HEROES

Warsztat Windows Server 2008
HEROES
happen {here}
Spis treści
Laboratorium 1. Initial Configuration Tasks................................................................................................ 1
Laboratorium 2. Role i funkcje...................................................................................................................... 2
Laboratorium 3. Active Directory................................................................................................................. 3
Laboratorium 4. Serwer CORE...................................................................................................................... 6
Laboratorium 5. Cluster.................................................................................................................................. 7
Laboratorium 6. Firewall................................................................................................................................. 9
Laboratorium 7. NAP.......................................................................................................................................10
Laboratorium 8. Terminal Services............................................................................................................... 14
Laboratorium 1. Initial Configuration Tasks
Domyślnie zainstalowany Windows Server 2008 charakteryzuje się następującymi cechami:
1.
2.
3.
4.
5.
6.
Adres TCP/IP pobierany z DHCP lub APIPA
Pseudolosowa nazwa komputera
Grupa robocza WORKGROUP
Strefa czasowa USA Pacific Standard Time
Brak roli i funkcji
Brak dostępu zdalnego
Konfiguracja taka wynika z dwóch faktów:
1. Instalacja jest maksymalnie uproszczona i nie ma w niej pytań o adres sieci czy potrzebne usługi.
2. Brak roli i funkcji gwarantuje, że w serwerze nie pracują zbędne usługi.
Domyślnie, po pierwszym zalogowaniu, użytkownik otrzymuje
specjalny ekran powitalny, na którym zmienić może domyślne
(i nie zawsze sensowne) ustawienia. W warunkach niniejszego
laboratorium otrzymujesz już skonfigurowane serwery, więc nie
musisz sam konfigurować serwera. Byłoby to zbyt czasochłonne.
Warto natomiast, żebyś zwrócił uwagę na wygląd, opcje
i możliwości aplikacji powitalnej.
W tym celu, wykonaj następujące kroki:
1. Uruchom maszynę DC01. Jest to kontroler domeny
2. Uruchom „Initial Configuration Tasks” poprzez
bezpośrednie wywołanie pliku oobe.exe
3. Sprawdź kolejno, dokąd prowadzą następujące akcje
dostępne w aplikacji:
3.1. Set Time Zone
3.2. Configure Networking
3.3. Provide Computer Name and Domain. Zwróć uwagę,
że pracując na kontrolerze domeny (DC01 nim jest)
nie możesz bezkarnie zmieniać nazw serwera i grupy.
3.4. Add roles
3.5. Add features
3.6. Enable Remote Desktop
Zwróć uwagę, że „Initial Configuration Tasks” jest tylko czytelnym zestawieniem linków do zupełnie standardowych programów.
Ekran powitalny jest jednak pomyślany w taki sposób, że w kilka kliknięć doprowadzisz serwer do pożądanego stanu.
Zwróć uwagę na umieszczony w dolnej części link „Print, e-mail, or save this information”. Dzięki niemu otrzymasz prosty
i zwięzły raport podsumowujący aktualną konfigurację.
Ostatnią opcją jest checkbox definiujący czy Initial Configuration Tasks wyświetla się po zalogowaniu.
To już koniec pierwszego ćwiczenia. Zamknij okno aplikacji
Pomyśl jeszcze, że w przypadku serwera CORE, aplikacja taka nie istnieje. Masz do dyspozycji wyłącznie wiersz poleceń. Przypomnij
sobie jak z wiersza poleceń zmienia się nazwę komputera, jego adres IP czy przynależność do domeny. A strefę czasową?
http://www.heroshappenhere.pl 1
Laboratorium 2. Role i funkcje
Choć dodawanie ról i funkcji dostępne było w ekranie „Initial Configuration Tasks”, ale zazwyczaj przeprowadza się je z innych miejsc.
Zasugerować tu można:
• Server Manager. Umieszczony domyślnie w Quick Launch. Pozwala na pełne zarządzanie rolami i funkcjami.
• Panel sterowania i w nim applet „Programs and Features”, który po wybraniu opcji „Turn Windows Features on or off” również
uruchamia Server Manager.
Włącz teraz serwer CORE01, będzie Ci potrzebny
w dalszej części ćwiczenia.
Na serwerze DC01 włącz Server Manager
a następnie:
1. Rozwiń gałąź roles. Zwróć uwagę, że na serwerze
zainstalowany jest kontroler domeny oraz serwer DNS.
2. Wybierz Active Directory Domain Services. W głównym
panelu okna zwróć uwagę na prostą i zwięzłą formę
przedstawienia najważniejszych danych na temat usługi.
W dolnej części okna dostępne są łatwo dostępne linki
do rzadko używanych i często przez to zapominanych
aplikacji wspomagających.
3. Rozwiń gałąź Active Directory Domain Services. Zwróć
uwagę, że dwa najczęściej używane narzędzia związane
z AD dostępne są w jednym oknie.
4. Powtórz działania z punktu Wybierz Active Directory
Domain Services. W głównym panelu okna zwróć uwagę
na prostą i zwięzłą formę przedstawienia najważniejszych
danych na temat usługi. W dolnej części okna dostępne są
łatwo dostępne linki do rzadko używanych i często przez
to zapominanych aplikacji wspomagających. i Rozwiń
gałąź Active Directory Domain Services. Zwróć uwagę,
5.
6.
7.
8.
9.
10.
11.
12.
13.
że dwa najczęściej używane narzędzia związane
z AD dostępne są w jednym oknie. dla gałęzi DNS Server.
Wróć do gałęzi Roles i w górnej części głównego panelu
wybierz „Add Roles”.
Wybierz rolę Active Directory Rights Management Services
(AD RMS).
Zwróć uwagę, że system jest świadomy zależności roli od
innych zainstalowanych i wyświetla ich czytelną listę wraz
z komentarzami i opisami.
Zaakceptuj listę.
Zwróć uwagę na dostępną w lewej części okna listę
elementów, które będą wymagały skonfigurowania.
Część z nich (na przykład Configuration Database) jest
dostępna od razu, część dopiero podczas dalszej
pracy z kreatorem.
Anuluj dodawanie roli. Nie będzie nam potrzebna
a jej dodanie jest na maszynie laboratoryjnej bardzo
czasochłonne.
Z lewej strony okna wybierz węzeł „Features”
(funkcjonalności).
Dodaj funkcjonalność Telnet Client. Klient ten nie jest
domyślnie instalowany z serwerem.
Zamknij Server Manager i sprawdź czy polecenie telnet.exe
działa poprawnie.
Podobnie jak w poprzednim ćwiczeniu, zastanów się jak zarządzanie rolami wygląda w przypadku serwera CORE
nie posiadającego interfejsu graficznego. Służy do tego polecenie ocsetup.exe. Warto pamiętać, że parametry tego
polecenia są Wrażliwe Na Wielkość Liter.
