Professional Documents
Culture Documents
Spis Treci
1. Instalacja i konfiguracja systemu Altkom Akademia .................................................................. 13
Edycje systemu Microsoft Windows 2008 ........................................................................................................13 Wymagania instalacyjne .........................................................................................................................................16 Proces instalacji i wstpnej konfiguracji penej wersji Windows Server 2008..................................... 17 Proces instalacji i wstpnej konfiguracji wersji Core .................................................................................... 23 Aktywacja systemu Volume Activation 2.0.......................................................................................................25 Boot Configuration Data......................................................................................................................... 28
Windows Deployment Services sieciowa dystrybucja systemw operacyjnych nowej generacji ........................................................................................................................................... 31
Troch historii..............................................................................................................................................................31 Format WIM.................................................................................................................................................................31 WDS charakterystyka usugi ..............................................................................................................................32 Instalacja i aktualizacja do usugi WDS .............................................................................................................34 Konfiguracja usugi WDS i dystrybucja systemw operacyjnych ..................................................... 36
Wirtualizacja Windows Serwer 2008 jako skadowa strategii Microsofts Datacenter-to-desktop Virtualization .......................................................................... 58
Wirtualizacja serwerowa (Server Virtualization) ............................................................................................ 59 Wirtualizacja prezentacji (Presentation Virtualization)................................................................................ 60 Wirtualizacja stacji roboczych (Desktop Virtualization) .............................................................................. 60 Wirtualizacja aplikacji (Application Virtualization) ....................................................................................... 61 Kompleksowe zarzdzanie rodowiskiem wirtualnym ....................................................................... 61
Instalacja ........................................................................................................................................................ 69
Instalacja Hyper-V w systemie Windows 2008 CORE ................................................................................... 72 Zarzdzanie wirtualizacj systemu Windows Server za porednictwem programu MMC ............ 73 Instalacja systemu Gocia na Hyper-V .................................................................................................. 73
Procedura: Instalacja i konfiguracja Usug Terminalowych dostpnych przez www ........................ 112 Scenariusze wdroenia/wykorzystania ..............................................................................................................113 Zalecenia .......................................................................................................................................................................114 Podsumowanie ...........................................................................................................................................................114
Zakoczenie.................................................................................................................................................. 114 3. Usugi terminalowe Combidata .......................................................................................................... 77 Wprowadzenie ............................................................................................................................................. 77 Podstawowa funkcjonalno Usug Terminalowych ...................................................................... 78
Wstp .............................................................................................................................................................................78 Wsparcie dla architektury 64-bitowej ................................................................................................................82 Instalacja i konfiguracja ...........................................................................................................................................83 Uwierzytelnianie.........................................................................................................................................................84 Przekierowanie urzdze........................................................................................................................................85 Nowe moliwoci rodowiska ...............................................................................................................................87 Zarzdzanie zasobami Usug Terminalowych .................................................................................................90 Scenariusze wdroenia/wykorzystania ..............................................................................................................91 Zalecenia .......................................................................................................................................................................92 Podsumowanie ......................................................................................................................................... 93
Kontroler domeny tylko do odczytu RODC (Read Only Domain Controller) ...................... 117
Wstp .............................................................................................................................................................................117 Active Directory tylko do odczytu.......................................................................................................................118 Replikacja jednokierunkowa ..................................................................................................................................118 System nazw domen (DNS) tylko do odczytu ................................................................................................118 Buforowanie Powiadcze ......................................................................................................................................118 Wymagania wstpne ................................................................................................................................................119 Instalacja RODC na penej platformie Windows Serwer 2008 .................................................................. 120 Instalacja RODC na Windows Serwer 2008 Server Core ............................................................................. 122 Instalacja RODC w trybie delegacji uprawnie .............................................................................................. 123 Delegowanie uprawnie lokalnego Administratora RODC ....................................................................... 126 Konfiguracja polityki replikacji hase dla kontrolera RODC. ...................................................................... 127 Reset hase przechowywanych na kontrolerze RODC........................................................................ 128
Kontrola jakoci pocze (Quality of service) ................................................................................................146 Zapora systemu Windows Serwer 2008 ............................................................................................... 147
Podsumowanie ............................................................................................................................................ 204 7. Zarzdzanie usugami systemu Comp Safe Support .................................................................. 207 Wstp .............................................................................................................................................................. 207 Cechy konsoli, role oraz funkcje serwera........................................................................................... 207
Przegld konsoli Server Manager .......................................................................................................................207 Role serwera Windows Server 2008 ...................................................................................................................209 Funkcje serwera Windows Server 2008.............................................................................................................210 Zarzdzanie rolami i funkcjami z konsoli Server Manager ........................................................................ 213
6. Platforma webowa IIS 7.0 ABC Data ................................................................................................. 185 Wstp .............................................................................................................................................................. 185 Instalacja Serwera IIS 7.0 .......................................................................................................................... 186
Instalacja Serwera IIS 7.0 za pomoc aplikacju Server Manager ............................................................. 187 Instalacja za pomoc narzdzi linii polece ....................................................................................................187 Instalacja niepilnowana ...........................................................................................................................................188 Weryfikacja poprawnoci instalacji ....................................................................................................... 188
Administracja serwerem IIS 7.0 ............................................................................................................. 189 Podstawowe operacje administracyjne ........................................................................................ 190 Konfiguracja Serwera IIS 7.0 ................................................................................................................... 196
8. Wysoka dostpno Combidata ......................................................................................................... 241 Wprowadzenie ............................................................................................................................................. 241 Klastry niezawodnociowe ...................................................................................................................... 241
Wstp ......................................................................................................................................................... 241 Weryfikowanie zawartoci wza klastra...........................................................................................................244 Udoskonalenia w procesie instalacji klastra .....................................................................................................244 Udoskonalenia w zarzdzaniu i funkcjonowaniu klastrw......................................................................... 245 Udoskonalenia konfiguracji i zarzdzania pamiciami masowymi......................................................... 245 Udoskonalenia w bezpieczestwie .....................................................................................................................247 Udoskonalenia w komunikacji sieciowej...........................................................................................................247 Praktyka.........................................................................................................................................................................249 Wymagania klastra niezawodnociowego .......................................................................................................250 Migracja klastrw ......................................................................................................................................................251 Procedura: Instalacja funkcji klastra niezawodnociowego ....................................................................... 251 Kreator Weryfikowania Konfiguracji Klastra (ClusPrep) .............................................................................. 252 Weryfikowanie konfiguracji wzw klastrw .................................................................................................253 Procedura: Kreator weryfikacji konfiguracji klastra ...................................................................................... 254 Administrator klastra ................................................................................................................................................255 Procedura: Konfigurowanie klastra .....................................................................................................................255 Maksymalizowanie dostpnoci...........................................................................................................................256 Klastry niezawodnociowe rozproszone geograficznie............................................................................... 257 Zalecenia .......................................................................................................................................................................257 Podsumowanie ......................................................................................................................................... 258
Zakoczenie.................................................................................................................................................. 258 Partnerzy: ABC Data ........................................................................................................................................................ 260 Altkom ................................................................................................................................................................... 261 Combidata..................................................................................................................................................... 262 Comp Safe Support ................................................................................................................................... 263
10
1.
Microsoft Windows Server 2008 w porwnaniu z poprzednimi wersjami sytemu posiada zoptymalizowany i bardzo prosty proces instalacji. Uczestnictwo uytkownika zostao ograniczone do minimum. Instalator systemu wymaga podania tylko najistotniejszych informacji, takich jak miejsce instancji czy edycja systemu, ktra ma zosta zainstalowana. Pozostae elementy zwizane z konfiguracj zostay przeniesione do narzdzia Initial Configuration Tasks Wizard, ktre jest automatycznie uruchamiane po zakoczeniu instalacji i pierwszym zalogowaniu do systemu. Ten ulepszony instalator skraca znacznie czas oraz wysiek powicony na przygotowanie serwera do pracy. W tabeli poniej zosta porwnany proces instalacji i wstpnej konfiguracji systemu Windows Server 2008 z systemem Windows Server 2003 Windows Server 2003 Windows Server 2003 Setup Security updates Manage Your Server Configure Your Server Wizard Windows Components Computer Management Security Configuration Wizard Windows Server 2008
13
Edycja oferuje takie same funkcje jak Windows Server 2008 Enterprise Edition, a ponadto obsuguje dodatkow pami i procesory oraz zapewnia nieograniczone prawa uywania obrazu wirtualnego. Edycja ta jest przeznaczona w szczeglnoci do zastosowania jako serwer sieci Web i aplikacji. Inne role serwera i s niedostpne w tej wersji. Jest to wersja przeznaczona dla komputerw z 64-bitowym procesorem Intel Itanium. Peni funkcje serwera sieci Web i aplikacji. Inne role i funkcje serwera mog by niedostpne.
DNS Server Fax Server UDDI Services Windows Deployment Services Active Directory Certificate Services File Services Network Policy and Access Services Terminal Services
2 3 4 5
Microsoft Windows Server 2008 pracuje zarwno na 32-bitowej jak i 64-bitowej platformie sprztowej. Poniej zostay przedstawione role serwera, ktre mog by instalowane na poszczeglnych edycjach Windows Server 2008
Server Role Web Services (IIS) Application Server Print Services Hyper-V1 Active Directory Domain Services Active Directory Lightweight Directory Services Active Directory Rights Management Services DHCP Server
Enterprise
Datacenter
Standard
Itanium
Web
Dla klientw, ktrzy nie potrzebuj wirtualizacji firma Microsoft przygotowaa edycje Windows Server 2008 Standard, Enterprise oraz Datacenter bez technologi Windows Server 2008 Hyper-V Technology. Ograniczenie tylko do tworzenia urzdw certyfikatw (Certificate Authorities) bez innych funkcji ADFS (NDES, Online Responder Service). Ograniczenie do jednego wolno stojcego roota DFS. Ograniczenie do 250 pocze RRAS, 50 pocze IAS i 2 IAS Server Groups. Ograniczenie do 250 pocze Terminal Services Gateway.
Scenariusze aktualizacji
Niniejszy rozdzia opisuje czyst instalacj systemu Windows 2008 nie zajmujc si moliwoci aktualizacji z wczeniejszych wersji systemu, niemniej jednak w tabeli poniej zostay podane moliwe uaktualnienia, aby uatwi potencjalnym nabywcom decyzj, co do zakupu produktu.
14
15
Posiadana wersja Windows Server 2003 R2 Standard Edition Windows Server 2003 Standard Edition z Service Pack 1 (SP1) Windows Server 2003 Standard Edition z Service Pack 2 (SP2) Windows Server 2008 Standard RC0
Pami:
Pena instalacja systemu Windows Server 2008 Standard Pena instalacja systemu Windows Server 2008 Enterprise
Minimum: 512 MB zarwno dla wersji penej jak i Server Core Rekomendowane: 1 GB lub wicej dla wersji penej Optymalne: 2 GB lub wicej dla wersji penej systemu i 1GB lub wicej dla Server core Maksimum (dla 32-bit systemw): 4 GB dla Windows Server 2008 Standard, 64 GB dla Windows Server 2008 Enterprise lub Windows Server 2008 Datacenter Maksimum (dla 64-bit systemw): 32 GB dla Windows Server 2008 Standard, 2 TB dla Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, lub Windows Server 2008 for Itanium-Based Systems
Dysk:
Windows Server 2003 R2 Enterprise Edition Windows Server 2003 Enterprise Edition z Service Pack 1 (SP1) Windows Server 2003 Enterprise Edition z Service Pack 2 (SP2) Windows Server 2008 Enterprise RC0
Minimum: 8 GB dla wersji penej jak i Server Core Rekomendowane: 40 GB dla wersji penej systemu, 8 GB dla Server Core Optymalne: 80 GB dla penej wersji systemu, 40 GB dla Server Core Komputery posiadajce wicej ni 16 GB RAM potrzebuj wicej miejsca na dysku na pliki stronicowania, hibernacj, czy zrzut pamici.
Windows Server 2003 R2 Datacenter Edition Windows Server 2003 Datacenter Edition z Service Pack 1 (SP1) Windows Server 2003 Datacenter Edition z Service Pack 2 (SP2) Windows Server 2008 Datacenter RC0
Aktualizacja wersji 32-bitowej na 64-bitow i odwrotnie nie jest wspierana. Nie moliwoci aktualizacji poprzednich wersji systemu do instalacji Server Core. Nie ma rwnie moliwoci aktualizacji penej instalacji Windows Server 2008 do instalacji Server Core. Podobnie jest zreszt z instancj Server Core nie moe by ona uaktualniana do penej wersji Windows Server 2008.
Wymagania instalacyjne
Poniej zostay podane wymagania, ktre musi spenia sprzt, aby bya moliwa instancja i praca z Windows Server 2008
Procesor:
Minimum: 1 GHz (dla x86) lub 1.4 GHz (dla x64) dla penej wersji systemu Rekomendowane: 2 GHz lub szybszy Optymalne: 3 GHz lub szybszy
16
17
Instalator systemu Windows 2008 bdzie potrzebowa jeszcze kilku podstawowych informacji, podanych w pocztkowe fazie procesu. Midzy innymi jest to klucz produktu. W tym momencie mona rwnie zaznaczy aktywacj systemu, jeli komputer ma moliwo poczenia z Internetem. Nowoci jest moliwo zainstalowania bez podawania klucza produktu w czasie instalacji.
Poniszy ekran wyglda rnie w zalenoci od tego czy zosta wprowadzony klucz produktu czy nie. Jeli klucz produktu zosta podany jest wybierana odpowiednia edycja systemu do instalacji, w przeciwnym razie mona wybra edycj systemu do instalacji.
Ostatnie informacje wymagane przez instalator to konfiguracja partycji, na ktrej system zostanie zainstalowany. Oprcz moliwoci stworzenia nowej partycji, skasowania, sformatowania lub rozszerzenia mona rwnie poda sterowniki potrzebne do prawidowej instalacji. Nowoci jest moliwo dodania sterownikw z dowolnego napdu: CD, DVD, lub USB.
18
19
Po podaniu wymaganych informacji system ju instaluje si dalej automatycznie. Instalator systemu Windows Server 2008 wykona automatycznie wszystkie wymagane restarty, a nastpnie nastpi pierwsze uruchomienie systemu. Domylnie haso administratora pozostaje puste, trzeba je ustawi w czasie pierwszego uruchomienia systemu.
minimum pewne parametry przyjmuj domylne wartoci pocztkowe. Ponisza tabela pokazuje niektre ustawienia domylne instalacji Windows Server 2008. Ustawienie Haso administratora Nazwa komputera Czonkostwo w domenie Usuga Windows Update Poczenia sieciowe Zapora systemu Windows Zainstalowane role Domylna konfiguracja Domylnie haso konta administratora jest puste. Podczas instalacji nadawana jest losowa nazwa komputera. Domylnie komputer nie jest wpity do domeny; znajduj si grupie roboczej o nazwie WORKGROUP . Usuga Windows Update jest domylnie wyczona. Adresy IP pobierane s z serwera DHCP . Zapora systemu Windows jest domylnie wczona. Domylnie nie s zainstalowane adne role ani funkcje.
Po uruchomieniu systemu, zmianie hasa administratora i pierwszym zalogowaniu automatycznie pojawi si okno Initial Configuration Tasks. Narzdzie Initial Configuration Tasks jest wykorzystywane w celu szybkiego skonfigurowania ustawie serwera przede wszystkim domylnej konfiguracji poinstalacyjnej. Pozwala ono ustawi stref czasow, przypisa stay adres IP , zmieni nazw komputera i jego czonkostwo w domenie, oraz ustawienie pobierania poprawek systemowych i konfiguracj zapory sieciowej. W fazie wstpnej konfiguracji mog rwnie zosta przypisane role i funkcje do serwera.
Proces instalacji Windows Server 2008 przebiega szybko i sprawnie a osoba instalujca nie musi stale kontrolowa instalacji i wprowadza informacji wymaganych przez instalator systemu. Poniewa ilo informacji wprowadzanych w czasie pracy instalatora zostaa ograniczona do
20
21
Nie tylko proces instalacji systemu zosta bardzo uproszczony. Prostsze jest rwnie konfigurowanie systemu do wykonywania okrelonych zada w sieci. Konfiguracja serwera zostaa sprowadzona do przypisywania mu konkretnych rl i funkcji. Rola serwera opisuje gwne zadanie, do ktrego serwer jest przeznaczony. Jednemu serwerowi mona przydzieli wiele rl: Active Directory Certificate Services Active Directory Domain Services Active Directory Lightweight Directory Services Active Directory Federation Services Active Directory Rights Management Services DNS Server DHCP Server Fax Server File Server Terminal Services Network Access Services Print server Windows Deployment Services Windows Media Services UDDI Services Web Server (IIS) Windows SharePoint Services
Windows Activation Service (WAS) Wireless Networking LPR Port Monitor Removable Storage Manager Remote Assistance Simple TCP/IP Services Telnet Client Telnet Server TFTP Client Windows Internet Name Service (WINS) Windows Server Backup Failover Clustering
Zwykle przypisywanie i rl i funkcji serwera zwizane jest z procesem zarzdzania serwerem i wykonywane przy pomocy Server Manager opisanego w dalszej czci niniejszej ksiki.
Funkcja nie oznaczaj zwykle gwnych zada serwera, tylko pomocnicze lub dodatkowe elementy wspierajce prac i funkcjonalno serwera: Background Intelligent Transfer Service (BITS) Server Extensions Windows BitLocker Drive Encryption Multipath I/O Storage Manager for Storage Area Networks (SANs)
22
23
Active Directory Lightweight Directory Services DHCP Server DNS Server File Services
Zmieni nazw serwera Doda serwer do istniejcej domeny, jeli ma pracowa w rodowisku domenowym Aktywowa system Skonfigurowa zapor sieciow Wikszo tych czynnoci trzeba wykona z wiersza polece, tabela poniej zestawia polecenia uywane w tym celu. Wiersz polece Interfejs graficzny Podczas logowania na konto administratora wcisn klawisze CTL+ALT+DEL i wybra Change Password
Dla klientw, ktrzy nie potrzebuj wirtualizacji firma Microsoft przygotowaa edycje Windows Server 2008 Standard, Enterprise oraz Datacenter bez technologi Windows Server 2008 Hyper-V Technology. Ograniczenie do jednego wolnostojcego roota DFS Podczas instalacji kopiowane s tylko te binaria, ktre s niezbdne do poprawnego funkcjonowania rl i usug dostpnych w wersji Server Core. Proces instalacji systemu nie rni si niczym od instalacji penej wersji. Rnic mona zobaczy dopiero po pierwszym zalogowaniu, zamiast interfejsu graficznego pojawi si wiersz polece.
netsh interface ipv4 set address name=<ID> source=static address=<StaticIP> mask=<SubnetMask> gateway=<DefaultGateway> netsh interface ipv4 add dnsserver name=<ID> address=<DNSIP>index=1 Naley konfigurowa zdalnie z innego komputera Netsh advfirewall Set machine <ServerName> Netdom renamecomputer %computername% / NewName:<NewComputerName> slmgr.vbs -ato netdom join %computername% /domain:<DomainName> / userd:<UserName> /passwordD:*
Nie ma
Nie ma
Mona wykorzysta konsol Windows Firewall z Windows Vista lub Windows 2008 do zdalnego ustawienia zapory.
Zmiana nazwy serwera Aktywacja Dodanie serwera do domeny Podobnie jak w przypadku penej wersji Server Core zostanie zainstalowany z domylnymi ustawieniami. Na pocztek, wic trzeba wykona wstpn konfiguracj: Ustawi haso administratora, domylnie haso jest puste Ustawi adres IP jeli ma by stay domylnie jest on pobierany z serwera DHCP ,
24
25
aby pomc specjalistom IT aktywowa edycje systemu Windows licencjonowane zbiorowo. Wykorzystanie technologii aktywacji zbiorowej moe przyspieszy i uproci wdraanie, zapewni skuteczne rodki przeciwko piractwu, jak rwnie da wiele korzyci zwizanych z zarzdzaniem i bezpieczestwem. Edycje licencjonowane zbiorowo domylnie nie wymagaj wprowadzania klucza produktu w trakcie instalacji. Administratorzy systemu mog zlicza aktywacje przy uyciu standardowego oprogramowania zarzdzania systemem, na przykad Microsoft Operations Manager (MOM) oraz mie dostp do bardzo szczegowych informacji na temat instalowanych licencji, stanu licencji i biecego terminu aktywacji lub terminu wygasania. Technologia Volume Activation 2.0 zapewnia klientom dostp do dwch typw kluczy oraz trzech metod aktywacji: Klucz Multiple Activation Key (MAK) Niezalena aktywacja klucza MAK Aktywacja proxy klucza MAK Klucz Key Management Service (KMS) Aktywacja usugi KMS
Server Group B
Windows Server 2008 Standard Windows Server 2008 Enterprise Windows Server 2008 Storage Server Enterprise Windows Server 2008 Datacenter Windows Server 2008 Itanium
MAK_B
KMS_B
Server Group C
MAK_C
KMS_C
Grupy produktw zorganizowane s wedug hierarchii celw aktywacji. Kada kolejna grupa produktw aktywuje wszystkie wczeniejsze grupy produktw. Innymi sowy, host usugi KMS z zainstalowanym kluczem KMS_B bdzie mg aktywowa nie tylko urzdzenia klienckie usugi KMS z grupy serwera B, ale rwnie urzdzenia klienckie korzystajce z systemu Vista oraz grupy serwera A. Klucz usugi KMS KMS KMS_A Grupy produktw Vista VL Vista VL Server Group A Vista VL Server Group A Server Group B Vista VL Server Group A Server Group B Server Group C
KMS_B
W zalenoci od potrzeb przedsibiorstwa i jego infrastruktury sieciowej, klienci mog wybra dowoln metod aktywacji. Aby uproci aktywacj zbiorow rnych wersji klienckich i serwerowych, firma Microsoft wprowadzia pojcie grup edycji produktw licencjonowanych zbiorowo (Volume Edition Product Groups). Klucze usugi KMS oraz MAK mona zastosowa do grup edycji produktw, zamiast do kadej edycji osobno. Upraszcza to znacznie zarzdzanie kluczami dziki redukcji liczby moliwych kluczy. Tabela poniej zawiera istniejce grupy produktw oraz edycje systemu Windows licencjonowane zbiorowo, nalece do kadej z grup. Grupa produktw licencjonowanych zbiorowo Vista VL
KMS_C
Aktywacja klucza MAK wykorzystuje technologi podobn do uywanej w subskrypcjach MSDN Universal i Microsoft Action Pack. Kady klucz produktu moe aktywowa okrelon liczb komputerw. Aktywacja klucza MAK wymagana jest tylko raz, chyba, e nastpi znaczce zmiany w sprzcie. Istniej dwa sposoby aktywacji komputerw przy uyciu klucza MAK:
Edycje systemu Windows Windows Vista Business Windows Vista Enterprise Windows Server 2008 Web Server Windows Server 2008 Compute Cluster Windows Server 2008 Storage Server*
Niezalena aktywacja klucza MAK: Wymaga, aby kady komputer docelowy czy si i aktywowa niezalenie od firmy Microsoft. Aktywacja proxy klucza MAK: Pozwala na scentralizowane danie aktywacji dla wielu komputerw dziki pojedynczemu poczeniu z firm Microsoft. Aktywacja Proxy klucza MAK dostpna jest w narzdziu Volume Activation Management Tool (VAMT).
Server Group A
MAK_A
KMS_A
Usuga Key Management Service (KMS) pozwala przedsibiorstwom przeprowadza procesy lokalnych aktywacji komputerw w zarzdzanych rodowiskach bez potrzeby czenia si z firm
26
27
Microsoft. Klucz usugi KMS wykorzystywany jest do uruchomienia usugi KMS na komputerze gwnym sterowanym przez administratora. Hostem usugi moe by system Windows Vista, Windows 2008 i Windows 2003. Usuga KMS zlicza liczb da aktywacji, jakie otrzymuje, i odpowiada na nie. Komputery klienckie musz czy si z hostem usugi KMS przynajmniej raz na 180 dni, aby odnawia aktywacj. Komputery, ktre nie zostay aktywowane, prbuj czy si z hostem, co dwie godziny (warto t mona skonfigurowa). Po aktywacji, komputery prbuj odnowi (lokalnie) swoj aktywacj, co siedem dni (warto t take mona skonfigurowa), i jeli proces si powiedzie, 180-dniowy termin aktywacji zostanie odnowiony. Komputery lokalizuj host usugi KMS przy uyciu jednej z nastpujcych metod: Wykrywanie automatyczne: Komputer DNS, aby automatycznie zlokalizowa host usugi KMS. Poczenie bezporednie: Administrator systemu okrela lokalizacj hosta usugi KMS oraz port komunikacyjny
Wicej na temat aktywacji systemw mona znale na: www.microsoft.com/technet/volumeactivation. www.microsoft.com/poland/technet/bazawiedzy/centrumrozwiazan/default.mspx go.microsoft.com/fwlink/?LinkID=75674 MSConfig.exe
28
29
WMI pozwala na tworzenie skryptw, ktrymi mona edytowa BCD. BCDEdit suy do modyfikacji BCD z poziomu wiersza polecenia.
Poprzez BCDEdit. Mona wykonywa nastpujce czynnoci: Modyfikowa, dodawa oraz usuwa wpisy z BCD Importowa oraz eksportowa wpisy BCD Zarzdza menederem rozruchu Tworzy nowe magazyny BCD dla innych instalacji Kontrolowa usugi zarzdzania awaryjnego (EMS) dla aplikacji i systemu Zmienia opcje wpisw Przeglda listy wszystkich aktywnych wpisw Stosowa zmiany globalne we wszystkich magazynach BCD Konfigurowa debugowanie w systemie
Troch historii
Windows Deployment Services nie jest pierwszym rozwizaniem firmy Microsoft, uatwiajcym i automatyzujcym proces instalacji systemw operacyjnych. Pocztkowe wersje systemw operacyjnych (np.Windows NT4) korzystay z licznych plikw konfiguracyjnych, co umoliwiao czciowe usprawnienie procesu instalacji. Od momentu wypuszczenia na rynek produktw z serii Windows 2000, pojawiy si nowe moliwoci, zwizane z usug Remote Installation Services. Jednak i ona posiadaa pewne ograniczenia. Gwnym z nich by sposb przechowywania obrazw systemw operacyjnych w postaci duej iloci plikw. Kolejnym krokiem w kierunku nowoczesnej dystrybucji systemw operacyjnych bya usuga Automated Deployment Services. Opieraa si ona na sektorowej odmianie obrazw. Dedykowana bya jednak do dystrybucji systemw serwerowych. Wraz z usug SMS Operating System Deployment, pojawi si zupenie nowy standard pierwsza wersja formatu Windows Image format (WIM). Wanie na tym formacie zapisu obrazw opiera si usuga WDS zaimplementowana w Serwerze 2008, pozwalajc na poczenie wszystkich zalet poprzednich rozwiza, eliminujc zarazem ich wady. W przeciwiestwie do swoich poprzednikw rozwizanie to wspiera najnowsze wersje systemw operacyjnych.
Format WIM
WIM to nic innego jak kolejny format zapisu obrazw systemw operacyjnych. Bazuje on na pojedynczych plikach. W odrnieniu do innych rozwiza, posiada on jednak wiele ciekawych cech.
30
31
Po pierwsze nie jest on zwizany z platform sprztow komputerw bdcych odbiorcami dystrybuowanych systemw operacyjnych. Oznacza to bezproblemow prac w dowolnie zrnicowanym rodowisku. Kolejna kwestia to brak w obrazie zapisu informacji o strukturze dyskw twardych na ktrych instalowany jest docelowy system. Oszczdno ta wpywa korzystnie na rozmiar obrazw. W ramach zmniejszania objtoci plikw dystrybucyjnych, format ten zapewnia kompresj, oraz daje moliwo przechowywania wielu obrazw systemowych w jednym pliku. Moliwe jest rwnie zrnicowanie w obrbie jednego pliku obrazw na rozruchowe i instalacyjne. Implementacja tego formatu, bdcego kluczowym skadnikiem usugi WDS, jest usprawnion wersj standardu opracowanego na potrzeby usugi SMS Operating System Deployment. Daje to praktycznie nieograniczone moliwoci dystrybucji systemw operacyjnych w nawet najbardziej zrnicowanym rodowisku.
Komponenty klienckie. Obejmuj graficzny interfejs uytkownika (GUI) w rodowisku Microsoft Windows Preinstallation Environment (Windows PE), ktry daje moliwo skomunikowania si z komponentami serwerowymi oraz wybrania i zainstalowania odpowiedniego obrazu systemu operacyjnego.
Komponenty zarzdzajce:
Konsola zarzdzania usugami WDS
WDS gwarantuje znacznie wyszy poziom funkcjonalnoci narzdzi administracyjnych ni usuga RIS. Dedykowana konsola MMC daje moliwo dodawania i usuwania serwerw, konfigurowania opcji (takich, jak reguy nazewnictwa komputerw, opcje DHCP opcje odpowiedzi PXE, itp.), , dodawania i usuwania obrazw instalacyjnych i rozruchowych. Daje rwnie pen kontrol nad dodawanymi grupami obrazw i samymi obrazami. Wiersz polece
Alternatyw dla konsoli MMC jest narzdzie WDSUTIL, dajce dostp do takiego samego poziomu funkcji administracyjnych, z poziomu linii komend. Jest to doskonae rozwizanie dla zaawansowanych administratorw, dajce moliwo automatyzacji i skryptowania wszystkich dostpnych zada administracyjnych usugi WDS.
Komponenty serwerowe
Serwer TFTP
Rozwizanie to opiera si na protokole FTP jest jego mocno uproszczon wersj. W protokole tym dane przesyane s w blokach o staej dugoci 512 bajtw kady z nich musi by potwierdzony przez pakiet potwierdzajcy. W rodowisku WDS, odpowiada on za transport obrazu rozruchowego Windows PE na komputery klienckie wyposaone w kartu zgodne z PXE. Suy rwnie do przesyania obrazw systemw operacyjnych. Serwer PXE
Dostawca usugi PXE zawiera w sobie zintegrowan logik do komunikacji z rdzeniem usugi WDS. Do przechowywania informacji wykorzystuje usug katalogow Active Directory, czc fizyczny komputer z obiektem w Active Directory, jakim jest konto komputera wraz z przypisanym mu identyfikatorem GUID. Dla zapewnienia kompatybilnoci z usug RIS zawiera komponenty emulujce RIS na WDS. Ze wzgldu na przeznaczenie mona go podzieli na trzy obszary pracy:
Komponenty klienckie
rodowisko Windows Preinstallation Environment (PE) 2.0 to nic innego jak rodowisko znane z procesu instalacji systemw operacyjnych Windows Vista, oraz Server 2008 znacznie uatwiajce instalowanie spersonalizowanych wersji tych systemw. W trakcie instalowania systemu Windows
32
33
Vista, w ramach rodowiska Windows PE, uruchamia si graficzne narzdzia zbierajce informacje o konfiguracji. Ponadto rodowisko Windows PE mona dostosowa i poszerzy tak, aby speniao indywidualnie okrelone potrzeby. rodowisko to wykorzystywane jest w procesie instalacji systemw operacyjnych, w szczeglnoci w trybie nienadzorowanym lub do przeprowadzania czynnoci serwisowych, gdy domylny system operacyjny serwera lub stacji roboczej uleg jakiemu uszkodzeniu. Ze wzgldu na fakt wykorzystania jdra systemw Windows, nie istnieje ju konieczno korzystania ze specjalnie przygotowanych sterownikw do sprztu pracujcych w trybie 16-bitowym wykorzystuje si tu domylne sterowniki systemu Windows. Firma Microsoft zaprojektowaa Windows PE tak, aby mg on zastpi MS-DOS w roli rodowiska pre-instalacyjnego. Windows PE wykrywa najnowsze rozwizania sprztowe oraz potrafi komunikowa si za pomoc protokou Internet Protocol (IP). rodowisko Windows PE zajmuje mniej ni 100 MB przestrzeni dyskowej i moe by uruchamiane w caoci z pamici RAM, co pozwala na odczytywanie w napdzie DVD pyty z innym oprogramowaniem, np. ze sterownikami. Dziki temu Windows PE moe by uruchamiany take w komputerach, ktrych twardy dysk nie zosta jeszcze sformatowany oraz komputerach nie posiadajcych adnego systemu operacyjnego. Jednake Windows PE nie jest penym systemem operacyjnym takim, jak Windows Vista. Dostpne s wersje dla platformy x86, x64 oraz Itanium.
Istnieje moliwo aktualizacji systemu operacyjnego Microsoft Windows Server 2003 z zainstalowan usug WDS do systemu Server 2008. Moliwo wykonania tej operacji zaley od trybu pracy usugi WDS na serwerze 2003. Aby sprawdzi biecy tryb pracy usugi naley wykona z linii komend polecenie: WDSUTIL /get-server /show:config
Jedyny tryb pracy, ktry umoliwia aktualizacj usugi do platformy Server 2008, to tryb Native. Jeeli system pracuje w trybie Legacy, lub Mixed, naley przeczy go do trybu Native. Tryby Legacy i Mixed, aktywne s w sytuacji, kiedy na serwerze skonfigurowana jest usuga RIS.
W celu zmiany trybu pracy z Legacy na Mixed naley: Aktualizowa usug RIS do usugi WDS. Zainicjalizowa serwer WDS za pomoc konsoli MMC usugi WDS, lub komend:
Serwer DHCP
Gdzie:
D:\RemoteInstall oznacza ciek do folderu REMINST wykorzystywanego przez usug RIS. Po wykonaniu tych operacji usuga WDS przechodzi do pracy w trybie Mixed (koegzystencji z systemem RIS)
W celu zmiany trybu pracy z Mixed na Native naley: Prze konwertowa istniejce obrazy systemw operacyjnych wykorzystywane przez serwer RIS na standard WIM. Mona tego dokona na kilka sposobw.
34
35
Za pomoc konsoli MMC: Zaznaczajc wybrany obraz legacy w konsoli WDS, mona wybra funkcj Convert To WIM
Wstpna konfiguracja
Pierwszym krokiem po instalacyjnym jest inicjalizacja usugi WDS. Obejmuje ona utworzenie udostpnionego folderu, w ktrym przechowywane bd dystrybuowane obrazy systemw operacyjnych, oraz wybr sposobu odpowiadania na dania klientw. Folder ten powinien znajdowa si na partycji z systemem plikw NTFS. Metoda odpowiadania na dania klientw daje nastpujce moliwoci wyboru: Respond only to known client computers - serwer odpowiada na zapytania wycznie klientom znanym (ang. prestaged), tj. posiadajcym w domenie przeinstalowane konto komputera wraz z przypisanym do niego identyfikatorem GUID. Respond to All (known and unknown) client computers powoduje wybranie trybu zezwalajcego na obsug wszystkich urzdze, chyba e zostania zaznaczona opcja For unknown client, notify administrator and respond after approval co spowoduje konieczno zatwierdzania kadego nowego dania klienckiego przez administratora.
Gdzie:
<cieka1> to cieka do pliku riprep.sif <cieka2> to cieka do nowego obrazu w formacie WIM Nastpnie naley uruchomi komend: WDSUTIL /Set-Server /ForceNative Jeeli usuga pracuje ju w trybie Native standardowa aktualizacja systemu operacyjnego do systemu Server 2008, spowoduje przeniesienie wszystkich jej ustawie do nowej platformy.
Nowa instalacja
Instalacja usugi WDS w systemie Microsoft Windows Server 2008, moliwa jest zarwno przy wykorzystaniu narzdzia Initial Configuration Tasks, jak i z poziomu Server Managera. Usuga ta jest jedn z rl systemowych, tak wic niezalenie od wybranego narzdzia, naley skorzysta z funkcji Add roles. W menu dodawania nowej roli, naley wybra Windows Deployment Services a nastpnie w kolejnym menu wybra komponenty usugi: Transport Server - Instalacja podstawowych usug sieciowych usugi WDS. Komponent ten pozwala na utworzenie serwera korzystajcego z transmisji typu multicast do dystrybuowania obrazw systemw operacyjnych. Deployment Server - Instalacja penej funkcjonalnoci usugi WDS.
Wykorzystanie tej opcji umoliwia odpowiadanie rwnie tym klientom, ktrzy nie maj wstpnie zdefiniowanego konta komputera w domenie. Takie konto, po zatwierdzeniu dania przez administratora, bdzie automatycznie tworzone. Poniszy diagram obrazuje zachowanie si systemu w zalenoci od wybranego rozwizania.
36
37
Za pomoc konsoli MMC naley: Uruchomi Windows Deployment Services Klikn prawym przyciskiem myszy konfigurowany serwer i wybra funkcj Configure Server Uruchomiony w ten sposb kreator umoliwi okrelenie cieki do katalogu w ktrym przechowywane bd obrazy systemw operacyjnych, oraz sposobu odpowiadania na dania klientw
%Last - nazwa identyczna z nazwiskiem %Username nazwa identyczna z nazw uytkownika (login) %MAC - adres MAC komputera %n# - przyrostowa liczna n-cyfrowa (%2# daje numery za zakresu 1,2,3,99) %0n# - jak wyej, ale z nieznaczcymi zerami (so %02# daje numery 01,02,03,99)
Chcc osign ten sam cel za pomoc narzdzia WDSUTIL naley wykona polecenia: WDSUTIL /initialize-server /reminst:<litera_dysku>\<nazwa_folderu> WDSUTIL /Set-Server /AnswerClients:all Gdzie: <litera_dysku> - dysk na ktrym znajdowa si bd obrazy systemw operacyjnych <nazwa_folderu> - folder w ktrym znajdowa si bd obrazy systemw operacyjnych Jeeli serwer WDS peni rwnie rol serwera DHCP naley rwnie wykona polecenie: WDSUTIL /Set-Server /UseDHCPPorts:no /DHCPoption60:yes W wikszoci przypadkw, dystrybucja systemw operacyjnych powizana jest z tworzeniem kont dla nowych urzdze w usudze Active Directory. Na tym etapie konfiguracji mona wic okreli metodologi tworzenia tych nazw, oraz docelow lokalizacj kont ( jednostka organizacyjna lub folder). Najprostszym sposobem konfiguracji jest skorzystanie z konsoli administracyjnej WDS. We waciwociach w zakadce znale mona nastpujce warianty konwencji nazewniczej:
W miejscu tym moliwe jest rwnie okrelenie cieki w usudze katalogowej w ktrej zostan utworzone konta komputerw.
Ta cz zada konfiguracyjnych odnosi si do sposobw pocztkowej obsugi da stacji klienckich zwizanych z menu rozruchowym. Pozwoli to na zrnicowan obsug klientw w zalenoci od ich architektury systemowej. Na pocztek warto przyswoi sobie trzy brzmice podobnie pojcia, ktre bd niezbdne do prawidowej konfiguracji usugi. Boot menu Pocztkowe menu pojawiajce si w trakcie rozruch sieciowego po stronie klienta PXE. Boot images Obrazy systemu Windows PE wykorzystywane w procesie wstpnej re konfiguracji stacji roboczej, przed waciwym procesem instalacyjnym, lub w procesie naprawczym. Install images Obrazy zawierajce pliki instalacyjne systemw operacyjnych Domylna konfiguracja usugi WDS zawiera menu rozruchowe zarwno dla architektury x64 jak i x86.
38
39
Skutkiem tego klienci posiadajcy systemy klasy x86 bd mieli moliwo uruchomiania tylko i wycznie 32-bitowej wersji rozruchu , natomiast stacje 64-bitowe z racji moliwoci uruchamiania aplikacji x86 bd mieli dostp do dwch rodzajw menu. Zmian sposobu obsugiwania stacji mona wykona za pomoc polecenia WDSUTIL /Set-Server /Defaultx86x64ImageType:{x86|x64|both}. Jeeli zaistnieje potrzeba dokonania zmian w treci pocztkowego menu, naley skorzysta z narzdzia bcdedit. Konfigurujc menu rozruchowe pamita naley rwnie o pewnych jego ograniczeniach: Menu nie moe zawiera wicej ni 13 pozycji Nazwy obrazw WIM nie mog zawiera spacji
Gdzie: <Bootimage> to cieka do pliku boot.wim znajdujcego si na noniku instalacyjnym Windows Server 2008 Mona w ten sposb utworzy wiele obrazw rozruchowych, ktrych celem moe by np.: Uruchomienie procesu instalacji systemu operacyjnego Prze formatowanie dyskw twardych do korzystania ze standardu BitLocker Drive Encryption Uruchomienie narzdzi Windows Recovery Environment (Windows RE)
Celem pocztkowego menu rozruchowego jest uruchomienie rodowiska systemu Windows PE. System ten znajduje si na noniku instalacyjnym serwera 2008, oraz Vista pod nazw boot.wim. Cho w obydwu tych systemach wyglda on niemal identycznie, do zastosowania z usug WDS naley korzysta tylko i wycznie z wersji dostarczanej z serwerem 2008, co umoliwi kompatybilno z usugami takimi jak multicasting.
Poza standardowym zastosowaniem na uwag zasuguj rwnie dwie dodatkowe funkcjonalnoci obrazw rozruchowych - Capture image, oraz Discover image. Obraz systemu Windows PE nie jest standardowo powizany z usug WDS. Chcc dokona tego za pomoc konsoli MMC naley: W konsoli usugi WDS rozwin list wybranego serwera WDS. Klikn menu Boot Images I wybra polecenie Add Boot Image. W kreatorze wskaza na plik boot.wim znajdujcy si na noniku instalacyjnym Windows Server 2008 Capture image jest to obraz rozruchowy, ktrego celem jest przechwycenie w peni skonfigurowanego systemu operacyjnego urzdzenia, ktre zostao uruchomione z tego obrazu. Odnosi si to do komputerw, skonfigurowanych administracyjnie jako szablony (wzorce) konfiguracyjne i dostosowanych za pomoc programu sysprep do masowej dystrybucji. Przechwycony system zostaje zapisany w formacie WIM i przesany do serwera WDS, w celu dalszej dystrybucji. Discover image ta do specyficzna funkcjonalno pozwala na stworzenie obrazu rozruchowego dla komputerw nie kompatybilnych ze standardem PXE. Obraz taki gwarantuje moliwoci analogiczne do swojego sieciowego odpowiednika, jest jednak uruchamiany z nonika (USB, CD, DVD). Zawarty w nim system Windows PE, potrafi skomunikowa si z serwerem WDS, niezalenie od tego, czy dany klient posiada zgodny z PXE interfejs sieciowy.
40
41
Obydwie te funkcjonalnoci, mog by uzyskane z dodanego wczeniej obrazu rozruchowego Windows PE. Tak jak i w poprzednich wypadkach, zamiana standardowego obrazu na Capture lub Discovery moliwa jest zarwno z poziomu konsoli MMC, jak i z linii komend. Za pomoc konsoli MMC naley: Chcc stworzy Capture image W konsoli WDS wybra odpowiedni serwer. W folderze BOOT Images klikn prawym przyciskiem myszki obraz rozruchowy Wykona funkcj Create Capture BOOT Image
nonikach instalacyjnych systemw Vista i Server 2008. Opublikowanie ich w usudze WDS jest niezwykle proste.
