Windows 2008 R2 [Better together]

Transkrypt

1 Windows 2008 R2 [Better together] BranchCache MDT 2010 Bitlocker2Go Active Directory PowerShell 2.0 Failover Clusters AppLocker Offline Files DirectAccess Strona 1 Group Policy

2 Początkowo miał nazwę Blackcomb; w roku 2007 ogłoszono nazwę kodową Windows 7, wkrótce potem oznajmiono, iż pod tą nazwą system ukaże się również oficjalnie. Świat po raz pierwszy usłyszał to w lutym roku Nazwa ta była początkowo przeznaczona dla następcy Microsoft Windows XP, który miał zostać wydany pod koniec roku Windows 7 planowany był w wersjach serwerowej oraz dla stacji roboczych, jednakże w sierpniu roku 2001 wydanie tego systemu zostało przesunięte na lata , a następcą Microsoft Windows XP oficjalnie został Microsoft Windows Vista, określany wtedy nazwą kodową Longhorn. Windows 7 jest oznaczony nazwą kodową "Windows NT 6.1". Oznaczenie to ma na celu zwiększenie kompatybilności programów napisanych na poprzednie wersje systemu z Windows 7. Windows Server 2008 R2 nazwa nowego systemu operacyjnego Microsoftu z linii Windows Server. Windows Server 2008 R2 jest następcą systemu Windows Server Oficjalna premiera Windows Server 2008 R2 zaplanowana jest na 22 października 2009, mimo że system osiągnął status RTM (gotowy do produkcji) już 22 lipca 2009 roku. Początkowo istniały plotki, że nazwa będzie brzmieć Windows Server 7, ale ostatecznie system nazwano 2008 R2. Jest to pierwszy system Microsoftu wydany tylko w wersji 64 bitowej. Strona 2

3 Contents 1 System Windows 2008 R Nowości w R2 - linki Platforma aplikacji sieci Web Platforma wirtualizacji Skalowalnośd i niezawodnośd Zarządzanie Lepiej razem z Windows Aero w Windows Server PowerShell Klastry - migracja Active Directory Recycle-Bin File Classification Infrastructure Zmiany w serwerze CORE Offline Files Zmiany w PKI Konsolidacja serwerów Ulepszenia istniejących scenariuszy Oprogramowanie + usługi Silne uwierzytelnianie Podsumowanie Razem lepiej Zarządzanie serwerem z konsoli Windows Przyłączenie offline do domeny Group Policy AppLocker Podstawy MDT 2008/ Cykl życia systemu operacyjnego Platforma Microsoft Deployment Toolkit Desktop Deployment Planning Services Narzędzie DISM.exe Branch Cache Direct Access...56 Strona 3

4 2.8 Wirtualizacja Technologie Wirtualizacji Microsoft Windows Server Terminal Services Wirtualizacja systemu Windows Server przegląd funkcji Architektura wirtualizacji systemu Windows Server Wirtualizacja sprzętowa Architektura 64-bitowa Wsparcie dla 64-bitowych systemów komputerów wirtualnych Podstawowe narzędzia do planowania własnej wirtualnej infrastruktury Określenie zastosowao Zalecenia dotyczące położenia serwera Konfiguracja maszyny wirtualnej Ograniczenia Wymagania Wirtualizacja - podsumowanie Nowości w klastrach Źródła Index rysunków...76 Strona 4

5 1 System Windows 2008 R2 1.1 Nowości w R2 - linki Pełen opis nowości znajduje się tutaj: oraz w treści niniejszego opracowania w poszczególnych rozdziałach. Windows Server 2008 R2 zawiera nowe wartościowe funkcjonalności oraz wydajne usprawnienia jądra systemu Windows Server, pozwalające organizacjom wszelkich rozmiarów na poprawę kontroli, dostępności i elastyczności na użytek zmieniających się potrzeb biznesowych. Nowe narzędzia sieci Web, technologia wirtualizacji, ulepszenia skalowalności oraz narzędzia zarządzające pomagają oszczędzid czas, zredukowad koszty i zapewnid niezawodne podstawy dla infrastruktury informatycznej (IT). Windows Server 2008 R2 zawiera pięd podstawowych filarów, które udostępniają rozszerzenia istniejących funkcji oraz nowe właściwości: Platforma aplikacji sieci Web Windows Server 2008 R2 zawiera liczne usprawnienia, które powodują, że wersja ta stanowi najbardziej rozbudowaną i niezawodną platformę aplikacji sieci Web opartą na Windows Server. Obejmują one uaktualnioną rolę serwera Web, Internet Information Services (IIS) 7.5 oraz lepsze wsparcie dla platformy.net w instalacjach Server Core. Przeczytaj podsumowanie nowych funkcji w platformie aplikacji Web oraz IIS 7.5 (j. ang.) Platforma wirtualizacji Wirtualizacja odgrywa coraz większą rolę w dzisiejszych centrach informatycznych. Korzyści oferowane przez wirtualizację pozwalają organizacjom radykalnie zmniejszyd obciążenia i zużycie energii. Windows Server 2008 R2 udostępnia następujące typy wirtualizacji: wirtualizację systemów klienckich i serwerowych zapewnianą przez rolę Hyper-V oraz wirtualizację na warstwie Prezentacji przy użyciu Remote Desktop Services (Usługi pulpitu zdalnego). Przeczytaj podsumowanie nowych cech dotyczących wirtualizacji (j. ang.) Skalowalność i niezawodność Windows Server 2008 R2 jest w stanie podoład obciążeniom o niespotykanej dotąd wielkości, zapewniając jednocześnie dynamiczną skalowalnośd oraz dostępnośd i niezależnośd przekraczającą znane granice. Dostępna jest cała grupa nowych i uaktualnionych funkcji, w tym wykorzystanie zaawansowanych architektur procesorów, zwiększona zdolnośd podziału systemu na komponenty oraz poprawiona wydajnośd i skalowalnośd aplikacji i usług. Przeczytaj podsumowanie nowych cech dotyczących skalowalności i niezawodności (j. ang.) Zarządzanie Bieżące zarządzanie serwerami w ośrodkach przetwarzania danych jest jednym z najbardziej czasochłonnych zadao, przed którymi stoją profesjonaliści IT. Dowolna wdrożona strategia zarządzania musi zapewnid obsługę zarówno fizycznego, jak i wirtualnego środowiska. Aby ułatwid poradzenie sobie z tym problemem, Windows Server 2008 R2 zawiera nowe funkcje, redukujące Strona 5

6 bieżące zarządzanie systemem Windows Server 2008 R2 i zmniejszające wysiłki ponoszone na typowe, codzienne zadania. Przeczytaj podsumowanie nowych cech dotyczących zarządzania (j. ang.) Lepiej razem z Windows 7 Windows Server 2008 R2 zawiera wiele funkcji, specjalnie zaprojektowanych do współpracy z komputerami klienckimi systemu Windows 7, który jest kolejną, najnowszą wersją klienckiego systemu operacyjnego Windows firmy Microsoft. Przeczytaj podsumowanie, dlaczego Windows Server 2008 R2 lepiej pracuje razem z Windows 7 (j. ang.) 1.2 Aero w Windows Server Aby włączyd interfejs pulpitu Aero w systemie Windows Server 2008 R2, trzeba zainstalowad funkcję Środowisko pulpitu, włączyd usługę Kompozycje, a następnie wybrad kompozycję Aero. Używanie interfejsu Aero może wymagad zaktualizowania sterownika karty wideo. Jeśli sprzęt zainstalowany w komputerze nie obsługuje interfejsu Aero, można wybrad podstawowy schemat kolorów systemu Windows 7, który nie używa przezroczystości ani innych efektów interfejsu Aero. Instalowanie funkcji Środowisko pulpitu w systemie Windows Server 2008 R2: 1. Kliknij przycisk Start, kliknij polecenie Panel sterowania, a następnie w aplecie Programy kliknij polecenie Włącz lub wyłącz funkcje systemu Windows. Jeśli zostanie wyświetlony monit o hasło administratora lub potwierdzenie, wpisz hasło lub potwierdź. 2. W sekcji Podsumowanie funkcji kliknij pozycję Dodaj funkcje. 3. Zaznacz pole wyboru Środowisko pulpitu. W przypadku wyświetlenia monitu o zainstalowanie dodatkowych funkcji kliknij opcję Dodaj wymagane funkcje, po czym kliknij przycisk Dalej. 4. Kliknij przycisk Zainstaluj. Może zostad wyświetlony monit o ponowne uruchomienie komputera. Aby włączyd usługę Kompozycje w systemie Windows Server 2008 R2: 1. Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Usługi. Jeśli zostanie wyświetlony monit o hasło administratora lub potwierdzenie, wpisz hasło lub potwierdź. 2. Kliknij dwukrotnie pozycję Kompozycje. 3. Na liście Typ uruchomienia wybierz pozycję Automatyczny, a następnie kliknij przycisk Zastosuj. 4. W obszarze Stan usługi kliknij przycisk Uruchom, a następnie kliknij przycisk OK. Aby wybrad kompozycję Aero: 1. Kliknij prawym przyciskiem myszy puste miejsce na pulpicie, a następnie kliknij polecenie Spersonalizuj. 2. Kliknij pozycję Kompozycje. 3. W obszarze Kompozycje systemu Aero kliknij kompozycję Aero. Strona 6

7 1.3 PowerShell 2.0 System Windows 7 / Wndows Server 2008 R2 został wyposażony w powłokę Windows PowerShell 2.0, która umożliwia tworzenie skryptów dla usług zdalnych, wliczając w to dostęp do WMI. Łącząc te technologie można uzyskad dane o niezawodności z systemu użytkownika bez konieczności fizycznego odwiedzania jego biura. Poniżej zaprezentowanych zostało kilka przydatnych poleceo: 5 ostatnich komunikatów zdarzeo, dotyczących niezawodności na komputerze: get-wmiobject Win32_ReliabilityRecords -computername property Message select-object -first 5 Message format-list * Dystrybucja zdarzeń, dotyczących niezawodności: get-wmiobject Win32_ReliabilityRecords "EventIdentifier") group-object -property SourceName,EventIdentifier -noelement sort-object -descending Count select-object Count,Name format-table * Najnowszy indeks stabilności dla wielu "USER-PC-2") foreach-object -process { get-wmiobject Win32_ReliabilityStabilityMetrics -computername $_ SERVER", "SystemStabilityIndex") select-object -first 1 SERVER,SystemStabilityIndex format-table } Przegląd graficznej prezentacji indeksu stabilności: get-wmiobject Win32_ReliabilityStabilityMetrics foreach-object -process { $t = ""; for ($i = 0; $i -le $_.SystemStabilityIndex * 5; $i++) { $t = $t + "=" }; $_.EndMeasurementDate + " " + $t } 1.4 Klastry - migracja Kreatora można użyd do migracji ustawieo wielu typów zasobów do klastra z systemem Windows Server 2008 R2. Od trzeciej strony Kreatora migracji można wyświetlid raport poprzedzający migrację, w którym wyjaśniono, czy każdy zasób kwalifikuje się do migracji, i opisano dodatkowe kroki do Strona 7

8 wykonania po uruchomieniu kreatora. Po zakooczeniu działania kreator udostępnia raport, w którym są opisane dodatkowe kroki, które mogą byd wymagane do ukooczenie migracji. Kreator obsługuje migrację ustawieo do klastra z systemem Windows Server 2008 R2 z klastra z dowolnym z następujących systemów operacyjnych: Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Jeśli jest używany nowy magazyn, podczas migracji należy samodzielnie skopiowad lub przenieśd dane i foldery na woluminach udostępnionych. Kreator do przeprowadzania migracji grup zasobów klastrowanych nie kopiuje danych z jednej lokalizacji do drugiej. Identyfikowanie usług lub aplikacji klastrowanych, które można poddad migracji do klastra z systemem Windows Server 2008 R2 Za pomocą Kreatora migracji klastra nie można przeprowadzid migracji ustawieo serwerów zwirtualizowanych, serwerów poczty, serwerów baz danych, serwerów wydruku ani żadnych innych zasobów, które nie są wymienione w poniższych podsekcjach. Dla niektórych z tych aplikacji istnieją inne narzędzia do migracji. Zasoby, dla których Kreator migracji klastra wykonuje większośd kroków migracji lub wszystkie z nich Aby po przeprowadzeniu migracji ustawieo poniższych zasobów do klastra pracy awaryjnej z systemem Windows Server 2008 R2 za pomocą Kreatora migracji klastra można było przełączyd te zasoby w tryb online, może byd konieczne wykonanie kilku dodatkowych kroków. Jeśli jest używany nowy magazyn, podczas migracji należy samodzielnie skopiowad lub przenieśd dane lub foldery z woluminów udostępnionych. Kreator do migracji ustawieo grup zasobów klastra nie kopiuje danych z jednej lokalizacji do drugiej. Zasoby Serwer plików lub Udział plików: Można migrowad ustawienia klastrowanego serwera plików (albo grupę zasobów Udział plików z klastra z systemem Windows Server 2003) i związanych z nim zasobów Dysk fizyczny, Adres IP i Nazwa sieciowa. Podczas migracji z klastra z systemem Windows Server 2003 Kreator migracji klastra automatycznie przekształca wszystkie grupy zasobów Udział plików w pojedynczy klastrowany serwer plików (z wieloma zasobami Udział plików) w systemie Windows Server 2008 R2. Dlatego po migracji niektóre zasoby mogą wyglądad inaczej. W poniższej tabeli podano szczegóły: Zasób widziany w klastrze serwerów z systemem Windows Server 2003 Jeden zasób Udział plików Wiele zasobów Udział plików Zasób Udział plików z katalogiem głównym Zasób po migracji widziany w klastrze pracy awaryjnej z systemem Windows Server 2008 R2 Jeden zasób Serwer plików Wiele zasobów Udział plików w jednym klastrowanym serwerze plików (grupa zasobów) Zasób Rozproszony system plików i zasób Udział Strona 8

9 systemu plików DFS plików (oba w klastrowanym serwerze systemu plików DFS) Dysk fizyczny. Można przeprowadzid migrację ustawieo dla zasobów Dysk fizyczny innych niż zasób kworum. Nie trzeba przeprowadzad migracji zasobu kworum. Po uruchomieniu Kreatora tworzenia klastra oprogramowanie klastra automatycznie wybierze konfigurację kworum, która zapewni najwyższą dostępnośd nowego klastra pracy awaryjnej. W razie potrzeby można zmienid ustawienia konfiguracji kworum dla określonego środowiska. Aby uzyskad informacje na temat zmieniania ustawieo klastra pracy awaryjnej (w tym ustawieo konfiguracji kworum), zobacz temat Modyfikowanie ustawieo klastra pracy awaryjnej. Adres IP. Można przeprowadzid migrację ustawieo zasobu Adres IP innych niż adres IP klastra. Adresy IP kwalifikują się do migracji tylko w ramach tej samej podsieci. Nazwa sieciowa. Można przeprowadzid migrację ustawieo zasobu Nazwa sieciowa innych niż nazwa klastra. Jeśli dla zasobu Nazwa sieciowa jest włączone uwierzytelnianie Kerberos, kreator wyświetli monit o podanie hasła dla konta usługi klastrowania używanego przez stary klaster. Zasoby, dla których Kreator migracji klastra może nie wykonad niektórych kroków migracji Aby po przeprowadzeniu migracji ustawieo poniższych grup zasobów do klastra pracy awaryjnej z systemem Windows Server 2008 R2 za pomocą Kreatora migracji klastra można było przełączyd te zasoby w tryb online, mogą byd wymagane pewne dodatkowe kroki (w zależności od pierwotnej konfiguracji). Raport migracji zawiera informacje o wymaganych krokach (o ile takie są) dla tych grup zasobów: Usługa DHCP Obszar nazw rozproszonego systemu plików (DFS-N) Koordynator transakcji rozproszonych (DTC) Usługa Internet Storage Name (isns) Kolejkowanie wiadomości Usługa NFS Usługa WINS Aplikacja ogólna Skrypt rodzajowy Usługa ogólna Kreator udostępnia raport, w którym są opisane dodatkowe kroki pozwalające ukooczyd migrację. Na ogół kroki, które należy wykonad, obejmują: Zainstalowanie ról lub funkcji serwera potrzebnych w nowym klastrze (we wszystkich węzłach). Skopiowanie na nowy klaster lub zainstalowanie na nim wszelkich skojarzonych aplikacji, usług lub skryptów (we wszystkich węzłach). Zagwarantowanie, że wszelkie dane zostały skopiowane. Zapewnienie statycznych adresów IP, jeśli nowy klaster znajduje się w innej podsieci. Zaktualizowanie lokalizacji ścieżek dysków dla aplikacji, jeśli nowy klaster używa innej litery woluminu. Strona 9