Zaloguj się do serwera CORE01, a następnie:
1. Uruchom polecenie ocsetup.exe telnetclient. Zwróć uwagę na komunikat błędu wynikający z nierozpoznania nazwy
funkcjonalności.
2. Uruchom polecenie z poprawną wielkością liter parametru: ocsetup.exe TelnetClient.
2
Zwróć uwagę, że Windows Server CORE nie informuje o przebiegu instalacji ani o momencie jej zakończenia. Z tego powodu, dobrą
praktyką jest uruchamianie instalacji przez polecenie „start /w ocsetup.exe nazwa_roli_lub_funkcji”. Taki tryb uruchomienia pozwoli
na zauważenie, że instalacja została zakończona.
Sposób wyświetlenia dostępnych ról i funkcji w serwerze CORE przedstawiony zostanie w jednym z kolejnych ćwiczeń.
Laboratorium 3. Active Directory
Zaloguj się na serwerze DC01.
Od czasu wprowadzenia usług Active Directory, ich ścisła integracja z lsass sprawiała, że wszelkie operacje, które musiały być
wykonane w trybie offline wymagały dwóch restartów komputera. Jednego, aby włączyć tryb offline i drugiego aby powrócić
do normalnego trybu pracy. W przypadku Windows Server 2008, Active Directory jest usługą systemową, dzięki czemu łatwiej
daje się zarządzać.
W ramach ćwiczenia, wykonać należy defragmentację
bazy AD. W tym celu:
7.
1. Uruchom Server Manager
2. Wybierz gałąź Roles i w niej część odpowiedzialną
za Active Directory
3. W panelu System Services znajdź usługę Active Directory
Domain Services.
4. Wybierz z panelu po prawej stronie pozycję „Services”,
dzięki czemu przejdziesz do zarządzania usługami
systemowymi.
5. Przełącz widok na „Standard”
6. Znajdź usługę odpowiedzialną za AD i w jej
właściwościach zobacz jakie usługi są od niej zależne.
8.
9.
10.
Pamiętaj, że w środowisku produkcyjnym, jeżeli masz tylko
jeden serwer Active Directory, nawet krótka przerwa w działaniu
tych usług może poważnie zaburzyć funkcjonowanie systemu
informatycznego. Jeżeli masz więcej serwerów – bez problemu
przejmą one zadania tego, który ma chwilową przerwę
w działaniu AD.
11.
12.
13.
14.
15.
16.
Zatrzymaj usługę Active Directory Domain Services.
Usługi zależne zatrzymają się automatycznie jeżeli
wyrazisz na to zgodę.
Uruchom wiersz poleceń.
Uruchom program ntdsutil.exe
W programie ntdsutil wykonaj kolejno operacje
10.1. Activate instance ntds
10.2. Files
10.3.Compact to c:\
Zwroć uwagę na zalecane przez ntdsutil dalsze kroki.
Wyjdź przy pomocy polecenia quit z kontekstu files
Wyjdź przy pomocy polecenia quit z narzędzia ntdsutil
Wykonaj kroki zalecane przez narzędzie ntdsutil
(bez kopii zapasowej)
Uruchom ponownie narzędzie ntdsutil a w nim:
15.1. Activate instance ntds
15.2. Files
15.3.Integrity
15.4. quit
15.5. Semantic database analysis
15.6. Go fixup
15.7. Quit
15.8.Quit
Włącz usługę systemową Active Directory. Zwróć uwagę,
że usługi zależne uruchomią się automatycznie.
http://www.heroshappenhere.pl 3
O ile funkcjonalność defragmentacji bez restartu jest po prostu ciekawostką, o tyle snapshoty Active Directory są w stanie w niejednej
sytuacji uratować życie (lub pracę) administratora. Wykonanie kopii typu snapshot jest stosunkowo proste. W tym celu powinieneś
wykonać następujące czynności:
1. Uruchom ntdsutil a w nim:
1.1. Activate instance ntds
1.2. Snapshot
1.3. Help – zwróć uwagę na polecenia dostępne w tym
kontekście.
1.4. Create
2. Jeżeli tworzenie snapshotu się powiodło – zanotuj guid.
3. Podmontuj snapshot poleceniem mount
{wartość_guid_utworzonego_snapshotu}
4. Uruchom Windows Explorer i zobacz czy pojawił się
katalog zwrócony przez polecenie mount.
5. Uruchom drugą konsolę wiersza poleceń
6. Uruchom polecenie dsamain –dbpath C\$SNAP_<czas_
utworzenia>_VOLUMEC$\Windows\NTDS\ntds.dit
-ldapport 345 –sslport 346 –gcport 347 –gcsslport 348
Pamiętaj, że w konsoli działa uzupełnianie nazw przy
pomocy TAB.
7. Sprawdź czy program dsamain uruchomił się poprawnie.
8. Uruchom browser LDAP poprzez wpisanie polecenia ldp.exe
w menu Start
9. Z menu Connection wybierz Connect i połącz się
z localhost na porcie 345, który podałeś jako parametr
w dsamain
10. Z menu Connection wybierz Bind i zaakceptuj domyślne
wartości
11. Z menu View wybierz Tree i następnie DC=hhh,DC=pl
12. Sprawdź czy dane w programie ldp.exe są dostępne
i dają się przeglądać.
13. Zamknij ldp.exe
14. W oknie z dsamain naciśnij Ctrl+C
15. Jeżeli masz otwartego Explorera z zamontowaną
lokalizacją snapshotu – zamknij go.
16. W oknie ntdsutil wprowadź polecenia
16.1. List mounted
16.2. unmount
{wartość_guid_zamontowanego_snapshotu}
16.3. delete {wartość_guid_zamontowanego_snapshotu}
16.4. quit
16.5. quit
Jeżeli zrobisz sobie skrypt wykonujący regularnie operację wymienioną w punkcie Create – żadna awaria AD nie będzie już
straszna. Zawsze można podmontować jego historyczną wersję i wieloma dostępnymi sposobami odtworzyć uszkodzone
dane. Poza użytym w ćwiczeniu ldp.exe, bardzo dobrze ze snapshotem radzą sobie inne narzędzia jak adsiedit czy ldifde.
Pamiętaj tylko, żeby odtwarzając obiekty, wcześniej na pewno dobrze odtworzyć ich obiekty nadrzędne.
