1.34k likes | 1.42k Views
Nicola Ferrini info@nicolaferrini.it. Who Am I ?. Trainer Technical Writer Systems Engineer Server & Application Virtualization Technology Specialist Enterprise Administrator More on: http://www.nicolaferrini.it/ curriculum.shtml
E N D
Nicola Ferrini info@nicolaferrini.it
WhoAm I ? • Trainer • TechnicalWriter • SystemsEngineer • Server & Application Virtualization TechnologySpecialist • EnterpriseAdministrator • More on: • http://www.nicolaferrini.it/curriculum.shtml • http://www.windowserver.it/ChiSiamo/Staff/tabid/71/Default.aspx
Outline day 1 • Introduzione a Windows Server 2008 • Principali novità e differenze rispetto a Windows Server 2003 • Ruoli e Features • Server Core • Active directory e ReadOnly DC • Network Access Protection • DeploymentServices
Outline day 2 • Virtualizzazione: Microsoft Hyper-V • Failoverclustering • Servizi Terminal • Da SBS 2003 a SBS 2008/EBS 2008 • Windows Server 2008 R2 (Windows 7 Server)
Cambi della Tecnologia Conformità alle leggi Competizione Sicurezza Riduzione Costi Mantenere attiva la produzione Connessione dei clienti Produttività dell’utente finale Risultati gestionali e valore aggiunto Più pressione che mai sull’ IT…
I Fondamenti di Windows Server 2008 Più Controllo Protezione Migliorata Maggiore Flessibilità • Scripting avanzato e Automazione dei Task • Installazione e Gestione basata sui Ruoli • MigliorSicurezza e Conformità • Protezionedell’accessoallarete (NAP) • SoluzionidiAccessoRemoto e CentralizzazionedelleApplicazioni • Virtualizzazione Server Integrata Impiegare minor tempo nei Task giornalieri Hardening del SistemaOperativo e Protezioneambientedilavoro Risponderevelocementeallemodifiche del Business
Gliscenaridi Windows Server 2008 Più Controllo Protezione Migliorata Maggiore Flessibilità Piattaforma Web e Applicativa Forzatura dei Criteri di Sicurezza Server Virtualization Server Management Alta Disponibilità Accesso Centralizzato alle Applicazioni Sedi Distaccate
Windows Server: versioni e caratteristiche • Edizioni x86 e x64 • 4 GB (32-bit) e 32GB (x64) RAM • Supporto fino a 4 processori • Istanza virtuale o fisica • Edizioni x86 e x64 • 4 GB (32-bit) e 32GB (x64) RAM • Supporto fino a 4 processori • Include 1 istanza virtuale • Edizioni x86 e x64 • 64 GB (32-bit) e 2 TB (x64) RAM • Supporto fino a 8 processori • Include 4 istanze virtuali
Minor tempo per i Task giornalieri Scripting Avanzato e Automazionedei Task PiùControllo Gestione Server Web Windows PowerShell IIS 7 Networking basatosu Policy Configurazione e GestionedeiRuoli Windows Server Manager, Server Core Windows Firewall
I Ruolidi Windows Server 2008 Più Controllo Active Directory Certificate Services Active Directory Domain Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services Application Server DHCP Server DNS Server Fax Server File Services Network Policy and Access Services Print Services Streaming Media Services Terminal Services UDDI Services Web Server Windows Deployment Services Windows SharePoint Services PiùControllo
Gestire Windows Server 2008 Più Controllo Server Manager Initial Configuration Product Installation
Server Core : la situazioneattuale Più Controllo • Windows Server è spessoimpiegato per eseguireunasingolafunzione • Gliamministratorisonocomunquecostretti a installarediversiservizi “inutili”… • …perchèinstallati per default duranteil Setup • I servizi “inutili” consumanorisorse e rendonomenosicuro un server • Le performance del server non sonoottimali e dedicate allafunzionevoluta
