Windows 2008 server - Sitä sun tätä

Esipuhe

Olen näissä asioissa totaalinen amatööri ja vain ilmeisesti liiasta vapaa-ajasta johtuen on tullut omaa harrastustani julkaistua tällä tavalla. Sinä guru tai vain tarkkasilmäinen, joka havaitset täällä jotain aivan järkyttävää tai muuten vain älyttömiä epätotuuksia: ilmoita siitä minulle. Olen enemmän kuin avoin neuvoille ja ohjaukselle :). Tietenkin toiveet käsiteltävistä asioista ovat myös tervetulleita.

Domainin perustaminen

Tavoite: Windows 2008 Active Directory Domain. Domainiin perustetaan kaksi Domain Controlleria (normaali palvelin ja Server Core-versio).

Normaalin Windows 2008 Serverin asennus

Aloita asennus asettamalla asennus-dvd dvd-asemaan ja käynnistä kone siltä.
Aluksi valitaan halutut maa-asetukset.
1.png
Harjoitusta varten ei tarvita kuin 60 päivän kokeiluversio. Ota se käyttöön seuraavasti.
Paina ”Next”
2.jpg.jpeg
Paina ”No”
image-0bc
Tee valinnat kuvanmukaisesti ja paina ”Next”
image-2
Osioi levy. Valitse ”Custom”
image-4
Luo kuvan mukaiset osiot ja paina ”Next”
image-6
Varsinainen Asennus alkaa! Odota kunnes seuraavanlaista ilmestyy.
Paina ”OK” ja syötä haluamasi salasana.
image-8

Domainin luominen

Kirjaudu palvelimelle "administrator” -tunnuksella. Käynnistä Server Manager-hallintakonsoli (aukeaa oletuksena automaattisesti).

Esivalmistelut

Muuta palvelimen nimi halutuksi (esim. testidc). Käynnistä palvelin uudelleen!
image-10
Ota käyttöön kiinteä ip-osoite (esim. 192.168.0.1 ja subnet mask 255.255.255.0). Lisäksi ota IPv6-protokolla pois käytöstä. Kyseistä protokollaa voi käyttää, mutta sitä ei harjoituksessa tarvita ja näin vältymme turhalta työltä.
image-12
Asennetaan ”Active Directory Domain Services”. Etsi Server Managerista kohta ”Add Roles”.
image-14
Etene kohtaan “Select Server Roles” ja valitse ”Active Directory Domain Services”.
image-16
Aja wizard loppuun saakka, jonka jälkeen olet valmis aloittamaan domainin perustamisen.

Domainin luominen

Käynnistä dcpromo.exe
image-18
Etene oletuksilla kohtaan ”Configure domain name system client settings”. Aktiivihakemisto vaatii DNS-palvelun toimiakseen. Aseta täppä kuvan mukaisesti niin DNS-palvelu asennetaan automaattisesti.
image-20
”Choose a deployment configuration”. Valitse “Create a new domain in a new forest”
image-22
Kohdassa “Name the forest root domain” syötä haluttu FQDN-nimi (esim. testi.local).
image-24
Kohdassa ”Set forest functional level”valitse “Windows Server 2008"
Harjoituksessa luodaan uusi domain uuteen metsään, jolloin on sama nostaa toiminnallisuustaso ylimpään mahdolliseen. Tosielämässä on luonnollisesti otettava huomioon olemassa oleva infra. Esimerkiksi 2008-tasolla toimivaan metsään ei voi lisätä vanhempia versioita (esim. 2003 domain controlleria).
image-26
Paina ”Yes”
image-28
Aktiivihakemiston tietokannasta voi palauttaa mm. vanhoja käyttäjätilejä. Tätä toimintoa varten pitää käyttää ”Directory Services Restore Mode” -tilaa. Kyseinen toiminto vaatii oman salasanan. Anna sellainen.
image-30
Nyt voisit luoda vastaustiedoston tekemistäsi asetuksista, tällöin dcpromon voi ajaa automaattisesti samoilla asetuksilla. Tähän ei nyt kuitenkaan ole tarvetta.
image_32
Lopulta aktiivihakemiston perustaminen alkaa…
image-34
Kun palvelin on käynnistynyt uudestaan, käy lisäämässä verkkoasetuksiin DNS-palvelimen oikea osoite.
image-36

Windows 2008 Server Core-version asennus

Seuraa normaaliversion asennusohjetta, mutta valitse versio kuvan mukaisesti.
image-52

Server Core-version lisääminen toiseksi domain controlleriksi

Aloitetaan vaihtamalla palvelimen nimi.

netdom renamecomputer %computername% /NewName:uusinimi

image-54
Tämän jälkeen käynnistä palvelin uudelleen.
shutdown –r

Selvitetään tarvittavat tiedot verkkokortista, jotta asetuksia voidaan määritellä.

netsh interface ipv4 show interface

Annetaan verkkokortille kiinteä ip-osoite.

netsh interface ipv4 set address name="[Idx]" source=static address=[ip osoite] mask=[subnet mask] gateway=[gateway]

Ja DNS-palvelin. Index-arvo määrittelee, onko DNS-palvelin ensisijainen vai toissijainen (1 = ensisijainen).

netsh interface ipv4 add dnsserver name="[Idx]" address=[dns palvelimen osoite] index=1
netsh04.jpg

Liitetään palvelin domainiin (liittämistä ei ole pakko tehdä tässä vaiheessa, mutta opitaan tässä hieman ylimääräistä).

netdom join koneennimi /domain:domaininnimi /userd:käyttäjätunnus /passwordd:käyttäjänsalasana

Käyttäjänä voit käyttää domainin ”administrator” käyttäjää.
Käynnistä palvelin uudestaan.
shutdown -r

image-58
Server Coressa ei ole graafista käyttöliittymää, joten dcpromoa ei voi ajaa perinteisen serverin tyyliin. Tällöin pitää luoda vastaustiedosto, joka kertoo dcpromolle mitä tehdä.
Luo seuraavanlainen txt-tiedosto (tiedostonimellä ei ole väliä).
[DCINSTALL]
ReplicaOrNewDomain=Replica
DNSOnNetwork=yes
ConfirmGC=Yes
DomainNetbiosName=domaininnetbiosnimi
ReplicaDomainDNSName=domaininFQDNnimi
SiteName=Default-First-Site-Name
DatabasePath=%systemroot%\ntds
LogPath=%systemroot%\ntds
SYSVOLPath=%systemroot%\sysvol
SafeModeAdminPassword=safemodensalasana
CriticalReplicationOnly=No
RebootOnCompletion=yes

