MegaFAQ по Windows Server 2008
Сергей «grinder» Яремчук (grinder@synack.ru)
Весьма оснащенная функционально, Win2k8 проста в управлении и чрезвычайно гибка в настройках. Тем не менее, эта система имеет свои особенности и вполне естественно, что по мере ее освоения появляются вопросы. Попробуем ответить на самые распространенные из них.
Содержание:
- Как продлить оценочный период?
- Как локализовать Win2k8?
- Возможно ли обновить AD с Win2k3 до Win2k8?
- Где мой NetBIOS?
- Как можно скрыть от пользователя определенные сетевые каталоги?
- Есть ли графические инструменты для управления Server Core?
- Что такое GlobalNames в Windows Server 2008?
- Как переименовать контроллер домена?
- Возможна ли временная остановка контролера домена?
- Как мне узнать, будет ли мое приложение работать в Win2k8?
- Можно ли из Win2k8 сделать рабочую систему?
- Боковые выносы
Как продлить оценочный период?
Дистрибутив можно свободно скачать с сайта Microsoft, и он будет полностью работоспособен в течение 60 дней, после чего появится окно о необходимости его регистрации. Проверить количество дней до окончания текущего 60 дневного периода можно, введя команду «slmgr.vbs –dli». Но если такого срока окажется мало, можно продлить оценочный период еще три раза по 60 дней, то есть суммарно он может составлять до 240 дней. Механизм прост. По окончании 60 дней для сброса периода вводим команду «slmgr.vbs –rearm» и перезагружаем систему. Все подробности описаны в документе . В нем же можно найти пример скрипта, который позволит автоматизировать эту задачу с использованием планировщика. Но использовать такой сервер в производственной среде не желательно, этот режим предназначен только для тестирования.
Версия Win2k8, доступная для закачки на сайте Microsoft, предлагается только с английским, немецким, французским, испанским и японским языками интерфейса. Хотя корпоративным пользователям уже поставляется локализованный дистрибутив. Чтобы русифицировать Win2k8 самостоятельно, первым делом нужно скачать «Пакет многоязыкового интерфейса пользователя для Windows Server 2008″ (Windows Server 2008 MUI Language Pack) в центре загрузки . Русский содержится в третьей группе. В зависимости от разрядности системы (32 и 64) требуется выбрать свой вариант: XXX_x86fre_Server_LP_4-KRMSLP4_DVD.img или XXX_amd64fre_Server_LP_4-KRMSLPX4_DVD.img. Для Itanium (ia64) пока такой пакет недоступен. Установка несколько нестандартная, но в общем-то простая. Записываем IMG-образ на диск или извлекаем каталог нужного языка. Вызываем консоль «Regional and Language Options», во вкладке «Keyboards and Languages» нажимаем кнопку на Install/uninstall languages и в появившемся менеджере указываем на каталог с языковыми файлами. Если приходится часто устанавливать систему, то лучшим вариантом будет пересборка образа при помощи WAIK. Для Hyper-V также выпущен пакет локализации .
Возможно ли обновить AD с Win2k3 до Win2k8?
Перевести домен с Win2k3 на Win2k8 можно тремя способами. Первый – обновить систему. Из-за большой разницы в архитектуре и функциях здесь заложено много подводных камней. Так Win2k3 обязательно должен быть с SP1/SP2 или версии R2. Обновить систему можно только до «Full installation», до Server Core – нельзя. Не поддерживается апдейт перекрестной архитектуры и разных версий. То есть на x86 Win2k3 нельзя поставить x64, а из Enterprise Edition нельзя сделать Standard Edition. Хотя в последнем случае есть одно исключение: поддерживается обновление Standard до Enterprise. Также следует помнить об отличиях в системных требованиях, ресурсных ограничениях и настройках системы. Некоторые из этих вопросов освещены в документе «WS2008: Upgrade Paths, Resource Limits & Registry Values», который можно найти на .
Второй вариант перехода AD состоит в том, чтобы добавить новый контроллер на Win2k8 и после успешной репликации передать роль Flexible Single Master Operations (FSMO) новому серверу, который теперь и будет главным в домене. При использовании этого варианта вероятность в итоге остаться с неправильно настроенной AD минимальна.
