Windows Server 2008

Katholieke Hogeschool Kempen

Microsoft Windows Server 2008

Thierry Taverna Jochen Mariën

2 Windows Server 2008

Inhoudsopgave

1! Introductie tot Windows Server 2008 ..........................................6!

1.1! Het “Active Directory” tijdperk .....................................................................6!

1.2! Functionaliteiten uit Windows 2000 Server .............................................6!

1.3! Nieuwe functionaliteiten in Windows Server 2003.................................7!

1.4! Nieuwe functionaliteiten in Windows Server 2008.................................7!

1.5! De “Windows Server 2008 family”.................................................................9!

1.6! Functionele niveaus en compatibiliteit ..................................................... 12!

2! Installatie van Windows Server 2008........................................ 14!

2.1! De minimale systeemvereisten ...................................................................... 14!

2.2! Schijfpartities instellen............................................................................... 15!

2.3! Licenties voor clienttoegang ..................................................................... 16!

2.4! Installatie van Windows Server 2008 ...................................................... 16!

3! Domain Name System ........................................................................ 18!

3.1! DNS en Windows 2008 Server..................................................................... 18!

3.2! DNS zones .......................................................................................................... 19!

3.3! DNS-naamresolutie praktisch...................................................................... 21!

3.4! DNS resource records.................................................................................. 24!

3.5! Een caching-only server................................................................................ 25!

3.6! Installatie van de DNS Service.................................................................... 25!

3.7! Configuratie van DNS-zones ........................................................................ 27!

3.8! Testen van de DNS-zones ............................................................................... 28!

4! Active Directory .............................................................................. 31!

4.1! Inleiding Active Directory............................................................................. 31!

4.2! De logische structuur van Active Directory ......................................... 32!

4.3! De installatie van Active Directory........................................................... 37!

4.4! Eerste ingebruikname van Active Directory............................................ 42!

4.5! DNS integratie .................................................................................................. 43!

4.6! De ‘Global Catalog Server’ ......................................................................... 46!

4.7! Operations Masters........................................................................................ 46!

5! Active Directory beheren .............................................................. 49!

5.1! Organizational Units...................................................................................... 49!

5.2! Organizational unit structuurbepaling................................................... 50!

5.3! User Accounts ................................................................................................. 52!

5.4! De ‘Computer Account’.................................................................................. 54!

5.5! Groepen .............................................................................................................. 55!

5.6! Strategieën voor het gebruik van groepen ............................................. 57!

5.7! De ‘A-G-DL-P’-strategie .................................................................................... 58!

5.8! Active Directory Permissies ......................................................................... 61!

5.9! Administratieve controle delegeren ........................................................ 63!

6! Group Policy Objects...................................................................... 65!

6.1! Gecentraliseerd beheer ................................................................................ 65!

6.2! Group Policy Management Console .......................................................... 65!

6.3! Basisregels voor Group Policy .................................................................. 67!

6.4! Group Policies implementeren..................................................................... 69!

6.5! Instellingen en resultaat van GPO............................................................ 71!

6.6! WMI filters......................................................................................................... 74!

6.7! Granular password policies........................................................................ 77!

6.8! Group Policy Modeling versus Group Policy Results ........................ 78!

6.9! Software deployment en restricties ........................................................ 79!


7! Netwerkshares ................................................................................ 82!

7.1! File Shares creëren........................................................................................ 82!

7.2! Disk quota .......................................................................................................... 84!

7.3! File screening ................................................................................................... 86!

7.4! Mappen publiceren in Active Directory..................................................... 88!

7.5! Implementatie van Offline Files .................................................................. 89!

7.6! Het Distributed File System.......................................................................... 90!

7.7! Encrypting File System .................................................................................. 92!

7.8! Share- en NTFS–permissies ........................................................................... 95!

8! Printer Services .............................................................................. 99!

8.1! Printers installeren....................................................................................... 99!

8.2! Printers in Active Directory ..................................................................... 100!

9! Disk Management ........................................................................... 102!

9.1! Disk Management Console......................................................................... 103!

9.2! Dynamische volumes creëren.................................................................... 103!

9.3! Een disk defragmenteren ........................................................................... 104!

10! Virtualisatie.................................................................................... 106!

10.1! Terminal services.......................................................................................... 107!

10.2! Installatie van Terminal Services ........................................................... 108!

10.3! Gebruik van Terminal Services ................................................................. 110!

10.4! Virtual Server 2005 en Hyper-V ............................................................... 112!

11! DHCP en WINS................................................................................. 114!

11.1! Installatie van een DHCP-server ............................................................. 114!

11.2! Ingebruikname van een DHCP-server....................................................... 115!

11.3! De integratie van DHCP en DNS................................................................ 116!

11.4! Windows Internet Naming Service........................................................... 117!

12! Remote access en Virtual Private Networking ...................... 120!

12.1! Routing and Remote Access ...................................................................... 121!

12.2! Authenticatieprotocollen ........................................................................ 122!

12.3! Virtual Private Networks .......................................................................... 124!

12.4! RADIUS en NPS............................................................................................... 125!

13! De fysieke structuur van AD....................................................... 127!

13.1! Active Directory Sites................................................................................. 127!

13.2! Replicatie componenten ............................................................................. 128!

13.3! Replicatie binnen een site ........................................................................... 129!

13.4! Replicatie tussen sites ................................................................................ 130!

13.5! Sites linken ..................................................................................................... 130!

13.6! Replicatietrafiek monitoren ..................................................................... 131!

14! Internet Information Services ................................................... 132!

14.1! IIS installateren............................................................................................ 132!

14.2! Webpagina’s beschikbaar maken ............................................................... 133!


Figurenlijst

Fig. 1.1 Windows 2008 server family............................................................................................. 9!Fig. 1.2 Overzicht Business servers.............................................................................................11!Fig. 3.1 DNS opbouw..........................................................................................................................19!Fig. 3.2 DNS naamresolutie.............................................................................................................22!Fig. 3.3 Server manager met DNS server ....................................................................................26!Fig. 3.4 DNS root hints.....................................................................................................................27!Fig. 3.5 Host- en pointerrecord.....................................................................................................30!Fig. 3.6 NS en SOA record...............................................................................................................30!Fig. 4.1 Structuur Active Directory ............................................................................................32!Fig. 4.2 Organizational Units .........................................................................................................34!Fig. 4.3 Trees en Forests .................................................................................................................35!Fig. 4.4 Windows Server 2008 rollen.........................................................................................38!Fig. 4.5 Beslissingsboom domain controller ...........................................................................39!Fig. 4.6 Depend on service ...............................................................................................................41!Fig. 4.7 General tab van forward lookup zone ........................................................................44!Fig. 4.8 Forward lookup zone na installatie AD......................................................................45!Fig. 4.9 Domain controller en domain records .......................................................................45!Fig. 5.1 Voorbeeld OU structuur .................................................................................................50!Fig. 5.2 Verschil OU en map .............................................................................................................51!Fig. 5.3 Gebruikersopties.................................................................................................................53!Fig. 5.4 Tabbladen Member en Member of ...................................................................................57!Fig. 5.5 OU structuur kleuterschool.........................................................................................59!Fig. 6.1 Group Policy Managment console ................................................................................66!Fig. 6.2 Rapport over GPO...............................................................................................................66!Fig. 6.3 GPO Edit tool.......................................................................................................................67!Fig. 6.4 GPO scope ttab....................................................................................................................70!Fig. 6.5 GPO Settings venster........................................................................................................72!Fig. 6.6 Block Inheritance...............................................................................................................73!Fig. 6.7 Enforced ...............................................................................................................................73!Fig. 6.8 Security Filtering ...............................................................................................................74!Fig. 6.9 Build number bij WMI Code creator..............................................................................76!Fig. 6.10 WMI aan command prompt ..............................................................................................76!Fig. 6.11 WMI filter op build number............................................................................................77!Fig. 6.12 De GPResults wizard .......................................................................................................79!Fig. 6.13 User software restriction............................................................................................81!Fig. 6.14 Computer software restriction..................................................................................81!Fig. 7.1 Share beheersconsole......................................................................................................83!Fig. 7.2 Schijfbeheer.........................................................................................................................83!Fig. 7.3 Quota template....................................................................................................................85!Fig. 7.4 Quota rapportage...............................................................................................................86!Fig. 7.5 File screen template ..........................................................................................................87!Fig. 7.6 File groups ............................................................................................................................88!Fig. 7.7 Shares publiceren in AD....................................................................................................88!Fig. 7.8 Encryptie inschakelen .......................................................................................................93!Fig. 7.9 Share persmissies................................................................................................................96!Fig. 7.10 NTFS permissies.................................................................................................................96!Fig. 7.11 Melding bij het uitschakelen van inheritance .........................................................98!Fig. 8.1 Print Management ............................................................................................................ 101!Fig. 9.1 Properties van een harde schijf.................................................................................. 105!Fig. 9.2 Defragmentatie-rapport ................................................................................................ 105!Fig. 10.1 Virtualisatie in Windows Server 2008.................................................................... 106!Fig. 11.1 WINS in de server manager ......................................................................................... 118!Fig. 11.2 WINS cliënt instelling ................................................................................................. 119!Fig. 14.1 IIS overzicht .................................................................................................................... 132!Fig. 14.2 IIS 7 opstartscherm ...................................................................................................... 133!Fig. 14.3 Toevoegen van een website......................................................................................... 134!Fig. 14.4 Beheren van een website ............................................................................................. 134! Tabellenlijst

Tab. 1.1 Hardware ondersteuning en geschatte prijs ...........................................................11!Tab. 1.2 Forest functional levels................................................................................................12!Tab. 1.3 Functional levels .............................................................................................................13!Tab. 2.1 Systeemvereisten Windows Server 2008 ...................................................................14!Tab. 3.1 DNS zonetypes ....................................................................................................................20!Tab. 3.2 Recordtypes ........................................................................................................................24!Tab. 4.1 Trust relationships ...........................................................................................................35!Tab. 5.1 Gekopiëerde user-eigenschappen ..................................................................................54!Tab. 5.2 Group Scopes......................................................................................................................56!Tab. 5.3 Groepenstructuur ............................................................................................................60!Tab. 5.4 Standaard permissies........................................................................................................62!Tab. 6.1 Tijdsvermenigvul-digingsfactoren PSO......................................................................77!Tab. 7.1 Cipher parameters .............................................................................................................93!Tab. 7.2 NTFS permissies ..................................................................................................................97!Tab. 10.1 Verschillen Virtual Server 2005 en Hyper-V ...................................................... 113!


Voorwoord

Deze cursus is gebaseerd op de originele cursus Windows Server 2003 van mr. T. Taverna. In een aantal gevallen was het immers mogelijk om de beschrijvingen van de onderdelen die niet veranderd zijn in Windows Server 2008 sinds de invoering van Windows Server 2003 over te nemen. Het gaat hier vooral om de basisprincipes van Active Directory, die in prinicipe zelfs al dezelfde zijn gebleven sinds Windows Server 2000.

Daarnaast kunnen wij niet anders dan hem erkentelijk zijn voor het opstellen van een structuur waarbinnen het vak besturingssystemen op een overzichtelijke manier kan aangebracht worden.


1 Introductie tot Windows Server 2008

1.1 Het “Active Directory” tijdperk

In Microsoft Windows 2000 Server vertrekt Microsoft vanuit een nieuwe visie voor de manier waarop netwerkbeheerders de logische en fysieke hiërarchie plannen en configureren voor een netwerk waarin Microsoft Windows servers worden ingezet.

De Active Directory biedt een beheerssysteem vanuit een boomstructuur die nog niet beschikbaar was in de domeingeoriënteerde netwerken die beheerd werden met Windows NT Server.

In dit hoofdstuk kijken we naar de functies die Windows Server 2008 heeft onvergenomen van zijn voorgangers en naar een aantal nieuwe voorzieningen in dit netwerkbesturingssysteem. Verder bekijken we ook de verschillende edities van Windows Server 2008.

1.2 Functionaliteiten uit Windows 2000

Server

Alle voorzieningen en tools die beschikbaar zijn in Windows 2000 Server zijn ook te vinden in Windows Server 2003 en Windows 2008 server. Hieronder vind je een overzicht van de belangrijkste:

De Active Directory – De directory service voor het Windows Server 2003 serverplatform biedt een hiërarchisch gestructureerd, dynamisch overzicht van alle objecten binnen het netwerk (gebruikers, computers, printers, gedeelde mappen, …).

De Microsoft Management Console (MMC) – De MMC biedt een gemeenschappelijke interface voor beheerservices en hulpprogramma’s in de vorm van MMC-snap-ins. De MMC is ook beschikbaar in Windows XP. De MMC start je op door aan de opdrachtprompt “MMC” te typen. Vervolgens kan je de modules of snap-ins die je wenst te gebruiken uit een keuzelijst selecteren.

In windows 2008 server is er naast de gewone MMC ook een server manager beschikbaar, die de basisinstellingen van de PC en in uitbreiding Server toont.

Plug-and-play ondersteuning – Diverse wizards en het vermogen van het besturingssysteem automatisch nieuwe hardware te ontdekken, maken het installeren van hardware tot een zeer eenvoudige opgave.

Webserverfunctionaliteit – Windows Server 2008 wordt geleverd met de nieuwste versie van Microsoft Internet Information Services (IIS versie 7), die kan gebruikt worden als basis voor een webserver op het internet of binnen het bedrijfsintranet.

Group Policy – Eén van de grote vernieuwingen binnen Windows 2000 Server is de toepassing van Group Policies (Groepsbeleid). Deze functionaliteit biedt tal van mogelijkheden om de gebruikers- en

Active Directory


computeromgeving binnen het netwerk op maat te regelen. De beschikbaarheid van toepassingen, de bureaubladinstellingen op de clients, aanlogprocedures, … kunnen worden ingesteld in Group Policies.

Security – In Windows 2000 Server zijn gegevenscodering, smartcardgebruik, certificaatservices, nieuwe security protocollen (Kerberos, IP Sec,…), e.a. geïntroduceerd op vlak van beveiliging. Windows 2003 Server en Windows 2008 Server bouwen hierop verder.

1.3 Nieuwe functionaliteiten in Windows

Server 2003

De overstap van Windows 2000 Server naar Windows 2003 Server was een stuk minder radicaal dan die van Windows NT naar Windows 2000 Server. Toch zijn er toen enkele trends naar boven gekomen die zijn doorgezet bij de volgende overstap naar Windows 2008 Server.

! Windows XP-look – In de Windows Server 2003 omgeving wordt het bureaublad van Windows XP gebruikt.

! Active Directory verbeteringen – Windows Server 2003 biedt o.a. de mogelijkheid om de namen van domeinen en domeincontrollers te wijzigen. Met Forest Trust wordt de Active Directory hiërarchie nog flexibeler.

! IPv6 ondersteuning – Nu IP-adressen schaars beginnen worden, biedt IPv6 (Internet Protocol versie 6) een oplossing voor het probleem van IP-adressering. Windows Server 2003 ondersteunt naast de klassieke IPv4 adressering ook de nieuwste IPv6 technologie.

! Resultant Set of Policy – Enkele vernieuwde tools voor groepsbeleid maken het eenvoudiger om in Windows Server 2003 beleidsinstellingen te maken op treeniveau, domeinniveau en serverniveau en om het resultaat van de toegepaste policies op objecten te analyseren.

1.4 Nieuwe functionaliteiten in Windows

Server 2008

Zoals Windows 2003 Server samenhing met Windows XP, zo hangt Windows 2008 server samen met Windows Vista. Alle vernieuwingen aan het gebruikersbesturingssysteem Vista zijn ook geïntegreerd in Windows 2008 Server.

! Windows Vista bureaublad: Het bureaublad van Windows 2008 server alsook de meeste standaard icoontjes zijn idem aan die van Windows Vista.

! Herschreven network stack: De manier waarop Windows 2008 Server naar een netwerkaansluiting kijkt is sterk uitgebreid tenopzichte van vorige versies. IPv6 is niet langer ‘slechts’ ondersteund, maar is standard geïnstalleerd. Ook draadloos network wordt veel beter ondersteund, al moet gezegd dat deze service


omwille van beveiligingsredenen standaard uitstaat op Windows 2008 Server.

! Server core: Behalve de gewone klassieke installatie van Windows 2008 Server kan men ook kiezen voor een Server Core installatie. Hierbij wordt de server geïnstalleerd met minimale systeemvereisten, zelfs zonder de Windows Explorer interface. Er is dus geen startknop en geen verkenner. Alle configuratie van deze server moet gebeuren via een command-line interface of via een MMC op een andere machine. Beperkte grafische instellingen zijn mogelijk, zoals bijvoorbeeld de regionale instellingen. Een server Core installatie kan geconfigureerd worden in zowat alle rollen waarin een normale installatie ook kan geplaatst worden, maar door de beperkte installatie is het aanvaloppervlak (attack surface) van het besturingssysteem sterk verkleind. 70% van alle beveiligingsproblemen die met vorige versies van Windows 2008 server bestonden zijn niet meer mogelijk met een Server Core installatie.

! Active Directory Roles: Alhoewel het concept Active Directory op zich niet veranderd is, zijn er wel een aantal mogelijkheden toegevoegd. Hieronder vinden we Active Directory Federation Services (ADFS), Active Directory Lightweight Directory Services (AD LDS), (formerly Active Directory Application Mode, or ADAM), Active Directory Certificate Services (ADCS), en Active Directory Rights Management Services (ADRMS). De meeste van deze rollen komen in deze basiscursus echter niet verder aan bod.

! Failover clustering: Het product Microsoft Cluster Server, dat ook al bestond voor Windows 2003 Server, is aangepast zodat het makkelijker te installeren en te configureren is. Door de installatie hiervan is het mogelijk verschillende servers te laten samenwerken zodat de services van de server bij uitval weinig tot niet onbeschikbaar zijn.

! Powershell: In Windows 2008 Server is Powershell standaard geïntegreerd. Deze nieuwe, uitbreidbare versie van de command line zal het schrijven van scripts voor Windows 2008 Server en alle onderdelen ervan eenduidiger en simpeler maken.

! Hyper-V: Virtualisatie is opgenomen als integraal onderdeel van Windows 2008 Server. Door virtualisatie is het mogelijk de rekenkracht van een computer te verdelen over meerdere, virtuele servers. Alhoewel Hyper-V niet geïmplementeerd is in de x86-versies van Windows 2008 Server, kunnen deze wel e beheersconsole en de tools draaien.


1.5 De “Windows Server 2008 family”

Windows Server 2008 is in verschillende edities op de markt gebracht, met elk haar specifieke toepassingsgebieden en technische capaciteiten.

De opvolger van Windows XP, Windows Vista, bracht een schare aan nieuwe mogelijkheden mee voor de eindgebruiker. Opvallend is de verbeteringen aan de grafische interface, die verregaande 3D-mogelijkheden met zich mee draagt.

Daarnaast is ook UAC of User Access Control geïmplementeerd. Hiermee is het mogelijk dat een gebruiker bij het uitvoeren van taken waartoe hij niet de rechten heeft, de credentials van een gebruiker die deze rechten wel heeft invoert. Hiermee is het veel comfortabeler om een computer te gebruiken als gewone gebruiker, omdat beheerstaken kunnen uitgevoerd zonder af te loggen en aan te loggen als Administrator, maar door gewoon het correcte paswoord in te geven.

Ook internet Explorer 7 is standaard geïnstalleerd bij Vista, dat in veel verschillende versies te verkrijgen is. Elke versie is hierbij een uitbreiding op de vorige, met als hoogste versie Windows Vista Ultimate.

Wanneer slechts een beperkte gebruikersgroep aanwezig is, kan Windows Server 2008 foundation een goede keuze zijn. Hiermee kan aan instapprijs een implementatie gemaakt worden van Active Directory die een proffesioneel beheer van het netwerk mogelijk maakt.

De licensie is beperkt tot 15 gelijktijdige gebruikers. Ook is het niet mogelijk een child domain op te bouwen met Windows server 2008 foundation. Eveneens is het niet mogelijk trust relaties met andere domeinen op te zetten. Als de nood hiertoe zich stelt is het echter wel relatief makkelijk om een upgrade te doen naar een hogere versie van Windows Server 2008.

Een andere eerder beperkte versie van Windows Server 2008 is de Web Server. Als men de opbouw van een domein bekijkt vanuit het standpunt van security, hebben een Web Server en een Domain Controller volkomen tegengestelde noden. Het is dan ook zeer moeilijk beide rollen op eenzelfde machine te implementeren met een goed beveiligd domein.

Fig. 1.1 Windows 2008 server family

Windows Vista

Windows Server

2008 foundation

Windows Web

Server 2008


In Windows Web Server is het dan ook niet mogelijk om een domein op te starten. Deze versie is enkel en alleen bedoeld om een webserver te implementeren, en deze beschikbaar te stellen aan het internet.

Het is mogelijk een server core installatie te doen, en er worden maximaal 4 processoren en 32 GB ram-geheugen ondersteund.

Windows Server 2008 Standard is de beste instapmogelijkheid naar een Windows domein, zonder hierbij toegevingen te doen aan de mogelijkheden van het systeem. Met de standaard edite zijn alle belangrijke nieuwe functies van Windows Server 2008 geïmplementeerd.

Het ondersteund, net als de web server, een Server met maximaal 4 processoren en 32 GB ram. Daarnaast kunnen tot 250 gebruikers connecteren, en zijn Hyper-V virtualisatie, server core support en Powershell 2 standaard aanwezig in het pakket.

Indien de noodzaak bestaat om een Server met 8 processoren en 2 TB ram te gebruiken, dan moet Windows Server 2008 Enterprise geïnstalleerd worden. Deze biedt dezelfde mogelijkheden als de standaard-editie van Windows Server 2008, maar vult die aan met een aantal opties ter ondersteuning van meer gebruikers in een veiligere omgeving.

Zo is er Failover Clustering. Hierbij worden twee of meerdere Servers met elkaar in constante communicatie gehouden, zodat er bij uitval van één Server uit de groep een minimale downtime ontstaat. De rest van de servers nemen de functies van de uitgevallen Server naadloos over.

Daarnaast behoren oof fout-tolerante geheugen synchronisatie en cross-file replicatie tot de mogelijkheden. Beide zorgen op hun eigen manier voor een veiliger systeem dat met een minimum aan replicatietijd een maximale bestandsbeschikbaarheid voorop stelt.

Als laatste versie is er Windows Server 2008 Datacenter. Hiermee kan men, behalve 2 TB ram, ook 64 processoren inschakelen. Het spreekt voor zich dat het hier om hoog-performantie systemen waarbij de jaarlijkse downtime te verwaarlozen laag is.

Mits gebruik van de hardware is het hierbij mogelijk om geheugen en processoren toe te voegen of te verwijderen zonder de Server uit te schakelen. Daarnaast zijn alle hierboven besproken mogelijkheden aanwezig, met een ondersteuning voor een quasi onbeperkt aantal gebruikers.

Als overtreffende stap Windows Server 2008 Datacenter zal begin 2010 Windows HPC Server beschikbaar gemaakt worden. Dit project, waarvoor hoge verwachtingen gelden, zal vooral gericht zijn op de ontwikkelaars van nieuwe onderdelen voor serversystemen.

Het zal mogelijk zijn duizenden processoren te gebruiken, en zal beheersconsoles bevatten waarmee de stabiliteit van het systeem proactief gemonitoreerd kan worden. Daarnaast zal een vergevorderde integratie van Windows en Linux ook mogelijk worden.

Windows Server

2008 Standard

Windows Server

2008 Enterprise

Windows Server

2008 Datacenter

Windows HPC

Server 2008


32-bit windows 64-bit windows

4 GB ram 32 GB ram

4 processoren 4 processoren Web edition

470 $ per server 470 $ per server

4 GB ram 32 GB ram

4 processoren 4 processoren Standard


64 GB ram 2 TB ram

8 processoren 8 processoren Enterprise


64 GB ram 2 TB ram

64 processoren 64 processoren Datacenter

3000 $ per processor 3000 $ per processor

Behalve de normale edities van Windows Server, zijn er ook speciale versies op de markt gebracht, gericht op kleine of grotere bedrijven. Het gaat hier om Windows Small Business Server en Windows Essential Business Server.

Het gaat hier strikt gezien niet om andere versies dan hierboven beschreven, maar een uitgave van het besturingssysteem waarbij bepaalde functies voorgeïnstalleerd zijn en de beheersconsoles op voorhand zijn opgezet voor de normale werking van de Server.

Als er niet meer dan 75 gebruikers zijn, is het nog mogelijk te werken met een Windows Small Business Server. Hierbij zijn de verschillende serverapplicaties sterk met elkaar geïntegreerd, waardoor bepaalde solutions, zoals de Remote Web Workplace makkelijk geïmplementeerd kunnen worden.

Bij implementatie zijn er echter een aantal voorwaarden waarmee rekening gehouden moet worden. Zo mag er maar één computer in het domein Windows Small Business Server draaien. Dit wil niet zeggen dat er maar één Server in het domein mag zijn. Het domein ondersteund nog altijd meerdere Domain Controllers, maar slechts één met deze versie van Windows Server.

De Windows Small Business Server moet wel aan de root van de forest staan, en het is niet mogelijk om Child-domains op te zetten. Ook trust relaties kunnen niet aangegaan worden.

Het systeem is ook alleen maar beschikbaar in 64 bit-versie. Dit is doordat er een sterke integratie is met Exchange Server 2007, dewelke een applicatie is die alleen bestaat in 64 bit.

Tab. 1.1 Hardware ondersteuning en geschatte prijs

Fig. 1.2 Overzicht Business servers

Windows Small

Business Server


Windows Essential Business Server wordt niet geleverd als een enkele licentie. Er wordt van uitgegaan dat eens het bedrijf groot genoeg is om deze architectuur nodig te hebben, het ook niet langer mogelijk is dat alles op een enkele Server te draaien.

Als men de Windows Essential Business Server Standard aanschaft zitten hierbij drie Windows Server 2008 Standard servers, aangevuld met onder andere een licentie voor Microsoft Exchange 2007. Bij de premium editie zijn er vier Windows Server 2008 Standard licenties, Exchange 2007 en bovendien Microsoft SQL Server 2008 Standard.

Net als bij Windows Small Business Server is Remote Web Workplace geïntegreerd, een out-of-the-box functie die het voor een beheerder mogelijk maakt snel en beveiligd Outlook Web Access en Remote Access op te zetten.

1.6 Functionele niveaus en compatibiliteit

Op de netwerkclients kan je in combinatie met een Windows Server 2008 machine elke gewenste versie van Windows gebruiken, zoals Windows 2000, Windows XP, Windows Vista, Windows 7 of zelfs Windows 2008 server.

Het feit dat Windows Server 2008 kan werken op verschillende functionele niveaus zorgt er ook voor dat het systeem compatibel is met eerdere versies van het Windows netwerkbesturingssysteem (Windows 2000 Windows 2003 Server). Een netwerk waarin Windows Server 2008 machines in combinatie met Windows 2000 Server of Windows 2003 Server machines worden gebruikt, wordt beschouwd als een gemengde netwerkomgeving. Kanttekening hierbij is, dat in zo’n gemengde netwerkomgeving niet de volle functionaliteit van het Windows Server 2008 systeem kan worden gebruikt.

Er zijn vier verschillende functionele niveaus waarin een domein zich kan bevinden. Elk functioneel niveau brengt extra features met zich mee, maar de grootste invloed heeft het op het besturingssysteem van de andere domeincontrollers.

Domein Functioneel Niveau Ondersteunde domeincontrollers

Windows 2000 Native

Windows 2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

Windows Server 2003

Windows 2003 Server, Windows Server 2008, Windows Server 2008 R2

Windows Server 2008

Windows Server 2008, Windows Server 2008 R2

Windows Server 2008 R2 Windows Server 2008 R2

In Windows 2000 native mode worden alle besturingssystemen sinds de echte implementatie van Active Directory. Daarnaast zijn de basismogelijkheden beschikbaar, zoals daar zijn Universal Groups, het nesten van groepen, conversie van een group naar een ander type group en Security identifier (SID) history.

Windows Essential

Business Server

Tab. 1.2 Forest functional levels


Als we het functionele niveau verhogen naar Windows 2003 Server is het mogelijk de naam van de domain controller te veranderen mits gebruik van netdom.exe. Daarnaast is het Kerberos Authentication protocol geïnstalleerd, en kunnen applicaties hierdoor gebruik maken van de aanloggegevens van een gebruiker.

In het Windows 2003 Server functionele niveau kan de Authorization Manager de policies opslaan in Active Directory Domain Services.

Vanaf het Windows 2008 Server functionele niveau zal het distributed file system (DFS) de SYSVOL-folder mee repliceren. Er zijn ook betere encryptieprotocollen beschikbaar voor het Kerberos aanlogprotocol, zoals AES 128 en 256.

Verdere verbetering zijn de fine grained password policies, waardoor password en account lockout policies kunnen ingesteld worden voor gebruikers en golbal security groups in een domein.

Als we tenslotte het domain functional leven instellen op Windows Server 2008 R2 zal ook informatie over het type aanmelding van een gebruiker, bijvoorbeeld met smartcard of met gebruikersnaam en paswoord, opgeslagen worden.

Naast het functionele niveau van een domein onderscheidt Windows Server 2008 ook vier functionele niveaus van een forest: Windows 2000, Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2.

Een overzicht van de veranderingen is te vinden in onderstaande tabel.

Domain features Forest features

2000 native Universal groups, Group nesting,

Group conversions, Security

identifier (SID) history

All default AD features

2003 native Ability to rename domain

controllers via netdom.exe, Logon

time stamp dates, Redirect Users

and Computers, Authorization

Manager policies in AD,

Constrained delegation, Selective

authentication

Forest trust, domain rename,

linked-value replication, Read-only

domain controller deployment,

instances of the dynamic auxiliary

class named dynamicObject in a

domain directory partition, convert

inetOrgPerson object instance into

a User object instance, create

instances of new group types to

support role-based authorization,

deactivation and redefinition of

attributes and classes in the

schema

2008 native Distributed File System replication

support for SYSVOL, Advanced

encryption, Last Interactive Logon

information, Fine-grained

password policies

No new additional forest-level

features

De begrippen ‘domein’ en ‘forest’ maken deel uit van de logische structuur van Active Directory en worden in het hoofdstuk “Active Directory installeren” in detail behandeld.

Tab. 1.3 Functional levels


2 Installatie van Windows Server 2008

2.1 De minimale systeemvereisten

Zoals al bleek in hoofdstuk 1, kan de systeembeheerder kiezen uit verschillende versies van het Windows Server 2008 besturingssysteem afhankelijk van de schaal van het netwerk en de benodigde rekencapaciteit binnen het toepassingsgebied.

In het algemeen kan men stellen dat een server steeds meer clients en meer netwerkservices moet ondersteunen dan er verwacht worden en dat er best voldoende rekenkracht (processor) en geheugen (RAM) voorzien worden. Ook het aantal ‘rollen’ – een server kan bv. domeincontroller zijn en daarnaast nog DNS- en DHCP-services leveren – die een server binnen een netwerk vervult, is een belangrijke indicator van de benodigde performantie.

De volgende tabel geeft een overzicht van de minimum systeemeisen voor de installatie van Windows Server 2003 Standard Edition op een Intel platform.

Component

Systeemeisen Windows Server 2008 R2

CPU

Pentium 1,4 GHz processor

Geheugen

512 MB (1 GB of meer aanbevolen)

Harde Schijf

Een harde schijf van minimaal 32 GB.

Netwerk

Windows Server 2008 compatibele netwerkadapter

Weergave

Minimaal SVGA-adapter met resolutie van 800 x 600

Accessoires

DVDRom, Keyboard en muis of ander aanwijsapparaat en internettoegang.

Ook hier moet men rekening houden met het feit dat de hardware ondersteund moet worden door Windows Server 2008. Hiervoor kan je de Hardware Compatibility List op www.microsoft.com/hcl raadplegen of contact opnemen met de hardwarefabrikant.

Aangezien Windows 2008 Server en Windows Vista uitgaan van dezelfde basisstructuur, kan echter wel veilig aangenomen worden dat de hardware die werkt onder Windows Vista ook zal werken onder Windows Server 2008. Men moet hierbij wel in het oog houden dat een server andere vereisten stelt

Tab. 2.1 Systeemvereisten

Windows Server 2008

Hardware

Compatibility List


aan een PC; het zal bijvoorbeeld niet nodig zijn een sterke grafische kaart te voorzien, maar de hoeveelheid ram-geheugen is des te belangrijker.

Om na te gaan of de hardware van een computer geschikt is voor het Windows Server 2008 systeem zijn er door Microsoft twee tools beschikbaar gesteld die nagaan of de hardware geschikt is en of er geen probleem is met applicatiecompatibileit. Daarenboven kan men in .txt-bestanden in de root van de Windows 2008 DVD de laatste informatie over hard- en softwarecompatibileit terugvinden, naast andere informatie die best doorgenomen wordt voorafgaand aan installatie.

De tool om de hardwarecompatibiliteit na te gaan is de hardware assesment wizard. Deze kan gedownload worden op de microsoft website.

Om de applicaties van het systeem te testen is er een volledige website uitgebouwd. Deze draait vooral rond de Application Compatibility Toolkit. De ACT kan uitgevoerd worden op Windows Server 2003 en 2008, Windows Vista, Windows XP SP2 en Windows 2000 SP4. Het is echter wel nodig dat ook SQL Server 2000, 2005 of 2005 Express ook geïnstalleerd is.

Een volledige beschrijving van deze testen valt buiten het bestek van deze cursus, maar de nodige informatie kan ten allen tijde teruggevonden op de website van Microsoft.

2.2 Schijfpartities instellen

Tijdens de installatie zullen er keuzes moeten gemaakt worden in verband met de diskpartities. Een tip hierbij is om tijdens het installatieproces enkel de partitie te creëren waarop Windows Server 2008 geïnstalleerd gaat worden en achteraf Disk Management te gebruiken om de rest van de hard disk te partitioneren.

Bij de keuze van schijven kan men nog het volgende opmerken. Bij kritische servers wordt er veel gebruik gemaakt van RAID1- en SAN2-oplossingen. Deze oplossingen verminderen de kans van onbeschikbaarheid van het systeem te wijten aan hardwarefouten van de schijf.

Na het creëren van een partitie waarop Windows Server 2008 zal geïnstalleerd worden, geeft Setup de mogelijkheid om het bestandssysteem te selecteren waarin de partitie moet worden geformatteerd. Windows Server 2008 ondersteund zowel het NTFS- (New Technology File System) als het FAT- (File Allocation Table) bestandssysteem.

Op een FAT-volume wordt een bestandstoewijzingstabel gebruikt waarin de naam van elk bestand en ook de clusters waar het bestand zich op de vaste schijf bevindt, worden vermeld. FAT stamt nog uit de tijd van Microsoft DOS. FAT32 is een uitbreiding van het oorspronkelijke FAT, ontworpen voor Windows 95/98, waarbij de bestandstoewijzingstabel werd uitgebreid om meer schijfruimte te kunnen alloceren.

Een voordeel aan een FAT-partitie is dat ze ook gelezen en beschreven kan worden door besturingssystemen die niet door Microsoft ontwikkeld zijn, zoals Mac OS X en Linux.

Uiteraard is het hier aan te raden om “NTFS” te formatteren. Dit systeem biedt vele voordelen t.o.v. de klassieke FAT- of FAT32- indeling, zoals:

1 RAID: Redundant Array of Independent Disks 2 SAN: Storage Area Network

Systeem-

compatibiliteit

Bestandssysteem

FAT-partitie

NTFS-partitie


! uitgebreide beveiliging op bestands- en mapniveau d.m.v. NTFS-permissies,

! standaard mogelijkheid om mappen te comprimeren,

! het gebruik van diskquota’s,

! het gebruik van EFS (Encrypted File System) om bestanden en/of mappen te beveiligen.

Aangezien de beschrijving van het NTFS-bestandssysteem nog steeds niet volledig is vrijgegeven, is het voor andere besturingssystemen niet altijd mogelijk om toegang te krijgen tot bestanden op zo’n schijf.

Alhoewel dit wel een overweging is bij gewone gebruikerssystemen, mag er op serverniveau geen toegeving gedaan worden op beveiligingsniveau. Er zal dus altijd voor NTFS gekozen worden.

2.3 Licenties voor clienttoegang

Bovenop de licentie die nodig is om een Windows Server 2008 te installeren en bovenop de licenties die nodig zijn om clients te installeren, is er ook een Client Access License (CAL) nodig voor elke client connectie naar de server.

Er zijn twee verschillende typen Windows-CAL’s beschikbaar: 'Apparaat' en 'Gebruiker'.

Elke Windows-CAL voor Apparaten staat één Apparaat (dat door ongeacht welke Gebruiker wordt gebruikt) toe toegang te verkrijgen tot de Serversoftware of deze te gebruiken. Elke Windows-CAL voor Gebruikers staat één Gebruiker (die ongeacht welk Apparaat gebruikt) toe toegang te verkrijgen tot de Serversoftware of deze te gebruiken.

Men mag Windows-CAL's naar uw keuze in de modus 'Per Apparaat of Per Gebruiker' of 'Per Server' met de Serversoftware gebruiken.

Bij de modus ‘Per Apparaat of Per Gebruiker’ is er een afzonderlijke Windows-CAL nodig voor elk Apparaat of elke Gebruiker die op uw Servers toegang heeft tot de Serversoftware of Serversoftware gebruikt.

