Windows Server Core

1. Windows Server Core Piotr Pawlik | blackrider@pjwstk.edu.pl|

2. Agenda • Wprowadzenie do Core Server • Konfiguracja początkowa serwera • Zarządzanie rolami | role serwera • Tips and Tricks • ... • Część 2

3. Wprowadzenie

4. Gdzie task bar i menu? • Nie ma  • Brak desktop shell (no glass, wallpaper, ...) • Brak serwer managera, initial configuration task, windows explorer, mojego komputera • brak .NET Framework i CLR (brak PowerShell?) • Brak MMC console snap-ins • Brak panelu sterownia ; IE, Paint 

5. To co jest  ? • Po pierwsze Kernel, który być musi • Hardware Components (HAL) i drivery, ale ograniczona ilość (oczywiście jest możliwość instalacji driverów) • Core subsystem – Winlogon, security subsystem, networking system, ile system, ROC and DCOM, SNMP • Bardzo duża ilość komponentów -> tworzenie kont użytkowników, zmiana haseł, DHCP oraz statyczna adresacja, zmiana nazwy serwera

6. To co jest  ? • Można przyłączyć serwer do domeny • Konfigurować firewall • Włączyć Automatic Updates • Keyboard layout, ustawienia czasu i godziny • Zdalny pulpit • Do tego wszystkiego mamy narzędzia command linowe, których jest ogromna ilość!!!

7. To co jest  ? • Mamy oczywiście Event Loga oraz narzędzie cmd do przeglądania, konfiguracji, forwardowania zdarzeń • Performance counters • Licensing service > możemy aktywować serwer • IPSec support, NAP client, wsparcie dla Group Policy oczywiście  • Notepad – na życzenie społeczności

8. Pierwsze logowanie • Logujemy się na konto Administrator z pustym hasłem, zostajemy poproszeni o podanie nowego • Pojawia się command-line  i co dalej... ? • Task Manager (jeśli zamkniemy cmd) to: • CTRL + SHIFT + ESC > otwieramy Task Managera • W zakładce Applications, klikamy New Task • Wpisujemy cmd i OK

9. Zalety wersji Core • Mała powierzchnia ataku na serwer > mniej plików, usług, które są narażone • Mniej patchy, poprawek • Mniej miejsca dyskowego(plus dla środowisk datacenter) • Większa wydajność dla specyficznych ról zainstalowanych na serwerze

10. Role w wersji CORE • Active Directory Domain Services (AD DS) • Active Directory Lightweight Directory Services (AD LDS) • DHCP Server • DNS Server • File Services • Hyper-V • Print Services • Streaming Media Services • Web Server (IIS)

11. Niedostępne role w wersji Core • AD Certificate Services • AD Federation Services • Active Directory RMS • Application Server • Fax Server • NPS/NAP • Terminal Services • Windows Deployment Services • Windows Sharepoint Services

12. Dostępne ficzery „Features” • BitLocker Drive Encryption • Failover Clustering • Multipath I/O • RREmovable Storage Management • SNMP Services • Subsystem for UNIX-based Application • Telnet Client • Windows Server Backup • WINS Server

13. Konfiguracja początkowa serwera • Oczywiście większość zadań może być skonfigurwana podczas instalacji nienadzorowanej przy pomocy pliku unattend.xml • My skorzystamy z opcji konfigurowanych za pomocą cmd-line

14. Server Core Initial Configuration Task list • Set Administrator Password • Product Activation • Set Date and Time • Set IP Address • Set Computer Name • Join into Domain • Install Roles \ Features • Set Automatic updates • Enable Firewall Rules for Remote Management

15. Ustawienie hasła Administratora CTRL + ALT + DEL > Change Password Cmd > net user Adminstrator *

16. Ustawienie Daty, czasu i strefy • Wpisz > control timedate.cpl

17. | mniej Shell vs. mniej GUI | • W core jest małe wsparcie dla GUI. • DLLki > gdi32.dll oraz shlwami.dll • Dla łatwiejszego zarządzania serwerem wprowadzo minimalną obsługę GUI • Notepad ! • Control timedate.cpl > time, date, timezone • Cibtrik intl.cpl > keyboard layout

18. Konfiguracja Sieci • Po pierwsze odpalmy ipconfig /all • Można zauważyć że będzie wyświetlał dwa interfejsy na maszynce: fizyczny (NIC) i ISATAP tunneling interface.

