Warsztat Windows Server 2008 HEROES. happen {here}

Warsztat Windows Server 2008 HEROES happen {here}

Spis treści Laboratorium Initial Configuration Tasks...1 Laboratorium Role i funkcje...2 Laboratorium Active Directory...3 Laboratorium Serwer CORE...6 Laboratorium Cluster...7 Laboratorium Firewall...9 Laboratorium 7. NAP...10 Laboratorium Terminal Services...14

Laboratorium Initial Configuration Tasks Domyślnie zainstalowany Windows Server 2008 charakteryzuje się następującymi cechami: Adres TCP/IP pobierany z DHCP lub APIPA Pseudolosowa nazwa komputera Grupa robocza WORKGROUP Strefa czasowa USA Pacific Standard Time Brak roli i funkcji Brak dostępu zdalnego Konfiguracja taka wynika z dwóch faktów: Instalacja jest maksymalnie uproszczona i nie ma w niej pytań o adres sieci czy potrzebne usługi. Brak roli i funkcji gwarantuje, że w serwerze nie pracują zbędne usługi. Domyślnie, po pierwszym zalogowaniu, użytkownik otrzymuje specjalny ekran powitalny, na którym zmienić może domyślne (i nie zawsze sensowne) ustawienia. W warunkach niniejszego laboratorium otrzymujesz już skonfigurowane serwery, więc nie musisz sam konfigurować serwera. Byłoby to zbyt czasochłonne. Warto natomiast, żebyś zwrócił uwagę na wygląd, opcje i możliwości aplikacji powitalnej. W tym celu, wykonaj następujące kroki: Uruchom maszynę DC0 Jest to kontroler domeny Uruchom Initial Configuration Tasks poprzez bezpośrednie wywołanie pliku oobe.exe Sprawdź kolejno, dokąd prowadzą następujące akcje dostępne w aplikacji: Set Time Zone Configure Networking Provide Computer Name and Domain. Zwróć uwagę, że pracując na kontrolerze domeny (DC01 nim jest) nie możesz bezkarnie zmieniać nazw serwera i grupy. Add roles Add features Enable Remote Desktop Zwróć uwagę, że Initial Configuration Tasks jest tylko czytelnym zestawieniem linków do zupełnie standardowych programów. Ekran powitalny jest jednak pomyślany w taki sposób, że w kilka kliknięć doprowadzisz serwer do pożądanego stanu. Zwróć uwagę na umieszczony w dolnej części link Print, e-mail, or save this information. Dzięki niemu otrzymasz prosty i zwięzły raport podsumowujący aktualną konfigurację. Ostatnią opcją jest checkbox definiujący czy Initial Configuration Tasks wyświetla się po zalogowaniu. To już koniec pierwszego ćwiczenia. Zamknij okno aplikacji Pomyśl jeszcze, że w przypadku serwera CORE, aplikacja taka nie istnieje. Masz do dyspozycji wyłącznie wiersz poleceń. Przypomnij sobie jak z wiersza poleceń zmienia się nazwę komputera, jego adres IP czy przynależność do domeny. A strefę czasową? http://www.heroshappenhere.pl 1

Laboratorium Role i funkcje Choć dodawanie ról i funkcji dostępne było w ekranie Initial Configuration Tasks, ale zazwyczaj przeprowadza się je z innych miejsc. Zasugerować tu można: Server Manager. Umieszczony domyślnie w Quick Launch. Pozwala na pełne zarządzanie rolami i funkcjami. Panel sterowania i w nim applet Programs and Features, który po wybraniu opcji Turn Windows Features on or off również uruchamia Server Manager. Włącz teraz serwer CORE01, będzie Ci potrzebny w dalszej części ćwiczenia. Na serwerze DC01 włącz Server Manager a następnie: Rozwiń gałąź roles. Zwróć uwagę, że na serwerze zainstalowany jest kontroler domeny oraz serwer DNS. Wybierz Active Directory Domain Services. W głównym panelu okna zwróć uwagę na prostą i zwięzłą formę przedstawienia najważniejszych danych na temat usługi. W dolnej części okna dostępne są łatwo dostępne linki do rzadko używanych i często przez to zapominanych aplikacji wspomagających. Rozwiń gałąź Active Directory Domain Services. Zwróć uwagę, że dwa najczęściej używane narzędzia związane z AD dostępne są w jednym oknie. Powtórz działania z punktu Wybierz Active Directory Domain Services. W głównym panelu okna zwróć uwagę na prostą i zwięzłą formę przedstawienia najważniejszych danych na temat usługi. W dolnej części okna dostępne są łatwo dostępne linki do rzadko używanych i często przez to zapominanych aplikacji wspomagających. i Rozwiń gałąź Active Directory Domain Services. Zwróć uwagę, 7. 9. 10. 1 1 1 że dwa najczęściej używane narzędzia związane z AD dostępne są w jednym oknie. dla gałęzi DNS Server. Wróć do gałęzi Roles i w górnej części głównego panelu wybierz Add Roles. Wybierz rolę Active Directory Rights Management Services (AD RMS). Zwróć uwagę, że system jest świadomy zależności roli od innych zainstalowanych i wyświetla ich czytelną listę wraz z komentarzami i opisami. Zaakceptuj listę. Zwróć uwagę na dostępną w lewej części okna listę elementów, które będą wymagały skonfigurowania. Część z nich (na przykład Configuration Database) jest dostępna od razu, część dopiero podczas dalszej pracy z kreatorem. Anuluj dodawanie roli. Nie będzie nam potrzebna a jej dodanie jest na maszynie laboratoryjnej bardzo czasochłonne. Z lewej strony okna wybierz węzeł Features (funkcjonalności). Dodaj funkcjonalność Telnet Client. Klient ten nie jest domyślnie instalowany z serwerem. Zamknij Server Manager i sprawdź czy polecenie telnet.exe działa poprawnie. Podobnie jak w poprzednim ćwiczeniu, zastanów się jak zarządzanie rolami wygląda w przypadku serwera CORE nie posiadającego interfejsu graficznego. Służy do tego polecenie ocsetup.exe. Warto pamiętać, że parametry tego polecenia są Wrażliwe Na Wielkość Liter. Zaloguj się do serwera CORE01, a następnie: Uruchom polecenie ocsetup.exe telnetclient. Zwróć uwagę na komunikat błędu wynikający z nierozpoznania nazwy funkcjonalności. Uruchom polecenie z poprawną wielkością liter parametru: ocsetup.exe TelnetClient. 2