10 Ustawienia tych zasobów oraz ustawienia zasobów Adres IP i Nazwa sieciowa znajdujących się w tej grupie zasobów zostaną poddane migracji. Jeśli w grupie zasobów występuje zasób Dysk fizyczny, ustawienia tego zasobu również zostaną poddane migracji. Scenariusz migracji A: Migrowanie klastra zawierającego wiele węzłów do klastra z nowym sprzętem W tym scenariuszu migracji występują trzy fazy. 1. Zainstalowanie co najmniej dwóch nowych serwerów, uruchomienie sprawdzania poprawności i utworzenie nowego klastra. W tej fazie, gdy stary klaster kontynuuje działanie, należy zainstalowad system Windows Server 2008 R2 i klaster pracy awaryjnej na co najmniej dwóch serwerach. Należy utworzyd sieci, które będą używane przez serwery, i podłączyd magazyn. Następnie należy uruchomid cały zestaw testów sprawdzania poprawności klastra, aby się upewnid, że sprzęt i ustawienia sprzętu mogą obsługiwad klaster pracy awaryjnej. Na koniec należy utworzyd nowy klaster. W tym momencie użytkownik ma dwa klastry. Strona 10 Dodatkowe informacje na temat podłączania magazynu. Jeśli nowy klaster jest podłączony do starego magazynu, należy udostępnid co najmniej dwie jednostki LUN lub dyski tym serwerom. Tych jednostek LUN lub dysków nie wolno udostępniad żadnym innym serwerom. (Te jednostki LUN lub dyski są niezbędne do sprawdzania poprawności i dla monitora dysku, który jest podobny do zasobu kworum w systemie Windows Server 2003, ale nie jest z nim identyczny). Po podłączeniu nowego klastra do nowego magazynu należy udostępnid temu klastrowi tyle dysków lub jednostek LUN, ilu będzie potrzebował. Kroki tworzenia klastra są opisane w temacie Lista kontrolna: Tworzenie klastra pracy awaryjnej. 2. Przeprowadzenie migracji ustawieo do nowego klastra i określenie sposobu udostępnienia istniejących danych nowemu klastrowi. Po zakooczeniu działania Kreatora migracji klastra wszystkie zasoby, które zostały poddane migracji, będą w trybie offline. Na tym etapie należy je pozostawid w trybie offline. Nowy klaster pozostanie w trybie online i będzie nadal obsługiwad klientów. Jeśli nowy klaster będzie używał starego magazynu, należy zaplanowad sposób udostępnienia mu tego magazynu, a jednocześnie należy pozostawid stary klaster podłączony do tego magazynu do momentu, kiedy będzie można wykonad przejście ze starego do nowego klastra. Jeśli nowy klaster będzie używał nowego magazynu, należy skopiowad odpowiednie foldery i dane do tego magazynu. 3. Przejście ze starego klastra do nowego klastra. Pierwszy krok przejścia to przełączenie usług i aplikacji klastrowanych w tryb offline na starym klastrze. Jeśli nowy klaster używa starego magazynu, należy wykonad plan polegający na zablokowaniu dostępu do jednostek LUN i dysków staremu klastrowi i udostępnieniu ich nowemu klastrowi. Następnie, bez względu na to, którego magazynu używa nowy klaster, należy przełączyd usługi i aplikacje klastrowane w tryb online na nowym klastrze. Scenariusz migracji B: Migrowanie klastra zawierającego dwa węzły do klastra z tym samym sprzętem W tym scenariuszu migracji występują cztery fazy:

11 1. Zainstalowanie nowego serwera i uruchomienie wybranych testów sprawdzania poprawności. W tej fazie podczas rozpoczynania procesu migracji należy umożliwid działanie systemu Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 i usługi klastrowania na jednym serwerze. Drugi serwer należy wykluczyd ze starego klastra, a następnie zainstalowad na nim system Windows Server 2008 R2 oraz funkcję Klaster pracy awaryjnej. Na tym serwerze należy wykonad wszystkie testy, które wykona Kreator sprawdzania poprawności konfiguracji. Kreator rozpozna, że jest to jeden węzeł bez magazynu, i ograniczy liczbę przeprowadzanych testów. Testy wymagające dwóch węzłów (na przykład testy porównujące węzły lub symulujące pracę awaryjną) nie zostaną uruchomione. Należy zauważyd, że testy uruchamiane na tym etapie nie udostępniają pełnych informacji na temat możliwości działania magazynu w klastrze z systemem Windows Server 2008 R2. Jak opisano wcześniej w tej sekcji, później należy uruchomid Kreatora sprawdzania poprawności konfiguracji, korzystając ze wszystkich testów. 2. Utworzenie z nowego serwera klastra z jednym węzłem i przeprowadzenie do niego migracji ustawieo. Z nowego serwera należy utworzyd klaster z jednym węzłem i przeprowadzid do niego migrację ustawieo przy użyciu Kreatora migracji, ale na nowym klastrze trzeba utrzymad zasoby klastrowane w trybie offline. 3. Przełączenie nowego klastra w tryb online i udostępnienie mu istniejących danych. Usługi i aplikacje na starym klastrze należy przełączyd w tryb offline. Jeśli nowy klaster będzie używad starego magazynu, należy pozostawid dane w starym magazynie i udostępnid dyski lub jednostki LUN nowemu klastrowi. Jeśli nowy klaster będzie używad nowego magazynu, należy skopiowad foldery i dane na odpowiednie jednostki LUN lub dyski w nowym magazynie i upewnid się, że te jednostki LUN lub dyski są widoczne dla nowego klastra (i nie są widoczne dla żadnych innych serwerów). Należy się upewnid, że ustawienia usług i aplikacji, które zostały poddane migracji, są prawidłowe. Usługi i aplikacje w nowym klastrze należy przełączyd w tryb online, a następnie trzeba sprawdzid, czy zasoby działają i mają dostęp do magazynu. 4. Dołączenie drugiego węzła do nowego klastra. Stary klaster należy zniszczyd i zainstalowad na tym serwerze system Windows Server 2008 R2 oraz funkcję Klaster pracy awaryjnej. Następnie należy podłączyd ten serwer do sieci i magazynu używanych przez nowy klaster. Jeśli odpowiednie dyski i jednostki LUN nie są jeszcze dostępne dla obu serwerów, należy je udostępnid. Dla obu serwerów należy uruchomid Kreatora sprawdzania poprawności konfiguracji i upewnid się, że wszystkie testy zostały zaliczone pomyślnie. Na koniec należy dodad drugi serwer do nowego klastra. 1.5 Active Directory Recycle-Bin Kosz na śmieci jest bardzo prostym pomysłem, dającym trochę dodatkowego czasu w przypadku omyłkowego usunięcia obiektu. Mechanizm taki istnieje od niepamiętnych czasów w systemie operacyjnym (dokładniej od 1995 roku ponieważ pierwszą wersją systemu, która implementowała kosz był Windows 95+, jest taki mechanizm w Outlooku (tu nawet podwójny bo są zarówno Strona 11

12 elementy usunięte jak i możliwośd przywracania tych usuniętych-z-usuniętych+... i w wielu innych aplikacjach. Jest też taki mechanizm w Active Directory tzw. tombstone dla obiektów. Po usunięciu obiektu jest on grzebany w czeluściach bazy Active Directory a dokładniej w niewidocznym kontenerze systemowym CN=Deleted Objects. Od wersji Windows 2003 SP1 mamy 180 dni na przywrócenie obiektu. Jest jednak pewien problem pogrzebany obiekt ma zachowywane tylko częściowe informacje większośd, jak na przykład przynależnośd do grup jest tracona. Szczegółowe informacje na temat pogrzebanych obiektów *tombstoned objects+ można zleźd na stronach TechNet. Windows Server 2008 wprowadził możliwośd robienia migawek bazy Active Directory a następnie uruchomienia dodatkowej instancji bazy Active Direcotry w trybie tyko do odczytu. Dzięki temu usprawnieniu, po odzyskaniu skasowanego obiektu, można przepisad resztę atrybutów z kopii zapasowej. Mechanizm ten nosi nazwę Active Directory Mounting Tool a po szczegóły odsyłam znów do stron TechNetu. Cały czas jest to jednak mało wygodne i wymaga wykonania całkiem sporej ilości kroków, aby w pełni przywrócid pogrzebany obiekt do życia. Wersja R2 znacząco zmienia mechanizm pochówku obiektów pozwala na przechowywanie ich wraz ze wszystkimi danymi, jakie były z nimi związane przed usunięciem. Dzięki temu mechanizm wprowadzony w wersji R1 traci znaczenie wystarczy wiedzied w jaki sposób odzyskad obiekt ze śmietnika ponieważ interfejsu aka Recycle Bin znanego z pulpitu systemu nie należy się spodziewad... chociaż nie jest to dużo bardziej skomplikowane - Odzyskiwad obiekty można z linii poleceo oraz za pomocą narzędzia ldp.exe. W wersji R2 jest jeszcze jedna nowośd, która znacząco ułatwia życie administratora konsola PowerShellv2 dla Active Directory Domain Services. Wraz z instalacją AD DS dostarczany jest cały przybornik narzędzi skryptowych w PowerShell (commandlets), które pozwalają wykonad wszystkie czynności z linii poleceo. Jest również skrypt do odzyskiwania obiektów usuniętych dzięki czemu procedura odzyskania nieco się upraszcza, i nie trzeba przebijad się przez mało intuicyjne narzędzie jakim jest ntdsutil. Można powiedzied, że jest to kosz na śmieci z linii poleceo. Aby można było skorzystad z opisywanej funkcjonalności domena musi mied poziom funkcjonalny Windows 2008 R2 niestety poprzednie wersje nie będą potrafiły z kosza skorzystad. W pierwszym kroku należy włączyd mechanizm ponieważ nawet w czystej instalacji 2008 R2 nie jest on automatycznie włączany. Do tego celu wykorzystuje się commandlet Enable- ADOptionalFeature. Ponieważ kosz można włączyd dla domeny lub całego lasu jednym z obligatoryjnych parametrów jest podanie zakresu (Forest lub Domain): Enable-ADOptionalFeature Target nazwa.domeny.root Scope ForestOrConfigurationSet Identity Recycle Bin Feature Uwaga! Po włączeniu tego mechanizmu nie ma już możliwości wycofania zmiany! Bez zbędnej beletrystyki instrukcja step-by-step która pozwoli przetestowad funkcjonalnośd kosza. Przedstawione poniżej skrypty można bezpośrednio skopiowad i wkleid, ponieważ są napisane uniwersalnie nie wykorzystując konkretnych nazw domeny. Strona 12

13 1. import cmdlet ów (skryptów PowerShell) dla AD (można również z narzędzi administracyjnych uruchomid konsolę Active Directory Powershell+: import-module ActiveDirectory 2. Podniesienie poziomu lasu i domeny: if ((Get-ADDomain -Current loggedonuser).domainmode -notlike "windows2008r2domain") {Set-ADDomainMode -Identity (Get-ChildItem -path Env:\USERDNSDOMAIN).value -DomainMode Windows2008r2domain} if ((Get-ADForest -Current loggedonuser).forestmode -notlike "windows2008r2forest") {Set-ADForestMode -Identity (Get-ChildItem -path Env:\USERDNSDOMAIN).value -ForestMode windows2008r2forest} 3. Włączenie funkcjonalności kosza: Enable-ADOptionalFeature recycle bin feature scope ForestOrConfigurationSet target (Get-ChildItem -path Env:\USERDNSDOMAIN).value 4. Założenie OU: New-ADOrganizationalUnit -Name "do testow" 5. Założenie grupy: New-ADGroup -Name "GrupaA" -SamAccountName "GrupaA" -GroupScope Global -GroupCategory Security -Path (Get-ADOrganizationalUnit -LDAPFilter '(name=do testow)').distinguishedname 6. Założenie użytkownika: New-ADUser -SamAccountName "Uzytkownik1" -AccountPassword (ConvertTo-SecureString "P@ssw0rd" -asplaintext -force) -Name "Uzytkownik1" -Surname "Nexois" -GivenName "Nataniel" -Enabled $true -ChangePasswordAtLogon $false -Title "TRASHBIN" -Description "uzytkownik do testow smietnika" -Path (Get-ADOrganizationalUnit -LDAPFilter '(name=do testow)').distinguishedname 7. Dodanie użytkownika do grupy: Add-ADGroupMember -Identity grupaa -member Uzytkownik1 8. Sprawdzenie parametrów/poprawności: Get-ADUser Uzytkownik1 -Properties * lub za pomocą ADUaC: Strona 13

14 Rysunek 1. Sprawdzenie parametrów/poprawności. 9. Usunięcie użytkownika: Remove-ADUser Uzytkownik1 10. Wyszukanie użytkownika zakooczone niepowodzeniem: Get-ADUser Uzytkownik1 -Properties * 11. Wyszukanie wraz z elementami usuniętymi; widad, że obiekt jest w śmietniku: Get-ADObject -Filter 'name -like "Uzytkownik1*"' IncludeDeletedObjects 12. Odzyskanie użytkownika: Strona 14 Rysunek 2. Elementy usunięte. Get-ADObject -Filter 'name -like "Uzytkownik1*"' -IncludeDeletedObjects restore- ADObject

15 Przedstawione skrypty to tylko mała częśd tego, co jest załączone wraz z systemem do zarządzania Active Directory. Aby wyświetlid dostępne polecania związane z Active Directory można użyd polecenia Get-Help *ad*. Wyświetli to wszystkie polecenia zawierające znaki ad czyli trochę więcej niż potrzeba. Jeśli nie miałe(a)ś do tej pory do czynienia z PowerShell, początki będą za pewne trudne i może się wydawad, że stary cmd.exe był wygodniejszy. To są jednak tylko pozory dzięki świetnej pomocy (Get-Help, help] z licznymi przykładami i olbrzymimi możliwościami jakie daje PS, można poważyd się o stwierdzenie, że cmd.exe powinno byd z systemu jak najszybciej usunięte. Celem artykułu nie jest nauka PowerShell, a tylko krótkie przedstawienie możliwości, jednak krótkie wyjaśnienia dla początkujących: (Get-ChildItem -path Env:\USERDNSDOMAIN).value jest odpowiednikiem %USERDOMAIN% z cmd.exe. Składnia trochę dłuższa, ale większe możliwości wiążą się przeważnie z trochę bardziej zagmatwanym sposobem użycia. Warto zwrócid uwagę, że Get- Childitem jest uniwersalną metodą, która pobiera obiekty potomne dowolnego obiektu tutaj providera Environment. podczas podnoszenia poziomu funkcjonalnego lasu została dodana funkcja warunkowa: if ((Get-ADDomain -Current loggedonuser).domainmode -notlike "windows2008r2domain") można ją oczywiście pominąd. Przykład ma na celu zademonstrowanie dodatkowo metody, w jaki sposób można obecny poziom zweryfikowad. ciekawostką, na którą warto również zwrócid szczególną uwagę jest typ SecureString czyli zakodowany ciąg znaków. Ten typ zapewnia, że dane typu hasła są przesyłane przez PS zaszyfrowane. Aby zmusid do automatyzacji z linii poleceo należy neleży wykorzystad funkcję (ConvertTo-SecureString "P@ssw0rd" -asplaintext -force) Teraz instrukcja dla osób preferujących pracę z okienkami, czyli przy pomocy narzędzia ldp.exe. Opisywane będzie samo odzyskanie a więc zakładam iż: włączona jest funkcjonalnośd śmietnika *opisywana wyżej+ założony został jakiś użytkownik i miał ustawione różne parametry *np. memberof, displayname, title, etc. sdfsdfg] użytkownik został usunięty Na początek należy uruchomid ldp i dodad rozszeżenie, umożliwiające zobaczenie kontenera usuniętych obiektów: uruchom ldp.exe z menu connections wybierz opcję bind zależnie od tego, jako kto jesteś zalogowany(a) można wybrad opcję Bind as currently logged user lub with credentials z menu options wybierz Controls z dostępnej listy Load Predefined wybierz Return Deleted Objects i zatwierdź OK Strona 15

16 Rysunek 3. Opcje Load Predefined naciśnij ctrl-t *lub wybierz z menu view tree] Rysunek 4. Menu Tree View wybierz kontener cn=deleted Objects jeśli wszystko było wykonane prawidłowo będzie się tam znajdował obiekt, który został usunięty Strona 16

17 Rysunek 5. Usunięty obiekt. zaznacz usunięty obiekt i naciśnij cltr-m [PGM -> Modify + w polu Edit Entry Attribute wpisz isdeleted w części Operations wybierz Delete i zatwierdź enter W polu Edit Entry Attribute wpisz distinguishedname w okienku wartości wpisz oryginalną nazwę obiektu np. cn=uzytkownik1,dc=do testow,dc=w2k8r2,dc=domain w części Operations wybierz Replace i zatwierdź enter Upewnij się, że zaznaczona jest opcja Extended Strona 17

