DRETS DE L’USUARI LOCAL

En quan pensem en donar permisos als usuaris en el nostre servidor, creiem que és una tasca fàcil i només cal afegir a l’usuari al grup adeqüat, bé, en part així hi és, però haurem d’entendre veritablement que és el que els estem garantint a fer en un servidor 2008 R2. La definició de les capacitats que els hi donem sol anomenar-se DRETS (rights) sobre el servidor, i aquestos drets locals s’assignen a l’usuari o al grup. Un exemple: si afegim a l’usuari al grup de Operadors de còpia de seguretat, aquest obtindrà els drets que aquest grup té concedits, com fer còpies de seguretat de fitxers i directoris, restaurar-les si cal, etc…

Vore els drets de l’usuari Local

Per vore una llista de drets locals en el servidor ens cal obrir la MMC amb el complement de Directiva Local de Seguretat. Açò ens permetrà vore els drets d’usuari local i alhora les directives de comptes, el tallafocs del Windows i altres configuracions de seguretat importants del servidor. Per obrir el complement cal pertanyer al grup d’administradors del servidor.

Inicia->Escrivim en cerca de programes i fitxers Local Security Policy (o Directiva de Seguridad Local)->

-> premem l’enllaç Local Security Policy(o Directiva de Seguridad Local) i obtenim la finestra següent:

-> Premem en el signe + de Directivas locales per expandir l’àrbre i premem en Asignación de derechos de usuario.

->Només cal fer doble-clic a qualsevol dels drets del panell de la dreta per vore a quí li estàn permesos.

Si volem podem afegir o suprimir, grups o usuaris, amb els botons Agregar usuario o grupo o seleccionant un de la llista i el botó Quitar.

Cal capguardar-se davant aquestos canvis.

Drets vs Permisos

Aquest potser una de les qüestions confoses, distinguir entre drets i permisos, encara i tot que son semblants, en l’entorn de 2008 R2 s’emprem per distints propòsits.

Drets

Una forma en que podem concedir-li a un usuari o grup certes habilitats contra un servidor, son normalment especials i afegeixen un accés extra sobre el servidor.

Permisos

Aquestos garanteixen al usuari o grup, l’accés als recursos (impresores, fitxers, carpetes compartides) del servidor. Determinen el nivell d’accés sobre un objecte i si podem canviar-lo o només llegir-lo.

MANTENIMENT USUARIS i GRUPS-II

Administrar usuaris i grups locals

L’administració de grups i usuaris locals en el servidor és tan simple com la càrrega del complement adeqüat a la MMC. Podem fer-ho tant en R2 full com en Serve Core amb la matisació que pel Core hi ha que fer-ho remotament.

Cal anar a Inicia->Executa…->escriure MMC i prèmer ENTER.

La MMC hi és buida, per tant hi ha que afegir-li el complement.

Add/Remove snap-in des de File, en el diàleg triarem de la part esquerre el complement i prement al botó Add> el passarem al costat dret, en aquest cas el complement  “Local Users And Groups”, ens demanarà l’equip a administrar i després d’acceptar ja tenim el complement a la MMC.

Cal dir que podem desar-la per l’ús futur.

Des d’ací podrem crear usuaris, grups, canviar contrassenyes, i d’altres propietats.

Creació d’un compte d’usuari local

Amb la creació d’un compte d’usuari local li estem donant accés al servidor local, més o menys:

1. Dins de la consola que hem creat abans, clic dret al contenidor d’usuaris.
2. Selecció de Usuari nou i ens mostra el quadre de diàleg corresponent: 
   
3. Escrivim les dades necessàries: nom d’usuari, nom complet, descripció (opcional) i una contrassenya, la qual canviarà l’usuari al primer inici de sessió. Marquem a les casselles les opcions que volem i premem el botó Crea.
   - L’usuari deu canviar la contrassenya en el primer inici de sessió. Configuració predefinida, permet a l’usuari canviar la contrassenya i emprar la seva pròpia en quan inicie sessió.
   - L’usuari no pot canviar la contrassenya. Opció difuminada mentre no es desmarque l’anterior. Aquesta opció implica que la contrasenya no s’hi pot canviar.
   - La contrassenya mai caduca. Opció difuminada també i que s’activa igualmente si desmarquem la primera opció. Com implica el nom, fa que la contrassenya no caduque.
   - El compte hi és deshabilitat. Si activem aquesta casella el que fem es deshabilitar el compte i per tant no en podràn fer ús.
4. En el cas de escriure una contrassenya que no acomplesca els requeriments se’ns advertirà.
    
5. Una vegada creats els usuaris desitjats, tanquem la consola.

Creació d’un grup local

Després de la creació de comptes d’usuari tenim la creació de comptes de grup locals.

Els passos son semblants als anteriors, obrim la consola i li donem clic dret a Grups, seleccionem Nou grup i omplim les dades necessàries. Alhora de crear un nou grup també podem afegir membres al grup, només cal prèmer el botó Agregar i seleccionar comptes d’usuari a afegir.

