Jump to content

giotis

Administrators
 View Profile  See their activity

  • Posts

    1028

  • Joined

  • Last visited

  • Days Won

    18

 Content Type 

Blog Entries posted by giotis

  1. giotis
    Σαν μια σοβαρή εταιρεία που είμαστε (είμαστε; Ναι είπε να λέμε ο γιατρός!) Πρέπει να παραμετροποιήσουμε το Domain μας. Τον τομέα δηλαδή που θα συνδέονται οι χρήστες και οι υπολογιστές. Εδώ όπως έχουμε ξαναπεί υπάρχει η μάλλον δεν υπάρχει το DCpromo. Πλέον αυτή η διαδικασία γίνεται μέσα από τον Server Manager.

    Για να προσθέσουμε το Active Directory Θα επιλέξουμε Add Roles and features.




    Στον μάγο που ακολουθεί Next και διαλέγουμε Role Based. Στην επόμενη σελίδα θα διαλέξουμε Server. Ένα από τα χαρακτηριστικά του νέου

    Server Manager είναι η δυνατότητα να εγκαθιστούμε ρόλους και δυνατότητες σε απομακρυσμένους Servers.







    Kαι έπειτα Active Directory Domain Services.



    Ο μάγος θα μας ενημερώσει πως χρειάζονται και κάποια έξτρα εργαλεία , συγκεκριμένα αυτά είναι τα εργαλεία διαχείρισης του Active Directory.

    Απλά πατάμε Next.

    Στον Server 8 οι κονσόλες διαχείρισης εγκαθίστανται προαιρετικά. Αν ποτέ σας λείπει καμία βεβαιωθείτε πως την έχετε εγκαταστήσει απο τις ιδιότητητες.



    Σε όλες τις επόμενες σελίδες Next μέχρι να φτάσουμε στο Install όπου το πατάμε και περιμένουμε.




     

    Μόλις τελειώσει πατάμε στο Promote this server to a domain controller. Είναι το γνωστό DCpromo! 




    Διαλέγουμε Add a new forest μιας που δεν έχουμε και τίποτα εγκατεστημένο και στο πεδίο Domain βάζουμε Domain8.local για όνομα. Μπορείτε φυσικά να βάλετε ότι θέλετε.



    Στην επόμενη σελίδα αφήνουμε το Domain Name System καθώς και  βάζουμε έναν κωδικό για το Restore Mode σε περίπτωση που θέλουμε να επαναφέρουμε κάτι στο Active Directory.




    Στην επόμενη σελίδα θα μας πληροφορήσει ο μάγος πως κάτι δεν πάει καλά με το DNS. Συγκεκριμένα με το  Delegation. Δεν υπάρχουν αναφορές για αυτή τη νέα ζώνη πουθενά μιας που είναι το πρώτο Domain. Υπάρχει όμως μια τεράστια αναβάθμιση στην εμπειρία χρήσης των διαχειριστών, η δυνατότητα να δημιουργήσει μια ο μάγος! Μέχρι πρότινος θα έπρεπε αν προσθέταμε ένα νέο Domain σε ένα ήδη υπάρχον Forest να τη φτιάξουμε χειροκίνητα. Ποτέ ξανά και θα πατήσω next με μεγάλη ανακούφιση!



    To NetBios name θα το αφήσω ως έχει και θα πατήσω Next όπως επίσης και τους προεπιλεγμένους φακέλους.





    Στο Review έχουμε τη δυνατότητα να δούμε όλες τις επιλογές μας ,αλλά αφού είμαστε οι καλύτεροι απλά θα πατήσουμε Next και γρήγορα. Εδώ υπάρχει ένας μίνι έλεγχος για το τι λάθη υπάρχουν ,δε με απασχολούν δεν έχω χρόνο δε θέλω να δώ θα πατήσω Install.





    Σε λίγο θα κάνει επανεκκίνηση η μηχανή για να μπούμε στον Domain Controller μας!

     


     
  2. giotis
    Αφού τελειώσαμε με την εγκατάσταση του ρόλου θα δούμε μερικές από τις επιλογές που έχουμε πριν βάλουμε κάποιες πραγματικές εικόνες και τις απαραίτητες ρυθμίσεις στον DHCP.
    Στο ανανεωμένο μενού βρίσκουμε αρκετές νέες επιλογές.Σημαντική προσθήκη είναι η υποστήριξη για Drivers μέσα από την κονσόλα του WDS.

    Επιτέλους μέσα από την κονσόλα του WDS μπορώ να προσθέσω Out-of-the-box Drivers οι οποιοί θα χρησιμοποιηθούν κατά την εγκατάσταση του λειτουργικού συστήματος!

    Αν και δεν είχα την ευκαρία να δοκιμάσω τη νέα λειτουργία ,αφού χρησιμοποιώ Virtual Machines,αν κρίνω από την κατάσταση λειτουργίας του Server από την Beta έκδοση ,φαντάζομαι πως είναι έτοιμη. Μάλιστα απο ότι φαίνεται είναι και μια απλή διαδικασία μερικών κλικ.

    Στις επιλογές του Server εντύπωση προκαλεί η υποστήριξη για αρχιτεκτονική Arm στο Boot και στο Client

    Στις επιλογές του Active Directory Prestaged Devices πρόσθεσα και έναν υπολογιστή για να δούμε τι επιλογές έχουμε και σε αυτό το κομμάτι.Χρησιμοποίησα ένα Mac Address φανταστικό ,όμως αν χρησιμοποιήσετε το πραγματικό του υπολογιστή που θέλετε να εγκαταστήσετε τότε θα εγκατασταθεί σύμφωνα με αυτές τις πληροφορίες.Στην αρχική σελίδα μπορείτε να δείτε και το CN του υπολογιστή το οποίο φανερώνει και τη θέση που θα το βρούμε στο Active Directory.

    Στην ταμπέλα Boot μπορούμε να ορίσουμε τον Server από τον οποίο θα κατεβάζει ο υπολογιστής το αρχείο Boot για την εκκίνηση καθώς και ποια πολιτική θα ακολουθήσει.

    Στην ταμπέλα Client Unattend βρίσκουμε μια πολύ σημαντική επιλογή , το Unattend αρχείο που θέλουμε να χρησιμοποιήσει ο συγκεκριμένος υπολογιστής! Με αυτόν τον τρόπο μπορούμε να έχουμε διαφορετικά αποτελέσματα εγκατάστασης σύμφωνα με τον υπολογιστή!

    Τέλος στο Join Rights μπορούμε να επιλέξουμε τη συμπεριφορά της σύνδεσης του υπολογιστή στο Domain όταν τελειώσει η εγκατάσταση.

    Το μόνο που απομένει είναι να προσθέσουμε τις ρυθμίσεις στο DHCP Server μας ,αφού ο συγκεκριμένος δεν έχει το ρόλο εγκατεστημένο.Εδώ ανακάλυψα και κάτι ακόμη σημαντικό.
    Στο Demo για το DHCP είχα προσθέσει τη δυνατότητα Failover. Από ότι φαίνεται δεν υποστηρίζεται η εκτέλεση του BootP και του DHCP ταυτόχρονα όταν έχω Failover στο DHCP. Για αυτό το λόγο το απενεργοποίησα προσωρινά.

    Οι δύο επιλογές που πρέπει να προσθέσω στο DHCP μου για να εκκινήσει το PXE Boot και να αρχίσει η εγκατάσταση είναι η επιλογή 066 και η 067. Η διεύθυνση του Server και το αρχείο Boot.sdi που διαβάζει τη σωστή πλατφόρμα (Χ64 ή Χ32) και επιλέγει το κατάλληλο αρχείο για την εκκίνηση.

    Το μόνο που έχει απομείνει είναι να προσθέσω εικόνες και θα είμαι έτοιμος για την εγκατάσταση από το δίκτυο.
  3. giotis
    Αφού τελείωσα και τη βασική υποδομή με το Domain και το DNS/DHCP μπορώ πλέον να προχωρήσω στην εγκατάσταση και ενός File Server.


    Στον Windows Server 8 υπάρχουν αρκετές αλλαγές στο κομμάτι του File Sharing. Εκτός από το Dynamic Access Control που έγραψα στο άρθρο που θα βρείτε σε αυτό το σύνδεσμο υπάρχει και το Storage Spaces καθώς και μερικές άλλες νέες δυνατότητες.


    Ας ξεκινήσουμε λοιπόν! Έχω φτιάξει μια μηχανή με τα γνωστά χαρακτηριστικά όπως και στους υπόλοιπους Servers απλά πρόσθεσα 3 δίσκους. Ο DHCP μου έχει δώσει IP και μπορώ να βάλω τον Server στο Domain. Θα επιλέξω το όνομα FS8 για αυτόν.

    Με την εκκίνηση του Add Roles απλά διαλέγουμε το ρόλο του File Server και εκεί τις ανάλογες ρυθμίσεις.







     









    Μόλις τελειώσει η εγκατάσταση και μπούμε στο File Services θα παρατηρήσουμε την επιλογή Storage Pools. Το Storage Pools είναι μια νέα τεχνική διαχείρισης δίσκων στον Windows Server 8. Μέσα από αυτή τη δυνατότητα μπορούμε να διαχειριστούμε τους δίσκους μας σαν να είχαμε κάποιο Storage. Μπορούμε να φτιάξουμε ένα Storage Pool με δύο δίσκους  ή και παραπάνω .Μέχρι και Hot Spare μπορούμε να έχουμε .

    Θα διαλέξω  λοιπόν το New Storage Pool με δεξί κλικ και θα πατήσω Next στο μάγο




    Πρέπει να διαλέξουμε ένα νέο όνομα για το Storage Pool






    Και τους δίσκους που θα συμμετέχουν. Εδώ διαλέγω τους 2 πρώτους δίσκους και αφήνω τον τρίτο για άλλη χρήση. Θα παρατηρήσετε στις επιλογές Data Store για να συμμετέχει ο δίσκος, Manual για χειροκίνητες προσθήκη και Hot Spare αν θέλουμε να υπάρχει δίσκος για αντικατάσταση καποιου χαλασμένου.





    Στη σύνοψη των επιλογών θα ενημερωθώ για το όνομα και το συνολικό μέγεθος ακριβώς σαν να είχα Storage.




     

    Η δημιουργία του Pool όμως δεν αρκεί . Πρέπει να δημιουργήσουμε ένα Storage Space. Τι είναι το Storage Space ; Το Storage Space είναι μια περιοχή στους δίσκους η οποία μπορεί να φιλοξενήσει δεδομένα. Μπορεί να χρησιμοποιηθούν τα γνωστά Raid μοντέλα. Raid0 ,Raid1,Raid5.

    Διαλέγουμε λοιπόν το Storage Space και με δεξί κλικ New Virtual Disk






    Ο μάγος μας ενημερώνει για το τι είναι ακριβώς το Virtual Disk και πατάμε Next.




    Διαλέγουμε το Server και το Storage Pool





    Δίνουμε ένα όνομα για αυτό το Virtual Disk



    Και φτάνουμε στις επιλογές του τύπου του Virtual Disk. Εδώ μπορούμε να διαλέξουμε το Raid. Θα διαλέξω Raid1 γιατί θέλω ασφάλεια.



    Στην επόμενη επιλογή διαλέγουμε το μέγεθος. Εδώ υπάρχει ένα Bug καθώς είμαστε ακόμη στη Beta και δεν απεικονίζεται σωστά το μέγεθος. Ξέρω όμως πως συνολικά μπορώ να έχω 127 Gigabyte και το συμπληρώνω.








    Στο Confimation απλά πατάτε Create.


    Με το Virtual Disk στη θέση του πρέπει να περάσω ένα Partition ένα Volume στο Server για να μπορέσω να χρησιμοποιήσω τον δίσκο.Περνάω στην επόμενη επιλογή, το Volumes.


    Πατάω δεξί κλικ πάνω στο κενό και New Volume




    Ο μάγος μας ενημερώνει για το τι πρόκειται να συμβεί.




    Στην επόμενη σελίδα διαλέγουμε που  θέλουμε να δημιουργήσουμε το νέο Volume. Θα διαλέξω το Disk4 το οποίο περιλαμβάνεται στο υποσύστημα Storage Spaces και το Virtual Disk που έχω ονομάσει UserDataDisk.




    Το γνωστό θέμα με την ένδειξη της χωρητικότητας. Απλά θα διαλέξω όλο το χώρο.



    Θα χρειαστώ και ένα γράμμα για το νέο δίσκο.


    Καθώς και τον τύπο αρχείων. Θα τα αφήσω όπως τα προτείνει ο μάγος.






    Και θα πέσω πάνω σε μια πολύ ενδιαφέρουσα επιλογή. Data Deduplication. Με το Data Deduplication μπορώ να αποθηκεύσω τεράστιες ποσότητες δεδομένων χρησιμοποιώντας μόνο ένα μικρό κομμάτι στο δίσκο. Πώς γίνετε αυτό; Ο Server ελέγχει τα κομμάτια του αρχείου για ομοιότητες και δημιουργεί συνδέσμους έτσι ώστε να κρατιούνται μόνο οι αλλαγές στο κάθε ένα από αυτά. Κοιτάξτε την εικόνα για να καταλάβετε καλύτερα πως ακριβώς δουλεύει. Θα το επιλέξω και θα βάλω μια τιμή 0 ημέρες για τα αρχεία έτσι ώστε να βελτιστοποιεί όλα τα αρχεία από σήμερα κιόλλας.





    Το μόνο που απομένει είναι να πατήσω Create.



    Αυτό ήταν μέσα σε 20 λεπτά έχω όλες τις λειτουργίες ενός πανάκριβου Storage χωρίς να έχω καν Raid Controller. Έστησα ένα Raid1 Volume με Data Deduplication χωρίς να δώσω Cent!!!!

    Μερικές χρήσιμες εντολές Powershell για το Deduplication:

    Import-Module Deduplication για να φορτώσετε το Module του Deduplication

    Enable-DedupVolume για να ενεργοποιήσετε το Deduplication σε ένα Volume. Δεν μπορείτε να το ενεργοποιήσετε στο System Volume εκει που έχετε κάνει εγκατάσταση τα Windows.

    Set-DedupVolume -MinimumFileAgeDays 0 Για να δώσετε ορισμό ημερών. Δηλαδή πόσο πίσω θα κοιτάει ο Server στα αρχεία. Αν θέλετε να τα ελέγχει όλα διαλέγετε 0.

