Windows Server 2008
-
Upload
misko200107 -
Category
Documents
-
view
317 -
download
4
Transcript of Windows Server 2008
Dragoslav KenjiDragoslav KenjiććMCSA,MCTMCSA,MCTČČikom d.o.o. ikom d.o.o. [email protected]@cikom.com
SSystem Requirementsystem RequirementsServer management Windows Servera 2008Server management Windows Servera 2008Windows Server VirtualizationWindows Server VirtualizationActive DirectoryActive DirectoryNetwork Access Protection, SSTPNetwork Access Protection, SSTPServer CoreServer CoreTerminal ServicesTerminal ServicesWindows Deployment ServicesWindows Deployment ServicesSertifikacija na Windows 2008 platformiSertifikacija na Windows 2008 platformi
SYSTEM REQUIREMENTSSYSTEM REQUIREMENTS
Processor:Minimum: 1 GHz (x86 processor) or 1.4 GHz (x64 processor) Recommended: 2 GHz or fasterNote: An Intel Itanium 2 processor is required for Windows Server 2008 for Itanium-Based Systems
Memory:Minimum: 512 MB RAM Recommended: 2 GB RAM or greater Optimal: 2 GB RAM (Full installation) or 1 GB RAM (Server Core installation) or more Maximum (32-bit systems): 4 GB (Standard) or 64 GB (Enterprise and Datacenter) Maximum (64-bit systems): 32 GB (Standard) or 2 TB (Enterprise, Datacenter, and Itanium-Based
Systems)Available Disk Space:
Minimum: 10 GB Recommended: 40 GB or greaterNote: Computers with more than 16GB of RAM will require more disk space for paging, hibernation,
and dump filesDrive:
DVD-ROM driveDisplay:
Super VGA (800 × 600) or higher resolution monitor
SERVER MANAGEMENTSERVER MANAGEMENT
Initial Configuration TasksServer ManagerRemote Management toolsGroup PolicyWindows PowerShell
Nova konzola za upravljanje serverom
Centralno mjesto za administraciju i upravljanjeMMC 3.0, samo za Windows 2008 local mgmt. Dodavanje novih funkcija (roles) i mogućnosti (features)Lista raspoloživih opcija je proširiva (roles download)Podkonzole za svaki roleReal-time pregled statusa instaliranih komponentiServerManagercmd.exe – CL bazirani Server Manager
Windows Server 2003 SetupSecurity UpdatesManage Your ServerConfigure Your Server WizardWindows ComponentsComputer ManagementSecurity Configuration Wizard
Operating System SetupInitial Configuration TasksServer Manager
DHCP ServerDNS ServerWeb ServerFax ServerTerminal ServicesWindows Deployment ServicesNetwork Access ServicesWSV...
Print Server File Server
Active Directory
Server roles – funkcionalnost servera na mreži
Telnet ServerFailover ClusteringGPMCRPC over HTTPWindows Server BackupStorage Manager for Storage Area Networks (SANs)BitLockerWireless NetworkingRemote Assitance
Server features – dodatne funkcionalnosti na serveru Adminpak.msi više nije dostupan
Remote Server Administration Tools (RSAT) dostupan kao featureRSAT za sada postoji samo za Windows 2008
GROUP POLICY NOVOSTI :Novi format administrativnih template-a – ADMX (XML-based)Nove kategorije za upravljanje kroz GPOPreko 3000 raspoloživih opcija (Win2k3+700)Search & FilterKomentari na opcije u GPOStarter GPOPostavljanje više lokalnih polisa
Windows PowerShell - CL bazirano okruženje izgrađeno na .NET tehnologiji kao alternativa za scripting i batch zadatke• Automatizacija – osnovna namjena PS-a• Kompatibilan sa svim postojećim alatima
Windows PowerShell je novi standard za command-line upravljanje sistemimaCmdlets – alati u Powershell-uWindows PowerShell je administrativni temelj za Windows 2008, Exchange Server 2007, System Center Operations Manager 2007...
Lagano usvajanje◦ Podržava postojeće OS-ove, skripte i CL bazirane
alate
Lagano učenje sintakse◦ Intuitivna sintaksa bazirana na verb-noun šemi
Get-process; stop-process,new-psdrive...
Lagano korištenje◦ Specijalizirani alati i komande za administraciju
(cmdlets)◦ Znatno ubrzava izvođenje nekih zadataka◦ Whatif i confirm switchevi
Pipelining – Vežite komande jednu na drugu!