O tym, że administrator może określić politykę haseł wie każdy, kto pracował z AD. Określić można minimalną długość hasła, jego
maksymalny wiek, minimalny czas między zmianami i kilka podobnych w charakterze ustawień. Jest to bardzo użyteczna opcja,
ale ma jedną poważną wadę: dotyczy całej domeny. Tymczasem praktyka pokazuje, że zupełnie inne zasady haseł powinny
obowiązywać dział IT (hasła naprawdę skomplikowane) a inne na przykład praktykantów wprowadzających dane z ankiet
nadesłanych przez klientów firmy.
Do tej pory takie ustawienie nie było możliwe, co w wielu środowiskach było istotnym problemem. W Windows Server 2008
można to zrobić, choć nie jest to zupełnie proste. Aby utworzyć politykę haseł dla grupy wykonaj następujące czynności:
1. Zaloguj się na serwerze DC01 (kontrolerze domeny)
2. Ustaw minimalną długość hasła w domenie na 8 znaków
(Menu Start »
3. Utwórz grupę (global security group) „Praktykanci”
4. Utwórz użytkownika Praktykant01 z hasłem P@ssw0rd
5. Ustaw parametry użytkownika Praktykant01 tak, aby
należał wyłącznie do grupy „Praktykanci”
6. Spróbuj zresetować hasło użytkownika Praktykant01
i zmienić je na prostsze (na przykład „abc”)
4
7.
Utwórz PSO (Password Settings Object) dla nowej grupy:
7.1. Stwórz plik tekstowy o zawartości:
dn: CN=PSO_Praktykanci, CN=Password Settings Container,CN=System,DC=hhh,DC=pl
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:3
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:FALSE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:20
msDS-PSOAppliesTo:CN=Praktykanci,CN=Users,DC=hhh,DC=pl
Zwróć uwagę, że podobnie jak we wcześniejszych wersjach
systemu, czasy podaje się w sekundach pomnożone
przez -10000000
7.2. Uruchom interpreter poleceń (cmd.exe) i wprowadź
polecenie ldifde -i -f <twój_plik_pso>
8. Jeżeli polecenie wykona się poprawnie (The command
has completed successfully) możesz uruchomić adsiedit
i sprawdzić, że w CN=Password Settings Container,
CN=System, DC=hhh, DC=pl pojawił się obiekt PSO
(ms-DS-Password-Settings).
9. Wróć do konsoli Active Directory Users and Computers
i ponownie spróbuj zmienić hasło użytkownika
praktykant01 na proste trzyliterowe. Spróbuj taką samą
zmianę wykonać dla użytkownika Jan Kowalski
Kolejną przydatną w AD czynnością jest pilnowanie
administratorów. Choć osoby z takimi uprawnieniami zazwyczaj
są zaufane, to jednak zdarza się czasem potrzeba określenia, kto
wykonał jakąś zmianę. Starsze wersje systemu pokazywały KTO
zmienił atrybut i NA JAKI. Choć można było wskazać winnego,
to naprawienie modyfikacji mogło być trudne, ponieważ nie
istniała możliwość sprawdzenia jaka wartość obowiązywała przed
zmianą. Windows Server 2008 taką funkcjonalność udostępnia.
Możliwości Windows Server 2008 w tym zakresie obejrzeć
można w następujący sposób:
1. Zaloguj się na maszynie DC01
2. Uruchom Menu Start » Administrative Tools
» Group Policy Management
3. W drzewie z lewej strony konsoli wybierz domenę hhh.pl,
w niej kontrolery domeny, kliknij prawym przyciskiem
myszy na Default Domain Controllers Policy i wybierz Edit.
http://www.heroshappenhere.pl 5
4. Wybierz Computer Configuration » Policies » Windows
Settings » Security Settings » Local Policies » Audit Policy.
5. W Audit Policy kliknij prawym przyciskiem myszy Audit
directory service access i wybierz Properties.
6. Zaznacz Define these policy settings i opcję Success.
Kroki Uruchom Menu Start • Administrative Tools • Group
Policy Management-Zaznacz Define these policy settings
i opcję Success. zastąpić można poleceniem: auditpol /set /
subcategory:”directory service changes” /success:enable
Uruchom Menu Start » Administrative Tools » Active
Directory Users and Computers
1. Kliknij prawym przyciskiem grupę „Praktykanci”
i wybierz Properties
7.
8. Wybierz zakładkę Security » Advanced » Auditing. Jeżeli
nie widzisz tej zakładki, to zamknij okno właściwości,
z menu View wybierz „Advanced Features” i spróbuj
jeszcze raz.
2. Kliknij Add i w polu Enter the object name to select
wpisz Authenticated Users i kliknij OK.
3. W polu Apply onto, wybierz Descendant User objects
(ostatnia pozycja)
4. W części określającej typ dostępu zaznacz Success
dla Write all properties.
5. Przy pomocy przycisku OK. zamknij okna Auditing Entry,
Advanced Security Settings i Properties
Jeżeli przykładowo zmienisz teraz nazwę grupy Praktykanci, w Event Logu Security znajdziesz wpis numer 4781 zawierający
szczegółowe informacje o tym wydarzeniu, wraz ze starą nazwą grupy.
Laboratorium 4. Serwer CORE
Uruchom serwer CORE01 i zaloguj się.
Pamiętasz jak dodałeś funkcjonalność klienta telnet? A skąd wiadomo jak dana funkcjonalność się nazywa i czy w ogóle jest dostępna?
Służy do tego polecenie oclist.exe
Spróbuj je wykonać i w wynikach zwróć uwagę:
●
●
●
• Które role i funkcje są zainstalowane. Powinieneś znaleźć jedną zainstalowaną w trakcie przygotowania laboratorium i jedną
zainstalowaną przez Ciebie w poprzednich ćwiczeniach.
• Jak dużo różnych elementów związanych jest z IIS7
• Które role mają w nazwie CORE. Role te zwykle są w niewielkim stopniu inne niż ich odpowiedniki w wersji pełnej.
Mimo, że wersja CORE pozbawiona została GUI, trzy aplikacje są na tyle przydatne administratorowi, że zdecydowano się na ich
pozostawienie. Są to:
●
●
●
• Notatnik – uruchamiany poleceniem notepad.exe. Działa również polecenie edit, jeżeli komuś zależy na trybie tekstowym oraz
type, edlin i kilka innych jak na przykład copy con dla prawdziwych twardzieli.
• Edytor rejestru – uruchamiany poprzez regedit.exe. Można go uruchomić również przez regedt32. Dla miłośników linii poleceń
pozostaje polecenie Reg.exe
• Menedżer zadań – uruchamiany przez taskmgr.exe lub przez menu dostępne po Ctrl+Alt+Del. Dla zwolenników czystej formy
udostępniono takslist.exe
W pełnym serwerze, każdy z tych programów udostępnia możliwość przeglądania zasobów komputera. W notatniku i edytorze
rejestru jest to okno dialogowe „Save As...” a w Menedżerze zadań – okno dostępne po wybraniu File • New Task (Run) • Browse...