Chcc stworzy Discover image W konsoli WDS wybra odpowiedni serwer. W folderze BOOT Images klikn prawym przyciskiem myszki obraz rozruchowy Wykona funkcj Create Discover BOOT Image
Za pomoc konsoli MMC naley: W konsoli WDS wybra odpowiedni serwer. Klikn prawym przyciskiem myszki na folder Install Images Wybra funkcj Add Install Image W kreatorze wskaza obraz systemu operacyjnego w formacie WIM
Z linii komend cel mona osign wpisujc: Chcc stworzy Capture image WDSUTIL /New-CaptureImage /Image: <obraz_rozruchowy> /Architecture:x86 / Filepath:<captureimage> Gdzie: <obraz_rozruchowy> to nazwa istniejcego obrazu rozruchowego <captureimage> cieka w ktrej zostanie utworzony obraz typu capture Chcc stworzy Discover image WDSUTIL /New-DiscoverImage /Image:<obraz_rozruchowy> /Architecture:x86 / Filepath:<discoverimage> Gdzie: <obraz_rozruchowy> - to nazwa istniejcego obrazu rozruchowego <discoverimage> - cieka w ktrej zostanie utworzony obraz typu discover
Ta sama operacja z wiersza polece wyglda nastpujco: WDSUTIL /add-image /ImageFile:<obraz_instalacyjny> /ImageType:install / ImageGroup:<nazwa_grupy> Gdzie: <obraz_instalacyjny> pena cieka do pliku w formacie WIM zawierajcego obraz systemu operacyjnego <nazwa_grupy> nazwa grupy obrazw systemw operacyjnych Jeeli plik WIM zawiera wiele obrazw systemowych a konieczne jest dodanie tylko jednego z nich, naley skorzysta z dodatkowego przecznika do komendy wdsutil /SingleImage:<nazwa_obrazu Druga opcja to tworzenie obrazw w peni dostosowanych systemw operacyjnych. Mog one zawiera dowoln konfiguracj oraz zainstalowany zestaw aplikacji wykorzystywanych w przedsibiorstwie. Ten rodzaj przygotowywania dystrybucji opiera si na wykorzystaniu komputera wzorca, bdcego szablonem instalacyjnym dla pozostaych urzdze w sieci. Proces ten podzieli mona na kilka faz: Instalacja gwna na komputerze wzorcowym Modyfikacja instalacji domylnej/dodanie aplikacji i sterownikw dodatkowych
42
43
Przechwycenia obrazu systemu Umieszczenie obrazw przechwyconych w punkcie dystrybucji Wdroenie na komputerze/ach docelowych
Wdroenie na komputerze/ach docelowych Cho standardowo celem przygotowania obrazw jest ich dystrybucja za pomoc rodowiska WDS, nie ma przeciwwskaza do instalowania ich za pomoc dowolnych nonikw (DVD, USB, itp.) Przygotowane obrazy wzorcowe mona w pniejszym czasie off-lineowo modyfikowa bez koniecznoci ponownego wykonywania fazy wstpnej przygotowywania komputera wzorcowego. Instalacja obrazw systemw operacyjnych Proces zainicjowania standardowej instalacji przygotowanych wczeniej obrazw, odbywa si z poziomu systemu Windows PE. Jeeli nie s wykorzystywane pliki odpowiedzi automatyzujce proces instalacji, uytkownik uruchamiajcy system rozruchowy po uwierzytelnieniu si zobaczy list systemw operacyjnych moliwych do zainstalowania na danym komputerze.
Instalacja gwna na komputerze wzorcowym Polega na zainstalowaniu wybranego systemu operacyjnego z dowolnego nonika na wydzielonym komputerze. Modyfikacja instalacji domylnej/dodanie aplikacji i sterownikw dodatkowych Ten etap to dopasowywanie rodowiska systemowego. Polega na konfiguracji Wzorca tak aby reprezentowa standard rodowiska systemu operacyjnego, przeznaczonego dla danej organizacji. Konfiguracja ta jest zupenie dowolna i powinna bazowa jedynie na polityce organizacji dotyczcej infrastruktury IT. Przechwycenia obrazu systemu Zanim obraz systemu operacyjnego zostanie przechwycony za pomoc obrazu rozruchowego typu Capture Image, musi by on dostosowany do dystrybucji za pomoc narzdzia sysprep. W zalenoci od tego, czy jest to system klasy XP czy Vista naley po zmodyfikowaniu domylnej , instalacji wykona nastpujce polecenie: W systemie Vista sysprep /oobe /generalize /reboot W systemie XP sysprep -mini -reseal Po zakoczeniu operacji komputer wolno uruchomi jedynie poprzez rozruch sieciowy, wybierajc obraz typu Capture Image, ktry przechwyci dostosowany system operacyjny i przeniesie go w postaci pliku WIM na serwer WDS. Umieszczenie obrazw przechwyconych w punkcie dystrybucji Obraz przygotowany za pomoc funkcji Capture Image dodawany jest do usugi WDS tak samo jak zwyke obrazy WIM znajdujce si na nonikach instalacyjnych. Jeeli jednak instalacja systemu ma przebiec pomylnie musz by spenione okrelone warunki. Dla systemu Microsoft Windows Vista wyglda to nastpujco: Wymagania dotyczce partycji systemu, Windows Vista. Aby system Windows Vista funkcjonowa poprawnie, aktywna partycja musi zawiera okoo 700 MB wolnego miejsca podczas instalacji systemu Windows. Wymagania rodowiska odzyskiwania systemu Windows dotyczce partycji. rodowisko odzyskiwania systemu Windows musi by zainstalowane na innej partycji, ni partycja systemu Windows Vista. Partycja ta powinna mie nastpujce waciwoci:
44
45
Musi by sformatowana, jako system plikw NTFS. Co najmniej 700 MB musi by zarezerwowane dla rodowiska odzyskiwania systemu, Windows przy instalowaniu go, jako rozszerzonego obrazu.
<ImageSelection> <WillShowUI>OnError</WillShowUI> <InstallImage> <ImageName>Windows Vista with Office</ImageName> <ImageGroup>ImageGroup1</ImageGroup> <Filename>Install.wim</Filename> </InstallImage> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> </ImageSelection> </WindowsDeploymentServices> <DiskConfiguration> <WillShowUI>OnError</WillShowUI> <Disk> <DiskID>0</DiskID> <WillWipeDisk>false</WillWipeDisk> <ModifyPartitions> <ModifyPartition> <Order>1</Order> <PartitionID>1</PartitionID> <Letter>C</Letter> <Label>TestOS</Label> <Format>NTFS</Format> <Active>true</Active> <Extend>false</Extend> </ModifyPartition> </ModifyPartitions> </Disk> </DiskConfiguration> </component> <component name=Microsoft-Windows-International-Core-WinPE publicKeyToken=31bf3856ad364e35 language=neutral versionScope=nonSxS processorArchitecture=x86> <SetupUILanguage> <WillShowUI>OnError</WillShowUI> <UILanguage>en-US</UILanguage> </SetupUILanguage> <UILanguage>en-US</UILanguage> </component> </settings> </unattend>
Szyfrowanie dyskw funkcj BitLocker wymagania dotyczce partycji. Szyfrowanie dyskw funkcj BitLocker wymaga aktywnej partycji innej, ni partycja sytemu Windows Vista. Aktywna partycja musi mie nastpujce waciwoci: nie moe by szyfrowana ani uywana do przechowywania plikw uytkownika.
Podobnie, jak we wczeniejszych wersjach systemu Windows, procedur instalacyjn Windows Vista mona zautomatyzowa, stosujc pliki odpowiedzi. W przypadku systemu Windows Vista pliki odpowiedzi Unattend.xml maj format Extensible Markup Language (XML), a nie format tekstowy. Plik Unattend.xml jest bardziej zoony ni wczeniejsze wersje plikw odpowiedzi i dla ograniczenia prawdopodobiestwa wystpienia bdw zaleca si przygotowywanie i edytowanie go w narzdziu Windows System Image Manager (Windows SIM), bdcym skadnikiem pakietu WAIK. Usuga WDS pozwala skojarzy osobny plik odpowiedzi z kadym dodanym do niej obrazem instalacyjnym. Mona rwnie wykorzysta globalny plik odpowiedzi dla kadej obsugiwanej platformy, tj. x86, x84 i IA64. Taki globalny plik odpowiedzi zawiera dane uwierzytelniajce, pozwalajce automatycznie zalogowa si do serwera WDS. Plik ten specyfikuje te obraz zaadowywany do docelowych komputerw klasy x86 oraz zawiera liczne inne ustawienia wystpujce w typowym pliku odpowiedzi, takie jak sposb konfiguracji partycji, czonkostwo domeny czy stref czasow. cznie zawiera kilkadziesit rnych ustawie systemowych, ktrych szczegowy opis znajduje si w dokumentacji pakietu WAIK. Przykadowy plik unattend.xml ma nastpujc posta: <?xml version=1.0 ?> <unattend xmlns=urn:schemas-microsoft-com:unattend> <settings pass=windowsPE> <component name=Microsoft-Windows-Setup publicKeyToken=31bf3856ad364e35 language=neutral versionScope=nonSxS processorArchitecture=x86> <WindowsDeploymentServices> <Login> <WillShowUI>OnError</WillShowUI> <Credentials> <Username>username</Username> <Domain>wds-dom</Domain> <Password>my_password</Password> </Credentials> </Login>
46
47
Posiadany plik unattend.xml, mona powiza z usug WDS na trzech poziomach. Architektury wszystkie komputery o danej architekturze sprztowej (x86, x64 lub ia64), bd korzystay z wsplnych ustawie instalacji niepilnowanej. Konfigurujc t funkcjonalno za pomoc konsoli MMC naley: Skopiowa plik Unattend.xml do folderu RemoteInstall\WDSClientUnattend na serwerze WDS. W konsoli usugi WDS klikn prawym przyciskiem myszy wybrany serwer i poleceniem Properties wej w jego waciwoci
Obrazu instalacyjnego kade urzdzenie korzystajce z danego obrazu bdzie stosowao ustawienia zawarte w pliku instalacji niepilnowanej. W konsoli MMC naley: W konsoli MMC usugi Windows Deployment Services rozwin grup obrazw instalacyjnych danego serwera WDS. Prawym przyciskiem myszy klikn wybrany obraz i wybra Properites Zaznaczy opcj Allow image to install in unattend mode. Wybra Select File. Wprowadzi nazw i ciek pliku unattend.xml
W oknie waciwoci serwera w zakadce Client wybra opcj Enable unattended installation Wskaza pliki unattend.xml dla poszczeglnych architektur
Ta sama operacja ma nastpujc posta w linii polece: Natomiast korzystajc z wiersza polece naley wprowadzi polecenie: WDSUTIL /set-server /wdsunattend /policy:enabled /file:<cieka_do_pliku> / architecture:<arch> Gdzie: <cieka_do_pliku> cieka do pliku unattend.xml <arch> rodzaj architektury (x86, x64, lub ia64) WDSUTIL /Set-Image /Image:<nazwa_obrazu> /ImageType:install / ImageGroup:<nazwa_grupy_obrazw> /UnattendFile:<cieka_do_pliku> Gdzie: <nazwa_obrazu> to nazwa obrazu z ktrym powizany bdzie plik unattend <nazwa_grupy_obrazw> to nazwa grupy obrazw w ktrej znajduje si obraz przeznaczony do skojarzenia z plikiem unattend <cieka_do_pliku> cieka do pliku unattend.xml
48
49
Indywidualnego komputera jeeli zaistnieje taka potrzeba mona indywidualnie skojarzy dany plik odpowiedzi z konkretnym urzdzeniem. Komputer ten rozpoznany bdzie na podstawie unikalnego identyfikatora GUID, lub adresu MAC jego karty sieciowej. Realizuje si to za pomoc komendy: WDSUTIL /set-device /device:<computername> /ID:<GUID lub adres MAC> / WdsClientUnattend:<cieka_do_pliku> Gdzie: <GUID lub adres MAC> to identyfikator danego urzdzenia <cieka_do_pliku> to cieka do pliku unattend Dystrybucja obrazw systemowych za pomoc technologii Multicast W sytuacji kiedy istnieje potrzeba jednoczesnej dystrybucji systemw operacyjnych do duej liczby urzdze, mona skorzysta z transmisji typu Multicast, bdcej jedn z nowoci zawartych w usudze WDS. Ten sposb komunikowania si z klientami usugi WDS moliwy jest tylko w sieciach wspierajcych Multicasting i tylko przy wykorzystaniu obrazu rozruchowego pobranego z nonika systemu Windows Server 2008. Rozwizanie to pozwala na pozbycie si ogranicze zwizanych z przepustowoci sieci przy standardowym sposobie dystrybucji obrazw wykorzystujc sie Gigabit Ethernet maksymalna liczba jednoczesnych instalacji nie przekroczy ze wzgldw wydajnociowych 75-ciu urzdze. Usuga WDS daje moliwo skorzystania z dystrybucji multicastowej na dwch poziomach funkcjonalnoci: Auto-Cast W tym trybie usuga multicast rozpoczyna natychmiastow obsug klientw Scheduled-Cast Ten rodzaj transmisji daje moliwo okrelenia momentu rozpoczcia rozgaszania obrazw systemw operacyjnych, oraz ustalenia limitu maksymalnej liczby odbiorcw usugi. W tym trybie tylko stacje zgaszajce potrzeb instalacji systemu przed rozpoczciem transmisji zostan obsuone. Konfiguracja transmisji multicast odbywa si moe zarwno za pomoc konsoli MMC, jak i linii komend. W pierwszym wypadku naley w konsoli WDS: Rozwin menu serwera WDS. W folderze Install Images wybra obraz instalacyjny, ktry ma by dystrybuowany technologi multicast, a nastpnie klikn na niego prawym przyciskiem myszki. Wybra z menu polecenie Create Multicast Transmission
Za pomoc polecenia WDSUTIL chcc: stworzy transmisj Auto-Cast, naley wykona polecenie :
WDSUTIL /New-MulticastTransmission /Image:<nazwa_obrazu> / FriendlyName:<nazwa> /ImageType:Install /ImageGroup:<Image group name> / TransmissionType:AutoCast stworzy transmisj Scheduled-Cast, naley wykona polecenie:
WDSUTIL /New-MulticastTransmission /Image:<nazwa_obrazu> / FriendlyName:<nazwa> /ImageType:Install /ImageGroup:<Image group name> / TransmissionType:ScheduledCast [/Time:<yyyy/mm/dd:hh:mm>][/Clients:<liczba_ klientw>] Gdzie: <nazwa_obrazu> to nazwa obrazu przeznaczonego do dystrybucji metod multicast <nazwa> nazwa wywietlana, identyfikujca dan transmisj <nazwa_grupy_obrazw> to nazwa grupy obrazw w ktrej znajduje si obraz przeznaczony do dystrybucji metod multicast <liczba_klientw> maksymalna liczba obsugiwanych klientw W kadej chwili moliwe jest biece monitorowanie postpu instalacji obrazw systemowych dystrybuowanych usug multicast. W konsoli MMC usugi WDS bieca aktywno widoczna jest w folderze Multicast Transmissions Natomiast z poziomu linii polece suy do tego komenda, WDSUTIL /Get-MulticastTransmission /Image:<nazwa_obrazu> /ImageType:Install / ImageGroup:<nazwa_grupy_obrazw> /show:clients Dodatkowo dostpne s rwnie funkcje pozwalajce na wstrzymanie i wznowienie transmisji w dowolnym momencie: uruchomienie transmisji
50
51
deaktywacja transmisji:
TpMulticastTTL Warto TTL oznacza liczb maksymalnych przeskokw (hops) po ktrych pakiet zostanie odrzucony. Przeskoki odnosz si do komunikacji poprzez urzdzenia sieciowe. Ograniczanie tej wartoci ma sens w przypadku potrzeby zawenia dystrybucji do okrelonego obszaru sieci. Naley pamita, e zmiana okrelonego parametru wymaga restartu usugi WDS.
WDSUTIL /Get-MulticastTransmission /Image:<nazwa_obrazu> /ImageType:Install / ImageGroup:<nazwa_grupy_obrazw> Gdzie: <nazwa_obrazu> to nazwa obrazu dystrybuowanego metod multicast <nazwa_grupy_obrazw> to nazwa grupy obrazw w ktrej znajduje si obraz dystrybuowany metod multicast Optymalizacja transmisji multicast Transmisja multicast dostpna w usudze WDS, potrafi dostosowywa parametry swojej pracy do jakoci posiadanego transportu sieciowego. Posiada zrnicowane profile dziaania dla konfiguracji sieci 10 Mb, 100 Mb i 1 Gb. Nie zawsze jednak standardowe ustawienia bd optymalne dla transmisji w danym rodowisku sieciowym. W wypadku koniecznoci dopasowania parametrw transmisji, mona skorzysta z profilu typu custom, umoliwiajcego dowoln konfiguracj transportu multicast. Uruchomienie profile custom nastpuje po wykonaniu nastpujcej komendy: WDSUTIL /set-server / transport /profile:custom. Natomiast parametry naley edytowa za pomoc rejestru w kluczu znajdujcym si na serwerze WDS HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WDSServer\Providers\ WDSMC\Profiles\Custom Najwaniejsze z parametrw to: TpMaxBandwidth Warto ta okrela maksymalne procentowe wykorzystanie przepustowoci interfejsw sieciowych zainstalowanych na serwerze WDS. Ustawienie to funkcjonuje prawidowo, nawet jeeli interfejsy te pracuj z rn prdkoci. ApBlockSize Ta warto okrela rozmiar blokw na ktre dzielona jest przesyana informacja. Rozmiar ten definiowany jest w bajtach. Rekomendowane ustawienia to 4096 bajtw. Zwikszenie tej wartoci powoduje przyspieszenie transferu, jakkolwiek zwiksza si ryzyko utraty przesyanego pakietu.
52
53
2.
Wstp
Dzisiejsze systemy informatyczne przedsibiorstw to skomplikowane systemy skadajce si z duej iloci serwerw, systemw operacyjnych i aplikacji i kady z tych elementw musi by dostpny w odpowiednim czasie dla uytkownikw i ich stacji roboczych. To powoduje, e dla dziaw IT zarzdzanie i utrzymywanie krytycznych dla biznesu technologii to jedno z najwaniejszych wyzwa. Jednym z rozwiza tego problemu jest technologia wirtualizacji, ktra umoliwia konsolidacj infrastruktury serwerowej do rodowiska maszyn wirtualnych, dziaajcych na jednym serwerze rzeczywistym. Zastosowanie wirtualizacji umoliwia administratorom zminimalizowa ilo serwerw rzeczywistych w sieci z zachowaniem separacji rl przy rwnoczesnym zmniejszeniu kosztw zwizanych z utrzymaniem systemw informatycznych. Wymienione korzyci wirtualizacji pozycjonuj j, jako jedn z najbardziej interesujcych technologii dla przedsibiorstw w nastpnych latach.
Korzyci z wirtualizacji
Windows Server 2008 zawiera technologi wirtualizacji Hyper-V, ktra posiada wiele moliwoci, ktre spowoduj, e dziay IT oraz przedsibiorstwa mog odczu wiele korzyci z jej zastosowania, bez dodatkowych zakupw i wdroe oprogramowania firm trzecich. Korzyci z wirtualizacji: Konsolidacja serwerw dziki moliwoci uruchomienia podstawowych serwerw np. DNS, DHCP Active Directory, Exchange na pojedynczym serwerze moemy oczekiwa oszczdnoci , z zmniejszonego zapotrzebowania na sprzt przy wzrastajcym zapotrzebowaniu na ilo serwerw dostpnych przez sie przedsibiorstwa. Separacja rl serwerw ta moliwo wpywa znaczco na dostpno podstawowych serwerw jak i powoduje, e infrastruktura jest bardziej odporna na bedy. Posiadajc serwery np. DNS, DHCP , Active Directory na poszczeglnych serwerach wirtualnych moemy oczekiwa sprawniejszego zarzdzania i rozwizywania problemw. Testowanie oprogramowania dziki wirtualizacji oprogramowanie moe by przetestowane w sposb nie moliwy lub trudny do uzyskania w sieci produkcyjnej. Technologia pozwala na agodne przejcie na nowsze technologie bez ryzyka, e technologie te s nieprzetestowane w warunkach produkcyjnych. Zwikszenie dostpnoci serwerw przy awariach w momencie uszkodzenia fizycznego serwera moliwo uruchomienia wirtualnych maszyn z podstawowymi dla przedsibiorstwa aplikacjami i usugami, na waciwie dowolnym serwerze powoduje ze infrastruktura firmowa jest bardziej odporna na bdy.
55
Zmniejszenie kosztw infrastruktury koszty serwerw fizycznych mona zmniejszy nawet 5 krotnie a jeli wzi pod uwag coraz wiksze skomplikowanie infrastruktury przedsibiorstwa, korzyci s jeszcze wiksze. Skalowalno rozwiza dziki wirtualizacji moemy stopniowo przyspiesza nasz infrastruktur w zalenoci od posiadanych moliwoci finansowych przedsibiorstwa i rozwija j zgodnie z zwikszajcymi si wymaganiami funkcjonalnymi.
Obsuga wielu systemw operacyjnych. Rozszerzona obsuga rwnoczenie uruchamianych systemw operacyjnych rnego typu, z systemami 32-bitowymi i 64-bitowymi wcznie, na rnych platformach serwerw, takich jak Windows, Linux i inne. Obsuga symetrycznego przetwarzania wieloprocesorowego. Obsuga nawet 4 procesorw w rodowisku maszyny wirtualnej umoliwia pene wykorzystanie moliwoci aplikacji wielowtkowych na maszynie wirtualnej. Obsuga pamici. Uwzgldniajc obsug duych przydziaw pamici dla maszyny wirtualnej, umoliwiajc wirtualizacj dla wikszoci poziomw obcienia, mona uzna wirtualizacj systemu Windows Server za optymaln platform dla duych przedsibiorstw oraz maych i rednich firm. Ulepszony dostp do magazynu. Dostp do dyskw z przekazywaniem oraz rozszerzona obsuga sieci magazynowania (SAN) i dostpu do dyskw wewntrznych to czynniki zapewniajce wiksz elastyczno wirtualizacji systemu Windows Server w zakresie optymalnej konfiguracji i wykorzystania rodowisk magazynowania. Rwnowaenie obcienia sieciowego. Wirtualizacja systemu Windows Server oferuje nowe funkcje przecznika wirtualnego. Maszyny wirtualne mona wic atwo konfigurowa do uruchamiania z rwnowaeniem obcienia sieciowego systemu Windows w celu rwnowaenia obcienia maszyn wirtualnych na rnych serwerach. Nowa architektura udostpniania sprztu. Nowa architektura wirtualnego dostawcy/ klienta usug (VSP/VSC) wirtualizacji systemu Windows Server zapewnia sprawniejszy dostp do podstawowych zasobw, takich jak dysk, sie, karta wideo itp., oraz lepsze wykorzystanie tych zasobw. Szybka migracja. Wirtualizacja systemu Windows Server umoliwia szybk migracj uruchomionej maszyny wirtualnej na inny fizyczny system hosta przy minimalnym przestoju za pomoc znanych, zapewniajcych wysoki poziom dostpnoci funkcji systemu Windows Server i narzdzi do zarzdzania pakietu System Center. Kopia stanu maszyny wirtualnej. Wirtualizacja systemu Windows Server umoliwia wykonywanie kopii stanu uruchomionej maszyny wirtualnej, uatwiajcych przywrcenie poprzedniego stanu i usprawnienie caego rozwizania w zakresie wykonywania kopii zapasowych i odzyskiwania. Skalowalno. Korzystajc z obsugi wielu procesorw i rdzeni na poziomie hosta oraz ulepszonego dostpu do pamici w ramach maszyn wirtualnych, mona skalowa rodowisko wirtualizacji pionowo w celu obsugi duej liczby maszyn wirtualnych na danym hocie i kontynuowa skalowanie na wielu hostach przy uyciu funkcji szybkiej migracji. Moliwoci rozbudowy. Korzystajc ze zgodnych ze standardami interfejsw WMI i API wirtualizacji systemu Windows Server, niezaleni dostawcy i deweloperzy oprogramowania mog szybko opracowywa niestandardowe narzdzia i ulepszenia platformy wirtualizacji.
Technologia wirtualizacji Windows 2008 jest czci szerszej strategii dostpu stacji roboczych do centrw danych, ktra to pozwala odczu korzyci z wirtualizacji na kadym poziome infrastruktury przedsibiorstwa. Co wicej model ten atwo rwnie zaadaptowa dla duych rozwiza central firm a po korzyci z wirtualizacji w oddziaach zdalnych czy mniejszych firmach. W dzisiejszych czasach gdzie wiat IT staje si coraz bardziej skomplikowany, nasze zapotrzebowanie na wyspecjalizowane serwery ronie coraz mocnej. Nasze serwerownie s czsto przeadowane nowoczesnym hardwarem, wykorzystujcym najnowsze technologie, ktre wydajno dzisiejszych serwerw i zasoby ktrymi zarzdzaj, przewyszaj moliwoci dzisiejszego software. Ten moment jest doskonaym punktem do zastosowania np. konsolidacji serwerw w naszych sieciach.
56
57
Wirtualizacja Windows Serwer 2008 jako skadowa strategii Microsofts Datacenter-to-desktop Virtualization
W rd wielu rozwiza wirtualizacyjnych dostpnych na rynku, oferta firmy Microsoft cechuje si kompleksowym rozwizaniem umoliwiajcym maksymalne wykorzystanie korzyci wynikajcych z zastosowania technologii wirtualizacji w przedsibiorstwie. Wirtualizacja Serwerowa dostpna w Windows Server 2008 jest integraln czci promowanej przez firm strategii o nazwie The Microsoft datacenter-to-desktop virtualization. Poniej zwile omwione zostan rne komponenty stanowice rodzin technologii wirtualizacji objtych strategi Microsoft. Wyjanione zostanie w jaki sposb technologie te wraz z wirtualizacj Windows Server 2008 powag rozwiza szereg problemw pojawiajcych si w rnych obszarach funkcjonowania system teleinformatycznego przedsibiorstwa. Strategia wirtualizacji Microsoft skada si z piciu kluczowych komponentw: Wirtualizacja serwerowa (Server virtualization), umoliwia konsolidacj wielu rl serwerw infrastrukturalnych przedsibiorstwa do rodowiska wirtualnego, w ktrym serwery te wykorzystywa bd zasoby fizyczne tego samego komputera Wirtualizacja prezentacji (Presentation virtualization), umoliwia uytkownikom zdalnym dostp do wirtualnych instancji ich komputerw biurowych lub aplikacji serwerowych Wirtualizacja pulpitu (Desktop virtualization), umoliwia na stacja roboczych tworzenie rodowiska testowego opartego o wiele systemw operacyjnych (ten rodzaj wirtualizacji najczciej realizowany jest w oparciu o Microsoft Virtual PC 2007) Wirtualizacja aplikacji (Application virtualization), jest to bardzo interesujce rozwizanie dla przedsibiorstw, umoliwiajce zminimalizowanie wystpowania konfliktw aplikacji dziaajcych na tym samym komputerze. Rozwizanie to umoliwia rwnie dystrybucj aplikacji w przedsibiorstwie bez koniecznoci jej instalowania na komputerze docelowym co znacznie poprawia stabilno stacji roboczych (produkt ten pod nazw SoftGrid jest integraln czci pakietu Microsoft Desktop Optimalization Package 2007) Zintegrowane zarzdzanie, wszystkimi wirtualnymi komponentami przedsibiorstwa w ramach ujednoliconego narzdzia do administrowania, monitorowania i kontroli zasobw zarwno maszyn wirtualnych jak i fizycznych.
Produkty Microsoft Windows Server 2008 Virtual Server 2005 R2 Terminal Services SoftGrid Application Virtualization Virtual PC 2007 Windows Vista Enterprise Centralized Desktop (VECD)
Typ wirtualizacji Sprztowa wirtualizacja serwerowa Programowa wirtualizacja serwerowa Wirtualizacja prezentacji Wirtualizacja aplikacji Wirtualizacja pulpitu stacji klienckich Wirtualizacja pulpitu
Wirtualizacja serwerowa realizowana w zaoeniu na 64-bitowych systemach operacyjnych diametralnie zwikszya wydajno i moliwoci zarzdzania rodowiskiem 32-bitowych maszyn wirtualnych, rozszerzya ilo dostpnej pamici wirtualnej dla komputerw goci oraz wprowadzia obsug wielu procesorw. Wirtualizacja staa si obecnie gwnym narzdziem umoliwiajcym uzyskanie penej izolacji rodowiska wirtualnego z zachowaniem korzyci wynikajcych z konsolidacji rl serwerowych.
58
59
Wirtualizacja Windows Server 2008 (Hyper-V) 32-bit host 64-bit host Wsparcie dla wielu procesorw w systemie gocia Rozszerzone narzdzia do zarzdzania Hypervisor typu 1 (Wirtualizacja serwerowa hardwarowa) Wirtualizacja serwerowa softwarowa
Wirtualizacja stacji roboczej jest rwnie bardzo czsto wykorzystywana do budowania rodowisk testowych umoliwiajcych analiz zachowania aplikacji w rnych systemach operacyjny oraz rn konfiguracj. Pomimo zbienoci w funkcjonowaniu tych dwch metod wirtualizacji naley pamita, e przeznaczeniem technologii Virtual Server 2005 jest konsolidacja rl serwerowych i tworzenie rodowiska infrastrukturalnego, natomiast zastosowanie wirtualizacji stacji roboczych jest w gwnej mierze rozwizywanie problemw z kompatybilnoci oraz budowa rodowiska testowego.
60
61
Poziom integracji narzdzi administracyjnych dostarczany przez rodzin System Center oraz standaryzacja rodowiska IT jest gwnym czynnikiem minimalizacji kosztw wdraania zarzdzania i rozwizywania problemw w przedsibiorstwie. Stosowanie tego typu narzdzi umoliwia usprawnienie procesu szkolenia administratorw i zarzdzania dynamicznie rozwijajcym si rodowiskiem wirtualnym. Pamita naley, e gwnym zadaniem rozwiza opartych o System Center jest stworzenie dynamicznie adoptowalnego rodowiska IT do pojawiajcych si w infrastrukturze sytuacji krytycznych. Dalsze informacje dotyczce rozwiza wirtualizacji na platformie Windows Server oraz omwienie gwnych korzyci i cech funkcjonalnych znale mona pod adresem www. microsoft.com/virtualization.
zapotrzebowania na energi elektryczn, obcienia klimatyzatorw oraz zmniejszenie kosztw zwizanych z przestojami infrastruktury w sytuacjach awaryjnych. Konsolidacja zmniejsza rwnie obszar potencjalnego ataku teleinformatycznego i umoliwia skupi wiksz uwag administratorw na mniejszej iloci urzdze serwerowych. Umieszczenie rodowiska maszyn wirtualnych na wysoko dostpnych rozwizaniach sprztowych w przedsibiorstwie podnosi niezawodno, sprawno i dostpno infrastruktury przy rwnoczesnym zmniejszeniu kosztw infrastruktury.
Utylizacja sprztu rozwiza serwerowych w przedsibiorstwa siga obecnie 5%-15% ich moliwoci. Tak niska utylizacja zasobw wprowadza trudnoci w okrelenie wartoci bazowych i maksymalnych dla codziennej pracy serwera. Uniemoliwia to w racjonalny sposb okreli rzeczywiste zapotrzebowanie system na zasoby sprztowe. Wiele firm podejmuje decyzj o utylizacji zasobw na podstawie okrelenia gwnych komponentw majcych wpyw na realizowane przez serwer role. Decyzja o zalokowaniu zasobw serwera podejmowana jest na podstawie pomiaru obcienia dla procesora CPU, dostpu do dysku, zajtoci RAM i obcienia interfejsu sieciowego. Prowadzona w ten sposb analiza pokazuje, e serwery posiadaj zasoby, ktre moe wykorzysta technologia wirtualizacji. Dziki takiemu podejciu moliwe jest maksymalne wykorzystanie zasobw sprztowych w przedsibiorstwie z rwnoczesn realizacj oczekiwa dziaw IT w stosunku do rozwoju infrastruktury. Pomiar wydajnoci rodowiska serwerowego moe by realizowany w oparciu o narzdzia systemowe tj. Monitor Wydajnoci lub przez dedykowane do tego celu narzdzia infrastrukturalne takie jak System Center Operations Manager.
Optymalizacja infrastruktury
Elastyczno
Konsolidacja serwerw
Jednym z kluczowych powodw wdroenia rozwiza wirtualizacji w przedsibiorstwie jest konsolidacja rl serwerowych. Dynamiczne zmiany warunkw rynkowych, ch utrzymywania przewagi w sektorze branowym, lub konkurencyjno oferty wywiera na firmy coraz wikszy nacisk zwizany z minimalizacj kosztw. wiadome przedsibiorstwa szybko zauwayy, e jednym z narzdzi umoliwiajcych obnienie kosztw operacyjnych systemw teleinformatycznych jest uproszczenie administracji, przy rwnoczesnym zachowaniu elastycznoci, skalowalnoci i bezpieczestwa. Zachowanie tych atrybutw jest fundamentalnym zaoeniem konsolidacji serwerw.
Nowa architektura wirtualizacji Windows Server 2008 dostarcza elastycznych mechanizmw zarzdzania skonsolidowanym rodowiskiem serwerowym. Przez udostpnienie maszynom wirtualnym rozszerzonych zasobw sprztowych takich jak wielordzeniowe procesory, usprawniony dostp do dysku twardego czy te rozszerzenie przestrzeni adresowych pamici RAM, wirtualizacja serwerowa Windows Server 2008 znacznie zwikszya wydajno i skalowalno platform wirtualizacji. W poczeniu z pozostaymi moliwociami Windows Serwer 2008, mechanizmy wirtualizacji umoliwiaj obecnie optymalizacj obcienia systemw zarwno 32 jak i 64-bitowych na jednym systemie rzeczywistym. Nowe mechanizmy wirtualizacji takie jak Hyper-V umoliwiaj zmniejszenie odcienia maszyn 32-bitowych przez wykorzystanie cech rodowiska 64-bitowego.
Redukcja kosztw
Dziki konsolidacji serwerw zmniejsza si ilo potrzebnych jednostek komputerowych, co powoduje gwny spadek kosztw infrastruktury. Jednake na ogln redukcj kosztw infrastruktury wpywa bd rwnie oszczdnoci wynikajce ze zmniejszonego
62
63
planowanych, jaki tych nieplanowanych,. Proces ten obejmuje czas, ktry jest przeznaczony zarwno na podstawowe czynnoci administracyjne, takie jak zarzdzanie i wykonywanie kopii zapasowych. Wirtualizacja w Windows Server 2008 jest doskonaym rozwizaniem dla zapewnienia cigoci dziaania, sprawia, e czas pracy serwera bez awarii, a co za tym idzie, czas dostarczania okrelonych usug biznesowych, zosta znacznie wyduony. Odtwarzanie systemu po awariach jest kluczowym elementem w procesie cigoci dziaania. Katastrofy naturalne, zoliwy kod, bdy, czy problemy w konfiguracji sprztowej i programowej, w wielu przypadkach s w stanie zakci dziaanie usug i aplikacji do czasu, w ktrym administrator nie naprawi zaistniaego problemu lub odtworzy kopii zapasowej. Wanym elementem procesu utrzymania cigoci dziaania s szybkie i wiarygodne czynnoci, dziki ktrym zminimalizuje si skutek utraty danych oraz dziki ktrym moliwe jest zdalne administrowanie rodowiskiem. Wirtualizacja Windows Server wspiera takie rozwizania jak Shadow Copy Services (VSS), czyli funkcjonalno kopii zapasowych, ktra umoliwia odtwarzanie wirtualnych maszyn bez przerwy w dziaaniu. We wsppracy z System Center Data Protection Manager lub innymi podobnymi technologiami kopii zapasowych partnerw Microsoft, moliwe jest przechowywanie danych w bezpieczny sposb, take w oddziaach zdalnych. W sytuacji, kiedy nastpi awaria serwera, ktry nie moe zosta odtworzony, administratorzy mog w szybki sposb odtworzy z kopii zapasowej maszyn wirtualn, zarwno w siedzibie gwnej, jak i w oddziale zdalnym, dziki temu czas przestoju jest niewielki. Co wicej, obecnie wirtualne maszyny przechowywane s w formacie VHD, dziki temu mona w bezpieczny sposb odtworzy maszyn wirtualn w oddziale zdalnym na kadym komputerze, na ktrym zostaa uruchomiona platforma Windows Server. Monitorowanie w System Center Operations Manager, poczone z moliwociami wirtualizacji w Windows Server, umoliwia administratorom w oddziaach zdalnych dowiedzie si, jaki jest stan serwerw w czasie rzeczywistym. Wykorzystywane s take czynnoci zwizane z administracj systemem operacyjnym, czsto przy wykorzystaniu skryptw administratorskich, ktre pozwalaj na uruchomienie zada przeciwdziaajcych awarii, czy zada odtwarzania. Monitorowanie systemw jest przydatne przy planowaniu ryzyka, np. poprzez sprawdzenie, jakie minimalne moliwoci musi posiada serwer, aby nadal pozostawa uyteczny lub minimalne wymagania potrzebne do skontaktowania si z serwerem, ktry przejmie zarzdzanie, podczas gdy obecny serwer nie jest w stanie wiadczy adnych usug. Jedn z waniejszych funkcjonalnoci wirtualizacji Windows Server jest Quick Migration. Opcja ta zostaa specjalnie utworzona do zwikszenia efektywnoci procesu cigoci dziaania. W poczeniu z usug klastrowania w Windows Server 2008, wspieran w edycjach Enterprise i Datacenter, Quick Migration umoliwia zarzdzanie usugami wysokiej dostpnoci dla maszyn wirtualnych (gdy jeden z serwerw ulegnie awarii, jego prac przejmuje inny wze, z minimaln przerw w dziaaniu w dostpie uytkownikw. Opcja ta jest take przydatna, aby poprawi dostpno podczas zaplanowanego zarzdzania systemem i umoliwia administratorom przeniesienie maszyn wirtualnych na inne systemy operacyjne przed dokonaniem aktualizacji sprztowej, czy programowej na serwerze bazowym. Cechy te, jak i wiele, wiele wicej sprawiaj, e wirtualizacja Windows Server staje si efektywn platform wirtualizacji, ulepszajc proces zachowania
cigoci dziaania i ochrony przed awari dla wszystkich dostpnych maszyn wirtualnych w przedsibiorstwie, zachowujc take moliwoci serwera bazowego oraz pozostaych jednostek rodowiska informatycznego organizacji.
Testowanie i rozwj
Testowanie i rozwj s bardzo czsto uwaane za jedne z waniejszych cech biznesowych przewaajcych na korzy wirtualizacji. Wykorzystanie maszyn wirtualnych oraz narzdzi wspomagajcych ich rozwj okazuje si przydatne do testw w wirtualnym rodowisku, odpowiadajcym rodowisku rzeczywistemu, a take zasymulowania sytuacji, ktre mog zdarzy si w przyszoci. Przykadowo, zesp programistw jest w stanie sprawdzi nowe wersje aplikacji na wielu platformach przy wielu konfiguracjach sprztowych. Dzia informatyczny moe wykorzystywa wirtualne maszyny do weryfikacji dziaania rozwiza wdroonych na serwerach oraz na komputerach uytkownikw. Wirtualizacja Windows Server zwiksza moliwoci sprawdzania poprawnoci dziaania sprztu, ograniczajc przy tym koszty oraz, w znacznym stopniu, poprawiajc zarzdzanie polityk testowania oraz zwikszajc obszar moliwych do przeprowadzenia testw.
Wirtualizacja Windows Server wspomaga 64-bitowe systemy operacyjne, take firm trzecich, wczajc w to niektre dystrybucje Xen+Linux, pozwalajc dziki temu na sprawdzenie jak funkcjonuj aplikacje innego typu. Wirtualizacja Windows Server pozwala take na uruchomienie wikszoci podstawowych systemw operacyjnych na maszynach 32-bitowych. Wirtualizacja Windows Server pozwala take na jednoczesn prac 64-bitowych i 32-bitowych rodowisk wirtualnych, przy wykorzystaniu ktrych mona budowa wiele scenariuszy wdroe, wykorzystujc do tego narzdzia stosowane w rodowisku produkcyjnym.
System Center Virtual Machine Manager przechowuje i zarzdza maszynami wirtualnymi, ktre znajduj si w repozytorium. Jest to bardzo cenna funkcjonalno ze wzgldu na testowanie i rozwj. Repozytorium moe zawiera wirtualne maszyny lub szablony wirtualnych maszyn bazujce na kadym systemie operacyjnym wykorzystywanym w organizacji, umoliwiajc zespoowi programistw sprawdzenie poprawnoci dziaania nowych produktw, zaraz po tym jak si pojawi, a co za tym idzie, umoliwiajc take zaobserwowanie, jaki wpyw bdzie miaa dana aplikacja na rodowisko produkcyjne, zanim w rzeczywistoci aplikacja ta zostanie wdroona. W wielu rodowiskach maszyny wirtualne s tworzone i zarzdzane przez administratorw serwerw, podlegajcych wirtualizacji i przez nich s administrowane i dystrybuowane. Sytuacja ta tworzy niepotrzebne opnienia w dostarczaniu maszyn wirtualnych do zespow testujcych. Z portalem System Center Virtual Machine Self-service, zesp testujcy moe utworzy lub usuwa maszyny wirtualne w zalenoci od potrzeb, bez wczania w to administratorw. Rol administratorw jest kontrola przydziau zasobw dla kadego zespou testujcego, a take kontrola typw maszyn wirtualnych, ktre mona uruchamia,
64
65
bd tworzy w sieci. Wirtualizacja Windows Server stanowi platform dla tych moliwoci w oparciu o Active Directory i Group Policy. Szczegowa kontrola zasobw w wirtualizacji Windows Server pomaga take izolowa sprawdzane rodowiska poprzez wykorzystanie cech takich tak VLAN.
zdalnych wprowadza wiele problemw administracyjnych oraz podraa oglne koszty utrzymania infrastruktury IT przedsibiorstwa. Dziki konsolidacji serwerw do rodowiska wirtualnego administracja staje si wydajna i bezpieczniejsza, a koszty utrzymania nisze. Zastosowanie wirtualizacji wprowadza redukcj kosztw na poziomie planowania rozwoju infrastruktury, zakupie urzdze, zarzdzaniu i wykorzystaniu zasobw dziau IT. Dziki omwionym wczeniej narzdziom do zarzdzania rodowiskiem wirtualnym zdalnie moliwe jest ograniczenie iloci uytkownikw z uprawnieniami administracyjnymi w oddziaach zdalnych. Wirtualna infrastruktura oddziau zdalnego wprowadza rwnie korzyci, ktre ju omwione zostay wczeniej w tym podrczniku.
