Beruflich Dokumente
Kultur Dokumente
De ce ghid?
S uplimentul de fa este primul dintr-o serie mai ampl
pe care editura Vogel Burda Communications dorete
s vi le ofere alturi de revista CHIP. Ne-am gndit c este
cea mai bun modalitate prin care putem s rspundem
cererilor dumneavoastr i s v oferim informaii de-
taliate despre modul n care se poate folosi optim un
anumit produs software. Vei putea gsi aici ci prin care
s rezolvai diferite scenarii de lucru i sfaturi care s v
foloseasc atunci cnd dorii s explorai scenarii noi.
Ionu Blan Am ales s ncepem cu Windows Server 2008 pentru
Chief of Software Testlab c este un produs de generaie nou, lansat de curnd, ce
CHIP Computer & Communications s-a schimbat semnificativ de la o versiune la alta. n plus,
ionut_balan@chip.ro numrul mare de participani la evenimentul de lansare
n Romnia (peste 1200) ne face s credem c piaa local
este interesat de ct mai multe informaii legate de Win-
dows Server 2008.
Putei folosi acest ghid pentru a intra n contact cu
cteva din elementele noi pe care Windows Server 2008 le
aduce sau putei s l folosii pentru a crea i experimenta
o structur minimal pentru managementul drepturilor
de acces n cadrul unei reele. Vei putea gsi informaiile
de baz pe care un administrator de reele Windows tre-
buie s le aib. Peste ele construii singuri.
Credem c va fi o modalitate simpl i incitant prin
care s v testai i extindei cunotinele n domeniu. L-am
fcut de dimensiuni mici ca s l putei lua cu dumneavoastr
atunci cnd va fi necesar. Dac v este de folos sau nu,
dumneavoastr decidei. Noi am fcut primul pas!
Ghid de utilizare
6
Cuvnt nainte
Scenarii de utilizare pentru Windows Server 2008
i 9 motive pentru a migra ctre noua versiune.
8
Instalare
Windows Server 2008
Paii necesari pentru o instalare de baz a lui Win-
dows Server 2008. Sfaturi pentru un deployment
reuit.
10
{Virtualizare} n
Windows Server 2008 x64
Cum se instaleaz i se folosete rolul Hyper-V.
Sfaturi despre cum se instaleaz un server virtu-
alizat.
14
Instalarea i configurarea unui
Domain Controller
Paii ce trebuie parcuri pentru a crea o
structur Active Directory folosind rolul Active
Directory Domain Services.
20
Instalarea i configurarea
rolurilor DHCP i NAP
Alocarea dinamic de adrese i crearea unor
politici de protecie n cadrul reelei.
28
Partajarea de resurse n
Windows Server 2008
Instalarea rolurilor File i Print Services i setri
minimale pentru folosirea opiunilor quota pe
serverul de fiiere.
30
Roluri i opiuni
17 roluri i 35 de opiuni disponibile n Windows
Server 2008.
2. Flexibilitatea accesului la
aplicaii pentru utilizatorii
remote: TS RemoteApp
Windows Server 2008 vine cu
inovaii i mbuntiri la nivelul
Terminal Services. Una dintre ele
Cuvnt {nainte}
A
este cea care le permite utilizato- colo unde exist mai mult de dou calculatoare, este aproape
rilor s acceseze ntr-un terminal
server o aplicaie i nu un desktop
inevitabil constituirea unei reele. Or n momentul de fa chiar
(TS RemoteApp). i n casele noastre exist mai mult de dou PC-uri conectate la inter-
net. Iar cnd vine vorba despre mediul de afaceri, aproape c nu mai
3. Instalare modular: exist firm (orict de mic ar fi) care s nu aib constituit o reea de
Server Core
calculatoare n care mai muli utilizatori i disput drepturile de acces
Multe servere funcioneaz doar
cu un singur rol i acela este mis- la internet, imprimant sau fax.
sion-critical n cadrul reelei. Noua De aici i pn la necesitatea unei structuri clare a reelei, cu o evi-
opiune de instalare Server Core
den real a tuturor operaiilor ce se realizeaz prin reea i a dreptu-
permite instalarea ntr-un mediu
minimal, cu o mai bun acoperire rilor de acces pe care fiecare membru le are, nu este dect un mic pas.
a resurselor hardware i cu o su- Spunem mic pentru c la un moment dat necesitatea structurrii co-
prafa redus de atac.
recte a serviciilor i a drepturilor din cadrul reelei va aprea ca natural,
4. Furnizarea de coninut iar principiul optimizrii resurselor va deveni un criteriu important de
i aplicaii web mai bogate: selecie a eventualelor soluii. Imediat ns dup contientizarea acestei
IIS 7.0 nevoi vor aprea problemele legate de cine face, ce va face, cum se va face,
Odat cu creterea complexitii cine se va ocupa, pe ce criterii, ce soluii vom folosi, ct ne cost etc.
aplicaiilor web, a crescut i cererea
pentru serverele capabile s ofere Rspunsul nu este niciodat simplu i necesit o analiz riguroas
astfel de coninut. IIS 7.0 se achit a activitilor ce se desfoar prin reea. Abia pe urm, pe baza rs-
bine de aceast sarcin oferind punsului la aceste ntrebri, va fi posibil s se structureze o schem
coninut dinamic, stream-uri me-
dia, pagini ASP i PHP. primar de funcionare ce mai apoi s fie mbrcat sub forma unor
servere i sisteme de protecie/acces.