6
Serwer CORE nie posiada niezbędnych modułów stąd, zachowuje się inaczej niż wersja pełna. Porównaj wygląd (i możliwość
uruchomienia) tych okien dialogowych w CORE01 i DC01.
Typowe operacje administracyjne na świeżo zainstalowanym serwerze CORE obejmują zazwyczaj zmianę adresu IP, ustawienie DNS
i dodanie do domeny. Resztę zazwyczaj można zrobić już przez Group Policy. Jeżeli chcesz zobaczyć jak się ustawia parametry
serwera zajrzyj do pliku c:\domena.txt. Wpisy w drugiej części dokumentu (zaczynające się od iscsicli.exe) służą do podłączania
dysków na których w kolejnych ćwiczeniach zostanie zbudowany cluster.
Laboratorium 5. Cluster
Włącz serwer DC01 a po jego pełnym uruchomieniu – serwery CORE01 oraz CORE02.
Niektóre usługi sieciowe zaprojektowane są tak, żeby wiele serwerów dzieliło się zadaniami również w przypadku awarii jednego
z serwerów. Jako przykład wymienić można tu Active Directory. Przy wielu serwerach nawet długotrwała awaria jednego z nich nie
zaburzy funkcjonowania usług katalogowych. W wielu przypadkach, sytuacja wygląda jednak tak, że usługa w danym momencie
działać może tylko na jednym serwerze a mimo to trzeba zapewnić jej wysoką dostępność. Z pomocą przychodzi tu cluster. Jest
to grupa komputerów „świadoma” że daną usługę należy utrzymać w działaniu. W danym momencie tylko jeden serwer ma ją
włączoną, jednak w przypadku awarii, inny węzeł clustra przejmuje usługę wraz z jej zasobami i nadal udostępnia w sieci określoną
funkcjonalność.
Aby w praktyce sprawdzić działanie clustra, skonfigurować można nasłuchującą na porcie UDP/162 usługę SNMP Trap. Choć istnieją
bardziej wyszukane (i przydatne) usługi sieciowe, to w przypadku SNMP całe ćwiczenie jest proste i szybkie.
Aby utworzyć cluster z dwóch serwerów CORE należy na każdym z nich zainstalować rolę FailoverCluster-Core. Rola ta jest już
zainstalowana na CORE01 i CORE02. Ponadto, serwery te muszą mieć dostęp do współdzielonego zasobu dyskowego. Zasób taki
działa na serwerze DC01.
Aby utworzyć nowy cluster, wykonaj następujące
działania:
1. Zaloguj się na serwerze DC01
2. Z narzędzi administracyjnych wybierz „Failover Cluster
Management”
3. Wybierz opcję „Create a cluster”.
4. Na powitalnej stronie kreatora kliknij „Next”
5. Dodaj do listy węzłów serwer CORE01 oraz CORE02
i kliknij „Next”
6. Wprowadź nazwę swojego clustra i jego adres IP.
Proponowane wartości to CLUSTER01 i 192.168.0.201.
Kliknij „Next”
7. Jeżeli podsumowanie jest zgodne z twoimi oczekiwaniami
– kliknij „Next”
8. Po utworzeniu clustra zweryfikuj czy w raporcie nie ma
komunikatów błędu.
9. Wybierz „Finish”
Twój cluster jest gotowy do działania. W oknie cmd.exe wpisz
polecenie ping cluster01 i zobacz, że nowy adres sieciowy jest
aktywny.
Wróć do Failover Cluster Management.
1. Z drzewa obiektów po lewej stronie wybierz cluster
CLUSTER01.hhh.pl, kliknij go prawym przyciskiem myszy
i wybierz More Actions • Configure Cluster Quorum
Settings.
2. Kliknij Next na ekranie powitalnym
3. Pozostaw wybraną opcję „Node and Disk Majority”
i kliknij Next
4. Na liście dostępnych dla clustra dysków znajdź dysk
o pojemności 253MB. Ten dysk wybierz jako quorum
a dysk 1GB pozostaw dla innych zasobów. Kreator clustra
nie pytał o wybór dysku a dla quorum przeznaczony
był mniejszy dysk.
5. Kliknij Next
http://www.heroshappenhere.pl 7
6. Na ekranie z podsumowaniem kliknij Next
7. Poczekaj na wykonanie operacji i sprawdź czy wykonała
się poprawnie
8. Wybierz z drzewa obiektów „Storage” i sprawdź
czy właściwy dysk jest wybrany jako quorum
Pora teraz przygotować wybraną przez nas jako przykład usługę
SNMP tak, aby działała niezależnie od awarii któregoś z węzłów.
W tym celu:
1. Wybierz z drzewa obiektów „Services and Applications”
2. Z menu kontekstowego wybierz „Configure a Service
or Application”
3. Na ekranie powitalnym kliknij Next
4. Wybierz z listy Generic Service i kliknij Next
5. Z listy usług wybierz SNMP Trap i kliknij Next
6. Wybierz nową nazwę sieciową i adres dla usługi.
Na przykład SNMP01 i 192.168.0.202
7. Kliknij Next
8. Usługa SNMP Trap nie potrzebuje własnego dysku, ale
w tym ćwiczeniu możemy ją z dyskiem powiązać. W tym
celu należy zaznaczyć checkbox przy nazwie dysku.
Warto zwrócić uwagę, że z dwóch dostępnych dysków,
kreator proponuje tylko ten, na którym nie ma quorum.
9. Kliknij Next
10. Ponieważ nie współdzielimy fragmentów rejestru
pomiędzy węzłami, w kolejnym oknie należy kliknąć Next
11. Jeżeli podsumowanie jest zgodne z oczekiwaniami,
należy kliknąć Next
12. Zweryfikuj raport i kliknij Finish
Wybierz z drzewa obiektów Services and Applications i sprawdź
czy twoja usługa SNMP01 jest na liście. Zobacz który węzeł jest
aktualnie właścicielem usługi.
Kliknij usługę SNMP01 prawym przyciskiem myszy i wybierz
Properties. Na zakładce Failover ustaw parametr Maximum
failures na 1000. Zostawienie domyślnej wartości 2 sprawi, że po
dwóch awariach cluster stwierdzi, że usługa ta jest tak awaryjna,
że nie warto jej podnosić i ćwiczenie nie wyjdzie.
Wykonaj następujące ćwiczenie:
1. Zaloguj się na węzłach clustra (CORE01 i CORE02)
2. Uruchom poleceniem taskmgr.exe Menedżera Zadań
na obu węzłach.