Kopie stanu jako punkty kontrolne s bardzo cennym narzdziem w procesie odzyskiwania, testowania i rozwoju rodowiska wirtualnego przedsibiorstwa. Procedury testowania i rozwoju zwykle wymagaj od zespou testujcego czasu na instalacj, reinstalacj i odinstalowanie. Dziki punktom kontrolnym w wirtualizacji Windows Server, moliwe staje si przywrcenie pierwotnego stanu maszyny wirtualnej, ktra zostaa zmodyfikowana np. tej na ktrej zostaa zainstalowana okrelona aplikacja, aby zaoszczdzi czas na przywrcenie maszyny do stanu sprzed instalacji. Opcja ta sprawia, e sprawdzanie wielu konfiguracji danej aplikacji przebiega duo szybciej, a wykorzystanie zasobw sprztowych jest ograniczone do minimum.
Utrzymanie cigoci dziaania procesw biznesowych w oddziaach zdalnych ma takie same wymagania jak dla organizacji skupionej w pojedynczej lokalizacji. Oczywicie w czasie projektowania takiej infrastruktury naley pooy wikszy nacisk na bezpieczestwo dostpu do danych wytwarzanych, magazynowanych i przesyanych w kanaach komunikacyjnych pomidzy oddziaem zdalnym a central. Wykorzystanie wirtualizacji w infrastrukturze oddziau zdalnego umoliwi wyposaenie jej w wysokodostpne rodowisko wspierajce procesy biznesowe przedsibiorstwa. Wykorzystujc wirtualizacj serwerow Windows 2008 utrzymanie cigoci dziaania i procesu biznesowego moe by realizowane przy wykorzystaniu technologii klastrowych oraz wysoko dostpnych mechanizmw wykonywania kopii i odtwarzania rodowiska po awarii. W sytuacji awaryjnej w oddziale zdalnym administratorzy w centrali mog w swoim rodowisku testowym rozwiza problem wykorzystujc odpowiednio przygotowane rodowisko wirtualne a nastpnie przesa je do oddziau zdalnego i wdroy przy wykorzystaniu narzdzi zdalnej administracji.
Organizacje wykorzystujce wirtualizacj dla optymalizacji infrastruktury oddziau zdalnego, z reguy buduj soje laboratoria testowe w centrali, gdzie przeprowadzane s wszelkie testy zwizane z optymalna konfiguracj rodowiska oddziau. Idea wykorzystania tego modelu zostaa przedstawiona ju w poprzedniej sekcji. Planujc taki model organizacyjny naley uwzgldni sposb dystrybucji skonfigurowanego rodowiska wirtualnego do oddziau zdalnego (np. wykorzystujc noniki DVD lub szybkie cza WAN).
Korzyci wynikajce z zastosowania konsolidacji najbardziej widoczne s dla infrastruktury opartej o oddziay zdalne. Organizacja, ktra wykorzystuje obecnie oddziay zdalne posiada z reguy kilka serwerw ktre peni okrelone role takie jak serwery pocztowe, serwery plikowe, serwery faxw i wydruku, itp. Zbudowanie takiej infrastruktury w oddziaach
Firma Microsoft projektuj now rodzin serwerw Windows 2008 pooya bardzo duy nacisk na optymalizacj infrastruktury opartej o oddziay zdalne. Jednym z gwnych wyzwa stawianych przed infrastruktur opart o oddziay zdalne jest niewystarczajca przepustowo czy WAN co czsto utrudnia prowadzanie czynnoci administracyjnych. Dostarczane wraz z rodowiskiem Hyper-V i System Center Virtual Machine Manager narzdzia maj za zadanie usprawni administracj na czach o niskiej przepustowoci. Wykorzystujc w infrastrukturze przedsibiorstwa SCVM administratorzy mog w tym samym czasie zarzdza centralnie przesyaniem, wdraaniem i administracj rodowiska wirtualnego w oddziaach zdalnych.
66
67
AMD
SOCKET AM2: Wszystkie procesory tej linii posiadaj wsparcie dla hardwarowej wirtualizacji AMD-V Athlon/Opteron Rev. F: lub pniejsze posiadaj wsparcie dla hardwarowej wirtualizacji AMD-V
BIOS
Poniej opcje BIOS musz by wczone w zalenoci od platformy hardwarowej: Platforma AMD: NX (No Execute) Platforma Intel: XD (eXecute Disable)) Wsparcie dla wirtualizacji hardwarowej Intel Hardware: w wikszoci opcja to VT w BIOS-ie AMD Hardware: nie ma najczciej adnej opcji w BIOS-ie,
Poniej zestawienie elementw ktre s wane dla poprawnoci instalacji i uruchomienia rodowiska Hyper-V.
PROCESOR
Virtualizacja Hyper-V wymaga 64-bitowych procesorw z technologiami wspomagania wirtualizacji AMD-V i Intel VT. W przypadku procesorw AMD moliwe jest uruchomienie wirtualizacji na procesorach z socjet AM2 lub Athlon/Opteron Revision F.
Intel
Xeon: Procesory XEON ktre posiadaj architektur Core 2 DUO maja wsparcie dla wirtualizacji. Procesory te posiadaj cztero cyfrowe oznaczenia np. x3220, x5355, x5320 i x 7120. Jednake odpowiedz nie jest prosta co do innych modeli, najlepszym rozwizaniem jest sprawdzi to na stronach porwnawczych Intela http://compare.intel.com/pcc/default. aspx?familyID=5&culture=pl-PL CORE 2 DUO: Wszystkie procesory CORE 2 DUO posiadaj wsparcie Intel VT, jedynym wyjtkiem jest procesor T5500 (1.66 GHz). Jeli nie ma wparcia dla Intel VT na komputerach z CORE 2 DUO naley sprawdzi czy posiadamy najnowszy BIOS CORE DUO: Procesory z CORE DUO s 32 bitowe co oznacza e niemoliwe jest wsparcie dla Hyper-V. Na tej platformie sprztowej jedynym rozwizaniem jest wirtualizacja softwarowa czyli Microsoft Virtual Server 2005 SP1 lub Virtual PC 2007. CORE SOLO: Procesory z CORE SOLO s 32 bitowe co oznacza e niemoliwe jest zainstalowanie systemu Windows 2008 64 bitowego a tylko ten system posiada wsparcia dla Hyper-V. Na tej platformie sprztowej jedynym rozwizaniem jest wirtualizacja softwarowa czyli Microsoft Virtual Server 2005 SP1 lub Virtual PC 2007.
Dla poprawnego dziaania zaleca si update do najnowszej wersji BIOS-u dostpnej dladanego komputera.
PAMI DYSKI
Wielko i szybko dysku zaley od zamierze co do wykorzystania systemu operacyjnego wewntrz komputera wirtualnego i iloci komputerw wirtualnych. Mona przyj warto 2GB dla Windows 2003 i 8 GB dla Windows 2008. Jednake warto uniwersaln ktr naley przyj dla wdroe to 50 GB wolnej przestrzeni.
Instalacja
W systemie Windows 2008 wikszo usug instaluje, konfiguruje, zarzdza si z jednego miejsca Server manager. Ta zasada rwnie funkcjonuje dla instalacji, zarzdzania usugami wirtualizacyjnymi. Dziki. Hyper-V jest rol serwera Windows 2008 ktra moemy doinstalowa w penej instalacji Windows 2008 64- bit. Aby wczy Hyper-V naley: 1. Przed instalacj naley si upewni, e jest wczona sprztowa obsuga wirtualizacji. Jeeli wprowadzono zmiany w konfiguracji systemu BIOS w celu wczenia funkcji sprztowych, to przed kontynuowaniem procedury naley wykona pen procedur wyczania i ponownego wczania zasilania.
PENTIUM D.: Ostatnie modele tej linii procesorw posiadaj wsparcie dla wirtualizacji Intel VT. Jednake odpowiedz nie jest prosta co do innych modeli, najlepszym rozwizaniem jest sprawdzi to na stronach porwnawczych Intela http://compare.intel.com/pcc/default. aspx?familyID=1&culture=pl-PL
68
69
2.
Uruchom Menedera serwera. Aby to zrobi, kliknij przycisk Start, wska polecenie Administrative Tools, a nastpnie kliknij polecenie Server Manager. Aby doda role do serwera, naley si zalogowa przy uyciu konta z uprawnieniami administracyjnymi.
4.
Postpuj zgodnie z instrukcjami wywietlanymi na ekranie, aby zakoczy dziaanie Add Roles Wizard.
3.
W Server Manager dodaj rol wirtualizacji systemu Windows Server. Aby to zrobi, kliknij przycisk Add Roles w obszarze Roles Summary, a nastpnie wybierz opcj Windows Server Virtualization w kreatorze dodawania rl.
Uwaga: Opcjonalnie mona zezwoli maszynom wirtualnym na dostp do zasobw sieciowych. Co najmniej jedna karta sieciowa musi by wybrana w celu powizania z wirtualnym przecznikiem sieci. Jeeli w komputerze jest zainstalowana jedna karta sieciowa, zostanie wywietlone ostrzeenie. Zalecane jest udostpnienie co najmniej dwch kart sieciowych.
70
71
5. 6.
Po zakoczeniu dziaania Kreatora dodawania rl naley ponownie uruchomi komputer, aby umoliwi wczenie roli wirtualizacji systemu Windows Server. Zalecane jest wyczenie innych rl systemu Windows Server 2008 w systemie hosta, jeeli rola wirtualizacji systemu Windows Server jest wczona w systemie.
Wane: po ponownym uruchomieniu naley si zalogowa przy uyciu konta uywanego do instalacji roli wirtualizacji systemu Windows Server zgodnie z powysz procedur. Uwaga: Aby potwierdzi instalacj roli wirtualizacji systemu Windows Server, naley przej do przystawki Meneder serwera programu MMC, rozwin wze Rol i zaznaczy pozycj Wirtualizacja systemu Windows Server. Naley si upewni, e dwie usugi, vhdsvc i vmms, s uruchomione. Korzystajc z tej konsoli, mona zarzdza lokalnym systemem lub czy si z innymi serwerami i zarzdza nimi. Korzystajc z konsoli zarzdzania wirtualizacj, mona atwo tworzy nowe maszyny wirtualne, modyfikowa ustawienia dla komputera-hosta i maszyny wirtualnej, zatrzymywa i uruchamia maszyny wirtualne, wykonywa migawki itp. przy uyciu znanych kreatorw zgodnych z interfejsem systemu Windows.
72
73
2. 3.
Kliknij na New, ktry znajduje si na prawym panelu i wybierz Virtual Machine Uruchomi si virtual machine wizard, w kolejnych krokach wybierz: a. Nazw i lokalizacj dla nowego komputera wirtualnego
b.
Pamici RAM przydzielonej dla nowej maszyny Windows 2008 wymaga do poprawnego dziaania 512 MB dla sprawnego dziaania jeli to moliwe wybierz 1GB. Wielko i lokalizacje dla pliku VHD pliku ktry staje si wirtualnym dyskiem tworzonej maszyny wirtualnej, domylna warto 127 GB jest zupenie wystarczajca. Jeli chcesz aby po utworzeniu maszyny wirtualnej automatycznie rozpocz si proces instalacji systemu operacyjnego wska nonik Windows 2008. Moe by to nonik fizyczny, w takim wypadku wska napd a jeli posiadasz obraz pyty DVD wska odpowiedni plik ISO
c.
d.
4.
W podsumowaniu S
74
75
3.
Usugi terminalowe
Wprowadzenie
Zarwno firmy, jak i pracownicy s w cigym ruchu. Pracownicy potrzebuj dostpu do kluczowych danych i aplikacji biznesowych niezalenie od miejsca, w ktrym si aktualnie znajduj w samochodzie, w domu, w terenie, jak rwnie w biurze. Firmy, ktre zapewniaj scentralizowany dostp do aplikacji za pomoc systemu Windows Server 2008, mog zmniejszy wydatki, zwikszy produktywno i dostarczy pracownikom narzdzi potrzebnych do osigania sukcesw w pracy. Zapewnienie zdalnego dostpu do aplikacji przy jednoczesnym zachowaniu bezpieczestwa jest wyzwaniem dla specjalistw IT, a take stanowi gwny cel ulepsze scentralizowanego dostpu do aplikacji zawartego w Microsoft Windows Server 2008. System Windows Server 2008 dodaje ulepszenia oraz innowacje do Usug Terminalowych, ktre uatwiaj integracj zdalnych aplikacji na komputerach klientw, zapewniaj atwy dostp do tych samych programw za pomoc przegldarki internetowej, jak rwnie dostarczaj rodkw umoliwiajcych dostp do odlegych terminali i aplikacji, poprzez zapory firewall, bez potrzeby otwierania dodatkowych portw. Dziki Windows Server 2008 organizacje s w stanie zapewni swoim uytkownikom, zarwno tym pracujcym zdalnie, jak i tym pracujcym w sieci, dostp do aplikacji zebranych i zabezpieczonych w centrum danych, przy jednoczesnym zapewnieniu spjnoci danych i wydajnoci, niezalenie od lokalizacji uytkownika. Poniszy rozdzia przedstawi zarys technologii Usug Terminalowych w Windows Server 2008, umoliwiajcych organizacjom: Zapewnienie scentralizowanego dostpu do kluczowych aplikacji biznesowych za porednictwem Internetu. Zmniejszenie ryzyka utraty danych z komputerw przenonych poprzez wykorzystanie bezpiecznego dostpu zdalnego do centralnej bazy aplikacji i danych. Obnienie kosztw zarzdzania dziki rezygnacji z serwerw aplikacyjnych w innych lokalizacjach. Zapewnienie bezpiecznego dostpu do Usug Terminalowych bez koniecznoci udostpniania penego dostpu do sieci poprzez Wirtualne Sieci Prywatne (VPN).
77
Do nowych komponentw Usug Terminalowych nale: Terminal Services RemoteApp. TS RemoteApp pozwala uytkownikom na uruchomienie programw dostpu zdalnego w systemie Windows na ich pulpicie, tu obok lokalnych aplikacji, przy uyciu nowego klienta Remote Desktop Connection w wersji 6.0 lub wyszej. Terminal Services Gateway. TS Gateway poszerza zasig Usug Terminalowych poza firmow zapor firewall poprzez zapewnienie bezpiecznego dostpu do Usug Terminalowych oraz udostpnionych pulpitw, bez potrzeby korzystania z dodatkowej infrastruktury VPN. Terminal Services Web Access. TS Web Access oferuje rozwizanie upraszczajce proces publikowania aplikacji zdalnych dla administratora, przy jednoczesnym uatwieniu uytkownikom wyszukiwania i uruchamiania zdalnych aplikacji. Single Sign-on. SSO usprawnia prac uytkownika zdalnego dziki wyeliminowaniu koniecznoci wielokrotnego uwierzytelniania. Terminal Services Easy Print. TS Easy Print jest sterownikiem drukarki w Usugach Terminalowych, ktry usprawnia administracj w celu umoliwienia drukowania obsugiwanym klientom. Ulepszenia Licencyjne. Istnieje wiele ulepsze w licencjonowaniu Usug Terminalowych, ktre uatwiaj zarzdzanie i ledzenie licencji.
Kiedy uytkownik korzysta z programu na serwerze terminali, wykonanie programu ma miejsce na serwerze. Jedynie akcje klawiatury, myszy i obrazy ekranu s transmitowane przez sie. Kady z uytkownikw widzi jedynie swoj indywidualn sesj. Sesja jest zarzdzana indywidualnie przez system operacyjny serwera i jest niezalena od sesji pozostaych uytkownikw.
Korzyci wynikajce z uytkowania Usug Terminalowych w systemie Windows Server 2008 s rnorodne. Zaliczamy do nich: Szybkie wdraanie aplikacji, ktre s czsto aktualizowane, rzadko uywane lub trudne w obsudze. Scentralizowany dostp do pojedynczych aplikacji bez potrzeby korzystania z penego Pulpitu Zdalnego. Aplikacje uruchamiane zdalnie s zintegrowane z lokalnym pulpitem uytkownika wygldaj i zachowuj si jak lokalne aplikacje. Uproszczenie dostpu do aplikacji dla uytkownikw, partnerw lub klientw. Kompleksowy model konfiguracji zabezpiecze, ktry daje moliwo kontroli dostpu do zasobw w sieci korporacyjnej. Organizacje mog zapewni pracownikom dostp do scentralizowanych aplikacji, pulpitw i rde z Internetu poprzez uycie HTTPS, bez koniecznoci konfiguracji penego dostpu przez Wirtualne Sieci Prywatne (VPN) lub otwierania niepodanych portw na zaporach firewall. Moliwo prostego i bezpiecznego poczenia zdalnego uytkownikw z serwerami terminali i zdalnymi pulpitami poprzez zapory firewall i translacj adresw sieciowych (NAT). Optymalizacja przepustowoci cza sieciowego, ktra jest wymagana przy dostpie do aplikacji zdalnych. Lepsze dziaanie programu dla pracownikw w biurach wydziaowych, ktrzy potrzebuj dostpu do centralnych magazynw danych.
Kto bdzie zainteresowany nowymi moliwociami Usug Terminalowych w systemie Windows Server 2008?
Analitycy i planici IT, szukajcy rozwiza zapewniajcych zdalny dostp pracownikom firmy. Planici przedsiwzi IT, architekci i projektanci pracujcy dla organizacji. Architekci zabezpiecze, ktrzy odpowiadaj za wdraanie sprawdzonych rozwiza , speniajcych kryteria Trustworthy Computing (wicej informacji na stronie http://www.microsoft.com/poland/security/twc/projekt.mspx).
78
79
Profesjonalici IT odpowiedzialni za serwery terminali lub zdalny dostp do stacji roboczych. Profesjonalici IT, ktrzy poszukuj wydajnych i obniajcych koszty metod instalowania aplikacji dla uytkownikw.
Wsparcie dla licznych typw wywietlaczy i rnych rozdzielczoci, Moliwo rozszerzenia obrazu pulpitu na kilka monitorw, Wsparcie dla funkcji systemu Windows Vista (Windows Media Player, motywy pulpitu, zarzdzanie zdjciami), Wygadzanie czcionek, Wsparcie dla Windows Server 2008 Audio Mixer, Moliwo ustawienia 32-bitowej mapy kolorw, Wsparcie dla kompresji pocze RDP , TS Easy Print.
Usugi Terminalowe w systemie Windows Server 2008 oferuj funkcjonalno, ktra umoliwia scentralizowany dostp do aplikacji na potrzeby rnych scenariuszy korporacyjnych. Trzy rozszerzenia istniejcych cech funkcjonalnych Usug Terminalowych systemu Windows Server 2008 maj szczeglnie istotne znaczenie dla scentralizowanego dostpu do aplikacji: Brama Usug Terminalowych (TS Gateway) - umoliwia autoryzowanym zdalnym uytkownikom dostp do usug terminalowych i zdalnego pulpitu wewntrznej sieci korporacyjnej z dowolnego miejsca i urzdzenia ze skonfigurowanym klientem Remote Desktop Connection 6.0. TS Gateway eliminuje potrzeb konfigurowania pocze Wirtualnej Sieci Prywatnej (VPN), umoliwiajc zdalnym uytkownikom bezporednie i bezpieczne poczenie do wewntrznej sieci korporacyjnej z sieci zewntrznej, takiej jak na przykad Internet. Jednoczenie zapewnia pen kontrol nad tymi poczeniami przy dostpie do poszczeglnych zasobw sieci korporacyjnej. TS RemoteApp - funkcje TS RemoteApp s dostpne zdalnie poprzez usugi terminalowe i zachowuj si tak, jakby byy uruchomione na lokalnym komputerze docelowego uytkownika. TS Web Access - powoduje, e funkcje TS RemoteApp s dostpne dla uytkownikw z przegldarki internetowej. Za pomoc rozszerzenia TS Web Access uytkownik moe odwiedzi witryn sieci Web (zarwno z Internetu, jak i z intranetu), aby uzyska list dostpnych programw.
mechanizmy bezpieczestwa
Znaczna poprawa bezpieczestwa zostaa uzyskana poprzez wykorzystanie nowych funkcji systemu Windows Server 2008, w tym: Uwierzytelnianie dostpu klientw do sieci, Pojedyncze logowanie Single Sign-in dla klientw podczonych do domeny, Integracja z Credential Manager and Credential Security Support Provider (CredSSP), Moliwo blokowania klienta pre-RDPG, Izolacja sesji i bezporednio poczonych urzdze, Udoskonalone ustawienia zabezpiecze TS Gateway, midzy innymi wsparcie dla Network Access Protection (NAP), wskazwki dla przekierowywania urzdze i monitorowanie pocze.
Podstawow metod zarzdzania Usugami Terminalowymi jest Server Manager Console. To narzdzie umoliwia implementacj rl niezbdnych do wsparcia Usug Terminalowych i zarzdzanie waciwociami kadej roli; na przykad zarzdzanie funkcj Remote Program. Role niezbdne do implementacji Usug Terminalowych na pojedynczej maszynie to: Usugi Terminalowe, Serwer plikw, Usugi dostpu do sieci, Serwer Web (IIS).
Usugi Terminalowe Windows Server 2008 zawieraj wiele nowych i udoskonalonych funkcji zwizanych z zarzdzaniem i skalowalnoci, midzy innymi: Narzdzie do zarzdzania rolami serwera, Priorytetyzacja przesyania danych ekranowych, Nowe metody kompresji, Lepsza skalowalno bufora wydruku, Polepszone liczniki wydajnoci,
rodowisko pracy uytkownikw zdalnych czcych si z serwerem Usug Terminalowych Windows Server 2008 jest znacznie udoskonalone w porwnaniu z wersjami poprzednimi, dziki rozszerzeniu istniejcych i dodaniu nowych funkcji:
80
81
Pene wsparcie dla IPv6, ledzenie licencji w trybie Per User, Pojedynczy klient Win32 i ActiveX, zintegrowany z systemem i Windows Update, Wsparcie dla architektury i aplikacji 64-bit, Wbudowana usuga UPH Clean Service.
Uruchamiaj 32-bitowe aplikacje, zdolne do pracy w wikszej przestrzeni adresowej (large memory aware) i wymagajce wikszej wydajnoci w przestrzeni adresowej 4GB. Uruchamiaj 64-bitowe aplikacje w wirtualnej przestrzeni adresowej 8 TB. Uatwiaj migracj do 64-bitowej infrastruktury.
Instalacja i konfiguracja
Rola serwera Usug Terminalowych, znana wczeniej jako komponent serwera Usug Terminalowych w Windows Server 2003, umoliwia systemowi Windows Server 2008 udostpnianie pojedynczych aplikacji zgodnych z systemem Windows lub penego pulpitu systemu Windows. Usugi Terminalowe s rol serwera skadajc si z kilku podkomponentw, ktre mona oznaczy jako usugi rl. W systemie Windows Server 2008 na Usugi Terminalowe skadaj si nastpujce usugi rl: Serwer Terminali. Rola Serwera Terminali umoliwia udostpnianie programw zgodnych z systemem Windows lub caego pulpitu Windows. TS Licensing. Terminal Services Licensing (TS Licensing) zarzdza licencjami dostpowymi klienta Usug Terminalowych (TS CALs), ktre s wymagane do poczenia z serwerem terminalowym. TS Session Broker. Terminal Services Session Broker pozwala uytkownikowi na ponowne poczenie z serwerem, ktry zawiera biec sesj, w przypadku korzystania z technik rwnowaenia obcienia i farmy serwerw. TS Session Broker rwnoway obcienia, nawet jeli inne mechanizmy rwnowaenia obcienia nie s stosowane. Pozwala take wygasza sesje terminalowe na sewerach terminali, ktre maj by poddane przegldowi okresowemu.
Usuga UPH Clean Service, wydana poprzednio jako dodatek do Windows Server 2003, teraz zostaa wbudowana zarwno do systemu Windows Server 2008, jak i do Windows Vista. UPHClean jest usug zaprojektowan po to, by usuwa problemy zwizane z nierozadowujcymi si profilami uytkownikw. Symptomy tych problemw to dugotrwae wylogowywanie si, nieuzgodnione profile mobilne lub przekroczony limit rozmiaru rejestru. To kluczowe dla usugi terminalowej narzdzie nie wymaga ju oddzielnej instalacji, co oznacza, e jakiekolwiek aktualizacje usugi bd przeprowadzane przez Windows Updates Services, uatwiajc tym samym zarzdzanie.
Jeli uytkownik przerwie sesj (niezalenie od tego, czy mia taki zamiar, czy te wynika to z awarii sieci), aplikacje bd nadal dziaay. Kiedy ponownie si poczy, TS Session Broker rozele zapytanie, aby ustali, czy ma on dziaajc sesj, a jeli tak, to na ktrym serwerze w farmie. Jeeli odbywa si sesja, TS Session Broker przekierowuje klienta do serwera terminali, na ktrym ta sesja si znajduje. Funkcjonalno ta chroni uytkownika przed rozpoczciem nowej sesji, jeli istnieje ju rozpoczta, lecz przerwana sesja. Brama Usug Terminalowych (TS Gateway). Brama Usug Terminalowych pomaga zapewni bezpieczne poczenie zdalne z serwerami terminali i zdalnymi pulpitami w sieci korporacyjnej z kadego miejsca w Internecie. TS Web Access. Dostp Internetowy dla Usug Terminalowych (TS Web Access) pozwala uytkownikom na dostp do zdalnych programw za porednictwem protokow internetowych.
82
83
Po zainstalowaniu usug na serwerze terminali, aby zakoczy konfiguracj Usug Terminalowych, administratorzy musz podj nastpujce kroki: Zainstalowa aplikacje na serwerze. Skonfigurowa ustawienia zdalnego poczenia (okrelajc uytkownikw i grupy, ktre potrzebuj poczenia z serwerem terminali). Rozway umieszczenie indywidualnych programw na oddzielnych serwerach terminali w nastpujcych przypadkach: Jeli program posiada problemy z kompatybilnoci, ktre mog wpyn na inne programy. Jeli parametry aplikacji lub liczba uytkownikw korzystajcych z aplikacji wymaga penej wydajnoci serwera.
Single Sign-on jest metod uwierzytelniania, ktra pozwala uytkownikowi z kontem w domenie zalogowa si raz, przy uyciu hasa lub karty procesorowej, a nastpnie uzyska dostp do zdalnych serwerw bez potrzeby ponownego wprowadzenia uwierzytelnie. Kluczowe scenariusze dla metody Single Sign-on to: Wdraanie aplikacji Linii Biznesowej (LOB), Scentralizowane wdraanie aplikacji.
Aby utrzyma nisze koszty, wiele organizacji woli instalowa swoje aplikacje Linii Biznesowej (LOB) na serwerze terminali i udostpnia je poprzez TS RemoteApp lub Pulpit Zdalny. Single Signon pozwala uytkownikom na wygodniejsze uytkowanie, eliminujc potrzeb kadorazowego wprowadzania uwierzytelnie przy rozpoczynaniu zdalnej sesji. Aby zaimplementowa funkcjonalno Single Sign-on w Usugach Terminalowych, naley si upewni, czy speniamy nastpujce wymagania: Z Single Sign-on mona korzysta jedynie w przypadku zdalnych pocze z komputerw dziaajcych pod kontrol systemu Windows Vista, z serwerem terminali dziaajcym pod kontrol systemu Windows Server 2008, lub w przypadku zdalnych pocze pomidzy dwoma serwerami dziaajcymi pod kontrol systemu Windows Server 2008. Konta uytkownikw, z ktrych korzystamy, musz mie odpowiednie uprawnienia do logowania, zarwno na serwerze terminali, jaki i na stacji roboczej Windows Vista. Zarwno komputer klienta, jak i serwer terminali musz nalee do domeny.
Uwierzytelnianie
Windows Server 2008 wspiera Network Level Authentication, Server Authentication oraz Single Sign-on, kiedy czymy si z serwerem terminali z serwera Windows Server 2008 , klienta Windows Vista lub z Windows XP Service Pack 2 z aktualizacj RDC 6.0. Network Level Authentication jest now metod uwierzytelniania, ktra pozwala na zakoczenie uwierzytelniania uytkownika, zanim zostanie ustanowione pene poczenie z Pulpitem Zdalnym i zanim pojawi si ekran logowania. Korzyci z Network Level Authentication to: Wymaga mniej zasobw zdalnego komputera, poniewa zdalny komputer wykorzystuje tylko ograniczone zasoby serwera terminali przed uwierzytelnieniem uytkownika. We wczeniejszych wersjach komputer zdalny od razu nawizywa pene poczenie Pulpitu Zdalnego. Pomaga uzyska wiksze bezpieczestwo poprzez redukowanie ryzyka ataku blokujcego usug (Denial of Service). Uywa identyfikacji zdalnego komputera, co pomaga ochroni uytkownikw przed poczeniem ze zdalnymi komputerami podajcymi nieprawdziw tosamo.
Przekierowanie urzdze
Windows Server 2008 wspiera przekierowanie urzdzenia dla pocze z serwerem terminali nawizywanych z serwera Windows Server 2008, stacji roboczej z systemem Windows Vista lub Windows XP Service Pack 2 z aktualizacj RDC 6.0.
W systemie Windows Server 2008 przekierowywanie zostao ulepszone i rozszerzone. Aktualnie mona, w poczeniu terminalowym, przekierowa przenone urzdzenia zgodne z platform Windows Portable Devices, szczeglnie odtwarzacze dziaajace w oparciu o Media Transfer Protocol (MTP) i kamery cyfrowe dziaajce w oparciu o Picture Transfer Protocol (PTP). Mona kontrolowa przekierowanie urzdze typu Plug and Play, wykorzystujc jedno z nastpujcych ustawie zasad grup:
Server Authentication sprawdza, czy czymy si z waciwym zdalnym komputerem lub serwerem. To zabezpieczenie pomaga uchroni uytkownika przed poczeniem z komputerem lub serwerem innym od tego, z ktrym mia zamiar si poczy. Zapobiega tym samym przypadkowemu ujawnieniu poufnych informacji. Domylnie uwierzytelnienie serwera jest wczone dla wszystkich pocze.
84
85
Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device redirection policy setting, Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions policy settings.
Mona take kontrolowa przekierowanie urzdze typu Plug and Play za pomoc zakadki Client Settings w narzdziu Terminal Server Configuration tool (tsconfig.msc). Przekierowanie urzdzenia typu Plug and Play nie jest wspierane przez kaskadowe czenia serwerw terminali. Na przykad, jeli urzdzenie typu Plug and Play jest podczone do lokalnego komputera klienckiego, to mona przekierowa i uy tego urzdzenia, jeli czymy si z serwerem terminali (na przykad Server1). Jeli w trakcie zdalnej sesji na serwerze Server1 czymy si z innym serwerem terminalowym (na przykad Server2), to nie bdziemy mogli przekierowa i uywa urzdzenia typu Plug and Play podczas zdalnej sesji na serwerze Server2.
Po zaimplementowaniu Microsoft POS for .NET 1.1 na serwerze terminali i przekierowaniu urzdzenia dziaajcego pod kontrol systemu Windows Embedded for Point of Service w pliku .rdp naley podczy urzdzenie Windows Embedded for Point of Service, a nastpnie poczy si z komputerem zdalnym, uywajc zmodyfikowanego pliku .rdp. Po poczeniu z komputerem zdalnym urzdzenie, ktre zostao przekierowane, powinno by automatycznie instalowane na komputerze zdalnym. Informacja o instalacji urzdzenia typu Plug and Play pojawi si na pasku zada komputera zdalnego.
Kiedy przekierowane urzdzenie dziaajce pod kontrol systemu Windows Embedded Point of Services jest zainstalowane na komputerze zdalnym, kada aplikacja korzystajca z tego urzdzenia, dziaajca na serwerze terminali, ma dostp do urzdzenia Windows Embedded Point of Services, tak jakby urzdzenie to byo dostpne lokalnie. Istnieje prbna aplikacja w POS dla .NET 1.1 SDK, ktr mona wykorzysta do przetestowania dostpu do funkcjonalnoci wbudowanego urzdzenia POS. Aplikacja prbna to ccltestapp.exe i mona j znale w folderze \SDK\Samples\Sample Application, znajdujcym si w katalogu, w ktrym bya instalowana aplikacja POS dla .NET 1.1. Przekierowanie urzdzenia dziaajcego pod kontrol systemu Windows Embedded for Point of Services mona kontrolowa, uywajc jednego z nastpujcych ustawie zasad grupy: Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device redirection policy setting, Computer Configuration\Administrative Templates\System\Device Installation\ Device Installation Restrictions policy settings.
W systemie Windows Server 2008 mona przekierowa urzdzenia dziaajce pod kontrol Windows Embedded for Point of Service, korzystajce z Microsoft POS dla .NET 1.1. Przekierowanie urzdzenia dziaajcego pod kontrol Windows Embedded for Point of Service jest wspierane, jeli serwer terminali dziaa na wersji Windows Server 2008 przeznaczonej dla architektury x86. Aby uzyska wicej informacji, sprawd haso Windows Embedded for Point of Service na stronie Microsoftu (http://go.microsoft. com/fwlink/?LinkId=67182). Mona pobra Microsoft POS for .NET 1.1 z Microsoft Download Center na stronie (http://go.microsoft.com/fwlink/?linkid=66169). Aby uaktywni przekierowanie dla urzdze dziaajcych pod kontrol systemu Windows Embedded for Point of Service, naley wykona nastpujce czynnoci: Zainstalowa Microsoft POS for .NET 1.1 na wasnym serwerze terminali. Skonfigurowa plik Remote Desktop Protocol (.rdp).
Przekierowanie urzdzenia dziaajcego pod kontrol systemu Windows Embedded for Point of Service mona take kontrolowa za pomoc zakadki Client Settings w narzdziu Terminal Server Configuration tool (tsconfig.msc).
Urzdzenia dziaajce pod kontrol systemu Windows Embedded for Point of Service domylnie nie s wymienione w zakadce Local Resources w Remote Desktop Connection. Dlatego, aby umoliwi przekierowanie urzdze Windows Embedded for Point of Service, naley edytowa plik Remote Desktop Protocol (.rdp), ktrego uywamy do poczenia z serwerem terminali. Aby zasign informacji o ustawieniach pliku .rdp, naley sprawdzi ustawienia Remote Desktop Protocol w Windows Server 2003 i w Windows XP (http://gp.microsoft.com/fwlink/?linkid=66168).
Rozdzielczo ekranu Usug Terminalowych bya ograniczona przez standardy obowizujce w systemie Windows Server 2003 (format ekranu 4:3, maksymalna rozdzielczo 1600x1280). To ograniczenie zwizane byo z limitami pamici wirtualnej.
86
87
Usugi Terminalowe systemu Windows Server 2008 umoliwiaj indywidualne dostosowanie ekranu do wikszej rozdzielczoci oraz wybranie alternatywnych formatw ekranu, takich jak 16:9 lub 16:10. Na przykad nowsze monitory z rozdzielczoci 1680x1050 lub 1920x1200 s obecnie wspierane. Maksymaln wspieran rozdzielczoci jest 4096x2048. Indywidualne ustawienia rozdzielczoci ekranu mona ustawi w pliku .rdp, modyfikujc wartoci desktopwidth:i:<value> oraz desktopheight:i:<value>, gdzie <value> jest zadan liczb pikseli w poziomie lub pionie (odpowiednio), np. 1680 lub 1050. Ustawienie rozdzielczoci moe by take skonfigurowane w wierszu polecenia: mstsc.exe /w:<width> /h:<height>, gdzie width jest zadan liczb pikseli w poziomie, a height w pionie.
Windows Server 2008 obsuguje technologi ClearType, ktra wywietla czcionki na ekranie tak, e wydaj si one bardziej gadkie i wyrane. Rnic w stosunku do wczeniejszej wersji wida zwaszcza na ekranach monitorw LCD. Serwer Usug Terminalowych Windows Server 2008 moe by tak skonfigurowany, e klienci uzyskujcy z nim poczenie przy uyciu Pulpitu Zdalnego w wersji 6.0 bd mogli korzysta z funkcji wygadzania czcionek (ClearType). Wygadzanie czcionek jest moliwe, jeli na komputerach klienckich jest zainstalowany ktry z poniszych systemw operacyjnych: Windows Vista, Windows Server 2003 Service Pack 1, Windows XP Service Pack 2.
Rozszerzanie obrazu pulpitu (monitor spanning) umoliwia wywietlenie zdalnej sesji na wielu monitorach. Monitory uyte do takiego rozszerzenia obrazu pulpitu musz spenia nastpujce wymagania: Musz pracowa w tej samej rozdzielczoci (nie mona na przykad ustawi rozdzielczoci jednego monitora na 1024x768, za drugiego na 800x600). Musz by zestawione w poziomie. Nie ma obecnie moliwoci rozszerzania obrazu w pionie. czna rozdzielczo monitorw nie moe przekroczy 4096x2048.
Domylnie funkcja ClearType w systemie Windows Server 2008 jest wczona. Stosowanie wygadzania czcionek w trakcie poczenia zdalnego pulpitu moe zwikszy obcienie cza pomidzy komputerem klienta i serwerem Usug Terminalowych Windows Server 2008.
Priorytetyzacja danych
Rozszerzanie obrazu pulpitu mona wczy w pliku .rdp, modyfikujc warto Span:i:<value>, gdzie <value> moe przyjmowa ustawienie 0 rozszerzanie wyczone, 1- rozszerzanie wczone. Rozszerzanie obrazu pulpitu moe te by wczone z wiersza polece: mstsc.exe /span.
Priorytetyzacja danych (Display Data Prioritization) kontroluje ruch w wirtualnym kanale sesji zdalnego pulpitu tak, e dane wywietlane na ekranie, wprowadzone z klawiatury lub za pomoc myszki, maj wyszy priorytet ni inny ruch w wirtualnym kanale sesji, taki jak drukowanie czy transfer plikw. Tego rodzaju uprzywilejowanie jest zaprojektowane w celu zapewnienia niezakconej pracy w zdalnym rodowisku, nawet w przypadku wystpienia zada silnie obciajcych poczenie, takich jak due zadania drukowania. Domylnie stosunek liczbowy podziau pasma sieciowego wynosi 70: 30. Dane wejciowe i ekranu maj przydzielonych 70 procent pasma, natomiast pozostay ruch, taki jak schowek, transfer plikw lub zadania drukowania, ma przydzielonych 30 procent pasma. Ustawienia priorytetyzacji danych mona dostosowa do wasnych potrzeb, zmieniajc ustawienia podkluczy w kluczu rejestru HKLM\SYSTEM\CurrentControlSet\Services\TermDD: FlowControlDisable. Mona wyczy priorytetyzacj danych, jeli warto FlowControlDisable zostanie ustawiona na 1. Jeli priorytetyzacja danych jest wczona, wszystkie dania s obsugiwane na zasadzie pierwszy wchodzi, pierwszy wychodzi (FIFO). Domylnym ustawieniem dla FlowControlDisable jest 0.
Oprogramowanie Remote Desktop Connection 6.0 powiela zdalny pulpit serwera terminali na lokalny komputer klienta. Jeli komputer lokalny dziaa pod kontrol systemu operacyjnego Windows Vista, a serwer terminali pod kontrol sytemu Windows Server 2008, to dla uzyskania penej funkcjonalnoci rodowiska pracy uytkownika z systemu Vista, na serwerze terminali naley zainstalowa funkcj Desktop Experience. Wczenie tej funkcji umoliwi pojawienie si na Pulpicie Zdalnym wasnoci systemu Windows Vista, takich jak odtwarzacz multimedialny Windows Media Player 11, kompozycje pulpitu i zarzdzanie zdjciami.
System Windows Server 2008 wspiera obecnie 32-bitow jako koloru. Ze wzgldu na wdroon technologi kompresji poczenia Pulpitu Zdalnego, uycie 32-bitowej jakoci koloru jest zalecane, gdy kompresja zapewnia lepsz wydajno sesji uytkownikowi kocowemu.
88
89
FlowControlDisplayBandwidth. Klucz ten okrela pasmo sieci przydzielone na ekran (i dane wejciowe). Domyln wartoci tego klucza jest 70, maksymaln dozwolon wartoci jest 255. FlowControlChannelBandwidth. Klucz ten okrela pasmo sieci przydzielone pozostaemu ruchowi (schowek, transfery plikw, zadania drukowania). FlowControlChargePostCompression. Warto tego klucza decyduje o tym, czy alokacja pasma sieciowego jest obliczana na podstawie bajtw przed, czy po kompresji. Domylna warto 0 oznacza, e pod uwag bd brane bajty przed kompresj.
zasobami zapewnia take stabilniejsze rodowisko uytkownikom aplikacji i usug uruchomionych na komputerze.
Scenariusze wdroenia/wykorzystania
Scentralizowany dostp do aplikacji
Scentralizowany dostp do aplikacji jest osigany dziki Usugom Terminalowym systemu Windows Server 2008, poniewa: Zapewnia dostp do aplikacji biznesowych poprzez Internet lub intranet z niemal kadego urzdzenia. Zapewnia uytkownikom dostp do centralnie zarzdzanych pulpitw Windows. Zapewnia atwe i bezpieczne zdalne poczenia z serwerami terminali i Pulpitami Zdalnymi take przez zapory firewall i translacj adresw sieciowych (NATs).
Stosunek liczbowy podziau pasma sieciowego obliczany dla priorytetyzacji danych opiera si przede wszystkim na wartociach kluczy FlowControlDisplayBandwidth i FlowControlChannelBandwidth. Jeli na przykad warto FlowControlDisplayBandwidth jest ustawiona na 150, a FlowControlChannelBandwidth na 50, to stosunek liczbowy wynosi 150:50, czyli danym ekranu i danym wejciowym bdzie przydzielonych 75 procent pasma sieciowego.
Zwikszenie bezpieczestwa
TS Easy Print
Bezpieczestwo zostao zwikszone dziki uyciu Usug Terminalowych systemu Windows Server 2008, poniewa: Usugi te usuwaj ryzyko utraty danych z laptopw dziki uyciu bezpiecznego, zdalnego dostpu do aplikacji i centralnego przechowywania danych. Zapewniaj bezproblemowy, scentralizowany i poufny dostp do pojedynczych aplikacji bez koniecznoci korzystania z caego Pulpitu Zdalnego. Kontroluj dostp do specyficznych zasobw w sieci korporacyjnej bez udzielenia penego dostpu do zasobw sieci korporacyjnej. Zapewniaj bezpieczny dostp do scentralizowanych aplikacji, pulpitw i zasobw organizacji z Internetu, dziki uyciu HTTPS bez potrzeby konfiguracji dostpu poprzez Wirtualne Sieci Prywatne (VPN) lub otwierania dodatkowych portw w zaporze firewall.