Zwróć uwagę, że Windows Server CORE nie informuje o przebiegu instalacji ani o momencie jej zakończenia. Z tego powodu, dobrą praktyką jest uruchamianie instalacji przez polecenie start /w ocsetup.exe nazwa_roli_lub_funkcji. Taki tryb uruchomienia pozwoli na zauważenie, że instalacja została zakończona. Sposób wyświetlenia dostępnych ról i funkcji w serwerze CORE przedstawiony zostanie w jednym z kolejnych ćwiczeń. Laboratorium Active Directory Zaloguj się na serwerze DC0 Od czasu wprowadzenia usług Active Directory, ich ścisła integracja z lsass sprawiała, że wszelkie operacje, które musiały być wykonane w trybie offline wymagały dwóch restartów komputera. Jednego, aby włączyć tryb offline i drugiego aby powrócić do normalnego trybu pracy. W przypadku Windows Server 2008, Active Directory jest usługą systemową, dzięki czemu łatwiej daje się zarządzać. W ramach ćwiczenia, wykonać należy defragmentację bazy AD. W tym celu: Uruchom Server Manager Wybierz gałąź Roles i w niej część odpowiedzialną za Active Directory W panelu System Services znajdź usługę Active Directory Domain Services. Wybierz z panelu po prawej stronie pozycję Services, dzięki czemu przejdziesz do zarządzania usługami systemowymi. Przełącz widok na Standard Znajdź usługę odpowiedzialną za AD i w jej właściwościach zobacz jakie usługi są od niej zależne. Pamiętaj, że w środowisku produkcyjnym, jeżeli masz tylko jeden serwer Active Directory, nawet krótka przerwa w działaniu tych usług może poważnie zaburzyć funkcjonowanie systemu informatycznego. Jeżeli masz więcej serwerów bez problemu przejmą one zadania tego, który ma chwilową przerwę w działaniu AD. 7. 9. 10. 1 1 1 1 1 1 Zatrzymaj usługę Active Directory Domain Services. Usługi zależne zatrzymają się automatycznie jeżeli wyrazisz na to zgodę. Uruchom wiersz poleceń. Uruchom program ntdsutil.exe W programie ntdsutil wykonaj kolejno operacje 10. Activate instance ntds 10. Files 10. Compact to c:\ Zwroć uwagę na zalecane przez ntdsutil dalsze kroki. Wyjdź przy pomocy polecenia quit z kontekstu files Wyjdź przy pomocy polecenia quit z narzędzia ntdsutil Wykonaj kroki zalecane przez narzędzie ntdsutil (bez kopii zapasowej) Uruchom ponownie narzędzie ntdsutil a w nim: 1 Activate instance ntds 1 Files 1 Integrity 1 quit 1 Semantic database analysis 1 Go fixup 17. Quit 1 Quit Włącz usługę systemową Active Directory. Zwróć uwagę, że usługi zależne uruchomią się automatycznie. http://www.heroshappenhere.pl 3

O ile funkcjonalność defragmentacji bez restartu jest po prostu ciekawostką, o tyle snapshoty Active Directory są w stanie w niejednej sytuacji uratować życie (lub pracę) administratora. Wykonanie kopii typu snapshot jest stosunkowo proste. W tym celu powinieneś wykonać następujące czynności: Uruchom ntdsutil a w nim: 9. Z menu Connection wybierz Connect i połącz się Activate instance ntds Snapshot Help zwróć uwagę na polecenia dostępne w tym 10. z localhost na porcie 345, który podałeś jako parametr w dsamain Z menu Connection wybierz Bind i zaakceptuj domyślne kontekście. Create 1 wartości Z menu View wybierz Tree i następnie DC=hhh,DC=pl Jeżeli tworzenie snapshotu się powiodło zanotuj guid. 1 Sprawdź czy dane w programie ldp.exe są dostępne Podmontuj snapshot poleceniem mount {wartość_guid_utworzonego_snapshotu} Uruchom Windows Explorer i zobacz czy pojawił się 1 1 i dają się przeglądać. Zamknij ldp.exe W oknie z dsamain naciśnij Ctrl+C katalog zwrócony przez polecenie mount. Uruchom drugą konsolę wiersza poleceń Uruchom polecenie dsamain dbpath C\$SNAP_<czas_ 1 1 Jeżeli masz otwartego Explorera z zamontowaną lokalizacją snapshotu zamknij go. W oknie ntdsutil wprowadź polecenia 7. utworzenia>_volumec$\windows\ntds\ntds.dit -ldapport 345 sslport 346 gcport 347 gcsslport 348 Pamiętaj, że w konsoli działa uzupełnianie nazw przy pomocy TAB. Sprawdź czy program dsamain uruchomił się poprawnie. Uruchom browser LDAP poprzez wpisanie polecenia ldp.exe 1 List mounted 1 unmount {wartość_guid_zamontowanego_snapshotu} 1 delete {wartość_guid_zamontowanego_snapshotu} 1 quit 1 quit w menu Start Jeżeli zrobisz sobie skrypt wykonujący regularnie operację wymienioną w punkcie Create żadna awaria AD nie będzie już straszna. Zawsze można podmontować jego historyczną wersję i wieloma dostępnymi sposobami odtworzyć uszkodzone dane. Poza użytym w ćwiczeniu ldp.exe, bardzo dobrze ze snapshotem radzą sobie inne narzędzia jak adsiedit czy ldifde. Pamiętaj tylko, żeby odtwarzając obiekty, wcześniej na pewno dobrze odtworzyć ich obiekty nadrzędne. O tym, że administrator może określić politykę haseł wie każdy, kto pracował z AD. Określić można minimalną długość hasła, jego maksymalny wiek, minimalny czas między zmianami i kilka podobnych w charakterze ustawień. Jest to bardzo użyteczna opcja, ale ma jedną poważną wadę: dotyczy całej domeny. Tymczasem praktyka pokazuje, że zupełnie inne zasady haseł powinny obowiązywać dział IT (hasła naprawdę skomplikowane) a inne na przykład praktykantów wprowadzających dane z ankiet nadesłanych przez klientów firmy. Do tej pory takie ustawienie nie było możliwe, co w wielu środowiskach było istotnym problemem. W Windows Server 2008 można to zrobić, choć nie jest to zupełnie proste. Aby utworzyć politykę haseł dla grupy wykonaj następujące czynności: Zaloguj się na serwerze DC01 (kontrolerze domeny) Ustaw minimalną długość hasła w domenie na 8 znaków (Menu Start» Utwórz grupę (global security group) Praktykanci Utwórz użytkownika Praktykant01 z hasłem P@ssw0rd Ustaw parametry użytkownika Praktykant01 tak, aby należał wyłącznie do grupy Praktykanci Spróbuj zresetować hasło użytkownika Praktykant01 i zmienić je na prostsze (na przykład abc ) 4

