Esipuhe
Olen näissä asioissa totaalinen amatööri ja vain ilmeisesti liiasta vapaa-ajasta johtuen on tullut omaa harrastustani julkaistua tällä tavalla. Sinä guru tai vain tarkkasilmäinen joka havaitset täällä jotain aivan järkyttävää tai muuten vain älyttömiä epätotuuksia. Ilmoita siitä minulle. Olen enemmän kuin avoin neuvoille ja ohjaukselle:). Tietenkin toiveet käsiteltävistä asioista ovat myös tervetulleita.
Domainin perustaminen
Tavoite: windows 2008 active directory domain. Domainiin perustetaan kaksi domain controlleria (normaali palvelin ja server core versio).
Normaalin Windows 2008 serverin asennus
Aloita asennus asettamalla asennus dvd dvd-asemaan ja käynnistä kone siltä.
Aluksi valitaan halutut maa-asetukset.
Harjoitusta varten ei tarvita kuin 60 päivän kokeiluversio. Ota se käyttöön seuraavasti.
Paina ”next”
Paina ”No”
Tee valinnat kuvan mukaisesti ja paina ”Next”
Osioi levy. Valitse ”custom”
Luo kuvan mukaiset osiot ja paina ”Next”
Varsinainen Asennus alkaa! Odota kunnes seuraavanlaista ilmestyy.
Paina ”ok” ja syötä haluamasi salasana.
Domainin luominen
Kirjaudu palvelimelle ”administrator” -tunnuksella. Käynnistä ”server manager” -hallinta konsoli (aukeaa oletuksena automaattisesti).
Esivalmistelut
Muuta palvelimen nimi halutuksi (esim. testidc). Käynnistä palvelin uudelleen!
Ota käyttöön kiinteä ip-osoite (esim. 192.168.0.1 ja subnet mask 255.255.255.0). Lisäksi ota pois käytöstä IPv6-protokolla. Kyseistä protokollaa voi käyttää, mutta sitä ei harjoituksessa tarvita ja näin vältymme turhalta työltä.
Asennetaan ”active directory domain services”. Etsi server managerista kohta ”add roles”.
Etene kohtaan “select server roles” ja valitse ”active directory domain services”.
Aja wizard loppuun saakka jonka jälkeen olet valmis aloittamaan domainin perustamisen.
Domainin luominen
Käynnistä dcpromo.exe
Etene oletuksilla kohtaan ”configure domain name system client settings”. Aktiivihakemisto vaatii DNS palvelun toimiakseen. Aseta täppä kuvan mukaisesti niin DNS palvelu asennetaan automaattisesti.
”Choose a deployment configuration”. Valitse “Create a new domain in a new forest”
Kohdassa “name the forest root domain” syötä haluttu FQDN nimi (esim. testi.local).
Kohdassa ”Set forest functional level”valitse “Windows Server 2008"
Harjoituksessa luodaan uusi domain uuteen metsään jolloin on sama nostaa toiminnallisuustaso ylimpään mahdolliseen. Tosi elämässä on luonnollisesti otettava huomioon olemassa oleva infra. Esimerkiksi 2008 tasolla toimivaan metsään ei voi lisätä vanhempia versioita (esim 2003 domain controlleria).
Paina ”yes”
Aktiivihakemiston tietokannasta voi palauttaa mm. vanhoja käyttäjätilejä. Tätä toimintoa varten pitää käyttää ”directory services restore mode” tilaa. Kyseinen toiminto vaatii oman salasanan. Anna sellainen.
Nyt voisit luoda vastaustiedoston tekemistäsi asetuksista, tällöin dcpromon voi ajaa automaattisesti samoilla asetuksilla. Tähän ei nyt kuitenkaan ole tarvetta.
Lopulta aktiivihakemiston perustaminen alkaa…
Kun palvelin on käynnistynyt uudestaan käy lisäämässä verkkoasetuksiin DNS palvelimen oikea osoite.
Windows 2008 server core-version asennus
Seuraa normaalin version asennusohjetta, mutta valitse versio kuvan mukaisesti.
Server core version lisääminen toiseksi domain controlleriksi
Aloitetaan vaihtamalla palvelimen nimi.
netdom renamecomputer %computername% /NewName:uusinimi
Tämän jälkeen uudelleenkäynnistä palvelin.
shutdown –r
Selvitetään tarvittavat tiedot verkkokortista jotta asetuksia voidaan määritellä.
netsh interface ipv4 show interface
Annetaan verkkokortille kiinteä ip-osoite.
netsh interface ipv4 set address name="[Idx]" source=static address=[ip osoite] mask=[subnet mask] gateway=[gateway]
Ja DNS palvelin. Index arvo määrittelee onko dns palvelin ensisijainen vai toissijainen (1 = ensisijainen).
netsh interface ipv4 add dnsserver name="[Idx]" address=[dns palvelimen osoite] index=1
Liitetään palvelin domainiin (liittämistä ei ole pakko tehdä tässä vaiheessa, mutta opitaan tässä hieman ylimääräistä).
netdom join koneennimi /domain:domaininnimi /userd:käyttäjätunnus /passwordd:käyttäjänsalasana
Käyttäjänä voit käyttää domainin ”administrator” käyttäjää.