Poprzez now funkcj Windows Server 2008 o nazwie TS Easy Print zarwno drukarki lokalne, jak i sieciowe s wspierane na serwerze Usug Terminalowych bez potrzeby instalacji ich sterownikw. Umoliwia to uytkownikom bezproblemowe drukowanie z sesji Pulpitu Zdalnego lub z funkcji TS RemoteApp na lokalnej lub sieciowej drukarce zainstalowanej na komputerze klienta. W momencie, kiedy uytkownicy chc drukowa z sesji Pulpitu Zdalnego lub z funkcji TS RemoteApp, mog zobaczy okno dialogowe z waciwociami drukarki i otrzyma dostp do jej wszystkich ustawie. W celu zredukowania kosztw i poprawienia skalowalnoci moliwe jest skorzystanie z Zasad Grupy w celu ograniczenia iloci przekierowanych drukarek do jednej domylnej drukarki.
Scentralizowane zarzdzanie aplikacjami zostao ulepszone w przypadku Usug Terminalowych systemu Windows Server 2008, poniewa: Szybko rozlokowuj programy dziaajce w systemie Windows, na terminalach w caym przedsibiorstwie. Usugi Terminalowe bywaj szczeglnie przydatne, kiedy programy s czsto uaktualniane, rzadko uywane lub trudne w zarzdzaniu. Umoliwiaj zdalny dostp do wykorzystywanych aplikacji, sprawiajcych problemy przy pracy poprzez sie WAN.
Usugi Terminalowe mog znacznie zmniejszy potrzebn przepustowo cza sieciowego, wymagan przy dostpie do zdalnych aplikacji.
90
91
Produktywno uytkownika wzrasta przy wykorzystaniu Usug Terminalowych Windows Server 2008, gdy: Uytkownicy mog korzysta z programw, ktre s aktywne na serwerze terminali, czc si z nimi z takich urzdze, jak komputery, kioski internetowe, urzdzenia mobilne i systemy operacyjne inne ni Microsoft Windows. Usugi Terminalowe rozmieszczaj aplikacje, ktre bezproblemowo integruj si z lokalnym pulpitem uytkownika, zmniejszajc niepewno dotyczc miejsca przechowywania danych.
Korzysta z funkcji RemoteApp Usug Terminalowych, aby umoliwi uwierzytelnionym zdalnym uytkownikom poczenie z wybranymi programami uruchamianymi na serwerach terminali i Pulpitach Zdalnych (zdalnych komputerach}, a nie z caym pulpitem. Zaimplementowa funkcj TS Web Access, aby udostpni programy z sieci lokalnej poprzez przegldark WWW. Zaimplementowa Usugi Terminalowe na sprzcie x64 nawet wtedy, jeli nie jestemy jeszcze gotowi do korzystania z 64-bitowych aplikacji. Korzysta z funkcji WSRM, aby kontrolowa zasoby na serwerze terminalowym.
Zmniejszenie zoonoci/uproszczenie
Usugi Terminalowe zapewniaj pracownikom, partnerom handlowym i klientom uproszczony dostp do aplikacji.
Podsumowanie
Usugi Terminalowe daj moliwo korzystania z technologii, ktre umoliwiaj dostp do zainstalowanych na serwerze programw uruchamianych w systemie Windows lub do penego pulpitu Windows, zmniejszajc wysiki administracyjne i koszty zwizane z zapewnieniem zdalnego dostpu do zasobw. Uytkownicy w atwy sposb mog poczy si z serwerem terminali, aby uruchamia programy, zapisywa pliki i korzysta z zasobw sieciowych na tym serwerze.
Usugi Terminalowe mog zapewni lepsz wydajno programw uywanych przez pracownikw w biurach wydziaowych, ktrzy potrzebuj dostpu do centralnych magazynw danych. Programy intensywnie przetwarzajce dane czasami nie posiadaj protokow klienta/ serwera, ktre s zoptymalizowane dla pocze o niskiej prdkoci. Programy tego typu czsto dziaaj lepiej poprzez poczenie Usug Terminalowych ni poprzez sie WAN.
Zalecenia
Aby w peni wykorzysta moliwoci systemu Windows Server 2008 w zakresie zdalnego dostpu, naley: Uaktualni istniejce serwery terminali do Usug Terminalowych Windows Server 2008. Skonfigurowa systemy klienckie, aby korzystay z klienta Remote Desktop Connecrion 6.0. Zaimplementowa Desktop Experience i Display Data Prioritization na serwerach terminali Windows Server 2008, aby wykorzysta pen funkcjonalno systemu Windows Vista. Korzysta z usugi Single Sign-on Usug Terminalowych, aby scentralizowa administracj procesem uwierzytelniania i wspomc prac uytkownika. Korzysta z Bramy Usug Terminalowych w celu ustanowienia bezpiecznego, szyfrowanego poczenia pomidzy zdalnymi uytkownikami w Internecie oraz zdalnymi komputerami uruchamiajcymi aplikacje, bez moliwoci dostpu do reszty sieci korporacyjnej.
92
93
Gdy nie s wymagane lokalne kopie danych. Kiedy istnieje potrzeba szybkiego poczenia. Gdy przepustowo pasma lub rozmiary danych aplikacji czyni korzystanie z Wirtualnych Sieci Prywatnych (VPN) mao wydajnym.
Zabezpieczenia stosowane w poprzednich wersjach systemw operacyjnych Windows, uniemoliwiay uytkownikom dostp z zewntrz do sieci firmowych przez zapory firewall i translacj adresw (NAT), gdy port 3389 wykorzystywany w poczeniach RDP (Remote Desktop Protocol) ze wzgldu na bezpieczestwo, by standardowo blokowany. W Windows Server 2008, TS Gateway transmituje ruch RDP do portu 443, wykorzystujc tunel TLS (HTTP Transport Layer Security). Oznacza to, e cay ruch przekazywany przez Internet midzy klientem a serwerem jest szyfrowany. Pozwala na czenie z Internetu z sieciami wewntrznymi firm bez koniecznoci zestawiania Wirtualnej Sieci Prywatnej (VPN). Usugi Terminalowe w Windows Server 2008 pozwalaj na bezpieczne, pynne poczenie z sieci korporacyjn bez koniecznoci wczeniejszego wdraania VPN, dziki skorzystaniu z RDP tunelowanego za pomoc protokou HTTPS. Korzystaj przy tym z tej samej infrastruktury co Microsoft Outlook, jeli program ten jest skonfigurowany do czenia si przez RPC po HTTPS. Moesz odgrodzi serwer Windows Server 2008 wieloma zaporami firewall, bez koniecznoci otwierania innych portw ni port 443. Naley stosowa Bram Usug Terminalowych w miejsce Wirtualnych Sieci Prywatnych (VPN) w nastpujcych przypadkach:
Umoliwia monitorowanie zdarze Bramy Usug Terminalowych. Mona okreli zdarzenia, np. takie jak nieudane prby poczenia z serwerem Bramy Usug Terminalowych, ktre naley monitorowa; w chwili ich wystpienia mona przeledzi podobne zdarzenia uywajc przystawki Podgldu Zdarze. Umoliwia przegldanie informacji o aktywnych poczeniach uytkownikw, ustawianie maksymalnego limitu pocze, oraz dokonywanie innych operacji sucych kontroli dostpu do zasobw sieci poprzez serwer Bramy Usug Terminalowych.
aden zdalny komputer nie jest bezporednio dostpny z Internetu, a wszystkie dane pozostaj w sieci korporacyjnej.
94
95
Uwierzytelnienia. Brama moe by konfigurowana wycznie przez czonkw grupy Administratorzy danego komputera. Network Policy Server (NPS). NPS to implementacja firmy Microsoft serwera RADIUS, tj. Remote Authentication Dial-In User Service, wczeniej znanego pod nazw Internet Authentication Service (IAS). Serwer NPS umoliwi centralne magazynowanie zasad dziaania bramy, centralne zarzdzanie zasadami oraz centraln ich walidacj.
Aby Brama Usug Terminalowych prawidowo funkcjonowaa, musz by zainstalowane rwnie nastpujce role: Web Server (IIS), Network Accesss Services, RPC over HTTP Proxy i Windows Activation Service. Skonfigurowa ustawienia IIS dla TS Gateway Server. W menaderze serwera pod Configuration Task, po klikniciu polecenia: Konfiguruj ustawienia IIS dla TS Gateway, ustawienia zostan automatycznie zmodyfikowane zgodnie z potrzeb. Uzyska/skonfigurowa certyfikat dla TS Gateway server. Certyfikat musi speni nastpujce wymagania: Nazwa w Subject line certyfikatu serwera (nazwa certyfikatu lub CN) musi odpowiada nazwie, ktra jest skonfigurowana na TS Gateway Server. Celem certyfikatu jest uwierzytelnienie serwera. Certyfikat ma klucz prywatny.
Jeli przed zainstalowaniem bramy serwer NPS nie by w danej organizacji wykorzystywany, to zostanie on automatycznie zainstalowany w trybie lokalnym na tej samej maszynie, co brama. Certyfikat Serwera. Standardowo komunikacja midzy bram TS Gateway a klientami w Internecie opiera si na szyfrowaniu TLS 1.0 (Transport Layer Security), ktre wymaga, aby serwer TS Gateway posiada certyfikat. Certyfikat mona uzyska wewntrz firmy, jeli posiada ona uprawnienia Urzdu Certyfikacji (CA), skonfigurowane do wydawania certyfikatw X.509 zgodnych z SSL, ktre speniaj wymogi Bramy Usug Terminalowych. Jednake taki certyfikat musi by take podpisany przez gwny Urzd Certyfikacji (CA), biorcym udzia w programie Microsoft Root Certificate Program Members, co zagwarantuje pracownikom moliwo czenia si z komputerw domowych, bd zewntrznych terminali. Jeli firma nie posiada wasnego Urzdu Certyfikacji (CA) ustawionego zgodnie z certyfikatami X.509 zgodnymi z SSL, moe naby certyfikat od sprzedawcy spoza firmy Microsoft, ktry uczestniczy w programie Microsoft Root Certificate Program Members. Wicej informacji znajduje si na stronie http://go.microsoft.com/fwlink/?LinkID=59547; niektrzy z tych dostawcw mog oferowa certyfikaty bezpatnie, lub w wersji testowej. Innym sposobem jest stworzenie oraz zaimportowanie na prb samodzielnie podpisanego certyfikatu dla Twojego serwera Bramy Usug Terminalowych. Takie certyfikaty mog by uywane jedynie do celw prbnych na pojedynczych komputerach. S one mniej bezpieczne od certyfikatw wydawanych przez Urzd Certyfikacji Przedsibiorstwa lub zaufanych sprzedawcw spoza firmy Microsoft, uczestniczcych w programie Microsoft Root Certificate Program Members, gdy nie gwarantuj one tosamoci organizacji, ktra go wydaa.
Utworzy Zasady uwierzytelniania poczenia (CAP) dla TS Gateway Server. Zasady uwierzytelniania poczenia (CAPs) kontroluj, czy uytkownik moe przekroczy granic bramki, aby uzyska dostp do sieci korporacyjnej. Pozwalaj na okrelenie uytkownikw, grup uytkownikw (i opcjonalnie grup komputerw), ktre maj dostp do serwera Bramy Usug Terminalowych. CAP-y tworzy si w celu: Uproszczenia zarzdzania i wzmocnienia zabezpiecze poprzez zapewnienie wyszego poziomu kontroli dostpu do zdalnych komputerw w sieci korporacji. Wczenia wymogu spenienia specyficznych warunkw dostpu do serwera Bramy Usug Terminalowych przez uytkownikw, grupy uytkownikw i grupy komputerw Moesz okresli specyficzne warunki w kadym CAP-ie. Na przykad moesz zada, by uytkownik uy karty procesorowej w celu poczenia przez Bram Usug Terminalowych. Udzielania uytkownikom dostpu do serwera Bramy Usug Terminalowych tylko wtedy, gdy speniaj lub przekraczaj warunki wymienione w CAP-ie, ktry dotyczy ich grupy.
CAP-y zezwalaj uytkownikom jedynie na dostp do serwera Bramy Usug Terminalowych, a nie do konkretnych zdalnych komputerw w sieci. Po zdefiniowaniu CAP-w musisz utworzy grup zasobw i zasad przydziau zasobw (RAP), aby zezwoli na dostp z serwera Bramy Usug Terminalowych do konkretnego zdalnego komputera w sieci. Zamiast tworzy grup zasobw rcznie, mona uy grupy, bezpieczestwa zdefiniowanej w Active Directory.
96
97
Tworzenie grupy zasobw i zasady przydziau zasobw dla serwera Bramy Usug Terminalowych. RAP-y s tworzone w celu: Zdefiniowania grup zdalnych komputerw, do ktrych uytkownicy mog mie dostp. Pozwalaj na zarzdzanie dostpem uytkownika do grup zasobw. Udzielania dostpu do konkretnych komputerw zdalnych w sieci tylko w wypadku, kiedy zostan spenione lub przekroczone okrelone warunki. Zagwarantowania, e waciwi uytkownicy maj dostp do waciwych komputerw zdalnych w sieci.
Grupy zasobw reprezentuj list komputerw lub grup komputerw. RAP-y pozwalaj na okrelenie, do jakich komputerw uytkownicy mog mie dostp w sieci z internetu przez serwer Bramy Usug Terminalowych. Po utworzeniu jednej lub wikszej liczby grup zasobw moesz utworzy RAP przez skojarzenie jednej lub kilku grup zasobw z jedn lub kilkoma grupami uytkownikw, ktrzy maj dostp do zdalnych komputerw w tej grupie zasobw. Uytkownicy czcy si z Bramk usug Terminalowych [TS Gateway] uzyskuj dostp do zdalnych komputerw w sieci korporacyjnej, jeeli speniaj warunki przynajmniej jednego CAP-u i jednego RAP-u. Klient bramy musi wykorzystywa jedn z nastpujcych wersji Windows: Windows Vista Windows Server 2008 Windows XP z SP2 i RDC 6.0 (lub wyszym) Windows Server 2003 z SP1 i RDC 6.0 (lub wyszym)
2.
Rozwi list Roles/Web Server (IIS) i wybierz pozycj Internet Information Services (IIS) Manager. Nastpnie w panelu Connections wybierz pozycj Default Web Site. W panelu Action wybierz pozycj Advanced Setting i sprawd, czy parametr Start Automatically jest ustawiony na warto True, a astpnie zaakceptuj zmienione ustawienia i zamknij przystawk Server Manager.
98
99
Authorization Policies upewnij si, e jest zaznaczona opcja Create only a TS CAP i kliknij przycisk Next. Nastpnie sprawd, czy zaznaczona jest metoda autentykacji password i wprowad grup uytkownikw poprzez kliknicie przycisku Add Group. Po uzupenieniu wartoci zakocz prac z kreatorem.
4.
Dodaj przystawk Certificates do konsoli MMC (Microsoft Management Konsole). W przystawce Certificates wybierz pozycj Computer Account i kliknij przycisk Next. W oknie Select Computer zaznacz pozycj Local Computer, a nastpnie kliknij przycisk Finish. W oknie Add or Remove Snap-ins kliknij przycisk OK. W konsoli1 rozwi drzewo Console Root/Certificates (Local Computer)/Trusted Root Certification Authorities i zaznacz pozycj Certificates. W menu Action wybierz pozycj All Tasks, a nastpnie Import. Po uruchomieniu kreatora importu certyfikatu w drugim kroku w polu File Name: wpisz lokalizacj pliku z certyfikatem *.cer. W oknie Certificate Store upewnij si, e wszystkie pola wyboru s zaznaczone, a nastpnie wybierz przycisk Next. W ostatnim kroku kreatora importu certyfikatu zapoznaj si z podsumowaniem i kliknij przycisk Finish.
100
101
Naley korzysta z zarzdzania Bram Usug Terminalowych, aby monitorowa status, ywotno i zdarzenia na zdalnych poczeniach. Nie naley korzysta z samopodpisanego (self-signed) certyfikatu SSL w rodowisku produkcyjnym; lepiej korzystaj z certyfikatu wydanego przez zaufany Urzd Certyfikacji, takiego jak certyfikatu moliwego do uzyskania z Verisign, aby unikn potrzeby dystrybuowania certyfikatw do klientw. Naley korzysta z zapory dziaajcej w warstwie aplikacji (application-layer firewall), takiej jak ISA Server, aby filtrowa przepyw danych RPC i wzmocni bezpieczestwo. Nie naley polega na funkcji Bramy Usug Terminalowych blokujcej urzdzenia; to raczej parametr konfiguracyjny (podpowied dla klienta) ni parametr bezpieczestwa.
Podsumowanie
Brama Usug Terminalowych umoliwia uwierzytelnionym zdalnym uytkownikom poczenie z serwerami terminali i Pulpitami Zdalnymi (zdalnymi komputerami) w sieci korporacyjnej z dowolnego poczonego z Internetem urzdzenia, na ktrym zainstalowana jest aplikacja Remote Desktop Connection (RDC) 6.0. Brama Usug Terminalowych eliminuje potrzeb konfiguracji pocze Wirtualnej Sieci Prywatnej (VPN), umoliwiajc zdalnym uytkownikom poczenie z sieci firmow przez Internet, jednoczenie zapewniajc bezpieczny model konfiguracji poczenia, ktry umoliwia kontrol dostpu do specyficznych zasobw.
Monitorowanie Pocze
8. Poczenia moesz monitorowa w TS Gateway Manager. W tym celu rozwi drzewo nazwa_serwera (Local)/Monitoring. Za pomoc tego okna mona analizowa poczenia i zarzdza nimi.
Usuga TS RemoteApp
Wstp
Usuga TS RemoteApp umoliwia organizacjom zapewnienie dostpu do standardowych programw Windows waciwie z kadej lokalizacji przez Internet lub intranet uytkownikom kadego komputera opartego na systemie Windows Vista lub uytkownikom komputerw opartych na systemie Windows XP z zainstalowanym nowym klientem Remote Desktop Connection 6.0. RemoteApp jest wbudowana w Usugi Terminalowe w Windows Server 2008. W przeszoci, Usugi Terminalowe dostarczay jedynie mechanizmu poczenia uytkownikw do caych Pulpitw Zdalnych. Potrzebny by nowy mechanizm by zintegrowa korzyci pynce z wykorzystania centralnie wdraanych i zarzdzanych aplikacji z korzyciami lokalnych aplikacji klienta. Usugi Terminalowe Windows Server 2008 zapewniaj taki mechanizm poprzez TS RemoteApp w celu dostarczenia aplikacji za porednictwem cisej integracji pomidzy serwerem terminali oraz klientem Windows.
Zalecenia
Naley korzysta z Bramy Usug Terminalowych zamiast VPN, gdy lokalne kopie danych nie s wymagane, gdy potrzebny jest szybszy czas poczenia, a take gdy przepustowo poczenia lub rozmiary danych przesyanych przez aplikacj sprawiaj, i poczenie za pomoc VPN nie jest optymalne. Naley wykorzysta dedykowany serwer jako Bram Usug Terminalowych; chocia Brama Usug Terminalowych moe wspegzystowa z serwerem Outlook RPC/HTTP , nie jest to zalecane poza sytuacjami zwizanymi z bardzo niskim obcieniem. Naley skonfigurowa zasady dostpu do pocze, grupy zasobw i zasady dostpu do zasobw.
102
103
Programy TS RemoteApp to aplikacje, do ktrych dostp przebiega zdalnie poprzez Usugi Terminalowe, a dziaaj, tak jakby zostay uruchomione byy na lokalnym komputerze uytkownika kocowego. Uytkownicy mog uruchamia programy RemoteApp jednoczenie ze swoimi programami lokalnymi.
Niektre z podstawowych zmian dotyczcych systemu operacyjnego Windows Server 2008 mog mie wpyw na wczeniejsze wersje oprogramowania, ktre dziaaj poprawnie pod wczeniejszymi wersjami systemu operacyjnego Windows. Jeli wystpi trudnoci podczas uruchomienia programu pod TS RemoteApp naley sprawdzi czy dziaa on poprawnie na lokalnej konsoli serwera dziaajcego pod systemem Windows Server 2008.
TS RemoteApp umoliwia organizacjom zapewnienie dostpu do standardowych programw Windows waciwie z kadej lokalizacji przez Internet lub sie lokaln uytkownikom kadego komputera opartego na systemie Windows Vista lub uytkownikom komputerw opartych na systemie Windows XP z zainstalowanym nowym klientem Remote Desktop Connection 6.0. TS , RemoteApp przyczynia si do zwikszenia dowiadczenia uytkownika, otwiera nowe drogi do zastosowania programw oraz ogranicza zasb pracy administracyjnej koniecznej dla wsparcia tych programw w wielu przypadkach: W biurach wydziaowych, w ktrych lokalne wsparcie IT moe by ograniczone, w celu centralizacji zarzdzania aplikacjami oraz ulepszenia dziaania programw zdalnych w przypadku ograniczonej przepustowoci cza. Kiedy uytkownicy musz zdalnie czy si z aplikacjami. Kiedy istnieje potrzeba zastosowania aplikacji Lini Biznesowej (LOB), w szczeglnoci niestandardowych aplikacji LOB na komputerach korzystajcych z rnych konfiguracji i wersji Microsoft Windows. W rodowiskach stosujcych gorce biurka lub hotelowy obszar roboczy, w ktrym uytkownicy nie maj przydzielonych komputerw. Gdy wymagane jest uytkowanie wielu wersji aplikacji, szczegnie jeli lokalna instalacja wielu wersji powodowaaby konflikty. Gdy chodzi o zapewnianie rozwiza dla przemieszczajcych si uytkownikw, ktrzy musz pracowa na rnych komputerach, ktre mog nie mie zainstalowanych wymaganych programw lokalnie. Gdy organizacje szukaj sposobw na ulepszenie swoich stacji roboczych typu rich-client, na przykad w sytuacji biura wydziaowego, kiedy wybrane aplikacje umieszczane s w lokalizacji, gdzie mog by atwo zarzdzane, lecz jednoczenie pracownikom pozostawiane s stacje robocze typu rich-client, poniewa zawieraj aplikacje, ktre musz by uruchamiane lokalnie.
Praktyka
Uytkownicy mog uruchamia programy zdalnie z serwera terminali i odnosi wraenie, e s one uruchomione na komputerze lokalnym uytkownika kocowego.
Co dziaa inaczej?
Gdy klient czy si z serwerem Windows 2008, na ktrym uruchomiony jest Terminal Services TS RemoteApp nastpuje wiele zmian: Zdalny program zintegrowany jest z pulpitem klienta, wic zamiast ukazywa si uytkownikowi na Pulpicie Zdalnym serwera terminali, zostaje, uruchomiony we wasnym rozszerzalnym oknie z wasnym udziaem na pasku zada. Jeli program ten uywa ikony obszaru powiadamiania ikona ta pojawia si w obszarze powiadamiania klienta. Wyskakujce okienka typu Popup zostaj przekierowane na lokalny pulpit. Lokalne napdy oraz drukarki mog zosta przekierowane tak, by pojawiay si w zdalnym programie..
Wielu uytkownikw moe nie zauway, e program zdalny rni si od programu lokalnego.
Aby oprogramowanie dziaao zdalnie z TS RemoteApp, serwer terminali, bdcy hostem dla oprogramowania, musi dziaa pod kontrol systemu Windows Server 2008. Kady program mogcy dziaa w zakresie Usug Terminalowych lub w sesji Pulpitu Zdalnego powinien by zdolny do dziaania jako program TS RemoteApp.
Zainstalowa aplikacje na serwerze z zainstalowan i uruchomion rol Terminal Server. Uruchomi Kreator RemoteApp, aby doda program do listy dozwolonych programw (Allow) i udostpni go zdalnie uytkownikom.
104
105
By wykona t procedur, trzeba by czonkiem grupy Administratorzy na serwerze terminali. Utworzy Pakiet RDP lub Pakiet MSI.
Podwjnie klikaj plik, ktrego rozszerzenie jest powizane z programem TS RemoteApp. Moe tego dokona administrator, korzystajc z pliku .msi. Posuy si odnonikiem do programu na stronie Web, korzystajc z usugi Terminal Services Web Access.
Mona utworzy pakiet RDP dla dowolnego programu z listy dozwolonych programw (Allow). Mona utworzy wiele pakietw RDP z rnymi ustawieniami dla tego samego programu, jeli potrzeba. Dodatkowy utworzony plik .rdp otrzyma numer w nawiasie doaczony do nazwy pliku, np. Remote WordPd(1).rdp. Mona utworzy pakiet MSI dla dowolnego programu z listy dozwolonych programw (Allow). Jeli zostanie utworzony pakiet MSI za pomoc programu, ktry jest udostpniony uytkownikom poprzez TS Web Access, rozszerzenie pliku pakietu MSI przyjmie posta .rap.msi. Jeli pakiet zostanie utworzony za pomoc programu, ktry nie jest udostpniony uytkownikom poprzez TS Web Access, rozszerzenie pliku pakietu MSI przyjmie posta .rdp.msi. W obu przypadkach pakiet MSI zawiera plik .rdp, ktry zostanie zainstalowany na lokalnym komputerze kocowego uytkownika. Rozdystrybuowa programy TSRemoteApp do uytkownikw.
Pliki .rdp i .msi zawieraj ustawienia niezbdne do uruchomienia TS RemoteApp. Po otwarciu programu udostpnionego przez funkcj TSRemoteApp na lokalnym komputerze, uytkownik moe korzysta z programu uruchomionego na serwerze terminali tak jakby by uruchomiony lokalnie.
2. Mona dystrybuowa plik .msi do lokalnego komputera uytkownika kocowego, korzystajc ze scentralizowanego procesu dystrybucji, takiego jak Microsoft System Management Server lub zasady grup Active Directory. Zarzdza list dozwolonych programw (Allow). Zmieni lub usun program RemoteApp. Wczy lub wyczy list dozwolonych programw (Allow). Wyeksportowa lub zaimportowa list dozwolonych programw (Allow).
Podwjnie klikajc plik .rdp, ktry zosta utworzony i rozdystrybuowany przez administratora. (Mona dystrybuowa plik .msi, aby utworzy skrty do plikw .rdp na pulpitach uytkownikw lub w menu Start).
106
107
Scenariusze wdroenia/wykorzystania
Rozlokowanie aplikacji Linii Biznesu (LOB)
W przypadku fuzji, firmy czce si bd chciay w sposb niezakcony korzysta z aplikacji Lini Biznesu (LOB) na rnych konfiguracjach sprztowych, pod rznymi wersjami systemu Windows. Zamiast ponoszenia kosztw rozlokowania wszystkich aplikacji LOB do wszystkich komputerw w firmie, aplikacje LOB mog zosta zainstalowane na serwerze terminali i udostpnione poprzez funkcje TSRemoteApp.
Gorce biurka
W firmie stosujcej elastyczn polityk stanowisk pracy uytkownicy mog pracowa na rnych komputerach. W pewnych przypadkach komputer, na ktrym pracuje uytkownik, niekoniecznie musi mie programy zainstalowane lokalnie. Kiedy uywane s funkcje TS RemoteApp, programy mog by zainstalowane na serwerze terminali i udostpnione uytkownikom tak, jakby byy zainstalowane lokalnie.
Zarzdzanie wersjami
Dziki TS RemoteApp nie trzeba rozlokowywa i utrzymywa rnych wersji tego samego programu dla poszczeglnych komputerw. Jeli pracownicy musz korzysta z rnych wersji programu, wersje te mog by zainstalowane na jednym lub wikszej liczbie serwerw terminali i udostpnione za porednictwem funkcji TS RemoteApp.
Firmy czsto maj oddziay w rnych lokalizacjach, w krych moliwo pomocy IT moe by ograniczona. TS RemoteApp pozwala im na scentralizowanie zarzdzania aplikacjami i popraw wydajnoci zdalnych programw w scenariuszach z ograniczon przepustowocci cza. Ten sposb wdroenia moe zredukowa jego zoono i ograniczy ilo wymaganych zasobw administracyjnych.
Zalecenia
Aby osign najwiksze korzyci z funkcji TSRemoteApp w Windows Server 2008, naley: Umieci podobne aplikacje, takie jak Microsoft Office, na tym samym serwerze terminali. Rozway umieszczenie poszczeglnych aplikacji na oddzielnych serwerach terminali w nastpujcych sytuacjach: Gdy aplikacja ma problemy z kompatybilnoci. Parametry aplikacji lub liczba korzystajcych z aplikacji uytkownikw wymagaj penej wydajnoci serwera.
5.
108
109
W przypadku utworzenia farmy serwerw i balansowania obcienia dla pojedynczych aplikacji, ktre przekraczaj moliwoci wydajnociowe jednego serwera. Utworzy farm serwerw i zastosowa balansowanie obcienia dla pojedynczych aplikacji, ktre przekraczaj moliwoci wydajnociowe jednego serwera. Rozway umieszczenie serwera TSRemoteApp za ISA Server, a nie tylko za sprztow zapor (firewall). Korzysta z certyfikatu SSL podpisanego przez zaufany Urzd Certyfikujcy.
Administratorzy mog szybko i atwo dodawa i usuwa programy z listy udostpnionych bez koniecznoci dystrybuowania, instalacji i deinstalacji aplikacji na lokalnej maszynie. TS Web Access dostarcza prostego, gotowego rozwizania, jednoczenie zapewniajc infrastruktur, ktr mona wykorzysta w bardziej skomplikowanych scenariuszach.
Trzeba zainstalowa usug TS Web Access na serwerze, z ktrym uytkownicy maj si czy poprzez sie, aby uzyska dostp do funkcji TS RemoteApp. Podczas instalacji TS Web Access, instalowany jest take program Microsoft Internet Information Services (IIS) 7.0 jako wymagany komponent. Po zainstalowaniu funkcji TS Web Access mona okreli rdo danych suce do wypenienia listy programw TS RemoteApp, ktre pojawiaj si w webpartach. Poniewa serwer Web moe wypeni list na podstawie zewntrznego rda danych, serwer Web nie musi by serwerem terminali. Aby uytkownicy mieli dostp do strony WWW z Internetu, mona wykorzysta Bram Usug Terminalowych, aby zabezpieczy zdalne poczenia.
Podsumowanie
TS RemoteApp systemu Windows Server 2008 umoliwia organizacjom zapewnienie dostpu do standardowych programw Windows teoretycznie z kadego miejsca uytkownikom i uytkownikom kadego komputera dziaajcego w systemie Windows Vista lub o Windows XP z zainstalowanym klientem Remote Desktop Connection 6.0, poprzez Internet lub intranet. , Dostp do programw RemoteApp jest moliwy zdalnie poprzez Usugi Terminalowe. Programy te zachowuj si tak, jakby byy uruchomione na komputerze lokalnym kocowego uytkownika.
Aby moliwe byo poczenie z TS Web Access, na komputerze klienckim musi by zainstalowany jeden z poniszych systemw operacyjnych: Windows Vista. Microsoft Windows XP z Service Pack 2 lub pniejszym. Windows Server 2008. Microsoft Windows Server 2003 z Service Pack 1 lub pniejszym.
Komputer kliencki musi by skonfigurowany w nastpujcy sposb: Na komputerze klienckim musi by uruchomiony klient Remote Desktop Connection w wersji 6.0 lub pniejszej. Musi by wczona usuga Terminal Services ActiveX Client. Serwer TS Web Access musi by dodany do strefy Zaufanych Witryn lub Strefy Lokalnego Intranetu w przegldarce Internet Explorer.
Korzyci
Uwierzytelnieni uytkownicy mog szybko uzyska dostp do programw z dowolnej lokalizacji, czc si z prost stronWWW.
Praktyka
Wypenianie webpartw TS RemoteApp
TS Web Access moe wypeni webparty TS RemoteApp, korzystajc z jednego z poniszych rde danych:
110
111
Active Directory. Jeli usuga Active Directory jest okrelona jako rdo danych, lista programw zdalnych, ktra pojawia si w webpartach jest unikalna dla kadego uytkownika. Tylko pakiety .msi (z rozszerzeniem rap.msi), ktre s publikowane dla tego okrelonego uytkownika z wykorzystaniem Zasad Grup pojawiaj si na licie. Pojedynczy serwer terminali. Jeli pojedynczy serwer terminali jest okrelony jako rdo danych, lista dostpnych zdalnych programw, ktra pojawia si w webpartach, nie jest unikalna dla uytkownika. Zamiast tego, wszystkie zdalne programy, ktre zostay skonfigurowane jako dostpne przez WWW, znajduj si na licie Allow List na tym serwerze i pojawiaj si na stronie internetowej.
Domylnie, TS Web Access wypenia list programw TS RemoteApp z Active Directory. Kiedy Active Directory jest okrelone jako rdo danych, webpart TS Web Access jest wypeniana przez pakiety TS Remote App .msi, ktre s publikowane dla uytkownika poprzez Zasady Grup. Zalety tego rozwizania s nastpujce: TS Web Access wywietli tylko te pakiety, ktre s unikalne dla obecnego uytkownika. Pakiety RemoteApp .msi, ktre kieruj do innych serwerw terminali mog zosta wszystkie skonsolidowane do postaci pojedynczej listy w webparcie TS Web Access.
Domylnie, TS Web Access wypenia list programw TS RemoteApp z Active Directory. Jednake, mona skonfigurowa webpart TS Web Access, aby wypenia list programw TS RemoteApp z pojedynczego serwera terminali. Kiedy pojedynczy serwer jest okrelony jako rdo danych, webpart jest wypeniany wszystkimi programami Ts RemoteApp, ktre zostay skonfigurowane w celu uzyskania dostpu do sieci na licie Allow List na serwerze, a lista wywietlanych programw nie jest dostosowywana dla uytkownika.
2. Po zainstalowaniu i skonfigurowaniu Usug Terminalowych za porednictwem www aby uruchomi aplikacj na stacji roboczej, bdziesz musia przej kilka krokw. Zaloguj si na stacji roboczej, uruchom Internet Explorer i podaj adres swojego serwera, na ktrym zainstalowane s usugi www do obsugi Usug Terminalowych np.: http://nazwa serwera/ts. W oknie dialogowym Connect to podaj nazw uytkownika i haso. Na stronie www wybierz aplikacj, a w oknie dialogowym Windows Security wpisz nazw uytkownika i haso. Po zatwierdzeniu wprowadzonych danych aplikacja zostanie uruchomiona.
Scenariusze wdroenia/wykorzystania
Scentralizowany dostp do aplikacji
Uytkownicy mog uzyska dostp do aplikacji z dowolnej lokalizacji, czc si za pomoc przegldarki internetowej z prost stron internetow.
112
113
Wiele organizacji wolaoby udostpnia uytkownikom nowe wersje aplikacji (np. Office 2007). Jednake, mog pojawi si czynniki zwizane z zarzdzaniem, sprztem lub kosztami, ktre zabraniaj rozlokowania aplikacji do lokalnych stanowisk. TS Web Access pomaga rozwiza ten problem, umoliwiajc uytkownikom wyprbowanie nowych cech aplikacji, zw ykorzystaniem istniejcej wersji produktu.
Nowe cechy Usug Terminalowych umoliwiaj dostp do nich znacznie wikszej liczbie klientw. Dziki nim moliwe jest take zastosowanie wielu nowych rozwiza. Nowe scenariusze, takie jak rozlokowanie Biura Wydziaowego, zostay zoptymalizowane dla rozwiza o niskim stopniu zoonoci, aby jak najwicej klientw mogo czerpa korzyci z moliwoci oferowanych przez Usugi Terminalowe. Nowe Opcje Usug Terminalowych w poczeniu z innymi moliwociami programu Windows Server 2008 dostarczaj rozwiza dla nastpujcych scenariuszy: Zdalny Dostp do Aplikacji. Zabezpieczenie Aplikacji i Danych (Zgodno Regulacyjna). Integracja Fuzji lub Outsourcing. Dyspozycyjni Uytkownicy Biura.
Zalecenia
Aby osign najwiksze korzyci z rozlokowania TS Web Access, trzeba rozway nastpujce dziaania: W rozlokowaniu opartym na pojedynczym serwerze korzysta z domylnych ustawie TS Web Access. W scenariuszu zakadajcym wykorzystanie wielu serwerw: Naley korzysta z Active Directory, gdy klienci maj dowiadczenie z dystrybucj plikw MSI poprzez Active Directory. Jeli klient nie posiada na miejscu mechanizmu rozlokowania MSI, naley skorzysta z innej metody, np. SMS, zaawansowane rozwizanie bazujce na skryptach ASP lub , produktu innych firm.
Zdalny Dostp do Aplikacji umieszcza aplikacj blisko potrzebnych danych i udostpnia je poprzez TS RemoteApp, TS Gateway i/lub TS Web Access, poprawiajc reakcj aplikacji zarwno w odniesieniu do uytkownikw zdalnych, jak i dostpnych w biurach wydziaowych. Funkcja TS Easy Print pozwala tym uytkownikom na pene korzystanie ze wszelkich udogodnie, jakie oferuje praca w biurze. Zabezpieczenie Aplikacji i Danych (Zgodno Regulacyjna) chroni aplikacj i jej dane w lokalizacji centralnej, zmniejszajc ryzyko przypadkowej utraty danych, spowodowanej na przykad utrat laptopa. Centralizacja aplikacji i danych minimalizuje ryzyko wydostania si ich poza sie korporacyjn. Dziki wykorzystaniu funkcji TS Gateway i TS RemoteApp, administratorzy nie musz przekazywa ju uytkownikom, partnerom ani klientom penego dostpu do sieci firmowej bd komputerw, a nawet mog go w razie potrzeby ograniczy do pojedynczej aplikacji. W przypadku fuzji przedsibiorstw czone firmy bd musiay korzysta ze spjnych aplikacji Linii Biznesowej [LOB] na rnych wersjach i konfiguracjach systemu Windows. Moe to dotyczy take stosowania outsourcingu dla organizacji partnerskich, ktre wymagaj dostpu tylko do specyficznych aplikacji LOB, a nie do caej sieci korporacyjnej. Zamiast ponosi koszty rozmieszczenia wszystkich aplikacji LOB na wszystkich komputerach w przyczonej firmie lub u outsourcera, pracownicy dziau IT mog zainstalowa aplikacje LOB na serwerze usug terminalowych i udostpni je za pomoc funkcji TS RemoteApp. Jest to szczeglnie przydatne w sytuacji, gdy aplikacj trudno wysa lub ni zarzdza, gdy nie mona jej rozpowszechni za pomoc Microsoft Systems Management Server (SMS) lub gdy istniej inne problemy zwizane z jej zarzdzaniem. W przedsibiorstwie, w ktrym pracownicy nie maj przypisanych stanowisk pracy, uytkownicy mog pracowa kadego dnia na innym komputerze w biurze. W niektrych przypadkach komputer, z ktrego korzysta uytkownik, moe nie mie zainstalowanych potrzebnych mu programw. Dziki Usugom Terminalowym specjalici IT mog zainstalowa te programy na serwerze usug terminalowych i udostpni je uytkownikom tak, jakby instalowali je lokalnie.
Podsumowanie
TS Web Access pracujcy w rodowisku Windows Server 2008 udostpnia uytkownikom programy TS RemoteApp, z poziomu przegldarki internetowej. Za pomoc TS Web Access uytkownik moe odwiedzi stron Web (z Internetu lub intranetu), aby uzyska dostp do listy dostpnych programw TS RemoteApp.
Zakoczenie
Usugi Terminalowe w Windows Server 2008 s najpotniejsz platform aplikacyjn, jaka kiedykolwiek zostaa wypuszczona na rynek przez firm Microsoft. Usugi te oferuj imponujcy zakres moliwoci, ktre radykalnie poprawiaj jako pracy administratorw i uytkownikw z aplikacjami rozlokowanymi i zarzdzanymi przy uyciu Usug Terminalowych. Windows Server 2008 wspiera Usugi Terminalowe, dostarczajc platform o podwyszonym stopniu bezpieczestwa, a zarazem atw w uytkowaniu, co zapewnia zdalny dostp z kadego miejsca do aplikacji i zasobw zarzdzanych centralnie.
114
115
4.
Wstp
Bezpieczne zarzdzanie danymi, usugami znajdujcymi si w zdalnych lokalizacjach moe by wyzwaniem dla nawet najbardziej dowiadczonych pracownikw IT. Windows Serwer 2008 wyposaony jest w liczne funkcjonalnoci, ktre pozwalaj na utrzymanie zarzdzalnej infrastruktury sieci komputerowych w lokalizacjach firmy nieposiadajcych zabezpiecze, jakie istniej w gwnej siedzibie firmy. Wanym elementem w komunikacji pomidzy filiami firmy, jest wydajno. Nowa architektura stosu protokou TCP/IP i liczne ulepszenia w funkcjach sieciowych powinny zadowoli nawet najbardziej wymagajcych uytkownikw sieci. W tym rozdziale zostan omwione cztery funkcjonalnoci Windows Server 2008. Dwie pierwsze maj kluczowe znaczenie dla bezpieczestwa aktywnych katalogw i tym samym danych przechowywanych na serwerach pracujcych w filiach naszej firmy. Kontroler domeny tylko do odczytu RODC (Read Only Domain Controller) BitLocker szyfracja dyskw
Dwie kolejne, dotycz zagadnie zwizanych wydajnoci i bezpieczestwem transmisji danych w sieciach LAN/WAN opartych o stos TCP/IP nowej generacji (New Generation TCP/IP stack), ktry jest integraln czci systemu Windows Serwer 2008. NetIO (Network Input/Output?) Blok komunikatw serwerw (SMB) 2.0
117
do serwerw, brak pewnego, staego cza do siedziby gwnej i personel IT o niewielkiej wiedzy technicznej. Kontroler tylko-do-odczytu przetrzymuje pen kopie bazy AD DS (wyjtkiem s tutaj hasa uytkownikw i komputerw), ale tylko w trybie do odczytu. Zadaniem RODC jest przede wszystkim wsparcie procesw uwierzytelnienia i autoryzacji w obrbie danej lokalizacji. Administrator domeny wskazuje konta uytkownikw i konta komputerw, ktrych hasa maj by replikowane do RODC. Jeeli RODC peni rwnie role serwera DNS i Wykazu Globalnego (Global Catalog) nie ma potrzeby kontaktu z innym kontrolerem, aby proces uwierzytelnienia uytkownika zakoczy si sukcesem. Aplikacje lokalne, ktre daj dostpu do odczytu do katalogu, uzyskuj go. Aplikacje protokou LDAP, ktre daj dostpu do zapisu, otrzymuj odpowied odsyajc protok LDAP, ktra kieruje je do zapisywalnego kontrolera domen, znajdujcego si zwykle si w siedzibie gwnej organizacji.
kontrolera RODC i specjalne konto uytkownika Kerberos Ticket-Granting-Ticket (krbtgt_x), ktre jest tworzone w Aktywnych Katalogach dla kadego kontrolera RODC i suy do zabezpieczenia procesu uwierzytelnienia uytkownikw i komputerw. Administrator domeny musi jawnie wskaza konta uytkownikw i komputerw, ktrych hasa maj by przechowywane na kontrolerze RODC. Kontroler RODC stanowi centrum uwierzytelnie dla danej lokalizacji. (Oczywicie tej, w ktrej kontroler domeny tylko-do-odczytu si znajduje). Uytkownik identyfikuje kontroler dziki serwisowi DNS i wysya danie wystawienia biletu TGT do kontrolera RODC. Jeeli jest to pierwsze uwierzytelnienie uytkownika, kontroler RODC komunikuje si z najbliszym standardowym kontrolerem przetrzymujcym replik partycji danych w trybie odczyt-zapis i da kopi powiadcze uwierzytelnienia uytkownika. Kontroler sztandarowy rozpoznaje kontroler RODC i weryfikuje polityk replikacji hase dla danego RODC. Jeeli powiadczenia danego uytkownika mog by przechowywane przez RODC, od tej pory kontroler bdzie je buforowa (tym samym bdzie mia moliwo wystawiania biletw TGT podpisywanych kontem krbtg RODC) a do ich zmiany i kontakt ze standardowym kontrolerem nie bdzie potrzebny.(Przy pierwszym uwierzytelnieniu bilet TGT zostanie wystawiony przez standardowy kontroler i podpisany kontem domenowym Krbtg) Oczywicie dla tych uytkownikw i komputerw, ktrych hasa nie s buforowane na RODC proces uwierzytelnienia zakoczy si sukcesem, jeeli standardowy kontroler posiadajcy replik partycji danych odczyt-zapis bdzie dostpny. Domylnie polityka replikacji hase dla kontrolera RODC opiera si o czonkostwo w dwch grupach. Allowed RODC Password Replication Group powiadczenia czonkw tej grupy mog by replikowane do RODC. Grupa domylnie pusta. Denied RODC Password Replication Group - powiadczenia czonkw tej grupy nie mog by replikowane do RODC. Grupa domylnie zawiera: Enterprise Domain Controllers, Enterprise Read-Only Domain Controllers, Group Policy Creator Owners, Domain Admins, Cert Publishers, Enterprise Admins, Schema, Admins, i domenowe konto krbtgt.