Voit tehdä tiedoston vaikka perinteisellä serverillä ja laittaa sen levyjakoon. Jaon saat näkyviin Server Coressa komennolla:
net use haluttuasemakirjain: \\palvelin\jaonnimi

Tai käytä Server Coressa olevaa Notepad-ohjelmaa. Ohjelma käynnistyy komennolla notepad. Sitten ollaankin valmiita promottamaan. Kirjaudu palvelimelle Domain admin-tasoisella tunnuksella!
dcpromo /unattend:asetustiedosto.txt

image-60
Uudelleenkäynnistyksen jälkeen kumpikin kone toimii domain controllerina. Voit tarkistaa asian perinteisen palvelimen Server Managerista (Roles -> Active Directory Users and Computers -> domaini -> Domain Controllers).
Mitä iloa on Server Coresta?
1. Syö vähemmän resursseja, joten se on varsinkin virtuaalipalvelinympäristöissä hyödyllinen.
2. Kaikki turha karsittu pois, joten siinä on vähemmän rajapintaa, johon voidaan tehdä hyökkäyksiä. Tämän takia se on tietoturvallisempi ja siinä on vähemmän asioita, jotka voivat kaataa palvelimen.
3. Ei tarvitse lähellekään kaikkia Windowsin päivityksiä, vähemmän ”buutteja” ja vähemmän mahdollisuuksia, että päivitykset sekoittaisivat tärkeän palvelun.

Domain controllerin poistaminen käytöstä

DC-koneen poistaminen tapahtuu dcpromo-komennolla. Ohjeita saa komennolla:

dcpromo /?:demotion

Oletusasetuksilla komennoksi riittää:

dcpromo /AdministratorPassword:"paikallisenadministratortunnuksensalasana"

ScreenShot014.jpg

DNS

Reverse Lookup Zone

Mene Server Managerissa kohtaan DNS Server ja valitse “Reverse Lookup Zones” kohdassa “New Zone”.
image-38
Etene oletusasetuksilla. Varmista kuitenkin, että asetukset ovat kuvien mukaiset.
image-40
image-42
image-44
Määrittele tarkkailtava alue.
image-46
image-48
Lopulta voit tarkistaa toimivuuden Server Managerista.
image-50

Forwarder ja Root hints

Kun ympäristö on kytketty julkiseen internetiin, tulee luonnollisesti kyselyitä, joihin paikallinen DNS ei osaa vastata. Tällöin liikenne ohjataan eteenpäin esim. palveluntarjoajan DNS-palvelimeen.

Valitse DNS -> Properties.

dnsforwarder01.jpg

Forwarders-välilehti ja Edit.

dnsforwarder02.jpg

Syötä käytettävät palvelimet.

dnsforwarder03.jpg

Jos yksikään valituista forwardereista ei vastaa, käytetään Root hintsejä.

dnsforwarder04.jpg

Root hints-välilehdellä näet käytössä olevat palvelimet. Tiedot voivat luonnollisesti muuttua. Näitä tietoja voit muokata manuaalisesti tai sitten kopioimalla tiedot toiselta palvelimelta painamalla Copy from server. Root hints-tietoja voi tarkastaa sivustolta http://www.iana.net/.

dnsforwarder05.jpgdnsforwarder06.jpg

Toinen tapa lisätä forwarder on Conditional Forwarderista hiiren kakkosnappia ja New Conditional Forwarder.

forwarder01.jpg

Kun forwarder lisätään tätä kautta, sille voi määritellä mille muille DNS-palvelimille tieto replikoituu.

forwarder02.jpg

DNSCMD

DNSCMD mahdollistaa DNS-palvelimen hallinnan komentoriviltä.

Reverse lookup zone

Komento (luonnollisesti muokkaa oman verkkosi mukaiseksi):

dnscmd /zoneadd 0.168.192.in-addr.arpa /dsprimary
reversedns1.jpeg

Lisäyksen onnistumisen tarkistamisen voi katsoa komennolla

dnscmd testi.local /enumzones
reversedns2.jpeg

Forwarder

Forwarderin lisäys käyttäen dnscmd-komentoa. Määritys "/noslave" ohjaa palvelimen ottamaan yhteyttä Root hintseihin, jollei forwarder vastaa määritellyssä ajassa.

dnscmd <palvelin> /ResetForwarders <forwarderin IP> /timeout <aika sekunteina> /noslave
dnsforwsc01.jpg

DHCP

Tavoite: perustetaan perinteiselle domain controllerille DHCP palvelu ja varmistetaan sen toimivuus. Samalla liitetään yksi työasema domainiin.

DHCP palvelun asennus

Kirjaudu ”administrator” tunnuksella palvelimelle (testidc). Paina Server Managerista nappia ”Add Roles”
image-62
Lisää rooliksi ”DHCP Server”
image-64
Varmista että valittuna on verkkoyhteys, jota halutaan käyttää osoitteiden jakeluun.
image-66
Tarkista, että DNS-palvelun tiedot pitävät paikkansa.
image-68
WINS-palvelua ei ole käytössä, joten siitä ei tarvitse antaa tietoja.
image-70
”DHCP Scopes” kohdassa paina ”Add”-nappia. Syötä kenttiin tarvittavat tiedot. Anna scopelle nimi. Tehdään niin, että palvelu jakaa osoitteita alueelta 192.168.0.50-192.168.0.100 ja maski on 255.255.255.0. Varmista että kohdassa ”Activate this scope” on täppä.
image-72
Ipv6-protokollaa ei tarvita, joten valitse Disable.
image-74
Koska olet kirjautuneena Domain admin-tasoisella tunnuksella, oikeutesi riittävät DHCP-autorisointiin, eli valitaan ”Use current credentials”.
image-76
Lopulta asennus on valmis.
image-78