Bij de modus ‘Per Server’ is het maximale aantal Apparaten en Gebruikers, dat gelijktijdig toegang mag hebben tot of gebruik mag maken van de Serversoftware die op een specifieke Server is geïnstalleerd, gelijk aan het aantal Windows-CAL's (van ongeacht welk type) dat voor exclusief gebruik met die Server aangeschafis. Men heeft het eenmalige recht het gebruik van de Serversoftware te wijzigen van de modus ‘Per Server’ in de modus ‘Per Apparaat of Per Gebruiker’. Als u dit doet, mag men hetzelfde aantal Windows-CAL's dat er in de modus ‘Per Server’ bechikbaar was toepassen in de modus ‘Per Apparaat of Per Gebruiker’ toepassen.

2.4 Installatie van Windows Server 2008

De installatieprocedure van Windows 2008 verloopt bijna geheel zonder gebruikersinvoer. De installatie start klassiek gezien met het opstarten van DVD-rom. Daarna worden er enkele controles uitgevoerd en gaat de installatie onmiddellijk verder in grafische modus.

Klassieke

installatie

procedure


De taal waarin Windows gebruikt zal worden en de regio waarin de computer zich bevindt wordt opgevraagd. Aan de hand hiervan wordt het correcte toetsenbord geselecteerd.

Daarna krijgt de gebruiker de kans de partitie te selecteren waarop Windows Server 2008 geïnstalleerd moet worden. Het is hier mogelijk de bestaande partities van het systeem te verwijderen of beperkt te wijzigen.

Het vervolg van de installatie kan volledig zonder toezicht gebeuren, er wordt zelfs geen licentie-key gevraagd. Deze kan de gebruiker ingeven tot zestig dagen na installatie van het besturingssysteem. Ook de computernaam en lidmaatschap van domein of werkgroep moeten na de installatie aangepast worden.

Zelfs na deze versimpeling van de installatieprocedure blijft het mogelijk om een zogenaamde unattended installatie uit te voeren, waarbij alle instellingen op voorhand in een bestand worden opgeslagen.

Dit bestand kan men maken als een .xml-bestand in kladblok of gelijkwaardig, of men kan gebruik maken van de Windows System Image Manager of Windows SIM. Dit programma kan gevonden worden in de map “Sources” op de Windows installatie DVD. Hiermee kunnen alle instellingen uit de klassieke installatiemethode op voorhand aangegeven worden, waardoor de PC als het ware zichzelf installeert.

Opmerkelijk is dat er met een answer file meer informatie gegeven kan worden dan bij een klassieke installatie. Voorbeelden hiervan zijn de computernaam en de licentie-key. Hierdoor kan er met een unattended installatie een systeem afgeleverd worden dat volkomen gebruikersklaar is.

Een laatste manier om Windows Server 2008 te installeren is met een netwerkinstallatie. Waar het bij een unattended installatie nog nodig is om voor elke computer die moet geïnstalleerd worden een installatie-DVD te bezitten wordt deze nood bij een netwerkinstallatie opgeheven.

Het doel hiervan is om meerdere computers tegelijkertijd te kunnen installaren, zoals in een bedrijfsomgeving kan voorkomen. Het is zeker waar dat men in die gevallen niet voor Windows Server 2008 zal kiezen, maar eerder voor een gebruikerssysteem zoals Vista of Windows 7. De installatiemethode voor beide systemen is echter, zoals gezegd, bijna geheel analoog.

Bij een netwerkinstallatie is het nodig de DVD te kopiëren naar een map die gedeeld wordt op het netwerk. Daarnaast moet men de computer ook zodanig opstarten dat hij gebruik kan maken van het aangesloten netwerk.

Hiervoor bestaan twee mogelijkheden. De eerste is door het branden van een opstartbare CD-rom, waarop drivers voor de netwerkkaart voorzien zijn. Na opstarten zal deze CD-rom automatisch naar de juiste, op voorhand ingestelde server gaan kijken om alzo de installatie te starten.

Bij de tweede mogelijkheid moet de PC een netwerkkaart hebben die zelf op zoek kan gaan naar een server die de installatieprocedure zal inleiden. Hiervoor moet ook in de bios ingesteld staan dat bij het opstarten er eerst naar de netwerkkaart gekeken wordt, en daarna pas naar interne media.

Het spreekt voor zich dat er bij een netwerkinstallatie bijna altijd gewerkt zal worden met een unattended installation.

Unattended

installation

Netwerkinstallatie


3 Domain Name System

3.1 DNS en Windows 2008 Server

Het Domain Name System (DNS) is een cruciaal onderdeel van client-server communicatie in Internet Protocol (IP) gebaseerde netwerken. DNS is een gedistribueerde database, die gebruikt wordt om computernamen te vertalen naar of om te zetten in IP-adressen en omgekeerd.

Terwijl vroegere versies van het Microsoft Windows netwerkbesturingssysteem nog gebruik maakten van Windows Internet Name Service (WINS) als naamresolutiemechanisme, wordt sinds Windows 2000 Server bij voorkeur DNS gebruikt.

Clients gebruiken de DNS Server service voor naamresolutie en om netwerkservices, met als beste voorbeeld de Domain controller van een Windows Active Directory, te vinden in het netwerk.

Iedere computer in een netwerk heeft een IP-adres. Dit laat toe om met andere computers, die ook een IP-adres hebben, over het netwerk te communiceren. Dit IP-adres is uniek binnen het netwerk en wordt altijd gecombineerd met een subnetmask.

Aan de hand van een subnetmask kan een computer bepalen of het IP-adres waarnaar een boodschap moet worden verstuurd binnen het eigen subnet valt. Het subnetmask laat een PC toe om exact te gaan bepalen welke deel van het IP-adres overeen moeten komen om deel uit te maken van hetzelfde subnet. Stelt de PC vast dat het IP-adres van de bestemmeling niet in het eigen subnet zit, dan wordt de boodschap doorgegeven aan de Default Router (of Default Gateway) en wordt vervolgens via een ingenieus systeem de juiste bestemmeling gelocaliseerd. De techniek die hiervoor gebruikt wordt, is IP-routing.

Dit zou echter veronderstellen dat elke host in een wereldwijd netwerk het IP-adres van zijn bestemmeling kent. IP-adressen zijn voor PC’s makkelijk te gebruiken, maar niet voor gebruikers. Gebruikers willen surfen naar www.google.be en een e-mail versturen naar [email protected].

Het IP-protocol kan met deze Internet Host Name geen verbinding opzetten. Het wil gewoon een ander IP-adres hebben waarmee het kan communiceren. Er is dus een mechanisme nodig dat ervoor zorgt dat de eindgebruikers www.google.be kunnen intypen waarna deze hostnaam vertaald wordt naar een IP-adres (216.33.238.7) zodat het TCP/IP3 protocol een connectie kan maken.

In de beginfase van het internet loste men dit probleem op door gebruik te maken van HOSTS.TXT. Een ASCII-bestand waarin voor elke gekende host in het netwerk het bijbehorende IP-adres werd opgeslagen. Dit bestand werd dan uitgewisseld tussen alle ‘deelnemers’ aan het internet-verkeer. Door de explosie die het internet de afgelopen 10 jaar kende, was dit systeem echter niet meer onderhoudbaar. Het bestand werd te groot en door het grote aantal updates consumeerde het een onaanvaardbaar groot gedeelte van de, toen nog beperkte, bandbreedte.

3 TCP/IP: Transmission Control Protocol/Internet Protocol

Internet Protocol

(IP)

IP-routing

Internet Host

Names

Hosts


De oplossing voor het HOSTS-probleem lag in de creatie van een hiërarchisch gestructureerde database van hostnamen en IP-adressen: het Domain Name System. Een globaal netwerk van servers die ervoor zorgen dat hostnamen, zoals www.google.be vertaald worden in numerieke IP-adressen zoals 216.33.238.7.

De Domain Name Space is een omgekeerde boomstructuur waarin alle namen die in DNS-voorkomen een plaats krijgen. Het systeem is hiërarchisch geordend vanaf het Root Domain. Dit Root Domain vormt de basis van alle andere domeinen.

Elke node (knooppunt) in deze boom stelt een DNS domein voor. Het is duidelijk dat een domein dat dieper in de boomstructuur ligt, lid is van meerdere domeinen.

Als laatste niveau zijn er dan de hosts die lid zijn van een bepaald domein. Deze host worden bepaald door hun FQDN (fully qualified domain name). Deze naam bepaalt de hiërarchische locatie van de host binnen de gehele domain name space.

3.2 DNS zones

DNS Servers zijn in principe niet gezaghebbend voor een domein, maar voor een zone. Een zone is het specifieke bereik aan internet-adressen waarvoor een welbepaalde DNS Server verantwoordelijk is. Meestal valt de naam van zo’n zone samen met de naam van een domein. Vandaar dat DNS zones vaak ook domeinen genoemd worden.

DNS-domeinen staan in principe los van de Active Directory domeinen die in Windows Server 2003 gedefinieerd worden. Wel zullen de twee naamsystemen identiek lijken als je de DNS-naamstructuur op je netwerk ook als Active Directory structuur gebruikt.

Vooraleer men zones kan creëren in DNS is het belangrijk enkele basisconcepten goed te begrijpen:

Zone types – DNS servers kunnen verschillende types van DNS zones hosten. Om het aantal DNS servers in een netwerk te beperken, kan je één enkele DNS server configureren voor het beheer van meerdere zones. Daarnaast is het ook mogelijk om voor het inbouwen van fouttolerantie, het verminderen van naamresolutietrafiek op één bepaalde server of het spreiden van administratieve werklast meerdere servers bepaalde zones te laten hosten.

Domain Name

System

Domain Name

Space

Fig. 3.1 DNS opbouw

DNS zones


Zone file – De informatie van een zone wordt bewaard in een een zogenaamde zone file. Deze zone file bevat alle resource records, die nodig zijn om hostnamen in IP-adressen om te zetten of omgekeerd in een bepaalde zone.

Hierbij een overzicht van de 4 zonetypes die men kan configureren op een DNS-server.

Zone type

Omschrijving

Primary

Bevat een read/write versie van de zone file die wordt bewaard in de vorm van een tekstbestand. Elke zone heeft een ‘primaire DNS server’ die de primary zone file bevat en waarop het beheer van de zone gebeurt. Alle veranderingen aan de zone worden in dat bestand bewaard. Iedere keer je een nieuwe zone aanmaakt in DNS, moet je een primaire zone creëren.

Secondary

Bevat een read-only versie van een zone file. Wijzigingen aan een zone worden aangebracht in de primary zone file en via een replicatiemechanisme overgebracht naar de secondary zone file. Een secondary zone wordt gecreëerd om fouttolerantie in te bouwen en om aanvragen voor naamresolutie voor een zone te spreiden over meerdere DNS servers.

Stub

Bevat enkel de resource records die nodig zijn om een DNS server voor een bepaalde zone terug te kunnen vinden. Een stub zone vormt als het ware een ‘shortcut’ naar een aantal DNS servers die veel gevraagd worden in een bepaald netwerk.

Active Directory Integrated

Bewaart de zone informatie in Active Directory en niet meer in een tekstbestand. Updates van de zone gebeuren automatisch tijdens Active Directory replicatie (waarover later meer). In principe komt het erop neer dat de administrator niet meer moet specifiëren hoe en wanneer een zone moet worden geupdate omdat Active Directory de zone informatie onderhoudt. Dit wordt meestal gecombineerd met een primare zone.

Wanneer er beslist is of een zone van het type primary, secondary of stub is, zal men moeten beslissen in welk type ‘lookup zone’ de resource records van de hosts moeten worden bewaard. Afhankelijk van de behoeften van de clients en services in een netwerk kan er namelijk behoefte zijn om hostnames om te zetten in IP-adressen of omgekeerd.

In de meeste gevallen zullen clients een zogenaamde forward lookup aanvragen (forward lookup query). Hierbij zal de client aan de DNS-server vragen om een hostnaam om te zetten in een IP-adres. Forward name resolution is het vertalen van een hostnaam naar het bijbehorende IP-adres.

Reverse name resolution is het omzetten van een IP-adres in een hostnaam. In zo’n geval voert een DNS-server een Reverse Lookup Query uit.

Hiervoor wordt gebruik gemaakt van het in-addr.arpa domein. Dit is een virtueel domein waarin alle IP-adressen opgeslagen kunnen worden. De problematiek bij een Reverse Lookup Query is dat DNS niet geschikt is om

Tab. 3.1 DNS zonetypes

Forward Lookup

Query

Reverse Lookup

Query


platweg een IP-adres door te sturen om daarop de naam van de PC terug te krijgen.

DNS kan alleen fully qualified domain names (FQDN) omzetten naar een ander type gegeven. Daarom wordt het gevraagde IP-adres omgezet naar een FQDN door het om te keren en voor in-addr.arpa te plaatsen. Het IP-adres 192.168.10.12 zou dus omgezet worden naar de FQDN “12.10.168.192.in-addr.arpa”. Hierop kan een Reverse Lookup zone de correcte PC naam teruggeven.

De DNS-server houdt voor beide ‘vertaalprocessen’ aparte bestanden bij. In de zonefile domeinnaam.dns staan de gegevens voor forward name resolution in Host of A-records. Bij een reverse lookup zone wordt gebruik gemaakt van pointer of PTR-records.

Bij het aanmaken van een nieuwe zone op een DNS-server zal de ‘New Zone Wizard’ vragen welk type zone moet worden gecreëerd. Verschillende combinaties zijn nu mogelijk: een primary forward lookup zone of een secondary reserse lookup zone, …

3.3 DNS-naamresolutie praktisch

Naamresolutie is het proces waarbij een DNS-server een hostnaam naar een IP-adres omzet of omgekeerd. “Resolutie” is hierbij een wat overdreven letterlijke vertaling van het woord “resolution” uit het engels.

Wanneer men een URL intypt, gaat de resolver van de applicatie een vraag (request) stellen aan de dichtstbijzijnde DNS server. De resolver is een specifiek onderdeel van elke applicatie die DNS-requests moet kunnen voldoen, zoals bijvoorbeeld een browser.

Deze eerste vraag die gesteld wordt is een recursieve vraag. De resolver verwacht een correct antwoord op die vraag in de vorm van het juiste IP-adres. Hierna zijn er twee mogelijkheden.

Als de DNS-server in zijn database een recente record heeft voor dezelfde FQDN, zal hij het IP-adres teruggeven aan de applicatie.

Als de server de hostname niet kent, zal hij deze vragen aan een server die hoger in de boomstructuur ligt of die het bewuste IP-adres niet kent. Dit is een iteratieve vraag. Dat wil zeggen dat de hoger liggende server kan antwoorden met het juiste IP-adres of, als dat niet gekend is, een verwijzing kan geven naar een hoger liggende server of gewoon antwoorden dat hij geen antwoord kan geven op de vraag.

De DNS-server waarnaar de applicatie in eerste instantie zijn vraag richtte zal daarop verder vragen aan hoger liggende servers naar het bewuste IP-adres met telkens nieuwe iteratieve vragen. Deze kunnen elk op hun beurt niet antwoorden, antwoorden met een andere server die het wel zou kunnen weten, of kunnen antwoorden met het juiste IP-adres.

A-records en PTR-

records

Recursieve vragen

Iteratieve vragen


Eén en ander wordt duidelijker met een voorbeeld. Wanneer een firefox te weten wil komen wat het IP-adres van “www.google.com” is, stel de resolver de vraag aan de lokale DNS-server. Deze lokale DNS-server is typisch die van het bedrijf of, bij particulieren, die van de provider. We veronderstellen dat deze specifieke thuisgebruiker via de provider telenet op internet gaat.

De DNS-server van het domein telenet.be zal daarop de vraag stellen aan de .be server of die misschien het IP-adres van www.google.com weet. De .be-server weet dit niet, en antwoord dus dat hij daarvan niet op de hoogte is.

Daarop richt de telenet-DNS server zich tot het root domein. De adressen hiervan zitten standaard in een DNS-server opgeslagen. Ook na installatie van een DNS-zone op Windows Server 2008 kan men in de root-hints deze IP-adressen opzoeken.

Het root-domein kent het adres van www.google.com niet, maar kan wel een doorverwijzing geven naar de .com-dns server. De telenet-DNS server zet zijn zoektocht verder met dezelfde vraag aan de .com-DNS server. Deze kent nog steeds niet het correcte IP-adres, maar kan wel een doorverwijzing geven naar de DNS-server van het domein google.com.

Het is pas deze laatste die kan zeggen op welk IP-adres de PC “www.google.com” zich bevindt. Wanneer de telenet DNS-server dat weet zal hij pas antwoord geven op de eerste, recursieve vraag van de resolver van firefox.

Hierboven is het slechts denkbare geval beschreven, namelijk dat er geen enkel IP-adres gecached is op geen enkele DNS-server. Als na de opzoeking naar www.google.com een andere gebruiker een opzoeking doet naar www.microsoft.com, zal de DNS-server zijn eerste vraag direct aan de .com-DNS server kunnen richten. Het adres hiervan is immers ook gecached.

Hiermee zou men kunnen denken dat er maar heel weinig DNS-opzoekingen moeten gebeuren dankzij de cache van de verschillende

Fig. 3.2 DNS naamresolutie

Praktisch

voorbeeld

caching


servers. Dat is niet waar, elk opgeslagen IP-adres wordt heel regelmatig verwijderd. Dit is omdat het hele idee achter DNS is dat niet alle computers altijd hetzelfde IP-adres moeten behouden.

Het is bij de voorstelling van DNS-naamresolutie nuttig te beseffen dat al deze trafiek gebeurt op één van de hogere lagen van OSI-model voor netwerktraffiek. Elke DNS-opzoeking bestaat uit meerdere IP-pakketten. Meestal wordt er gebruik gemaakt van UDP, wat het aantal pakketten nog beperkt houdt, maar soms gebruikt men ook TCP. Hierbij is voor elke vraag een verbindingsopbouw en –afbraak nodig. Daardoor groeit de totale hoeveelheid aan doorgezonden pakketten zeer snel, vooral bij meerdere DNS-opzoekingen.

Omdat DNS gebruikt wordt om communicatie binnen een intranet of internet tot stand te brengen en om toegang te krijgen tot netwerkresources is het van het grootste belang dat de resource records in de DNS zone files correct en actueel zijn.

Als een DNS resource record manueel gecreëerd wordt in DNS, dan moet de DNS administrator ook manueel elke wijziging aan het resource record updaten wanneer bv. het IP-adres van de resource (host) verandert. In een groter netwerk met veel clients en services wordt dit al snel een moeilijke opdracht.

De oplossing hiervoor is een systeem waarbij DNS clients zelf hun resource records in DNS gaan onderhouden. Dit systeem noemt ‘dynamic updates’. Om ervoor te zorgen dat DNS updates automatisch door clients kunnen gebeuren, moet de DNS administrator de primary DNS zone zodanig configureren dat ze dynamic updates toelaat.

Daarbij kan de administrator aangeven of de clients zelf hun DNS records in DNS mogen updaten of dat dit gebeurt door de DHCP4 service waarvan de clients gebruik maken.

DNS clients vanaf Windows 2000 zijn automatisch in staat om hun eigen hostnamen en IP-adressen te registreren in DNS. Dit los van het feit of ze een statisch IP-adres dan wel een dynamisch IP-adres toegewezen krijgen.

De component die voor een DNS client het DNS resource record registreert, is de DNS Client Service. Deze start automatisch bij het opstarten van een DNS client machine.

Samengevat zijn er dus drie mogelijkheden voor DNS updates: manueel, dynamisch door DNS clients zelf, dynamisch door DHCP server voor de DHCP clients.

Alhoewel DNS op zich een vrij robust systeem is, is het niet ongevoelig voor aanvallen. Vooral wanneer een secundaire DNS server updates krijgt van een primaire kan een gebruiker met slechte bedoelingen een valse update sturen naar een DNS server, waardoor plotsklaps alle internetverkeer naar bijvoorbeeld 127.0.0.1 gestuurd wordt. Nodeloos te zeggen dat hierna surfen onmogelijk wordt.

Om dit te voorkomen is het mogelijk om security te implementeren bij DNS, waarbij updates geëncrypteerd worden en alleen aanvaard worden als ze van een erkende server afkomstig zijn.

4 DHCP: Dynamic Host Configuration Protocol

TCP/IP

DNS-servers

updaten

Dynamic Updates

DNS security


3.4 DNS resource records

Users kunnen zelf toegang vragen tot DNS resource records of ze kunnen toegang vragen via netwerkcomponenten. Enkele voorbeelden wanneer DNS resource records gebruikt worden:

! Een gebruiker die naar een bepaalde website (vb. www.microsoft.com) surft, stuurt een ‘forward lookup query’ (vraag om naam naar IP omzetting) naar een DNS server.

! Een gebruiker logt aan op een computer in een domein. Hierbij zal het logonproces via DNS de domeincontroller verantwoordelijk voor authorisatie opzoeken.

De informatie in de DNS-database wordt opgeslagen in verschillende types records. Onderstaande tabel tracht een overzicht te geven van te verschillende types van records.

Record type Omschrijving

Host (A) Een A-record stelt een computer of een device voor op het netwerk. A-records zijn de meest gangbare en meest gebruikte DNS-records. Een A-record wordt gelezen om een hostnaam om te zetten in een IP-adres.

Pointer (PTR) Een PTR-record wordt gebruikt om de hostnaam te vinden, die gekoppeld is aan een bepaald IP-adres. Een PTR-record vind je enkel in een reverse lookup zone file. Een PTR-record wordt gelezen om een IP-adres om te zetten in een hostnaam.

Start of authority (SOA)

Een SOA-record is het eerste record in elke zone file. Een SOA-record identificeert de primary DNS server voor een zone en bevat alle nodige informatie voor replicatie (serienummer, refresh interval, retry interval, …). Een SOA-record wordt gelezen om een domeinnaam te linken aan een ‘verantwoordelijke’ hostnaam.

Service record (SRV)

Een SRV-record verwijst naar een netwerkservice die een bepaalde host levert. Een SRV-record wordt gelezen om een servicenaam te linken aan een hostnaam (de serviceleverancier) en een poort.

Name server (NS)

Een NS-record vergemakkelijkt delegatie door de DNS servers voor een zone te identificeren. NS-records komen voor in alle forward en reverse lookup zones. Telkens een DNS server een query moet sturen naar een gedelegeerde zone, zal hij refereren naar het betreffende NS-record van de DNS servers in de zone van bestemming. Een NS-record wordt gelezen om een domeinnaam (die dezelfde is als de parentfolder) te linken aan een hostnaam.

Mail Exchanger (MX)

Een MX-record duidt op de aanwezigheid van een Simple Mail Transfer Protocol (SMTP) e-mail server. Een MX-record wordt gelinkt aan een hostnaam.

Alias (CNAME) Een CNAME-record is een hostnaam die naar een andere hostnaam verwijst. Een CNAME-record wordt gelezen om een hostname om te zetten in een andere hostnaam.

Tab. 3.2 Recordtypes


Op het einde van dit hoofdstuk staan er screenshots van de specifieke implementatie van een aantal van deze recordtypes bij Windows Server 2008.

3.5 Een caching-only server

DNS-servers cachen de informatie die ze ontvangen in reactie op aanvragen die ze bij andere DNS-servers indienen. Men kan een DNS-server configureren die als een caching-only server werkt. Dat betekent dat deze server informatie voor aanvragen voor naamresolutie levert op basis van de in de cache van de server verzamelde informatie.

Caching-only servers kunnen erg nuttig zijn, want ze genereren geen aan replicatie gerelateerd verkeer. Ze zijn ook niet gezaghebbend. Caching-only servers worden vaak gebruikt als doorstuurservers die buiten een firewall zitten en die door de interne DNS-server van een bedrijf gebruikt worden voor naamresolutie die buiten het interne netwerk valt.

Om een caching-only DNS-server te maken, volstaat het om op een Windows Server 2008 machine DNS te installeren en bij de configuratie geen zones aan te maken.

Alle Windows DNS-clients en –servers onderhouden overigens een DNS-cache. Men kan de DNS-cache van een DNS client of server bekijken met de opdracht ipconfig /displaydns.

3.6 Installatie van de DNS Service

Active Directory, het grote doel van de installatie van Windows Server 2008, kan niet werken zonder DNS. De hele structuur van Active Directory is zodanig afgestemd op DNS dat het domein niet langer beschikbaar zal zijn wanneer DNS faalt.

Wanneer ervoor gekozen wordt om beide systemen op dezelfde server te installaren, heeft men de keuze om eerst DNS te installeren, of beide samen te installeren. Wanneer men voor de tweede optie kiest zal de configuratie van DNS bijna helemaal gedaan worden door de installatie wizard van Active Directory.

In deze cursustekst wordt ervan uitgegaan dat eerst DNS alleen geïnstalleerd wordt, en daarna Active Directory erbovenop geconfigureerd gaat worden. Dit geeft een groter inzicht in de verschillende instellingen van een DNS-server. Hierna zal de integratie met Active Directory verder uitgediept worden.

De enige computer in het netwerk waarvan het IP-adres niet via DNS kan opgezocht worden, is de DNS-server zelf. Het is dus onmogelijk een DNS-server installeren op een computer met een dynamisch IP-adres.

Vooraleer aan de installatie van DNS te beginnen moet men ook controleren of de computernaam en DNS-suffix correct zijn ingesteld.

In de terminologie van Windows Server 2008 is een “rol” een bepaalde service die de Server voorziet voor het netwerk. Een voorbeeld hiervan kan een webserver zijn, wat in essentie een gewone PC is, met daarop het programma dat ons in staat stelt ernaartoe te surfen. Bij Windows Server 2008 zou dat IIS 7 zijn.

Installatie caching

only server

Integratie Active

Directory met DNS

Voorafgaande

instellingen

Rol toevoegen


In ons geval gaat het om een DNS-server. In de server manager, het beheersscherm van de server, kiest men voor “Add a role”. Uit de geboden mogelijkheden kiest men voor “DNS-server”.

Tijdens de korte installatiewizard die daarop volgt is het onmogelijk om instellingen te maken voor de server. In Windows Server 2008 is er duidelijk op gelet dat installatie en configuratie twee gescheiden delen zijn. Dit was al te merken aan de installatie van Windows Server zelf, en zal nog duidelijker naar boven komen bij sterk configuratie-afhankelijke installaties zoals die van Active Directory.

Eens de rol DNS-server is toegevoegd, kan men deze monitoreren in de server manager. In dit overzichtsscherm kan men alle rollen van een server bekijken, monitoreren en er de basisconfiguratie van uitvoeren.

In onderstaand voorbeeld zijn behalve de DNS-server ook de rol file-services en Active Directory geïnstalleerd. De beheerspagina van DNS is geopend.

Men kan snel de DNS-gerelateerde events bekijken (zichtbaar, maar zonder events), alsook de verwante services die draaien (niet in de figuur).

Bij verder onderzoek van DNS Server tak in de boomstructuur aan de linkerkant van het scherm ziet men de mappen die standaard voorzien voor de Forward en Reverse Lookup zones.

Hetzelfde scherm kan ingeladen worden in een standaard Microsoft Management Console, zoals dit ook het geval was bij Windows Server 2003 en voorgaande. Systeembeheerders die met de eerdere systemen gewerkt hebben zullen zich hiermee vertrouwd voelen.

Zonder verdere configuratie hebben we hiermee een Caching only-server. Deze kan echter al wel voorzien in DNS-resolutie, wat simpel getest kan worden door het IP-adres van de PC in te stellen als primair DNS-server adres. Hierna kan de computer nog steeds surfen op het internet.

Wat nu echter niet mogelijk, omdat we met een caching only server werken, is dat iemand van buiten de DNS zone het IP-adres van de computer aanvraagt op basis van de fully qualified domain name.

Monitoreren

Fig. 3.3 Server manager met DNS server

Caching only

server


In bovenstaande figuur ziet men de root hints, die gevonden kunnen worden in de properties van de DNS-server. Alhoewel ze kunnen aangepast, aangevuld en verwijderd worden zijn ze standaard goed ingestild om de DNS server toe te staan aan DNS resolutie te doen.

In de map “<systemroot>\system32\dns” kan men de BIND-configuratie bestanden vinden. Deze kunnen geëditeerd worden met kladblok of een gelijkaardige tekst-editor. Dat wordt echter sterk afgeraden, aangezien dezelfde configuratie ook grafisch kan gedaan worden.

Als men in de server manager rechtsklikt op de naam van de DNS-server kan men kiezen voor de optie “Update server data files.” Hiermee worden de gemaakte instellingen weggeschreven naar de pas besproken bestanden.

3.7 Configuratie van DNS-zones

Alhoewel de praktische toepassingen van een caching only server legio zijn, zijn er voor integratie met Active Directory nog meer instellingen nodig. Het belangrijkste onderdeel hiervan is de configuratie van zones.

Wanneer de zones niet correct geconfigureerd wordt, zal er bij configuratie van Active Directory een nieuwe zone aangemaakt worden waarbij de instellingen wel correct zijn. Men kan er dus ook voor kiezen niet handmatig de zones te configureren, maar dit automatisch te laten gebeuren.

Ongetwijfeld de meest gebruikte zone is de forward lookup zone. Deze zorgt ervoor dat computers buiten de eigen DNS-zone of het eigen domein aan de hand van een FQDN het IP-adres van een computer binnen het domein te weten kan komen.

En goed voorbeeld van het gebruik hiervan is wanneer een computer in het domein omwille van een aanlogprocedure op zoek gaat naar de Domain Controller. Door gebruik van DNS zal hij hierbij het juiste IP-adres te weten komen.

Klik rechts op de map “forward lookup zones,” en kies hier voor “New zone...” In de wizard die volgt kan men er kiezen voor het soort zone dat geïnstalleerd moet worden.

Fig. 3.4 DNS root hints

Configuratie-

bestanden

Forward lookup

zone


Bij de installatie van een eerste zone ter ondersteuning van een toekomstige installatie van Active Directory is “Primary Zone” de enige valabele optie. Wanneer Active Directory nu al geïnstalleerd zou geweest zijn, of wanneer de DNS een bestaande Active Directory zou gaan ondersteunen, dan is het hier mogelijk een vinkje aan te zetten dat de integratie direct compleet maakt.

De naam van deze primaire zone moet dezelfde zijn als de naam van het domein dat ze zal ondersteunen. Daarna kan eventueel de naam van het bestand waarin de informatie van de zone komt aangepast worden.

Wanneer updates tussen servers toegestaan zijn, is het een goede reflex alleen beveiligde updates toe te staan. Dit is echter alleen mogelijk wanneer een DNS server deel uitmaakt van Active Directory. Wanneer dit niet het geval is, kent de Windows Server 2008 geen enkele manier om andere installaties te erkennen.

Hierdoor zijn secure updates alleen mogelijk wanneer Active Directory al geïnstalleerd is. Wanneer dit het geval is, zal standaard voor “Secure updates only” gekozen.

Wanneer een forward lookup zone geïnstalleerd is, kan Active Directory perfect werken. Toch zal Active Directory er standaard voor kiezen een reverse lookup zone in te stellen.

Het nut van een reverse lookup zone is eerder beperkt. Het gebruik ervan is vooral beperkt tot programma’s die in plaats van een IP-adres de naam van een domein willen weergeven.

Een goed voorbeeld hiervan zijn firewalls, die alleen pakketten met daarin een IP-adres zien passeren. Als zij in de Log-bestanden willen tonen naar welke websites een gebruiker surfte, moeten ze gebruik maken van reverse DNS.

Een tweede toepassing is authenticatie. Wanneer een bedrijfsnetwerk verspreid is over twee verschillende locaties, kan bij elk binnenkomend pakket nagekeken worden van welk domein het afkomstig is. Als dit niet overeen komt met het andere deel van het bedrijfsdomein moet het omzichtiger behandeld worden dan wanneer dit wel het geval is.

De installatie van een reverse zone is zeer gelijklopend aan die van een forward lookup zone. Het enige verschil dat bestaat erin dat men nu niet de naam van de zone moet opgeven, maar het subnet waarvoor ze actief zal zijn.

Aan de hand daarvan wordt automatisch het adres binnen het in-addr.arpa domein bepaald.

3.8 Testen van de DNS-zones

Wanneer de volledige installatie van DNS met de verschillende zones achter de rug is, kan men deze installatie testen.

De meest eenvoudige manier om een eerste indruk te krijgen van de goede werking van DNS is het commando ‘ping’. Zo kan men via ‘ping www.google.com’ heel vlug een indruk krijgen van de omzetting door DNS van naam naar IP-adres en de responstijd waarmee de betroffen website kon worden bereikt.

Active Directory

integratie

Secure updates

Reverse Lookup

Zone

Toepassingen

Installatie reverse

lookup zone

Het commando

‘PING’


De DNS-console biedt de mogelijkheid om de DNS-server te testen en de resultaten te controleren. Onder de Monitoring-tab uit de Properties van de DNS-server die men wenst te testen staan er twee mogelijke tests in de vorm van zoekopdrachten: een eenvoudige en een recursieve test.

Met ‘A simple query against this DNS server’ worden de koppelingen van hosts naar IP-adressen getest. Hierbij wordt de DNS-client op de DNS-server zelf gebruikt om zoekopdrachten door te geven.

De optie ‘A recursive query to other DNS servers’ maakt het mogelijk om het vertalen van IP-adressen in hostnamen te testen.

Ook periodieke testen m.b.v. een testinterval zijn mogelijk. Mocht de server in één van de testen niet slagen, dan zal hij met een uitroepteken worden gemarkeerd.

In de servermanager worden ook alle aan DNS gerelateerde events getoond. Dit is een uitreksel van alle meldingen op het systeem, die ook gezien kunnen wordt met de Event Viewer via de Microsoft Management Console).

Merk echter op dat wanneer hierin fouten staan het meestal gaat om fouten die naar boven zijn gekomen tijdens de werking van de DNS server. Het kan dus niet langer gezien worden als onderdeel van een testcyclus.

Een andere manier om de werking van DNS te testen en eventuele problemen te verhelpen is m.b.v. NSLOOKUP. Dit is een programma dat in een command prompt werkt.

De simpelste test is het invoeren van ‘NSLOOKUP’. Deze opdracht levert informatie over de standaard DNS-server en het IP-adres van de server. De opdrachtprompt zal ook wijzigen omdat hiermee interactieve modus gestart wordt. Binnen deze modus kunnen verdere DNS-opzoekingen makkelijk doorgevoerd worden.

Wanneer een echte DNS-query uitgevoerd moet worden kan men ‘NSLOOKUP naam1 naam2’ invoeren. Hierbij is naam1 de hostnaam van de computer die opgezocht moet worden en naam2 de naam de DNS server die daarvoor gebruikt moet worden. Deze opdracht geeft aan of een DNS-server hostrecords dynamisch opslaat.

Een goede test van de DNS server is het onderzoeken van de verschillende types records. Deze werden eerder al opgelijst in deel 3.4 DNS resource records.

Twee records die sterk aan elkaar verwant zijn, zijn de Host- en Pointer records.

Monitoring-tab

Event Viewer

‘NSLOOKUP’

Recordtypes

onderzoeken


Hierbij valt duidelijk op hoe de FQDN van het host record gelijk is aan de hostname die is ingevuld in het pointer record. De FQDN van het pointer record is dan weer een omvorming van het IP-adres van het host record naar het in-addr.arpa domein.

Andere records die we ook kunnen terugvinden zijn de NS-records en het SOA-record.

Beide records verwijzen naar dezelfde Domain Controller. Aangezien deze een afbeelding zijn van een zeer simpele installatie met een enkele Domain Controller in de Active Directory, is er niet veel nieuws uit te leren.

Fig. 3.5 Host- en pointerrecord

Fig. 3.6 NS en SOA record


4 Active Directory

4.1 Inleiding Active Directory

In een Microsoft Windows Server 2008 netwerk voorziet de Active Directory de structuur en functies om netwerkresources te organiseren, beheren en te controleren.

Active Directory is in gebruik sinds de eerste versie van Windows Server, Windows Server 2000. De basisprincipes zijn sindsdien niet meer veranderd, maar de efficiëntie van het gebruik is wel sterk verhoogt.

Microsoft omschrijft Active Directory als volgt:

“Active Directory is de directory service in een Windows Server 2008 netwerk. Een directory service is een netwerk service die informatie bevat over alle netwerkresources, over de gebruikers binnen het netwerk en over de applicaties en die deze informatie beschikbaar stelt voor de gebruikers en applicaties. Omdat al deze informatie beschikbaar is in de directory kan men de gebruikers en de toegangen die ze hebben op netwerkresources en binnen applicaties centraal beheren.”

Dit uit zich op verschillende vlakken, de basisprincipes van Active Directory. Active Directory kan gezien worden als de som van al deze componenten, die een meerwaarde kan bieden als ze in haar geheel genomen wordt.

Active Directory gebruikt de conventies van het Domain Name System om een overzichtelijke en herkenbare hiërarchische structuur te creëren van alle Active Directory objecten. Bovendien gebruikt Active Directory DNS naamresolutie om netwerkresources en services te localiseren.

Active Directory is opgebouwd uit secties, die toelaten om een zeer groot aantal objecten op te slaan. Zo kan een organisatie met één enkele server en enkele honderden objecten binnen Active Directory makkelijk groeien naar enkele duizenden servers met miljoenen objecten.

Active Directory stelt administrators in staat om vanuit een centrale locatie via eenzelfde management interface gedistribueerde desktops, netwerkservices en applicaties te beheren. Active Directory voorziet ook in centrale controle op toegang tot resources, waardoor gebruikers slechts één keer moeten aanloggen om doorheen heel het netwerk de juiste toegang te krijgen tot de juiste resources.

De hiërarchische structuur van Active Directory laat administrators toe om specifieke beheerstaken doorheen Active Directory te delegeren. Een hogere administratieve authoriteit kan een user toestemming geven om in een specifiek deel van de structuur bepaalde administratieve beheerstaken op zich te nemen.

