenia: Moliwo dodawania dyskw w trakcie pracy aplikacji bez ryzyka zaburzenia jej funkcjonowania. Wsparcie dla dyskw z tablic partycji GUID, pozwalajce na tworzenie woluminw wikszych ni 2 TB. Minimalne zakcenia klastra w trakcie zada sprawdzania pracy dysku.

244

245

Dodawanie dyskw w trakcie pracy aplikacji klastra

Klastry w systemie Windows Server 2008 s bardziej dynamiczne ni w poprzednich wydaniach. Dodatkowe dyski mog by udostpnione klastrowi podczas pracy aplikacji. Zalenoci zasobw mog by modyfikowane bez przenoszenia zasobw do trybu offline, co oznacza, e uytkownik moe udostpni dodatkowy dysk bez koniecznoci dostpu do aplikacji.

Udoskonalenia w bezpieczestwie
Usuga klastrowania w systemie Windows Server 2008 pracuje w kontekcie bezpieczestwa konta LocalSystem. Korzystanie z konta LocalSystem wzmacnia bezpieczestwo, eliminujc potrzeb korzystania z dodatkowego konta uytkownika. Korzystanie z konta Local System zapobiega take konfliktom obiektw zasad grupy, ktre mogyby skutkowa awari usugi z powodu blokady lub wyganicia kont.

Lepsza wydajno pamici masowych i stabilno dziaania

Kiedy klaster komunikuje si z sieci pamici masowych (SAN) lub przyczan bezporednio pamici masow (DAS), korzysta on z nowego algorytmu ustawicznego arbitrau. Poprzednie wersje klastra korzystay z SCSI bus resets, co mogo zakca funkcjonowanie SAN. Dyski w systemu Windows Server 2008 nigdy nie s pozostawiane w stanie niechronionym, dziki czemu zostaje zmniejszone ryzyko awarii woluminu. Konfiguracja klastra z wykorzystaniem Virtual Server 2005 ze wspdzielon szyn SCSI nie jest ju wspierana. Klastry korzystajce ze wspdzielonej szyny SCSI wymagaj uycia interfejsu SAS, ktry nie jest obsugiwany przez Virtual Server 2005.

Uwierzytelnianie protokoem Kerberos i wzmocnione szyfrowanie

Mechanizmy uwierzytelniania zostay zmienione, tak aby stosowa wycznie protok Kerberos do uwierzytelniania. Protok Kerberos jest wykorzystywany przez domeny Windows 2000 i w pniejsze. Uwierzytelnianie wycznie protokoem Kerberos w usugach klastrowych Windows Server 2008 zapewnia model wzajemnej identyfikacji , ktry oferuje wzmocnione szyfrowanie i lepsz wydajno.

Ulepszony audyt

Wsparcie dla wikszych partycji

Wykorzystanie dyskw z tablic partycji GUID (GPT) umoliwia administratorom nie tylko korzystanie z woluminw wikszych ni 2 TB, ale take wykorzystanie wbudowanej redundancji. Dyski GPT, w przeciwiestwie do dyskw master boot sector (MBR), obsuguj wiksz liczb woluminw, umoliwiajc utworzenie do 128 partycji na jednym dysku, ale przyrost wielkoci woluminw moe doprowadzi do wyduenia czasu trwania zada serwisowych. Chocia narzdzie CHKDSK byo udoskonalane z kadym kolejnym wydaniem systemu Windows, nadal bezpieczniej jest przewidzie wicej czasu na przeprowadzenie analizy dla wikszych woluminw.

Nowe funkcje zwizanie z audytem w systemie Windows Server 2008 pozwalaj na szczegowe ledzenie dostpu do klastra awaryjnej jego zasobw, a take na integracj z Security Log in Event i innymi aplikacjami do monitorowania aplikacji, jak Microsoft Operations Manager (MOM). Dziki audytowi klastra Windows Server 2008 mona ledzi, kto korzysta z klastra i kiedy.

Udoskonalenia w komunikacji sieciowej

Wsparcie dla IPv6 w produkcji i prywatnych sieciach
Klastry niezawodnociowe w systemie Windows Server 2008 maj pene wsparcie dla IPv6 do komunikacji wze-wze poprzez sie lokaln, jak rwnie do komunikacji klient-do-klastra w produkcyjnej konfiguracji sieci.