Käynnistä palvelin uudestaan
shutdown -r
Server coressa ei ole graafista käyttöliittymää joten dcpromoa ei voi ajaa perinteisen serverin tyyliin. Tällöin pitää luoda vastaustiedosto, joka kertoo dcpromolle mitä tehdä.
Luo seuraavanlainen txt tiedosto (tiedostonimellä ei ole väliä).
[DCINSTALL]
ReplicaOrNewDomain=Replica
DNSOnNetwork=yes
ConfirmGC=Yes
DomainNetbiosName=domaininnetbiosnimi
ReplicaDomainDNSName=domaininFQDNnimi
SiteName=Default-First-Site-Name
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\sysvol
SafeModeAdminPassword=safemodensalasana
CriticalReplicationOnly=No
RebootOnCompletion=yes
Voit tehdä tiedoston vaikka perinteisellä serverillä ja laittaa sen levyjakoon. Jaon saat näkyviin server coressa komennolla:
net use haluttuasemakirjain: \\palvelin\jaonnimi
Tai käytä server coressa olevaa notepad-ohjelmaa. Ohjelma käynnistyy komennolla notepad. Sitten ollaankin valmiita promottamaan. Kirjaudu palvelimelle domain admin-tasoisella tunnuksella!
dcpromo /unattend:asetustiedosto.txt
Uudelleenkäynnistyksen jälkeen kumpikin kone toimii domain controllerina. Voit tarkistaa asian perinteisen palvelimen server managerista(roles->active directory users and computers->domaini->domain controllers).
Mitä iloa on server coresta?
1. Syö vähemmän resursseja (varsinkin virtuaalipalvelinympäristöissä hyödyllinen).
2. Kaikki turha karsittu pois; vähemmän rajapintaa johon voidaan tehdä hyökkäyksiä, jolloin tietoturvallisempi sekä vähemmän asioita jotka voivat kaataa palvelimen.
3. Ei tarvitse lähellekään kaikkia windowsin päivityksiä, vähemmän ”buutteja” ja vähemmän mahdollisuuksia että päivitykset sekoittaisivat tärkeän palvelun.
DNS
Reverse lookup zone
Mene server managerissa kohtaan DNS Server ja valitse “reverse lookup zones” kohdassa “new zone”.
Etene oletusasetuksilla. Varmista kuitenkin että asetukset ovat kuvien mukaiset.
Määrittele tarkkailtava alue.
Lopulta voit tarkistaa toimivuuden server managerista.
Forwarder ja root hints
Kun ympäristö on kytketty julkiseen internetiin tulee luonnollisesti kyselyitä joihin paikallinen DNS ei osaa vastata. Tällöin liikenne ohjataan eteenpäin esim palveluntarjoajan DNS palvelimeen.
Valitse DNS -> properties.
Forwarders välilehti ja edit.
Syötä käytettävät palvelimet.
Jos yksikään valituista forwardereista ei vastaa käytetään root hintsejä.
Root hints välilehdellä näet käytössä olevat palvelimet. Tiedot voivat luonnollisesti muuttua. Näitä tietoja voit luonnollisesti muokata manuaalisesti tai sitten kopioimalla tiedot toiselta palvelimelta painamalla copy from server. Root hints tietoja voi tarkastaa sivustolta http://www.iana.net/.
Toinen tapa lisätä forwarder on conditional forwarderista hiiren kakkonappia ja new conditional forwarder.
Kun forwarder lisätään tätä kautta voi määritellä mille muille DNS palvelimille tieto replikoituu.
DNSCMD
DNSCMD mahdollistaa dns palvelimen hallinnan komentoriviltä.
Reverse lookup zone
Komento (luonnollisesti muokkaa oman verkkosi mukaiseksi):
dnscmd /zoneadd 0.168.192.in-addr.arpa /dsprimary
Lisäyksen onnistumisen tarkistamisen voi katsoa komennolla
dnscmd testi.local /enumzones
Forwarder
Forwarderin lisäys käyttäen dnscmd komentoa. Määritys "/noslave" ohjaa palvelimen ottamaan yhteyttä root hintseihin jollei forwarder vastaa määritellyssä ajassa.
dnscmd <palvelin> /ResetForwarders <forwarderin IP> /timeout <aika sekunteina> /noslave
DHCP
Tavoite: perustetaan perinteiselle domain controllerille DHCP palvelu ja varmistetaan
sen toimivuus. Samalla liitetään yksi työasema domainiin.
DHCP palvelun asennus
Kirjaudu ”administrator” tunnuksella palvelimelle (testidc). Paina server managerista
nappia ”add roles”
Lisää rooliksi ”DHCP server”
Varmista että valittuna on verkkoyhteys jota halutaan käyttää osoitteitten jakeluun.
Tarkista, että DNS palvelun tiedot pitävät paikkansa.
WINS palvelua ei ole käytössä, joten siitä ei tarvitse antaa tietoja.
”DHCP scopes” kohdassa paina ”add” nappia. Syötä kenttiin tarvittavat tiedot. Anna scopelle nimi. Tehdään niin että palvelu jakaa osoitteita alueelta 192.168.0.50-192.168.0.100 ja maski on 255.255.255.0. Varmista että kohdassa ”activate this scope” on täppä.