3. Na obu węzłach znajdź proces snmptrap.exe.
Powinien istnieć tylko na węźle, który w danej
chwili jest właścicielem usługi clustra
4. W konsoli na obu węzłach wpisz netstat –an | findstr
/i :162 Uwaga! Przed dwukropkiem w poleceniu jest
spacja. Zwróć uwagę, że tylko aktualny właściciel usługi
nasłuchuje na porcie UDP/162
5. Na komputerze DC01 uruchom polecenie ping –t SNMP01
6. Wyłącz węzeł będący właścicielem usługi SNMP01
poprzez wpisanie shutdown /s /t 15
7. W czasie wyłączania obserwuj na DC01 zachowanie
menedżera clustra oraz polecenia ping
8. Po wyłączeniu węzła i ponownym podniesieniu się usługi
do stanu online, zaloguj się na działającym węźle
i sprawdź:
8.1. Stan procesu snmptrap.exe w Medżerze Zadań
8.2. Wynik polecenia netstat –an | findstr /i :162
Możesz już uruchomić wyłączony węzeł. Poczekaj, aż na liście węzłów (Nodes) pojawi się on ze statusem Up.
Jak widzisz, zabezpieczona usługa działa mimo wyłączenia węzła, na którym pracowała. Jeżeli boisz się, że oba węzły na raz ulegną
awarii – Windows Server 2008 dopuszcza clustry do 16 węzłów. Na którymś z nich usługa przeżyje na pewno! Warto zwrócić uwagę,
że przy bardziej zaawansowanych konfiguracjach można wybrać, którym węzłom wolno przejąć daną usługę.
Należy zwrócić uwagę, że w praktyce, celowe przeniesienie usługi z węzła na węzeł nie musi polegać na wyłączaniu serwerów.
Wystarczy kliknąć nazwę usługi (SNMP01) prawym przyciskiem myszy i wybrać „Move this service or application to another node”.
Konieczne jest potwierdzenie, że wiesz co robisz i gotowe!
Ćwiczenie to pokazuje również inną ważną rzecz: sposób pracy z serwerami CORE. Gdybyś nie chciał weryfikować procesów i portów,
logowanie na węzłach nie byłoby w ogóle potrzebne. Wszystko, co ważne wykonywałeś z serwera DC01. I o to właśnie chodzi
w CORE. On ma działać. A do zarządzania możesz używać narzędzi GUI na komputerze, który GUI posiada.
8
Pamiętaj, że cluster nie zabezpiecza przed awariami. Po prostu, jeżeli zdarzy się coś złego – sam przeniesie usługi i zasoby
z zepsutego węzła na sprawny. Zawsze będzie się to wiązać z przerwą w pracy (pamiętasz ping –t?), ale na szczęście niedługą. Klienci
zabezpieczanych clustrem usług muszą w przypadku awarii wiedzieć, że trzeba poczekać i spróbować jeszcze raz za kilka sekund.
Laboratorium 6. Firewall
Włącz węzeł DC01 a po jego pełnym uruchomieniu – SRV01.
Jedną z ciekawych funkcjonalności Windows Server 2008 jest nowy firewall. Firewall ten, w stosunku do poprzednich wersji systemu
został rozbudowany i udoskonalony, przez co może zostać uznany za pełnoprawne rozwiązanie, które faktycznie pozwala na
dostosowanie ochrony połączeń sieciowych do realiów systemu.
Jedną z ciekawych możliwości firewalla jest wykrywanie lokalizacji sieciowej. W systemie zdefiniowano trzy następujące lokalizacje
i odpowiadające im profile firewalla:
●
• Domena
●
• Sieć prywatna
●
• Sieć publiczna
Każda reguła firewalla zawiera informację na temat tego, jakiego profilu dotyczy. Przykładowo, ustawienia reguł w domenie pozwolą
na zdalne zarządzanie systemem, podczas gdy w każdej innej sieci połączenia z usługami RDP zostaną zablokowane.
System sam określa, w jakiej sieci się znajduje i choć brzmi to tajemniczo, daje się prosto wytłumaczyć. Za identyfikację lokalizacji
odpowiada serwis NLA, czyli Network Location Awareness. Bada on parametry, takie jak aktywny interfejs sieciowy, istnienie w sieci
lokalnej uwierzytelnionego kontrolera domeny i innych komputerów czy adres fizyczny MAC domyślnej bramy. Na podstawie
tych informacji można łatwo określić czy komputer jest w domenie, czy nie.
W szczególności, wyłączenie interfejsu sieciowego oznacza, że komputer znalazł się w sieci publicznej. Nie widzi domeny,
a dopóki administrator nie nakaże zaufania – żadna sieć nie jest zaufana.
Dla potrzeb niniejszego ćwiczenia, stworzyć można regułę na ruch wychodzący
Aby wykonać ćwiczenie, postępuj według poniższej
instrukcji:
1. Zaloguj się na komputerze SRV01, jako administrator
domeny. Jeżeli twój pulpit będzie czerwony oznacza to,
że zalogowałeś się na złe konto!
2. Ustaw pokazujące się po starcie aplikacje tak,
aby nie uruchamiały się automatycznie
3. Zaloguj się na DC01 i przy pomocy polecenia ipconfig
odczytaj adres IP oraz adres IPv6
4. Na komputerze SRV01 uruchom w jednym oknie polecenie
ping –t <adres_ip_komputera_dc01> a w drugim oknie
ping –t <adres_ipv6_komputera_dc01>
5. Uruchom applet zarządzania połączeniami sieciowymi.
6. Upewnij się, że oba polecenia ping poprawnie komunikują
się z DC01
7. Wyłącz interfejs sieciowy i zaobserwuj co stało się
z pingiem
8. Włącz interfejs sieciowy
9. Zwróć uwagę po jakim czasie od włączenia interfejsu
powraca możliwość przesyłania pakietów.
10. Uruchom konsolę zarządzającą Windows Firewall with
Advanced Security
http://www.heroshappenhere.pl 9
11. Stwórz nową regułę, która w sieci publicznej zabroni
wysyłania pakietów ICMP. W tym celu:
11.1. Kliknij w lewym panelu zarządzania firewallem na
„Outbound Rules”
11.2.W prawym panelu kliknij „New Rule”
11.3.Wybierz Custom. Wprawdzie niezależnie od wyboru
opcji, reguły mają te same funkcjonalności, to wybór
wpływa na to jak wyświetla się kreator reguły.
11.4.Wybierz „All Programs”
11.5.W polu „Protocol Type” wybierz ICMPv4
11.6. Pozostaw Any IP Address dla lokalnego i zdalnego
adresu.