atwiejsze wykonywanie zada serwisowych dla dyskw

Udoskonalona funkcja Maintenance mode pozwala uytkownikom na uruchamianie narzdzi sucych do atwiejszego sprawdzania, naprawy, tworzenia kopii zapasowej i przywracania danych z mniejszymi zakceniami dla pracy klastra. Zmiany w sterowniku dysku klastra wprowadzaj udoskonalenia do ochrony dysku i funkcjonowania arbitrau. Dziaania zwizane z ochron dysku (umoliwiajce dostp do dysku i i zabraniajce go) teraz s przekazywane do sterownika PartMgr.sys, co usprawnia integracj z zarzdzaniem dysku przez system operacyjny i redukuje prawdopodobiestwo awarii dysku. Przeniesienie odpowiedzialnoci za ochron dysku na system operacyjny umoliwia wszystkim wzom funkcjonowanie podczas instalacji funkcji klastrowania, w przeciwiestwie do poprzednich systemw operacyjnych, ktre wymagay kompleksowego i systematycznego procesu instalacji, z tylko jednym wzem uruchomionym w danej chwili. Funkcja arbitrau dyskowego zostaa przeorganizowana, aby moga korzysta ze staych rezerwacji eliminujcych prawdopodobiestwo funkcjonowania dysku w stanie niechronionym. Wczenie staych rezerwacji oznacza take, e resetowania szyny nie s ju konieczne. Ta zmiana eliminuje nadmierne zakcenia SAN.

Udoskonalona komunikacja wze-wze

Komunikacja wze-wze w sieci prywatnej moe teraz by rutowana midzy podsieciami bez potrzeby korzystania z wirtualnych sieci LAN (VLAN) w celu rozlokowania geograficznie rozproszonych klastrw.Wzy klastra nadajc i odbierajc sygnay testowe (heartbeats), aby potwierdzi obecno innych wzw, teraz korzystaj z bardziej niezawodnego protokou Transmission Control Protocol (TCP), zamiast protokou User Datagram Protocol (UDP). Chcoia nadal wykorzystywany jest port 3343, sygna testowy nie jest emisj UDP ale transmisj , TCP typu unicast, ktra korzysta z mechanizmu danie-Odpowied. Zawiera bardziej zaawansowane cechy jak bezpieczestwo i sekwencyjne numerowanie. Domylne zachowanie zostao poprawione z uwzgldnieniem tego, jak wiele odpowiedzi moe pozosta ominitych zanim uznamy wze za nieosigalny i polecenie Przegrupuj jest wykonywane, aby utworzy zaktualizowany widok czonkostwa klastra. Istnieje prawdopodobiestwo, e wersja produkcyjna systemu Windows Server 2008 pozwoli na rczn konfiguracj tego procesu. Nowy sterownik NDIS zwany Microsoft Failover Cluster Virtual Adapter (neft.sys) zastpuje poprzedni sterownik sieci klastra (slusnet.sys). Podczas gdy poprzedni sterownik sieci klastra by

246

247

wywietlany jako Non-PNP Driver, nowy odporny na bdy adapter pojawia si jako adapter sieci, gdy wczy si opcj pokazywania ukrytych urzdze w Menederze Urzdze. Celem nowego sterownika NDIS jest utrzymywanie poczenia TCP/IP pomidzy dwoma lub wiksz liczb systemw pomimo awarii dowolnego pojedynczego urzdzenia w wykorzystywanej trasie komunikacji, tak dugo jak alternatywna fizyczna trasa komunikacji istnieje. Innymi sowy, awaria urzdzenia sieciowego nie powinna powodowa przerwania komunikacji. Komunikacja powinna trwa tak dugo, jak alternatywna fizyczna trasa istnieje. Dostpne statusy dla interfejsw sieciowych i sieci zmieniy si, co przedstawiono poniej.

Adresowanie DHCP

W klastrze niezawodnociowym Windows Server 2008 klaster moe uzyska adresy IP dynamicznie z serwerw DHCP lub mog one zosta skonfigurowane statycznie. Jeli wzy klastra s skonfigurowane do uzyskiwania adresw IP z serwera DHCP wwczas domylnym , zachowaniem bdzie uzyskanie adresu IP automatycznie dla wszystkich adresw IP klastra. Podobnie, jeli wzy klastra maj statycznie przydzielone adresy IP adresy IP klastra bd musiay , by rcznie skonfigurowane z wykorzystaniem statycznych adresw IP Przydzia adresu IP do . zasobu klastra naladuje przydzia adresw IP do wzw klastra. Organizacje z du liczb wzw klastw oraz aplikacji i usug dziaajcych na klastrach bd preferowa otrzymywanie adresw z serwera DHCP Zarwno adresy IP dla zasobw klastra jak . i dla sygnau testowego klastra mog by dostarczane przez DHCP .

Interfejsy sieciowe
Up. Moe komunikowa si ze wszystkimi innymi interfejsami w sieci LAN, ktre nie maj statusu Failed lub Unavailable. To jest normalny stan funkcjonowania Failed. Informuje, e inne interfejsy w sieci LAN mog komunikowa si midzy sob lub z zewntrznymi komputerami, podczas gdy lokalny interfejs nie moe. Unreachable. Nie moe komunikowa si z co najmniej jednym interfejsem, ktrego status nie jest oznaczony jako Failed ani Unavailable.