Ipv6 protokollaa ei tarvita joten valitse disable.
Koska olet kirjautuneena domain admin-tasoisella tunnuksella oikeutesi riittävät DHCP autorisointiin, eli valitaan ”use current credentials”.
Lopulta asennus on valmis.
Toimivuuden tarkistus
Mene server managerissa roles-> active directory services-> active directory users and computers-> testi.local-> domain controllers-> valitse testidc hiiren kakkosnapilla ja manage. Avautuneessa ikkunassa services and applications-> testidc.testi.local->IPv4. Jos IPv4:n kohdalla on vihreä pallukka on palvelu käynnissä ja aktiivihakemistoon autorisoitu.
Käynnistä työasema. Varmista että työasemassa on automaattinen osoitteenhaku päällä. Jos kohdassa ”address leases” ei näy mitään, kokeile kirjoittaa työasemalla komennot ipconfig /release ja ipconfig /renew.
Lisätään lopuksi kuvitteellinen gateway. Olkoon gatewayn osoite 192.168.0.200.
”scope options”-> “configure options”.
Etsi kohta Router ja lisää gateway osoite.
Uudista työaseman osoite ja tarkista komennolla ipconfig /all pitävätkö tiedot paikkansa.
Lopuksi liitetään työasema domainiin. Control panel-> system and maintance->system-> change settings-> change ja lopuksi kirjoita domain kenttään domainin nimi. Käytä liittämiseen domainin administrator-tunnusta.
Uudelleenkäynnistyksen jälkeen voit kirjautua domainin tunnuksilla koneelle. Käy myös tarkistamassa palvelimelta ”computers” säilöstä onko sinne ilmestynyt konetiliä.
DHCP ja server core
Tavoite: Perustetaan dhcp palvelu server core versioon. Lisäksi käytetään palvelun hallintaan RSAT etähallintaohjelmistoa. Huom! Poista perinteiseltä palvelimelta käytössä oleva DHCP käyttäen toimintoa ”Remove roles”. Asenna palvelu komennolla:
start /w ocsetup DHCPServerCore
Aseta palvelu käynnistymään automaattisesti
sc config dhcpserver start= auto
Käynnistä palvelu
net start dhcpserver
Salli server coren etähallinta
Netsh advfirewall firewall set rule group=”remote administration” new enable=yes
Asenna työasemalle Remote Server Administration Tools (RSAT)-ohjelmisto, jonka jälkeen mene control panel -> programs and features -> turn windows features on or off. Valitse tarvittava työkalu ja paina OK.
Kun verkossa ei vielä ole toiminnassa olevaa DHCP palvelinta kannattaa viimeistään nyt määritellä työasemalle kiinteä osoite ja kirjautua domain admin-tasoisella tunnuksella. DHCP Server Tools löytyy Control Panel -> Administrative Tools -> DHCP valitse “Add server”.
Syötä DHCP palvelimen nimi ja ok.
Valitse ”New scope”.
Etene oletuksilla, lukuun ottamatta seuraavia kohtia:
Scopelle on pakko antaa nimi.
Määrittele jaettavat osoitteet.
DNS tiedot
Kun tarvittavat asetukset on tehty katkaise yhteys DHCP palvelimeen ja valitse ”manage authorized servers”.
Paina ”authorize”
Syötä DHCP palvelimen nimi. OK -> OK -> OK
Nyt palvelin on konfiguroitu ja autorisoitu domainiin. Testaa asettamalla automaattinen osoitteidenhaku päälle työasemassa. Tarkista ovatko asetukset tulleet oikein. Tarkista myös DHCP työkalulla että työasema on ilmestynyt ”adress leases” kohtaan.
Luonnollisesti nämä samat asiat voi tehdä myös paikallisesti server coren komentoriviltä. Poista RSATilla luotu scope ja autorisointi.
Autorisoi palvelin
netsh dhcp add server <palvelimennimi> <palvelimen ip-osoite>
Luo scope
netsh dhcp server add scope <aliverkko> <aliverkonmaski> <scopennimi> <scopekommentti>
Aseta jaettava ip-alue
netsh dhcp server scope <aliverkko> add iprange <alkaa> <loppuu>
Määrittele routteri
netsh dhcp server scope <aliverkko> set optionvalue 003 IPADDRESS <osoite>
Määrittele DNS
netsh dhcp server scope <aliverkko> set optionvalue 006 IPADDRESS <osoite>
Aktivoi scope
netsh dhcp server scope <aliverkko> set state 1
Read only domain contorller (RODC)
RODC on nimensä mukaisesti vain luku oikeudet AD:hen omaava domain controller. RODC ei yksin pysty toimimaan domain controllerina, vaan AD:ssa pitää olla myös perinteisiä domain controllereita. RODC tuo lisäturvaa jos DC joudutaan sijoittamaan ei turvalliseen paikkaan (esim sivukonttori).
Tavoite: Perustetaan domainiin RODC palvelin server core versioon. Palvelimen pystytyksessä käytetään apuna WinRS etähallintaa.
