WS2008

3
Editorial
MAI 2008 | SUPLIMENT CHIP |
S
uplimentul de fa este primul dintr-o serie mai ampl
pe care editura Vogel Burda Communications dorete
s vi le ofere alturi de revista CHIP. Ne-am gndit c este
cea mai bun modalitate prin care putem s rspundem
cererilor dumneavoastr i s v oferim informaii de-
taliate despre modul n care se poate folosi optim un
anumit produs sofware. Vei putea gsi aici ci prin care
s rezolvai diferite scenarii de lucru i sfaturi care s v
foloseasc atunci cnd dorii s explorai scenarii noi.
Am ales s ncepem cu Windows Server 2008 pentru
c este un produs de generaie nou, lansat de curnd, ce
s-a schimbat semnifcativ de la o versiune la alta. n plus,
numrul mare de participani la evenimentul de lansare
n Romnia (peste 1200) ne face s credem c piaa local
este interesat de ct mai multe informaii legate de Win-
dows Server 2008.
Putei folosi acest ghid pentru a intra n contact cu
cteva din elementele noi pe care Windows Server 2008 le
aduce sau putei s l folosii pentru a crea i experimenta
o structur minimal pentru managementul drepturilor
de acces n cadrul unei reele. Vei putea gsi informaiile
de baz pe care un administrator de reele Windows tre-
buie s le aib. Peste ele construii singuri.
Credem c va f o modalitate simpl i incitant prin
care s v testai i extindei cunotinele n domeniu. L-am
fcut de dimensiuni mici ca s l putei lua cu dumneavoastr
atunci cnd va f necesar. Dac v este de folos sau nu,
dumneavoastr decidei. Noi am fcut primul pas!
Ionu Blan
Chief of Software Testlab
CHIP Computer & Communications
ionut_balan@chip.ro
De ce ghid?
4 | CHIP SUPLIMENT | MAI 2008
Cuprins
Ghid de utilizare
6
Cuvnt nainte
Scenarii de utilizare pentru Windows Server 2008
i 9 motive pentru a migra ctre noua versiune.
8
Instalare
Windows Server 2008
Paii necesari pentru o instalare de baz a lui Win-
dows Server 2008. Sfaturi pentru un deployment
reuit.
10
{Virtualizare} n
Windows Server 2008 x64
Cum se instaleaz i se folosete rolul Hyper-V.
Sfaturi despre cum se instaleaz un server virtu-
alizat.
5
Cuprins
14
Instalarea i confgurarea unui
Domain Controller
Paii ce trebuie parcuri pentru a crea o
structur Active Directory folosind rolul Active
Directory Domain Services.
20
Instalarea i confgurarea
rolurilor DHCP i NAP
Alocarea dinamic de adrese i crearea unor
politici de protecie n cadrul reelei.
28
Partajarea de resurse n
Windows Server 2008
Instalarea rolurilor File i Print Services i setri
minimale pentru folosirea opiunilor quota pe
serverul de fiere.
30
Roluri i opiuni
17 roluri i 35 de opiuni disponibile n Windows
Server 2008.

1. Consolidarea serverelor i
optimizarea resurselor:
Hyper-V
Multe servere au un grad de n-
crcare ce rareori depete 80-
90%. Cu Hyper-V se poate face o
consolidare a lor n aa fel nct
s creasc gradul de ocupare a
re surselor. Prin in ter mediul vir tu-
alizrii, timpul de rspuns n faa
noilor provocri va mai scurt.
2. Flexibilitatea accesului la
aplicaii pentru utilizatorii
remote: TS RemoteApp
Windows Server 2008 vine cu
inovaii i mbuntiri la nivelul
Terminal Services. Una dintre ele
este cea care le permite utilizato-
rilor s acceseze ntr-un terminal
server o aplicaie i nu un desktop
(TS RemoteApp).
3. Instalare modular:
Server Core
Multe servere funcioneaz doar
cu un singur rol i acela este mis-
sion-critical n cadrul reelei. Noua
opiune de instalare Server Core
permite instalarea ntr-un mediu
minimal, cu o mai bun acoperire
a resurselor hardware i cu o su-
prafa redus de atac.
4. Furnizarea de coninut
i aplicaii web mai bogate:
IIS 7.0
Odat cu creterea complexitii
aplicaiilor web, a crescut i cererea
pentru serverele capabile s ofere
astfel de coninut. IIS 7.0 se achit
bine de aceast sarcin oferind
coninut dinamic, stream-uri me-
dia, pagini ASP i PHP.
5. Performan mai bun
de reea: noul stack TCP/IP
Eciena utilizrii limii de band
are un impact direct asupra pro-
ductivitii utilizatorilor din locaii
remote care trebuie s acceseze
A
colo unde exist mai mult de dou calculatoare, este aproape
inevitabil constituirea unei reele. Or n momentul de fa chiar
i n casele noastre exist mai mult de dou PC-uri conectate la inter-
net. Iar cnd vine vorba despre mediul de afaceri, aproape c nu mai
exist frm (orict de mic ar f) care s nu aib constituit o reea de
calculatoare n care mai muli utilizatori i disput drepturile de acces
la internet, imprimant sau fax.
De aici i pn la necesitatea unei structuri clare a reelei, cu o evi-
den real a tuturor operaiilor ce se realizeaz prin reea i a dreptu-
rilor de acces pe care fecare membru le are, nu este dect un mic pas.
Spunem mic pentru c la un moment dat necesitatea structurrii co-
recte a serviciilor i a drepturilor din cadrul reelei va aprea ca natural,
iar principiul optimizrii resurselor va deveni un criteriu important de
selecie a eventualelor soluii. Imediat ns dup contientizarea acestei
nevoi vor aprea problemele legate de cine face, ce va face, cum se va fa ce,
cine se va ocupa, pe ce criterii, ce soluii vom folosi, ct ne cost etc.
Rspunsul nu este niciodat simplu i necesit o analiz riguroas
a activitilor ce se desfoar prin reea. Abia pe urm, pe baza rs-
punsului la aceste ntrebri, va f posibil s se structureze o schem
primar de funcionare ce mai apoi s fe mbrcat sub forma unor
servere i sisteme de protecie/acces.
n acest ghid vei gsi informaiile necesare pentru instalarea i con-
fgurarea serviciilor minimale pe care orice frm ar trebui s se bazeze
atunci cnd i desfoar activitatea folosind noul Windows Server
2008. Am plecat de la un scenariu de baz ce poate f aplicat de oricine
dorete s aib un minim de control asupra a ceea ce se ntmpl n
9
motive pentru a
migra ctre Windows
Server 2008
Cuvnt {nainte}
Workshop
7 MAI 2008 | SUPLIMENT CHIP |
propria reea. Mai exact, vei vedea cum se confgureaz un server ca-
pabil s ofere adrese IP calculatoarelor din reea, o structur efcient
de control al accesului utilizatorilor reelei prin Active Directory n
combinaie cu noile servicii NAP (Network Access Protection), cum
se instaleaz serviciile de partajare de directoare i de imprimant n
cadrul reelei guvernate de serverul nostru.
Politicile de securitate i recomandrile pentru practici optime nu
recomand instalarea pe acelai server hardware a tuturor elementelor
de mai sus. n plus, pot aprea deseori probleme n funcionare. Prin
urmare este necesar folosirea a cel puin dou confguraii hardware
pentru a putea rula cu succes.