In Windows NT 4 was er een vaste gebruikerslijst waarin elke gebruiker een aantal eigenschappen had die men kon aanpassen. Sinds Windows Server 2000 is men afgestapt van het idee van een vaste, onuitbreidbare gebruikerslijst. In plaats daarvan is er nog steeds een lijst, maar men kan deze gebruikers opnemen in een schema en ze hierdoor bijkomende eigenschappen toekennen.

Een voorbeeld hiervan is Exchange Server. In alle versies voor Exchange Server 2000 was er een aparte lijst van alle mailgebruikers met hun mail-

Wat is Active

Directory?

DNS integratie

Schaalbaarheid

Centraal

management

Beheerstaken

delegeren

de naam ‘Active

Directory’


eigenschappen. Exchange Server 2000 heeft geen aparte gebruikerslijst meer, maar gaat het Active Directory schema uitbreiden zodat de maileigenschappen van een gebruiker in Active Directory kunnen worden opgeslagen. Voor de beheerder heeft dit zijn voordelen, hij kan zowel de standaard eigenschappen van een domeingebruiker als de maileigenschappen vanaf één centrale plaats beheren.

Een ander doel van Active Directory is de interactie tussen andere directory’s, onafhankelijk van hun locatie en hun onderliggend operating system. Als voorbeelden kunnen we hier het beheren van een deel van een andere Active Directory of het uitwisselen van een e-mail adreslijst van een andere firma geven.

Om dit te realiseren voorziet Active Directory uitgebreide support voor verschillende standaards en protocollen zoals LDAP (Lightweight Directory Access Protocol), DHCP, DNS,TCP/IP, …

Centraal in een Active Directory netwerk staat de ‘domain controller’. Microsoft omschrijft een ‘domain controller’ als een computer die:

! Windows Server 2008 draait

! Een kopie van Active Directory bewaart

! Gebruikt kan worden om veranderingen aan directory informatie aan te brengen

! Veranderingen aan de directory repliceert met andere domain controllers in hetzelfde domein

! De user logon service, authenticatie en directory zoekfuncties ondersteunt.

4.2 De logische structuur van Active

Directory

Active Directory laat een flexibele, logische structuur toe om een hiërarchie te creëren die zinvol is voor de eindgebruikers en beheerders.

Volgende logische componenten zijn mogelijk om een Active Directory structuur uit te tekenen:

! Domain ! Organizational Unit (OU)

Interactie tussen

domeinen

Domain Controller

Fig. 4.1 Structuur Active Directory


! Tree ! Forest

De belangrijkste eenheid binnen een Active Directory is een domein. Een domein is een collectie van computers, gedefinieerd door een administrator, die een gemeenschappelijke directory database, securitybeleid en relaties met andere domeinen delen.

In een Windows Server 2008 netwerk doet een domein dienst als een security grens. De administrator heeft de nodige rechten om dat domein te beheren of de beheerder moet expliciet rechten toegekend hebben gekregen in het andere domein. Elk domein heeft zijn eigen beveiligingsbeleid.

Domeinen zijn ook replicatie-eenheden. Elke domeincontroller in een domein neemt deel aan het replicatieproces, zodat ze op elk moment een recente kopie hebben van de directory informatie binnen hun domein. Active Directory gebruikt een zogenaamd multimaster replicatiemodel, waarbij de verschillende domeincontrollers in principe evenwaardig zijn aan elkaar.

De termen Primary Domain Controller (PDC) en Backup Domain Controller (BDC), zoals in Windows NT 4.0 bestaan dus niet meer in een Windows Server 2008 Active Directory netwerk. Hierdoor is de term “synchronisatie,” waarbij de informatie van één server naar een andere werd overgebracht veranderd naar “Replicatie.” Het essentiële verschil is dat er bij Replicatie een delen van gegevens bestaat tussen meerdere, gelijkwaardige domain controllers.

In hoofdstuk 1 is reeds gesproken over de verschillende functionele niveaus waarin een Windows Server 2008 netwerk actief kan zijn. Waar het bij een Windows Server 2003-systeem echter nog mogelijk was te werken op een functioneel gebruik dat het gebruik van een NT4 server voor specifieke taken toeliet, is de support hiervoor in Windows Server 2008 volledig gestopt.

Het veranderen van het functionele niveau van een domein gaat slechts in één richting. Het is onmogelijk dit te verlagen zonder gebruik te maken van een eerdere backup of het domein opnieuw op te bouwen.

Een domein kan één of meerdere Domein Controllers hebben. Een kleine organisatie, die een eenvoudig local area netwerk (LAN) gebruikt, heeft in principe voldoende aan één domein met twee domeincontrollers om een goede beschikbaarheid en fouttolerantie van het netwerk te garanderen. Een grote organisatie met verschillende geografische locaties zal hiervoor misschien op elke locatie één of meerdere domeincontrollers nodig hebben. In het hoofdstuk over de fysieke structuur van Active Directory wordt hierop dieper ingegaan.

Voor de volledigheid: een ‘member server’ is in een Windows Server 2008 domein elke server in een domein, die geen domeincontroller is.

Een Organizational Unit (OU) is een containerobject, dat men kan gebruiken om objecten binnen een domein te organiseren. Een goede OU structuur laat een administrator toe om honderdduizenden objecten op een overzichtelijke manier te ordenen in Active Directory. Eén enkele OU kan gebruikers, groepen, printers, file shares, … en andere OU’s bevatten.

De wijze waarop OU’s gebruikt worden om users, computers, … te groeperen, is belangrijk en vergt een degelijke planning.

Domain

Security grens

Multi-master

Replicatie

Functionele

niveaus

Aantal domein

controllers per

domein

Organizational

Units


Men kan voor deze indeling uitgaan van twee verschillende modellen:

Gebaseerd op de structuur van de organisatie met aandacht voor de departementen of de geografische ligging. Dat is logisch wanneer er bijvoorbeeld verschillende afdelingen van het bedrijf in het buitenland liggen. Men kan dan een OU aanmaken voor elke afdeling, en het beheer en controle delegeren naar een verantwoordelijke administrator die aldaar resideert.

Gebaseerd op het beheerdersmodel van de organisatie. Het kan zijn dat een beheerder verantwoordelijk is voor de gebruiker-accounts en een andere voor alle printers in het netwerk. In dat geval maakt men een OU met alle gebruikers en een met alle printers.

Welk model gevolgd wordt, zal elke beheerder zelf moeten beslissen. Het is sterk bedrijfsafhankelijk en het is onmogelijk hiervoor een duidelijke set regels te geven waarmee iedereen naar dezelfde structuur kan gaan.

Het grootste voordeel van een OU, behalve het overzicht dat ermee gecreëerd kan worden binnen de vele objecten in Active Directory, is de delegatie van beheersrechten. Wanneer een organisatie groeit wordt het uiteindelijk onmogelijk voor een enkele beheerder om alle taken zelf uit te voeren.

We nemen hier als voorbeeld een bedrijf met een administratieve eenheid binnen een stad, en een productieeenheid op het industriegebied buiten die stad. Wanneer er hier geen delegatie van beheerstaken mogelijk is, moet elke medewerker van de productieeenheid naar het hoofdgebouw wanneer zijn paswoord gereset moet worden. Ook het toevoegen van nieuwe werknemer, of zels iets simpel als de rechten op een printer aanpassen, moet allemaal op een andere locatie gebeuren.

Veel logischer is het in zo’n geval alle netwerkobjecten te verdelen over twee OU’s, die de beide afdelingen voorstellen. Hierbij kan er per OU een administrator aangesteld worden die de volledige rechten heeft over zijn deel van het netwerk. Door deze opstelling is het eveneens niet mogelijk al dan niet gewild de instellingen van een andere deel van het domein aan te passen.

Het eerste Windows Server 2008 domein dat men aanmaakt, is het forest-root domein. Dit bevat de configuratie en het schema voor de rest van de forest. Bijkomende domeinen, zogenaamde child-domeinen, worden

Fig. 4.2 Organizational Units

Geografisch

Organogram

Administratief

beheer delegeren

Forests en trees


toegevoegd aan het root-domein en vormen op die manier de tree-structuur of de forest-structuur, afhankelijk van de ingestelde domeinnaam.

Een tree is een hiërarchie van Windows Server 2008 domeinen die gebruik maken van een samenhangende DNS-naamstructuur. De naam van een child-domein in een tree is een uitbreiding op de naam van het parent-domein.

Een forest is een groep trees die niet dezelfde DNS-naamstructuur hebben. Trees in een forest delen een gemeenschappelijke configuratie, eenzelfde schema en global catalog. De naam van het forest-root domein wordt gebruikt om de forest aan te duiden. De forest is de uiterste security grens van een Windows Server 2008 netwerk, waarover een enterprise administrator gezag heeft.

Een ‘trust-relaties’ verwijst naar de relatie tussen twee domeinen waarbij het ene domein de authenticatiebevoegdheid van het andere domein erkent. In de volgende tabel worden de mogelijke trustrelaties weergegeven.

Trust relatie

Definitie

One-way trust

Authenticatiebevoegdheid van het ene domein wordt door een ander domein erkend, maar niet vice-versa. Domein A zal bv. domein B vertrouwen, maar domein B vertrouwt A niet.

Two-way trust

Authenticatiebevoegdheid tussen twee domeinen wordt wederzijds erkend. Met andere woorden: als domein A domein B vertrouwt, zal domein B ook automatisch domein A vertrouwen.

Fig. 4.3 Trees en Forests

Trust Relaties

Tab. 4.1 Trust relationships


Trust relatie

Definitie

Transitive trust

Authenticatiebevoegdheid kan impliciet worden overgeërfd tussen domeinen. Zo zal wanneer domein A domein B vertrouwt en domein B vertrouwt domein C, domein A ook domein C vertrouwen.

Two-way transitive trust

Authenticatiebevoegdheid wordt hier in twee richtingen overgeërfd. Als domein A domein B vertrouwt, zal domein B ook A vertrouwen (= two-way) en zal domein A ieder ander domein vertrouwen dat domein B vertrouwt en domein B ieder ander domein dat domein A vertrouwt.

Inter-forest trust

Een trustrelatie tussen verschillende forests.

Het “vertrouwen” waarover hierbij wordt gesproken is uit te drukken in de mogelijkheid tot aanloggen. Als domain A domein B vertrouwd, zal een gebruiker uit domein B kunnen aanloggen in domein A. Als echter domein B geen vertrouwen heeft in domein A, zal een gebruiker van domein A niet kunnen aanloggen in domein B.

Veruit het meest gebruikt is een two way transitive trust relatie. Deze relatie ligt tussen alle domeinen in eenzelfde forest, ook tussen de verschillende trees. In uitzonderlijke gevallen, als een niet server die geen Active Directory ondersteund toch in het netwerk moet worden opgenomen (Unix, Linux, OS X of NT 4) zal er een one way non transitive trust relatie aangemaakt worden.

Naast de klassieke onderdelen van Active Directory, zijn er een aantal extra mogelijkheden aangegeven die nieuw zijn, of waarvan de voetstap binnen Active Directory noemenswaardig vergroot is.

Active Directory Certificate Services is het systeem dat Active Directory gebruikt om public keys te beheren. Binnen het geheel van security is een public key een gekend gegeven. Het is een sleutel die door de hele wereld gekend mag worden. Iedereen kan er informatie mee encrypteren, maar alleen de eigenaar van de public key kan die informatie terug decrypteren.

Public Keys kunnen de security van een organisatie verhogen door de identiteit van een persoon, apparaat of service aan de corresponderende private key te linken.

Een nieuwe tendens die we merken binnen het gebruik van computers in het algemeen en die in sterke mate gevoed wordt door het internet, is de mobiliteit van gebruikers. Een gebruiker heeft er tegenwoordig behoefte aan op eender welke plaats ter wereld te kunnen inloggen om de gegevens die opgeslagen zijn op een bedrijfsserver te raadplegen.

De meest efficënte manier om dit te implementeren is door gebruik te maken van Web-Based applicaties. Deze draaien lokaal op een server en kunnen zowel binnen als buiten het eigen intranet gebruikt worden. De gebruiker merkt hierbij normaal gezien zelfs niet dat hij niet in het bedrijf zelf zit.

Wat hierbij wel een heel groot probleem wordt is dat de fysische beveiliging van het bedrijf in zijn geheel wegvalt. Waar men er vroeger nog van kon

Two way

transitive trust

Active Directory

Certificate

Services

Active Directory

Federation

Services


uitgaan dat een gebruiker die plaatsnam achter zijn computer al een zekere identiteitscontrole had ondergaan, is dit door de anonimiteit van het internet niet langer het geval.

De oplossing hiervoor vinden we in Active Directory Federation Services. Dit zorgt ervoor dat gebruikers zich wereldwijd kunnen aanloggen in Web-Based applicaties met hun gebruikersinformatie uit Active Directory.

Zoals uit de naam al kan afgeleid worden, is Active Directory Lightweight Directory Services een light-versie van Active Directory Domain Services. Het wordt gebruikt voor applicaties die een Active Directory domein nodig hebben om te kunnen werken, maar waar de specifieke opbouw van het bedrijf het (nog) niet toelaten om een volledige implementatie van Active Directory te maken.

Een bijkomende toepassing hiervoor kan gevonden worden in de ontwikkelaars van applicaties voor Active Directory. Die kunnen dankzij Active Directory Lightweight Directory Services lokaal een domein opzetten om hun applicatie in te testen, zonder een volledige domain controller te moeten beheren.

Het Active Directory Rights Management Services bestaat in principe uit twee delen: Active Directory Rights Management Services en de AD RMS Cliënt. Het is een systeem dat gebruikt kan worden om erg gevoelige informatie bijkomend te beschermen.

Elk zichzelf respecterend bedrijf heeft een duidelijke structuur waarin iedereen rechten heeft op bepaalde documenten. Deze rechten vinden hun uitdrukking in de map waarin ze zich fysiek bevinden en NTFS-rechten die daarop zijn toegekend.

Daarnaast worden alle documenten bijkomend beveiligd door de firewalls en Acces Control Lists (ACLs) van een bedrijf. AD RMS zorgt hiernaast voor nog een bijkomende laag van bescherming die niet, zoals NTFS, gebaseerd is op overerving of, zoals firewalls en ACLs, op de fysieke locatie van de bestanden.

4.3 De installatie van Active Directory

De installatie van de Active Directory-rol gaat even snel als de installatie van elke andere rol in Windows Server 2008. De enige bijkomende moeilijkheid hier is dat er verschillende rollen zijn die gebruik maken van Active Directory.

Active Directory

Lightweight

Directory Services

Active Directory

Rights

Management

Services

Installatie van de

rol


De verschillende Active Directory-geïntegreerde mogelijkheden zijn:

! Active Directory Certificate Services

! Active Directory Domain Services

! Active Directory Federation Services

! Active Directory Lightweight Directory Services

! Active Directory Rights Management Services

Bij de installatie van Active Directory kiest men voor Active Directory Domain Services. Dit is in feite de volledige naam van wat in deze cursus genoegzaam Active Directory genoemd wordt. De andere mogelijkheden zijn in het voorgaande deel van dit hoofdstuk besproken.

Na de installatie van Active Directory merken we aan het rode waarschuwingskruis bij de rol in de server manager dat de server nog steeds niet in werking is als domain controller. Dat is ook logisch, aangezien er nog geen enkele configuratie is doorgevoerd.

Na installatie van de rol zijn ook de features die specifiek verbonden zijn met Active Directory, zoals Group Policy Management. Evident genoeg kunnen we hiermee nog niets doen vooraleer Active Directory geconfigureerd is.

De configuratie van Active Directory doen we via een wizard. Deze is weinig veranderd sinds de vorige versies van Windows Server, aangezien hierin de basis voor de forest- en treestructuur gelegd wordt. De nieuwe, meer geavanceerde onderdelen van windows maken geen deel uit van een basisconfiguratie.

Uiteraard kan enkel een gebruiker met Administrator-rechten de configuratie van Active Directory voltooien.

Fig. 4.4 Windows Server 2008 rollen

Features

Configuratie


De configuratiewizard kan nog steeds gestart worden door het commando “dcpromo.exe” uit te voeren. Er is echter ook een link aanwezig om dit te doen in de server manager.

Bij het begin van de installatie van een domein moet een keuze gemaakt worden over de forest en tree waarin het domein zich zal bevinden. De simpelste keuze is een domain controller toe te voegen aan een bestaand domein. Deze zal dan kunnen dienen als backup voor de bestand domain controller.

Indien men echter een eerste domain controller installeert binnen het domein is het belangrijk hier de juiste keuze te maken. Indien er al een DNS-domein is, en het nieuwe domein wordt daar een onderdeel van, dan spreken we van een uitbreiding van de bestaande tree.

Wanneer er echter een domein wordt opgezet met een eigen DNS-naamgevingsstructuur dat wel een transitieve trust-relatie gaat onderhouden met een ander domein, spreken we van een uitbreiding van de bestaande forest met een nieuwe tree.

De simpelste instelling bij installatie van een primaire domain controller is te kiezen voor een nieuwe tree in een nieuw forest. Na configuratie is het domein dan deel van een tree met één tak in een forest met één tree.

Wanneer men Active Directory instelt in een domein waarbinnen al een DNS-server actief is, kan men hier de naam van het domein opgeven. Belangrijk is hierbij op te merken dat het niet gaat om de naam van de computer die domain controller wordt, maar alleen de domeinspecifieke DNS-suffix.

De netbios-naam van het domein wordt ook nog altijd opgevraagd. Dit is om compatibiliteit te voorzien met applicaties die nog altijd gebruik maken van de, ondertussen verouderde, netbios naam. Het systeem wordt echter nog steeds gebruikt op kleinere netwerken waarin geen server actief is.

Meestal wordt hier het meest specifieke deel van de DNS-naam gekozen. Voor het domein “personeel.hogeschool.be” wordt dat dan “personeel”.

Het forest en domain functional level, die eerder al uitgebreid besproken zijn in deel “1.6 Functionele niveaus en compatibiliteit.” Hier kan men ze instellen. Denk er bij de instelling aan dat een functional level wel verhoogd kan worden, maar niet verlaagd. Tevens moet het domain functional level altijd hoger dan of gelijk zijn aan het forest functional level.

Indien men nog geen DNS-server heeft, kan men in een volgend scherm van de wizard ervoor kiezen deze alhier te laten installaren. De DNS-server zal

Fig. 4.5

Beslissingsboom domain controller

Selectie van

forest en trees

DNS

Netbios

Forest en domain

functional level

DNS-server


dan automatisch geconfigureerd worden om samen te werken met Active Directory.

Wanneer een domein trust relaties aangaat met andere domeinen, kan er voor elke domain controller gekozen worden of er een Global Catalog op geïnstalleerd wordt. Dit is een kopie van alle objecten uit alle Active Directories van het hele forest.

Wanneer men de eerste domain controller voor het eerste domein van een forest aan het installeren is, moet hierop de global catalog wel geïnstalleerd worden. Anders is het een optie waarvoor gekozen kan worden in overeenstemming met de bandbreedte die er beschikbaar is tussen het huidige domein en een domain controller waarop wel een global catalog geïnstalleerd is.

Een read only domain controller is een domain controller waarop een kopie van de Active Directory database staat die alleen uitgelezen kan worden. Alhoewel het bijvoorbeeld niet mogelijk is nieuwe gebruikers aan te maken op deze domain controller, kan hij wel dienen om de primaire domain controller te onlasten.

Bij de configuratie van Active Directory zijn er een aantal mappen nodig. Hierin slaat Active Directory bestanden op die nodig zijn voor de goede werking van het systeem.

In de map “Database” komt de database van Active Directory terecht. Dit gaat om het fysieke bestand waarin alle informatie over alle objecten binnen het netwerk worden opgeslagen. Vlak na configuratie van Active Directory zal het echter slechts 12 MB groot zijn.

In de map “Log files” komen alle logfiles terecht. Een aantal worden standaard gegenereerd, zoals het logboek over systeemgebeurtenissen. Andere zoals logs over wie welke map opent in een NTFS-structuur, moeten specifiek aangevraagd en ingesteld worden. Hierdoor zorgt Active Directory ervoor dat er geen overvloed aan logbestanden komt.

De map “SYSVOL” is een map die standaard gedeeld staat voor alle gebruikers van Active Directory. Hierin komen bestanden terecht waar gebruikers ten allen tijde moeten aankunnen, meestal zonder dat ze er zelfs bewust van zijn. Voorbeelden hiervan zijn logonscripts en zwervende profielen.

Wanneer er een fatale fout optreedt met de installatie van Active Directory, is het essentiëel dat deze zo snel mogelijk hersteld kan worden. Daarbij is het restore mode password nodig. Waar bij Windows Server 2000 dit nog standaard stond ingevuld als een lege string, moet er tegenwoordig een paswoord gekozen worden dat voldoet aan de complexity-eisen.

Dit paswoord kan nadien nog veranderd worden met het commando “SETPWD.exe”.

Nadat alle instellingen van Active Directory gedaan zijn, laat de wizard nog een overzichtsscherm zien. Pas nadat de gebruiker hier op “Afronden” heeft geklikt, zullen deze instellingen doorgevoerd worden. Als om een reden de wizard voortijdig beëindigd wordt, dan kan het dus niet dat Active Directory “half” geconfigureerd is.

Active Directory hangt voor zijn werking volledig af van de goede werking van de LDAP database. Deze LDAP database wordt bereikt door de Netlogon service. Die moet beschikbaar zijn voor alle gebruikers van het

Global Catalog

Read only domain

controller

Standaard

mappenstructuur

Restore mode

Afronden van de

wizard

Netlogon service


domein. De gebruikers van het domein zullen via DNS op zoek gaan naar de Netlogon service.

Spijtig genoeg wacht de Netlogon service bij het opstarten van de server echter niet op het opstarten van de DNS service. Wanneer dus de DNS service te traag opstart, zal het voor de Netlogon service niet mogelijk zijn om zich te registreren bij DNS, met alle gevolgen voor het domein vandien.

Daarom beveelt Microsoft aan bij problemen met aanloggen de Netlogon service te herstarten. Het zou voor een systeembeheerder een reflex moeten zijn na installatie van Active Directory de dependencies van de Netlogon service uit te breiden met DNS, zodat dit probleem zich niet langer voordoet.

Dat moet gebeuren in de Registry, aangezien er bij services in Windows Server 2008 geen mogelijkheid is om dependencies toe te voegen.

In “Local computer”, “System”, “CurrentControlset”, “Services” staan alle services van het systeem opgelijst. Een goed idee is daar de DNS service op te zoeken om de juiste naam te kunnen gebruiken. Standaard is dit “DNS”. Vervolgens voegt met in de netlogon service bij “DependOnService” de naam “DNS” toe.

Na installatie van Active Directory is de lokale gebruikersdatabase, de SAM, opgenomen in Active Directory. Sinds Windows Server 2000 is het echter mogelijk een domain controller terug te demoveren naar een gewone member server. Hierbij moet de lokale SAM terug gezet kunnen worden, dus slaat de configuratiewizard van Active Directory deze op in de registry.

Hierbij kan men opmerken dat de Administrator-gebruiker die voor de upgrade naar Active Directory al bestond op de computer, na de upgrade ook een sterke verhoging van zijn rechten heeft zien gebeuren. Behalve de

Fig. 4.6 Depend on service

Administrator-

paswoord


van server zelf is hij nu immers Administrator van het hele domein, met standaard volledige rechten op elke computer die daar een onderdeel van is.

Het paswoord van deze lokale Administrator is overgenomen van de vroegere SAM naar de database van Active Directory. Hackers weten dit, en gaan geheid op zoek naar deze oude kopie van de SAM om het paswoord eruit te filteren. De SAM slaat dit niet op in gewone tekst, maar met de tegenwoordige rekenkracht is het decoderen van dat bestand een koud kunstje.

Daarom is het essentiëel om in een productieomgeving na installatie van Active Directory het paswoord van de Administrator te veranderen.

4.4 Eerste ingebruikname van Active

Directory

In het Administrative Tools menu van een Active Directory Domain Controller verschijnen na configuratie drie nieuwe beheersmodules:

Active Directory Domains and Trusts – Met deze management module kan men domain trusts beheren en de domain mode veranderen.

Active Directory Sites and Services – Deze module gebruikt men om de replicatie binnen een Active Directory domeinstructuur te beheren.

Active Directory Users and Computers – De ‘dagelijks beheer’-module die men gebruikt om Active Directory objecten (users, computers, printers, …) te beheren en in Active Directory te publiceren.

Twee modules hiervan, “Users and Computers” en “Sites en Services” vindt men ook terug in de server manager. “Domains and Trusts” is een module die zeker nodig is in het beheer van een domein, maar kan niet gezien worden als een module voor dagelijks beheer.

Wanneer duidelijk is geworden dat het functioneel niveau van een domein of van een forest omhoog mag, kan dit gebeuren bij “Active Directory Domains and Trusts.” Wanneer men rechtsklikt op een domein heeft men de kans om het domain functional level te verhogen. Bij rechtsklikken op de root van de managment console kan men kiezen om het forest functional level te verhogen.

Na promotie van een server naar domain controller is het niet langer mogelijk nog lokale gebruikers en groepen aan te maken. De domain controller is immers het centrum van een domein, en is daar niet langer van los te koppelen.

Wanneer met een beheersconsole opent via het commando “mmc” en daarin probeert de plug-in “Local users and groups” toe te voegen, merkt men dat deze niet langer gebruikt kan worden.

De reden hiervoor is dat de lokale SAM-database die deze informatie opsloeg vervangen is door de Active Directory database. Gebruikersbeheer gebeurt vanaf nu via Active Directory Users and Computers.

Bij nadere inspectie valt op te merken dat lokale gebruikers en gebruikersgroepen naadloos zijn overgezet naar Active Directory.

Dit is niet het geval bij member servers of bij andere computers die deel uitmaken van het domein. Alhoewel domeingebruikers zich wel degelijk kunnen aanloggen op deze computers, kunnen de lokale gebruikers dat ook

Verhogen van het

forest en domain

functional level

Local users and

groups


nog altijd. De lokale SAM op een PC in het domein blijft dus gewoon bestaan. Lokale gebruikers hebben echter geen rechten op objecten die door het domein beheerd worden zoals bijvoorbeeld shares en printers.

Onafhankelijk van het domain functional level, kunnen cliënts vanaf windows 2000 proffesional normaliter zonder probleem deel worden van een domein. Voor windows 98, ME en NT4 cliënts is het nodig bijkomende services te installeren op de cliënt PC’s.

Een computer toevoegen aan het domein gebeurt door de domeinnaam in te vullen bij de naam van de computer. Standaard staat hier een werkgroep aangegeven. Door deze handeling zal er automatisch een computeraccount aangemaakt worden in Active Directory. Heropstarten is nadien vereist.

Doordat er een computeraccount gemaakt wordt in Active Directory, wordt de Active Directory database aangepast. Dit kan niet zonder meer, vandaar dat bij deze handeling het paswoord van een beheerder van het domein nodig is.

Wanneer echter eerst een computeraccount werd aangemaakt, kan een gewone gebruiker ook computers toevoegen aan het domein. Er zijn dan immers geen schrijfrechten in Active Directory meer nodig, alleen leesrechten.

Bij het toevoegen van een computer aan het domein is het belangrijk dat de DNS cliënt van die computer op voorhand juist ingesteld is. De DNS-cliënt bestaat uit de instelling van de DNS-server in de IP-configuratie en uit de instelling van de DNS-suffix, die exact hetzelfde moet zijn als de naam van het domein, bij de naam van de computer.

Een Site is binnen de Active Directory structuur te vergelijken met een local area network (LAN). Binnen een LAN ligt een netwerk met hoge bandbreedte, tussen de verschillende LAN’s van een bedrijf liggen trage of dure verbindingen.

Over het algemeen kan men een Site dus zien als een afgeslote geografisch geheel. Een bedrijf met administratieve eenheid in de stad en productie eenheid in een industriepark zal twee sites definiëren binnen een enkel domein.

Het is belangrijk zoveel mogelijk traffiek binnen een site te houden. Alles wat buiten de site komt zal eerder traag zijn. Daarom is het mogelijk om na installatie van een domain controller Sites te definiëren.

Wanneer dit echter nog niet gebeurd is, zal alles worden opgeslagen in een “Default first site.”

4.5 DNS integratie

Wanneer eerst DNS en daarna pas Active Directory is geïnstalleerd, zijn niet alle bindingen tussen beide systemen zonder meer in orde. Het gaat hier specifiek over het integreren van DNS in Active Directory en het uitsluiten van niet-beveiligde updates.

Beide taken kunnen verricht worden vanuit de server manager. Men klikt rechts op de forward lookup zone met dezelfde naam als het domein. Bij een goede installatie van DNS is dit de enige. Wanneer die forward lookup zone echter niet bestond heeft Active Directory ze bij configuratie van DNS zelf aangemaakt, waardoor de volgende instellingen al correct zijn.

Computers

toevoegen aan het

domein

Sites


Bij de status kan men de huidige status van de DNS server nakijken. Wanneer het type niet “Active Directory Integrated” is, kan dit veranderd worden door de knop rechts op het scherm. Wanneer daar het vinkje aanstaat zal de DNS zone mee gerepliceerd worden met de updates van de server.

Wanneer dit voltooid is, kan er bij de keuzelijst voor het type “Dynamic updates” niet alleen meer gekozen worden voor “None” en “Nonsecure and secure”, maar ook voor “Secure only”. Het spreekt voor zich dat dit de beste keuze is.

Hetzelfde moet nog gebeuren voor de instellingen van de reverse lookup zone.

Behalve deze twee instellingen heeft Active Directory de DNS-server op de server wel aangepast aan zijn behoeften. Zo zijn er een aantal mappen en records bijgekomen op de DNS-server, terug te vinden in de forward lookup zone.

Fig. 4.7 General tab van forward lookup zone

Active Directory

integrated

Secure updates

Bijkomende DNS-

configuratie


In deze server is “nb1mac” de domain controller en nb1macdom.khk de naam van het domein. Er zijn voorlopig nog geen andere PC’s gekend in de DNS-structuur.

Hierbij kan men opmerken dat er behalve de SOA en NS records een derde record is bijgekomen waarvan de naam overeenkomt met die van de forward lookup zone. Dit zijn standaard records, waarnaar elke computer in het domein regelmatig op zoek moet gaan.

Het is nuttig de informatie hieruit naast de informatie van domain controller te bekijken.

Hierbij kan men opmerken dat het IP-adres voor beiden hetzelfde is, maar dat de naam essentiëel anders is. Bij het record van de domain controller wordt er immers verwezen naar de fully qualified domain name van de computer zelf, bij het record van het domein alleen naar de FQDN van het domein. Toch verwijzen beiden naar dezelfde, fysieke server.

Fig. 4.8 Forward lookup zone na installatie AD

Fig. 4.9 Domain controller en domain records


4.6 De ‘Global Catalog Server’

De Global Catalog Server is een databank met informatie waarin voor alle Active Directory objecten een beperkte subset aan attributen wordt opgeslagen. By default zijn de attributen die in de Global Catalog worden bewaard deze die het meest gebruikt worden in queries (zoals gebruikersnaam, voornaam, logon naam, …). De Global Catalog Server bevat met andere woorden de informatie die nodig is om eender welk object in de directory terug te vinden.

Een Global Catalog Server is een domeincontroller die een kopie van de Global Catalog bevat en queries daarop behandelt. De eerste domeincontroller die men creëert in Active Directory is een Global Catalog Server. Men kan bijkomende Global Catalog Servers configureren om de logon authenticatie trafiek en de querie trafiek over verschillende servers te verdelen. Dit is gekend als load balancing.

De Global Catalog is belangrijk voor twee directory rollen:

! Het laat een gebruiker toe aan te loggen op een netwerk door universal group lidmaatschapgegevens door te geven aan een domeincontroller wanneer het logon proces wordt opgestart.

! Het laat een gebruiker toe om directory informatie terug te vinden over heel de forest, waar de gegevens zich ook bevinden.

In een single domain netwerk is een global catalog server niet noodzakelijk voor logon omdat elke domain controller de nodige informatie bevat om een user te authenticeren.

Standaard creëert Active Directory één Global Catalog Server per forest. In een netwerk met meerdere sites kan het interessant zijn om meerdere Global Catalog Servers te installeren om te vermijden dat queries over een trage WAN-verbinding worden uitgevoerd.

4.7 Operations Masters

Active Directory ondersteunt multi-master updates van de directory tussen alle domeincontrollers in een domein. Dit wil zeggen dat veranderingen in Active Directory kunnen gebeuren op eender welke domain controller, en dat deze later worden gerepliceerd naar alle andere domain controllers.

Sommige veranderingen kunnen echter niet in een multi-master omgeving worden doorgevoerd omwille van de replicatietrafiek of omwille van mogelijke conflicten in cruciale operaties. Daarom worden een aantal rollen toebedeeld aan specifieke domein controllers.

Een goed begrip van deze rollen is belangrijk want wanneer deze services ontbreken, zullen bepaalde specifieke functies binnen Active Directory niet functioneren.

Een domeincontroller die zo’n speciefieke rol – een Single Master Operation – vervult, noemt Microsoft een Operations Master. Zo’n domeincontroller is eigenaar van die Single Master Operations rol. Dit eigenaarschap kan worden overgedragen aan andere domein controllers.

Taken die slechts eenmaal per forest vervuld moeten worden zijn forest wide single master operations. De volgende twee functies zijn forest wide single master operations.

Global Catalog

Server

Forest Wide Single

Master Operations


! Schema Master

! Domain Naming Master

Per domein mag er maar een enkele domain controller verantwoordelijk zijn voor de volgende drie taken.

! Relative Identifier (RID) Master

! Primary Domain Controller (PDC) Emulator

! Infrastructure Master

De Schema Master Domain Controller beheert updates en wijzigingen aan het Schema. Dit Schema bevat de definities van alle objecten (users, computers, printers, …) in Active Directory. In Windows Server 2008 is er slechts één schema voor een volledige forest, zodat alle AD objecten aan dezelfde regels voldoen. Veranderingen aan het schema worden gerepliceerd naar alle Domain Controllers van de forest.

Om het Schema van een forest te updaten, moet je lid zijn van de Schema Administrator groep en toelaten het schema te wijzigen via de Schema Console.

De Domain Naming Master controleert het toevoegen of verwijderen van domeinen binnen de forest. Hij zorgt voor een consistente opbouw van de domeinstructuur en naamgeving.

Een Security IDentifier (SID) bestaat uit een domeinspecifiek onderdeel en een Relative IDentifier of RID. De RID kan een account of group binnen een domein uniek identificeren. De taak van RID Master is dan ook om bepaalde reeksen hiervan toe te kennen aan de verschillende domein controllers in hetzelfde domein. Zo kunnen deze zelf nieuwe groepen en accounts aanmaken met de zekerheid dat andere domain controllers niet tegelijkertijd dezelfde RID gebruiken.

Alle verandering van paswoord binnen het domein worden beheerd door de PDC Emulator. Wanneer een gebruiker niet geauthenticeerd geraakt, zal deze gebeurtenis worden doorgestuurd naar de PDC Emulator, die het paswoord opnieuw nakijkt met de nieuwste versie van het paswoord van de gebruiker.

Hierdoor kan een gebruiker vlak na het resetten of veranderen van zijn paswoord al aanloggen op een andere domain controller dan degene waarop het paswoord is veranderd, zonder te moeten wachten op de replicatie van de Active Directory database.

Hierdoor moet de PDC Emulator op een bereikbare plaats binnen het LAN gelokaliseerd zijn. Dit om de wachttijd na het ingeven van een fout wachtwoord tot een minimum te beperken.

Wanneer wijzigingen aan user accounts en groeplidmaatschap in verschillende domeinen plaatsvinden, is er een vertraging tussen het tijdstip waarop een user account van naam verandert en het tijdstip waarop de groep waartoe die user behoort de nieuwe naam toont. De Infrastructure Master is verantwoordelijk voor deze update, die hij distribueert via multi-master replicatie.

Eenmaal bijkomende Domain Controllers werden geïnstalleerd in een forest kan het aangewezen zijn de Forest Root Domain Controller – die in principe alle vijf Single Master Operations uitvoert – te ontlasten. Het overbrengen van een SMO-rol naar een andere Domain Controller noemt men een

Domain Wide

Single Master

Operations

Schema Master

Domain Naming

Master

RID Master

PDC Emulator

Infrastructure

Master

Verdeling van de

Operations

Masters-rollen


transfer. Deze transfer wordt best geïnitieerd vanuit de originele domain controller. Op die manier kunnen beide domain controllers hun database feilloos synchroniseren.

De Schema Master Domain Controller en de Domain Naming Master bevinden zich om best practice redenen i.v.m. security en onderhoud best op dezelfde machine.


5 Active Directory beheren

Active Directory is een structuur die geschikt is om alles tussen een tiental en milioenen objecten te beheren. Objecten zijn hierin gebruikers, netwerkshares, servers, computers, printers en alles wat verder nog te bedenken is als netwerkonderdeel. Om dit op een overzichtelijke manier te doen heeft de systeembeheerder een aantal hulpmiddelen tot zijn of haar beschikking.

5.1 Organizational Units

Om de objecten te organiseren binnen Active Directory, zal men organizational units gebruiken. Deze zijn te vergelijken met mappen die men aanmaakt om documenten in te bewaren.

Een voorbeeld is te vinden in de student die vol goede moed aan zijn eerste lesjaar begint. Zodra zijn lessenrooster gekend is maakt hij een mappenstructuur aan, met voor elk vak een map. Wanneer er documenten van dat bepaalde vak beschikbaar komen verdeelt hij deze verder onder in de juiste map.

De onderverdeling van een map kan verschillen per vak. Wanneer het om een hoorcollege gaat zullen een map “Slides” en een map “Nota’s” volstaan. Wanneer het om een geïntegreerd labo gaat zullen de mappen “Opgave’s”, “Oefeningen”, “Bijkomende informatie” en “Verslagen” nodig zijn.