11.7. Wybierz „Block Connection”
11.8.Pozostaw zaznaczony tylko profil Public
11.9. Nazwij regułę „Deny ICMPv4 Public”
Gotowe! Stworzyłeś obowiązującą w profilu publicznym regułę, która zabrania wychodzącego ruchu ICMPv4. Wybierz z lewej
strony najwyższy węzeł drzewa i w środkowym panelu zobacz, który profil firewalla jest aktywny.W profilu domenowym,
stworzona przez Ciebie reguła nie obowiązuje, i dlatego ping nadal działa poprawnie.
Teraz, w oknie „Network Connections” kliknij prawym przyciskiem myszy na połączeniu i wybierz „Disable”.
Z oczywistych powodów ping przestał zwracać informację o udanym połączeniu tak dla IP jak i dla IPv6. Zwróć uwagę w konsoli
zarządzania firewallem, jaki profil obowiązuje. Publiczny! Czyli niezależnie od braku połączenia sieciowego, działa reguła zabraniająca
poleceniu ping na adres IP wysyłania pakietów.
Spróbuj teraz pomyśleć, co stanie się po włączeniu interfejsu. Wprawdzie pingi prawie od razu zaczną być przesyłane, to jednak
dopóki aktywny jest profil „Public” będzie obowiązywał zakaz ruchu. Profil automatycznie przełączy się na domenę, ale serwerowi
chwilę zajmie wykrycie, że w jego sieci jest aktywny kontroler domeny.
Żeby to sprawdzić, wykonaj następujące działania:
1. Ustaw okna ping, ping po IPv6 oraz zarządzania połączeniami sieciowymi tak, żeby widzieć wyniki poleceń ping podczas
włączania interfejsu
2. Kliknij dwukrotnie na ikonie interfejsu
3. Obserwuj pingi.
Jak łatwo zauważyć, ping używający ICMPv6 niemal natychmiast podejmuje pracę – dla niego nie ma żadnej reguły. Natomiast ping
na adres IP nie zacznie działać dopóki serwer nie wykryje, że znalazł się w nowej sieci i w efekcie nie przekonfiguruje firewalla.
Zajmuje to w praktyce 5-10s.
Laboratorium 7. NAP
NAP (Network Access Protection) jest mechanizmem, który potrafi wyizolować z sieci komputery nie spełniające firmowych
reguł. Izolacja ta wykonywana być może wieloma sposobami i jest skuteczna nawet, jeżeli komputer jest fizycznie wpięty do sieci.
W niniejszym ćwiczeniu, skonfigurujesz środowisko NAP w taki sposób, aby komputer bez włączonej usługi firewall nie mógł
komunikować się z kontrolerem domeny.
10
W tym celu, przygotuj środowisko w następujący
sposób:
1. Uruchom serwer DC01
2. Zaloguj się na DC01
3. Zainstaluj na DC01 rolę Active Directory Certificate
Services (powinieneś już wiedzieć jak: Server Manager
» Roles » Add Role)
3.1. Z usług roli wybierz tylko „Certification Authority”
3.2. Wybierz Enterprise CA
3.3. Wybierz Root CA
3.4. Wybierz Create a New Private Key
3.5. Parametry kryptograficzne pozostaw z wartościami
domyślnymi
3.6. Pozostaw domyślną nazwę CA (hhh-DC01-CA)
3.7. Pozostaw domyślny czas życia certyfikatu (5 lat)
3.8. Pozostaw domyślne lokalizacje plików
4. Załóż na DC01 domenowe konto user1 i dodaj je do grupy
Domain Admins
5. Załóż w domenie hhh.pl nowe grupy (Security, Global)
w AD i nazwij je „NAP Clients” oraz „IPsec NAP Exemption”
6. Dodaj komputer SRV01 do grupy IPsec NAP Exemption
i uruchom go.
7. Uruchom przystawkę certtmpl.msc
8. Kliknij prawym przyciskiem myszy na szablonie
„Workstation Authentication” i wybierz „Duplicate
Template”
9. Wybierz tryb zgodności z Windows 2008
10. Nazwij nowy szablon „System Health Authentication”
11. Zaznacz automatyczne publikowanie w AD
12. Na zakładce Extensions » Application Policies wybierz
Edit » Add wybierz System Health Authentication
13. Na zakładce Security dodaj grupę IPsec NAP Exemption
z prawem Read, Enroll i AutoEnroll
14. Zamknij konsolę certtmpl.msc
15. Uruchom konsolę certsrv.msc
16. Kliknij prawym przyciskiem myszy na Certificate Templates
i wybierz New » Certificate Template to Issue
17. Wybierz System Health Authentication
18. Zweryfikuj, czy wybrany szablon dodał się do listy
i zamknij konsolę.
19. Uruchom konsolę Group Policy Management
20. Kliknij prawym przyciskiem domyślną politykę
domeny i wybierz Edit
21. W edytorze wybierz Computer Configuration » Windows
Settings » Security Settings » Public Key Policies
22. Kliknij dwukrotnie Certificate Services Client –
Autoenrollment
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
39.
40.
41.
42.
43.
44.
45.
46.
47.
48.
49.
Przełącz politykę na Enabled i zaznacz obie dostępne opcje
Zamknij konsolę.
Zaloguj się na SRV01
Uruchom mmc i dodaj przystawkę „Certificates” dla konta
komputera lokalnego
Otwórz gałąź Certificates (Local Computer), kliknij prawym
przyciskiem myszy na Personal, wybierz All Tasks i Request
New Certificate
Wybierz Computer i kliknij Enroll.
Sprawdź czy operacja zakończyła się sukcesem
Sprawdź czy w Certificates (Local Computer) » Personal
» Certificates jest certyfikat przeznaczony do System Health
Authentication oraz Client Authentication
Zamknij konsolę, odpowiadając No na pytanie o zapis.
Zainstaluj rolę Active Directory Certificate Services oraz
Network Policy and Access Services
W usługach roli zaznacz Health Registration Authority
i wyraź zgodę na doinstalowanie niezbędnych składników.
W kolejnym ekranie wybierz „ Install a local CA to issue
health certificates for this HRA server”
Wybierz No, allow anonymous requests for health
certificates
Wybierz Choose an existing certificate for SSL encryption
(recommended) i zaznacz wyświetlony na liście certyfikat
Na ekranie konfiguracji AD CS zaznacz tylko Certification
Authority
Wybierz Standalone a następnie Subordinate CA
i Create a new private key
Zaakceptuj domyślne parametry kryptograficzne
Pozstaw domyślną nazwę CA
Wybierz Send a certificate request to a parent CA
i kliknij Browse.