Rezultat jedne komande koristi se kao ulazni podatak za drugu◦ Npr: Get-Process | Sort-Object –property HandlesRezultat prve komande mora biti kompatibilan sa ulaznim formatom druge◦ Npr : Get-Process | Stop-Service – POGREŠNO◦ Npr: Get-Process | Stop-Process – ISPRAVNO
Za jednaku konfiguraciju server rola na više servera, koristite ServerManagercmd.exe –inputpathSavjeti za početak rada sa WPS : ◦ Get-Help
Ispisuje pomoć o željenoj naredbiNpr: Get-Help Get-Member
◦ Get-CommandIspisuje listu raspoloživih komandi
WINDOWS SERVER WINDOWS SERVER VIRTUALIZATIONVIRTUALIZATION
Testiranje i razvoj
Osiguravanje kontinuiteta
Virtualno okruženje
Konsolidacija servera
Native podrška za virtualizaciju (Hypervisor-type1)Ravnopravan pristup hardveru “hosta” i VMObavezan CPU sa hardverskom virtualizacijom (Intel VT ili AMD-V) i uključenim Data Execution Prevention Radi samo na 64-bitnim verzijama Windows ServeraWsV nije dostupan kao role, po defaultuAdministrativna konzola - MMC
Host OS
VMM
Guest 1 Guest 2
VMM
Guest 1 Guest 2
Host OS VMM
Guest 1 Guest 2
Type-2 VMM Type-1 VMM(Hypervisor)
Hybrid VMM
JVMCLR Virtual PC & Virtual
ServerWindows Virtualization
Hardware Hardware Hardware
Podržava 32-bitne i 64-bitne OS-oveMože se kontrolisati korištenje jezgara procesoraDo 1TB memorije po jednoj VMDirect pass-through disk accessPodrška za virtualne switcheve i NLBPodržana migracija Virtual Server-a na Windows Server virtualizationPodrška za Live migration
ACTIVE DIRECTORY U ACTIVE DIRECTORY U WINDOWS SERVERU 2008WINDOWS SERVERU 2008
NovostiPoboljšan DC deploymentDirectory service AuditingRestartable AD servicesRead Only Domain ControllerDNS: IPv6 Support, Background Zone Loading, RODCFine-grained password policy
DC DEPLOYMENT
Podrška za Server Core DCOpcije pri instalaciji: DNS (default), GC (default), RODCOdabir sajta za smještaj DC-aPodešavanje nivoa funkcionalnosti kroz UI dcpromoJednostavno kreiranje unattend fajlova (Export)
RESTARTABLE AD
Smanjuje broj restarta i pojednostavljuje upravljanjePovećava dostupnost ostalih servisa na serveruOmogućava izvođenje Restore AD operacija i intervencija na AD-u bez restarta u DC Restore modeAD servisi se zaustavljaju i pokreću iz Services konzoleLogon funkcije se prebacuju na druge DC-oveLokalni logoni se vrše preko DC Restore mode accounta
READ ONLY DOMAIN CONTROLLER
Novost u AD-u Windows 2008;Namijenjen fizički manje sigurnim lokacijama i lokacijama bez AD administratora;Samo jednosmjerna replikacija sa PDC emulatora ;PDC emulator mora da bude Windows Server 2008 ;Ne čuva user name i password podatke, samo ih kešira ;Samo jedan RODC u domeni, po sajtu je podržan.
READ ONLY DOMAIN CONTROLLER
RODC podržava separaciju uloga (svaki domain user može biti “lokalni” Administrator na RODC) ;RODC hostira read only DNS ;Može da se instalira na Server Core ;Može da hostira Global Catalog;Ne može imati bilo kakvu operations master ulogu ;Ne može biti bridge-head server;Forest mora da bude u najmanje Windows 2003 modu.
BranchHub
Read Only DC
Windows Server 2008" DC
11
22
33
44
5566
66
112233445566 User logs on and authenticatesRODC: Looks in DB: "I don't have the users secrets"Forwards Request to Windows Server "Longhorn" DCWindows Server "Longhorn" DC authenticates requestReturns authentication response and TGT back to the RODCRODC gives TGT to User and RODC will cache credentials
RODC
FINE-GRAINED PASSWORD POLICY
Današnji problemi sa password politikama : ◦ Fiksirane isključivo na domen◦ Nefleksibilne za veće organizacije◦ Ne daju mogućnost da različite grupe korisnika
imaju različite zahtjeve za password
FINE-GRAINED PASSWORD POLICY
Uklanja ograničenje jedne password politike na nivou domeneMože se primijeniti na grupu i na korisnikaZahtijeva Windows 2008 Domain modeNe primjenjuje se kroz klasični GPO editor interfejsKreira se Password Settings Object (PSO) koji se primjenjuje kao atributOdnosi se na password i lockout polise
Active DirectoryActive Directory
NETWORK ACCESS NETWORK ACCESS PROTECTIONPROTECTION
Nova sigurnosna platforma za mrežnu sigurnost u Windows Serveru 2008;Ograničava pristup mrežnim resursima svim klijentima koji ne zadovoljavaju definisani health policy, bez obzira na interfejs spajanja ;Djelomično uporediva sa VPN Quarantine, sa širim dijapazonom djelovanja i jednostavnijom administracijom ;Podržan na Windows Vista i Windows XP SP3 klijentskim platformama ;Koristi informacije iz Security Centra Windows-a.