Replikacja jednokierunkowa
Poniewa adne zmiany w bazie AD nie mog by realizowane na kontrolerze RODC, replikacja pomidzy kontrolerem tylko-do-odczytu a pozostaym kontrolerami jest replikacj jednokierunkow. Tworzenie nowych obiektw, usuwanie i modyfikacja istniejcych, jest realizowane w oparciu o kontroler, ktry posiada replik partycji danych w trybie odczyt-zapis. Zmiany s replikowane do RODC. Ruch zwizany z replikacj AD jest dziki temu znacznie mniejszy ni pomidzy standardowymi kontrolerami, co powoduje znaczne zmniejszenie wykorzystywanej przepustowoci czy WAN.
Wymagania wstpne
Instalacja kontrolera tylko-do-odczytu zakoczy si sukcesem, jeeli zostan spenione ponisze warunki. Upewnij si, e rola PDC Emulator jest pooona na kontrolerze domeny opartym o Windows Serwer 2008 (tym samym przynajmniej jeden kontroler domeny musi by oparty o Windows Serwer 2008) Upewnij si, e minimalnym trybem funkcjonowania lasu Aktywnych Katalogw jest Windows Serwer 2003 Rozszerz schemat AD dla prowidowej replikacji stref DNS zintegrowanych z AD. (Uwaga operacja ta nie jest konieczna, jeeli nie posiadasz kontrolerw domen starszych ni Windows serwer 2008 lub nie uywasz stref DNS zintegrowanych z AD)
Buforowanie Powiadcze
Buforowanie powiadcze naley rozumie jako moliwo przechowywania niewielkich informacji dotyczcych hase kont uytkownikw i komputerw, ktre umoliwi proces uwierzytelnienia. Domylnie kontroler RODC nie przechowuje adnych hase obiektw AD, wyjtkiem jest konto
118
119
Uwierzytelnij si na kontrolerze domeny z uprawnieniami Enterprise Administrator (operacje najlepiej wykona z kontrolera penicego role Schema Master) a. Skopiuj zawarto katalogu \sources\adprep z pyty instalacyjnej Windows Serwer 2008 na dysk kontrolera domeny Nawigujc do powyszego katalogu z linii polece wykonaj komend adprep.exe /RODCprep 7. 8.
posiada uprawnienia Domain Admins, potwierdzamy przyciskiem Next. (Jeeli serwer nie jest czonkiem domeny nazwe domeny i konto uytkownika domenowego trzeba wprowadzi rcznie) W oknie Select Domain wskazujemy obiekt domeny i potwierdzamy przyciskiem Next W oknie Select Site wybieramy waciw lokalizacje, potwierdzamy przyciskiem Next
b.
9.
W oknie Additional Domain Controller Options zaznacz Read-only domain Controller (RODC) (opcje DNS server i Global catalog zaznaczone s domylnie)
6.
W oknie Network Credentials potwierdzamy nazwe domeny, w ktrej bdzie instalowany RODC i konto uytkownika w kontekcie, ktrego przeprowadzamy instalacj. Poniewa serwer jest czonkiem domeny i aktualnie zalogowany uytkownik
120
121
10. W oknie Specify the Password Replication Policy moemy zdefiniowa polityk replikacji hase dla kontrolera RODC. Wskazujemy grupy uytkownikw, ktrych hasa maj by replikowane (tryb Allow) i grupy uytkownikw, ktrych hasa nie mog by replikowane (tryb Deny). Polityk replikacji hase mona zdefiniowa i modyfikowa w dowolnym momencie po instalacji kontrolera RODC. 11. W oknie Delegation od RDOC Instalation and Administration wskazujemy obiekt grupy lub konto uytkownika, ktry bdzie mia prawa administracyjne do kontrolera RDOC (wskazany kontekst bezpieczestwa zostanie uyty do dokoczenia instalacji) 12. W oknie Install from Media kreator daje nam moliwo instalacji kontrolera na podstawie wykonanej kopii zapasowej ju istniejcego dowolnego kontrolera domeny. (kopie bazy AD mona wykona z dowolnego kontrolera w oparciu o konsole NTDSUTIL, polecenie ifm). Przyciskiem Next potwierdzamy domyln opcje Replicate data over network from an existing domain controller. 13. W oknie Source Domain Controller wskazujemy kontroler domeny, z ktrego ma nastpi cigniecie replik AD DS, lub pozostawiamy wybr kreatorowi. Potwierdzamy przyciskiem Next. 14. Wybierz domyln lokalizacje plikw bazy Aktywnych Katalogw, logw i katalogu SYSVOL, potwierd klawiszem Next 15. Wpisz i potwierd haso dla trybu Directory Services Restore Mode, potwierd klawiszem Next 16. W oknie Summary potwierd klawiszem Next 17. Potwierd restart systemu
DisableCancelForDnsInstall=No PasswordReplicationAllowed=Nazwy grup, ktrych czonkowie bd posiadali moliwo przechowywania hase na RDOC (konwencja LDAP) PasswordReplicationDenied= Nazwy grup, ktrych czonkowie nie bd posiadali moliwo przechowywania hase na RDOC (konwencja LDAP) Password=haso uytkownika posiadajcego uprawnienia Domain Admins RebootOnCompletion=No ReplicaDomainDNSName=pena nazwa domeny w konwencji DNS ReplicaOrNewDomain=ReadOnlyReplica ReplicationSourceDC=nazwa kontrolera domeny Windows Server 2008 w tej samej domenie SafeModeAdminPassword= haso dla trybu Directory Services Restore Mode SiteName=nazwa lokalizacji, w ktrej bdzie funkcjonowa RDOC UserDomain=nazwa domeny UserName=nazwa konta posiadajcego uprawnienia Domain Admins
*Sekcje PasswordReplicationAllowe i PasswordReplicationDenied s opcjonalne. 3. 4. Zaloguj si na konsole serwera z uprawnieniami Domain Admins Wywoaj z linii polece Dcpromo /unattended:ciekaDoPlikuOdpowiedzi
122
123
3.
Rozwi obiekt domeny i zaznacz Domain Controllers OU. W meni podrcznym (prawy klik myszki) wybierz opcje Pre-create Read-only Domain Controller account.
Kreator instalacji AD DS powinien zosta uruchomiony.
6. 7. 8.
W oknie Specify the Computer Name wprowadzamy nazw komputera na ktrym ma funkcjonowa RODC W oknie Select a Site wskazujemy lokalizacje dla RODC W oknie Additional Domain Controller Options opcje DNS server i Global catalog zaznaczone s domylnie. Opcja Read only domain Controller (RODC) jest zaznaczona domylnie rwnie i nie mona jej odznaczy. W oknie Specify the Password Replication Policy moemy zdefiniowa polityk replikacji hase dla kontrolera RODC. Wskazujemy grupy uytkownikw, ktrych hasa maj by replikowane (tryb Allow) i grupy uytkownikw, ktrych hasa nie mog by replikowane (tryb Deny). Polityk replikacji hase mona zdefiniowa i modyfikowa w dowolnym momencie po instalacji kontrolera RODC.
9.
10. W oknie Delegation of RODC Installation and Administration wskazujemy obiekt grupy lub konto uytkownika ktry bdzie mia prawa administracyjne do kontrolera RDOC. (Wskazany kontekst bezpieczestwa zostanie uyty do dokoczenia instalacji) Jezeli konto nie zostanie wskazane tylko czonkowie grup Domain Admins lub Enterprise Admins bd mogli dokoczy instalacj.
Rysunek 4: Tworzenie konta kontrolera RODC
4. 5.
W pierwszym kroku kreatora wybierz Use advanced mode installation i potwierd przyciskiem Next. W oknie Network Credentials potwierdzamy nazw domeny i konto uytkownika ktre zostanie uyte do stworzenia konta RODC. Potwierdzamy przyciskiem Next
11. W oknie Summary, potwierd ustawienia przyciskiem Next 12. W oknie Completing the Active Directory Domain Services Installation Wizard zakocz operacj przyciskiem Finish
Rysunek 5. Kontekst bezpieczestwa instalacji RODC
124
125
1. 2.
Zaloguj si na konsole serwera RODC na uytkownika z uprawnieniami administracyjnymi. Uruchom z linii polece aplikacje DSMGMT.EXE (kad ponisz operacje potwierd klawiszem ENTER) Local Roles Add NazwaDomeny\NazwaUzytkownika Administrators Quit Quit
5. 6.
7.
8.
9.
10. W oknie Summary potwierd klawiszem Next 11. Potwierd restart systemu
Uwaga! Wskazujc uytkownikw, ktrych hasa maj by replikowane do RODC naley pamita o kontach komputerw na ktrych ci uytkownicy pracuj. Hasa kont komputerw take powinny by replikowane do RODC, w przeciwnym wypadku komputer operujcy w domenie nie bdzie w stanie potwierdzi swojej tosamoci tylko w oparciu o dostp do kontrolera RODC.
126
127
Reset all password for computer accounts that were cached on this read-only domain controller spowoduje reset hase kont komputerw i wymusi powtrne doczenie ich do domeny.
Domylnie hasa uytkownikw bd replikowane do RODC przy pierwszym uwierzytelnieniu uytkownika. W zakadce Password Replication Policy po wczeniu przycisku Advanced moesz wskaza konta uytkownikw, ktrych hasa maj by natychmiast przereplikowane do RODC (przycisk Prepopulated Passwords...) lub otrzyma informacj dotyczc kont uytkownikw , ktrzy zostali ju uwierzytelnieni przez kontroler RODC (Accounts that have been authenticated to this Read-only Domain Controller) i dla ktrych RODC posiada hasa. (Accounts whose password are stored on this Read-only Domain Controller)
4.
128
129
komponenty uruchamiania systemu. Cay wolumin systemowy jest szyfrowany, cznie z plikami wymiany i hibernacji. BitLocker chroni przed kradzie danych oraz problemami ze zgubionymi, skradzionymi i wyrzuconymi komputerami. BitLocker pomaga rwnie organizacjom w spenianiu wymaga rzdowych, takich jak np. amerykaskie ustawy Sarbanes-Oxley i HIPAA, ktre wymagaj bardzo wysokich standardw zabezpiecze i ochrony danych.
Szyfracja danych
Potrzebne s przynajmniej dwie partycje. Jedna o zalecanej wielkoci 1,5G tzw partycja rozruchowa, ktra pozostanie niezaszyfrowana i na ktrej bdzie przechowywany klucz symetryczny VEK (Volume Encryption Key) sucy do szyfracji i deszyfracji danych na partycji systemowej. BitLocker oferuje nam moliwo uycia klucza 128 lub 256 bitowego zgodnego z algorytmem AES (Advanced Encryption Standard). Naley zdawa sobie spraw, e partycja rozruchowa pozostanie w stanie niezaszyfrowanym, wic umieszczanie tam jakichkolwiek wanych danych jest niewskazane. Druga partycja, to partycja systemowa, ktra bdzie szyfrowana za pomoc klucza VLK (oczywicie istnieje moliwo szyfracji dowolnej iloci partycji) Jeeli decydujemy si na implementacje BitLockera przed instalacj systemu operacyjnego, moliwo stworzenia odpowiednich partycji oferuje nam instalator systemu. Jeeli jednak posiadamy ju zainstalowany system z partycj z danymi, ktra zajmuje cay dysk jestemy zmuszeni j zmniejszy tak aby wygospodarowa przynajmniej 1,5G wolnej przestrzeni dla partycji rozruchowej. Do zmniejszania partycji (rwnie takiej , ktra zawiera ju dane) suy polecenie SHRINK systemowego programu DISKPART. W trybie ju dziaajcego BitLockera, klucz VLK posuy do zaszyfrowania kadego sektora na partycji systemowej zawierajcego dane. Proces ten jest zupenie nie zauwaalny dla uytkownika jak i uruchamianych aplikacji. Sterownik FVE odpowiedzialny za szyfracj sektorw dyskowych jest umieszczony bardzo nisko w systemie operacyjnym i od danych dzieli go tylko Volume Manager i sterowniki dyskowe. FVE dostaje dane, gdy tylko zostan one odczytane i od razu je deszyfruje. Kady inny element systemu, aplikacje operuj ju wycznie na danych rozszyfrowanych. Zapis jest realizowany bardzo podobnie, FVE szyfruje dane tu przed zapisem na dysk. Dane, ktre nie s aktualnie uywane pozostaj w stanie zaszyfrowanym. W trakcje inicjalizacji BitLockera sterownik FVE ma troch wicej pracy. Oprcz obsugi da odczytu i zapisu w trybie rzeczywistym (i tym samym szyfracji danych) FVE szyfruje sektor po sektorze a wszystkie dane niebdce aktualnie uywane zostan zaszyfrowane. Szybko tego procesu w duej mierze jest zaleny od mocy procesora, wielkoci dysku i moe trwa wiele godzin.
Computing Group (http://www.trustedcomputinggroup.org) i jest w tej chwili powszechnie implementowany przez producentw sprztu komputerowego. Zaoeniem twrcw TPMa byo umieszczenie sprztowego moduu kryptograficznego na pycie gwnej komputera, ktry bdzie wykonywa operacje kryptograficzne i dostarcza powszechnie uywanych algorytmw (midzy innymi RSA, SHA-1, HMAC i AES) jednoczenie gwarantujc ich bezpieczestwo. TPM jest rwnie wstanie wyliczy sum kontroln z aktualnie wykonywanego kodu przez procesor w postaci tzw. cigw SRK (Storage Root Key) Ta funkcjonalno jest wykorzystywana przez BitLockera, ktry da od TPMa (w momencie uruchamiania komputera) sumy kontrolnej policzonej z kodu sekwencji startowej. Tak wyliczony SRK przez modu TPM pozwala na wygenerowania klucza VMK (Volume Master Key), ktry posuy do deszyfracji klucza VLK. TPM nie przetrzymuje cigu SRK, wylicza go kadorazowo przy starcie komputera. Oznacza to e jeeli kod startowy ulegnie zmianie (np: dysk zostanie przeoony do innego komputera, zmiana modu TPM, utrata integralnoci, zmiany plikw startowych, zmiany w Master Boot Records lub sektorach startowych) wyliczony SRK nie bdzie mg by uyty do prawidowej deszyfracji klucza VEK i tym samym prawidowego startu systemu operacyjnego. Naley zwrci uwag, e proces ten moe by cakowicie transparentny dla uytkownika uruchamiajcego komputer o ile oczywicie TPM pracuje w znanym otoczeniu. Dodatkow ochron tego mechanizmu moe by wymuszenie podania PINu skadajcego si od 4 do 20 cyfr, ktry posuy do prawidowego wyliczenia i uycia SRK (opcja TPM with PIN) lub dostarczenie odpowiedniego klucza startowego (startup key) na noniku USB (opcja TPM with USB) Druga metoda pozwala na uycie BitLockera bez moduu TPM. Klucz startowy (startup key) musi by umieszczony na napdzie USB i kadorazowo przy starcie systemu bdzie stamtd pobierany aby BitLocker mg prawidowo dokona deszyfracji VLK i tym samym deszyfrowa dane na partycji systemowej.
Sytuacje awaryjne
Pozostaje pytanie, co si stanie jeeli administrator wgra now wersje BIOSu, lub zmieni pliki startowe instalujc atki systemowe bd w jakikolwiek (oczywicie suszny) dokona modyfikacji sekwencji startowej tak, e wyliczony SRK nie bdzie dawa moliwoci prawidowej deszyfracji klucza VLK ? Twrcy BitLockera przewidzieli tak sytuacj. Administrator ma moliwo posuenia si 48 cyfrowym kluczem (recovery password), ktry jest wpisywany z klawiatury komputera, jeeli system nie jest w stanie odszyfrowa klucza VLK. W praktyce oznacza to, e klucz VLK moe by szyfrowany wielokrotnie rnymi mechanizmami i wiele jego chronionych kopii moe istnie na partycji startowej. Inn metod jest wygenerowanie tzw. recoyery key w trakcie inicjalizacji BitLockera i w sytuacji awaryjnej dostarczenie go systemowi na napdzie USB.(klucze te mog by rwnie przetrzymywane w aktywnych katalogach, lub w postaci plikw) Jeeli administrator przewiduje operacj, ktra zmieni kod sekwencji startowej moe wygenerowa tzw. clear key, ktry w stanie jawnym jest skadowany na partycji startowej na czas realizowanej operacji (np: wgranie nowej wersji BIOS, instalacja service pack). Oczywicie w tym czasie sprawdzanie poprawnoci, integralnoci sekwencji startowej jest czasowo wyczona.
130
131
Znajdziemy tam siedem polityk, ktre pomog skonfigurowa BDE zgodnie z przyjtymi zaoeniami. 1. Turn on BitLocker Backup to Active Directory Services - politka umoliwia archiwizacj hasa odzyskiwania (recovery password) i kluczy do AD 2. Control Panel Setup: Configure recover folder wskazanie domylnej lokalizacji przechowywania hasa odzyskiwania. Przy uruchomieniu kreatora szyfracji i wyborze opcji Save the password in a folder wskazana siceka dostpu, pojawi si automatycznie. 3. Control Panel Setup: Configure recover Options konfiguracja metod odzyskiwania. Do wyboru moliwo uycia hasa odzyskiwania i (lub) klucza odzyskiwania (na noniku USB) 4. Control Panel Setup: Enabled advanced startup options moliwo definicji opcji zaawansowanych w kreatorze Bitlockera. Domylnie kreator proponuje jedynie sprawdzanie sekwencji startowej w oparciu o modu TPM. Plityka pozwala na moliwo dodatkowego wyboru pomidzy powysz opcja a opcjami TPM with PIN, TPM with USB. 5. Configure encryption method Domylnym algorytmem szyfrowania danych jest AES 128bit. Polityka daje moliwo wczenia trybu AES 256bit (dodatkowo moliwo wczenia lub wyczenia dyfuzora) 6. Prevent memory overwrite on restart zapobieganie czyszczenia pamici RAM z danych poufnych umieszczonych tam prze BiltLockera w trakcie restartu. 7. Configure platform validation profile polityka definiuje element startowe, ktre s sprawdzane przez TPM w trakcie rozruchu komputera.
Wymagania sprztowe
komputer speniajcy minimalne wymagania dla Windows Serwer 2008 ( Windows Vista Enterprise lub Ultimate) mikrochip TPM, wersja 1.2, wczony (dla opcji z TPM), BIOS speniajcy standardy organizacji Trusted Computing Group (TCG) (dla opcji z TPM), dwie partycje NTFS na dysku, jedna na wolumen systemowy, a druga na wolumen startowy. Partycja systemowa musi mie co najmniej 1,5 GB i by partycj aktywn, ustawienia BIOSu wskazujce na dysk twardy, jako pierwsze urzdzenie startowe, nie na napdy USB czy CD.
W praktyce uycie skryptu manage-bde.wsf jest o wiele bardziej efektywna ni uycie interfejsu graficznego BDE.
Uwaga: Przy kadym tecie z napdem flash USB, BIOS musi wspiera odczyt flash USB przy starcie systemu.
132
133
11. Wpisz assign letter=D aby nada tej partycji oznaczenie D. 12. Wpisz active, aby ustawi now partycj jako aktywn. 13. Wpisz create partition primary, aby utworzy inn partycj systemow. Bdziesz instalowa Windows na tej wikszej partycji. 14. Wpisz assign letter=C aby nada tej partycji oznaczenie C. 15. Wpisz list volume, aby zobaczy list wszystkich wolumenw na dysku. 16. Wpisz exit, aby opuci aplikacj diskpart. 17. Wpisz format c: /y/q/fs:NTFS, aby prawidowo sformatowa wolumen C. 18. Wpisz format s: /y/q/fs:NTFS, aby prawidowo sformatowa wolumen D. 19. Wpisz exit, aby opuci wiersz polece. 20. W oknie System Recovery Options, uyj ikony zamykania okna w grnym prawym rogu (lub nacinij ALT+F4), aby zamkn okno i powrci do gwnego ekranu instalacyjnego. 21. Kliknij na Install now i kontynuuj proces instalacji systemu Windows Server 2008.
Aby spartycjonowa dysk bez systemu operacyjnego dla BitLocker: 1. 2. Uruchom komputer z pyty DVD z systemem Windows Serwer 2008. Na pocztkowym ekranie Install Windows, wybierz Installation language, Time and currency format oraz Keyboard layout (jzyk instalacji, format czasu i waluty, ukad klawiatury), a nastpnie kliknij Next. Na kolejnym ekranie Install Windows, kliknij opcj System Recovery Options (opcje odzyskiwania systemu) umiejscowione w lewym dolnym rogu ekranu. W oknie dialogowym System Recovery Options, wybierz swj ukad klawiatury, a nastpnie kliknij Next. W kolejnym oknie dialogowym System Recovery Options upewnij si, e nie zosta wybrany aden system operacyjny. Aby to zrobi, kliknij w pustym obszarze listy Operating Systems, poniej wszystkich wymienionych pozycji. Nastpnie kliknij Next. W kolejnym oknie dialogowym System Recovery Options, kliknij na Command Prompt. Uyj funkcji Diskpart do stworzenia partycji na wolumen startowy. W wierszu polece wpisz diskpart, a nastpnie wcinij ENTER. Wpisz select disk 0. Wpisz clean, aby wymaza istniejc tablic partycji.
3. 4. 5.
6. 7. 8. 9.
1. 2.
10. Wpisz create partition primary size=1500 , aby utworzy partycj, ktra bdzie partycj rozruchow.
Kliknij przycisk Start, nastpnie opcj Control Panel i opcj BitLocker Drive Encryption. Na stronie BitLocker Drive Encryption, kliknij opcj Turn On BitLocker na wolumenie systemowym.
134
135
Jeli TPM nie jest uruchomiony, zobaczysz kreator Initialize TPM Security Hardware. Postpuj zgodnie ze wskazwkami, aby uruchomi TPM, a nastpnie zrestartuj komputer. (moesz dokona inicjalizacji moduu TPM wczeniej poprzez konsole TPM.msc) 3. 4. W oknie potwierdzajcym uycie BDE wybieramy opcj Continue with Bitlocker Drive encryption. (Tylko z TPM) Jeeli uywamy moduu TPM, kolejne okno kreatora daje nam wybr metody weryfikacji sekwencji startowej.
5.
(Tylko z TPM) W kolejnym kroku kreatora naley wprowadzi PIN. (sekwencja od 4 do 20 cyfr) Zdefiniowany PIN bdzie musia by wprowadzany przy kadym starcie systemu.
Opcja ta pojawia si tylko dla komputerw wyposaonych w modu TPM. Dostpne s trzy tryby startowe: Use BitLocker without additional keys (opcja only TPM) Require PIN at every startup (opcja TPM with PIN) Require startup USB at every startup (opcja TPM with USB)
Dalsza procedura zakada, e operator wybra najpopularniejsz i najbezpieczniejsz opcj ochrony serwerw w filiach firm opcje TPM with PIN. Uwaga: Jeeli w danej lokalizacji nie istnieje adna jednostka IT naley si zastanowi na wyborem opcji only TPM
Rysunek 10. Konfiguracja BDE. Definiowanie PINu.
6.
(Bez TPM) W oknie Set BitLocker Startup Preferences zanacz opcje Require Startup USB Key at every startup. Jest to jedyna opcja dostpna dla komputerw nieposiadajcych moduu TPM. Klucz startowy musi by dostarczany na napdzie USB przy kadym restarcie systemu. (Bez TPM) W oknie Save your Startup Key zanacz lokalizacj napdu USB i nacinij przycisk Soave Na stronie Save the recovery Password (zapisz haso odzyskiwania) zobaczysz nastpujce opcje: Save the password on a USB Drive. Zapisuje haso na napdzie flash USB. Save the password In a folder. Zapisuje haso na dysku sieciowym lub w innej lokacji. Sprint the password. Drukuje haso.
7. 8.
136
137
Przeprowadzenie tej procedury oznacza, e wolumen startowy zosta zaszyfrowany i utworzono dla niego unikalne haso odzyskiwania. Kolejne logowania bd przebiegay bez widocznych rnic. Jeli TPM si zmieni lub bdzie niedostpny, zmieni si kluczowe pliki systemu, lub jeli kto bdzie prbowa uruchomi komputer z innego nonika aby omin system operacyjny, komputer przeczy si w tryb odzyskiwania a do podania hasa odzyskiwania.
Uyj co najmniej jednej z tych opcji, aby zachowa haso odzyskiwania. Dla kadej opcji zaznacz j i postpuj zgodnie z instrukcj kreatora, aby wybra miejsce przechowywania hasa odzyskiwania lub jego sposb wydruku. 9. Kiedy skoczysz zapisywanie hasa odzyskiwania, kliknij Next?
Porcedura odzyskiwania dostpu do danych przy uyciu Bitlocker Drive Encryption (BDE)
Jeeli kod startowy uleg zmianie, napd wykorzystywanego nonika USB z kluczem startowym uleg uszkodzeniu lub PIN zosta zapomniany, naley uy poniszej procedury do poprawnego startu systemu operacyjnego. 1. Wcz komputer 2. Jeeli sekwencja startowa nie bdzie poprawna, start komputera zostanie zablokowany i pojawi si okno BitLocker Drive Encryption Recovery Console. W nonik USB zawierajcy haso odzyskiwania (recover password) i nacinij klawisz ESC. Komputer zrestartuje si automatycznie. 3. Jeeli nie posiadasz nonika USB z hasem odzyskiwania nacisnij ENTER. 4. Wprowad haso odzyskiwania z klawiatury (48 cyfr) i nacinij ENTER (jeeli nie znasz hasa odzyskiwania nacinij ENTER dwukrotnie i wycz komputer) Jeeli zapisae haso odzyskiwania w pliku na innym typie nonika ni USB lub na katalogu udostpnionym, poszukaj pliku ktry nazywa si tak samo jak cig numeryczny Password ID wywietlany na konsoli zablokowanego komputera. Otwrz plik, zczytaj haso odzyskiwania i wprowad w konsoli BitLocker Drive Encryption Recovery Console.
Wane: Haso odzyskiwania (recover password) bdzie wymagane w wypadku, gdy trzeba bdzie przenie zaszyfrowany dysk do innego komputera lub wprowadzi zmiany w informacjach startowych. To haso jest tak wane, e zaleca si wykonanie jego dodatkowych kopii przechowywanych w bezpiecznym miejscu, eby zapewni sobie dostp do swoich danych. Haso odzyskiwania bdzie potrzebne do odszyfrowania zaszyfrowanych danych na wolumenie, jeli BitLocker zablokuje komputer. 10. W oknie Encrypt the selected disk volume, upewnij si, e jest zaznaczone pole wyboru Run BitLocker System Check, a nastpnie kliknij przycisk Continue. 11. Potwierd, e chcesz uruchomi ponownie komputer, klikajc na Restart Now. Komputer uruchamia si ponownie i BitLocker sprawdza, czy komputer jest z nim kompatybilny i gotowy do szyfrowania. Jeli nie, zobaczysz komunikat bdu, informujcy o problemie. 12. Kiedy dysk bdzie gotowy do szyfrowania, pojawi si pasek stanu Encryption in Progress. Moesz ledzi postp szyfrowania dysku przez przecignicie kursora myszki na ikon BitLocker Drive Encryption na pasku narzdzi na dole ekranu.
138
139
Receive Window Auto-Tuning (automatyczne dostrajanie okna odbiorczego). Funkcja ta optymalizuje rozmiar okna odbiorczego osobno dla kadego nawizanego poczenia, mierzc iloczyn: pasmo-opnienie (bandwidth-delay product, BDP) oraz wspczynnik retrieval rate komunikujcej si aplikacji, ktry jest negocjowany w trakcie inicjalizacji poczenia. Wykorzystanie pasma sieci podczas transferw danych ronie wraz ze wzrostem przepywnoci midzy komunikujcymi si aplikacjami. Gdyby wszystkie aplikacje byy zoptymalizowane z punktu widzenia odbioru danych przesyanych protokoem TCP, to oglne wykorzystanie sieci mogoby si znacznie zwikszy.
O ile automatyczne dostrajanie okna odbiorczego optymalizuje przepustowo po stronie odbiorcy, to funkcja Compound TCP (CTCP) stosu TCP/IP nastpnej generacji optymalizuje przepustowo po stronie nadawcy. Wsppracujc, obie funkcje mog doprowadzi do znacznie lepszego wykorzystania cza. Dla pocze TCP, ktre wykorzystuj due okna odbiorcze i gdzie parameter BDP jest stosunkowo duy, funkcja Compund TCP umoliwia agresywnie zwikszenie iloci danych wysyanych w porcji danych. W testach wykonanych wewntrznie w firmie Microsoft okazao si, e czas zapisu duego pliku kopii zapasowej przez cze o pamie 1 Gb/s i czasie RTT (round-trip) 50 ms spad prawie o poow..
Stos TCP/IP nastpnej wykorzystuje nastpujce algorytmy majce na celu zoptymalizowania przepustowoci w rodowiskach o wysokich stratach. O to najwaniejsze z nich: RFC 2582: Modyfikacja NewReno algorytmu Fast Recovery. Nowy algorytm NewReno zapewnia wiksz przepustowo dziki zmienionemu sposobowi, na jaki nadawca moe zwikszy tempo nadawania w sytuacji, gdy w oknie danych tracone s liczne segmenty i nadawca otrzymuje tylko czciowe potwierdzenia (potwierdzenie tylko danych pomylnie otrzymanych). RFC 2883: Poszerzenie opcji Selective Acknowledgement (SACK) dla TCP. Zdefiniowana w RFC 2018 opcja SACK pozwala odbiorcy potwierdzi maksymalnie 4 niessiadujce bloki nadesanych danych. W zaleceniu RFC 2883 zdefiniowano dodatkowe uycie pl opcji SACK TCP dla potwierdzania ponownie otrzymanych pakietw. Pozwala to odbiorcy segmentu TCP z opcj SACK okreli, kiedy niepotrzebnie wysa ponownie jaki segment i stosownie do tego dopasowa swe przysze zachowanie, aby unikn dublowania. Im mniej niepotrzebnych ponownych transmisji, tym lepsza przepustowo sieci. RFC 3517: Algorytm Loss Recovery dla TCP oparty o Conservative Selective Acknowledgment (SACK).
Rozmiar okna odbiorczego TCP to porcja danych, TCP jak odbiorca pozwala wysya nadawcy bez potrzeby potwierdzenia ich odbioru. W celu optymalizacji tego rozmiaru zalenie od biecych warunkw panujcych w czu, stos TCP/IP nowej generacji wykorzystuje funkcj
140
141
Implementacja stosu TCP/IP w systemie Windows Server 2003 oraz w Windows XP wykorzystuje informacje SACK tylko do okrelenia tych segmentw TCP, ktre nie dotary do miejsca przeznaczenia. W zaleceniu RFC 3517 zdefiniowano metod wykorzystywania tych informacji take do odzyskiwania utraconych pakietw w momencie, gdy pojawio si potwierdzenie duplikatu, zastpujcego algorytm szybkiego odzyskiwania wtedy, kiedy w danym poczeniu uaktywniona jest funkcja SACK. Stos TCP/IP nastpnej generacji przechowuje informacje SACK dla kadego poczenia z osobna i monitoruje nadchodzce potwierdzenia pakietw oraz potwierdzenia duplikatw, aby mc szybciej odtworzy dane w sytuacji, gdy do miejsca przeznaczenia nie dotaro wiele pakietw. RFC 4138: Algorytm Forward RTO-Recovery (F-RTO): wykrywanie w poczeniach TCP przekrocze czasu zbdnych ponownych transmisji (Spurious Retransmission Timeouts) i protok Stream Control Transmission (SCTP). Zbdne ponowne transmisje segmentw TCP mog zdarzy si wtedy, gdy wystpi nagy chwilowy wzrost czasu RTT. Algorytm F-RTO zapobiega zbdnej ponownej transmisji segmentw TCP. Nawet w rodowiskach, w ktrych wystpi nagy chwilowy wzrost RTT (np. kiedy jaki bezprzewodowy klient przemieci si z jednego punktu dostpu do innego punktu dostpu), algorytm F-RTO zapobiegnie niepotrzebnej, ponownej transmisji segmentw i spowoduje szybszy powrt do normalnego tempa nadawania
z routerw zawierajcych MTU nastpnego ogniwa. Jednake w niektrych przypadkach routery poredniczce ignoruj te pakiety, ktre nie mog by fragmentowane. Takie routery s znane, jako czarne dziury. Ponadto routery poredniczce mog gubi komunikaty ICMP ze wzgldu na reguy skonfigurowane na zaporach firewall. W wyniku ignorowania duych segmentw oraz gubienia komunikatw ICMP poczenia TCP mog by przerywane wskutek przekroczenia czasu. Funkcja wykrywania routerw PMTU, dziaajcych jak czarne dziury, wskazuje ponowne transmisje duych segmentw TCP i automatycznie dopasowuje PMTU danego poczenia zamiast polega na odbiorze komunikatw Destination Unreachable-Fragmentation Needed oraz Dont Fragment (DF) Set protokou ICMP.Stos TCP/IP w systemach Windows Server 2003 i Windows XP mia standardowo wyczon t funkcj, poniewa zwikszaa ona maksymaln liczb retransmisji wykonywanych w danym segmencie sieci. Natomiast w stosie nastpnej generacji jest ona standardowo wczona, aby zapobiec przedwczesnemu zrywaniu pocze TCP.
Aby zapobiec niepodanemu przekazywaniu ruchu pomidzy interfejsami wirtualnych sieci prywatnych (VPN), stos TCP/IP nastpnej generacji obsuguje separacj tablicy routingu (routing compartments). Podzia tablicy routingu to poczenie zestawu interfejsw VPN z sesj logowania, ktra operuje swymi wasnymi tabelami routingu IP. Ten sam komputer moe mie wiele wzajemnie izolowanych podziaw tablicy routingu, jednak kady interfejs moe nalee tylko do jednego przedziau. Gdy uytkownik systemu Windows XP zainicjuje poczenie VPN przez Internet z jak sieci prywatn, jego komputer bdzie czy si zarwno z Internetem, jak i z intranetem, manipulujc pozycjami w tabeli routingu IPv4. W niektrych sytuacjach moe zaistnie moliwo przekazywania ruchu z Internetu przez zestawiony kana VPN do prywatnego intranetu. Natomiast w przypadku klientw VPN obsugujcych podzia tablicy routingu, stos TCP/IP nastpnej generacji odizoluje czno z Internetem od cznoci z prywatnym intranetem stosujc osobne tabele routingu IP.
Neighbor Unreachability Detection to funkcja protokou IPv6: wzy sieci cigle sprawdzaj, czy ssiednie wzy s dostpne, przez co mona szybciej wykrywa bdy i omija je w sytuacji, gdy ktry z wzw nagle stanie si niedostpny. Stos TCP/IP nastpnej generacji wspiera t funkcj take dla ruchu IPv4 poprzez ledzenie stanu ssiadw IPv4 i zapamitywanie go w pamici podrcznej routingu IPv4. Funkcja weryfikuje, czy ssiedni wze jest dostpny, wymieniajc z nim komunikaty ARP (Address Resolution Protocol) Request i ARP Reply albo posikuje si w tym celu protokoami wyszych warstw, np. TCP.
W stos TCP/IP systemw Windows Server 2003 i Windows XP wbudowano funkcj wykrywania i omijania nieaktywnych bram (fail-over), ale nie posiadaj one waciwoci fail-back, tj. funkcji okresowego weryfikowania, czy nieaktywna brama nie zacza ponownie dziaa. Stos TCP/IP nastpnej generacji oferuje tak kontrol: okresowo podejmuje prby wysania pakietw TCP przez bram, ktra zostaa uprzednio zakwalifikowana, jako niedostpna. Jeli ktra z takich prb zakoczy si pomylnie, stos z powrotem przeczy ruch TCP na t bram, jako bram standardow. Funkcja fail-back moe zaowocowa wiksz przepustowoci, jeli ruch wrci do podstawowej bramy w danej podsieci.
Network Diagnostics Framework to bogata platforma, majca za zadanie wspiera uytkownikw w diagnozowaniu problemw sieciowych i przywracaniu dziaania sieci. W przypadku diagnozowania problemw w poczeniach TCP/IP platforma zadaje uytkownikowi seri pyta eliminujcych poszczeglne moliwe przyczyny, a przyczyna problemu zostanie zdiagnozowana albo wszystkie moliwoci zostan wyczerpane. Platforma Network Diagnostics Framework moe diagnozowa nastpujce kwestie, odnoszce si do komunikacji TCP/IP: niepoprawny adres IP niedostpna standardowa brama (router)
Wykrywanie jednostek PMTU (Path Maximum Transmission Unit) wedug definicji w dokumencie RFC 1191 polega na odbiorze komunikatw Destination Unreachable-Fragmentation Needed oraz Dont Fragment (DF) Set protokou ICMP (Internet Control Message Protocol)
142
143
niepoprawna standardowa brama niepowodzenie przy okrelaniu nazwy NetBIOS over TCP/IP (NetBT) niepoprawne ustawienia DNS zajty port lokalny nie pracuje klient DHCP brak odlegego odbiorcy odczone media zablokowany port lokalny za mao wolnej pamici
Protoko IPv6
Wraz ze stosem TCP/IP nastpnej generacji wprowadzono nastpujce modyfikacje protokou IPv6
W systemach Windows Server 2008 i Windows Vista obsuga protokou IPv6 jest domylnie wczona.. Protokou IPv6 nie mona odinstalowa, mona go jedynie wyczy. Konfiguracja Ipv6 jest dokonywana poprzez interfejs graficzny (kontekst Network Connections) lub polecenie netsh.
Podwjny stos IP
Stos TCP/IP nastpnej generacji obsuguje architektur z dwoma warstwami IP, w ktrej implementacja IPv4 dzieli z implementacj IPv6 wspln warstw transportow (obejmujc TCP i UDP) oraz warstw definiujc ramki. Obie implementacje IPv4 i IPv6 s w stosie TCP/ IP nastpnej generacji standardowo wczone i nie trzeba instalowa adnego osobnego komponentu, aby uzyska dostp do obsugi IPv6.
Stos TCP/IP nastpnej generacji obsuguje przedoon przez Internet Engineering Task Force propozycj TCP Extended Statistics MIB, w ktrej zdefiniowano poszerzone dane statystyczne obrazujce prac TCP. Analizujc statystyki ESTATS, dotyczce poczenia mona okreli, co jest wskim gardem w tym poczeniu: aplikacja wysyajca, aplikacja odbierajca, czy te cza. Zapisywanie statystyk ESTATS jest domylnie wyczone, funkcj mona wczy dla wykonania konkretnego poczenia. W oparciu o statystyki ESTATS niezaleni dostawcy oprogramowania (ISV) mog tworzy narzdzia do diagnostyki i analizy przepustowoci sieci.
Windows Filtering Platform (WFP) to nowa platforma stosu TCP/IP nastpnej generacji udostpniajca niezalenym dostawcom oprogramowania (ISV) interfejsy programistyczne API tak, e mog oni uczestniczy w podejmowaniu decyzji dotyczcych filtrowania pakietw na kilku poziomach stosu protokow TCP/IP oraz w kilku miejscach systemu operacyjnego. W platformie zintegrowano obsug takich cech zapr firewall nastpnej generacji jak czno uwierzytelniana czy dynamiczne konfigurowanie zapr uzalenione od wykorzystania przez aplikacje interfejsu Windows Sockets API (zasady uzalenione od konkretnych aplikacji). Uywajc platformy, dostawcy oprogramowania mog tworzy zapory, oprogramowanie antywirusowe, diagnostyczne, inne aplikacje i usugi. Zapora Windows Firewall oraz protok IPsec w systemach Windows Server 2008 i Windows Vista korzystaj z WFP API.
Technika Teredo umoliwia prac poprzez translatory adresw sieciowych (NAT) aplikacjom IPv6, wymagajcym dopuszczenia nie zamawianego ruchu przychodzcego i globalnego adresowania, np. aplikacjom klasy peer-to-peer. Gdyby takie aplikacje posugiway si protokoem IPv4, wymagayby rcznego skonfigurowania translatora NAT bd nawet w ogle nie mogyby pracowa bez modyfikacji protokou sieciowego. Obecnie technika Teredo ma zastosowanie w przypadku, kiedy klient Teredo znajduje si za translatorem adresw sieciowych NAT lub wiksz ich liczb. NAT mapuje w ruchu wychodzcym ten sam wewntrzny (prywatny) adres sieciowy i numer portu na rne zewntrzne (publiczne) adresy oraz porty, zalenie od zewntrznego adresu docelowego. Takie nowe zachowanie pozwala Teredo poczy przez Internet wiksz grup hostw.