Praktyka
Traktowany czsto jako technicznie zaawansowany sposb wdraania aplikacji i serwera, klaster niezawodnociowy zosta uproszczony, aby moliwe byo jego szersze stosowanie w sieciach korporacyjnych. Niniejszy rozdzia podkrela nowe moliwoci, jakie daje klaster w systemie Windows Server 2008, a w szczeglnoci funkcje i narzdzia zaprojektowane w celu uproszczenia obsugi, zwikszenia stabilnoci dziaania i podniesienia poziomu bezpieczestwa. Rozwj technologiczny klastra niezawodnociowego by projektowany z myl o wyposaeniu specjalistw IT w narzdzia umoliwajce wdraanie wysoko dostpnych rozwiza serwerowych. Redukowanie stopnia technologicznej specjalizacji wymaganej do wdraania klastrw czyni t funkcj dobrym rozwizaniem biznesowym zarwno dla duych, jak i dla maych rodowisk biznesowych. Usuga klastra skada si z zestawu moduowych komponentw, ktre s zalene od siebie i pracuj wsplnie, by zapewni funkcjonalno klastra w systemie Windows Server 2008. Komponent Messaging Object Manager [OM] Host Manager Membership Manager [MM] Global Update Manager [GUM] Funkcjonalno Zawiera rne komponenty, ktre odpowiadaj za komunikacj pomidzy wzami klastra. Zaliczamy do nich: GEM (Good Enough Multicast), Causal Multicast i MRR (Multicast-Request-Reply). Prosty system zarzdzania obiektami dla kolekcji obiektw przechowywanych w pamici operacyjnej. Kontroluje procesy formowania i doczania wzw, generuje powiadomienia o awarii wzw. Obsuguje dynamiczne zmiany czonkostwa klastra. Zarzdza ulotnymi i trwaymi zmiennymi stanu globalnego caego klastra.

Sieci
Up. Wszystkie interfejsy sieciowe zdefiniowane w tej sieci klastra, ktre nie maj statusu Failed lub Unavailable, mog si komunikowa. Jest to normalny stan funkcjonowania. Down. Wszystkie interfejsy sieciowe zdefiniowane w tej sieci klastra przestay si komunikowa. Wszystkie podczone interfejsy sieciowe na wzach o statusie Up maj status Failed lub Unreachable. W zwizku z tym, wszystkie adresy zasobw TCP/IP ktre s zdefiniowane w tej samej podsieci, oraz wszystkie zalenoci, s , niedostpne w sieci LAN. Partitioned. Jeden lub wicej interfejsw sieciowych znajduje si w stanie Unreachable, ale co najmniej dwa interfejsy nadal mog komunikowa si ze sob lub za pomoc zewntrznego hosta.

Rozwizywanie nazw DNS

Klastry zbudowane w poprzednich wersjach systemu Windows byy zalene od systemu rozwizywaniu nazw NetBIOS. Klastry zbudowane w systemie Windows Server 2008 nie s ju zalene od NetBIOS, co eliminuje potrzeb wdraania serwera WINS. Dodatkowe usprawnienia sieci polegaj na moliwoci dopasowania zalenoci. Na przykad, mona dopasowa zalenoci pomidzy nazw sieci a powizanymi adresami IP aby upewni si, , e nazwa sieci pozostanie dostpna, jeli jeden, nie oba, spord adresw IP jest dostpny. ,

248

249

Resource Control Manager [RCM]

Kontroluje konfiguracj i stan zasobw oraz drzewa zalenoci zasobw. Jest odpowiedzialny za monitorowanie aktywnych zasobw w celu sprawdzenia, czy s one nadal online. Tworzy i utrzymuje procesy Resource Host Subsystem (RHS). Zarzdza wszystkimi komponentami sieciowymi. Network Manager [NM] zarzdza sieciami klastra. Natomiast Interface Manager [IM] zarzdza interfejsami sieciowymi i ich waciwociami. Implementuje baz danych konfiguracji klastra. Zajmuje si aktualizowaniem lokalnych replik i/lub replik witness disk, lub obu rodzajw replik. Zarzdza dziaaniami powizanymi z kworum. Szacuje, czy kworum zostao osignite na podstawie skonfigurowanego modelu kworum. Ocenia, czy obecny widok czonkostwa klastra osign kworum. Zarzdza wszystkimi kontekstami bezpieczestwa dla netft i warstw komunikacyjnych trybu uytkownika. Dziaa z Host Managerem w kontekcie kadego procesu przyczania. Obsuguje take podpisywanie i szyfrowanie caej komunikacji w klastrze. Integruje wszystkie komponenty klastra i utrzymuje podstawow informacj o klastrze.

