`
System Requirements Server management Windows Servera 2008 Windows Server Virtualization Active Directory Network Access Protection, SSTP Server Core Terminal Services Windows Deployment Services Sertifikacija na Windows 2008 platformi
`
Processor:
` ` ` ` ` `
Dragoslav Kenjić Kenjić MCSA,MCT Čikom d.o.o.
[email protected]
` `
Minimum: 1 GHz (x86 processor) or 1.4 GHz (x64 processor) Recommended: 2 GHz or faster Note: An Intel Itanium 2 processor is required for Windows Server 2008 for Itanium-Based Systems
SYSTEM REQUIREMENTS
`
Memory: Minimum: 512 MB RAM Recommended: 2 GB RAM or greater Optimal: 2 GB RAM (Full installation) or 1 GB RAM (Server Core installation) or more Maximum (32-bit systems): 4 GB (Standard) or 64 GB (Enterprise and Datacenter) Maximum (64-bit systems): 32 GB (Standard) or 2 TB (Enterprise, Datacenter, and Itanium-Based Systems)
`
Available Disk Space: Minimum: 10 GB Recommended: 40 GB or greater Note: Computers with more than 16GB of RAM will require more disk space for paging, hibernation, and dump files
`
Drive:
`
Display:
DVD-ROM drive Super VGA (800 × 600) or higher resolution monitor
` `
SERVER MANAGEMENT
` ` `
Nova konzola za upravljanje serverom ` ` `
` ` ` `
Centralno mjesto za administraciju i upravljanje MMC 3.0, samo za Windows 2008 local mgmt. Dodavanje novih funkcija (roles) i mogućnosti (features) Lista raspoloživih opcija je proširiva (roles download) Podkonzole za svaki role Real-time pregled statusa instaliranih komponenti ServerManagercmd.exe – CL bazirani Server Manager
Initial Configuration Tasks Server Manager Remote Management tools Group Policy Windows PowerShell
Server roles – funkcionalnost servera na
Windows Server 2003 Setup Security Updates Manage Your Server Configure Your Server Wizard Windows Components Computer Management Security Configuration Wizard
Operating System Setup Initial Configuration Tasks Server Manager
Server features – dodatne funkcionalnosti na serveru Telnet Server Failover Clustering GPMC RPC over HTTP Windows Server Backup Storage Manager for Storage Area Networks (SANs) BitLocker Wireless Networking Remote Assitance
` ` ` ` ` `
` ` `
` `
`
mreži DHCP Server DNS Server Web Server Fax Server Terminal Services Windows Deployment Services Network Access Services WSV ...
Active Directory
Print Server
File Server
Adminpak.msi više nije dostupan Remote Server Administration Tools (RSAT) dostupan kao feature RSAT za sada postoji samo za Windows 2008
`
GROUP POLICY NOVOSTI : Novi format administrativnih template-a – ADMX (XML-based) Nove kategorije za upravljanje kroz GPO Preko 3000 raspoloživih opcija (Win2k3+700) Search & Filter Komentari na opcije u GPO Starter GPO Postavljanje više lokalnih polisa
`
Lagano usvajanje
`
` ` ` ` `
◦ Podržava postojeće OS-ove, skripte i CL bazirane alate
`
`
• •
Windows PowerShell je novi standard za commandline upravljanje sistemima ` Cmdlets – alati u Powershell-u ` Windows PowerShell je administrativni temelj za Windows 2008, Exchange Server 2007, System Center Operations Manager 2007...
Pipelining – Vežite komande jednu na drugu! `
Rezultat jedne komande koristi se kao ulazni podatak za drugu
`
Rezultat prve komande mora biti kompatibilan sa ulaznim formatom druge
◦ Npr: Get-Process | Sort-Object –property Handles
◦ Intuitivna sintaksa bazirana na verb-noun šemi
`
Lagano korištenje
◦ Specijalizirani alati i komande za administraciju (cmdlets) ◦ Znatno ubrzava izvođenje nekih zadataka ◦ Whatif i confirm switchevi
Automatizacija – osnovna namjena PS-a Kompatibilan sa svim postojećim alatima
`
Lagano učenje sintakse
x Get-process; stop-process,new-psdrive...
