Esipuhe
Olen näissä asioissa totaalinen amatööri ja vain ilmeisesti liiasta vapaa-ajasta johtuen on tullut omaa harrastustani julkaistua tällä tavalla. Sinä guru tai vain tarkkasilmäinen, joka havaitset täällä jotain aivan järkyttävää tai muuten vain älyttömiä epätotuuksia: ilmoita siitä minulle. Olen enemmän kuin avoin neuvoille ja ohjaukselle :). Tietenkin toiveet käsiteltävistä asioista ovat myös tervetulleita.
Domainin perustaminen
Tavoite: Windows 2008 Active Directory Domain. Domainiin perustetaan kaksi Domain Controlleria (normaali palvelin ja Server Core-versio).
Normaalin Windows 2008 Serverin asennus
Aloita asennus asettamalla asennus-dvd dvd-asemaan ja käynnistä kone siltä.
Aluksi valitaan halutut maa-asetukset.
Harjoitusta varten ei tarvita kuin 60 päivän kokeiluversio. Ota se käyttöön seuraavasti.
Paina ”Next”
Paina ”No”
Tee valinnat kuvanmukaisesti ja paina ”Next”
Osioi levy. Valitse ”Custom”
Luo kuvan mukaiset osiot ja paina ”Next”
Varsinainen Asennus alkaa! Odota kunnes seuraavanlaista ilmestyy.
Paina ”OK” ja syötä haluamasi salasana.
Domainin luominen
Kirjaudu palvelimelle "administrator” -tunnuksella. Käynnistä Server Manager-hallintakonsoli (aukeaa oletuksena automaattisesti).
Esivalmistelut
Muuta palvelimen nimi halutuksi (esim. testidc). Käynnistä palvelin uudelleen!
Ota käyttöön kiinteä ip-osoite (esim. 192.168.0.1 ja subnet mask 255.255.255.0). Lisäksi ota IPv6-protokolla pois käytöstä. Kyseistä protokollaa voi käyttää, mutta sitä ei harjoituksessa tarvita ja näin vältymme turhalta työltä.
Asennetaan ”Active Directory Domain Services”. Etsi Server Managerista kohta ”Add Roles”.
Etene kohtaan “Select Server Roles” ja valitse ”Active Directory Domain Services”.
Aja wizard loppuun saakka, jonka jälkeen olet valmis aloittamaan domainin perustamisen.
Domainin luominen
Käynnistä dcpromo.exe
Etene oletuksilla kohtaan ”Configure domain name system client settings”. Aktiivihakemisto vaatii DNS-palvelun toimiakseen. Aseta täppä kuvan mukaisesti niin DNS-palvelu asennetaan automaattisesti.
”Choose a deployment configuration”. Valitse “Create a new domain in a new forest”
Kohdassa “Name the forest root domain” syötä haluttu FQDN-nimi (esim. testi.local).
Kohdassa ”Set forest functional level”valitse “Windows Server 2008"
Harjoituksessa luodaan uusi domain uuteen metsään, jolloin on sama nostaa toiminnallisuustaso ylimpään mahdolliseen. Tosielämässä on luonnollisesti otettava huomioon olemassa oleva infra. Esimerkiksi 2008-tasolla toimivaan metsään ei voi lisätä vanhempia versioita (esim. 2003 domain controlleria).
Paina ”Yes”
Aktiivihakemiston tietokannasta voi palauttaa mm. vanhoja käyttäjätilejä. Tätä toimintoa varten pitää käyttää ”Directory Services Restore Mode” -tilaa. Kyseinen toiminto vaatii oman salasanan. Anna sellainen.
Nyt voisit luoda vastaustiedoston tekemistäsi asetuksista, tällöin dcpromon voi ajaa automaattisesti samoilla asetuksilla. Tähän ei nyt kuitenkaan ole tarvetta.
Lopulta aktiivihakemiston perustaminen alkaa…
Kun palvelin on käynnistynyt uudestaan, käy lisäämässä verkkoasetuksiin DNS-palvelimen oikea osoite.
Windows 2008 Server Core-version asennus
Seuraa normaaliversion asennusohjetta, mutta valitse versio kuvan mukaisesti.
Server Core-version lisääminen toiseksi domain controlleriksi
Aloitetaan vaihtamalla palvelimen nimi.
netdom renamecomputer %computername% /NewName:uusinimi
Tämän jälkeen käynnistä palvelin uudelleen.
shutdown –r
Selvitetään tarvittavat tiedot verkkokortista, jotta asetuksia voidaan määritellä.
netsh interface ipv4 show interface
Annetaan verkkokortille kiinteä ip-osoite.
netsh interface ipv4 set address name="[Idx]" source=static address=[ip osoite] mask=[subnet mask] gateway=[gateway]
Ja DNS-palvelin. Index-arvo määrittelee, onko DNS-palvelin ensisijainen vai toissijainen (1 = ensisijainen).
netsh interface ipv4 add dnsserver name="[Idx]" address=[dns palvelimen osoite] index=1
Liitetään palvelin domainiin (liittämistä ei ole pakko tehdä tässä vaiheessa, mutta opitaan tässä hieman ylimääräistä).
netdom join koneennimi /domain:domaininnimi /userd:käyttäjätunnus /passwordd:käyttäjänsalasana
Käyttäjänä voit käyttää domainin ”administrator” käyttäjää.
Käynnistä palvelin uudestaan.
shutdown -r
Server Coressa ei ole graafista käyttöliittymää, joten dcpromoa ei voi ajaa perinteisen serverin tyyliin. Tällöin pitää luoda vastaustiedosto, joka kertoo dcpromolle mitä tehdä.
