WINDOWS SERVER CORE

Piotr Pawlik | blackrider@pjwstk.edu.pl|

Agenda

• Wprowadzenie do Core Server• Konfiguracja początkowa serwera• Zarządzanie rolami | role serwera• Tips and Tricks• ...• Część 2

Wprowadzenie

Gdzie task bar i menu?

• Nie ma • Brak desktop shell (no glass, wallpaper, ...)• Brak serwer managera, initial configuration

task, windows explorer, mojego komputera• brak .NET Framework i CLR (brak PowerShell?)• Brak MMC console snap-ins• Brak panelu sterownia ; IE, Paint

To co jest ?

• Po pierwsze Kernel, który być musi• Hardware Components (HAL) i drivery, ale ograniczona

ilość (oczywiście jest możliwość instalacji driverów)• Core subsystem – Winlogon, security subsystem,

networking system, ile system, ROC and DCOM, SNMP• Bardzo duża ilość komponentów -> tworzenie kont

użytkowników, zmiana haseł, DHCP oraz statyczna adresacja, zmiana nazwy serwera

To co jest ?

• Można przyłączyć serwer do domeny• Konfigurować firewall• Włączyć Automatic Updates• Keyboard layout, ustawienia czasu i godziny• Zdalny pulpit• Do tego wszystkiego mamy narzędzia

command linowe, których jest ogromna ilość!!!

To co jest ?

• Mamy oczywiście Event Loga oraz narzędzie cmd do przeglądania, konfiguracji, forwardowania zdarzeń

• Performance counters• Licensing service > możemy aktywować serwer• IPSec support, NAP client, wsparcie dla Group

Policy oczywiście • Notepad – na życzenie społeczności

Pierwsze logowanie

• Logujemy się na konto Administrator z pustym hasłem, zostajemy poproszeni o podanie nowego

• Pojawia się command-line i co dalej... ?• Task Manager (jeśli zamkniemy cmd) to:– CTRL + SHIFT + ESC > otwieramy Task Managera– W zakładce Applications, klikamy New Task– Wpisujemy cmd i OK

Zalety wersji Core

• Mała powierzchnia ataku na serwer > mniej plików, usług, które są narażone

• Mniej patchy, poprawek • Mniej miejsca dyskowego (plus dla środowisk

datacenter)• Większa wydajność dla specyficznych ról

zainstalowanych na serwerze

Role w wersji CORE• Active Directory Domain Services (AD DS)• Active Directory Lightweight Directory Services (AD LDS)• DHCP Server• DNS Server• File Services• Hyper-V• Print Services• Streaming Media Services• Web Server (IIS)

Niedostępne role w wersji Core

• AD Certificate Services• AD Federation Services• Active Directory RMS• Application Server• Fax Server• NPS/NAP• Terminal Services• Windows Deployment Services• Windows Sharepoint Services

Dostępne ficzery „Features”

• BitLocker Drive Encryption• Failover Clustering• Multipath I/O• RREmovable Storage Management• SNMP Services• Subsystem for UNIX-based Application• Telnet Client• Windows Server Backup• WINS Server

Konfiguracja początkowa serwera

• Oczywiście większość zadań może być skonfigurwana podczas instalacji nienadzorowanej przy pomocy pliku unattend.xml

• My skorzystamy z opcji konfigurowanych za pomocą cmd-line

SERVER CORE INITIAL CONFIGURATION TASK LIST

• Set Administrator Password • Product Activation• Set Date and Time• Set IP Address• Set Computer Name• Join into Domain• Install Roles \ Features• Set Automatic updates• Enable Firewall Rules for Remote Management

Ustawienie hasła Administratora

1) CTRL + ALT + DEL > Change Password

2) Cmd > net user Adminstrator *

Ustawienie Daty, czasu i strefy• Wpisz > control timedate.cpl

| mniej Shell vs. mniej GUI |

• W core jest małe wsparcie dla GUI.• DLLki > gdi32.dll oraz shlwami.dll• Dla łatwiejszego zarządzania serwerem

wprowadzo minimalną obsługę GUI• Notepad !• Control timedate.cpl > time, date, timezone• Cibtrik intl.cpl > keyboard layout

Konfiguracja Sieci

• Po pierwsze odpalmy ipconfig /all• Można zauważyć że będzie wyświetlał dwa

interfejsy na maszynce: fizyczny (NIC) i ISATAP tunneling interface.