GRUPS D’IDENTITATS ESPECIALS

Si hem intentat afegir usuaris a un grup que hem creat, segurament ens hem adonat de l’existència de varis comptes i grups que no els hem creat nosaltres. Aquestos son uns grups d’identitats especials i no podem controlar la pertinença d’aquestos grups. Els usuaris poden arribar a pertànyer a aquestos grups només mitjançant accions realitzades en el servidor o com accedeixen ells al servidor i la pertinença sol ésser temporal i que canvia la forma en que l’usuari treballa amb el sistema. Els grups del sistema podem emprar-se per l’ajud d’establiment de permissos per aquest accés o interactuació amb el sistema.

Anonymous Logon – L’usuari no empra cap tipus de credencial en l’accés al sistema. Authenticated Users – S’emplacen automàticament en quan inicien sessió local. Creator Owner – L’usuari crea un objecte en el servidor i és introduït en aquest grup en l’objecte creat. DIALUP – Quan un usuari connecta al servidor mitjançant una connexió telefònica a xarxes. Everyone – Tothom pertany a aquest grup, dona el mateix el tipus o com accedeix al servidor. INTERACTIVE – L’usuari ha iniciat sessió local directament al servidor. Network – L’usuari accedeix al servidor remotament mitjançant una connexió de xarxa. Remote Interactive Logon – L’usuari accedeix remotament al servidor i inicia sessió. System – Aquest compte es el grup emprat pel sistema. Terminal Server User – L’usuari accedeix al servidor mitjançant Escriptori remot.

Accedint als usuaris i grups creats mitjançant la consola creada, li fem clic dret i al quadre de diàleg de propietats i tenim les opcions que podem administrar per ambdos.

MANTENIMENT USUARIS i GRUPS-I

Cal distingir els grups i usuaris locals dels grups i usuaris del Directori Actiu.

Hi ha que entendre com treballen els primers que ens proporcionen una funció clau no sols per a manteniment, sino per una administració centralitzada.

Tant una instal·lació completa com l’opció Server Core del 2008 R2 tenen els mateixos grups i usuaris predefinits.

Dos son els comptes d’usuari creats predeterminadament:

• Administrador, que hi és el compte integrat per a l’administració de l’equip local i que hi és l’únic compte habilitat de forma predeterminada també.
• Visitant, un compte integrat d’access a visitants al sistema, encara que hi és deshabilitat de forma predeterminada.

I també hi han una serie de grups definits que s’instal·len predeterminadament:

- Administradors

Aquest grup no té cap accés restringit a l’equip local, el compte d’administrdor es l’únic membre d’aquest grup.

- Operadors de còpia de seguretat

Com ens suggereix el nom, aquest grup hi és dissenyat per contindre els comptes d’usuari als que s’hi permetrá fer còpies de seguretat i restabliments al servidor, independenment dels permisos dels fitxers, encara que no hi poden canviar la configuració de seguretat.

- Servei de certificats d’ access DCOM

Aquest grup permet la connexió a les autoritats de certificació.

- Usuaris de COM distribuits

Els membres poden iniciar, activar i emprar objectes DCOM en un equip.

- Lectors de registres de succesos

Permet treballar i llegir els registres de succesos locals del servidor.

- Visitants

Els membres tenen un perfil temporal per iniciar sessió i que es suprimeix al tancar-la.

- IIS_IUSRS

És un grup integrat per l’IIS.

- Operadors de configuració de xarxa

Amb alguns privilegis administratius sobre la gestió de la configuració de característiques de xarxa en el servidor, com ara TCP/IP.

- Usuaris de Registres de rendiment

Administració dels comptadors de rendiment, els registres i les alertes d’un equip, tant local com des de clients remots.

- Usuaris del monitor de rendiment

Supervisió dels comptadors de rendiment d’un equip, tant local com de forma remota.

- Usuaris avançats

No tenen cap dret o permís distint al gru d’Usuaris i només s’ha introduït per compatibilitat.

- Operadors d’impressió

Treballar i administrar impresores del sistema local.

- Usuaris d’escriptori remot

Dret a iniciar sessions de forma remota amb escriptori remot.

- Replicador

Replicació de fitxers. L’únic membre deu ésser un compte d’usuari del domini per iniciar sessió en els serveis de Replicació d’un Controlador de Domini. No deu afegir-se comptes d’usuari  d’usuaris reals.

- Usuaris

Els membres d’aquest grup tenen accés administratiu limitad al sistema i poden realitzar les tasques més quotidianes, com executar aplicacions, emprar impresores, etc…

Els grups Usuaris del domini, Usuaris autenticats i Usuaris interactius son membres d’aquest grup.

Emplaçar comptes d’usuari en aquestos grups locals els donarà l’accés asl permisos i drets dels grups. El concepte més bàsic d’assignació de permisos emprant grups es assignar-los una vegada només al grup i no a cadascún dels seus membres. Açò es una forma fàcil de delegar l’administració del servidor.

AD Serveis de Directori Windows Server R2

Un únic domini es relativament fàcil de crear una vegada tenim un servidor, tant com triar el nom de domini, executar dcpromo i fet. La primera eina què farem ús per administrar el domini es Active Directory Users and Computers. Podem crear objectes d’usuari i d’equip en el domini i ogranitzar-los en OUs amb aquesta mateixa eina. També ho podriem fer des d’ordres en una finestra de sistema.