Aloita asentamalla server core palvelin. Nimeä palvelin, aseta kiinteät ip asetukset, sekä liitä palvelin domainiin.
Salli WinRS etähallinta
WinRM qc
Kirjaudu työasemalle domain admin –tasoisella tunnuksella. Avaa komentokehoite ja yhdistä komennolla:
winrs –r:palvelin cmd.exe
Nyt pystyt käyttämään palvelinta työasemalta. Luo asetustiedosto dcpromoa varten.
[DCINSTALL]
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
Password=salasana
RebootOnCompletion=No
ReplicaDomainDNSName=fqdn domain nimi
ReplicaOrNewDomain=ReadOnlyReplica
SafeModeAdminPassword=salasana
SiteName=Default-First-Site-Name
UserDomain=fqdn domain nimi
Username=käyttäjätunnus
Suorita dcpromo
Ja lopuksi uudelleen käynnistä palvelin.
Nyt Domain Controllers OU:sta löytyy read only, DC.
Luottosuhteet kahden domainin välille
Luottosuhteilla käytännössä sallitaan toisen domainin käyttäjien kirjautuminen toiseen domainiin, lisäksi luotetun domainin käyttäjille ja ryhmille voidaan sallia resursseja. Luottosuhteiden luominen ei vaadi domainien olemista samassa metsässä.
Ennen luottosuhteiden luomista on hyvä varmistaa nimenselvennyksen toimivuus. Esimerkiksi pingaamalla toisen domainin fqdn nimeä. Jos tämä ei onnistu voi tilanteen korjata lisäämällä toisen domainin DNS palvelimen forwarderiksi.
Aloita luottosuhteiden luonti käynnistämällä Active Directory Domains and trusts työkalu.
Valitse domain -> properties.
trusts välilehti ja paina New trust
Määrittele domain johon haluat luottosuhteet luoda.
Määrittele millaisen luottosuhteen haluat luoda.
Voit luoda luottosuhteen erikseen kummassakin domainissa tai sitten tehdä luottosuhteen kerralla kumpaankin domainiin.
Jotta voit luoda luottosuhteen toiseenkin domainiin tarvitset riittävät käyttöoikeudet siihen.
Ennen tätä varmista toisesta domainista että luottosuhteet ovat luotu.
Nyt luottosuhteet ovat voimassa.
Voit testata toimivuuden valitse luotettu domain -> properties -> general -> validate.
Ohjelmistolevitys ryhmäkäytännöillä
Levitetään domainissa olevalle työasemalle muokattu versio Adobe Reader 9-ohjelmasta. Kopioi tarvittavat tiedostot levyjakoon.
Kun työasema liitettiin domainiin, luodaan konetili oletuksena ”computers”-nimiseen säilöön. Säilöihin ei voi kohdistaa ryhmäkäytäntöjä. Niinpä pitää luoda organisaatioyksikkö (new-> organizational unit).
Anna organisaatioyksikölle nimi.
Siirrä konetili koneet organisaatioyksikköön.
Käytä ”group policy management”-työkalua luodaksesi ryhmäkäytännön asennusta varten (Create a GPO in this domain, and link it here).
Anna kuvaava nimi.
Kun ryhmäkäytäntö on luotu valitse edit.
Etene kuvan mukaisesti ja valitse package.
Valitse aiemmin jakoon laitettu msi tiedosto (muista UNC polku).
Valitse ”advanced”.
Välilehdellä ”modifications” valitse ”add” ja valitse aiemmin luotu mst tiedosto (ja tässäkin UNC polku).
Lopulta kuittaa ok:lla. Nyt luotu ryhmäkäytäntö replikoituu domain controllereiden kesken ja lopulta päätyy koneet OU:n koneille. Tämä kuitenkin saattaa kestää yli 10 minuuttia. Aja kummallakin DC:llä komento gpupdate /force ja uudelleenkäynnistä työasema, jos tämä ei auta aja samainen komento työasemalla. Asennuksen valmistuttua tarkista onko MST tiedostossa olevat asetukset voimassa.
Käyttäjätunnusten luonti
Tavoite: luodaan käyttäjä organisaatioyksikköön. Sekä lisätään käyttäjätiliin kotihakemisto ja toinen levyaseman logon scriptiä hyödyntäen.
Luo uusi organisaatioyksikkö nimeltä hallinto ja tee sinne uusi käyttäjätili.
Syötä tiedot kuvan mukaisesti
Anna käyttäjätunnukselle salasana ja etene loppuun saakka.
Kotikansion luonti
Luo palvelimelle kansio. ”properties”-> ”sharing”-> ”advanced sharing”. Tehdään jaosta piilojako lisäämällä $-merkki jakonimen perään. Tällöin kyseinen kansio ei ole julkisesti näkyvillä.
Valitse ”Permissions”. Poista ryhmä ”everyone”. Lisää käyttäjäryhmä ”domain users” ja anna ”contributor”-tason oikeudet . Paina ”Share”.
Sitten on vuorossa NTFS oikeuksien muokkaus. Valitse ”security”-> ”advanced”-> ”edit”. Ota pois käytöstä ylemmän tason NTFS oikeuksien perintä ja paina “copy”.