Wybierz swój root CA
Przez pozostałe ekrany kreatora przejdź używając
wartości domyślnych.
Po kliknięciu Install cały proces może zająć kilka minut.
Błąd mówiący, że „HRA could not be configured due to
a failure to get the name of the local CA” można zignorować.
Dane zostaną poprawione w późniejszych krokach.
Dodaj funkcjonalność Group Policy Management. Robi się
to tak samo jak dla roli, tylko w innej gałęzi Server Manager
Uruchom konsolę certsrv.msc i wybierz właściwości serwera
SRV01
Wybierz właściwości Policy Module
Wybierz „Follow the settings in the certificate template,
if applicable. Otherwise, automatically issue the certificate”
i po kliknięciu OK. potwierdź informację o konieczności
restartu usługi
http://www.heroshappenhere.pl 11
50. Zrestartuj usługę korzystając z All Tasks dostępnego z
menu kontekstowego dla CA
51. We właściwościach serwera hhh-SRV01-CA wybierz
zakładkę Security i dodaj Network Service z prawami
Issue and Manage Certificates, Manage CA, oraz Request
Certificates
52. Zamknij konsolę.
53. Uruchom Server Manager i wybierz Roles » Network Policy
and Access Services » Health Registration Authority(SRV01)
» Certification Authority. Jeżeli nie masz takiej gałęzi,
zamknij i otwórz Server Manager.
54. Kliknij prawym przyciskiem myszy Certification Authority,
i wybierz Add certification authority
55. Kliknij Browse i wybierz CA na serwerze SRV01
56. Wybierz właściwości Certification Authority i sprawdź czy
wybrana jest opcja Use standalone certification authority
57. Zamknij Server Manager
58. Uruchom nps.msc i wybierz NPS (Local)
59. W głównym panelu kliknij „Configure NAP”
60. Jako metodę połączenia wybierz „IPsec with Health
Registration Authority (HRA)” i kliknij next. Zwróć uwagę
na inne dostępne metody łączenia.
61. Nie dodawaj klientów RADIUS ponieważ NPS
zainstalowany jest lokalnie.
62. Nie dodawaj grup. Nie są w tym ćwiczeniu potrzebne
63. Upewnij się, że checkboxy Windows Security Health
Validator oraz Enable auto-remediation of client computers
są zaznaczone
64. Dokończ pracę z kreatorem
65. W drzewie z lewej strony, wybierz Network Access
Protection » System Health Validators
66. Kliknij dwukrotnie Windows Security Health Validator
i wybierz Configure
67. Ponieważ w laboratorium weryfikujemy tylko działanie
firewalla, pozostaw zaznaczony tylko pierwszy checkbox.
68. Zamknij okno i konsolę zarządzającą NPS
69. Uruchom konsolę gpme.msc, i w oknie wyboru kliknij ikonę
tworzenia nowego GPO
70. Nazwij GPO „NAP client settings”
71. Przejdź do Computer Configuration » Policies
» Windows Settings » Security Settings » System Services
72. Kliknij dwukrotnie Network Access Protection Agent
i ustaw start na Automatic
73. Przejdź do Network Access Protection » NAP Client
Configuration » Enforcement Clients
74. Kliknij prawym przyciskiem myszy IPSec Relying Party
i wybierz Enable
12
75. Otwórz gałąź NAP Client Configuration » Health
Registration Settings » Trusted Server Groups
76. Kliknij prawym przyciskiem myszy Trusted Server Groups
i dodaj grupę Trusted HRA Servers. Jako adres URL wpisz
https://srv01.hhh.pl/domainhra/hcsrvext.dll i kliknij Add
77. Kliknij Finish
78. W drzewie kliknij prawym przyciskiem myszy
na NAP Client Configuration i wybierz Apply
79. Przejdź do Computer Configuration » Policies
» Administrative Templates » Windows Components
» Security Center
80. Ustaw politykę Turn on Security Center (Domain PCs only)
na włączoną
81. Zamknij okno GPME, wybierając Yes przy ewentualnym
pytaniu o zapis
82. Uruchom gpmc.msc i przejdź do Forest: hhh.pl » Domains
» hhh.pl » Group Policy Objects » NAP client settings
83. Usuń Authenticated Users z sekcji Security Filtering
i dodaj tam NAP clients
84. Zamknij konsolę.
85. Zaloguj się na DC01 i dodaj komputer CLI01 do grupy
NAP Clients
86. Uruchom CLI01 i zaloguj się jako dodany w punkcie
Załóż na DC01 domenowe konto user1 i dodaj je do grupy
Domain Admins User1
87. Uruchom konsolę wiersza poleceń i wpisz netsh nap client
show grouppolicy
88. Zweryfikuj status IPSec Relying Party. Powinien być Enabled
89. Zweryfikuj status Trusted HRA Servers. Powinien
wskazywać na URL podany w punkcie Kliknij prawym
przyciskiem myszy Trusted Server Groups i dodaj grupę
Trusted HRA Servers. Jako adres URL wpisz
https://srv01.hhh.pl/domainhra/hcsrvext.dll i kliknij Add
90. W konsoli wpisz „netsh nap client show state” i sprawdź
parametr Initialized ma dla IPSec Relying Party jest wartość
Yes
91. Jeżeli są problemy, to sprawdź czy komputer CLI01 na
pewno jest w grupie NAP Clients, ewentualnie dodaj
grupę Authenticated Users usuniętą w punkcie Usuń
Authenticated Users z sekcji Security Filtering i dodaj tam
NAP clients
92. Jeżeli nadal pojawiają się problemy, upewnij się, że twoje
ustawienia z punktów Przejdź do Computer Configuration
» Policies » Windows Settings » Security Settings
» System Services-Kliknij prawym przyciskiem myszy
Trusted Server Groups i dodaj grupę Trusted HRA Servers.
Jako adres URL wpisz https://srv01.hhh.pl/domainhra/
hcsrvext.dll i kliknij Add zostały zapisane.
O ile wszystko wykonałeś poprawnie, masz komputer kliencki, na którym wymusiłeś zgodność z firmowymi regułami. Po pierwsze,
bez działającego firewalla nie zostanie wpuszczony do sieci, po drugie NAP podejmie próbę automatycznego uruchomienia firewalla
jeżeli wykryje, że ten nie działa. Po udanym uruchomieniu oczywiście komputer będzie włączony do sieci.
Sprawdźmy.
Na CLI01, uruchom firewall.cpl i spróbuj wyłączyć firewall. Udało się? Na długo? Nie dość, że NAP sam naprawi komputer,
to oczywiście zapisze dokładny raport w logach systemowych. Potrafisz znaleźć logi NAP na stacji roboczej?