Hem de tenir clars terms com:

• Grup de treball
• Domini
• Serveis de directori AD
• Replicació
• Objectes
• Esquema
• OU
• Directiva de Grup
• Directiva predeterminada de domini
• Directiva predeterminada de controlador de domini
• Lloc
• Bosc
• Catàleg Global
• Arbre

Bosc amb un únic domini

Potser la majoria de xarxes consisteixen amb un únic domini. Qualssevol xicoteta empresa que ja no vol treballar en Grup de treball i les mitjanes amb necessitats no elevades emprarán un únic domini. Al cap i a la fi és recomanable moure’s d’un grup de treball cap un domini quant el nombre d’usuaris creix superant una vintena, millorem en unificació de contrassenyes, una pel domini enlloc de moltes en grup de treball, millorem en seguretat.

S’hi pot romandre amb un únic domini, a menys que necessitem un segon domini, però hi hauria que fer-se la següent qüestió: ¿Quan devem emprar més d’un domini?.

Si no tenim més de 100.000 objectes d’usuari i d’equip i la replicació es lenta.

Si no tenim diversos llocs remots connectats amb enllaços lents.

I no hem de preservar un domini anterior.

Aleshores, amb un domini en un bosc en tenim prou: més barat, fàcil d’administrar i plans de restabliment de desastres. I més des de que R2 ens permet distintes directives de contrassenyes en un únic domini.

Creació d’un bosc amb domini únic

Una vegada instal·lat el R2 es fàcil crear un domini, només cal executar DCPROMO per fer el servidor un Controlador de Domini DC.

Dcpromo instal·larà (i si fora el cas desinstal·larà) els serveis de domini de Active Directory en el servidor. Podem fer ús d’aquest auxiliar en qualsevol servidor, però la versió del sistema operatiu que execute afectarà a la capacitat del domini. Es dir, si el servidor es un R2 tindrem les màximes, mentre que un 2000 minvaria aquestes.

I encara i que és un assistent intuitiu hi han punts en els quals hem de prendre certes decisions:

1. Configuració del servidor
2. Compatibilitat de sistema operatiu
3. Configuració a implementar
4. Nom del domini
5. Nivell funcional del bosc
6. Nivell funcional del domini
7. DNS
8. Ubicació de fitxers
9. Contrassenya d’administrador de Directory Services Restore Mode (DSRM)

Abans d’emprar dcpromo o Configuració del servidor

Dues coses, el nom del servidor, si cal canviar-li-lo abans de promocionar-lo a DC i, l’adreça IP, cal que siga fixa.

Compatibilitat de sistema operatiu

En cas de clients antics, com NT 4.0, SAMBA SMB i dispositius NAS, aquestos tindràn problemes per connectar amb el domini tant si és 2008 com si és 2008 R2. Si tenim clients amb aquestes característiques hi ha que canviar certes directives per a que puguen connectar-se.

http://support.microsoft.com/kb/942564

Configuració a implementar

Si creem un domini nou en un bosc nou o l’afegim a un existent. Si es el primer Controlador de Domini l’elecció és simple: Un nou domini en un nou bosc.

Nom del domini

El primer domini del bosc es referència com el domini arrel del bosc. Quan creem aquest domini arrel cal emprar un nom qualificat FQDN. Aquest té dos elements, com softcatala.org. La segon part del nom, org a l’exemple, és el nom de domini de primer nivell.

Ací no cal emprar el nom de primer nivell vàlid, enlloc emprarem qualsevol altre, jo sempre empre domini.local. Açò evitarà les confusions entre la xarxa interna i els dominis en Internet.

AD i DNS

La relació entre AD i DNS es gran, tant que DNS es obligatori per implementar AD. Els registres de DNS SRV s’emprem per ubicar els DC que executen serveis específics. Hi són tan integrats que el primer pas de resolució de problemes en AD es comprovar a fons el DNS. Encara que DNS es més complexe, dcpromo farà l’instal·lació i la configuració inicial. Crearà la zona com una zona integrada de AD.

Nivells funcionals de domini

• Windows 2000 Server
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2

Dependrà de la versió del sistema operatiu per poder triar-los.

Dos coses:

- Sempre podem augmentar d’un nivell inferior a un altre superior.

- Mai podrem baixar el nivell funcional d’un superior a un altre inferior.

Els nivells funcionals només s’apliquen als DC i no als servidors membres.

Nivells funcionals del bosc

El nivell funcional del bosc identifica la capacitat dins del bosc. El nivell funcional de domini potser tan alt com el sistema operatiu que executen els DC. El nivell funcional del bosc potser tan alt com el nivell de domini més baix en el bosc.

Ubicació de fitxers

Se’ns preguntarà per l’ubicació de distints fitxers de AD i de la carpeta compartida SysVOL. SysVOL s’empra per compartir informació com: scripts i elements de directives de grup entre els DC. Cal una unitat NTFS. Els fitxers de registre i la base de dades poden situar-se en distintes unitats per optimització.

Com el nucli, AD es una base de dades gran i aquestes tenen un fitxer de dades primari i un fitxer de registre de transaccions. Els canvis de la BD s’escriuen primer al fitxer de registre de transaccions i aleshores el fitxer de registre es comprovat periòdicament iels canvis s’apliquen a la BD.

El fitxer de registre proporciona certa tolerància a errors i capacitat de restabliment a la BD.

