`

System Requirements Server management Windows Servera 2008 Windows Server Virtualization Active Directory Network Access Protection, SSTP Server Core Terminal Services Windows Deployment Services Sertifikacija na Windows 2008 platformi

`

Processor:

` ` ` ` ` `

Dragoslav Kenjić Kenjić MCSA,MCT Čikom d.o.o. [email protected]

` `

Minimum: 1 GHz (x86 processor) or 1.4 GHz (x64 processor) Recommended: 2 GHz or faster Note: An Intel Itanium 2 processor is required for Windows Server 2008 for Itanium-Based Systems

SYSTEM REQUIREMENTS

`

Memory: Minimum: 512 MB RAM Recommended: 2 GB RAM or greater Optimal: 2 GB RAM (Full installation) or 1 GB RAM (Server Core installation) or more Maximum (32-bit systems): 4 GB (Standard) or 64 GB (Enterprise and Datacenter) Maximum (64-bit systems): 32 GB (Standard) or 2 TB (Enterprise, Datacenter, and Itanium-Based Systems)

`

Available Disk Space: Minimum: 10 GB Recommended: 40 GB or greater Note: Computers with more than 16GB of RAM will require more disk space for paging, hibernation, and dump files

`

Drive:

`

Display:

DVD-ROM drive Super VGA (800 × 600) or higher resolution monitor

` `

SERVER MANAGEMENT

` ` `

Nova konzola za upravljanje serverom ` ` `

` ` ` `

Centralno mjesto za administraciju i upravljanje MMC 3.0, samo za Windows 2008 local mgmt. Dodavanje novih funkcija (roles) i mogućnosti (features) Lista raspoloživih opcija je proširiva (roles download) Podkonzole za svaki role Real-time pregled statusa instaliranih komponenti ServerManagercmd.exe – CL bazirani Server Manager

Initial Configuration Tasks Server Manager Remote Management tools Group Policy Windows PowerShell

Server roles – funkcionalnost servera na

Windows Server 2003 Setup Security Updates Manage Your Server Configure Your Server Wizard Windows Components Computer Management Security Configuration Wizard

Operating System Setup Initial Configuration Tasks Server Manager

Server features – dodatne funkcionalnosti na serveru Telnet Server Failover Clustering GPMC RPC over HTTP Windows Server Backup Storage Manager for Storage Area Networks (SANs) BitLocker Wireless Networking Remote Assitance

` ` ` ` ` `

` ` `

` `

`

mreži DHCP Server DNS Server Web Server Fax Server Terminal Services Windows Deployment Services Network Access Services WSV ...

Active Directory

Print Server

File Server

Adminpak.msi više nije dostupan Remote Server Administration Tools (RSAT) dostupan kao feature RSAT za sada postoji samo za Windows 2008

`

GROUP POLICY NOVOSTI : Novi format administrativnih template-a – ADMX (XML-based) Nove kategorije za upravljanje kroz GPO Preko 3000 raspoloživih opcija (Win2k3+700) Search & Filter Komentari na opcije u GPO Starter GPO Postavljanje više lokalnih polisa

`

Lagano usvajanje

`

` ` ` ` `

◦ Podržava postojeće OS-ove, skripte i CL bazirane alate

`

`

• •

Windows PowerShell je novi standard za commandline upravljanje sistemima ` Cmdlets – alati u Powershell-u ` Windows PowerShell je administrativni temelj za Windows 2008, Exchange Server 2007, System Center Operations Manager 2007...

Pipelining – Vežite komande jednu na drugu! `

Rezultat jedne komande koristi se kao ulazni podatak za drugu

`

Rezultat prve komande mora biti kompatibilan sa ulaznim formatom druge

◦ Npr: Get-Process | Sort-Object –property Handles

◦ Intuitivna sintaksa bazirana na verb-noun šemi

`

Lagano korištenje

◦ Specijalizirani alati i komande za administraciju (cmdlets) ◦ Znatno ubrzava izvođenje nekih zadataka ◦ Whatif i confirm switchevi

Automatizacija – osnovna namjena PS-a Kompatibilan sa svim postojećim alatima

`

Lagano učenje sintakse

x Get-process; stop-process,new-psdrive...