5. Performan mai bun n acest ghid vei gsi informaiile necesare pentru instalarea i con-
de reea: noul stack TCP/IP
figurarea serviciilor minimale pe care orice firm ar trebui s se bazeze
Eciena utilizrii limii de band
are un impact direct asupra pro- atunci cnd i desfoar activitatea folosind noul Windows Server
ductivitii utilizatorilor din locaii 2008. Am plecat de la un scenariu de baz ce poate fi aplicat de oricine
remote care trebuie s acceseze dorete s aib un minim de control asupra a ceea ce se ntmpl n
9
motive pentru a
propria reea. Mai exact, vei vedea cum se configureaz un server ca-
migra ctre Windows
pabil s ofere adrese IP calculatoarelor din reea, o structur eficient
Server 2008
de control al accesului utilizatorilor reelei prin Active Directory n
combinaie cu noile servicii NAP (Network Access Protection), cum serverele centrale. Noul stack de
comunicaie din Windows Server
se instaleaz serviciile de partajare de directoare i de imprimant n este optimizat pentru scenarii re-
cadrul reelei guvernate de serverul nostru. mote, negociind mai bine cererile.
Politicile de securitate i recomandrile pentru practici optime nu n combinaie cu Windows Vista,
pe scenarii remote se pot obine
recomand instalarea pe acelai server hardware a tuturor elementelor performane mult crescute.
de mai sus. n plus, pot aprea deseori probleme n funcionare. Prin
urmare este necesar folosirea a cel puin dou configuraii hardware 6. Blocarea accesului n reea:
NAP
pentru a putea rula cu succes.
Cu un numr tot mai mare de
Windows Server 2008 vine ns cu o noutate semnificativ n aceast
dispozitive mobile ce acceseaz
direcie: versiunea pe 64 de bii are inclus un serviciu de virtualizare reeaua intern a companiei devine
(Hyper-V, ntr-o variant de test, versiunea final fiind ateptat n tot mai dicil s se menin n or-
dine politicile de securitate. Net-
urmtoarele luni) prin intermediul cruia este posibil consolidarea
work Access Protection intervine i
serverelor i astfel reducerea costurilor asociate unui astfel de scenariu. aduce un grad sporit de securitate,
Cum majoritatea serverelor actuale au un grad de utilizare ce rareori blocnd automat acele dispozitive
ce nu ntrunesc cerinele minime
depete 80% din capacitate, devine atractiv ideea completrii lor cu
de securitate i update-uri.
servicii capabile s le asigure o ncrcare mai bun.
Foarte multe firme au instalat deja (sau se gndesc la achiziionarea 7. Colaborarea sigur: Active
unuia) un calculator pe post de server ce poate fi uor transformat ntr-o Directory Federated Rights
Management
soluie performant de consolidare a tuturor serviciilor de care au ne-
Companiile ce trebuie s partajeze
voie. Mai mult, n scop educaional, fiecare dintre noi poate testa un informaiile cu diveri parteneri vor
astfel de scenariu. s pstreze totui controlul asupra
Dorim ca acest ghid s fie folosit ca o modalitate simpl de a intra lor: cine le poate accesa, n ce mod,
ce tipuri de documente, dac pot
n contact cu noile tehnologii oferite de Windows Server 2008 i ca un sau nu tiprite sau copiate.
instrument util pentru oricine, prin care s nvee cum se instaleaz i
configureaz un server Windows. 8. Conectarea mediilor
eterogene
Lectur plcut.
Windows Server 2008 include Sub-
system for UNIX-based Applica-
tions (SUA), un sistem multiuser
Configuraie hardware recomandat: similar UNIX prin care se pot aplica
mai mult de 300 de comenzi, utili-
Microsoft ofer informaii despre configuraiile mini- tare i script-uri.
male pe care serverele hardware trebuie s le ntruneasc
pentru a funciona eficient i pe baza lor se poate lua o 9. Administrare, management
i automatizare mai simple:
decizie informat. ns nu ntotdeauna o configuraie Server Manager i PowerShell
minimal poate rspunde tuturor cerinelor. Pe baza Consola de administrare Server
testelor fcute de noi o configuraie hardware mai mult Manager ofer o interfa unitar
dect suficient pentru scenariul prezentat mai sus se pentru cele mai importante ope-
raii de congurare i administrare
poate baza pe un procesor Quad Core Intel Xeon 1,6 a serverului Windows. Sunt aate
GHz, 4 sau 8 GB RAM n funcie de complexitatea servi- i informaii importante despre
ciilor i nivelul de trafic, hard disk de 400 GB eventual n starea sistemului, cu toate pro-
blemele ntlnite.