Luo seuraavanlainen txt-tiedosto (tiedostonimellä ei ole väliä).
[DCINSTALL]
ReplicaOrNewDomain=Replica
DNSOnNetwork=yes
ConfirmGC=Yes
DomainNetbiosName=domaininnetbiosnimi
ReplicaDomainDNSName=domaininFQDNnimi
SiteName=Default-First-Site-Name
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\sysvol
SafeModeAdminPassword=safemodensalasana
CriticalReplicationOnly=No
RebootOnCompletion=yes
Voit tehdä tiedoston vaikka perinteisellä serverillä ja laittaa sen levyjakoon. Jaon saat näkyviin Server Coressa komennolla:
net use haluttuasemakirjain: \\palvelin\jaonnimi
Tai käytä Server Coressa olevaa Notepad-ohjelmaa. Ohjelma käynnistyy komennolla notepad. Sitten ollaankin valmiita promottamaan. Kirjaudu palvelimelle Domain admin-tasoisella tunnuksella!
dcpromo /unattend:asetustiedosto.txt
Uudelleenkäynnistyksen jälkeen kumpikin kone toimii domain controllerina. Voit tarkistaa asian perinteisen palvelimen Server Managerista (Roles -> Active Directory Users and Computers -> domaini -> Domain Controllers).
Mitä iloa on Server Coresta?
1. Syö vähemmän resursseja, joten se on varsinkin virtuaalipalvelinympäristöissä hyödyllinen.
2. Kaikki turha karsittu pois, joten siinä on vähemmän rajapintaa, johon voidaan tehdä hyökkäyksiä. Tämän takia se on tietoturvallisempi ja siinä on vähemmän asioita, jotka voivat kaataa palvelimen.
3. Ei tarvitse lähellekään kaikkia Windowsin päivityksiä, vähemmän ”buutteja” ja vähemmän mahdollisuuksia, että päivitykset sekoittaisivat tärkeän palvelun.
Domain controllerin poistaminen käytöstä
DC-koneen poistaminen tapahtuu dcpromo-komennolla. Ohjeita saa komennolla:
dcpromo /?:demotion
Oletusasetuksilla komennoksi riittää:
dcpromo /AdministratorPassword:"paikallisenadministratortunnuksensalasana"
DNS
Reverse Lookup Zone
Mene Server Managerissa kohtaan DNS Server ja valitse “Reverse Lookup Zones” kohdassa “New Zone”.
Etene oletusasetuksilla. Varmista kuitenkin, että asetukset ovat kuvien mukaiset.
Määrittele tarkkailtava alue.
Lopulta voit tarkistaa toimivuuden Server Managerista.
Forwarder ja Root hints
Kun ympäristö on kytketty julkiseen internetiin, tulee luonnollisesti kyselyitä, joihin paikallinen DNS ei osaa vastata. Tällöin liikenne ohjataan eteenpäin esim. palveluntarjoajan DNS-palvelimeen.
Valitse DNS -> Properties.
Forwarders-välilehti ja Edit.
Syötä käytettävät palvelimet.
Jos yksikään valituista forwardereista ei vastaa, käytetään Root hintsejä.
Root hints-välilehdellä näet käytössä olevat palvelimet. Tiedot voivat luonnollisesti muuttua. Näitä tietoja voit muokata manuaalisesti tai sitten kopioimalla tiedot toiselta palvelimelta painamalla Copy from server. Root hints-tietoja voi tarkastaa sivustolta http://www.iana.net/.
Toinen tapa lisätä forwarder on Conditional Forwarderista hiiren kakkosnappia ja New Conditional Forwarder.
Kun forwarder lisätään tätä kautta, sille voi määritellä mille muille DNS-palvelimille tieto replikoituu.
DNSCMD
DNSCMD mahdollistaa DNS-palvelimen hallinnan komentoriviltä.
Reverse lookup zone
Komento (luonnollisesti muokkaa oman verkkosi mukaiseksi):
dnscmd /zoneadd 0.168.192.in-addr.arpa /dsprimary
Lisäyksen onnistumisen tarkistamisen voi katsoa komennolla
dnscmd testi.local /enumzones
Forwarder
Forwarderin lisäys käyttäen dnscmd-komentoa. Määritys "/noslave" ohjaa palvelimen ottamaan yhteyttä Root hintseihin, jollei forwarder vastaa määritellyssä ajassa.
dnscmd <palvelin> /ResetForwarders <forwarderin IP> /timeout <aika sekunteina> /noslave
DHCP
Tavoite: perustetaan perinteiselle domain controllerille DHCP palvelu ja varmistetaan sen toimivuus. Samalla liitetään yksi työasema domainiin.
DHCP palvelun asennus
Kirjaudu ”administrator” tunnuksella palvelimelle (testidc). Paina Server Managerista nappia ”Add Roles”
Lisää rooliksi ”DHCP Server”
Varmista että valittuna on verkkoyhteys, jota halutaan käyttää osoitteiden jakeluun.
Tarkista, että DNS-palvelun tiedot pitävät paikkansa.
WINS-palvelua ei ole käytössä, joten siitä ei tarvitse antaa tietoja.
”DHCP Scopes” kohdassa paina ”Add”-nappia. Syötä kenttiin tarvittavat tiedot. Anna scopelle nimi. Tehdään niin, että palvelu jakaa osoitteita alueelta 192.168.0.50-192.168.0.100 ja maski on 255.255.255.0. Varmista että kohdassa ”Activate this scope” on täppä.