18 Rysunek 6. Opcje Modify. zatwierdź enterem i naciśnij RUN Obiekt powinien pojawid się z powrotem, gotowy i ze wszystkimi parametrami. 1.6 File Classification Infrastructure Reliance on data & storage resources has continued to grow in importance for most organizations. CIOs are facing increased regulations and data leakage concerns and IT administrators face the steadily growing challenge of overseeing larger and more complex storage infrastructures while simultaneously being tasked with the responsibility to ensure Total Cost of Ownership (TCO) is maintained at reasonable levels. Managing storage resources isn t just about the volume or availability of data anymore it s also about the enforcement of company policies and knowing how storage is utilized to enable efficient utilization and mitigate risk. The amount of data companies host will continue to grow and this will necessitate the ongoing need for sound strategic planning and proper responses to organizational changes. File Classification Infrastructure Windows Server 2008 R2 File Classification Infrastructure provides insight into your data to help you manage your data more effectively, reduce costs and mitigate risks by providing a built-in solution for file classification allowing administrators to automate manual processes with predefined policies based on the data s business value. Also provided is an extensible infrastructure upon which ISVs can build end-to-end solutions that enable organizations to perform advanced classification and data management helping enable Microsoft partners to deliver rich classification solutions. Provides Managerial Insight Strona 18

19 Today, since there is no real insight into the business value of the files, it is very hard to translate business requirements such as: expire all stale files or better protect all the important files. By being able to both automatically and manually classify files according to pre-defined rules, organizations can manage their data more effectively to decide what should be retained and where should it be stored. This reduces costs of storage and mitigates risks for exposure of sensitive data. Built-in File Classification Rules With the functionality built into the Windows Server, administrators can classify files based on content and location so that the files in File Servers can be more intelligently protected and managed based upon existing business taxonomy. The organization s files are classified allowing for a number of scenarios: Identify sensitive data on public servers. Automated expiration of stale data saving time and resources normally spent managing the data. Use custom IT scripts for example: Move low business impact files to more affordable storage hardware. Use third party software integration such as: Optimize backup SLAs. In each case the Windows File Classification Infrastructure helps improve the quality of file management by allowing file management based on business value. Enables Partners to Deliver Rich Classification Solutions The Windows File Classification Infrastructure provides an extensible infrastructure that enables ISVs to build rich end to end solutions for classifying files and applying policy based on classification. The infrastructure helps bridge different ISV offerings by persisting the file classification so products that classify files can work with products that consume the file classification. For example if a data leakage prevention product classifies files as containing personal information then a backup product can back it up to an encrypted store instead of the regular store. IT administrators can build in-house solutions that plug-into the Classification Infrastructure and interoperate with ISV product offerings. These products and solutions will leverage File Classification to reduce cost and risk and bring GRC (Governance Risk and Compliance) and IT-GRC solutions to the organization s file infrastructure. 1.7 Zmiany w serwerze CORE The Server Core installation option of Windows Server 2008 R2 includes support for additional server roles and features. Server Core installations of Windows Server 2008 R2 now use the Deployment Image Servicing and Management (DISM) tool to install and uninstall server roles. The following changes are available in Windows Server 2008 R2: Strona 19

20 In addition to the server roles available in Server Core installations of Windows Server 2008, the following are available: The Active Directory Certificate Services (AD CS) role The File Server Resource Manager component of the File Services role A subset of ASP.NET in the Web Server role In addition to the Windows features available in Server Core installations of Windows Server 2008, the following features are available:.net Framework A subset of.net Framework 2.0 A subset of.net Framework 3.0, including Windows Communication Foundation (WCF) and Windows Workflow Foundation (WF) A subset of.net Framework 3.5, including WF additions from.net Framework 3.5 and.net Language-Integrated Query (LINQ) Windows PowerShell, including cmdlets for Server Manager and the Best Practices Analyzer Windows-on-Windows 64-bit (WoW64) The Removable Storage feature has been removed. You can remotely configure a server running a Server Core installation of Windows Server 2008 R2 by using Server Manager. 1.8 Offline Files The Offline Files feature allows you to designate files and folders stored on network shared folders for use even when the network shared folders are unavailable (offline); for example, when a mobile user disconnects a laptop computer from your intranet and works from a remote location. In Windows Server 2008 and Windows Vista, the Offline Files feature was configured for online mode by default. In Windows Server 2008 R2 and Windows 7, the Offline Files feature supports transitioning to offline mode when on a slow network by default. This helps reduce network traffic while connected to your intranet because the users are modifying locally cached copies of the information stored in the Offline Files local cache. However, the information stored in the Offline Files local cache is still protected from loss because the information is synchronized with the network shared folder. 1.9 Zmiany w PKI Niniejszy artykuł został oparty na wstępnych, nieopublikowanych jeszcze wersjach produktów. Podane w nim informacje mogą ulec zmianie. Wydaje mi się, jakby to było zaledwie wczoraj, kiedy pisałem swój artykuł zatytułowany PKI Enhancements in Windows (Udoskonalenia infrastruktury PKI w systemie Windows). Artykuł ten ukazał się w 2007 roku, w sierpniowym wydaniu czasopisma TechNet Magazine i poświęcony był pewnym innowacjom oferowanym przez system Windows Vista i Windows Server Innowacje te obejmowały takie rzeczy, jak ulepszenia interfejsu użytkownika używanego w procesie rejestrowania certyfikatów oraz nowe możliwości protokołu OCSP (Online Certificate Status Protocol). Wprawdzie ulepszenia te były wartościowe i zostały dobrze przyjęte przez użytkowników, ale każdy chyba Strona 20

21 przyzna, że z perspektywy pracowników działu IT były to w rzeczywistości jedynie zmiany inkrementalne. System Windows 7 oferuje natomiast takie ulepszenia infrastruktury PKI, które pozwalają na znaczną poprawę komfortu pracy użytkowników oraz na realizowanie nowych, bardzo złożonych scenariuszy, przy jednoczesnym obniżeniu kosztów eksploatacyjnych. Ulepszenia wprowadzone w systemie Windows 7 oraz Windows Server 2008 R2 koncentrują się wokół czterech głównych obszarów (pokazanych na rysunku 1): Konsolidacja serwera. Ulepszenia z tej grupy pozwalają organizacjom na zmniejszenie całkowitej liczby urzędów certyfikacji (CA - certificate authority), potrzebnych do spełnienia istniejących wymagao biznesowych. Ulepszenie istniejących scenariuszy. Te ulepszenia koncentrują się na takich elementach, jak oferowanie pełniejszej obsługi protokołu SCEP (Simple Certificate Enrollment Protocol - Prosty protokół rejestrowania certyfikatów) oraz dołączenie do systemu programu Best Practices Analyzer (BPA). Oprogramowanie + usługi. Te ulepszenia mają na celu umożliwienie niezależnego rejestrowania certyfikatów użytkowników i urządzeo, niezależnie od granic sieci oraz używanych dostawców certyfikatów. Silne uwierzytelnianie. Ten obszar koncentruje się na ulepszeniach poprawiających komfort korzystania z kart inteligentnych, wprowadzeniu biometrycznej platformy Windows Biometric Framework, itp. Strona 21 Rysunek 7. Główne obszary ulepszeo infrastruktury PKI. W tym artykule zamierzam przedstawid kilka głównych zmian wprowadzonych w tych obszarach, patrząc na nie z perspektywy pracowników działów IT Konsolidacja serwerów W ciągu ostatnich kilku lat konsolidacja serwerów stała się jednym z dominujących tematów w branży IT. Ujmując rzecz najprościej, polega ona na zmniejszeniu rozmiarów używanego środowiska komputerowego, w taki jednak sposób, by nadal umożliwiało ono, byd może nawet z nawiązką, realizowanie istniejących celów biznesowych. W obecnej erze globalnej ekonomii

22 oszczędności kosztów stały się najważniejszym priorytetem dla wielu grup IT, a konsolidacja serwerów z pewnością może byd jednym ze składników ogólnej strategii oszczędzania. Wprawdzie większośd organizacji nie posiada dużej liczby urzędów certyfikacji, ale wiele firm używa większej liczby takich urzędów niż wynikałoby to wyłącznie z wymaganej przepustowości w wystawianiu nowych certyfikatów. Inaczej mówiąc, wiele firm posiada urzędy certyfikacji, które przeważnie nie są w pełni wykorzystane i ich możliwości zwyczajnie się marnują. Istnieją dwie główne przyczyny takiego niepełnego wykorzystywania możliwości istniejących urzędów certyfikacji. Po pierwsze, niektóre organizacje mogą wymagad stosowania osobnych urzędów certyfikacji z przyczyn prawnych lub z powodu obranej polityki bezpieczeostwa. Częśd klientów decyduje się np. na wystawianie certyfikatów swoim zewnętrznym partnerom za pomocą urzędu certyfikacji, który jest całkowicie odseparowany od urzędów wystawiających certyfikaty dla użytkowników i komputerów wewnętrznych. W takich przypadkach wirtualizacja urzędu certyfikacji za pomocą technologii Hyper-V pozwala wyeliminowad koniecznośd posiadania osobnego komputera dla tego urzędu (chod sam urząd certyfikacji nadal wymaga osobnego zarządzania pomimo tego, że działał jako maszyna wirtualna). Drugą powszechnie spotykaną przyczyną jest fakt, że automatyczne rejestrowanie certyfikatów obsługiwane jest tylko dla scenariuszy ograniczających się do wewnętrznego lasu domen. W szczególności, urząd certyfikacji może automatycznie rejestrowad certyfikaty tylko dla tych podmiotów, które są częścią tego samego lasu domen, do którego należy dany urząd certyfikacji. Nawet w przypadku, gdy na poziomie lasów domen istnieje dwukierunkowa relacja zaufania, korzystanie z funkcji automatycznego rejestrowania certyfikatów wymaga użycia osobnych urzędów certyfikacji. Jedną z nowych funkcjonalności systemu Windows Server 2008 R2 o kluczowym znaczeniu jest możliwośd przeprowadzania automatycznego rejestrowania certyfikatów poprzez istniejące pomiędzy lasami domen dwukierunkowe relacje zaufania, co stwarza potencjalną możliwośd drastycznego zmniejszenia całkowitej liczby potrzebnych w przedsiębiorstwie urzędów certyfikacji. Rozważmy sied typowego przedsiębiorstwa, które przeprowadziło już pewne działania konsolidujące i obecnie posiada jedynie cztery lasy domen: produkcyjny, dla programistów, testowy i brzegowy. W wersjach wcześniejszych niż R2, jeśli chcieliśmy mied możliwośd automatycznego rejestrowania certyfikatów we wszystkich lasach domen, konieczne było posiadanie przynajmniej czterech urzędów wystawiających certyfikaty, nawet jeśli wszystkie lasy domen ufały sobie nawzajem. W wersji R2 całkowitą liczbę wszystkich potrzebnych w tym scenariuszu urzędów certyfikacji można zredukowad do jednego urzędu znajdującego się w jednym z czterech lasów domen i wystawiającego certyfikaty również dla pozostałych lasów domen. W środowiskach o bardziej złożonej architekturze i większej liczbie lasów domen redukcja całkowitej liczby potrzebnych urzędów certyfikacji może byd nawet jeszcze bardziej spektakularna i może zapewniad natychmiastowy zwrot kosztów związanych z przejściem na wersję R2. Możliwośd automatycznego rejestrowania certyfikatów pomiędzy różnymi lasami domen ułatwia rozszerzanie istniejącej infrastruktury PKI, które ma miejsce np. podczas łączenia firm lub przejmowania jednej firmy przez drugą, ponieważ certyfikaty potrzebne dla nowych oddziałów firmy mogą byd wystawiane natychmiast po ustanowieniu relacji zaufania pomiędzy odpowiednimi lasami domen. A ponieważ wdrożenie automatycznego rejestrowania certyfikatów pomiędzy różnymi lasami Strona 22

23 domen polega wyłącznie na wykonaniu zmian w konfiguracji serwera, proces automatycznego rejestrowania certyfikatów można rozpocząd bez wykonywania żadnych zmian na komputerach klienckich i będzie on działad także ze starszymi wersjami systemu operacyjnego, takimi jak np. Windows XP. A więc w jaki sposób działa funkcja automatycznego rejestrowania certyfikatów pomiędzy różnymi lasami domen? Dla użytkowników koocowych funkcjonalnośd ta pozostaje całkowicie niezauważalna. Podobnie jak w każdym innym scenariuszu z automatycznym rejestrowaniem certyfikatów, użytkownik po prostu otrzymuje potrzebny mu certyfikat bez zbędnej interakcji ze swojej strony. Użytkownicy koocowi najprawdopodobniej nigdy się nie dowiedzą, z którego lasu domen pochodzi urząd certyfikacji, a otrzymanie certyfikatu nie wymaga podejmowania żadnych specjalnych działao z ich strony. Dla pracowników działu IT podstawowe elementy składowe infrastruktury PKI są przeważnie takie same, jak w przypadku zwykłego scenariusza z automatycznym rejestrowaniem certyfikatów w obrębie tego samego lasu domen. Zasadnicza różnica polega jednak na tym, że obecnie urząd certyfikacji może przetwarzad żądania otrzymywane z zewnętrznych lasów domen i pobierad potrzebne metadane dotyczące tych żądao z zaufanych kartotek Active Directory. Możliwośd odbierania i poprawnego przetwarzania żądao pochodzących z zaufanego lasu domen jest jedną z kluczowych, nowych funkcjonalności wprowadzonych do wersji R2, umożliwiających działanie tego scenariusza. Oprócz konieczności posiadania urzędu certyfikacji z wersji R2 oraz dwukierunkowej relacji zaufania pomiędzy lasami domen koniecznie jest jeszcze replikowanie szablonów certyfikatów pomiędzy lasem domen, w którym znajduje się urząd certyfikacji, a pozostałymi lasami domen. Firma Microsoft oferuje skrypty programu Windows PowerShell automatyzujące proces tej replikacji, który należy powtarzad po każdej zmianie szablonu. W wielu przypadkach dobrym pomysłem jest automatyczne uruchamianie tego skryptu jako zaplanowanego zadania. Istnieją także dwie inne, mniejsze funkcjonalności, które również są pomocne w konsolidacji serwerów. Jedna z nich polega na tym, że obecnie urząd certyfikacji obsługuje również żądania nietrwałe - są to żądania wystawienia certyfikatu, które nie są zapisywane w bazie danych urzędu certyfikacji. Rozważmy np. Urzędy rejestrowania kondycji ochrony dostępu do sieci (Network Access Protection Health Registration Authorities). Tego rodzaju urzędy certyfikacji mogą wystawiad codziennie po kilka tysięcy certyfikatów, które są ważne tylko przez kilka godzin. Przechowywanie wszystkich tych żądao w bazie danych urzędu certyfikacji ma znikomą wartośd, za to znacznie zwiększa wymagania w zakresie potrzebnej ilości miejsca na dysku. W wersji R2 urząd certyfikacji można skonfigurowad w taki sposób, by tego rodzaju żądania nie były zapisywane w bazie danych, a konfigurację tę można przeprowadzid albo na poziomie urzędu certyfikacji, albo na poziomie szablonu certyfikatu (patrz rysunek 2). Strona 23

24 Rysunek 8. Opcje pozwalające na niezapisywanie certyfikatów w bazie danych. Inną funkcjonalnością zaprojektowaną z myślą o ułatwianiu konsolidacji serwerów jest obsługa wersji Server Core. W wersji R2 rolę urzędu certyfikacji można instalowad na komputerze z wersją systemu Server Core, ale w wersji tej nie są dostępne żadne inne role usług katalogowych dla usługi Active Directory (Active Directory Certificate Services). Po zainstalowaniu urzędu certyfikacji na serwerze w wersji Server Core, urzędem tym można zarządzad albo za pomocą programów narzędziowych działających z poziomu wiersza poleceo, takich jak certutil, albo za pomocą standardowej konsoli zarządzającej MMC, uruchamianej na zdalnym systemie. Należy pamiętad, że w przypadku korzystania ze sprzętowych modułów zabezpieczeo (HSM - Hardware Security Module) konieczne jest sprawdzenie, czy producent tych modułów oferuje dla nich odpowiednie wersje składników integrujących, przeznaczone dla systemu w wersji Server Core Ulepszenia istniejących scenariuszy System Windows 7 oraz Windows Server 2008 R2 zawierają także liczne ulepszenia istniejących już funkcjonalności. Pierwszym z takich ulepszeo jest zmiana atrybutu SKU, pozwalająca na rozróżnianie szablonów certyfikatów. We wcześniejszych wersjach usług certyfikacji dla usługi Active Directory (AD CS), zaawansowane szablony certyfikatów (szablony w wersji 2 i 3) włączające funkcję automatycznego rejestrowania certyfikatów wymagały posiadania urzędu certyfikacji w edycji dla przedsiębiorstw (Enterprise CA). W systemie Windows Server 2008 R2, standardowe urzędy certyfikacji obsługują wszystkie wersje szablonów. Wersja R2 oferuje także pewne ulepszenia w zakresie obsługi protokołu SCEP (Simple Certificate Enrollment Protocol - Prosty protokół automatycznego rejestrowania certyfikatów). Składnik SCEP z wersji R2 obsługuje żądania odnowienia certyfikatów urządzeo oraz możliwośd ponownego wykorzystywania tego samego hasła. Nowym elementem usług certyfikacji dla usługi Active Directory, który został wprowadzony w wersji R2, jest program Best Practices Analyzer - BPA (patrz rysunek 3). Program BPA został stworzony jako narzędzie pozwalające administratorom na łatwe sprawdzanie konfiguracji swoich serwerów pod kątem ich zgodności z zalecanymi konfiguracjami i wskazówkami praktycznymi, zapisanymi w specjalnej bazie danych, utworzonej i utrzymywanej przez firmę Microsoft. Dane pochodzące z działów obsługi klienta wskazują, że w większości przypadków problemy klientów związane z funkcjonowaniem usług certyfikatów dla usługi Active Directory spowodowane były przez Strona 24