W systemach Windows Server 2008 i Windows Vista w aspekcie IPsec ruch IPv6 jest obsugiwany tak samo, jak ruch IPv4, cznie z obsug Internet Key Exchange (IKE) i szyfrowaniem transmisji danych. Zapora Windows Firewall z Advanced Security oraz IP Security Policies obsuguje teraz konfigurowanie zasad IPsec dla ruchu IPv6 podobnie, jak dla ruchu IPv4. Integracja protoku IPSec ze stosem IPv6, ulepszenia wprowadzone w formach uwierzytelnienia umoliwia tw implementacje bezpiecznej sieci i izolacje wybranych zasobw.
Gdy okae si, e jaki segment TCP zosta utracony, protok TCP przyjmuje, e zosta on utracony wskutek toku na routerze i przystpuje do kontroli zatoczenia, w wyniku, czego tempo nadawania danych moe radykalnie spa. Jeli w obu komunikujcych si aplikacjach TCP i w routerach uaktywni si funkcja ECN (Explicit Congestion Notification), zatoczone routery bd stosownie oznacza pakiety przed przekazaniem ich dalej. Aplikacja TCP, otrzymujca tak oznakowane pakiety da obnienia tempa transmisji po to, aby rozadowa tok i zapobiec utracie segmentw. Moliwo wykrycia natoku, zanim zdarzy si utrata pakietu, zwiksza ogln przepustowo pomidzy komunikujcymi si aplikacjami TCP. Funkcja ECN jest domylnie wyczona.
Protok Multicast Listener Discovery, , v2 (MLDv2)wyspecyfikowany w RFC 3810, obsuguje ruch grupowy (wieloemisyjny) zalenie od nadawcy. Protok MLDv2 jest ekwiwalentem Internet Group Management Protocol, v3 (IGMPv3) dla IPv4.
Technika Link-Local Multicast Name Resolution (LLMNR) pozwala hostom IPv6 i IPv4 pracujcym w tej samej podsieci, okreli wzajemnie swe nazwy bez uycia serwera DNS.
144
145
Wbudowany klient zdalnego dostpu obecnie obsuguje zdefiniowany w RFC 2472 protok IPV6CP (IPv6 Control Protocol), sucy do konfigurowania wzw IPv6 w czach PPP (Point-toPoint Protocol). Natywny ruch IPv6 moe by, wic teraz przesyany poczeniami PPP. Obsuga IPV6CP pozwala na przykad poczy si z dostawc Internetu operujcym adresacj IPv6 przez cze wydzwaniane lub przez cze PPPoE (PPP over Ethernet), ktre mona wykorzysta do szerokopasmowego dostpu do Internetu
Group Policy Management Console. Mechanizm pozwala na wprowadzenie rnych polityk dla rnych aplikacji w obrbie caej lub tylko czci korporacji. Zarzdzajc wykorzystaniem pasma sieci, administrator moe skonfigurowa zasady QoS, limitujce tempo nadawania ruchu wychodzcego z sieci. Taki limit spowoduje ograniczenie zagregowanej iloci danych wychodzcych z sieci do wyspecyfikowanego poziomu. Aby ustali priorytet dostarczania, pakiety danych mog by oznaczane odpowiednio skonfigurowan wartoci DSCP (Differentiated Services Code Point). Routery pracujce w infrastrukturze sieciowej bd segregowa pakiety wedug ich wartoci DSCP do rnych kolejek, a zatem rnicowa priorytet ich dostawy. Oznaczenia DSCP i technika limitowania tempa nadawania mog by uyte cznie dla skuteczniejszego zarzdzania ruchem. Poniewa obie te techniki dotycz warstwy sieci, aplikacje nie musz by w adnym stopniu przystosowywane.
Aby zapobiec wykrywaniu adresw IPv6 w oparciu o identyfikatory opublikowane przez producentw kart sieciowych, systemy Windows Server 2008 i Windows Vista domylnie generuj losowe identyfikatory interfejsw sieciowych w przypadku samo-konfigurujcych si na stae adresw IPv6, wczajc w to adresy publiczne i link-local.
Obsuga DHCPv6
W systemy Windows Server 2008 i Windows Vista wbudowano klienta DHCP (Dynamic Host Configuration Protocol) z moliwociami DHCPv6, ktry moe auto-konfigurowa adresy we wsppracy z serwerem DHCPv6.
Serwisy DNS funkcjonujce na platformach Windows server 2008 w peni wspieraj rozwizywanie nazw dugich dla protokou IPv6 jak i dla IPv4. W nowej wersji DNS umoliwiono rwnie obsug rozwizywania nazw krtkich dziki strefom nowego typu tzw. GlobalNames zone
Co nowego ?
Zasady te ustawia si w ramach zasad grupowych uytkownika lub komputera za pomoc edytora Group Policy Object Editor, po czym czy z odpowiednimi kontenerami usug Aktywnych Katalogw (domeny, lokalizacji, jednostki organizacyjne) za pomoc konsoli
Funkcjonalno firewall istniaa ju w poprzednich systemach Windows. Zapora systemu Windows serwer 2008 zawiera znacznie wiksz ilo funkcji i rozszerze. Moliwo automatycznego blokowania niechcianego ruchu wysyanego przez serwer. Zapora posiada definicj regu pozwalajc na komunikacje wybranych popularnych usug takich jak: DNS, DHCP, udostpnianie plikw i drukarek, ruch zwizany z AD. Pozostae transmisje mog by blokowane. Nowa konsola do zarzdzania. Przystawka Windows Firewall with Advanced Security pozwala na prost i czyteln definicje regu kontrolujcych ruch wychodzcych
146
147
(Out-bound Rules), regu ruchu przychodzcego (Inbound Rules) oraz monitorowania ruchu (kontekst Monitoring) Integracja zapory z protokoem IPSec. Protoku IPsec umoliwia ochrone transmisji danych pomidzy komputerami przy wykorzystaniu rnych metod szyfracji i uwierzytelnienia. Kontekst Connection Security Rules pozwala na tworzenie regu przy wykorzystaniu protokou IPSec, majcych na celu izolowanie i ochrone komunikacji midzy systemami domenowymi od pojawiajcych si w sieci obcych komputerw. (Moliwa jest definicja izolacji rwnie w obrbie danej domeny) Pene wsparcie dla protokou IPv6
Systemy Windows Serwer 2003 i Windows Vista wspieraj uycie zarwno SMB 1.0 i SMB 2.0. Wersja protokou uywana pomidzy klientem i serwerem jest ustalana w fazie negocjacji SMB. Ponisza tabela pokazuje uyt wersja protokou SMB w zalenoci od wersji sytemu operacyjnego klienta i serwera. Klient Windows Serwer 2008 lub Windows Vista Serwer Windows Serwer 2008 lub Windows Vista Windows XP Windows , Serwer 2003 lub Windows 2000 Windows Serwer 2008 lub Windows Vista Windows XP Windows , Serwer 2003 lub Windows 2000 Uywana wersja SMB SMB 2.0
Windows Serwer 2008 lub Windows Vista Windows XP , Windows Serwer 2003 lub Windows 2000 Windows XP , Windows Serwer 2003 lub Windows 2000
SMB 1.0
SMB 1.0
SMB 1.0
148
149
5.
Najprostszym rozwizaniem byoby ograniczenie dostpu na poziomie konkretnych uprawnie do pliku. Natomiast dodatkowa ochrona jest potrzebna aby zabroni okrelonym uytkownikom moliwoci kopiowania z dokumentu, ktry mog otworzy. Naley take pamita o odpowiednim audytowaniu dostpu do dokumentu. Wyzwanie zwizane z przygotowanie I wdroeniem takiej infrastruktury staje si jeszcze wiksze w chwili, kiedy ma ona obsugiwa nie tylko naszych etatowych pracownikw, ale take na przykad klientw czy firmy partnerskie. Dodatkowym wyzwaniem jest rozszerzenie granic dziaalnoci przedsibiorstwa i otwarcie na kolejne kanay komunikacji jak, poczta elektroniczna, komunikatory czy usugi webowe oraz urzdzenia mobilne zezwalajce na przenoszenie danych. Microsoft nieustannie pracuje na spjnym rozwizaniem pozwalajcym na wdroenie takiego mechanizmu. Poniej krtko zostanie omwiona ewolucja jaka nastpia w technologii zarzdzania tosamoci i dostpem.
151
przechowuje i replikuje tylko dane zwizane z aplikacjami, ktre z nim wsppracuj, nie zawiera adnych informacji o zasobach sieciowych takich jak uytkownicy, grupy czy komputery. Istotna cech ADAM jest to, i nie jest usug systemow w zwizku z tym istnieje moliwo uruchomienia wielu jego instancji na jednym komputerze. Kada z takich instancji moe obsugiwa inn aplikacj, mie wasny magazyn danych oraz przypisane osobne porty LDAP i SSL a take dzienniki zdarze. ADAM stanowi opcjonalny komponent Windows Server 2003 R2, ale dostpna jest take wersja do pobrania, ktra moe zosta zainstalowana na Windows Server 2003 bd Windows XP . Active Directory Federation Services (ADFS) jest kolejnym opcjonalnym komponentem Windows Server 2003 R2, ktry udostpnia funkcjonalno single sgn-on (SSO) dla uytkownikw zasobw webowych. Moliwe jest to dziki bezpiecznej wymianie informacji o cyfrowej tosamoci oraz powizanych z ni praw. ADFS jest cile powizana z AD i moe wsppracowa zarwno z usug katalogow jak i ADAM. Korzystajc z ADFS przedsibiorstwo moe rozszerzy istniejc infrastruktur AD na Internet w celu umoliwienia dostpu do zasobw oferowanych za porednictwem Internetu przez zaufanych partnerw. Zaufanymi partnerami mog by zarwno firmy zewntrzne jak i oddziay wewntrz przedsibiorstwa.
W Windows Server 2008 Microsoft postanowi dokona konsolidacji tych rozwiza w jeden, zintegrowany mechanizm zarzdzania tosamoci i dostpem zbudowany w oparciu o AD. W zwizku z tym dostpne s cztery kluczowe komponenty zarzdzania tosamoci i dostpem: Active Directory Domain Services (AD DS) oraz Active Directory Lightweight Directory Services (AD LDS), ktre udostpniaj usug katalogow zarwno w rodowisku domenowym jak I w grupie roboczej Active Directory Certificate Services (AD CS), ktra umoliwia weryfikacj tosamoci przy pomocy PKI Active Directory Rights Management Services (AD RMS), ktry chroni informacje zawarte w dokumentach, poczcie elektronicznej itp.
152
153
Active Directory Federation Services (AD FS), Tora eliminuje konieczno tworzenia i zarzdzania wieloma tosamociami.
Naley take zwrci uwag na zmian nazw niektrych usug: usuga katalogowa Active Directory nazywa si teraz AD DS. Active Directory Application Mode to teraz AD LDS Certificate Services nazwano AD CS Windows Rights Management Services przemianowano na AD RMS
Usuga AD RMS zostaa rozszerzona o kilka udoskonale: instaluje si j jako rol serwera zwykorzystaniem Server Managera, dostpna jest konsola MMC zamiast interfejsu webowego obecnego w poprzedniej wersji, usuga integruje si z AD FS oraz umoliwia bardziej efektywne zarzdzanie uprawnieniami do administracji serwerami AD RMS. Uycie konsoli administracyjnej zamiast interfejsu webowego pozwala na stworzenie w peni spjnego rodowiska wykorzystywanego w caym Windows Server 2008, ktre zostao zaprojektowane jako prostsze wobsudze i nawigacji. Dodatkowo zaimplementowanie rl administracyjnych dla serwera AD RMS powoduje, e konsola AD RMS wywietla tylko te elementy, do ktrych uytkownik ma dostp. Na przykad uytkownik, ktry naley do grupy penicej rol AD RMS Template Administrators jest ograniczony tylko do zada zwizanych z zarzdzaniem szablonami AD RMS, wszystkie pozostae zadania bd w konsoli niedostpne.
W oparciu o powysze rozwaania wida, e technologia RMS staa si w kocu integraln czci zarzdzania tosamoci i dostpem uytkownika realizowanym w oparciu o Active Directory.
154
155
bazy danych dla AD RMS Configuration and Logging kreator instalacji roli AD RMS automatycznie zainstaluje i skonfiguruje Windows Internal Database do pracy z usug AD RMS. Dodatkowo potrzebne jest konto, bez adnych uprawnie w systemie, na ktrym bdzie pracowa usuga AD RMS. Ponisza tabela zawiera informacje o minimalnych jak i zalecanych wymaganiach sprztowych pozwalajcych na zainstalowanie roli AD RMS na komputerze pracujcym pod kontrol Windows Server 2008. Wymagania One Pentium 4 3 GHz processor or higher 512 MB of RAM 40 GB of free hard disk space Zalecenia Two Pentium 4 3 GHz processors or higher 1024 MB of RAM 80 GB of free hard disk space
Zalecenia przed-instalacyjne
Oprcz okrelonych wymaga dla usugi AD RMS warto zastosowa si do poniszych zalece: serwer bazodanowy obsugujcy baz AD RMS powinien by zainstalowany na osobnym komputerze dostp do serwera AD RMS powinien odbywa si z wykorzystaniem protokou SSL, certyfikat powinien by wystawiony przez zaufany gwny urzd certyfikujcy zdefiniowa aliasy (CNAME) zarwno dla serwera AD RMS jak i dla komputera obsugujcego baz danych, w przypadku awarii serwera AD RMS pozwoli to na szybkie zaktualizowanie aliasa bez koniecznoci ponownej publikacji wszystkich chronionych plikw w przypadku wykorzystania nazwanej instancji konfiguracyjnej bazy danych AD RMS naley si upewni czy na serwerze bazodanowym jest uruchomiona usuga SQL Server Browser, w przeciwnym wypadku prba instalacji roli AD RMS zakoczy si niepowodzeniem.
Nastpna tabela opisuje wymagania dotyczce konfiguracji oprogramowania, ktre pozwol na uruchomienie roli AD RMS. Niektre z tych wymaga zostan wczone i skonfigurowane na etapie instalacji roli serwera AD RMS. Oprogramowanie System operacyjny System plikw Messaging Usugi WWW Wymagania Windows Server 2008 pomijajc Windows Web Server 2008 NTFS zalecany Message Queuing Internet Information Services (IIS). ASP .NET must be enabled. AD RMS musi by zainstalowana w domenie Active Directory, w ktrej kontrolery domeny pracuj z uruchomionym Windows Server 2000 z Service Pack 3 (SP3), Windows Server 2003, bd Windows Server 2008. Wszyscy uytkownicy, ktrzy korzystaj z AD RMS w celu uzyskania licencji musz mie przypisany adres e-mail w Active Directory. AD RMS wymaga serwera bazodanowego takiego jak Microsoft SQL Server 2005
Dodatkowo naley wzi pod uwag nastpujce wskazwki: Windows Internal Database wsppracujcy z AD RMS zalecany jest tylko do wykorzystania w rodowisku testowym, poniewa Windows Internal Database nie wspiera zdalnych pocze, wic nie bdzie moliwoci dodania kolejnego serwera na etapie instalacji localhost nie jest wspierany jako adres URL wskazujcy na serwer AD RMS w trakcie okrelania konta, na ktrym bdzie funkcjonowa usuga AD RMS naley si upewni, e smart card nie jest woony do komputera, poniewa w takiej sytuacji wywietlony zostanie komunikat o bdzie stwierdzajcy, e konto uytkownika instalujcego AD RMS nie ma moliwoci odpytania AD DS w przypadku doczania kolejnego serwera do istniejcego ju klastra AD RMS certyfikat SSL dla nowego serwera musi znajdowa si na komputerze przed rozpoczciem procesu instalacji.
Serwer bazodanowy
W celu przygotowania chronionej zawartoci wymagany jest Microsoft Office 2007 Enterprise, Professional Plus bd Ultimate. W celu zapewnienia dodatkowego bezpieczestwa AD RMS moe zosta zintegrowany z innymi technologiami, jak smart card. Klient AD RMS jest wbudowany w Windows Vista. Pozostae systemy operacyjne wymagaj pobrania i zainstalowania pakietu RMS client with Sernice Pack 2 (SP2).
156
157
oczyci kolejk RMS Message Queuing w celu upewnienia si, e wszystkie wiadomoci zostay zapisane w baize danych RMS.
Instalacja AD RMS
Po zainstalowaniu systemu operacyjnego na serwerze mona skorzysta z Initial Configuration Tasks bd Server Manager w celu zainstalowania odpowiednich rl. Aby zainstalowa AD RMS z listy zada naley wybra Add roles, a nastpnie klikn check box Active Directory Rights Management Services. 1. Instalacja roli za pomoc Initial Configuration Tasks:
158
159
Klikamy Roles
Pojawia si strona Role Services informujca o rolach i funkcjonalnociach, od ktrych zaley AD RMS. Naley si upewni, e wywietlone s Web Server (IIS), Windows Process Activation Service (WPAS) oraz Message Queuing. Klikamy Add Required Role Services a nastpnie Next.
160
161
Na stronie Select Server Role upewnij si, e s wybrane Active Directory Rights Management Server oraz Web Server (IIS) a nastpnie nacinij Next.
Na stronie Select Role Services sprawd czy zaznaczona jest opcja Active Directory Rights Management Server i nacinij Next.
162
163
W przypadku braku zewnetrznego serwera bazodanowego moemy wybra opcj Use Windows Internal Database on his server, pamitajc o ograniczeniach tego rozwizania. Klikamy Next.
Upewniamy si, e wybrana jest opcja Use AD RMS centrally managed key storage i klikamy Next.
Wybieramy Specify i okrelamy konto uytkownika, na ktrym bdzie uruchamiana usuga AD RMS, klikamy OK a nastpnie Next.
Wprowad mocne haso w polach Password oraz Confirm password i wybierz Next.
164
165
Wybierz stron webow, na ktrej zainstaluje si AD RMS i kliknij Next. Instalator uyje domylnych ustawie, jedyn dostpn stron jest Default Web Site.
W polu Friendly name wpisz nazw, ktra atwo pozwoli na identyfikacj klastra i wybierz Next.
W przypadku braku certyfikatu dla serwera WWW wybierz opcj Use an unencrypted connection (http://). W polu Fully-Qualified Domain Name wpisz adres serwera i kliknij Validate. Jeli weryfikacja zakoczy si sukcesem przycisk Next stanie si aktywny i bdzie mona go klikn.
Upewnij si, e wybrana jest opcja Register the AD RMS service connection point now a nastpnie kliknij Next.
166
167
Przeczytaj instrukcje na stronie Web Server (IIS) i kliknij Next. Pozostaw zaznaczone ustawienia domylne i wybierz Next a nastpnie Install w celu zainstalowania AD RMS.
Po zakoczeniu procesu instalacji kliknij Close. W celu umoliwienia zarzdzania usug AD RMS naley wylogowa i ponownie zalogowa uytkownika, ktrego konto posuyo do instalacji. Spowoduje to aktualizacj informacji o czonkostwie w grupach. Jest to istotne o tyle, e w trakcie procesu instalacji konto stao si czonkiem grupy AD RMS Enterprise Administrators.
168
169
NAP po stronie klienta wymaga komponentu NAP Client ktry jest ju wbudowany w Microsoft Vista, Windows Server 2008 oraz dostpny bdzie w SP3 do Windows XP Jeli chcemy uywa . Windows XP z SP2 to moemy doinstalowa klienta pobranego ze strony www.microsoft.com.
Network Policy Server (NPS). NPS jest uywany do sprawdzenia stanu zdrowia klienta NAP Jest on take odpowiedzialny za sprawdzenie dlaczego dany klient nie ma . dostpu do bezpiecznej sieci i jakie komponenty musz by poprawione aby mia dostp do sieci NPS Server Network Policy Server jest nastpc Internet Autentication Service (IAS). Uruchamia si na Windows Server 2008 i suy do sprawdzania klienta NAP oraz przyporzdkowania do odpowiedniej sieci. Na tym serwerze wystpuje System Health Validator (SHV) ktry odczytuje polisy, zbiera wyniki od klienta, porwnuje ze sob oraz decyduje w jakiej sieci ma si znale dany klient
Kiedy stosowa
NAPa mona wykorzysta w kilku przypadkach. Pierwszy to z usuga DHCP. Klient ktry jest niezgodny z polityk dostaje adres IP mask zawsze t sam 255.255.255.255 oraz zamiast , domylnej bramy jest wpis 0.0.0.0. Dodatkowo s dodawane statyczne wpisy ktre zapewniaj dostp do serwerw z ktrych mona pobra uaktualnienia tak aby dostosowa komputer do wymaganej polityki. Statyczne wpisy s dodawane za pomoc opcji Clessless Static Routes. W takim wypadku jeeli uytkownik chciaby skorzysta z serwera, do ktrego nie ma dostpu, zostanie wygenerowany bd. W chwili gdy jego stan si zmieni zgodnie z wymaganiami polisy, automatycznie zostanie wygenerowany dla niego certyfikat zdrowia i bdzie mia dostp do bezpiecznej sieci. Nastpnym przypadkiem w ktrej moemy korzysta z NAP s poczenia VPN. Serwer blokuje ruch do zasobw zabezpieczonych w wypadkach gdy stacja robocza nie ma odpowiedniego certyfikatu, w przeciwnym przypadku pozwala si z nim komunikowa. Ta technologia dziaa tylko dla klientw czcych si za pomoc poczenia VPN. Kolejn moliwoci zastosowania NAP-a s urzdzenia czce si za pomoc standardu IEEE 802.1X. Kiedy niezgodny klient prbuje czy si do punktu dostpowego (AP) dostaje si do VLAN-u z restrykcjami. Po uaktualnieniu si lub gdy si poczy klient speniajcy wymagane polityki jest kierowany do chronionego obszaru sieci. Najwiksz zalet technologii NAP jest wsppraca z IPSec. To wanie taki poczenie pozwala nam na pene odseparowanie od siebie poszczeglnych sieci. Komputer, ktry uzyska certyfikat zdrowia moe nalee do sieci bezpiecznej tam cay ruch odbywa si z wykorzystaniem szyfrowania. Dobrze jest to pokazane na ilustracji powyej. Do tej sieci mog nalee tylko i wycznie komputery z wanym certyfikatem zdrowia. Jeeli takiego nie ma, zostaje zakwalifikowany do sieci mniej bezpiecznej, ograniczonej w ktrej moe podnie swj stan zdrowia. Nastpn oddzieln sieci dla wszystkich ktrzy nie mog si wylegitymowa swoim stanem zdrowia czyli na przykad: komputery, ktre nie maja zainstalowanego klienta NAP lub komputery goci, dostaj si do sieci z ograniczeniami. Ta sie nie ma dostpu do adnych serwerw.
Policy Servers Komputer ktry przechowuje aktualny stan systemu dla NPS Active Directory Directory Service Ustawienie polis grupowych dla komunikacji wykorzystujcej IPsec oraz przetrzymuje wszystkie informacje niezbdne do uwierzytelnienia klientw VPN oraz 802.1X Restricted Network Oddzielony kawaek sieci w ktrym znajduj si serwery do podniesienia swojego stanu zdrowia (Remediation Servers). Na tych serwerach powinny znajdowa si uaktualnienia do systemu operacyjnego oraz innych programw na przykad najnowsze szczepionki do programu antywirusowego uywanego w korporacji Remediation Server Serwer ktry przechowuje uaktualnienia. Dostpny z sieci Restricted, zawiera wszystko co niezbdne komputerowi aby sta si klientem w peni zgodnym z obowizujc polityk firmy. Health Certificate Server Komponent odpowiedzialny za wystawianie certyfikatw X.509 klientom ktrzy przeszli poprawnie proces weryfikacji. System Health Agent Komponent ktry wystpuje po stronie klienta. Jest odpowiedzialny za sprawdzenie stanu systemu i ewentualnego porwnania go z serwerami Remediation. Wysya take Statement of Health (SoH) do odpowiedniego SHV
Komponenty infrastruktury
Infrastruktura NAP korzysta z nastpujcych komponentw: NAP Client komputer kliencki ktry uywa Network Access Protocol do zabezpieczenie komunikacji korzystajc z pocze 802.1X, DHCP IPSsc oraz VPN. , NAP Server komputer z systemem operacyjnym Windows Server 2008 ktry uywa
170
171
System Health Validator Porwnuje Statement of Health wysany przez agenta i odpowiedni konfiguracj polityk. Jeeli klient spenia wymagania jest tworzona wiadomo Statement of Health Response(SoHR) i zostaje wysana do Quarantine serwera. Jeeli za to nie spenia wymaga jest wysyana odpowied z odpowiednimi instrukcjami co naley zaktualizowa. Ten komponent dziaa na serwerze NPS Statement of Health Odpowiedz ze stanem zdrowia wysyana przez System Health Agenta do Sysyem Health Validator.
Tu jak wida moemy wybra kilka punktw do sprawdzenia. Nastpnie zatwierdzamy nasz konfiguracje i przechodzimy do serwerw korygujcych (remediation) Tu ustalamy numery IP i nazwy serwerw oraz przechodzimy dalej do Health Polices i wybieramy, e klientowi ktry speni wszystkie wymagania zostanie przypisana polisa compliant.
Nastpnie naley ustawi polise sieciow dla komputerw compliant i noncompliant wskazujc im do jakiej sieci maj nalee. Warto wspomnie o tym, e mamy wybr pomidzy Allow Full Network Access czyli penym dostpem do sieci, oraz Allow Full Network Access for a limited time co pozwala nam zezwoli na dostp czasowy. Tutaj take konfigurujemy serwery Remediation oraz zaznaczajc enable auto-remediation of client computer wskazujemy aby po dopasowaniu si do wymaga polis komputer automatycznie dosta si do sieci z penym dostpem
172
173
Klient taki take nie bdzie mia penego dostpu do sieci - jego dostp bdzie ale ograniczony. Warto te zauway, e osoba moe sama zmieni IP na komputerze na poprawne. To zadziaa, ale trzeba pamita, e normalna osoba w firmie nie powinna mie uprawnie do wykonania takiej czynnoci. A ta usuga nie zabezpiecza przed takimi osobami (zabezpiecza przed tym NAP z IPSec)
Od strony konfiguracji to prawie wszystko, zostao tylko odpowiednie ustawienie usugi DHCP . Miejsce w ktrym to robimy to zakadka Network Access Protection ktra pojawia si w konsoli DHCP przy konfigurowaniu protokou IPv4. Warto zaznaczy, e konfiguracja NAP-a moe zosta zrobiona tylko i wycznie dla protokou IPv4. Ostatni czynnoci ktr naley zrobi jest skonfigurowanie klienta tak aby korzysta z serwera DHCP oraz zainstalowanie na nim NAP klienta, jeeli jest taka konieczno. Efektem dziaania dla klienta ktry ma na przykad wyczony firewall powinien by nastpujcy ekran
174
175
Jak wida klienta opisa moemy za pomoc kilku waciwoci. Dalej zostao nam okrelenie metody uwierzytelniania.
I przypisujemy klienta
Na koniec jeszcze zobaczymy ekran podsumowujcy wszystko i trzeba si zabra za konfiguracj SHV. Robi si to podobnie jak w poprzedniej metodzie. Wybieramy co jest wymagane do sprawdzania (firewall czy jest wczony, antywirus czy zainstalowany i uaktualniony, zabezpieczenie spyware, automatyczne update...) Nastpnie Health Policies tak samo jak w poprzednim temacie. W efekcie kocowym powinnimy zobaczy okno pokazane poniej.
176
177
Ostatnim krokiem jest konfiguracja klienta. W NAP kliencie mona skonfigurowa metod autentykacji oraz okreli czy ma korzysta z certyfikatw.
Po poczeniu si z klientem odpowiadajcym warunkom pracy u nas, w sieci powinnimy zobaczy informacj, ze mamy peny dostp do sieci. W przeciwnym przypadku otrzymujemy informacje o ograniczonym poczeniu.
178
179
Majc ju te ustawienie wybieramy jeszcze mechanizm autentykacji i to wszystko na tym serwerze. Na serwerze VPN instalujemy oraz konfigurujemy RRAS-a
I to tyle po stronie serwerw. Przenosimy si na klienta. Jego oczywicie dodajemy do domeny, instalujemy NAP klienta ( jeli nie ma wbudowanego), oraz konfigurujemy go. Konfiguracja sprowadza si do wczenia jednego komponentu Remote Access Quarantine Enforcement Client tak ja na ekranie poniej
Oraz to co przy kadej konfiguracji VPN czyli tworzenie nowego poczenia. Po pozytywnym poczeniu si powinnimy zobaczy informacj
180
181
Dalej dobrze jest ustawi autoenrollment w systemowych polisach. Na serwerze Windows 2008 instalujemy role Health Registration Authority oraz konfigurujemy aby korzystaa z certyfikatw wystawionych przez nasz CA. Pniej powinnimy zainstalowa na naszym serwerze z NAP podrzdne CA do wystawiania certyfikatw. Taki certyfikat powinien by wystawiony na do krtki czas
Dalej postpujemy zgodnie ze standardowymi procedurami czyli tworzymy Security Health Validatora, ktry okrela co ma by sprawdzane na kliencie A konfiguracje wyglda nastpujco: przyjmijmy, ze mamy serwer AD z DNS, Windows 2008 i stacje klienckie. Na serwerze z Active Directory instalujemy serwer certyfikacji na ktrym tworzymy szablon do naszych certyfikatw. Wane aby w polu Object identifier wpisa warto 1.3.6.1.4.1.311.47.1.1 I w zasadzie to wszystko. Przynajmniej od strony serwera NAP Na stacji trzeba zainstalowa . klienta NAP oraz zobaczy czy dziaa autoenrollment certyfikatw.
182
183
6.
Wstp
Na wstpie warto wspomnie o poprzednich wersjach serwera. Zacznijmy od IIS 5.0 dostpnego na platformie Windows 2000. Rozwizanie to charakteryzowao sie tym, e produkt po zainstalowaniu zawiera wszystkie mozliwe usugi i komponenty: SMTP NNTP WWW. Serwer , , www posiada wszystkie dostpne uwczesnie moduy i rozwizania: IP Printing, obslug CGI, strony pomocy, rozszerzenia front page, webow stron administracyjn itd. Powodowao to sporo zagroe zwizanych z bezpieczestwem systemu operacyjnego. Stawiao to rwnie przed administratorem nowe wyzwania i wymagao od niego nie maej wiedzy z zakresu bezpieczestwa w celu waciwego zabezpieczenia serwera webowego. Przydatnymi narzdziami do tego celu byy midzy innymi takie programy jak IISLockdown, URLScan. Kolejna wersja Internet Information Serwera- IIS 6.0 zostaa napisana cakowicie od nowa. Wizao sie to midzy innymi ze zmian polityki w Microsofcie gdzie bezpieczestwo w myl hasa Secure by design, secure by default stao si sprawa kluczow. IIS 6.0 nie jest instalowany domylnie, natomiast po zainstalowaniu oferuje minimaln funkcjonalno- obsuga stron statycznych. Domylnie wyczona jest obsuga wszystkich rozszerze z wyjtkiem Static HTML. Kolejna kluczowa zmiana to pojawienie si pul aplikacyjnych. Wpyno to na stabilno i wydajno serwera webowego. Podnis si poziom bezpieczestwa poprzez zastosowanie konta lokalnego network_service w trybie, ktrego dziaaaj pule aplikacyjne. Rozwizania takie jak Recycling, health ping dalej s stosowane w kolejnej wersji produktu. W Wersji 7.0 podstawow zmian jest modularno rozwizania. Mamy dostpnych ponad 40 moduw. Kady modu stanowi pewn atomow jednostke jak np. AnonymousAuthenticationModule, ktre mozemy czy w pewne zestawy. Instalacja domylna powoduje dodanie tylko paru wymaganych, okrelanych nazw Core Modules. Moemy rwnie definiowa i dodawa swoje moduy dziki czemu jest to rozwiazanie w peni rozszerzalne. Warto wspomnie, e w przypadku Windows 2003 po dodadniu Serwera IIS 6.0 instalowal on sie w sposb okrojony komponenty domylnie instalowane byy wyczone, ale kod znajdowa si w systemie. Mogo to stanowic pewne zagroenie. Jezeli chodzi o IIS 7.0 nie wybranie moduu na etapie dodawania roli blokuje jego fizyczna instalacje i kopiowanie na dysk. Poniej znajduje si lista nowych rozwiza zaimplementowanych w tej wersji produktu.
185
administracyjne zwizane z zarzdzaniem i aktualizowaniem produktu. Mona atwo rozszerza funkcjonalno poprzez tworzenie i dodawanie swoich moduw Rozszerzony interfejs uzytkownika Zmiana sposobu prezentacji obiektw z zakadek na ikony. Zarzdzanie za pomoc aplikacji wywoywanych z linni polecen: APPCMD, Powershell. Konsola IIS 7.0 Manager umoliwia delegowanie kontroli i dostp tylko do konkretnych obiektw, pozwala to finalnie przypisywa administratorom rnego szczebla uprawnienia do operacji, ktre powinni wykonywa Schemat i konfiguracja IIS przechowywana w czytelnym pliku XML Jest moliwo przenoszenia plikw XML jak i trzymania ich w jednym centralnym punkcie. Uatwia to administracje serwerami webowymi zwaszcza w przypadku firm hostingowych Zwikszone bezpieczestwo W IIS 7.0. Moemy konfigurowa autentykacje opart na formularzach webowych do dowolnej zawartoci np: HTML, ASP PHP Istotn zmian wart , . podkrelenia jest moliwo definiowania kont lokalnych w IIS. Dziki czemu nie ma potrzeby autentykowa uytownikw w oparciu o konta domenowe lub konta lokalne serwera. Moemy zarzdza dostpem do obiektw z jednego miejsca przypisujc prawa uzytkownikom domenowym, lokalnym systemowym i IISa. Wbudowane narzdzia do analizy oraz ledzenia zdarze IIS 7.0 zawiera moduy uatwiajce diagnostyk problemw i zdarze. Wysoki poziom szczegowoci komunikatw pozwala programistom szybko wyizolowa i naprawi bd. Zdarzenia moemy sledzi podajc typ bdu, wywoanie rozszerzenia pliku, czy przekazania na serwer webowy okrelonego polecenia itp. Bezproblemowa i wydajna obsuga aplikacji webowych zawierajcych dowoln zawarto Obsugiwane s statyczne strony, PHP ASP ASP , , .NET i inne z mozliwoci mieszania technologi . Zwizane jest to z nowym zestawem publicznych API uywanych zamiast standardowych ISAPI. Nowy Serwer FTP dostpny poza dystrybuacj IIS 7.0 Najnowsz wersj serwera FTP mona pobra ze strony www.iis.net. Serwer FTP zamieszczony w wersji instalacyjnej systemu Windows 2008 jest produktem zgodnym z IIS 6.0
jest dostpnych okolo 40 gotowych moduw do wyboru. Mozna te rozszerza funkcjonalno serwera dodajc swoje komponenty. Dla przykadu- po zainstalowaniu IIS 6.0 otrzymywalimy platforme webowa z wszystkimi metodami autentykacji takimi jak: Anonymous, Basic, Windows Intagrated. Oczywicie od Administratora zaleao wczenie odpowiedniej metody. Istotne jest jednak to, e kod do wszystkich moduw by instalowany i znajdowa sie w systemie operacyjnym. W IIS wersja 7.0 Kady modu jest dodawany oddzielnie. Proces instalacji odbywa si poprzez sekcje Roles w aplikacji Server Manager.
186
187
Ponizszy przykad pozwala na instalacje IIS 7.0 z domylnymi komponentami: ServerManagerCMD -I Web-Server Poniszy przykad pozwala na instalacje tylko wybranych komponentw: ServerManagerCMD -install Web-Http-Redirect Web-ASP-Net Web-Net-Ext Web-ASP Web-CGI Web-ISAPI-Ext Web-ISAPI-Filter Web-Http-Tracing Web-Basic-Auth Web-URL-Auth Web-DynCompression Web-Scripting-Tools Web-Mgmt-Service
rl, sprawdzenie sekcji Role Status, weryfikacje folderu c:\inetpub jak i usug IIS 7.0. Przejrzenie logu aplikacyjnego i systemowego
Kolejna aplikacja wywoywana z linii polece to PKGMGR. Proces instalacyjny wykonywany za pomoc pkgmgr pozwala rwnie na uszczegowienie komponentw instalacyjnych: Start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IIS-CommonHttpFeatures;IISStaticContent;IIS-DefaultDocument;IIS-DirectoryBrowsing;IIS-HttpErrors;IIS-ASP;IISISAPIExtensions;IIS-ApplicationDevelopment;IIS-CGI;IIS-HealthAndDiagnostics;IIS-HttpLogging;IISLoggingLibraries;IIS-RequestMonitor;IIS-Security;IIS-RequestFiltering
Instalacja niepilnowana
Instalacja IISa w sposb niepilnowany moe zostac wykonana za pomoca wyej opisancyh aplikacji PKGMGR i ServerManagerCMD, gdzie parametry instalacyjne zostan przekazane przez plik XML np. start /w pkgmgr /n:C:\unattend.xml
Operacje administracyjne moga byc wykonywane za pomoc wyej wymienionej konsoli graficznej, lub za pomoc aplikacji wywoywanych z linii polece. Aplikacje wywoywane z linii polece s szczeglnie przydatne w przypadku instalacji serwera IIS 7.0 na platformie Core. Wykonujc zadania administracyjne moemy wspiera si potenymi narzdziami takimi jak appcmd i powershell. Poniej znajduje si przyklad zastosowania aplikacji APPCMD w celu utworzenia web site:AppCmd add site /name:test1 Website /bindings:http/*:80:www.test1.com /physicalPath:c:\inetpub\test2 Poniej znajduje si przyklad zastosowania aplikacji APPCMD w celu utworzenie puli aplikacyjnej: appcmd add apppool /name:Test1AppPool
188
189
2.
Pod prawym przyciskiem wybierz opcj Add Web Site. Nastpnie wypenij nastpujce pola: Site Name, physical path, Bindings i Host name. Przykad zajduje si na poniszym rysunku.
Pula aplikacyjna definiuje nam waciwoci procesu danej aplikacji (worker process) okrela takie waciwoci jak Identity- tryb konta, w ktrym dziaa worker proces, parametry odzyskiwania (Recyckling) Oglnie rzecz biorc dziki temu, e automatycznie kada aplikacja webowa dziaa w oddzielnej puli aplikacyjnej mamy wieksz stabilno serwera jak i moliwo elastycznej konfiguracji kadego web situ. Pule aplikacyjne oddzielaj aplikacje webowe przed moliw interakcj midzy sob. Zawieszenia aplikacji webowej nie bdzie miao wpywu na pozostae web site. Konfiguracja Recyclingu umozliwia ustawienia np. odbudowania procesu w3wp.exe (worker proces) o wskazanych godzinach. Dodadkowe ustawienia odbudowywania procesu w3wp.exe znajduj si w Recycling Conditions. Serwer IIS 7.0 umoliwia tworzenie dwch typw pul aplikacyjnych Classic i Integrated. Domylnym typem jest Integrated Mode. Classic mode jest trybem zgodnosci z IIS 6.0. Dotyczy to mechanizmw Recyclingu, sprawdzania stanu procesu (health monitoring) Funkcjonalno pozostaa niezmieniona w porwnaniu do wersji IIS 6.0. Tryb Classic powoduje zainstalowanie i uycie tego samego moduu ISAPI oraz ASPNET_ISAPI.dll co w IIS 6.0. Kiedy worker proces puli aplikacyjnej otrzyma zdanie (request) najpierw jest on przetwarzany przez IISa, np. jest wykonywana autentykacja uzytkownika, nastpnie danie jest przekazywane do biblioteki ASPNET_ISAPI.dll, finalnie danie wraca do IISa w celu wysania odpowiedzi. Takie rozdzielenie powoduje wykonywanie podwjne niektrych krokw jak autentykacja i autoryzacja (na poziomie IISa i ASP .NET) dodatkowo uniemozliwia stosowanie np. formularzy autentykacyjnych w innych technologiach z wyjtkiem ASP .NET. Czy warto uzywa trybu Classic? Ciko jednoznacznie powiedzie. Zaley to od typu aplikacji i finalnie moe sie okaza, ze nie ktre aplikacje w trybie classic bd dziaac lepiej ni w integrated. Integrated mode nowy tryb, ktory jest trybem domylnym dla kadej nowej puli aplikacyjnej. Umozliwia przetwarzanie kodu w sposb strumieniowy dla wszystkich zda niezalenie od technologii np. mozemy zastosowa .NET Forms authentication dla dowolnej zawartoci. Kiedy aplikacja uywa trybu Integrated korzysta z zalet architektury IIS i ASP .NET. Kiedy worker proces puli aplikacyjnej otrzyma danie (request) przekazywany jest on przez uporzdkowan list moduw gdzie kazdy modu wykonuje sobie przypisane zadanie i wysya odpowied. Funkcjonuje to od nazw unified Pipeline. Za przetwarzanie dan w trybie integrated odpowiada Webengine.dll. Jest to natywny modu zaimplementowany w IIS, ktorego definicja znajduje sie pliku ApplicationHost.Config w sekcji <Global Modules>. Podsumowujc pozwala to programistom na mieszanie kodu (moduw) tworzonego w wielu technologiach i jest onfinalnie przetwarzany jako jeden strumie ni oddzielnie przez odpowiednie ISAPI. 1. W celu utworzenia puli aplikacyjnej przejd w sekcji connections do obiektu Application Pools.
Warto zwrci uwag na to, e tworzc web site tworzymy od razu pul aplikacyjn dla danego situ. W przypadku IIS 6.0 administrator musia sam utworzy pul aplikacyjn i przeniec do niej aplikacje webow. Opcjonalnie pozostawi Web site w domylnej puli aplikacyjnej. W IIS 7.0 domyslnie kady web site dziaa w oddzielnej puli aplikacyjnej.
190
191
2.
Kliknij prawym przyciskiem i wybierz Add Aplication Pool. Wybierz tryb zgodnoci i kliknij OK
Wygenerowanie Certyfikatu
Kolejna czsta operacja administracyjna jest wygenerowanie certyfikatu i przypisanie certyfikatu do situ webowego. Warto wspomnie o tym, e IIS 7.0 ma zawart w sobie aplikacje znan z Resource Kita do wczesniejszych wersji serwera IIS- SelfSSL. Umozliwia ona generowanie certyfikatu dla samego siebie bez odwoania do CA. Poniej znajduje si rysunek przedstawiajcy sekcje Server Certyficates. Warto zwrcic uwag na sekcj Actions i opcj Create SelfSignedCertyficates. 1. 2. W celu wygenerowanie certyfikatu Kliknij na serwerze webowym znajdujcym sie na licie connection. Kliknij w polu rodkowym na ikonie Server Certyficates a nastpnie w sekcji Actions na opcj Create SelfSigned Certyficate.