Ipv6-protokollaa ei tarvita, joten valitse Disable.
Koska olet kirjautuneena Domain admin-tasoisella tunnuksella, oikeutesi riittävät DHCP-autorisointiin, eli valitaan ”Use current credentials”.
Lopulta asennus on valmis.
Toimivuuden tarkistus
Mene Server Managerissa Roles -> Active Directory Services -> Active Directory Users and Computers -> testi.local -> Domain Controllers -> valitse testidc hiiren kakkosnapilla ja Manage. Avautuneessa ikkunassa Services and Applications -> testidc.testi.local -> IPv4. Jos IPv4:n kohdalla on vihreä pallukka, on palvelu käynnissä ja aktiivihakemistoon autorisoitu.
Käynnistä työasema. Varmista, että työasemassa on automaattinen osoitteenhaku päällä. Jos kohdassa ”Address Leases” ei näy mitään, kokeile kirjoittaa työasemalla komennot ipconfig /release ja ipconfig /renew.
Lisätään lopuksi kuvitteellinen gateway. Olkoon gatewayn osoite 192.168.0.200.
”Scope Options” -> “Configure Options”.
Etsi kohta Router ja lisää gateway-osoite.
Uudista työaseman osoite ja tarkista komennolla ipconfig /all pitävätkö tiedot paikkansa.
Lopuksi liitetään työasema domainiin. Control panel -> System and Maintance -> System -> Change Settings -> Change ja lopuksi kirjoita domain-kenttään domainin nimi. Käytä liittämiseen domainin administrator-tunnusta.
Uudelleenkäynnistyksen jälkeen voit kirjautua domainin tunnuksilla koneelle. Käy myös tarkistamassa palvelimelta ”Computers” säilöstä, onko sinne ilmestynyt konetiliä.
DHCP ja Server Core
Tavoite: Perustetaan DHCP-palvelu Server Core-versioon. Lisäksi käytetään palvelun hallintaan RSAT-etähallintaohjelmistoa. HUOM! Poista perinteiseltä palvelimelta käytössä oleva DHCP käyttäen toimintoa ”Remove roles”. Asenna palvelu komennolla:
start /w ocsetup DHCPServerCore
Aseta palvelu käynnistymään automaattisesti
sc config dhcpserver start= auto
Käynnistä palvelu
net start dhcpserver
Salli Server Coren etähallinta
Netsh advfirewall firewall set rule group=”remote administration” new enable=yes
Asenna työasemalle Remote Server Administration Tools (RSAT)-ohjelmisto, jonka jälkeen mene Control Panel -> Programs and Features -> Turn Windows Features on or off. Valitse tarvittava työkalu ja paina OK.
Kun verkossa ei vielä ole toiminnassa olevaa DHCP-palvelinta, kannattaa viimeistään nyt määritellä työasemalle kiinteä osoite ja kirjautua domain admin-tasoisella tunnuksella. DHCP Server Tools löytyy Control Panel -> Administrative Tools -> DHCP valitse “Add server”.
Syötä DHCP-palvelimen nimi ja ok.
Valitse ”New Scope”.
Etene oletuksilla, lukuunottamatta seuraavia kohtia:
Scopelle on pakko antaa nimi.
Määrittele jaettavat osoitteet.
DNS-tiedot
Kun tarvittavat asetukset on tehty, katkaise yhteys DHCP-palvelimeen ja valitse ”Manage Authorized Servers”.
Paina ”Authorize”
Syötä DHCP-palvelimen nimi. OK -> OK -> OK
Nyt palvelin on konfiguroitu ja autorisoitu domainiin. Testaa asettamalla automaattinen osoitteidenhaku päälle työasemassa. Tarkista, ovatko asetukset tulleet oikein. Tarkista myös DHCP-työkalulla, että työasema on ilmestynyt ”Address Leases”-kohtaan.
Luonnollisesti nämä samat asiat voi tehdä myös paikallisesti Server Coren komentoriviltä. Poista RSATilla luotu Scope ja autorisointi.
Autorisoi palvelin.
netsh dhcp add server <palvelimennimi> <palvelimen ip-osoite>
Luo Scope.
netsh dhcp server add scope <aliverkko> <aliverkonmaski> <scopennimi> <scopekommentti>
Aseta jaettava ip-alue
netsh dhcp server scope <aliverkko> add iprange <alkaa> <loppuu>
Määrittele routteri
netsh dhcp server scope <aliverkko> set optionvalue 003 IPADDRESS <osoite>
Määrittele DNS
netsh dhcp server scope <aliverkko> set optionvalue 006 IPADDRESS <osoite>
Aktivoi scope
netsh dhcp server scope <aliverkko> set state 1
Read Only Domain Controller (RODC)
RODC on nimensä mukaisesti vain lukuoikeudet AD:hen omaava domain controller. RODC ei yksin pysty toimimaan domain controllerina, vaan AD:ssa pitää olla myös perinteisiä domain controllereita. RODC tuo lisäturvaa, jos DC joudutaan sijoittamaan ei turvalliseen paikkaan (esim. sivukonttoriin).
Tavoite: Perustetaan domainiin RODC palvelin Server Core-versioon. Palvelimen pystytyksessä käytetään apuna WinRS-etähallintaa.
Aloita asentamalla Server Core-palvelin. Nimeä palvelin, aseta kiinteät ip-asetukset, sekä liitä palvelin domainiin.
