windows server core
Post on 25-Feb-2016
115 Views
Preview:
DESCRIPTION
TRANSCRIPT
WINDOWS SERVER CORE
Piotr Pawlik | blackrider@pjwstk.edu.pl|
Agenda
• Wprowadzenie do Core Server• Konfiguracja początkowa serwera• Zarządzanie rolami | role serwera• Tips and Tricks• ...• Część 2
Wprowadzenie
Gdzie task bar i menu?
• Nie ma • Brak desktop shell (no glass, wallpaper, ...)• Brak serwer managera, initial configuration
task, windows explorer, mojego komputera• brak .NET Framework i CLR (brak PowerShell?)• Brak MMC console snap-ins• Brak panelu sterownia ; IE, Paint
To co jest ?
• Po pierwsze Kernel, który być musi• Hardware Components (HAL) i drivery, ale ograniczona
ilość (oczywiście jest możliwość instalacji driverów)• Core subsystem – Winlogon, security subsystem,
networking system, ile system, ROC and DCOM, SNMP• Bardzo duża ilość komponentów -> tworzenie kont
użytkowników, zmiana haseł, DHCP oraz statyczna adresacja, zmiana nazwy serwera
To co jest ?
• Można przyłączyć serwer do domeny• Konfigurować firewall• Włączyć Automatic Updates• Keyboard layout, ustawienia czasu i godziny• Zdalny pulpit• Do tego wszystkiego mamy narzędzia
command linowe, których jest ogromna ilość!!!
To co jest ?
• Mamy oczywiście Event Loga oraz narzędzie cmd do przeglądania, konfiguracji, forwardowania zdarzeń
• Performance counters• Licensing service > możemy aktywować serwer• IPSec support, NAP client, wsparcie dla Group
Policy oczywiście • Notepad – na życzenie społeczności
Pierwsze logowanie
• Logujemy się na konto Administrator z pustym hasłem, zostajemy poproszeni o podanie nowego
• Pojawia się command-line i co dalej... ?• Task Manager (jeśli zamkniemy cmd) to:– CTRL + SHIFT + ESC > otwieramy Task Managera– W zakładce Applications, klikamy New Task– Wpisujemy cmd i OK
Zalety wersji Core
• Mała powierzchnia ataku na serwer > mniej plików, usług, które są narażone
• Mniej patchy, poprawek • Mniej miejsca dyskowego (plus dla środowisk
datacenter)• Większa wydajność dla specyficznych ról
zainstalowanych na serwerze
Role w wersji CORE• Active Directory Domain Services (AD DS)• Active Directory Lightweight Directory Services (AD LDS)• DHCP Server• DNS Server• File Services• Hyper-V• Print Services• Streaming Media Services• Web Server (IIS)
Niedostępne role w wersji Core
• AD Certificate Services• AD Federation Services• Active Directory RMS• Application Server• Fax Server• NPS/NAP• Terminal Services• Windows Deployment Services• Windows Sharepoint Services
Dostępne ficzery „Features”
• BitLocker Drive Encryption• Failover Clustering• Multipath I/O• RREmovable Storage Management• SNMP Services• Subsystem for UNIX-based Application• Telnet Client• Windows Server Backup• WINS Server
Konfiguracja początkowa serwera
• Oczywiście większość zadań może być skonfigurwana podczas instalacji nienadzorowanej przy pomocy pliku unattend.xml
• My skorzystamy z opcji konfigurowanych za pomocą cmd-line
SERVER CORE INITIAL CONFIGURATION TASK LIST
• Set Administrator Password • Product Activation• Set Date and Time• Set IP Address• Set Computer Name• Join into Domain• Install Roles \ Features• Set Automatic updates• Enable Firewall Rules for Remote Management
Ustawienie hasła Administratora
1) CTRL + ALT + DEL > Change Password
2) Cmd > net user Adminstrator *
Ustawienie Daty, czasu i strefy• Wpisz > control timedate.cpl
| mniej Shell vs. mniej GUI |
• W core jest małe wsparcie dla GUI.• DLLki > gdi32.dll oraz shlwami.dll• Dla łatwiejszego zarządzania serwerem
wprowadzo minimalną obsługę GUI• Notepad !• Control timedate.cpl > time, date, timezone• Cibtrik intl.cpl > keyboard layout
Konfiguracja Sieci
• Po pierwsze odpalmy ipconfig /all• Można zauważyć że będzie wyświetlał dwa
interfejsy na maszynce: fizyczny (NIC) i ISATAP tunneling interface.
