Piotr Pawlik | blackrider@pjwstk.edu.pl| Windows Server Core Piotr Pawlik | blackrider@pjwstk.edu.pl|
Agenda Wprowadzenie do Core Server Konfiguracja początkowa serwera Zarządzanie rolami | role serwera Tips and Tricks ... Część 2
Wprowadzenie
Gdzie task bar i menu? Nie ma Brak desktop shell (no glass, wallpaper, ...) Brak serwer managera, initial configuration task, windows explorer, mojego komputera brak .NET Framework i CLR (brak PowerShell?) Brak MMC console snap-ins Brak panelu sterownia ; IE, Paint
To co jest ? Po pierwsze Kernel, który być musi Hardware Components (HAL) i drivery, ale ograniczona ilość (oczywiście jest możliwość instalacji driverów) Core subsystem – Winlogon, security subsystem, networking system, ile system, ROC and DCOM, SNMP Bardzo duża ilość komponentów -> tworzenie kont użytkowników, zmiana haseł, DHCP oraz statyczna adresacja, zmiana nazwy serwera
To co jest ? Można przyłączyć serwer do domeny Konfigurować firewall Włączyć Automatic Updates Keyboard layout, ustawienia czasu i godziny Zdalny pulpit Do tego wszystkiego mamy narzędzia command linowe, których jest ogromna ilość!!!
To co jest ? Mamy oczywiście Event Loga oraz narzędzie cmd do przeglądania, konfiguracji, forwardowania zdarzeń Performance counters Licensing service > możemy aktywować serwer IPSec support, NAP client, wsparcie dla Group Policy oczywiście Notepad – na życzenie społeczności
Pierwsze logowanie Logujemy się na konto Administrator z pustym hasłem, zostajemy poproszeni o podanie nowego Pojawia się command-line i co dalej... ? Task Manager (jeśli zamkniemy cmd) to: CTRL + SHIFT + ESC > otwieramy Task Managera W zakładce Applications, klikamy New Task Wpisujemy cmd i OK
Zalety wersji Core Mała powierzchnia ataku na serwer > mniej plików, usług, które są narażone Mniej patchy, poprawek Mniej miejsca dyskowego (plus dla środowisk datacenter) Większa wydajność dla specyficznych ról zainstalowanych na serwerze
Role w wersji CORE Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) DHCP Server DNS Server File Services Hyper-V Print Services Streaming Media Services Web Server (IIS)
Niedostępne role w wersji Core AD Certificate Services AD Federation Services Active Directory RMS Application Server Fax Server NPS/NAP Terminal Services Windows Deployment Services Windows Sharepoint Services
Dostępne ficzery „Features” BitLocker Drive Encryption Failover Clustering Multipath I/O RREmovable Storage Management SNMP Services Subsystem for UNIX-based Application Telnet Client Windows Server Backup WINS Server
Konfiguracja początkowa serwera Oczywiście większość zadań może być skonfigurwana podczas instalacji nienadzorowanej przy pomocy pliku unattend.xml My skorzystamy z opcji konfigurowanych za pomocą cmd-line
Server Core Initial Configuration Task list Set Administrator Password Product Activation Set Date and Time Set IP Address Set Computer Name Join into Domain Install Roles \ Features Set Automatic updates Enable Firewall Rules for Remote Management
Ustawienie hasła Administratora CTRL + ALT + DEL > Change Password Cmd > net user Adminstrator *
Ustawienie Daty, czasu i strefy Wpisz > control timedate.cpl
| mniej Shell vs. mniej GUI | W core jest małe wsparcie dla GUI. DLLki > gdi32.dll oraz shlwami.dll Dla łatwiejszego zarządzania serwerem wprowadzo minimalną obsługę GUI Notepad ! Control timedate.cpl > time, date, timezone Cibtrik intl.cpl > keyboard layout
Konfiguracja Sieci Po pierwsze odpalmy ipconfig /all Można zauważyć że będzie wyświetlał dwa interfejsy na maszynce: fizyczny (NIC) i ISATAP tunneling interface.
Konfiguracja sieci Zanim wykonamy polecenie netsh.exe do mydyfkiwania ustawień interfejsu, musimy wiedzieć który int konfigurować cmd> netsh interface ipv4 show interfaces
Konfiguracja sieci Widać, że interfejs fizyczny Local Area Connection ma index 2. Teraz możemy go adresować: IP Address: 192.168.10.1 Subnet Mask: 255.255.255.0 Default GW: 192.168.1.1 Primary DNS server: 192.168.1.1 Secondary DNS server: none
Konfiguracja sieci Cmd> netsh interface ipv4 set address name=”2” source=static address=192.168.10.1 mask=255.255.255.0 gateway=192.168.1.1 Cmd> netsh interface ipv4 add dnsserver name=”2” address=192.168.1.1 index=1
So far, so good. Let’s move on Teraz możemy wykonać ipconfig /all i sprawdzić rezultat
Zmiana nazwy serwera Przy instalacji server name jest randomowo generowany. Żeby zmienić nazwę należy skorzystać z netdom.exe Najpierw zobaczymy jaka jest obecna nazwa, i wtedy zmienimy ją na DNSSRV, ponieważ planujemy promować maszynkę na serwer DNS. Musimy zrestartować maszynkę: cmd> Shutdown /r /t 0
Zmiana nazwy serwera > netdom renamecomputer %computername% /NewName:DNSSRV
Dołączenie do domeny Netdom.exe ponownie Dołączymy serwer do domeny dotcore.local > netdom join DNSSRV /domain:DOTCORE /user:Administrator /passwordd:* Restart wymagany > shutdown /r /t 0
Dołączenie maszyny do domeny Shutdown /r /t 0 Logujemy się jako domain admin i wydajemy polecenie netdom.exe ponownie, aby sprawdzić czy serwer nawiązał połączenie przez bezpieczny kanał z kontrolerem.