    Start-DedupJob –Type Optimization Για να ξεκινήσει η διαδικασία

    Get-DedupJob Για να δείτε πόσο απομένει για να ολοκληρωθεί η βελτιστοποίηση

    Get-DedupStatus Για να δείτε πόσο βελτιστοποίηση έχει γίνει στο Volume

    Start-DedupJob -Volume -Type Unoptimization Για να επαναφέρετε τα αρχεία στην αρχική τους μορφή.

     

    Πρέπει όμως και οι χρήστες να έχουν πρόσβαση στο φάκελο. Και επειδή συνήθως οι κοινόχρηστοι φάκελοι καταλήγουν με πολλά αρχειά που είναι παλιά και δε χρησιμοποιούνται θα ενεργοποιήσω και μια νέα δυνατότητα. Το File Management Tasks. Με το File Management Tasks μπορώ να διαχειρίστώ τα παλιά αρχεία και να τα μεταφέρω αυτόματα σε κάποιον άλλο φάκελο προς αρχειοθέτηση.

    Καταρχήν θα κάνω κοινή χρήση το Volume που έφτιαξα για τους χρήστες απο το Shares

    Εκει θα διαλέξω το New Share Wizard και το SMB Advanced για προχωρημένες επιλογές.



    Στην επόμενη επιλογή θα διαλέξω το δίσκο U:




    Θα δώσω ένα όνομα για το κοινόχρηστο στοιχείο. Προσέξτε πως δεν θα μου κάνει κοινή χρήση όλο το δίσκο αλλά θα φτιάξει ένα νέο φάκελο Shares και θα το προσθέσει μέσα εκει.

     

    Στην επόμενη σελίδα συναντάμε ενδιαφέροντα πράγματα. Access Based Enumeration ,έτσι ώστε αν ο χρήστης δεν έχει δικαίωμα να ανοίξει κάποιο αρχείο να μην του το δείξει καν. To allow caching of share για να μπορούν οι χρήστες να αποθηκεύουν τοπικά αντίγραφα στο Offline Files και η επιλογή BranchCache για πιο γρήγορη πρόσβαση. Αν κάποιος χρήστης ανοίξει αυτό το αρχείο ,το BranchCache θα το αποθηκεύσει οπότε ο δεύτερος χρήστης θα το πάρει απο την Cache. Και το Encrypt Data Access , που θα κρυπτογραφήσει τα δεδομένα κατά τη μεταφορά προς το χρήστη. Μια πολύ σημαντική επιλογή κατ'εμε για όσους θέλουν αυξημένη ασφάλεια εύκολα.



    Στις επιλογές της πρόσβασης δε θα διαλέξω κάτι τώρα αλλά στην επόμενη επιλογή θα τσεκάρω το User Data που θα ορίσει τη χρήση του φακέλλου για να τον διαχειριστώ από το Classification αργότερα.



    Δε θα αλλάξω άλλες επιλογές και θα δημιουργήσω το φάκελο.

    Περνάω στο File Server Resource Manager απο το Servers και δεξί κλικ στο FS8




    Εκει πάω στο File Management Tasks και με δεξι κλικ φτιάχνω ένα καινούργιο





    Στο όνομα θα ονομάσω το Task FileExpiration





    Στο Scope θα διαλέξω το User Data και θα συμπληρώσει ο Server τους φακέλους με αυτή την ιδιότητα. Μπορείτε να δημιουργήσετε και δικές σας περιγραφές χρήσης από το Classification Properties->Folder Usage.





    Στο Action θέλω να κάνει File Expiration και τα αρχεία που θα βρίσκει με τη χρήση συνθηκών να μεταφέρονται στο φάκελο C:\expired όπου μετά μπορώ να τα πάρω Backup.





    Στο Notification και στο Reports δεν θα επιλέξω κάτι. Δε με ενδιαφέρει να ενημερωθώ , παρόλα αυτά μπορείτε να επιλέξετε να σας στέλνει E-mail ή να γράφει μια αναφορά κάπου για το τι αρχεία θα επηρεαστούν.


    Θα διαλέξω στο Condition όλα τα αρχεία που δεν έχουν ανοιχτεί τις τελευταίες 180 ημέρες. Εδώ θα μπορούσατε να βάλετε και ποια αρχεία θέλετε να έλεγχει και αν θέλετε και κάποια άλλη πληροφορία απο το Classification αν έχετε δημιουργήσει δικές σας.





    Στο Schedule θα διαλέξω να τρέχει καθημερινά






     

    Αυτό ήταν ο File Server μου είναι στημένος με τις βασικές λειτουργίες του File Server!



     
  4. giotis
    Τριγυρίζοντας στην κονσόλα του Group Policy Management έπεσα πάνω σε δύο νέα πάρα πολύ ωραία Feature που θα με βοηθήσουν στην καθημερινή μου ενασχόληση.


    Σαν να είσαι εκεί!


    Η πρώτη νέα δυνατότητα που είδα είναι το GpUpdate. Ναι καλά διαβάσατε μέσα από την κονσόλα πλέον μπορώ να κάνω αυτόματα στους υπολογιστές Gpupdate σαν να ήμουν εκεί και να πατούσα gpupdate /force. Το μόνο που έχετε να κάνετε είναι να διαλέξετε το OU και με δεξί κλικ Group Policy Update. Η κονσόλα θα σας ενημερώσει για το πόσοι υπολογιστές θα κάνουν Update και στο τέλος θα σας δείξει την πρόοδο και την κατάσταση.











     


    Η δεύτερη δυνατότητα είναι ο έλεγχος της κατάστασης του Replication του Active Directory. Μέχρι σήμερα θα έπρεπε να τρέξω το repadmin για να δω τι γίνεται στο Replication.

    Σε μεγάλα Domains με πολλούς Domain Controller ο χρόνος που χρειάζεται για να φτάσουν οι αλλαγές σε όλους τους Domain Controllers είναι σημαντικός (ονομάζεται Convergence Time)  και οι διαχειριστές παρακολουθούν την πορεία μέχρι όλοι οι Domain Controllers να είναι ενημερωμένοι.

    Πλέον από την κονσόλα του GPMC μπορώ να δω την κατάσταση απλά πατώντας πάνω στο Domain. Η κονσόλα θα μου εμφανίσει τον τρέχοντα Baseline Domain Controller.

    Αν επιλέξω να αλλάξω τον Baseline Domain Controller αποκαλύπτεται και μια ακόμη πληροφορία: πόσα GPO έχω!

    Μόλις πατήσω το Detect now κάτω δεξιά μπορώ να δω πληροφορίες για την κατάσταση του Replication του Domain μου!











     
  5. giotis
    Στο 36οCommunity event στη Θεσσαλονίκη είχα την ευκαιρία να παρουσιάσω τη νέα δυνατότητα των Windows Server 8 εν ονόματι Dynamic Access Control. Υποσχέθηκα πως θα γράψω και στο blog για την εμπειρία του Dynamic Access Control (DAC) καθώς και θα προσπαθήσω να απαντήσω σε κάποιες ερωτήσεις που είχα σχετικά με αυτό.


    Καταρχήν τι είναι το Dynamic Access Control.


    Το Dynamic Access Control είναι η δυνατότητα των Windows για κατηγοριοποίηση και εφαρμογή δυναμικών λιστών πρόσβασης στα αρχεία των χρηστών. Με αυτό τον τρόπο μπορούμε να προστατέψουμε τα αρχεία από μη εξουσιοδοτημένη πρόσβαση. Μπορεί να ακούγεται απλό μα οι αλλαγές στο Active Directory και στο σύστημα αρχείων είναι τεράστιες.


    Μέχρι πρότινος οι διαχειριστές θα έπρεπε να φτιάξουν ομάδες χρηστών Groups και να δώσουν την ανάλογη πρόσβαση στα αρχεία , στα πρότυπα του Role Based Access Control. Δηλαδή το τί πρέπει να δει κανείς βάσει του ρόλου του στην εταιρεία που προσδιορίζοταν με χρήση των ομάδω χρηστών (Groups). Κατέληγαν λοιπόν κάποιες φορές να έχουν περισσότερες ομάδες χρηστών για διαχείριση της πρόσβασης από τους πραγματικούς χρήστες.


    Ο σημερινός όμως όγκος των δεδομένων , μαζί με την πίεση του χρόνου και την ανάγκη για συμμόρφωση με πρότυπα που μέχρι χτες αγνοούσαμε , κατέστησαν τον κλασσικό τρόπο ελέγχου πρόσβασης ανεπαρκή.


    Ανεπαρκής γιατί θα έπρεπε καταρχήν οι χρήστες να ήταν εκπαιδευμένοι να αποθηκεύουν στους σωστούς φακέλους τα αρχεία για να τα προστατεύσουν από ανεπιθύμητη πρόσβαση.


    Ανεπαρκής γιατί δεν υπήρχε κεντρική διαχείριση για την πρόσβαση και έπρεπε ο διαχειριστής να την ορίζει σε πολλούς και διαφορετικούς Servers.


    Ανεπαρκής γιατί οι δυνατότητες επιλογής των χρηστών για την πρόσβαση ήταν περιορισμένες σε 2. Πρόσβαση με βάση την ομάδα ή τον χρήστη.


    Ανεπαρκής γιατί η απάντηση προς την προσπάθεια του  χρήστη για πρόσβαση ήταν Ναι/Όχι που τον άφηνε χωρίς περαιτέρω ενημέρωση για το πώς μπορεί να λύσει το πρόβλημά του


    Στον Windows Server 8 λοιπόν έρχεται η απάντηση σε όλα τα παραπάνω, ας δούμε λίγο την αρχιτεκτονική




    Στο Active Directory προστέθηκε η διαχείριση των Claim Based Access Control. Της διαχείρισης πρόσβασης βάσει δικαιωμάτων.


    Η πρόσβαση δηλαδή βάσει των δικαιωμάτων όπως , σε ποια ομάδα ανήκει ο χρήστης , σε ποιο τμήμα, τι άδεια πρόσβασης έχει και όλες τις ιδιότητες του χρήστη που βρίσκονται στο Active Directory. Μπορούμε πλέον να δώσουμε πρόσβαση βάσει δικαιώματος του τηλεφώνου,της διεύθυνσης ή του τμήματος! Όσοι έχουν αριθμό που ξεκινάει από 697 και όσοι είναι στην οδό Κηφισίας παραδείγματος χάρη.


    Πρέπει όμως να κατηγοριοποιηθούν και οι πόροι, τα αρχεία δηλαδή. Ακολουθώντας την ίδια ακριβώς λογική. Μπορούμε να χαρακτηρίσουμε ένα έγγραφο προσθέτοντας Tags ως έγγραφο λογιστηρίου, εμπιστευτικό έγγραφο που περιέχει απόρητες πληροφορίες και οτιδήποτε άλλο μπορεί να φανταστεί ο ανθρώπινος νους.


    Οι συνδυασμοί είναι πραγματικά αμέτρητοι.


    Τα Claims και τα Resource Property Definitions δένονται μαζί και φτιάχνουν μια κεντρική πολιτική πρόσβασης (Central Access Policies).


    Στο group policy φτιάχτηκαν οι κατάλληλες πολιτικές για να μπορούμε να επιβάλουμε αυτές τις πολιτικές μαζικά μέσα στο Domain.


    Στους File Servers προστέθηκε η επιβολή των πολιτικών στα αρχεία καθώς και ο τρόπος αυτόματης κατηγοριοποίησης αυτών με ή χωρίς την παρέμβαση του διαχειριστή.


    Επειδή όμως αυτή η τεχνολογία προσωπικά μου έχει κινήσει πάρα πολύ το ενδιαφέρον δεν θέλω να μείνω πολύ στη λογική του Dynamic Access Control θα περάσω κατευθείαν στο Demo να το φτιάξουμε να το δούμε πως παίζει και να κρίνουμε μαζί αν μας κάνει για την καθημερινότητά μας.


    Για να δούμε ένα Demo θα χρειαστούμε 3 μηχανές. Έναν Domain Controller και  ένα File Server με Windows Server 8 και ένα υπολογιστή με Windows 8. Διάλεξα 1 gigabyte μνήμης , 2 επεξεργαστές και ένα δυναμικό δίσκο των 127 gigabyte για να τρέξω 3 διαφορετικές εικονικές μηχανές. Οι πόροι είναι επίτηδες τόσο χαμηλοί για να δείτε και κάτι ακόμη τρομερό, πόσο λίγους χρειάζεται πραγματικά.  Και επειδή δεν είμαι έτοιμος ψυχολογικά για να στήσω κάποιου είδους πρόσβασης με βάσει χαρακτηριστικά με Claims όπως τηλέφωνα και τμήματα και και και  , αποφάσισα να το κάνω με ένα Group για να δοκιμάσω αν όντως μπορώ να στείλω δυναμικές λίστες στο Domain μου σήμερα. Μην πάμε στη δουλειά και είμαστε με τα μούτρα κάτω για την παλιοζωή και τα Groups !


    Ξεκίνησα με τον Domain Controller και έστησα ένα Domain με όνομα domain8.local στο οποίο έφτιαξα τις παρακάτω οργανωτικές δομές ( OU) με τη βοήθεια της κονσόλας Active directory administrative Center.

    Domain8\Domain


    Domain8\Domain\Accounting στο οποίο έφτιαξα ένα χρήστη τον Accountant , το λογιστή της εταιρείας.


    Domain8\Domain\Billing στο οποίο έφτιαξα ένα χρήστη τον Billing ,τον υπεύθυνο τιμολόγησης και ένα Group το οποίο ονόμασα BillingGroup για να δοκιμάσω τις πολιτικές βάσει group.


    Domain8\Clients στο οποίο έβαλα τον υπολογιστή πελάτη.


    Domain8\Servers στο οποίο έβαλα τον File Server .



    Στην κονσόλα του Active Directory Administrative Center διάλεξα το claims based access από αριστερά και έπειτα το Resource Properties. Εκεί θα παρατηρήσετε ένα κατεβατό από έτοιμες πολιτικές για την διαχείριση. Έφτιαξα λοιπόν μια νέα ιδιότητα που την ονόμασα Invoices, τιμολόγια δηλαδή και δήλωσα πως αφορά κείμενο. Ξεχωρίζει αμέσως γιατί δεν έβαλα περιγραφή!