7. Utwórz PSO (Password Settings Object) dla nowej grupy: 7. Stwórz plik tekstowy o zawartości: dn: CN=PSO_Praktykanci, CN=Password Settings Container,CN=System,DC=hhh,DC=pl changetype: add objectclass: msds-passwordsettings msds-maximumpasswordage:-1728000000000 msds-minimumpasswordage:-864000000000 msds-minimumpasswordlength:3 msds-passwordhistorylength:24 msds-passwordcomplexityenabled:false msds-passwordreversibleencryptionenabled:false msds-lockoutobservationwindow:-18000000000 msds-lockoutduration:-18000000000 msds-lockoutthreshold:0 msds-passwordsettingsprecedence:20 msds-psoappliesto:cn=praktykanci,cn=users,dc=hhh,dc=pl Zwróć uwagę, że podobnie jak we wcześniejszych wersjach systemu, czasy podaje się w sekundach pomnożone przez -10000000 9. 7. Uruchom interpreter poleceń (cmd.exe) i wprowadź polecenie ldifde -i -f <twój_plik_pso> Jeżeli polecenie wykona się poprawnie (The command has completed successfully) możesz uruchomić adsiedit i sprawdzić, że w CN=Password Settings Container, CN=System, DC=hhh, DC=pl pojawił się obiekt PSO (ms-ds-password-settings). Wróć do konsoli Active Directory Users and Computers i ponownie spróbuj zmienić hasło użytkownika praktykant01 na proste trzyliterowe. Spróbuj taką samą zmianę wykonać dla użytkownika Jan Kowalski Kolejną przydatną w AD czynnością jest pilnowanie administratorów. Choć osoby z takimi uprawnieniami zazwyczaj są zaufane, to jednak zdarza się czasem potrzeba określenia, kto wykonał jakąś zmianę. Starsze wersje systemu pokazywały KTO zmienił atrybut i NA JAKI. Choć można było wskazać winnego, to naprawienie modyfikacji mogło być trudne, ponieważ nie istniała możliwość sprawdzenia jaka wartość obowiązywała przed zmianą. Windows Server 2008 taką funkcjonalność udostępnia. Możliwości Windows Server 2008 w tym zakresie obejrzeć można w następujący sposób: Zaloguj się na maszynie DC01 Uruchom Menu Start» Administrative Tools» Group Policy Management W drzewie z lewej strony konsoli wybierz domenę hhh.pl, w niej kontrolery domeny, kliknij prawym przyciskiem myszy na Default Domain Controllers Policy i wybierz Edit. http://www.heroshappenhere.pl 5

Wybierz Computer Configuration» Policies» Windows Settings» Security Settings» Local Policies» Audit Policy. W Audit Policy kliknij prawym przyciskiem myszy Audit directory service access i wybierz Properties. Zaznacz Define these policy settings i opcję Success. Kroki Uruchom Menu Start Administrative Tools Group Policy Management-Zaznacz Define these policy settings i opcję Success. zastąpić można poleceniem: auditpol /set / subcategory: directory service changes /success:enable 7. Uruchom Menu Start» Administrative Tools» Active Directory Users and Computers Kliknij prawym przyciskiem grupę Praktykanci i wybierz Properties Wybierz zakładkę Security» Advanced» Auditing. Jeżeli nie widzisz tej zakładki, to zamknij okno właściwości, z menu View wybierz Advanced Features i spróbuj jeszcze raz. Kliknij Add i w polu Enter the object name to select wpisz Authenticated Users i kliknij OK. W polu Apply onto, wybierz Descendant User objects (ostatnia pozycja) W części określającej typ dostępu zaznacz Success dla Write all properties. Przy pomocy przycisku OK. zamknij okna Auditing Entry, Advanced Security Settings i Properties Jeżeli przykładowo zmienisz teraz nazwę grupy Praktykanci, w Event Logu Security znajdziesz wpis numer 4781 zawierający szczegółowe informacje o tym wydarzeniu, wraz ze starą nazwą grupy. Laboratorium Serwer CORE Uruchom serwer CORE01 i zaloguj się. Pamiętasz jak dodałeś funkcjonalność klienta telnet? A skąd wiadomo jak dana funkcjonalność się nazywa i czy w ogóle jest dostępna? Służy do tego polecenie oclist.exe Spróbuj je wykonać i w wynikach zwróć uwagę: Które role i funkcje są zainstalowane. Powinieneś znaleźć jedną zainstalowaną w trakcie przygotowania laboratorium i jedną zainstalowaną przez Ciebie w poprzednich ćwiczeniach. Jak dużo różnych elementów związanych jest z IIS7 Które role mają w nazwie CORE. Role te zwykle są w niewielkim stopniu inne niż ich odpowiedniki w wersji pełnej. Mimo, że wersja CORE pozbawiona została GUI, trzy aplikacje są na tyle przydatne administratorowi, że zdecydowano się na ich pozostawienie. Są to: Notatnik uruchamiany poleceniem notepad.exe. Działa również polecenie edit, jeżeli komuś zależy na trybie tekstowym oraz type, edlin i kilka innych jak na przykład copy con dla prawdziwych twardzieli. Edytor rejestru uruchamiany poprzez regedit.exe. Można go uruchomić również przez regedt3 Dla miłośników linii poleceń pozostaje polecenie Reg.exe Menedżer zadań uruchamiany przez taskmgr.exe lub przez menu dostępne po Ctrl+Alt+Del. Dla zwolenników czystej formy udostępniono takslist.exe W pełnym serwerze, każdy z tych programów udostępnia możliwość przeglądania zasobów komputera. W notatniku i edytorze rejestru jest to okno dialogowe Save As... a w Menedżerze zadań okno dostępne po wybraniu File New Task (Run) Browse... 6