Konfiguracja sieci
• Zanim wykonamy polecenie netsh.exe do mydyfkiwania ustawień interfejsu, musimy wiedzieć który int konfigurować
• cmd> netsh interface ipv4 show interfaces
Konfiguracja sieci• Widać, że interfejs fizyczny Local Area
Connection ma index 2. Teraz możemy go adresować:IP Address: 192.168.10.1Subnet Mask: 255.255.255.0Default GW: 192.168.1.1Primary DNS server: 192.168.1.1Secondary DNS server: none
Konfiguracja sieci
• Cmd> netsh interface ipv4 set address name=”2” source=static address=192.168.10.1 mask=255.255.255.0 gateway=192.168.1.1
• Cmd> netsh interface ipv4 add dnsserver name=”2” address=192.168.1.1 index=1
• Teraz możemy wykonać ipconfig /all i sprawdzić rezultat
So far, so good. Let’s move on
Zmiana nazwy serwera
• Przy instalacji server name jest randomowo generowany. Żeby zmienić nazwę należy skorzystać z netdom.exe
• Najpierw zobaczymy jaka jest obecna nazwa, i wtedy zmienimy ją na DNSSRV, ponieważ planujemy promować maszynkę na serwer DNS.
• Musimy zrestartować maszynkę:cmd> Shutdown /r /t 0
Zmiana nazwy serwera
> netdom renamecomputer %computername% /NewName:DNSSRV
Dołączenie do domeny
• Netdom.exe ponownie • Dołączymy serwer do domeny dotcore.local
• > netdom join DNSSRV /domain:DOTCORE /user:Administrator /passwordd:*
• Restart wymagany > shutdown /r /t 0
Dołączenie maszyny do domeny
Shutdown /r /t 0 Logujemy się jako domain admin i wydajemy polecenienetdom.exe ponownie, aby sprawdzić czy serwer nawiązałpołączenie przez bezpieczny kanał z kontrolerem.
Dołączenie maszyny do domeny
• > netdom verify /d:dotcore DNSSRV
Aktywacja serwera
• Aby aktywować możemy użyć wbudowanego skryptu slmgr.vbs z %windir%\System32
• Ten skrypt dostępny również w Vista• Może być wykonany zdalnie z innej maszynki• Wpisz cscript slmgr.vbs /? – zobaczysz
składnie
Aktywacja serwera• Wpisz z parametrem –xpr aby zobaczyć datę
wygaśnięcia obecnej licencji
• -dli żeby wyświetlić więcej informacji o stanie licencji
Aktywacja serwera
• Teraz można aktywować serwer używając –ato• C:\Windows\system32> cscript slmgr.vbs –ato
• Komunikat:– Product activated successfully.
• Sprawdź: -xpr i –dli > The machine is permanently activated.
Włączenie Automatic Updates
• Mamy kolejny wbudowany skrypt scregedit.wsf. Tylko w wersji Core!
• Wpisz > cscript scregedit.wsf /?• Sprawdź obecny stan Automatic Updates:– cscript scregedit.wsf /au /v
Włączenie Updates • C:\Windows\system32\cscript
scregedit.wsf /au 4
• Teraz jeszcze raz sprawdź konfigurację updates >> cscript scregedit.wsf /au /v
Zmiana rozdzielczości ekranu
• Nie ma toola!• Można za pomocą unattend file• Ale można modyfikować wartość w rejestrze:• HKEY_LOCAL_MACHINE\SYSTEM\
CurrntControlSet\Control\Video– \0000\DefaultSettings.Xresolution– \0000\DefaultSettings.YResolution
Zarządzanie Serwerem Core
• Po wykonaniu „inicial configuration” możemy zarządzać rolami serwera.