Toimivuuden tarkistus

Mene Server Managerissa Roles -> Active Directory Services -> Active Directory Users and Computers -> testi.local -> Domain Controllers -> valitse testidc hiiren kakkosnapilla ja Manage. Avautuneessa ikkunassa Services and Applications -> testidc.testi.local -> IPv4. Jos IPv4:n kohdalla on vihreä pallukka, on palvelu käynnissä ja aktiivihakemistoon autorisoitu.
image-80
Käynnistä työasema. Varmista, että työasemassa on automaattinen osoitteenhaku päällä. Jos kohdassa ”Address Leases” ei näy mitään, kokeile kirjoittaa työasemalla komennot ipconfig /release ja ipconfig /renew.
image-82
Lisätään lopuksi kuvitteellinen gateway. Olkoon gatewayn osoite 192.168.0.200.
”Scope Options” -> “Configure Options”.
image-84
Etsi kohta Router ja lisää gateway-osoite.
image-86
Uudista työaseman osoite ja tarkista komennolla ipconfig /all pitävätkö tiedot paikkansa.
image-88
Lopuksi liitetään työasema domainiin. Control panel -> System and Maintance -> System -> Change Settings -> Change ja lopuksi kirjoita domain-kenttään domainin nimi. Käytä liittämiseen domainin administrator-tunnusta.
image-90
Uudelleenkäynnistyksen jälkeen voit kirjautua domainin tunnuksilla koneelle. Käy myös tarkistamassa palvelimelta ”Computers” säilöstä, onko sinne ilmestynyt konetiliä.
image-92

DHCP ja Server Core

Tavoite: Perustetaan DHCP-palvelu Server Core-versioon. Lisäksi käytetään palvelun hallintaan RSAT-etähallintaohjelmistoa. HUOM! Poista perinteiseltä palvelimelta käytössä oleva DHCP käyttäen toimintoa ”Remove roles”. Asenna palvelu komennolla:

start /w ocsetup DHCPServerCore

image-94
Aseta palvelu käynnistymään automaattisesti
sc config dhcpserver start= auto

image-96
Käynnistä palvelu
net start dhcpserver

Salli Server Coren etähallinta
Netsh advfirewall firewall set rule group=”remote administration” new enable=yes

image-100
Asenna työasemalle Remote Server Administration Tools (RSAT)-ohjelmisto, jonka jälkeen mene Control Panel -> Programs and Features -> Turn Windows Features on or off. Valitse tarvittava työkalu ja paina OK.
image-102
Kun verkossa ei vielä ole toiminnassa olevaa DHCP-palvelinta, kannattaa viimeistään nyt määritellä työasemalle kiinteä osoite ja kirjautua domain admin-tasoisella tunnuksella. DHCP Server Tools löytyy Control Panel -> Administrative Tools -> DHCP valitse “Add server”.
image-104
Syötä DHCP-palvelimen nimi ja ok.
image-106
Valitse ”New Scope”.
image-108
Etene oletuksilla, lukuunottamatta seuraavia kohtia:
Scopelle on pakko antaa nimi.
image-110
Määrittele jaettavat osoitteet.
image-112
DNS-tiedot
image-114
Kun tarvittavat asetukset on tehty, katkaise yhteys DHCP-palvelimeen ja valitse ”Manage Authorized Servers”.
image-116
Paina ”Authorize”
dhcp1.jpeg
Syötä DHCP-palvelimen nimi. OK -> OK -> OK
image-2b
Nyt palvelin on konfiguroitu ja autorisoitu domainiin. Testaa asettamalla automaattinen osoitteidenhaku päälle työasemassa. Tarkista, ovatko asetukset tulleet oikein. Tarkista myös DHCP-työkalulla, että työasema on ilmestynyt ”Address Leases”-kohtaan.
image-4b
Luonnollisesti nämä samat asiat voi tehdä myös paikallisesti Server Coren komentoriviltä. Poista RSATilla luotu Scope ja autorisointi.
Autorisoi palvelin.
netsh dhcp add server <palvelimennimi> <palvelimen ip-osoite>

image_6b
Luo Scope.
netsh dhcp server add scope <aliverkko> <aliverkonmaski> <scopennimi> <scopekommentti>

image-8b
Aseta jaettava ip-alue
netsh dhcp server scope <aliverkko> add iprange <alkaa> <loppuu>

image-10b
Määrittele routteri
netsh dhcp server scope <aliverkko> set optionvalue 003 IPADDRESS <osoite>

image-12b
Määrittele DNS
netsh dhcp server scope <aliverkko> set optionvalue 006 IPADDRESS <osoite>

image-14b
Aktivoi scope
netsh dhcp server scope <aliverkko> set state 1

image-16b

Read Only Domain Controller (RODC)

RODC on nimensä mukaisesti vain lukuoikeudet AD:hen omaava domain controller. RODC ei yksin pysty toimimaan domain controllerina, vaan AD:ssa pitää olla myös perinteisiä domain controllereita. RODC tuo lisäturvaa, jos DC joudutaan sijoittamaan ei turvalliseen paikkaan (esim. sivukonttoriin).
Tavoite: Perustetaan domainiin RODC palvelin Server Core-versioon. Palvelimen pystytyksessä käytetään apuna WinRS-etähallintaa.
Aloita asentamalla Server Core-palvelin. Nimeä palvelin, aseta kiinteät ip-asetukset, sekä liitä palvelin domainiin.
Salli WinRS-etähallinta

WinRM qc

image-48b
Kirjaudu työasemalle domain admin –tasoisella tunnuksella. Avaa komentokehote ja yhdistä komennolla:
winrs –r:palvelin cmd.exe

image-50b
Nyt pystyt käyttämään palvelinta työasemalta. Luo asetustiedosto dcpromoa varten.
[DCINSTALL]
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
Password=salasana
RebootOnCompletion=No
ReplicaDomainDNSName=fqdn domain nimi
ReplicaOrNewDomain=ReadOnlyReplica
SafeModeAdminPassword=salasana
SiteName=Default-First-Site-Name
UserDomain=fqdn domain nimi
Username=käyttäjätunnus

Suorita dcpromo
image-52b
Ja lopuksi käynnistä palvelin uudelleen.
image-54b
Nyt Domain Controllers-OU:sta löytyy Read only, DC.
image-56b

Luottosuhteet kahden domainin välille

Luottosuhteilla käytännössä sallitaan toisen domainin käyttäjien kirjautuminen toiseen domainiin, lisäksi luotetun domainin käyttäjille ja ryhmille voidaan sallia resursseja. Luottosuhteiden luominen ei vaadi domainien olemista samassa metsässä.

