Esipuhe
On aika siirtyä uuteen serveri versioon. Suurin osa asioista on ennallaan, mutta uusiakin ominaisuuksia löytyy. Tässä Wikissä keskitytään asioihin jotka ovat muuttuneet. Lisäksi käsitellään niitä palveluita joita ei vielä W2K8 wikissä käsitelty.
Hallintatyökalut
Remote Server Administration Tools (RSAT) Windows 7
Uusien versioiden myötä työasemaan asennettava ylläpitotyökalu on uudistunut.
Asenna RSAT
Työkaluja voit lisätä control panel -> programs -> programs and features -> turn windows features on or off-> remote server administration tools
Asennetut työkalut löytyvät administrative tools kansiosta.
Active Directory Administrative Center
Aktiivihakemiston hallintatyökalu on kokenut kasvojenkohotuksen.
Asenna ADAC palvelimelle lisäämällä se featureista.
Luodaan uusi käyttäjä users säilöön. Avaa ADAC ja valitse vasemmalta domainin users säilö. Jatka oikealta New -> user.
Syötä halutut tiedot ja paina OK.
Server managerin etähallinta
Server manager työkalua voi myös käyttää toiseen palvelimeen. Joka helpottaa varsinkin server core version ylläpitoa. Etäyhteydellä server managerin kaikkia toimintoja ei saa käyttöön (mm. uusia rooleja ei voi asentaa). Huom! vain 5 yhtäaikaista yhteyttä palvelimeen on sallittu.
Etäyhteys ei ole oletuksena sallittu vaan se pitää erikseen avata.
Normaalissa palvelimessa server mangerin "configure server manager remote managment" ja lisää täppä kohtaan enable. Tämän jälkeen server managerin etäkäyttö on sallittu.
Server coressa asia hoituu helpointen sconfig työkalulla (työkalu tuo muutenkin paljon helpotusta yleisiin perustoimenpiteisiin).
Avaa sconfig komenolla:
sconfig
Valitse 4 configure remote management
Ensimmäiseksi ota käyttöön powershell. Asennuksen jälkeen buuttaa palvelin.
Kun palvelin on käynnistynyt palaa samaan kohtaan ja valitse 3.
Server core version server manager käyttö etänä on nyt mahdollista.
Yhteydenotto onnistuu valitsemalla connect to another computer.
Anna halutun palvelimen nimi.
Nyt yhteys on auki.
Powershell
Servermanager
Lisää servermanager moduuli ja lopuksi näytä käytettävät cmdletit
Import-Module servermanager
$module = Get-Module servermanager
$module.ExportCmdlets
Komennolla Add-WindowsFeature voit lisätä palvelimen komponentteja. Esimerkkinä seuraavalla komennolla saat asennettua AD DS Toolsin.
Add-WindowsFeature RSAT-ADDS
Get-WindowsFeature komento kertoo mitkä komponentit on asennettu ja mitkä ei.
Remove-WindowsFeature poistaa halutun komponentin.
Yhdellä komennolla voi myös käsitellä montaa komponenttia kerralla. Komponentit erotellaan pilkulla.
Get-WindowsFeature komponentti,komponentti,...
Dcpromo vastaustiedosto
Varsinkin server coressa pakollinen vastaustiedosto dcpromon suorittamiseen, jossa luodaan uusi domain uuteen metsään. Lisäksi toiminnallisuustasoksi määrittyy 2008 R2.
[DCInstall]
ReplicaOrNewDomain=Domain
NewDomain=Forest
NewDomainDNSName=domainin.fqdn.nimi
ForestLevel=4
DomainNetbiosName=domaininnimi
DomainLevel=4
InstallDNS=Yes
ConfirmGc=Yes
CreateDNSDelegation=No
DatabasePath="C:\Windows\NTDS"
LogPath="C:\Windows\NTDS"
SYSVOLPath="C:\Windows\SYSVOL"
SafeModeAdminPassword=salasana
RebootOnCompletion=Yes
Aktiivihakemiston roskakori
2008R2 AD:ssa on mahdollista käyttää roskakoria. Poistetut objektit säilyvät roskakorissa 180 päivää (säilytys aikaa voi halutessaan muuttaa). Roskakori ei ole oletuksena päällä vaan se pitää ottaa käyttöön. Lisäksi toiminnallisuustaso pitää olla 2008 R2.