    Αποθήκευσα αυτή την ιδιότητα και πέρασα στο Central Access Rules. Εδώ στη ουσία φτιάχνεται η πολιτική πρόσβασης. Έφτιαξα μια πολιτική που ονόμασα InvoiceRule και έδωσα ως στόχο για την αναζήτηση πόρων τη λέξη «τιμολ» . Έστησα δηλαδή μια πολιτική για πόρους που έχουν το tag ,την ιδιότητα με τη λέξη αυτή ,που όταν την βρίσκει ο Server θα αλλάζει την πρόσβαση και θα περνάει τη νέα που μπορείτε να επιλέξετε στο Current Permissions.Εκεί απλά πρόσθεσα το group Billing το οποίο περιέχει και τους χρήστες που θέλω να έχουν πρόσβαση.Συγκεκριμένα τον χρήστη Billing.





     





     

    Και αφού διάλεξα τον τύπο και τον κανόνα , έφτιαξα και μια πολιτική στο Central Access Policies που την ονόμασα BillingRulesForceApply για να την περάσω στους File Servers.



    Και φυσικά διάλεξα μέσα στην πολιτική τον κανόνα InvoiceRule.



     

    Για να γίνει αυτόματα η διαδικασία , άλλωστε τι Domain έχουμε θα πέσει να μας πλακώσει!, επέλεξα το Group policy.


    Εκεί έφτιαξα μια νέα πολιτική στο OU Servers που την ονόμασα Populate File Server Access Policies For Compliance.


    Μέσα στην πολιτική πήγα στο Computer Configuration\Windows Settings\File System. Στη δεξιά μεριά που είναι όλα λευκά σαν όνειρο πάτησα δεξί κλικ και έπειτα κλικ στο Manage Central Access Policies διάλεξα την BillingRulesForceApply και την πρόσθεσα στις Applicable, σε αυτές δηλαδή που θα διαβάζει αυτόματα.






    Έκλεισα όλες τις κονσόλες  και πέρασα στο File Server. Πρόσθεσα το ρόλο του File Server και διάλεξα το ρόλου του File Server. Επίσης από τα Feature διάλεξα το Remote Server Administration Tools > File Server Resource Manager και στη συνέχεια το FSRM.








    Άνοιξα την κονσόλα File Server Resource Manager. Στο νέο δένδρο στην αριστερή πλευρά διάλεξα το Classification Management και το Classification Properties στη συνέχεια.


    Το Classification properties είναι ο τύπος της κατηγοριοποίησης που θα κάνει ο Server. Μπορείτε να δείτε πως ήρθε μόνη της η κατηγορία Invoices έγινε κατανάλωση απο το Active Directory , έχει Global Scope και είναι και ασφαλής μιας που έρχεται από το Domain . Έχει στόχο φακέλους και αρχεία και παίρνει τιμές κειμένου.




    Αφού είναι στη θέση της η ιδιότητα περνάμε στο Classification Rules. Εδώ θα πούμε το Server να κατηγοριοποιήσει  τα δεδομένα. Έφτιαξα λοιπόν έναν φάκελο στο δίσκο από την εξερεύνηση  των Windows στη θέση C:\company_data και τον έκανα κοινόχρηστο . Επέστρεψα στην κονσόλα και έφτιαξα έναν καινούργιο κανόνα τον οποίο ονόμασα InvoiceTaggingRule.Έδωσα ως στόχο τον κατάλογο C:\company_data. Στην εικόνα θα δείτε και το Folder Usage το οποίο αναφέρει τη χρήση του φακέλου αν θέλουμε να κατηγοριοποιήσουμε τα αρχεία βάσει του τι περιεχόμενο περιμένουμε να έχει ο φάκελος. Η επιλογή κατηγορίας γίνεται από τη κονσόλα της δημιουργίας κοινόχρηστων φακέλων στο Server Manager του File Server. Δε θέλουμε όμως βάση φακέλου για αυτό το παραβλέπω. 


    Στο Classification διάλεξα Content Classifier έτσι ώστε  να κατηγοριοποιήσει ο Server βάσει περιεχομένου των αρχείων, διάλεξα την ιδιότητα invoices που έρχεται από το Active Directory και έγραψα τη λέξη «τιμολ» ως  επιθυμητή ιδιότητα. Στα Expressions έβαλα τη λέξη «τιμο» . Στο τελευταίο Tab διάλεξα να γίνεται ξανά κατηγοριοποίηση και να ξανά γράφει τις ιδιότητες έτσι ώστε να είναι αδιάβλητο σε αλλαγές.


    Μερικά tips για την κατηγοριοποίηση. Καταρχήν μπορεί να γίνει είτε αυτόματα με κάποιον κανόνα όπως αυτόν που φτιάξαμε, είτε χειροκίνητα από τους χρήστες ή τους διαχειριστές. Η κατηγοριοποίηση μπορεί να προσθέτει τιμές στα Tags των αρχείων είτε βάσει λέξεων που περιέχουν είτε κατηγορίας φακέλου είτε με συνδυασμό των δύο.










    Αφού τα έφτιαξα λοιπόν όλα τα παραπάνω δημιούργησα δύο αρχεία κειμένου. Στο ένα έβαλα τη λέξη Acc50-00 και στο άλλο διάφορες λέξεις καθώς και  τη λέξη «τιμολόγιο».



    Για να μην περιμένω για πάντα διάλεξα από την κονσόλα του File Server Resource Manager να τρέξει η κατηγοριοποίηση άμεσα. Μπορείτε πάντα να αλλάξετε τις επιλογές για το Classification Tagging, με δεξί κλικ στο File Server Resource Manager και έπειτα στο Tab Automatic Classification. Εκεί μπορείτε να ορίσετε και συνεχές ωράριο ,για 24 ώρες το 24ωρο tagging.





     

    Μόλις τελείωσε επιβεβαίωσα πως πρόσθεσε την τιμή «τιμολ» στο ένα από τα δύο αρχεία που έφτιαξα.





    Συνδέθηκα στο τερματικό με το λογαριασμό του Billing και δοκίμασα να ανοίξω το αρχείο, voila ! Πρόσβαση χωρίς να έχω κάνει τίποτα ούτε στο αρχείο ούτε στο φάκελο.


    Το μόνο που απέμενε πλέον ήταν να συνδεθώ με το λογαριασμό του Accountant στο τερματικό , να πλοηγηθώ στο Server μου και στον κοινόχρηστο φάκελο Company_Data και να δώ το Access Denied error! Επαναλαμβάνω ΧΩΡΙΣ ΝΑ ΕΧΩ ΚΑΝΕΙ ΤΙΠΟΤΑ ΣΤΟ ΦΑΚΕΛΟ Η ΣΤΟ ΑΡΧΕΙΟ.




     

    Το Dynamic Access Control είναι μια φοβερή δυνατότητα , θα αφαιρέσει ένα τεράστιο διαχειριστικό βάρος αφού θα κάνουμε τα μισά πράγματα για να προσθαφαιρέσουμε πρόσβαση  και θα μας δώσει τη δυνατότητα διαχείρισης πρόσβασης με βάση χαρακτηριστικά όλων των ειδών και όχι ομάδες χρηστών. Και αυτό είναι μόνο η αρχή!


    Η νέα προοπτική μας δίνει νέους τρόπους να καταναλώσουμε το Active Directory!


    Περιμένω με ανυπομονησία την πρώτη Release Candidate του Windows Server 8 για να δοκιμάσω περισσότερα πάνω στο Active Directory ! Εσείς;


     Αν δοκιμάσετε το Demo και κολλήσετε κάπου μπορείτε να με ρωτήσετε εδώ ή στο Forum.


     

     
  6. giotis
    Τον τελευταίο καιρό υπάρχει αρκετή φημολογία για τον καινούργιο Windows Server 8 και τα καινούργια Windows 8 στο Internet. Μια νέα δυνατότητα των Windows 8 είναι ο συγχρονισμός του προφίλ σε όλους τους υπολογιστές που συνδέεται ο χρήστης.
    Με αυτόν τον τρόπο όταν αλλάζετε μια ταπετσαρία στο φορητό σας υπολογιστή , αυτομάτως ενημερώνετε και ο σταθερός. Πολύ ωραία και εύκολα!
    Απο την πλευρά του διαχειριστή όμως αυτό δεν είναι πολύ εύκολα πόσο μάλλον πολύ ωραία. Φαντάζεστε να κάνει ο καθένας ότι αγαπάει στο laptop και να το βλέπετε εσείς στο γραφείο;
    Αν και είχα υποσχεθεί πως θα βάλω την Beta έκδοση του Windows Server 8 δεν άντεξα και έστησα την Developer Preview σήμερα για να το εξακριβώσω και εύρηκα!
    Υπάρχει στο Group Policy η επιλογή ελέγχου κάθε ρύθμισης ξεχωριστά. Η επιλογές βρίσκονται στο Computer Configuration-> Policies -> Administrative Templates -> Windows Components ->Settings Sync.

    Οι διαθέσιμες επιλογές είναι:
    Do not syncronize user application settings
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό εφαρμογών (υποθέτω τις εφαρμογές του Market Place)
    Do not syncronize user credentials
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των κωδικών μεταξύ υπολογιστών.
    Do not syncronize user desktop themes
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των θεμάτων της επιφάνειας εργασίας.
    Do not syncronize user personalization settings
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των προσωπικών ρυθμίσεων του χρήστη.
    Do not syncronize user settings
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των ρυθμίσεων του χρήστη.
    Do not syncronize user web browser settings
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των ρυθμίσεων του Internet Explorer.
    Do not syncronize user Windows settings
    Η οποία ενεργοποιεί/Απενεργοποιεί το συγχρονισμό των ρυθμίσεων των Windows.
     
    Αξίζει να σημειωθεί πως η κάθε ρύθμιση που αφορά τα καινούργια Windows αναγράφει στις απαιτήσεις At least Windows Developer Preview.
    Έτσι με λίγο ψάξιμο μπορεί κανείς να βρεί τις ρυθμίσεις που θα αφορούν το νέο λειτουργικό.
  7. giotis

    Windows 8 Connectivity

    By giotis,

    Σοκαριστικά νέα έδωσε η Microsoft στο Building Windows 8 Blog για τη
    συνδεσιμότητα που μας περιμένει στα Windows 8!



    Τα νέα μέτρα περιλαμβάνουν από ευκολία σύνδεσης με 1 κλικ έως
    αυτόματη εγκατάσταση οδηγών για Broadband Internet!



    Ας πάρουμε όμως τα πράγματα από την αρχή. Στα Windows 8 λοιπόν μετά τις νέες
    δυνατότητες αφής που θα δούμε και την εξάπλωση των Tablet ή υπέρ-φορητών
    υπολογιστών ,δεν θα μπορούσε να λείπει η ευκολία στην συνδεσιμότητα μιας και
    αυτές οι συσκευές χρησιμοποιούν διάφορους τρόπους σύνδεσης στο Διαδίκτυο.



    Έτσι , πέραν του κλασσικού WiFi που
    υπάρχουν και εκεί κάποιες αλλαγές , η Microsoft έκανε πραγματικότητα και τα
    όνειρα του Broadband User.
    Η συγκεκριμένη κατηγορία χρηστών έπρεπε να έχει στη διάθεσή της ,εκτός του
    υλικού για την πρόσβαση στο Internet μέσω 3G και τους ανάλογους οδηγούς συσκευών καθώς και το λογισμικό
    του κάθε παροχέα Internet για την πρόσβαση στο δίκτυο.  



    Επειδή η εγκατάσταση και η χρήση
    μιας τέτοιας λύσης ήταν αρκετά πολύπλοκη διαδικασία η Microsoft συνεργάστηκε
    στενά με τους ISP και τους κατασκευαστές υλικού για να υπάρχει εγγενής
    υποστήριξη τέτοιων συνδέσεων μέσα από τα Windows 8. Δηλαδή πλέον δεν θα χρειάζεται να εγκατασταθούν εξειδικευμένοι
    οδηγοί και λογισμικό , παρά μόνο να τοποθετείτε η κάρτα SIM ή το 3G modem στη
    συσκευή με Windows 8.



    Φυσικά και η ύπαρξη ενός τέτοιου
    δικτύου σημαίνει νέα κονσόλα διαχείρισης. Στην παρακάτω εικόνα μπορείτε να
    δείτε την ενσωμάτωση πλέον του Broadband στη διαχείριση δικτύων μέσω τις οποίας μπορείτε να
    ενεργοποιήσετε ή να απενεργοποιήσετε την σύνδεση.









    Γνωστό όμως είναι και το κόστος
    μιας τέτοιας σύνδεσης στο Internet.
    Για να μην χρεώνεστε άσκοπα όταν βρίσκεστε εντός της εμβέλειας ενός WiFi δικτύου
    , η σύνδεση απενεργοποιείτε και συνεχίζεται η πρόσβαση από το WiFi δίκτυο.



    Και για να μην κουράζεστε από το
    μπες-βγες , υπάρχει και ο αυτόματος πιλότος …. Βάσει των προτιμήσεών σας. Η
    ιδέα είναι απλή, τα WiFi δίκτυα έχουν προτεραιότητα ελέω κόστους και ταχύτητας από τα
    3G. Τι γίνεται όμως στην
    περίπτωση που έχετε αρκετά WiFi δίκτυα στις προτιμήσεις;



    Τα Windows με τη
    χρήση στατιστικών από τις συνδέσεις σε αυτά αυτομάτως δημιουργούν μια λίστα με
    προτεινόμενα και συνδέονται πρώτα σε αυτά όπως θα κάνατε και εσείς οι ίδιοι
    χειροκίνητα.



    Και επειδή η ταχύτητα μετράει …..και
    στο χρόνο σύνδεσης , αφού το λειτουργικό γνωρίζει τις εγκατεστημένες κάρτες και
    τις προτιμήσεις δικτύου μπορεί να «οπλίσει» τη σύνδεση και κατά την επαναφορά από
    λειτουργία εξοικονόμησης ενέργειας να συνδεθεί σε ένα δευτερόλεπτο!








    Τα πράγματα από άλλη μεριά (την 3G)



    Καλά όλα αυτά με τα WiFi και
    τα 3G ,
    εύκολη υπόθεση και η χρήση του ενός ή του άλλου εφόσον έχετε ήδη εγκατεστημένη
    μια σύνδεση WiFi ή μια κάρτα 3G ενεργοποιημένη. Τι γίνετε όμως αν απλώς έχετε μια κάρτα στα
    χέρια σας που δεν έχει ενεργοποιηθεί και βρίσκεστε στη μέση του πουθενά?



    Απλά πατήστε σύνδεση και τα Windows θα
    σας πάνε στη σελίδα του κατασκευαστή της για να αγοράσετε ένα πλάνο Online !
    Εκεί θα μπορείτε να κάνετε επιλογές ακόμη και για παροχή Internet μιας ημέρας
    !