Sistemski zahtjevi za NAP :
NAP capable client (Vista ili XPSP2)NAP/NPS server (Windows Server 2008)Domain Controller (Win2003/2008)DHCPRRASCA
11
RestrictedRestrictedNetworkNetworkNetworkNetwork
Policy Server Policy Server
33
Policy ServersPolicy ServersMicrosoft Security Microsoft Security
Center, SMS, AntigenCenter, SMS, Antigenor 3or 3rd rd party party
Policy Policy compliantcompliantDHCP, VPNDHCP, VPN
Switch/Router Switch/Router
22 Fix UpFix UpServersServers
WSUS, SMS & 3WSUS, SMS & 3rdrd
partyparty
Corporate NetworkCorporate Network55
Not policy Not policy compliantcompliant 44
Primjenjiv je na :
IPSec bazirane komunikacije (ne dozvoljava IPSec komunikaciju bez zadovoljavanja policy uslova) ;
Konekcije koje koriste 802.1x za autentikaciju ;
VPN konekcije (obavlja sličnu funkciju kao VPN Quarantine, sa jednostavnijom implementacijom) ;
Terminal Services Gateway ;
DHCP ;
NAP platformske komponente
NAP agent i NAP enforcement client (servisi na klijentu) ;Network access uređaj ;NPS server (nosilac policy-a, zamjena za IAS);System health server ;Remediation server ;Health certificate server.
Primjena Healthy Client Unhealthy Client
DHCP Regularna IP adresa i puni pristup
Ograničen skup ruta, nema DG
VPN Puni pristup Ograničena komunikacija(IP filteri)
802.1X Puni pristup Ograničena komunikacija (IP filteri)
TSG Puni pristup Nema pristupa
IPsec
Može komunicirati sa svakim trusted hostom
Healthy hostovi odbijaju zahtjeve unhealthy hostova
•Radi sa postojećim serverima i infrastrukturom•Fleksibilna izolacija
Obavezno definišite polisu za hostove koji ne podržavaju NAP!
Internet
Application servers
Active Directory
Intranet
Radiusserver
VPNServer
Firewall, Web Proxy or NAT router
Load Balancer or
NAT router
XPPTP, IPSecInternet
Application servers
Active Directory
Intranet
Radiusserver
VPNServer
Firewall, Web Proxy or NAT router
Load Balancer or
NAT router
SSTP (over SSL)
SECURE SOCKET TUNNELING SECURE SOCKET TUNNELING PROTOCOLPROTOCOL
Enkapsulacija PPP saobraćaja unutar HTTP preko SSLRješava probleme blokiranih portova za VPNZa korisnike upotreba ostaje istaNačin administracije RRAS-a ostaje istiPotreban certifikat za SSTP serverPodrška u Win2008 i Vista SP1Podržava i NAPNe podržava site to site VPN linkove
VPN Client VPN Server (RRAS)
Radius Server (IAS, NPS)
Active Directory(DC)
ApplicationServers
Internet
2) TCP Connection (destination port 443)
3)HTTPS Handshake(server certificate is validated by client)
4) SSTP Handshake(enable PPP
encapsulation over SSL)
5) PPP Handshake(Authentication, Addressing and authorization)
6) Radius Handshake(Authentication, Addressing and Authorization)
7) AD Handshake(Authentication)
9) Application traffic (over SSTP VPN tunnel)
8) IP InterfaceCreated
1) Start VPN connection
Attributes PPTP L2TP/IPsec SSTPEncapsulation GRE L2TP over UDP SSTP over TCP
Encryption Microsoft Point-to-Point Encryption (MPPE) with RC4
IPsec ESP with Triple Data Encryption Standard (3DES) or Advanced Encryption Standard (AES)
SSL with RC4 or AES
Tunnel maintenance protocol
PPTP L2TP SSTP
When user authentication occurs
Before encryption begins
After the IPsec session is established
After the SSL session is establishedCertificates required
to establish the VPN tunnel
None Computer certificates on both the VPN client and VPN server
Computer certificate on the VPN server and root CA certificate on the VPN client
SERVER CORESERVER CORE
Minimalna instalacijska opcija Windows Servera 2008 ;
Samo core funkcionalnost serverskog OS-a;
Nema grafičkog interfejsa, samo Command Line ;
Podržane uloge :DHCP,File Server,DNS,Domain Controller, ADLDS, Virtualization server...