Avaa active directory module for windows powershell ja tarkista toiminnallisuustaso.
Get-ADDomain
Kohdasta DomainMode löydät käytössä olevan tason.
Ota käyttöön roskakori. Huom! Tämän jälkeen et voi ottaa roskakoria pois käytöstä.
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestorConfigurationSet -Target sinun.domainisi
Poista AD:sta jokin käyttäjä.
Tarkista roskakorin sisältö.
Get-ADObject –SearchBase “CN=Deleted Objects,DC=sinun,DC=domain” –ldapFilter “(objectClass=*)” -includeDeletedObjects
Ota palautettavan objektin ObjectGUID talteen.
Tee palautus seuraavalla komennolla.
Restore-ADObject -Identity ObjectGUID
Huom! Jos poistat kokonaisen OU:n ja haluat palauttaa siellä olleen käyttäjätilin pitää OU palauttaa ensin. Et siis voi palauttaa tietoa jonka ylempää tasoa ei enää domainissa ole.
Palautus LDP työkalulla
Poista AD:sta käyttäjä ja avaa LDP.
Mene Options -> Controls. Valitse kohtaan Load Predefined: Return deleted objects lopuksi paina OK.
Mene Connection -> Connect. Jos olet paikallisesti domain controllerilla pelkkä OK:n painallus riittää.
Mene Connection -> Bind. Kirjaudu tunnuksilla joilla on riittävästi oikeuksia.
View -> Tree ja valitse domain josta haluat tietoa palauttaa.
Tuplaklikkaa deleted objects kohtaa.
Etsi palautettava objekti ja valitse modify
Kirjoita Attribute kenttään isDeleted. Valitse operation kohdasta Delete ja paina Enter nappia.
Seuraavaksi Attribute kohtaan distinguishedName ja Values kenttään mihin haluat objektin palauttaa. Jos haluat palauttaa käyttäjän users säilöön ohjataan sijainti seuraavalla arvolla:
CN=tunnus,CN=Users,DC=domainin,DC=nimi
Operationista Replace ja varmista että extended on valittuna, paina Enter.
Kun kaikki on kohdallaan suorita palautus painamalla Run
Remote Desktop Services
Aloita asentamalla remote desktop services rooli.
Otetaan aluksi käyttöön vain remote desktop session host.
Ota huomioon että ennen session hostin asennusta asennetut ohjelmat eivät välttämättä toimi.
Määrittele tietoturvan taso. Network level authentication vaatii vähintään Vista clientin tai sitten XP johon on asennettu SP3.
Lisensointia on turha miettiä näin testatessa.
Määrittele käyttäjät tai ryhmät joille on sallittua käyttää palvelua.
Nyt voit muokata ääni ja grafiikka ominaisuuksia.
Lopulta olet valmis suorittamaan asennuksen. Jos jokin ohjelma ei tämän jälkeen toimi asenna se uudestaan. Servereissä käytetty IE:n tehostetut turva asetukset kytketään pois päältä.
Kun asennus on valmis ja serveri uudelleen käynnistetty voit avata etätyöpöydän palvelimelle.
Jos haluat myöhemmin sallia uusille käyttäjille oikeuksia käyttää palvelinta. Tapahtuu se palvelimen system properties-> remote-> select users.
Järkevin tapa varmasti olisi luoda ad:hen ryhmä ja antaa sille oikeus käyttää palvelinta. Tällöin vältytään varsinaisen palvelimen käyttämiseltä kun käyttöoikeuden antaminen tapahtuu ad:ssa lisäämällä käyttäjä luotuun ryhmään.
RemoteApp
RemoteApp toimii niin kuin RDS, mutta tarjoaa loppukäyttäjän työpöydälle vain yksittäisiä ohjelmia kokonaisen työpöydän sijaan. Lisäksi yksittäisen ohjelman käyttöoikeuksia pystyy rajaamaan.