Rys.7 Wczenie SSL na poziomie web situ
192
193
W celu skonfigurowanie wybranego typu autentykacji naley t operacj najpierw wykonac na poziomie serwera, gdzie globalnie okrelamy, ktre mechanizmy logowania mona edytowa (Patrz delegowanie uprawnie w czci bezpieczestwo). Domylna konfiguracja jest taka, e ustawie dot. autentykacji na poziomie serwera nie mozna nadpisa na poziomie Situ. Wobec tego na poziomie Web Situ mamy moliwo wczenia tylko tych mechanizmw, ktre zostay wczone wczesniej na poziomie serwera. Poniszy rysunek prezentuje zawarto moduu autentykacyjnego na poziomie serwera. Prosz zwrci uwage, e nie ma tam popularnej metody logowania Windows Integrated. Wynika to po prostu z tego, e ten modu nie zosta dodany w trakcie instalacji.
Konfiguracja Handler Mappings jest kolejnym krokiem po dodaniu wasnego moduu. Handler Mappings stanowi powizanie pomidzy moduem zaisntalowanym w IIS a typem stronym obsugiwanym przez ten modu. Prosz zwrci uwag, e dostpne s standardowe handlery do obsugi stron: asp, aspx, soap, cer, asmx i innych.
Rys 9. Konfiguracja Autentykacji na poziomie serwera
1. 2.
W celu zdefiniowania nowego handlera kliknij w sekcji connections na wybranym web sicie. Przejd do sekcji srodkowej i kliknij na ikonie Handler Mappings, nastpnie z menu actions wybierz Add Module Mappings. Podaj okrelone rozszerzenia plikw obsugiwane przez dodawany handler, wybierz modu z listy. Podaj nazwe handlera i kliknij na przycisku OK.
Dodawanie moduu
Jak ju byo wielokrotnie wspominane IIS 7.0 charakteryzuje si budow modularn. Umozliwia to dodawanie tylko tego kodu, ktry jest niezbdny w celu osignicia oczekiwanej przez nas funkcjonalnoci. Ponizszy zrzut ekranu prezentuje w jaki sposb moemy zarzdzac moduami. 1. 2. 3. 4. W celu dodania nowego moduu wybierz odpowiedni web site z listy connections. W sekcji rodkowej kliknij na obiekcie Modules. Z sekcji z prawej strony wybierz Add Managed Module. Wybierz modu, ktry chcesz doda. Moduy momy rownie definiowa w ApplicationHost.Config w sekcji <Modules>. Proces dodania moduu zosta zaprezentowany na poniszym zrzucie ekranu.
3. 4.
194
195
zaley od allow lub deny na koncu wiersza danej sekcji w pliku applicationhost.config. Poniej zawarty fragment pliku ApplicationHost zawiera ustawienia dot. autentykacji. Warto zwrci uwag na overrideModeDefault=Deny blokuje to modyfikacje na poziomie web situ.
<sectionGroup name=security> <section name=basicAuthentication overrideModeDefault=Deny /> <section name=digestAuthentication overrideModeDefault=Deny /> <section name=windowsAuthentication overrideModeDefault=Deny/> </sectionGroup name=security>
Kolejna sekcja, ktrej sie przyjrzymy to fragment moduw globalnych. Zawiera ona domyslnie zainstalowane moduy, ktre s napisane w kodzie natywnym C\C++
<globalModules> <add name=DynamicCompressionModule image=%windir%\System32\inetsrv\compdyn.dll /> <add name=StaticCompressionModule image=%windir%\System32\inetsrv\compstat.dll /> <add name=DefaultDocumentModule image=%windir%\System32\inetsrv\defdoc.dll /> </globalModules> Sekcja <Sites> w pliku applicationhost.config zawiera konfiguracje poszczeglnych sitw <sites> <site name=Default Web Site id=1> <application path=/> <virtualDirectory path=/ physicalPath=%SystemDrive%\inetpub\wwwroot /> </application> <bindings> <binding protocol=http bindingInformation=*:80: /> </bindings> </site>
196
197
Weryfikacja poprawnego dziaania w IIS 7.0 moe by ukierunkowana na konkretn aplikacje i stron. Mona raportowa zdarzenia zwizane z procesami roboczymi IISa (worker proces). Mona przeglda status wykonania w czasie rzeczywistym lub zbiera dane do logu w momencie spenienia okrelonych warunkow, np. kady bd 500, lub dania ktrych przetworzenie trwao wicej jak 5 sekund. Dodatkowo programici mog rozszerza liste zdarze zapisywanych w logu Podstawowe raportowanie o zdarzeniach jest dostpne w server managerze na poziomie sekcji Rules. Klikajc na prezentowanym Evencie typu Error mozna wywoac szczegy tego zdarzenia. Sekcja Roles umoliwia rwnie zweryfikowanie dziaania usug.
198
199
Poniej na zrzucie ekranu wida wynik logowania informacji na temat bedu zdefiniowanego w kroku poprzednim. Strona zawiera dwie sekcje: Request summary prezentujc podstawowe informacje na temat wystapienia zdarzenia i sekcje Errors & Warnings zawierajc szczegowy opis problemu
Zaczniemy od zmiany modelu administracyjnego. W IIS 6.0 w celu wykonywania wszystkich operacji administracyjnych na serwerze webowym byy wymagane uprawnienia lokalnego administratora. W IIS 7.0 pojawia sie moliwosc delegowania uprawnien do wykonywania okrelonych operacji.
Delegowanie kontroli
W celu delegowania kontroli naley ustawi wartosc Allow dla poszczeglnych moduw na poziomie serwera w pliku applicationhost.config do odpowiednich sekcji. Nastepnie nada prawa na poziomie web situ. Moemy to wykona w sposb bezporedni edytujc plik applicationhost.config ustawiajc wartoci Allow lub Deny na poziomie globalnym. Jednym ze sposobw na odblokowanie Unlock sekcji na poziomie serwera, to ustawienie wartoci dla klucza OverrideModeDefault na Allow (fragment pliku applicationhost.config- patrz powyej) Nastpnie sekcje Unlockedmog by delegowane i ustawiane w pliku web.config. Plik Web.config, moe byc kopiowany pomidzy serwerami dziki czemu automatycznie dana osoba uzyska dostp do wskazanej sekcji na kadym serwerze. Drug metod jest ustawienia opcji Read/Write na wybranym module w sekcji Feature Delegation na poziomie Web Serwera za pomoc konsoli administracyjnej IIS Manager. Opcja Read Only pozwala na przegladanie ustawie, Not Delagated blokuje wywietlanie danej opcji. Widok Feature Dlegation jest prezentowany poniej
Bezpieczestwo
Poruszajc zagadnienia zw. z bezpieczestwem serwera IIS 7.0 ponownie trzeba wspomnie o tym, e nie jest on instalowany domyslnie wraz z systemem operacyjnym a po instalacji otrzymujemy tylko podstawow funkcjonalno statyczny HTML. Dodatkowo na etapie instalacji mamy mozliwo doboru moduw do instalacji.
Rys 15. Ustawianie delegacji za pomoc IIS Managera
200
201
Podsumowujc Delegacja pozwala uzytkownikom nie posiadajacym uprawnie administacyjnych na serwerze, na zarzdzanie pewnym wycinkiem konfiguracji. Dziki czemu finalnie moemy zdefiniowa uzytkownikw penicych nastpujce funkcje administracyjne: Administrator Serwera Webowego- Web Administrator ma pene uprawnienia i molioci konfiguracyjne. Administrator serwera musi naleec do lokalnej grupy administratorow systemowych. Web Site Administrator- Administrator situ ma mozliwoci konfiguracyjne na poziomie Web situ. Musi mie mozliwo zalogowania do serwera Webowego co oznacza, e musi posiada konto na poziomie domeny, lokalnego komputera lub na poziomie serwera Webowego (nowe rozwizanie) Web Application administrator. Administrator Aplikacji webowej moe konfigurowa ustawienia aplikacji na poziomie web situ. W tym celu podobnie jak administrator web situ musi miec konto i delegowane uprawnienia do odpowiedniej sekcji.
Zdalna administracja
IIS 7.0 umoliwia zdaln administracje z poziomu konsoli IIS Managera . Konsola kontaktuje si z wybranym serwerem po HTTPS (domyslnie na porcie 8172) co uatwia cay proces konfiguracyjny. Nie ma dotychczasowej komunikacji DCOM pomidzy stacja zarzadzajc a serwerem IIS, ktra bya trudna do skonfigurowania na firewallu. Nowe rozwizanie o nazwie Management Service umozliwia zdalne podczenie do serwera IIS 7.0 za pomoc konsoli IIS 7.0 Manager. Poczenie obsugiwane jest przez specjalny serwis WMSVC. Poczenie jest szyfrowane, nastpuje weryfikacja powiadcze, oraz praw do obiektw (Feature Delegation).
202
203
Autoryzacja
W IIS 7.0 pojawia sie nowa metoda autoryzacji pozwalajca na nadanie uprawnie dostpowych dla konkretnego komputera, grupy komputerw, domen itd. do sitw, aplikacji, folderw i plikw na serwerze. Dla przykadu, mozemy mie wewntrzna strone webow, ktra zawiera trei dostepne dla pracownikw danej firmy. Jeli dodamy zawartoc, do ktrej dostp ma by ograniczony tylko do pracownikw dziau HR moemy doda regu autoryzacyjn weryfikujc przynaleno do grupy HR. Ten model jest dosyc podobny do modelu ASP .NET z t jednak rnic, e wynik przetwarzania regu nie zaley od ich kolejnosci, reguy deny jednak jak zawsze s przetwarzane jako pierwsze
Podsumowanie
Dziki modularnoi zostaa podniesiona wydajno i bezpieczenstwo aplikacji webowych. Plik konfiguracyjny xml umoliwia delegacje uprawnien, przenosno i zcentralizowan administracje. Polepszony monitoring serwera, szczegowe logowanie zdarze: FREB, RSCA pozwalaj administratorom na zbieranie bardziej dokadnych danych na temat dziaania serwera IIS 7.0. Obsuga wielu technologi programistycznych .NET. PHP uatwia proces tworzenia aplikacji webowych.
204
205
7.
Wstp
Windows 2008 dostarcza nowych narzdzi do instalacji i zarzdzania systemem, ktre oferuj wydajniejszym administracj systemem i usugami. Na szczegln uwag zasuguje nowo wprowadzona konsola Server Manager, jest to narzdzie, ktre z jednego miejsca daje administratorowi moliwo kontroli nad wszystkimi rolami serwera, a przede wszystkim stanowi centrum informacji i monitoringu stanu serwera i wszystkich obsugiwanych rl. Nie jest to tylko narzdzie integrujce wiele konsol operacyjnych systemu Windows Server 2003, daje rwnie moliwo sigania do zaawansowanej konfiguracji z jednego centralnego miejsca.
207
daje dostp do opcji diagnostycznych takich jak dziennik zdarze, meneder urzdze i monitor wydajnoci pozwala na konfiguracj harmonogramu zada, zapory systemowej, usug oraz kont lokalnych uytkownikw i grup udostpnia narzdzia suce do zarzdzania archiwizacj i odtwarzaniem systemu
Instalacja rl lub funkcji ze wskazanego pliku odpowiedzi wraz z wywietlaniem informacji o postpie wykonywanych krokw Doczenie tego parametru do wywoywanego polecenia powoduje automatyczne ponowne uruchomienie serwera, jeli bdzie ono potrzebne po wykonanych operacjach
-restart
Oprcz konsoli graficznej administrator ma moliwo automatyzacji wdraania i zarzdzania rolami poprzez aplikacj ServerManagerCmd.exe. Podstawow funkcjonalnoci tego narzdzia wiersza polece jest moliwo instalacji i usuwania rl i funkcji serwera zgodnie z parametrami zawartymi w przygotowanym pliku odpowiedzi (XML answer file).
208
209
Serwer Aplikacyjny
Daje moliwo centralnej administracji aplikacjami biznesowymi dziaajcymi w oparciu o na przykad.NET Framework 3.0. Centralne przydzielanie i zarzdzanie adresami IP oraz konfiguracj protokou TCP/IP . Translacja nazw DNS na adresy IP Wymagany . przez usugi Active Directory Domain Services. Wysyanie, odbieranie faksw. Zarzdzanie zadaniami, raportami i konfiguracj urzdze faksujcych Daje moliwo zarzdzania pamici masow, replikacj plikw, szybkim wyszukiwaniem danych Wspieraj usugi routingu w sieciach LAN i WAN, pozwalaj na tworzenie i wymuszanie zasad bezpiecznego dostpu do zasobw dla klientw zdalnego dostpu oraz VPN Pozwala na zarzdzanie i okrelanie dostpu do drukarek sieciowych i ich sterownikw Dostarcza technologii pozwalajcych na zdalny dostp do pulpitu serwera oraz aplikacji Pozwalaj na zarzdzanie udostpnionymi informacjami zarwno na potrzeby intranetu jak i partnerw biznesowych w oparciu o usugi Web Pozwala na tworzenie niezawodnej, skalowalnej i w peni zarzdzanej infrastruktury aplikacji internetowych Instalacja systemw operacyjnych Windows na komputerach posiadajcych dostp do sieci w sposb prosty, szybki i bezpieczny
Nazwa funkcji
Opis Daje wsparcie dla nowych technologii pozwalajcych tworzy aplikacje oferujce wydajny interfejs uytkownika, chronicych tosamo i dane spersonalizowane, wspierajce bezpieczn komunikacj oraz procesy biznesowe Ochrona danych (szyfrowanie) na poziomie caego woluminu wspomagana sprztowo Pozwala klientom na pobieranie i wysyanie plikw do serwera BITS. Rozszerzenie nie jest wymagane by klienci mogli pobiera dane. Tworzy profile pocze zawierajce uprzednio zdefiniowane ustawienia, ktre mog zosta zastosowane na komputerach klienckich Rozszerzenie o funkcje systemu Windows Vista, takie jak odtwarzacz Windows Media Player, motywy pulpitu, zarzdzanie zdjciami Funkcja zwikszajca dostpno i niezawodno rl serwera oraz aplikacji takich jak serwer SQL, bazuje na wspdzielonej przestrzeni dyskowej Rozszerzenie oferujce efektywniejsze zarzdzanie obiektami GPO w rodowisku domenowym Pozwala klientom na wykorzystanie protokou HTTP do podczenia si do drukarek opublikowanych na serwerze wydruku Web Przetwarzania rejestracji i wyrejestrowywania zgosze oraz zapyta do urzdze iSCSI Pozwala na dostp do drukarek obsugiwanych przez systemy UNIX Pozwala na komunikowanie si aplikacji uruchomionych w systemach heterogenicznych, ktre rwnie mog czasowo znajdowa si w trybie offline. MSMQ jest gwarantem dostarczenia wiadomoci, prawidowego ich routingu, bezpieczestwa oraz uwzgldniania nadanych priorytetw
Serwer DHCP
Serwer DNS
BitLocker Drive Encryption Background Intelligent Transfer Service (BITS) Server Extensions
Serwer faksowania
Serwer plikw
Usugi kontroli dostpu przez sie (Network Policy and Access Services)
Desktop Experience
Serwer wydrukw
Failover Clustering
Internet Storage Naming Server (iSNS) Line Printer Remote (LPR) Port Monitor
210
211
Multipath I/O
Pozwala na wykorzystanie rnych drg dostpu do pamici masowych Rozpraszanie zapyta klienckich do grupy serwerw obsugujcych odpytywan aplikacje. Daje rwnowaenie obcienia serwerw oraz zwiksza dostpno aplikacji Pozwala aplikacjom na rejestrowanie i rozwizywanie nazw komputerw komunikujcych si z wykorzystaniem danej aplikacji Platforma do strumieniowego przesyania danych audio/wideo dla aplikacji w sieciach IP Rozszerzenie gwarantujce zdefiniowan . wydajno w oparciu o quality-of-service (QOS) Funkcja wspierajca diagnoz i rozwizywanie problemw pojawiajcych si na komputerach zdalnych Funkcja oferujca moliwo rnicowego transferu danych midzy obiektami w sieci w celu zmniejszenia wykorzystania sieci Daje moliwo zdalnego zarzdzania rolami i funkcjami na innych serwerach Windows Server 2008. Funkcja nie instaluje rde wybranych komponentw a jedynie narzdzia administracyjne Katalogowanie, zarzdzanie nonikami wymiennymi oraz automatyzacja zarzdzania napdami. Przesyanie ruchu RPC generowanego przez aplikacje klienckie z wykorzystaniem protokou HTTP Alternatywa dla kanaw VPN . Usugi Simple TCP/IP Transfer poczty elektronicznej Zawiera usugi SNMP oraz dostawc SNMP WMI Konfiguracja i obsuga sieci SAN zgodnych z VDS (Virtual Disk Services)
Pozwala na uruchamianie aplikacji i prac z wierszem polece systemu UNIX Pozwala na poczenie si i uruchamianie aplikacji na serwerze Telnet Zdalni klienci Telnet (w tym klienci UNIX) mog administrowa z poziomu wiersza polece oraz uruchamia aplikacje na serwerze Pozwala na transfer plikw do i z serwera TFTP Uywajca SQL Server 2005 Embedded Edition relacyjna baza danych, ktra przechowuje tylko informacje na temat rl i funkcji serwera. Powoka wiersza polece i jzyka skryptowego wspierajca i zwikszajca produktywno profesjonalistw IT Daje wsparcie dla interfejsu programistycznego rodowiska.NET Archiwizacja zasobw plikowych, systemu operacyjnego. Moliwo przywrcenia stanu z okresowo wykonywanych migawek Translacja nazw NetBIOS w sieciach IP Konfiguracja cznoci i profili WLAN
Telnet Server Trivial File Transfer Protocol (TFTP) Client Windows Internal Database
Windows PowerShell
Remote Assistance
Windows Server Backup Windows Internet Name Service (WINS) Server Wireless Networking
RPC over HTTP Proxy Simple TCP/IP Services Simple Mail Transfer Protocol (SMTP) Server SNMP Services Storage Manager for Storage Area Networks (SANs)
212
213
Rwnie tutaj nastpuje bieca weryfikacja zalenoci, ktra wskazuje, jakie role/funkcja s wymagane po wybraniu funkcji serwera. Usuwanie rl oraz funkcji serwera z konsoli Server Manager odbywa si z wykorzystaniem kreatorw Remove Roles Wizard oraz Remove Roles Wizard, ktre podobnie jak opisane wyej pozwalaj na zarzdzanie wieloma rolami lub funkcjami w jednej sesji. Po instalacji odpowiednich rl serwera, konsola Server Manager daje administratorowi doskonae narzdzie pozwalajce po wskazaniu odpowiedniego komponentu z jednego miejsca dostp do: zdarze zwizanych z danym elementem, sekcja Events
Rys.2 Kreator dodawania rl serwera
statusu zainstalowanych i powizanych z rol usug systemowych, sekcje System Services oraz Role Services moliwoci instalacji Add Role Services lub usunicia Remove Role Services poszczeglnych usug powizanych z dan rol informacji o rekomendowanej konfiguracji wybranej roli oraz zadaniach i najlepszych praktykach z ni zwizanych, sekcja Resources and Suport
Dodawanie nowych funkcji odbywa si z wykorzystaniem kreatora Add Features Wizard (Rys.3). Podobnie jak w przypadku rl, administrator ma moliwo w jednej sesji instalacji wszystkich wymaganych funkcji.
W przypadku niektrych rl z tego miejsca jest rwnie dostp do przystawek MMC pozwalajcych na zarzdzanie i konfiguracj danej roli, a take wszelkich komponentw z ni powizanych.
Active Directory Domain Services Active Directory Lightweight Directory Services DHCP Server DNS Server File Services Print Services Windows Media Services
214
215
Odpowiedzi jest moliwo uycia: Zdalnych narzdzi administracyjnych ich zastosowanie nie wymaga dokadania adnych dodatkowych komponentw po stronie instalacji Server Core, a jedynie komunikacji do zdalnego systemu przy uyciu odpowiednich protokow sieciowych, np. RPC Lokalnych narzdzi administracyjnych nie oferuj adnego interfejsu uytkownika w rodowisku Server Core.
Dodatkowo, administrator bdzie ma moliwo skorzystania z nastpujcej funkcji: Failover Clustering Network Load Balancing Subsystem for UNIX-based Applications (SUA) Windows Server Backup Multipath I/O Removable Storage Manager BitLocker Drive Encryption SNMP Services Windows Internet Name Service (WINS) Server Telnet client
Jaki jest cel i korzyci z posiadania takiego systemu? Podstawowe zalety to: Wiksza stabilno i dostpno systemu. Ograniczenie iloci rl jakie dostpne s w Server Core, zmniejsza ryzyko zwizane z nieprawidow konfiguracj poszczeglnych elementw, dziki czemu bezporednio wpywa na stabilno systemu Mniejsze koszty i czas administracyjny zwizany z utrzymaniem serwera w porwnaniu do penej instalacji Windows Server 2008 Zwikszona odporno na ataki ze wzgldu na mniejsz ilo dostpnych usug, ktre mog stanowi potencjalne rdo ataku oraz brak moliwoci uruchamiania aplikacji dziaajcych w interfejsie graficznym Zmniejszenie wymaga sprztowych, mniejsza ilo danych instalowanych wraz z systemem operacyjnym
Przy podejmowaniu decyzji o wdroeniu instalacji typu Server Core, naley wsi pod uwag fakt, e nie moe on stanowi podstawy dla warstwy aplikacyjnej. Jedyne aplikacje dostpne lokalnie i moliwe do uruchomienia w instalacji typu Server Coreto powoka systemowa (CMD) oraz niektre narzdzia administracyjne. Pada wic pytanie, czy i jak mona zarzdza instalacj Server Core?
Rys.4 Wybr instalacji Server Core
216
217
3.
Po zapamitaniu wartoci Idx przechodzimy do konfiguracji IP W wierszu polece wpisz. . netsh interface IPv4 set address name = Idx source= static address = 192.168.1.101 mask = 255.255.255.0 gateway=192.168.1.1 gwmetric=1 (gdzie Idx przy parametrze name jest wartoci zapamitan w poprzednim kroku, a wprowadzony przykadowy statyczny adres IP to 192.168.1.101 z 24-bitow mask, dodatkowo zostaa wskazana domylna brama o adresie 192.168.1.1)
Poniej zostay przedstawione podstawowe czynnoci administracyjne, ktre naley wykona po instalacji systemu.
218
219
Wczenie zdalnych pocze terminalowych Dooenie sterownikw do systemu operacyjnego Zarzdzanie usugami
Cscript %windir%\system32\scregedit.wsf /AR 0 (uycie parametru /AR 1 wycza dostp terminalowy) Pnputil i a [lokalizacja oraz nazwa pliku INF] Polecenia NET START lub NET STOP Mona te wykorzysta WMIC i kontekst aliasu SERVICE
Zarzdzanie konfiguracj serwera DHCP moe by rwnie przeprowadzone z poziomu konsoli Server Core z wykorzystaniem polecenia netsh i kontekstu dhcp. Nie naley w tym miejscu zapomnie o potrzebie autoryzacji serwera DHCP jeli znajduje si on w rodowisku domenowym. Przykad konfiguracji zakresw DHCP: netsh dhcp server 192.168.1.101 add scope 192.168.1 255.255.255.0 ZakresLokalny OpisZakresu netsh dhcp server 192.168.1.101 add iprange 192.168.1.110 192.168.1.120 netsh dhcp server 192.168.1.101 scope 192.168.1.0 set state 1
Instalacja pozostaych rl
Serwer plikw. Jest instalowany domylnie, mona jedynie wzbogaci jego funkcjonalno o nastpujce komponenty: File Replication Service: start /w ocsetup FRS-Infrastructure Distributed File System: start /w ocsetup DFSN-Server Distributed File System Replication: start /w ocsetup DFSR-Infrastructure-ServerEdition Network File System: start /w ocsetup ServerForNFS-Base Media Services. Instalacja roli z wiersza polece poprzez wywoanie:
DNS
Jeli chcesz zainstalowa usug DNS w wierszu polece wpisz: Start /w ocsetup DNS-Server-Core-Role Jeli chcesz usun rol DNS Server w wierszu polece wpisz: Start /w ocsetup DNS-Server-Core-Role /uninstall Zarzdzanie usug DNS mone przeprowadzi z konsoli lokalnej wykorzystujc aplikacj dnscmd. Przykad konfiguracji stref DNS: dnscmd /zoneadd test.local /dsprimary dnscmd test.local /zoneadd secondtest. test.local /secondary 192.168.1.2 dnscmd /recordadd gateway A 192.168.1.1
DHCP
Jeli chcesz doda serwer DHCP w wierszu polece wpisz: Start /w ocsetup DHCPServerCore Polecenie Start /w ocsetup DHCPServerCore /uninstall usuwa rol DHCP Server
start /w ocsetup MediaServer Po instalacji konfiguracj naley przeprowadzi zdalnie z poziomu konsoli MMC Serwer wydrukw. Instalacja poprzez wiersz polece: Start /w ocsetup Printing-ServerCoreRole
220
221
Active Directory Lightweight Directory Services.: Start /w ocsetup DirectoryServices-ADAM-ServerCore Serwer internetowy (IIS). Instalacja z domyln konfiguracj, w wierszu polece wprowadzamy: Start /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WASProcessModel Instalacja pozostaej funkcjonalnoci usug IIS wymaga wskazania pakietw poniej znajduje si lista wszystkich opcji: start /w pkgmgr /iu:IIS-WebServerRole;IIS-WebServer;IISCommonHttpFeatures;IIS-StaticContent;IIS-DefaultDocument;IISDirectoryBrowsing;IIS-HttpErrors;IIS-HttpRedirect;IISApplicationDevelopment;IIS-ASP;IIS-CGI;IIS-ISAPIExtensions;IISISAPIFilter;IIS-ServerSideIncludes;IIS-HealthAndDiagnostics;IISHttpLogging;IIS-LoggingLibraries;IIS-RequestMonitor;IIS-HttpTracing;IISCustomLogging;IIS-ODBCLogging;IIS-Security;IIS-BasicAuthentication;IISWindowsAuthentication;IIS-DigestAuthentication;IIS-ClientCertificateMappingA uthentication;IIS-IISCertificateMappingAuthentication;IIS-URLAuthorization;IISRequestFiltering;IIS-IPSecurity;IIS-Performance;IIS-HttpCompressionStatic;IISHttpCompressionDynamic;IIS-WebServerManagementTools;IISManagementScriptingTools;IIS-IIS6ManagementCompatibility;IIS-Metabase;IISWMICompatibility;IIS-LegacyScripts;IIS-FTPPublishingService;IIS-FTPServer;WASWindowsActivationService;WAS-ProcessModel Active Directory Domain Services. Do instalacji tych usug wykorzysta naley polecenie dcpromo. Poniewa aplikacja ta nie moe zosta uruchomiona z jej interfejsem graficznym, naley wczeniej przygotowa odpowiedni plik odpowiedzi, a nastpnie w wierszu polece wykona: Dcpromo /unattend:PlikOdpowiedzi Do poprawnego dziaania usug Active Directory Domain Services bdzie potrzebne ponowne uruchomieni serwera. Zarzdza baz domenow mona rwnie z konsoli lokalnej systemu Server Core z wykorzystaniem aplikacji Dsadd dodaje obiekty do bazy Dsget daje moliwo wywietlenia waciwoci wskazanego obiektu Dsmod modyfikacja parametrw obiektu Dsmove przeniesienie obiektu do innej lokalizacji Dsquery wyszukuje obiekty speniajce wskazane kryteria Dsrm suy do usuwania obiektw z bazy Ldifde lub Csvde eksport/import danych Oczywicie dostpna jest rwnie aplikacja ntdsutil.exe
Funkcjonalno Backup BitLocker Drive Encryption Failover Cluster Multipath IO Network Load Balancing Removable Storage Management Simple Network Management Protocol (SNMP) Subsystem for UNIX-based applications Telnet Klient Windows Internet Naming Service (WINS)
222
223
Wykorzystanie Windows Remote Shell. Podobnie jak w poprzednim przypadku mamy dostp tylko do aplikacji dziaajcych w wierszu polece. 1. Wczenie Remote Shell wymaga z konsoli Server Core wykonania polecenia: Winrm quickconfig 2. Nastpnie z maszyny zdalnej moemy wykona czynnoci administracyjne z uyciem nastpujcej skadni: Winrs r:ZdalnyServer [polecenie, ktre chcemy wykona na zdalnym serwerze] Wykorzystanie zdalnej administracji w oparciu o konsol MMC. System z ktrego chcemy zarzdza Server Core musi posiada zarejestrowane odpowiednie przystawki do konsoli MMC, ktre dadz moliwo zdalnej administracji poszczeglnymi rolami, funkcjami czy waciwociami serwera. Mona si w tym celu posuy dostpn funkcj Remote Server Administration Tools i z niej wybra wszystkie niezbdne konsole administracyjne. W przypadku gdybymy chcieli zdalnie zarzdza podsystemem dyskowym, naley wczeniej na systemie Server Core uruchomi usug vds (Virtual Disk), mona to wykona z wiersza polece na przykad przez Net start vds Naley w tym przypadku pamita o tym, e nie wszystkie czynnoci mona wykona poprzez zdaln administracj przystawkami konsoli MMC. Przykadem moe tu by wczenie/wyczenie automatycznej aktualizacji lub usug zdalnego dostpu. Zarzdzanie poprzez aplikacje wiersza polece dajce moliwo zdalnej konfiguracji systemw. Ostatnim ze sposobw na zdaln administracj systemem Server Core jest wykorzystanie aplikacji wiersza polece, ktre oferuj poprzez parametryzacj moliwo zarzdzania systemami zdalnymi. Przykadem moe tu by aplikacja netdom.
224
225
Zmian stanu systemu. Cmdlet Get-WmiObject pozwala na zmian stanu systemu poprzez klas Win32_OperatingSystem reprezentujc system operacyjny. Uycie metody Win32Shutdown z odpowiednim parametrem daje moliwo Opis dziaania Wylogowanie Wymuszone wylogowanie Zamknicie systemu (Shutdown) Wymuszone zamknicie systemu (Shutdown) Ponowne uruchomienie systemu Wymuszone ponowne uruchomienie systemu Zamknicie systemu (Power Off ) Wymuszone zamknicie systemu (Power Off ) PS C:\> (Get-WmiObject Win32_OperatingSystem).Win32Shutdown(0)
Warto parametru 0 4 1 5 2 6 8 12
Wykonywanie czynnoci zwizanych z konfiguracj sieci. Podobnie jak w przypadku zmiany stanu systemu, dziki repozytorium WMI, powoka PowerShell umoliwia konfiguracj interfejsw sieciowych, Klas, ktra jest wykorzystywana w tym przypadku jest Win32_NetworkAdapterConfiguration. Prac z katalogami i plikami. Podstawowa codzienna praca wymaga rwnie wykonywania operacji na systemie plikw, PowerShell udostpnia odpowiednie polecenia umoliwiajce tak prac. Przykadem mog tu by cmdlet Set-Location, ktry jest odpowiednikiem polecenia CD, czy te Get-ChildItem, odpowiednik polecenia DIR. Oprcz tego administrator moe wykorzysta w codziennej pracy nastpujce polecenia Opis tworzy nowe elementy usuwa istniejce elementy kopiuje elementy przenosi elementy zmienia nazw elementw uruchamia program lub otwiera plik przy pomocy skojarzonego program
Administrator ma rwnie moliwo zarzdzania systemami zdalnymi, na przykad poprzez wykonanie nastpujcego polecenia PS C:\ > (Get-WmiObject Win32_OperatingSystem ComputerName SERWER1). Win32Shutdown(0) __GENUS __CLASS __SUPERCLASS __DYNASTY __RELPATH __PROPERTY_COUNT __DERIVATION __SERVER __NAMESPACE __PATH ReturnValue :2 : __PARAMETERS : : __PARAMETERS : :1 : {} : : : :0
Prac z rejestrem. Powoka PowerShell pozwala na operacje w rejestrze z wykorzystaniem polece uywanych w pracy z systemem plikw. Dziki temu praca z zawartoci rejestru jest zbliona do pracy z systemem plikw.
226
227
1. 1. 2. Uruchom PowerShell. Po uruchomieniu powoki zostanie wywietlony znak zachty, ktry domylnie znajduje si w katalogu Users zalogowanego uytkownika. PS C:\Users\Administrator> 3. Zmie katalog wprowadzajc polecenie PS C:\Users\Administrator> cd c:\ 4. Wywietl zawarto katalogu PS C:\> dir 5. Wpisz polecenie ipconfig/all wysyajc wynik do pliku tekstowego PS C:\> ipconfig /all > wynik.txt 6. Przejrzyj wynik uywajc Notatnika PS C:\> notepad wynik.txt Jednake PowerShell oferuje moliwo uruchamiania polece wieloskadnikowych w jednym wierszu. Poszczeglne polecenia s rozdzielane rednikiem. Kroki opisane powyej mog zosta wobec tego wywoane w nastpujcy sposb. 1. 2. Uruchom PowerShell Wykonaj polecenie wieloskadnikowe PS C:\Users\Administrator> ipconfig /all > wynik.txt; notepad wynik.txt 3. Wykonaj polecenie wieloskadnikowe, ktre do istniejcego pliku zawierajcego wynik polecenia ipconfig/all docz do wyniuk dziaania polecenia router print, wykorzystaj do tego znak przekserowania i doczenia (>>). PS C:\Users\Administrator> ipconfig /all >nowy_wynik.txt; route print >> nowy_ wynik.txt; notepad nowy_wynik.txt 3. 2.
Uruchom PowerShell Wykonaj polecenie PS C:\> Get-Command *-service CommandType ----------Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Cmdlet Name ---Get-Service New-Service Restart-Service Resume-Service Set-Service Start-Service Stop-Service Suspend-Service Definition ---------Get-Service [[-Name] <String.. New-Service [-Name] <String>.. Restart-Service [-Name] <Str.. Resume-Service [-Name] <Stri.. Set-Service [-Name] <String>.. Start-Service [-Name] <Strin.. Stop-Service [-Name] <String.. Suspend-Service [-Name] <Str..
Wykonanie powyszego polecenia pokazao wszystkie operacje jakie mog zosta wykonane na usugach. Jeeli potrzebujesz pomocy dotyczcej jakiego polecenia moesz uy nastpujcej skadni. PS C:\> get-help get-service Alternatyw moe by uycie polecenia PS C:\> get-service -? NAME Get-Service SYNOPSIS
Zarzdzanie usugami
W przypadku administracji usugami serwera powoka PowerShell oferuje zestaw cmdlet, ktre pozwalaj przeglda istniejce usugi oraz zarzdza ich waciwociami. Na pocztku wywietl list dostpnych polece zwizanych z usugami systemowymi (obiekt service).
Gets the services on the local computer. SYNTAX Get-Service [[-name] <string[]>] [-include <string[]>] [-exclude <string[]> ] [<CommonParameters>]
228
229
4.
Do wywietlenia listy dostpnych usug wybierz polecenie. PS C:\> get-service Status -----Running Stopped Stopped Stopped Running Running Running Running Stopped Stopped Name ---AeLookupSvc ALG Appinfo AppMgmt AudioEndpointBu... AudioSrv BFE BITS Browser CertPropSvc DisplayName ----------Application Experience Application Layer Gateway Service Application Information Application Management Windows Audio Endpoint Builder Windows Audio Base Filtering Engine Background Intelligent Transfer Ser... Computer Browser Certificate Propagation... 6.
System.Void Dispose() System.Boolean Equals(Object obj) System.Void ExecuteCommand(Int32 com... System.Int32 GetHashCode() System.Object GetLifetimeService() System.Type GetType()
Powyszy przykad uywa znaku przekazujcego strumienie danych (|) pozwalajcego na czenie wielu komend poprzez przekazanie danych z komendy poprzedniej do nastpnej. Jeli chcesz zawzi list otrzymywanych informacji tylko do waciwoci zwizanych z usugami wykonaj polecenie. PS C:\> get-service | Get-Member -MemberType property TypeName: System.ServiceProcess.ServiceController Name ---CanPauseAndContinue CanShutdown CanStop Container DependentServices DisplayName MachineName ServiceHandle ServiceName .. Dodatkowo w zwracanym wyniku dostajemy informacj o tym czy dana waciwo moe by czytana i modyfikowana {get;set;} w polu Definition MemberType ---------Property Property Property Property Property Property Property Property Property Definition ---------System.Boolean CanPauseAndContinue {get;} System.Boolean CanShutdown {get;} System.Boolean CanStop {get;} System.ComponentModel.IContainer... System.ServiceProcess.ServiceControl... System.String DisplayName {get;set;} System.String MachineName {get;set;} System.Runtime.InteropServices.Safe... System.String ServiceName {get;set;}
Powysze polecenie zwrcio list usug oraz pewne ich waciwoci. Jeeli ilo zwracanych informacji jest zbyt maa potrzebujesz informacji o tym jakie inne waciwoci s przypisane do danego obiektu. 5. Uyj komendy get-member do zwrcenia informacji o metodach i waciwociach dostpnych dla usug systemowych. PS C:\> get-service | Get-Member TypeName: System.ServiceProcess.ServiceController Name ---Name add_Disposed Close Continue CreateObjRef MemberType ---------AliasProperty Method Method Method Method Definition ---------Name = ServiceName System.Void add_Disposed(EventHandle... System.Void Close() System.Void Continue() System.Runtime.Remoting.ObjRef Creat...
230
231
7.
Jeeli chcesz zmieni sposb prezentacji wynikw wykonaj nastpujce polecenie. PS C:\> Get-Service | Sort-Object Status, ServiceName | Format-List ServiceName, Status, ServicesDependedOn
Powoka PowerShell daje rwnie moliwo ustawiania parametrw usug, takich jak sposb uruchomienia. Take zatrzymanie, uruchomienie, wstrzymanie oraz wznowienie dziaania usug moesz wykona z poziomu powoki poprzez polecenia cmdlet 1. Uruchom PowerShell Zmie sposb uruchomienia usugi Windows Audio Endpoint Builder wykonujc nastpujce polecenie. PS C:\> $usluga = get-service -displayname Windows Audio End* PS C:\> $usluga.Name PS C:\> Set-Service name $usluga.Name description Nowy opis uslugi StartupType Automatic W powyszym przykadzie uyto zmiennej, do ktrej zostaa przypisana modyfikowana usluga, nastpnie korzystajc z waciwoci (Name) zmieniono opis i spso uruchamiania danej uslugi. 3. Korzystajc z przypisania uslugi do zmiennej moemy rwnie uywa dostpnych metod danego obiektu. W przypadku usug s to na przykad Stop(), Start(), Pause(), Continue(). PS C:\> $service.Start() Jeli w konsoli nie zostanie zwrcony bd, polecenie zostao wykonane poprawnie. W przypadku na przykad prby ponownego uruchomienia ju dziaajcej usugi dostaniemy bd. Exception calling Stop with 0 argument(s): Cannot stop AudioEndpointBuilder .. At line:1 char:13 + $usluga.Stop( <<<< )
2.
ServiceName : AppMgmt Status : Stopped ServicesDependedOn : {} ... ServiceName : AeLookupSvc Status : Running ServicesDependedOn : {}
ServiceName : BFE Status : Running ServicesDependedOn : {RpcSs} Przykad uywa cmdlet Sort-Object do wskazania porzdku sortowania zwracanych wynikw (w przykadzie pierwsz grup sortowania stanowi waciwo Status, drug ServiceName, dodatkowo prezentacja danych zostaa uoona w formacie listy i zwracane s pola ServiceName, Status oraz ServicesDependedOn w wymienionej kolejnoci
4.
Naley w tym miejscu zaznaczy, ze nie kada usluga daje moliwo wstrzymania dziaania (Pause/Continue). Jeli chcesz zobaczy waciwo wskazujc czy usluga daje taka moliwo, wykonaj nastpujce polecenie. PS C:\> $usluga.CanPauseAndContinue False
232
233
Zarzdzanie procesami
Powoka PowerShell daje rwnie moliwo zarzdzania lokalnymi procesami. Masz dostp do takich polece cmdlet jak Get-Process oraz Stop-Process. Polecenia te mog posuy rwnie do monitorowania stanu i aktywnoci procesw w lokalnym systemie. 1. 2. Uruchom PowerShell Uruchom nowy proces Notepad.exe wprowadzajc nastpujce polecenie. PS C:\> notepad 3. Wywietl uruchomione procesy PS C:\> Get-Process
6.
Jeli chcesz zobaczy procesy, ktre wykorzystuj wicej ni 50MB RAM, wykonaj polecenie PS C:\> get-process | where-object {$_.WorkingSet -gt 50000000} Handles ------628 511 NPM(K) -----41 24 PM(K) ----WS(K) ----VM(M) CPU(s) ---------68.00 22.75 Id -956 2104 ProcessName ----------mmc powershell
W przykadzie zostaa dodatkowo wykorzystana komenda where-object, ktra pozwala na filtrowanie obiektw i wykonywanie na nich dostpnych operacji. Zaoony filtr sprawdza czy waciwo WorkingSet jest wiksza od 50 000 000 bajtw. Zosta tu rwnie uyty operator porwnawczy, poniej znajduje si zestawienie dostpnych operatorw. WS(K) ----3584 VM(M) CPU(s) ----6760 -----Id -ProcessName ----------cmd Operator eq ne gt -ge Opis Rwny Rny wikszy, wikszy lub rwny mniejszy, mniejszy lub rwny Jeli chcesz zatrzyma wybrany proces, moesz do tego uy nastpujcej skadni. PS C:\> Stop-Process id 49 8. Jeli chcesz zatrzyma wszystkie procesy realizowane przez na przykad program Notepad uyj nastpujcej skadni. PS C:\> Stop-Process name notepad Id -ProcessName ----------notepad 9. Jeli chcesz zatrzyma procesy wykorzystujce na przykad wicej ni 50MB RAM wykonaj polecenia PS C:\> $procesy = get-process | where-object {$_.WorkingSet -gt 50000000} PS C:\> Stop-Porcess InputObject $procesy W przykadzie zostaa wykorzystana zmienna $procesy, ktra gromadzi list procesw speniajcych okrelone kryteria.
Handles -------
NPM(K) -----82
PM(K) ----6
65 0.42 3068
171 49 4. 15 5 4172 2056 8600 5204 81 0.08 2540 63 0.38 2256 msdtc notepad
lt le 7.
Opis zwracanych informacji znajdziesz w pomocy szczegowej dla polecenia GetProcess, wykonujc ponisze polecenie. Get-Help Get-Process Full > c:\process.txt
5.