    Και επειδή οι καλοί λογαριασμοί
    κάνουν τους καλούς ISP’s θα
    μπορείτε να δείτε πληροφορίες για το τρέχων σχέδιο χρήσης που πληρώνετε καθώς
    και πληροφορίες σχετικά με τον όγκο που έχετε κατεβάσει μέσω της σύνδεσης.



    Τέλος
    αναμένονται και εφαρμογές των ISP’s για
    αναλυτικότερη παρουσίαση της χρήσης και φυσικά εφόσον τα Windows 8 ακόμη
    βρίσκονται στο στάδιο παραγωγής σίγουρα θα υπάρχουν βελτιώσεις και νέες
    προσθήκες σε ότι αφορά τη συνδεσιμότητα.



    Πηγή άρθρου: http://blogs.msdn.com/b/b8/archive/2012/01/20/engineering-windows-8-for-mobility.aspxhttp://blogs.msdn.com/b/b8/archive/2012/01/20/engineering-windows-8-for-mobility.aspx






  8. giotis
    Πριν από λίγες ημέρες ανακοινώθηκε στο blog του Server και Cloud
    της Microsoft ένα νέο που λίγο πολύ περιμέναμε.



    Εκτός της ενεργοποίησης/απενεργοποίησης του γραφικού περιβάλλοντος
    ως Feature (ιδιότητας) και όχι επιλογής εγκατάστασης ενός Server 8 θα υπάρχει
    και μια ενδιάμεση κατάσταση γραφικού περιβάλλοντος που θα επιτρέπει την βασική
    παραμετροποίηση και διαχείριση μιας εγκατάστασης της Core έκδοσης.



    The Minimal Server Interface



    Στο μίνιμαλ περιβάλλον διαχείρισης έχουν αφαιρεθεί κάποια στοιχεία όπως ο
    Internet Explorer,η επιφάνεια εργασίας και
    το νέο Metro περιβάλλον
    , τα οποία όμως δεν θα σταθούν εμπόδιο στην σωστή και εύκολη διαχείριση.



    Σύμφωνα με τις πληροφορίες του άρθρου θα υπάρχει υποστήριξη για
    απομακρυσμένη διαχείριση στα πρότυπα του Powershell μέσω αυτής
    της ενδιάμεσης κατάστασης



    Με την ύπαρξη του ,οι εφαρμογές του Server θα επωφεληθούν από
    τις μειωμένες απαιτήσεις σε πόρους με τη χρήση της Core έκδοσης.



    Περισσότερα μπορείτε να διαβάσετε στο παρακάτω Link:



    http://blogs.technet.com/b/server-cloud/archive/2012/01/11/windows-server-8-server-applications-and-the-minimal-server-interface.aspx






  9. giotis
    Διαθέσιμη πλέον για τα Windows 7 είναι η αναβάθμιση του RDP στην έκδοση 8. Η
    νέα αυτή έκδοση προσθέτει όλα τα χαρακτηριστικά που είναι διαθέσιμα στα Windows
    8 κατά τη διάρκεια μιας σύνδεσης Remote Desktop σε ένα Server 2012.

    Σας παραθέτω το άρθρο αυτούσιο από το TechNet για να δείτε τι
    νέο υπάρχει!


    Νέες δυνατότητες στην ενημερωμένη έκδοση RDP 8.0
    Νέες δυνατότητες για υπολογιστές-πελάτες που εκτελούν Windows 7 SP1 ή Windows Server 2008 R2 SP1
    Η ενημερωμένη έκδοση RDP 8.0 περιέχει τις ακόλουθες νέες δυνατότητες για υπολογιστές-πελάτες που εκτελούν Windows 7 SP1 ή Windows Server 2008 R2 SP1: Υπολογιστής-πελάτης απομακρυσμένης επιφάνειας εργασίας σύνδεσης 8.0 Δυναμική στην περίοδο λειτουργίας ανακατεύθυνσης USB Επανασύνδεση για Συνδέσεις RemoteApp και επιφάνειας εργασίας Βελτιωμένη εμπειρία μεμονωμένο σύμβολο για πρόσβαση Web απομακρυσμένης επιφάνειας εργασίας Υποστήριξη για API ανακατεύθυνσης RemoteFX πολυμέσων για εφαρμογές VoIP Υποστήριξη για ένθετα περιόδων λειτουργίας Νέες δυνατότητες για απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1
    Η ενημερωμένη έκδοση RDP 8.0 επιτρέπει απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1, χρησιμοποιήστε RDP 8.0. Η ενημερωμένη έκδοση περιέχει τις ακόλουθες δυνατότητες για απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1: RemoteFX για WAN Εντοπισμός RemoteFX δικτύου RemoteFX προσαρμοστική γραφικών Ανακατεύθυνση USB RemoteFX για μη RemoteFX vGPU εικονικές επιφάνειες εργασίας Υποστήριξη για ένθετα περιόδων λειτουργίας Μετρητές επιδόσεων για την παρακολούθηση της εμπειρίας του χρήστη Δεν είναι δυνατό να ενεργοποιηθεί RDP 8.0 για απομακρυσμένους υπολογιστές που εκτελούν τον Windows Server 2008 R2 SP1.Δυνατότητες που γίνονται παλιά από αυτήν την ενημερωμένη έκδοση
    Δυνατότητες που γίνονται παλιά σε υπολογιστές-πελάτες
    Όταν εγκαθίσταται και ενεργοποιείται σε υπολογιστές-πελάτες RDP 8.0, όλες οι δυνατότητες είναι διαθέσιμες.Δυνατότητες που έχουν γίνει καταργήθηκε σε απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1
    Όταν RDP 8.0 είναι εγκατεστημένες και ενεργοποιημένες σε απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1, οι ακόλουθες δυνατότητες δεν είναι διαθέσιμες: Παρακολούθηση από απόσταση μια ενεργή περίοδο λειτουργίας ενός άλλου χρήστη, χρησιμοποιώντας την εντολή σκίασης (τηλεχειριστήριο) Aero Remoting γυαλί Για περισσότερες πληροφορίες και για τα βήματα για να επιλύσετε αυτό το ζήτημα, ανατρέξτε στην ενότητα "Γνωστά θέματα". ".Οδηγίες εγκατάστασης
    Προϋποθέσεις
    Για να εγκαταστήσετε την ενημερωμένη έκδοση RDP 8.0, πρέπει να έχετε 2574819 εγκατεστημένη επείγουσα επιδιόρθωση. 

    Για περισσότερες πληροφορίες σχετικά με την επείγουσα επιδιόρθωση 2574819, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft: 2574819 Διατίθεται μια ενημερωμένη έκδοση που προσθέτει υποστήριξη για DTLS στα Windows 7 SP1 και Windows Server 2008 R2 SP1 Υποστηριζόμενες εκδόσεις
    Για να εγκαταστήσετε αυτήν την ενημερωμένη έκδοση, πρέπει να εκτελείτε Windows 7 SP1 ή Windows Server 2008 R2 SP1. Τρόπος ενεργοποίησης RDP 8.0 σε έναν απομακρυσμένο υπολογιστή που εκτελεί Windows 7 SP1
    Για να ενεργοποιήσετε το RDP 8.0 σε έναν απομακρυσμένο υπολογιστή που εκτελεί Windows 7 SP1, ακολουθήστε τα εξής βήματα: 

    Σημείωση Οι παρακάτω οδηγίες ισχύουν μόνο για απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1. Εγκαταστήστε την κατάλληλη έκδοση του πακέτου ενημερωμένων εκδόσεων, εκτελώντας το αρχείο Windows6.1 KB2592687 ενημερωμένη έκδοση. Κάντε επανεκκίνηση του υπολογιστή. Ανοίξτε το πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας. Ενεργοποίηση της πολιτικής του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας. Η ρύθμιση αυτής της πολιτικής είναι κάτω από τον ακόλουθο κόμβο:Υπολογιστής βρίσκεται στη διαδρομή Ρυθμίσεις χρήστη\Πρότυπα διαχείρισης\Στοιχεία των Components\Remote Services\Remote περίοδο λειτουργίας επιφάνειας εργασίας Host\Remote περιόδου λειτουργίας περιβάλλον επιφάνειας εργασίας Εάν οι λειτουργίες UDP είναι απαραίτητη, ενεργοποιήσετε την πολιτική μεταφορών RDP και, στη συνέχεια, ορίστε την τιμή για χρήση TCP και UDP. Η ρύθμιση για 
    η πολιτική μεταφορών RDP είναι κάτω από τον ακόλουθο κόμβο:Υπολογιστής βρίσκεται στη διαδρομή Ρυθμίσεις χρήστη\Πρότυπα διαχείρισης\Στοιχεία των Components\Remote της επιφάνειας εργασίας Services\Remote περίοδο λειτουργίας επιφάνειας εργασίας Host\Connections Σημείωση Ρύθμιση παραμέτρων της πολιτικής μεταφορών RDP επιτρέπει επίσης κανόνες τείχους προστασίας για να επιτρέψετε τη θύρα 3389 UDP. Κάντε επανεκκίνηση του υπολογιστή. Πώς να βεβαιωθείτε ότι έχει ενεργοποιηθεί το RDP 8.0
    Για να επαληθεύσετε ότι RDP 8.0 είναι ενεργοποιημένη στον απομακρυσμένο υπολογιστή που εκτελεί Windows 7 SP1, συνδεθείτε με τον υπολογιστή από έναν υπολογιστή που εκτελεί Windows 8 ή που εκτελεί Windows 7 SP1 χρησιμοποιώντας την απομακρυσμένη επιφάνεια εργασίας σύνδεσης (RDC) 8.0. Αφού συνδεθείτε στον υπολογιστή, ακολουθήστε τα εξής βήματα για να βεβαιωθείτε ότι έχει ενεργοποιηθεί το RDP 8.0: Εάν είναι ενεργοποιημένη η RDP 8.0, θα εμφανιστεί το κουμπί ποιότητα σύνδεσης στη γραμμή σύνδεσης. Κάντε κλικ στο κουμπί ποιότητα σύνδεσης για να ανοίξετε ένα παράθυρο διαλόγου πληροφοριών που μοιάζει με το ακόλουθο.

    Η παρουσία του κουμπιού ποιότητα σύνδεσης και το παράθυρο διαλόγου σύνδεσης ποιότητας επιβεβαιώνει τη διαθεσιμότητα RDP 8.0 για την απομακρυσμένη σύνδεση. Γνωστά ζητήματα που αφορούν την ενημερωμένη έκδοση RDP 8.0
    Εικονικές επιφάνειες εργασίας που έχουν εγκατεστημένο το RemoteFX vGPU δεν είναι δυνατό να χρησιμοποιήσετε RDP 8.0.Το ζήτημα
    Μετά την εγκατάσταση και ενεργοποίηση RDP 8.0 χρησιμοποιώντας πολιτική ομάδας σε έναν υπολογιστή που έχει εγκατεστημένο το RemoteFX vGPU, RDP 8.0 δεν είναι διαθέσιμη.Ανάλυση
    Αυτή η ενημερωμένη έκδοση δεν ενεργοποιεί RDP 8.0 για συνδέσεις με υπολογιστές που έχουν εγκατεστημένο το RemoteFX vGPU. Εάν πρέπει να έχετε ενεργοποιημένο το RDP 8.0, κατάργηση RemoteFX vGPU από την εικονική επιφάνεια εργασίας για να ενεργοποιήσετε το RDP 8.0. Η εντολή σκιωδών αντιγράφων δεν μπορεί να χρησιμοποιηθεί για την απομακρυσμένη παρακολούθηση απομακρυσμένης σύνδεσης του χρήστη.Το ζήτημα
    Windows 7 SP1 υποστηρίζει την εντολή " Σκιά " (τηλεχειριστήριο). Αυτή η εντολή μπορεί να χρησιμοποιηθεί από ένα διαχειριστή για να προβάλετε ή να ελέγξετε μια ενεργή περίοδο λειτουργίας ενός άλλου χρήστη. Αφού RDP 8.0 είναι ενεργοποιημένη σε έναν υπολογιστή που εκτελεί Windows 7 SP1, ένα χρήστη διαχειριστή δεν χρησιμοποιήσετε την εντολή σκίασης για την προβολή ή τον έλεγχο της περιόδου λειτουργίας του χρήστη.Ανάλυση
    Οι διαχειριστές μπορούν να χρησιμοποιήσουν απομακρυσμένης βοήθειας ή ένα άλλο προϊόν το οποίο παρέχει παρόμοιες δυνατότητες για την προβολή ή τον έλεγχο της περιόδου λειτουργίας του χρήστη. Aero γυαλί υποστήριξη είναι διαθέσιμη.Το ζήτημα
    Το Aero Glass δυνατότητα απομακρυσμένης πρόσβασης στα Windows 7 επιτρέπει στους χρήστες που εκτελούν συμβατά προγράμματα-πελάτες σύνδεσης απομακρυσμένης επιφάνειας εργασίας χρήση δυνατότητες όπως μια τρισδιάστατη, προεπισκόπηση γραμμή της ζωντανής εργασίας και το περίγραμμα διαφανούς παραθύρου σε μια σύνδεση απομακρυσμένης επιφάνειας εργασίας όταν χρησιμοποιείται ένα συμβατό πρόγραμμα-πελάτη RDC 7.0.Μετά RDP 8.0 είναι ενεργοποιημένη, οι χρήστες δεν είναι δυνατό να χρησιμοποιούν τη δυνατότητα απομακρυσμένης πρόσβασης Aero Glass.Ανάλυση
    Οι διαχειριστές δεν πρέπει να ενεργοποιήσετε το RDP 8.0 σε απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1 για χρήστες που πρέπει να χρησιμοποιήσετε τη δυνατότητα απομακρυσμένης πρόσβασης Aero Glass. 8.0 RDP σε απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1 δεν χρησιμοποιεί το πρωτόκολλο UDP.Το ζήτημα
    Του RemoteFX για δυνατότητα WAN στο RDP 8.0 χρησιμοποιεί κάνουν TCP και UDP πρωτόκολλα για τη βελτιστοποίηση του χρήστη εμπειρία. Μετά την εγκατάσταση και ενεργοποίηση RDP 8.0 σε υπολογιστές που εκτελούν Windows 7 SP1, RDP 8.0 είναι ρυθμισμένος να χρησιμοποιεί μόνο το πρωτόκολλο TCP.Ανάλυση
    Για να επιλύσετε αυτό το ζήτημα, ρυθμίστε τις παραμέτρους 8.0 RDP για να χρησιμοποιούν πρωτόκολλα του TCP και UDP. Για περισσότερες πληροφορίες, ανατρέξτε στην ενότητα "Τρόπος ενεργοποίησης RDP 8.0".". Τοπικοί διαχειριστές που δεν είναι μέλη της ομάδας Remote Desktop Users δεν είναι δυνατό να εισέλθετε χρησιμοποιώντας ένα πρόγραμμα-πελάτη σύνδεσης απομακρυσμένης επιφάνειας εργασίας.Το ζήτημα
    Μετά την ενεργοποίηση RDP 8.0, τοπικούς διαχειριστές που δεν είναι μέλη της ομάδας Remote Desktop Users δεν είναι δυνατό να εισέλθετε στο.Ανάλυση
    Για να επιλύσετε αυτό το ζήτημα, προσθέστε τους χρήστες του τοπικού διαχειριστή στην ομάδα χρηστών απομακρυσμένης επιφάνειας εργασίας. Δεν είναι ενεργοποιημένη στον κανόνα τείχους προστασίας που επιτρέπει την κυκλοφορία UDP, όταν χρησιμοποιείτε ένα αντικείμενο πολιτικής ομάδας (GPO) για να ενεργοποιήσετε το RDP 8.0.Το ζήτημα
    Εάν χρησιμοποιείτε ένα αντικείμενο πολιτικής ΟΜΆΔΑΣ για να ενεργοποιήσετε το RDP 8.0, UDP κανόνα τείχους προστασίας που επιτρέπει την κυκλοφορία UDP δεν είναι ενεργοποιημένη μερικές φορές.Ανάλυση
    Για να επιλύσετε αυτό το ζήτημα, δημιουργήστε ένα αντικείμενο πολιτικής ΟΜΆΔΑΣ για να ενεργοποιήσετε την απομακρυσμένη επιφάνεια εργασίας - λειτουργίας χρήστη (UDP-In) τείχος προστασίας. Αντιμετωπίζετε χαμηλές επιδόσεις όταν αναπτύσσεται IPsec στο δίκτυο.Το ζήτημα
    Όταν συνδέεστε σε έναν υπολογιστή, χρησιμοποιώντας το πρωτόκολλο RDP 8.0 σε ορισμένες περιπτώσεις, αντιμετωπίζετε χαμηλές επιδόσεις. Αυτό το ζήτημα παρουσιάζεται όταν αναπτύσσεται IPsec στο δίκτυο.Ανάλυση
    Για να επιλύσετε αυτό το ζήτημα, εγκαταστήστε την επείγουσα επιδιόρθωση 2570170 στο διακομιστή.