Windows Server 2008 vine ns cu o noutate semnifcativ n aceast
direcie: versiunea pe 64 de bii are inclus un serviciu de virtualizare
(Hyper-V, ntr-o variant de test, versiunea fnal find ateptat n
urmtoarele luni) prin intermediul cruia este posibil consolidarea
serverelor i astfel reducerea costurilor asociate unui astfel de scenariu.
Cum majoritatea serverelor actuale au un grad de utilizare ce rareori
depete 80% din capacitate, devine atractiv ideea completrii lor cu
servicii capabile s le asigure o ncrcare mai bun.
Foarte multe frme au instalat deja (sau se gndesc la achiziionarea
unuia) un calculator pe post de server ce poate f uor transformat ntr-o
soluie performant de consolidare a tuturor serviciilor de care au ne-
voie. Mai mult, n scop educaional, fecare dintre noi poate testa un
astfel de scenariu.
Dorim ca acest ghid s fe folosit ca o modalitate simpl de a intra
n contact cu noile tehnologii oferite de Windows Server 2008 i ca un
instrument util pentru oricine, prin care s nvee cum se instaleaz i
confgureaz un server Windows.
Lectur plcut.
Confguraie hardware recomandat:
Microsof ofer informaii despre confguraiile mini-
male pe care serverele hardware trebuie s le ntruneasc
pentru a funciona efcient i pe baza lor se poate lua o
decizie informat. ns nu ntotdeauna o confguraie
minimal poate rspunde tuturor cerinelor. Pe baza
testelor fcute de noi o confguraie hardware mai mult
dect sufcient pentru scenariul prezentat mai sus se
poate baza pe un procesor Quad Core Intel Xeon 1,6
GHz, 4 sau 8 GB RAM n funcie de complexitatea servi-
ciilor i nivelul de trafc, hard disk de 400 GB eventual n
RAID, dou plci de reea Intel Pro 10/100/1000 LAN.
serverele centrale. Noul stack de
comunicaie din Windows Server
este optimizat pentru scenarii re-
mote, negociind mai bine cererile.
n combinaie cu Windows Vista,
pe scenarii remote se pot obine
performane mult crescute.
6. Blocarea accesului n reea:
NAP
Cu un numr tot mai mare de
dis pozitive mobile ce acceseaz
reeaua intern a companiei devine
tot mai dicil s se menin n or-
dine politicile de securitate. Net-
work Access Protection intervine i
aduce un grad sporit de securitate,
blocnd automat acele dispozitive
ce nu ntrunesc cerinele minime
de securitate i update-uri.
7. Colaborarea sigur: Active
Directory Federated Rights
Management
Companiile ce trebuie s partajeze
informaiile cu diveri parteneri vor
s pstreze totui controlul asupra
lor: cine le poate accesa, n ce mod,
ce tipuri de documente, dac pot
sau nu tiprite sau copiate.
8. Conectarea mediilor
eterogene
Windows Server 2008 include Sub-
system for UNIX-based Applica-
tions (SUA), un sistem multiuser
similar UNIX prin care se pot aplica
mai mult de 300 de comenzi, utili-
tare i script-uri.
9. Administrare, management
i automatizare mai simple:
Server Manager i PowerShell
Consola de administrare Server
Manager ofer o interfa unitar
pentru cele mai importante ope-
raii de congurare i administrare
a serverului Windows. Sunt aate
i informaii importante despre
starea sistemului, cu toate pro-
blemele ntlnite.
9
motive pentru a
migra ctre Windows
Server 2008
1. Selecia limbii de instalare,
a datei i a formatului
de tastatur
Primul lucru pe care l vom face dup ce a pornit
instalarea de pe DVD este s ne alegem limba n
care va f prezentat instalarea. Kit-ul de limba
englez ofer implicit doar posibilitatea de in-
stalare cu interfaa n limba englez. Se pot ns
schimba setrile legate de formatul datei i al de-
limitatorilor de valut, precum i cele legate de
tastatur. n cazul de fa optm pentru instalarea
personalizat pentru Romnia.
2. Alegerea partiiei
n urmtoarea fereastr apsm butonul Install
i ateptm cteva secunde. Va f prezentat o
fereastr de dialog de unde putem selecta versiu-
nea lui Windows Server 2008 pe care o dorim. n
concordan cu scenariul nostru vom alege Win-
dows Server 2008 Enterprise (Full Installation) i
trecem la pasul urmtor.
Presupunnd c avei un hard disk curat, vei
observa c este activ doar opiunea de instalare
Custom (advanced). Clic pe ea i alegei hard dis-
kul/partiia pe care se face instalarea. Putei s l
folosii n totalitate sau doar o anumit partiie. n
teorie, 10 GB sunt sufcieni pentru instalare, dar
recomandarea Microsof specifc un spaiu liber
de 40 GB. n exemplul de fa am ales s folosim o
partiie de 24 GB pe care o vom ocupa n totalitate
cu sistemul de operare.
Instalare Windows Server 2008
S
pornim la treab. Primul lucru pe care l vom nva este s punem pe picioare primul server
Windows 2008. Presupunem c exist deja disponibil confguraia hardware necesar i avem la
ndemn un DVD boot-abil cu kit-ul Windows Server 2008 x64 (o versiune trial poate f obinut de
la adresa: http://www.microsof.com/downloads/details.aspx?FamilyId=13C7300E-935C-415A-A79C-
538E933D5424&displaylang=en).
9
Workshop
3. Setarea parolei
Implicit, Windows Server 2008 necesit folosirea
unei parole puternice: cel puin ase caractere al-
fanumerice i semne speciale. La prima pornire
suntem ntmpinai de un mesaj de atenionare
prin care suntem invitai s setm parola pentru
contul administrator. Dup introducerea parolei
(complexe), ne este permis prima autentifcare.
4. Primele elemente de confgurare
Fereastra Initial Confguration Tasks ofer un mod simplu de a intra n contact cu Windows Server
2008. Putei vedea c este organizat logic pe trei categorii de operaii: Provide computer information,
Update this Server i Customize this Server. Prima ofer posibilitatea efecturii rapide a unor setri
preliminare legate de zona de fus orar, parametrii
plcii/plcilor de reea i asocierea la un domeniu.
Va trebui s inei seama de elementele specifce
mediului n care instalai serverul i pe baza lor s
facei setrile de rigoare (unde se gsete serverul,
ce IP-uri vei aloca pentru fecare plac de reea n
parte). Tipic pentru un server este alocarea a dou
IP-uri, unul intern reelei i unul extern.
Update this server este o zon nou i foarte
important pentru Windows Server 2008. n
primul rnd pentru c nc de la nceput sunt oferite
informaiile legate de modul n care serverul va aduce
i instala update-urile. Indicat este ca imediat dup
instalare i conectarea la internet s realizai un update ce poate nu numai s rezolve eventuala lips a unor
driver-e, ci i s aduc unele patch-uri critice (nu este cazul n momentul de fa, dar pe viitor este o posibilitate).
5. Instalarea driver-elor
n situaia n care au rmas elemente hardware ce
nu au fost instalate automat va trebui s folosii
CD-ul cu driver-ele pentru placa de baz, de
reea sau video i s preluai de acolo driver-ele
corespunztoare.
FELICITRI: n momentul de fa ai pus pe
picioare primul server Windows 2008. n capi-
tolul urmtor o s vedem cum se adaug rolurile
i funciile pe care el le va ndeplini n reeaua
noastr.