Salli WinRS-etähallinta
WinRM qc
Kirjaudu työasemalle domain admin –tasoisella tunnuksella. Avaa komentokehote ja yhdistä komennolla:
winrs –r:palvelin cmd.exe
Nyt pystyt käyttämään palvelinta työasemalta. Luo asetustiedosto dcpromoa varten.
[DCINSTALL]
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
Password=salasana
RebootOnCompletion=No
ReplicaDomainDNSName=fqdn domain nimi
ReplicaOrNewDomain=ReadOnlyReplica
SafeModeAdminPassword=salasana
SiteName=Default-First-Site-Name
UserDomain=fqdn domain nimi
Username=käyttäjätunnus
Suorita dcpromo
Ja lopuksi käynnistä palvelin uudelleen.
Nyt Domain Controllers-OU:sta löytyy Read only, DC.
Luottosuhteet kahden domainin välille
Luottosuhteilla käytännössä sallitaan toisen domainin käyttäjien kirjautuminen toiseen domainiin, lisäksi luotetun domainin käyttäjille ja ryhmille voidaan sallia resursseja. Luottosuhteiden luominen ei vaadi domainien olemista samassa metsässä.
Ennen luottosuhteiden luomista on hyvä varmistaa nimenselvennyksen toimivuus esimerkiksi pingaamalla toisen domainin fqdn-nimeä. Jos tämä ei onnistu, voi tilanteen korjata lisäämällä toisen domainin DNS-palvelimen forwarderiksi.
Aloita luottosuhteiden luonti käynnistämällä Active Directory Domains and Trusts-työkalu.
Valitse Domain -> Properties.
Trusts-välilehti ja paina New Trust
Määrittele domain, johon haluat luottosuhteet luoda.
Määrittele millaisen luottosuhteen haluat luoda.
Voit luoda luottosuhteen erikseen kummassakin domainissa tai sitten tehdä luottosuhteen kerralla kumpaankin domainiin.
Jotta voit luoda luottosuhteen toiseenkin domainiin tarvitset riittävät käyttöoikeudet siihen.
Ennen tätä varmista toisesta domainista että luottosuhteet ovat luotu.
Nyt luottosuhteet ovat voimassa.
Voit testata toimivuuden valitse luotettu domain -> Properties -> General -> Validate.
Ohjelmistonlevitys ryhmäkäytännöillä
Levitetään domainissa olevalle työasemalle muokattu versio Adobe Reader 9-ohjelmasta. Kopioi tarvittavat tiedostot levyjakoon.
Kun työasema liitetään domainiin, luodaan konetili oletuksena ”Computers”-nimiseen säilöön. Säilöihin ei voi kohdistaa ryhmäkäytäntöjä. Niinpä pitää luoda organisaatioyksikkö (New -> Organizational Unit).
Anna organisaatioyksikölle nimi.
Siirrä konetili koneet-organisaatioyksikköön.
Käytä ”Group Policy Management”-työkalua luodaksesi ryhmäkäytännön asennusta varten (Create a GPO in this domain, and link it here).
Anna kuvaava nimi.
Kun ryhmäkäytäntö on luotu, valitse Edit.
Etene kuvan mukaisesti ja valitse Package.
Valitse aiemmin jakoon laitettu msi-tiedosto ja muista UNC-polku.
Valitse ”Advanced”.
Välilehdellä ”Modifications” valitse ”Add” ja valitse aiemmin luotu mst-tiedosto ja tässäkin UNC-polku.
Lopulta kuittaa OK:lla. Nyt luotu ryhmäkäytäntö replikoituu domain controllereiden kesken ja lopulta päätyy koneet OU:n koneille. Tämä saattaa kuitenkin kestää yli 10 minuuttia. Aja kummallakin DC:llä komento gpupdate /force ja uudelleenkäynnistä työasema. Jos tämä ei auta, aja samainen komento työasemalla. Asennuksen valmistuttua tarkista onko MST-tiedostossa olevat asetukset voimassa.
Käyttäjätunnusten luonti
Tavoite: luodaan käyttäjä organisaatioyksikköön sekä lisätään käyttäjätiliin kotihakemisto ja toinen levytunnus logon scriptiä hyödyntäen.
Luo uusi organisaatioyksikkö nimeltä hallinto ja tee sinne uusi käyttäjätili.
Syötä tiedot kuvan mukaisesti
Anna käyttäjätunnukselle salasana ja etene loppuun saakka.
Kotikansion luonti
Luo palvelimelle kansio. ”Properties” -> ”Sharing” -> ”Advanced Sharing”. Tehdään jaosta piilojako lisäämällä $-merkki jakonimen perään. Tällöin kyseinen kansio ei ole julkisesti näkyvillä.
Valitse ”Permissions”. Poista ryhmä ”Everyone”. Lisää käyttäjäryhmä ”Domain users” ja anna ”Contributor”-tason oikeudet . Paina ”Share”.
Sitten on vuorossa NTFS-oikeuksien muokkaus. Valitse ”Security”-> ”Advanced”-> ”Edit”. Ota pois käytöstä ylemmän tason NTFS-oikeuksien perintä ja paina “Copy”.
Poista listasta käyttäjät ja ryhmät lukuun ottamatta ”Administrators”, ”System” ja ”Creator Owner”.
Mene luodun käyttäjätilin ominaisuuksiin kohtaan ”Profile”. Lisää kuvan mukaisesti reitti kotikansioon ympäristömuuttujaa ”%username%” käyttäen.