weza na inny sprawny wze klastra, co zapewnia ich dostpno. Karty sieciowe stosowane w komunikacji w ramach sieci produkcyjnej i sieci prywatnej nie mog jednoczenie suy do komunikacji z sieciow pamici masow iSCSI. Wspdzielona pami masowa. Klastry niezawodnociowe opieraj si na architekturze wspdzielonej pamici masowej, dostpnej z poziomu dowolnego wza w klastrze. Dlatego te wszystkie wzy w klastrze musz mie dostp do wspdzielonej pamici masowej, ktra gromadzi dane potrzebne kademu wzowi na wypadek przejcia przez dany wze funkcji wza gwnego. Pamici masow dla wzw klastra moe by sie pamici masowych (SAN) z przecznikiem wiatowodowym (FC), urzdzenie iSCSI SAN, ewentualnie poczenie szeregowe SCSI (SAS). W przeszoci rozwizania oparte na wiatowodach przewyszay wydajnoci technologie iSCSi, cho s od nich znacznie drosze. Zwikszone prdkoci i mniejsze koszty sieci opartej na iSCSI przyczyniaj si jednak do wzrostu popularnoci rozwiza opartych na protokole IP . Kontrolery pamici masowej uywane w poczeniu szeregowym SCSI (SAS) lub przy wiatowodach powinny by identyczne na wszystkich wzach. Kontrolery powinny take korzysta z tej samej wersji oprogramowania producenta. Przy korzystaniu z iSCSI kady wze klastra musi mie albo kart sieciow, albo kart host bus, dedykowan do pamici masowej klastra. Uywanie karty sieciowej wymaga przeznaczenia tej karty wycznie do obsugi technologii iSCSI i niewykorzystywania jej do komunikacji z sieci prywatn lub produkcyjn. Karty sieciowe obsugujce sie prywatn i produkcyjn nie mog by wykorzystywane do pocze z pamici masow. Karty sieciowe stosowane do obsugi pamici masowych powinny by kartami gigabitowymi. Zwielokrotnione karty sieciowe nie s wspierane w komunikacji z pamiciami masowymi iSCSI.

Topology Manager [TM] Database Manager [DM] Quorum Manager [QUORUM]

Security Manager [SM]

Core [CORE]

Wymagania klastra niezawodnociowego

Wdroenie sprawnego klastra niezawodnociowego zalene jest od spenienia wszystkich wymogw programowych, sprztowych i konfiguracyjnych. Do wymogw tych zaliczamy: Zainstalowany system Windows Server 2008 Enterprise Edition lub Datacenter Edition. Przynajmniej dwie karty sieciowe. Wzy w klastrze musz zawiera dwie karty sieciowe do wspomagania cznoci midzy systemami klienckimi w sieci produkcyjnej oraz do komunikacji z pozostaymi wzami klastra w trybie sygnau testowego. Sie uywana przez klientw do cznoci z klastrem musi by skonfigurowana z adresem IP wsplnym dla wszystkich wzw w tym klastrze. Poniewa zazwyczaj dwie karty sieciowe nie mog mie wsplnego adresu IP oprogramowanie klastra pozwala na , zduplikowanie adresu IP poprzez konfiguracj wsplnego wirtualnego adresu MAC dla wzw w tym klastrze. Wzy korzystaj z sieci prywatnej dla potwierdzenia obecnoci innych wzw w klastrze. Sygna testowy wysyany jest co sekund, aby informowa pozostae wzy o swej obecnoci. W przypadku, kiedy sygna z wza posiadajcego zasb klastra nie zostanie wysany wczeniej skonfigurowan liczb razy, wcza si tryb pracy awaryjnej klastra, nastpuje przeniesienie grup zasobw z uszkodzonego

Migracja klastrw
Migracja klastrw bya dotd sporym wyzwaniem. Firmom pracujcym z klastrami serwera Windows Server 2003 nowe narzdzie Kreator Weryfikowania Konfiguracji Klastra (ClusPrep) daje moliwo atwego przejcia do klastra w systemie operacyjnym Windows Server 2008, dziki uyciu graficznego kreatora migracji konfiguracji klastra. Narzdzie ClusPrep wykryje ustawienia istniejcego klastra dziaajacego na serwerze Windows Server 2003 i zastosuje je do nowego klastra, pracujcego na serwerze Windows Server 2008.

Procedura: Instalacja funkcji klastra niezawodnociowego

Aby zainstalowa klaster, moesz skorzysta z kreatora Add Features, ktry umoliwia dodawanie wielu funkcji serwera jednoczenie. W tym celu: 1. Przygotuj dwa komputery z zainstalowanym systemem Microsoft Windows 2008 Server w wersji Enterprise lub DataCenter zwanych Wze1 i Wze2, ktre s niezbdne do instalacji funkcji klastra niezawodnociowego.

250

251

2.

Uruchom kreator wybierajc z menu Start/Administrative Tools, a nastpnie z grupy Server Manager wybierz opcj Features. W panelu Features Summary wybierz pozycj Add Features, co spowoduje uruchomienie kreatora Add Features Wizard. W kolejnych krokach zaznacz opcj Failover Clustering i na zakoczenie kliknij przycisk Install. Operacj t wykonaj na komputerach Wze1 i Wze2.

Test sieci przeprowadzany przez Kreator Weryfikowania Konfiguracji Klastra sprawdza, czy planowana sie czca klaster spenia konkretne wymogi, takie jak posiadanie przynajmniej dwch odrbnych podsieci dla redundancji sieci. Test pamici masowej stwierdza, czy kady wze wspomaga wymagane komendy SCSI i czy kady wze poradzi sobie z czynnociami klastra.