Specifcaie Microsoft: cerine hardware
Windows Server 2008 poate f instalat pe un sistem
ce respect urmtoarele cerine hardware:
CPU: minim 1 GHz, recomandat 2 GHz sau
mai rapid
RAM: minim 512 MB, recomandat 2 GB sau
mai mult
Spaiu
pe disc:
minim 10 GB, recomandat 40 GB sau
mai mult
DVD-ROM
U
nul dintre cele mai importante elemente de noutate pe care Win-
dows Server 2008 le aduce este Hyper-V. Dei este doar o versiune
de test, posibilitatea de virtualizare (ce folosete opiunile hardware de
virtualizare din procesoarele de generaie nou) permite consolidarea
serverelor, facilitnd o administrare mai simpl i totodat economii
importante legate de investiia n hardware i, nu n ultimul rnd, de
consumul de energie. n plus, interfaa grafc a Hyper-V este intuitiv
i poate f folosit la capacitate maxim de oricine tie cum se utilizeaz
o soluie de virtualizare.
1. Adugarea rolului {Hyper-V}
Varianta fnal a lui Windows Server 2008 x64 conine o versiune de
test pentru serviciul de virtualizare Hyper-V. n fapt, Hyper-V vine s
nlocuiasc soluia standalone Virtual Server i aduce cu sine integrarea
direct n kernel. Toate serverele ce sunt dotate cu procesoare cu suport
hardware pentru virtualizare (Intel VT i AMD-V) vor putea folosi Hy-
per-V, dar numai dac au instalat versiunea pe 64 de bii a lui Windows
Server 2008.
n acest articol:
Cum se instaleaz rolul
Hyper-V
Cum se creeaz o main
virtual
Instalarea Windows Server
2008 folosind Hyper-V
Virtualizare n Windows
Server 2008 x64
SFAT:
Pn la nalizarea produsului Hy-
per-V (conform spuselor Microsoft,
n maxim 180 de zile de la lansarea
lui Windows Server 2008) suntem
nevoii s folosim versiuni de test. n
momentul redactrii acestui ghid,
era disponibil pentru download
Hyper-V RC0 la adresa: http://www.
microsoft.com/downloads/details.
aspx?FamilyId=DDD94DDA-9D31-
4E6D-88A0-1939DE3E9898&displ
aylang=en
Pornii interfaa de confgurare Server Manager, de acolo folosii co-
manda Add roles pentru a da drumul vrjitorului de instalare i bifai
rolul Hyper-V. Selectai conexiunile de reea ce vor f folosite implicit
Workshop
pentru a lega reelele virtuale introduse de Hyper-V. Este indicat s legai
conexiunea Ethernet pe acea plac de reea ce ofer cea mai mare vitez
i aceasta s fe asociat legturii externe a serverului fzic (acea plac
fzic ce este conectat direct la internet). Terminai procesul prin clic pe
Install i apoi repornii serverul pentru ca noul rol s devin activ.
2. Confgurarea mainii virtuale
Avnd instalat rolul de virtualizare Hyper-V o s trecem la confgurarea
setrilor pentru primul nostru server (Domain Controller). Pornii con-
sola Server Manager, dai clic pe Roles, Hyper-V i apoi pe Hyper-V Ma-
nager. V va f prezentat un acord de folosire (EULA) pe care v sftuim
s l citii cu atenie i s l aprobai dac nu ai detectat probleme care s
intre n dezacord cu politica dumneavoastr de liceniere.
n partea dreapt a ferestrei de confgurare vei vedea o serie de link-
uri grupate n Actions. Ca s crem serverul Domain Controller de care
avem nevoie, vom da clic pe New i apoi Virtual Machine. Pornete
imediat un vrjitor care o s ne asiste n procesul de stabilire a setrilor
pentru serverul nostru. Dm un nume mainii virtuale (Ex: DC) i
bifm opiunea Store the
virtual machine in a difer-
ent location pentru a putea
seta manual calea ctre
locaia unde vor f pstrate
fiierele de configurare
i informaiile legate de
maina virtual. n cazul
nostru vom naviga ctre
SFAT:
Este indicat ca pe serverul zic,
pe hard disk s avei cel puin
dou partiii n afara celei care
conine sistemul de operare (sau
nc dou hard diskuri, depinde
de necesitile dumneavoastr).
Motivul este c pentru ecare
main virtual pe care o instalm
vom folosi o partiie separat (mai
uor de organizat i, n eventu-
alitatea apariiei unor probleme,
informaia nu va deteriorat). Ca
s v e i mai uor, denumii cele
dou partiii DC (Domain Control-
ler) i FS (File Server). La nivelul
spaiului disponibil ar indicat s
avei cel puin 40 GB pentru ecare
dintre cele dou servere, dar dac
pe Domain Controller se va folosi i
rolul de partajare de iere, trebuie
s luai n considerare o dimen-
siune mai mare (adugai suma
spaiului maxim pe care dorii s l
poat folosi e care dintre utilizato-
rii domeniului dumneavoastr).
partiia pe care am denu-
mit-o DC i care are asociat
litera F. Urmtorul pas este
cel n care vom se ta cantitatea
de memorie fzic pe care
maina virtual o va folosi.
Pentru un Domain Control-
ler cu funcii DHCP i File
Sharing ar f indicat s alocai
apro ximativ 2 GB RAM
(2048 MB). n urmtoarea
fereastr avei posibilitatea s
alegei conexiunea de re ea
pe care serverul o va folosi. n
prim faz o vei alege pe cea
conectat direct la internet.
Acum este cazul s specifcm
dimensiunea maxim pe care o
va avea hard diskul virtual folo sit
de serverul nostru DC. Indicat
este s setai o valoare mai mic
dect spaiul total disponibil. Fe-
reastra urmtoare ofer setrile
necesare instalrii sistemului
de operare. Dac avei pregtit
DVD-ul (sau fierul .ISO ce
conine imaginea) cu Windows
Server 2008 x64 putei selecta
Install an operating system from
a boot CD/DVD-ROM urmnd
ca apoi s alegei mediul de pe care se va porni instalarea (imagine .ISO
sau unitatea fzic).
n fnal se verifc setrile i, dac totul este n regul, se poate porni
instalarea.
3. Instalarea lui {Windows Server 2008}
pe post de Domain Controller
n maina virtual
Procesul de instalare a unei noi sesiuni Windows Server 2008 x64
n maina virtual este similar celui prezentat n articolul precedent.
Singura diferen este aceea c nu lucrm ntr-o main fzic, ci n
una virtual. Dup prima pornire a mainii virtuale, va trebui instalat
SFAT:
n msura n care considerai c v
este mai uor s identicai mai
simplu pe serverul zic conexiunile
la reea, putei s le schimbai de-
numirile generice din Local Area
Connection n Extern (pentru cea
legat direct la internet) i Intern
(pentru placa de reea conectat la
reeaua intern).
Workshop
SFAT:
Putei specica diferite valori le-
gate de procentajul minim alo-
cat mainii virtuale i cel maxim
al resurselor zice. Din meniul
Settings, Processor se specic
procentul minim de resurse alo cat
mainii virtuale i pe cel maxim.
Atunci cnd pe un server cu rol
Hyper-V ruleaz mai multe maini
virtuale, ar bine ca suma valorilor
minime alocate s nu depeasc
100%.
Integration Services Setup Disk (setul de driver-e
optimizate pentru placa de reea, placa video din
maina virtual).
Este posibil ca driver-ele s nu fe instalate co-
rect, situaie n care va trebui forat instalarea: clic
dreapta pe My Computer, Properties, Device Man-
ager selectai componenta bucluca i apoi clic
dreapta, update driver sofware.