Levylinkin lisääminen logon scriptillä
Luo uusi organisaatioyksikkö ”ryhmät”, jonne teet uuden Domain Local-tasoisen ryhmän ”hallinto_levy”
Luo uusi levyjako ”hallinto” ja poista oikeuksien perintä. Muokkaa NTFS-oikeuksia niin, että ”hallinto_levy”-ryhmällä on oikeus hallita ja muokata. Lisäksi estä normaalikäyttäjien pääsy levyjakoon. Jako-oikeudet kannattaa tässä tilanteessa antaa niin, että jokaisella käyttäjällä on oikeus siihen. Luo Global-käyttäjäryhmä ”hallinto” ryhmät-organisaatioyksikköön.
Seuraavaksi lisää luomasi käyttäjä jäseneksi ryhmään hallinto ja hallinto-ryhmä jäseneksi ryhmään hallinto_levy.
Miksi näin vaikeasti? Jatkossa kun jokin toinen ryhmä/käyttäjä tarvitsee pääsyä kyseiseen jakoon, heidät tarvitsee lisätä vain ryhmään hallinto_levy. Tällöin vältytään turhalta NTFS-oikeuksien muokkaukselta. Ryhmä hallinto on taasen tarkoitettu muidenkin resurssien sallimiselle hallintoryhmälle ja hallinto_levy pelkästään hallinnon yhteisen levyjaon oikeuksien hallintaan. Ryhmien käytössä tärkeintä on se, että ylläpitäjät sopivat yhteisestä linjasta. Myös tehdyt muutokset on hyvä dokumentoida.
Luo Notepad-ohjelmalla skripti joka tekee levylinkin Y-asemaksi.
net use y: \\testdc\hallinto
Tallenna tiedosto palvelimella kansioon c:\windows\sysvol\sysvol\testi.local\scripts ja muista antaa tiedosto päätteeksi cmd.
Luo hallinto-ryhmään uusi ryhmäkäytäntö. Lisää kuvan mukaisesti skripti kohtaan ”logon”.
Testaa kirjautumalla työasemalle jaakkojo-tunnuksella.
HUOM! 2008 Serverissä tullut Group Preferences-ominaisuus mahdollistaa levymäppäykset ja monet muut tähän saakka skripteillä tehdyt toiminnot. Veikkaanpa, että lähitulevaisuudessa skriptien merkitys AD-ympäristössä tulee vähenemään.
Group Preferences
Perinteiset ryhmäkäytännöt ovat tehokas ja keskitetty tapa asettaa työasemille haluttuja asetuksia. Niiden heikkous kuitenkin on, että loppukäyttäjä menettää oikeutensa kyseisiin asetuksiin. Tilanteissa, joissa halutaan tuottaa käyttäjille tietyt oletusasetukset, mutta ei estää niiden hallintaa on käytetty mm. oletusprofiilia. Preferences mahdollistaa näiden asetusten tekemisen keskitetysti ilman että loppukäyttäjä menettää oikeutensa muuttaa niitä.
Preferencien käyttöönotto ei vaadi 2008-tason domainia vaan jopa 2000-tason domain riittää. Ainoa vaatimus on, että domainiin liitetty Vista- tai Windows 7-työasema tai W2k8-palvelin, jolla pystyy sitten ADUCcia käyttäen tekemään Preferences-määrityksiä.
Tavoite: Luodaan muutama Preferences sääntö ja testataan niiden toimivuus.
Luo hallinto-OU:hun uusi ryhmäkäytäntö ja avaa se. Mene kohtaan ”User Configuration” -> ”Preferences” -> ”Control Panel Settings” -> ”Folder Options”. Luo uusi sääntö.
Muokkaa kansioasetuksia mielesi mukaan.
Kirjaudu työasemalle hallinto-ou:ssa olevalla käyttäjällä. Tarkista, ovatko asetukset tulleet voimaan. Muokkaa asetuksia uudelleen työasemalla. Poista käyttämäsi tunnuksen profiili työasemalta ja kirjaudu sillä uudelleen. Mitkä asetukset ovat nyt voimassa?
HUOM! Jotta preferences policyt toimisivat, pitää työasemaan olla asennettuna ”Group Policy Preference Client Side Extension”. Helpoin tapa asentaa se on Windows Updaten kautta ja laajamittaisempi levitys WSUS-palvelulla.
Distributed File System (DFS)
Luodaan DFS-replikointiryhmä ja julkaistaan se verkossa käyttäen DFS Namespaces-toimintoa. HUOM! Replikointi vaatii toimiakseen vähintään W2K3 R2-tasolla olevan AD:n scheman.
Replikointiryhmän jäsenissä pitää olla asennettuna DFS Replication-palvelu. Perinteiseen palvelimeen se asennetaan ottamalla File Server-rooli käyttöön sekä lisäämällä siihen DFS Replication-palvelu. Server Coressa File Server-rooli on jo valmiiksi asennettuna ja replikointipalvelun asentaminen tapahtuu seuraavalla komennolla.
start /w ocsetup DFSR-Infrastructure-ServerEdition
Asennuksen jälkeen Administrative Toolsista löytyy DFS Management. Avaa se (voit myös käyttää RSAT-etähallintatyökaluja).
Mene DFS Managment -> Replication -> New Replication Group.
Valitse Multipurpose Replication Group.
Anna replikointiryhmälle nimi, sekä valitse käytettävä domain.
Lisää Add-painikkeella vähintään kaksi palvelinta ryhmän jäseniksi.
Valitse Full Mesh, jolloin jokainen palvelin on tasavertainen toisiinsa nähden.
Voit määritellä joko jatkuvan replikoinnin tai sitten vain ennalta määriteltyinä ajankohtina. Lisäksi voit rajoittaa käytettävää kaistaa, jos esimerkiksi ryhmän jäsenistä osa on hitaan verkkoyhteyden takana ja et halua tukkia koko kaistaa tällä.