Weryfikowanie konfiguracji wzw klastrw

Weryfikowanie konfiguracji wza klastra
W celu sprawdzenia poprawnoci konfiguracji serwera, przed rozpoczciem procedury instalacji klastra Microsoft wzbogaci Windows Server 2008 o Kreator Weryfikowania Konfiguracji Klastra (ClusPrep). Aplikacja ClusPrep sprawdza wersj systemu operacyjnego kadego wza w klastrze, wcznie z poprawkami hot fix i dodatkami service pack. Wszelkie rozbienoci s zgoszane w analizie kocowej. ClusPrep weryfikuje podzespoy sprztowe, takie jak architektura procesora, karty sieciowe, pami, karty HBA (host bus adapters), a take obecno niepodpisanych sterownikw. Dla zapewnienia waciwego zarzdzania pamici masow midzy wzami, testowane s te rezerwacje SCSI kadego wza. Narzdzie ClusPrep generuje raport, a take pomaga zidentyfikowa niespjnoci, mogce uniemoliwi udan konfiguracj klastra niezawodnociowego.

Weryfikowanie wza klastra

Kreator Weryfikowania Konfiguracji Klastra (ClusPrep)

Jak pozna, czy instalacja si powioda? Skd wiadomo, e konfiguracja sprztu jest prawidowa? Czy ustawienia sieciowe s poprawnie skonfigurowane? W celu uniknicia niepowodzenia podczas instalacji klastra, firma Microsoft doczya do serwera Windows 2008 Kreator Weryfikowania Konfiguracji Klastra (ClusPrep). Narzdzie to pozwala na przeprowadzenie testw wzw klastra, sieci oraz urzdze magazynujcych, w celu sprawdzenia zdolnoci przeprowadzenia instalacji klastra na serwerze. ClusPrep pozwala na samodzieln weryfikacj klastra przed umieszczeniem go w rodowisku produkcyjnym. ClusPrep, korzystajc z rekomendacji firmy Microsoft, identyfikuje waciwe ustawienia konfiguracyjne dla danego klastra.

Po zweryfikowaniu konfiguracji potencjalnego klastra narzdzie ClusPrep weryfikuje konfiguracj klastra niezawodnociowego dla ponownego sprawdzenia prawdopodobiestwa jego zadziaania. Walidacja wza klastra dotyczy: cznoci midzy wzami. Kompatybilnoci rezerwacji SCSI pomidzy wzami. Obecnoci i konfiguracji wielu kart sieciowych o rnych adresach IP . Dostpnoci wsplnej pamici masowej. Wej i wyj sieciowych i dyskowych.

Test wzw przeprowadzany przez Kreator Weryfikowania Konfiguracji Klastra sprawdza, czy wybrane serwery speniaj wymogi klastra niezawodnociowego, np. czy pracuj na tych samych wersjach systemu Windows i czy posiadaj te same aktualizacje.

Raport Podsumowujcy Konfiguracj Klastra: Na koniec dziaania Kreatora Weryfikowania Konfiguracji Klastra jest generowany peen raport. Zawiera on zidentyfikowane przez narzdzie ClusPrep parametry konfiguracji i opis ewentualnych problemw. Raport jest dostpny w folderze c:\Program Files\Microsoft\ClusPrep\ Reports\SummaryReport.xml.

252

253

Procedura: Kreator weryfikacji konfiguracji klastra

1. Po zainstalowaniu klastra naley zweryfikowa konfiguracj wzw. W tym celu powiniene skorzysta z konsoli Failover Clustering Management, ktr uruchomisz z menu Start/Administrative Tools.

3.

W kolejnych krokach kreatora pozostaw domylne opcje. W cigu kilku minut zostanie wygenerowany raport, ktry naley przeanalizowa i ewentualne bdy naprawi.

Administrator klastra
2. Z panelu Actions w konsoli Failover Clustering Management wybierz pozycj Validate a Configuration. W drugim kroku uruchomionego kreatora Validate a Configuration Wizard wprowad nazwy serwerw, ktre peni rol wzw. Konsola Cluster Administrator Management jest nowym interfejsem Microsoft Management Console 3.0, ktry nie tylko uatwia tworzenie klastrw niezawodnociowych, ale te minimalizuje ryzyko ich zej konfiguracji. Na przykad uproszczony kreator uwzgldnia kwestie potrzebne do zbudowania klastra wymieniajcego si plikami, takie jak: Jakie pliki maj mie wysoki stopie dostpnoci? Jakiej nazwy bd uywa uytkownicy przy czeniu si? Z jakiego adresu IP powinny korzysta zasoby? Ktrych zasobw magazynowych chcemy uywa? Ktry folder chcemy udostpni?

Procedura: Konfigurowanie klastra

Po zainstalowaniu klastra i zweryfikowaniu konfiguracji wzw naley utworzy klaster z wczeniej przygotowanych serwerw (wzw).