4. Fine tuning pentru serverul
Domain Controller
Este cazul s facem cteva setri de fnee pentru
serverul care va gzdui Domain Controller-ul nos-
tru. nchidei maina virtual (shut down) i apoi
din meniul File alegei Settings. Dai clic pe Proces-
sor i modifcai numrul de core-uri pe care le vei
aloca acestei maini virtuale. n cazul de fa am
ales s alocm dou core-uri.
Acum vom mai aduga o component hardware
pentru serverul nostru Domain Controller: cea de-a
doua plac de reea. Din File, Settings selectai Add
Hardware, Network Adapter i Add. Apoi, mapai
placa de reea pe conexiunea fzic intern a serveru-
lui Hyper-V. Dup operaia aceasta avem pregtit un
server Windows 2008 pentru a-l transforma ntr-un
Domain Controller pentru reeaua noastr.
D
e fapt i de drept, principalul motiv pentru care cineva se va orienta
ctre instalarea unui Windows Server ca manager pentru drep-
turile din reea este rolul de Domain Controller. Pe scurt, cu ajutorul
rolului Domain Controller se poate instala i folosi serviciul Active Di-
rectory, care la rndul su faciliteaz o eviden structurat (cu drepturi
de acces specifce) a tuturor utilizatorilor i a staiilor care particip
n reea. Structura organizaional a fecrei companii devine mai uor
de transpus ntr-o structur logic de distribuire a drepturilor pentru
fecare departament/staie de lucru/utilizator.
Active Directory servete dou scopuri. n primul rnd, este depozi-
tul central pentru informaiile legate de utilizatori, grupuri i staii, iar
n al doilea rnd structura ierarhic poate f extrem de uor replicat la
nivelul subgrupurilor organizaionale. Privit ca o baz de date, struc-
tura Active Directory (specifc serverelor Windows) are i un index:
adic ceea ce se regsete sub denumirea de global catalog (GC). n
plus, structura Active Directory (AD) este extensibil, fapt ce i aduce
o mare fexibilitate, atunci cnd este nevoie schimbrile find propagate
automat de-a lungul ntregii structuri.
Haidei s vedem cum se poate instala cu un nivel primar de
funcionalitate un server Domain Controller.
1. Setri
preliminare
Fiind vorba despre un server
virtualizat, este necesar s fa-
cem cteva setri preliminare.
n primul rnd, asigurai-v c
plcile virtuale ale serverului
nostru (ai vzut n articolul
precedent cum se instaleaz)
sunt mapate corect peste cele
fzice ale serverului Hyper-V.
Apoi, verificai dac plcile
de reea fzice de pe serverul
Hyper-V au debifat opiunea
(Network and Sharing Center,
Manage Network Connections, placa de reea, clic dreapta, Properties)
Internet Protocol version 4 i 6.
Apoi, pornii Network and Sharing Center din serverul virtual i
n acest articol:
Domain Controller - Active
Directory Domain Services
Promovarea DC
Crearea conturilor de utiliza-
tori din Active Directory
unui Domain Controller
SFAT:
nainte de a trece la instala-
rea unui Domain Controller pentru
organizaia dumneavoastr, este
indicat s v schiai structura or ga-
nizaional intern i pe baza ei s
creai o schem de domeniu (aa-
numitul domain tree). Se pleac
de la numele de domeniu pe care
l avei asociat unui IP static (s
lum ca exemplu vortal.ro) i pe
el se poate construi o structur.
Tot ca exemplu s zicem c avem
n organizaie patru departamente
(Testare, Productie, Contabilitate,
Vanzri), pe care le vom putea
mapa pe o structur testare.vortal.
ro, productie.vortal.ro, contabili-
tate.vortal.ro, respectiv vanzari.
vortal.ro. Pe ecare dintre aceste
subdomenii este posibil s se
extind schema funcional.
Workshop
alocai IP-urile corespunztoare plcilor de reea: pe placa extern
asociai IP-ul extern al domeniului dumneavoastr, iar pe cea conectat
la reeaua intern asociai un IP intern (ex: 192.168.2.1).
SFAT:
Putere maxim: vericai dac att
pe serverul Hyper-V, ct i n server-
ul virtual avei setate opiunile de
High performance la Power Options
din Control Panel. Vei obine maxi-
mul de performan pentru ser-
vere, dar nu vei putea benecia de
opiunile de conservare a energiei.
Alegei cu grij varianta pe care o
vei urma pentru ca ulterior s nu
avei probleme de performan.
Trebuie s tii c setrile din Power
Options pot modicate oricnd.
SFAT:
Fa de versiunile anterioare de Ac-
tive Directory, serviciul ce ruleaz
n Windows Server 2008 aduce
elemente superioare de securitate
(Allow cryptography algorithms
compatible with Windows NT 4.0),
motiv pentru care este posibil ca
servicii i aplicaii mai vechi s
nu poat funciona. n acest ghid
prezentm modul de instalare a
unei instane noi de Active Direc-
tory, motiv pentru care nu trebuie
s ne ngrijorm de modul n care
se va face integrarea cu alte ver-
siuni.
Verifcai dac funcioneaz conexiunile la reea prin comanda ping
www.chip.ro pe placa extern, respectiv ping pe una din adresele staiilor
interne.
2. Instalarea rolului DC
Putem trece la instalarea rolului Domain Controller pentru serverul
nostru. Pornii Server Manager i Add roles. Bifai Active Directory Do-
main Services i urmai paii propui de vrjitorul de instalare.
3. Promovarea DC
Odat terminat instalarea ro-
lului Active Directory Domain
Services, este afat un mesaj de
atenionare prin care vi se aduce
la cunotin c trebuie instalat
serverul ca Domain Controller.
Din Server Manager, dai clic
pe Roles i apoi
Active Directory
Domain Services.
Vei vedea n fe-
reastra Summary
o aten ionare de
tipul Tis server
is not yet running as a domain
controller. Dai clic pe Run the
Active Directory Domain Servic-
es Installation Wizard (dcpromo.
exe) i va porni un alt vrjitor.
Bifai Create a new domain in
a new forest (vom crea o instan
SFAT:
Activarea Remote Desktop: de multe
ori este mai uor s administrm
un server de la dis tan dect s ne
deplasm zic lng el. Windows
Server 2008 vine cu instrumente
mai puternice de protecie a con-
exiunii remote, lucru ce l face mai
atractiv n acest scop. Din fereastra
Initial Conguration Tasks alegei
Enable Remote Desktop, bifai Al-
low connections only from the
computers running Remote Desktop
with Network Level Authentication
(more secure) i vei putea admin-
istra fr probleme serverul de la
distan. Dai clic pe Select Users i
adugai conturile ce se vor putea
conecta remote. ns doar dac
vei rula clientul Remote Desktop
Connection de pe un sis tem ce
ruleaz Windows Server 2008 sau
Windows Vista.
nou de AD) i trecei la pasul urmtor. Suntei invitai s introducei
numele de domeniu asociat structurii Active Directory. n mod normal,
vom introduce denumirea primar a domeniului pe
care am decis s l folosim (pentru acest exemplu
vom folosi denumirea de vortal.ro). Dumneavoastr
vei introduce numele domeniului pe care l avei n
administrare (putei folosi i o denumire generic
de tipul test.local dac doar dorii s testai o insta-
lare i nu avei un IP extern i un domeniu asociat).
Se va face o verifcare a disponibilitii domeniului
i, dac totul este n regul, se va putea trece la pasul
urmtor, de unde selectm nivelul funcional al structurii AD (forest)
ca Windows Server 2008.