Poista listasta käyttäjät ja ryhmät lukuun ottamatta ”administrators”, ”system” ja ”creator owner”.
Mene luodun käyttäjätilin ominaisuuksiin kohtaan ”profile”. Lisää kuvan mukaisesti reitti kotikansioon ympäristömuuttujaa ”%username%” käyttäen.
Levy linkin lisääminen logon scriptillä
Luo uusi organisaatioyksikkö ”ryhmät”. Jonne teet uuden domain local tasoisen ryhmän ”hallinto_levy”
Luo uusi levyjako ”hallinto”. Poista oikeuksien perintä. Muokkaa NTFS oikeuksia niin että ”hallinto_levy”-ryhmällä on oikeus hallita ja muokata. Lisäksi estä
normaalikäyttäjien pääsy levyjakoon. Jako-oikeudet kannattaa tässä tilanteessa antaa niin että jokaisella käyttäjällä on oikeus siihen. Luo global käyttäjäryhmä ”hallinto” ryhmät organisaatioyksikköön.
Seuraavaksi lisää luomasi käyttäjä jäseneksi ryhmään hallinto ja hallinto-ryhmä jäseneksi ryhmään hallinto_levy.
Miksi näin vaikeasti? Jatkossa kun jokin toinen ryhmä/käyttäjä tarvitsee pääsyä kyseiseen jakoon, heidät tarvitsee lisätä vain ryhmään hallinto_levy. Tällöin vältytään turhalta NTFS oikeuksien muokkaukselta. Ryhmä hallinto on taasen tarkoitettu muidenkin resurssien sallimiselle hallinto-ryhmälle ja hallinto_levy pelkästään hallinnon yhteisen levyjaon oikeuksien hallintaan. Ryhmien käytössä tärkeintä on se että ylläpitäjät sopivat yhteisestä linjasta. Myös tehdyt muutokset on hyvä dokumentoida.
Luo notepad-ohjelmalla scripti joka tekee levylinkin Y: -asemaksi.
net use y: \\testdc\hallinto
Tallenna tiedosto palvelimella kansioon c:\windows\sysvol\sysvol\testi.local\scripts ja muista antaa tiedosto päätteeksi cmd.
Luo hallinto-ryhmään uusi ryhmäkäytäntö. Lisää kuvan mukaisesti scripti kohtaan ”logon”.
Testaa kirjautumalla työasemalle jaakkojo tunnuksella.
Huomioitavaa! 2008 serverissä tullut group preferences ominaisuus mahdollistaa levymäppäykset ja monet muut tähän saakka scripteillä tehdyt toiminnot. Veikkaanpa että lähitulevaisuudessa scriptien merkitys AD ympäristössä tulee vähenemään.
Group preferences
Perinteiset ryhmäkäytännöt ovat tehokas ja keskitetty tapa asettaa työasemille haluttuja asetuksia. Niiden heikkous kuitenkin on että loppukäyttäjä menettää oikeutensa kyseisiin asetuksiin. Tilanteissa joissa halutaan tuottaa käyttäjille tietyt oletusasetukset, mutta ei estää niiden hallintaa on käytetty mm. oletus profiilia. Preferences mahdollistaa näiden asetusten tekemisen keskitetysti ilman että loppukäyttäjä menettää oikeutensa muuttaa niitä.
Preferencien käyttöönotto ei vaadi 2008 domainia. Jopa 2000 domain riittää. Ainoa vaatimus on että domainiin liitetty Vista tai w2k8 serveri jolla pystyy sitten ADUCcia käyttäen tekemään preferences määrityksiä.
Tavoite: Luodaan muutama preferences sääntö ja testataan niiden toimivuus.
Luo hallinto OU:hun uusi ryhmäkäytäntö ja avaa se. Mene kohtaan ”user configuration” -> ”Preferences” -> ”control panel settings” -> ”folder options”. Luo
uusi sääntö.
Muokkaa kansioasetuksia mielesi mukaan.
Kirjaudu työasemalle hallinto ou:ssa olevalla käyttäjällä. Tarkista ovatko asetukset tulleet voimaan. Muokkaa asetuksia uudelleen työasemalla. Poista käyttämäsi tunnuksen profiili työasemalta ja kirjaudu sillä uudelleen. Mitkä asetukset ovat nyt voimassa?
Huom! Jotta preferences policyt toimisivat. Pitää työasemaan olla asennettuna ”group policy preference client side extension”. Helpoin tapa asentaa se on windows updaten kautta ja laajamittaisempi levitys wsus palvelulla.
Distributed file system (DFS)
Luodaan DFS replikointi ryhmä ja julkaistaan se verkossa käyttäen DFS namespaces toimintoa. Huom! Replikointi vaatii toimiakseen että AD:n schema on vähintään W2K3 R2 tasolla.
Replikointi ryhmän jäsenissä pitää olla asennettuna DFS replication palvelu. Perinteiseen palvelimeen se asennetaan ottamalla File server rooli käyttöön sekä lisäämällä siihen DFS Replication palvelu. Server coressa file server rooli on jo valmiiksi asennettuna ja replikointi palvelun asentaminen tapahtuu seuraavalla komennolla.
start /w ocsetup DFSR-Infrastructure-ServerEdition
Asennuksen jälkeen Administrative Toolssista löytyy DFS Managment avaa se (voit myös käyttää RSAT etähallinta työkaluja).