254

255

Z Panelu Actions w konsoli Failover Clustering Management wybierz pozycj Create a Cluster. W drugim kroku uruchomionego kreatora Create Cluster Wizard wprowad nazw serwerw, ktre peni rol wzw. W kolejnym kroku wpisz nazw klastra i adres IP pod ktrym bdzie on , widoczny w sieci. W ostatnim kroku po klikniciu przycisku Next zostanie rozpoczta procedura konfiguracji klastra.

kworum wielowzowego), albo tylko pamici masowej SAN (podobnie jak w starszej konfiguracji klastra, gdzie kworum miao gos decydujcy). Nowy model eliminuje pojedynczy punkt awarii, poniewa pozwala, by klaster przetrwa utrat dysku kworum. Poprzednie wersje klastrw wspomagay do omiu wzw. Natomiast Windows Server 2008, dziaajc w edycji 64-bitowej, wspiera obecnie a do szesnastu wzw w klastrze.

Klastry niezawodnociowe rozproszone geograficznie

Geograficznie rozproszone klastry czsto wchodz w skad planu odzyskiwania kryzysowego oraz cigoci biznesowej firmy. Klaster geograficzny zawiera dwa geograficznie rozproszone wzy, przystosowane do wsppracy midzy sob w celu dostarczenia usugi bd aplikacji. Kady wze przechowuje dane w lokalnej sieci pamici masowych (SAN), ktrej struktura wykonuje w tle kopie tych danych. W przypadku awarii jednego wza, dla zachowania cigoci dostpu, prawo wasnoci zasobw przechodzi na wze zapasowy. Dziki zastosowaniu klastra rozproszonego geograficznie, firmy mog utworzy lokacje zapasowe, zapewniajc tym samym cigo pracy w przypadku wyczenia z funkcjonowania lokacji gwnej.

Maksymalizowanie dostpnoci
Wiele nowych zmian strukturalnych, wprowadzonych we waciwociach klastra niezawodnociowych w serwerze Windows 2008 bdzie miao ogromny wpyw na rozmieszczenie serwerw w sieciach firmowych. Nowy model kworum oraz konfigurowalna warto sygnau testowego pozwalaj na przesyanie sygnau testowego przez sie otwart. Koncepcja dysku kworum z poprzednich wersji klastra niezawodnociowego zostaa zastpiona nowym modelem, nazwanym Witness Disk. W celu przezwycienia pojedynczego punktu awarii w kworum poprzednich wersji klastrw, klastry systemu Windows Server 2008 korzystaj z procesu gosowania dla podtrzymania aktywnoci klastra, kiedy kworum nie moe zosta ustanowione. Nowy model powsta z poczenia dwch poprzednich modeli - kworum wikszociowego oraz kworum wspdzielonego. Oprcz nowego modelu wykorzystujcego Witness Disk, take oba poprzednie mona konfigurowa w klastrach niezawodnociowych systemu Windows Server 2008. Nowy model jest preferowany w wypadku wystpienia: Maych i duych wzw klastra. Klastrw bez wsplnej pamici masowej. Klastrw znajdujcych si w rnych lokalizacjach.

W poprzednich wersjach systemu Windows klastry rozproszone geograficznie wymagay uycia wirtualnej sieci LAN (VLAN) dla pokonania geograficznych ogranicze topologii sieci, a take z powodu nierutowalnej komunikacji midzy wzami klastra. System Windows Server 2008 upraszcza tworzenie klastrw geograficznych poprzez usunicie ograniczenia cznoci z wzem klastra w pojedynczej podsieci. Innowacje te wspomagaj firmy w projektowaniu i wdraaniu rozwiza kryzysowych, co pozwala na zredukowanie czasu przestoju.

Zalecenia
Postpowanie zgodne z najlepszymi praktykami firmy Microsoft pomaga przeprowadzi udane wdroenie klastra zapasowego. Oto sugerowane sposoby postpowania: Sprawdzenie, czy sprzt w wzach klastra jest kompatybilny z systemem Windows Server 2008. Minimalizacja iloci usug instalowanych na wzach klastra. Zapewnienie fizycznego bezpieczestwa wzw klastra. Wprowadzenie spjnych mechanizmw zabezpiecze w celu ledzenia i zapobiegania nieprawidowym i niepodanym poczeniom z wzami klastra. Zapewnienie bezpieczestwa usug sieciowych, ktrych wymagaj klastry niezawodnociowe (Active Directory, DNS, DHCP). Testowanie i instalowanie najnowszych poprawek i service packw na wzach klastra. Zarzdzanie wzami klastra tylko z zaufanych komputerw.