• Jak zarządzać:- Lokalnie z command prompt- Zdalnie przez Terminal Services- Zdalnie przez RSAT- Zdalnie przez Group Policy- Zdalnie przez WinRm/WinRS
Instalacja roli na CORE• Żeby sprawdzić jakie mamy dostępne role:• C:\Windows\System32\>oclist
Instalacja roli na Core
• Możemy zobaczyć, że rola DNS nie jest zainstalowana. Możemy jeszcze sprawdzić wydając polecenie net start
Instalacja roli DNS ServerTylko binarki do DNS clienta są obecnie zainstalowane:
No to instalujemy rolę serwera DNS korzystając z ocsetup.exe:
Teraz można wydać polecenie oclist oraz dir dns*.* > rezultaty...
Instalacja roli na Core
• Teraz można użyć np. Net stop dns, aby zatrzymać usługę DNS.
• dnscmd.exe do konfiguracji/zarządzania usługą DNS
• Korzystając z ocsetup.exe możemy zainstalować inne role serwera – opócz AD DS!
• Do instalacji Active Directory > dcpromo /unattend:unattend.txt
Przykładowy plik unattend.txt[DCInstall]ReplicaOrNewDomain = DomainNewDomain = ForestNewDomainDNSName = dotcore.comAutoConfigDNS = YesDNSDelegation = YesDNSDelegationUserName = dnsuserDNSDelegationPassword = p@ssw0rd!RebootOnSuccess = NoAndNoPrompEitherSafeModeAdminPassword = p@ssw0rd!
Instalacja ficzerów
• Używając ocsetup.exe• Oclist – zobaczymy dostępne ficzery• /uninstall – możemy usunąć ficzer/rolę
Przykładzik:
Inne przykładowe zadania adminstracyjne na CORE
• Core ma wsparcie dla PnP. Jeśli urządzenie jest w in-box driver to isntaluje się automatycznie. Jeśli nie to trzeba:
• 1) skopiować driver na dysk tymczasowo• 2) pnputil –i –a <driver>.inf• 3) restrat serwera jeśli będzie taka potrzeba• Jakie drivery mamy zainstalowane?:– sc query type = driver
Nie AU! Chcę updaty z WSUS!
• Jeśli mamy wdrożonego WSUSa to:• Wusa <patch>.msu /quiet
• Odinstalowanie patcha:• Pkgmgr /up /m:<package>.cab /quiet
Remote Management via TS
• Można zarządzać z innego komputera naszym serwerem Core przez Terminal Services.
• Najpierw trzeba włączyć Remote Desktop:– cscript scregedit.wsf /ar 0 > enable RDP– cscript scregedit.wsf /ar 1 > disable RDP– cscript scregedit.wsf /ar /v > ustawienia RDP
Remote Management via TS
• Aby łączyć się z komputerów innych niż Vista (pre-Vista) trzeba wyłączyć enhanced security:
• cscript scregedit.wsf /cs 0
Remote Admnistration via Group Policy
• Konfiguracja firewalla > netsh advfirewall• Nie jest to przyjemne!• Wrzucamy serwer do OU i tworzymy nową
polisę, gdzie konnfigurujemy Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security
Co na następnych zajęciach
• Serwer Core część 2• Instalacja kontrolera domeny na serwerze
Core | konfiguracja DNS |• Instalacja serwera DHCP | konfiguracja• ...
Materiały• http://technet2.microsoft.com/windowsserve
r2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true
Command - Line Reference• http://technet2.microsoft.com/
windowsserver/en/library/552ed70a-208d-48c4-8da8-2e27b530eac71033.mspx?mfr=true
http://dotcore.pjwstk.edu.plPiotr Pawlik piotr.pawlik@pjwstk.edu.pl
Dziękuję za uwagę
top related