    Για περισσότερες πληροφορίες σχετικά με την επείγουσα επιδιόρθωση 2570170, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft: 2570170 Ζήτημα επιδόσεων κατά την ενεργοποίηση της πολιτικής AuthNoEncap να χειρίζεται μεγάλο ωφέλιμα φορτία σε περιβάλλον δικτύου στα Windows 7 ή Windows Server 2008 R2 Δεν μπορείτε να χρησιμοποιήσετε τις λειτουργικότητες πολλά σημεία αφής και κινήσεων, όταν συνδέεστε σε έναν υπολογιστή από απόσταση.Το ζήτημα
    Δεν μπορείτε να χρησιμοποιήσετε τις λειτουργικότητες πολλά σημεία αφής και κινήσεων, όταν χρησιμοποιείτε την απομακρυσμένη επιφάνεια εργασίας σύνδεσης προγράμματος-πελάτη 8.0 σε έναν υπολογιστή που εκτελεί Windows 7 SP1.Ανάλυση
    Η δυνατότητα αφής RemoteFX υποστηρίζεται μόνο όταν πελάτη και διακομιστή υπολογιστές εκτελούν Windows 8 ή 2012 διακομιστή των Windows.
    Περισσότερες πληροφορίες
    Νέες δυνατότητες στο 8.0 RDP για Windows 7 SP1
    Αυτή η ενημερωμένη έκδοση εισάγει τις παρακάτω δυνατότητες για απομακρυσμένους υπολογιστές που εκτελούν Windows 7 SP1: RemoteFX για WAN

    Το RemoteFX για δυνατότητα WAN επιτρέπει σε χρήστες σε δίκτυα WAN να έχουν γρήγορη και υγρό εμπειρία με τη χρήση προηγμένων τεχνικών όπως intelligent και προσαρμόσιμη UDP μεταφορές, ανοχή απώλεια δικτύου και αποκατάστασης. Για περισσότερες πληροφορίες, μεταβείτε στην ακόλουθη τοποθεσία Web της Microsoft:RemoteFX για WAN: Επισκόπηση Intelligent και προσαρμόσιμη μεταφορών στα Windows 8 και Windows Server 2012 Εντοπισμός RemoteFX δικτύου

    Δυνατότητα RemoteFX δικτύου Αυτόματος εντοπισμός αυτόματα ανιχνεύει χαρακτηριστικά δικτύου και αναλόγως βελτιστοποιεί την εμπειρία του χρήστη. Για περισσότερες πληροφορίες, μεταβείτε στην ακόλουθη τοποθεσία Web της Microsoft:RemoteFX για WAN: Επισκόπηση Intelligent και προσαρμόσιμη μεταφορών στα Windows 8 και Windows Server 2012 RemoteFX προσαρμοστική γραφικών

    Η δυνατότητα προσαρμόσιμης γραφικά RemoteFX προσφέρει μια εμπειρία πλούσια γραφικά που προσαρμόζεται δυναμικά το φόρτο του διακομιστή, το φορτίο συσκευή πρόσβασης υπολογιστή-πελάτη και χαρακτηριστικά δικτύου.Για περισσότερες πληροφορίες, μεταβείτε στην ακόλουθη τοποθεσία Web της Microsoft:Γενικές πληροφορίες σχετικά με την προσαρμόσιμη γραφικά RemoteFX 2012 του Windows Server και Windows 8 Ροή πολυμέσων RemoteFX

    Η δυνατότητα ροής πολυμέσων RemoteFX επιτρέπει στους χρήστες να αντιμετωπίσετε μια media ομαλή εμπειρία σε δίκτυα WAN για όλες τις μορφές περιεχομένου πολυμέσων. Για περισσότερες πληροφορίες, μεταβείτε στην ακόλουθη τοποθεσία Web της Microsoft:Γενικές πληροφορίες σχετικά με την ενεργοποίηση μια απλή εμπειρία πολυμέσων με ροή πολυμέσων RemoteFX 2012 του Windows Server και Windows 8 Ανακατεύθυνση USB RemoteFX για μη RemoteFX vGPU εικονικές επιφάνειες εργασίας

    Η δυνατότητα ανακατεύθυνσης USB RemoteFX επιτρέπει στους χρήστες να χρησιμοποιούν συσκευές USB με εφαρμογές RemoteApp και απομακρυσμένες επιφάνειες εργασίας, ακόμη και αν ο απομακρυσμένος υπολογιστής στην επιφάνεια εργασίας δεν έχει vGPU RemoteFX εγκατεστημένο. Για περισσότερες πληροφορίες, μεταβείτε στην ακόλουθη τοποθεσία Web της Microsoft:Γενικές πληροφορίες σχετικά με την ανακατεύθυνση USB RemoteFX 2012 του Windows Server και Windows 8 Υποστήριξη για ένθετα περιόδων λειτουργίας

    RDP 8.0 υποστηρίζει την εκτέλεση μιας περιόδου λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας μέσα σε μια άλλη περίοδο λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας για συγκεκριμένα σενάρια. 

    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft: 2754550 Εκτέλεση μιας περιόδου λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας μέσα σε μια άλλη περίοδο λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας υποστηρίζεται με 8.0 πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας για συγκεκριμένα σενάρια Μετρητές επιδόσεων για την παρακολούθηση της εμπειρίας του χρήστη

    Μετρητές επιδόσεων (ομάδες μετρητή RemoteFX γραφικά και RemoteFX δικτύου) επιτρέπουν στους διαχειριστές να παρακολουθούν και αντιμετώπιση προβλημάτων εμπειρία χρήστη. Αυτές οι δυνατότητες είναι διαθέσιμες μόνο όταν χρησιμοποιείτε ένα πρόγραμμα-πελάτη που είναι συμβατό με το RDP 8.0.Για παράδειγμα, ένας υπολογιστής που εκτελεί Windows 8 ή το Windows 7 SP1 με εγκατεστημένη την ενημερωμένη έκδοση RDP 8.0 να συνδεθείτε σε έναν άλλο υπολογιστή που εκτελεί Windows 7 SP1 με εγκατεστημένη την ενημερωμένη έκδοση RDP 8.0.Νέες δυνατότητες του υπολογιστή-πελάτη 8.0 σύνδεσης απομακρυσμένης επιφάνειας εργασίας για Windows 7 SP1 και Windows Server 2008 R2 SP1
    Η ενημερωμένη έκδοση 8.0 σύνδεσης απομακρυσμένης επιφάνειας εργασίας υποστηρίζει τις ακόλουθες νέες δυνατότητες, όταν συνδέεστε σε ένα υποστηριζόμενο και κατάλληλα ρυθμισμένο διακομιστή: Υποστήριξη για το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας 8.0

    Η ενημερωμένη έκδοση 8.0 σύνδεσης απομακρυσμένης επιφάνειας εργασίας παρέχει πλήρη υποστήριξη για RDP 8.0 και περιλαμβάνει τις εξής δυνατότητες: Τηλεχειριστήριο για WAN RemoteFX προσαρμοστική γραφικών Απομακρυσμένο δίκτυο αυτόματη ανίχνευση Ροή πολυμέσων RemoteFX  

    Αυτή η δυνατότητα είναι διαθέσιμη, όταν συνδέεστε σε υπολογιστές που εκτελούν ένα από τα ακόλουθα λειτουργικά συστήματα: Τα Windows 8 Windows Server 2012 Τα Windows 7 με 8.0 RDP εγκατεστημένες και ενεργοποιημένες Δυναμική στην περίοδο λειτουργίας ανακατεύθυνσης USB

    Τη δυνατότητα ανακατεύθυνσης USB δυναμικό σε περίοδο λειτουργίας επιτρέπει στους χρήστες να επιλέγουν συσκευές USB για ανακατεύθυνση στο μέσο μιας απομακρυσμένης περιόδου λειτουργίας. Συσκευές USB μπορεί να γίνει αντιμετάθεση μεταξύ απομακρυσμένων περιόδων λειτουργίας ή στον τοπικό υπολογιστή. Όταν είναι ενεργοποιημένη η δυνατότητα ανακατεύθυνσης RemoteFX USB, οι χρήστες μπορούν να κτυπήστε το εικονίδιοσυσκευές από τη γραμμή σύνδεσης, για να επιλέξετε ποιες συσκευές ανακατευθύνονται.

    Αυτή η δυνατότητα είναι διαθέσιμη, όταν συνδέεστε σε υπολογιστές που εκτελούν ένα από τα ακόλουθα λειτουργικά συστήματα: Τα Windows 8 Windows Server 2012 Τα Windows 7 με την Ενεργοποίηση δυνατότητας vGPU RDP 7.1 RemoteFX Τα Windows 7 με 8.0 RDP εγκατεστημένες και ενεργοποιημένες Βελτιωμένη ενιαίας εμπειρίας εισόδου για πρόσβαση Web απομακρυσμένης επιφάνειας εργασίας

    Αυτή η ενημερωμένη έκδοση απλοποιεί και βελτιώνει σημαντικά την εμπειρία του χρήστη, επιτρέποντας στους χρήστες να παρέχουν μόνο μία φορά κατά τη σύνδεση των χρηστών με το όνομα χρήστη και κωδικό πρόσβασης ΠΛΗΡΟΦΟΡΙΚΉΣ δημοσιεύονται apps και επιφάνειες εργασίας. Οι χρήστες δεν σας ζητηθεί να δώσετε το όνομα χρήστη και κωδικό πρόσβασης για διαδοχικές συνδέσεις. 

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων Web καθολικής σύνδεσης (web SSO), επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Απομακρυσμένη επιφάνεια εργασίας Web Access καθολικής σύνδεσης τώρα πιο εύκολο να ενεργοποιήσετε το Windows Server 2012 Αυτή η δυνατότητα είναι διαθέσιμη μόνο όταν συνδέεστε με τα Windows Server 2012 εικονικό μηχάνημα στηρίζεται αναπτύξεις και αναπτύξεις της επιφάνειας εργασίας που βασίζεται σε περίοδο λειτουργίας. Επανασύνδεση για Συνδέσεις RemoteApp και επιφάνειας εργασίας

    Η επανασύνδεση για τη δυνατότητα Συνδέσεις RemoteApp και επιφάνειας εργασίας επιτρέπει στους χρήστες να εύκολα κατά την αποσύνδεση και επανασύνδεση σε ΠΛΗΡΟΦΟΡΙΚΉΣ δημοσιεύονται apps και επιφάνειες εργασίας. 

    Αυτή η δυνατότητα είναι διαθέσιμη σε χρήστες όταν χρησιμοποιούν τη δυνατότητα Συνδέσεις RemoteApp και επιφάνειας εργασίας για να συνδεθείτε στην επιφάνεια εργασίας ανάπτυξη που βασίζεται σε εικονικό μηχάνημα 2012 διακομιστή των Windows και στην επιφάνεια εργασίας ανάπτυξη που βασίζεται σε περίοδο λειτουργίας. Υποστήριξη για API ανακατεύθυνσης RemoteFX πολυμέσων για εφαρμογές VoIP

    Η δυνατότητα RemoteFX Media ανακατεύθυνσης APIs επιτρέπει εφαρμογές όπως το Lync 2013 να παραδώσει μια εμπειρία διάσκεψης με βίντεο και ήχου πλούσια. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Γενικές πληροφορίες σχετικά με την προσθήκη VDI Microsoft Lync 2013 (Προεπισκόπηση) Αυτή η δυνατότητα είναι διαθέσιμη, όταν συνδέεστε σε υπολογιστές που εκτελούνται από τα ακόλουθα λειτουργικά συστήματα: Τα Windows 8 Windows Server 2012 Windows 7 Windows Server 2008 R2 Υποστήριξη για ένθετα περιόδων λειτουργίας

    RDP 8.0 υποστηρίζει την εκτέλεση μιας περιόδου λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας μέσα σε μια άλλη περίοδο λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας για συγκεκριμένα σενάρια.