Mene DFS Managment -> Replication -> New Replication Group
Valitse Multipurpose replication group.
Anna replikointi ryhmälle nimi, sekä valitse käytettävä domain.
Lisää Add painikkeella vähintään kaksi palvelinta ryhmän jäseniksi.
Valitse Full mesh, tällöin jokainen palvelin on tasavertainen toisiinsa nähden.
Voit määritellä joko jatkuvan replikoinnin tai sitten vain ennalta määriteltyinä ajankohtina. Lisäksi voit rajoittaa käytettävää kaistaa (esimerkiksi ryhmän jäsenistä osa on hitaan verkkoyhteyden takana ja et halua tukkia koko kaistaa tällä).
Valitse määräävä jäsen. Kun replikointi palvelu aloitetaan ja tulee mahdollisia samoja tiedostoja on tämän palvelimen tiedostot niitä jotka otetaan käyttöön. Jatkossa kuitenkin kaikki ovat tasavertaisia.
Valitse primary memberistä replikoitava kansio, lisäksi määrittele halutut NTFS oikeudet.
Määrittele muihin ryhmän jäseniin replikointi kansiot.
Lopulta replikointi ryhmä on valmis.
Asenna Namespace palvelu. Perinteiseen serveriin lisäämällä file server rooli ja DFS namespace palvelu. Server coreen asennus seuraavasti
start /w ocsetup DFSN-Server
Mene DFS Managment -> Namespaces -> New Namespace
Valitse palvelin johon namespace palvelu on asennettu.
Anna namespacelle nimi.
Valitse domain-based. Tällöin voit helposti lisätä uusia namespace palvelimia tarvittaessa.
Ja lopulta valmista.
DFS managment -> Replication -> luotu replikointi ryhmä -> Share and Publish in Namespace.
Share and publish the replicated folder in a namespace
Tarkista että kaikki on niinkuin pitää.
Valitse haluttu namespace ja nimeä jako kansio.
Tarkista että asetukset menevät halutusti ja paina share.
Nyt voit käyttää verkkolevynä \\testi\jako\testi kansiota, joka replikoituu fs1 ja dc1 palvelimelle. Halutessasi voit käyttää suoraan \\fs1\testi tai \\dc1\testi, tällöinkin tieto replikoituu toiselle palvelimelle.
Print Services
Asenna tulostinpalvelin server core versioon komennolla:
start /w ocsetup Printing-ServerCore-Role
Kun rooli on asentunut käynnistä palvelin uudestaan.
Salli tulostimien jako palomuuriissa.
netsh firewall set service fileandprint enable
Tämän jälkeen ota etäyhteys RSATin työkaluilla. Avaa Print Managment. Lisää palvelin.
Lisää juuri asennettu palvelin print servers listaan.
Lisää uusi tulostin.
Asennetaan verkkotulostin IP osoitteella.
Annetaan tulostimen IP-osoite.
Jos laitteeseen ei ole saatu yhteyttä määrittele manuaalisesti.
Jos laitteelle ei löydy sopivia ajureita valitse Install a new driver.
Valitse käytettävä ajuri.
Määrittele tulostimelle nimi ja jakonimi.
Tarkista että asetukset ovat halutut.
Ja lopulta tulostin on asentunut.
Levitä tulostin käyttöön käyttäen GPO:ta. Valitse Deploy with Group Policy. HUOM! Tämä toiminto vaatii että clientin pitää olla vähintään Vista. Tosin WINXP ja W2K työasemille asennus onnistuu käyttämällä Startup tai logon scriptinä PushPrinterConnections.exe tiedostoa. Kyseinen tiedosto löytyy w2k8 tai vistan kansiosta %WINDIR%\System32.
Valitse GPO johon jakelu tehdään ja on käyttäjä vai konekohtainen (voit valita kummatkin). Lopuksi paina Add.
Paina OK ja asetus tulee voimaan.
Toinen keskitetty tapa levittää verkkotulostimia on group preferences. Luo uusi GPO ja mene joko computer tai user haaran preferences -> control panel settingsiin. Printers -> New -> Shared Printer. Huom! Vista ja vanhemmat vaativat että niihin on asennettu preferences client side extension jotta tämä toimii. Windows 7:ssa tuki on jo vakiona.
Valitse asetukset ja valitse tulostin. Huomaa että nyt voit jopa määritellä tehdäänkö tulostimesta oletustulostin.
Tehdään vielä hienosteluna filteröinti. Common välilehdellä täppä Item-level targeting ja paina targeting. Paina New Item ja valitse security group.
Valitse security grouppi jolle haluat tulostimen asentuvan.
Nyt tulostin asentuu käyttäjille joihin tämä GPO kohdistuu. Heidän pitää kuitenkin kuulua grouppiin nimeltä tulostus. Lisäksi tulostin määritellään käyttäjälle oletustulostimeksi jos hänellä ei ole paikallisia tulostimia.
Windows Server Update Services (WSUS)
WSUS on tarkoitettu hallintatyökaluksi microsoftin tuotteitten keskitettyyn päivittämiseen.