Skonfiguruj teraz NAP tak, żeby nie miał szans na naprawę. Wystarczy spróbować wymusić na stacji aktualne oprogramowanie
antywirusowe, podczas gdy żaden tego typu program nie został zainstalowany. W tym celu:
1. Zaloguj się na SRV01.
2. Uruchom nps.msc
3. Wybierz Network Access Protection » System Health
Validators.
4. Dwukrotnie kliknij na Windows Security Health Validator
i wybierz Configure
5. Wymuś działanie programu antywirusowego
(nie musi być aktualny) i zamknij okna konfiguracji.
6. Pozwól „zorientować się” komputerowi CLI01, że coś jest
nie tak. Można chwilę poczekać, można wyłączyć
i włączyć sieć, można spróbować wyłączyć firewall.
Ta ostatnia opcja jest najprostsza i najszybsza, bo
kilkanaście kroków temu sam zaakceptowałeś czas
ważności certyfikatu zdrowia wynoszący 4h
7. Firewall wprawdzie się włączył, ale komputer zgodny
z wytycznymi nie jest, o czym jasno informuje.
8. Zlikwiduj wymóg posiadania antywirusa i znowu
wyłącz firewall. Komputer powinien stwierdzić, że jego
konfiguracja jest zgodna z politykami.
Komputer wprawdzie wykrywa niezgodność, ale nie blokuje
ruchu. To bardzo dobra metoda na wdrożenie NAP. Najpierw
sprawdź co może nie zadziałać a dopiero później blokuj ruch, jak
jesteś pewny co może pójść źle.
Jeżeli masz jeszcze czas w ramach laboratorium możesz
spróbować zablokować połączenia z komputerami niezgodnymi
z polityką. Aby zablokować komunikację z niezgodnym
komputerem, postąp tak:
1.
2.
3.
4.
Na DC01 stwórz OU: IPSec Secure
Na SRV01 uruchom gpme.msc i wybierz IPSec Secure
Stwórz nowy GPO: Secure Policy
Otwórz gałąź Secure Policy [hhh.pl] Policy » Computer
Configuration » Policies » Windows Settings » Security
Settings » Windows Firewall with Advanced Security »
Windows Firewall with Advanced Security – LDAP...
5. Kliknij prawym przyciskiem myszy na Windows Firewall
with Advanced Security – LDAP... i wybierz Properties
6. We wszystkich trzech profilach ustaw stan na On, inbound
na Block a outbound na Allow i kliknij OK
7. Rozwiń Windows Firewall with Advanced Security – LDAP...
i kliknij prawym przyciskiem myszy na Connection Security
Rules » New Rule
8. Wybierz Isolation
9. Wybierz Require authentication for inbound connections
and request authentication for outbound connections
10. Wybierz Computer Certificate, zaznacz Only akcept health
certificates i przy pomocy Browse wskaż root CA (DC=pl,
DC=hhh, CN=hhh-DC01-CA)
11. Upewnij się, że zaznaczone są wszystkie trzy profile, nazwij
swoją regułę Secure Rule i gotowe.
12. Z gałęzi inbound rules stwórz regułę bazując na
predefiniowanej File and Printer Sharing.
13. Zaakceptuj domyślne wartości
14. Zaznacz opcję Allow the connection if it is secure, kliknij
Next i Finish akceptując domyślne dane.
Przenieś teraz SRV01 oraz CLI01 do OU IPSec Secure i na
przeniesionych komputerach wykonaj gpupdate /force
Sprawdź czy CLI01 wykonuje poprawnie ping –t SRV01.
Na SRV01 może pojawić się błąd zgodności z regułami, ale dla
tego komputera nie konfigurowałeś SHA, więc trudno się dziwić.
W tej chwili wyłączenie firewall sprawi, że komputer nie ma
łączności z siecią.
Laboratorium niniejsze jest w pewnym stopniu sztuczne, ponieważ
niewielki rozmiar środowiska testowego zmusza do mało realnych
rozwiązań. W praktyce jednak, NAP jest doskonałą metodą
zagwarantowania, że w sieci lokalnej łączność nawiązują tylko
komputery zgodne z regułami określonymi przez administratora.
A niezgodne – same się naprawiają.
http://www.heroshappenhere.pl 13
Laboratorium 8. Terminal Services
Zmiany w Terminal Services wydają się być najbardziej widowiskowe. Dzięki usługom terminalowym, można w prosty sposób
udostępniać pojedyncze aplikacje a nie tylko cały pulpit.
Łatwo to samodzielnie sprawdzić.
1. Zaloguj się na SRV01 jako administrator
2. Zaloguj się na CLI01 jako Jan.Kowalski, zwróć uwagę
na plik na pulpicie i na to, czy możesz go otworzyć.
3. Sprawdź czy na DC01, użytkownik Jan.Kowalski należy
do grupy Remote Desktop Users
4. Na SRV01 uruchom Menu Start » Administrative Tools »
Terminal Services » TS Remote Apps Manager
5. Wybierz z prawego panelu Add Remot App Programs
6. Wybierz aplikacje gadu-gadu oraz Microsft Office Excel
Viewer 2003
7. Opublikuj gadu-gadu przez plik RDP a Excel Viewer
przez plik MSI (Windows Installer Package)
7.1. Dla publikacji przez RDP pozostaw domyślne
parametry
7.2. Dla publikacji przez MSI w drugim ekranie kreatora
opcję „Associate Client Extension...”
8. Udostępnij w sieci folder Packaged Programs w którym
utworzone zostały pliki
9. Otwórz udostępniony folder na komputerze CLI01
10. Uruchom gg jako hhh\Jan.Kowalski i poczekaj na
uruchomienie (w środowisku testowym nawet kilka minut).
Możesz włączyć zapamiętywanie haseł.
11. W czasie uruchamiania zainstaluj xlview. Zwróć uwagę,
że instalacja MSI może wymagać praw administratora,
z drugiej jednak strony można ją zautomatyzować przy
pomocy GPO
12. Zwróć uwagę, co się stało z ikoną pliku na pulpicie,
ale nie uruchamiaj go przed uruchomieniem gg
13. Jeżeli gadu-gadu uruchomiło się poprawnie,
na ikonie Excela na pulpicie.
Przy pomocy Menedżera zadań określ jakie procesy odpowiadają za Excela i Gadu-gadu.
Jak widzisz, użytkownikowi nie jest łatwo określić czy aplikacja jest uruchomiona lokalnie czy na serwerze. Działa klikanie w ikony,
drag&drop, Copy&Paste i wszystkie typowe zachowania użytkowników. Zwróć uwagę, że niezależnie od ilości aplikacji, wszystkie
obsługiwane są przez jeden proces mstsc.exe.
14