Valitse määräävä jäsen. Kun replikointi palvelu aloitetaan ja tulee mahdollisia samoja tiedostoja, on tämän palvelimen tiedostot niitä, jotka otetaan käyttöön. Jatkossa kuitenkin kaikki ovat tasavertaisia.
Valitse Primary Memberistä replikoitava kansio, lisäksi määrittele halutut NTFS-oikeudet.
Määrittele muihin ryhmän jäseniin replikointikansiot.
Lopulta replikointiryhmä on valmis.
Asenna Namespace-palvelu. Perinteiseen serveriin lisäämällä File Server-rooli ja DFS Namespace-palvelu. Server Coreen asennus seuraavasti (DFS Namespace vaatii metsän toiminnallisuustasoksi 2003 ja domainin 2008)
start /w ocsetup DFSN-Server
Mene DFS Management -> Namespaces -> New Namespace
Valitse palvelin, johon namespace-palvelu on asennettu.
Valitse Domain-based. Tällöin voit helposti lisätä uusia namespace-palvelimia tarvittaessa.
Ja lopulta valmista.
DFS Management -> Replication -> luotu replikointi ryhmä -> Share and Publish in Namespace.
Share and publish the replicated folder in a namespace
Tarkista, että kaikki on niinkuin pitää.
Valitse haluttu namespace ja nimeä jakokansio.
Tarkista, että asetukset menevät halutusti ja paina Share.
Nyt voit käyttää verkkolevynä \\testi\jako\testi kansiota, joka replikoituu fs1- ja dc1- palvelimelle. Halutessasi voit käyttää suoraan \\fs1\testi tai \\dc1\testi ja tällöinkin tieto replikoituu toiselle palvelimelle.
Nyt namespace-jako toimii kunhan palvelin, johon namespace on luotu, on toiminnassa. Vikasietoisuuden nimissä kannattaa siis lisätä toinen namespace-palvelin.
Asenna toiseen palvelimeen namespace-palvelu. Avaa DFS Management palvelimessa, jossa namespace jo on. Valitse namespace, johon haluat lisätä palvelimen ja valitse Add Namepace Server. Avautuvaan ikkunaan määrittele lisättävä palvelin. Nyt namespace on toiminnassa, vaikka toinen olisi pois päältä. Lisäksi tämä parantaa jaon suorituskykyä.
Lisäksi replikointiryhmään tarvitsee lisätä uusia jäseniä.
Staging Quota
Staging Quota toimii replikoinnin temppinä. Mitä suurempi quota, sitä enemmän se vaatii tilaa. Ongelma tulee vastaan, kun yksittäinen replikoitava tiedosto on suurempi kuin määritelty Staging Quota. Tällöin replikoinnissa voi tapahtua virheitä, koska tiedostoa ei voida replikoida yhtenä kokonaisuutena vaan se on replikoitava paloissa. Lisäksi replikointi vaatii tällöin enemmän resursseja. Staging Quotaa voi säätää palvelinkohtaisesti DFS Management-työkalulla. Oletuksena Quotan koko on 4096mb.
Print Services
Asenna tulostinpalvelin Server Core-versioon komennolla:
start /w ocsetup Printing-ServerCore-Role
Kun rooli on asentunut, käynnistä palvelin uudestaan.
Salli tulostimien jako palomuurissa.
netsh firewall set service fileandprint enable
Tämän jälkeen ota etäyhteys RSATin työkaluilla. Avaa Print Management ja lisää palvelin.
Lisää juuri asennettu palvelin Print Servers-listaan.
Lisää uusi tulostin.
Asennetaan verkkotulostin IP-osoitteella.
Annetaan tulostimen IP-osoite.
Jos laitteeseen ei ole saatu yhteyttä, määrittele osoite manuaalisesti.
Jos laitteelle ei löydy sopivia ajureita, valitse Install a new driver.
Valitse käytettävä ajuri.
Määrittele tulostimelle nimi ja jakonimi.
Tarkista, että asetukset ovat halutut.
Ja lopulta tulostin on asentunut.
Levitä tulostin käyttöön käyttäen GPO:ta. Valitse Deploy with Group Policy. HUOM! Tämä toiminto vaatii, että clientin pitää olla vähintään Vista. Tosin WinXP ja W2K työasemille asennus onnistuu käyttämällä Startup tai logon scriptinä PushPrinterConnections.exe tiedostoa. Kyseinen tiedosto löytyy W2k8 tai vistan kansiosta %WINDIR%\System32.
Valitse GPO, johon jakelu tehdään ja on käyttäjä vai konekohtainen (voit valita kummatkin). Lopuksi paina Add.
Paina OK ja asetus tulee voimaan.
Toinen keskitetty tapa levittää verkkotulostimia on Group Preferences. Luo uusi GPO ja mene joko Computer- tai User-haaran Preferences -> Control Panel Settingsiin. Printers -> New -> Shared Printer. HUOM! Vista ja vanhemmat vaativat, että niihin on asennettu Preferences Client Side Extension, jotta tämä toimii. Windows 7:ssa tuki on jo vakiona.
Valitse asetukset ja valitse tulostin. Huomaa, että nyt voit jopa määritellä tehdäänkö tulostimesta oletustulostin.
Tehdään vielä hienosteluna filteröinti. Common-välilehdellä täppä Item-level targeting ja paina Targeting. Paina New Item ja valitse Security Group.
Valitse Security Group, jolle haluat tulostimen asentuvan.