Serwer CORE nie posiada niezbędnych modułów stąd, zachowuje się inaczej niż wersja pełna. Porównaj wygląd (i możliwość uruchomienia) tych okien dialogowych w CORE01 i DC0 Typowe operacje administracyjne na świeżo zainstalowanym serwerze CORE obejmują zazwyczaj zmianę adresu IP, ustawienie DNS i dodanie do domeny. Resztę zazwyczaj można zrobić już przez Group Policy. Jeżeli chcesz zobaczyć jak się ustawia parametry serwera zajrzyj do pliku c:\domena.txt. Wpisy w drugiej części dokumentu (zaczynające się od iscsicli.exe) służą do podłączania dysków na których w kolejnych ćwiczeniach zostanie zbudowany cluster. Laboratorium Cluster Włącz serwer DC01 a po jego pełnym uruchomieniu serwery CORE01 oraz CORE0 Niektóre usługi sieciowe zaprojektowane są tak, żeby wiele serwerów dzieliło się zadaniami również w przypadku awarii jednego z serwerów. Jako przykład wymienić można tu Active Directory. Przy wielu serwerach nawet długotrwała awaria jednego z nich nie zaburzy funkcjonowania usług katalogowych. W wielu przypadkach, sytuacja wygląda jednak tak, że usługa w danym momencie działać może tylko na jednym serwerze a mimo to trzeba zapewnić jej wysoką dostępność. Z pomocą przychodzi tu cluster. Jest to grupa komputerów świadoma że daną usługę należy utrzymać w działaniu. W danym momencie tylko jeden serwer ma ją włączoną, jednak w przypadku awarii, inny węzeł clustra przejmuje usługę wraz z jej zasobami i nadal udostępnia w sieci określoną funkcjonalność. Aby w praktyce sprawdzić działanie clustra, skonfigurować można nasłuchującą na porcie UDP/162 usługę SNMP Trap. Choć istnieją bardziej wyszukane (i przydatne) usługi sieciowe, to w przypadku SNMP całe ćwiczenie jest proste i szybkie. Aby utworzyć cluster z dwóch serwerów CORE należy na każdym z nich zainstalować rolę FailoverCluster-Core. Rola ta jest już zainstalowana na CORE01 i CORE0 Ponadto, serwery te muszą mieć dostęp do współdzielonego zasobu dyskowego. Zasób taki działa na serwerze DC0 Aby utworzyć nowy cluster, wykonaj następujące działania: 7. 9. Zaloguj się na serwerze DC01 Z narzędzi administracyjnych wybierz Failover Cluster Management Wybierz opcję Create a cluster. Na powitalnej stronie kreatora kliknij Next Dodaj do listy węzłów serwer CORE01 oraz CORE02 i kliknij Next Wprowadź nazwę swojego clustra i jego adres IP. Proponowane wartości to CLUSTER01 i 19160.20 Kliknij Next Jeżeli podsumowanie jest zgodne z twoimi oczekiwaniami kliknij Next Po utworzeniu clustra zweryfikuj czy w raporcie nie ma komunikatów błędu. Wybierz Finish Twój cluster jest gotowy do działania. W oknie cmd.exe wpisz polecenie ping cluster01 i zobacz, że nowy adres sieciowy jest aktywny. Wróć do Failover Cluster Management. Z drzewa obiektów po lewej stronie wybierz cluster CLUSTER0hhh.pl, kliknij go prawym przyciskiem myszy i wybierz More Actions Configure Cluster Quorum Settings. Kliknij Next na ekranie powitalnym Pozostaw wybraną opcję Node and Disk Majority i kliknij Next Na liście dostępnych dla clustra dysków znajdź dysk o pojemności 253MB. Ten dysk wybierz jako quorum a dysk 1GB pozostaw dla innych zasobów. Kreator clustra nie pytał o wybór dysku a dla quorum przeznaczony był mniejszy dysk. Kliknij Next http://www.heroshappenhere.pl 7

7. Na ekranie z podsumowaniem kliknij Next Poczekaj na wykonanie operacji i sprawdź czy wykonała się poprawnie Wybierz z drzewa obiektów Storage i sprawdź czy właściwy dysk jest wybrany jako quorum Pora teraz przygotować wybraną przez nas jako przykład usługę SNMP tak, aby działała niezależnie od awarii któregoś z węzłów. W tym celu: Wybierz z drzewa obiektów Services and Applications i sprawdź czy twoja usługa SNMP01 jest na liście. Zobacz który węzeł jest aktualnie właścicielem usługi. Kliknij usługę SNMP01 prawym przyciskiem myszy i wybierz Properties. Na zakładce Failover ustaw parametr Maximum failures na 1000. Zostawienie domyślnej wartości 2 sprawi, że po dwóch awariach cluster stwierdzi, że usługa ta jest tak awaryjna, że nie warto jej podnosić i ćwiczenie nie wyjdzie. 7. 9. 10. 1 1 Wybierz z drzewa obiektów Services and Applications Z menu kontekstowego wybierz Configure a Service or Application Na ekranie powitalnym kliknij Next Wybierz z listy Generic Service i kliknij Next Z listy usług wybierz SNMP Trap i kliknij Next Wybierz nową nazwę sieciową i adres dla usługi. Na przykład SNMP01 i 19160.202 Kliknij Next Usługa SNMP Trap nie potrzebuje własnego dysku, ale w tym ćwiczeniu możemy ją z dyskiem powiązać. W tym celu należy zaznaczyć checkbox przy nazwie dysku. Warto zwrócić uwagę, że z dwóch dostępnych dysków, kreator proponuje tylko ten, na którym nie ma quorum. Kliknij Next Ponieważ nie współdzielimy fragmentów rejestru pomiędzy węzłami, w kolejnym oknie należy kliknąć Next Jeżeli podsumowanie jest zgodne z oczekiwaniami, należy kliknąć Next Zweryfikuj raport i kliknij Finish Wykonaj następujące ćwiczenie: 7. Zaloguj się na węzłach clustra (CORE01 i CORE02) Uruchom poleceniem taskmgr.exe Menedżera Zadań na obu węzłach. Na obu węzłach znajdź proces snmptrap.exe. Powinien istnieć tylko na węźle, który w danej chwili jest właścicielem usługi clustra W konsoli na obu węzłach wpisz netstat an findstr /i :162 Uwaga! Przed dwukropkiem w poleceniu jest spacja. Zwróć uwagę, że tylko aktualny właściciel usługi nasłuchuje na porcie UDP/162 Na komputerze DC01 uruchom polecenie ping t SNMP01 Wyłącz węzeł będący właścicielem usługi SNMP01 poprzez wpisanie shutdown /s /t 15 W czasie wyłączania obserwuj na DC01 zachowanie menedżera clustra oraz polecenia ping Po wyłączeniu węzła i ponownym podniesieniu się usługi do stanu online, zaloguj się na działającym węźle i sprawdź: Stan procesu snmptrap.exe w Medżerze Zadań Wynik polecenia netstat an findstr /i :162 Możesz już uruchomić wyłączony węzeł. Poczekaj, aż na liście węzłów (Nodes) pojawi się on ze statusem Up. Jak widzisz, zabezpieczona usługa działa mimo wyłączenia węzła, na którym pracowała. Jeżeli boisz się, że oba węzły na raz ulegną awarii Windows Server 2008 dopuszcza clustry do 16 węzłów. Na którymś z nich usługa przeżyje na pewno! Warto zwrócić uwagę, że przy bardziej zaawansowanych konfiguracjach można wybrać, którym węzłom wolno przejąć daną usługę. Należy zwrócić uwagę, że w praktyce, celowe przeniesienie usługi z węzła na węzeł nie musi polegać na wyłączaniu serwerów. Wystarczy kliknąć nazwę usługi (SNMP01) prawym przyciskiem myszy i wybrać Move this service or application to another node. Konieczne jest potwierdzenie, że wiesz co robisz i gotowe! Ćwiczenie to pokazuje również inną ważną rzecz: sposób pracy z serwerami CORE. Gdybyś nie chciał weryfikować procesów i portów, logowanie na węzłach nie byłoby w ogóle potrzebne. Wszystko, co ważne wykonywałeś z serwera DC0 I o to właśnie chodzi w CORE. On ma działać. A do zarządzania możesz używać narzędzi GUI na komputerze, który GUI posiada. 8