Automat este selectat i rolul DNS (Domain Name Service) pentru
instalare. Va f responsabil pentru identifcarea corect a resurselor din
reea asociate domeniului nostru. Vom f atenionai c nu este indicat
s folosim adrese IP dinamice pe un server de tipul celui utilizat de noi.
Deoarece am fcut corect toate setrile putem rspunde cu Yes...
Vrjitorul va face verifcrile necesare i, dac nu sunt detectate pro-
bleme, se poate trece mai departe. Ne este prezentat o fereastr de dia-
log n care trebuie s specifcm locaiile pentru stocarea informaiilor
Workshop
legate de structura
AD creat. Putem ac-
cepta propunerile.
Suntem acum
invitai s intro-
ducem o parol
(complex!) pen-
tru contul de ad-
ministrator asociat
Directory Services
Restore Mode. El va
f de folos n cazul
n care controller-
ul de domeniu va f
pornit n modul de
siguran Directory Services Restore Mode.
Clic pe Next, ateptm fnalizarea procesului de confgurare i apoi
repornim serverul.
4. Opional: schimbarea numelui serverului
Implicit, fecare instalare de Windows Server 2008 va asocia automat
un nume aleator pentru server. El poate f schimbat din interfaa Initial
Confguration Tasks, Provide computer name and domain, tab-ul Com-
puter Name i Change. Este bine s asociai serverelor nite denumiri
pe baza crora s le putei identifca uor (ex: DC). Repornii serverul
pentru ca schimbrile s devin active.
SFAT:
Este indicat s se foloseasc o alt
parol pentru contul Directory Ser-
vices Restore Mode Administrator
dect cea folosit pentru admin-
istrarea serverului. La rndul ei,
i aceasta trebuie s ntruneasc
criteriile standard de complexitate
din Windows Server 2008.
SFAT:
Scopul domain local: se folosete
atunci cnd sunt asociate grupu-
rilor permisiuni legate de resurse
i pot alocate doar n acelai
domeniu.
5. Crearea conturilor i grupurilor n
structura {Active Directory}
Pe baza structurii organizaionale se poate trece la crearea conturilor i
grupurilor din cadrul Active Directory. Pornii Server Manager, dai clic
pe Roles, Active Directory Users and Computers i vei vedea c exist
cinci subdirectoare. n cazul unei funcionaliti primare, aa cum am
instalat serverul pn n acest moment ne vor interesa doar Computers
i Users.
Computers va conine informaiile legate de staiile ce se conecteaz
n reea i se vor autentifca n schema Active Directory, iar Users va
conine identificatorii pentru
conturile utilizatorilor de Active
Directory. Este foarte simplu s
asociem utilizatorii de AD care
au n comun anumite elemente
(de locaie, de securitate etc.) n
cadrul unui grup. Selectai Users
i apoi clic dreapta n fereastra Users i New Group pentru a crea un
grup de utilizatori.
S presupunem c dorim s crem un grup de utilizatori care au
n comun faptul c lucreaz n departamentul de testare al unei frme.
Vom specifca numele Testare, selectm scopul Global i ca tip de grup
vom specifca Security (grupul tocmai creat este constituit pe criterii
SFAT:
Un utilizator de Active Directory
poate face parte din mai multe
grupuri. Implicit ns el va asociat
doar grupului Domain Users.
Workshop
SFAT:
Conectarea la un serviciu Active
Directory folosind Windows Vista
se face foarte simplu. De pe staia
folosit de un anumit utilizator dai
clic dreapta pe My Computer, apoi
Advanced system settings, Com-
puter name i Network ID. Selectai
apoi This computer is part of a busi-
ness network; I use it to connect to
other computers at work i My com-
pany uses a network with a domain
la urmtorul pas. Introducei nu-
mele contului din AD, parola i nu-
mele domeniului dumneavoastr.
Vi se va cere un nume pentru staia
de lucru i domeniul creia i va
asociat (cel mai probabil l vei fo-
losi pe acelai cu cel din care face
parte utilizatorul). Validai setrile
i n nal alegei drepturile de ac-
ces pe care le va avea noul cont pe
staia de pe care a fost integrat n
domeniu.
de securitate i toi utilizatorii din acest grup vor benefcia de aceleai
privilegii).
SCOPUL GLOBAL: se utilizeaz pentru situaiile n care este nevoie
de gruparea utilizatorilor dup criterii similare de acces la reea. Pot
grupa utilizatori din acelai domeniu.
SCOPUL UNIVERSAL: se utilizeaz atunci cnd se vor folosi crite-
rii de acces pe mai multe domenii.
Similar vom crea acum utilizatorii din
cadrul grupului Testare. Clic dreapta n fe-
reastra Users i New User. Asociai o descriere
utilizatorului (nume, prenume, nume cont)
i n fereastra urmtoare specifcai parola de
conectare. Structura Active Directory permite
folosirea unei parole unice pentru prima co-
nectare, urmnd ca fecare utilizator s i poat
alege (dup prima conectare) propria parol.
Ulterior selectai utilizatorul creat, clic dreapta
i apoi Properties, dup care alegei cmpul Member Of i introducei
grupul din care dorii s fac parte. Putei s v alocai puin timp i s
v familiarizai cu celelalte setri ce pot f aplicate unui utilizator din
Active Directory.
Repetai operaia pentru toi utilizatorii/grupurile de care avei nevoie.
B
una funcionare a oricrei reele de calculatoare ine de modul
n care administratorul tie s creeze structura de adrese IP i de
modul n care acestea sunt alocate staiilor. De cele mai multe ori, n
cadrul unei reele de mici dimensiuni se alege calea prin care fecare
staie primete un IP static, fapt care asigur o identifcare rapid ori de
cte ori este nevoie. Este cel mai simplu mod de a crea politici de acces
i securitate pentru staiile din domeniu (find vorba despre un numr
redus de IP-uri interne, administratorul tie exact, n orice moment, ce
drepturi are doamna Kati de la
Contabilitate).
Odat cu introducerea
struc turii Active Directory
ntr-o reea, devine ns mult
mai simplu de meninut evi-
dena drepturilor de acces pe
baza conturilor de utilizator i
a staiilor conectate la dome-
niu. Or, ntr-un astfel de sce-
nariu (ce i permite oricrui
utilizator s se conecteze cu
contul su de pe orice staie,
benefciind automat de toate
drepturile pe care admini-
stratorul domeniului i le-a
oferit) pare mai atractiv ideea
alocrii dinamice de IP-uri.
S lum un exemplu: s zi-
cem c exist n reea un anu mit calculator pentru care s-a decis c nu
este cazul s aib acces la internet. Administratorul a blocat din frewall
accesul la internet al respectivului IP i treaba este rezolvat. Dar ce se
ntmpl dac dintr-un motiv sau altul un alt utilizator este nevoit s
lucreze la calculatorul respectiv? Ne apucm s modifcm toate setrile
din frewall pentru o perioad limitat?