Konfiguracja sieci

• Zanim wykonamy polecenie netsh.exe do mydyfkiwania ustawień interfejsu, musimy wiedzieć który int konfigurować

• cmd> netsh interface ipv4 show interfaces

Konfiguracja sieci• Widać, że interfejs fizyczny Local Area

Connection ma index 2. Teraz możemy go adresować:IP Address: 192.168.10.1Subnet Mask: 255.255.255.0Default GW: 192.168.1.1Primary DNS server: 192.168.1.1Secondary DNS server: none

Konfiguracja sieci

• Cmd> netsh interface ipv4 set address name=”2” source=static address=192.168.10.1 mask=255.255.255.0 gateway=192.168.1.1

• Cmd> netsh interface ipv4 add dnsserver name=”2” address=192.168.1.1 index=1

• Teraz możemy wykonać ipconfig /all i sprawdzić rezultat

So far, so good. Let’s move on

Zmiana nazwy serwera

• Przy instalacji server name jest randomowo generowany. Żeby zmienić nazwę należy skorzystać z netdom.exe

• Najpierw zobaczymy jaka jest obecna nazwa, i wtedy zmienimy ją na DNSSRV, ponieważ planujemy promować maszynkę na serwer DNS.

• Musimy zrestartować maszynkę:cmd> Shutdown /r /t 0

Zmiana nazwy serwera

> netdom renamecomputer %computername% /NewName:DNSSRV

Dołączenie do domeny

• Netdom.exe ponownie • Dołączymy serwer do domeny dotcore.local

• > netdom join DNSSRV /domain:DOTCORE /user:Administrator /passwordd:*

• Restart wymagany > shutdown /r /t 0

Dołączenie maszyny do domeny

Shutdown /r /t 0 Logujemy się jako domain admin i wydajemy polecenienetdom.exe ponownie, aby sprawdzić czy serwer nawiązałpołączenie przez bezpieczny kanał z kontrolerem.

Dołączenie maszyny do domeny

• > netdom verify /d:dotcore DNSSRV

Aktywacja serwera

• Aby aktywować możemy użyć wbudowanego skryptu slmgr.vbs z %windir%\System32

• Ten skrypt dostępny również w Vista• Może być wykonany zdalnie z innej maszynki• Wpisz cscript slmgr.vbs /? – zobaczysz

składnie

Aktywacja serwera• Wpisz z parametrem –xpr aby zobaczyć datę

wygaśnięcia obecnej licencji

• -dli żeby wyświetlić więcej informacji o stanie licencji

Aktywacja serwera

• Teraz można aktywować serwer używając –ato• C:\Windows\system32> cscript slmgr.vbs –ato

• Komunikat:– Product activated successfully.

• Sprawdź: -xpr i –dli > The machine is permanently activated.

Włączenie Automatic Updates

• Mamy kolejny wbudowany skrypt scregedit.wsf. Tylko w wersji Core!

• Wpisz > cscript scregedit.wsf /?• Sprawdź obecny stan Automatic Updates:– cscript scregedit.wsf /au /v

Włączenie Updates • C:\Windows\system32\cscript

scregedit.wsf /au 4

• Teraz jeszcze raz sprawdź konfigurację updates >> cscript scregedit.wsf /au /v

Zmiana rozdzielczości ekranu

• Nie ma toola!• Można za pomocą unattend file• Ale można modyfikować wartość w rejestrze:• HKEY_LOCAL_MACHINE\SYSTEM\

CurrntControlSet\Control\Video– \0000\DefaultSettings.Xresolution– \0000\DefaultSettings.YResolution

Zarządzanie Serwerem Core

• Po wykonaniu „inicial configuration” możemy zarządzać rolami serwera.