Pamiętaj, że cluster nie zabezpiecza przed awariami. Po prostu, jeżeli zdarzy się coś złego sam przeniesie usługi i zasoby z zepsutego węzła na sprawny. Zawsze będzie się to wiązać z przerwą w pracy (pamiętasz ping t?), ale na szczęście niedługą. Klienci zabezpieczanych clustrem usług muszą w przypadku awarii wiedzieć, że trzeba poczekać i spróbować jeszcze raz za kilka sekund. Laboratorium Firewall Włącz węzeł DC01 a po jego pełnym uruchomieniu SRV0 Jedną z ciekawych funkcjonalności Windows Server 2008 jest nowy firewall. Firewall ten, w stosunku do poprzednich wersji systemu został rozbudowany i udoskonalony, przez co może zostać uznany za pełnoprawne rozwiązanie, które faktycznie pozwala na dostosowanie ochrony połączeń sieciowych do realiów systemu. Jedną z ciekawych możliwości firewalla jest wykrywanie lokalizacji sieciowej. W systemie zdefiniowano trzy następujące lokalizacje i odpowiadające im profile firewalla: Domena Sieć prywatna Sieć publiczna Każda reguła firewalla zawiera informację na temat tego, jakiego profilu dotyczy. Przykładowo, ustawienia reguł w domenie pozwolą na zdalne zarządzanie systemem, podczas gdy w każdej innej sieci połączenia z usługami RDP zostaną zablokowane. System sam określa, w jakiej sieci się znajduje i choć brzmi to tajemniczo, daje się prosto wytłumaczyć. Za identyfikację lokalizacji odpowiada serwis NLA, czyli Network Location Awareness. Bada on parametry, takie jak aktywny interfejs sieciowy, istnienie w sieci lokalnej uwierzytelnionego kontrolera domeny i innych komputerów czy adres fizyczny MAC domyślnej bramy. Na podstawie tych informacji można łatwo określić czy komputer jest w domenie, czy nie. W szczególności, wyłączenie interfejsu sieciowego oznacza, że komputer znalazł się w sieci publicznej. Nie widzi domeny, a dopóki administrator nie nakaże zaufania żadna sieć nie jest zaufana. Dla potrzeb niniejszego ćwiczenia, stworzyć można regułę na ruch wychodzący Aby wykonać ćwiczenie, postępuj według poniższej instrukcji: Zaloguj się na komputerze SRV01, jako administrator domeny. Jeżeli twój pulpit będzie czerwony oznacza to, że zalogowałeś się na złe konto! Ustaw pokazujące się po starcie aplikacje tak, aby nie uruchamiały się automatycznie Zaloguj się na DC01 i przy pomocy polecenia ipconfig odczytaj adres IP oraz adres IPv6 Na komputerze SRV01 uruchom w jednym oknie polecenie ping t <adres_ip_komputera_dc01> a w drugim oknie ping t <adres_ipv6_komputera_dc01> 7. 9. 10. Uruchom applet zarządzania połączeniami sieciowymi. Upewnij się, że oba polecenia ping poprawnie komunikują się z DC01 Wyłącz interfejs sieciowy i zaobserwuj co stało się z pingiem Włącz interfejs sieciowy Zwróć uwagę po jakim czasie od włączenia interfejsu powraca możliwość przesyłania pakietów. Uruchom konsolę zarządzającą Windows Firewall with Advanced Security http://www.heroshappenhere.pl 9