Nyt tulostin asentuu käyttäjille, joihin tämä GPO kohdistuu. Heidän pitää kuitenkin kuulua grouppiin nimeltä tulostus. Lisäksi tulostin määritellään käyttäjälle oletustulostimeksi, jos hänellä ei ole paikallisia tulostimia.
Windows Server Update Services (WSUS)
WSUS on tarkoitettu hallintatyökaluksi Microsoftin tuotteitten keskitettyyn päivittämiseen.
Ennen asennuksen alkua, asenna palvelimeen Microsoft Report Viewer Redistributable 2005. Ilman tätä pakettia WSUS:in raportit eivät toimi.
Aloita asennus Add Roles-toiminnolla ja valitse WSUS. Toimiakseen WSUS tarvitsee myös IIS-palvelun (asennusohjelma osaa lisätä sen kun valitset WSUS:in).
WSUS ei ole w2k8:in "alkuperäisiä" rooleja, joten osa asennustiedostoista joudutaan lataamaan netistä. Lopulta varsinainen asennus on valmis alkamaan.
Etene asennuksessa oletuksilla.
Select Update Source. Valitse, mihin asennettavat päivitykset tallennetaan. WSUS ei lataa päivityksiä ennen kuin ne on hyväksytty asentamista varten.
Voit myös jättää päivityksen lataamisen väliin ja käyttää WSUS:ia pelkästään asennusten hallinnointiin. Tällöin jokainen client lataa päivitykset yksi kerrallaan Microsoft Updatesta.
Database Options. Oletuksena WSUS asentaa paikallisesti oman tietokannan, mutta on myös mahdollista käyttää erillistä SQL-tietokantaa. WSUS tallentaa tietokantaan kaikki asetuksensa, joten mahdollisen vikatilanteen vuoksi erillisen SQL-palvelimen käyttö on järkevää.
Web Site Selection. Valitse IIS:in oletussivu.
Tarkista, että asetukset ovat halutut ja aloita asennus.
WSUS tarvitsee päivitysten jakeluun clienteille auki portit 80 ja 443, jotka IIS osaa avata palomuuriin asennuksessa. Lisäksi palvelimella pitää olla toimiva yhteys olemassa olevaan WSUS-palvelimeen tai Microsoft Updateen.
Valitse lähde päivityksille. Microsoft Update tai jo olemassa oleva WSUS-palvelin.
Valitse tarvittavat kieliversiot.
Tuotteet, joihin haluat tarjoilla päivityksiä.
Päivitystyypit.
Asetukset, kuinka tarkistetaan uudet päivitykset.
Lopulta aloita tietojen synkronointi.
Riippuen valittujen päivitysten määrästä synkronointi voi kestää hyvinkin pitkään.
Määrittele clientit käyttämään WSUS-palvelua. Jos haluat domainisi kaikkiin koneisiin tämän asetuksen, muokkaa Default Domain Policyä. Jos taasen haluat rajata, toimi sen mukaisesti. Avaa haluttu GPO.
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update -> Specify intranet Microsoft Update service location -> Enabled ja kumpaankin kenttään http://palvelimennimi.
Avaa Update Services-konsoli. GPO:n tullessa voimaan alkavat clientit näkyä Computers-haarassa. Voit luoda Computersiin ryhmiä jos haluat eri clienteille eri päivitykset yms.
Kun WSUS on synkronoinut tietonsa ja saanut clienteiltä raportin tarpeistaan, voit Updates-kohdassa alkaa määrittelemään jaeltavia päivityksiä. Määrittele hakukriteeriksi Unapproved ja Failed or Needed. Tällöin saat listan clienttiesi tarvitsemista päivityksistä. Hyväksy päivitykset, jotka haluat asennettavan.
Määrittele ryhmä, jolle päivitys on tarjolla ja valitse Approved for install.
Lopulta hyväksyntä on suoritettu.
Jos ei halua manuaalisesti hyväksyä kaikkia päivityksiä, voi käyttää Automatic Approvals-sääntöjä. Mene Update Services-konsolissa Options -> Automatic approvals. Voit ottaa default-säännön käyttöön, jolloin kriittiset ja tietoturvapäivitykset hyväksytään automaattisesti jakeluun. Luonnollisesti voit myös luoda oman sääntösi.
Windows Deployment Services (WDS)
Aloita WDS palvelun käyttöönotto lisäämällä Windows Deployment Services-rooli.
Kun rooli on lisätty avaa WDS Console.
Valitse palvelimen kohdalta Configure Server.
Tarkista että WDS:n tarvitsemat toiminnot löytyvät. Palvelin on AD:n jäsen, verkossa on DHCP- ja DNS-palvelut sekä WDS:n käyttöön on vapaa NTFS-osio.
Oletuksena tarjotaan c:\remoteinstall kansiota. Suosituksena on kuitenkin että asennustiedostot sijoitetaan erilliselle osiolle ja, jos mahdollista fyysisesti, erilliselle levylle.
Millä tavalla PXE-palvelin toimii, kun verkossa kone yrittää verkkoboottia. Oletuksena palvelin ei tee mitään.
Ota täppä pois kohdasta Add images.
Valitse Boot images-kohdasta Add Boot Image
Etsi Windows 2008-asennuslevyltä boot.wim tiedosto. Voit myös käyttää Vistan asennusmedialla olevaa boot.wim tiedostoa, mutta tällöin menetät osan ominaisuuksista (esim. multicasting).
Etene oletuksilla.
Install image-kohdassa valitse Add Install Image
Nimeä Image Group
Etsi Vistan asennusmedialta install.wim (voit luonnollisesti tehdä samoin w2k8:n asennusmedialta).