RAID, dou plci de reea Intel Pro 10/100/1000 LAN.
2. Alegerea partiiei
n urmtoarea fereastr apsm butonul Install
i ateptm cteva secunde. Va fi prezentat o
fereastr de dialog de unde putem selecta versiu-
nea lui Windows Server 2008 pe care o dorim. n
concordan cu scenariul nostru vom alege Win-
dows Server 2008 Enterprise (Full Installation) i
trecem la pasul urmtor.
Presupunnd c avei un hard disk curat, vei
observa c este activ doar opiunea de instalare
Custom (advanced). Clic pe ea i alegei hard dis-
kul/partiia pe care se face instalarea. Putei s l
folosii n totalitate sau doar o anumit partiie. n
teorie, 10 GB sunt suficieni pentru instalare, dar
recomandarea Microsoft specific un spaiu liber
de 40 GB. n exemplul de fa am ales s folosim o
partiie de 24 GB pe care o vom ocupa n totalitate
cu sistemul de operare.
1. Setri
SFAT: preliminare
nainte de a trece la instala- Fiind vorba despre un server
rea unui Domain Controller pentru virtualizat, este necesar s fa-
organizaia dumneavoastr, este
indicat s v schiai structura orga- cem cteva setri preliminare.
nizaional intern i pe baza ei s n primul rnd, asigurai-v c
creai o schem de domeniu (aa- plcile virtuale ale serverului
numitul domain tree). Se pleac
de la numele de domeniu pe care nostru (ai vzut n articolul
l avei asociat unui IP static (s precedent cum se instaleaz)
lum ca exemplu vortal.ro) i pe sunt mapate corect peste cele
el se poate construi o structur.
Tot ca exemplu s zicem c avem fizice ale serverului Hyper-V.
n organizaie patru departamente Apoi, verificai dac plcile
(Testare, Productie, Contabilitate, de reea fizice de pe serverul
Vanzri), pe care le vom putea
mapa pe o structur testare.vortal. Hyper-V au debifat opiunea
ro, productie.vortal.ro, contabili- (Network and Sharing Center,
tate.vortal.ro, respectiv vanzari. Manage Network Connections, placa de reea, clic dreapta, Properties)
vortal.ro. Pe ecare dintre aceste
subdomenii este posibil s se Internet Protocol version 4 i 6.
extind schema funcional. Apoi, pornii Network and Sharing Center din serverul virtual i
SFAT:
Scopul domain local: se folosete
atunci cnd sunt asociate grupu-
rilor permisiuni legate de resurse
i pot alocate doar n acelai
domeniu.
SFAT:
Putei crea mai multe seturi de
IP-uri pentru alocarea dinamic.
Opiunea este interesant atunci
cnd politicile de reea sunt com-
plexe i necesit folosirea altor
clase dect cea despre care am
discutat.
5. Iniializarea NPS
Odat cu Windows Server 2008, Microsoft a introdus un element supli-
mentar de verificare a integritii i sntii sistemelor ce se conecteaz
n reea. Se pleac de la premisa c majoritatea problemelor de securitate
ce apar n cadrul unor reele sunt legate de faptul c sistemele mo-
bile nu ndeplinesc nite condiii minimale de sntate. De obicei,
un sistem infectat are asociate nite simptome legate de inexistena
update-urilor pentru sistemul de operare i aplicaiile de securitate aso-
ciate lui (firewall, antivirus, antispyware etc.). Pe acest principiu, cu un
serviciu special (n spe NPS) un administrator de reea va putea obine
un grad mai ridicat de control asupra sistemelor ce au acces n reea.
n practic ns, configurarea politicilor NPS este destul de uor de rea-
lizat. n exemplul de fa o
s vedem cum se creeaz un
sistem minimal de validare
pe care l vei putea extinde
ulterior dup dorin.
Din Server Manager,
Roles, Network Policy and
Access Services, NPS i se
selecteaz Network Access
Protection. Clic pe Config-
ure System Health Valida-
tors, dublu clic pe Windows
Security Health Validators
i apoi apsai butonul Con-
figure.