Wywietl stan procesu Notepad.exe poprzez polecenie. PS C:\> Get-Process -name notep* Handles ------NPM(K) -----49 PM(K) ----5 WS(K) ----2056 VM(M) CPU(s) ----5204 ------
63 0.38 2256
234
235
10. Jeli chcesz zatrzyma procesy o konkretnych nazwach wykonaj nastpujce polecenia PS C:\> $lista = Get-Process -name notepad, iex* PS C:\> Stop-Process -InputObject $lista W przykadzie zostaj zatrzymane wszystkie procesy notepad oraz te, ktrych nazwy rozpoczynaj si na iex
5. 6.
Ponownie sprawd czy proces notepad jest uruchomiony. Proces dziaa dalej mimo wywoania cmdlet Stop-Process w poprzednim punkcie. Uruchom kolejny proces notepad PS C:\> notepad
7.
Wykonaj polecenie zatrzymujce proces notepad z argumentem confirm PS C:\> Stop-Process -name notepad confirm
9.
Pojawi si wwczas nastpujca informacja Confirm Are you sure you want to perform this action? Performing operation Stop-Process on Target notepad (2496). [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is Y):
10. Wpisz y i nacinij ENTER, proces zostanie zatrzymany i ponownie pojawi si komunikat Confirm Are you sure you want to perform this action? Performing operation Stop-Process on Target notepad (3592). [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is Y) 11. Tym razem wpisz s i nacinij ponownie ENTER. Polecenie zostanie wstrzymane, a w znaku zachty pojawi si potrojona strzaka. PS C:\>>>
Wykonaj polecenie zatrzymujce proces notepad z argumentem -whatIf PS C:\> Stop-Process -name notepad -whatIf What if: Performing operation Stop-Process on Target notepad (3592).
236
237
12. Uruchom kolejny proces notepad i wywietl list dziaajcych procesw notepad. PS C:\>>> notepad PS C:\>>> get-process -name notepad
CPU(s) -----62 63
Id -0.03 0.38
W ten sposb zawiesie dziaanie polecenia Stop-Process i masz moliwo wykonywania dodatkowych niezbdnych czynnoci w trakcie dziaania tego polecenia 13. Wpisz exit i nacinij ENTER by wrci do gwnego polecenia. Ponownie zobaczysz komunikat gwny potwierdzenia zatrzymania procesu notepad. PS C:\>>> exit
Confirm Are you sure you want to perform this action? Performing operation Stop-Process on Target notepad (3592). [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is Y): 14. Wpisz y i nacinij ENTER. Nastpnie wywietl list procesw notepad. PS C:\> get-process -name notepad
WS(K) ----1648
VM(M) ----4308
CPU(s) -----62
Id -0.03
Zwr uwag, ze proces, ktry zosta uruchomiony podczas wstrzymanego polecenia Stop-Process dziaa nadal.
238
239
8.
Wysoka dostpno
Wprowadzenie
Zachowanie cigoci procesw biznesowych wymaga stosowania rozwiza oferujcych wysok dostpno aplikacji i usug, na przykad klastra niezawodnociowego. Niestety, dotychczas byo to rozwizanie skomplikowane, wymagajce wysokich nakadw przy wdraaniu i wyspecjalizowanej kadry do obsugi. Ponadto nie istniaa moliwo atwego tworzenia klastrw rozproszonych geograficznie. Udoskonalenia wprowadzone w wersji klastra niezawodnociowego dla systemu operacyjnego Windows Server 2008 z powodzeniem eliminuj wikszo problemw zwizanych z wczeniejszymi wersjami. Jednoczenie znacznie upraszczaj procedury zwizane z instalacj i zarzdzaniem klastrem. Poniszy rozdzia przedstawia zmiany wprowadzone do klastra niezawodnociowego w systemie Windows Server 2008 oraz cechy, dziki ktrym powinno to by rozwizanie nadajce si do zainstalowania take w maych i rednich przedsibiorstwach, wymagajcych zapewnienia cigoci procesw biznesowych. Taki stan rzeczy zosta osignity midzy innymi dziki: Usprawnieniom procesu instalacji klastra i migracji danych. Usprawnieniom w zarzdzaniu klastrami. Usprawnieniom w zarzdzaniu i konfiguracji pamici masowych. Usprawnieniom dotyczcym bezpieczestwa danych. Usprawnieniom w obsudze sieci.
Klastry niezawodnociowe
Wstp
Funkcja klastra niezawodnociowego w Windows Server 2008 zostaa ulepszona pod ktem atwoci uytkowania, stabilnoci i bezpieczestwa. Klaster jest to grupa wielu komputerw dziaajcych jak jeden system w celu zwikszenia redundancji i dostpnoci. Komputery bdce czci klastra nazywane s wzmi (nodes).
241
Korzystanie z klastrw niezawodnociowego pozwala organizacjom uywa wysoce dostpnych rozwiza w celu dotrzymania zobowiza wynikajcych z gwarancji jakoci wiadczonych usug (SLA) dla serwera i cigoci dziaania aplikacji. Aplikacjami, ktre najlepiej nadaj si do skonfigurowania w klastrze niezawodnociowym s te, ktre uywaj scentralizowanych zbiorw danych. Aplikacje, takie jak SQL Server, Exchange Server i usugi, takie jak DHCP plik i drukowanie oraz WINS korzystaj ze scentralizowanych zbiorw , danych i dlatego nadaj si idealnie do konfigurowania do pracy w klastrze niezawodnociowym. Skonfigurowanie tych aplikacji i usug w klastrze pozwala zapewni ich wysok dostpno dla uytkownikw. Mae i rednie firmy czsto unikaj tworzenia klastrw niezawodnociowych , poniewa jest to uwaane za trudn i wymagajc technologi. Wypuszczenie na rynek Windows Server 2008 uatwi wdraanie klastrw niezawodnociowych przedsibiorstwom rnych rozmiarw.
nawiza poczenie z klastrem, a zasady przeczenia poawaryjnego zostan zaimplementowane. Domyln zasad przeczenia poawaryjnego jest zapobieganie przeczeniu poawaryjnemu.
Rola klastra niezawodnociowego w Windows Server 2008 oferuje wiele znaczcych ulepsze pomagajcych w tworzeniu wysoce dostpnych rozwiza z zakresu klastrw serwerw i zarzdzania nimi. Nowe cechy przyczyniaj si do uproszczenia procesu wdraania i zarzdzania klastrami, co redukuje caociowy koszt posiadania (TCO) klastrw. Zmniejszenie TCO sprawia, e klastry niezawodnociowe stanowi atrakcyjne rozwizanie dla przedsibiorstw rnej wielkoci. Nowe cechy i ulepszenia dotyczce klastrw w systemie opercyjnym Windows Server 2008 uwzgldniaj: Instalacj i migracj. Zarzdzanie klastrami i funkcjonowanie. Zwikszanie dostpnoci. Prac z pamiciami masowymi. Prac z sieciami i konfiguracj zabezpiecze sieci.
Korzystanie z klastrw niezawodnociowych zapewnia kilka korzyci dotyczcych serwera oraz rozmieszcze aplikacji, wczajc: Redukcj okresu przestoju w wypadku awarii serwera. Redukcj okresu przestoju w wypadku awarii systemu operacyjnego. Redukcj okresu przestoju podczas planowanych konserwacji serwera.
Firmy, ktre musz spenia warunki wynikajce z gwarancji jakoci wiadczonych usug lub prowadzi aplikacje kluczowe dla codziennych interesw korzystaj z klastrw, aby osign wymagan sprawno serwera. Warto tej sprawnoci jest czsto opisywana liczb dziewitek. Nie s rzadkoci firmy dce do piciu dziewitek sprawnoci (99,999%), co oznacza mniej ni 10 minut przestoju serwera w cigu roku. Aplikacje i usugi w klastrze mog by przedmiotem trzech rnych dziaa: Przeniesienie. Operator zainicjowa przeniesienie pojedynczej instancji grupy zasobw do innego wza w klastrze. Moe tego dokona albo w przystawce Failover cluster Management wybierajc akcj Move this service or application to another node lub poprzez uycie narzdzia wiersza polece cluster.exe z wykorzystaniem przecznika /move dla grupy zasobw. Przeczenie awaryjne. Przeniesienie grupy zasobw do innego wza w klastrze w wypadku awarii zasobu (lub wielu zasobw) w grupie. Przeczenie poawaryjne. Jeli przeczenie awaryjne nastpio dla grupy zasobw i ta grupa zostaa przeniesiona do innego komputera w klastrze, gdy awarii uleg komputer, na ktrym bya pierwotnie udostpniana, wwczas zasoby zostan na ten komputer z powrotem przeniesione, gdy tylko z powodzeniem udao si
Do nowych cech i ulepsze w systemie operacyjnym Windows Server 2008 zaliczamy: Lepsz weryfikacj klastra poprzez narzdzie Kreatora Werfikowania Konfiguracji Klastra. Uproszczenie procedur instalacyjnych i zarzdzania opartego na zadaniach dziki przystawce Cluster Administrator. Zwikszone wsparcie wza klastra przez 64 bitow edycj systemu operacyjnego Windows Server 2008 Now architektur kworum (Witness disk). Ulepszone funkcjonalnoci adresowania IP (IPv6, DHCP). Eliminacj wymogu konfiguracji wirtualnej sieci (VLAN) dla rutowalnej komunikacji klastra. Eliminacj zalenoci od protokou NetBIOS. Wsparcie dla pamici masowych komunikujcych si poprzez wiatowd, iSCSI lub SAN.
242
243
Udana implementacja klastra jest zalena od spenienia koniecznych wymaga dotyczcych sprztu, oprogramowania i konfiguracji. Oto wymagania: Windows Server 2008 wersja Enterprise lub Datacenter Przynajmniej dwie karty sieciowe dla kadego wza w klastrze Wsplna pami masowa dla wzw w klastrze Sprzt certyfikowany jako Designed for Windows Server 2008
Nowa, atwa w obsudze konsola zarzdzania zapewnia oparte na zadaniach zarzdzanie poszczeglnymi wzami w klastrze, nowymi wzami dodanymi do klastra, a take tworzenie klastra dla aplikacji lub usug. Nowa przystawka do konsoli MMC umoliwia zarzdzanie wieloma klastrami z poziomu jednej konsoli, a take pozwala na dynamiczne i szybkie dodawanie zasobw do pracujcych klastrw. Zaaawansowane zarzdzanie klastrem poprzez narzdzia lini polece jest dostpne w systemie operacyjnym Windows Server 2008 z wykorzystaniem polecenia cluster.exe. ledzenie zdarze dla Windows (ETW) jest bardziej wydajnym i szybszym narzdziem, ktre zastpio poprzedni metod debugowania do pliku cluster.log. ETW moe dostarcza penej informacji o systemie lub zosta wykorzystane do mierzenia konkretnych wskanikw w konkretnych rodowiskach. Tworzenie kopii zapasowych i odtwarzanie danych pracuj teraz w kontekcie nowego moduu zapisujcego usugi kopiowania woluminw w tle (VSS) . Przegldanie klastrw ujawnia tylko cieki i udziay, ktre s przypisane do klastra. Zasoby, ktre nie wchodz w skad konfiguracji klastra i s zasobami lokalnymi wzw, nie s wyswietlane.
244
245
Klastry w systemie Windows Server 2008 s bardziej dynamiczne ni w poprzednich wydaniach. Dodatkowe dyski mog by udostpnione klastrowi podczas pracy aplikacji. Zalenoci zasobw mog by modyfikowane bez przenoszenia zasobw do trybu offline, co oznacza, e uytkownik moe udostpni dodatkowy dysk bez koniecznoci dostpu do aplikacji.
Udoskonalenia w bezpieczestwie
Usuga klastrowania w systemie Windows Server 2008 pracuje w kontekcie bezpieczestwa konta LocalSystem. Korzystanie z konta LocalSystem wzmacnia bezpieczestwo, eliminujc potrzeb korzystania z dodatkowego konta uytkownika. Korzystanie z konta Local System zapobiega take konfliktom obiektw zasad grupy, ktre mogyby skutkowa awari usugi z powodu blokady lub wyganicia kont.
Kiedy klaster komunikuje si z sieci pamici masowych (SAN) lub przyczan bezporednio pamici masow (DAS), korzysta on z nowego algorytmu ustawicznego arbitrau. Poprzednie wersje klastra korzystay z SCSI bus resets, co mogo zakca funkcjonowanie SAN. Dyski w systemu Windows Server 2008 nigdy nie s pozostawiane w stanie niechronionym, dziki czemu zostaje zmniejszone ryzyko awarii woluminu. Konfiguracja klastra z wykorzystaniem Virtual Server 2005 ze wspdzielon szyn SCSI nie jest ju wspierana. Klastry korzystajce ze wspdzielonej szyny SCSI wymagaj uycia interfejsu SAS, ktry nie jest obsugiwany przez Virtual Server 2005.
Mechanizmy uwierzytelniania zostay zmienione, tak aby stosowa wycznie protok Kerberos do uwierzytelniania. Protok Kerberos jest wykorzystywany przez domeny Windows 2000 i w pniejsze. Uwierzytelnianie wycznie protokoem Kerberos w usugach klastrowych Windows Server 2008 zapewnia model wzajemnej identyfikacji , ktry oferuje wzmocnione szyfrowanie i lepsz wydajno.
Ulepszony audyt
Wykorzystanie dyskw z tablic partycji GUID (GPT) umoliwia administratorom nie tylko korzystanie z woluminw wikszych ni 2 TB, ale take wykorzystanie wbudowanej redundancji. Dyski GPT, w przeciwiestwie do dyskw master boot sector (MBR), obsuguj wiksz liczb woluminw, umoliwiajc utworzenie do 128 partycji na jednym dysku, ale przyrost wielkoci woluminw moe doprowadzi do wyduenia czasu trwania zada serwisowych. Chocia narzdzie CHKDSK byo udoskonalane z kadym kolejnym wydaniem systemu Windows, nadal bezpieczniej jest przewidzie wicej czasu na przeprowadzenie analizy dla wikszych woluminw.
Nowe funkcje zwizanie z audytem w systemie Windows Server 2008 pozwalaj na szczegowe ledzenie dostpu do klastra awaryjnej jego zasobw, a take na integracj z Security Log in Event i innymi aplikacjami do monitorowania aplikacji, jak Microsoft Operations Manager (MOM). Dziki audytowi klastra Windows Server 2008 mona ledzi, kto korzysta z klastra i kiedy.
Udoskonalona funkcja Maintenance mode pozwala uytkownikom na uruchamianie narzdzi sucych do atwiejszego sprawdzania, naprawy, tworzenia kopii zapasowej i przywracania danych z mniejszymi zakceniami dla pracy klastra. Zmiany w sterowniku dysku klastra wprowadzaj udoskonalenia do ochrony dysku i funkcjonowania arbitrau. Dziaania zwizane z ochron dysku (umoliwiajce dostp do dysku i i zabraniajce go) teraz s przekazywane do sterownika PartMgr.sys, co usprawnia integracj z zarzdzaniem dysku przez system operacyjny i redukuje prawdopodobiestwo awarii dysku. Przeniesienie odpowiedzialnoci za ochron dysku na system operacyjny umoliwia wszystkim wzom funkcjonowanie podczas instalacji funkcji klastrowania, w przeciwiestwie do poprzednich systemw operacyjnych, ktre wymagay kompleksowego i systematycznego procesu instalacji, z tylko jednym wzem uruchomionym w danej chwili. Funkcja arbitrau dyskowego zostaa przeorganizowana, aby moga korzysta ze staych rezerwacji eliminujcych prawdopodobiestwo funkcjonowania dysku w stanie niechronionym. Wczenie staych rezerwacji oznacza take, e resetowania szyny nie s ju konieczne. Ta zmiana eliminuje nadmierne zakcenia SAN.
Komunikacja wze-wze w sieci prywatnej moe teraz by rutowana midzy podsieciami bez potrzeby korzystania z wirtualnych sieci LAN (VLAN) w celu rozlokowania geograficznie rozproszonych klastrw.Wzy klastra nadajc i odbierajc sygnay testowe (heartbeats), aby potwierdzi obecno innych wzw, teraz korzystaj z bardziej niezawodnego protokou Transmission Control Protocol (TCP), zamiast protokou User Datagram Protocol (UDP). Chcoia nadal wykorzystywany jest port 3343, sygna testowy nie jest emisj UDP ale transmisj , TCP typu unicast, ktra korzysta z mechanizmu danie-Odpowied. Zawiera bardziej zaawansowane cechy jak bezpieczestwo i sekwencyjne numerowanie. Domylne zachowanie zostao poprawione z uwzgldnieniem tego, jak wiele odpowiedzi moe pozosta ominitych zanim uznamy wze za nieosigalny i polecenie Przegrupuj jest wykonywane, aby utworzy zaktualizowany widok czonkostwa klastra. Istnieje prawdopodobiestwo, e wersja produkcyjna systemu Windows Server 2008 pozwoli na rczn konfiguracj tego procesu. Nowy sterownik NDIS zwany Microsoft Failover Cluster Virtual Adapter (neft.sys) zastpuje poprzedni sterownik sieci klastra (slusnet.sys). Podczas gdy poprzedni sterownik sieci klastra by
246
247
wywietlany jako Non-PNP Driver, nowy odporny na bdy adapter pojawia si jako adapter sieci, gdy wczy si opcj pokazywania ukrytych urzdze w Menederze Urzdze. Celem nowego sterownika NDIS jest utrzymywanie poczenia TCP/IP pomidzy dwoma lub wiksz liczb systemw pomimo awarii dowolnego pojedynczego urzdzenia w wykorzystywanej trasie komunikacji, tak dugo jak alternatywna fizyczna trasa komunikacji istnieje. Innymi sowy, awaria urzdzenia sieciowego nie powinna powodowa przerwania komunikacji. Komunikacja powinna trwa tak dugo, jak alternatywna fizyczna trasa istnieje. Dostpne statusy dla interfejsw sieciowych i sieci zmieniy si, co przedstawiono poniej.
Adresowanie DHCP
W klastrze niezawodnociowym Windows Server 2008 klaster moe uzyska adresy IP dynamicznie z serwerw DHCP lub mog one zosta skonfigurowane statycznie. Jeli wzy klastra s skonfigurowane do uzyskiwania adresw IP z serwera DHCP wwczas domylnym , zachowaniem bdzie uzyskanie adresu IP automatycznie dla wszystkich adresw IP klastra. Podobnie, jeli wzy klastra maj statycznie przydzielone adresy IP adresy IP klastra bd musiay , by rcznie skonfigurowane z wykorzystaniem statycznych adresw IP Przydzia adresu IP do . zasobu klastra naladuje przydzia adresw IP do wzw klastra. Organizacje z du liczb wzw klastw oraz aplikacji i usug dziaajcych na klastrach bd preferowa otrzymywanie adresw z serwera DHCP Zarwno adresy IP dla zasobw klastra jak . i dla sygnau testowego klastra mog by dostarczane przez DHCP .
Interfejsy sieciowe
Up. Moe komunikowa si ze wszystkimi innymi interfejsami w sieci LAN, ktre nie maj statusu Failed lub Unavailable. To jest normalny stan funkcjonowania Failed. Informuje, e inne interfejsy w sieci LAN mog komunikowa si midzy sob lub z zewntrznymi komputerami, podczas gdy lokalny interfejs nie moe. Unreachable. Nie moe komunikowa si z co najmniej jednym interfejsem, ktrego status nie jest oznaczony jako Failed ani Unavailable.
Praktyka
Traktowany czsto jako technicznie zaawansowany sposb wdraania aplikacji i serwera, klaster niezawodnociowy zosta uproszczony, aby moliwe byo jego szersze stosowanie w sieciach korporacyjnych. Niniejszy rozdzia podkrela nowe moliwoci, jakie daje klaster w systemie Windows Server 2008, a w szczeglnoci funkcje i narzdzia zaprojektowane w celu uproszczenia obsugi, zwikszenia stabilnoci dziaania i podniesienia poziomu bezpieczestwa. Rozwj technologiczny klastra niezawodnociowego by projektowany z myl o wyposaeniu specjalistw IT w narzdzia umoliwajce wdraanie wysoko dostpnych rozwiza serwerowych. Redukowanie stopnia technologicznej specjalizacji wymaganej do wdraania klastrw czyni t funkcj dobrym rozwizaniem biznesowym zarwno dla duych, jak i dla maych rodowisk biznesowych. Usuga klastra skada si z zestawu moduowych komponentw, ktre s zalene od siebie i pracuj wsplnie, by zapewni funkcjonalno klastra w systemie Windows Server 2008. Komponent Messaging Object Manager [OM] Host Manager Membership Manager [MM] Global Update Manager [GUM] Funkcjonalno Zawiera rne komponenty, ktre odpowiadaj za komunikacj pomidzy wzami klastra. Zaliczamy do nich: GEM (Good Enough Multicast), Causal Multicast i MRR (Multicast-Request-Reply). Prosty system zarzdzania obiektami dla kolekcji obiektw przechowywanych w pamici operacyjnej. Kontroluje procesy formowania i doczania wzw, generuje powiadomienia o awarii wzw. Obsuguje dynamiczne zmiany czonkostwa klastra. Zarzdza ulotnymi i trwaymi zmiennymi stanu globalnego caego klastra.
Sieci
Up. Wszystkie interfejsy sieciowe zdefiniowane w tej sieci klastra, ktre nie maj statusu Failed lub Unavailable, mog si komunikowa. Jest to normalny stan funkcjonowania. Down. Wszystkie interfejsy sieciowe zdefiniowane w tej sieci klastra przestay si komunikowa. Wszystkie podczone interfejsy sieciowe na wzach o statusie Up maj status Failed lub Unreachable. W zwizku z tym, wszystkie adresy zasobw TCP/IP ktre s zdefiniowane w tej samej podsieci, oraz wszystkie zalenoci, s , niedostpne w sieci LAN. Partitioned. Jeden lub wicej interfejsw sieciowych znajduje si w stanie Unreachable, ale co najmniej dwa interfejsy nadal mog komunikowa si ze sob lub za pomoc zewntrznego hosta.
Klastry zbudowane w poprzednich wersjach systemu Windows byy zalene od systemu rozwizywaniu nazw NetBIOS. Klastry zbudowane w systemie Windows Server 2008 nie s ju zalene od NetBIOS, co eliminuje potrzeb wdraania serwera WINS. Dodatkowe usprawnienia sieci polegaj na moliwoci dopasowania zalenoci. Na przykad, mona dopasowa zalenoci pomidzy nazw sieci a powizanymi adresami IP aby upewni si, , e nazwa sieci pozostanie dostpna, jeli jeden, nie oba, spord adresw IP jest dostpny. ,
248
249
Kontroluje konfiguracj i stan zasobw oraz drzewa zalenoci zasobw. Jest odpowiedzialny za monitorowanie aktywnych zasobw w celu sprawdzenia, czy s one nadal online. Tworzy i utrzymuje procesy Resource Host Subsystem (RHS). Zarzdza wszystkimi komponentami sieciowymi. Network Manager [NM] zarzdza sieciami klastra. Natomiast Interface Manager [IM] zarzdza interfejsami sieciowymi i ich waciwociami. Implementuje baz danych konfiguracji klastra. Zajmuje si aktualizowaniem lokalnych replik i/lub replik witness disk, lub obu rodzajw replik. Zarzdza dziaaniami powizanymi z kworum. Szacuje, czy kworum zostao osignite na podstawie skonfigurowanego modelu kworum. Ocenia, czy obecny widok czonkostwa klastra osign kworum. Zarzdza wszystkimi kontekstami bezpieczestwa dla netft i warstw komunikacyjnych trybu uytkownika. Dziaa z Host Managerem w kontekcie kadego procesu przyczania. Obsuguje take podpisywanie i szyfrowanie caej komunikacji w klastrze. Integruje wszystkie komponenty klastra i utrzymuje podstawow informacj o klastrze.
weza na inny sprawny wze klastra, co zapewnia ich dostpno. Karty sieciowe stosowane w komunikacji w ramach sieci produkcyjnej i sieci prywatnej nie mog jednoczenie suy do komunikacji z sieciow pamici masow iSCSI. Wspdzielona pami masowa. Klastry niezawodnociowe opieraj si na architekturze wspdzielonej pamici masowej, dostpnej z poziomu dowolnego wza w klastrze. Dlatego te wszystkie wzy w klastrze musz mie dostp do wspdzielonej pamici masowej, ktra gromadzi dane potrzebne kademu wzowi na wypadek przejcia przez dany wze funkcji wza gwnego. Pamici masow dla wzw klastra moe by sie pamici masowych (SAN) z przecznikiem wiatowodowym (FC), urzdzenie iSCSI SAN, ewentualnie poczenie szeregowe SCSI (SAS). W przeszoci rozwizania oparte na wiatowodach przewyszay wydajnoci technologie iSCSi, cho s od nich znacznie drosze. Zwikszone prdkoci i mniejsze koszty sieci opartej na iSCSI przyczyniaj si jednak do wzrostu popularnoci rozwiza opartych na protokole IP . Kontrolery pamici masowej uywane w poczeniu szeregowym SCSI (SAS) lub przy wiatowodach powinny by identyczne na wszystkich wzach. Kontrolery powinny take korzysta z tej samej wersji oprogramowania producenta. Przy korzystaniu z iSCSI kady wze klastra musi mie albo kart sieciow, albo kart host bus, dedykowan do pamici masowej klastra. Uywanie karty sieciowej wymaga przeznaczenia tej karty wycznie do obsugi technologii iSCSI i niewykorzystywania jej do komunikacji z sieci prywatn lub produkcyjn. Karty sieciowe obsugujce sie prywatn i produkcyjn nie mog by wykorzystywane do pocze z pamici masow. Karty sieciowe stosowane do obsugi pamici masowych powinny by kartami gigabitowymi. Zwielokrotnione karty sieciowe nie s wspierane w komunikacji z pamiciami masowymi iSCSI.
Core [CORE]
Migracja klastrw
Migracja klastrw bya dotd sporym wyzwaniem. Firmom pracujcym z klastrami serwera Windows Server 2003 nowe narzdzie Kreator Weryfikowania Konfiguracji Klastra (ClusPrep) daje moliwo atwego przejcia do klastra w systemie operacyjnym Windows Server 2008, dziki uyciu graficznego kreatora migracji konfiguracji klastra. Narzdzie ClusPrep wykryje ustawienia istniejcego klastra dziaajacego na serwerze Windows Server 2003 i zastosuje je do nowego klastra, pracujcego na serwerze Windows Server 2008.
250
251
2.
Uruchom kreator wybierajc z menu Start/Administrative Tools, a nastpnie z grupy Server Manager wybierz opcj Features. W panelu Features Summary wybierz pozycj Add Features, co spowoduje uruchomienie kreatora Add Features Wizard. W kolejnych krokach zaznacz opcj Failover Clustering i na zakoczenie kliknij przycisk Install. Operacj t wykonaj na komputerach Wze1 i Wze2.
Test sieci przeprowadzany przez Kreator Weryfikowania Konfiguracji Klastra sprawdza, czy planowana sie czca klaster spenia konkretne wymogi, takie jak posiadanie przynajmniej dwch odrbnych podsieci dla redundancji sieci. Test pamici masowej stwierdza, czy kady wze wspomaga wymagane komendy SCSI i czy kady wze poradzi sobie z czynnociami klastra.
Po zweryfikowaniu konfiguracji potencjalnego klastra narzdzie ClusPrep weryfikuje konfiguracj klastra niezawodnociowego dla ponownego sprawdzenia prawdopodobiestwa jego zadziaania. Walidacja wza klastra dotyczy: cznoci midzy wzami. Kompatybilnoci rezerwacji SCSI pomidzy wzami. Obecnoci i konfiguracji wielu kart sieciowych o rnych adresach IP . Dostpnoci wsplnej pamici masowej. Wej i wyj sieciowych i dyskowych.
Test wzw przeprowadzany przez Kreator Weryfikowania Konfiguracji Klastra sprawdza, czy wybrane serwery speniaj wymogi klastra niezawodnociowego, np. czy pracuj na tych samych wersjach systemu Windows i czy posiadaj te same aktualizacje.
Raport Podsumowujcy Konfiguracj Klastra: Na koniec dziaania Kreatora Weryfikowania Konfiguracji Klastra jest generowany peen raport. Zawiera on zidentyfikowane przez narzdzie ClusPrep parametry konfiguracji i opis ewentualnych problemw. Raport jest dostpny w folderze c:\Program Files\Microsoft\ClusPrep\ Reports\SummaryReport.xml.
252
253
3.
W kolejnych krokach kreatora pozostaw domylne opcje. W cigu kilku minut zostanie wygenerowany raport, ktry naley przeanalizowa i ewentualne bdy naprawi.
Administrator klastra
2. Z panelu Actions w konsoli Failover Clustering Management wybierz pozycj Validate a Configuration. W drugim kroku uruchomionego kreatora Validate a Configuration Wizard wprowad nazwy serwerw, ktre peni rol wzw. Konsola Cluster Administrator Management jest nowym interfejsem Microsoft Management Console 3.0, ktry nie tylko uatwia tworzenie klastrw niezawodnociowych, ale te minimalizuje ryzyko ich zej konfiguracji. Na przykad uproszczony kreator uwzgldnia kwestie potrzebne do zbudowania klastra wymieniajcego si plikami, takie jak: Jakie pliki maj mie wysoki stopie dostpnoci? Jakiej nazwy bd uywa uytkownicy przy czeniu si? Z jakiego adresu IP powinny korzysta zasoby? Ktrych zasobw magazynowych chcemy uywa? Ktry folder chcemy udostpni?
254
255
Z Panelu Actions w konsoli Failover Clustering Management wybierz pozycj Create a Cluster. W drugim kroku uruchomionego kreatora Create Cluster Wizard wprowad nazw serwerw, ktre peni rol wzw. W kolejnym kroku wpisz nazw klastra i adres IP pod ktrym bdzie on , widoczny w sieci. W ostatnim kroku po klikniciu przycisku Next zostanie rozpoczta procedura konfiguracji klastra.
kworum wielowzowego), albo tylko pamici masowej SAN (podobnie jak w starszej konfiguracji klastra, gdzie kworum miao gos decydujcy). Nowy model eliminuje pojedynczy punkt awarii, poniewa pozwala, by klaster przetrwa utrat dysku kworum. Poprzednie wersje klastrw wspomagay do omiu wzw. Natomiast Windows Server 2008, dziaajc w edycji 64-bitowej, wspiera obecnie a do szesnastu wzw w klastrze.
Maksymalizowanie dostpnoci
Wiele nowych zmian strukturalnych, wprowadzonych we waciwociach klastra niezawodnociowych w serwerze Windows 2008 bdzie miao ogromny wpyw na rozmieszczenie serwerw w sieciach firmowych. Nowy model kworum oraz konfigurowalna warto sygnau testowego pozwalaj na przesyanie sygnau testowego przez sie otwart. Koncepcja dysku kworum z poprzednich wersji klastra niezawodnociowego zostaa zastpiona nowym modelem, nazwanym Witness Disk. W celu przezwycienia pojedynczego punktu awarii w kworum poprzednich wersji klastrw, klastry systemu Windows Server 2008 korzystaj z procesu gosowania dla podtrzymania aktywnoci klastra, kiedy kworum nie moe zosta ustanowione. Nowy model powsta z poczenia dwch poprzednich modeli - kworum wikszociowego oraz kworum wspdzielonego. Oprcz nowego modelu wykorzystujcego Witness Disk, take oba poprzednie mona konfigurowa w klastrach niezawodnociowych systemu Windows Server 2008. Nowy model jest preferowany w wypadku wystpienia: Maych i duych wzw klastra. Klastrw bez wsplnej pamici masowej. Klastrw znajdujcych si w rnych lokalizacjach.
W poprzednich wersjach systemu Windows klastry rozproszone geograficznie wymagay uycia wirtualnej sieci LAN (VLAN) dla pokonania geograficznych ogranicze topologii sieci, a take z powodu nierutowalnej komunikacji midzy wzami klastra. System Windows Server 2008 upraszcza tworzenie klastrw geograficznych poprzez usunicie ograniczenia cznoci z wzem klastra w pojedynczej podsieci. Innowacje te wspomagaj firmy w projektowaniu i wdraaniu rozwiza kryzysowych, co pozwala na zredukowanie czasu przestoju.
Zalecenia
Postpowanie zgodne z najlepszymi praktykami firmy Microsoft pomaga przeprowadzi udane wdroenie klastra zapasowego. Oto sugerowane sposoby postpowania: Sprawdzenie, czy sprzt w wzach klastra jest kompatybilny z systemem Windows Server 2008. Minimalizacja iloci usug instalowanych na wzach klastra. Zapewnienie fizycznego bezpieczestwa wzw klastra. Wprowadzenie spjnych mechanizmw zabezpiecze w celu ledzenia i zapobiegania nieprawidowym i niepodanym poczeniom z wzami klastra. Zapewnienie bezpieczestwa usug sieciowych, ktrych wymagaj klastry niezawodnociowe (Active Directory, DNS, DHCP). Testowanie i instalowanie najnowszych poprawek i service packw na wzach klastra. Zarzdzanie wzami klastra tylko z zaufanych komputerw.
Na przykad w klastrze o dwch wzach z Witness Disk zawarte s trzy gosy. Aby klaster by aktywny, musi utrzyma dwa z trzech gosw. Dodatkowe modele gosowania pozwalaj uczestniczy w procesie gosowania tylko wzom (podobnie jak w przypadku starszego modelu
256
257
Podsumowanie
Wraz z rozwojem klastrw w systemie Windows Server 2008 Microsoft znaczco usprawni proces instalacji i zarzdzania klastrami niezawodnociowymi. Nowe i poprawione funkcjonalnoci zapewniaj w sumie uproszczenie procesu, ktry pozwala zarwno maym, jak i duym przedsibiorstwom na obnienie cakowitych kosztw utrzymania (TCO) i zwikszenie niezawodnoci rozlokowania aplikacji.
Zakoczenie
Funkcja klastra niezawodnociowego w systemie Windows Server 2008 znaczco uatwia konfiguracj i zarzdzanie rozwizaniami zapewniajcymi wysok wydajno. Moliwo szybkiej weryfikacji zgodnoci sprztu i oprogramowania z wymaganiami klastra, przyjazny uytkownikowi kreator instalacji i efektywnie dziaajca konsola zarzdzania s znaczcymi zmianami. Powinny one pozwoli maym i rednim przedsibiorstwom na stosowanie rozwiza zapewniajcych wysok dostpno. Byo to dotychczas poza ich zasigiem z uwagi na wymg posiadania wysokowykwalifikowanej kadry IT, ktra mogaby zapewni poprawn instalacj klastrw i zarzdzanie nimi. Take due organizacje skorzystaj z nowoci oferowanych przez klaster niezawodnociowy w systemie Windows Server 2008. Szczeglnie atrakcyjne wydaj si tu uatwienia dotyczce komunikacji poprzez sieci zewntrzne przy tworzeniu zapasowych lokacji dla klastrw. Natomiast rezygnacja z zalenoci od systemu rozpoznawania nazw NetBIOS oznacza moliwo uproszczenia infrastruktury rozpoznawania nazw. Podsumowujc, rola klastra niezawodnociowego moe okaza si waciwym rozwizaniem, jeli organizacja wymaga: odpornego na awarie dostpu do aplikacji, ochrony zasobw sprztowych i aplikacji, niezakconego dostpu do danych o kluczowym znaczeniu dla przedsibiorstwa.
258
259
ABC Data Centrum Edukacyjne powstao w czerwcu 2003 roku. Celem naszego Centrum jest prowadzenie szeroko rozumianej dziaalnoci szkoleniowej w zakresie zaawansowanych technologii informatycznych. Dziki bogatej ofercie uatwiamy Pastwu zdobycie specjalistycznej wiedzy, a take zweryfikowanie posiadanych umiejtnoci. Proponujemy szkolenia autoryzowane, autorskie oraz konsultacje z zakresu rnorodnych dziedzin informatyki. Kursy prowadzone w naszych orodkach mog mie charakter otwarty lub zamknity. Otworzylimy na terenie kraju ju sze oddziaw naszego Centrum Edukacyjnego i nie ustajemy w staraniach, by zaspokoi wszelkie Pastwa oczekiwania. Systematycznie poszerzamy ofert i staramy si dotrze do wszystkich zainteresowanych rozwojem swoich kompetencji. Nasi Klienci maj moliwo doczenia do szerokiego grona uczestnikw Programu Lojalnociowego .gif(t). Kady Uczestnik Programu Lojalnociowego jest nagradzany za nabywanie usug objtych Programem poprzez przyznanie punktw, ktre mog by nastpnie wymieniane na cenne nagrody . Zapraszamy serdecznie do skorzystania z naszej oferty!
Adres Zielna 39 Warszawa, 00-108 Osoba kontaktowa Aneta Czajkowska-Turek Tel.: (48 22) 31 32 333 Fax: (48 22) 31 32 334 aneta.czajkowska@abcdata.pl www.edukacja.abcdata.pl
Altkom powsta w 1988 roku. Obecnie zatrudnia 342 pracownikw w siedmiu orodkach na terenie caego kraju: w Warszawie, Krakowie, Katowicach, Poznaniu, Wrocawiu, Gdyni oraz odzi. Zakres dziaalnoci firmy obejmuje trzy obszary: Usugi edukacyjne: Altkom Akademia posiada w staej ofercie ponad 400 autorskich i autoryzowanych szkole zwizanych z rnymi technologiami. Zatrudnia 120 wykwalifikowanych instruktorw. Dysponuje 56 wasnymi, w peni wyposaonymi salami szkoleniowymi. Z usug Altkomu skorzystao ju ponad 140 tysicy osb. Posiada najwiksz na rynku liczb certyfikatw i autoryzacji wszystkich liczcych si dostawcw technologii, w tym Microsoft. Obecny potencja Altkom umoliwia realizacj najwikszych, jak rwnie najbardziej zoonych projektw i przedsiwzi. Usugi projektowo-programistyczne: Altkom tworzy oprogramowanie na zamwienie. Rozwizania, ktre oferuje wspomagaj zarzdzanie, sprzeda, acuchy dostaw oraz relacje z klientami. Realizuje je w technologiach intranetowych, internetowych i ekstranetowych. Wykorzystuje przy tym nowoczesne systemy baz danych i architektur trjwarstwow. Usugi integracyjne: Altkom prowadzi prace integratorskie, ktrych celem jest stworzenie i utrzymanie optymalnego rodowiska informatycznego w firmie klienta. Specjalizuje si w rozwizaniach systemowych w zakresie: integracji struktur informatycznych, oprogramowania i sprztu projektowania i wdraania struktur bezpieczestwa IT projektowania usug katalogowych, integracji katalogw oraz integracji usug katalogowych z aplikacjami i systemami operacyjnymi.
Adres Chodna 51 Warszawa, 00-867 Kontakt Tel.: 0 801 258 566 www.altkom.pl
260
261
COMBIDATA zajmuje si szkoleniami w ich najbardziej rozwinitej formie, tj. od analizy procesw biznesowych i okrelenia potrzeb kompetencyjnych, do dostarczania wiedzy, umiejtnoci i zachowa w rnych technologiach edukacyjnych (np. rne formy e-learningu). Na szkolenia skada si wiele rnych elementw, tj. np. infrastrukturalne, trenerskie, projektowe, podrcznikowe, itd. Znaczn cz wymaganych elementw w procesie projektowania i realizacji szkole COMBIDATA posiada. Niektrych z nich poszukuje na rynku, aeby jak najlepiej speni wymagania klienta. z tego punktu widzenia wydaje si, e COMBIDATA jest INTEGRATOREM USUG SZKOLENIOWYCH. Od 2000 roku COMBIDATA posiada certyfikat ISO 9001:2000 (pierwotnie ISO 9001:1994) obejmujcy projektowanie, organizowanie i prowadzenie szkole, a w tym szkole elektronicznych do samoksztacenia. Certyfikat dotyczcy szkole COMBIDATA otrzymaa jako pierwsza firma w Polsce. Gwna siedziba firmy znajduje si w Sopocie, firma posiada pi biur regionalnych i 30 centrw szkoleniowych na terenie caego kraju. COMBIDATA Poland prowadzi jedyny w Polsce ORACLE Approved Education Center, uzyskaa status Microsoft Certified Gold Partner for Learning Solutions, a take CISCO Sponsored Organization i Authorised Thomson Prometric Testing Centre. COMBIDATA Poland zostaa uznana przez firm Microsoft za najwikszy autoryzowany orodek szkoleniowy w Polsce w roku 2007, uzyskujc i miejsce za najwiksz liczb przeprowadzonych szkole autoryzowanych w zakresie technologii Microsoft.
Comp Safe Support SA jest jedn z najwikszych firm na polskim rynku informatycznym, wiadczc kompleksow obsug w zakresie IT. W ofercie firmy znajduj si: Szkolenia Informatyczne, Usugi Wdroeniowe, Konsultacje, Specjalne Systemy Bezpieczestwa, Bezpieczestwo IT i Ochrona Informacji, Systemy PKI i Autoryzacji, Outsourcing IT, Usugi Serwisowe, Usugi Sieciowe. Comp Safe Support SA wsppracuje z Microsoft od 14 lat. Spka jest certyfikowanym partnerem firmy Microsoft - Microsoft Gold Certified Partner posiadajcym kompetencj Learning Solutions w zakresie usug szkoleniowych, kompetencj Information Worker Solutions w obszarze wdroe nowoczesnych rozwiza IT Microsoft Office System, kompetencj Advanced Infrastructure Solutions w zakresie projektowania i wdraania zaawansowanych technologii informatycznych oraz kompetencj Licensing Solutions w zakresie audytu i zarzdzania oprogramowaniem. Centrum Edukacyjne Comp Safe Support SA jest autoryzowanym orodkiem testowym firm Prometric i Pearson VUE w zakresie przeprowadzania egzaminw na inynierw systemowych oraz CertiPort w zakresie prowadzenia testw dla uytkownikw pakietu Microsoft Office. Od 2006 r. Comp Safe Support SA oferuje szkolenia informatyczne dofinansowane ze rodkw Europejskiego Funduszu Spoecznego (EFS) Unii Europejskiej. W ofercie znajduje si szeroka gama szkole autoryzowanych z produktw firmy Microsoft, przeznaczonych dla uytkownikw, administratorw sieci i systemw, programistw oraz szefw projektw informatycznych. Adres Jutrzenki 116 Warszawa, 02-230 Osoba kontaktowa Mirosaw Trzpil Tel.: (022) 465 04 00 Fax: (022) 520 26 53 miroslaw.trzpil@comp-css.pl www.comp-css.pl
Adres Emilii Plater 12 Sopot, 81-777 Osoba kontaktowa Monika Koszewska Tel.: (58) 550 95 35 Fax: (58) 550 95 51 monika.koszewska@combidata.pl www.eduportal.pl
262
263
Centrum wiedzy technicznej dla specjalistw IT: baza wiedzy wersje testowe oprogramowania wirtualne laboratoria konferencje i seminaria szkolenia i certykacje webcasty blogi spo eczno ci www.microsoft.pl/technet
268