25 niewłaściwą konfigurację, a więc program BPA powinien poprawid poziom satysfakcji klientów, ułatwiając im weryfikacje poprawnego skonfigurowania urzędu certyfikacji. Analizator ten bada możliwośd wystąpienia problemów związanych np. z brakiem wskaźników AIA (Authority Information Access) lub OCSP, istnieniem certyfikatów o zbliżającym się terminie ważności lub problemów związanych z przechodnimi relacjami zaufania. W obecnych wersjach systemu Windows wybranie właściwego certyfikatu służącego do uwierzytelniania klienta może byd trudne dla użytkowników koocowych. Jeśli istnieje kilka certyfikatów, które mogą byd używane dla potrzeb uwierzytelniania, system Windows nie ułatwia użytkownikom określenia, który z nich będzie odpowiedni dla danego zastosowania. Prowadzi to do większej liczby zgłoszeo napływających do działów pomocy technicznej i zwiększa koszty obsługi klienta. W systemie Windows 7, interfejs służący do wyboru certyfikatu został znacznie ulepszony, bardzo ułatwiając wybór certyfikatu, który będzie odpowiedni dla danej sytuacji. Zmieniona została także kolejnośd wyświetlania poszczególnych certyfikatów, wspomagając użytkownika w podejmowaniu lepszych decyzji poprzez prezentowanie najbardziej prawdopodobnego certyfikatu dla danej sytuacji jako opcji domyślnej. Ponadto obecnie interfejs użytkownika służący do wyboru certyfikatu rozróżnia certyfikaty zapisane na kartach inteligentnych od certyfikatów przechowywanych w systemie plików, prezentując te pierwsze na początku listy, ponieważ prawdopodobieostwo ich użycia jest większe. Różnice te zostały pokazane na rysunku 4. Należy zaznaczyd, że ulepszone filtrowanie dostępnych certyfikatów zostało wprowadzone do przeglądarki Internet Explorer 8 i jest ono dostępne także we wcześniejszych wersjach systemów operacyjnych (jednak bez zmian w interfejsie użytkownika). Rysunek 9. Uruchamianie nowego analizatora Best Practices Analyzer. Strona 25

26 1.9.3 Oprogramowanie + usługi Rysunek 10. Ulepszony sposób prezentowania certyfikatów W trakcie projektowania systemu Windows 7, zespół zajmujący się tym produktem przeprowadził spotkanie z wieloma użytkownikami największych implementacji infrastruktury PKI, aby poznad ich opinie i sugestie na temat tego, na co należy zwrócid szczególną uwagę w nowej wersji systemu. Przeważająca liczba użytkowników wskazywała na zbyt trudne zarządzanie certyfikatami przekraczającymi granice organizacyjne, co ma np. miejsce w przypadku dwóch różnych firm, będących dla siebie partnerami biznesowymi. Wielu użytkowników mówiło także, że ponieważ efektywne zarządzanie infrastrukturą PKI wymaga specjalnej wiedzy i umiejętności, więc ich zdaniem infrastruktura PKI jest idealnym celem dla ewentualnego outsourcingu. Systemy Windows 7 i Windows Server 2008 R2 oferują nową technologię, która powinna spełnid oba te oczekiwania, ułatwiając dostarczanie certyfikatów poprzez granice organizacyjne i otwierając nowe możliwości biznesowe przed posiadanymi rozwiązaniami PKI. Technologią tą jest rejestrowanie certyfikatów za pomocą protokołu HTTP. Funkcjonalnośd rejestrowania certyfikatów za pomocą protokołu HTTP stanowi zamiennik dla tradycyjnego protokołu opartego na wywołaniach RCP i obiektach DCOM, używanego w poprzednich wersjach systemu do automatycznego rejestrowania certyfikatów (należy zaznaczyd, że podejście oparte na wywołaniach RPC jest nadal dostępne w systemie Windows Server 2008 R2). Funkcjonalnośd rejestrowania certyfikatów za pomocą protokołu HTTP to jednak coś więcej niż tylko protokół automatycznego rejestrowania certyfikatów - jest to naprawdę całkowicie nowe podejście do sposobu oferowania certyfikatów dla podmiotów koocowych, oferujące bardzo elastyczne możliwości uwierzytelniania, niezależnie od tego, gdzie znajdują się te podmioty i czy są nimi komputery zarządzalne. Ten nowy model rejestrowania eliminuje wiele barier występujących zwykle w scenariuszach automatycznego rejestrowania certyfikatów poprzez granice administracyjne i oferuje platformę pozwalającą niezależnym producentom oprogramowania na łatwe wprowadzanie do swoich produktów funkcjonalności automatycznego rejestrowania certyfikatów, bez konieczności instalowania dodatkowego oprogramowania na komputerach klienckich. Strona 26

27 Funkcjonalnośd rejestrowania certyfikatów za pomocą protokołu HTTP implementowana jest za pomocą dwóch nowych protokołów, opartych na protokole HTTP. Pierwszy z nich nosi nazwę Certificate Enrollment Policy Protocol (Protokół zasad rejestrowania certyfikatów) i udostępnia użytkownikom szablony certyfikatów za pomocą sesji protokołu HTTPS. Podmioty koocowe mogą pochodzid z komputerów znajdujących się w osobnych lasach domen, z którymi nie ma żadnych relacji zaufania, a nawet z komputerów nienależących do żadnej domeny. Uwierzytelnianie podmiotów może byd realizowane za pomocą protokołu Kerberos, nazwy i hasła użytkownika lub certyfikatów. Protokół Enrollment Policy Protocol umożliwia użytkownikom sprawdzanie, czy na serwerze dostępne są nowe szablony i generowanie żądao wystawienia certyfikatu, opartych na tych nowych lub zmodyfikowanych szablonach. Protokół Certificate Enrollment Service Protocol (Protokół usług rejestrowania certyfikatów) stanowi rozszerzenie protokołu WS-Trust. Protokół ten jest używany do uzyskiwania certyfikatu po uprzednim określeniu informacji określonych w szablonie certyfikatu. Obsługują one różne elastyczne metody uwierzytelniania i wykorzystuje protokół HTTPS jako protokół transportowy. Rysunek 11. Nowy model rejestrowania certyfikatów. Krok 1. Szablony certyfikatów zapisane w kartotece Active Directory zostają opublikowane na serwerze z działającą usługą Certificate Enrollment Policy Web Service (jest to nowa rola usługi, dostępna w wersji R2). Publikując te szablony administrator korzysta z tej samej konsoli zarządzającej MMC oraz z innych narzędzi, które są mu już dobrze znane. Krok 2. Klient odpytuje usługę za pomocą protokołu HTTPS, sprawdzając listę dostępnych szablonów. Adres URL tej usługi webowej przekazywany jest klientowi za pomocą zasad grupy, skryptu lub ręcznej konfiguracji. Klientem może byd system podłączony do domeny, system znajdujący się u partnera biznesowego lub domowy komputer użytkownika. Krok 3. Klient rozpoznaje certyfikat, którego chciałby użyd do zarejestrowania certyfikatu i przeprowadza faktyczny proces rejestracji przesyłając odpowiednie żądanie do usługi Certificate Enrollment Web Service. Krok 4. Serwer, na którym działa usługa Certificate Enrollment Web Service, przesyła żądanie do urzędu certyfikacji w celu jego przetworzenia. Strona 27

28 Krok 5. Urząd certyfikacji pobiera z kartoteki Active Directory informacje o podmiocie zgłaszającym żądanie (takie jak jego adres lub nazwa DNS), które zostaną umieszczone w wystawianym certyfikacie. Krok 6. Urząd certyfikacji zwraca gotowy certyfikat do usługi Certificate Enrollment Web Service. Krok 7. Usługa Certificate Enrollment Web Service kooczy transakcję przeprowadzaną z klientem za pomocą protokołu HTTPS i przesyła mu podpisany certyfikat. Elastycznośd była jednym z podstawowych założeo branych pod uwagę przy tworzeniu tej nowej usługi i warto podkreślid, w jaki sposób budowa tej usługi pozwala na jej adaptowanie do różnorodnych scenariuszy. Ponieważ proces rejestrowania certyfikatów przeprowadzany jest za pomocą protokołu HTTPS, klienci mogą z łatwością przeprowadzad proces automatycznego rejestrowania certyfikatu z dowolnego miejsca, w tym także z miejsc położonych poza firmową zaporą ogniową lub przy użyciu domowego połączenia internetowego, bez konieczności korzystania z tuneli VPN. Dzięki obsłudze trzech różnych metod uwierzytelniania klienci mogą byd podłączeni do jednej z wewnętrznych domen przedsiębiorstwa, do niezaufanych domen z organizacji zewnętrznych lub w ogóle mogą byd niepodłączeni do żadnej domeny. Ponadto, ponieważ składniki znajdujące się po stronie serwera zostały zaimplementowane jako usługi webowe, mogą one byd instalowane na innym komputerze niż urząd certyfikacji, obsługując także środowiska z podziałem na różne segmenty sieciowe. Oprócz klasycznego scenariusza z automatycznym rejestrowaniem certyfikatów oraz podmiotami, takimi jak użytkownicy i komputery biurkowe, funkcjonalnośd rejestrowania certyfikatów za pomocą protokołu HTTP stwarza także możliwości dostarczania certyfikatów z zaufanych, głównych urzędów certyfikacji. W scenariuszach obejmujących wystawianie użytkownikom certyfikatów typu S/MIME lub wystawianie certyfikatów dla publicznie dostępnych serwerów webowych lub dla innych systemów, w których ważne jest niejawne zaufanie do wystawianych certyfikatów, można również odnosid korzyści z bardziej samodzielnego procesu rejestrowania certyfikatów. Np. wiele organizacji posiadających dużą liczbę serwerów webowych zarządza ręcznie certyfikatami tych serwerów, utrzymując np. arkusz programu Microsoft Office Excel z zapisaną listą nazw poszczególnych serwerów oraz datami ważności ich certyfikatów. Dzięki funkcjonalności rejestrowania certyfikatów za pomocą protokołu HTTP, zaufane główne urzędy certyfikacji mogą oferowad usługę automatycznego dostarczania certyfikatów bezpośrednio na wszystkie posiadane serwery webowe, zwalniając administratorów z obowiązku ręcznego administrowania tymi certyfikatami. Odpowiednie połączenie oprogramowania i usług umożliwia organizacjom wybranie takiego modelu wdrożenia, który będzie najlepiej spełniad ich wymagania, bez potrzeby przejmowania się granicami sieci lub granicami organizacyjnymi Silne uwierzytelnianie System Windows 7 jest pierwszym systemem, który oferuje wbudowaną obsługę urządzeo biometrycznych za pomocą modelu WBF (Windows Biometric Framework). Model WBF, który początkowo koncentrował się na uwierzytelnianiu za pomocą odcisków palców w scenariuszach przeznaczonych dla zwykłych użytkowników, miał za zadanie ułatwid użytkownikom korzystanie z rozwiązao biometrycznych i podnieśd poziom integracji tych rozwiązao. Ujednolicony model sterownika zapewnia jednakowe działanie z punktu widzenia użytkownika na różnych urządzeniach Strona 28

29 i oferuje takie funkcje, jak logowanie się do systemu Windows (zarówno lokalnie, jak i w domenie), kontrola konta użytkownika (UAC - User Account Control) oraz samodzielne wykrywanie urządzeo. Przedsiębiorstwa, które nie chcą korzystad z rozwiązao biometrycznych, mogą wyłączyd model WPA za pomocą odpowiednio skonfigurowanych zasad grupy. Możliwe jest także zezwolenie na używanie rozwiązao biometrycznych w różnych aplikacjach, ale nie do logowania się w systemie. Ponadto rozszerzone zarządzanie urządzeniami pozwala nie tylko zapobiegad instalacji sterownika urządzenia, ale także uniemożliwiad jego używanie. Oprócz ulepszeo w zakresie rozwiązao biometrycznych, system Windows 7 poprawia także komfort korzystania z kart inteligentnych zarówno dla zwykłych użytkowników, jak i dla administratorów. Karty inteligentne są obecnie traktowane jako urządzenia typu Plug and Play, ze sterownikami instalowanymi za pomocą usługi Windows Update. Proces wykrywania i instalowania kart inteligentnych przez podsystem Plug and Play odbywa się jeszcze przed zalogowaniem do systemu, co oznacza, że użytkownicy, którzy muszą się logowad przy użyciu kart inteligentnych, będą to mogli robid, nawet jeśli na danym komputerze takie karty nie były używane nigdy wcześniej. Ponadto proces instalacji nie wymaga posiadania uprawnieo administracyjnych, dzięki czemu może on byd przeprowadzany nawet w środowiskach stosujących zasadę minimalnego poziomu uprawnieo. Mini-sterownik dla kasy kart inteligentnych obsługuje obecnie standard NIST SP , dzięki czemu pracownicy agencji federalnych mogą używad do logowania się w systemie swoich kart PIV (Personal Identity Verification - Osobista weryfikacja tożsamości), bez potrzeby instalowania na komputerach dodatkowego oprogramowania pośredniczącego. W systemie Windows 7 wprowadzono również możliwośd odblokowywania kart inteligentnych w oparciu o dane biometryczne oraz nowe interfejsy API, umożliwiające bezpieczne wstawianie kluczy. System Windows 7 obsługuje także certyfikaty kart inteligentnych typu ECC (Elliptic Curve Cryptography) zarówno na etapie rejestrowania certyfikatów ECC, jak i na etapie wykorzystywania tych certyfikatów podczas logowania Podsumowanie Systemy Windows 7 i Windows Server 2008 R2 oferują jedne z najważniejszych, nowych technologii PKI, od czasu wprowadzenia automatycznych żądao certyfikatów w systemie Windows Ta nowa funkcjonalnośd ułatwia tworzenie infrastruktury PKI, pozwala zarządzad nią w bardziej efektywny sposób oraz zapewnia użytkownikom koocowym większy komfort korzystania z systemu. Systemy Windows 7 i Windows Server 2008 R2 posiadają potężne, nowe możliwości, które pozwalają na bardziej efektywne utrzymywanie infrastruktury PKI, jednocześnie ulepszając w poważnym stopniu funkcję automatycznego rejestrowania certyfikatów. Możliwośd rejestrowania certyfikatów pomiędzy różnymi lasami domen pozwala drastycznie obniżyd całkowitą liczbę wymaganych w danej organizacji urzędów certyfikacji i ułatwia zarządzanie działaniem infrastruktury PKI podczas łączenia firm lub przejmowania jednej firmy przez drugą. Nowy program Best Practices Analyzer ułatwia administratorom sprawdzanie typowych problemów konfiguracyjnych, zanim dojdzie do zatrzymania pracy systemu. Nowe możliwości, takie jak obsługa wersji Server Core lub nietrwałe żądania certyfikatów, pozwalają na łatwiejsze przystosowanie urzędu certyfikacji do potrzeb konkretnych organizacji. Funkcja rejestrowania certyfikatów za pomocą protokołu HTTP otwiera nowe możliwości automatycznego dostarczania certyfikatów, również poza granice sieci lub granice organizacyjne. Strona 29

30 Użytkownicy koocowi odniosą również korzyści z nowych funkcji PKI systemu Windows 7, które ułatwiają wykorzystywanie certyfikatów w codziennej pracy. Ulepszony interfejs wyboru certyfikatu ułatwia użytkownikom wybranie właściwego certyfikatu dla danego zastosowania i szybsze, pomyślne uwierzytelnienie się w systemie. Ulepszenia związane z kartami inteligentnymi, takie jak instalacja sterowników w oparciu o technologię Plug and Play lub natywna obsługa różnych standardów kart inteligentnych, oznacza szybszą możliwośd korzystania z tych kart w systemach użytkowników. Ponadto natywna obsługa rozwiązao biometrycznych zapewnia bardziej jednolity i bezproblemowy interfejs zarówno dla zwykłych użytkowników, jak i dla administratorów. Strona 30