Cos’è Server Core Più Controllo • Una “opzionediinstallazione” minima di Windows Server 2008 • Inclusanelleversioni Standard, Enterprise e Datacenter (x86 e x64) • Fornisce : • Minimefunzionalità del sistemaoperativo • Ridottasuperficiediattacco • Riduzionedelle patch di circa il 60% • 7 Ruoli standard • Opzionali : Failover Clustering, Backup, Telnet Client, SNMP, Bitlocker Driver Encryption, HyperV
Cosasi propone “Server Core” Più Controllo • Ridurre la superficie di servizio e di attacco, installando solo ciò che è richiesto • Rendere i server più facili da gestire e più performanti • Meno patch… • Ciclo di vita del server orientato sui ruoli… • Lo staff IT può specializzarsi sul/sui ruolo/i… • Rendere i server più sicuri • Meno servizi, meno esecuzioni, meno attacchi…
I Ruolidi Server Core Più Controllo Server Core Sicurezza, TCP/IP, File System, RPC,piùaltri Core Server Sub-Systems AD AD LDS DNS DHCP WMS Web(IIS) GUI, CLR, Shell, IE, OE, etc. File Hyper-V Print • Solo un sottoinsiemedi files eseguibili e DLL installati • Nessunainterfacciagraficainstallata • Disponibilidiversiruoli Server • Puòesseregestito con strumentiremoti
Sedi remote |Windows Server Core Benefici Caratteristiche Limits the server roles used. Installazione solo Features selezionate Copiadei soli files necessari. Command line, no shell GUI 1 GB spazio disco Software Maintenance Ridotta Ridotta superficie di attacco Amministrazioneridotta Minor spazio disco
Impostazione password Adm Configurare Server Core Indirizzo IP statico 192.168.0.1 Join dominio Attivareil server Configurareilfirewall
Configurazione iniziale • Settare la password di Administrator • CTRL+ALT+CANC e “Change Password” • Net user administrator * • Attivazione (se necessaria) • Slmgr.vbs –ato (senza parametri per help) • Configurazione IP statico (se necessario) • Netsh Interface ipv4 • Show interface • Set address name=“ID” source=static address=“IP” mask=“SM” gateway=“Default Gateway” • AddDNSserver name=“ID” address=“DNSIP” index=1 • Joining al dominio (se necessario) • Netdom join srvname /domain:domname /userd:usrname /passwordD:*
Aggiungere ruoli • Solo linea di comando, no Server Manager • Comando “OCList” per vedere cosa è già installato • Comando “start /w ocsetup NomePackage” per installare • DHCP = DHCPServerCore • DNS = DNS-Server-Core-Role • File Replication Service = FRS-Infrastructure • Distributed File System Service = DFSN-Server • Distributed File System Replication = DFSR-Infrastructure-ServerEdition • Print Services = Printing-ServerCore-Role • Network File System = ServerForNFS-Base • LPD = Printing-LPDPrintService
Aggiungere Features • Solo linea di comando, no Server Manager • Comando “OCList” per vedere cosa è già installato • Comando “start /w ocsetup NomePackage” per installare • Failover Cluster = FailoverCluster-Core • NLB =NetworkLoadBalancingHeadlessServer • Multipath IO = MultipathIO • Subsystem for Unix-based Applications = SUACore • Removable Storage Management = Microsoft-Windows-RemovableStorageManagementCore • BitLocker Drive Encryption = BitLocker • Backup = WindowsServerBackup • SNMP = SNMP-SC • Telnet Client = TelnetClient • WINS = WINS-SC • QoS = QWAVE
Installazione di Active Directory • Si usa DCPromo (non è valido “start /w ocsetup”) • DCPROMO /unattend:unattend file • “DCPROMO /?:unattend” elenca tutti i parametri utilizzabili con dcpromo • Alcuni parametri : • /InstallDNS:<Yes | No> • /ConfirmGC:<Yes | No> • /DatabasePath:”path” • /DomainNetBiosName:”NetbiosName” • /NewDomain:<Tree | Child | Forest> • /ParentDomainDNSName:”ParentName” • /SafeModeAdminPassword:”password” (default “blank”) • /SiteName:”SiteName” • /UserName:”UserName” (anche /UserDomain, se di dominio) • /DomainLevel:<0 | 2 | 3>
Rimuovere Ruoli e Features • Start /w Ocsetup NomePackage /Uninstall • …ad eccezione di Active Directory • Si usa sempre DCPROMO • Vengono rimossi tutti i binaries di Active Directory • Un parametro da usare nella demotion è : /IsLastDCInDomain:<Yes | No> (default “No”)