Ennen luottosuhteiden luomista on hyvä varmistaa nimenselvennyksen toimivuus esimerkiksi pingaamalla toisen domainin fqdn-nimeä. Jos tämä ei onnistu, voi tilanteen korjata lisäämällä toisen domainin DNS-palvelimen forwarderiksi.

Aloita luottosuhteiden luonti käynnistämällä Active Directory Domains and Trusts-työkalu.
Valitse Domain -> Properties.

addt02.jpg

Trusts-välilehti ja paina New Trust

addt03.jpgaddt04.jpg

Määrittele domain, johon haluat luottosuhteet luoda.

addt05.jpg

Määrittele millaisen luottosuhteen haluat luoda.

addt06.jpg

Voit luoda luottosuhteen erikseen kummassakin domainissa tai sitten tehdä luottosuhteen kerralla kumpaankin domainiin.

addt07.jpg

Jotta voit luoda luottosuhteen toiseenkin domainiin tarvitset riittävät käyttöoikeudet siihen.

addt08.jpgaddt09.jpgaddt10.jpg

Ennen tätä varmista toisesta domainista että luottosuhteet ovat luotu.

addt11.jpgaddt12.jpgaddt13.jpg

Nyt luottosuhteet ovat voimassa.

addt14.jpg

Voit testata toimivuuden valitse luotettu domain -> Properties -> General -> Validate.

addt15.jpg

Ohjelmistonlevitys ryhmäkäytännöillä

Levitetään domainissa olevalle työasemalle muokattu versio Adobe Reader 9-ohjelmasta. Kopioi tarvittavat tiedostot levyjakoon.
Kun työasema liitetään domainiin, luodaan konetili oletuksena ”Computers”-nimiseen säilöön. Säilöihin ei voi kohdistaa ryhmäkäytäntöjä. Niinpä pitää luoda organisaatioyksikkö (New -> Organizational Unit).
image-28b
Anna organisaatioyksikölle nimi.
image-30b
Siirrä konetili koneet-organisaatioyksikköön.
image-32b
Käytä ”Group Policy Management”-työkalua luodaksesi ryhmäkäytännön asennusta varten (Create a GPO in this domain, and link it here).
image-34b
Anna kuvaava nimi.
image-36b
Kun ryhmäkäytäntö on luotu, valitse Edit.
image-38b
Etene kuvan mukaisesti ja valitse Package.
image-40b
Valitse aiemmin jakoon laitettu msi-tiedosto ja muista UNC-polku.
image-42b
Valitse ”Advanced”.
image-44b
Välilehdellä ”Modifications” valitse ”Add” ja valitse aiemmin luotu mst-tiedosto ja tässäkin UNC-polku.
image-46b
Lopulta kuittaa OK:lla. Nyt luotu ryhmäkäytäntö replikoituu domain controllereiden kesken ja lopulta päätyy koneet OU:n koneille. Tämä saattaa kuitenkin kestää yli 10 minuuttia. Aja kummallakin DC:llä komento gpupdate /force ja uudelleenkäynnistä työasema. Jos tämä ei auta, aja samainen komento työasemalla. Asennuksen valmistuttua tarkista onko MST-tiedostossa olevat asetukset voimassa.

Käyttäjätunnusten luonti

Tavoite: luodaan käyttäjä organisaatioyksikköön sekä lisätään käyttäjätiliin kotihakemisto ja toinen levytunnus logon scriptiä hyödyntäen.
Luo uusi organisaatioyksikkö nimeltä hallinto ja tee sinne uusi käyttäjätili.
image-58b
Syötä tiedot kuvan mukaisesti
image-60b
Anna käyttäjätunnukselle salasana ja etene loppuun saakka.

Kotikansion luonti

Luo palvelimelle kansio. ”Properties” -> ”Sharing” -> ”Advanced Sharing”. Tehdään jaosta piilojako lisäämällä $-merkki jakonimen perään. Tällöin kyseinen kansio ei ole julkisesti näkyvillä.
image-62b
Valitse ”Permissions”. Poista ryhmä ”Everyone”. Lisää käyttäjäryhmä ”Domain users” ja anna ”Contributor”-tason oikeudet . Paina ”Share”.
image-64b

Sitten on vuorossa NTFS-oikeuksien muokkaus. Valitse ”Security”-> ”Advanced”-> ”Edit”. Ota pois käytöstä ylemmän tason NTFS-oikeuksien perintä ja paina “Copy”.
image-66b
Poista listasta käyttäjät ja ryhmät lukuun ottamatta ”Administrators”, ”System” ja ”Creator Owner”.
image-68b
Mene luodun käyttäjätilin ominaisuuksiin kohtaan ”Profile”. Lisää kuvan mukaisesti reitti kotikansioon ympäristömuuttujaa ”%username%” käyttäen.
image-70b

Levylinkin lisääminen logon scriptillä

Luo uusi organisaatioyksikkö ”ryhmät”, jonne teet uuden Domain Local-tasoisen ryhmän ”hallinto_levy”
image-72b
Luo uusi levyjako ”hallinto” ja poista oikeuksien perintä. Muokkaa NTFS-oikeuksia niin, että ”hallinto_levy”-ryhmällä on oikeus hallita ja muokata. Lisäksi estä normaalikäyttäjien pääsy levyjakoon. Jako-oikeudet kannattaa tässä tilanteessa antaa niin, että jokaisella käyttäjällä on oikeus siihen. Luo Global-käyttäjäryhmä ”hallinto” ryhmät-organisaatioyksikköön.
image-74b
Seuraavaksi lisää luomasi käyttäjä jäseneksi ryhmään hallinto ja hallinto-ryhmä jäseneksi ryhmään hallinto_levy.