31 2 Razem lepiej 2.1 Zarządzanie serwerem z konsoli Windows 7 Serwery systemu Windows 2008 R2 mogą byd w prosty sposób zarządzane z komputera działającego pod kontrolą systemu Windows 7 beta 1. Jednak najpierw trzeba pobrad zestaw narzędzi RSAT, który dostępny jest za pośrednictwem następującego łącza: Remote Server Administration Tools (RSAT) for Windows 7. Poniżej przedstawiony został przegląd narzędzi, które są pobierane za pomocą powyższego łącza: Narzędzia administracji serwera Server Manager Narzędzia administracji rolami Narzędzia usług AD CS (Active Directory Certificate Services) Narzędzia usług AD DS (Active Directory Domain Services) Narzędzia usług AD LDS (Active Directory Lightweight Directory Services) Narzędzia usługi DHCP Server Narzędzia usługi DNS Server Narzędzia usług plików Narzędzia Hyper-V Narzędzia usług terminalowych Narzędzia administracji funkcjami BitLocker Password Recovery Viewer Narzędzia usługi Failover Clustering Narzędzia zarządzania zasadami grupy Narzędzia usługi NLB (Network Load Balancing) Narzędzia usługi SMTP Server Narzędzia usługi Storage Explorer Narzędzia usługi Storage Manager dla sieci SAN Narzędzia usług Windows System Resource Manager 2.2 Przyłączenie offline do domeny Idea prezentowanego mechanizmu jest prosta: możliwośd dodania do domeny stacji, która nie ma połączenia z AD. Aby stacja została dodana do domeny, operacja musi zostad wykonana w dwóch krokach na kontrolerze domeny musi zostad powołane konto, a stacja kliencka musi zapisad informację o tym, że ma uwierzytelniad się w domenie. Jest to oczywiście bardzo skrócony opis, istotą jest jednak wykonanie czynności po obu stronach inaczej całośd nie ma szansy zadziaład. Nie przez przypadek zostało użyte sformułowanie powoład konto (provision), ponieważ wiąże się to z zapisaniem pewnych informacji o systemie, który to konto reprezentuje w przeciwieostwie do założenia konta, które jest po prostu założeniem obiektu bez żadnej relacji z rzeczywistą stacją. Strona 31

32 Do wymiany informacji musi zostad wykorzystane jakieś medium zastępujące połączenie sieciowe, i w tym przypadku jest to mały plik tekstowy. Co osiągniemy, jeśli włączymy stację dodaną do domeny bezpołączeniowo? nie zostaną pobrane polisy GPO nie będzie można zalogowad się na żadne konto domenowe nie da się skorzystad z żadnych zasobów domenowych A więc jaki jest scenariusz, w którym taka funkcjonalnośd może byd przydatna? Podstawowym zastosowaniem jest wykorzystanie tego mechanizmu podczas powoływania maszyn wirtualnych w centrach danych. Wirtualizacja staje się coraz bardziej powszechna i możliwośd szybkiego utworzenia maszyny, która będzie od razu dodana do domeny z odpowiednią nazwą, może okazad się pomocne. W pierwszym kroku należy 'powoład konto': PS C:\>djoin /provision /domain "w2k8r2.domain" /machine "client01" /savefile "client01.djoin" Nazwa pliku wynikowego może byd dowolna i jest to prosty plik tekstowy, w którym zapisane są zakodowane informacje o haśle konta i nazwie komputera. Ciekawostką i największą zaletą tego rozwiązania jest fakt, że nazwa stacji klienckiej zostanie podczas operacji zmieniona na taką, jaką zdefiniujemy podczas powoływania. Zapewnia to wygodę podczas pracy z szablonami systemów wirtualnych. Podczas tej operacji kontroler domeny musi byd dostępny. Drugi krok można wykonad na dwa sposoby - zależnie od scenariusza. Zacznę od mniej ciekawego - kiedy stacja robocza działa, ale nie ma połączenia z domeną. W takim wypadku należy po prostu wykonad komendę: PS C:\>djoin /requestodj /loadfile client01.djoin /windowspath (Get-Item -path Env:\windir).value /localos System wystarczy teraz zrestartowad i niezależnie od nazwy jaką miał poprzednio - po restarcie mamy gotową do pracy, dodaną do domeny maszynę o zadanej nazwie. Jednak podstawowy scenariusz, gdzie na prawdę widad po co djoin został stworzony, to powoływanie maszyn wirtualnych z szablonu. Systemy zenkapsulowane są w plikach vhd, a Windows 7 posiada nową, bardzo ciekawą funkcjonalnośd - natywne wsparcie dla dysków vhd. Oznacza to, że możemy za pomocą djoin przygotowad maszyny w trybie offline. W tym celu trzeba najpierw podłączyd dysk vhd: PS C:\> diskpart Microsoft DiskPart version Copyright (C) Microsoft Corporation. On computer: W2K8R2BETA Strona 32 DISKPART> select vdisk file="h:\w7.vhd" DiskPart successfully opened the virtual disk file. DISKPART> attach vdisk DiskPart successfully attached the virtual disk file.

33 DISKPART> list volume Volume ### Ltr Label Fs Type Size Status Info Volume 0 E DVD-ROM 0 B No Media Volume 1 D Windows 7 NTFS Partition 149 GB Healthy System Volume 2 C W2k8R2.b7oo NTFS Partition 24 GB Healthy Boot Volume 3 F NTFS Partition 127 GB Healthy DISKPART> exit Leaving DiskPart... PS C:\> dir f: Directory: f:\ Mode LastWriteTime Length Name d :03 PerfLogs d-r :24 Program Files d-r :13 Users d :27 Windows -a :43 24 autoexec.bat -a :43 10 config.sys Dysk F: to wirtualny system Windows 7 w pliku vhd. Teraz można wykonad komendę: PS C:\>djoin /requestodj /windowspath f:\windows /loadfile client01.djoin Loading provision data from file:.\client01.djoin Strona 33 Offline domain join request completed successfully. Warunkiem powodzenia jest, aby komputer, na którym podłącza się dysk, był w domenie oraz aby użytkownik, który dodaje stację, miał do tego uprawnienia. Po wykonaniu dołączenia, należy nie zapomnied odłączyd dysk wirtualny za pomocą diskpart: DISKPART> select vdisk file="h:\w7.vhd" DiskPart successfully opened the virtual disk file. DISKPART> dettach vdisk DiskPart successfully dettached the virtual disk file. DISKPART> exit

34 Leaving DiskPart... Polecenie diskpart można oskryptowad, tworząc plik wsadowy i wykonując je z przełącznikiem -s *ref 1+, dzięki czemu całe rozwiązanie można już dziś w pełni zautomatyzowad. Jeśli zajrzymy do pliku client01.djoin, zobaczymy tam jedynie krzaczki. Okazuje się, że ma on nieskomplikowaną budowę i po wyrzuceniu pierwszych dwóch bajtów, reszta to zakodowane w base64 informacje. Na blogu Matthieu Suiche można przeczytad szczegółowe informacje, oraz pobrad narzędzie dinfo, które wyświetla informacje zawarte w pliku wygenerowanym przez djoin: PS E:\>.\dinfo /loadfile.\client01.djoin dinfo - v Domain Information dinfo utility displays the contents of the provisioning file created by Microsoft djoin.exe tool. Copyright (c) , Matthieu Suiche < Copyright (c) , MoonSols < main: Loading provision data from file:.\client01.djoin main: Blob base64 decoded, unpickling... main: Blob decoded successfully, dumping... Blob version: 1 Blob size: 864 Global Information: lpdomain: w2k8r2.domain lpmachinename: client01 lpmachinepassword: \.AqzuoU.rWTnv@;Z_8iQ jc=p`px&*bycxva'0argwakvd`ka!`vy#i"mlz6pgxlp8z fyow*%rm8xz"efcx7-m X`UT=@]86@Z!- 2VM(Sep0z#YN<uc2ZS DomainDnsPolicy:="" Name:="" w2k8r2="" DnsDomainName:="" w2k8r2.domain="" DnsForestName:="" w2k8r2.domain="" DomainGuid:="" 8bfecf3f b644-32afd280e175="" Sid:="" S ="" Strona 34

35 DcInfo:="" DomainControllerName:="" \\AD.w2k8r2.domain="" DomainControllerAddress:="" \\2002:ac00:1::ac00:1="" DomainControllerAddressType:="" 0x1=""! DomainGuid:="" 8bfecf3f b644-32afd280e175="" DomainName:="" w2k8r2.domain="" DnsForestName:="" w2k8r2.domain="" Flags:="" 0xe00031fd="" DcSiteName:="" w2k8r2-central="" ClientSiteName:="" w2k8r2-central="" Options:="" Options = "0x0" Idealnym rozwiązaniem byłoby napisanie skryptu, który tworzyłby dyski wirtualne przyrostowe z przygotowanego dysku bazowego, następnie by je podłączał, wykonywał djoin i możemy w krótkim czasie stworzyd dowolnie wielkie środowisko wirtualne. Pojawia się tutaj jednak poważny problem: podczas zmiany nazwy, nie jest zmieniany SID systemu. Teoretycznie da się dołączyd do domeny systemy z tym samym SIDem, ale jest to ryzykowne nie ma w zasadzie żadnego dokumentu, który mówiłby jakie będą tego konsekwencje, a z praktyki wiem, że niestety czasem pewne aplikacje działad nie chcą. Należy więc mied nadzieję, że do pojawienia się wersji finalnej, narzędzie zostanie zmodyfikowane tak, żeby podmieniało SID systemu. 2.3 Group Policy Group Policy (Zasady grupy) już od kilku lat obecne w systemach Microsoft Windows ułatwiają administratorom centralne zarządzanie konfiguracją komputerów i ustawieo użytkownika w środowisku usługi katalogowej Active Directory. Możliwości Zasad grupy ewoluowały z każdym kolejnym wydaniem systemu Windows. Pierwsza odsłona technologii pojawiła się w Windows NT jako System Policies, w zasadniczym stopniu Strona 35

36 opierały się na szablonach ADM, które używane były do modyfikacji ustawieo rejestru. System Policies zawierały jednak poważne zwłaszcza patrząc z perspektywy dzisiejszych możliwości - wady jak tzw. problem tatuowania (trwałego zapisania ustawieo w rejestrze, nawet po edycji takiej zasady) czy brak łatwego tworzenia własnych, niestandardowych szablonów ADM. Te i dodatkowe wady spowodowały, że firma Microsoft musiała przystąpid do przebudowania zasad działania System Polices, co faktycznie spowodowało, że w Windows 2000 wprowadzono rewolucję w zakresie jak już oficjalnie nazwano Zasad grupy. To właśnie Windows 2000 jest podstawą potężnych możliwości Group Policy, każdy z nowych systemów Windows, zawierał nowe i udoskonalone polityki w stosunku do Windows 2000, i jak nietrudno się domyślid liczba ustawieo rosła z systemu na system. W Windows 2000 liczba ta wynosiła około 900, w Windows XP już około 1400, Service Pack 2 dla tego systemu przyniósł kolejne 200 ustawieo. Windows Vista i Windows Server to już prawie 2500 dostępnych ustawieo. Dodatkowo, na rynku oferowane były rozwiązania firm trzecich rozszerzające podstawowe możliwości Group Policy. W systemie Windows Server 2008 firma Microsoft dodała Group Policy Preferences, które dodały tysiące nowych ustawieo (obejmujących 20 rozszerzeo klienta). Podstawą Group Policy Preferences było rozwiązanie PolicyMaker firmy DesktopStandard, która w 2006 roku została przejęta przez Microsoft. Zasady grupy umożliwiają zarządzanie konfiguracją lokalnego komputera i jego użytkowników poprzez lokalne obiekty zasad grupy. Do czasu wydania Windows Vista, każdy system Windows posiadał jeden lokalny obiekt zasad, który mógł byd edytowany w celu dostosowania ustawieo na jednym, pojedynczym komputerze. Generowało to pewien problem konfiguracja komputera obejmowała wszystkich użytkowników. Dlatego w Windows Vista pojawiły się trzy odrębne lokalne zasady grupy, które zostały nazwane obiektami Multiple Local Group Policy (MLGPO). MLGPO umożliwiły administratorom hierarchiczne zastosowanie zasad grupy na poziomie komputera i na poziomie użytkownika, oczywiście w kontekście komputera lokalnego. Pierwszy obiekt Group Policy ( Local Computer Policy ), stanowi najniższy poziom w tej hierarchii, pozwala definiowad ustawienia całego komputera lokalnego, co odpowiada możliwościom wcześniejszych wersji Windows. Drugi obiekt, Administrators/Non-Administrators Local Group Policy, pozwala definiowad ustawienia zasad, które zostaną przypisane użytkownikowi na podstawie wyniku weryfikacji, czy konto użytkownika należy bądź nie do lokalnych administratorów. Dzięki temu obiektowi zasad grupy możemy przydzielid osobne polityki dla lokalnych administratorów (jeżeli użytkownik przynależy do lokalnej grupy Administratorzy, dotyczy go obiekt zasad grupy dla grupy Administratorzy), i dla użytkowników spoza grupy Administratorzy (wszyscy użytkownicy spoza grupy Administratorzy). Ostatnia z warstw MLGPO, User-specific Local Group Policy, umożliwia najbardziej precyzyjną kontrolę konfiguracji na poziomie konkretnego użytkownika stosowana najczęściej w przypadkach, gdy użytkownik wymaga konfiguracji wyjątkowej, np. na komputerach publicznych, gdzie konto jest współdzielone pomiędzy wieloma użytkownikami, i ze względów bezpieczeostwa wymagana jest bardzo restrykcyjna konfiguracja. Strona 36

37 Warto również wyróżnid dwie zmiany, które zostały wprowadzone w architekturze Group Policy w Windows Vista i Windows Server 2008 nowy format zapisu szablonów administracyjnych ADMX oraz Central Store, czyli centralna lokalizacja, w której składowane są szablony administracyjne. Nowe szablony administracyjne bazują na języku XML, co daje pewną elastycznośd, plik ADM był przechowywany w ramach szablonu GPT, będącego częścią GPO, co powodowało zbędne zużywanie miejsca na kontrolerze domeny. Dzięki wprowadzeniu nowego formatu, już nic nie musimy przechowywad w obiekcie zasad grupy. Kolejną nowością jest Central Store, centralne miejsce, w którym przechowywane są pliki ADMX, niwelując koniecznośd kopiowania tych plików w każdym z GPO. Central Store umożliwił administratorom stworzenie jednego punktu, w którym przechowywane będą wszystkie pliki szablonów administracyjnych, umożliwiając centralne zarządzanie tymi zasobami, nie obciążając pojemności dyskowej i obniżając znacznie ruch sieciowy poświęcony na replikację pomiędzy kontrolerami. Nim przejdziemy do nowości w Windows 7 i Windows Server 2008 R2, powródmy do Group Policy Preferences. Preferencje zasad grupy oferują 20 rozszerzeo klienta (CSE), które umożliwiają administratorom, nie tylko w sposób łatwy i intuicyjny konfigurowad nowe ustawienia (mapowanie dysków i drukarek, modyfikacje rejestru, zarządzanie zmiennymi środowiskowym i wiele innych), ale dodają możliwości konfiguracji tych aspektów systemu, które były niedostępne za pomocą polityk zasad grupy. Co ważne, preferencje nie narzucają ustawieo, użytkownik może je zmieniad, w przeciwieostwie do polityk zasad grupy, które wymuszają zdefiniowane ustawienia na klientach. Dodatkowo, definiowanie preferencji jest bardzo łatwe, interfejs graficzny jest przejrzysty, najczęściej oparty o czytelny formularz czy kreator. Dodatkową zaletą preferencji zasad grupy jest obsługa aplikacji, które domyślnie nie wspierają polityk zasad grupy. Co istotne, Group Policy Preferences nie znajdziemy w ustawieniach lokalnych zasad grupy. Słowem podsumowania, preferencje zasad grupy są uzupełnieniem dla polityk zasad grupy, i oczywiście mogą byd stosowane równolegle. Systemy Windows 7 i Windows Server 2008 R2 przynoszą kilka nowości w zakresie Zasad grupy. Nim rozpoczniemy przygodę z Group Policy w tych rozwiązaniach, warto ze stron Centrum Pobierania Microsoft pobrad Remote Server Administration Tools (RSAT), który jest zestawem narzędzi niezbędnych przy zdalnym zarządzaniu Windows Server 2008 R2 (i wcześniejszych, włącznie z Windows Server 2003). Po instalacji RSAT, użytkownik uzyska dostęp do Group Policy Management Console (GPMC), która pozwala na zarządzanie zasadami grupy na poziomie domeny. Jeżeli nie zainstalujemy RSAT w Windows 7, będziemy mogli korzystad tylko z Local Group Policy Editor, umożliwiający zarządzanie Group Policy na poziomie lokalnym. Jeżeli użytkownik korzysta z Windows Server 2008 R2, nie zachodzi koniecznośd pobierania RSAT, należy zainstalowad funkcję Group Policy Management poprzez konsolę Server Manager. Pierwszą, i najbardziej kluczową zmianą jest wsparcie dla PowerShell w kontekście zarządzania zasadami grupy administratorzy mogą automatyzowad zadania związane z zasadami grupy np. Strona 37