    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft: 2754550 Εκτέλεση μιας περιόδου λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας μέσα σε μια άλλη περίοδο λειτουργίας σύνδεσης απομακρυσμένης επιφάνειας εργασίας υποστηρίζεται με 8.0 πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας για συγκεκριμένα σενάρια Επιστροφή στην αρχή | Αποστολή σχολίων Λήψη πληροφοριών
    Τρόπος απόκτησης αυτής της ενημερωμένης έκδοσης
    Τα ακόλουθα αρχεία είναι διαθέσιμα για λήψη από το Κέντρο λήψης της Microsoft:

    Ενημερωμένη έκδοση για Windows 7 SP1, εκδόσεις 32-bit
    Κάντε λήψη της ενημερωμένης έκδοσης για Windows 7 SP1 για συστήματα που βασίζονται σε 86 x.
    Ενημερωμένη έκδοση για Windows 7 SP1, εκδόσεις 64-bit
    Κάντε λήψη της ενημερωμένης έκδοσης για Windows 7 SP1 για συστήματα που βασίζονται σε επεξεργαστή 64 x.
    Ενημερωμένη έκδοση για Windows Server 2008 R2 SP1, εκδόσεις 64-bit
    Κάντε λήψη της ενημερωμένης έκδοσης για Windows Server 2008 R2 SP1 για συστήματα που βασίζονται σε επεξεργαστή 64 x.

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft: 119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία που καταχωρήθηκε στο αρχείο. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια που βοηθά στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο. Επιστροφή στην αρχή | Αποστολή σχολίων Ιδιότητες
    Αναγν. άρθρου: 2592687 - Τελευταία αναθεώρηση: Τετάρτη, 24 Οκτωβρίου 2012 - Αναθεώρηση: 2.0 Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
    Windows 7 Service Pack 1 στις ακόλουθες πλατφόρμες Windows 7 Enterprise Windows 7 Home Basic Windows 7 Home Premium Windows 7 Professional Windows 7 Starter Windows 7 Ultimate Windows Server 2008 R2 Service Pack 1 στις ακόλουθες πλατφόρμες Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 for Itanium-Based Systems Windows Server 2008 R2 Foundation Windows Server 2008 R2 Standard Windows Web Server 2008 R2
  10. giotis
    Ένας απο τους σημαντικότερους ρόλους στον Windows Server είναι ο ρόλος του Remote Desktop. Αμέτρητες φορές στο παρελθόν ο Terminal Server έχει δώσει λύσεις σε εταιρικά περιβάλλοντα αφαιρώντας την ανάγκη παραμετροποίησης των τερματικών και προσθέτωντας την ευχέρεια της χρήσης μέσω του Session Virtualization.


    Εν έτει 2012 ο Remote Desktop Server μεταμορφώθηκε στη λύση που χρειάζονται οι εταιρείες για τους νέους τρόπους εργασίας και το BYOD. 


       Η νοοτροπία που ακολουθεί είναι απλή με δυο μορφές εγκατάστασης οι οποίες μπορούν και να συνδυαστούν. Αν και οι δυο τρόποι δίνουν λύση στο ίδιο πρόβλημα , την απομακρυσμένη εκτέλεση εφαρμογών ,διαφέρουν σημαντικά στον τρόπο που το καταφέρνουν.


       Η πρώτη ονομάζεται Remote Desktop Services Session Virtualization ,το γνωστό Remote Desktop ,με σκοπό την παροχή εφαρμογών στους τελικούς χρήστες χωρίς να χρειάζεται καμία εγκατάσταση στον υπολογιστή τους παρά μόνο στον εξυπηρετητή.


       Η δεύτερη λειτουργία ονομάζεται Remote Desktop Services Desktop Virtualization και καθίστα δυνατή την εκτέλεση ενός ολόκληρου Desktop λειτουργικού μέσα στον Hyper V και η παροχή πρόσβασης στον τελικό χρήστη μέσω του Remote Desktop.


       Οι δυνατότητες αυτές υπήρχαν και στον Server 2008 όμως έχουν βελτιωθεί τόσο πολύ που από το πρώτο δευτερόλεπτο δε μπορεί κανείς να αγνοήσει τις διαφορές.


       Κοινοί παρονομαστές είναι ο Connection Broker και το Remote FX. Ο Connection Broker πλεον παίρνει τη θέση του οδηγού. Με τη χρήση του Connection Broker ο Server είναι σε θέση να διαχειριστεί από έναν Server και μερικούς χρήστες έως δεκάδες Servers και χιλιάδες χρήστες.


       Φυσικά ένα προϊόν που έχει φτιαχτεί για το Cloud δε θα μπορούσε να χρησιμοποιεί κάτι λιγότερο από την αιχμή της τεχνολογίας στην ποιότητα της απομακρυσμένης σύνδεσης και το όνομα της τεχνολογίας αυτής είναι το RemoteFX. Το Remote FX αποτελείται από τμήματα τα οποία είναι υπεύθυνα για την συνολική ποιότητα εμπειρίας στη χρήση του Remote Desktop.Συγκεκριμένα οι βελτιώσεις είναι οι παρακάτω:


    RemoteFX For WAN


       To RemoteFX for WAN έχει σχεδιαστεί για να προσαρμόζει την χρήση των γραφικών υπό οποιεσδήποτε συνθήκες σύνδεσης έτσι ώστε η εμπειρία χρήσης να βρίσκεται πάντα σε ικανοποιητικό επίπεδο.


    RemoteFX Adaptive Graphics


       Το Adaptive Graphics αφού καθορίσει τον τύπο των πληροφοριών που απεικονίζονται στην οθόνη φροντίζει να συμπιέσει και να αποστείλει τα δεδομένα ανάλογα με τον τύπο,εικόνα,κείμενο και δεδομένα με τη χρήση διαφορετικών Codec.


    RemoteFX Media Remoting


        Με το Media Remoting είναι δυνατή η εκτέλεση εφαρμογών με πολυμέσα ακόμη και μέσω του Remote Desktop.Αναλαμβάνει να αιχμαλωτίσει τα δεδομένα που περιέχουν εικόνα ,βίντεο ή ήχο και να τα αποστείλει στον υπολογιστή πελάτη για αποσυμπίεση και αναπαραγωγή


    RemoteFX Progressive Rendering


       Το Remote FX Progressive Rendering αναλαμβάνει να εμφανίσει την είκονα με σταδιακή απεικόνιση έτσι ώστε να μην επηρεάζεται η εμπείρια χρήσης. Αν για παράδειγμα σε μια σελίδα βρίσκονται εικόνες και κείμενο ,εμφανίζεται το κείμενο και σταδιακά γίνεται το Rendering της εικόνας.


    RemoteFX Multi Touch


       Φυσικά οι δυνατότητες αφής δε θα μπορούσαν να λείπουν με τα Tablet να κερδίζουν συνεχώς έδαφος. Το Remote FX έχει τη δυνατότητα μέχρι 10 ταυτόχρονων σημείων αφής.


    RemoteFX USB Redirection


       To USB Redirection έχει σχεδιαστεί από την αρχή με τη δυνατότητα μεταφοράς οποιασδήποτε συσκευής μέσω του Remote Desktop.

     

    Στο επόμενο Blogpost θα αναλύσουμε τον νέο τρόπο εγκατάστασης και τις δυνατότητες του Remote Desktop Services.
  11. giotis
    Το BitLocker είναι η απάντηση της Microsoft για την προστασία των δεδομένων των χρηστών ή των  διακομιστών που βρίσκονται αποθηκευμένα σε σκληρούς δίσκους ή αφαιρούμενα μέσα αποθήκευσης με το BitLocker-to-go.

    Κρυπτογραφεί όλα τα δεδομένα με ένα κλειδί και καθιστά αδύνατη την ανάκτηση αυτών σε περίπτωση κλοπής. Με αυτόν τον τρόπο ακόμη και να αποκτήσει κάποιος φυσική πρόσβαση στον υπολογιστή δε θα είναι εφικτή η αντιγραφή των αρχείων ή η εκκίνησή του.


    Το κλειδί που χρησιμοποιεί το BitLocker για να κρυπτογραφήσει τα δεδομένα συνήθως παρέχεται από το Trusted Platform Module.Το TPM είναι ένα chip στον υπολογιστή το οποίο έχει δυο κλειδιά. Το πρώτο κλειδί είναι το Storage Root Key. Το δεύτερο κλειδί είναι αποθηκευμένο έτσι ώστε να μην έχει κανείς πρόσβαση σε αυτό με κανέναν τρόπο. Με τη χρήση αυτών των κλειδιών παράγει άλλα τα οποία κρυπτογραφούν τα δεδομένα σας.


    Δεν είναι όμως και απαραίτητο να έχει ένας υπολογιστής TPM για να μπορέσει το BitLocker να δουλέψει. Εκτός από το TPM υπάρχει η επιλογή να χρησιμοποιήσει ο χρήστης είτε κάποιο PIN ή κωδικό είτε ένα απλό USB Stick στο οποίο αποθηκεύεται ο κωδικός του BitLocker. Φυσικά αυτοί οι τρόποι μπορούν να συνδυαστούν και να παρέχουν multi-factor authentication. Μπορεί για παράδειγμα εκτός από το TPM να χρειάζεται και ένα PIN για να ξεκινήσει ο υπολογιστής.



     

    Όπως όλα τα υποσυστήματα του νέου λειτουργικού έτσι και το BitLocker αναβαθμίστηκε αισθητά στη νέα έκδοση.


    BitLocker provisioning


    Στην προηγούμενη έκδοση του BitLocker δεν ήταν δυνατή η χρησιμοποίηση του πριν την εγκατάσταση των Windows. Με το BitLocker provisioning μπορούν πλέον οι χρήστες να ενεργοποιήσουν το BitLocker πριν την εγκατάσταση. Με το πέρας της εγκατάστασης χρησιμοποιώντας τον πίνακα ελέγχου μπορούν να ολοκληρώσουν την εγκατάσταση του BitLocker.


    Used Disk Space Only encryption


    Στην προηγούμενη έκδοση επίσης, έπρεπε να κρυπτογραφηθεί όλος ο σκληρός δίσκος. Σε σκληρούς δίσκους με μεγάλη χωρητικότητα αυτή η συμπεριφορά ήταν προβληματική αφού ήταν μια χρονοβόρα διαδικασία. Στη νέα έκδοση είναι δυνατή η κρυπτογράφηση μόνο των περιεχομένων και όχι του ελεύθερου χώρου βελτιώνοντας την εμπειρία χρήσης. Βέβαια η Microsoft συνιστά τη χρήση της συγκεκριμένης δυνατότητας μόνο σε νέους δίσκους για ευνόητους λόγους. Αν προηγουμένως είχαμε δεδομένα και τα σβήσαμε θα μπορούσε κάποιος εξειδικευμένος να αποκτήσει πρόσβαση.


    Μια τόσο σοβαρή επιλογή όπως το Used Disk Space Only encryption φυσικά κέρδισε και τη θέση της στο Group Policy έτσι ώστε οι διαχειριστές να επιλέγουν τον προεπιλεγμένο τρόπο.


    Standard User PIN and password change


    Για να εγκατασταθεί και να παραμετροποιηθεί το BitLocker χρειάζονται δικαιώματα διαχειριστή σε κάθε υπολογιστή. Στη νέα έκδοση υπάρχει η δυνατότητα να αλλάξει τους κωδικούς του BitLocker που χρειάζονται για την εκκίνηση του υπολογιστή και ένας απλός χρήστης. Το μήκος των κωδικών και η περιπλοκότητα μπορούν να καθοριστούν και με ρυθμίσεις από το Group Policy. Έτσι οι διαχειριστές μπορούν να ετοιμάσουν γρήγορα ένα μεγάλο αριθμό υπολογιστών με τον ίδιο κωδικό και να αφήσουν τους χρήστες να διαλέξουν το δικό τους.


    Network Unlock


    Η μεγαλύτερη πρόκληση που έρχονται αντιμέτωποι οι διαχειριστές με τη χρήση του BitLocker είναι η ανάγκη της φυσικής πρόσβασης κατά την εκκίνηση των υπολογιστών.


    Το TPM προστατεύει σε περίπτωση κλοπής των σκληρών δίσκων. Αν υπάρχει πρόσβαση στον υπολογιστή τότε θα μπορούσε να τον ανοίξει κάποιος χωρίς να χρειάζεται να παρέχει και κάποιου είδους ταυτοποίηση ακόμη. Για αυτό το λόγο υπάρχει το PIN ή το Startup key(το USB Stick) ή και τα δύο μαζί τα οποία πρέπει να παρέχει κάποιος για να ξεκινήσει ο υπολογιστής.


    Σε εταιρικά περιβάλλοντα όμως χρειάζεται και η ασφαλής εκκίνηση του υπολογιστή χωρίς τη φυσική παρουσία. Σε αυτήν την πρόκληση απάντηση έρχεται να δώσει το Network Unlock. Με το Network Unlock όταν ο υπολογιστής ξεκινάει μπορεί να πάρει τα απαραίτητα κλειδιά από την υπάρχουσα υποδομή. Η υποδομή αυτή περιλαμβάνει ένα Windows Deployment Server ο οποίος παρέχει τη δυνατότητα μεταφοράς αυτού του κλειδιού στους υπολογιστές, ένα κλειδί το οποίο είναι σε μορφή πιστοποιητικού X.509 και φυσικά τις απαραίτητες ρυθμίσεις στο Group Policy. Φυσικά θα πρέπει και οι υπολογιστές να χρησιμοποιούν Windows 8 ή Windows Server 2012.


    Υποστήριξη για κρυπτογραφημένους σκληρούς δίσκους


                    Στην αγορά σήμερα υπάρχουν σκληροί δίσκοι οι οποίοι χρησιμοποιούν κρυπτογράφηση σε επίπεδο υλικού. Η κοινή τους ονομασία είναι SED (Shelf Encrypting Drives). Το BitLocker αναγνωρίζει πλέον αυτούς τους σκληρούς και μπορεί να τους χρησιμοποιήσει προσφέροντας καλύτερες επιδόσεις και ασφαλεια.