Wanneer de student slaagt in zijn jaar en aan het tweede begint kopiëert hij de hele mappenstructuur naar een map “Eerste jaar” en start een nieuwe map “Tweede jaar” met daarin een nieuwe structuur van de nieuwe vakken.

Tegelijkertijd kan er in dezelfde klas een andere student zijn die beter dan de eerste inziet dat elk vak verband houdt met de andere vakken van dat jaar. In plaats van verschillende mappen voor elk vak voorziet hij een map “Theorie” en een map “Praktisch.”

Voor beide systemen is iets te zeggen, en de specifieke keuze hangt af van persoon tot persoon. Zo is het ook met de verdeling van een Active Directory in organizational units. Elk bedrijf moet hierin op basis van de eigen fysieke structuur en het organogram van het bedrijf een structuur opbouwen waarin elke beheerder snel aan de hand van een aantal basisregels elk object uit de Active Directory kan terugvinden.

Structuur van een

student

Bepalen van de

organizational unit

structuur


Behalve een structuur-eenheid, heeft een organizational unit ook een administratief nut. Een organizational unit bakent een beheerseenheid af, waarvoor de, eventueel gedeeltelijke, beheersrechten gedelegeerd kunnen worden naar subadministrators.

Daarnaast zijn er instellingen, meer bepaald group policy objects of GPO’s die per organizational unit ingesteld worden. Deze zorgen ervoor dat, bijvoorbeeld, al de gebruikers uit Accounting standaard een muisgrijze bureaubladachtergrond krijgen.

organizational units kunnen genest worden, in die zin dat een organizational unit behalve gebruikers en printers ook andere organizational units kan bevatten. Dit is nodig om een doordachte structuur uit te bouwen bij een groot aantal netwerkobjecten, maar het brengt ook enkele voordelen met zich mee naar overerving toe.

Zo worden beheersrechten die zijn ingesteld op een organizational unit automatisch overgedragen naar onderliggende organizational units. Wanneer iemand in bovenstaande figuur beheerder wordt van de organizational unit “Britain”, kan die persoon direct alle instellingen voor de organizational units “Marketing” en “Engineering.”

Ook group policy objects worden overgeërfd. Hierbij moet vermeld worden dat elk domein standaard een Default Domain Policy aanmaakt die toegepast zal worden op alle netwerkobjecten van het domein dankzij dit systeem van overerving of inheritance. Net zoals het geval is bij NTFS-rechten kunnen overgeërfde group policy objects overschreven worden door later toegekende group policy objects.

5.2 Organizational unit structuurbepaling

Zoals al duidelijk mag zijn, is het bepalen van de structuur van de organizational units geen duidelijk omschreven vakgebied. Verschillende invalshoeken moeten bekeken worden.

! Functie: Structuur uitgetekend op basis van de bedrijfsfunctie van een gebruiker, los van de geografisch locatie, departement of divisie. Vb. Verkoper – Consultant – Management Assistent.

Fig. 5.1 Voorbeeld OU structuur

Administratief nut

en instellingen

Nesten en

overerving


! Organisatie: Structuur uitgetekend op basis van de verschillende departementen of divisies in een onderneming. De Active Directory-structuur zal op die manier een weerspiegeling zijn van de organisatiestructuur. Vb. Productie – Engineering – Research.

! Locatie – Structuur uitgetekend op basis van de geografische locatie van Active Directory objecten. Vb. Parijs – Londen – Berlijn.

In het algemeen kan men echter de volgende nadelen onderscheiden.

Een OU-hiërarchie gebaseerd op functie enkel geschikt is voor kleinere organisaties omdat functies in grotere bedrijven vaak heel divers zijn en moeilijk gegroepeerd kunnen worden.

Een OU-hiërarchie gebaseerd op organisatie vaak moeilijk werkbaar is in de praktijk omdat Active Directory objecten op die manier niet makkelijk kunnen worden gegroepeerd met het oog op het delegeren van administratieve taken. Omdat gebruikers de Active Directory structuur in principe toch nooit zien, is het beter dat de hiërarchie aan de behoeften van de administrator voldoet in plaats van aan die van de gebruiker.

Wanneer een netwerk geografisch decentraal gemanaged wordt, is een geografische structuur aanbevolen.

De meeste OU-hiërarchie een zogenaamde hybride structuur heeft; d.w.z. een mix-vorm van bovenstaande drie die het best voldoet aan de behoeften van de administrator.

Belangrijk is hierbij dat een team van systeembeheerders samenzit om deze structuur uit te tekenen, zonder hier bij rekening te houden met de wensen van specifieke gebruikers. Met moet gebruikers kunnen aanzien als de netwerkobjecten die ze zijn, als een som van bepaalde noden op IT-vlak.

Een organizational unit wordt aangemaakt in Active Directory Users and Computers. Men klikt rechts op de gewenste parent-container, het domein of een andere organizational unit, en kiest “New” en vervolgens “organizational unit”.

Er bestaan al een aantal standaard containers zoals User, Computers en Builtin. Dit zijn geen organizational units, maar gewone mappen. Men kan er dus geen OU’s in aanmaken en ook geen group policy objects op toepassen. Het verschil tussen een OU en een ingebouwde container kan men zien aan bijbehorende pictogram.

Om een OU aan te maken, moet men lid zijn van de Domain Administrators groep of moet men de juiste permissies verkregen hebben via delegatie. Een gebruiker die OU’s wil aanmaken moet Read, List Contents en Create Organizational Units permissies hebben op de parent container (domain of OU) om OU’s binnen die container te kunnen aanmaken. List contents is niet strikt noodzakelijk, maar zonder kan men nieuw aangemaakte OU’s niet bekijken.

Nadelen van de

structuren

Hybride structuur

Een OU creëren

Mappen

Fig. 5.2 Verschil OU en map

Permissies op

OU’s


Een andere manier om een OU aan te maken, is via het commando dsadd. Met dit commando kan men trouwens alle soorten objecten aan Active Directory toevoegen.

5.3 User Accounts

Gebruikersaccounts worden gebruikt om de gebruikers te authenticeren binnen een domein en hen toegang te geven tot netwerkresources. Men kan een nieuwe gebruiker op eender welke domain controller aanmaken via Active Directory Users and Computers. Na de creatie zal deze account naar alle andere domein controllers in het domain gerepliceerd worden.

Active Directory zal vooral bestaan uit gebruikers. Zij zijn degenen die rechten moeten verkrijgen op de andere netwerkobjecten, en er zullen hoogst waarschijnlijk ook altijd meer gebruikers in Active Directory zijn dan andere objecten.

Om een gebruikersaccount aan te maken, selecteert men eerst de OU waarin de gebruiker terecht moet komen. Een user op domain niveau, dus niet binnen een organizational unit, kan ook maar dat beperkt de delegatie-opties van de administrator en bemoeilijkt het netwerkmanagement.

Na een user account te hebben aangemaakt, kan men een user makkelijk verplaatsen tussen OU’s binnen hetzelfde domein door hem te slepen of men klikt rechts op de user account, kiest “Move” en selecteert vervolgens de juiste bestemming in een keuzelijst van OU’s.

De gegevens die we over een gebruiker kunnen ingeven bij het aanmaken van de account zijn eerder beperkt.

Elke gebruiker heeft na het aanmaken verschillende attributen als Default meegekregen. Het is mogelijk om deze attributen via de user properties aan te passen d.m.v. verschillende tabbladen ‘General’, Address’, ‘Account’,…

Een OU aanmaken

via DSADD

Gebruikers

Accounts

Aanmaken van

een

gebruikersaccount

Fig 5.2 New User


In de opties van een gebruiker valt onmiddellijk op dat er na creatie van de bewuste gebruiker veel meer mogelijkheden zijn om data op te slaan. Wanneer een beheerder een gebruiker handmatig aanmaakt is het echter niet de bedoeling dat al deze informatie handmatig ingegeven wordt.

Wanneer er een grote groep groep gebruikers waarvan een schare aan informatie beschikbaar is wordt aangemaakt, zal hiervoor vanuit de applicatie waarin deze informatie zich bevindt, bijvoorbeeld Excel, een lijst worden aangemaakt. Op basis van deze lijst kan men een BAT-bestand opstellen dat al de gebruikers tegelijkertijd aanmaakt, zonder dat een domeinadministrator zich er langer dan strikt noodzakelijk mee bezig hoeft te houden.

In deze moet gezegd dat het uiteindelijke doel van elke systeembeheerder moet zijn zichzelf zo overbodig mogelijk te maken, zodat het netwerk zal blijven werken zonder enige menselijke input.

Een gebruiker aanmaken met een BAT-bestand zal via het commando dsadd gebeuren. De syntax van het commando ziet er als volgt uit:

dsadd user UserDomainName [-upn UPN] [-fn

FirstName] [-ln LastName] [-display DisplayName] [-

pwd {Pasword|*}]

Gebruik dubbele quotes als er zich een spatie bevindt in een van de variabelen. Bijvoorbeeld:

dsadd user

“cn=prins,ou=helden,ou=figuren,dc=sprookjes,dc=be” -upn

[email protected] -fn prins -display

sprookjesprins -pwd P@ssw0rd

Fig. 5.3 Gebruikersopties

Het commando

‘dsadd user’


Voor meer informatie en de volledige syntax van het commando dsadd

user, gebruik dsadd user /?

Om het creëren van nieuwe domain user accounts te vergemakkelijken, kan men een bestaande user account kopiëren. Elke zichzelf respecterende systeembeheerder zal een aantal template accounts maken waarvoor de domeinspecifieke instellingen al gemaakt zijn. Deze kopiëert men telkens een nieuwe gebruiker gemaakt moet worden. Zo’n template verschilt in niets met een actieve gebruiker.

Bij het kopiëren van een gebruiker of template krijgt de systeembeheerder hetzelfde scherm als bij het aanmaken van een nieuwe gebruiker. Na het invullen van namen en paswoord zal de nieuwe gebruiker echter hetzelfde groepslidmaatschap hadden als de originele gebruiker.

Het spreekt voor zich dat een gekopiëerde gebruiker nooit een dezelfde gebruikersnaam of paswoord zal hebben als een templategebruiker.

Onderstaande tabel toont de user properties die gekopieerd worden na bovenstaande procedure. Properties Tab Properties gekopieerd

Address Alle, behalve Street Address

Account Alle, behalve Logon Name

Profile Alle, behalve Profile Path en Home Folder, die worden aangepast aan de nieuwe user’s logon naam

Organization Alle, behalve Title

Member of Alle

5.4 De ‘Computer Account’

Computeraccounts worden gebruikt om een computer op het domein te authenticeren en een verbinding met het netwerk van op de computer toe te laten. Elke computer in een domein zal met andere woorden een geldige computeraccount moeten hebben.

Om een computeraccount aan te maken, kan de administrator eender welke OU kiezen. Wanneer de computer toegang krijgt tot het domein zal hij automatisch lid worden van de ‘Computers’ container en kan de administrator de account daarna verplaatsen naar de gewenste organizational unit.

Standaard kunnen Active Directory gebruikers tot 10 computers aan het domein toevoegen met hun eigen account credentials. De computers komen dan automatisch in de ‘Computers’ container.

Een computer toevoegen aan een domein met behulp van een vooraf aangemaakte account noemt ‘pre-staging’. Concreet kan de administrator op die manier computers voorzien binnen elke OU.

Ook dit type object kan men op elke domeincontroller aanmaken. Achteraf zorgt de multimaster domain replication ervoor dat de nieuwe accounts over alle Domain Controllers gerepliceerd worden.

Hierbij zorgt de specifieke computernaam ervoor dat de computer zichzelf herkent in de computeraccount.

Een user account

kopiëren

Tab. 5.1 Gekopiëerde user-eigenschappen

Computer-

accounts

aanmaken

Pre-staging


Net als voor OU’s en gebruikers kan men ook voor het aanmaken van een computer account dsadd gebruiken, bv..

dsadd computer

“cn=testpc,ou=figuren,dc=sprookjes,dc=be”

Meer informatie vindt men ook hier m.b.v. het commando

dsadd computer /?

Onafhankelijk van de fysieke locatie van een object kan men in Active Directory op een eenvoudige manier objecten verplaatsen en netwerkresources terugvinden in de zelfbepaalde OU-structuur.

5.5 Groepen

Een groep is een verzameling van gebruikers, computers of andere groepen. Groepen kunnen lokaal op een stand-alone machine voorkomen of domein-gerelateerd zijn. Deze cursus focust op domein-gerelateerde groepen.

Groepen vereenvoudigen de administratie omdat men permissies in één keer aan een groep kan toekennen in plaats van individueel aan elke gebruiker. Men kan groepen ook gebruiken als distributielijsten om e-mails naar te versturen.

Het is op dit punt heel belangrijk het verschil te zien tussen groepen en organizational units. Organizational units worden gebruikt om een structuur toe te kennen aan de verschillende objecten in Active Directory. Groepen worden gebruikt om deze objecten bepaalde rechten te geven

We keren terug naar het voorbeeld van de student die een mappenstruktuur aanmaakt in het begin van het jaar. In de verschillende mappen gaan een groot aantal Word-documenten voorkomen. De student zal al de Word-documenten openen met Microsoft Office. Soms kan hij er ook voor kiezen diezelfde documenten te openen met OpenOffice.org.

Merk op hoe de student de mappenstruktuur blijft gebruiken om de bestanden terug te vinden en te beheren, maar de manier waarop hij de bestanden zelf gebruikt, verschilt van dag tot dag.

Zo ook met gebruikers. Als een gebruiker zijn paswoord vergeet moet de systeembeheerder hem makkelijk terugvinden in Active Directory om dat paswoord te kunnen resetten. De gebruiker heeft echter rechten op verschillende gedeelde mappen binnen Active Directory, en de manier waarop daarop rechten worden toegekend is volledig verschillend van de manier waarop een gebruiker in een organizational unit wordt onderverdeeld.

Een en ander zal verder duidelijk worden in het gedeelte waarin de “A G DL P”-strategie besproken wordt.

Er zijn in Active Directory twee soorten groepen: security groups en distribution groups.

Simpel gezegd worden security groups gebruikt om rechten toe te kennen en distribution groups voor de distributie van informatie. Security groups kunnen voor dit laatste echter ook gebruikt worden. Een en ander hangt af van de gebruikte applicatie.

Uiteindelijk worden Distribution Groups veel minder gebruikt dan Security Groups. Wanneer men een lijst van gebruikers wil om informatie onder te

Het commando

“dsadd computer”

Verschil groepen

en organizational

units

Group types


verdelen, is het veel beter deze te extraheren uit een applicatie die gemaakt is voor de verdeling van informatie, zoals bijvoorbeeld Exchange Server voor het beheren van e-mail lijsten. Wanneer er verder in deze cursus over groepen of Groups wordt gesproken, is dit tenzij anders vermeld dan ook altijd over Security Groups.

Gedurende het logon proces wordt er voor elke gebruiker een access-token aangemaakt. Deze identiteitskaart bevat een lijst van alle security groups waarvan de gebruiker lid is. Wanneer een gebruiker bestanden wil openen, zal dit access-token gebruikt worden om te controleren of de gebruiker wel gemachtigd is om deze bestanden te gebruiken.

Elk van deze twee types ondersteunt drie ‘scopes’: domain local, global of universal. Het type en de scope van de groepen die men kan kiezen, hangt af van de domain mode.

Behalve het type van een groep moet ook de scope gekozen worden. De scope van een groep geeft aan in welke mate hij bereikbaar is vanuit andere domeinen binnen dezelfde forest.

De scope van een groep bepaalt of een groep zich ‘uitstrekt’ over meerdere domeinen of beperkt is tot één enkel domein. Door een bepaalde group scope te kiezen, legt men drie zaken vast.

! Van welke domeinen men leden kan toevoegen aan een groep.

! In welke domeinen men een groep kan gebruiken om rechten toe te kennen op resources.

! De domeinen waarin men een groep kan ‘nesten’ in een bestaande groep.

Er zijn drie group scopes: domain local groups, global groups en universal groups.

Onderstaande tabel probeert de verschillende scopes te verduidelijken:

Scope

Mogelijke leden

Omschrijving

Global

Gebruikers, groepen en computers uit hetzelfde domein dan de global group.

Een global group kent rechten toe aan resources in elk domein van de forest.

Universal*

Gebruikers, groepen en computers van elk domein in de forest.

Een universal group kent rechten toe aan resources in elk domein van de forest.

Domain Local

Global groups, universal groups, andere domain local groups, accounts

Een domain local group kan enkel rechten toekennen aan resources in het domein waarin de domain local group bestaat.

Door deze verschillende scopes is het een goed idee om in de naamgeving van de groepen aan te geven over welk soort groep het gaat.

Group scopes

Tab. 5.2 Group Scopes


Aan elke groep moeten leden toegevoegd worden, en de meeste groepen moeten lid gemaakt worden van een andere groep. Dit kan dankzij de tabbladen “Members” en “Member of” in de eigenschappen van groepen en gebruikers.

In bovenstaande figuur merkt men dat de global group gebruikers twee leden heeft, de gebruikers “usr1” en “usr2”. Daarnaast is de groep lid van twee andere groepen “DL_klembord_R”, “DL_usr_FC” en van de ingebouwde groep “Remote desktop users”.

Leden toevoegen aan een groep kan via de knop “Add...” Wanneer een gebruiker lid wordt gemaakt van een groep, zal de groep automatisch tevoorschijn komen in het tabblad “Member off” van de gebruiker.

5.6 Strategieën voor het gebruik van

groepen

Een voordeel van het gebruik van Global Groups is dat accounts binnen een groep frequent kunnen worden veranderd zonder extra replicatie-trafiek te genereren naar de Global Catalog. Dit komt omdat Global Groups niet worden gerepliceerd buiten hun eigen domein.

Men kan een Global Group best gebruiken om objecten te beheren die ‘dagelijks beheer’ vergen, zoals user accounts en computer accounts. Zo kan een Global Groups best gebruikt worden om users te groeperen die een soortgelijke jobinhoud hebben en daardoor gelijkaardige behoeften aan netwerkresources.

Omdat Global Groups forest-wide kunnen bekeken worden – ze worden overal getoond als men permissies aan groepen wil toekennen – is het aangewezen om geen Global Groups te gebruiken om rechten te verlenen voor domein-specifieke resources. Dit zou onnodig veel replicatietraffiek vergen.

Universal Groups worden vooral gebruikt om gebruikersgroepen te creëren over domeinen heen. Om het overzicht te behouden, is het aangewezen de gebruikers eerst per domein in Global Groups onder te brengen en deze Global Groups vervolgens lid te maken van de gewenste Universal Groups.

Fig. 5.4 Tabbladen Member en Member of

Overwegingen bij

Global Groups

Overwegingen bij

Universal Groups


Het lidmaatschap van Universal Groups zou in principe stabiel moeten zijn, omdat alle veranderingen aan de samenstelling van een Universal Group gerepliceerd worden naar elke Global Catalog in de forest.

Groepen met een Domain Local scope helpen een administrator om rechten op resources binnen zijn domein in te stellen en te beheren. Zo kan men alle permissies op domein-specifieke resources toekennen aan Domain Local Groups en vervolgens Global Groups lid maken van die Domain Local Groups.

Met ‘nesten’ wordt bedoeld dat een groep lid kan worden van een andere groep. Men kan groepen nesten om individuele accounts niet telkens lid te moeten maken van andere groepen en om replicatie-trafiek te beperken, alsook om de administratieve last bij het aanmaken van een nieuwe gebruiker te beperken.

Als men groepen gaat nesten, is het aan te raden om dit slechts te doen op één niveau (een groep wordt lid van een groep). Als men verder gaat met nesten op verschillende niveaus (een groep wordt lid van een groep die op zijn beurt al groep is van een andere groep), dan wordt het steeds moeilijker om permissies op resources te traceren. Een goede documentatie is daarom cruciaal.

5.7 De ‘A-G-DL-P’-strategie

Eén van de mogelijke strategieën om efficiënt met groepen om te gaan in een Active Directory domeinstructuur is de ‘A-G-DL-P’-strategie. De strategie komt hierop neer:

! Plaats User Accounts in Global Groups (A – G)

! Ken Permissies toe aan Domain Local Groups (DL – P)

! Voeg Global Groups toe aan Domain Local Groups (G – DL)

Binnen je netwerk zijn er verschillende Global Groups die allen dezelfde accesspermissies nodig hebben op resources in een bepaald domein.

Als nu alle Global Groups die dezelfde permissies nodig hebben lid worden van de Domain Local Group die deze permissies heeft, ken men de juiste rechten toe aan alle leden van die Global Group. Als de eisen van de gebruikers m.b.t. hun permissies wijzigen, kan verandert men gewoon het lidmaatschap van de Global Group naar de juiste Domain Local Group.

Deze strategie vergt dus enige voorbereiding, maar het is duidelijk dat deze extra inspanning snel wordt terugverdiend indien men deze aanpak vergelijkt met het toekennen van rechten aan individuele gebruikers.

Hierbij volgt een voorbeeld over de organizational unit-structuur en het uitrollen van een A G DL P-structuur met een kleuterschool. Dit met het vooruitzicht op een verdere informatisering van zelfs de meest primaire takken van het onderwijs. Hierin kan opgemerkt worden dat er in het voorbeeld voor “juffen” is gekozen, en nooit voor “meesters.” Op dezelfde manier kan opgemerkt komen dat in heel de cursus de systeembeheerder altijd in de mannelijke vorm wordt aangesproken.

Dit is echter een gevolg van de droeve ingesteldheid binnen de hedendaagse maatschappij waarbij veruit de meeste jobs nog steeds zijn sterk sekse gericht zijn. De keuze voor juffen en mannelijke systeembeheerders zegt aldus niets over de verwachtte capaciteiten, maar

Overwegingen bij

Domain Local

Groups

Groepen ‘nesten’

Disclaimer


is veeleer een combinatie van een statistische waarheid en de leesbaarheid van deze tekst.

Zoals gemeld wordt er dus uitgegaan van een kleuterschool met drie klassen. In elke klas is er een juf aanwezig, die als gebruikersnaam er niet voor gekozen hebben hun eigen naam te nemen, maar hun titel gecombineerd met een numerieke aanduiding. Als extern medewerker hebben we nog de inspecteur die slechts komt kijken in onze lesinstelling maar niet actief deelneemt aan de bedrijfsprocessen.

Binnen deze kleuterschool bestaan er gedeelde mappen voor elke klas. Hierop hebben de kinderen en juffen uit de eigen klas lees- en schrijfrechten. De juffen hebben daarenboven leesrechten op alle klasmappen, om alzo de vakinhouden van hun collega’s te kunnen bestuderen. Ook de inspecteur mag lezen in al deze mappen.

Er is een gedeelde map “Algemeen” waarin documenten staan die de leerlingen moeten kunnen lezen. Alleen de juffen en de inspecteur mogen schrijven in deze map.

Als laatste is er de map Knippen. Hierin staan documenten voor het speciale klasje voor kinderen die problemen hebben met bepaalde fijnmotorische vaardigheden. Dit zijn de kinderen 1_1, 2_1, 3_1 en 3_2. In deze map mogen de juffen en de inspecteur niet lezen.

Wanneer we deze oefening willen oplossen is het nuttig eerst de gedeelde mappen op te lijsten. Het gaat om de volgende.

! Klas 1: kinderen en juf van klas 1 RW, juffen en inspecteur R



! Algemeen: Juffen en inspecteur RW, alle kinderen R

! Knippen: Bepaalde kinderen RW

Uit deze lijst is perfect af te lezen hoeveel Domain Local groepen er nodig zijn. Voor elk specifiek recht op een bepaalde map is er een nieuwe Domain Local group nodig. Dit zien we dan ook terug in de naamgeving. We onderscheiden de volgende Domain Local groepen.

! DL_klas1_RW, DL_klas1_R


Voorbeeld over A

G DL P

Fig. 5.5 OU structuur kleuterschool

Oplijsten van

gedeelde mappen

Nodigde Domain

Local groepen



! DL_Algemeen_RW, DL_Algemeen_R

! DL_Knippen_RW

Het is duidelijk dat elke Domain Local groep begint met de letters DL. Daarna volgt de naam van de bewuste share en daarna een indicatie van de rechten van de groep.

Hieruit kunnen we ook oplijsten welke verschillende Global groepen er naar boven komen. In een Global groep worden gebruikersaccounts verzameld. Alle gebruikers die samen een de nood hebben aan dezelfde soort bestanden komen in eenzelfde groep. Het is mogelijk om een gebruiker in meerder groepen tegelijkertijd te plaatsen.

Hier is het duidelijk dat elke klas zijn eigen groep nodig heeft, GG_klas1, GG_klas2 en GG_klas3. Daarnaast is er een specifieke groep nodig voor iedereen die beheersrechten heeft over de share Algemeen, en die leesrechten heeft in de mappen van alle klassen. In de groep GG_beheerders komen dus alle juffen en de inspecteur.

Opgemerkt kan worden dat hierdoor juf1 via haar lidmaatschap van GG_klas1 lees en schrijfrechten heeft op de map van klas 1, en via haar lidmaatschap van GG_beheerders alleen leesrechten. In zo’n geval krijgt de gebruiker de som van alle rechten van de individuele groepen.

Voor de speciale klas maken we de groep GG_motoriek. Hierin komen alleen de opgelijste kinderen te zitten. Wanneer een kind niet langer in de speciale klas moet zitten, kan het uit de groep GG_motoriek verwijderd worden, zonder dat hiermee de rechten op andere mappen zijn verwijderd.

Wanneer men dit overzicht in een tabel plaatst, en het lidmaatschap van een groep wordt voorgesteld door een pijl, dan kan men zeggen dat er alleen pijlen mogen getrokken worden van een kolom naar een ernaast liggende kolom. Er mogen geen verbindingen gemaakt worden binnen een kolom en er mogen ook geen kolommen overgeslagen worden.

Een gebruiker mag dus nooit lid zijn van een domain local groep, en een global groep mag nooit lid zijn van een andere global groep. Indien dit wel het geval is, gaat het overzicht over de situatie vooral in een ingewikkeldere bedrijfsstructuur snel zoek raken.

A G DL P

juf1 DL_klas1_RW

juf2 DL_klas1_R klas1

juf3

GG_beheerders

DL_klas2_RW

Inspecteur GG_klas1 DL_klas2_R klas2

kind1_1 GG_klas2 DL_klas3_RW

kind1_2 GG_klas3 DL_klas3_R klas3

kind2_1 DL_Algemeen_RW

kind2_2 DL_Algemeen_R Algemeen

kind3_1 DL_Knippen_RW Knippen

kind3_2

GG_Motoriek

Hierbij worden GG_klas1, GG_klas2 en GG_klas3 lid gemaakt van DL_Algemeen_R. Alle leerlingen die in een klas zitten zullen hierdoor automatisch de administratieve documenten kunnen lezen.

Het voordeel van deze structuur is dat wanneer bijvoorbeeld de printer uit het docentenlokaal gedeeld wordt, hiervoor alleen een DL-groep moet bij

Nodige Global

Groepen

Meervoudig

groepslid-

maatschap

Tabeloverzicht

Tab. 5.3 Groepenstructuur


aangemaakt worden. Door de groep GG_beheerders hiervan lid te maken zullen de juiste gebruikers bestanden kunnen afdrukken, zonder dat de beheerder zich zorgen hoeft te maken over individuele gebruikers.

5.8 Active Directory Permissies

Elke object in Active Directory heeft een ‘security descriptor’ die bepaalt wie welk type permissie heeft om het object te benaderen. Windows Server 2008 gebruikt deze ‘descriptors’ (discretionary access control list – DACL) om de access tot objecten te controleren.

Om administratieve overhead te beperken, kan men objecten met identieke security eisen in dezelfde OU samenbrengen. Vervolgens kan men permissies toekennen aan de volledige OU en aan alle objecten die hierin vervat zitten.

Men kan permissies gebruiken om een specifieke user of groep administratieve rechten te geven, voor een OU, een hiërarchie van OU’s of een individueel object. Een administrator of de objecteigenaar moet permissies toekennen aan een object alvorens users toegang kunnen krijgen tot dat object.

Om de permissies voor een active directory object te bekijken, moet je ‘Advanced Features’ activeren in het menu View van Active Directory Users and Computers. Op deze manier kan men de Security-tab zien in het Properties-dialoogvenster van een object.

Het type object bepaalt de permissies die geselecteerd kunnen worden. Zo is ‘reset password’ een permissie voor een user object, maar niet voor een printer object.

Wanneer een user lid is van verschillende groepen die elk verschillende permissies hebben op een bepaald object, zal die user als effectieve permissie de combinatie van permissies hebben die alle groepen hebben waarvan hij lid is. Permissies zijn wat dat betreft cumulatief.

Men kan permissies toestaan (allow) of weigeren (deny). Een geweigerde permissie heeft voorrang op alle permissies die anders zouden gelden voor een user account of groep. Als men een user de access tot een object weigert, zal die user die permissie niet hebben, ook al behoort hij tot een andere groep die de permissie wel zou hebben.

Microsoft raadt aan een permissie enkel te weigeren aan een specifieke user die een bepaalde groepspermissie niet mag hebben. Daarenboven is het aan te raden hiervoor een specifieke groep te maken en die user dan lid te maken van die groep.

Men kan standaard en speciale permissies op object toepassen. Standaard permissies zijn de meest gangbare permissies en zijn samengesteld uit een aantal meer gedetailleerde speciale permissies, die dienen om in sommige gevallen de permissies nog verder te verfijnen.

Onderstaande tabel geeft een overzicht van de meest gangbare standaard permissies die op de meeste objecten van toepassing zijn:

Discretionary

Acces Control List

Advanced

Features

Cumulatieve

permissies

Allow & Deny

Permissions


Object permissie Laten de gebruiker toe om … Full Control

Permissies te veranderen, eigenaarschap op te nemen en alle taken van de andere standaard permissies uit te voeren

Read

Objecten, hun attributen, de eigenaar en de Active Directory-permissies te bekijken

Write

De attributen van een object te veranderen

Create All Child Objects

Elk type child object aan een OU toe te voegen

Delete All Child Objects

Een child object van een OU te verwijderen

Het principe van overerving van permissies (permission inheritance) in Active Directory minimaliseert het aantal keer dat permissies voor objecten moeten worden toegekend.

Wanneer men permissies toekent, kan men kiezen om die permissies te laten gelden voor alle child-objecten die voor dat object zullen worden gecreëerd. Om aan te geven dat permissies overgeërfd zijn, worden de overgeërfde permissies geschaduwd weergegeven op het scherm.

Als men bv. Full Controll permissie toekent aan een groep voor een OU die printers bevat en deze permissie laat toepassen op alle child-objecten van die OU, dan zullen alle leden van de groep alle printers in de OU kunnen beheren.

Men kan ervoor zorgen dat een child-object bepaalde permissies niet overerft van een parent-object. Wanneer deze optie geactiveerd wordt, zullen enkel de permissies specifiek ingesteld voor dit child-object van kracht zijn.

Onder de tab Security in het Properties-dialoogvenster van een object kan men de optie Allow inheritabel permissions from parent to propagate to this

object aanvinken.

Wanneer men overerving deactiveert, laat Windows Server 2008 het volgende toe.

Tab. 5.4 Standaard permissies

Overerving van

permissies

Fig 5.3 Permissies op Child Objecten


! Voorgaande permissies te kopiëren om ze vervolgens te modifiëren voor het betreffende child-object.

! Alle voorgaande permissies te verwijderen.

! Om permissies toe te voegen of te wijzigen voor een object:

Elk object heeft een eigenaar (owner). Dit eigenaarschap kan echter wijzigen; daarvoor moet aan twee voorwaarden worden voldaan:

! De eigenaar moet een andere gebruiker Modify Owner permissie geven

! De andere gebruiker moet het eigenaarschap opnemen (Take Ownership). Dit kan via de Owner-tab van het Access Control Settings dialoogvenster

Een administrator kan altijd het eigenaarschap opnemen.

5.9 Administratieve controle delegeren

De structuur van Active Directory laat toe om een netwerk efficiënter te gaan managen door het delegeren van administratieve controle van objecten. Men kan de Delegation of Control Wizard gebruiken en een specifieke managementconsole maken om specifieke gebruikers toestemming te geven een heel aantal administratieve taken uit te voeren.

Een administrator kan de volgende types controle delegeren:

! Permissies om objecten in een specifieke OU te creëren of aan te passen.

! Permissies om specifieke permissies op attributen van een object (vb. paswoorden resetten op een user account) te wijzigen.

! Permissies traceren op niveau OU is veel makkelijker dan permissies verifiëren op niveau van een object of attributen van een object.

Om de Delegation of Control Wizard op te starten, klik rechts op de OU waarop men een administratieve delegatie wil toepassen en kies Delegate Control. Vervolgens start de Wizard op.

Binnen deze wizard kunnen de eigenschappen van de delegatie ingesteld worden.

Eerst moet aangegeven worden welke gebruikers of gebruikersgroepen de controle gaan krijgen.

Daarna is er een lijst met de mogelijke taken die gedelegeerd kunnen worden. Hierin kan ingesteld worden of de hiervoor geselecteerde gebruikers het object volledig mogen beheren, of slechts welomlijnde taken mogen volbrengen.

Active Directory laat in Windows Server 2008 toe om een manager aan een groep toe te wijzen. Op die manier kan men nagaan wie verantwoordelijk is voor een groep en aan de manager de bevoegdheid delegeren om nieuwe leden toe te voegen of bestaande leden uit de groep te verwijderen.

Omdat medewerkers in grote organisaties vaak van groep veranderen, wordt in sommige van die organisaties de administratieve verantwoordelijkheid hiervoor gelegd bij de mensen die de groep ‘aangevraagd’ hebben.

Eigenaarschap

overnemen

Delegation of

Control Wizard

Een manager aan

een groep

toewijzen


De manager van een groep kan ingesteld worden in de “Managed by” tab van het eigenschappenvenster van die groep. Zonder verdere instellingen heeft die persoon niet meer rechten over de groep dan eender welke ander gebruiker, het feit dat hij hier staat aangegeven is een zuiver informatief gegeven over de groep.

Wanneer echter het vinkje “Manager can update membership list” aanstaat kan de persoon actief de groep gaan beheren.


6 Group Policy Objects

6.1 Gecentraliseerd beheer

Group Policy is een Active Directory technologie die een administrator toelaat om desktop omgevingen centraal te beheren in een Windows Server 2008 netwerk. Group Policy instellingen kunnen doorheen een volledige organisatie of op specifieke groepen van gebruikers en computers worden toegepast.

Group Policy instellingen zijn vervat in zogenaamde GPO’s (Group Policy Objects). Met behulp van zo’n GPO kan een administrator een bepaalde eis voor een computer of user account een keer specifiëren en vervolgens continu afdwingen. Zo kan een administrator d.m.v. een Group Policy een startup-script uitvoeren op alle computers in een OU of alle gefaalde logon-pogingen loggen in een domein. Of men kan de gebruikersomgeving definiëren d.m.v. een Group Policy en er zo voor zorgen dat, ongeacht op welk toestel een gebruiker aanlogt, altijd dezelfde instellingen op de gebruikersomgeving van toepassing zijn. Ook kan er d.m.v. een Group Policy voor gezorgd worden dat ongewenste programma’s niet kunnen worden geïnstalleerd.

De manier waarop group policy objects ingesteld en beheerd worden is in Windows Server 2008 nogal veranderd ten opzichte van Windows Server 2003. Zo worden de instellingen niet langer gedaan in Active Directory Users and Computers, maar in een aparte interface, de group policy management console. Hierin zijn twee nieuwe tools aanwezig, de group policy modeling tool en de group policy results tool.

Wanneer een bepaald group policy object wordt aangepast komt men terecht in de group policy object editor.

Group Policy instellingen voor users kunnen specifiek gedrag van het besturingssyteem inhouden, of bureaublad instellingen, security instellingen, applicatie instellingen, logon- en logoff scripts bevatten. User-gerelateerde Group Policy instellingen worden toegepast wanneer gebruikers aanmelden of afmelden aan een domein en gedurende een periodieke refresh-cyclus.

Group Policy instellingen voor computers kunnen ook gedragd van het besturingssyteem inhouden, bureaublad instellingen, applicatie instellingen en security instellingen bevatten. Daarnaast kunnen ze startup en shutdown scripts bevatten.

6.2 Group Policy Management Console

Om Group Policies in te stellen, gebruik je de Group Policy Management. Deze is terug te vinden in de features van de server manager.

Group Policy

Object

Verandering tov

Windows Server

2003

Group Policy

instellingen voor

users

Group Policy

instellingen voor

computers


Bij selecteren van een object komt in het middenveld een lijst van alle GPO’s die verbonden zijn aan dat object. In deze figuur is aan het domein allee de Default Domain Policy toegekend.

Deze GPO’s kan men verder bestuderen door erop te dubbelklikken. Men komt dan in een nieuw scherm dat in een rapport aangeeft welke instellingen allemaal zijn ingesteld in de bewuste GPO.

Om een GPO te editeren klikt men er rechts op en kiest “Edit”. Hierna komt men in het volgende scherm, waar alle mogelijke instellingen bekeken en aangepast kunnen worden.

Fig. 6.1 Group Policy Managment console

Fig. 6.2 Rapport over GPO


Alle GPO’s worden in Windows Server 2008 opgeslagen in een Active Directory container genoemd: Group Policy Objects. Wanneer een GPO wordt gebruikt door een site, een domein of een OU, dan wordt een link gecreëerd naar de GPO in de Group Policy container. Op die manier kan men GPO’s centraal beheren en uitrollen over verschillende domeinen en OU’s.