И наконец, третий вариант – задействовать инструмент миграции Active Directory Migration Tool (ADMT), который позволит перенести учетные записи пользователей и компьютеров, локальные и глобальные группы, доверительные отношения. Подойдет ADMT версии 3.1, которую можно скачать с сайта мелкомягких, а документ «ADMT v3.1 Guide: Migrating and Restructuring Active Directory Domains» поможет разобраться с его использованием.
В больших сетях, управляемых Active Directory, служба NetBIOS является излишней роскошью, и многие админы отказываются от ее установки и использования, для разрешения имен задействуя DNS. Тем не менее, бывают ситуации, когда возникает необходимость в такой службе. Например, контроллеры домена не правильно отображают подключенные к сети компьютеры, или нужна короткая ссылка для «быстрого» доступа. После обновления до Win2k8 или установки новой системы служба «Обозреватель компьютеров» по умолчанию отключена. Активировать ее можно несколькими способами. Самый простой: вызвать MMC-консоль Службы (Пуск — Администрирование) и установить запуск «Обозреватель компьютеров» в Авто. Во вкладке «Вход в систему» дополнительно можно указать учетную запись, используемую службой при входе в систему. Кстати, обрати внимание, что служба «Модуль поддержки NetBIOS через TCP/IP» по умолчанию запущена.
Рис. 1. Активация сервиса "Обозреватель компьютеров"
Настройками служб можно управлять и из командной строки при помощи утилиты sc. С полным списком ее параметров можно познакомиться, введя «sc config /?». Стартуем:
> sc start browser
Для анализа работы NetBIOS обычно используют штатную команду «net view», как вариант — утилиту Browstat.exe. Последняя имеется в каталоге support установочного диска (до Win2k8) или в комплекте Browcon (NetBIOS Browsing Console), ссылку на который можно найти на странице . После чего запускаем:
> browstat.exe status WORKGROUP
Как можно скрыть от пользователя определенные сетевые каталоги?
Среднестатистический пользователь достаточно любопытен и все время пытается получить доступ к ресурсам, на которые у него нет прав. Мало того, что он бесполезно тратит на это свое время, так еще и дергает админа с вопросами типа: «объясни, почему мне нельзя?». Также не стоит забывать о том, что при безуспешных попытках система аудита заваливается «лишними» событиями. Самый простой вариант выхода из ситуации: просто не показывать пользователю общие папки, на которые у него нет прав. А поможет в этом технология Access-Based Enumeration (ABE, Перечисление на основе доступа). Статус ABE для каждой сетевой папки можно узнать и установить при помощи консоли «Управление общими ресурсами и хранилищами» (Share and Storage Management). Просто выбираем свойства нужного ресурса и смотрим значение поля «Перечисление на основе доступа». Чтобы изменить настройки, нажимаем кнопку Дополнительно и устанавливаем/снимаем одноименный флажок.
Рис. 2. Использование ABE в Win2k8 заметно упрощено
Есть ли графические инструменты для управления Server Core?
Одной из особенностей Win2k8 является возможность ее использования без графической оболочки. Но не смотря на все положительные стороны такого режима, настраивать систему из консоли на порядок сложнее. Выход из ситуации предложен сторонними разработчиками, и на данный момент мы имеем три бесплатные утилиты, практически ничем не отличающиеся функционально, но имеющие одинаковое название — Core Configurator.
Самой первой и поэтому известной является Core Configurator от Гая Теверовского. Эта программа предлагает графический интерфейс для настройки более десятка параметров Server Core, которыми пришлось бы управлять из командной строки: настройка сетевого интерфейса, экрана, времени и часового пояса, Remote Desktop, учетных записей, брандмауэра, WinRM, установка ролей и компонентов, активация продукта. К сожалению, автор из-за разногласий с работодателем прекратил разработку этой утилиты и убрал ссылку с домашней страницы. Но ничто не мешает найти ее на других ресурсах, чутка погуглив. Второй Server Core Configurator разрабатывается в рамках проекта под лицензией Microsoft Public License (Ms-PL). Этот пакет представляет собой коллекцию скриптов, которые помогут в графической среде быстро настроить систему и сервисы. Венчает список конфигураторов , распространяемый под бесплатной (для некоммерческого использования) лицензией.
Рис. 3. При помощи CoreConfigurator можно установить основные параметры в Server Core
Что такое GlobalNames в Windows Server 2008?