    Υποστήριξη για Cluster Shared Volumes


                    Σε εγκαταστάσεις με Failover Clustering που χρησιμοποιούν CSV,στη νέα έκδοση μπορούν να χρησιμοποιηθούν με το BitLocker προσφέροντας τα πλεονεκτήματα της κρυπτογράφησης ακόμη και σε αυτή την παραμετροποίηση.


     


    Όλη η υποδομή κρυπτογράφησης είναι μπορεί φυσικά να παραμετροποιηθεί και με το Group Policy.  Για τους κατόχους MDOP υπάρχει και το  Microsoft BitLocker Administration 2.0 Beta με το οποίο μπορούν να διαχειριστούν το BitLocker σε εταιρικό περιβάλλον.


    Περισσότερες πληροφορίες μπορείτε να βρείτε στους παρακάτω συνδέσμους:


    What's New in BitLocker


    BitLocker Frequently Asked Questions (FAQ)


    Understand and Troubleshoot BitLocker


    Microsoft BitLocker Administration 2.0 Beta (Microsoft Connect)

  12. giotis
    Ένα νέο δωρεάν προσθετο εργαλείο για το Active Directory Rights Management Server είναι πλέον διαθέσιμο από την Microsoft. Το Rights Protected Folder Explorer έχει σχεδιαστεί για να προστατεύει τα περιεχόμενα ενός φακέλλου σύμφωνα με τις πολιτικές ασφαλείας που έχουν διαμορφωθεί σε έναν AD RMS Server.

    Με αυτό το εργαλείο μπορούν οι χρήστες να προστατεύουν ανεξάρτητα αρχεία και φακέλλους ακόμη και από εφαρμογές που δεν έχουν σχεδιαστεί για το AD RMS.




    Διαβάστε περισσότερα

    Active Directory Rights Management Server

    Rights Protected Folders

    Κατεβάστε το εργαλείο

    Rights Protected Folders
  13. giotis
    Φθάνοντας στο 2012 και στο νέο Server ο κέρβερος δε θα μπορούσε να μείνει ως έχει ικανοποιώντας τις απαιτήσεις της σύγχρονης εποχής,με το Cloud στον ορίζοντα


    Οι πρώτες και σημαντικές αλλαγές έρχονται με τη  βελτίωση του κέρβερου σε ότι αφορά τις ήδη υπάρχουσες εγκαταστάσεις.


                    KDC resource group compression


    Η συμπίεση των ομάδων των χρηστών δε χρειάζεται περαιτέρω εξήγηση. Με το Active Directory μια δεκαετία στη ζωή μας οι ομάδες και τα Security Identifiers που ανήκουν στους χρήστες έχουν γιγαντωθεί. Για να βελτιωθούν οι επιδόσεις ο κέρβερος πλέον συμπιέζει τα δεδομένα στα εισιτήρια.


    Βελτίωση στο Kerberos SSPI context token buffer size


    Όταν οι εφαρμογές προσπαθούν να καταλάβουν το μέγεθος των εισιτηρίων συνήθως παρέχουν και την απαιτούμενη μνήμη. Με την πολυπλοκότητα των SID και τις νέες δυνατότητες όπως το Claims Based authentication υπάρχει περίπτωση να μην γίνεται σωστά πιστοποίηση αφού οι εφαρμογές δεν μπορούν να καταλάβουν αυτό το μέγεθος του πακέτου. Φυσικά υπάρχουν και τα αντίστοιχα group-policies για να ρυθμίσουμε το μέγεθος στο επιθυμητό.


    Βελτιώσεις στη διαχείριση


    Ένα μοντέρνο λειτουργικό σύστημα προσανατολισμένο στο Cloud δε θα μπορούσε να μην έχει μια υπηρεσία που δε χρειάζεται επανεκκίνηση. Στο Server 2012 η υπηρεσία του κέρβερου το kdcsvc δε χρειάζεται επανεκκίνηση για να λάβει ενημερώσεις. Επίσης για την καλύτερη διαχείριση έχουν προστεθεί νέα Events και operational και performance logs για να βοηθήσουν τους διαχειριστές να κατανοήσουν τα προβλήματα του κέρβερου σε ότι αφορά την υλοποίηση και τις επιδόσεις.


    Η ώρα του Cloud ….


                    Πλησιάζοντας στο Cloud ο κέρβερος αποκτά νέα χαρακτηριστικά για την πιστοποίηση των χρηστών.


    Με τους νέους τρόπους σύνδεσης των χρηστών όπως το DirectAccess ο κέρβερος χρειάζεται κάποιον τρόπο να μεταφέρει τις αιτήσεις από τους απομακρυσμένους χρήστες προς το Active Directory. Ο τρόπος αυτός είναι το KDC Proxy service το οποίο αναλαμβάνει να μεταφέρει αυτές τις αιτήσεις.


    Ρύθμιση του περιορισμού του κέρβερου στην αντιπροσώπευση εκτός του Forest.Όταν χρησιμοποιείται αντιπροσώπευση μιας υπηρεσίας στον κέρβερο έτσι ώστε να λαμβάνει εισιτήρια ως κάποια άλλη οντότητα μέχρι σήμερα ,είναι δυνατό αυτή η υπηρεσία να μπορεί να πάρει εισιτήρια και ενός άλλου Forest όταν χρησιμοποιούμε Forest Trusts. Η εφαρμογή αυτή μπορεί πλέον να ρυθμιστεί με την εντολή Netdom έτσι ώστε  η αντιπροσώπευση να παραμένει στο δικό μας Forest. Επίσης στις αλλαγές πρέπει να καταγράψουμε και τη δυνατότητα ρύθμισης της αντιπροσώπευσης(delegation) των υπηρεσιών που βρίσκονται μπροστά (frontend) από υπηρεσίες  που τρέχουν πίσω από αυτές (backend). Πλέον μπορούμε να έχουμε μια υπηρεσία που αντιπροσωπεύει μια οντότητα σε ένα άλλο Domain.


    Το τελευταίο κομμάτι έρχεται με την προσθήκη του Claims based authentication.


    Ο κέρβερος έχει αναβαθμιστεί για να μπορεί να υποστηρίζει εισιτήρια που περιέχουν  πιστοποίηση με Claims(ισχυρισμούς). Ένα σενάριο είναι το Dynamic Access Control το οποίο χρησιμοποιεί Claims για την πιστοποίηση των χρηστών.


    Και δυο αναβαθμίσεις για την ασφάλεια:


    Kerberos Armoring (Flexible Authentication Secure Tunneling (FAST))


    Το Kerberos FAST προστατεύει τα Pre-authentication Data έτσι ώστε να μην είναι δυνατό μια επίθεση offline. Για να το καταφέρει αυτό ο κέρβερος δημιουργεί ένα TGT για τη συσκευή που συνδέεται η οντότητα έτσι ώστε να προστατέψει τα μηνύματα που ανταλλάσει με τον Authentication Server. Επίσης πιστοποιεί και τα μηνύματα λάθους που προέρχονται από το KDC έτσι ώστε να μην τροποποιούνται κατά τη μεταφορά αναγκάζοντας το λειτουργικό σύστημα να ζητάει πιστοποίηση με NTLM ή χειρότερη κρυπτογράφηση αντί του κέρβερου.


    Compound authentication


    Το Compound authentication είναι ένα πρόσθετο του FAST. Επιτρέπει στον κέρβερο να προσφέρει TGT’s με βάση τα Claims των συσκευών ή ακόμη και τα Groups προσφέροντας περισσότερες επιλογές στην πιστοποίηση.


     


    Αν και η καθημερινότητα και η φανταστική σχεδίαση του κέρβερου μας κάνουν να ξεχνάμε την ύπαρξη του, η Microsoft συνεχίζει τη βελτίωση στην υλοποίηση του, ουσιαστικά  οδηγώντας την πιστοποίηση στο Cloud.

  14. giotis
    Σε αυτό το blogpost που ήθελα από καιρό να κάνω θα σας παρουσιάσω τις βελτιώσεις του κέρβερου στα Windows 2012.


    Για να κατανοήσουμε όμως αυτές τις αλλαγές θα πρέπει να γνωρίζουμε καλά τον κέρβερο και τι ακριβώς κάνει όταν τρέχει ανέμελα στο δίκτυό μας. Αν γνωρίζετε ήδη τη βασική λειτουργία τότε μπορείτε να περάσετε στην επόμενη ενότητα


    Ιστορικά στοιχεία:


    Ο Kerberos είναι ένα πρωτόκολλο κρυπτογράφησης που αναλαμβάνει να κρυπτογραφήσει τα μηνύματα που ανταλλάσουν οι υπολογιστές σε ένα δίκτυο για ταυτοποίηση των χρηστών. Η ημερομηνία σύλληψης της ιδέας τοποθετείται στα τέλη του 1978 όταν ξεκίνησε και η ιδέα του μοντέλου Client-Server και  βασίζεται πάνω σε μια εργασία των Roger Needham και Michael Schroeder οι οποίοι εργάζονταν στο ερευνητικό κέντρο της Xerox στο Palo Alto.


    Στο νέο  μοντέλο χρήσης των υπολογιστών η πιστοποίηση των χρηστών ,εν αντιθέσει με τα «χαζά τερματικά» της εποχής που απλά πιστοποιούσαν  τους χρήστες  απευθείας στον Server, έπρεπε με κάποιον τρόπο να προστατευτούν οι κωδικοί των χρηστών. Οι Needham και Schroeder περιέγραψαν λοιπόν ένα σύστημα στο οποίο ποτέ οι κωδικοί των χρηστών δε θα περνούσαν στο δίκτυο σε απλό κείμενο έτσι ώστε κάποιος να τους διαβάσει, αν και αυτό οι ίδιοι το θεωρούσαν αδύνατο.


    Χρειάστηκαν τέσσερα χρόνια για να αρχίσει η δημιουργία του πρώτου τέτοιου συστήματος όμως, μέσω του Project Athena το οποίο μελετούσε σχέδια εφαρμογών Client-Server για ακαδημαϊκή χρήση μαζί με το MIT. Οι πρώτες τρεις εκδόσεις του κέρβερου ήταν καθαρά για εσωτερική χρήση του και προτάσεις ανάπτυξης.


    Η έκδοση 4 όμως έγινε διαθέσιμη στο κοινό στις 24 Ιανουαρίου του 1989 από το MIT και σε μικρό χρονικό διάστημα αρκετά έργα λογισμικού υιοθέτησαν το πρωτόκολλο.  Ο κέρβερος στην έκδοση όμως του MIT είχε ένα σημαντικό περιορισμό. Χρησιμοποιούσε κρυπτογράφηση DES την οποία οι αμερικάνικοι νόμοι δεν επέτρεπαν να εξαχθεί.  Το MIT προχώρησε στη δημιουργία μιας ειδικής έκδοσης η οποία στερούταν της κρυπτογράφησης DES αλλά μπορούσε να εξαχθεί.  Σύντομα ακόμη περισσότερες υλοποιήσεις του πρωτοκόλλου άρχισαν να κάνουν την εμφάνισή τους στον πλανήτη που απλά χρησιμοποίησαν άλλο πρωτόκολλο κρυπτογράφησης.


    Σήμερα η έκδοση που χρησιμοποιείται είναι η 5 ,ενώ η έκδοση 4 θεωρείται απαρχαιωμένη.


    Η υλοποίηση της Microsoft χρησιμοποιεί την έκδοση 5 και την κρυπτογράφηση RC4.


    Στόχοι:


    Τον κέρβερο δημιούργησε η ανάγκη για ασφάλεια ,ταυτοποίηση και Single Sign On. Ο στόχος του είναι να προσφέρει τα λεγόμενα τρία Α: Authentication πιστοποίηση δηλαδή των χρηστών,Authorization εξουσιοδότηση και Auditing έλεγχο . Αν και ο κέρβερος δεν προσφέρει εξουσιοδότηση ή έλεγχο η δυνατότητα να πιστοποιεί τους χρήστες έδωσε τη δυνατότητα στους προγραμματιστές να τα παρέχουν.


    Επιπλέον λύνει το πρόβλημα της διαχείρισης  πολλαπλών βάσεων δεδομένων κωδικών μέσω μιας κεντρικής βάσης το Key Distribution Center.


    Βασικές έννοιες


    Κάθε εγκατάσταση του κέρβερου έχει την ιδιότητα του τομέα ,χρησιμοποιείται η ονομασία Realm ή Domain στα αγγλικά.


    Ο κέρβερος επίσης χρησιμοποιεί την έννοια οντότητα. Κάθε υπολογιστής, χρήστης ή υπηρεσία αποτελεί μια οντότητα ένα Principal. Αυτή η οντότητα είναι συσχετισμένη με κάποιου είδους κλειδί ή κωδικό.


    Για κάθε τομέα αν αναπαραστήσουμε μια οντότητα θα βρεθούμε με τη μορφή :


    username@REALM για τους χρήστες  


    παράδειγμα [email protected]


    host/ Fully-qualified-domain-name@REALM για τους υπολογιστές    


    παράδειγμα  host/[email protected]


    service/Fully-qualified-domain-name@REALM για τις υπηρεσίες


    παράδειγμα MSSQLSvc/[email protected]


    Βασική λειτουργία


    Το Key Distribution Center είναι ο «πυρήνας» της λειτουργίας του πρωτοκόλλου. Αποτελείται από τρία τμήματα και τον Authenticator:


    Τη βάση δεδομένων ,η οποία στην περίπτωση της Microsoft είναι το Active Directory.


    Toν Authentication Server (AS),ο οποίος είναι υπεύθυνος για το λεγόμενο TGT (Ticket-granting-Ticket) . Το TGT είναι το πρώτο εισιτήριο που παίρνει η κάθε οντότητα όταν συνδέεται στο δίκτυο


    Στην ουσία η οντότητα δεν χρειάζεται να αποδείξει την ταυτότητά της στον Authentication Server. Ο Authentication Server δίνει εισιτήρια σε όποιον τα ζητήσει. Τα εισιτήρια αυτά κρυπτογραφούνται με τον κωδικό της οντότητας που  βρίσκει στη βάση και αποστέλλονται στη μνήμη cache του τερματικού που συνδέεται. Αν η οντότητα γνωρίζει τον σωστό κωδικό τότε μπορεί να διαβάσει τα περιεχόμενα του εισιτηρίου που δεν είναι τίποτα άλλο από ένα εισιτήριο κρυπτογραφημένο με τον κωδικό του AS. Με αυτόν τον τρόπο διασφαλίζεται η ακεραιότητα του TGT  αφού δεν μπορεί κανείς εκτός από τον AS να διαβάσει τι ακριβώς γράφει.