Windows PowerShell - CL bazirano okruženje izgrađeno na .NET tehnologiji kao alternativa za scripting i batch zadatke

◦ Npr : Get-Process | Stop-Service – POGREŠNO ◦ Npr: Get-Process | Stop-Process – ISPRAVNO

`

`

Za jednaku konfiguraciju server rola na više servera, koristite ServerManagercmd.exe – inputpath Savjeti za početak rada sa WPS :

WINDOWS SERVER VIRTUALIZATION

◦ Get-Help x Ispisuje pomoć o željenoj naredbi x Npr: Get-Help Get-Member

◦ Get-Command x Ispisuje listu raspoloživih komandi

Konsolidacija servera

Osiguravanje kontinuiteta

` ` `

`

`

Testiranje i razvoj

Virtualno okruženje

`

Native podrška za virtualizaciju (Hypervisor-type1) Ravnopravan pristup hardveru “hosta” i VM Obavezan CPU sa hardverskom virtualizacijom (Intel VT ili AMD-V) i uključenim Data Execution Prevention Radi samo na 64-bitnim verzijama Windows Servera WsV nije dostupan kao role, po defaultu Administrativna konzola - MMC

Type-2 VMM Guest 1

Hybrid VMM

Guest 2

VMM Host OS Hardware

JVM CLR

Type-1 VMM (Hypervisor)

Guest 1 Host OS

Guest 2

VMM Hardware

Guest 1

Guest 2

` `

`

VMM

`

Hardware

` `

Virtual PC & Virtual Server

Windows Virtualization

`

Podržava 32-bitne i 64-bitne OS-ove Može se kontrolisati korištenje jezgara procesora Do 1TB memorije po jednoj VM Direct pass-through disk access Podrška za virtualne switcheve i NLB Podržana migracija Virtual Server-a na Windows Server virtualization Podrška za Live migration

ACTIVE DIRECTORY U WINDOWS SERVERU 2008

DC DEPLOYMENT

Novosti ` ` ` ` `

`

Poboljšan DC deployment Directory service Auditing Restartable AD services Read Only Domain Controller DNS: IPv6 Support, Background Zone Loading, RODC Fine-grained password policy

` `

` `

`

RESTARTABLE AD ` ` `

` ` `

Smanjuje broj restarta i pojednostavljuje upravljanje Povećava dostupnost ostalih servisa na serveru Omogućava izvođenje Restore AD operacija i intervencija na AD-u bez restarta u DC Restore mode AD servisi se zaustavljaju i pokreću iz Services konzole Logon funkcije se prebacuju na druge DC-ove Lokalni logoni se vrše preko DC Restore mode accounta

Podrška za Server Core DC Opcije pri instalaciji: DNS (default), GC (default), RODC Odabir sajta za smještaj DC-a Podešavanje nivoa funkcionalnosti kroz UI dcpromo Jednostavno kreiranje unattend fajlova (Export)

READ ONLY DOMAIN CONTROLLER ` ` ` ` ` `

Novost u AD-u Windows 2008; Namijenjen fizički manje sigurnim lokacijama i lokacijama bez AD administratora; Samo jednosmjerna replikacija sa PDC emulatora ; PDC emulator mora da bude Windows Server 2008 ; Ne čuva user name i password podatke, samo ih kešira ; Samo jedan RODC u domeni, po sajtu je podržan.

READ ONLY DOMAIN CONTROLLER `

` ` ` ` ` `

RODC podržava separaciju uloga (svaki domain user može biti “lokalni” Administrator na RODC) ; RODC hostira read only DNS ; Može da se instalira na Server Core ; Može da hostira Global Catalog; Ne može imati bilo kakvu operations master ulogu ; Ne može biti bridge-head server; Forest mora da bude u najmanje Windows 2003 modu.

Windows Server 2008" DC

3

Read Only DC

4

2

Hub

5

RODC 6

Branch 1

6

6 2 3 4 5 1

RODC: Looks in DB: "I don't have theTGT users RODC Forwards Windows Returns gives authentication Server Request "Longhorn" totoUser Windows response and DC RODC Server and will User logs on TGT and authenticates secrets" "Longhorn" authenticates back cache tocredentials the RODC DCrequest

Active Directory FINE-GRAINED PASSWORD POLICY `

Današnji problemi sa password politikama : ◦ Fiksirane isključivo na domen ◦ Nefleksibilne za veće organizacije ◦ Ne daju mogućnost da različite grupe korisnika imaju različite zahtjeve za password

FINE-GRAINED PASSWORD POLICY `

` ` ` `

`

` `

NETWORK ACCESS PROTECTION

`

` `

Uklanja ograničenje jedne password politike na nivou domene Može se primijeniti na grupu i na korisnika Zahtijeva Windows 2008 Domain mode Ne primjenjuje se kroz klasični GPO editor interfejs Kreira se Password Settings Object (PSO) koji se primjenjuje kao atribut Odnosi se na password i lockout polise

Nova sigurnosna platforma za mrežnu sigurnost u Windows Serveru 2008; Ograničava pristup mrežnim resursima svim klijentima koji ne zadovoljavaju definisani health policy, bez obzira na interfejs spajanja ; Djelomično uporediva sa VPN Quarantine, sa širim dijapazonom djelovanja i jednostavnijom administracijom ; Podržan na Windows Vista i Windows XP SP3 klijentskim platformama ; Koristi informacije iz Security Centra Windows-a.