Per un rendiment millorat, s’anomena que una configuració eficient pot ser:

C Sistema operatiu

D AD i SysVOL

E Fitxer de registre de transaccions

Cada unitat deu ésser un disc físic distint. Tres unitats al mateix disc no guanya res.

DSRM

Si alguna vegada cal un manteniment o restabliment d’AD, ens cal emprar el mode DSRM. Des de la tecla de funció F8 podem accedir-hi, mitjançant les opcions avançades del menú.

Després de la selecció de DSRM ens preguntarà per la contrassenya. No obstant això, AD no estarà en execució per la qual cosa no podem fer ús d’un compte d’AD, enlloc, emprarem el compte especial d’administrador i diferent contrassenya, que ens demanarà dcpromo per DSRM. No es el mateix compte que el d’un administrador del domini.

* Si volem canviar la contrassenya d’aquest compte especial més endavant, cal emprar l’ordre NTDSUtil en línia d’ordres. Aquesta ordre inclou el Set DSRM Password. NTDSUtil /? mostrarà l’ajuda.

 Més info de NTDSUtil

©Juansa Oliva a 17/02/2010

2008 R2: powershell v2

PowerShell v2

Cal assegurar-se que la característica ha estat instal·lada.

Quan comencem l’aprenentatge de powershell és molt important fer-ho familiaritzant-se amb els mots i la seva estructura bàsica de les ordres. Açò ens permetrà conèixer la sintaxi i així escriurem els nostres propis scrips i ordres.

La construcció bàsica  de scripts s’anomenen cmdlets. Tots segueixen el model verb+sustantiu, per exemple Get-service, Start-service, Format-table, … En una mirada hem de ser capaços d’entendre el que fan, només al vore l’estructura.

Podem emprar els verbs i sustantius de diverses formes, per un sustantiu hi hauràn uns verbs.

Aquest model es la clau de l’aprenentatge de l’estructura d’ordres. Que alhora ens donarà facilitat per trobar i recordar les ordres que emprem més aviat.

Podem afegir funcionalitat a molts dels cmdlets especificant-los paràmetres dintre de la sintaxi de l’ordre. Per exemple, si emprem Get-service obtenim l’estat de tots els serveis en execució al servidor local.

Però si li afegim el parámetre –Name, podem filtrar el resultat pel nom d’una ordre en concret.

Si emprem: Get-service –Name  seclogon , el resultat ve definit pel nom escrit com a parámetre. També s’hi poden emprar comodins, com, Get-Service –Name s* donant com a resultat…

A més de l’ús de parámetres, PowerShell ens dona la posibilitat d’ús de dreceres emprant àlies, emprant el mateix exemple anterior: gsv –n seclogon ,gsv –n s*

Els àlies ens permeten abreujar el verb i els parámetres dels cmdlets. Podem crear àlies nous amb el New-Alias. Amb Get-Help New-Alias obtenim una guia de com fer-ho.

Encara que hi ha que dir que no tots els cmdlets i parámetres tenen un àlies predeerminat. Per obtindre una llista d’àlies actuals en l’R2… ???

Get-Alias, clar que sí!

Potser ja sapigueu que hi han uns pocs àlies integrats amb el sistema, i que son bastant coneguts d’altres programes de shell, per exemple:

• cd
• chdir
• sl

En aquest cas, tots tres tenen el mateix cmdlet assignat: Set-Location. Escrivint qualssevol dels tres obtenim el mateix:

cd c:\windows

chdir c:\windows

sl c:\windows

Set-Location c:\Windows.

Per acabar, us diré que també podem emprar molts parámetres en la seva possició (si la coneixem) sense d’indicar-los previament amb –Name o –n, potser cause confussió si no coneixem les ordres, però amb l’exemple anterior:

Get-Service –name seclogon, és el mateix que gsv –n seclogon i el mateix que gsv seclogon.

 

Les Funcions son una altra característica de PowerShell a tenir en compte, amb get-command –type function obtenin la llista.

En alguns casos només són una variació dels àlies i fan el mateix que les ordres. No obstant això, normalment s’empren per extendre powershell i afegir-li posibilitats. També proporcionen informació afegida als verbs.

Característiques del Windows Server 2008 R2

Windows 2008 R2 proporciona un conjunt de funcions afegides al servidor nomenades Característiques. Aquestes ja hi eren al Windows Server 2008 amb algunes noves incorporacions. D’aquestes característiques tenim aquélles que hi són obligatòries pels roles d’aquélles que afegeixen fiabilitat al servidor, com el clustering per exemple., o de les que afegeixen només estética, com Expeciència d’escriptori. Quan estem planejant el nostre servidor potser ens caldrà la instal·lació d’algunes d’aquestes característiques per aconsseguir la configuració correcta. En molts casos no caldrà instal·lar-ne cap necessària per un role, ja que al instal·lar-lo les característiques obligatòries ho faràn amb ell mateix.

Per insta·lar característiques només cal obrir l’administrador del servidor i triar Característiques de l’arbre de l’esquerre.

Prement a l’enllaç, afegir característiques obtenim accés a l’asistent:

Taula de característiques:

Administració de directives de grup (Group Policy Management)

Instal·la el complement MMC per a administrar els objectes GP(GPO).