Miksi näin vaikeasti? Jatkossa kun jokin toinen ryhmä/käyttäjä tarvitsee pääsyä kyseiseen jakoon, heidät tarvitsee lisätä vain ryhmään hallinto_levy. Tällöin vältytään turhalta NTFS-oikeuksien muokkaukselta. Ryhmä hallinto on taasen tarkoitettu muidenkin resurssien sallimiselle hallintoryhmälle ja hallinto_levy pelkästään hallinnon yhteisen levyjaon oikeuksien hallintaan. Ryhmien käytössä tärkeintä on se, että ylläpitäjät sopivat yhteisestä linjasta. Myös tehdyt muutokset on hyvä dokumentoida.

Luo Notepad-ohjelmalla skripti joka tekee levylinkin Y-asemaksi.

net use y: \\testdc\hallinto

Tallenna tiedosto palvelimella kansioon c:\windows\sysvol\sysvol\testi.local\scripts ja muista antaa tiedosto päätteeksi cmd.

image-76b
Luo hallinto-ryhmään uusi ryhmäkäytäntö. Lisää kuvan mukaisesti skripti kohtaan ”logon”.image-78b
Testaa kirjautumalla työasemalle jaakkojo-tunnuksella.

HUOM! 2008 Serverissä tullut Group Preferences-ominaisuus mahdollistaa levymäppäykset ja monet muut tähän saakka skripteillä tehdyt toiminnot. Veikkaanpa, että lähitulevaisuudessa skriptien merkitys AD-ympäristössä tulee vähenemään.

Group Preferences

Perinteiset ryhmäkäytännöt ovat tehokas ja keskitetty tapa asettaa työasemille haluttuja asetuksia. Niiden heikkous kuitenkin on, että loppukäyttäjä menettää oikeutensa kyseisiin asetuksiin. Tilanteissa, joissa halutaan tuottaa käyttäjille tietyt oletusasetukset, mutta ei estää niiden hallintaa on käytetty mm. oletusprofiilia. Preferences mahdollistaa näiden asetusten tekemisen keskitetysti ilman että loppukäyttäjä menettää oikeutensa muuttaa niitä.
Preferencien käyttöönotto ei vaadi 2008-tason domainia vaan jopa 2000-tason domain riittää. Ainoa vaatimus on, että domainiin liitetty Vista- tai Windows 7-työasema tai W2k8-palvelin, jolla pystyy sitten ADUCcia käyttäen tekemään Preferences-määrityksiä.

Tavoite: Luodaan muutama Preferences sääntö ja testataan niiden toimivuus.

Luo hallinto-OU:hun uusi ryhmäkäytäntö ja avaa se. Mene kohtaan ”User Configuration” -> ”Preferences” -> ”Control Panel Settings” -> ”Folder Options”. Luo uusi sääntö.

image-80b
Muokkaa kansioasetuksia mielesi mukaan.
image-82b
Kirjaudu työasemalle hallinto-ou:ssa olevalla käyttäjällä. Tarkista, ovatko asetukset tulleet voimaan. Muokkaa asetuksia uudelleen työasemalla. Poista käyttämäsi tunnuksen profiili työasemalta ja kirjaudu sillä uudelleen. Mitkä asetukset ovat nyt voimassa?

HUOM! Jotta preferences policyt toimisivat, pitää työasemaan olla asennettuna ”Group Policy Preference Client Side Extension”. Helpoin tapa asentaa se on Windows Updaten kautta ja laajamittaisempi levitys WSUS-palvelulla.
image-84b

Distributed File System (DFS)

Luodaan DFS-replikointiryhmä ja julkaistaan se verkossa käyttäen DFS Namespaces-toimintoa. HUOM! Replikointi vaatii toimiakseen vähintään W2K3 R2-tasolla olevan AD:n scheman.

Replikointiryhmän jäsenissä pitää olla asennettuna DFS Replication-palvelu. Perinteiseen palvelimeen se asennetaan ottamalla File Server-rooli käyttöön sekä lisäämällä siihen DFS Replication-palvelu. Server Coressa File Server-rooli on jo valmiiksi asennettuna ja replikointipalvelun asentaminen tapahtuu seuraavalla komennolla.

start /w ocsetup DFSR-Infrastructure-ServerEdition

Asennuksen jälkeen Administrative Toolsista löytyy DFS Management. Avaa se (voit myös käyttää RSAT-etähallintatyökaluja).
Mene DFS Managment -> Replication -> New Replication Group.
dfsr5.jpeg

Valitse Multipurpose Replication Group.

dfsr6.jpeg

Anna replikointiryhmälle nimi, sekä valitse käytettävä domain.

dfsr7.jpeg

Lisää Add-painikkeella vähintään kaksi palvelinta ryhmän jäseniksi.

dfsr8.jpeg

Valitse Full Mesh, jolloin jokainen palvelin on tasavertainen toisiinsa nähden.

dfsr9.jpeg

Voit määritellä joko jatkuvan replikoinnin tai sitten vain ennalta määriteltyinä ajankohtina. Lisäksi voit rajoittaa käytettävää kaistaa, jos esimerkiksi ryhmän jäsenistä osa on hitaan verkkoyhteyden takana ja et halua tukkia koko kaistaa tällä.

dfsr11.jpeg

Valitse määräävä jäsen. Kun replikointi palvelu aloitetaan ja tulee mahdollisia samoja tiedostoja, on tämän palvelimen tiedostot niitä, jotka otetaan käyttöön. Jatkossa kuitenkin kaikki ovat tasavertaisia.

dfsr12.jpeg

Valitse Primary Memberistä replikoitava kansio, lisäksi määrittele halutut NTFS-oikeudet.
dfsr13.jpeg