19. Konfiguracja sieci • Zanim wykonamy polecenie netsh.exe do mydyfkiwania ustawień interfejsu, musimy wiedzieć który int konfigurować • cmd> netsh interface ipv4 show interfaces

20. Konfiguracja sieci • Widać, że interfejs fizyczny Local Area Connection ma index 2. Teraz możemy go adresować: IP Address: 192.168.10.1 Subnet Mask: 255.255.255.0 Default GW: 192.168.1.1 Primary DNS server: 192.168.1.1 Secondary DNS server: none

21. Konfiguracja sieci • Cmd> netsh interface ipv4 set address name=”2” source=static address=192.168.10.1 mask=255.255.255.0 gateway=192.168.1.1 • Cmd> netsh interface ipv4 add dnsserver name=”2” address=192.168.1.1 index=1

22. So far, so good. Let’s move on  • Teraz możemy wykonać ipconfig /all i sprawdzić rezultat

23. Zmiana nazwy serwera • Przy instalacji server name jest randomowo generowany. Żeby zmienić nazwę należy skorzystać z netdom.exe • Najpierw zobaczymy jaka jest obecna nazwa, i wtedy zmienimy ją na DNSSRV, ponieważ planujemy promować maszynkę na serwer DNS. • Musimy zrestartować maszynkę: cmd> Shutdown /r /t 0

24. Zmiana nazwy serwera > netdom renamecomputer %computername% /NewName:DNSSRV

25. Dołączenie do domeny • Netdom.exe ponownie  • Dołączymy serwer do domeny dotcore.local • > netdom join DNSSRV /domain:DOTCORE /user:Administrator /passwordd:* • Restart wymagany > shutdown /r /t 0

26. Dołączenie maszyny do domeny Shutdown /r /t 0 Logujemy się jako domain admin i wydajemy polecenie netdom.exe ponownie, aby sprawdzić czy serwer nawiązał połączenie przez bezpieczny kanał z kontrolerem.

27. Dołączenie maszyny do domeny • > netdom verify /d:dotcore DNSSRV

28. Aktywacja serwera • Aby aktywować możemy użyć wbudowanego skryptu slmgr.vbs z %windir%\System32 • Ten skrypt dostępny również w Vista • Może być wykonany zdalnie z innej maszynki • Wpisz cscript slmgr.vbs /?– zobaczysz składnie

29. Aktywacja serwera • Wpisz z parametrem –xpr aby zobaczyć datę wygaśnięcia obecnej licencji • -dli żeby wyświetlić więcej informacji o stanie licencji

30. Aktywacja serwera • Teraz można aktywować serwer używając –ato • C:\Windows\system32> cscript slmgr.vbs –ato • Komunikat: • Product activated successfully. • Sprawdź: -xpr i –dli > The machine is permanently activated.

31. Włączenie Automatic Updates • Mamy kolejny wbudowany skrypt scregedit.wsf. Tylko w wersji Core! • Wpisz > cscript scregedit.wsf /? • Sprawdź obecny stan Automatic Updates: • cscript scregedit.wsf /au /v

32. Włączenie Updates  • C:\Windows\system32\cscript scregedit.wsf /au 4 • Teraz jeszcze raz sprawdź konfigurację updates >> cscript scregedit.wsf /au /v

33. Zmiana rozdzielczości ekranu • Nie ma toola! • Można za pomocą unattend file • Ale można modyfikować wartość w rejestrze: • HKEY_LOCAL_MACHINE\SYSTEM\CurrntControlSet\Control\Video • \0000\DefaultSettings.Xresolution • \0000\DefaultSettings.YResolution