Administrador d’emmagatzemament per xarxes SAN (Storage Manager for Storage Area Networks)

Joc d’eines per a administració central de SANS sobre fibra o iSCSI.

Administrador de recursos del sistema del Windows (Windows System Resource Manager)

Proporciona control d’administrador sobre còm s’assignen els recursos de CPU i memòria i ajuda per proporcionar fiabilitat a les aplicacions.

Assistència Remota (Remote Assitance)

Ens permet vore i compartir el control de l’escriptori d’un usuari que li cal ajuda.

BranchCache

Ajuda a la reducció del consum d’ample de banda de clients ubicats en llocs remots, com les sucursals d’oficines. Els clients han d’ésser 2008 R2 o Windows 7.

.Net Framework 3.5.1

Proporciona les API que cal per a que treballen les aplicacions.

Copies de seguretat de Windows Server (Windows Server Backup Features)

Eines per copies de seguretat i restauració de R2, per al sistema, aplicacions i dades.

Cifrado de unidad bitlocker (Bitlocker Drive Encryption)

Xifrat d’unitat en cas de pèrdua o robatori.

Client d’impressió en Internet (Internet Printing Client)

Protocols que calen per impressió a la xarxa i Internet.

Client Telnet (Telnet Client)

Connexions Telnet a Servidors.

Client TFTP (TFTP Client)

Escriptura/Lectura cap un servidor TFTP remot.

Compresió diferencial remota (Remote Differential Compression)

Permet el càlcul per la reducció de l’ample de banda necessari per transferència entre dos recursos de xarxa.

Consola d’administració Direct Access (Direct Access Management Console)

Consola MMC emprada en l’administració i configuració d’accés directe a clients Windows 7 i 2008 R2.

E/S de múltiple camins  (Multipath I/O)

Junt a DSM(Mòdulo específic de dispositiu) proporciona compatibilidad amb l’ús de diversos camins a dades de dispositius d’emmagatzematge.

Equilibri de càrrega de xarxa (Network Load Balancing)

Compatibilidad per a TCP/IP per distribuir el trànsit de xarxa mitjançant varis servidors.

Experiència d’escriptori (Desktop Experience)

Inclou components comuns d’escriptori, media player, windows aero, etc… Encara que les característiques hagen estat instal·lades hi ha que activarles de forma manual.

Extensió IIS de WinRM (Windows Remote Management IIS Extension)

Comunicació segura amb sistemes remots i locals a través de serveis web.

Eines d’administració remota del servidor (Remote Server Administration Tools)

Administració remota de roles i característiques des del  servidor R2.

Eines de migració de Windows Server (Windows Server Migration Tools)

Instal·la els cmdlets de PowerShell per a migració.

Kit d’administració Connection Manager (Connection Manager Administration Kit)

Eina per a creació de perfils de Connection Manager per a escenaris de VPN.

Marc biomètric de Windows (Windows Biometric Framework)

Serveis compatibles que calen per a dispositius lectors de empremptes per l’inici de sessió.

Message Queue Server

Entrega garantida de missatges entre aplicacions.

Monitor de port LPR (LPR Port Monitor)

Permet l’impressió en impresores compartides LPD, emprades per serveis UNIX.

Protocol de resolució de noms del mateix nivell (Peer Name Resolution Protocol)

Permet a les aplicacions el registre i la resolució de noms a l’equip per a que altres equips puguen comunicar-se amb aquestes.

Proxy RPC sobre HTTP (RPC over HTTP Proxy)

Emprat per aplicacions amb capacitat de reenviament de trànsit RPC sobre HTTP. El més comú és Outlook sobre RPC.

Servei de transferència inteligent en segon pla (Background Intelligence Transfer Service BITS)

Servei de transferència asíncron de fitxers.

Servei WAS (Windows Process Activation Service)

Suprimeix la dependència amb Http per a IIS, permitint a altres aplicacions emprar protocols no-http.

Servei WLAN (Wireless LAN Service)

Serveis i configuracions necessaries pels adaptadors inalàmbrics, per a treballar correctament en R2.

Serveis de escriptura amb llàpis i a mà. (Ink and Hardwritting Services)

Compatibilitaa per a serveis típics de Tablets.

Serveis simples TCP/IP (Simple TCP/IP Services)

Proporciona compatibilitat amb versions anterior i només cal instal·lar-se en casos concrets.

Serveis SNMP (SNMP Services)

Instal·la agents per a control de l’activitat de xarxa.

Servei de nms d’emmagatzematge d’ Internet (Internet Storage Name Server)

Serveis que calen per la detecció i compatibilitat per a xarxes d’àrea d’emmagatzematge iSCSI.

Servidor SMTP (SMTP Server)

Compatibilitat bàsica amb serveis de tranferència de correu electrónic per a missatges i sistemes de correu electrònic.

Servidor Telnet (Telnet Server)

Proporciona capitat remota administrativa d’ordres en línia per aplicacions de client Telnet.

Servidor WINS (WINS Server)

Resolució de noms NetBIOS per a equips i grups de la xarxa, emprat per compatibilitat anterior.

Subsistema d’aplicacions UNIX (Subsystem for UNIX-based applications)

Permet a R2 l’execució de programes basats en UNIX.