Määrittele muihin ryhmän jäseniin replikointikansiot.
dfsr14.jpeg

Lopulta replikointiryhmä on valmis.
dfsr16.jpeg

Asenna Namespace-palvelu. Perinteiseen serveriin lisäämällä File Server-rooli ja DFS Namespace-palvelu. Server Coreen asennus seuraavasti (DFS Namespace vaatii metsän toiminnallisuustasoksi 2003 ja domainin 2008)

start /w ocsetup DFSN-Server

Mene DFS Management -> Namespaces -> New Namespace

Valitse palvelin, johon namespace-palvelu on asennettu.
dfsrp6.jpeg

Anna namespacelle nimi.
dfsrp8.jpeg

Valitse Domain-based. Tällöin voit helposti lisätä uusia namespace-palvelimia tarvittaessa.

dfsrp9.jpeg

Ja lopulta valmista.

dfsrp11.jpeg

DFS Management -> Replication -> luotu replikointi ryhmä -> Share and Publish in Namespace.

dfsr18.jpeg

Share and publish the replicated folder in a namespace
dfsrp1.jpeg
Tarkista, että kaikki on niinkuin pitää.
dfsrp2.jpeg

Valitse haluttu namespace ja nimeä jakokansio.

dfsrp13.jpeg

Tarkista, että asetukset menevät halutusti ja paina Share.

dfsrp14.jpeg

Nyt voit käyttää verkkolevynä \\testi\jako\testi kansiota, joka replikoituu fs1- ja dc1- palvelimelle. Halutessasi voit käyttää suoraan \\fs1\testi tai \\dc1\testi ja tällöinkin tieto replikoituu toiselle palvelimelle.

Nyt namespace-jako toimii kunhan palvelin, johon namespace on luotu, on toiminnassa. Vikasietoisuuden nimissä kannattaa siis lisätä toinen namespace-palvelin.
Asenna toiseen palvelimeen namespace-palvelu. Avaa DFS Management palvelimessa, jossa namespace jo on. Valitse namespace, johon haluat lisätä palvelimen ja valitse Add Namepace Server. Avautuvaan ikkunaan määrittele lisättävä palvelin. Nyt namespace on toiminnassa, vaikka toinen olisi pois päältä. Lisäksi tämä parantaa jaon suorituskykyä.
namespace001.jpg

Lisäksi replikointiryhmään tarvitsee lisätä uusia jäseniä.
ScreenShot102.jpgScreenShot103.jpgScreenShot104.jpgScreenShot105.jpgScreenShot106.jpgScreenShot107.jpgScreenShot108.jpgScreenShot109.jpg

Staging Quota

Staging Quota toimii replikoinnin temppinä. Mitä suurempi quota, sitä enemmän se vaatii tilaa. Ongelma tulee vastaan, kun yksittäinen replikoitava tiedosto on suurempi kuin määritelty Staging Quota. Tällöin replikoinnissa voi tapahtua virheitä, koska tiedostoa ei voida replikoida yhtenä kokonaisuutena vaan se on replikoitava paloissa. Lisäksi replikointi vaatii tällöin enemmän resursseja. Staging Quotaa voi säätää palvelinkohtaisesti DFS Management-työkalulla. Oletuksena Quotan koko on 4096mb.

staging.jpg

Print Services

Asenna tulostinpalvelin Server Core-versioon komennolla:

start /w ocsetup Printing-ServerCore-Role

Kun rooli on asentunut, käynnistä palvelin uudestaan.
ps1.jpeg
Salli tulostimien jako palomuurissa.
netsh firewall set service fileandprint enable

ps2.jpeg
Tämän jälkeen ota etäyhteys RSATin työkaluilla. Avaa Print Management ja lisää palvelin.
ps4.jpeg
Lisää juuri asennettu palvelin Print Servers-listaan.
ps5.jpeg
Lisää uusi tulostin.
ps6.jpeg
Asennetaan verkkotulostin IP-osoitteella.
ps7.jpeg
Annetaan tulostimen IP-osoite.
ps8.jpeg
ps9.jpeg
Jos laitteeseen ei ole saatu yhteyttä, määrittele osoite manuaalisesti.
ps10.jpegps11.jpeg

Jos laitteelle ei löydy sopivia ajureita, valitse Install a new driver.

ps12.jpeg

Valitse käytettävä ajuri.

ps13.jpeg

Määrittele tulostimelle nimi ja jakonimi.

ps14.jpeg

Tarkista, että asetukset ovat halutut.

ps15.jpeg
Ja lopulta tulostin on asentunut.
ps16.jpeg

Levitä tulostin käyttöön käyttäen GPO:ta. Valitse Deploy with Group Policy. HUOM! Tämä toiminto vaatii, että clientin pitää olla vähintään Vista. Tosin WinXP ja W2K työasemille asennus onnistuu käyttämällä Startup tai logon scriptinä PushPrinterConnections.exe tiedostoa. Kyseinen tiedosto löytyy W2k8 tai vistan kansiosta %WINDIR%\System32.

ps17.jpeg

Valitse GPO, johon jakelu tehdään ja on käyttäjä vai konekohtainen (voit valita kummatkin). Lopuksi paina Add.

ps18.jpeg

Paina OK ja asetus tulee voimaan.

ps19.jpegps20.jpeg

Toinen keskitetty tapa levittää verkkotulostimia on Group Preferences. Luo uusi GPO ja mene joko Computer- tai User-haaran Preferences -> Control Panel Settingsiin. Printers -> New -> Shared Printer. HUOM! Vista ja vanhemmat vaativat, että niihin on asennettu Preferences Client Side Extension, jotta tämä toimii. Windows 7:ssa tuki on jo vakiona.

ps21.jpeg

Valitse asetukset ja valitse tulostin. Huomaa, että nyt voit jopa määritellä tehdäänkö tulostimesta oletustulostin.

ps26.jpeg

Tehdään vielä hienosteluna filteröinti. Common-välilehdellä täppä Item-level targeting ja paina Targeting. Paina New Item ja valitse Security Group.

ps27.jpeg
Valitse Security Group, jolle haluat tulostimen asentuvan.
ps25.jpeg

Nyt tulostin asentuu käyttäjille, joihin tämä GPO kohdistuu. Heidän pitää kuitenkin kuulua grouppiin nimeltä tulostus. Lisäksi tulostin määritellään käyttäjälle oletustulostimeksi, jos hänellä ei ole paikallisia tulostimia.