Mene server manager -> roles -> remote desktop services -> remoteapp manager.
Vasemmasta yläkulmasta valitse add remoteapp programs. Joka avaa ohjelman lisäys velhon.
Valitse listasta jaettava ohjelma. Properties napilla voit muokata esimerkiksi keillä on oikeus ohjelmaa (käyttäjä tai ryhmä tasolla) käyttää. Huom! tämän lisäksi käyttäjän pitää kuulua palvelimen remote desktop ryhmään.
Ohjelma on nyt lisätty. Loppukäyttäjille ohjelman jakelun voi suorittaa joko rdp tiedostolla tai sitten asennettavalla msi paketilla.
Paina Create .rdp File
Määrittele mihin rdp tiedosto tallennetaan, sekä verkko ja sertifikaatti asetukset.
Avaa luotu tiedosto työasemalla. Tämän jälkeen aukeaa RDS yhteys palvelimelle, josta lopputuloksena jaettu ohjelma.
Remote desktop services kohdasta voit seurata kun käyttäjä käyttää ohjelmaa.
Käynnistä create Windows installer package.
Luomis prosessi on melko samanlainen, muutama lisäominaisuus on kuitenkin msi paketin etuna.
Voit määritellä mihin kohtaan asetetaan pikakuvake ohjelmasta. Lisäksi voit assosioida tiedostoja remoteapp ohjelmiin. Eli kun klikkaat docci tiedostoa työasemalla, osaa se avata remoteapp wordin.
Remote Desktop Web Access
RDWA tuo selainkäyttöliittymän etätyöpöytäpalveluihin. Varmastikin helpoin tapa tarjota RDS palveluja ulkomaailmaan ja domainiin kuulumattomiin työasemiin.
Lisää remote desktop web access rooli palvelu (samalla palvelimeen asentuu IIS).
Asennuksen jälkeen mene työasemalla osoitteeseen https://palvelin/RDWeb ja kirjaudu domain tunnuksilla.
Nyt näet tarjolla olevat ohjelmat, lisäksi voit avata etätyöpöytäyhteyden selaimen kautta.
Ohjelmien asennus RDS palvelimeen
Jotta voidaan varmistua ohjelmien toiminta RDS tyyppisessä monenkäyttäjän ympäristössä. Pitää ne asentaa RD install modessa.
RD install moden voi käynnistää joko komentoriviltä tai graafisesti.
Komentorivi
Tarkista ensin onko palvelin install vai execute tilassa.
change user /query
Siirrä palvelin install tilaan. Ja aloita ohjelman asennus manuaalisesti.
change user /install
Kun asennus on suoritettu palauta palvelin execute tilaan.
change user /execute
GUI
Mene control panel -> programs ja paina install application on remote desktop…
Avautuu RD install mode työkalu.
Etsi asennettavan ohjelman asennuspaketti. Next napilla aukeaa ohjelman asennus.
Kun ohjelma on asennettu paina finnish.
Print and Document Services
Print services on muuttanut nimensä. Mukaan on ympätty uusia ominaisuuksia, itse tulostinpalvelin on pysynyt entisellään.
Internet Printing
Internet printing mahdollistaa IPP protokollan käytön sitä tukevissa clienteissä. Lisäksi käyttöön saa mukavan webbi käyttöliittymän.
Lisää internet printing rooli.
Asennuksen jälkeen voit selaimella osoitteessa http://palvelin/printers/ tarkastella palvelimella olevia tulostimia.
Riippuen oikeuksista voit hallita tulostusjonoa, tarkkailla tulostimen tilaa ja jopa asentaa tulostimen käyttämääsi työasemaan.
Point and Print Restrictions
Oletuksena työasemaan tulostinajurin asentaminen vaatii ylläpitäjän oikeudet. Näin ollen keskitetty tulostimien levitys ja ajurien päivitys voi muuttua melko haastavaksi. Point and Print Restrictions GPO tuo tähän helpotusta, mutta kuitenkin tekee sen turvallisesti.