Gestione di Server Core Linea dicomando per esecuzionedicomandilocali Terminal Server usando CMD WinRS (Windows Remote Shell) WMI Control Panel con funzionalitàlimitate Task Scheduler Event Logging e Event Forwarding RPC e DCOM per supporto MMC remoto
Attivare la gestione remota • Per attivare gestione remota via TS • Cscript c:\windows\system32\scregedit.wsf /ar 0 • Se si usa un client terminale vecchio • Cscript c:\windows\system32\scregedit.wsf /cs 0 • Per attivare gestione remota con WinRS • WinRM Quickconfig • Sul pc remoto, eseguire winrs –r:SC command • Esempi : • WinRS –r:MyServer dir c:\windows\system32\*.dll • WinRS -? (per l’help)
Deploying di Server Core Più Controllo • Dal Setup sipuòselezionare : • “Windows Server” con la shell e tuttiiruoli server • “Server Core” con Command Prompt e solo iruolisupportati • La configurazioneinizialedi Server Core puòesserefatta : • Manualmenteusando la lineadicomando • Usando un file unattended • Supportata solo un’installazionenuova • Non siaggiornada Windows Server 2003 • Non siaggiornada “Server Core” a “Server”
Gestionedi Server Core Più Controllo • Linea dicomando per esecuzionedicomandilocali • WinRS(Windows Remote Shell) • WMI • Control Panel con funzionalitàlimitate • Task Scheduler • Event Logging e Event Forwarding • RPC e DCOM per supporto MMC remoto
Pannello di Controllo? • Presenti solo limitate funzionalità • Data, Ora e Fuso Orario • Eseguire : Control timedate.cpl • Regional Options • Eseguire : Control intl.cpl
Windows PowerShell Più Controllo Nuova Command-line shell & Linguaggiodi Scripting • Migliora produttività e controllo • Accelera l’automazione dell’amministrazione • Facile da utilizzare • Lavora con gli script esistenti Partners Il futuro • Inserita in Windows • Console grafiche basate sui comandi Powershell • Gestione remota con tecnologia WS-MGMT
Le risorsedi Windows PowerShell Più Controllo • TechNet ScriptCenter • Exchange Server 2007 • Terminal Server • WMI, Registro, Hardware, ecc. • Script creati dalla comunità • MyITForum.com Centinaiadi Script • Pubblicazioni “Manning” • O’Reilly Media • Sapien Press & altri… Libri e MaterialeFormativo • MS MVPs • PowerShell Team Blog • Newsgroup attivi • IIS.net SupportodellaComunità
PowerShell Features • Object-Oriented Data Handling • Namespaces • Pipelining • Access to CMD Commands • Trusted Scripts
Automating Management • Combinazionemolteplici tasks • Tasks e scripts possonoessererichiamatida “managed code” • Esempidiscripts disponibilinelle community e sumoltisiti • Scripts riutilizzabili
New Command Line Tools • BCDedit–manages BCD stores • Wbadmin–performs backup from the command line • Wceutil and Wevutil–collect event information • Winsat–assesses system performance
Reliability and Performance Monitor Unisce le funzionididiversi tool Traccia I cambiamentinelsistema Forniscenuovefunzionalità
Architettura Dual-IP layer per supporto nativo IPv4 e IPv6 Performance migliorate con accelerazione hardware e autotuning Integrazione IPSEC Completamente gestibile tramite Group Policy Più Controllo Nuovo Design del TCP/IP Winsock User Mode Kernel Mode AFD TDI Clients WSK Clients TDI WSK TDX Next Generation TCP/IP Stack (tcpip.sys) RAW TCP UDP Inspection API IPv6 IPv4 802.3 WLAN Loop-back IPv4 Tunnel IPv6 Tunnel NDIS Next Generation TCP/IP Stack (tcpip.sys) TCP UDP RAW IPv6 IPv4 802.3 WLAN Loop-back IPv4 Tunnel IPv6 Tunnel