Sistemski zahtjevi za NAP : Policy Servers

` ` ` ` ` `

3

NAP capable client (Vista ili XPSP2) NAP/NPS server (Windows Server 2008) Domain Controller (Win2003/2008) DHCP RRAS CA

1

IPSec bazirane komunikacije (ne dozvoljava IPSec komunikaciju bez zadovoljavanja policy uslova) ;

`

`

Konekcije koje koriste 802.1x za autentikaciju ;

`

`

VPN konekcije (obavlja sličnu funkciju kao VPN Quarantine, sa jednostavnijom implementacijom) ;

`

DHCP ;

Network Policy Server

4

Fix Up Servers

Restricted Network

WSUS, SMS & 3rd party

Policy compliant 5

Corporate Network

NAP platformske komponente

`

Terminal Services Gateway ;

Not policy compliant

2

DHCP, VPN Switch/Router

Primjenjiv je na :

`

Microsoft Security Center, SMS, Antigen or 3rd party

` ` ` `

NAP agent i NAP enforcement client (servisi na klijentu) ; Network access uređaj ; NPS server (nosilac policy-a, zamjena za IAS); System health server ; Remediation server ; Health certificate server.

Primjena

Healthy Client

Unhealthy Client

DHCP

Regularna IP adresa i puni pristup

Ograničen skup ruta, nema DG

VPN

Puni pristup

Ograničena komunikacija(IP filteri)

802.1X

Puni pristup

Ograničena komunikacija (IP filteri)

TSG

Puni pristup

Nema pristupa

IPsec

Healthy hostovi odbijaju Može komunicirati sa zahtjeve unhealthy svakim trusted hostom hostova •Radi sa postojećim serverima i infrastrukturom •Fleksibilna izolacija

Active Directory

`

Obavezno definišite polisu za hostove koji ne podržavaju NAP!

Load Balancer or Load Firewall, Web Proxy NATBalancer router or or NAT router Firewall, Web Proxy NAT SSTP (over SSL) router or NAT router

Internet PPTP, IPSec

X

Internet

Active Directory Application servers Application servers VPN Server VPN Server

Radius server Radius server

Intranet Intranet

SECURE SOCKET TUNNELING PROTOCOL

`

` ` ` ` ` ` `

Enkapsulacija PPP saobraćaja unutar HTTP preko SSL Rješava probleme blokiranih portova za VPN Za korisnike upotreba ostaje ista Način administracije RRAS-a ostaje isti Potreban certifikat za SSTP server Podrška u Win2008 i Vista SP1 Podržava i NAP Ne podržava site to site VPN linkove

Internet VPN Client 1) Start VPN connection

VPN Server (RRAS)

Radius Server (IAS, NPS)

Active Directory (DC)

2) TCP Connection (destination port 443) 3)HTTPS Handshake (server certificate is validated by client) 4) SSTP Handshake (enable PPP encapsulation over SSL)

8) IP Interface Created

5) PPP Handshake (Authentication, Addressing and authorization)

9) Application traffic (over SSTP VPN tunnel)

6) Radius Handshake (Authentication, Addressing and Authorization)

7) AD Handshake (Authentication)

Application Servers

Attributes

PPTP

L2TP/IPsec

SSTP

Encapsulation

GRE

L2TP over UDP

SSTP over TCP

Encryption

Microsoft Point-toPoint Encryption (MPPE) with RC4

IPsec ESP with Triple SSL with RC4 or AES Data Encryption Standard (3DES) or Advanced Encryption Standard (AES)

Tunnel maintenance protocol When user authentication occurs Certificates required to establish the VPN tunnel

PPTP

L2TP

SSTP

Before encryption begins None

After the IPsec session is established Computer certificates on both the VPN client and VPN server

After the SSL session is established Computer certificate on the VPN server and root CA certificate on the VPN client

Minimalna instalacijska opcija Windows Servera 2008 ; Samo core funkcionalnost serverskog OS-a; Nema grafičkog interfejsa, samo Command Line ; Podržane uloge :DHCP,File Server,DNS,Domain Controller, ADLDS, Virtualization server... Neće biti jeftiniji i nema PowerShell

SERVER CORE

` `

` ` ` `

Podržava instalaciju DC i RODC-a Instaliranje AD servisa samo kroz unattended način Mali zahtjevi za disk prostorom (cca. 1GB) Ograničena podrška za hardver i drajvere Povećana stabilnost Remote management : ◦ CLI ◦ Remote Desktop Protocol ◦ MMC

Zašto Core? `

Sigurnije je (manje tačaka za napad);

`

Windows Server se često instalira samo zbog jednog servisa;

`

Bolje korištenje resursa (radi sa znatno manje resursa nego puna verzija);

`

Vrlo pogodno za virtualizaciju ;

`

Manje zahtjevan patch management.