Visor de XPS (XPS Viewer)

Compatibilitat amb documents XPS.

Windows Audio Video Experiencie

Plataforma de xarxa per aplicacions de transmissió d’audio i vídeo per seqüències en xarxes domèstiques.

Windows Internal Database

Emmagatzematge de dades només per a roles i característiques de de Windows com AD RMS i WSUS.

Windows PowerShell Integrated Scripting Environment

GUI que ens permet l’execució d’ordres de PowerShell. També fer i provar scripts de PowerSHell.

Windows TIFF IFilter

Proporciona capacitat de reconeiximent òptic de caràcters. Específicament per a fitxers TIFF 6.0, permetent l’indexació i cerca de texte en aquestos fitxers.

El planejament

Hem instal·lat un 2008 R2, ¿i ara? Supose que haurem de configurar-lo per alguna tasca, ¿no?.

Tenim funcionalitats, roles, i característiques afegides per una mena de propòsits i a la fi això és el que volem. ¿Quin pla tenim?

Vull remarcar algun roles:

• Els relacionats amb Active Directory
• Hyper-v, i
• Serveis d’escriptori remot.

En gros, aproximadament i tenint en compte que qui ja té el maneig del Windows 2003 açò ho té superat, farem una xicoteta incursió als plans.

Repàs de termes:

Active Directory

Hi és una de les funcions més comuna i principal d’un Servidor amb Windows Server 2008 R2, AD vigila l’accéss i l’autenticació d’aplicacions i recursos de la xarxa, ens proporciona serveis de directori per a organitzar i protegim la infraestructura de xarxa.

Bosc

Estructura primaria lògica del directori. Conté tots els objectes del directori, des dels dominis. Els dominis d’un únic bosc, tindràn automàticament una relació de confiança mutua transitiva i de dos sentits. També defineix coses per a tots els dominis del bosc: PRIMER, l’esquema de l’estructura de AD – Aquest esquema conté la definició i atributs per a tots els objectes del bosc i que hi és molt important pel AD ja que defineix als usuaris i grups. Definirá quines propietats tindràn aquestos objectes, ampliarà la compatibilitat amb nous objectes i propietats que calen a aplicacions com el correu electrònic. I SEGON, el bosc conté la informació de replicació per un funcionament adeqüat del directori. Per acabar, els bosc manté el catàleg global que proporciona capacitats de cerca per a ell mateix.

Domini

Els dominis son una divisió del bosc en parts lògiques. Es fan com una mena d’ajud al control de replicació de dades i son instruments que ens permetran augmentar l’estructura del directori. El domini conté tots els principals de seguretat de l’organització. També el maneig de l’autenticació de xarxa i amb ella, proporciona la base de protecció dels recursos. Els dominis ajuden a administrar les relacions de confiança, i es consideren limits de seguretat de la xarxa i no només ens permeten segmentar l’accéss als recursos ràpidament sino que també son una eina per a delegar tasques administratives.

Arbres

Dins del bosc hi han…. arbres, clar. Lloc de residència dels dominis. Un arbre no es més que on tenim dominis compartint un espai comú de noms, un contexte de seguretat per a compartir els molts recursos dintre d’un domini. Qualssevol domini que instal·lem per davall del primer domini es converteix amb domini fill i té un nom DNS nou. No obstant això, el nom l’hereta del pare. Si el pare hi és dominio_padre.com, el fill serà dominio_hijo.dominio_padre.com.

Confiança

Les relacions de confiança fan que els dominis autentiquen recursos que no hi són al mateix domini. Aquesta confiança pot ser d’un o de dos sentits. Normalment son de dos. Dins d’un únic arbre d’un bosc, tots els dominis tenen una relació de confiança amb dos sentits automàtica.

OU

Açò ens proporciona una organització lògica d’un domini. Sense Ous, el domini es un gegant d’objectes desorganitzats enredant l’administració. Ens ofereixen la posibilitat d’organitzar amb lògica els objectes del directori, normalment comptes d’usuari i grup, no obstant això hi han més objectes en un domini encara que emprarem més els anomenats. Els beneficis administratius son varis. Cerca d’usuaris i grups, delegació d’administració de OUs que ens permeten tenir múltiple administradors sense privilegis en tot el domini. I com no, fàcil implementació de directives de grup, una eina molt útil.

Usuari

Compte que garanteix iniciar la sessió a la xarxa.

Grup

Estil d’organització de comptes d’usuari i d’altres grups per a l’accéss segur als recursos de xarxa.

DC

Servidor primari on són els objectes del domini, reponsable de la replicació a altres DC (Controlador de domini).

RODC

Altra mena de DC, que en aquest cas es només de lectura.

Llocs(Sites)

Quan es dissenyen els dominis de AD, OUs i la resta d’objectes que ofereixen els contenidors lògics, per ajud de la nostra estructura, tenim un element físic de AD important: el lloc. Els llocs ens permeten controlar l’estructura física de la xarxa. Ajuden al govern de les funcions principal de l’entorn:

• Replicació
• Autentificació i,
• Ubicació de servei.

Amb els llocs definim límits de la xarxa mitjançant les adreces IP i les subxarxes , que ens donem un mecanisme per controlar el tràfic de xarxa.