Als men iemand de bevoegdheid wil geven via delegatie om GPO’s te linken, dan moet je die persoon ‘Modify’ permissie geven voor de betroffen site, het domein of de OU. Standaard hebben enkel Domain Admins en Enterprise Admins de bevoegdheid om GPO’s te linken aan domeinen en OU’s. Enterprise Admins zijn de enigen die GPO’s aan sites kunnen linken.

GPO’s moeten niet noodzakelijk gelinkt worden. In grote organisatie worden GPO’s vaak aangemaakt in de GPO container door specifieke IT-medewerkers en door anderen gelinkt aan de juiste Active Directory objecten (site, domein of OU).

6.3 Basisregels voor Group Policy

De mogelijkheid om een GPO toe te passen op een container in je netwerkstructuur en om die GPO te laten overerven doorheen de hiërarchie is een belangrijke manier om het administratieve beheer van een netwerk door Active Directory te laten vereenvoudigen. Om de implementatie van GPO’s succesvol door te voeren, is een begrip van de overervingsregels en de volgorde waarin GPO’s worden uitgevoerd van groot belang.

Wanneer men een GPO creëert, dan associeert men die met een bepaald Active Directory Object (een site, een domein of een OU). De instellingen van die GPO hebben uitwerking op alle objecten in die container en in de child containers. Men kan op verschillende Active Directory containers dezelfde GPO toepassen, maar men kan ook verschillende GPO’s op eenzelfde container toepassen.

Windows Server 2008 evalueert GPO’s eerst bij de Active Directory container die het verst van de computer of gebruiker verwijderd is. Dit is de site waar een computer of user bij horen. Vervolgens zal Windows Server

Fig. 6.3 GPO Edit tool

Een “GPO link”

GPO permissies

GPO “order of

inheritance”


2008 de GPO’s afhandelen die betrekking hebben op het domein waarin de computer of user zich bevinden om tot slot alle GPO’s in het OU-pad naar de user of computer af te handelen.

Een GPO die gelinkt is aan een site wordt overgeërfd door alle accounts in elk domein in die site. De GPO wordt echter alleen bewaard in één domein. Elke account in de site moet daarom de domain controller in dat domein contacteren die de GPO bevat. Dit verhoogt de netwerktrafiek gevoelig en is dus een belangrijk aandachtspunt bij het creëren van een GPO voor een site.

Complexe Group Policy constructies kunnen aanleiding geven tot conflicten en kunnen aanpassingen vereisen aan het standaard overervingsgedrag. De basisregels m.b.t. overerving vloeien voort uit bovenstaande theorie en zijn eenvoudig. Er zijn in principe drie mogelijkheden:

! Wanneer een Group Policy instelling is geconfigureerd voor een parent-OU en niet voor een child-OU, dan zal de child-OU de instelling overerven van de parent-OU.

! Is een bepaalde instelling voor beide (parent en child) OU’s geconfigureerd en zijn de beide instellingen compatibel, dan worden ze beide toegepast.

! Zijn de Group Policy settings incompatibel, dan zullen de child settings worden toegepast.

Het zou echter kunnen dat deze standaard regels niet tegemoet komen aan de noden van de organisatie. Windows Server 2008 voorziet twee opties om het default overervingsgebeuren te wijzigen voor Group Policies:

Enforced. Deze optie kan gebruikt worden om te vermijden dat child containers een GPO kunnen opzij zetten die op een hoger niveau werd geïmplementeerd. De Enforced optie, die vroeger No override heette, is erg nuttig om bv. company-wide GPO’s op te leggen. Wanneer meerdere No

overrides mekaar opvolgen, dan zal de hoogste in de Active Directory structuur voorrang krijgen (net het omgekeerde dus van de standaard procedure).

Fig 6.1 GPO Order of Inheritance

No override /

Block inheritance

" Configure Start menu

" Set wallpaper

" Enforce secure logon " Change DACLS on Registry

Keys

" Configure Start menu

" Specify logon script

" Specify logon script

Site

OU11U1

Domain

OU2

22

33

11


Block inheritance. Met deze optie kan men een child container opleggen alle overgeërfde Group Policies te blokkeren. Deze optie is nuttig wanneer een bepaalde container heel specifieke Group Policy instellingen vereist.

In geval van een conflict zal de No override optie altijd voorrang krijgen op Block inheritance.

De uitvoering van een Group Policy gebeurt standaard in een specifieke volgorde.

1. De computer start op

2. De Group Policy instellingen onder Computer Configuration worden sequentieel uitgevoerd; te beginnen met de container die zich het ‘verst’ van de account bevindt.

3. Startup scripts worden sequentieel uitgevoerd. Dit betekent dat elk script uitgevoerd of afgebroken moet zijn vooraleer een volgende script kan starten.

4. Alle GPO’s die betrekking hebben op de computer account worden uitgevoerd alvorens het logon-scherm aan de gebruiker wordt getoond.

5. De user logt aan

6. De Group Policy instellingen onder User Configuration worden sequentieel uitgevoerd, zoals onder 1a voor de computer.

7. Logon stripts toegepast via Group Policy worden uitgevoerd en tegelijk wordt de Windows Server 2003 user interface geladen.

8. Scripts geassocieerd met een user account worden als laatste uitgevoerd.

Windows Server 2003 ververst periodiek alle Group Policy instellingen over heel het netwerk. Dit gebeurt default bij alle clients om de 90 minuten. Voor Domain Controllers is de default periode 5 minuten.

Let wel op: het uitvoeren van software-installatie d.m.v. Group Policies gebeurt enkel bij het opstarten, niet op basis van een bepaald tijdsinterval.

6.4 Group Policies implementeren

Om een Group Policy uitwerking te laten hebben, moet men eerst een GPO creëren of een bestaande GPO linken aan een Active Directory container.

GPUPDATE is een commando waarmee de lokale Group Policy settings en de Active Directory Group Policies kunnen worden gerefreshed. By default worden policy (security) settings om de 90 minuten op een client of member server gerefreshed en elke 5 minuten op een Domain Controller. Men kan GPUPDATE uitvoeren om een Group Policy instelling te updaten of om een Group Policy setting te forceren.

Een nieuwe GPO aanmaken kan op twee manieren. De meest logische manier is door rechts te klikken op de map “Group Policy Objects” en daarna “New” te kiezen. Hierdoor wordt een GPO gemaakt die aan geen enkel Active Directory Object gelinkt is.

Een tweede manier is door rechts te klikken op een bepaald object en dan te kiezen voor “Create a GPO in this domain and link it here.” Hierdoor wordt

Sequentiële

uitvoering van een

GPO

Group Policy

instellingen

refreshen

GPUpdate

GPO aanmaken of

linken aan een

container


de nieuw gemaakte GPO direct gelinkt aan de juiste site, domain of organizational unit.

Eenmaal een GPO aangemaakt, kijkt men best na of de juiste permissies ingesteld zijn. De Group Policy instellingen in een GPO hebben alleen betrekking op die computers en users die Apply Group Policy en Read permissie hebben voor die GPO.

In Windows Server 2008 wordt hier standaard de groep “Authenticated Users” toegevoegd. Deze omvat alle gebruikers die zichzelf kunnen aanmelden voor het domein.

Permissies voor GPO’s werken op dezelfde manier als permissies voor files en mappen. Wees dus voorzichtig als met het instellen van Deny-permissies, omdat Deny voorrang heeft op alle Allow-permissies.

Naast het controleren van GPO-permissies kan men Group Policies ook managen door de volgorde waarin ze worden uitgevoerd aan te passen. Het zou namelijk kunnen dat voor eenzelfde container meerder GPO’s met conflicterende instellingen uitwerking hebben.

De lijst van GPO’s voor een container wordt in omgekeerde volgorde uitgevoerd. Het resultaat hiervan is dat een instelling in een GPO die bovenaan de lijst staat een conflicterende instelling van een lagere GPO zal overschrijven. Men kan de volgorde van de lijst eenvoudig veranderen door de Up en Down pijltjes te gebruiken op de Group Policy tab.

Men kan een GPO ook op drie manieren disabelen.

! In zijn geheel

! Voor wat betreft de user settings

! Voor wat betreft de computer settings.

Om dit te doen, klikt men rechts op een GPO en kiest men voor “GPO Status.” Hier staat een lijst met de mogelijkheden waarin de juiste kan aangevinkt worden.

Een GPO verwijderen doe je met behulp van Delete. Vervolgens krijgt men de mogelijkheid om de GPO effectief te verwijderen van de container of om de GPO te ‘unlinken’.

Verwijderen betekent hier dat je de GPO uit Active Directory verwijdert. Men kijkt dus best eerst na of er voor een te verwijderen GPO nog links zijn naar andere containers. Dit kan in de “Scope” tab van de eigenschappen van de GPO.

GPO permissies

Volgorde

uitvoering GPO’s

aanpassen

GPO ‘disabelen’

GPO verwijderen

of ‘unlinken’

Fig. 6.4 GPO scope ttab


Na het aanmaken van een GPO moeten er bepaalde instellingen in gemaakt worden. Het is belangrijk te beseffen dat alleen de instellingen waarvoor een bepaalde waarde is aangegeven zullen worden doorgevoerd. De andere waarden worden genegeerd. Eventueel kunnen ze door een andere GPO ingesteld worden.

Group Policy instellingen die de desktopomgeving voor alle users customiseren of security policies op een netwerkcomputer toepassen, bevinden zich onder Computer Configuration.

Group Policy instellingen die de desktopomgeving voor een specifieke user of bepaalde lockdown policies voor een user afdwingen bevinden zich in User Configuration.

In Windows Server 2008 kan men door middel van Group Policies scripts toekennen aan gebruikers en computers. Voor users kan men scripts specifiëren die uitgevoerd worden tijdens het aanloggen, maar ook tijdens het afloggen. Voor computers kan men scripts instellen die uitgevoerd worden tijdens het opstarten of tijdens het afsluiten van de PC.

De volgorde waarin scripts worden uitgevoerd kan men zoals reeds aangehaald bepalen bij door middel van de ‘up’ en ‘down’ knoppen op het Properties-venster voor de Group Policy instellingen van een OU.

Wanneer een computer wordt afgesloten voert Windows Server 2008 eerst de logoff scripts en daarna de shutdown scripts uit.

Standaard is de time-out waarde voor de uitvoering van scripts 10 minuten. Als een script meer dan 10 minuten vergt om uitgevoerd te worden, dan moet de ‘wait time’ aangepast worden. Dit kan onder de optie “Maximum wait time for Group Policy scripts” die te vinden is onder Computer Configuration, Administrative Templates, System, Logon.

6.5 Instellingen en resultaat van GPO

GPO’s zijn voor het eerst beschikbaar geworden in Windows Server 2000. Al heel gauw was de administratieve kracht van Group Policies duidelijk. Het is een erg krachtig middel om op grote schaal het beheer van software, security en user settings te vergemakkelijken.

Alleen bleken de orginele snap-ins niet geschikt om een overzicht te behouden of om aan troubleshooting te doen. De oorspronkelijke snapin liet het niet toe een overzicht van de aangemaakte GPO’s te maken of te zien welke instellingen het gevolg waren van een bepaalde GPO.

In Windows Server 2003 is er daarvoor een update gekomen die men kon downloaden van het internet. Deze update is nu standaard geïmplementeerd in Windows Server 2008.

In wat volgt bespreken we nog de voordelen van deze nieuwe Group Policy interface en de troubleshooting mogelijkheden die hierdoor geboden worden. We gaan ook kort in op Windows Management Instrumentation (WMI) en WMI queries. WMI queries laten ons toe om het gebruik van policies nog verder te verfijnen.

Samen met de betere interface en overzichtsmogelijkheden, zijn ook de volgende opties geïmplementeerd:

! Backup/restore van Group Policy objects (GPOs).

Editeren van een

GPO

Scripts in Group

Policies


! Import/export en copy/paste van GPOs en Windows Management Instrumentation (WMI) filters.

! HTML rapporteren van GPO settings en Resultant Set of Policy (RSoP) data.

! Scripting van GPO operaties (scripting van settings binnenin een GPO is echter niet mogelijk).

Onder de domeinnaam is de “Group Policy Objects” folder te vinden. Hierin vindt men alle GPO’s die in de netlogon share aanwezig zijn. Via deze folder kan een volledige backup/restore gedaan worden van GPO’s. Dit kan heel handig zijn wanneer:

! GPO’s corrupt geraakt zijn en onder corrupte vorm gecopiëerd zijn naar andere domain controllers.

! Men te streng was met het wegnemen van permissies op GPO’s. Administrators kunnen door hun eigen onoplettenheid zichzelf toegang ontzeggen tot GPO’s

! Twee administrators op hetzelfde moment dezelfde GPO editeren op een andere domain controller. Indien dit gebeurt zullen de settings niet correct versmolten worden tijdens het replicatie proces.

In de ondergaande voorbeeld ziet men dat de OU:”salesUsers” geselecteerd is. Op die OU is er een policy actief : GPO:RestrictCommandprompt. Als deze policy geselecteerd is, dan kunnen we via de “settings” tab zien welke opties er binnen die policy file geactiveerd zijn. Op die manier moeten we niet een hele policy file doorlopen om de actieve settings te vinden.

Voorbeeld van “block inheritance” weergave: ( het blauwe uitroepingsteken geeft aan op welke OU block inheritance geselecteerd is.)

Fig. 6.5 GPO Settings venster


Voorbeeld van een “enforced” policy:

Een GPO is uiteindelijk een file die zich in de netlogon share bevindt. Op deze file bevinden zich ook NTFS permissies. Enerzijds zijn die bestemd om te bepalen wie GPO’s mag editeren, maar anderzijds kan men die ook hanteren om te bepalen wie wel of niet een GPO setting mag overnemen.

Een en ander wordt duidelijk aan de hand van een kort voorbeeld. Stel dat er in een OU, 20 gebruikers opgenomen zijn. Al deze users zullen beïnvloed worden door de policy die op die OU geplaatst wordt. Als de helft van de gebruikers echter niet getroffen mag worden door die policy file, dan zouden er eigenlijk twee extra OU’s gemaakt moeten worden. Via 2 sub-OU’s zouden de 20 users tussen de 2 OU’s verdeeld moeten worden. In veel gevallen zal het echter niet altijd wenselijk zijn dat er altijd maar meer OU-vertakkingen gemaakt worden.

Fig. 6.6 Block Inheritance

Fig. 6.7 Enforced


Er kan ook geen gebruik maken van groepen omdat men via groep lidmaatschap en de aanwezigheid van een groep in een OU, geen GPO settings kan instellen.

Daarom wordt de OU structuur gehouden zoals deze daarnet beschreven werd. Er blijft één OU met 20 users en één enkele GPO. Op de eigenschappen van de GPO gaan echter wel de NTFS permissies aangepast worden. Zo kan 10 users het recht ontnomen worden om een GPO te lezen en uit te voeren. Dit hoeft niet via individuele user accounts te gebeuren maar kan ook via groepen gebeuren. Op die manier kan men toch gebruik maken van bestaande groepsindelingen om de GPO’s nog verder te verfijnen.

In de onderstaande afbeelding is duidelijk dat men via “security filtering” en de “delegation” tab NTFS permissies kan manipuleren.

6.6 WMI filters

Dankzij OU’s, NTFS en groepen kan men al op een erg flexibele manier met GPO’s omspringen. En toch zijn er situaties die nog een hogere graad van flexibiliteit vereisen.

Stel een organizational unit waarin op alle computers een zekere hotfix geïnstalleerd moet worden. Doch moet ervoor gezorgd worden dat deze hotfix alleen wordt uitgevoerd wanneer een computer genoeg ruimte vrij heeft op de harde schijf. Op dat moment moet er een GPO gemaakt worden voor een zeer specifiek deel van de OU.

De computer accounts zouden ook verschillende besturingssytemen willen draaien. Wat als de software enkel op VISTA systemen moet geïnstalleerd worden. Men kan toch niet één per één computer accounts verslepen van OU naar OU naarmate de upgrades van XP naar VISTA bezig zijn?

In elk van deze voorbeelden komt het er op neer dat een user of een computer account in aanmerking komt voor een GPO. Maar daarom moet die user of dat computer account niet noodzakelijk aan alle voorwaarden voldoen om op een succesvolle manier de policy te implementeren.

Fig. 6.8 Security Filtering


Er moeten dus bijkomende voorwaarden gekoppeld worden vooraleer de GPO mag uitgevoerd worden. WMI-filters laten exact dit toe.

WMI of Windows Managment Instrumentation is ontstaan vanuit de development wereld. Men was op zoek naar een manier om diepgaande veranderingen via scripting uit te voeren. Bovendien moest de mogelijkheid bestaan om dit remote en veilig te doen. De oplossingen die tot dan toe voorhanden waren , waren op alle vlakken ontoereikend.

WSH (windows scripting host) liet toe om een file systeem en andere object modellen te manipuleren, maar liet niet toe om een heel systeem open te leggen. Het had dus veel minder mogelijkheden dan WMI

Bovendien was WSH niet geschikt om remote scripting mogelijk te maken. Het moest altijd met administrator privileges uitgevoerd worden, of omgekeerd, kon niet op een “authenticated method” uitgevoerd worden.

WMI laat zich makkelijk vergelijken met andere programmeer- of scriptingtalen. Het is een object model dat ons toelaat om via VB of Vbscript systemen te manipuleren.

Stel dat men een computer met besturingssysteem en hardware stuk voor stuk uiteenhaalt. Voor ieder onderdeel beschrijft men de eigenschappen, de functie en de mogelijkheden in een hiërarchische structuur. WMI is dan deze genoteerde structuur.

Het is een zo goed als volledige omschrijving van een systeem. We kunnen via WMI queries peilen naar de eigenschappen van het systeem en we kunnen ook “methods” naar WMI afvuren.

Zoals al duidelijk mag zijn geeft WMI een overvloed aan informatie. Het is niet altijd even simpel om daaruit de juiste informatie op te vragen om te gebruiken bij uit toepassen van GPO’s. Hierdoor is de grote kracht van WMI, de enorme hoeveelheid aan gegevens die het kan bieden, ook direct het grootste obstakel ervan.

De tool die men gebruikt om WMI-code in op te vragen, de WMI code creator, zit niet standaard in Windows Server 2008. Het moet apart gedownload worden van de Microsoft website. Deze tool kan tevens gebruikt worden op host-systemen zoals Windows Vista.

De WMI code creator laat toe om deze uitgebreide beschrijving te doorlopen. In onderstaand voorbeeld wordt duidelijk dat de root/CIMV2 tak van WMI geraadpleegd wordt. (Iedere vendor van hardware of software is vrij om zelf eigen vertakkingen toe te voegen naar de CIMV2 tak).

In die hiërarchie werd het Win32_OperatingSystem gekozen. Links onderaan komt een lijst van properties die opgevraagd kunnen worden. Het “buildnumber” van het besturingssysteem is daar eentje van. Aan de rechterkant wordt een Vbscript gegenereerd, dat demonstreert hoe deze WMI property te raadplegen is. Via GetObject kan men de WMI vertakking aanspreken en vervolgens met een SELECT statement een vraag stellen aan de systeemgegevens.

In dit voorbeeld is het “buildnumber” van het systeem waar de tool op draait 6000.

Windows

Management

Instrumentation

Windows Scripting

Host

WMI code creator

Structuur van de

informatie


Het zijn vooral deze SELECT statements die voor GPO ’s van belang zijn. Het is eveneens mogelijk, zij het iets minder gebruiksvriendelijk, om WMI te raadplegen vanuit een command prompt.

In dit voorbeeld wordt een lijst van processen die op het toestel draaien geraadpleegd. Onder de vorm van een SELECT statement gaat men op zoek naar alle processen met de naam ‘notepad.exe’. Vervolgens roept men de WMI – method ‘terminate” aan. Deze method zal dat proces beëindigen.

Als men in de Group Policy Managment Console een policy file selecteerd, kunnen bijkomende WMI filters aan de GPO gekoppeld worden. Als de filter een “true” antwoord teruggeeft wordt er overgegaan tot de uitvoering van de policy.

In dit voorbeeld toont hoe er een WMI filter gecreëerd is die controleert wat het “buildnumber” van het besturingssysteem is. Dit is een makkelijke manier om binnen één OU te filteren tussen toestellen die met verschillende besturingssystemen werken.

Fig. 6.9 Build number bij WMI Code creator

Fig. 6.10 WMI aan command prompt

Select statements


6.7 Granular password policies

Wanneer men via een GPO een password policie wil implemeteren, moet dit via een computer setting. Dat wil zeggen dat die instelling alleen effect zal hebben op de mogelijkheden van de lokale beheerder om paswoorden toe te kennen aan lokale gebruikers in de eigen SAM. Hiermee was het dus niet mogelijk om een paswoordpolicy voor het bedrijf te maken.

Een andere mogelijkheid was een GPO met andere dan de standaard instellingen aan te maken en deze aan de hoofdnode van het domein te koppelen. Dit is effectief naast de Default Domain Policy die de oorspronkelijke password policy implementeerd.

Het beginsel om deze situatie recht te zetten is gemaakt in Windows Server 2008. Het is nu mogelijk om paswoorden toe te kennen aan gebruikers of, zoals een overzichtelijke implementatie zou vereisen, aan groepen van gebruikers. Wanneer een implementatie van A G DL P gemaakt is zoals beschreven in het vorige hoofdstuk zou men de paswoordpolicies, of PSO’s, toekennen aan global groups.

Het probleem is echter dat er tot op heden nog geen overzichtelijke interface voor gemaakt is. Paswoordpolicies moeten aangemaakt worden in de ADSI Editor-snapin voor MMC, waarbij gebruik kan gemaakt worden van een wizard waarbij voor elke parameter een waarde als tekst moet ingegeven worden. Bijkomend nadeel is dat tijdseenheden, zoals bijvoorbeeld de minimale en maximale leeftijd van een paswoord, niet gewoon als “Aantal dagen” moeten ingegeven worden, maar in een berekening volgens volgend model.

Time unit Multiplication factor

m minutes -60*(10^7) = - 600000000

h hours -60*60* (10^7) = -36000000000

d days -24*60*60*(10^7) = -864000000000

Fig. 6.11 WMI filter op build number

Windows Server

2003

Windows Server

2008

Tab. 6.1 Tijdsvermenigvul-digingsfactoren PSO


Alhoewel duidelijk is dat hiermee de tijd nauwkeurig kan ingesteld worden, kan men eveneens opmerken dat het hier bezwaarlijk om een gebruiksvriendelijke interface gaat.

Het linken van een zo aangemaakte PSO is een al even onaangename gebeurtenis waarvoor de gemiddelde systeembeheerd zich best kan laten leiden door een how-to, beschreven op het internet.

Een oplossing hierin is te vinden in 3rd party tools en scripts. Deze bieden een gebruiksvriendelijke interface bovenop de mogelijkheden die Windows Server 2008 biedt. Het kan echter slechts een kwestie van tijd zijn vooraleer Microsoft zelf zo’n snap-in aanmaakt.

6.8 Group Policy Modeling versus Group

Policy Results

Met alle mogelijkheden die voorhanden zijn, is het nodig dat men over goede trouble shooting tools beschikt. Als een systeem een hele resem GPO’s te verwerken krijgt tijdens boot en logon, wordt het erg onoverzichtelijk om tools zoals GPRESULT.EXE te hanteren om na te kijken van welke GPO voor een bepaalde instelling zorgde..

Daarom zijn er in Windows Server 2008 twee nieuwe analyse tools aangemaakt.

! Group policy modeling

! Group policy results

Group Policy Modeling laat toe om te simuleren wat het effect van een reeks policies op een systeem en een user zal zijn. Via een wizard geeft men in over welk toestel, welke user en welke site het gaat. De tool tracht vervolgens een zo volledig mogelijk beeld te geven van het eindresultaat van alle policies. Deze tool is dan ook uitermate geschikt om GPO’s te testen vooraleer ze in productie gebracht worden.

Vaker echter zal het voorvallen dat gebruikers de systeembeheerder contacteren om te klagen over een bepaalde instelling. Het is dan nodig dat de systeembeheerder snel kan terugvinden over welke instelling het gaat om deze alzo aan te passen, of uit te leggen aan de gebruiker waarom ze niet aangepast kan worden.

Vroeger moesten die soort problemen vaak ter plaatse opgelost worden waar de problemen zich voordeden. Group policy results moet hier een oplossing voor bieden.

Wanneer een cliënt beschikbaar is op het netwerk, kan de group policy results wizard vanop de domain controller of een andere machine in het netwerken de effectieve toestand van het toestel raadplegen. Dit is sterk te vergelijken met hetgeen ook lokaal zou kunnen gebeuren met het commande “GPRESULT.exe”.

De onderstaande figuur demonstreert hoe een policy op een systeem invloed had. Men merkt dat een policy geblokkeerd werd. De reden hiervoor is “block inheritance”. Zowel NTFS permissies, die inwerken op GPO’s, als “block inheritance” of “no override” kunnen op die manier opgespoord worden.

3rd party tools

Group Policy

Results wizard


6.9 Software deployment en restricties

Via Group Policies kan ook de installatie, het upgraden en het verwijderen van applicaties geautomatiseerd worden. Er zijn twee verschillende mogelijkheden.

Via de “computer configuration” van een policy kan men software langsheen het netwerk laten installeren. De installatie gebeurt dan tijdens het bootproces van de computers in de organizational unit waarop de GPO wordt toegepast..

Via de “user configuration” van een policy kan men software automatisch laten installeren. Hiervoor zijn de opties “assign” en “publish” beschikbaar.

De optie “assign” zorgt ervoor dat de software beschikbaar is in het start menu. Op die manier wordt het login process geen langdradig wachten op het einde van een installatie. “Assign” zorgt voor een “on demand” installatie. Men kan heel veel software via “assign” beschikbaar maken. Alleen wanneer een user besluit om software te gebruiken, zal de software effectief geïnstalleerd worden. Wanneer een gebruiker een document opent waarvoor de software nog niet geïnstalleerd is, maar wel “assigned” is, dan zal deze ook automatisch geïnstalleerd worden. Dit proces heet “document invocation”.

Een minder zichtbare manier van software beschikbaar stellen is via de optie “publish”. Deze optie zal in control panel / add-remove programs een link naar de software leggen. Het is de user die zelf het initiatief neemt om software te installeren of te verwijderen. De GPO’s zorgen er alleen voor dat alle beschikbare software ‘ge-published’ is in één centraal punt (zijnde add-remove programs).

Er zijn enkele duidelijke voorwaarden te stellen aan software die op deze manier in het netwerk gebracht wordt.

De software pakketten die we wensen te installeren moeten in .MSI formaat beschikbaar zijn en zullen door de Windows Installer Service geïnstalleerd

Fig. 6.12 De GPResults wizard

Computer

configuration

User configuration

MSI-formaat


worden. Dit zorgt er ook voor dat doorsnee-installaties zonder administrator privileges geïnstalleerd kunnen worden.

Setup. Exe files of andere .exe files kunnen via deze manier niet verspreid worden. Third party tools die setup.exe pakketten omzetten naar .msi files kunnen hier een oplossing voor zijn.

Software deployment geeft ons niet de mogelijkheid om te rapporteren hoeveel installaties er gebeurd zijn en of er al dan niet problemen waren tijdens de installatie.

De software die we verspreiden moet op een netwerk-share beschikbaar zijn en de instellingen van de installatieprocedure kunnen gepersonaliseerd worden via een .mst file.

Heel belangrijk is dat er een netwerkpad (en geen locaal pad) ingegeven wordt wanneer een MSI pakket wordt ingesteld bij een GPO, tenzij de applicatie op dat lokale pad beschikbaar zal zijn op de cliënt computer. Dat is zeer zelden het geval.

Veel bedrijven zullen echter opteren om Third Party tools te gebruiken voor het automatisch installeren van software. GPO’s bieden een ideale oplossing voor standaard software in middelgrote ondernemingen.

Bedrijven zullen echter meer geïnteresseerd zijn in “software restrictions” in plaats van “software deployment”. Eens software her en der verspreid is over het netwerk, willen we beslissen wie welke software pakketten mag gebruiken.

Software restrictions laten toe om te bepalen wie software wel of niet mag gebruiken. Hiervoor moeten geen NTFS veranderingen aangebracht worden, en maken we gebruik van volgende rules:

! Hash rule: via een digitale hash of thumbprint van een file kunnen we achterhalen wat de identiteit van de file is en kunnen we verifiëren of de file niet aangepast is.

! Certificate rule: software kan een digitale signature dragen die afkomstig is van een certificaat

! Path rule: via een lokaal pad of een (UNC) pad geven we aan welke files er wel of niet uitgevoerd mogen worden.

! Zone rule: via de zone settings van Internet Explorer kunnen we beslissen welke add-ons, active X controls e.d. wel of niet toegelaten zijn.

Via de "security settings” van de computer of user settings kan men “software restriction rules” toevoegen.

Rapportage en

beschikbaarheid

Software

Restrictions


De “software restriction policies” map is in principe leeg. Via “create new policies” kan er set van 4 soorten rules gemaakt worden. De default is hierbij dat alle software toegelaten is zolang het niet expliciet verboden is door NTFS settings of rules.

Fig. 6.13 User software restriction

Fig. 6.14 Computer software restriction


7 Netwerkshares

Een File Server biedt een opslagplaats voor bestanden die voor gebruikers van het netwerk toegankelijk moeten zijn. Ze zorgen ervoor dat alle bestanden ten allen tijde voor alle gebruikers toegankelijk zijn, ook als dit gaat om meederdere gebruikers voor hetzelfde bestand. Daarnaast is het voor de systeembeheerder ook veel haalbaarder om altijd een backup van de gegevens van één fileserver te voorzien dan om alle computers in het netwerk ten allen tijde gebackupped te hebben.

Een File Server kan worden geconfigureerd op een member server of een Domain Controller. Op een groter netwerk worden vaak specifieke bestandsservers ingezet die een grote betrouwbaarheid en beschikbaarheid voor de gebruikers kunnen garanderen. Men kan ook naar gespecialiseerde oplossingen gaan zoals een NAS5 of een SAN6.

Een Server wordt automatisch een File Server op het moment dat er een map op gedeeld wordt. Vanaf dan is de rol ook beschikbaar in de server manager, en kunnen alle share van daaruit beheerd worden.

7.1 File Shares creëren

Om een File Share te creëren, kan de Provision a shared Folder Wizard gebruikt worden. Een share is een station of een map die voor verschillende gebruikers toegankelijk is.

De Share a Folder Wizard vraagt achtereenvolgens welk pad de nieuwe share heeft. Daarna wordt er gevraagd of de NTFS-permissies mogen blijven staan, of dat deze aangepast moeten worden. Vervolgens wordt de share naam gevraagd. Het is aan te raden deze altijd hetzelfde te nemen als de naam van de map, een gestructureerde naamgeving is het begin van scripting. Wanneer de Network File System-rol geïnstalleerd is, kan deze ook direct gebruikt worden om de map te delen.

Er wordt ook de mogelijkheid geboden een beschrijving voor de gedeelde map op te nemen en Share-rechten in te stellen. Er zijn een aantal standaard opties aanwezig, maar de optie “Everyone Full Control” niet. Nochtans is deze essentiëel voor een doorgedreven beveiligingsbeleid in Windows Server 2008. Dit wordt verduidelijkt in het laatste deel van dit hoofdstuk, Share- en NTFS-permissies.

Tenslotte kunnen ook Quota en file screens hier ingesteld worden. Een file screen zorgt ervoor dat alleen bestanden van een bepaald type opgeslagen mogen worden.

Een andere manier om een map te delen, is door naar de eigenschappen van het bestand te gaan in verkenner. Bij het tabblad “Sharing” kan men de map beginnen delen, bij het tabblad “Security” kunnen de NTFS-permissies aangepast worden.

Wanneer een map op deze manier gedeeld wordt is het niet mogelijk om Quota of file screens te leggen. Ook NFS kan niet zonder meer

5 NAS: Network Attached Storage 6 SAN: Storage Area Network

De Provision a

shared Folder

Wizard

Delen in verkenner


geïmplementeerd worden. Al deze instellingen kunnen echter later via de respectieve beheersconsoles ingesteld worden.

In de server manager is er een module voorzien die de systeembeheerder een overzicht van de gedeelde mappen kan geven. Van hieruit kan ook de Provision a shared Folder Wizard gestart worden, en kunnen de eigenschappen van alle gedeelde mappen bekeken en aangepast worden.

Een ander relevant onderdeel van de server manager is “Disk Managment” bij “Storage”. Hierin worden alle harde schijven van het systeem weergegeven. Dit komt later meer uitgebreid aan bod bij het beheer van schijven.

Systeembeheerders kunnen ‘verborgen shares’ of beheershares creëren die externe gebruikers in Windows Explorer of via My Computer niet kunnen zien. Een verborgen share kan men maken door een $-teken achter de sharenaam te plaatsen.

Standaard zijn zo alle harde schijven van een systeem gedeeld. Afhankelijk van de rollen die een server vervult zullen er nog een aantal andere

Beheren van

shares

Fig. 7.1 Share beheersconsole

Fig. 7.2 Schijfbeheer

Verborgen shares

Systeemshares


gedeelde mappen aangemaakt worden. Deze shares kunnen niet verwijderd worden.

! ADMIN$ - Deze verborgen share wordt gebruikt tijdens het externe beheer van een computer. De share dient als pad naar de systemroot.

! NETLOGON – Deze share is geïnstalleerd op alle domein controllers en helpt bij het aanmelden van gebruikers.

! SYSVOL – Share die dient als domein controller resource en ook van belang is voor de functionaliteit van clients.

! PRINT$ - Deze share wordt gebruikt wanneer men extern een netwerkprinter beheert.

7.2 Disk quota

Alhoewel in veel bedrijven het gebruik van quota niet te vermijden is, moet er bij implementatie nagedacht worden over de manier waarop gebruikers hiermee omgaan. Een gebruiker verwacht van het netwerk dat het “gewoon werkt,” en elke foutmelding die naar boven komt is per definitie iets dat moet opgelost worden door de systeembeheerder.

Het is dan ook belangrijk om duidelijk te communiceren naar gebruikers toe hoeveel ruimte ze hebben, en ze een duidelijke boodschap te bieden op het moment dat deze ruimte overschreden wordt. Men moet de gebruiker doen aanvaarden dat er niet oneindig veel ruimte beschikbaar is op “het netwerk” net zoals dat het onmogelijk een drinkbare capuccino uit de koffiemachine te persen.

Disk Quota worden gebruikt om de opslagcapaciteit op de servers te beheren. Men kan in Windows Server 2008 het volumegebruik op een per-volume en per-user basis regelen.

Disk quota worden beheerd met een feature die niet standaard geïnstalleerd wordt bij het instellen van een File Server. Het is te vinden door bij “Add Feature” te kiezen voor “Remote Server Administration Tools”, “Role Administration Tools”, “File Services Tools”, “File Server Resource Manager Tools”. Na installatie is het niet nodig de server opnieuw op te starten.

Wanneer de File Server impliciet is geïnstalleerd door het delen van een map, zal de File Service Resource Manager-role niet geïnstalleerd zijn. Na bovenstaande installatie van de Feature zal deze dan ook niet werken, aangezien de interface naar geen enkele manager kan connecteren. Met “Add Role Service” kan de “File Service Resource Manager” alsnog geïnstalleerd worden.

In Windows Server 2008 worden quota toegepast aan de hand van templates. Windows Server 2008 voorziet enkele standaard templates, maar het voor de systeembeheerder altijd mogelijk nieuwe templates aan te maken en deze toe te passen op de instellingen van de gebruikers.

De schijfruimte die een gebruiker inneemt, wordt bepaald door de grootte van de bestanden waarvan die gebruiker eigenaar is (enkel NTFS volumes).

In de File Service Resource Manager kunnen de standaard templates bestudeerd worden. Belangrijk is hier het verschil op te merken tussen een hard en een zacht quotum. Het is onmogelijk voor een gebruiker om een hard quotum te overschrijden, verkenner zal een waarschuwing geven dat er

Gebruik van quota

Disk Quota

De anatomie van

een template


geen plaats meer is op de gedeelde map alsof er fysiek geen plaats meer was op de schijf waarop de map zich bevindt.

Hierin is het mogelijk de naam van een template in te stellen, alsook een optioneel label. Daarnaast kan de toegestane schijfruimte aangegeven worden, alsook of het om een hard dan wel soft quotum gaat. Tenslotte kunnen er nog meldingen ingesteld worden. Bij het overschrijden van een bepaalde treshold, die aangegeven wordt in procenten, kan er een email gestuurd worden, een melding in de event lof, er kan een commando uitgevoerd worden of een rapport gegenereerd.

Rest nog te melden dat e-mails alleen kunnen verstuurd worden wanneer er een SMTP-server geconfigureerd is om dit mee te doen. Dit kan gedaan worden door op “File Service Resource Manager” rechts te klikken en te kiezen voor “Configure Options...”.

Schijfgebruik is gebaseerd op het eigenaar zijn van bestanden en mappen. Wanneer een gebruiker een bestand kopieert of een nieuw bestand opslaat op een NTFS -volume (of eigenaar wordt van een bestaand bestand) zal Windows dit bijhouden en het totaal controleren tegen de ingestelde quota.

Disk quota houden geen rekening met compressie. Indien compressie gebruikt wordt, zal er gekeken worden naar de ongecomprimeerde toestand van de bestanden.

Windows Server 2008 houdt quota bij per NTFS volume. Indien er meerdere volumes op één harde schijf voorkomen, moet men de quota per volume instellen.

Om Disk Quota in te stellen ga je naar de Properties van een bepaalde schijf in My Computer. Op het tabblad Quota kan je dan de gewenste instellingen doen. Via Quota Entries krijg je een overzicht over de gebruikte schijfruimte van de verschillende gebruikers.

Fig. 7.3 Quota template

Karakteristieken

van Disk Quota’s


Het is tevens mogelijk ten allen tijde rapporten aan te vragen over de status van de quota. Deze kunnen periodiek aangevraagd worden of ter plekke gegenereerd worden.