Neće biti jeftiniji i nema PowerShell
Podržava instalaciju DC i RODC-aInstaliranje AD servisa samo kroz unattended načinMali zahtjevi za disk prostorom (cca. 1GB)Ograničena podrška za hardver i drajverePovećana stabilnostRemote management :◦ CLI◦ Remote Desktop Protocol◦ MMC
Zašto Core?Sigurnije je (manje tačaka za napad);
Windows Server se često instalira samo zbog jednog servisa;
Bolje korištenje resursa (radi sa znatno manje resursa nego puna verzija);
Vrlo pogodno za virtualizaciju ;
Manje zahtjevan patch management.
TERMINAL SERVICESTERMINAL SERVICES
NOVOSTI:
Terminal Services Gateway – RDP over HTTPSRemoteProgramsTS Web AccessTS single sign-onTS Easy print
Pristup RDP-om na hosta u internoj mreži bez uspostave VPN konekcijeTSG Server – gateway prema ostalim računarimaKoristi se samo TCP 443Podržava NAPMogućnost konfigurisanja polisa (NPS)Precizna kontrola i jednostavna konfiguracija
DMZDMZ
HTTPS / 443
InternetInternet Corp LANCorp LAN
Terminal Server
Hotel
Exte
rnal
Fire
wall
Inte
rnal
Fire
wall
Home
Business Partner/Client Site
Other RDPHosts
TerminalServer
Internet
Terminal Services Gateway Server
Tunnels RDP Tunnels RDP over over
RPC/HTTPSRPC/HTTPS
Passes Passes RDP/SSL RDP/SSL
traffic to TStraffic to TS
Strips off Strips off RPC/HTTPSRPC/HTTPS
Network Policy Server
Active Directory DC
RPC over HTTPS – Outlook AnywhereRDP over HTTPS – Terminal services gatewayVPN over HTTPS – VPN Access
Pokretanje terminal programa kao lokalnih aplikacijaDistribucija putem .msi ili .rdp fajlovaMogućnost asocijacije ekstenzijaZnačajno olakšanje za krajnje korisnike
Terminal ServicesGateway Server
Remote Desktop client
required
WINDOWS DEPLOYMENT WINDOWS DEPLOYMENT SERVICESSERVICES
Današnji problemi u deploymentu OS
Potreba za korištenjem više različitih alata ili SMS 2003Veliki broj image fajlovaNemogućnost ažuriranja image fajlovaZavisnost od hardverske platformeMigracija korisničkih podatakaCapturing (potreban third-party alat ili SMS)
End-to-end rješenje za čiste instalacijeWindows 2008 Server role (u SP2 za Win2003)Deployment za Windows Vista, Windows Server 2008, Windows XP, Win2K3, i Win2KPodrška za .WIM format i SysprepPXE boot i non-PXE boot opcijePotpuno automatizirana instalacija klijenataIntegracija sa AD-om
Instalacija serveraKonfiguracija serveraDodavanje image fajlovaDeployment klijenataOdržavanje image fajlova
Installation Configuration Image Add Deployment Maintenance
Inicijalizacija serveraKreiranje RemoteInstall dijeljene lokacijePokretanje servisaKonfiguracija lokalnog DHCP-a
Boot Image fajlovi◦ WinPE 2.0 u WIM formatu◦ Capture imageImage fajlovi za instalaciju OS-a◦ Sysprepped OS image in WIM formatBasic – Image install.wim sa DVD medijaCustom –modifikovani WIM fajlovi
Kreiranje custom sysprepped image fajlova uz WDS image capture utilityAžuriranje sa drajverima, jezičkim paketima, hotfixevimaOffline servicing = ažuriranje image fajla prije instalacija na novi hardverOnline servicing = ažuriranje image fajla nakon instalacje◦ Windows System Image Manager
Image Capture Process
Instalacija OS na referentnu mašinu
Prilagođavanje OS-a, instaliranje aplikacija,drajvera i sl.
Sysprep
Boot mašine sa WDS Capture image
1
VolumeVolume
WIMWIM
Kreiranje WDS Capture image
Pokretanje WDS Capture alata i upload image fajla na WDS server
2
3
4
5
6
WDS WDS CaptureCapture
CERTIFIKACIJA NA WINDOWS CERTIFIKACIJA NA WINDOWS SERVERU 2008SERVERU 2008
Linija koja je doživjela najviše promjenaNema više MCSA i MCSE zvanjaTri MCTS pravaca (za sada)Dva MCITP pravca koja donekle mijenjanju MCSA i MCSEMoguć djelimičan upgrade sa MCSA/MCSE certifikata (samo za verziju 2003)
Počnite što prije!Microsoft sertifikacija – najbrži put do stalnog zaposlenja!