38 tworzyd, usuwad, importowad obiekty zasady grupy, czy przypisywad konkretne zasady do kontenerów usługi katalogowej Active Directory, wykorzystując cmdlety, spośród 25 udostępnionych w Windows Server 2008 R2. Administratorom umożliwiono również stosowanie skryptów PowerShell przy uruchamianiu/zamykaniu bądź logowaniu/wylogowaniu do/z systemu. Aby wykorzystad potęgę PowerShell, należy zainstalowad pakiet RSAT, który zawiera konsolę Group Policy Management Console (GPMC), wraz z cmdletami. W Tabeli zaprezentowano wszystkie 25 cmdletów dla Group Policy wraz z krótkim opisem. Nazwa Opis Backup-GPO Wykonuje kopię zapasową jednego GPO bądź wszystkich GPO w domenie. Block-GPInheritance Blokuje dziedziczenie dla wskazanej domeny bądź jednostki organizacyjnej. Copy-GPO Kopiuje GPO. Get-GPInheritance Pobiera status własności blokowania dziedziczenia dla wskazanej domeny bądź jednostki organizacyjnej. Get-GPO Pobiera informacje o GPO. Get-GPOReport Generuje raport GPO w formacie HTML lub XML we wskazanej lokalizacji. Get-GPPermissions Pobiera poziom uprawnieo dla wskazanego GPO. Get-GPPrefRegistryValue Pobiera wartośd rejestru, która została ustawiona poprzez jedną lub więcej preferencji. Get-GPResgistryValue Pobiera wartośd rejestru, która została ustawiona poprzez politykę. Get- GPResultantSetofPolicy Przekazuje informacje Wynikowego zestawu zasad (RSoP) dla użytkownika bądź komputera do pliku. Get-GPStarterGPO Pobiera informacje o Starter GPO. Import-GPO Importuje ustawienia Zasad grupy z kopii zapasowej GPO do wskazanego GPO. New-GPLink Przypisuje istniejące GPO do miejsca, domeny bądź jednostki organizacyjnej. New-GPO Tworzy nowe GPO. New-GPStarterGPO Tworzy nowe Starter GPO. Remove-GPLink Usuwa przypisanie GPO do miejsca, domeny bądź jednostki organizacyjnej. Remove-GPO Usuwa GPO. Remove- GPPrefRegistryValue Usuwa wartośd rejestru, która została ustawiona poprzez jedną lub więcej preferencji. Remove-GPRegistryValue Usuwa wartośd rejestru, która została ustawiona poprzez politykę. Rename-GPO Przypisuje nową nazwę wyświetlaną do GPO. Restore-GPO Przywraca GPO korzystając z pliku kopii zapasowej GPO. Set-GPLink Definiuje właściwości dla danego przypisania GPO. Set-GPPermissions Przydziela poziom uprawnieo dla grupy zabezpieczeo bądź użytkownika do GPO. Set-GPPrefRegistryValue Konfiguruje wartośd rejestru dla preferencji rejestru. Set-GPRegistryValue Konfiguruje wartośd rejestru dla polityki. Korzystanie z cmdletów PowerShell znacznie skraca czas wykonywania zadao związanych z Group Policy, np. tworząc nowe GPO, jak w kilku krokach pokazano poniżej. Strona 38

39 Aby utworzyd nowe GPO należy uruchomid PowerShell, np. w menu Start wpisując PowerShell. Po uruchomieniu okna PowerShell za znakiem zachęty, należy wprowadzid komendę importmodule grouppolicy. Następnie wprowadzid polecenie new-gpo nazwa nowego GPO, opcjonalnie dodając dodatkowe parametry, jak StarterGPOName, -Comment, -Domain, -Server, -Name. W Windows 7 i Windows Server 2008 R2 wprowadzono nowe elementy preferencji: Power Plan, Schedulded Task, Immediate Task oraz preferencje dla Internet Explorer 8. W Windows Server 2008 wprowadzono tzw. Starter GPO, czyli szablony, czy też wzorce dla tworzonych obiektów zasad grupy. Tworząc nowe GPO, administrator może wskazad polityki bazowe jako wzorzec, co powoduje, że tworzenie GPO jest po prostu łatwiejsze. Starter GPO mogą byd eksportowane, co ważne są niezwiązane z konkretnym lasem czy domeną, i później wdrażane w innych środowiskach. Wraz z Windows 7 i Windows Server 2008 R2 nie zachodzi potrzeba pobierania Starter GPO ze stron Centrum Pobierania firmy Microsoft, gdyż są już zintegrowane z systemem. W obu systemach domyślnie znajdziemy systemowe Starter GPO dla scenariuszy: Windows Vista Enterprise Client (EC), Windows Vista Specialized Security Limited Functionality (SSLF) Client, Windows XP Service Pack 2 (SP2) EC oraz Windows XP SP2 SSLF Client. Strona 39 Rysunek 12. Starter GPO dostępne w systemie Windows Server 2008 R2. W Windows 7 i Windows Server 2008 R2 dodano również ponad 300 szablonów administracyjnych. Dodatkowo, zmieniono sposób prezentacji wyświetlania właściwości danego szablonu

40 administracyjnego zamiast trzech oddzielnych zakładek, obecnie pozostała tylko jedna, tak jak zaprezentowano na poniższym zrzucie ekranu. Dzięki takiemu rozwiązaniu, administrator ma podgląd wszystkich właściwości i informacji o danym szablonie administracyjnym w ramach pojedynczego okna, co faktycznie pozwala zredukowad czas, jaki należy poświęcid na konfigurację. Dodatkowo, szablony administracyjne zapewniają wsparcie dla dodatkowych typów wartości rejestru QWORD oraz REG_MULTI_SZ. Korzyścią płynącą z dodatkowego wsparcia jest możliwośd używania ustawieo szablonów administracyjnych dla aplikacji, które korzystają z wcześniej wymienionych typów wartości. Nie sposób nie wspomnied o AppLocker, czy ewolucji Software Restriction Policies, będących sposobem na kontrolę nad aplikacjami na stacjach klienckich poprzez ustawienia Zasad grupy. SRP pojawiły się w Windows XP i Windows Server 2003, i niestety nie były wykorzystywane powszechnie w środowiskach IT, zważywszy na pewne poważne wady. Rysunek 13. Właściwości przykładowego szablonu administracyjnego. W Windows 7 i Windows Server 2008 R2 wprowadzono AppLocker, funkcjonalnośd, która celem działania jest bardzo zbliżona do SRP, aczkolwiek od strony użytkowej została bardzo usprawniona. W Windows 7 i Windows Server 2008 R2 kontynuowano ideę rozwijania Zasad grupy. Główną nowością jest możliwośd zarządzania Group Policy z poziomu powłoki skryptowej PowerShell, której wersja druga jest dostępna już po instalacji w Windows 7 i Windows Server 2008 R2. Strona 40

41 W nowych systemach rozszerzono możliwości Zasad grupy dodając nowe polityki, wprowadzając Starter GPO (bez konieczności pobierania), czy dodając nowe szablony administracyjne. 2.4 AppLocker Począwszy od Windows XP i Windows Server 2003 pojawiła się nowośd (SRP), czyli moduł umożliwiający administratorom na zezwalanie, które aplikacje może uruchomid użytkownik - poprzez Zasady Grupy (Group Policy). Software Restriction Policies posiadały jedną wadę, która spowodowała, że to rozwiązanie nie było użytkowane w tak dużym stopniu, w jakim mogłoby funkcjonowad złożonośd. Sama konfiguracja była skomplikowana, po drugie, konfiguracja musiała byd okresowo weryfikowana i najczęściej zmieniana, jako, że każda aktualizacja programu powodowała ciche ominięcie restrykcji (w kontekście roli opartej na kryptograficznym odcisku, ang. Hash rule). W Windows 7 i Windows Server 2008 wprowadzono AppLocker, czyli ewolucję Software Restriction Policies. AppLocker został stworzony, aby naprawid niedogodności, którymi charakteryzowały się Software Restriction Policies celem była łatwośd konfiguracji i łatwośd działania, bez konieczności częstej rekonfiguracji. Software Restriction Policies zostały wprowadzone w Windows XP oraz w równoległej rodzinie systemów serwerowych Windows Server Celem wprowadzenia tej technologii było zapewnienie administratorom spójnego narzędzia do blokowania możliwości uruchomienia aplikacji, skryptów, plików instalacyjnych czy takich elementów, jak kontrolki ActiveX, co przekładało się na podwyższenie standardu bezpieczeostwa na stacjach koocowych, uniemożliwiając użytkownikom instalację nieznanego i niesprawdzonego oprogramowania. Wprowadzanie restrykcji programowych mogło byd wykonywane na podstawie czterech ról (celowo zachowano angielskie nazewnictwo): Hash rule reguła bazująca na danych z kryptograficznego odcisku palca aplikacji. Zastosowanie restrykcji na bazie tej reguły, miało pewne zalety rola obowiązywała niezależnie czy została zmieniona nazwa czy lokalizacja programu. Podstawowa wada reguła obowiązywała tylko dla jednej wersji aplikacji. Certificate rule reguła bazująca na certyfikacie, umożliwiała zdefiniowanie zasady, która zezwalała/blokowała uruchomienie tylko tej aplikacji, która była podpisana certyfikatem (własnym czy firm trzecich). Path rule reguła opierająca się na lokalizacji. Zezwalała/blokowała dostęp tylko do tych aplikacji, które znajdowały się w konkretnym miejscu (folderze). Cenną funkcjonalnością tej reguły była możliwośd odwołania się do systemowego rejestru. Internet Zone rule reguła bazująca na strefie internetowej, z której została pobrana paczka Instalatora Windows (pliki.msi). Pierwszym krokiem, który należało wykonad w celu definicji restrykcji było utworzenie nowej polityki, następnie konfiguracja konkretnych elementów składających się na Software Restriction Policies Enforcement, Designated File Types czy Trusted Publisher. Czy to jest wygodne? Software Restriction Policies jest rozwiązaniem przydatnym, aczkolwiek trudnym w konfiguracji, dlatego warto zainteresowad się nowym AppLocker w Windows 7 i Windows Server 2008 R2. Wraz z Windows 7 i Windows Server 2008 R2 zmieniono podejście do tworzenia i definicji ustawieo restrykcji aplikacji narzędzie musi byd łatwe w obsłudze. Co ważne, AppLocker nie zastępuje Software Restriction Policies, jest ich ewolucją, jest dostępny w wybranych edycjach systemu Strona 41

42 Windows 7 Enterprise oraz Ultimate. Posiadacze niższych edycji (które wspierają Group Policy) mogą nadal korzystad z Software Restriction Policies. AppLocker jest konfigurowany, podobnie jak SRP, poprzez Group Policy. Aby uruchomid interfejs konfiguracji AppLocker, należy uruchomid konsolę Local Group Policy Editor, w celu edycji polityk lokalnych. W sekcji Computer Configuration należy rozwinąd węzeł Windows Settings, następnie Application Control Policies, aż w koocu AppLocker. Rysunek 14. Konsola Local Group Policy Editor - AppLocker Już na pierwszy rzut oka da sie zauważyd, iż interfejs AppLocker jest dużo bardziej przyjazny użytkownikowi, niż SRP. Główną stronę funkcjonalności podzielono na trzy części: Getting Started opisuje AppLocker i zawiera łącza do zasobów dodatkowych, druga Overview wyświetla podsumowanie dot. reguł, trzecia opcje związane z egzekwowaniem danych kolekcji reguł oraz opcja włączenia kolekcji reguł DLL. Restrykcje mogą byd tworzone w obrębie czterech kolekcji reguł: Executable Rules pozwala tworzyd reguły odnoszące się do aplikacji bądź ich zbiorów (plików.exe i folderów zawierających pliki wykonywalne). Windows Installer Rules umożliwia tworzenie reguł związanych z plikami instalatora Windows (.msp oraz.msi). Script Rules umożliwia tworzenie reguł odnoszących się do plików-skryptów (.ps1;.bat;.cmd;.vbs;.js). DLL Rules umożliwia tworzenie reguł nawiązujących do bibliotek DLL bądź kontrolek ActiveX. Tworząc nowe reguły należy opierad się na zasadach: białych list tworząc nowe reguły należy tworzyd zasady zezwolenia, i w przypadku konieczności blokady danej aplikacji utworzyd wyjątek w ramach tej zasady; Strona 42

43 czarnych list, czyli zasada gdzie blokuje się konkretne obszary, chcąc zezwolid na uruchomienie aplikacji, tworzy się dla niej wyjątek. AppLocker umożliwia uruchomienie tych elementów, które zostały dozwolone, dlatego administrator powinien stale pilnowad listy reguł Co istotne, stworzone reguły możemy importowad oraz eksportowad z/do pliku XML. Aby zaimportowad/wyeksportowad stworzone reguł, należy wybrad opcję Import Policy... bądź Export Policy..., z poziomu menu kontekstowego, dostępnego z poziomu AppLocker, jak zaprezentowano na poniższym zrzucie. Rysunek 15. Importowanie/eksportowanie polityk. Z tego samego menu możemy wskazad opcję Clear Policy, która spowoduje usunięcie wszystkich zdefiniowanych reguł. Wybranie tej opcji to powrócenie do opcji domyślnych, przy których AppLocker nie jest aktywny. Na samym wstępie do konfiguracji należy zaznaczyd, że stworzenie roli nie spowoduje jej natychmiastowego zastosowania nim nowe zasady zostaną wprowadzone, należy uruchomid usługę AppID Service. Bez jej uruchomienia, tuż po wprowadzeniu reguł i pierwszych testach może spotkad nas niespodzianka nie działa. W celu uruchomienia usługi należy uruchomid konsolę Services, wpisując Services.msc w polu wyszukiwania w ramach menu Start. Zaleca się, aby zwłaszcza przy pierwszym spotkaniu z AppLocker tę usługę uruchamiad manualnie. Strona 43

44 Rysunek 16. Uruchamianie usługi AppID W celu zablokowania bądź dozwolenia uruchomienia danej aplikacji, należy wybrad kolekcję Executable Rules. Następnie z menu kontekstowego należy wybrad opcję Create Default Rules, w wyniku czego zostaną stworzone następujące, domyślne reguły: (Default Rule) Microsoft Windows Program Files Rule dla grupy/użytkownika Everyone ta reguła zezwala wskazanej grupie użytkowników, na wykonywanie aplikacji znajdujących się w folderze Program Files i jego podfolderach. (Default Rule) Microsoft Windows dla grupy/użytkownika Everyone ta reguła zezwala wskazanej grupie użytkowników, wykonywanie aplikacji znajdujących się w folderze Windows i jego podfolderach. Podsumowując: umożliwia uruchamianie aplikacji systemowych. (Default Rule) Administrators dla grupy/użytkownika BUILTIN\Administrators ta reguła umożliwia grupie lokalnych administratorów wykonywanie wszystkich aplikacji, niezależnie od ich lokalizacji. Aby stworzyd własną, nową politykę, należy wybrad opcję Create New Rule... Po chwili uruchamia się kreator Create Executable Rules. Należy zapoznad się z prezentowanymi informacjami, następnie wskazad opcję Next. Strona 44

45 Rysunek 17. Pierwszy etap kreatora Create Executable Rules Na drugiej stronie kreatora, zatytułowanej Permissions, wybieramy czy reguła będzie dozwalad (Allow) czy też zabraniad (Deny). Na tym etapie warto zaznaczyd, iż wyższy priorytet mają reguły zabraniające. Możemy przypisad regułę Deny dla aplikacji X przypisując ją do wszystkich użytkowników, później stworzyd Allow dla aplikacji X przypisując do użytkownika Y, mimo to, użytkownik Y nie będzie miał możliwości uruchomienia aplikacji X. Po drugie, regułę przypisujemy do konkretnego użytkownika bądź grupy. Nie istnieje możliwośd przypięcia jej do danej strefy sieci Internet, wpisu rejestru czy komputera. Rysunek 18. Rules Drugi etap kreatora strona Permissions. Strona 45

