Windows Server 2008 Security in der Praxis - Read-only Domain Controller (RODC)
Gerade ist mein heutiger Demowebcast zu Ende gegangen. Mit nur einem Inhaltsslide in Powerpoint und ansonsten nahezu 60min Demo habe ich für mich einen Praxisrekord aufgestellt. Ich bin jetzt mal gespannt auf das Feedback, ob solche Demoszenarien gut ankommen und ob wir die öfter machen sollen.
Server Core ist eine neue Severrolle in Windows Server 2008. Dabei wird ein minimalistischer Windows Server 2008 installiert, der dann definierbar über die Serverrollen nur noch für bestimmte Funktionen zur Verfügung steht und nur bestimmte Features unterstützt.
| Rollen | Features |
|
BitLocker Client For NFS DFS Server & Replication Failover Cluster FRS LPD Print Service MultipathIO Network Load Balancing Removable Storage Management Server For NFS SNMP Subsystem for UNIX-based Applications Telnet Client Windows Server Backup WINS |
Server Core Installation
Die Installation erfolgt direkt von der Window Server 2008 DVD. Je nach verwendeter DVD muss man einen Installationsschlüssel eingeben, der dann die richtige Windows Server-Version vorgibt oder man installiert von einem Volumenlizenzdatenträger, der keinen Schlüssel abfragt. Hier erfolgt die Lizenzierung später über KMS oder MAK. Während der Installation hat man dann die Wahl zwischen dem vollen Server oder der Server Core-Variante. Server Core ist dementsprechend auch keine separate SKU.
Server Core Konfiguration
Die Konfiguration des Server Core erfolgt primär an der Kommandozeile. Während des Webcasts hatte ich gezeigt, wie man die Fernverwaltung in der Windows Firewall aktivieren kann - dann kann man auch mit MMC-Tools von einem normalen Server sich gegen einen Server Core verbinden und diesen grafisch aus der Ferne administrieren. Anbei das von mir verwendete Demoskript:
Einstellen der Zeit- und Sprachoptionen
date
time
control timedate.cpl
control intl.cpl
Einstellen der Netzwerkkonfiguration
ipconfig
netsh interface ipv4 show interfacesnetsh interface ipv4 set address name="<Nummer des Netzwerkinterface>" source=static address="<IP-Adresse>" mask="<Netzwerkmaske>" gateway="<Standardgateway>"
netsh interface ipv4 add dnsserver name="<Nummer des Netzwerkinterface>" address="<DNS-Server IP-Adresse>" index="<Nummer des DNS-Servers>"
ipconfig /all
Einstellen der Fernwartung und -steuerung
netsh advfirewall firewall set rule group="Remoteverwaltung" new enable=yes
netsh firewall set icmpsetting 8
ping localhostnetsh advfirewall firewall set rule group="Remotedesktop" new enable=yes
cscript %WINDIR%\System32\scregedit.wsf /ar /v
cscript %WINDIR%\System32\scregedit.wsf /ar 0winrm quickconfig
winrs -r:<ServerName> cmd
Einstellung von automatischen Update
cscript %WINDIR%\System32\Scregedit.wsf /au /v
cscript %WINDIR%\System32\Scregedit.wsf /au 4
Einstellen des Windows Error Reporting
serverWerOptin /query
serverWerOptin /summary
serverWerOptin /detailed
serverWerOptin /disable
Ändern des Rechnernamens
hostname
netdom renamecomputer <ALTER_NAME> /newname:<NEUER_NAME> /force /reboot:10
Hinzufügen zu einer Domäne
netdom join <COMPUTERNAME> /domain:<DOMÄNENNAME> /userd:<DOMÄNE\ADMINISTRATIVER ACCOUNT> /passwordd:*
shutdown /r /t 0
Schemaerweiterung für RODC (einmalig pro Forest notwendig)
cd /d D:\sources\adprep
adprep.exe /RODCPREP
Hochstufen zum Domain Controller (RODC)
dcpromo.exe /unattend:answer.txt
shutdown /r /t 0
Minimale Antwortdatei für RODC via dcpromo /unattend:answer.txt
[DCInstall]
InstallDNS=Yes
ConfirmGc=No
CriticalReplicationOnly=No
DisableCancelForDnsInstall=No
Password=<PASSWORT>
RebootOnCompletion=No
ReplicaDomainDNSName=<DNS-DOMÄNENNAME>
ReplicaOrNewDomain=ReadOnlyReplica
ReplicationSourceDC=<NAME EINES VOLLSTÄNDIGEN DC>
SafeModeAdminPassword=<PASSWORT>
SiteName=<STANDORT>
UserDomain=<DNS-DOMÄNENNAME>
UserName=<ADMINISTRATIVER ACCOUNT>
Installation von Virtual Machine Additions
Schließlich noch ein Hinweis für die Nutzung in einer virtualisierten Umgebung. Als allerersten Schritt würde ich immer die Virtual Machine Additions installieren. Ich habe im Webcast gezeigt, wie das auf einem Server Core geht. Einfach die ISO-Datei in das virtuelle CD-Laufwerk mounten und folgendes eingeben (D: als Buchstaben für das CD-Laufwerk angenommen):
cd /d D:\Windows
setup.exe -s -v"/qn"
Der Server installiert sofort automatisch die Virtual Machine Additions und rebootet den Server ohne weitere Warnungen.
Installation von Hardware
Jede Hardware, für die Windows Server 2008 schon Treiber mitbringt, kann direkt angeschlossen und automatisch installiert werden. Benötigt man jedoch zusätzliche Treiber, müssen die sich automatisiert installieren lassen:
pnputil -i -a <driverinf>
Eine Liste aller Treiber, die sich auf dem Server befinden erhält man durch folgende Eingabe:
sc query type= driver
Verwaltung der Eventlogs
Die Ereignisanzeige lässt sich am einfachsten remote darstellen. Wer direkt am Server (vielleicht auch automatisiert) Zugriff auf das Eventlog haben möchte, kann das neue Tool wevutil.exe nutzen:
wevtutil el
wevtutil qe /f:text <LOGNAME>
wevtutil epl <LOGNAME>
wevtutil cl <LOGNAME>
Dienste- und Prozess-Steuerung
sc start <service name>
sc stop <service name>net start <service name>
net stop <service name>tasklist
taskkill /PID <PROZESS ID>
taskkill /T /PID <PROZESS ID>
taskkill /F /PID <PROZESS ID>
Installation von Rollen und Features
oclist
start /w ocsetup <ROLLE>
start /w ocsetup <FEATURE>
Comments
Anonymous
March 12, 2008
Habe mir den Webcast heute angesehen. Echt spitze gemacht, die Demos waren inhaltlich sehr ansprechend und sehr interessant. Weitere solche Webcasts würde ich sehr begrüßen, weiter so!Anonymous
March 12, 2008
The comment has been removedAnonymous
March 13, 2008
Hallo, fande diesen Webcast sehr gut, vor allem, weil so ein Demoszenario die ganze Sache "begreiflicher" macht :-) gibt es das Wort überhaupt Bitte mehr davon und nicht nur eine Powerpointpräsentation. Das ist auch ein Grund, wieso ich mir noch keine Webcast DVD gekauft habe, weil mir die "live" Demoszenarien fehlen. Bin auf die weiteren Webcasts gespannt.