34. Zarządzanie Serwerem Core • Po wykonaniu „inicial configuration” możemy zarządzać rolami serwera. • Jak zarządzać: • Lokalnie z command prompt • Zdalnie przez Terminal Services • Zdalnie przez RSAT • Zdalnie przez Group Policy • Zdalnie przez WinRm/WinRS

35. Instalacja roli na CORE • Żeby sprawdzić jakie mamy dostępne role: • C:\Windows\System32\>oclist

36. Instalacja roli na Core • Możemy zobaczyć, że rola DNS nie jest zainstalowana. Możemy jeszcze sprawdzić wydając polecenie net start

37. Instalacja roli DNS Server Tylko binarki do DNS clienta są obecnie zainstalowane: No to instalujemy rolę serwera DNS korzystając z ocsetup.exe: Teraz można wydać polecenie oclist oraz dir dns*.* > rezultaty...

38. Instalacja roli na Core • Teraz można użyć np. Net stop dns, aby zatrzymać usługę DNS. • dnscmd.exe do konfiguracji/zarządzania usługą DNS • Korzystając z ocsetup.exe możemy zainstalować inne role serwera – opócz AD DS! • Do instalacji Active Directory > dcpromo /unattend:unattend.txt

39. Przykładowy plik unattend.txt [DCInstall] ReplicaOrNewDomain = Domain NewDomain = Forest NewDomainDNSName = dotcore.com AutoConfigDNS = Yes DNSDelegation = Yes DNSDelegationUserName = dnsuser DNSDelegationPassword = p@ssw0rd! RebootOnSuccess = NoAndNoPrompEither SafeModeAdminPassword = p@ssw0rd!

40. Instalacja ficzerów • Używając ocsetup.exe • Oclist – zobaczymy dostępne ficzery • /uninstall – możemy usunąć ficzer/rolę Przykładzik:

41. Inne przykładowe zadania adminstracyjne na CORE • Core ma wsparcie dla PnP. Jeśli urządzenie jest w in-box driver to isntaluje się automatycznie. Jeśli nie to trzeba: • 1) skopiować driver na dysk tymczasowo • 2) pnputil –i –a <driver>.inf • 3) restrat serwera jeśli będzie taka potrzeba • Jakie drivery mamy zainstalowane?: • sc query type = driver

42. Nie AU! Chcę updaty z WSUS! • Jeśli mamy wdrożonego WSUSa to: • Wusa <patch>.msu /quiet • Odinstalowanie patcha: • Pkgmgr /up /m:<package>.cab /quiet

43. Remote Management via TS • Można zarządzać z innego komputera naszym serwerem Core przez Terminal Services. • Najpierw trzeba włączyć Remote Desktop: • cscript scregedit.wsf /ar 0 > enable RDP • cscript scregedit.wsf /ar 1 > disable RDP • cscript scregedit.wsf /ar /v > ustawienia RDP

44. Remote Management via TS • Aby łączyć się z komputerów innych niż Vista (pre-Vista) trzeba wyłączyć enhanced security: • cscript scregedit.wsf /cs 0

45. Remote Admnistration via Group Policy • Konfiguracja firewalla > netsh advfirewall • Nie jest to przyjemne! • Wrzucamy serwer do OU i tworzymy nową polisę, gdzie konnfigurujemy Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security 

47. Co na następnych zajęciach • Serwer Core część 2 • Instalacja kontrolera domeny na serwerze Core | konfiguracja DNS | • Instalacja serwera DHCP | konfiguracja • ...

48. Materiały • http://technet2.microsoft.com/windowsserver2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true Command - Line Reference • http://technet2.microsoft.com/windowsserver/en/library/552ed70a-208d-48c4-8da8-2e27b530eac71033.mspx?mfr=true

49. http://dotcore.pjwstk.edu.plPiotr Pawlik piotr.pawlik@pjwstk.edu.pl Dziękuję za uwagę