Windows Server Update Services (WSUS)

WSUS on tarkoitettu hallintatyökaluksi Microsoftin tuotteitten keskitettyyn päivittämiseen.
Ennen asennuksen alkua, asenna palvelimeen Microsoft Report Viewer Redistributable 2005. Ilman tätä pakettia WSUS:in raportit eivät toimi.
Aloita asennus Add Roles-toiminnolla ja valitse WSUS. Toimiakseen WSUS tarvitsee myös IIS-palvelun (asennusohjelma osaa lisätä sen kun valitset WSUS:in).

wsus1.jpeg

WSUS ei ole w2k8:in "alkuperäisiä" rooleja, joten osa asennustiedostoista joudutaan lataamaan netistä. Lopulta varsinainen asennus on valmis alkamaan.

wsus2.jpeg

Etene asennuksessa oletuksilla.
Select Update Source. Valitse, mihin asennettavat päivitykset tallennetaan. WSUS ei lataa päivityksiä ennen kuin ne on hyväksytty asentamista varten.
Voit myös jättää päivityksen lataamisen väliin ja käyttää WSUS:ia pelkästään asennusten hallinnointiin. Tällöin jokainen client lataa päivitykset yksi kerrallaan Microsoft Updatesta.

wsus5.jpeg

Database Options. Oletuksena WSUS asentaa paikallisesti oman tietokannan, mutta on myös mahdollista käyttää erillistä SQL-tietokantaa. WSUS tallentaa tietokantaan kaikki asetuksensa, joten mahdollisen vikatilanteen vuoksi erillisen SQL-palvelimen käyttö on järkevää.

wsus6.jpeg

Web Site Selection. Valitse IIS:in oletussivu.

wsus7.jpeg

Tarkista, että asetukset ovat halutut ja aloita asennus.

wsus8.jpeg

WSUS tarvitsee päivitysten jakeluun clienteille auki portit 80 ja 443, jotka IIS osaa avata palomuuriin asennuksessa. Lisäksi palvelimella pitää olla toimiva yhteys olemassa olevaan WSUS-palvelimeen tai Microsoft Updateen.

wsus9.jpeg

Valitse lähde päivityksille. Microsoft Update tai jo olemassa oleva WSUS-palvelin.

wsus11.jpeg

Valitse tarvittavat kieliversiot.

wsus14.jpeg

Tuotteet, joihin haluat tarjoilla päivityksiä.

wsus15.jpeg

Päivitystyypit.

wsus16.jpeg

Asetukset, kuinka tarkistetaan uudet päivitykset.

wsus17.jpeg

Lopulta aloita tietojen synkronointi.

wsus18.jpeg

Riippuen valittujen päivitysten määrästä synkronointi voi kestää hyvinkin pitkään.

Määrittele clientit käyttämään WSUS-palvelua. Jos haluat domainisi kaikkiin koneisiin tämän asetuksen, muokkaa Default Domain Policyä. Jos taasen haluat rajata, toimi sen mukaisesti. Avaa haluttu GPO.
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update -> Specify intranet Microsoft Update service location -> Enabled ja kumpaankin kenttään http://palvelimennimi.

wsus20.jpeg

Avaa Update Services-konsoli. GPO:n tullessa voimaan alkavat clientit näkyä Computers-haarassa. Voit luoda Computersiin ryhmiä jos haluat eri clienteille eri päivitykset yms.

wsus21.jpeg

Kun WSUS on synkronoinut tietonsa ja saanut clienteiltä raportin tarpeistaan, voit Updates-kohdassa alkaa määrittelemään jaeltavia päivityksiä. Määrittele hakukriteeriksi Unapproved ja Failed or Needed. Tällöin saat listan clienttiesi tarvitsemista päivityksistä. Hyväksy päivitykset, jotka haluat asennettavan.

wsus23.jpeg

Määrittele ryhmä, jolle päivitys on tarjolla ja valitse Approved for install.

wsus24.jpeg

Lopulta hyväksyntä on suoritettu.

wsus25.jpeg

Jos ei halua manuaalisesti hyväksyä kaikkia päivityksiä, voi käyttää Automatic Approvals-sääntöjä. Mene Update Services-konsolissa Options -> Automatic approvals. Voit ottaa default-säännön käyttöön, jolloin kriittiset ja tietoturvapäivitykset hyväksytään automaattisesti jakeluun. Luonnollisesti voit myös luoda oman sääntösi.

wsus28.jpeg

Windows Deployment Services (WDS)

Aloita WDS palvelun käyttöönotto lisäämällä Windows Deployment Services-rooli.

wds01.jpg

Kun rooli on lisätty avaa WDS Console.

wds02.jpg

Valitse palvelimen kohdalta Configure Server.

wds03.jpg

Tarkista että WDS:n tarvitsemat toiminnot löytyvät. Palvelin on AD:n jäsen, verkossa on DHCP- ja DNS-palvelut sekä WDS:n käyttöön on vapaa NTFS-osio.

wds04.jpg

Oletuksena tarjotaan c:\remoteinstall kansiota. Suosituksena on kuitenkin että asennustiedostot sijoitetaan erilliselle osiolle ja, jos mahdollista fyysisesti, erilliselle levylle.

wds05.jpg

Millä tavalla PXE-palvelin toimii, kun verkossa kone yrittää verkkoboottia. Oletuksena palvelin ei tee mitään.

wds07.jpg

Ota täppä pois kohdasta Add images.

wds08.jpg

Valitse Boot images-kohdasta Add Boot Image

wds13.jpg

Etsi Windows 2008-asennuslevyltä boot.wim tiedosto. Voit myös käyttää Vistan asennusmedialla olevaa boot.wim tiedostoa, mutta tällöin menetät osan ominaisuuksista (esim. multicasting).

wds15.jpg

Etene oletuksilla.

wds16.jpgwds17.jpgwds18.jpg

Install image-kohdassa valitse Add Install Image
wds19.jpg

Nimeä Image Group
wds20.jpg

Etsi Vistan asennusmedialta install.wim (voit luonnollisesti tehdä samoin w2k8:n asennusmedialta).
wds22.jpg