El planejament de l’estructura de AD s’inicia des de dalt: el bosc i els dominis. Quan instal·lem el primer DC, aquest s’hi converteix en el domini arrel i principi del bosc. Definim l’espai de noms durant aquesta instal·lació.

Només Hyper-v…

Una sol·licitud creixent hi és l’ús de tècniques de virtulització pel rellançament de recursos reusables que ajuden a la consolidació i flexibilitat del servidor. Windows Server 2008 R2 Hyper-v està basat amb la tecnologia del hypervissor. Allò que permet a sistemes virtuals accedir al hardware del servidor eficientment. A diferència d’altres tecnologies de virtualització, Hyper-v no integra controladors de tercers a la capa del hypervissor. Els controladors que són emprats pels sistemes virtuals van en la partició pare, que hi és el sistema operatiu host. Totes les máquines virtuals que s’instal·len van a particions filles.

Decidir tenir un servidor pel maneig de la càrrega de virtualització sembla sencill, però aquest role cal planejar-lo a conciència. Microsoft ens proporciona una eina: MAP toolkit amb la que podem fer anàlisi i informes que ens ajuden a la decisió del que será el nostre Hyper-v.

Serveis d’escriptori remot

Allò que fins ara s’anomenava Terminal Services ara hi és Remote Desktop Services o RDS per acurtar en el R2. La seva funcionalitat no ha canviat molt des de 2008. Aquestos serveis ens aprofitaràn per la presentació virtuzlitzada del nostre entorn. Ací, tal com en Hyper-v, també cal un planejament estudiat.

En la instal·lació de RDS hem de considerar l’ordre adeqüat d’aqeustos serveis comparant-los amb les aplicacions que emprarem. Per regla general es instal·lar primer les aplicacions i darrere el RDS, per prevenir problemes i reinstal·lacions d’aplicacions. Les aplicacions, en molts casos, disposen d’instruccions d’instal·lació predefinides per compatibilitzar-les amb Terminal Server.

Una altra consideració hi és com permetre asl clients l’autenticació contra el servidor i quin és el nivell de seguretat. Hi han dues opcions: obligar a una autenticació a nivell de xarxa i el no obligar. Aquesta decisió pot tenir un impacte sobre el tipus de clients i el nivell de seguretat proporcionat pel RDS. També controla el moment de l’autenticació al iniciar sessió, si s’obliga, el usuari s’autentica abans d’establir la connexió d’escriptori remot per tant el nivell de seguretat es més alt, no obstant això, cal que els clients executen almenys la versió 6.0 d’escriptori remot i que el client Windows siga compatible amb el protòcol CredSSP, es a dir: Vista, XP SP3 i Windows 7. Si triem no obligar, permetrem a qualsevol versió la connexió amb una seguretat més baixa, al produir-se l’autenticació després de la connexió.

Un consell: NO hi és recomanable un RDS en un servidor amb AD, perque s’afegeixen riscs innecessaris i perque la càrrega de treball pot dur a una  degradació del rendiment.

Hi han dos roles de RDS:  Remote Desktop Gateway y RemoteApp and Desktop Web Access, als que es cal la instal·lació de serveis adicionals per un funcionament correcte.

En el primer cas, cal el servidor web, NAP, RPC sobre HTTP i les eines d’administració de Remote Server. I en el segon, el servidor web i les eines d’administració de Remote Server.

Les funcions RDS:

Remote Desktop Session Host: Un servidor Host de sessió es aquéll que li dona allotjament a programes basats en Windows o tot l’escriptori de Windows, per clients del servei d’escriptori remot. Els usuaris poden connectar-se a un servidor Host de sessió per executar programes, desar fitxers i emprar els recursos de xarxa del mateix servidor. Els usuaris poden obtenir accéss a un servidor Host de sessió amb la connexió d’escriptori remot i amb RemoteApp.

Remote Desktop Licensing: Servidor que administra les llicències d’accés de client de Escriptori Remot (CAL de RDS) que calen per les connexions de cadascún usuari o dispositiu al servidor d’escriptori remot. Administració de llicències d’escriptori remot s’empra per instal·lar i emetre les CAL de RDS en un servidor de llicències d’escriptori remot, y per dur a terme el seguiment de les mateixes. Component obligatori per RDS.

Remote Desktop Connection Broker: L’Agent de connexió a escriptori remot es una funció per granjes de servidors, ajuda esencial amb el balanceig de càrrega de les connexions al servidor.

Remote Desktop Gateway: Porta d’enllaç d’escriptori remot es un servi que permet als usuaris connectar amb el servidor d’escriptori remot mitjançant internet, sense cap connexió directa amb la xarxa corporativa.

RemoteApp and Desktop Web Access: Açò permet als usuaris connectar amb un navegador web amb l’espai de treball remot configurat al servidor RDS; aquest servei també proporciona valors de configuració que poden desar-se al menú d’inici de l’equip client. La página web dona accés a les aplicacions i escriptoris autoritzats per l’accés web.

Remote Desktop Virtualization Host: Habilita al servidor RDS a proporcionar serveis de virtualització d’escriptoris. Li cal Hyper-v.