Na przykad w klastrze o dwch wzach z Witness Disk zawarte s trzy gosy. Aby klaster by aktywny, musi utrzyma dwa z trzech gosw. Dodatkowe modele gosowania pozwalaj uczestniczy w procesie gosowania tylko wzom (podobnie jak w przypadku starszego modelu

256

257

Podsumowanie
Wraz z rozwojem klastrw w systemie Windows Server 2008 Microsoft znaczco usprawni proces instalacji i zarzdzania klastrami niezawodnociowymi. Nowe i poprawione funkcjonalnoci zapewniaj w sumie uproszczenie procesu, ktry pozwala zarwno maym, jak i duym przedsibiorstwom na obnienie cakowitych kosztw utrzymania (TCO) i zwikszenie niezawodnoci rozlokowania aplikacji.

Zakoczenie
Funkcja klastra niezawodnociowego w systemie Windows Server 2008 znaczco uatwia konfiguracj i zarzdzanie rozwizaniami zapewniajcymi wysok wydajno. Moliwo szybkiej weryfikacji zgodnoci sprztu i oprogramowania z wymaganiami klastra, przyjazny uytkownikowi kreator instalacji i efektywnie dziaajca konsola zarzdzania s znaczcymi zmianami. Powinny one pozwoli maym i rednim przedsibiorstwom na stosowanie rozwiza zapewniajcych wysok dostpno. Byo to dotychczas poza ich zasigiem z uwagi na wymg posiadania wysokowykwalifikowanej kadry IT, ktra mogaby zapewni poprawn instalacj klastrw i zarzdzanie nimi. Take due organizacje skorzystaj z nowoci oferowanych przez klaster niezawodnociowy w systemie Windows Server 2008. Szczeglnie atrakcyjne wydaj si tu uatwienia dotyczce komunikacji poprzez sieci zewntrzne przy tworzeniu zapasowych lokacji dla klastrw. Natomiast rezygnacja z zalenoci od systemu rozpoznawania nazw NetBIOS oznacza moliwo uproszczenia infrastruktury rozpoznawania nazw. Podsumowujc, rola klastra niezawodnociowego moe okaza si waciwym rozwizaniem, jeli organizacja wymaga: odpornego na awarie dostpu do aplikacji, ochrony zasobw sprztowych i aplikacji, niezakconego dostpu do danych o kluczowym znaczeniu dla przedsibiorstwa.

258

259

ABC Data Centrum Edukacyjne powstao w czerwcu 2003 roku. Celem naszego Centrum jest prowadzenie szeroko rozumianej dziaalnoci szkoleniowej w zakresie zaawansowanych technologii informatycznych. Dziki bogatej ofercie uatwiamy Pastwu zdobycie specjalistycznej wiedzy, a take zweryfikowanie posiadanych umiejtnoci. Proponujemy szkolenia autoryzowane, autorskie oraz konsultacje z zakresu rnorodnych dziedzin informatyki. Kursy prowadzone w naszych orodkach mog mie charakter otwarty lub zamknity. Otworzylimy na terenie kraju ju sze oddziaw naszego Centrum Edukacyjnego i nie ustajemy w staraniach, by zaspokoi wszelkie Pastwa oczekiwania. Systematycznie poszerzamy ofert i staramy si dotrze do wszystkich zainteresowanych rozwojem swoich kompetencji. Nasi Klienci maj moliwo doczenia do szerokiego grona uczestnikw Programu Lojalnociowego .gif(t). Kady Uczestnik Programu Lojalnociowego jest nagradzany za nabywanie usug objtych Programem poprzez przyznanie punktw, ktre mog by nastpnie wymieniane na cenne nagrody . Zapraszamy serdecznie do skorzystania z naszej oferty!

Adres Zielna 39 Warszawa, 00-108 Osoba kontaktowa Aneta Czajkowska-Turek Tel.: (48 22) 31 32 333 Fax: (48 22) 31 32 334 aneta.czajkowska@abcdata.pl www.edukacja.abcdata.pl

Altkom powsta w 1988 roku. Obecnie zatrudnia 342 pracownikw w siedmiu orodkach na terenie caego kraju: w Warszawie, Krakowie, Katowicach, Poznaniu, Wrocawiu, Gdyni oraz odzi. Zakres dziaalnoci firmy obejmuje trzy obszary: Usugi edukacyjne: Altkom Akademia posiada w staej ofercie ponad 400 autorskich i autoryzowanych szkole zwizanych z rnymi technologiami. Zatrudnia 120 wykwalifikowanych instruktorw. Dysponuje 56 wasnymi, w peni wyposaonymi salami szkoleniowymi. Z usug Altkomu skorzystao ju ponad 140 tysicy osb. Posiada najwiksz na rynku liczb certyfikatw i autoryzacji wszystkich liczcych si dostawcw technologii, w tym Microsoft. Obecny potencja Altkom umoliwia realizacj najwikszych, jak rwnie najbardziej zoonych projektw i przedsiwzi. Usugi projektowo-programistyczne: Altkom tworzy oprogramowanie na zamwienie. Rozwizania, ktre oferuje wspomagaj zarzdzanie, sprzeda, acuchy dostaw oraz relacje z klientami. Realizuje je w technologiach intranetowych, internetowych i ekstranetowych. Wykorzystuje przy tym nowoczesne systemy baz danych i architektur trjwarstwow. Usugi integracyjne: Altkom prowadzi prace integratorskie, ktrych celem jest stworzenie i utrzymanie optymalnego rodowiska informatycznego w firmie klienta. Specjalizuje si w rozwizaniach systemowych w zakresie: integracji struktur informatycznych, oprogramowania i sprztu projektowania i wdraania struktur bezpieczestwa IT projektowania usug katalogowych, integracji katalogw oraz integracji usug katalogowych z aplikacjami i systemami operacyjnymi.