Le caratteristiche chiave Più Controllo Windows Filtering Platform Receive Window Autotuning • Fornisce capacità di filtering a tutti i livelli dello stack dei protocolli TCP/IP • Si integra e fornisce supporto alle caratteristiche dei firewall di futura generazione • Rilevaautomaticamentel’ambientedirete e regolaisettaggidi performance • Permettel’aumentodellagrandezzadella “TCP/IP receive window” Policy-based Quality of Service Receive Side Scaling • I precedentiSistemiOperativi Windows limitavanoil processing deiprotocolli in ricezione a unasingola CPU • RSS risolvequestoproblemadistribuendoilcaricodilavorodiunaschedadiretesu multiple CPU • Prioritizza o gestisce il “Sending Rate” per il traffico di rete uscente • Sia il marking che il throttling DSCP possono essere usati insieme per gestire il traffico in maniera efficiente
Cosa arriva… Più Controllo • Next Generation TCP/IP Stack • Server Message Block (SMB) 2.0 • Migliorie del driver Http.sys • Miglioriedi Windows Sockets • Miglioriedi Windows Firewall • Miglioriedi IPSEC
… e cosa se ne va! Più Controllo • Bandwidth Allocation Protocol (BAP) • Supporto X.25 • Serial Line Interface Protocol (SLIP) • Services for Macintosh (SFM) • Il protocollodi routing Open Shortest Path First (OSPF) in Routing and Remote Access • Basic Firewall in Routing and Remote Access (rimpiazzatoda Windows Firewall) • Le API di Static IP filter in RRAS (rimpiazzatedalle API di “Windows Filtering Platform”) • Per unacomparazionefunzionale http://www.microsoft.com/downloads/details.aspx?FamilyID=173e6e9b-4d3e-4fd4-a2cf-73684fa46b60&DisplayLang=enCirca 350 pagine!
Windows Firewall Più Controllo • Network Profiles in Vista & Server 2008 • Firewall e IPSec Management integrati • Riduceconflitti e lavorodicoordinazionetra le tecnologie • Regole firewall piùintelligenti • Specificanorequisitidisicurezza come autenticazione e crittazione • Specificanoutenti, computer o gruppidi Active Directory • Filtering in uscita • Caratteristicaditipo Enterprise
Più Controllo Windows Firewall & Advanced Security Le regole Firewall diventano più intelligenti Policy-based networking Gestione combinata Firewall e IPsec
Protezione Migliorata Features di Protezione del Server Conformità Sicurezza • Auditing migliorato • Network Access Protection • Event Forwarding • Policy Based Networking • Server e Domain Isolation • Removable Device Installation Control • Active Directory Rights Management Services • Development Process • Avvio sicuro e protezione dell’installazione • Integrità del codice • Hardening dei servizi di Windows • Regole di firewall inbound e outbound • Restart Manager Protezione Migliorata
Protezione Migliorata Hardening di Windows Server 2008 Windows Vista/Server 2008 Windows® XP SP2/Server 2003 R2 LocalSystem Ristretto dal Firewall LocalSystem LocalSystem Network Service Network Service Totalmente ristretto Local Service Network Service Ristretto alla Rete Local Service Nessun Accesso di rete Local Service Totalmente ristretto
Protezione Migliorata BitLocker™ Drive Encryption Full Volume Encryption Key (FVEK) Criterio di Crittazione • Le Group Policy fornisconocriteridicrittazionecentralizzati e protezionedellesedidistaccate • BitLocker DE fornisceprotezionedeidati, anche se ilsistemafinisce in mani non autorizzate o sieseguesudilui un differentesistemaoperativo • Usa un flash drive TPM v1.2 o USB per la memorizzazionedellechiavi
Restricted Network Corporate Network Protezione Migliorata Network Access Protection Policy Servers come: Patch, AV Cos’è Network Access Protection? Conformità ai Criteri aziendali Validazione dei Criteri aziendali Non conforme ai criteri Remediation Servers Esempio: Patch DHCP, VPN Switch/Router Windows Client NPS Conforme ai criteri Abilità di fornire Accesso Limitato Sicurezza Avanzata Integrazione fra Microsoft e Cisco Aumento del valore del Business
