490 likes | 748 Vues
Windows Server Core. Piotr Pawlik | blackrider@pjwstk.edu.pl|. Agenda. Wprowadzenie do Core Server Konfiguracja początkowa serwera Zarządzanie rolami | role serwera Tips and Tricks ... Część 2. Wprowadzenie. Gdzie task bar i menu?. Nie ma
E N D
Windows Server Core Piotr Pawlik | blackrider@pjwstk.edu.pl|
Agenda • Wprowadzenie do Core Server • Konfiguracja początkowa serwera • Zarządzanie rolami | role serwera • Tips and Tricks • ... • Część 2
Gdzie task bar i menu? • Nie ma • Brak desktop shell (no glass, wallpaper, ...) • Brak serwer managera, initial configuration task, windows explorer, mojego komputera • brak .NET Framework i CLR (brak PowerShell?) • Brak MMC console snap-ins • Brak panelu sterownia ; IE, Paint
To co jest ? • Po pierwsze Kernel, który być musi • Hardware Components (HAL) i drivery, ale ograniczona ilość (oczywiście jest możliwość instalacji driverów) • Core subsystem – Winlogon, security subsystem, networking system, ile system, ROC and DCOM, SNMP • Bardzo duża ilość komponentów -> tworzenie kont użytkowników, zmiana haseł, DHCP oraz statyczna adresacja, zmiana nazwy serwera
To co jest ? • Można przyłączyć serwer do domeny • Konfigurować firewall • Włączyć Automatic Updates • Keyboard layout, ustawienia czasu i godziny • Zdalny pulpit • Do tego wszystkiego mamy narzędzia command linowe, których jest ogromna ilość!!!
To co jest ? • Mamy oczywiście Event Loga oraz narzędzie cmd do przeglądania, konfiguracji, forwardowania zdarzeń • Performance counters • Licensing service > możemy aktywować serwer • IPSec support, NAP client, wsparcie dla Group Policy oczywiście • Notepad – na życzenie społeczności
Pierwsze logowanie • Logujemy się na konto Administrator z pustym hasłem, zostajemy poproszeni o podanie nowego • Pojawia się command-line i co dalej... ? • Task Manager (jeśli zamkniemy cmd) to: • CTRL + SHIFT + ESC > otwieramy Task Managera • W zakładce Applications, klikamy New Task • Wpisujemy cmd i OK
Zalety wersji Core • Mała powierzchnia ataku na serwer > mniej plików, usług, które są narażone • Mniej patchy, poprawek • Mniej miejsca dyskowego(plus dla środowisk datacenter) • Większa wydajność dla specyficznych ról zainstalowanych na serwerze
Role w wersji CORE • Active Directory Domain Services (AD DS) • Active Directory Lightweight Directory Services (AD LDS) • DHCP Server • DNS Server • File Services • Hyper-V • Print Services • Streaming Media Services • Web Server (IIS)
Niedostępne role w wersji Core • AD Certificate Services • AD Federation Services • Active Directory RMS • Application Server • Fax Server • NPS/NAP • Terminal Services • Windows Deployment Services • Windows Sharepoint Services
Dostępne ficzery „Features” • BitLocker Drive Encryption • Failover Clustering • Multipath I/O • RREmovable Storage Management • SNMP Services • Subsystem for UNIX-based Application • Telnet Client • Windows Server Backup • WINS Server
Konfiguracja początkowa serwera • Oczywiście większość zadań może być skonfigurwana podczas instalacji nienadzorowanej przy pomocy pliku unattend.xml • My skorzystamy z opcji konfigurowanych za pomocą cmd-line
Server Core Initial Configuration Task list • Set Administrator Password • Product Activation • Set Date and Time • Set IP Address • Set Computer Name • Join into Domain • Install Roles \ Features • Set Automatic updates • Enable Firewall Rules for Remote Management
Ustawienie hasła Administratora CTRL + ALT + DEL > Change Password Cmd > net user Adminstrator *
Ustawienie Daty, czasu i strefy • Wpisz > control timedate.cpl
| mniej Shell vs. mniej GUI | • W core jest małe wsparcie dla GUI. • DLLki > gdi32.dll oraz shlwami.dll • Dla łatwiejszego zarządzania serwerem wprowadzo minimalną obsługę GUI • Notepad ! • Control timedate.cpl > time, date, timezone • Cibtrik intl.cpl > keyboard layout
Konfiguracja Sieci • Po pierwsze odpalmy ipconfig /all • Można zauważyć że będzie wyświetlał dwa interfejsy na maszynce: fizyczny (NIC) i ISATAP tunneling interface.