Het formaat waarin het rapport gemaakt wordt is ook in te stellen. Men kan kiezen voor een grafisch rapport in DHTML of HTML, of om gewoon de data te krijgen in XML of tekst-formaat. Daarnaast kan een CSV-bestand gegenereerd worden dat makkelijk in excel kan worden ingelezen voor meer vergevorderde dataverwerking.

Het rapport kan gericht zijn op acht mogelijke onderwerpen.

! Duplicate files

! File Screening Audit

! Files by file group

! Large files

! Least recently Accessed files

! Most recently Accessed files

! Quota usage

Hierbij gaat het tweede rapport over file screening, wat uitgebreid aan bod komt in het volgende deel van dit hoofdstuk.

Alles kan ingesteld worden in onderstaand scherm.

Tot slot willen moet nog opgemerkt worden dat quota management geen goede oplossing is om de grootte van “user profiles” te beperken. Om profielen te beheren of om de grootte van “roaming profiles” te beheren zijn er voldoende alternatieven beschikbaar binnen de GPO eigenschappen.

7.3 File screening

Eveneens in de file resource manager is het mogelijk om file screens aan te maken. File screens staan een beheerder toe om bepaalde soorten bestanden te weren. Zo kan het beleid van een bedrijf bepalen dat .mp3 files niet op servers geplaatst mogen worden. Indien illegale bestanden of

Rapporten over

schijfgebruik

Fig. 7.4 Quota rapportage


gecopiëerde bestanden op een bedrijfsnetwerk aanwezig zijn, dan kan het bedrijf mee aansprakelijk zijn voor het illegaal gebruik hiervan.

Ook bij file screens zijn er bepaalde templates aangemaakt die een standaard type bestand blokkeren. Per template worden één of meerdere File groups gebruikt om aan te duiden over welke bestanden het gaat.

Men kan instellen of er aan actieve screening wordt gedaan, waarbij de gebruiker de toestemming om een bepaald bestand op te slaan of te kopiëren niet zal krijgen. Een tweede mogelijkheid is passieve screening waarbij er alleen zal gemeld worden, eventueel ook aan de gebruiker zelf, dat een inbreuk op de bedrijfspolicy gepleegd is.

Merk op hoe hier weer rapportering bij inbreuken op de policy ingesteld kunnen worden. De mogelijkheden zijn dezelfde als bij quotumbeheer. Een verschil is dat er hier geen momenten zijn waarop een boodschap gestuurd moet worden, er is alleen het moment van de inbreuk.

Het is ook mogelijk voor een beheerder om zelf nieuwe filescreens aan te maken. Wanneer een file screens is toegevoegd aan een gedeelde map zal dit in de server manager duidelijk worden door een groene vink in de kolom “File screening.”

Voorgemaakte

templates

Fig. 7.5 File screen template


Bij het aanmaken van een filegroup zet men een aantal bestandsnamen in een lijst. Doordat in deze bestandsnamen wildcards kunnen voorkomen, zijn er veel mogelijkheden. Zo kan men bepaalde extensies blokkeren, maar ook bestandsnamen. Wanneer een virus oneindig veel bestanden aanmaakt met de naam “VervelendBestand” waarachter een random extensie komt, dan kan dit geblokkeerd worden met een file screen. Dat is echter geen reden om het virus niet zo snel mogelijk te verwijderen van het systeem.

Opgemerkt moet worden dat een file screen niet toegepast wordt op bestanden die zich al in de map bevinden. Alhoewel een gebruiker geen nieuwe bestanden van het type zal kunnen aanmaken, kunnen bestanden die al aanwezig waren nog steeds geopen en geëditeerd worden.

7.4 Mappen publiceren in Active Directory

Windows Server 2008 laat toe om mappen te delen en te publiceren in Active Directory. Daardoor worden alle 'shares' centraal bijgehouden, wat het beheer ervan vergemakkelijkt.

Fig. 7.6 File groups

Fig. 7.7 Shares publiceren in AD


Eén van de grootste uitdagingen in het beheer van een netwerk is de nodige security te leggen op netwerkresources. Indien alle gedeelde netwerkresources makkelijk terug te vinden, zal het instellen van de security ook makkelijker zijn.

Active Directory komt deze uitdaging tegemoet omdat gedeelde objecten een plaats gegeven kan worden binnen Active Directory, zodat het mogelijk wordt om voor deze objecten informatie op te vragen en security in te stellen.

Net zoals Users, Computers en Printers worden gedeelde mappen als objecten gezien. Net zoals deze andere objecten heeft ook het gedeelde-map-object zijn plaats onder Active Directory Users and Computers

Door alle gedeelde mappen te publiceren ontstaat er een centrale lijst in Active Directory, waarin bijgehouden wordt welke shares er bestaan op het netwerk. Dit is vooral nuttig wanneer de file server en de domain controller twee aparte servers zijn, het is dan niet meer zo makkelijk om binnen dezelfde server manager te switchen tussen de rollen “Active Directory Users and Computers” en “File Services.”

Hierdoor kunnen de gedeelde mappen ook opgenomen worden in de OU-structuur die is opgezet voor het bedrijf. Het zal voor een beheerder makkelijker worden de gedeelde mappen terug te vinden.

Een bijkomend voordeel is dat gebruikers waarvoor de gedeelde map niet automatisch gekoppeld wordt als schijf de share sneller zullen terugvinden. Dit doordat ze in de Active Directory-tree van het netwerk terecht zal komen.

Een gedeelde map publiceren kan door in de OU waar de share terecht moet komen rechts te klikken en te kiezen voor “New”, “Shared folder.” In het volgende scherm kan opgegeven worden wat de naam van de share is en naar welk netwerkpad verwezen moet worden.

7.5 Implementatie van Offline Files

Offline Files is een belangrijke document management feature die de gebruiker voorziet in consistente offline en online toegang tot bestanden. Wanneer een client disconnecteert van het netwerk, blijft alles wat in de locale cache is gedownload beschikbaar en kan de gebruiker blijven verder werken alsof hij nog altijd geconnecteerd is aan het netwerk.

Vanuit het oogpunt van de gebruiker blijft de werkomgeving identiek. Visuele elementen (iconen, menu’s, …) bijven hetzelfde, alsook de view van de gemapte netwerkdrives. Het lijkt alsof netwerkbestanden zich nog steeds op het netwerk bevinden. Ze kunnen benaderd worden alsof ze online beschikbaar zijn. Wanneer de gebruiker terug connecteert aan het netwerk dan zal het netwerk automatisch de client- en de serverbestanden herkennen en opnieuw synchroniseren.

Offline Files cached files die door de gebruiker vaak worden gebruikt, vergelijkbaar met hoe een webbrowser een cache bijhoudt van de recent geraadpleegde websites.

Men moet opletten met het implementeren van Offline Files wanneer gebruikers zichzelf niet steeds aan hetzelfde toestel houden. Wanneer een gebruiker aanlogt op de computer van een andere gebruiker, zullen de bestanden van de aanloggende gebruiker opgeslagen moeten worden op de computer.

Gepubliceerde

mappen in Active

Directory

Shares publiceren

Zwervende

gebruikers


Daarnaast vertraagd deze feature het aan- en afmelden van een gebruiker zeer sterk, vooral wanneer er gewerkt is met grote bestanden. Het is dus aan te raden dit niet standaard aan te zetten voor alle computers en gebruikers, maar slechts bij die personen waar het echt nodig is.

Caching inschakelen kan bij de eigenschappen van een gedeelde map. Er zijn drie mogelijkheden.

Men kan de gebruiker laten kiezen welke bestanden en programma’s beschikbaar moeten zijn wanneer hij niet meer geconnecteerd is met het netwerk.

Een tweede mogelijkheid is alle programma’s en bestanden offline beschikbaar te maken. Nodeloos te zeggen dat dit bij grote bestanden en vooral bij grote hoeveelheden aan bestanden enorme performanitieproblemen met zich mee zal brengen.

Een derde mogelijkheid is om caching uit te schakelen en geen programma’s of bestanden beschikbaar te maken.

7.6 Het Distributed File System

In een dynamische netwerkomgeving kan het voor gebruikers moeilijk zijn om de fysieke locaties van shared folders te blijven kennen. Het Distributed File System (DFS) laat je toe om één enkele logische boomstructuur te definiëren voor een veelheid aan fysieke locaties. Met behulp van DFS worden netwerken filesysteem voor de gebruiker transparant.

Op die manier kan de administrator de fysieke structuur van shared resources optimaliseren, zonder dat de users daarvan hinder ondervinden. Bovendien kan de administrator de hele DFS-boom beheren vanop één centraal punt.

Men kan twee soorten DFS’s opzetten:

! Stand-alone DFS. Slaat de DFS-topologie op op één bepaalde computer en is dus niet fouttolerant.

! Domain DFS. Slaat de DFS-topologie op in Active Directory. Op die manier wordt de structuur gerepliceerd over de domain controllers en is de DFS dus fouttolerant. Bovendien wordt DNS ondersteund.

DFS gaat als volgt tewerk om file resources over een netwerk te verdelen:

! DFS geeft alle resources weer in een boomstructuur.

! DFS maakt netwerknavigatie makkelijk. De fysieke structuur blijft immers verborgen.

! DFS vergemakkelijkt netwerkadministratie. De administrator kan flexibel met DFS-links omspringen.

! DFS behoudt netwerk permissies. Gebruikers kunnen slechts toegang krijgen als ze de vereiste permissies hebben voor een shared folder.

Een domain DFS kan opgezet worden op een domain controller of op een server die deel uitmaakt van het domein, zoals een file server. Distributed file system is een uitbreiding op de rol File Server, en moet dus ook extra geïnstalleerd worden. Het bestaat uit twee componenten, de DFS Namespaces en DFS replication.

Caching

inschakelen


De namespaces is de hoofdcomponent van DFS. Het zorgt ervoor dat gedeelde mappen die verdeeld staan over verschillende servers gegroepeerd worden in een logisch gestructureerde namespace. Elk van deze namespaces komt bij de gebruiker over als een enkele gedeelde map, alhoewel de onderliggende structuur ervan zeer uitgebreid kan zijn.

Met DFS Replication kan ervoor gezorgd worden dat de inhoud van verschillende mappen verdeeld over server die een lokaal netwerk of zelfs in een WAN7 gesynchroniseerd worden. Hierbij wordt gebruik gemaakt van het Remote Differential Compression protocol dat ervoor zorgt dat alleen de delen van de bestanden die aangepast zijn worden doorgestuurd over de veelal trage WAN-verbindingen.

Beide onderdelen kunnen los van elkaar gebruikt worden, of samen op dezelfde server. Bij de installatie van DFS Namespaces wordt gevraagd of er al direct een Namespace aangemaakt moet worden.

Een namespace kan opgezet worden met de relatief korte wizard “New namespace.” Hierin kan een naam gekozen worden voor de Namespace, de Share-rechten die erop toegepast worden en het type Namespace. De types waaruit men kan kiezen zijn “standalone namespace” en “domain integrated namespace.” Wanneer een domein beschikbaar is, is het een logische keuze voor de tweede optie te kiezen.

Binnen een aangemaakte namespace kan men verschillende folders of mappen toevoegen. Zo’n map kan meerdere andere gedeelde mappen bevatten, waarnaar verwezen zal worden.

Het is pas nuttig meerdere verschillende gedeelde mappen aan een enkele namespace-folder toe te voegen wanneer er ook gebruik wordt gemaakt van replicatie.

Het is mogelijk een namespace te publiceren in Active Directory op dezelfde manier als waarop dat gebeurde met een gewone gedeelde map.

Een groot voordeel van namespaces is dat de beheerder de fysieke structuur van het netwerk kan verbergen achter mappen die schijnbaar naast elkaar staan. Een gebruiker met kwade bedoelingen zal zo minder snel achter de structuur van het serverpark kunnen komen.

Wanneer het netwerk van een bedrijf zodanig uitgebreid geraakt dat de normale backup-technologieën niet langer voldoende zijn, of wanneer het bedrijf geografisch sterk verspreid is maar het toch essentiëel is dat gebruikers in verschillende afdelingen met dezelfde bestanden kunnen werken, moeten replication groups ingesteld worden.

Het is een goede keuze uit te gaan van de bestaande namespaces, en hier een folder te kiezen die gerepliceerd moet worden. Bij de eigenschappen van deze folder is een tabblad “replication.” Bovenaan staat een link naar de “Replication Folder Wizard.”

Op de eerste pagina worden een naam en een folder aangegeven. Deze zijn gebaseerd op de namespacefolder van waaruit de wizard gestart werd. Daarna worden de folder waarvoor replicatie mogelijk is aangegeven. Normaliter staan hier alle gedeelde mappen die gespecifiëerd zijn wanneer de DFS-folder is aangemaakt.

7 WAN: Wide area network

DFS Namespaces

DFS Replication

DFS Namespace

wizard

Folder binnen een

namespace

Namespaces voor

security

Replication groups

Replication Folder

Wizard


De DFS-server die zal zorgen voor de replicatie kan eveneens aangegeven worden. Dit is de server die al de data die gerepliceerd moet worden bevat.

Op de volgende pagina kan een topologie gekozen woden. Niet alle mogelijkheden zijn beschikbaar wanneer er minder dan drie servers aanwezig zijn in het netwerk.

! Hub and spoke: alle spaak (spoke)-members kunnen connecteren op twee of meer hubs. Al de data staat oorspronkelijk op de Hub’s en zal gerepliceerd worden naar de spaken.

! Full Mesh: Alle leden van de replicatiegroep repliceren met elkaar. Dit is goed voor een kleine tot medium DFS-structuur (tien of minder servers), maar zal in een groter netwerk teveel bandbreedte consumeren.

! No Topology: Hierbij zal er in de wizard geen topologie aangemaakt worden, maar kan de gebruiker later een eigen topologie aanmaken.

Tijdens het vervolg van de wizard kan een limiet gezet worden op de te gebruiken bandbreedte en een tijdsschema op te stellen voor de replicatie. Beide instellingen zijn nodig om het netwerk open te houden voor gebruikers op de momenten dat deze aanwezig zijn, en te gebruiken voor DFS-replicatie op dalmomenten in netwerkgebruik.

Tenslotte komt er een overzicht van de gemaakte instellingen en wordt de DFS-structuur aangemaakt.

Het aanmaken van een replicatiestructuur verandert niets in de manier waarop gebruikers gebruik maken van deze bestanden, ook wanneer één van de server waarmee gerepliceerd wordt niet beschikbaar is.

7.7 Encrypting File System

Encrypting File System (EFS) laat toe om bestanden te coderen op een NTFS-volume. De bestanden en folders worden gecodeerd met behulp van een unieke sleutel.

Een gebruiker die eigenaar is van een bestand of een folder, kan deze objecten (bestand of folder) encrypteren en decrypteren. Als een gebruiker een gecodeerd bestand wil openen en hij heeft de gepaste sleutel, zal hij dit bestand kunnen openen en er gewoon mee kunnen werken. In principe merkt de gebruiker hier niets van. Een gebruiker die de sleutel niet heeft, zal geen toegang hebben tot het bestand. Op die manier blijven geencrypteerde bestanden onleesbaar voor mogelijke hackers.

Encryptie en decryptie is de basistaak van EFS. De standaardconfiguratie van EFS vergt geen enkele administratieve inspanning. Gebruikers kunnen onmiddellijk hun bestanden beginnen encrypteren. EFS zal automatisch een sleutel genereren als de gebruiker er nog geen had.

EFS is transparant. Indien een gecodeerd bestand gekopieerd wordt, zal de kopie ook gecodeerd zijn. Dit geldt ook indien er back-ups genomen worden of als bestanden of mappen verplaatst worden.

Indien een gebruiker een gecodeerd bestand opent, moet hij het niet telkens decoderen. EFS is een eigenschap van het NTFS bestandssysteem. De gebruiker zal er dus niks van merken

EFS biedt een hoge beveiliging gebaseerd op X.509 certificaten.

Topology

Bandbreedte en

scheduling

Karakteristieken

van EFS


De lijst van de sleutels wordt bijgehouden door een recovery agent. Deze kan indien de sleutel verloren gaat de data terug beschikbaar stellen.

EFS kan op map-niveau geïmplementeerd worden. Ook bestanden die door bepaalde applicaties worden aangemaakt in tijdelijke mappen kunnen gecodeerd worden.

Mappen die gemarkeerd zijn als geencrypteerd zijn eigenlijk niet geencrypteerd. Enkel de bestanden in de map zijn geencrypteerd alsook nieuwe files die in de map worden gecreëerd en files die naar de map worden gekopieerd.

Als men een bestand decrypteerd, zal dat niet automatisch terug worden geencrypteerd, ook al is de map gemarkeerd als geencrypteerd. Wanneer men een gecodeerd bestand naar een niet gecodeerde map verplaatst, zal het geëncrypteerd blijven.

Om een bestand te encrypteren of decrypteren gebruikt men de Encryption check box onder de Advanced-knop in het Properties-venster van een bestand.

Een andere manier om bestanden of mappen te encrypteren, is via het CIPHER-commando. Wanneer het CIPHER-commando zonder parameters gebruikt wordt, dan komt er een overzicht van de encryptiestatus van alle bestanden en mappen op een NTFS-volume.

Onderstaande tabel lijst enkele andere nuttige parameters op.

Parameters Omschrijving

cipher Toont encryptie-status van bestanden en mappen

/e Encryptie activeren voor mappen in de huidige map

/e /a Encryptie activeren voor de bestanden in de huidige map

/d Mappen in huidige map decrypteren

/d /a Bestanden in huidige map decrypteren

/? Help functie bij CIPHER-commando

In Windows Server 2008 kan men een ‘authorised user’ toevoegen aan een met EFS geëncrypteerd bestand. De gebruiker moet daarvoor wel

Encryptie

aanzetten

Fig. 7.8 Encryptie inschakelen

Het commando

“cipher”

Tab. 7.1 Cipher parameters


geautenticeerd zijn door Active Directory of door een certificate service op de huidige computer.

Na het encrypteren van een bestand kan men in het Encryption Details-venster alle ‘authorised users’ van een bestand bekijken en nieuwe gebruikers toevoegen.

Wanneer de private sleutel van een eigenaar niet meer beschikbaar is, dan kunnen aangewezen “recovery agents” geëncrypteerde bestanden lezen met behulp van hun eigen private sleutel. Eén of meerdere gebruikers kunnen in Windows Server 2008 worden aangeduid als data recovery agent (DRA).

Standaard wordt de hoogste administrator als DRA benoemd op de eerste domein controller in een domein. Andere DRA’s kunnen worden aangeduid door de EFS recovery policy te wijzigen en andere policies zijn ook mogelijk voor verschillende delen van een onderneming.

In Windows 2000 waren DRA’s verplicht om EFS te kunnen implementeren, sinds Windows Server 2003 zijn ze optioneel.

In de praktijk volgt men best een aantal vuistregels in verband met DRA’s.

! Zorg voor minstens 1 DRA in een domein.

! Als de DRA een andere computer gebruikt in het netwerk, dan stuurt men de bestanden daar naartoe.

! Vernietig geen recovery certificaten en private sleutels als de recovery agent policy gewijzigd wordt.

Geëncrypteerde bestanden blijven geëncrypteerd tijdens een backup; ook op een niet NTFS-volume. Het terugzetten van een backup heeft geen effect op de encryptie-status van de bestanden, tenzij deze backup gemaakt werd voor de encryptie werd ingesteld.

Het kopiëren en verplaatsen van geëncrypteerd bestanden heeft specifieke gevolgen voor de encryptie-status van de bestanden.

! Een geëncrypteerde file die gekopieerd of verplaatst wordt naar een niet-geëncrypteerde map op dezelfde NTFS-partie behoudt zijn encryptie-status.

! Een geëncrypteerde file die gekopieerd of verplaatst wordt naar een niet-geëncrypteerde map op een andere NTFS-partie behoudt zijn encryptie-status.

! Een geëncrypteerde file die gekopieerd of verplaatst wordt naar een niet-geëncrypteerde map op een andere FAT- of FAT32-partie behoudt verliest encryptie-status.

! Omgekeerd zal een geëncrypteerde file die gekopieerd of verplaatst wordt van een niet-geëncrypteerde map op een FAT- of FAT32-partie naar een geëncrypteerde map op een NTFS-partitie geëncrypteerd worden.

Microsoft geeft volgende aanbevelingen i.v.m. het gebruik van EFS:

Users zouden best hun persoonlijke folder encrypteren, zodat hun persoonlijke bestanden standaard geëncrypteerd worden.

Encryptie op folder-niveau verdient de voorkeur op encryptie op bestandsniveau. Vooral wanneer toepassingen tijdelijke bestanden gebruiken, kan het nuttig zijn om daarvoor encryptie te voorzien.

Data recovery

agent

Encryptie en

backup

EFS best

practices


Omdat encryptie een invloed heeft op de performantie van het bestandssysteem, is het ook aan te raden om encryptie enkel toe te passen waar het echt nodig blijkt.

7.8 Share- en NTFS–permissies

Om security in te stellen voor gedeelde mappen zijn er twee mogelijkheden:

! Share permissies

! NTFS permissies

Alhoewel in de hiernavolgende uitleg altijd gesproken wordt over de rechten die een gebruiker krijgt, is het op serverniveau nooit een goed idee rechten op mappen rechtstreeks aan gebruikers toe te kennen. Men gaat hierbij altijd gebruik maken van een A G DL P-structuur, zoals die eerder al besproken werd.

Share permissies worden afgedwongen door het SMB-protocol, waar NTFS-permissies worden afgedwongen door het bestandssysteem van de file server. Dit wil zeggen dat wanneer een gebruiker naar de file server wandelt en zich daar lokaal inlogt, alle ingestelde share permissies zonder meer genegeerd worden.

Wanneer een gebruiker echter wel via het netwerk naar een bestand gaat, zal de gebruiker niet meer mogen dan de laagste rechten die hij gekregen heeft, zowel via share als via NTFS-rechten. Dit is omdat de gebruiker eerst doorheen het netwerk moet, en daarna doorheen de NTFS-structuur. Beide kunnen gezien worden als netten waarvan de grootte van de mazen ingesteld kan worden. De gebruiker kan maar door het geheel als hij door de kleinste mazen van het net kan.

De rechten die een gebruiker binnen één systeem krijgt, zijn echter de som van alle rechten die hij via verschillende manieren krijgt. Wanneer een gebruiker lid is van een groep “GG_lezers”, en via deze groep leesrechten krijgt op een bepaalde map, kan hij alle documenten daar lezen, maar er niets in wegschrijven.

Wanneer de gebruiker echter tevens lid is van de groep “GG_Schrijvers”, zal hij dankzij dit lidmaatschap ook kunnen schrijven in de map. Stel dat er een groep “GG_droppers” is, waarvan de gebruikers de share kunnen gebruiken als dropfolder (ze mogen er bestanden in wegschrijven, maar niet in lezen of wijzigen). Dan zou de gebruiker die lid is van GG_droppers en van GG_lezers in de bewuste map zowel mogen lezen (dankzij GG_lezers) en wegschrijven (dankzij GG_droppers)

Een uitzondering hierop zijn Deny-rechten. Deze gaan boven alle andere leesrechten. Wanneer een gebruiker Deny-rechten heeft worden de andere rechten genegeerd en zal hij op die ene map niets meer kunnen dat hem expliciet ontkend is.

Deny-rechten zijn dus erg sterk, en het is ten zeerste af te raden ze te gebruiken, tenzij er een duidelijke, welomschreven reden voor is. Normaal wordt een gebruiker de toegang tot een map ontzegd door hem niet de rechten te geven er wel in te lezen.

Share permissies zijn toepasbaar op alle soorten schijven, en dat is zo ongeveer het enige voordeel van Share-permissies.

A G DL P

Combinatie van

permissies

Som van

permissies

Deny rechten

Share permissies


Het is mogelijk om sharepermissies toe te kennen aan bepaalde groepen, maar in geen enkel geval is het mogelijk andere permissies te geven dan Change, Read of Full Control. Dit is hetzelfde voor bestanden en mappen. Het is dus niet mogelijk een drop-folder te maken.

In de praktijk zetten we de share-permissies van een gedeelde map altijd op “Everyone Full Control.” Dit is geen probleem voor security aangezien alle rechten ingesteld worden via NTFS. In andere woorden, we halen het eerste net uit het water en vangen iedereen op met het tweede net. Op die manier is het voor een systeembeheerder altijd direct duidelijk door welk net een gebruiker wordt tegengehouden.

Veel beter dan share-permissies zijn NTFS-permissies. Niet alleen zijn ze veiliger doordat een gebruiker ze op geen enkele manier kan omzeilen, ze zijn bovendien ook nog veel uitgebreider dan share permissies.

Onderstaande tabel geeft een overzicht van de NTFS-permissies.

Fig. 7.9 Share persmissies

NTFS permissies

Fig. 7.10 NTFS permissies


Permissie Omschrijving

Full Control

De gebruiker of groep kan rechten veranderen; de map, submappen en bestanden verwijderen, eigenaar van de map worden en alle andere toegangsniveaus toestaan.

Modify

Hiermee kan de gebruiker of groep de map wijzigen, zoals submappen, bestanden en rechten die verband houden met alle lagere permissies (zie vervolg tabel) verwijderen.

Read and Execute

Hiermee kan de gebruiker of groep de mapinhoud (mappen en submappen) bekijken, executables laten uitvoeren en alle handelingen die verband houden met de lagere permissies (zie vervolg tabel).

List Folder

Contents

Hiermee kan de gebruiker of groep de inhoud van een map (submappen en bestanden) bekijken.

Write

Hiermee kan de gebruiker of groep nieuwe elementen aan een map toevoegen (bestanden, submappen, mapkenmerken wijzigen), en de eigenaar van een map en informatie over de rechten voor een map bekijken.

Read

Hiermee kan de gebruiker of groep bestanden en submappen in een map bekijken evenals informatie die gerelateerd is aan de map (eigenaarschap, bestandskenmerken, rechten)

De standaard NTFS-rechten die hierboven besproken worden, zijn in feite groeperingen van meer specifieke NTFS-rechten. Zo bestaat het standaardrecht Read eigenlijk uit de specifieke rechten: read data, read attributes en read extended attributes.

Men kan speciale NTFS-rechten gebruiken om de toegang die aan een groep of gebruiker verleend wordt nauwkeuriger te regelen. Men vindt de speciale NTFS-rechten onder Advanced-knop bij de Properties van een map of bestand.

Het is een goede gewoonte om zoveel mogelijk met de standaard-rechten te werken en de speciale rechten enkel te gebruiken in uitzonderlijke situaties.

Standaard is de auteur van een bestand of map de eigenaar op een NTFS-volume. De eigenaar kan daarom ook de rechten voor zijn bestanden of mappen instellen. Een eigenaar heeft altijd Full Control-permissie.

Eigenaarschap van een bestand of map kan echter worden overgedragen aan een andere gebruiker door deze gebruiker Full Control te geven. De administrator kan altijd eigenaarschap nemen. Er is ook een speciale permissie, ‘Take ownership’.

Standaard neemt een NTFS-map de rechten over van de bovenliggende map. Wanneer men echter de rechten op een gedeelde map wil instellen

Tab. 7.2 NTFS permissies

Specifieke

rechten

Eigenaarschap

van een bestand

of map

Inheritance


komen deze zelden overeen met de gewenste rechten. Daarom is het meestal aan te raden inheritance uit te schakelen voor een map die gedeeld wordt.

Bij het uitschakelen van inheritance vraagt Windows Server 2008 of de ingestelde rechten moeten worden overgenomen of verwijderd. Wanneer ze worden overgenomen worden de nieuwe rechten opnieuw ingevuld. Als daarna echter de rechten op d parent-map veranderd worden zullen die op de child-mappen blijven.

Binnen het systeembeheer bestaat er onenigheid over het toekennen van Full Control rechten aan Administrator-accounts.

De ene strekking zegt ze altijd toe te kennen. Dat is logisch omdat beheerders de bewuste mappen gaan moeten beheren en er dus altijd rechten op nodig hebben om share- en NTFS-permissies na te kijken en in te stellen.

Een andere strekking zegt dat wanneer Administrator rechten heeft op een bepaalde map, er ook van hem verwacht kan worden de bestanden in die map te beheren. Dat gaat vooral over het verwijderen van documenten die hun nutsdatum voorbijgestreeft hebben. Dit kan echter nooit de bedoeling zijn.

Fig. 7.11 Melding

bij het uitschakelen van inheritance

Administrators full

control


8 Printer Services

Het delen van printers is één van de historische redenen om computers met elkaar te gaan verbinden. In Windows Server 2008 worden een heel aantal configuratietaken voor printers opnieuw door Wizards afgehandeld. Een Printer Server configureren en de afdrukservices van een netwerkbeheren is daardoor relatief eenvoudig.

Een printer kan lokaal geïnstalleerd zijn. Hij is dan rechtstreeks met een server verbonden en dient enkel voor de printertaken van die server.

Een printer kan extern geïnstalleerd zijn. Hij is dan verbonden met een andere computer dan de server. Die andere computer ziet de printer echter als een lokale printer, wat voor verwarring kan zorgen.

De netwerkprinter is de derde soort printer. Deze toestellen zijn voorzien van de nodige hardware om rechtstreeks op het netwerk te worden aangesloten. Netwerkprinters kunnen fysiek veel beter worden ingezet, omdat ze niet aan een computer gekoppeld hoeven te worden. Bovendien kunnen ze via een Print Server worden gemanaged alsof ze een lokale printer waren.

Printers die via USB zijn aangesloten op dedicated print server, en daarlangs op het netwerk zijn aangesloten worden benaderd als ware het netwerkprinters.

8.1 Printers installeren

Via een USB-interface kan een printer hardwarematig makkelijk met een computer worden verbonden. De meeste printers worden automatisch door Windows Server 2008 herkend dankzij plug-n-play. Een niet-plug-n-play-printer kan men alsnog installeren via de Add Printer Wizard uit het Printers -venster in het Configuratiescherm.

Een netwerkprinter beschikt over een netwerkkaart en eigen processorkracht om binnenkomende afdruktaken te verwerken en wordt op dezelfde manier met het netwerk verbonden als een computer.

TCP/IP is het standaardnetwerkprotocol van Windows Server 2008. Printers met eigen netwerkfaciliteiten kunnen daarom geconfigureerd worden met een eigen IP-adres (of er een verkrijgen via DHCP). Eenmaal het IP-adres voor een printer geconfigureerd, kan de server met de printer verbonden worden door hierop een IP-poort te configureren. Ook dit gebeurt met de Add Printer Wizard, die je opstart vanuit Printers in het Configuratiescherm.

Daarna maakt men een standaard TCP/IP poort aan voor de nieuwe printer. Ook hier gaat men een Wizard volgen om het IP-adres in te voeren. De poortnaam wordt automatisch aangemaakt. Het verbindingsapparaat dat daarna opgegeven moet worden is afhankelijk van de printer. Selecteer de juiste definitie voor de printer en het verbindingsapparaat uit de keuzelijst.

De Add Standard TCP/IP Port Wizard toont nog een samenvattend scherm en men komt weer in de oorspronkelijke Add Printer Wizard. Uit de nu getoonde lijst met printers en fabrikanten kan het juiste model gekozen worden.

Nieuw geïnstalleerde printers worden automatisch gedeeld en er wordt een sharenaam toegevoegd. Die kan men later nog wijzigen. Om compatibel te

Een lokale printer

installeren

Een

netwerkprinter

installeren


blijven met het NETBIOS protocol wordt deze naam echter best beperkt tot minder dan 15 karakters.

Het voordeel van het gebruik van netwerkprinters op het netwerk is dat deze met het netwerk kunnen verbonden worden zonder dat er een server op dezelfde locatie aanwezig moet zijn.

8.2 Printers in Active Directory

Een op een printerserver geïnstalleerde printer wordt standaard gedeeld. De printer wordt ook automatisch gepubliceerd in Active Directory. Men kan dit bekijken door de het Properties venster van een printer te openen en het tabblad Sharing te selecteren.

Is een printer nog niet gedeeld dan kan men ‘Share this printer’ aanvinken en een sharenaam opgeven. Publicatie in Active Directory gebeurt door het selectievakje ‘List in the directory’ aan te vinken. Vergeet in dat geval niet de locatie van de printer en de afdrukmogelijkheden op te geven. Gebruikers kunnen die criteria gebruiken om een geschikte printer te vinden.

De eigenschappen van een printer kan men configureren in het Properties-venster van de printer (cfr. Tabblad Sharing). Nieuwe instellingen worden meteen van kracht nadat op “Apply” is gedrukt, maar vooraleer deze tot bij de gebruiker geraken kan het zijn dat deze moet aan- en afloggen.

Vanaf het moment dat een printer op het netwerk wordt gedeeld, worden er verschillende niveaus aan standaardmachtigingen aan domeingroepen toegekend.

De groep Everyone krijgt bv. de machtiging ‘Print’. Men kan in plaats daarvan de standaardmachtigingen voor de groep Everyone verwijderen en de basistoegang aan de groep Authenticated Users toekennen. Dat houdt in dat de verificatie van een gebruiker door het domein moet zijn bevestigd vooraleer hij machtigingen voor het afdrukken krijgt.

Om bovenop het printen ook de machtiging te hebben om de eigen documenten in de wachtrij te beheren is de machtiging ‘Manage Documents’ nodig. Met de machtiging ‘Manage Printers’ kan men de volledige printer beheren (van afdrukwachtrij beheren tot printer als resource verwijderen).

Het is ook mogelijk om via het tabblad Security van het Properties-venster voor een printer te registeren wie een printer gebruikt of beheert. Daarvoor gebruikt men het tabblad Auditing onder Advanced Security Settings. Men kan vervolgens voor iedere gewenste gebruiker of groep een Auditing Entry specifiëren, die vervolgens in het beveiligingslogboek van de Event Viewer zal worden geregistreerd.

Door op een printer te dubbelklikken krijgt men de wachtrij voor die printer op het scherm. Vervolgens kan men afdruktaken pauzeren, verwijderen, prioriteiten instellen, ...

Bovenstaande elementen kunnen centraal beheerd worden vanuit de server manager na installatie van de rol “Print Services.”

Automatische

publicatie in

Active Directory

Eigenschappen

van een printer

Machtigingen van

een printer

Toegang

registreren

Afdruktaken

beheren


Fig. 8.1 Print Management


9 Disk Management

Een performante en goed beveiligde server zal nog slechts uiterst zelden gebruik maken van een enkele schijf met een enkele partitie. Meestal wordt er gebruik gemaakt van meerdere schijven die op één of andere manier samen werken.

De manieren om schijven te laten samenwerken, het storage type, zijn uitgediept in volgende figuur.

Een schijf die is geïnitialiseerd om basic storage te gebruiken, een basic disk, kan primaire en extented partities met logische drives bevatten. Nieuwe schijven die je aan een Windows Server 2008 machine toevoegt, zijn default basic disks.

Men kan een disk converteren van een basic naar dynamic storage. Een dynamic disk kan simple, striped, spanned, mirrored en RAID-5 volumes bevatten. Een harddisk moet basic of dynamic zijn. Men kan de beide opslagtypes niet combineren op één schijf.

Dynamische opslag heeft een aantal voordelen.

! Volumes kunnen worden uitgebreid met niet-aangrenzende ruimte op andere beschikbare disks.

! Er is geen enkele beperking wat betreft het aantal volumes dat men kan creëren per disk.

! Disk configuratie informatie wordt op de disk bewaard en niet in het register. De informatie wordt ook gerepliceerd naar alle andere dynamische disks.

Op een dynamische disk kan men volgende types volume aanmaken:

! Een Simple Volume bevat schijfruimte van één disk.

! Een Spanned Volume kan schijfruimte bevatten van twee of meer disks (tot 32). De totale schijfoppervlakte is de som van de individuele schijven.

Fig 9.1 Storage Types in Windows Server 2008

Basic Storage

Dynamic Storage

Simple volume

Extended partition with logical drives

H:H:

G:G:

F:F:

E:E:

D:D:

C:C:

F:F:

E:E:

D:D:

C:C:

Primary partitions

Spanned volume

Mirrored volume

RAID-5 volume

Striped volume

Basic Storage

--oror --

Dynamic Storage


! Mirrored Volumes zijn twee identieke kopies van een Simple Volume, elk op een verschillende disk. Mirrored Volumes voorzien in een fauttolerante oplossing wanneer één disk zou crashen.

! Een Striped Volume combineert schijfruimte van 2 tot 32 harde schijven in één volume. Het verschil met een Spanned Volume ligt in de manier waarop Windows Server 2008 de gegevens opslaat.

! RAID-5 Volumes zijn fauttolerante Striped Volumes. Windows Server 2003 voegt een pariteitsstripe toe voor alle data die worden opgeslagen op de hard disks. Deze pariteitsinformatie kan worden gebruikt wanneer een hard disk uitvalt. Om RAID-5 toe te passen zijn minstens 3 hard disks nodig.

9.1 Disk Management Console

De disk management console kan toegevoegd worden in een MMC. Het is echter ook beschikbaar in de server manager onder “Storage.” Wanneer de server ook een file server is, is dezelfde console nogmaals toegevoegd onder “File Services” “Share and storage management.”

De MMC is echter de enige die gebruikt kan worden om het schijfbeheer van een andere dan lokale computer.

Disk Management toont het opslagsysteem van een computer in een grafische omgeving of in een lijst. Belangrijke informatie over de disks, partities en volumes op een computer kan worden geraadpleegd in de Properties-dialoogvensters.

Wanneer men veranderingen aanbrengt aan de diskconfiguratie is het belangrijk om de Refresh en Rescan Disks items te gebruiken in het Action Menu. Met Refresh update men drive letters, volumes, bestandssysteem, … Met Rescan Disks wordt hardware informatie geupdate.