I quattro pilastri del NAP • Validazione delle policy • Verifica della conformità dei computer alle policy di sicurezza dell’organizzazione. I computer conformi sono considerati “in salute” • Restrizione di rete • Restrizione dell’accesso alla rete in base allo “stato di salute” dei computer • Rimedi • Fornitura dei necessari aggiornamenti di software e configurazione per rendere i computer conformi alle policy di sicurezza aziendaleQuando i computer sono conformi le restrizioni di accesso sono rimosse • Conformità dinamica • Modifiche alle policy di sicurezza o allo stato di conformità dei computer può portare a modifiche dinamiche dei diritti di accesso alla rete aziendale
Componenti del NAP • Componenti per la forzatura delle policy (EnforcementComponents) • Quarantine EnforcementClients (QEC) = Negozia l’accesso con i device di accesso alla rete: DHCP, VPN, 802.1X, IPSec • Network Access Devices = Forniscono l’accesso alla rete ai computer conformi • HealthRegistration Authority = Rilascia i certificati ai client che risultano conformi • Componenti di piattaforma (PlatformComponents) • Quarantine Agent (QA) = Riporta lo stato di salute dei client, coordina SHA e QEC • Quarantine Server (QS) = Restringe l’accesso alla rete in base a quanto certificato da SHV • QA/QS = sono componenti di Windows • Componenti per la validazione della conformità (HealthComponents) • System HealthAgents (SHA) = Dichiara lo stato di salute (patch, virus signature, configurazione, ...) • System HealthValidators (SHV) = Certifica la dichiarazione fatta dall’healthagent • System Health Server = Definisce gli healthrequirement per i componenti sul client • Remediation Server = Installano le patch, modificano le configurazioni, … portando il client alla conformità System Health Server Remediation Server Health policy Update Network Access Requests Statements Of Health (SoH) Client Network Policy Server SHA 1 SHA 2 SHV 1 SHV 2 Health Certificate Quarantine Agent (QA) Network Access Device & Health Registration Authority QEC 1 QEC 2 Quarantine Server (QS)
Restricted Network Corporate Network Protezione Migliorata Usare Network Access Protection Policy Servers come : Patch, AV 3 1 2 Non conforme ai criteri 4 Remediation Servers Esempio: Patch DHCP, VPN Switch/Router Windows Client NPS Conforme ai criteri 5 Se non conformi ai criteri, i client sono messi in una VLAN ristretta ed è loro dato accesso solo a risorse di “fix-up”, ad es. per download di patch, script di configurazione, certificati… (Ripete 1 - 4) I Client richiedono accesso alla rete e presentano il loro attuale stato di configurazione Il Network Policy Server (NPS) valida i client analizzando le policy di compliance definite dal reparto IT Se conformi ai critery, ai client è dato accesso completo alla rete DHCP, VPN o Switch/Router trasmettono lo stato di configurazione a un Microsoft Network Policy Server (RADIUS) 2 4 5 3 1
ActiveDirectory Nuove terminologie… Protezione Migliorata Active Directory Domain Controller Active Directory Domain Services AD DS Active Directory Application Mode Active Directory Lightweight Directory AD LDS Windows Rights Management Active Directory Rights Management AD RMS Windows Certificate Services Active Directory Certificate Services AD CS Identity Integration Feature Pack Active Directory Metadirectory AD MS
Protezione Migliorata Read-Only Domain Controller RODC Sede Centrale Sede Distaccata • Caratteristiche • Database di Active Directory di Sola Lettura • Solo le password degliutenti “autorizzati” sonomemorizzate sui RODC • Replica Mono-direzionale • SeparazionedeiRuoli • Benefici • Aumenta la sicurezzadei Domain Controller remoti dove la sicurezzafisica non puòesseregarantita