Konfiguracja sieci • Zanim wykonamy polecenie netsh.exe do mydyfkiwania ustawień interfejsu, musimy wiedzieć który int konfigurować • cmd> netsh interface ipv4 show interfaces
Konfiguracja sieci • Widać, że interfejs fizyczny Local Area Connection ma index 2. Teraz możemy go adresować: IP Address: 192.168.10.1 Subnet Mask: 255.255.255.0 Default GW: 192.168.1.1 Primary DNS server: 192.168.1.1 Secondary DNS server: none
Konfiguracja sieci • Cmd> netsh interface ipv4 set address name=”2” source=static address=192.168.10.1 mask=255.255.255.0 gateway=192.168.1.1 • Cmd> netsh interface ipv4 add dnsserver name=”2” address=192.168.1.1 index=1
So far, so good. Let’s move on • Teraz możemy wykonać ipconfig /all i sprawdzić rezultat
Zmiana nazwy serwera • Przy instalacji server name jest randomowo generowany. Żeby zmienić nazwę należy skorzystać z netdom.exe • Najpierw zobaczymy jaka jest obecna nazwa, i wtedy zmienimy ją na DNSSRV, ponieważ planujemy promować maszynkę na serwer DNS. • Musimy zrestartować maszynkę: cmd> Shutdown /r /t 0
Zmiana nazwy serwera > netdom renamecomputer %computername% /NewName:DNSSRV
Dołączenie do domeny • Netdom.exe ponownie • Dołączymy serwer do domeny dotcore.local • > netdom join DNSSRV /domain:DOTCORE /user:Administrator /passwordd:* • Restart wymagany > shutdown /r /t 0
Dołączenie maszyny do domeny Shutdown /r /t 0 Logujemy się jako domain admin i wydajemy polecenie netdom.exe ponownie, aby sprawdzić czy serwer nawiązał połączenie przez bezpieczny kanał z kontrolerem.
Dołączenie maszyny do domeny • > netdom verify /d:dotcore DNSSRV
Aktywacja serwera • Aby aktywować możemy użyć wbudowanego skryptu slmgr.vbs z %windir%\System32 • Ten skrypt dostępny również w Vista • Może być wykonany zdalnie z innej maszynki • Wpisz cscript slmgr.vbs /?– zobaczysz składnie
Aktywacja serwera • Wpisz z parametrem –xpr aby zobaczyć datę wygaśnięcia obecnej licencji • -dli żeby wyświetlić więcej informacji o stanie licencji
Aktywacja serwera • Teraz można aktywować serwer używając –ato • C:\Windows\system32> cscript slmgr.vbs –ato • Komunikat: • Product activated successfully. • Sprawdź: -xpr i –dli > The machine is permanently activated.