Benvingut Mr. Windows Server 2008 R2

En cadascuna nova versió del Windows s’han anat afegint noves caraterístiques i funcionalitats, per a que l’administració quotidiana a la xarxa fora més fàcil. I com no podia ser de cap altra forma hem arribat al Windows Server 2008 R2. Si hem d’anomenar funcionalitats que en semblen interessants, per la meva part: Hyper-v; encara i tot que hi han d’altres afegides.

Hardware del Windows Server 2008 R2

La gran diferència amb els seus antecessors es única: sols hi han versions de 64 bits. Això fa del hardware necessari d’un element important a tenir clar i que ha d’ésser compatible al cent per cent.

Microsoft dona unes recomanacions, no cal ni dir que els minims son d’acudit.

	Mínim	Recomanat
Processador	x64 1.4GHz	x64 2GHz dual core
Memòria RAM	512 MB	4 GB
Espai en disc	10 GB	100 GB
Altres	VGA 800x600	Superior

Hem d’ésser conscients de la importància dels requeriments. La quantitat de memòria d’un servidor depen de la versió del sistema a instal·lar, mentre les versions Enterprise i Datacenter és de fins 2 TB, la resta és limitada a 32 GB. També depen de la versió els nuclis de processador, la versió Web és de 4, la Enterprise fins 8 i en el cas de Datacenter fins 64, sense comptar amb les versions Itanium.

Aleshores hi ha que tenir clar a que hem de dedicar el servidor per fer-ne uns càlculs aproximats de necessitats de hardware. Si el paper es de Virtualització, haurem d’assegurar-nos de dispondre de prou núclis i memòria, tant per a l’anfitrió com per a les màquines virtuals.

Versions del Windows Server 2008 R2

Les denominacions de les versions s’hereten del Windows Server 2008: Datacenter, Enterprise, Standard i Web. No hi han versions sense el Hyper-v i aquest es l’ultima versió alliberada per Microsoft.

Si vols veure les diferències en més detall:

http://www.microsoft.com/windowsserver2008/es/xl/r2-editions.aspx

Funcionalitats (Roles)

Serveis de Certificats AD	- Ens permet la creació d’autoritats de certificació i alotjar la nostra PKI.
Serveis de Domini AD	- Signatura única a la xarxa i als serveis, ens permet la creació d’objectes (usuaris, grups, equips,…) per emprar-los amb autenticació i autorització de xarxa.
Serveis de Federació AD	Signatura única per travessar múltiples boscos i dominis i  també per a la web.
AD LDS	Versió reduïda dels serveis de directori de AD.
AD RMS	Serveis d’autorització i comprovació per a usuaris per a accedir a contingut protegit.
Servidor d’Aplicacions	Aplicacions d’alta rendibilitat distribuïdes(Principalment les que empren .NET Framework)
DHCP	Adreçes automàtiques TCP/IP
DNS	Resolució de noms TCP/IP
FAX	Funcions bàsiques de FAX
Serveis de Fitxers	serveis pel sistema de fitxers, replicació, administració de recursos compartits, cerques. També serveis per a que clients UNIX accedeixquen als fitxers del servidor.
Hyper-v	Virtualització
Accés i directives de Xarxa.	NAP i Direct Access.
Impressió	Centralització d’impressió.
Escritori Remot	Accés remot per part dels usuaris.
IIS	Servidor Web
Implementació de Windows	Implementació a través de la xarxa.
WSUS	Actualitzacions de Microsoft.

No totes les versions del Windows Server 2008 R2 tenen totes les funcions anomenades, depen de cadascuna.

Hi ha una instal·lació del Windows R2 opcional, nomenada Server Core, al mateix que en Windows Server 2008, no és més que una versió racionalitzada, amb funcionalitat limitada i que executa un subconjunt dels roles, manca d’interfície gràfica, la qual cosa fa que l’administració siga remota o mitjançant ordres des del prompt. La seva utilitat és que ens dona funcions sense la càrrega de treball d’un tradicional i amb menys risc, fins i tot amb menors necessitats d’actualització. Cal dir que només pot oferir 9 roles i característiques:

• DNS , DHCP, AD DS, AD LS, Serveis de fitxers, Serveis d’impressió, IIS, AD CS i Hyper-v.
• Subconjunt de .NET Framework (2.0, 3.0 i 3.5), PoweShell, ASP.NET, Wow64 (per a AD i AD LS).

Llicenciament

No és que haja canviat molt des de l’anterior, té dos tipus de llicència: Una de servidor per executar el sistema operatiu i una d’accéss de client (coneguda com CAL) que permeta als clients accedir al servidor. Les CAL es subdivideixen en dos: Per dispositiu –Un dispositiu per qualsevol usuari- i Per usuari –Un usuari des de qualsevol dispositiu-. Les CAL de Windows Server 2008 aprofiten pel R2.

En cas de virtualització: Si la emprem per virtualitzar servidors aquestos no necessiten CAL pel sistema Host però sí per als anfitrions que s’executen. Si tenim una llicència de R2 Standard podem virtualitzar una instància a més del Host, si és Enterprise fins quatre instàncies a més del Host i en el cas de Datacenter no hi ha limit d’instàncies a virtuzlitzar.

Es a dir: si tenim una llicència Standard, podem instal·lar un servidor físic amb aquesta i a més si emprem l’Hyper-v, una máquina virtual amb un 2008 R2 amb la mateixa llicència.