Avaa GPMC työkalulla policy johon haluat säännön tehdä. user configuration -> policies -> administrative templates -> control panel -> Printers -> Point and Print Restrictions.
Määrittele tulostinpalvelimesi nimi. Koska tulostin on asennettava ajuri voi tällöin myös koneeseen yrittää asentua "tulostin ajureita". Näin ollen määritellään luotettu kohde ajureitten lähteeksi. Lisäksi määrittele miten UAC reagoi uuden tulostimen asennukseen tai ajurin päivitykseen.
DHCP
Näkyvänä uutuutena MAC osoitteeseen perustuva filtteröinti. Filtteröinti voidaan tehdä kahdella eri tavalla joko sallimalla tietyt MAC osoitteet tai sitten estämällä tiettyjen keskustelu DHCP palvelimen kanssa.
Listan R2:ssa tulevista uudistuksista DHCP:een löytyy täältä.
Kiinteä IP osoite
Normaalisti DHCP jakaa sattumanvaraisesti osoitteita clienteille. Jos haluaa antaa tietylle clientille tietyn osoitteen voi käyttää osoitevarausta.
Valitse new reservation.
Anna varaukselle nimi, haluttu IP ja MAC osoite jolle kyseinen ip annetaan.
Windows deployment services
VHD imaget
R2 version WDS:ssä pystyy levittämään myös Windows 7 ja 2008 r2 käyttöjärjestelmiä VHD imageina. VHD imagen lisääminen tapahtuu wdsutil komentorivi työkalua käyttäen.
Ensiksi luodaan uusi image ryhmä. VHD imageja ei voi sijoittaa samaan ryhmään wim imagien kanssa.
wdsutil /Add-ImageGroup /ImageGroup:"ryhmännimi"
Lisätään itse image.
WDSUTIL /Verbose /Progress /Add-Image /ImageFile:imagetiedostonsijainti /Server:wdspalvelin /ImageType:Install /ImageGroup:ryhmännimi
Nyt image löytyy wds hallinta konsolista…
Ajurien lisäys
Ajurien lisääminen on helpottunut huomattavasti. Uusi ajurien lisäys tekniikka tukee Vista Sp1:stä, 2008 serveriä ja sitä uudempia käyttöjärjestelmiä.
Lisätään ajuri palvelimelle.
Valitse Add Driver Package.
Muista sijoittaa ajuri ryhmään. Vasta kun ajurin sijoittaa ryhmään käytetään sitä asennuksissa.
Nyt ajuri on käytössä. Oletusasetuksilla ajuri on tarjolla kaikissa asennuksissa. Asennus käyttää ajuria jos plug and play toiminto havaitsee että sitä tarvitaan.
Ajurien suodatus
Tietyissä tilanteissa et luonnollisesti halua tarjoilla kaikkia ajureita asennuksen käyttöön. Tällöin kannattaa käyttää suodatusta. Suodatus tapahtuu ajuriryhmä tasolla. Suodatuksia voi tehdä tietokoneen bios tietojen perusteella tai sitten asennettavan käyttöjärjestelmän.
Valitse ajuriryhmä jonka sisällön käyttöä haluat rajoittaa. Paina Modify Filters for this Group.
Filters välilehdellä paina add ja pääset luomaan suodatinta. Filter typessä määritellään tutkittava tieto ja operator kohdassa määritellään pitääkö arvon olla annettu tai sitten jokin muu. Jos annat useita ehtoja pitää niistä vain yhden täyttyä jolloin ajurin asentaminen onnistuu.
Jos työasemiin pitää asentaa ajureita joissa ei toimi plug and play tai sitten laite ei ole kytkettynä asennushetkellä. Kannattaa ne kerätä yhteen ajuriryhmään ja muuttaa properties välilehden applicability kohtaa "All driver Packages in the group". Tällöin ryhmän kaikki ajurit asennetaan jokaiselle koneelle.
Ajuripaketin lisäys boot imageen
Palvelimelle lisättyjä ajureita voi myös lisätä boot imageen. Imagen pitää olla windows 7 tai 2008 r2:sta otettu.
Valitse haluttu boot image ja paina Add Driver Packages to Image.