9.2 Dynamische volumes creëren

Men kan een basic disk converteren naar een dynamische disk op ieder ogenblik en zonder verlies van data. Toch is het aan te raden om eerst een backup te nemen van de data op de disk zoals altijd wanneer er ingrijpende veranderingen aan de server gebeuren.

De upgrade kan uitgevoerd worden vanuit Disk Management, door rechts te klikken op schijf en te kiezen voor “Upgrade to Dynamic disk.” Een wizard voorziet in de nodige instructies. Wanneer de disk die men wenst up te graden boot- of systeempartities bevat, dan zal men na de upgrade opnieuw moeten opstarten. Alle bestaande partities worden omgezet naar volumes.

Om een dynamic disk terug te converteren naar een basic disk, moet men eerst alle volumes verwijderen. Vervolgens kan men de optie Revert to

Basic Disk gebruiken.

Het creëren van een nieuw Simple Volume is eenvoudig.

Klik rechts op een gedeelde ongealloceerde diskruimte van de disk waarop men het volume wenst aan te maken. Kies Create Volume en volg de instructies in de Wizard.

Men kan een Simple Volume dat geformatteerd is met NTFS vervolgens uitbreiden met aangrenzende of niet-aangrenzende vrije diskruimte. Hiervoor

Properties

bekijken

Een Basic Disk

converteren

Een Simple

Volume creëren

Een Simple

Volume uitbreiden


gebruik je de optie Extend Volume (rechts klikken op het Simple Volume). Wanneer men een Simple Volume uitbreidt met diskruimte op een andere disk dan wordt het een Spanned Volume.

Een optie die nieuw is in Windows Server 2008 en Windows Vista, is het verkleinen van een simple volume. Hiervoor klikt men rechts op een simple volumen en kiest men “Shrink Volume...” Hierna wordt er eerst nagekeken met hoeveel ruimte de harde schijf mag verkleinen. Er moet immers voor gezorgd worden dat de data die aanwezig op de harde schijf nog steeds geaccomodeerd kan worden.

De ruimte die een volume kan verkleinen is zeker niet altijd gelijk aan de vrije ruimte. Windows Server 2008 voorziet in bijkomende ruimte die het besturingssysteem nodig heeft om te kunnen werken. Vooral de partitie waarop het systeem zelf geïnstalleerd is zal een zekere grootte moeten houden.

Het creëren van een Spanned Volume, een Striped Volume, een Mirrored of een RAID-5 Volume gebeurt op dezelfde manier.

9.3 Een disk defragmenteren

Een gefragmenteerd bestand is opgesplitst in meerdere stukken die verdeeld op de harde schijf opgeslagen worden. Disk Defragmenter zoekt deze bestanden op en defragmenteert ze.

Als een harde schijf veel gefragmenteerde data bevat, zal de computer er langer over doen om deze data terug samen te stellen en beschikbaar te maken voor de gebruiker omdat er van verschillende plaatsen op de harde schijf informatie moet gelezen worden.

Ook het aanmaken van nieuwe bestanden of mappen zal langer duren omdat ook de vrije ruimte gefragmenteerd is. De nieuwe data zal ook in verschillende stukken moeten worden verdeeld.

Disk Defragmenter zal eerst de harde schijf onderzoeken naar de graad van defragmentatie en hier een rapport van tonen. Op basis van dit rapport kan men beslissen of het wel nodig is om te defragmenteren omdat dit uren tot dagen kan duren.

Indien men kiest om te defragmenteren zal ervoor gezorgd worden dat één bestand één plaats op de harde schijf inneemt. Hierdoor zal file-access terug sneller verlopen en zal er ook schijfruimte terug vrijgemaakt worden.

Waar disk defragmenter bij Windows Server 2003 nog een aparte console was, is het nu een onderdeel geworden van de eigenschappen van elke schijf.

Een simple volume

verkleinen

Gefragmenteerde

data

Disk defragmenter


Wanneer men op de knop “Defragment now” klikt, zal er eerst nagekeken worden of defragmentatie überhaupt nodig is.

De klassieke balk met gekleurde verticale lijntjes is hiermee volledig uit het straatbeeld verdwenen.

Fig. 9.1 Properties van een harde schijf

Fig. 9.2 Defragmentatie-rapport


10 Virtualisatie

Het is in de hele computerwereld al langer merkbaar dan virtualisatie en alsmaar belangrijker wordende rol aan het spelen is. In Windows Server 2008 is dit dan ook duidelijk te merken.

In bovenstaande structuur staan de verschillende implementaties die momenteel beschikbaar zijn binnen heel Microsoft.

Een minder belangrijke tak vanuit het servergebeuren gezien is Virtual PC. Dit is een applicatie die lokaal gedraaid kan worden op elke computer met een XP, Vista en Windows Server 2003 of 2008, en waarbinnen virtuele machines gedraaid kunnen worden.

Alhoewel deze applicatie zeker voldoende is voor een thuisgebruiker die tegelijkertijd meerdere verschillende besturingssystemen wil gebruiken op dezelfde hardware, is het niet geschikt om te dienen als onderdeel van een weluitgedacht bedrijfsnetwerk.

Presentation Virtualization is de naam waaronder terminal services en Remote Desktop Services (RDS) samenvallen. Hierbij wordt er vooral gekeken naar de eindgebruikers die niet langer elk beschikken over eigen hardware, maar nog slechts gebruik maken van een thin cliënt met een minimale processorkracht en RAM. Deze kleine machines maken verbinding met een server waarbinnen virtueel de desktop van de gebruiker werkt.

Het voordeel hiervan is dat een systeembeheerder op de server de desktop omgeving van de gebruiker rechstreeks onder controle heeft, en niet langer via de omweg van GPO’s moet werken om de mogelijkheden van een gebruiker te beperken.

Meer hierover volgt in de volgende paragraaf van dit hoofdstuk.

Microsoft Application Virtualization (App-V) stelt de systeembeheerder in staat om een applicatie om te vormen naar een centraal beheerde virtuele service. Alhoewel het hierbij mogelijk is dat de gebruiker met eigen hardware werkt, wordt de applicatie gedraaid door een server. Het voordeel hiervan is alweer het sterk gecentraliseerde beheer van de applicatie.

Bij Server Virtualization wordt niet langer rechtstreeks gekeken naar de gebruiker, maar wordt de rol van de server zelf virtueel gedraaid. Dit geeft

Fig. 10.1 Virtualisatie in Windows Server 2008

Desktop

Virtualization

Presentation

Virtualization

Application

virtualization

Server

Virtualization


een aantal zeer duidelijke voordelen, zoals een daling van de totale kostprijs van het serverpark en een makkelijkere hardwaremigratie.

Hierover is meer te lezen in de laatste paragraaf van dit hoofdstuk.

10.1 Terminal services

Terminal Services is een component van Windows Server 2008 die ideaal is om applicaties beschikbaar te maken voor mobiele gebruikers, kantoren op afstand of Windows-gebaseerde terminals.

Omdat alle applicatie- en dataverwerking gebeurt op de server is het niet nodig dat client-machines over veel RAM of processorkracht beschikken. Om deze reden kan Terminal Services in een organisatie helpen de TCO (Total Cost of Ownership) van het machinepark te beperken. Daarenboven kan men Terminal Services configureren om remote-administratie te doen op Windows Server 2008 servers.

De multi-user omgeving van het Terminal Services systeem bestaat uit drie delen.

Terminal Services Server. De server beheert de resources van elke clientsessie en voorziet de aangemelde gebruiker van een eigen werkomgeving. De server ontvangt en verwerkt alle keyboardinputs en muisacties die de remote client uitvoert en bouwt de schermuitvoer op voor de client.

Client. Een terminal sessie opent als een venster binnen de lokale desktop. In dit venster wordt de remote desktop van de terminal server getoond. De client heeft enkel nood aan een minimum aan software om deze connectie tot stand te brengen.

Remote Desktop Protocol (RDP). RDP verzorgt de communicatie tussen de client en de server. RDP is geoptimaliseerd om grafische interface-elementen naar de client te versturen. RDP is een applicatie-gebaseerd protocol dat gebruik maakt van TCP/IP om over een netwerk die communicatie tussen clients en server te verzorgen. RDP is gebaseerd op de ITU T.120 standaard voor multi-channel conferencing.

Windows applicaties: Met minimale aanpassingen kunnen de meeste Windows applicaties beschikbaar gemaakt worden voor een groot aantal clients. Bovendien moet de applicatie slechts eenmaal geïnstalleerd worden: op de server.

Gebruik van ‘thin’ clients: Omdat alle programma- en dataverwerking op de server gebeurt en enkel het scherm naar de client wordt gestuurd is het mogelijk om ‘oudere’ apparatuur langer te blijven gebruiken en minder krachtige clients aan te kopen.

Omdat er geen applicaties of data op de client staan kan men al spreken van een verhoogde beveiliging van deze gegevens. Het is makkelijker om een goede back-up van één server te nemen dan een back-up van enkele tientallen clients.

Ook de beschikbaarheid zal groter zijn omdat alles op een kwalitatief betere server staat. Het beschikbaar houden van deze ene server is makkelijker dan het beschikbaar houden van tientallen client machines.

Toegang tot

desktop en

applicaties

Verhoogde

beveiliging en

beschikbaarheid


Remote Administration. Administrators kunnen een Windows Server 2003 Server beheren vanaf hun eigen desktop. Ze kunnen alle administratortools uitvoeren en software installeren alsof ze terplekke op de server zitten.

Shadow en remote control van client sessies. Administrators kunnen de acties van de clients die een terminal sessie bezig zijn opvolgen. De Service Desk kan bij problemen de sessie van de client overnemen om de nodige hulp te bieden.

Om een terminal connectie te kunnen starten moet een Terminal Service Client aanwezig zijn. Dit programma start een connectie op naar de Terminal Services server en toont een Venster waarin de Remote Desktop wordt getoond.

Terminal Service programma’s zijn standaard geïnstalleerd op elke Windows sinds Windows XP. Daarnaast is er bovendien een cliënt van Microsoft beschikbaar die werkt op OS X van Apple. Voor Linux zijn er verschillende cliënts beschikbaar die het juiste protocol aankunnen.

Hierdoor is het dus niet alleen mogelijk te werken met thin cliënts, maar bovendien om te werken met verschillende besturingssystemen die allemaal dezelfde Windows-Applicaties kunnen aanbieden aan de gebruikers.

Omdat alle applicatieverwerking gebeurt op de Terminal Server moet men die server een extra aan processorkracht en geheugen meegeven. Om te bepalen hoe performant de server moet zijn moeten verschillende factoren bekeken worden.

Men kan bijna alle gebruikers onderverdelen in drie categorieën.

! Task-based user: lichte gebruikers die één applicatie uitvoeren voor dataverwerking (vb. via een browser of een Visual Basic programma)

! Typical user: voeren meestal twee applicaties tegelijkertijd uit, bijvoorbeeld Excel en Outlook.

! Advanced Users: voeren verschillende applicaties tegelijkertijd uit en hebben dus een grotere impact op de server.

Het is aangeraden om Terminal Services te installeren op een member server en niet op een domeincontroller. Installatie op een domeincontroller kan de performantie doen dalen omwille van de extra netwerktraffiek, processorkracht en geheugengebruik die een domeincontroller nodig heeft voor logon services, replicatie,…

Schijfsnelheid is kritisch voor Terminal Server performantie. Een RAID-oplossing om aan een hogere snelheid te komen voor de schijven zal vooral bij zwaar gebruik geen overbodige luxe zijn.

Een adapter met een hoge snelheid is ook een must. Alle netwerktraffiek vertrekt vanuit die ene server naar de clients. Vooral als de clients data moeten openen op een andere server of serverbased applicaties moeten draaien.

10.2 Installatie van Terminal Services

De terminal services rol kan gebruikt worden op elke server in het domein. Ook hier gaat het om een rol die kan toegevoegd worden met de server manager. De installatie vereist directe configuratie in de volgende wizard.

Verbeterde

administratie en

support

Client configuratie

Server

configuratie

Het type user

Server Type

Harde schijven

Netwerk Adapter.


Tijdens de installatie wordt een lijst gegeven van de mogelijke services die beschikbaar zijn als een onderdeel van de Terminal Services rol.

! Terminal Server is de basisrol voor de werking van Terminal Services.

! Terminal Services Licensing wordt gebruikt om de access licenses te beheren. Elke gebruiker of apparaat dat connecteert heeft een licentie nodig. De manier waarop de licenties worden uitgedeeld wordt later in de wizard geselecteerd.

! Terminal Services Sessions Broker zorgt voor load balancing bij gebruik van meerdere Terminal Services Servers binnen hetzelfde domein. Het spreekt voor zich dat deze service niet nodig wanneer er slechts een server in het netwerk is.

! Terminal Services Gateway is de service die het mogelijk maakt dat gebruikers van op het internet een connectie kunnen leggen met een Terminal Services Server binnen het eigen netwerk.

! Terminal Services Web Access zorgt ervoor dat de Terminal Services Client binnen een browservenster kan draaien. Dit is niet hetzelfde als de voorgaande service, waarbij een computer behalve een verbinding met het internet ook een Terminal Services Client-programma nodig heeft. Bij Terminal Services Web Access vervult de browser deze rol.

Voor de twee laatste services is het nodig dat IIS 7 ook geïnstalleerd is op dezelfde server. Een goede configuratie hiervan is essentiëel voor een veilige werking van Terminal Services Gateway of Terminal Services Web Access.

Compatibiliteit van applications met Terminal Services kan alleen gegarandeerd worden wanneer de applicaties pas geïnstalleerd worden nadat de Terminal Services Rol al aanwezig is op de server.

Sinds Windows Server 2008 is er ook een nieuwe mogelijkheid voor authenticatie bij Terminal Services. Gebruikers van Windows Vista kunnen geauthenticeerd worden met Network Level Authentication.

Wanneer Terminal Services licensing geïnstalleerd werd, kan ook de licensing mode aangegeven worden.

! Men kan ervoor kiezen om de server 120 dagen te testen alvorens over te gaan tot licensing

! Er kan een licentie per apparaat aangeschaft worden

! Er kan een licentie per gebruiker aangeschaft worden

De groepen die mogen gebruik maken van Terminal Services moeten ook geselecteerd worden. Standaard is dit alleen de Administrators-group.

Wanneer er meerdere Terminal Services Servers zijn die dezelfde licensing server gebruiken, is het belangrijk om in het volgende scherm de juiste modus te selecteren. Er kan voor gekozen worden om een enkele server voor het forest of voor het domain te gebruiken.

Hierbij kan ook de locatie van de Licensing-databank gekozen worden.


10.3 Gebruik van Terminal Services

Een belangrijk onderdeel van Terminal Services is Licensing. Microsoft blijft een commerciële firma waarbij geen enkele service de inkomsten uit andere bronnen mag droogleggen. Denk er hierbij aan dat er in de meeste gevallen geen Windows Vista of XP geïnstalleerd moet worden op de cliënt-computer. Hierdoor is er per gebruiker of per computer een licentie nodig.

Deze licenties worden geïmplementeerd door middel van een Terminal Services Licensing role. Het is niet nodig dat deze rechtstreeks op de Terminal Services Server geïnstalleerd is, zolang er maar een server aanwezig is in het domein of in de forest.

De licenties die gebruikt worden bij Terminal Services zijn niet dezelfde als degene die gebruikt worden als bij de cliënts van het netwerk zelf. Er zijn twee modi beschikbaar, per gebruiker of per apparaat. Wanneer deze niet geselecteerd is bij de installatie van de rol kan ze later worden aangegeven worden.

Zoals te verwachten is ook Terminal Services beschikbaar in de server manager. Er is een beheersscherm voorzien waarin alle opties aangegeven worden. Ook Licensing is hier een onderdeel van.

Het is nodig om voor het eerste gebruik de licensing server te activeren. Deze is niet beschikbaar in de server manager, maar wel in het start menu onder “Administrative tools.” De activatie gebeurt met een wizard, die gestart kan worden door rechts te klikken op de bewuste server en te kiezen voor “Activate Server.”

Om de Licensing Server te activeren moet er een connectie gemaakt worden met Microsoft. In de wizard kunnen verschillende opties gekozen worden. Het vlotst zal de Automatic connection werken, maar er zijn scenarios te bedenken waarbij een server niet verbonden mag worden met het internet.

Daarnaast is er nog bijkomende informatie over het bedrijf en de hoofdgebruiker nodig. Na opgave hiervan eindigt de wizard en is de server geactiveerd.

Behalve de activatie van een server is het ook nodig om licenties toe te voegen aan de server. Dit zijn degene die uitgedeeld gaan worden aan ge cliënts die connecteren. Er moet een programma gekozen worden waarbinnen de licenties gelden, en daarna product versie. Mogelijke programma’s zijn “Open License”, “Enterprise Agreement” en “Campus Agreement.”

Windows Server 2008 is in essentie Windows Vista met extra mogelijkheden voor servers. Daarnaast zijn er een aantal functionaliteiten uitgeschakeld. Het gaat hier vooral over de eye candy die bij een server waardevolle systeemresources opsouperen

Wanneer er echter gebruikers gaan connecteren via Terminal Services, gaan zij de bureaubladachtergrond van het besturingssysteem waarop Terminal Services geïnstalleerd is. Hierbij is het dus zeker aan te raden om de Desktop Experience te installeren. Dit is een feature die gevonden kan worden in de server manager.

Behalve licenties moeten ook de connecties zelf geconfigureerd worden. Deze instellingen kunnen allemaal gedaan worden in de server manager, bij de optie “Terminal Services Configuration.”

Licensing

Licensing modes

Beheersconsole

Terminal Services

licensing manager

Installatie van

Licenties

Desktop

Experience

Configuratie van

de server


Hier kan de omgeving ingesteld worden waarin gebruikers die connecteren terecht zullen komen. Ook kunnen er algemene onderhoudstaken zoals het verwijderen van tijdelijke mappen uitgevoerd worden. De meeste van deze instellingen kunnen alleen aan- of uitgezet worden.

! Delete Temporary Folders on Exit: Standaard staat deze instelling aan.

! Use Temporary Folders per Sessions: Deze instelling kan uitgezet worden wanneer het gebruik van tijdelijke mappen niet gewenst is.

! License Server Discovery Mode: Standaard staat deze modus op Automatisch.

! Terminal Services Discovery Mode: Kan ingesteld worden in per apparaat of per gebruiker.

Standaard wordt er bij installatie van Terminal Services een connectie aangemaakt. Deze wordt RDP-tcp genoemd. Normaal gezien is ze ruim voldoende voor alle gebruikers, maar het is altijd mogelijk om nieuwe verbindingen aan te maken.

Er kunnen verschillende eigenschappen voor een verbinding ingesteld worden in het eigenschappen-scherm. De volgende tabbladen worden onderscheden.

Hierbij kan het soort connectie en het transport protocol gekozen worden. Er kan zelfs enige commentaar over de verbinding opgeslagen worden. Tevens kan hier de encryptiemethode van de verbinding ingesteld worden.

Hierin kan de verbinding van een gebruiker geobeserveerd worden. De controle over de sessie kan genomen worden in het Terminal Services Manager-scherm.

Hierin staat standaard ingesteld dat elke gebruiker bij verbinding een andere gebruikersnaam en paswoord ingeeft. Dat is de juiste keuze wanneer verschillende gebruikers tegelijkertijd verschillende taken op de server vervullen.

Het is echter ook mogelijk om alle gebruikers met hetzelfde gebruikersnaam en paswoord te laten aanloggen. Dit is nodig wanneer er bepaalde taken op de server moeten uitgevoerd worden, en het niet belangrijk is wie ze uitvoert. Deze optie zal in een modern Cliënt/Server systeem weinig gebruikt worden.

Hier kunnen instellingen voor de gebruikersinterface van de cliënts ingesteld worden. Dit omhelst de kleurdiepte, alsook de mogelijkheden om printers en schijven toe te voegen en audio door te sturen.

Bij elke verbinding kunnen de gebruikers bepaalde opties instellen. In dit tabblad kunnen die overschreden worden. De instellingen gaan bijvoorbeeld over de tijdslimiet van een verbinding of een time-out tijdslimiet bij inactieve gebruikers.

Wanneer een server meerdere netwerkverbindingen heeft, kan hier ingesteld worden welke daarvan gaat geconfigureerd worden voor gebruik met het terminal server transport protocol. Er kan ook gekozen worden om alle netwerkkaarten te gebruiken.

Deze optie is vooral nuttig wanneer Terminal Services gebruikt wordt om één welbepaalde applicatie te delen over verschillende gebruikers. Het geeft namelijk de mogelijkheid om een programma op te starten bij het begin van een verbinding.

Configuratie van

de server

General

Remote Control

Logon Settings

Client Settings

Sessions

Network Adapter

Environment


Hier kan ingesteld worden welke gebruikersgroepen die de bevoegdheden hebben om gebruik te maken van Terminal Services. Het is echter aan te raden om gebruikersgroepen die gebruik mogen maken van Terminal Services toe te voegen aan de “Remote Desktop Users Group” en de permissies hiervan aan te passen in het tabblad “Remote” van de systeemeigenschappen.

In de Terminal Services manager kan alle informatie over de gerelateerd aan de terminal servers, zoals de actieve gebruikerssessies bekeken worden. Hier kunnen sessies ook afgebroken of gebruikers afgelogt worden. Tevens is er de mogelijkheid een gebruiker een boodschap te sturen.

Bij selectie van de manager worden de momenteel geconnecteerde gebruikers getoond. De mogelijke taken gerelateerd aan deze gebruikers zijn te vinden in het schermdeel rechts.

10.4 Virtual Server 2005 en Hyper-V

De processorkracht is, zoals was voorspeld, sterk gestegen door de laatste jaren heen. Hierdoor is het mogelijk geworden om verschillende rollen in eenzelfde computer te verzamelen. Daarnaast is het klassiek zo dat verschillende serverrollen op andere momenten van de dag aangeroepen worden. Bij het begin van de werkdag krijgt de domain controller een grote werklast te verduren met aanlogtraffiek, maar gedurende de rest van de ochtend is het vooral de fileserver die zal moeten werken.

Het combineren van verschillende rollen geeft echter grote problemen inzake configuratie. Een domain controller mag onder geen beding rechtstreeks in verbinding staan met het internet, terwijl dat bij een webserver net wel het geval is.

Met de stijging van processorkracht is ook een daling van de prijs van hardware gekomen. Het is betaalbaar geworden voor een gemiddeld bedrijf om een zware server te kopen die hardwarematig gezien in alle eisen van het bedrijf kan voorzien.

De echte prijs van een server zit ook niet in de aankoop, maar in het onderhoud ervan. Het is belangrijk dat wanneer een server uitvalt die zo snel mogelijk opnieuw in werking gesteld kan worden. Hiervoor worden onderhoudscontracten opgesteld die door hun loopduur stukken duurder worden dan de hardware zelf. Het is dus een grote besparing voor het bedrijf om het serverpark te beperken tot zo weinig mogelijk verschillende fysieke machines.

Een mogelijke oplossing van dit probleem is te vinden in virtualisatie. In plaats van het besturingssysteem van de domain controller en de fileserver rechtstreek op de hardware te installeren, wordt er versie van Windows Server 2008 zonder extra rollen geïnstalleerd. Hierin wordt virtualisatiesoftware gedraaid, en daarbinnen worden verschillende virtuele machines aangemaakt. Die vervullen dan verschillende rollen voor het bedrijsnetwerk.

Daardoor kunnen de verschillende rollen van het netwerk verdeeld worden over elk hun eigen server. Wanneer een hacker erin slaagt op één van deze servers in te breken, is dit niet altijd een even groot probleem. Zo kan een iemand die de DNS-server kan contamineren niet noodzakelijk aan de fileserver. Dat had wel gelukt hadden beiden fysiek op dezelfde installatie van Windows Server 2008 toegevoegd geweest.

Security

Gebruik van de

Terminal Services

manager

Vereniging van

rollen

Hardware

onderhoud

Virtualisatie


Tegelijkertijd wordt de aangekochtte hardware door het gebruik van virtuele machines ten volle benut.

Wanneer een hardware upgrade plaats vindt, is het bij het gebruik van virtuele machines mogelijk om de bestanden waarbinnen de virtuele besturingssystemen geïnstalleerd zijn te verplaatsen van de oude naar de nieuwe server. Deze kunnen dan snel opgestart worden, waardoor de totale tijd dat de servers van het netwerk niet beschikbaar zijn beperkt is tot de tijd nodig om de bestanden te kopiëren. Dit zal altijd veel minder zijn dan de tijd nodig om alle rollen opnieuw te installeren, configureren en te testen.

Een nadeel aan deze werkwijze is dat er een extra serverlicentie nodig is. Het besturingssysteem waarbinnen de virtuele machines geïnstalleerd zijn kan en mag immers niet gebruikt worden om “nuttige” serverrollen uit te voeren.

De implementatie van virtualisatie in Windows Server 2008 heeft Hyper-V. Net zoals de meeste nieuwe functies van Windows 2008 Server was ook deze al beschikbaar als extra download bij Windows Server 2003. Hier ging het over het product Virtual Server 2005.

Waar Hyper-V echter alleen kan werken op 64-bit besturingssystemen, werkt Virtual Server 2005 ook op 32-bit systemen. Volgende tabel geeft een kort overzicht van de verschillen tussen beiden.

Virtual Server 2005 R2

Hyper-V

32-bit Virtual Machines Yes Yes

64-bit Virtual Machines No Yes

Multi Processor Virtual Machines No Yes, 4 core VMs

Virtual Machine Memory Support 3.6GB per VM 64GB per VM

Managed by System Center Virtual Machine Manager

Yes Yes

Support for Microsoft Clustering Services

Yes Yes

Host side backup support (VSS) Yes Yes

Scriptable / Extensible Yes, COM Yes, WMI

User Interface Web Interface MMC 3.0 Interface

Hierbij moet ook vermeld worden dat om de volledige kracht van Hyper-V los te laten, Windows Server 2008 Datacenter geïnstalleerd moet worden. Bij Windows Server 2008 Enterprise is het bijvoorbeeld onmogelijk om meerdere netwerkkaarten aan een virtuele machine te koppelen.

Hardware upgrade

Licentiekost

Virtual Server

2005 en Hyper-V

Tab. 10.1 Verschillen Virtual

Server 2005 en Hyper-V


11 DHCP en WINS

DHCP (Dynamic Host Configuration Protocol) centraliseert en vergemakkelijkt IP-adres management in TCP/IP-netwerken.

Indien men een TCP/IP netwerk wil opbouwen, kan men gebruiken maken van de DHCP Service om automatisch IP-adressen aan de computers in het netwerk uit te delen. Immers, voor een groot deel van de clients in in het netwerk maakt het niet veel uit welk IP-adres ze hebben, zolang het maar correct binnen het subnet valt en er op dat moment maar geen andere host binnen het netwerk is die hetzelfde adres heeft. De computer heeft dan TCP/IP connectiviteit met de rest van het netwerk. Bovendien bespaart dit de beheerder heel wat individueel configuratiewerk.

DHCP is ontwikkeld op basis van het BOOTP-protocol (Bootstrap Protocol), dat gebruikt werd voor het toekennen van IP-adressen aan werkstations zonder eigen harde schijf. BOOTP kende de IP-adressen niet dynamisch toe, maar ontnam ze aan een statisch BOOTP-bestand dat door de netwerkbeheerder werd aangemaakt.

Het idee dat DHCP alleen geschikt is voor cliënts maar niet voor servers is fout. Integendeel zelfs, bij servers is het belangrijker dan bij cliënts dat de IP-adressen centraal beheerd en indien nodig gewijzigd kunnen worden.

Het is wel zo dat servers niet op regelmatige basis van IP-adres mogen veranderen. Er wordt dus in het netwerk een scope voorzien die alle servers volgens vooringestelde regels van adressen voorziet. Hierdoor kan een systeembeheerder van op een enkel punt alle IP-adressen van de belangrijkste computers in het netwerk beheren.

11.1 Installatie van een DHCP-server

De DHCP Server Service is een standaard Windows Server 2008 component die geïnstalleerd kan worden door de juiste rol toe te voegen in de server manager.

In tegenstelling tot de andere rol-installaties is het hier wel nodig al direct de configuratie van de server te doen. Er wordt gevraagd naar de de netwerkinterface waarop de DHCP-server dienst zal doen. Daarnaast moet er een parent domain ingevuld worden waaronder de DHCP-server zal werken.

In vroegere implementaties van DHCP kon iedere gebruiker als het ware een DHCP-server op het netwerk creëren wat uiteraard tot conflicten kon leiden. Door de integratie met het domein in Windows Server 2008 is dit niet langer expliciet nodig.

Er wordt ook een preferred DNS-server opgevraagd. Deze zal mee uitgedeeld worden naar de cliënts die gebruik maken van DHCP. Daarnaast wordt ook gevraagd naar een WINS server. Meer over WINS servers volgt later in dit hoofdstuk.

Ook tijdens de installatiewizard kunnen er al scopes aangemaakt worden. Een scope is een verzameling IP-adressen die uitgedeeld mag worden. Scopes kunnen later echter ook nog altijd bij aangemaakt of aangepast worden.

TCP/IP en IP-

adressen

Statische en

dynamische

adressen

De DHCP Server

machtigen


Een volgende vraag gaat over DHCPv6 stateless mode. Hierop kan niet dieper ingegaan worden zonder eerst dieper in te gaan op Ipv6.

Toen men enkele jaren geleden merkte dat de IP-adressen wereldwijd op geraakten, werd er koortsachtig gewerkt aan een nieuwe versie van het IP-protocol. De versie die ooit wereldwijd is losgebarsten en de defacto standaard is geworden in alle netwerken is IPv4. De oplossing voor het tekort zou liggen in IPv6.

Behalve langere adressen, 128 bit in plaats van 32 bit, bevat IPv6 nog een groot aantal voordelen. Zo is de header van het IP-pakket niet langer vast bepaald, maar bevat hij maar een zeer beperkt aantal velden die kunnen uitgebreid worden met andere, specifieke headers. Een secure IP-pakket zal zo een andere sub-header meedragen dan een pakket met streaming video.

De beschrijving van IPv6 is ondertussen helemaal klaar, maar de implementatie laat op zich. Op en windows XP cliënt is het perfect mogelijk om IPv6 te installeren als netwerkprotocol. Vanaf latere versies zoals Windows Vista en Windows Server 2008 staat dit ook standaard geïnstalleerd.

Voorlopig echter houdt het daarmee op. In al de andere beheersconsoles zijn er hier en daar wel vermeldingen van IPv6 te vinden, maar nergens is de implementatie tot op het bot doorgetrokken. Daarom is het veiliger om met Windows Server 2008 te blijven werken in IPv4.

Omdat IPv6 adressen met hun 128 bit onmogelijk te onthouden en zelfs moeilijk over te schrijven zijn, zal het bijna altijd met een DHCP-server gebruikt worden. Dat zou echter de gebruiker die zonder een server wil werken accuut in de kou laten staan. Daarom kunnen IPv6 cliënts zo ingesteld worden dat ze voor zichzelf een adres kiezen. Dit heet IPv6 stateless mode.

De Windows Server 2008 DHCP-server ondersteunt beide modi.

Om ervoor te zorgen dat niet iedereen een eigen DHCP-server kan opzetten om de goede werking van het netwerk in de weg te staan, zal de installatiewizard gegevens vragen over de gebruiker waarmee hij zich moet authorizeren in het domein.

Dit lijkt eigenaardig wanneer de DHCP-server geïnstalleerd wordt op de domain controller, maar het geeft aan hoe de rollen op een domain controller perfect van elkaar gescheiden blijven. Een DHCP-server kan dus evengoed op een tweede machine in het netwerk draaien.

11.2 Ingebruikname van een DHCP-server

Wanneer een DHCP-server opstart in Windows Server 2008 contacteert hij Active Directory om te bepalen of hij op de lijst van gemachtigde servers staat. Indien ja, dan zal de service opstarten; indien niet, dan zal de service een foutmelding loggen in de system log en geen requests van clients beantwoorden.

Deze authorizatie is normaal gezien gebeurd tijdens de installatie.

In een Scope maakt men een reeks van adressen aan die de DHCP-server aan cliënts mag uitdelen. Windows Server 2008 voorziet een Create Scope Wizard om het aanmaken van een scope te vereenvoudigen:

Ipv6 en DHCPv6

IPv6 stateless

mode

DHCP server

authentication

Aanmaken van

een scope


Men start deze door in de server manager op IPv4 rechts te klikken en te kiezen voor “New scope.”

Achtereenvolgens moeten volgende specificaties opgeven worden:

1. Scopenaam

2. IP-adresbereik

3. Subnet-mask

4. IP-adres ‘exclusions’. Dit zijn adressen die niet mogen worden uitgedeeld omdat ze bv. gereserveerd zijn voor specifieke servers.

5. Lease duration

Vervolgens kan men ervoor kiezen de volgende opties onmiddellijk te configureren, of ze standaard aan te nemen.

6. Default gateway

7. Parent domain voor DNS resolutie

8. WINS servers

De lease-duur die men instelt voor je IP-adressen kan van invloed zijn op de efficiëntie van het netwerk. Zijn er veel mobiele computers binnen jenetwerk, dan zal een kortere leaseduur het deze gebruikers makkelijker maken om toegang te krijgen tot netwerkresources als ze verbinding opnemen via een ander subnet. Of misschien werkt het bedrijf wel in een ploegensysteem waarbij bepaalde afdelingen gesloten zijn wanneer anderen werken en zouden minder IP-adressen dan er gebruikers in het bedrijf zijn volstaan.

Is het netwerk vrij statisch dan kan een langere leaseduur het aantal DHCP-broadcasts over het netwerk gevoelig verminderen, waardoor meer bandbreedte voor andere applicaties en services beschikbaar blijft.

Zoals steeds het geval is, is de logische structuur die wordt opgebouwd door de verdeling van IP-adressen meestal niet gelijk aan de fysieke structuur van het netwerk. Wanneer er weinig computers over een groot bedrijf staan, is de kans bestaande dat er meerdere netwerken zijn die van elkaar gescheiden zijn door routers en verschillende netwerkmedia. Windows Server 2008 kan dan echter alle computers toch IP-adressen uit hetzelfde subnet toekennen.

Omgekeerd kan er bij een grote dichtheid van computers voor gekozen worden zelfs de computers die op dezelfde switch zijn aangesloten in een ander logisch subnet thuis te brengen.

Een volgende type scope dat door Windows wordt ondersteund is de Multicast Scope. Multicasting technologie wordt vooral gebruikt voor videoconferencing en audio-applicaties. Ook hiervoor voorziet Windows Server 2008 een Wizard die de configuratie begeleidt.

11.3 De integratie van DHCP en DNS

Men kan de Windows Server 2008 implementatie van DHCP zo instellen dat DNS Servers die het Dynamic Update Protocol ondersteunen automatisch informatie ontvangen van de DHCP Server over de uitgedeelde leases.

! In het tabblad DNS van de DHCP-properties van een DHCP-server krijgt men volgende mogelijkheden.

Bedenkingen bij

de lease duration

Fysiek lan

Multicast Scope

Dynamic Updates

van DNS


! Enable DNS dynamic updates according to the settings below – dit selectievakje staat standaard ingeschakeld.

! Dynamically update DNS A and PTR records only if requested by

the DHCP clients – deze selectie (default optie) betekent dat de DNS-server alleen bijgewerkte informatie zal ontvangen als de client een IP-adres aanvraagt bij de DHCP-server.

! Always dynamically update DNS A and PTR records – via deze optie wordt het mogelijk om voor elke willekeurige client die een verlenging van zijn IP-adreslease aanvraagt DNS-records bij te werken.

! Discard A and PTR records when lease is deleted – deze standaardoptie vereist dat de DHCP-server een bericht moet sturen aan de DNS-server om ervoor te zorgen dat de records van een host verwijderd worden als het IP-adres voor die host verloopt.

! Dynamically update DNS A and PTR records for DNS clients that

do not request updates – deze optie schakel je in als je pre-Windows 2000 clients in je network hebt opgenomen. Deze clients zijn standaard geen zogenaamde DNS-clients die zichzelf kunnen registreren. De DHCP-service doet het dan in hun plaats.

11.4 Windows Internet Naming Service

Windows Internet Naming Service of WINS wordt gebruikt ter ondersteuning van cliënts en toepassingen die NetBIOS-namen gebruiken als basis voor hun communicatie. Het NetBIOS protocol is nog een overblijfsel uit de tijd dat Microsoft en IBM samenwerkten, en het blijft eigendom van IBM. Daarom mag Microsoft geen veranderingen aanbrengen in het protocol.

NetBIOS hangt voor zijn werking zeer sterk af van broadcasttraffiek. Dat is geen probleem als het met mate gebruikt wordt, maar spijtig genoeg gebruiken een groot deel van de applicaties en services van vandaag nog steeds NetBIOS. Zelfs bij Windows Server 2008 kan geschat worden dat 70% van de services van het besturingssysteem nog gebruik maakt van NetBIOS.

Een verbetering in NetBIOS is wel geweest dat in plaats van te broadcasten naar het algemene adres 255.255.255.255 er nu gebroadcast wordt binnen het eigen subnet, een directed broadcast. Voor het subnet 10.116.0.0 met als subnetmask 255.255.0.0 wordt dan dan het adres 10.116.255.255. Deze verbetering werkt echter negatief aangezien routers een broadcast naar 255.255.255.255 niet doorsturen, maar een directed broadcast wel. Dit heeft het probleem dus verergerd.

Voor het netwerk is dit strikt gezien geen probleem. Met moderne routers is het mogelijk broadcastdomeinen in te dammen en de netwerkcapaciteit is zo groot geworden dat de relatief kleine NetBIOS pakketten het niet meer kunnen verstoppen.