46 Kolejna, trzecia strona kreatora została nazwana Condidtions. Na tym etapie należy wskazad podstawową regułę restrykcji (na podstawie której będzie odbywad się identyfikacja pliku wykonywalnego). Dostępne są trzy metody: File hash umożliwia identyfikację aplikacji po kryptograficznym odcisku palca danego programu. Metoda znana z Software Restriction Policies, podstawowa wada każda aktualizacja aplikacji wymusza rekonfigurację roli. Path umożliwia wskazanie konkretnej aplikacji bądź folderu i podfolderów w celu zezwolenia bądź zabronienia uruchamiania plików wykonywalnych w nich się znajdujących. Kolejna rola znana z Software Restriction Policies, podstawowa, ale oczywista wada reguła jest związana ściśle z lokalizacją program może byd nadal uruchomiony, jeżeli znajdzie się w innej lokalizacji. Publisher kluczowa nowośd oferowana przez AppLocker. Umożliwia tworzenie reguł w oparciu o dane z podpisu cyfrowego aplikacji. Administrator ma możliwośd utworzenia reguły w oparciu o regułę Publisher wybierając odpowiedni dla środowiska zakres wydawcy, nazwy produktu, nazwy pliku i wersji pliku. Funkcja podobna do Certificate rule z Software Restriction Policies, aczkolwiek udoskonalona i bardziej użyteczna, zwłaszcza, iż zdecydowana większośd programów komaptybilne podpisy cyfrowe posiada. Rysunek 19. Etap Condidations wskazywanie metody rozpoznawania aplikacji. Strona 46

47 Dla celów pokazowych, wybierzemy opcje Publisher, w celu zaprezentowana działania nowej funkcjonalności. Przyjmijmy, że administrator chce udostępnid możliwośd uruchamiania wszystkich składników pakietu Microsoft Office, z wyjątkiem programu PowerPoint. Aby wykonad to zadanie należy wskazad plik.exe dowolnej aplikacji z rodziny Microsoft Office, wybierając przycisk Browse..., a następnie konkretny plik, jak to zostało pokazane poniżej. Rysunek 20. Etap Publisher aplikacja Word, składnik pakietu Microsoft Office Jako, że naszym celem jest restrykcja na poziomie rodziny produktów (pakiet Microsoft Office), musimy zmienid zakres na Product name:, gdzie w wartościach znajduje się 2007 MICROSOFT OFFICE SYSTEM. Takie ustawienie spowoduje, że będą uruchamiane pliki, które zostały podpisane przez wydawcę MICROSOFT CORPORATION wraz z adnotacją o nazwie produktu 2007 MICROSOFT OFFICE SYSTEM. Gdy wykonaliśmy wszystkie niezbędne kroki, możemy nasz wybór zatwierdzid przyciskiem Next, tym samym przechodząc do następnego etapu. Kolejna strona Exceptions pozwala wskazad wyjątki dla tworzonej reguły. W naszym przypadku, chcemy z reguły wyłączyd program PowerPoint. Aby wykorzystad potencjał AppLocker, z listy rozwijanej wybieramy Publisher, następnie przycisk Add. W nowym oknie, po wskazaniu kontrolki Browse..., wybieramy plik POWERPNT.EXE. Jako, że celem dwiczenia jest zablokowanie możliwości uruchomienia PowerPoint, czytelnik musi zmienid zakres na File name: POWERPNT.EXE. Po Strona 47

48 zdefiniowaniu takich ustawieo, zatwierdzamy przyciskiem OK., następnie, gdy powrócimy do kreatora, wskazujemy Next. Rysunek 21. Tworzenie wyjątków dla definiowanej roli. W ramach ostatniego etapu opcjonalnie dodajemy opis nowej reguły, pracę kreatora finalizujemy wybierając przycisk Create. Należy upewnid się, że o ile tworzyliśmy usunęliśmy dwie, spośród trzech domyślnych reguł: (Default Rule) Microsoft Windows Program Files Rule oraz jeżeli pracujemy na koncie należącego do grupy lokalnych administratorów: (Default Rule) Administrators. Należy upewnid się również, że działa usługa AppID Service. Po implementacji rozwiązania AppLocker należy się spodziewad zwiększonej liczby telefonów do działu wsparcia technicznego, aczkolwiek najważniejsze problemy w konfiguracji można rozpoznad poprzez dziennik zdarzeo dla AppLocker, dostępnego z poziomu Event Viewer, jak to zostało pokazane na zrzucie ekranu. Strona 48

49 Rysunek 22. Dziennik zdarzeo dla AppLocker. Jedną z ciekawszych opcji dostępnych w AppLocker jest tryb Audit Only, który po aktywacji umożliwia administratorom sprawdzenie, które aplikacje nie uruchomiłby się, jeżeli dana reguła zostałaby uaktywniona. Aby włączyd tryb Audit Only, należy w ustawieniach AppLocker, wskazad tryb na liście rozwijanej dla danej kolekcji restrykcji w opisanym przypadku dotyczy to Executable rules. Gdy użytkownik zainicjuje program, którego dotyczy rola (w trybie Audit Only) zostanie stworzony odpowiedni wpis w dzienniku zdarzeo. Rysunek 23. Włączanie trybu Audit Only dla kolekcji restrykcji Executable rulet. Strona 49

50 Kreator Automatically Generate Executable Rules umożliwia automatyczne utworzenie reguł dla aplikacji znajdujących się w danej lokalizacji (np. folderze Program Files). Gdzie ta opcja znajdzie swoje zastosowanie? Na komputerach wzorcowych, gdzie tworzymy konfigurację wzorcową, w celu dalszego wdrożenia. Aby utworzyd regułę automatycznie, należy w ramach sekcji ról wskazad z menu opcję Automatically Generate Rules... W nowym oknie wprowadzid dane: 1) Folder do analizy 2) Użytkownika bądź grupę, dla których reguły są tworzone 3) Nazwę dla zestawu reguł. Automatyczne tworzenie ról. Rysunek 24. W kolejnym kroku wskazujemy preferencje dot. metody restrykcji. Domyślną jest Publisher, aczkolwiek należy pamiętad, iż nie wszystkie programy posiadają zgodny podpis cyfrowy, z którego AppLocker mógłby skorzystad w tym celu wskazujemy metodę alternatywną. Chwilę później następuje szacowanie ile reguł musi zostad stworzonych, zapoznajemy się z podsumowaniem i wybieramy przycisk Create, który rozpocznie proces tworzenia polityk. Tak stworzone zasady na komputerze wzorcowym, mogą zostad wyeksportowane wcześniej opisanym sposobem, w celu dalszej implementacji. AppLocker jest dostępny w dwóch edycjach Windows 7: Enterprise oraz Ultimate, jak również we wszystkich edycjach Windows Server 2008 R Podstawy MDT 2008/2010 Microsoft Solution Accelerators jest zbiorem narzędzi i dokumentacji tworzonych przez Microsoft, które jak nazwa wskazuje pomagają przyspieszyd wdrożenie danego rozwiązania. Cała rodzina MSA podzielona jest na kilka kategorii * Suits +, które można przejrzed na stronach TechNet (j.ang.). Ogólnie każdy z działów zawiera dokumenty pozwalające szczegółowo zapoznad się z praktykami przeprowadzania migracji, zawiera informacje w jaki sposób zabezpieczad wybrane systemy, Strona 50

51 instrukcje w jaki sposób zaprojektowad infrastrukturę, narzędzia, które pomagają to przeliczyd i wiele, wiele innych. Niniejszy artykuł ma na celu uszeregowanie pojęd i informacji dotyczących narzędzia z części Desktop Microsoft Deployment Toolkit, które pozwala na zbudowanie platformy umożliwiającej szybkie wdrażanie systemów operacyjnych wraz z aplikacjami Cykl życia systemu operacyjnego Cykl życia systemu można w przybliżeniu sprowadzid do czterech etapów: instalacja systemu utrzymanie [maintenance] podniesienie wersji systemu [opcjonalnie] wycofanie systemu Rysunek 25. Cykl życia systemu operacyjnego. W czasie, najbardziej rozciągniętym etapem jest utrzymanie. To jednak instalacja nowego systemu oraz podniesienie wersji są krytycznym momentem na podjęcie wielu decyzji zakup nowych komputerów, przejście na nową wersję, etc. Obecnie istnieje na rynku wiele rozwiązao, które oferują częściowe lub całkowite wsparcie tych etapów. Aby pomóc klientom, Microsoft tworzy własne narzędzia, które pomagają proces instalacji oraz migracji zautomatyzowad i co bardzo ważne są one dostępne bez dodatkowych opłat Platforma Microsoft Deployment Toolkit Mówiąc o MDT *poprzednio nazywającym się BDD Bussines Desktop Deployment + należy myśled o platformie bardziej, niż o narzędziu, ponieważ do utworzenia całego rozwiązania wykorzystuje się szereg aplikacji i usług dostępnych bezpośrednio w systemie operacyjnym lub do ściągnięcia ze stron Microsoft Download. Narzędzia te umożliwiają budowę środowiska automatycznej lub półautomatycznej instalacji oraz co przeważnie ważniejsze podniesienia wersji systemów. Strona 51

52 Podstawowym problemem jest mnogośd aplikacji, aplikacyjek, programów, usług *...+. Każdy z nich ma swoją nazwę a co za tym idzie akronim. W efekcie poznanie i zrozumienie, który element, w jaki sposób zależy od innego, kiedy się używa którego elementu, czy jak to się ma do całości - jest wcale niełatwym zadaniem. Dodatkowym elementem utrudniającym poznanie całego rozwiązania są nazwy zmieniające się w czasie, które czasem w dokumentacji pojawiają się zamiennie, powodując dodatkowe niejasności. Dla tego najistotniejszym jest, aby poznad ogólną ideę i podstawowe składniki całego rozwiązania: Microsoft Deployment Toolkit [MDT] Workbench stanowi podstawowy komponent całego środowiska, pozwalając na definiowanie elementów dostępnych do instalacji oraz definiowalnego zestawu zadao do wykonania na każdym instalowanym systemie. Dzięki MDT Workbench możliwa jest automatyzacja i personalizacja instalowanego systemu oraz aplikacji dodatkowych. Dodatkowym atutem takiego rozwiązania jest możliwośd dostosowania wszystkich instalowanych systemów do istniejących w firmie standardów stacji roboczych. Całe rozwiązanie może zawierad niemal nieograniczoną liczbę konfiguracji. Za pomocą MDT *jako platformy+ można zrealizowad dwa podstawowe scenariusze: Light Touch Installation [LTI] instalacja wymagająca minimalnej interwencji ze strony administratora np. wybrania rodzaju systemu i instalowanych aplikacji. Można nazwad ten scenariusz półautomatycznym. Zero Touch Installation [ZTI] instalacja w pełni automatyczna, inicjowana zdalnie. Windows Deployment Services [WDS] usługa systemu Windows Server 2008 *opcjonalnie można pobrad wersję dla Windows Server 2003+, realizująca funkcję PXE *Preboot Execution+ oraz dystrybucji obrazów systemów w trybie multicast. Dzięki wykorzystaniu transmisji multicast czas instalacji obrazu na dużej ilości maszyn jest dużo krótszy, w porównaniu do tradycyjnego sposobu dystrybucji stacja-po-stacji [unicast lub z nośnika fizycznego+. Usługa wykorzystywana jest w scenariuszu LTI lub opcjonalnie jako wsparcie w scenariuszu ZTI. W poprzedniej wersji nosi nazwę Remote Installation Services *RIS+. System Center: Configuration Manager [SCCM] 2007 w kontekście MDT jest to narzędzie służące do inicjalizacji zadania dla stacji. Dzięki SCCM możliwe jest utworzenie scenariusza ZTI. W poprzedniej wersji nosi nazwę System Management Server *SMS SMS może również stanowid podstawę scenariusza ZTI, należy jednak doinstalowad komponent integrujący noszący nazwę Operating System Deployment *OSD+ Feature Pack. Windows Automation Installation Kit [WAIK] jest zbiorem programów pomagających w utrzymaniu i tworzeniu spersonalizowanych obrazów systemów operacyjnych. Dzięki WAIK możliwa jest praca z obrazami systemów w trybie offline - np. dodawanie nowych sterowników, włączanie/wyłączanie funkcjonalności systemu Vista *tzw. Windows Features+, dodawanie/usuwanie plików do instalacji. Dzięki możliwości wykonywania tych operacji na pliku obrazu, nie trzeba wielokrotnie odtwarzad obrazów z powodu np, nowego modelu komputera w firmie, do którego nie ma sterowników. User State Migration Tool [USMT] to narzędzie pozwalające na wykonanie kopii plików użytkownika *tzw. profilu+ a następnie odzyskanie ich nawet jeśli wersje systemów się różnią. Dzięki USMT możliwe jest tworzenie scenariuszy migracji systemów operacyjnych. Windows Preinstallation Environment [WinPE] mały system operacyjny oparty o kernel Windows. WinPE utworzy był specjalnie do celów instalacji i nie należy traktowad go jako Strona 52

53 dystrybucji LiveCD, jednak można go personalizowad i dodawad do niego niektóre narzędzia *-> WAIK+, dzięki czemu może służyd jako mały system pomagający przy procedurach odzyskiwania. Przykładem kompleksowego środowiska opartego o WinPE jest Microsoft Diagnostic and Recovery Tools[DaRT] znanego wcześniej jako ERD Commander. DaRT dostępny jest bez dodatkowych opłat dla klientów Software Assurance [SA] w ramach Microsoft Desktop Optimization Pack[MDOP]. Ogólny schemat powiązania poszczególnych komponentów prezentuje poniższy rysunek: Rysunek 26. Ogólny schemat komponentów koncepcji. Ponadto dostępny jest szereg innych narzędzi, dokumentów i projektów, które mogą byd pomocne podczas procesu planowania lub inwentaryzacji dostępnych w ramach Microsoft Solution Accelerators: Application Compatibility Toolkit [ACT] zestaw narzędzi niezwykle przydatny w etapie przygotowywania się do migracji. Służy do weryfikacji kompatybilności aplikacji z systemem Vista/w7 oraz Internet Explorer 8. W skład wchodzą również narzędzia pozwalające samodzielnie tworzyd poprawki dla aplikacji, Microsoft Assesment and Planning Toolkit [MAPT, czasem MAP] podobnie do ACT jest to zestaw narzędzi przydatnych na etapie planownia, służący do bezagentowej inwentaryzacji i raportowania na temat zainstalowanych systemów i aplikacji. Office Migration Planning Manager [OMPM] skrypty pozwalające przetestowad zgodnośd starszych plików Microsoft Office do wersji Informacje wrzucane są do SQL dzięki czemu możliwe jest wygenerowanie raportów kompatybilności. Strona 53

54 2.5.3 Desktop Deployment Planning Services Dla klientów Software Assurance firma Microsoft oferuje 1-15 dniową pomoc w planowaniu wdrożenia między innymi na temat, o którym traktuje niniejszy artykuł. Szczegółowe informacje znajdują się na stronie Desktop Deployment Planning Services Narzędzie DISM.exe Program DIMS.exe (Deployment Image Servicing and Management) jest nowym narzędziem wiersza poleceo, którego można użyd do obsługi obrazu systemu Windows lub do przygotowania obrazu systemu Windows PE. Narzędzie DISM zastępuje narzędzia Package Manager (pkgmgr.exe), PEimg i Intlcfg używane w systemie Windows Vista. Program DISM łączy funkcje tych trzech narzędzi, a także udostępnia nowe funkcje, które ulepszają obsługę w trybie offline. Narzędzia DISM można używad do obsługi systemu Windows Server 2008 i systemu Windows Vista z zainstalowanym pakietem SP1 (Service Pack 1). Podczas używania narzędzia z systemem Windows 7 i Windows Server 2008 R2 uzyskiwane są dodatkowe funkcje. Narzędzie DISM można stosowad do: dodawania, usuwania bądź wyliczania pakietów i sterowników włączania lub wyłączania funkcji systemu Windows stosowania zmian w oparciu o sekcję obsługi trybu offline pliku odpowiedzi instalacji nienadzorowanej unattend.xml konfigurowania ustawieo międzynarodowych aktualizowania obrazu systemu Windows do innej wersji przygotowania obrazu Windows PE korzystania z zalet lepszego rejestrowania obsługi poprzednich systemów operacyjnych, takich jak Windows Vista SP1 i Windows Server 2008 obsługi wszystkich platform (32-bitowe, 64-bitowe i Itanium) obsługi 32-bitowego obrazu z hosta 64-bitowego i obsługi 64-bitowego obrazu z hosta 32- bitowego wykorzystywania starych skryptów narzędzia Package Manager Aby obsługiwad obraz systemu Windows w trybie offline, obraz musi zostad zastosowany lub zainstalowany. Obrazy WIM mogą byd w narzędziu DISM instalowane przy użyciu poleceo Windows Image (WIM) lub mogą zostad zastosowane i ponownie przechwycone przy użyciu narzędzia ImageX. Polecenia mogą byd także używane do wyświetlenia listy indeksów lub zweryfikowania architektury instalowanego obrazu. Po zaktualizowaniu obrazu, obraz musi zostad odinstalowany i należy zatwierdzid lub odrzucid wprowadzone zmiany. Podstawowa składnia dla prawie wszystkich poleceo narzędzia DISM jest taka sama. Po zainstalowaniu obrazu systemu Windows administrator może wyspecyfikowad dowolne opcje Strona 54