Windows PowerShell - CL bazirano okruženje izgrađeno na .NET tehnologiji kao alternativa za scripting i batch zadatke
◦ Npr : Get-Process | Stop-Service – POGREŠNO ◦ Npr: Get-Process | Stop-Process – ISPRAVNO
`
`
Za jednaku konfiguraciju server rola na više servera, koristite ServerManagercmd.exe – inputpath Savjeti za početak rada sa WPS :
WINDOWS SERVER VIRTUALIZATION
◦ Get-Help x Ispisuje pomoć o željenoj naredbi x Npr: Get-Help Get-Member
◦ Get-Command x Ispisuje listu raspoloživih komandi
Konsolidacija servera
Osiguravanje kontinuiteta
` ` `
`
`
Testiranje i razvoj
Virtualno okruženje
`
Native podrška za virtualizaciju (Hypervisor-type1) Ravnopravan pristup hardveru “hosta” i VM Obavezan CPU sa hardverskom virtualizacijom (Intel VT ili AMD-V) i uključenim Data Execution Prevention Radi samo na 64-bitnim verzijama Windows Servera WsV nije dostupan kao role, po defaultu Administrativna konzola - MMC
Type-2 VMM Guest 1
Hybrid VMM
Guest 2
VMM Host OS Hardware
JVM CLR
Type-1 VMM (Hypervisor)
Guest 1 Host OS
Guest 2
VMM Hardware
Guest 1
Guest 2
` `
`
VMM
`
Hardware
` `
Virtual PC & Virtual Server
Windows Virtualization
`
Podržava 32-bitne i 64-bitne OS-ove Može se kontrolisati korištenje jezgara procesora Do 1TB memorije po jednoj VM Direct pass-through disk access Podrška za virtualne switcheve i NLB Podržana migracija Virtual Server-a na Windows Server virtualization Podrška za Live migration
ACTIVE DIRECTORY U WINDOWS SERVERU 2008
DC DEPLOYMENT
Novosti ` ` ` ` `
`
Poboljšan DC deployment Directory service Auditing Restartable AD services Read Only Domain Controller DNS: IPv6 Support, Background Zone Loading, RODC Fine-grained password policy
` `
` `
`
RESTARTABLE AD ` ` `
` ` `
Smanjuje broj restarta i pojednostavljuje upravljanje Povećava dostupnost ostalih servisa na serveru Omogućava izvođenje Restore AD operacija i intervencija na AD-u bez restarta u DC Restore mode AD servisi se zaustavljaju i pokreću iz Services konzole Logon funkcije se prebacuju na druge DC-ove Lokalni logoni se vrše preko DC Restore mode accounta
Podrška za Server Core DC Opcije pri instalaciji: DNS (default), GC (default), RODC Odabir sajta za smještaj DC-a Podešavanje nivoa funkcionalnosti kroz UI dcpromo Jednostavno kreiranje unattend fajlova (Export)
READ ONLY DOMAIN CONTROLLER ` ` ` ` ` `
Novost u AD-u Windows 2008; Namijenjen fizički manje sigurnim lokacijama i lokacijama bez AD administratora; Samo jednosmjerna replikacija sa PDC emulatora ; PDC emulator mora da bude Windows Server 2008 ; Ne čuva user name i password podatke, samo ih kešira ; Samo jedan RODC u domeni, po sajtu je podržan.
READ ONLY DOMAIN CONTROLLER `
` ` ` ` ` `
RODC podržava separaciju uloga (svaki domain user može biti “lokalni” Administrator na RODC) ; RODC hostira read only DNS ; Može da se instalira na Server Core ; Može da hostira Global Catalog; Ne može imati bilo kakvu operations master ulogu ; Ne može biti bridge-head server; Forest mora da bude u najmanje Windows 2003 modu.
Windows Server 2008" DC
3
Read Only DC
4
2
Hub
5
RODC 6
Branch 1
6
6 2 3 4 5 1
RODC: Looks in DB: "I don't have theTGT users RODC Forwards Windows Returns gives authentication Server Request "Longhorn" totoUser Windows response and DC RODC Server and will User logs on TGT and authenticates secrets" "Longhorn" authenticates back cache tocredentials the RODC DCrequest
Active Directory FINE-GRAINED PASSWORD POLICY `
Današnji problemi sa password politikama : ◦ Fiksirane isključivo na domen ◦ Nefleksibilne za veće organizacije ◦ Ne daju mogućnost da različite grupe korisnika imaju različite zahtjeve za password
FINE-GRAINED PASSWORD POLICY `
` ` ` `
`
` `
NETWORK ACCESS PROTECTION
`
` `
Uklanja ograničenje jedne password politike na nivou domene Može se primijeniti na grupu i na korisnika Zahtijeva Windows 2008 Domain mode Ne primjenjuje se kroz klasični GPO editor interfejs Kreira se Password Settings Object (PSO) koji se primjenjuje kao atribut Odnosi se na password i lockout polise
Nova sigurnosna platforma za mrežnu sigurnost u Windows Serveru 2008; Ograničava pristup mrežnim resursima svim klijentima koji ne zadovoljavaju definisani health policy, bez obzira na interfejs spajanja ; Djelomično uporediva sa VPN Quarantine, sa širim dijapazonom djelovanja i jednostavnijom administracijom ; Podržan na Windows Vista i Windows XP SP3 klijentskim platformama ; Koristi informacije iz Security Centra Windows-a.