Ennen asennuksen alkua asenna palvelimeen Microsoft Report Viewer Redistributable 2005. Ilman tätä pakettia WSUSsun raportit eivät toimi.
Aloita asennus add roles toiminnolla ja valitse WSUS. Toimiakseen WSUS tarvitsee myös IIS palvelun (asennusohjelma osaa lisätä sen kun valitset WSUSsin).
WSUS ei ole w2k8:in "alkuperäisiä" rooleja joten osa asennustiedostoista joudutaan lataamaan netistä. Lopulta varsinainen asennus on valmis alkamaan.
Etene asennuksessa oletuksilla.
Select update source. Valitse mihin asennettavat päivitykset tallennetaan. WSUS ei lataa päivityksiä ennen kuin ne on hyväksytty asentamista varten.
Voit myös jättää päivityksen lataamisen väliin ja käyttää WSUSsua pelkästään asennusten hallinnointiin. Tällöin jokainen client lataa päivitykset yksikerrallaan microsoft updatesta.
Database options. Oletuksena WSUS asentaa paikallisesti oman tietokannan, mutta on myös mahdollista käyttää erillistä sql tietokantaa. WSUS tallentaa tietokantaan kaikki asetuksensa, joten mahdollisen vikatilanteen vuoksi erillisen sql palvelimen käyttö on järkevää.
Web site selection. valitse IIS oletus sivu.
Tarkista että asetukset ovat halutut ja aloita asennus.
WSUS tarvitsee päivitysten jakeluun clienteille auki portit 80 ja 443 (IIS osaa avata ne palomuuriin asennuksessa). Lisäksi palvelimella pitää olla toimiva yhteys olemassa olevaan WSUS palvelimeen tai microsoft updateen.
Valitse lähde päivityksille. Microsoft update tai jo olemassa oleva WSUS palvelin.
Valitse tarvittavat kieliversiot.
Tuotteet joihin haluat tarjoilla päivityksiä.
Päivitystyypit.
Asetukset kuinka tarkistetaan uudet päivitykset.
Lopulta aloita tietojen synkronointi.
Riippuen valittujen päivitysten määrästä synkronointi voi kestää hyvinkin pitkään.
Määrittele clientit käyttämään WSUS palvelua. Jos haluat domainisi kaikkiin koneisiin tämän asetuksen muokkaa default domain policyä. Jos taasen haluat rajata toimi sen mukaisesti. Avaa haluttu GPO.
Computer configuration -> policies -> administrative templates -> Windows components -> windows update -> specify intranet microsoft update service location. Enabled ja kumpaankin kenttään http://palvelimennimi.
Avaa update services konsoli. GPO:n tullessa voimaan alkavat clinut näkyä computers haarassa. Voit luoda computeriin ryhmiä jos haluat eri clinuille eri päivitykset yms.
Kun WSUS on synkronoinut tietonsa ja saanut clinuilta raportin tarpeistaan. Voit Updates kohdassa alkaa määrittelemään jaeltavia päivityksiä. Määrittele haku kriteeriksi Unapproved ja failed or needed. Tällöin saat listan clienttiesi tarvitsemista päivityksistä. Hyväksy päivitykset jotka haluat asennettavan.
Määrittele ryhmä jolle päivitys on tarjolla ja valitse approved for install.
Lopulta hyväksyntä on suoritettu.
Jos ei halua manuaalisesti hyväksyä kaikkia päivityksiä. Tällöin voi käyttää automatic approvals sääntöjä. Mene update services consolissa options -> automatic approvals. Voit ottaa default säännön käyttöön jolloin kriittiset ja tietoturvapäivitykset hyväksytään automaattisesti jakeluun. Luonnollisesti voit myös luoda oman sääntösi.
Windows Deployment Services (WDS)
Aloita WDS palvelun käyttöönotto lisäämällä windows deployment services rooli.
Kun rooli on lisätty avaa wds console.
Valitse palvelimen kohdalta configure server.
Tarkista että WDS:n tarvitsemat toiminnot löytyvät. Palvelin on AD:n jäsen, verkossa on DHCP ja DNS palvelut sekä WDS:n käyttöön on vapaa NTFS osio.
Oletuksena tarjotaan c:\remoteinstall kansiota. Suosituksena on kuitenkin että asennus tiedostot sijoitetaan erilliselle osiolle ja jos mahdollista fyysisesti erilliselle levylle.
Millä tavalla PXE palvelin toimii kun verkossa kone yrittää verkko boottia. Oletuksena palvelin ei tee mitään.
Ota täppä pois kohdasta Add images.
Valitse boot images kohdasta add boot image
Etsi windows 2008 asennus levyltä boot.wim tiedosto. Voit myös käyttää vistan asennus medialla olevaa boot.wim tiedostoa, mutta tällöin menetät osan ominaisuuksista (esim multicasting).
Etene oletuksilla.
Install image kohdassa valitse add install image
Nimeä image group
Etsi vistan asennus medialta install.wim (voit luonnollisesti tehdä samoin w2k8:n asennus medialta).
Yksi wim image voi sisältää monia eri imageja valitse ne jotka tarvitset.