TERMINAL SERVICES

`

NOVOSTI: ` ` ` ` ` `

Terminal Services Gateway – RDP over HTTPS RemotePrograms TS Web Access TS single sign-on TS Easy print

` ` ` `

Pristup RDP-om na hosta u internoj mreži bez uspostave VPN konekcije TSG Server – gateway prema ostalim računarima Koristi se samo TCP 443 Podržava NAP Mogućnost konfigurisanja polisa (NPS) Precizna kontrola i jednostavna konfiguracija

Corp LAN

DMZ

Tunnels RDP over Home RPC/HTTPS

Internet

Passes RDP/SSL traffic to TS

Strips off RPC/HTTPS

Internal Firewall

External Firewall

Internet

Terminal Server

` Terminal Server

HTTPS / 443

` `

RPC over HTTPS – Outlook Anywhere RDP over HTTPS – Terminal services gateway VPN over HTTPS – VPN Access

Hotel Terminal Services Gateway Server

Other RDP Hosts

Network Policy Server Business Partner/ Client Site

Active Directory DC

Pokretanje terminal programa kao lokalnih aplikacija ` Distribucija putem .msi ili .rdp fajlova ` Mogućnost asocijacije ekstenzija ` Značajno olakšanje za krajnje korisnike `

Remote Desktop client required Terminal Services Gateway Server

Današnji problemi u deploymentu OS

WINDOWS DEPLOYMENT SERVICES

`

` ` ` ` `

` ` `

` ` ` `

End-to-end rješenje za čiste instalacije Windows 2008 Server role (u SP2 za Win2003) Deployment za Windows Vista, Windows Server 2008, Windows XP, Win2K3, i Win2K Podrška za .WIM format i Sysprep PXE boot i non-PXE boot opcije Potpuno automatizirana instalacija klijenata Integracija sa AD-om

` ` ` ` `

Potreba za korištenjem više različitih alata ili SMS 2003 Veliki broj image fajlova Nemogućnost ažuriranja image fajlova Zavisnost od hardverske platforme Migracija korisničkih podataka Capturing (potreban third-party alat ili SMS)

Instalacija servera Konfiguracija servera Dodavanje image fajlova Deployment klijenata Održavanje image fajlova

Installation

Configuration

Image Add

Deployment

Maintenance

` ` ` ` `

Inicijalizacija servera Kreiranje RemoteInstall dijeljene lokacije Pokretanje servisa Konfiguracija lokalnog DHCP-a

◦ WinPE 2.0 u WIM formatu ◦ Capture image `

`

`

`

Kreiranje custom sysprepped image fajlova uz WDS image capture utility Ažuriranje sa drajverima, jezičkim paketima, hotfixevima Offline servicing = ažuriranje image fajla prije instalacija na novi hardver Online servicing = ažuriranje image fajla nakon instalacje ◦ Windows System Image Manager

Image fajlovi za instalaciju OS-a ◦ Sysprepped OS image in WIM format

` `

`

Boot Image fajlovi

Basic – Image install.wim sa DVD medija Custom –modifikovani WIM fajlovi

Image Capture Process

1

2

Kreiranje WDS Capture image Instalacija OS na referentnu mašinu

WIM

WDS Capture

Volume

3

Prilagođavanje OS-a, instaliranje aplikacija, drajvera i sl.

4

Sysprep

5

Boot mašine sa WDS Capture image

6

Pokretanje WDS Capture alata i upload image fajla na WDS server

` ` `

CERTIFIKACIJA NA WINDOWS SERVERU 2008

`

`

Linija koja je doživjela najviše promjena Nema više MCSA i MCSE zvanja Tri MCTS pravaca (za sada) Dva MCITP pravca koja donekle mijenjanju MCSA i MCSE Moguć djelimičan upgrade sa MCSA/MCSE certifikata (samo za verziju 2003)

` `

Počnite što prije! Microsoft sertifikacija – najbrži put do stalnog zaposlenja!