Adres Chodna 51 Warszawa, 00-867 Kontakt Tel.: 0 801 258 566 www.altkom.pl

260

261

COMBIDATA zajmuje si szkoleniami w ich najbardziej rozwinitej formie, tj. od analizy procesw biznesowych i okrelenia potrzeb kompetencyjnych, do dostarczania wiedzy, umiejtnoci i zachowa w rnych technologiach edukacyjnych (np. rne formy e-learningu). Na szkolenia skada si wiele rnych elementw, tj. np. infrastrukturalne, trenerskie, projektowe, podrcznikowe, itd. Znaczn cz wymaganych elementw w procesie projektowania i realizacji szkole COMBIDATA posiada. Niektrych z nich poszukuje na rynku, aeby jak najlepiej speni wymagania klienta. z tego punktu widzenia wydaje si, e COMBIDATA jest INTEGRATOREM USUG SZKOLENIOWYCH. Od 2000 roku COMBIDATA posiada certyfikat ISO 9001:2000 (pierwotnie ISO 9001:1994) obejmujcy projektowanie, organizowanie i prowadzenie szkole, a w tym szkole elektronicznych do samoksztacenia. Certyfikat dotyczcy szkole COMBIDATA otrzymaa jako pierwsza firma w Polsce. Gwna siedziba firmy znajduje si w Sopocie, firma posiada pi biur regionalnych i 30 centrw szkoleniowych na terenie caego kraju. COMBIDATA Poland prowadzi jedyny w Polsce ORACLE Approved Education Center, uzyskaa status Microsoft Certified Gold Partner for Learning Solutions, a take CISCO Sponsored Organization i Authorised Thomson Prometric Testing Centre. COMBIDATA Poland zostaa uznana przez firm Microsoft za najwikszy autoryzowany orodek szkoleniowy w Polsce w roku 2007, uzyskujc i miejsce za najwiksz liczb przeprowadzonych szkole autoryzowanych w zakresie technologii Microsoft.

Comp Safe Support SA jest jedn z najwikszych firm na polskim rynku informatycznym, wiadczc kompleksow obsug w zakresie IT. W ofercie firmy znajduj si: Szkolenia Informatyczne, Usugi Wdroeniowe, Konsultacje, Specjalne Systemy Bezpieczestwa, Bezpieczestwo IT i Ochrona Informacji, Systemy PKI i Autoryzacji, Outsourcing IT, Usugi Serwisowe, Usugi Sieciowe. Comp Safe Support SA wsppracuje z Microsoft od 14 lat. Spka jest certyfikowanym partnerem firmy Microsoft - Microsoft Gold Certified Partner posiadajcym kompetencj Learning Solutions w zakresie usug szkoleniowych, kompetencj Information Worker Solutions w obszarze wdroe nowoczesnych rozwiza IT Microsoft Office System, kompetencj Advanced Infrastructure Solutions w zakresie projektowania i wdraania zaawansowanych technologii informatycznych oraz kompetencj Licensing Solutions w zakresie audytu i zarzdzania oprogramowaniem. Centrum Edukacyjne Comp Safe Support SA jest autoryzowanym orodkiem testowym firm Prometric i Pearson VUE w zakresie przeprowadzania egzaminw na inynierw systemowych oraz CertiPort w zakresie prowadzenia testw dla uytkownikw pakietu Microsoft Office. Od 2006 r. Comp Safe Support SA oferuje szkolenia informatyczne dofinansowane ze rodkw Europejskiego Funduszu Spoecznego (EFS) Unii Europejskiej. W ofercie znajduje si szeroka gama szkole autoryzowanych z produktw firmy Microsoft, przeznaczonych dla uytkownikw, administratorw sieci i systemw, programistw oraz szefw projektw informatycznych. Adres Jutrzenki 116 Warszawa, 02-230 Osoba kontaktowa Mirosaw Trzpil Tel.: (022) 465 04 00 Fax: (022) 520 26 53 miroslaw.trzpil@comp-css.pl www.comp-css.pl

Adres Emilii Plater 12 Sopot, 81-777 Osoba kontaktowa Monika Koszewska Tel.: (58) 550 95 35 Fax: (58) 550 95 51 monika.koszewska@combidata.pl www.eduportal.pl

262

263

Centrum wiedzy technicznej dla specjalistw IT: baza wiedzy wersje testowe oprogramowania wirtualne laboratoria konferencje i seminaria szkolenia i certykacje webcasty blogi spo eczno ci www.microsoft.pl/technet

268