Sistemski zahtjevi za NAP : Policy Servers
` ` ` ` ` `
3
NAP capable client (Vista ili XPSP2) NAP/NPS server (Windows Server 2008) Domain Controller (Win2003/2008) DHCP RRAS CA
1
IPSec bazirane komunikacije (ne dozvoljava IPSec komunikaciju bez zadovoljavanja policy uslova) ;
`
`
Konekcije koje koriste 802.1x za autentikaciju ;
`
`
VPN konekcije (obavlja sličnu funkciju kao VPN Quarantine, sa jednostavnijom implementacijom) ;
`
DHCP ;
Network Policy Server
4
Fix Up Servers
Restricted Network
WSUS, SMS & 3rd party
Policy compliant 5
Corporate Network
NAP platformske komponente
`
Terminal Services Gateway ;
Not policy compliant
2
DHCP, VPN Switch/Router
Primjenjiv je na :
`
Microsoft Security Center, SMS, Antigen or 3rd party
` ` ` `
NAP agent i NAP enforcement client (servisi na klijentu) ; Network access uređaj ; NPS server (nosilac policy-a, zamjena za IAS); System health server ; Remediation server ; Health certificate server.
Primjena
Healthy Client
Unhealthy Client
DHCP
Regularna IP adresa i puni pristup
Ograničen skup ruta, nema DG
VPN
Puni pristup
Ograničena komunikacija(IP filteri)
802.1X
Puni pristup
Ograničena komunikacija (IP filteri)
TSG
Puni pristup
Nema pristupa
IPsec
Healthy hostovi odbijaju Može komunicirati sa zahtjeve unhealthy svakim trusted hostom hostova •Radi sa postojećim serverima i infrastrukturom •Fleksibilna izolacija
Active Directory
`
Obavezno definišite polisu za hostove koji ne podržavaju NAP!
Load Balancer or Load Firewall, Web Proxy NATBalancer router or or NAT router Firewall, Web Proxy NAT SSTP (over SSL) router or NAT router
Internet PPTP, IPSec
X
Internet
Active Directory Application servers Application servers VPN Server VPN Server
Radius server Radius server
Intranet Intranet
SECURE SOCKET TUNNELING PROTOCOL
`
` ` ` ` ` ` `
Enkapsulacija PPP saobraćaja unutar HTTP preko SSL Rješava probleme blokiranih portova za VPN Za korisnike upotreba ostaje ista Način administracije RRAS-a ostaje isti Potreban certifikat za SSTP server Podrška u Win2008 i Vista SP1 Podržava i NAP Ne podržava site to site VPN linkove
Internet VPN Client 1) Start VPN connection
VPN Server (RRAS)
Radius Server (IAS, NPS)
Active Directory (DC)
2) TCP Connection (destination port 443) 3)HTTPS Handshake (server certificate is validated by client) 4) SSTP Handshake (enable PPP encapsulation over SSL)
8) IP Interface Created
5) PPP Handshake (Authentication, Addressing and authorization)
9) Application traffic (over SSTP VPN tunnel)
6) Radius Handshake (Authentication, Addressing and Authorization)
7) AD Handshake (Authentication)
Application Servers
Attributes
PPTP
L2TP/IPsec
SSTP
Encapsulation
GRE
L2TP over UDP
SSTP over TCP
Encryption
Microsoft Point-toPoint Encryption (MPPE) with RC4
IPsec ESP with Triple SSL with RC4 or AES Data Encryption Standard (3DES) or Advanced Encryption Standard (AES)
Tunnel maintenance protocol When user authentication occurs Certificates required to establish the VPN tunnel
PPTP
L2TP
SSTP
Before encryption begins None
After the IPsec session is established Computer certificates on both the VPN client and VPN server
After the SSL session is established Computer certificate on the VPN server and root CA certificate on the VPN client
Minimalna instalacijska opcija Windows Servera 2008 ; Samo core funkcionalnost serverskog OS-a; Nema grafičkog interfejsa, samo Command Line ; Podržane uloge :DHCP,File Server,DNS,Domain Controller, ADLDS, Virtualization server... Neće biti jeftiniji i nema PowerShell
SERVER CORE
` `
` ` ` `
Podržava instalaciju DC i RODC-a Instaliranje AD servisa samo kroz unattended način Mali zahtjevi za disk prostorom (cca. 1GB) Ograničena podrška za hardver i drajvere Povećana stabilnost Remote management : ◦ CLI ◦ Remote Desktop Protocol ◦ MMC
Zašto Core? `
Sigurnije je (manje tačaka za napad);
`
Windows Server se često instalira samo zbog jednog servisa;
`
Bolje korištenje resursa (radi sa znatno manje resursa nego puna verzija);
`
Vrlo pogodno za virtualizaciju ;
`
Manje zahtjevan patch management.