Mai simplu ar f ca, pe baza contului de utilizator, n combinaie cu
serviciul de alocare dinamic a adreselor IP (DHCP), s fe posibil
crearea unei politici (cu foarte multe opiuni) ntr-un mod mult mai
simplu, care s rezolve problema. Cum ar f ca, atunci cnd este necesar
accesul la internet, s se schimbe doar utilizatorul conectat pe domeniu
i staia respectiv s primeasc automat drepturile necesare?
n acest articol:
DHCP
Cum se congureaz plaja
de adrese IP alocate staiilor
Cum se instaleaz serviciul
Network Policy and Access
Services (NAP)
Cum se congureaz accesul
pe baza politicilor
rolurilor DHCP i NAP
Workshop
n plus, dac n cadrul unei reele este necesar s fe introdus un
sistem mobil (laptopul efului de exemplu) s existe un scenariu de
siguran care s se asigure c respectivul sistem este curat i c nu
prezint riscuri? i abia pe urm s i se aloce dreptul de a funciona la
parametri optimi n reea?
n cele ce urmeaz, vom pune n practic aceste scenarii. Vei ve-
dea ct de simplu pot f rezolvate o serie de probleme ce altminteri ar
necesita multe operaii i destul de mult timp.
1. Instalarea rolului DHCP
Pe serverul nostru virtualizat, pornim consola Initial Confguration
Tasks i dm clic pe Add roles. Va porni vrjitorul de confgurare din
care bifm DHCP Server. Identifcm conexiunea de reea ce va f folosit
pentru alocarea dinamic a adreselor IP pentru reeaua noastr. Aici o
selectm doar pe cea intern (creia i-am oferit
o adres 192.168.2.1). n pasul urmtor validm
setrile oferite automat de vrjitor (domeniul i
adresa IP a serverului DHCP).
Anumite topologii de reea (de obicei cele din
generaia NT) mai necesit folosirea serviciului
WINS (Windows Internet Naming Services) pen-
tru rezolvarea adreselor. Dac nu avei neaprat nevoie de el, pe scena-
riul Windows Server 2008 nu mai este o component absolut necesar.
De aceea o vom lsa dezactivat i trecem la pasul urmtor.
DHCP Scopes: n aceast etap putem stabili clasa de IP-uri pe care
serverul nostru DHCP o va servi (aloca) staiilor din reea. Clic pe
SFAT:
Conform politicii de securitate pe
care o vei impune reelei interne,
putei s schimbai dup preferin
setul de IP folosit i numrul de
a drese alocate. De obicei, un set
de adrese servite prin DHCP va lua
n considerare faptul c primele x
adrese (10 s zicem) sunt alocate
serverelor din reea i respectivele
IP-uri nu au voie s mai e folosite.
Apoi, numrul de IP-uri servite ar
bine s depeasc doar cu 1-3
numrul de staii ce vor benecia
de ele (mai exist cazuri n care
trebuie introduse n reea i alte
staii).
SFAT:
Putei crea mai multe seturi de
IP-uri pentru alocarea dinamic.
Opiunea este interesant atunci
cnd politicile de reea sunt com-
plexe i necesit folosirea altor
clase dect cea despre care am
discutat.
SFAT:
Nu este recomandat folosirea
aceluiai server pentru instalarea
unui Domain Controller i a unui
gateway cu serviciile asociate de
RRAS. De obicei, ecare rol impor-
tant este bine s stea pe o main
separat (virtual dac se poate)
pentru ca n cazul, nefericit de alt-
fel, unor probleme de securitate
s nu e compromis integritatea
tuturor serverelor. Gndii-v
ct de uor i va unui atacator
s preia controlul ntregii reele
dac reuete s pun stpnire
pe serverul cel mai expus
gateway-ul.
SFAT:
Testai modul de funcionare a
serverului DHCP. Pe una din staiile
din reea, conectate pe reeaua
intern stabilii ca setrile pen-
tru TCP/IP s e pe Obtain an IP
address automatically, respectiv
Obtain DNS server address auto-
matically. Cu ajutorul comenzii
ipcong /all vericai dac setrile
de reea corespund cu cele spe-
cicate n conguraia serverului
DHCP.
butonul Add i putem introduce informaiile dorite. Prima dat vom
aloca un nume ce ne va folosi la identifcarea mai simpl a acestui set de
IP-uri. S zicem IP-uri interne. Stabilim adresa de nceput i de sfrit a
setului (Ex: 192.168.2.11 192.168.2.25) i masca corespunztoare (Ex:
255.255.255.0 pentru reeaua intern), precum
i gateway-ul (Microsof nu recomand insta-
larea serverului gateway pe aceeai main ce
gzduiete i domain controller-ul, dar dac
nu avei nc un IP extern, se poate merge pe
varianta instalrii i folosirii unui server unic.
Atunci alegei 192.268.2.1 dar s avei instalat
rolul NAT). Ultimul lucru pe care l mai setm
n acest pas este legat de durata de via a adre-
selor servite de server. Sunt predefnite dou
scenarii: pentru conexiunea pe fr, unde se pre-
supune c durata de funcionare continu a unui PC este de 6 zile, sau
pentru cea wireless, unde adresa
IP este invalidat dup 8 ore. Im-
plicit este propus tipul wired.
Putem decide s activm setul
de IP-uri imediat ce l-am creat
(bifai Activate this scope) sau o
putem face ulterior.
2. Activarea
adreselor IPv6
Windows Server 2008 permite
alocarea dinamic de adrese IPv6.
ntr-un viitor nu foarte ndeprtat,
folosirea IP-urilor v6 va trebui s
fe o prioritate i atunci se va face activarea modului de funcionare
corespunztor pentru serverul DHCP. Pn atunci putem dezactiva
Workshop
aceast opiune mai ales dac plcile de reea folosite de noi nu suport
acest mod de funcionare.
3. Stabilirea drepturilor de autorizare
Windows Server 2008 permite ca pe un Active Directory Domain Ser-
vices s existe mai multe servere DHCP, ns pentru aceasta va f necesar
s existe un cont pe baza cruia s se poat prelua drepturile. Implicit
este propus cel de Administrator al serverului pe care DHCP-ul este
instalat. l vom lsa aa pentru scenariul nostru i fnalizm instalarea.
4. Instalarea Network Policy and
Access Services
Pornii din nou vrjitorul de instalare a rolurilor din Server Manager
sau Initial Confguration Tasks. Bifai Network Policy and Access Services.
Pasul urmtor propune instalarea opiunilor asociate acestui rol.
n principal Network Policy Server va f responsabil de politicile
legate de autentifcri i autorizri, respectiv gradul de sntate al
SFAT:
NPS trebuie privit ca un serviciu
ce permite un control mai bun, dar
care nu poate mpiedica n totali-
tate problemele de securitate. Va
posibil de exemplu s detectm
ce sisteme nu au update-urile la
zi pentru sistemul de operare sau
care nu au rewall-ul pornit, res-
pectiv update-urile la antivirus i
dac acesta este pornit. Or, dac
aceste minime criterii sunt nde-
plinite (presupunem c n aceste
condiii staia respectiv reprezint
un risc mai redus), reducem sem-
nicativ riscul de a introduce n
reea sisteme cu probleme.
SFAT:
Security Center: observai c din
acest moment toate elementele
pe care le consideram enervante
sub Vista (in formaiile marcate cu
rou n consola de securitate Secu-
rity Center) ncep s aib sens. Dac
antivirusul folosit tie s lucreze cu
consola Security Center putem s i
vericm integritatea. La fel i pen-
tru clientul antispyware.
clienilor. Peste el pot f adugate
serviciile de Routing and Remote
Access, Health Registration Au-
thority i Host Credential Autho-
rization Protocol. Avem nevoie
doar de NPS i eventual (dac
vrei s permitei sesiuni VPN
prin intermediul acestui server,
s instalai i Routing and Remote
Access Services), celelalte dou
servicii ocupndu-se de conexi-
uni securizate pe baza unor cer-
tifcate, respectiv integrarea cu soluiile de control al accesului de la
Cisco. Finalizai instalarea i repornii serverul.