6. Politicile de
sntate
Pn acum am activat funcio-
nalitatea NPS. Este cazul s ne
crem i politicile de securitate
asociate testelor pe care le-am im-
pus. Mergem n Server Manager,
Roles, Network Policy and Access
Services, NPS, Policies i dm clic
dreapta pe Health Policies, respectiv
New. Putem acum crea o politic
de sntate creia s i dm un
nume de tipul WHSV Compliant (o
prescurtare de la Windows Health
SFAT:
System Validators). Alegei tipul de teste (Client passes all SHV checks adic
Auto Remediation: bifnd aceast
se face o verificare pentru toate testele bifate anterior) i politica asociat opiune, va posibil ca setrile de
(Windows Security Health Validator) i apoi Apply. Am creat prima politic securitate care nu sunt ndeplinite
pentru testarea sntii clienilor. Similar, vom crea una WHSV non- pe staiile client s e remediate n
mod automat. Conform exemplu-
compliant, dar care va intra n vigoare atunci cnd cel puin unul din teste a lui nostru, se vor activa rewall-ul
fost trecut totui (folosii opiunea Client passes one or more SHV checks). i aplicaiile de securitate i vor
descrcate update-urile.
7. Politica de acces n reea
Rezultatul testrii sntii va oferi o informaie de tipul: clientul este
sntos sau nu este sntos. n ambele cazuri trebuie s stabilim
modul n care el va avea acces n reeaua noastr. Prima politic este cea
aplicat acelor sisteme care au trecut cu brio testul de sntate i care
va oferi drepturi depline n reea.
De data aceasta, din Network Policies dai clic dreapta i apoi alegei
New. Denumii Full access i selectai DHCP Server pentru Type of net-
work access server (n cazul n care condiia este ndeplinit, este per-
mis accesul la serverul DHCP ce va oferi setrile corespunztoare de
conectare n reea). Fereastra urmtoare este locul n care adugm
condiiile pe baza crora politica de reea Full
access va fi evaluat. Trebuie s existe cel puin
o condiie sau pot fi create condiii multiple.
Dai clic pe Add, alegei Health Policies i apoi
selectai WHSV Compliant. Nu uitai ca n
ultima fereastr de dialog s specificai c n
cazul ndeplinirii condiiilor este permis acce-
sul la server (Access granted). Bifai doar Allow
clients to connect without negotiating and au-
thentication method. Trecei peste urmtoarea
fereastr de dialog i selectai NAP Enforce-
ment, bifai Allow full network access i Enable-
auto remediation of client computers.
8. Politica de blocare
a accesului
Similar cu politica de acces, se pot crea politi-
cile de blocare a accesului n reea. Folosii s
SFAT:
Pe baza exemplului de mai sus
putei s explorai modul n care
funcioneaz politicile din Network
Access Protection. Facei mai nti
teste pe staii non-productive
pentru a vedea cum funcioneaz
setrile alese. Putei opta s folosii
i servere ntr-o reea izolat, la
care s se conecteze clienii care
nu ndeplinesc condiiile de securi-
tate. Aa va mai uor s se rezolve
problemele ntlnite.
2. Selecia directoarelor
partajate
La pasul urmtor putem asocia directoare par-
tajate pentru zona virtual creat (stocare1).
Clic pe Add, Browse i apoi New Shared Folder
SFAT: (mai nti apsai pe Show Shared Folders).
Dac selectai modul Custom, vei Asociai-i un nume (ex: documente), o locaie pe hard disk i drepturile
putea specica drepturi speciale pe care le vor avea utilizatorii.
pentru ecare grup de utilizatori. Acum stabilim volumul NTFS ce va fi partajat n reea i cel care va
Ex: pentru grupul Testare creat
de noi la nceputul acestui ghid fi indexat de serviciul Windows Search.
putem stabili drepturi depline.
3. Stabilirea cotelor de folosin
Din meniul Start, Administrative Tools, alegei File Server Resource Man-
ager. Apoi Quota Management, Quota Templates i dai clic pe 100 MB
Limit. Vom folosi acest exemplu pentru a crea o regul personalizat
pentru cotele de folosin asociate utilizatorilor din domeniul nostru.
Clic dreapta i Create quota from Template. Putei lsa Create quota on
path sau putei decide s aplicai regulile pe toat structura de subdi-
4. Activare cotei pe un
director partajat
Pornii Share and Storage Management
din meniul Start, Administrative Tools.
Din meniul Action, alegei Provision
Share. Selectai locaia fizic a directoru-
lui partajat i trecei la pasul urmtor.
Schimbai permisiunile NTFS dac dorii
(ex: permitei doar accesul utilizatorilor
din grupul testare. Dai clic pe Edit Permis-
sions, adugai grupul testare i bifai full
control). Bifai SMB i NFS pentru a aso-
cia un nume directorului partajat n reea.
Setai permisiunile pentru conectarea pe
protocolul SMB.
n fereastra Quota Policy bifai apply
quota i selectai 50 MB Limit. Se mai poate
stabili i tipul de fiiere pe care directorul le va
conine (Apply file screen). Terminai operaia
prin Create.