TERMINAL SERVICES
`
NOVOSTI: ` ` ` ` ` `
Terminal Services Gateway – RDP over HTTPS RemotePrograms TS Web Access TS single sign-on TS Easy print
` ` ` `
Pristup RDP-om na hosta u internoj mreži bez uspostave VPN konekcije TSG Server – gateway prema ostalim računarima Koristi se samo TCP 443 Podržava NAP Mogućnost konfigurisanja polisa (NPS) Precizna kontrola i jednostavna konfiguracija
Corp LAN
DMZ
Tunnels RDP over Home RPC/HTTPS
Internet
Passes RDP/SSL traffic to TS
Strips off RPC/HTTPS
Internal Firewall
External Firewall
Internet
Terminal Server
` Terminal Server
HTTPS / 443
` `
RPC over HTTPS – Outlook Anywhere RDP over HTTPS – Terminal services gateway VPN over HTTPS – VPN Access
Hotel Terminal Services Gateway Server
Other RDP Hosts
Network Policy Server Business Partner/ Client Site
Active Directory DC
Pokretanje terminal programa kao lokalnih aplikacija ` Distribucija putem .msi ili .rdp fajlova ` Mogućnost asocijacije ekstenzija ` Značajno olakšanje za krajnje korisnike `
Remote Desktop client required Terminal Services Gateway Server
Današnji problemi u deploymentu OS
WINDOWS DEPLOYMENT SERVICES
`
` ` ` ` `
` ` `
` ` ` `
End-to-end rješenje za čiste instalacije Windows 2008 Server role (u SP2 za Win2003) Deployment za Windows Vista, Windows Server 2008, Windows XP, Win2K3, i Win2K Podrška za .WIM format i Sysprep PXE boot i non-PXE boot opcije Potpuno automatizirana instalacija klijenata Integracija sa AD-om
` ` ` ` `
Potreba za korištenjem više različitih alata ili SMS 2003 Veliki broj image fajlova Nemogućnost ažuriranja image fajlova Zavisnost od hardverske platforme Migracija korisničkih podataka Capturing (potreban third-party alat ili SMS)
Instalacija servera Konfiguracija servera Dodavanje image fajlova Deployment klijenata Održavanje image fajlova
Installation
Configuration
Image Add
Deployment
Maintenance
` ` ` ` `
Inicijalizacija servera Kreiranje RemoteInstall dijeljene lokacije Pokretanje servisa Konfiguracija lokalnog DHCP-a
◦ WinPE 2.0 u WIM formatu ◦ Capture image `
`
`
`
Kreiranje custom sysprepped image fajlova uz WDS image capture utility Ažuriranje sa drajverima, jezičkim paketima, hotfixevima Offline servicing = ažuriranje image fajla prije instalacija na novi hardver Online servicing = ažuriranje image fajla nakon instalacje ◦ Windows System Image Manager
Image fajlovi za instalaciju OS-a ◦ Sysprepped OS image in WIM format
` `
`
Boot Image fajlovi
Basic – Image install.wim sa DVD medija Custom –modifikovani WIM fajlovi
Image Capture Process
1
2
Kreiranje WDS Capture image Instalacija OS na referentnu mašinu
WIM
WDS Capture
Volume
3
Prilagođavanje OS-a, instaliranje aplikacija, drajvera i sl.
4
Sysprep
5
Boot mašine sa WDS Capture image
6
Pokretanje WDS Capture alata i upload image fajla na WDS server
` ` `
CERTIFIKACIJA NA WINDOWS SERVERU 2008
`
`
Linija koja je doživjela najviše promjena Nema više MCSA i MCSE zvanja Tri MCTS pravaca (za sada) Dva MCITP pravca koja donekle mijenjanju MCSA i MCSE Moguć djelimičan upgrade sa MCSA/MCSE certifikata (samo za verziju 2003)
` `
Počnite što prije! Microsoft sertifikacija – najbrži put do stalnog zaposlenja!