5. Iniializarea NPS
Odat cu Windows Server 2008, Microsof a introdus un element supli-
mentar de verifcare a integritii i sntii sistemelor ce se conecteaz
n reea. Se pleac de la premisa c majoritatea problemelor de securitate
ce apar n cadrul unor reele sunt legate de faptul c sistemele mo-
bile nu ndeplinesc nite condiii minimale de sntate. De obicei,
un sistem infectat are asociate nite simptome legate de inexistena
update-urilor pentru sistemul de operare i aplicaiile de securitate aso-
ciate lui (frewall, antivirus, antispyware etc.). Pe acest principiu, cu un
serviciu special (n spe NPS) un administrator de reea va putea obine
un grad mai ridicat de control asupra sistemelor ce au acces n reea.
n practic ns, confgurarea politicilor NPS este destul de uor de rea-
lizat. n exemplul de fa o
s vedem cum se creeaz un
sistem minimal de validare
pe care l vei putea extinde
ulterior dup dorin.
Din Server Manager,
Ro les, Network Policy and
Access Services, NPS i se
selecteaz Network Access
Protection. Clic pe Confg-
ure System Health Valida-
tors, dublu clic pe Windows
Security Health Validators
i apoi apsai butonul Con-
fgure.
SFAT:
Protecie cu NPS: n timp, pe m-
sur ce dezvoltatori teri se vor
pune la treab, va posibil ca
aceste elemente s e extinse cu
criterii specice i altor aplicaii de
securitate pe care le folosim.
Workshop
Avem acum acces la fereastra de confgurare a setrilor pe care un
client Windows Vista sau XP SP3 trebuie s le aib active pentru a trece
testul de sntate.
Conform criteriilor de securitate pe care le-am stabilit n reeaua
noastr, vom specifca i testele de sntate. Avem la dispoziie un
criteriu de verifcare a strii frewall-ului (on/of), a strii antivirusului
(pornit, cu update-urile la zi), a aplicaiei antispyware (pornit, cu up-
date-urile la zi) i pentru update-urile sistemului de operare.
Am trecut de faza de testare. Acum trebuie s vedem ce facem atunci cnd
unul din teste nu este trecut. Implicit sunt bifate toate testele menionate mai
sus i putem s activm i protecia asociat n cazul n care cri teriile nu sunt
ndeplinite. Prin bifarea opiunii Restrict access for clients that do not have all
available security updates installed le vom bloca accesul pe baza unui indicator
de importan al update-urilor (Importante, critice, de importan minim).
S alegem ca testul s presupun existena update-urilor importante.
6. Politicile de
sntate
Pn acum am activat func io-
nalitatea NPS. Este cazul s ne
crem i politicile de securitate
asociate testelor pe care le-am im-
pus. Mergem n Server Manager,
Roles, Network Policy and Access
Services, NPS, Policies i dm clic
dreapta pe Health Policies, respectiv
New. Putem acum crea o politic
de sntate creia s i dm un
nume de tipul WHSV Compliant (o
prescurtare de la Windows Health
System Validators). Alegei tipul de teste (Client passes all SHV checks adic
se face o verifcare pentru toate testele bifate anterior) i politica asociat
(Windows Security Health Validator) i apoi Apply. Am creat prima politic
pentru testarea sntii clienilor. Similar, vom crea una WHSV non-
compliant, dar care va intra n vigoare atunci cnd cel puin unul din teste a
fost trecut totui (folosii opiunea Client passes one or more SHV checks).
7. Politica de acces n reea
Rezultatul testrii sntii va oferi o informaie de tipul: clientul este
sntos sau nu este sntos. n ambele cazuri trebuie s stabilim
modul n care el va avea acces n reeaua noastr. Prima politic este cea
aplicat acelor sisteme care au trecut cu brio testul de sntate i care
va oferi drepturi depline n reea.
SFAT:
Pe Windows Vista serviciul NPS
funcioneaz implicit. ns pentru
Windows XP devine disponibil
doar dup trecerea la Windows
XP SP3.
SFAT:
Auto Remediation: bifnd aceast
opiune, va posibil ca setrile de
securitate care nu sunt ndeplinite
pe staiile client s e remediate n
mod automat. Conform exemplu-
lui nostru, se vor activa rewall-ul
i aplicaiile de securitate i vor
descrcate update-urile.
De data aceasta, din Network Policies dai clic dreapta i apoi alegei
New. Denumii Full access i selectai DHCP Server pentru Type of net-
work access server (n cazul n care condiia este ndeplinit, este per-
mis accesul la serverul DHCP ce va oferi setrile corespunztoare de
conectare n reea). Fereastra urmtoare este locul n care adugm
condiiile pe baza crora politica de reea Full
access va f evaluat. Trebuie s existe cel puin
o condiie sau pot f create condiii multiple.
Dai clic pe Add, alegei Health Policies i apoi
selectai WHSV Compliant. Nu uitai ca n
ultima fereastr de dialog s specifcai c n
cazul ndeplinirii condiiilor este permis acce-
sul la server (Access granted). Bifai doar Allow
clients to connect without negotiating and au-
thentication method. Trecei peste urmtoarea
fereastr de dialog i selectai NAP Enforce-
ment, bifai Allow full network access i Enable-
auto remediation of client computers.
8. Politica de blocare
a accesului
Similar cu politica de acces, se pot crea politi-
cile de blocare a accesului n reea. Folosii s
SFAT:
Exemplu: Jucai-v cu elementele de
securitate pe care NAP le poate
fora clienilor din reea. O mo-
dalitate simpl de testare a modu-
lui de funcionare este s vericai
ce se ntmpl atunci cnd de
exemplu un client nu are activ
rewall-ul.
Workshop
zicem numele Deny Access i ca Health Policies alegei WHSV noncom-
pliant. Blocai accesul (Access denied) i apoi Allow limited access i Auto
remediation.
9. Activarea politicii NPS n
cadrul serviciului DHCP
n momentul de fa, dei avem active politicile de protecie a accesului
via serviciul NPS, ele nu sunt aplicate. Din Server Manager, Roles, DHCP
Server selectai serverul dumneavoastr. Dai clic pe IPv4 i apoi clic
dreapta pe scope-ul pentru care aplicm Network Access Protection. Din
tab-ul Network Access Protection bifai Enable for this scope i Use default
Network Access Protection Settings.
De acum, politicile create devin active pentru clienii din reea.
10. Extra: confgurarea clientului
Windows Vista pentru lucrul cu NPS
Serviciul de protecie a accesului n reea funcioneaz doar dac staiile
din reea folosesc un sistem de operare Windows Vista sau Windows XP
SP3. ns i pentru acestea trebuie activat serviciul NAP.
Din Windows Vista, n cadrul Start Search scriei i lansai comanda
gpedit.msc. Apoi din Local Computer Policy, Computer Confguration,
Administrative Templates, Windows Components dai clic pe Security
Center. Dublu clic pe Turn on Security Center (Domain PCs only) i
selectai Enabled. Mai departe, din Control Panel, System and Mainte-
nance, Administrative Tools, Services dai dublu clic pe Network Access
Protection Agent i selectai ca Automatic modalitatea de pornire. n f-
nal, scriei napclcfg.msc n Start Search, iar apoi din Enforcement Clients
selectai DHCP Quarantine Enforcement Client i activai-l.