Mene palvelimen properties ja PXE response settings valitse respond to all. Nyt voit asentaa vistan työasemalle tekemällä verkko bootin.
Network Load Balancing
Asenna NLB add features toiminnolla.
Avaa network load balancing manager. Valitse New cluster.
Anna palvelimen nimi johon NLB on asennettu ja paina connect. Kun yhteys on muodostunut valitse verkkokortti jota clusterissa käytetään.
Anna clusterille ip-osoite. Tämä on clusterin ip ei siis minkään palvelimen. Cluster ip:n kautta clienttien pyynnöt ohjataan tasaisesti clusterin kesken.
Jos olet määritellyt clusterin ip osoitteelle dns aliaksen syötä se fqdn muodossa kohtaan full internet name. Jos olet määritellyt useita syötä "primary" osoite. Lisäksi käytä operation modena multicastingia (jos kytkin tukee multicastingia). Tarkempi selvitys Unicastin ja multicastin eroista NLB käytössä löytyy täältä
Olet nyt luonut clusterin.
Tosin yhden koneen clusterista ei ole paljon hyötyä. Asenna toiseen palvelimeen NLB ja sen jälkeen valitse clusterista Add host to cluster. Hostin lisäys toiminto on lähes samanlainen clusterin luonnin kanssa.
Server Core vinkkejä
Windows Update
Windows updaten saa päälle seuraavalla komennolla
Cscript c:\windows\system32\scregedit.wsf /au 4
Net stop wuauserv
Net start wuauserv
Nyt update on päällä niin että päivitykset tarkistetaan automaattisesti klo 03:00 joka päivä. Jos haluat ajaa päivitykset samoin tein anna komento:
Wuauclt /detectnow
Dcpromo vastaustiedosto uusi domain uuteen metsään
Server coressa domainin luonnin asetukset määritellään vastaustiedostoon. Aiemmin on käsitelty toisen dc:n lisääminen olemassa olevaan domainiin ja rodc:n lisääminen domainiin. Tässä vielä vastaustiedosto uuden domainin luomiselle.
[DCInstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=domainin.fqdn.nimi
ForestLevel=3
DomainNetbiosName=domaininnimi
DomainLevel=3
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=salasana
RebootOnCompletion=Yes
ForestLevel ja DomainLevel 3 tarkoittaa toiminnallisuustasoa joka on 2008. Vaihtoehtoina 2=2003 ja 1=2000.
Tarkempia tietoja dcpromon vastaustiedostoista löytyy täältä.
Palomuuri
Palomuuri sammutetaan komennolla:
netsh advfirewall set allprofiles state off
Ja käynnistetään:
netsh advfirewall set allprofiles state on
Päivä- ja aika -asetukset
Asetuksiin pääset käsiksi komennolla.
timedate.cpl
Vinkkejä
Uusia rooleja
Server manageriin integroidaan aika ajoin uusia rooleja. Uudet roolit saa näkyviin painamalla check for new roles painikketta.
ServerManagerCmd
On komentorivi työkalu server managerin hallintaan.
Esimerkiksi seuraavalla komennolla voit asentaa powershellin palvelimeen.
servermanagercmd -i powershell
Usage:
ServerManagerCmd.exe
Installs and removes roles, role services and features. Also displays the list
of all roles, role services, and features available, and shows which are
installed on this computer. For additional information about the roles,
roles services, and features that you can specify using this tool,
refer to the Help for Server Manager.
-query [<query.xml>] [-logPath <log.txt>]
-install <name>
[-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
[-allSubFeatures]
-remove <name>
[-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
-inputPath <answer.xml>
[-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
-help | -?
-version
Switch Parameters:
-query [<query.xml>]
Display a list of all roles, role services, and features available,
and shows which are installed on this computer. (Short form: -q)
If <query.xml> is specified, the information is also saved to a
query.xml file with additional information.
-inputPath <answer.xml>
Installs or removes the roles, role services, and features specified
in an XML answer file, the path and name of which is represent by
<answer.xml>. (ShortForm: -ip)
-install <name>
Installs the role, role service, or feature on the computer that
is specified by the <name> parameter. Multiple roles, role services or
features must be separated by spaces. (ShortForm: -i)
-allSubFeatures
Used with the -install parameter to install all subordinate
role services and features along with the role, role service, or
feature named with the -install parameter. (Short form: -a)
-remove <name>
Removes the role, role service, or feature from the computer that
is specified by the <name> parameter. Multiple roles, role services or
features must be separated by spaces. (ShortForm: -r)
-resultPath <result.xml>
Saves the result of the ServerManagerCmd.exe operation to a <result.xml>
file, in XML format. (Short form: -rp)
-restart
Restarts the computer automatically, if restarting is necessary to
complete the operation.
-whatIf
Display the operations to be performed on the current computer
that are specified in the answer.xml file. (Short form: -w)
-logPath <log.txt>
Specify the non-default location for the log file. (Short form: -l)
-help
Display help information. (Short form: -?)
-version
Display the version of the Server Manager command that is running,
Microsoft trademark information, and the operating system.
(Short form: -v)
Examples:
ServerManagerCmd.exe -query
ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml
ServerManagerCmd.exe -inputPath install.xml -whatIf