В службе DNS-сервера реализована поддержка зоны GlobalNames, предназначенной для хранения однокомпонентных имен (следует отметить, разрешение однокомпонентных имен обеспечивается, только если все полномочные DNS-серверы работают под управлением Win2k8). Ее применение позволяет в некоторых ситуациях полностью отказаться от WINS (разрешение имен NetBIOS в IP-адреса). Почему не во всех? Дело в том, что в отличие от WINS, зона GlobalNames работает только с ограниченным набором имен (как правило, серверов и веб-узлов) и не предназначена для разрешения имен большого количества рабочих станций. Хотя есть и плюс — областью репликации GlobalNames является весь лес, что гарантирует использование действительно уникальных имен. Предусмотрено использование GlobalNames и с несколькими лесами. Зона GlobalNames не поддерживает динамические обновления. Создание и обслуживание записей производится вручную.
Для активации в рабочем DNS-сервере зоны GlobalNames следует вызвать Диспетчер DNS (DNS Manager) и в контекстном меню на пункте «Зоны прямого просмотра» (Forward Lookup Zones) щелкнуть «Создать новую зону» (New Zone). В появившемся мастере нужно выбрать «Основная зона» и отметить флажком пункт «Сохранять зону в Active Directory». В качестве имени зоны вводим GlobalNames. Чтобы отказаться от динамического обновления, устанавливаем переключатель в «Запретить динамические обновления» (Do not allow dynamic updates).
Рис. 4. Создаем новую DNS зону
Как переименовать контроллер домена?
Чтобы переименовать контроллер домена на Win2k8, нужно выполнить несколько достаточно простых операций. Это в теории, но на практике все происходит не так гладко, и в каждой ситуации приходится разбираться отдельно. Например, присутствие на КД Центра Сертификации (CA) означает, что сменить имя КД или его роль будет не так просто. Наличие Exchange также создает проблемы. В более ранних версиях системы для этого предлагалась утилита RENDOM (Rename Domain), которую также можно использовать с Win2k8, если функциональный уровень домена не выше Win2k3. Скачать RENDOM можно по ссылке на странице , там же найдешь и описание ее работы. В Win2k8 для переименования используется утилита NETDOM, которая также была доступна в ранних версиях системы.
Необязательно выполнять команду на самом КД, достаточно, чтобы пользователь, выполняющий ее, имел права администратора домена. Например, переименуем домен server.com в server.ru:
> NETDOM computername server.com /add:server.ru
После чего перезагружаем КД. В DNS-сервере должна появиться A запись с новым именем. Некоторое время потребуется на репликацию настроек на другие полномочные DNS-сервера. Затем даем команду:
> NETDOM computername server.com /makeprimary:server.ru
Опять перезагружаемся и удаляем старый домен:
> NETDOM computername server.ru /remove:server.com
Проверить добавление нового имени можно при помощи консоли ADSI Edit (AdsiEdit.msc), которая теперь является компонентом системы. И поэтому, в отличие от Win2k3, скачивать ее не нужно. Для установки ADSI Edit выбираем в Диспетчере сервера «Добавить компоненты» и в окне компонент раскрываем список «Средства удаленного администрирования сервера» (Remote Server Administration Tools). Затем переходим в «Средства администрирования ролей» (Role Administration Tools) – «Средства доменных служб Active Directory» (Active Directory Domain Services Tools) и отмечаем «Средства контроллера домена Active Directory» (Active Directory Domain Controller Tools). После этого вызываем утилиту из командной строки или через пункт «Редактирование ADSI» в меню Пуск — Администрирование. Подключаемся к КД, находим атрибут msDS-AdditionalDnsHostName, который должен содержать новое значение.
Рис. 5. ADSI Edit входит в состав Win2k8
Возможна ли временная остановка контролера домена?
При обслуживании контроллера домена во избежание не нужных репликаций может возникнуть необходимость во временной остановке службы Active Directory. Например, чтобы проверить целостность баз данных AD при помощи утилиты Ntdsutil, ранее необходимо было перезагружаться в режим восстановления DSRM (Directory Services Restore Mode) по клавише <F8> во время начальной загрузки. Так как в Win2k8 AD функционирует в качестве сервиса, теперь процесс остановки выглядит достаточно просто. Найти ее можно вместе с остальными сервисами в консоли Службы. Называется она «Службы домена Active Directory» (Active Directory Domain Services), и ее можно останавливать и перезапускать, как и любую другую. Хотя некоторые внутренние отличия от других сервисов все же есть. Так при остановке AD обязательно отключаем и все зависящие от нее службы (они перечислены во вкладке Зависимости): Центр распределения ключей Kerberos (Kerberos Key Distribution Center), Сервер DNS, Перекрестный обмен сообщениями (Intersite Messaging), Репликация DFS (DFS Replication).