• Jak zarządzać:- Lokalnie z command prompt- Zdalnie przez Terminal Services- Zdalnie przez RSAT- Zdalnie przez Group Policy- Zdalnie przez WinRm/WinRS

Instalacja roli na CORE• Żeby sprawdzić jakie mamy dostępne role:• C:\Windows\System32\>oclist

Instalacja roli na Core

• Możemy zobaczyć, że rola DNS nie jest zainstalowana. Możemy jeszcze sprawdzić wydając polecenie net start

Instalacja roli DNS ServerTylko binarki do DNS clienta są obecnie zainstalowane:

No to instalujemy rolę serwera DNS korzystając z ocsetup.exe:

Teraz można wydać polecenie oclist oraz dir dns*.* > rezultaty...

Instalacja roli na Core

• Teraz można użyć np. Net stop dns, aby zatrzymać usługę DNS.

• dnscmd.exe do konfiguracji/zarządzania usługą DNS

• Korzystając z ocsetup.exe możemy zainstalować inne role serwera – opócz AD DS!

• Do instalacji Active Directory > dcpromo /unattend:unattend.txt

Przykładowy plik unattend.txt[DCInstall]ReplicaOrNewDomain = DomainNewDomain = ForestNewDomainDNSName = dotcore.comAutoConfigDNS = YesDNSDelegation = YesDNSDelegationUserName = dnsuserDNSDelegationPassword = p@ssw0rd!RebootOnSuccess = NoAndNoPrompEitherSafeModeAdminPassword = p@ssw0rd!

Instalacja ficzerów

• Używając ocsetup.exe• Oclist – zobaczymy dostępne ficzery• /uninstall – możemy usunąć ficzer/rolę

Przykładzik:

Inne przykładowe zadania adminstracyjne na CORE

• Core ma wsparcie dla PnP. Jeśli urządzenie jest w in-box driver to isntaluje się automatycznie. Jeśli nie to trzeba:

• 1) skopiować driver na dysk tymczasowo• 2) pnputil –i –a <driver>.inf• 3) restrat serwera jeśli będzie taka potrzeba• Jakie drivery mamy zainstalowane?:– sc query type = driver

Nie AU! Chcę updaty z WSUS!

• Jeśli mamy wdrożonego WSUSa to:• Wusa <patch>.msu /quiet

• Odinstalowanie patcha:• Pkgmgr /up /m:<package>.cab /quiet

Remote Management via TS

• Można zarządzać z innego komputera naszym serwerem Core przez Terminal Services.

• Najpierw trzeba włączyć Remote Desktop:– cscript scregedit.wsf /ar 0 > enable RDP– cscript scregedit.wsf /ar 1 > disable RDP– cscript scregedit.wsf /ar /v > ustawienia RDP

Remote Management via TS

• Aby łączyć się z komputerów innych niż Vista (pre-Vista) trzeba wyłączyć enhanced security:

• cscript scregedit.wsf /cs 0

Remote Admnistration via Group Policy

• Konfiguracja firewalla > netsh advfirewall• Nie jest to przyjemne!• Wrzucamy serwer do OU i tworzymy nową

polisę, gdzie konnfigurujemy Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security

Co na następnych zajęciach

• Serwer Core część 2• Instalacja kontrolera domeny na serwerze

Core | konfiguracja DNS |• Instalacja serwera DHCP | konfiguracja• ...

Materiały• http://technet2.microsoft.com/windowsserve

r2008/en/library/47a23a74-e13c-46de-8d30-ad0afb1eaffc1033.mspx?mfr=true

Command - Line Reference• http://technet2.microsoft.com/

windowsserver/en/library/552ed70a-208d-48c4-8da8-2e27b530eac71033.mspx?mfr=true

http://dotcore.pjwstk.edu.plPiotr Pawlik piotr.pawlik@pjwstk.edu.pl

Dziękuję za uwagę