Yksi WIM-image voi sisältää monia eri imageja. Valitse ne, jotka tarvitset.
Mene palvelimen Properties-kohtaan ja PXE Response Settings-kohdasta valitse Respond to all. Nyt voit asentaa vVstan työasemalle tekemällä verkkobootin.
Network Load Balancing
Asenna NLB Add Features-toiminnolla.
Avaa Network Load Balancing Manager. Valitse New Cluster.
Anna palvelimen nimi, johon NLB on asennettu ja paina Connect. Kun yhteys on muodostunut, valitse verkkokortti, jota clusterissa käytetään.
Anna clusterille ip-osoite. Tämä on clusterin ip-osoite, ei siis minkään palvelimen. Clusterin ip:n kautta clienttien pyynnöt ohjataan tasaisesti clusterin kesken.
Jos olet määritellyt clusterin ip-osoitteelle dns-aliaksen, syötä se fqdn-muodossa kohtaan Full Internet Name. Jos olet määritellyt useita syötä "Primary"-osoite. Lisäksi käytä Operation Modena Multicastingia, jos kytkin tukee multicastingia. Tarkempi selvitys Unicastin ja Multicastin eroista NLB-käytössä löytyy täältä
Olet nyt luonut clusterin.
Tosin yhden koneen clusterista ei ole paljon hyötyä, joten asenna toiseen palvelimeen NLB ja sen jälkeen valitse clusterista Add host to cluster. Hostin lisäystoiminto on lähes samanlainen clusterin luonnin kanssa.
Server Core vinkkejä
Windows Update
Windows Updaten saa päälle seuraavalla komennolla
Cscript c:\windows\system32\scregedit.wsf /au 4
Net stop wuauserv
Net start wuauserv
Nyt update on päällä niin, että päivitykset tarkistetaan automaattisesti klo 03:00 joka päivä. Jos haluat ajaa päivitykset samoin tein, anna komento:
Wuauclt /detectnow
Dcpromo vastaustiedosto, uusi domain uuteen metsään
Server Coressa domainin luonnin asetukset määritellään vastaustiedostoon. Aiemmin on käsitelty toisen dc:n lisääminen olemassa olevaan domainiin ja rodc:n lisääminen domainiin. Tässä vielä vastaustiedosto uuden domainin luomiselle.
[DCInstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=domainin.fqdn.nimi
ForestLevel=3
DomainNetbiosName=domaininnimi
DomainLevel=3
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=salasana
RebootOnCompletion=Yes
ForestLevel ja DomainLevel 3 tarkoittaa toiminnallisuustasoa, joka on 2008. Vaihtoehtoina 2=2003 ja 1=2000.
Tarkempia tietoja dcpromon vastaustiedostoista löytyy täältä.
Palomuuri
Palomuuri sammutetaan komennolla:
netsh advfirewall set allprofiles state off
Ja käynnistetään:
netsh advfirewall set allprofiles state on
Päivä- ja aika -asetukset
Asetuksiin pääset käsiksi komennolla:
timedate.cpl
Vinkkejä
Uusia rooleja
Server Manageriin integroidaan aika ajoin uusia rooleja. Uudet roolit saa näkyviin painamalla "Check for new roles"-painikketta.
ServerManagerCmd
On komentorivityökalu Server Managerin hallintaan.
Esimerkiksi seuraavalla komennolla voit asentaa Powershellin palvelimeen.
servermanagercmd -i powershell
Usage:
ServerManagerCmd.exe
Installs and removes roles, role services and features. Also displays the list
of all roles, role services, and features available, and shows which are
installed on this computer. For additional information about the roles,
roles services, and features that you can specify using this tool,
refer to the Help for Server Manager.
-query [<query.xml>] [-logPath <log.txt>]
-install <name>
[-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
[-allSubFeatures]
-remove <name>
[-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
-inputPath <answer.xml>
[-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
-help | -?
-version
Switch Parameters:
-query [<query.xml>]
Display a list of all roles, role services, and features available,
and shows which are installed on this computer. (Short form: -q)
If <query.xml> is specified, the information is also saved to a
query.xml file with additional information.
-inputPath <answer.xml>
Installs or removes the roles, role services, and features specified
in an XML answer file, the path and name of which is represent by
<answer.xml>. (ShortForm: -ip)
-install <name>
Installs the role, role service, or feature on the computer that
is specified by the <name> parameter. Multiple roles, role services or
features must be separated by spaces. (ShortForm: -i)
-allSubFeatures
Used with the -install parameter to install all subordinate
role services and features along with the role, role service, or
feature named with the -install parameter. (Short form: -a)
-remove <name>
Removes the role, role service, or feature from the computer that
is specified by the <name> parameter. Multiple roles, role services or
features must be separated by spaces. (ShortForm: -r)
-resultPath <result.xml>
Saves the result of the ServerManagerCmd.exe operation to a <result.xml>
file, in XML format. (Short form: -rp)
-restart
Restarts the computer automatically, if restarting is necessary to
complete the operation.
-whatIf
Display the operations to be performed on the current computer
that are specified in the answer.xml file. (Short form: -w)
-logPath <log.txt>
Specify the non-default location for the log file. (Short form: -l)
-help
Display help information. (Short form: -?)
-version
Display the version of the Server Manager command that is running,
Microsoft trademark information, and the operating system.
(Short form: -v)
Examples:
ServerManagerCmd.exe -query
ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml
ServerManagerCmd.exe -inputPath install.xml -whatIf