Włączenie Automatic Updates • Mamy kolejny wbudowany skrypt scregedit.wsf. Tylko w wersji Core! • Wpisz > cscript scregedit.wsf /? • Sprawdź obecny stan Automatic Updates: • cscript scregedit.wsf /au /v
Włączenie Updates • C:\Windows\system32\cscript scregedit.wsf /au 4 • Teraz jeszcze raz sprawdź konfigurację updates >> cscript scregedit.wsf /au /v
Zmiana rozdzielczości ekranu • Nie ma toola! • Można za pomocą unattend file • Ale można modyfikować wartość w rejestrze: • HKEY_LOCAL_MACHINE\SYSTEM\CurrntControlSet\Control\Video • \0000\DefaultSettings.Xresolution • \0000\DefaultSettings.YResolution
Zarządzanie Serwerem Core • Po wykonaniu „inicial configuration” możemy zarządzać rolami serwera. • Jak zarządzać: • Lokalnie z command prompt • Zdalnie przez Terminal Services • Zdalnie przez RSAT • Zdalnie przez Group Policy • Zdalnie przez WinRm/WinRS
Instalacja roli na CORE • Żeby sprawdzić jakie mamy dostępne role: • C:\Windows\System32\>oclist
Instalacja roli na Core • Możemy zobaczyć, że rola DNS nie jest zainstalowana. Możemy jeszcze sprawdzić wydając polecenie net start
Instalacja roli DNS Server Tylko binarki do DNS clienta są obecnie zainstalowane: No to instalujemy rolę serwera DNS korzystając z ocsetup.exe: Teraz można wydać polecenie oclist oraz dir dns*.* > rezultaty...
Instalacja roli na Core • Teraz można użyć np. Net stop dns, aby zatrzymać usługę DNS. • dnscmd.exe do konfiguracji/zarządzania usługą DNS • Korzystając z ocsetup.exe możemy zainstalować inne role serwera – opócz AD DS! • Do instalacji Active Directory > dcpromo /unattend:unattend.txt
Przykładowy plik unattend.txt [DCInstall] ReplicaOrNewDomain = Domain NewDomain = Forest NewDomainDNSName = dotcore.com AutoConfigDNS = Yes DNSDelegation = Yes DNSDelegationUserName = dnsuser DNSDelegationPassword = p@ssw0rd! RebootOnSuccess = NoAndNoPrompEither SafeModeAdminPassword = p@ssw0rd!
Instalacja ficzerów • Używając ocsetup.exe • Oclist – zobaczymy dostępne ficzery • /uninstall – możemy usunąć ficzer/rolę Przykładzik:
Inne przykładowe zadania adminstracyjne na CORE • Core ma wsparcie dla PnP. Jeśli urządzenie jest w in-box driver to isntaluje się automatycznie. Jeśli nie to trzeba: • 1) skopiować driver na dysk tymczasowo • 2) pnputil –i –a <driver>.inf • 3) restrat serwera jeśli będzie taka potrzeba • Jakie drivery mamy zainstalowane?: • sc query type = driver
Nie AU! Chcę updaty z WSUS! • Jeśli mamy wdrożonego WSUSa to: • Wusa <patch>.msu /quiet • Odinstalowanie patcha: • Pkgmgr /up /m:<package>.cab /quiet
Remote Management via TS • Można zarządzać z innego komputera naszym serwerem Core przez Terminal Services. • Najpierw trzeba włączyć Remote Desktop: • cscript scregedit.wsf /ar 0 > enable RDP • cscript scregedit.wsf /ar 1 > disable RDP • cscript scregedit.wsf /ar /v > ustawienia RDP
Remote Management via TS • Aby łączyć się z komputerów innych niż Vista (pre-Vista) trzeba wyłączyć enhanced security: • cscript scregedit.wsf /cs 0
Remote Admnistration via Group Policy • Konfiguracja firewalla > netsh advfirewall • Nie jest to przyjemne! • Wrzucamy serwer do OU i tworzymy nową polisę, gdzie konnfigurujemy Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security
Co na następnych zajęciach • Serwer Core część 2 • Instalacja kontrolera domeny na serwerze Core | konfiguracja DNS | • Instalacja serwera DHCP | konfiguracja • ...
Materiały • http://technet2.microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true Command - Line Reference • http://technet2.microsoft.com/windowsserver/en/library/552ed70a-208d-48c4-8da8-2e27b530eac71033.mspx?mfr=true
http://dotcore.pjwstk.edu.plPiotr Pawlik piotr.pawlik@pjwstk.edu.pl Dziękuję za uwagę