SFAT:
Pe baza exemplului de mai sus
putei s explorai modul n care
funcioneaz politicile din Network
Access Protection. Facei mai nti
teste pe staii non-productive
pen tru a vedea cum funcioneaz
setrile alese. Putei opta s folosii
i servere ntr-o reea izolat, la
care s se conecteze clienii care
nu ndeplinesc condiiile de securi-
tate. Aa va mai uor s se rezolve
problemele ntlnite.
SFAT:
Extra: acest serviciu de protecie
(NPS) va funciona i mai bine dac
n cadrul reelei vom mai instala i
un server WSUS (Windows Server
Update Services) capabil s ofere
i s remedieze decienele legate
de lipsa update-urilor.
SFAT:
Automatizare: cel mai simplu mod
de a aplica nite politici globale
este ca ele s e create cu ajutorul
modulului Group Policy. n exem-
plul alturat am detaliat aplicarea
unei politici la nivelul unui singur
utilizator.
U
n alt motiv pentru care folosirea unui sistem Active Directory n
cadrul reelei este o opiune nimerit este cel legat de partajarea
resurselor de stocare i tiprire. Pe baza politicilor create n structura Ac-
tive Directory este foarte simplu de alocat ntre utilizatori spaiul de sto-
care, respectiv accesul la imprimantele instalate n reea. S vedem cum.
1. Instalarea rolurilor File and Print Services
Pe serverul ce gzduiete Domain Controller-ul, pornii Add roles din
Initial Confguration Tasks, bifai File Services i Print Services. Dac n
reeaua dumneavoastr exist sisteme UNIX, atunci bifai LPD Service
alturi de Print Server n urmtoarea fereastr.
Bifai File Server, Distributed File System, File Server Resource Mana-
ger, Services for Network File System, Windows Search Service i trecei
la pasul urmtor. Suntem invitai s crem spaiul virtual ce va permite
o identifcare mai uoar a obiectelor partajate
(fiere, directoare). i asociem un nume (ex: sto-
care1) i l crem ca Domain-based namespace
pe Windows Server 2008 mode. Setm contul
pe baza cruia sunt asociate drepturile rolului
creat (administratorul domeniului).
2. Selecia directoarelor
partajate
La pasul urmtor putem asocia directoare par-
tajate pentru zona virtual creat (stocare1).
Clic pe Add, Browse i apoi New Shared Folder
(mai nti apsai pe Show Shared Folders).
Asociai-i un nume (ex: documente), o locaie pe hard disk i drepturile
pe care le vor avea utilizatorii.
Acum stabilim volumul NTFS ce va f partajat n reea i cel care va
f indexat de serviciul Windows Search.
3. Stabilirea cotelor de folosin
Din meniul Start, Administrative Tools, alegei File Server Resource Man-
ager. Apoi Quota Management, Quota Templates i dai clic pe 100 MB
Limit. Vom folosi acest exemplu pentru a crea o regul personalizat
pentru cotele de folosin asociate utilizatorilor din domeniul nostru.
Clic dreapta i Create quota from Template. Putei lsa Create quota on
path sau putei decide s aplicai regulile pe toat structura de subdi-
n acest articol:
Instalarea rolurilor File i
Print Services
Cum se aloc resursele
Crearea de restricii quota
pentru utilizatori
Partajarea de resurse n
Windows Server 2008
SFAT:
Putei folosi i opiunea Internet
Printing prin care utilizatorii Ac-
tive Directory vor putea avea ac-
ces la managementul operaiilor
de imprimare. ns pentru aceasta
este nevoie de instalarea rolului
IIS (Web Server) i nu este cazul
s ncrcm suplimentar Domain
Controller-ul.
SFAT:
Dac selectai modul Custom, vei
putea specica drepturi speciale
pentru ecare grup de utilizatori.
Ex: pentru grupul Testare creat
de noi la nceputul acestui ghid
putem stabili drepturi depline.
Workshop
rectoare din locaia
selectat. Mergem pe
prima variant i apoi
bifm Define custom
quota template, Custom
properties.
Dm o denumire
ge neric regulii s
zicem 50 MB Limit, spe-
cifcm 50,000 MB la
Space Limit i selectm Hard quota (utilizatorii nu au voie s depeasc
aceast limit).
Exist posibilitatea de a crea notifcri pentru cazurile n care cotele
sunt depite (dar trebuie s existe instalat un server de e-mail). Dnd
clic pe butonul Add se pot specifca modalitile de notifcare. Ulterior,
dm un nume regulii create (ex: 50 MB Limit).
4. Activare cotei pe un
director partajat
Pornii Share and Storage Management
din meniul Start, Administrative Tools.
Din meniul Action, alegei Provision
Share. Selectai locaia fzic a directoru-
lui partajat i trecei la pasul urmtor.
Schimbai permisiunile NTFS dac dorii
(ex: permitei doar accesul utilizatorilor
din grupul testare. Dai clic pe Edit Permis-
sions, adugai grupul testare i bifai full
control). Bifai SMB i NFS pentru a aso-
cia un nume directorului partajat n reea.
Setai permisiunile pentru conectarea pe
protocolul SMB.
n fereastra Quota Policy bifai apply
quota i selectai 50 MB Limit. Se mai poate
stabili i tipul de fiere pe care directorul le va
conine (Apply fle screen). Terminai operaia
prin Create.
SFAT:
Vericarea cotelor: mergei n File
Server Resource Manager, Quota
Management, Quotas i vedei ce
template-uri sunt active la mo-
mentul respectiv.
Roluri din
Windows Server 2008:
Active Directory Certifcate Services
Active Directory Domain Services (AD DS)
Active Directory Federation Services
(AD FS)
Active Directory Lightweight Directory
Services (AD LDS)
Active Directory Rights Management
Services (AD RMS)
Application Server
DHCP Server
DNS Server
Fax Server
File Services
Hyper-V
Network Policy and Access Services
Print Services
Terminal Services
Universal Description, Discovery, and
Integration (UDDI) Services
Web Server (IIS)
Windows Deployment Services
Opiuni din
Windows Server 2008:
NET Framework 3.0 Features
BITS Server Extensions
BitLocker Drive Encryption
Connection Manager Administration Kit
Desktop Experience
Failover Clustering
Group Policy Management
Internet Printing Client
Internet Storage Naming Server
LPR Port Monitor
Message Queuing
Multipath IO
Network Load Balancing
Peer Name Resolution Protocol
Quality Windows Audio-Video Experience
Remote Assistance
Remote Diferential Compression
Remote Server Administration Tools
Removable Storage Manager
RPC over HTTP Proxy
Simple TCP/IP Services
SNMP Services
SMTP Server
Storage Manager for SANs
Subsystem for UNIX-based Applications
Telnet Client
Telnet Server
TFTP Client
Windows Internal Database
Wireless LAN Services
Windows PowerShell
Windows Process Activation Service
Windows Server Backup Features
Windows System Resource Manager
WINS Server
Roluri i opiuni
Windows Server 2008 ofer 17 roluri i 35 de opiuni ce pot f controlate direct din Server Manager. Unele
dintre opiuni (Failover Clustering sau BitLocker Drive Encryption) necesit dispozitive hardware dedi-
cate, iar anumite roluri depind de existena altora i instalarea lor este condiionat. De exemplu dac se
dorete folosirea rolului SharePoint trebuie s fe instalat i cel Internet Information Services (IIS).

WS2008

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

WS2008

Încărcat de

Drepturi de autor:

Formate disponibile

3

6 | CHIP SUPLIMENT | MAI 2008

S-ar putea să vă placă și