Yksi WIM-image voi sisältää monia eri imageja. Valitse ne, jotka tarvitset.
wds23.jpg
wds24.jpg
wds25.jpg

Mene palvelimen Properties-kohtaan ja PXE Response Settings-kohdasta valitse Respond to all. Nyt voit asentaa vVstan työasemalle tekemällä verkkobootin.
wds29.jpg

Network Load Balancing

Asenna NLB Add Features-toiminnolla.

nlb01.jpg

Avaa Network Load Balancing Manager. Valitse New Cluster.

nlb04.jpg

Anna palvelimen nimi, johon NLB on asennettu ja paina Connect. Kun yhteys on muodostunut, valitse verkkokortti, jota clusterissa käytetään.

nlb06.jpgnlb07.jpg

Anna clusterille ip-osoite. Tämä on clusterin ip-osoite, ei siis minkään palvelimen. Clusterin ip:n kautta clienttien pyynnöt ohjataan tasaisesti clusterin kesken.

nlb08.jpg

Jos olet määritellyt clusterin ip-osoitteelle dns-aliaksen, syötä se fqdn-muodossa kohtaan Full Internet Name. Jos olet määritellyt useita syötä "Primary"-osoite. Lisäksi käytä Operation Modena Multicastingia, jos kytkin tukee multicastingia. Tarkempi selvitys Unicastin ja Multicastin eroista NLB-käytössä löytyy täältä

nlb09.jpgnlb10.jpg

Olet nyt luonut clusterin.

nlb11.jpg

Tosin yhden koneen clusterista ei ole paljon hyötyä, joten asenna toiseen palvelimeen NLB ja sen jälkeen valitse clusterista Add host to cluster. Hostin lisäystoiminto on lähes samanlainen clusterin luonnin kanssa.

nlb12.jpg

Server Core vinkkejä

Windows Update

Windows Updaten saa päälle seuraavalla komennolla

Cscript c:\windows\system32\scregedit.wsf /au 4
Net stop wuauserv
Net start wuauserv

Nyt update on päällä niin, että päivitykset tarkistetaan automaattisesti klo 03:00 joka päivä. Jos haluat ajaa päivitykset samoin tein, anna komento:
Wuauclt /detectnow

Dcpromo vastaustiedosto, uusi domain uuteen metsään

Server Coressa domainin luonnin asetukset määritellään vastaustiedostoon. Aiemmin on käsitelty toisen dc:n lisääminen olemassa olevaan domainiin ja rodc:n lisääminen domainiin. Tässä vielä vastaustiedosto uuden domainin luomiselle.

[DCInstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=domainin.fqdn.nimi
ForestLevel=3
DomainNetbiosName=domaininnimi
DomainLevel=3
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=salasana
RebootOnCompletion=Yes

ForestLevel ja DomainLevel 3 tarkoittaa toiminnallisuustasoa, joka on 2008. Vaihtoehtoina 2=2003 ja 1=2000.

Tarkempia tietoja dcpromon vastaustiedostoista löytyy täältä.

Palomuuri

Palomuuri sammutetaan komennolla:

netsh advfirewall set allprofiles state off

Ja käynnistetään:
netsh advfirewall set allprofiles state on

Päivä- ja aika -asetukset

Asetuksiin pääset käsiksi komennolla:

timedate.cpl

Vinkkejä

Uusia rooleja

Server Manageriin integroidaan aika ajoin uusia rooleja. Uudet roolit saa näkyviin painamalla "Check for new roles"-painikketta.

roles1.jpeg

ServerManagerCmd

On komentorivityökalu Server Managerin hallintaan.
Esimerkiksi seuraavalla komennolla voit asentaa Powershellin palvelimeen.

servermanagercmd -i powershell
servermanager.jpeg
Usage:

ServerManagerCmd.exe
Installs and removes roles, role services and features. Also displays the list
of all roles, role services, and features available, and shows which are
installed on this computer. For additional information about the roles,
roles services, and features that you can specify using this tool,
refer to the Help for Server Manager.

      -query [<query.xml>] [-logPath <log.txt>]

      -install <name>
          [-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]
          [-allSubFeatures]

      -remove <name>
          [-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]

      -inputPath <answer.xml>
          [-resultPath <result.xml> [-restart] | -whatIf] [-logPath <log.txt>]

      -help | -?

      -version

Switch Parameters:

  -query [<query.xml>]
        Display a list of all roles, role services, and features available,
        and shows which are installed on this computer. (Short form: -q)
        If <query.xml> is specified, the information is also saved to a
        query.xml file with additional information.

  -inputPath <answer.xml>
        Installs or removes the roles, role services, and features specified
        in an XML answer file, the path and name of which is represent by
        <answer.xml>. (ShortForm: -ip)

  -install <name>
        Installs the role, role service, or feature on the computer that
        is specified by the <name> parameter. Multiple roles, role services or
        features must be separated by spaces.  (ShortForm: -i)

  -allSubFeatures
        Used with the -install parameter to install all subordinate
        role services and features along with the role, role service, or
    feature named with the -install parameter. (Short form: -a)

  -remove <name>
        Removes the role, role service, or feature from the computer that
        is specified by the <name> parameter. Multiple roles, role services or
        features must be separated by spaces.  (ShortForm: -r)

  -resultPath <result.xml>
        Saves the result of the ServerManagerCmd.exe operation to a <result.xml>

        file, in XML format. (Short form: -rp)

  -restart
        Restarts the computer automatically, if restarting is necessary to
        complete the operation.

  -whatIf
        Display the operations to be performed on the current computer
        that are specified in the answer.xml file. (Short form: -w)

  -logPath <log.txt>
        Specify the non-default location for the log file. (Short form: -l)

  -help
        Display help information. (Short form: -?)

  -version
        Display the version of the Server Manager command that is running,
        Microsoft trademark information, and the operating system.
        (Short form: -v)

Examples:

    ServerManagerCmd.exe -query

    ServerManagerCmd.exe -install Web-Server -resultPath installResult.xml

    ServerManagerCmd.exe -inputPath install.xml -whatIf
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-NoDerivs 3.0 License