1 Stwórz nową regułę, która w sieci publicznej zabroni wysyłania pakietów ICMP. W tym celu: 1 Kliknij w lewym panelu zarządzania firewallem na Outbound Rules 1 W prawym panelu kliknij New Rule 1 Wybierz Custom. Wprawdzie niezależnie od wyboru opcji, reguły mają te same funkcjonalności, to wybór wpływa na to jak wyświetla się kreator reguły. 1 Wybierz All Programs 1 W polu Protocol Type wybierz ICMPv4 1 Pozostaw Any IP Address dla lokalnego i zdalnego adresu. 17. Wybierz Block Connection 1 Pozostaw zaznaczony tylko profil Public 19. Nazwij regułę Deny ICMPv4 Public Gotowe! Stworzyłeś obowiązującą w profilu publicznym regułę, która zabrania wychodzącego ruchu ICMPv Wybierz z lewej strony najwyższy węzeł drzewa i w środkowym panelu zobacz, który profil firewalla jest aktywny.w profilu domenowym, stworzona przez Ciebie reguła nie obowiązuje, i dlatego ping nadal działa poprawnie. Teraz, w oknie Network Connections kliknij prawym przyciskiem myszy na połączeniu i wybierz Disable. Z oczywistych powodów ping przestał zwracać informację o udanym połączeniu tak dla IP jak i dla IPv Zwróć uwagę w konsoli zarządzania firewallem, jaki profil obowiązuje. Publiczny! Czyli niezależnie od braku połączenia sieciowego, działa reguła zabraniająca poleceniu ping na adres IP wysyłania pakietów. Spróbuj teraz pomyśleć, co stanie się po włączeniu interfejsu. Wprawdzie pingi prawie od razu zaczną być przesyłane, to jednak dopóki aktywny jest profil Public będzie obowiązywał zakaz ruchu. Profil automatycznie przełączy się na domenę, ale serwerowi chwilę zajmie wykrycie, że w jego sieci jest aktywny kontroler domeny. Żeby to sprawdzić, wykonaj następujące działania: Ustaw okna ping, ping po IPv6 oraz zarządzania połączeniami sieciowymi tak, żeby widzieć wyniki poleceń ping podczas włączania interfejsu Kliknij dwukrotnie na ikonie interfejsu Obserwuj pingi. Jak łatwo zauważyć, ping używający ICMPv6 niemal natychmiast podejmuje pracę dla niego nie ma żadnej reguły. Natomiast ping na adres IP nie zacznie działać dopóki serwer nie wykryje, że znalazł się w nowej sieci i w efekcie nie przekonfiguruje firewalla. Zajmuje to w praktyce 5-10s. Laboratorium 7. NAP NAP (Network Access Protection) jest mechanizmem, który potrafi wyizolować z sieci komputery nie spełniające firmowych reguł. Izolacja ta wykonywana być może wieloma sposobami i jest skuteczna nawet, jeżeli komputer jest fizycznie wpięty do sieci. W niniejszym ćwiczeniu, skonfigurujesz środowisko NAP w taki sposób, aby komputer bez włączonej usługi firewall nie mógł komunikować się z kontrolerem domeny. 10

W tym celu, przygotuj środowisko w następujący sposób: 7. 9. 10. 1 Uruchom serwer DC01 Zaloguj się na DC01 Zainstaluj na DC01 rolę Active Directory Certificate Services (powinieneś już wiedzieć jak: Server Manager» Roles» Add Role) Z usług roli wybierz tylko Certification Authority Wybierz Enterprise CA Wybierz Root CA Wybierz Create a New Private Key Parametry kryptograficzne pozostaw z wartościami domyślnymi Pozostaw domyślną nazwę CA (hhh-dc01-ca) 7. Pozostaw domyślny czas życia certyfikatu (5 lat) Pozostaw domyślne lokalizacje plików Załóż na DC01 domenowe konto user1 i dodaj je do grupy Domain Admins Załóż w domenie hhh.pl nowe grupy (Security, Global) w AD i nazwij je NAP Clients oraz IPsec NAP Exemption Dodaj komputer SRV01 do grupy IPsec NAP Exemption i uruchom go. Uruchom przystawkę certtmpl.msc Kliknij prawym przyciskiem myszy na szablonie Workstation Authentication i wybierz Duplicate Template Wybierz tryb zgodności z Windows 2008 Nazwij nowy szablon System Health Authentication Zaznacz automatyczne publikowanie w AD 1 Na zakładce Extensions» Application Policies wybierz Edit» Add wybierz System Health Authentication 1 Na zakładce Security dodaj grupę IPsec NAP Exemption z prawem Read, Enroll i AutoEnroll 1 Zamknij konsolę certtmpl.msc 1 Uruchom konsolę certsrv.msc 1 Kliknij prawym przyciskiem myszy na Certificate Templates i wybierz New» Certificate Template to Issue 17. Wybierz System Health Authentication 1 Zweryfikuj, czy wybrany szablon dodał się do listy i zamknij konsolę. 19. Uruchom konsolę Group Policy Management 20. Kliknij prawym przyciskiem domyślną politykę domeny i wybierz Edit 2 W edytorze wybierz Computer Configuration» Windows Settings» Security Settings» Public Key Policies 2 Kliknij dwukrotnie Certificate Services Client Autoenrollment 2 Przełącz politykę na Enabled i zaznacz obie dostępne opcje 2 Zamknij konsolę. 2 Zaloguj się na SRV01 2 Uruchom mmc i dodaj przystawkę Certificates dla konta komputera lokalnego 27. Otwórz gałąź Certificates (Local Computer), kliknij prawym przyciskiem myszy na Personal, wybierz All Tasks i Request New Certificate 2 Wybierz Computer i kliknij Enroll. 29. Sprawdź czy operacja zakończyła się sukcesem Sprawdź czy w Certificates (Local Computer) 30.» Personal» Certificates jest certyfikat przeznaczony do System Health Authentication oraz Client Authentication Zamknij konsolę, odpowiadając No na pytanie o zapis. 3 Zainstaluj rolę Active Directory Certificate Services oraz 3 Network Policy and Access Services W usługach roli zaznacz Health Registration Authority 3 i wyraź zgodę na doinstalowanie niezbędnych składników. W kolejnym ekranie wybierz Install a local CA to issue 3 health certificates for this HRA server Wybierz No, allow anonymous requests for health 3 certificates Wybierz Choose an existing certificate for SSL encryption 3 (recommended) i zaznacz wyświetlony na liście certyfikat Na ekranie konfiguracji AD CS zaznacz tylko Certification 37. Authority Wybierz Standalone a następnie Subordinate CA 3 i Create a new private key Zaakceptuj domyślne parametry kryptograficzne 39. Pozstaw domyślną nazwę CA 40. Wybierz Send a certificate request to a parent CA 4 i kliknij Browse. Wybierz swój root CA 4 Przez pozostałe ekrany kreatora przejdź używając 4 wartości domyślnych. Po kliknięciu Install cały proces może zająć kilka minut. 4 Błąd mówiący, że HRA could not be configured due to 4 a failure to get the name of the local CA można zignorować. Dane zostaną poprawione w późniejszych krokach. Dodaj funkcjonalność Group Policy Management. Robi się 4 to tak samo jak dla roli, tylko w innej gałęzi Server Manager Uruchom konsolę certsrv.msc i wybierz właściwości serwera 47. SRV01 Wybierz właściwości Policy Module 4 Wybierz Follow the settings in the certificate template, 49. if applicable. Otherwise, automatically issue the certificate i po kliknięciu OK. potwierdź informację o konieczności restartu usługi http://www.heroshappenhere.pl 11