В командной строке остановка/запуска службы AD DS выглядит еще проще:
> sc stop NTDS > sc start NTDS
Когда служба AD DS остановлена, можно подключаться к домену через другой КД.
Кроме этого, в Win2k8 есть возможность изменить установки DSRM входа. Для этого устанавливаем ключ реестра HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior в одно из следующих значений:
- 0 (по умолчанию) — Администратор не может войти в DSRM без подтверждения соответствующих прав в домене, полученных с другого КД;
- 1 — Администратор может войти в DSRM, когда AD DS остановлен;
- 2 — Администратор может войти в DSRM в любое время.
Как мне узнать, будет ли мое приложение работать в Win2k8?
Самый достоверный способ — самому установить и проверить работоспособность. Правда, для этого придется собрать «тестовый стенд», что не всегда возможно, так как не все ситуации можно сэмулировать. Чтобы упростить жизнь разработчикам, администраторам и пользователям, предлагаются две программы подтверждения совместимости:
- Works With Windows Server 2008 – показывает, что успешно пройдены все тесты на совместимость для указанной платформы;
- Certified for Windows Server 2008 — приложение соответствует требованиям Майкрософт, необходимым для успешной работы, и может использоваться при выполнении критических задач.
Кроме этого, приложение может получить дополнительное обозначение Hyper-V, гарантирующее успешную работу в виртуализированной среде. Самостоятельно протестировать приложение по условиям программы Works With можно при помощи утилиты Works With Tool for Windows Server 2008 (WWT). Параметров при тестировании проверяется достаточно много, но утилита включает добротный пошаговый мастер, который проведет пользователя через весь процесс оценки ПО. В процессе работы мастера предстоит заполнить сведения о версии программы и производителе, оборудовании системы и так далее. WWT сравнит систему до и после установки приложения, выдаст информацию о расположении файлов. Результат оформляется в виде HTML отчета или в пакете специального формата, который можно отправить Microsoft для анализа и получения статуса.
Рис. 6. WWT – инструмент для определения совместимости приложения с Win2k8
Можно ли из Win2k8 сделать рабочую систему?
Так как Win2к8 и Vista имеют довольно много общего, большая часть совместимых с Vista приложений будут работать и в серверной системе. Драйвера для оборудования (в том числе и для 64-х битной версии), написанные для Vista, нормально работают и в Win2k8. Для эмуляции Vista потребуется добавить несколько ролей и компонентов. Основной из них — компонент «Возможности рабочего стола» (Desktop Experience), который добавит в систему медиапроигрыватель, поддержку тем (в том числе Aero), почтовый клиент, календарь и другие программы. Компонент активируется стандартно через Диспетчер сервера или в командной строке:
> Servermanagercmd –i Desktop-Experience
После его установки потребуется перезагрузка сервера, после которой самостоятельно подключаем и настраиваем нужные функции. Например, темы и звук реализованы посредством сервисов. Для их активации используем соответствующую консоль или командную строку:
> Sc config themes start= auto > Net start themes > Sc config audiosrv start= auto > Net start audiosrv
Кроме Desktop-Experience, не лишними будут Wireless-Networking, BitLocker, Backup-Features, служба поиска Windows Search и PowerShell. В итоге вероятность превратить Win2k8 в полноценную рабочую систему довольно высока. Хотя особых преимуществ от такого перехода нет, и единственным мотивом может служить желание изучать новую систему.
Рис. 7. Цветовая схема Aero
INFO
-
Собрав все номера журнала Хакер, начиная с мая 2008, ты получишь хорошую подборку статей по использованию Win2k8.
-
Подробнее о WAIK смотри в статье «Самосборные окна» в январском номере Хакер за 2009 год.
WWW
-
Список приложений, поддерживающих контроллеры домена только для чтения, можно найти в документе «Applications That Are Known to Work With RODCs» по адресу .
-
Полнофункциональную пробную версию Win2k8 можно свободно скачать по адресу .
-
Последняя версия Microsoft Hyper-V Server 2008 доступна на странице .
Статья опубликована в мартовском номере журнала «Xakep» за 2009 год.