De echte slachtoffers van deze traffiek zijn echter de applicaties die ze genereren zelf. Aangezien ze deze informatie uitsturen, worden ze ook verwacht dezelfde informatie van hun peers te lezen en te interpreteren. Dat heeft tot gevolg dat ze hun processortijd moeten opofferen aan het decoderen van pakketten die meestal niet voor hen bedoeld zijn.

Gebruik NetBIOS

en WINS


WINS zorgt voor een juiste mapping tussen NetBIOS-namen en IP-adressen in TCP/IP-netwerken door middel van een dynamische database die NetBIOS-namen in IP-adressen vertaalt. WINS-clients kunnen de database vragen namen te vertalen voor het identificeren van resources op het netwerk.

Een WINS-cliënt is een willekeurige computer die is geconfigureerd om de WINS-server te gebruiken voor het vertalen van NetBIOS-namen in IP-adressen. De TCP/IP-eigenschappen van Windows-clients en servers moeten zo geconfigureerd worden dat ze naar WINS-servers op het netwerk verwijzen. Deze configuratie maakt de computers tot WINS-clients.

Waar WINS in eerdere versies van Windows Server nog een rol van de server was, is het nu gedomoveerd naar een feature. Deze is te installeren op dezelfde manier als alle andere Windows features.

De beste manier om de broadcasttraffiek van WINS en NetBIOS te beperken is door een WINS server op het netwerk in te stellen, die snel kan antwoorden op alle vragen. Hierdoor moeten vragen dan toch al niet meer herhaald worden.

Het beheren van de server gaat in de server manager, na installatie onder features. Er kunnen dan extra instellingen van beheerd worden. Hier kunnen replicatiepartners ingesteld worden waarmee de server zal synchroniseren.

Door in een cliënt vast het IP-adres van de WINS-server in te stellen zal deze bij NetBIOS naamresolutie niet langer de nood voelen zich tot broadcasttraffiek te wenden. Tot in Windows Vista is het mogelijk deze instelling te maken.

Werking van WINS

WINS in Windows

Server 2008

Fig. 11.1 WINS in de server manager

WINS configuratie

van cliënts


Fig. 11.2 WINS cliënt instelling


12 Remote access en Virtual Private Networking

In de “Network Policy and Access Role,” klassiek te installeren vanuit de server manager, zijn een aantal beveiligings- en connectiviteitsfeatures verzameld. In dit hoofdstuk zullen “Remote Access” en “VPN-verbindingen” verder besproken worden. Tevens wordt er gekeken naar een aantal beveleiligingsmaatregelen die verband houden met Remote Access, zoals een RADIUS server en Network Policy Server (NPS).

Een Remote Access Server of RAS kan gebruikt worden om VPN-verbindingen of inbelverbindingen van gebruikers die zich niet in het lokale netwerk bevinden te beveiligen. Tevens is het mogelijk met het Netword Policy Server-onderdeel van de rol om een Server met twee of meer netwerkkaarten te configureren als een router.

Ook bij gebruik van VPN’s is het sterk aan te raden meerdere netwerkkaarten te installeren in dezelfde server. Dit om een duidelijke scheiding aan te geven tussen de “open” kant van het netwerk en de “gesloten” of beveiligde kant.

VPN’s of Virtual Private Networks zijn een manier waarop een gebruiker van eender waar op het internet een beveiligde verbinding kan leggen met het bedrijfsnetwerk. Het emuleert als het ware een netwerkverbinding aan de binnenkant van de firewall. Nodeloos te zeggen dat dit, bij slechte configuratie, een probleem kan vormen voor de beveiliging. Wanneer het echter goed ingesteld is, kan een VPN voor een bedrijf een mogelijkheid zijn om thuiswerkers en mobiele werknemers op een afdoende wijze te ondersteunen in de uitvoering van hun takenpakket.

Bij het toevoegen van de rol op de server met gebruik van de server manager kan men tijdens de volgende configuratie kiezen uit welke onderdelen deze rol zal bestaan. Beschikbaar zijn de volgende.

! Network Policy Server

! Routing and Remote Access Services

o Remote Access Service

o Routing

! Health Registration Authority

! Host Credential Authorization Protocol

De optie Routing van “Routing and Remote Access Services” en de twee laatste opties zullen hier niet verder besproken worden. Met “Routing” is het mogelijk een router te maken van een Server. Binnen een bedrijfsnetwerk is dat echter een functionaliteit waarvoor geen server gebruikt zal worden maar een dedicated device dat gemaakt is om te routeren. Deze hebben een kortere opstarttijd en een lagere licentiekost. Daarnaast zijn ze veiliger doordat er een groot aantal functies, onder andere de hele GUI van Windows Server 2008, niet aanwezig zijn.

De Health Registration Authority en Host Credential Authorization Protocol zijn een server en een protocol waarmee het netwerk en dan vooral de hosts

Installatie van de

serverrol

Routing


op het netwerk geanalyseerd kunnen worden. Een verregaande beschrijving ervan valt buiten het bestek van deze cursus.

12.1 Routing and Remote Access

Ook de configuratie van deze serverrol kan gedaan worden in de server manager. Bij rechtsklikken op de serverrol is de keuze “Configure an Enable Routing and Remote Access” beschikbaar. Wanneer deze wizard met succes doorlopen is zal de server geactiveerd zijn en kan de verdere configuratie gebeuren in de server manager.

Er zijn een aantal typische serverconfiguraties beschikbaar.

! Remote Access: Stel de server in als connectiepunt binnen het netwerk voor externe gebruikers.

! Network Adress Translation: Dit is meer een routing-service dan een Serverrol. Hierbij zal de server een vertaling doen van de interne socket (combinatie van IP-adres en poortnummer) naar een externe socket, waarbij alle externe sockets gebruik maken van hetzelfde IP-adres. De algemeen aangenomen naam hiervoor is Port Adress Translation.

! VPN access and NAT: Een combinatie van de twee voorgaande rollen, evenwel zonder Dial-up verbindingen.

! Secure connection between twe private networks: Behalve voor mobiele gebruikers kan een VPN ook opgezet worden om een netwerk dat verdeeld is over verschillende geografische locaties virtueel samen te linken.

! Custom configuration: Deze optie stelt de beheerder in staat een combinatie van de voorgaande rollen aan te maken.

Binnen deze serverrollen wordt regelmatig gesproken over Dial-up verbindingen. Mensen “die al langer met computers bezig zijn” denken daarbij ongewtijfeld aan het gekraak dat een 56k modem maakte bij het inbellen naar internet om alzo traag en per minuut betaald te kunnen surfen.

In evenwel dezelfde termen hebben we allemaal gedacht dat het gebruik van een shared medium in computernetwerken voorbij was toen coax-netwerken werden vervangen door UTP-stertopologieën, tot we enkele jaren later allemaal draadloos dezelfde lucht als medium begonnen te gebruiken en een shared medium weer de harde realiteit werd.

Op exact dezelfde manier is het mogelijk dat dial-up verbindingen weer hun weg naar het netwerk vinden voor mobiele gebruikers die met GSM, GPRS of EDGE gaan connecteren met het interne netwerk via een inbelverbinding.

Omdat er bij VPN’s gebruik wordt gemaakt van verschillende netwerkkaarten en deze elk hun eigen rol binnen de communicatie voeren, moet dit aangegeven worden aan de server. Ook de manier waarop remote cliënts een IP-adres verkijgen kan geselecteerd worden binnen dezelfde wizard.

Hierbij kan opgemerkt worden dat de doorsnee thuiswerker een IP-adres moet afhalen bij de eigen internet service provider (ISP). Dat is waar, maar VPN is een tunneling protocol, waarbij een volledige IP-verbinding zal ingepakt worden in een andere IP-verbinding. De ingepakte verbinding is veilig en heeft een IP-adres uit het bedrijf zelf nodig, de verbinding die als

Server

configuraties

Dial up

verbindingen

Netwerkverbindin

gen


cadeaupapier gebruikt wordt is niet veilig en zal gebruik maken van de IP-adressen die de ISP aanlevert.

Behalve door de Routing en Remote Access service kunnen cliënts ook geautheticeerd worden door een RADIUS (Remote Authentication Dial-In User Service). Deze wordt geïmplementeerd door middel van een NPS of Network Policy Server.

12.2 Authenticatieprotocollen

Van zodra een gebruiker van eender waar in de wereld een verbinding kan maken met het lokale netwerk en de lokale servers, kan een hacker van eender waar ter wereld diezelfde verbinding maken. Eén van de belangrijkere, zoniet het belangrijkste, onderdeel van Remote Access is dus authenticatie van een gebruiker.

Hiervoor zijn verschillende protocollen beschikbaar. In volgorde van oplopende veiligheid zijn de volgende beschikbaar:

1. Unauthenticated access

2. Unencrypted password (PAP)

3. Shiva password authentication protocol (SPAP)

4. Encrypted authentication (CHAP)

5. Microsoft Encrypted authentication (MS-CHAP)

6. Microsoft Encrypted authentication Version 2 (MS-CHAP v2)

7. Extensible authentication protocol (EAP)

Het extensible authentication protocol is beschikbaar sinds Windows Server 2000. Het is een uitbreiding op het point-to-point protocol en is ontworpen om gebruikers te authenticeren met het gebruik van bijkomende apparaten. Deze apparaten kunnen de vorm aannemen van een vingerafdruk lezer of een smart card lezer.

Met EAP is het ook mogelijk om opties zoals eenmalige paswoorden en certificaten te gebruiken. Bovendien is het protocol uitbreidbaar, zodat er continu nieuwe mogelijkheden toegevoegd kunnen worden.

Momenteel zijn er drie mogelijkheden ondersteund, MD5-challenge, EAP-TLS en Smart cards of andere certificaten.

Wanneer MD5-challenge wordt gebruikt is EAP sterk te vergelijken met CHAP, maar er wordt wel gebruik gemaakt van het pakketformaat dat gekoppeld is aan EAP.

Bij EAP-TLS gaan zowel de server als de cliënt zichzelf authenticeren. Dit geeft extra mogelijkheden inzake veiligheid, aangezien het hierbij voor de cliënt ook altijd zeker is dat er een verbinding wordt gemaakt met de juiste server en niet met iemand die zich voordoet als de juiste server, om zo aan gegevens op de cliënt te komen.

Bij het Challenge Handshake protocol worden de gebruikersnaam en het paswoord niet in platte tekst doorgestuurd, wat wel het geval is bij bijvoorbeeld PAP. Bij CHAP wordt er gebruik gemaakt van een three way handshake. Bij dit mechanisme stuurt de server een random nummer naar de cliënt, die dit dan geëncrypteerd terugstuurt tesamen met het

Authenticatie

Extensible

authentication

protocol

Challenge

Handshake

protocol


gebruikersnaam en het paswoord. Na decryptie van het antwoord kent de server de gebruikersnaam en het paswoord van de connecterende cliënt.

Het random nummer in de connectie zorgt ervoor dat een hacker geen gebruik kan maken van eerder opgeslagen pakketten om een verbinding te maken op een later tijdstip. De geëncrypteerde waarde is altijd verschillend, alhoewel hetgeen geëncrypteerd wordt en de methode van encryptie altijd hetzelfde blijven.

Microsoft heeft dit protocol verder uitgebreid naar Microsoft Encrypted authentication en Microsoft Encrypted authentication v2.

Deze versie is in essentie een gewone toepassing van het Challenge Handshake protocol, waarbij eveneens een three way handshake gebruikt wordt. En zijn geen extra of betere encryptiemethodes gebruikt, maar het pakketformaat is ook aangepast zodanig dat het speciaal is afgestemd op de noden van Windows-besturingssystemen.

Microsoft Encrypted authentication, net zoals Microsoft Encrypted authentication v2 zijn proprietary protocollen, wat wil zeggen dat de manier waarop ze werken niet is vrijgegeven. Dit zorgt ervoor dat het systeem iets veiliger is, maar tevens dat ze niet geïmplementeerd kunnen worden door andere softwareproducenten.

In Microsoft Encrypted authentication v2 is wel duidelijk veiliger dan het standaard Challenge Handshake protocol. Er is onder andere de mogelijkheid om verschillende cryptografische sleutels in te stellen voor het sturen en ontvangen van informatie. Daarbij is ook mutuele authenticatie ondersteund, wat wil zeggen dat zowel de server als de cliënt zichzelf ondersteunen.

Het Shiva password authentication protocol is het authenticatie schema dat gebruikt wordt bij software van Shiva. Shiva biedt een alternatief aan dat dezelfde functionaliteiten kan bieden als Microsoft Remote Access, inclusief een server en cliënts. Dankzij de implementatie van dit protocol is het mogelijk om Shiva-cliënts, zij het zonder encryptie, te laten connecteren op een Microsoft RAS server.

Wanneer de cliënt bij een Password authentication protocol verbinding maakt, stuurt deze zijn gebruikersnaam en paswoord in tekstvorm door naar de server. De server kijkt ze na en encrypteert ze. Wanneer gebruikersnaam en paswoord niet kloppen wordt de verbinding afgebroken.

Dit wordt ook wel een two way handshake genoemd. Dit is inherent onveilig omdat met een simpele packetsniffer in de traffiek van een gebruiker de gebruikersnaam en het paswoord van deze gebruiker gelezen kunnen worden zonder enige vorm van decryptie. De hacker kan hiermee later zelf een verbinding opbouwen en zal ten onrechte herkend worden als een volledige gebruiker.

Nog onveiliger dan het is Password authentication protocol is Unauthenticated access. Hierbij hoeft een hacker zelfs geen packet sniffing te doen, maar kan er gewoon een verbinding gemaakt worden met de server. Het spreekt voor zich dat dit alleen in zeer uitzonderlijke gevallen gebruikt zal worden.

Het is licht verwarrend dat de Dial-in opties van een gebruiker niet worden ingesteld bij de instellingen van RAS, maar bij de opties van de gebruikers zelf in Active Directory Users and Computers. Bij de eigenschappen van een

Microsoft

Encrypted

authentication

Microsoft

Encrypted

authentication v2

Shiva password

authentication

protocol

Password

authentication

protocol

Unauthenticated

access

Configuratie van

gebruikers


gebruiker is standaard een tabblad aanwezig waar alle opties ingesteld kunnen worden.

12.3 Virtual Private Networks

Het grote voordeel van een virtual private network of VPN is dat er een gegarandeerde veiligheid zit in de communicatie tussen de gebruiker en de server. Dit is niet evident aangezien een VPN-gebruiker zich eender waar kan bevinden, zolang er maar een verbinding met het internet aanwezig is.

Bij een VPN wordt er een “normale” TCP/IP-verbinding opgezet over het internet. Deze verbinding vindt plaats over routers en netwerken van verschillende bedrijven, en over veruit de meeste hiervan heeft een systeembeheerder geen controle.

De pakketten die zo worden doorgestuurd worden echter gebruikt om andere TCP/IP pakketten in te steken. Deze ingepakte pakketten hebben een eigen header die door het inpakkende protocol gezien worden als data. Het is deze verpakte verbinding die wel veilig gemaakt kan worden door encryptie. Deze manier van werken wordt Tunneling genoemd.

Er zijn verschillende protocols beschikbaar om deze tunneling mee uit te voeren. Alledrie de protocollen zijn beschikbaar bij een verbinding tussen Windows Vista en Windows Server 2008. Wanneer er cliënts zijn die nog Windows XP of Windows 2000 gebruiker is SSTP standaard niet beschikbaar.

Secure Socket tunneling protocol of SSTP is een protocol dat alleen beschikbaar is bij Windows Server 2008 en Windows Vista. Het is een uitbreiding op het point-to-point protocol (PPP) dat gebruikt werd voor diaul-up internet verbindingen.

Met SSTP is het mogelijk om de data door een firewall te sturen die PPTP en L2TP (de volgende protocollen) blokkeert. SSTP encapsuleert PPP traffiek over het Secure Socket Layer (SSL) kanaal van het HTTPS protocol.

Het is een extreem veilig protocol dankzij vergevorderde encryptie en key negotiation.

Een andere uitbreiding op het point-to-point protocol (PPP) is het Point-to-Point Tunneling Protocol of PPTP. Hiermee worden datapakketten, klassiek altijd IP-pakketten, ingepakt in PPP data pakketten. PPTP vereist dat er een IP-communicatie bestaat tussen de cliënt en de server, maar deze vereiste is meestal voldaan omdat de tegenwoordige netwerken quasi allemaal met TCP/IP werken.

Voor de beveiliging wordt gebruik gemaakt van authenticatie protocollen zoals CHAP, MS-CHAP en EAP. De data-encryptie gebeurt met Microsoft Point-to-Point Encryption (MPPE).

Het Layer 2 Tunneling protocol is een industrie-standaard. Dit zorgt ervoor dat het ook beschikbaar is op apparaten en besturingssystemen die geen gebruik maken van Microsoft Windows. Bovendien vereist het geen IP-communicatie, waardoor het in bedrijfsomgevingen met frame relay, ATM of X.25 gebruikt kan worden.

Voor de veiligheid zorgt het Ipsec protocol, dat later dit hoofdstuk aan bod komt.

Tunneling

Secure Socket

tunneling protocol

Point-to-Point

Tunneling

Protocol

Layer 2 Tunneling

Protocol


Bij de installatie van de RAS server rol wordt de VPN server automatisch geconfigureerd. Zoals eerder vermeld is hier een computer met minimaal twee netwerkkaarten voor nodig.

Wanneer er bij de initiële installatie van de RAS niet gekozen is om VPN’s toe te voegen, kan dit alsnog gedaan worden. Hiervoor klikt men rechts op de RRAS snap-in in de server manager om de eigenschappen van de server op te vragen. In het tabblad “General” kan men een vink zetten bij “Ipv4 remote access”. Dit schakelt zowel de VPN-server als de dial-in RAS server in.

Bij configuratie van RRAS voor VPN worden er verschillende poorten aangemaakt. Deze poorten kunnen door gebruikers op afstand gebruikt worden om te connecteren naar de VPN server.

Een “poort” is een kanaal dat in een enkele point-to-point verbinding voorziet. Een poort wordt altijd aangegeven als “WAN Miniport”. De drie verschillende protocollen, SSTP, PPTP en L2TP kunnen ingesteld worden bij zo’n WAN Miniport. Standaard worden er 128 poorten van elk type aangemaakt.

Wanneer men rechts klikt op de poorten in de server manager en de eigenschappen opvraagt, is het mogelijk het totaal aantal poorten van elk type te wijzigen. Maximaal kunnen er 1000 poorten van elk type gemaakt worden.

Bij het aanmaken van poorten moet er rekening gehouden worden met de bandbreedte van de server. De bandbreedte die nodig is voor een typische VPN verbinding varieert sterk met de noden van de gebruiker. Wanneer er veel schijfinteractie is zal deze een stuk hoger liggen dan bij het gebruiken van de normale desktop publishing software.

12.4 RADIUS en NPS

Een Remote Authentication Dial-In User Service ofwel RADIUS server zorgt voor de authenticatie van gebruikers op afstand en zorgt ook voor het loggen van alle gegevens over de toegang tot de RAS server.

Implementaties van een Radius server zijn gemaakt door verschillende bedrijven voor gebruik op verschillende besturingssystemen. In Windows Server 2008 is de Radius server geïmplementeerd in de Network Policy Server (NPS).

Om NPS als Radius Server te gebruiken is enige configuratie vereist. Dit kan gedaan worden door middel van een wizard. Deze wizard kan geopend worden vanuit de server manager.

In deze wizard kan een naam ingegeven worden voor het IP-adress van de server. Daarnaast is ook een gedeeld paswoord nodig, dat gebruikt wordt om een VPN server aan te maken. Er kunnen meerdere VPN servers aangemaakt worden. Met dit gedeelde geheime paswoord zullen VPN server zichzelf authenticeren tegen de NPS server.

Standaard wordt MS Chap v2 aangegeven als authenticatie protocol. Wanneer er echter smart cards of certificaten gebruikt gaan worden moet EAP gebruikt worden.

Installatie van een

VPN server

Poorten

Network Policy

Server


Tevens kan men aangeven welke gebruikersgroepen er gebruik mogen maken van de Radius server. Wanneer er geen gebruikersgroepen geselecteerd worden neemt de server standaard alle gebruikers aan.

Er kunnen filters aangegeven worden voor zowel IPv4 pakketten als voor IPv6. Daarnaast kan er gekeken worden naar het type pakketten. Deze types zijn klassiek gezien TCP, UDP en ICMP.

Na configuratie wordt de toegang tot de RAS server gecontroleerd door de RADIUS server binnen NPS. Hierbij kunnen ook hele policies toegepast worden op de communicatie. Security en toegang zijn sterk verbonden met deze policies, en het is belangrijk ze strikt genoeg te maken opdat gebruikers met kwade bedoelingen niets kunnen mis doen, maar tevens moet ze open genoeg zijn om ervoor te zorgen dat gebruikers nog vlot gebruik kunnen maken van het systeem.

Gebruikers

IP-filters


13 De fysieke structuur van AD

De fysieke structuur van Active Directory is volledig onafhankelijk van de logische structuur. Men gebruikt de logische structuur om de netwerkresources te beheren en men gebruikt de fysieke structuur om de netwerktrafiek te configureren en te beheersen.

Een goed begrip van de fysieke structuur laat een netwerkbeheerder toe om de meest efficiënte netwerktopologie te bepalen en verschaft inzicht in het effect van wijzigingen in de fysieke structuur op de prestaties van het netwerk.

Een directory service moet in de eerste plaats accurate informatie leveren. Replicatie is het proces dat zorgt voor updates van informatie de ene domain controller naar de andere domain controllers in een netwerk.

De fysieke structuur van Active Directory bepaalt wanneer en hoe replicatie binnen sites en tussen sites gebeurt. De fysieke structuur heeft ook invloed op de prestaties van het netwerk op vlak van logon authenticatie en op de efficiëntie waarmee een client informatie kan terugvinden in het netwerk.

13.1 Active Directory Sites

Replicatie zorgt er dus voor dat alle directory informatie beschikbaar is voor alle domain controllers en voor alle cliënts over heel het netwerk. In de praktijk is het echter zo dat heel wat netwerken samengesteld zijn uit een aantal kleinere netwerken of subnetten en dat de verbindingen tussen deze subnetten aan verschillende snelheden werken. Het is dus van groot belang om inzicht te hebben in de replicatietrafiek en andere Active Directory gerelateerde trafiek (vb. logon authenticatie) over de verschillende links. Daarin schuilt de functie van Sites binnen Active Directory.

Wanneer een domain controller die een specifieke service aanbiedt zich binnen dezelfde site bevindt als de cliënt die de service vraagt, dan zal de cliënt naar die specifieke domain controller worden geleid en op die manier de snellere verbindingen binnen een site gebruiken.

Een Site wordt gedefinieerd als één of meer goed geconnecteerde IP-subnets. De administrator bepaalt of een site goed geconnecteerd is op basis van de eisen gesteld aan het netwerk, de snelheid van de links en de network traffic load.

Zo kan een administrator van een relatief klein netwerk beslissen dat een verbinding van 128 Kbps snel genoeg is om als ‘goed geconnecteerd’ omschreven te worden, terwijl de administrator van een veel groter netwerk vindt dat 1,5 Mbps te traag is.

Op het moment dat hij een site creëert legt een administrator vast welke subnets met één site worden geassocieerd. Een site kan dus bestaan uit verschillende subnets. Een subnet maakt echter altijd deel uit van één bepaalde site.

Het site-lidmaatschap van een client wordt dynamisch aangepast afhankelijk van het IP-adres van de computer iedere keer de machine wordt opgestart. De site locatie van een domain controller wordt vastgelegd tijdens de installatie van Active Directory. Een domain controller blijft altijd lid van dezelfde site tenzij de administrator zijn site lidmaatschap expliciet wijzigt.

Site definitie

Site lidmaatschap


De site locatie van een domain controller bepaalt zijn plaats in het replicatiegebeuren van Active Directory en bepaalt daarnaast ook de rol van een domain controller in het logon proces, bij Active Directory queries en bij andere service aanvragen van clients.

Tijdens de installatie van de eerste domain controller in een Windows Server 2008 omgeving creëert de installatiewizard de initiële fysieke structuur. Deze bestaat uit een Default-First-Site-Name die achteraf een andere naam kan gegeven worden. De domain controller wordt toegewezen aan deze site en alle nieuwe domain controllers worden er eveneens aan toegevoegd. De initiële site bevat standaard alle IP-subnets.

13.2 Replicatie componenten

Wanneer men domain controllers toevoegt aan een site, dan moet er een methode bestaan om het replicatiepad tussen de domain controllers te bepalen. Active Directory gebruikt hiervoor een proces met de naam: Knowledge Consistency Checker (KCC).

De Knowledge Consistency Checker is een ingebouwd proces op alle domain controllers dat ervoor zorgt dat een volledige replicatie van Active Directory gebeurt. Hieroor kan de KCC op elk ogenblik een Active Directory replicatie topologie creëren of wijzigen. De KCC configureert automatisch connecties tussen domain controllers voor replicatie. Hoewel het proces volledig automatisch gebeurt, kan men de connecties ook manueel aanpassen en nieuwe connecties creëren.

Alle Windows Server 2008 computers binnen een Active Directory domein worden voorgesteld door een computer object. Wanneer men een domein controller configureert, dan maakt de installatiewizard hiervoor ook een server object aan. Het computer object en het server object verwijzen naar dezelfde domain controller, maar het server object wordt in dit geval gebruikt om de domain controller te beheren in de context van replicatie en site management.

Default-First-Site-

Name

Knowledge

Consistency

Checker

Fig 14.1 Replicatie componenten

Server object en

Site object

Site Object

Server

Object A

Server

Object B

B is replicatiebron voor A A is replicatie bron voor B

NTDS

Settings

Object

NTDS

Settings

Object

Connection Object

A B

Connection Object

A B


Server objecten zijn kinderen van site objecten. Een parent site moet de subnets bevatten waar de domain controller toe behoort. Indien juiste site object nog niet bestaat, dan zal de administrator het server object later moeten verplaatsen.

Het Server Object is op zijn beurt parent van een NTDS Settings Object. Dit is een container die alle connectie objecten van een Server Object bevat en die automatisch wordt gecreëerd bij de installatie van Active Directory.

Een Connection Object stelt een eenrichting replicatiepad voor tussen twee server objecten en verwijst naar de bron van de replicatie. Domain controllers die gelinkt worden door connection objects zijn ‘replicatiepartners’.

Zo zullen dus voor de volledige replicatie van de directory informatie tussen domain controller A en domain controller B twee Connection Objects nodig zijn. Een eerste om de replicatie van DC A naar DC B toe te laten; dit Connection Object vindt men terug in het NTDS Settings Object van DC B. En een tweede om de replicatie van DC B naar DC A te verzorgen en dit object vindt men dan terug onder het NTDS Settings Object van DC A.

Connection Objects worden dus altijd in twee richtingen aangemaakt: automatisch door de KCC op de bestemming domain controller of manueel door een administrator.

13.3 Replicatie binnen een site

Connection Objects vormen een replicatiepad voor replicatie binnen en site of tussen sites. Er zijn echter belangrijke verschillen tussen deze types van replicatie, die belangrijk zijn bij het aanmaken van sites en voor het plaatsen van een domain controller in een bepaalde site.

Replicatie binnen een site is ontwikkeld om te werken met snelle en betrouwbare connecties. Replicatie vindt plaats door middel van een change

notification proces. Wanneer er een verandering gebeurt aan een object op een domain controller, wacht de domain controller gedurende een configureerbaar interval (standaard 5 minuten) en stuurt vervolgens een bericht aan zijn replicatiepartners. Ondertussen kunnen er verdere wijzigingen op de domain controller gebeuren. Wanneer de replicatiepartners de boodschap ontvangen, kopiëren ze de veranderingen uit de database van de zender.

Wanneer geen veranderingen gebeuren gedurende een bepaalde periode (standaard 1 uur), dan zal een domain controller automatisch het replicatieproces opstarten om te vermijden dat er bepaalde wijzigingen werden gemist.

Omdat een site er vanuit gaat dat hij beschikt over een betrouwbare link met hoge snelheid wordt alle replicatietrafiek ongecomprimeerd over de lijn doorgestuurd. Uiteraard heeft replicatietrafiek op die manier een belangrijke invloed op de totale netwerktrafiek.

Active Directory gebruikt het Remote Procedure Call (RPC) over IP protocol voor replicatie binnen een site.

NTDS Settings

object

Connection Object

Change

notification

proces

Ongecomprimeer-

de trafiek

RPC


13.4 Replicatie tussen sites

Replicatie tussen sites wordt opgezet in de veronderstelling dat netwerklinks tussen sites beperkte bandbreedte en een mindere betrouwbaarheid ter beschikking hebben.

Replicatie tussen sites maakt dan ook geen gebruik van een change

notification proces, maar wordt geconfigureerd door middel van een replicatieschema en bepaalde intervalwaarden. Het replicatieschema bepaalt wanneer replicatie mag gebeuren en de intervalwaarde geeft aan hoe dikwijls domain controllers wijzigingen checken gedurende de ‘toegestane periode’ uit het schema.

Omdat bandbreedte bij replicatie tussen sites een cruciaal issue is, wordt de trafiek tussen sites gecomprimeerd tot 10 à 15 procent van de originele grootte. Dit vereist uiteraard wel extra rekenkracht van de domein controllers.

Bij replicatie tussen sites kan de administrator kiezen tussen RPC over IP of Simple Mail Transfer Protocol (SMTP). Om SMTP te gebruiken moeten domain controllers zich in verschillende domeinen en in verschillende sites bevinden. Meestal wordt voor replicatie tussen sites ook voor RPC gekozen.

Nog een opmerking: Active Directory noemt het protocol voor connecties binnen een site RPC en het protocol voor connecties tussen sites IP. Het gaat echter in beide gevallen om RPC over IP.

13.5 Sites linken

Een Site Link is een object dat een connectie tussen sites voorstelt. Wanneer men een Site Link configureert, dan moet men waarden ingeven voor ‘cost’, ‘interval’ en ‘schedule’. De KCC gebruikt deze waarden om de replicatie tussen sites te managen.

Wanneer men bv. een Site Link creëert, XYZ genoemd, die site X, site Y en site Z linkt, dan kan replicatie tussen alle paren van deze site aan dezelfde ‘cost’ gebeuren.

Het zou echter kunnen dat de connectie tussen site X en site Y heel traag is en de connectie tussen X en Z heel snel. Dan zullen verschillende site links gedefinieerd worden voor XY en XZ die de waarden van de trage, respectievelijk snelle connectie aangeven.

Wanneer men geen specifieke nieuwe links creëert gaat Active Directory ervan uit dat men enkel de Default-First-Site-Name wil gebruiken en zal het

Replication

Scheduling

Gecomprimeerde

trafiek

RPC of SMTP

Site Link

Fig 14.2 Site Link & Site Link Bridge

Site Z Site Y Site X

Site Link XY Site Link YZ

Site Link Bridge

XYZ


volledige replicatieschema uitgewerkt worden op basis van de default site link waarden.

De Site Link Cost is een waarde die men aan een Site Link toekent om aan te geven welke bandbreedte met de Site Link mag worden geassocieerd. Hoe hoger de waarde, hoe sneller de link. Men kan een Site Link Cost ingeven tussen 1 en 32.767. De defaultwaarde is 100.

Van belang is echter niet de waarde op zich, maar de waarde in verhouding tot de andere gedefinieerde Site Links. Wanneer men bijvoorbeeld voorziet in een site link van Brussel naar Antwerpen die dubbel zo snel is als de link van Brussel naar Gent, dan geeft men voor die eerste site link een Site Link Cost in die het dubbel is van de tweede Site Link. De juiste verhoudingen zijn hier van belang, niet het expliciete cijfer. Wanneer er nu een derde Site Link zou toegevoegd wordt is het best mogelijk dat men de schaal moet aanpassen.

De Interval Settings geven de frequentie van replicatie aan. Het Interval moet minstens 15 minuten zijn en kan maximaal 10.080 minuten of een week zijn. De defaultwaarde is 180 minuten.

De Schedule geeft aan op welke tijdstippen replicatie tussen sites mogelijk is. De defaultwaarde is “altijd,” maar dit kan door de administrator worden beperkt tot dalmomenten.

Interval en Schedule worden zoals gezegd gecombineerd. Replicatie kan enkel wanneer toegestaan in de Schedule volgens de timings ingesteld onder Interval Settings.

Een Site Link Bridge tot slot is een object dat een set van Site Links voorstelt waarbinnen hetzelfde communicatie protocol gebruikt wordt. Default worden alle Site Link Bridges beschouwd als transitief. De ‘costs’ voor communicatie over verschillende sites is cumulatief. Heeft Site Link XY een cost van 2 en Site Link YZ een cost van 4, dan zal de Site Link Bridge XYZ een cost 6 hebben. In een volledig gerouteerd IP-netwerk is de configuratie van Site Link Bridge dus niet nodig.

13.6 Replicatietrafiek monitoren

Men kan de replicatietopologie bijstellen op basis van de effectieve trafiek. Om deze te bekijken stelt Windows Server 2008 verschillende tools ter beschikking.

De Performance Monitor uit de Diagnostics optie in de server manager waarin men de Directory Replication Agent (DRA) counters kan bekijken.

De Active Directory Replication Monitor (REPLMon) uit de Windows Server 2003 Support Tools is spijtig genoeg niet meer beschikbaar in Windows Server 2008. Het is in sommige gevallen wel mogelijk de versie voor Windows Server 2003 te gebruiken op Windows Server 2008. Een alternatief is hiervoor Repadmin.exe te gebruiken.

Site Link Cost

Interval Settings

Replication

Schedule

Site Link Bridge


14 Internet Information Services

Internet Information Services maakt het mogelijk om een Webserver te configureren voor een lokaal netwerk (intranet) of voor het internet. Net zoals alle andere rollen moet deze service na installatie toegevoegd worden.

Indien men kiest voor IIS als Webserver heeft men onder andere de beschikking over de volgende componenten.

! World Wide Web Server: laat toe om Webpagina’s te verdelen voor client-browsers.

! File Transfer Protocol (FTP) Service: laat toe om een site op te zetten waar men files kan uploaden en downloaden.

! Network News Transfer Protocol Service: laat toe om electronische news- en discussiegroepen te hosten.

Een webserver is door zijn beschikbaarheid op WWW een gedroomd doelwit voor hackers. Het is daarom ook nodig om IIS wanneer het op internet gebruikt zal worden intens te beveiligen.

Deze cursus streeft ernaar een inzicht te geven in de basismogelijkheden van IIS. Het is dus in geen geval de bedoeling een webserver op te zetten die klaas is voor het internet.

14.1 IIS installateren

Om IIS te laten functioneren op een Windows Server 2008 Server zijn er een aantal basisvereisten.

! TCP/IP om de connectiviteit tussen server en clients te waarborgen

! Een statisch IP-adres

! DNS voor naamresolutie

! NTFS voor de beveiliging van de data op de server.

Bij het toevoegen van de IIS-rol komt er een bijkomend scherm dat vraagt welke extra componenten toegevoegd moeten worden. Belangrijk is hierbij alle componenten te selecteren die nodig zijn voor de goede werking van de

Fig. 14.1 IIS overzicht

Veiligheid


applicaties die op IIS zullen draaien, maar tevens niet teveel poorten open te zetten om hackers binnen te laten.

Wanneer de IIS-rol is toegevoegd, moet gecontroleerd worden of hij actief is. Dit kan door te surfen naar “http://localhost.” Als de installatie goed is gelukt komt men dan terecht op een pagina met een afbeelding van IIS 7.

14.2 Webpagina’s beschikbaar maken

Ook IIS krijgt zijn eigen stek in de server manager. Hier kunnen alle opties voor de server ingesteld worden, van Authenticatie tot Certificaten. Deze cursus beperkt zich tot het online zetten van een simpele website.

Uiteindelijk bestaat elke website uit een samenvoeging van HTML, XHMTL, ASP of PHP bestanden. Deze bestanden worden opgeslagen in een bepaalde locatie, waar de server ze zal komen halen om te tonen aan de gebruiker. In het geval van platte bestanden zoals HTML hoeft de server er verder niets meer te doen, maar ASP bestanden moeten gelezen en omgezet worden naar de juiste vorm.

De standard map hiervoor is nog altijd c:\inetpub\wwwroot. Wanneer men er na een standaard installatie van de IIS rol in gaat kijken ziet men de bestanden die het logo in afbeelding 14.2 weergeven.

Alhoewel het mogelijk is deze bestanden aan te passen, is het beter een nieuwe website aan te maken voor het hosten van een eigengemaakte website.

Het aanmaken van een nieuwe website is relatief simpel met behulp van onderstaand scherm. Dit kan opgeroepen worden door rechts te klikken op “Sites” in het onderdeel IIS van de server manager.

Fig. 14.2 IIS 7 opstartscherm

Customisatie

Locatie

webbestanden

Aanmaken

website


De site name is enkel voor intern gebruik. Het geeft aan onder welke naam de website in het beheersscherm zichtbaar wordt. Het fysieke pad geeft aan waar de bestanden van de website terecht gaan komen. Dit hoeft geen gedeelde map te zijn.

Er kan ook gekozen worden voor het type verbinding en het IP-adres waarop de website beschikbaar zal zijn. Dit laatste is vooral nuttig bij een server met meerdere netwerkkaarten. Zo kan een enkele IIS 7-server gebruikt worden om verschillende websites te hosten die elk hun eigen fysieke verbinding met de server hebben.

Nu de pagina is aangemaakt kunnen alle instellingen gemaakt worden in de server manager.

Fig. 14.3 Toevoegen van een website

Fig. 14.4 Beheren van een website

Windows Server 2008

Documents

Transcript of Windows Server 2008