50. Zrestartuj usługę korzystając z All Tasks dostępnego z menu kontekstowego dla CA 5 We właściwościach serwera hhh-srv01-ca wybierz zakładkę Security i dodaj Network Service z prawami Issue and Manage Certificates, Manage CA, oraz Request Certificates 5 Zamknij konsolę. 5 Uruchom Server Manager i wybierz Roles» Network Policy and Access Services» Health Registration Authority(SRV01)» Certification Authority. Jeżeli nie masz takiej gałęzi, zamknij i otwórz Server Manager. 5 Kliknij prawym przyciskiem myszy Certification Authority, i wybierz Add certification authority 5 Kliknij Browse i wybierz CA na serwerze SRV01 5 Wybierz właściwości Certification Authority i sprawdź czy wybrana jest opcja Use standalone certification authority 57. Zamknij Server Manager 5 Uruchom nps.msc i wybierz NPS (Local) 59. W głównym panelu kliknij Configure NAP 60. Jako metodę połączenia wybierz IPsec with Health Registration Authority (HRA) i kliknij next. Zwróć uwagę na inne dostępne metody łączenia. 6 Nie dodawaj klientów RADIUS ponieważ NPS zainstalowany jest lokalnie. 6 Nie dodawaj grup. Nie są w tym ćwiczeniu potrzebne 6 Upewnij się, że checkboxy Windows Security Health Validator oraz Enable auto-remediation of client computers są zaznaczone 6 Dokończ pracę z kreatorem 6 W drzewie z lewej strony, wybierz Network Access Protection» System Health Validators 6 Kliknij dwukrotnie Windows Security Health Validator i wybierz Configure 67. Ponieważ w laboratorium weryfikujemy tylko działanie firewalla, pozostaw zaznaczony tylko pierwszy checkbox. 6 Zamknij okno i konsolę zarządzającą NPS 69. Uruchom konsolę gpme.msc, i w oknie wyboru kliknij ikonę tworzenia nowego GPO 70. Nazwij GPO NAP client settings 7 Przejdź do Computer Configuration» Policies» Windows Settings» Security Settings» System Services 7 Kliknij dwukrotnie Network Access Protection Agent i ustaw start na Automatic 7 Przejdź do Network Access Protection» NAP Client Configuration» Enforcement Clients 7 Kliknij prawym przyciskiem myszy IPSec Relying Party i wybierz Enable 7 Otwórz gałąź NAP Client Configuration» Health Registration Settings» Trusted Server Groups 7 Kliknij prawym przyciskiem myszy Trusted Server Groups i dodaj grupę Trusted HRA Servers. Jako adres URL wpisz https://srv0hhh.pl/domainhra/hcsrvext.dll i kliknij Add 77. Kliknij Finish 7 W drzewie kliknij prawym przyciskiem myszy na NAP Client Configuration i wybierz Apply 79. Przejdź do Computer Configuration» Policies» Administrative Templates» Windows Components 80. 8» Security Center Ustaw politykę Turn on Security Center (Domain PCs only) na włączoną Zamknij okno GPME, wybierając Yes przy ewentualnym pytaniu o zapis 8 Uruchom gpmc.msc i przejdź do Forest: hhh.pl» Domains 8 8 8 8 87. 8 89. 90. 9 9» hhh.pl» Group Policy Objects» NAP client settings Usuń Authenticated Users z sekcji Security Filtering i dodaj tam NAP clients Zamknij konsolę. Zaloguj się na DC01 i dodaj komputer CLI01 do grupy NAP Clients Uruchom CLI01 i zaloguj się jako dodany w punkcie Załóż na DC01 domenowe konto user1 i dodaj je do grupy Domain Admins User1 Uruchom konsolę wiersza poleceń i wpisz netsh nap client show grouppolicy Zweryfikuj status IPSec Relying Party. Powinien być Enabled Zweryfikuj status Trusted HRA Servers. Powinien wskazywać na URL podany w punkcie Kliknij prawym przyciskiem myszy Trusted Server Groups i dodaj grupę Trusted HRA Servers. Jako adres URL wpisz https://srv0hhh.pl/domainhra/hcsrvext.dll i kliknij Add W konsoli wpisz netsh nap client show state i sprawdź parametr Initialized ma dla IPSec Relying Party jest wartość Yes Jeżeli są problemy, to sprawdź czy komputer CLI01 na pewno jest w grupie NAP Clients, ewentualnie dodaj grupę Authenticated Users usuniętą w punkcie Usuń Authenticated Users z sekcji Security Filtering i dodaj tam NAP clients Jeżeli nadal pojawiają się problemy, upewnij się, że twoje ustawienia z punktów Przejdź do Computer Configuration» Policies» Windows Settings» Security Settings» System Services-Kliknij prawym przyciskiem myszy Trusted Server Groups i dodaj grupę Trusted HRA Servers. Jako adres URL wpisz https://srv0hhh.pl/domainhra/ hcsrvext.dll i kliknij Add zostały zapisane. 12