55 narzędzia DISM, stosowane z poleceniem, które będzie aktualizowad obraz i lokalizację zainstalowanego obrazu. W jednym wierszu poleceo można użyd tylko jednego polecenia obsługi. Jeśli obsługiwany jest uruchomiony komputer, można zastosowad opcję /online, zamiast specyfikowad lokalizację zainstalowanego obrazu (Windows Image). Poniżej przedstawiona została podstawowa składnia narzędzia DISM: DISM.exe {/image:< path_to_image > /online} [dism_options] {servicing_command} [< servicing_argument >] 2.6 Branch Cache Driven by challenges of reducing cost and complexity of Branch IT, organizations are seeking to centralize applications. However, as organizations centralize applications the dependency on the availability and quality of the WAN link increases. A direct result of centralization is the increased utilization of the WAN link, and the degradation of application performance. Recent studies have shown that despite the reduction of costs associated with WAN links, WAN costs are still a major component of enterprises operational expenses. The BranchCache feature in Windows Server 2008 R2 and Windows 7 Client reduces the network utilization on WAN links that connect branch offices and improve end user experience at branch locations, by locally caching frequently used content on the branch office network. As remote branch clients attempt to retrieve data from servers located in the corporate data center, they store a copy of the retrieved content on the local branch office network. Subsequent requests for the same content are served from this local cache in the branch office, thereby improving access times locally and reducing WAN bandwidth utilization between the branch and corpnet. BranchCache caches both HTTP and SMB content and ensures access to only authorized users as the authorization process is carried out at the servers located in the data center. BranchCache works alongside SSL or IPSEC encrypted content and accelerates delivery of such content as well. BranchCache can be implemented in two ways: The first involves storing the cached content on a dedicated BranchCache server located in the branch office which improves cache availability. This scenario will likely be the most popular and is intended for larger branch offices where numerous users might be looking to access the BranchCache feature simultaneously. A BranchCache server at the remote site ensures that content is always available as well as maintaining end-to-end security for all content requests. The second deployment scenario centers around peer content requests and is intended solely for very small remote offices, with roughly 5-10 users that don t warrant a dedicated local server resource. In this scenario, the BranchCache server at corpnet receives a client content request, and if the content has been previously requested at the remote site will return a set of hash directions to the content s location on the remote network, usually another worker s computer. Content is then served from this location. If the content was never requested or if the user who previously requested the content is off-site, then the request is fulfilled normally across the WAN Strona 55

56 2.7 Direct Access One common problem facing most organizations is remote connectivity for their mobile users. One of the most widely used solutions for connecting remote users is a virtual private network (VPN) connection. Depending on the type of VPN, users may need to install VPN client software on their mobile computer and then establish the VPN connection over the Internet. The DirectAccess feature in Windows 7 and Windows Server 2008 R2 allows Windows 7 client computers to directly connect to intranet-based resources without the complexity of establishing a VPN connection. The user has the same connectivity experience both in and outside of the office. The following figure contrasts the current VPN-based solutions with the DirectAccess solution. Rysunek 27. Prezentacja Direct Access. DirectAccess was designed as a seamless, always-on remote access solution that removes user complexity, gives you easy and efficient management and configuration tools, and does not compromise the secure aspects of remote connectivity. To do this, DirectAccess incorporates the following important features: Authentication. DirectAccess authenticates the computer, enabling the computer to connect to the intranet before the user logs on. DirectAccess can also authenticate the user and supports two-factor authentication using a smart card. Strona 56

57 Encryption. DirectAccess uses Internet Protocol security (IPsec) for encrypted communications across the Internet. Access control. IT can configure which intranet resources different users can access using DirectAccess. IT can grant DirectAccess users unlimited access to the intranet, or only allow them to access specific servers or subnets. Additionally, you can apply custom security policies to specific applications. For example, you can require an application sending and receiving sensitive data to use IPsec encryption, while requiring that other applications use IPsec authentication or no IPsec protection. Integration with Network Access Protection (NAP). NAP, built into Windows Server 2008 R2 and Windows 7, can be used with DirectAccess to verify that client computers meet your system health requirements, such as having security updates and anti-malware definitions installed, before allowing them to make a DirectAccess connection. Separation of intranet and Internet traffic. By default, only traffic destined for your intranet is sent through the DirectAccess server. With a traditional VPN, Internet traffic is typically also sent through your intranet, slowing Internet access for users. You can also change this default behavior to match that of a typical VPN. Another difference between DirectAccess and VPNs is that DirectAccess connections are established before the user is logged on. This means that you can manage a remote computer connected by DirectAccess even if the user is not logged on; for example, to apply Group Policy settings. However, for the user to access any intranet resources, they must be logged on. DirectAccess provides the following benefits: Seamless connectivity. DirectAccess is on whenever the user has an Internet connection, giving users access to internal network resources whether they are traveling, at the local coffee shop, or at home. Remote management. IT administrators can connect directly to DirectAccess client computers to monitor them, manage them, and deploy updates, even when the user is not logged on. This can reduce the cost of managing remote computers by keeping them up-todate with critical updates and configuration changes. Improved security. DirectAccess uses IPsec for authentication and encryption. Optionally, you can require smart cards for user authentication. DirectAccess integrates with NAP to perform compliance checking on client computers before allowing them to connect to internal resources. IT administrators can configure the DirectAccess server to restrict the servers that users and individual applications can access. For more information, see Wirtualizacja Technologie Wirtualizacji Microsoft Microsoft dysponuje szerokim portfolio w dziedzinie wirtualizacji. Rozwiązania wirtualizacji mogą byd zintegrowane lub funkcjonowad niezależnie od siebie umożliwiając tym samym realizację wielu scenariuszy jednocześnie. Strona 57

58 Poniższa tabela przedstawia rozwiązania Microsoft oraz przypisane do nich typy wirtualizacji: Tabela 1. Technologie Wirtualizacji Microsoft Technologia Microsoft Windows Server 2008 R2 Hyper-V Virtual Server 2005 R2 Terminal Services SoftGrid Application Virtualization XPM + MED-V: Windows Virtual PC Windows Vista Enterprise Centralized Desktop (VECD) Typ wirtualizacji Server Hardware Server Software Presentation Application Desktop Desktop Windows Server 2008 R2 Hyper-V Windows Server 2008 R2 Hyper-V jest wbudowaną w system operacyjny, opartą na platformie Windows Server 2008, technologią hostowania maszyn wirtualnych wykorzystując do tego celu wirtualizację sprzętową. Windows Server 2008 R2 Hyper-V wykorzystuje wirtualizację w oparciu o rozwiązanie hypervisor, uruchamiane bezpośrednio na warstwie sprzętu w celu umożliwienia bezpośredniego dostępu do trudnych do zwirtualizaowania wywołao procesora(ów). Oprócz tego Hyper-V: Umożliwia uruchomienie 32/64 bitowych maszyn jednocześnie Umożliwia obsługę wieloprocesorowych maszyn wirtualnych Wspiera dużą ilośd pamięci Wspiera Virtual LAN Hyper-V wymaga procesora 64 bitowego ze wsparciem wirtualizacji sprzętowej (zwykle nazywane jest to VT/V). Data Execution Protection (DEP) musi byd dostępne i włączone Virtual Server 2005 R2 SP1 Virtual Server 2005 jest oprogramowaniem służącym do wirtualizacji oprogramowania. Umożliwia utworzenie wielu scenariuszy środowisk informatycznych, począwszy od rozbudowanego środowiska redundantnego, środowisko testowe np. do testów aplikacji i rozwiązao, po hostowanie rozwiązao, które działają w środowiskach produkcyjnych. Virtual Server uruchamiane jest, jako usługa na Windows Server 2003 oraz Windows Server 2008, umożliwia administrację i zarządzanie maszynami wirtualnymi w środowiskach produkcyjnych. Virtual Server może byd także uruchomiony na systemach takich jak Windows XP i Windows Vista, głównie do celów nie produkcyjnych, tj. testowanie i analiza aplikacji. Virtual Server 2005 R2 SP1 jest możliwy do pobrania ze strony Microsoft, za darmo: Windows Server Terminal Services Usługi terminalowe umożliwiają hostowanie aplikacji klienckich, wykorzystując do tego wirtualizację prezentacyjną (ang. presentation virtualization). Usługi terminalowe są rozwiązaniem dostępnym już od systemu Windows Server 2000, także Windows Server 2003, Windows Server Strona 58

59 Wszystkie uruchamiane aplikacje, również systemy operacyjne, w rzeczywistości działają na serwerze udostępniającym usługi terminalowe. Użytkownicy mogą podłączyd się do aplikacji poprzez maszynę z systemem Windows wykorzystując do tego celu aplikację Remote Desktop (Pulpit Zdalny) lub, poprzez rozwiązanie nieco lżejsze, terminal z systemem Windows. Klawiatura i myszka są obsługiwane, w czasie sesji terminalowej, przez serwer, a transmisja wideo przekazywana jest do klienta, wykorzystując połączenie sieciowe Microsoft Application Virtualization Microsoft Application Virtualization umożliwia tworzenie wyizolowanych środowisk, w których zwirtualizowane programy wykonują się na stacjach klienckich użytkowników. Aplikacje nie zmieniają ustawieo na stacjach, na których są uruchamiane, nie zmieniają także wpisów w rejestrze. Rozwiązanie wirtualizacji aplikacji pozwala uniknąd sytuacji, w których określone aplikacje nie mogą ze sobą współpracowad lub dana aplikacja nie współpracuje z systemem operacyjnym użytkownika. Aplikacje zainstalowane przy wykorzystaniu rozwiązania App-V mogą byd dystrybuowane na dwa sposoby: Instalacja Aplikacje są buforowane na stacji klienckiej użytkownika wykorzystując tradycyjne metody dystrybucji oprogramowania. Streaming Aplikacje są dynamicznie dostarczane na stację kliencką użytkownika na żądanie, następnie są buforowane dla późniejszego użytku. Microsoft SoftGrid Application Virtualization jest częścią Microsoft Desktop Optimization Pack. Więcej informacji o Microsoft Application Virtualization znajduje się na stronie: XPM + MED-V: Windows Virtual PC Windows Virtual PC umożliwia w prosty sposób tworzenie wirtualnych maszyn, nie jest wykorzystywany w środowiskach serwerowych. Tryb Windows XP w Windows Virtual PC, pozwala użytkownikom z małych i średnich firm uruchamiad bezpośrednio z pulpitu Windows 7 wiele aplikacji biurowych napisanych dla Windows XP. Tryb Windows XP jest dostępny w wersjach Windows 7 Professional i Windows 7 Ultimate jako oprogramowanie przeznaczone do pobrania albo wstępnie instalowane w nowych komputerach. Wraz z udostępnioną dziś wersją RC Windows 7 Microsoft wydaje wersje beta trybu Windows XP Mode oraz Windows Virtual PC. W przypadku większych firm, w których funkcje administracyjne mają duży wpływ na łączny koszt użytkowania systemu, oprogramowanie Microsoft Enterprise Desktop Virtualization (MED-V), dołączone do Microsoft Desktop Optimization Pack (MDOP), zawiera funkcje zarządzania wirtualnymi komputerami Windows, w tym scentralizowane zasady bezpieczeostwa oraz uproszczone mechanizmy administracyjne i wdrożeniowe Windows Vista Enterprise Centralized Desktops (VECD) VECD umożliwia wirtualizację środowisk na klientów korporacyjnych, którzy chcą hostowad stacje klienckie użytkowników, jako wirtualne maszyny w centralnej lokalizacji. Dzięki VECD możliwe jest zainstalowanie w centrali wielu kopii Windows Vista Enterprise, a następnie udostępnienie każdej z nich użytkownikom poprzez wirtualne maszyny hostowane na Virtual Server 2005 R2 SP1. Organizacje mogą wybrad, czy chcą tworzyd jedną wirtualną maszynę dla jednego użytkownika, czy Strona 59

60 pozwolid użytkownikowi korzystad jednocześnie z kilku wirtualnych maszyn. Więcej informacji znajduje się na stronie: Wirtualizacja systemu Windows Server przegląd funkcji Dzięki wbudowanej technologii wirtualizacji, system Windows Server 2008 pozwala firmom zredukowad koszty, poprawid wykorzystanie sprzętu, zoptymalizowad infrastrukturę oraz zwiększyd poziom dostępności serwera. Technologia wirtualizacji serwera Windows używa platformy opartej na 64-bitowej technologii hypervisor, co zwiększa niezawodnośd i skalowalnośd. Wirtualizacja serwera pomaga firmom zoptymalizowad i skonsolidowad wykorzystanie zasobów sprzętowych. Technologia ta wykorzystuje takie komponenty platformy Windows Server 2008, jak klastry pracy awaryjnej, aby zapewnid wysoką dostępnośd, a także komponenty platformy Network Access Protection (NAP), aby umożliwid kwarantannę komputerów wirtualnych w złej kondycji. Inną formą wirtualizacji jest tzw. wirtualizacja prezentacji, polegająca na wyodrębnieniu warstwy prezentacji aplikacji, (czyli interfejsu użytkownika) od systemu operacyjnego. W systemie Windows Server 2008 funkcje bramy usług terminalowych oraz funkcja RemoteApp usług terminalowych umożliwiają scentralizowany dostęp do aplikacji wraz z integracją zdalnych aplikacji na komputerach klientów, lub łatwy dostęp do tych samych zdalnych programów przy użyciu wyszukiwarki sieci Web. Funkcja usług terminalowych umożliwia również dostęp do zdalnych terminali i aplikacji za zaporą internetową Architektura wirtualizacji systemu Windows Server Wirtualizacja systemu Windows Server jest oparta na 64-bitowej technologii hypervisor. Hypervisor to minimalna warstwa oprogramowania, które znajduje się między systemem operacyjnym a sprzętem. Hypervisor umożliwia bezproblemowy dostęp do pamięci fizycznej i zasobów procesora wielu wirtualnym komputerom. W połączeniu ze sprzętem obsługującym wirtualizację, czyli procesorami stosującymi technologię Intel VT oraz AMD Pacifica, wirtualizacja wykorzystująca hypervisor prowadzi do uzyskania wysokiej wydajności i niemal nieograniczonej skalowalności maszyn wirtualnych. Architektura wirtualizacji została przedstawiona na rysunku poniżej. Strona 60

61 2.9.4 Wirtualizacja sprzętowa Rysunek 28. Architektura wirtualizacji Windows Server. Jako że hypervisor używany w wirtualizacji systemu Windows Server korzysta z technologii VT i Pacifica, większośd pracy związanej z wirtualizacją wielu systemów operacyjnych wykonywana jest przez sprzęt systemu, nie zaś przez stos wirtualizacji i hypervisor. Platformy wirtualizacji, które korzystają z programowej emulacji sprzętu, często przerywają pracę maszyn wirtualnych, wykonując bieżące tłumaczenia żądao sprzętu i przekształcając je w formę zgodną ze środowiskiem wirtualizacji. Technologie sprzętu Intel VT i AMD Pacifica sprawiają, że wiele z tych tłumaczeo staje się zbędnych dzięki włączeniu rozszerzeo wirtualizacji do architektury x86. Oznacza to, że platformy wirtualizacji, które zaprojektowano dla VT i Pacifica, mają mniejsze wymagania sprzętowe, a wirtualne komputery działają wydajniej. Współpraca pomiędzy elementami wirtualizacji sprzętu a komponentami wirtualizacji oprogramowania w wirtualizacji systemu Windows Server prowadzi do uzyskania platformy wirtualizacji o wysokiej wydajności Architektura 64-bitowa Hypervisor używany w wirtualizacji systemu Windows Server oparty jest na technologii 64-bitowej. Wirtualizację systemu Windows Server należy uruchamiad na wersjach x64 systemu Windows Server Zapewnia ona niemal nieograniczoną skalowalnośd komputerów wirtualnych. Architektura 64- bitowa może adresowad znacznie większą ilośd pamięci niż platformy wirtualizacji oparte na architekturach 32-bitowych, zaś serwer-host może pomieścid nawet do 1 terabajta fizycznej pamięci RAM. Każdemu komputerowi wirtualnemu w architekturze wirtualizacji systemu Windows Server można przypisad nawet 32 GB RAM-u. Strona 61