Dołączenie maszyny do domeny > netdom verify /d:dotcore DNSSRV
Aktywacja serwera Aby aktywować możemy użyć wbudowanego skryptu slmgr.vbs z %windir%\System32 Ten skrypt dostępny również w Vista Może być wykonany zdalnie z innej maszynki Wpisz cscript slmgr.vbs /? – zobaczysz składnie
Aktywacja serwera Wpisz z parametrem –xpr aby zobaczyć datę wygaśnięcia obecnej licencji -dli żeby wyświetlić więcej informacji o stanie licencji
Aktywacja serwera Teraz można aktywować serwer używając –ato C:\Windows\system32> cscript slmgr.vbs –ato Komunikat: Product activated successfully. Sprawdź: -xpr i –dli > The machine is permanently activated.
Włączenie Automatic Updates Mamy kolejny wbudowany skrypt scregedit.wsf. Tylko w wersji Core! Wpisz > cscript scregedit.wsf /? Sprawdź obecny stan Automatic Updates: cscript scregedit.wsf /au /v
Włączenie Updates C:\Windows\system32\cscript scregedit.wsf /au 4 Teraz jeszcze raz sprawdź konfigurację updates >> cscript scregedit.wsf /au /v
Zmiana rozdzielczości ekranu Nie ma toola! Można za pomocą unattend file Ale można modyfikować wartość w rejestrze: HKEY_LOCAL_MACHINE\SYSTEM\CurrntControlSet\Control\Video \0000\DefaultSettings.Xresolution \0000\DefaultSettings.YResolution
Zarządzanie Serwerem Core Po wykonaniu „inicial configuration” możemy zarządzać rolami serwera. Jak zarządzać: Lokalnie z command prompt Zdalnie przez Terminal Services Zdalnie przez RSAT Zdalnie przez Group Policy Zdalnie przez WinRm/WinRS
Instalacja roli na CORE Żeby sprawdzić jakie mamy dostępne role: C:\Windows\System32\>oclist
Instalacja roli na Core Możemy zobaczyć, że rola DNS nie jest zainstalowana. Możemy jeszcze sprawdzić wydając polecenie net start
Instalacja roli DNS Server Tylko binarki do DNS clienta są obecnie zainstalowane: No to instalujemy rolę serwera DNS korzystając z ocsetup.exe: Teraz można wydać polecenie oclist oraz dir dns*.* > rezultaty... Przełącznik /w ze startem > dopóki ocsetup nie skończy zadania nie zostanie przekazany kursor
Instalacja roli na Core Teraz można użyć np. Net stop dns, aby zatrzymać usługę DNS. dnscmd.exe do konfiguracji/zarządzania usługą DNS Korzystając z ocsetup.exe możemy zainstalować inne role serwera – opócz AD DS! Do instalacji Active Directory > dcpromo /unattend:unattend.txt
Przykładowy plik unattend.txt [DCInstall] ReplicaOrNewDomain = Domain NewDomain = Forest NewDomainDNSName = dotcore.com AutoConfigDNS = Yes DNSDelegation = Yes DNSDelegationUserName = dnsuser DNSDelegationPassword = p@ssw0rd! RebootOnSuccess = NoAndNoPrompEither SafeModeAdminPassword = p@ssw0rd!
Instalacja ficzerów Używając ocsetup.exe Oclist – zobaczymy dostępne ficzery /uninstall – możemy usunąć ficzer/rolę Przykładzik:
Inne przykładowe zadania adminstracyjne na CORE Core ma wsparcie dla PnP. Jeśli urządzenie jest w in-box driver to isntaluje się automatycznie. Jeśli nie to trzeba: 1) skopiować driver na dysk tymczasowo 2) pnputil –i –a <driver>.inf 3) restrat serwera jeśli będzie taka potrzeba Jakie drivery mamy zainstalowane?: sc query type = driver
Nie AU! Chcę updaty z WSUS! Jeśli mamy wdrożonego WSUSa to: Wusa <patch>.msu /quiet Odinstalowanie patcha: Pkgmgr /up /m:<package>.cab /quiet
Remote Management via TS Można zarządzać z innego komputera naszym serwerem Core przez Terminal Services. Najpierw trzeba włączyć Remote Desktop: cscript scregedit.wsf /ar 0 > enable RDP cscript scregedit.wsf /ar 1 > disable RDP cscript scregedit.wsf /ar /v > ustawienia RDP
Remote Management via TS Aby łączyć się z komputerów innych niż Vista (pre-Vista) trzeba wyłączyć enhanced security: cscript scregedit.wsf /cs 0
Remote Admnistration via Group Policy Konfiguracja firewalla > netsh advfirewall Nie jest to przyjemne! Wrzucamy serwer do OU i tworzymy nową polisę, gdzie konnfigurujemy Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security
Co na następnych zajęciach Serwer Core część 2 Instalacja kontrolera domeny na serwerze Core | konfiguracja DNS | Instalacja serwera DHCP | konfiguracja ...
Materiały Command - Line Reference http://technet2.microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true Command - Line Reference http://technet2.microsoft.com/windowsserver/en/library/552ed70a-208d-48c4-8da8-2e27b530eac71033.mspx?mfr=true
http://dotcore.pjwstk.edu.pl Piotr Pawlik piotr.pawlik@pjwstk.edu.pl Dziękuję za uwagę http://dotcore.pjwstk.edu.pl Piotr Pawlik piotr.pawlik@pjwstk.edu.pl