O ile wszystko wykonałeś poprawnie, masz komputer kliencki, na którym wymusiłeś zgodność z firmowymi regułami. Po pierwsze, bez działającego firewalla nie zostanie wpuszczony do sieci, po drugie NAP podejmie próbę automatycznego uruchomienia firewalla jeżeli wykryje, że ten nie działa. Po udanym uruchomieniu oczywiście komputer będzie włączony do sieci. Sprawdźmy. Na CLI01, uruchom firewall.cpl i spróbuj wyłączyć firewall. Udało się? Na długo? Nie dość, że NAP sam naprawi komputer, to oczywiście zapisze dokładny raport w logach systemowych. Potrafisz znaleźć logi NAP na stacji roboczej? Skonfiguruj teraz NAP tak, żeby nie miał szans na naprawę. Wystarczy spróbować wymusić na stacji aktualne oprogramowanie antywirusowe, podczas gdy żaden tego typu program nie został zainstalowany. W tym celu: Zaloguj się na SRV0 Uruchom nps.msc Wybierz Network Access Protection» System Health Validators. Dwukrotnie kliknij na Windows Security Health Validator i wybierz Configure Wymuś działanie programu antywirusowego (nie musi być aktualny) i zamknij okna konfiguracji. Pozwól zorientować się komputerowi CLI01, że coś jest nie tak. Można chwilę poczekać, można wyłączyć i włączyć sieć, można spróbować wyłączyć firewall. Ta ostatnia opcja jest najprostsza i najszybsza, bo kilkanaście kroków temu sam zaakceptowałeś czas ważności certyfikatu zdrowia wynoszący 4h 7. Firewall wprawdzie się włączył, ale komputer zgodny z wytycznymi nie jest, o czym jasno informuje. Zlikwiduj wymóg posiadania antywirusa i znowu wyłącz firewall. Komputer powinien stwierdzić, że jego konfiguracja jest zgodna z politykami. Komputer wprawdzie wykrywa niezgodność, ale nie blokuje ruchu. To bardzo dobra metoda na wdrożenie NAP. Najpierw sprawdź co może nie zadziałać a dopiero później blokuj ruch, jak jesteś pewny co może pójść źle. Jeżeli masz jeszcze czas w ramach laboratorium możesz spróbować zablokować połączenia z komputerami niezgodnymi z polityką. Aby zablokować komunikację z niezgodnym komputerem, postąp tak: Na DC01 stwórz OU: IPSec Secure Na SRV01 uruchom gpme.msc i wybierz IPSec Secure Stwórz nowy GPO: Secure Policy Otwórz gałąź Secure Policy [hhh.pl] Policy» Computer Configuration» Policies» Windows Settings» Security Settings» Windows Firewall with Advanced Security» Windows Firewall with Advanced Security LDAP... Kliknij prawym przyciskiem myszy na Windows Firewall with Advanced Security LDAP... i wybierz Properties We wszystkich trzech profilach ustaw stan na On, inbound na Block a outbound na Allow i kliknij OK 7. Rozwiń Windows Firewall with Advanced Security LDAP... i kliknij prawym przyciskiem myszy na Connection Security Rules» New Rule Wybierz Isolation 9. Wybierz Require authentication for inbound connections and request authentication for outbound connections 10. Wybierz Computer Certificate, zaznacz Only akcept health certificates i przy pomocy Browse wskaż root CA (DC=pl, DC=hhh, CN=hhh-DC01-CA) 1 Upewnij się, że zaznaczone są wszystkie trzy profile, nazwij swoją regułę Secure Rule i gotowe. 1 Z gałęzi inbound rules stwórz regułę bazując na predefiniowanej File and Printer Sharing. 1 Zaakceptuj domyślne wartości 1 Zaznacz opcję Allow the connection if it is secure, kliknij Next i Finish akceptując domyślne dane. Przenieś teraz SRV01 oraz CLI01 do OU IPSec Secure i na przeniesionych komputerach wykonaj gpupdate /force Sprawdź czy CLI01 wykonuje poprawnie ping t SRV0 Na SRV01 może pojawić się błąd zgodności z regułami, ale dla tego komputera nie konfigurowałeś SHA, więc trudno się dziwić. W tej chwili wyłączenie firewall sprawi, że komputer nie ma łączności z siecią. Laboratorium niniejsze jest w pewnym stopniu sztuczne, ponieważ niewielki rozmiar środowiska testowego zmusza do mało realnych rozwiązań. W praktyce jednak, NAP jest doskonałą metodą zagwarantowania, że w sieci lokalnej łączność nawiązują tylko komputery zgodne z regułami określonymi przez administratora. A niezgodne same się naprawiają. http://www.heroshappenhere.pl 13

Laboratorium Terminal Services Zmiany w Terminal Services wydają się być najbardziej widowiskowe. Dzięki usługom terminalowym, można w prosty sposób udostępniać pojedyncze aplikacje a nie tylko cały pulpit. Łatwo to samodzielnie sprawdzić. Zaloguj się na SRV01 jako administrator Zaloguj się na CLI01 jako Jan.Kowalski, zwróć uwagę na plik na pulpicie i na to, czy możesz go otworzyć. Sprawdź czy na DC01, użytkownik Jan.Kowalski należy do grupy Remote Desktop Users Na SRV01 uruchom Menu Start» Administrative Tools» Terminal Services» TS Remote Apps Manager Wybierz z prawego panelu Add Remot App Programs Wybierz aplikacje gadu-gadu oraz Microsft Office Excel Viewer 2003 7. Opublikuj gadu-gadu przez plik RDP a Excel Viewer przez plik MSI (Windows Installer Package) 7. Dla publikacji przez RDP pozostaw domyślne parametry 7. Dla publikacji przez MSI w drugim ekranie kreatora opcję Associate Client Extension... 9. 10. 1 1 1 Udostępnij w sieci folder Packaged Programs w którym utworzone zostały pliki Otwórz udostępniony folder na komputerze CLI01 Uruchom gg jako hhh\jan.kowalski i poczekaj na uruchomienie (w środowisku testowym nawet kilka minut). Możesz włączyć zapamiętywanie haseł. W czasie uruchamiania zainstaluj xlview. Zwróć uwagę, że instalacja MSI może wymagać praw administratora, z drugiej jednak strony można ją zautomatyzować przy pomocy GPO Zwróć uwagę, co się stało z ikoną pliku na pulpicie, ale nie uruchamiaj go przed uruchomieniem gg Jeżeli gadu-gadu uruchomiło się poprawnie, na ikonie Excela na pulpicie. Przy pomocy Menedżera zadań określ jakie procesy odpowiadają za Excela i Gadu-gadu. Jak widzisz, użytkownikowi nie jest łatwo określić czy aplikacja jest uruchomiona lokalnie czy na serwerze. Działa klikanie w ikony, drag&drop, Copy&Paste i wszystkie typowe zachowania użytkowników. Zwróć uwagę, że niezależnie od ilości aplikacji, wszystkie obsługiwane są przez jeden proces mstsc.exe. 14