     


     

    Το εισιτήριο αυτό θα χρησιμοποιηθεί για να αποκτήσει πρόσβαση η οντότητα  σε υπηρεσίες που χρησιμοποιούν τον κέρβερο. Με μία μόνο συναλλαγή (το γνωστό Single Sign On ) έτσι αποκτά πρόσβαση στη διαδικασία η οποία θα του επιτρέψει ή όχι την πρόσβαση.


     Τον Ticket Granting Server, ο οποίος παίρνει μια αίτηση από κάθε οντότητα σε μορφή εισιτηρίου και το TGT της οντότητας, συγκρίνει το TGT με αυτό του AS και αν ταιριάζει του επιστρέφει ένα εισιτήριο για την υπηρεσία που ζήτησε.


    Τον Authenticator ο οποίος πιστοποιεί πως η οντότητα που ζητάει κάτι από τον κέρβερο είναι όντως αυτή που ισχυρίζεται. Για να το καταφέρει αυτό δημιουργεί ένα πακέτο από τον κωδικό του χρήστη και την ώρα . Το πακέτο αυτό ονομάζεται Pre-authentication Data. Αυτή είναι και η βασική προυπόθεση των 5 λεπτών διαφοράς στα ρολόγια μεταξύ των υπολογιστών. Αν υπάρχει μεγαλύτερη διαφορά ώρας ο κέρβερος απορρίπτει την αίτηση.



     

    Αυτά τα εισιτήρια που μοιράζονται από το KDC δεν ισχύουν για πάντα ούτε και για όλες τις υπηρεσίες . Έτσι κάθε φορά που μια οντότητα θα ζητήσει εισιτήριο θα πρέπει να βρει το KDC. Πάντα θα πρέπει να εκτελείται τουλάχιστον μια  υπηρεσία KDC στο δίκτυό μας για τη σωστή λειτουργία.


    Από τη μέχρι τώρα περιγραφή μπορεί κανείς να καταλάβει τι είναι περίπου είναι ο κέρβερος . Μια υπηρεσία η οποία απλά ΠΙΣΤΟΠΟΙΕΙ πως η κάθε οντότητα είναι όντως αυτή που ισχυρίζεται στο δίκτυο. Η Microsoft εκμεταλλευόμενη ένα πεδίο που ορίζει το RFC 1510 εν ονόματι authorization data αποστέλλει μαζί με το TGT και πληροφορίες για το χρήστη που αντλεί από την βάση του Active Directory όπως τα SID και τα RID.


    Μπορούμε να καταλάβουμε επίσης την έννοια του Single-sign on.


    Η καθημερινή λειτουργία του κέρβερου.


    Για να καταλάβουμε τι συμβαίνει με τον κέρβερο θα πρέπει να κατανοήσουμε την παρακάτω εικόνα:



     

    1. Kerberos authentication service request (KRB_AS_REQ)


                    Ξεκινώντας η διαδικασία η κάθε οντότητα δημιουργεί μια αίτηση προς το AS του KDC για ένα TGT με το οποίο θα επικοινωνεί με το KDC στις μελλοντικές συναλλαγές.

    2. Kerberos authentication service response (KRB_AS_REP)


                    Το Authorization Service δημιουργεί ένα TGT και ένα κλειδί για να μπορεί να μιλήσει η οντότητα με το TGS και το αποστέλλει σε αυτή. To TGT είναι κρυπτογραφημένο με το κλειδί του KDC οπότε μόνο το KDC μπορεί να διαβάσει τα περιεχόμενα.

    3. Kerberos ticket-granting service request (KRB_TGS_REQ)


                    Όταν η οντότητα θα χρειαστεί πρόσβαση σε κάποια υπηρεσία τότε θα δημιουργήσει μια αίτηση προς το TGS η οποία θα περιλαμβάνει το TGT ,τον Authenticator για να βεβαιωθεί ο  TGS πως πραγματικά είναι αυτή η οντότητα που το ζητά και το όνομα της υπηρεσίας (SPN-Service Principal Name). Αυτό το εισιτήριο είναι κρυπτογραφημένο με το κλειδί της οντότητας που το γνωρίζει μόνο η οντότητα και ο KDC διασφαλίζοντας τα περιεχόμενα του αν κάποιος το υποκλέψει.


    4. Kerberos ticket-granting service response (KRB_TGS_REP)


                    Αν το TGT και ο Authenticator είναι σωστά τότε το TGS φτιάχνει ένα εισιτήριο για την υπηρεσία που περιέχει και το κλειδί του χρήστη  και το επιστρέφει στην οντότητα.Αυτό το κλειδί είναι κρυπτογραφημένο με το κλειδί που μοιράζεται η υπηρεσία με το KDC.


    5. Kerberos application server request (KRB_AP_REQ)


                    Η οντότητα πλέον έχει ένα εισιτήριο για την υπηρεσία το οποίο το στέλνει μαζί με τον Authenticator στην υπηρεσία που θέλει να συνδεθεί. Η υπηρεσία εξετάζει το εισιτήριο. Για να το αποκρυπτογραφήσει χρησιμοποιεί το κλειδί που μοιράζεται με το KDC διασφαλίζοντας έτσι τα περιεχόμενα του εισιτηρίου αν το υποκλέψει κάποιος στην πορεία.


    Όπως καταλαβαίνεται κανείς ,εκτός από αυτούς που πρέπει , δεν έχει πρόσβαση στα περιεχόμενα των εισιτηρίων διασφαλίζοντας την πιστοποίηση της κάθε οντότητας.

    Έξτρα κεφάλαιο: Windows Logon


                    Κάθε φορά που ένας χρήστης θέλει να συνδεθεί σε έναν υπολογιστή συμβαίνει η παρακάτω διαδικασία:



     

    Μόλις ο χρήστης πατήσει Control-Alt και Delete (η διαδικασία ονομάζεται  Secure Attention Sequence),εμφανίζεται η εικόνα της GINA (Graphical Identification and Authentication).Εκεί ο χρήστης συμπληρώνει τα στοιχεία του και η βιβλιοθήκη της GINA τα περνάει στο LSA (Local Security Authority)


    Το LSA απλά τα περνάει στο SSPI που με τη σειρά του το περνάει στον Security Provider του κέρβερου διότι είναι η προεπιλογή. Αν το όνομα της υπηρεσίας που ζητάει να συνδεθεί η οντότητα (χρήστης) είναι το ίδιο με το όνομα του υπολογιστή τότε ο κέρβερος το περνάει στο NTLM Security Provider. Αν είναι τομέας τότε ο κέρβερος αναλαμβάνει να επικοινωνήσει με το KDC για να αποκτήσει ένα TGT και επίσης ένα Service Ticket για να συνδεθεί στο τερματικό.


    Ο χρήστης όταν συνδέεται στο τερματικό συνδέεται αποδεικνύοντας την ταυτότητά του μέσω του εισιτηρίου (Authentication) που του έστειλε ο KDC. Αυτό το κλειδί είναι κρυπτογραφημένο με το κλειδί της οντότητας του τερματικού που βρίσκεται στη βάση του Active Directory.


    Έπειτα το LSA αποφασίζει αν ο χρήστης έχει δικαίωμα να συνδεθεί (Authorization) και αναλόγως παρέχει ή όχι πρόσβαση.


    Η χρησιμότητα του DNS


                    Για να καταλάβει ο κέρβερος που βρίσκεται το KDC χρειάζεται το DNS το οποίο τον κατευθύνει προς τη μεριά του. Για αυτό το λόγο αν η υπηρεσία του DNS δεν είναι σωστά εγκατεστημένη και παραμετροποιημένη τόσο στον Server που φιλοξενεί KDC (τον Active Directory Domain Controller δηλαδή) όσο και στο τερματικό.




     

    Τώρα που κατανοήσαμε τον κέρβερο μπορούμε να δούμε τις αλλαγές στον Server 2012

     

     

  15. giotis
    Η χρήση των καρτών Smart για την πιστοποίηση των χρηστών (Two-factor Authentication) είναι μια αρκετά δημοφιλής διαδικασία ταυτοπροσωπίας στον κόσμο της πληροφορικής.


    Με τη χρήση Two-Factor Authentication οι διαχειριστές μπορούν να διασφαλίσουν την πρόσβαση σε υπηρεσίες ή συστήματα όχι μόνο με τη χρήση διαπιστευτηρίων όπως κωδικοί ή βιομετρικά συστήματα αλλά και με τη χρήση πιστοποιητικών αποθηκευμένων σε Smart Cards, επιτυγχάνοντας υψηλά επίπεδα ασφαλείας.


    Οι κάρτες αυτές έχουν τρεις ιδιότητες που αποτρέπουν τις προσπάθειες παραβίασης της ασφάλειας ενός συστήματος:


    Η πρώτη δικλείδα είναι η απαγόρευση εξαγωγής των πιστοποιητικών που βρίσκονται μέσα στις κάρτες, ουσιαστικά αποτρέποντας την αντιγραφή και χρήση αυτών με άλλα μέσα.


    Η δεύτερη είναι η τεχνική της απομονωμένης κρυπτογράφησης που είναι η δυνατότητα της κάρτας να κρυπτογραφεί/αποκρυπτογραφεί τα δεδομένα με επεξεργαστές που βρίσκονται μέσα σε αυτή διασφαλίζοντας τα πιστοποιητικά από λογισμικό που θα χρειαζόταν ειδάλλως για να διαβάσουμε τα περιεχόμενα.


    Τέλος οι κάρτες Smart διαθέτουν σύστημα προστασίας από επιθέσεις Brute-force θέτοντας όριο στις προσπάθειες εισαγωγής του κωδικού. Αν το όριο ξεπεραστεί η κάρτα κλειδώνει και χρειάζεται κάποιου είδος διαχειριστική παρέμβαση για να ξεκλειδώσει.


    Με τη διάδοση του two-factor authentication και του Trusted Platform Module στους υπολογιστές η Microsoft ανέπτυξε και ενσωμάτωσε στα Windows 8 και τον Windows Server 2012 τις εικονικές έξυπνες κάρτες(Virtual Smart Card ή VSC).


     Οι VSC χρησιμοποιούν το Trusted Platform Module (TPM) του υπολογιστή για να κρυπτογραφήσουν και να αποθηκεύσουν τα πιστοποιητικά .  Oι διαχειριστές μπορούν έτσι να αποφύγουν το κόστος αγοράς και εγκατάστασης μιας λύσης two-factor authentication εκμεταλλευόμενοι το TPM που διαθέτουν οι σύγχρονοι υπολογιστές και παράλληλα να διατηρήσουν τις δικλείδες ασφαλείας μιας τυπικής Smart Card.


    Ενεργοποιώντας τις VSC τα Windows χρησιμοποιούν το TPM για να φτιάξουν μια κάρτα για τον κάθε χρήστη ,στην ουσία μια Smart Card πάντα τοποθετημένη στον υπολογιστή. Για να αποκτήσει πρόσβαση ο χρήστης χρειάζεται τον υπολογιστή καθώς και το PIN της κάρτας.


    Αν και φαίνεται απλό όσο ένας κωδικός στην ουσία είναι μια πολύ ισχυρότερη διαδικασία ταυτοπροσωπίας από πλευράς ασφάλειας.


     Στην περίπτωση που υπάρχουν περισσότεροι του ενός χρήστες στον υπολογιστή μπορούμε να φτιάξουμε μέχρι 10 κάρτες δηλαδή 10 χρήστες ανά υπολογιστή.Αν πάλι αυτός ο χρήστης χρειάζεται πρόσβαση και σε άλλους υπολογιστές τότε θα πρέπει να φτιάξουμε μια κάρτα σε κάθε υπολογιστή που συνδέεται ο χρήστης.


    Η χρήση των καρτών αυτών δεν περιορίζεται μόνο για τη σύνδεση των χρηστών αλλά μπορεί να χρησιμοποιηθεί και για ασφαλές E-mail (S/MIME),κρυπτογράφηση δεδομένων καθώς και ψηφιακές υπογραφές. Οι κάρτες VSC μπορούν να δεχθούν 30 πιστοποιητικά για χρήση πέραν της σύνδεσης στον υπολογιστή.


    Αξίζει να σημειωθεί πως οι κάρτες μπορούν να χρησιμοποιηθούν σε συνδέσεις προς Remote Desktop Servers καθώς και είναι συμβατές με το Windows-to-go.


    Για να δοκιμάσετε τη χρήση τους μπορείτε να διαβάσετε τον οδηγό Evaluating Smart Cards.

  16. giotis
    Όλες αυτές οι αλλαγές που φέρνει το Metro στην
    καθημερινότητά μας δε θα μπορούσαν να μην έχουν αντίκτυπο και στην ασφάλεια.
    Στο κομμάτι της ασφάλειας λοιπόν σήμερα θα εξετάσουμε τις νέες δυνατότητες του Windows Firewall και
    μια μικρή συμβουλή για να εκμεταλλευτούμε στο έπακρο το Active Directory στο
    τέλος του άρθρου.


     

    Ως διαχειριστές καθημερινά έχουμε να αντιμετωπίσουμε τηνπαραμετροποίηση του τείχους προστασίας σε ολόκληρο το Domain.


     
    Μέχρι τώρα τα πράγματα ήταν σχετικά απλά ,με μόνο δυο
    πραγματικές επιλογές για μια εφαρμογή, μια πόρτα TCP ή μια
    σύνδεση με έναν υπολογιστή ή χρήστη. Ναι και όχι.


     
    Με το συνδυασμό κάποιων χαρακτηριστικών μπορούσαμε να παράγουμε
    και ένα καλύτερο αποτέλεσμα όμως το Ναι/Όχι παρέμενε πεισματικά.


     
    Οι νέες Metro εφαρμογές όμως είναι εμπλουτισμένες με νέες δυνατότητες τις οποίες
    μπορούν να ορίσουν οι προγραμματιστές στην εφαρμογή τους.


     
    Για παράδειγμα ένας προγραμματιστής
    μπορεί να επιλέξει το επίπεδο στο οποίο θέλει η εφαρμογή του να επικοινωνεί. Με
    αυτόν τον τρόπο η εφαρμογή αποκτά την απαραίτητη πρόσβαση σε συγκεκριμένα
    κομμάτια του δικτύου. Τα επίπεδα αυτά χωρίζονται σε τέσσερα τμήματα:

     

    Home/Work Network

     
    Παρέχει πρόσβαση στο δίκτυο το οποίο ο χρήστης έχει επιλέξει
    ως οικιακό ή εργασίας αν ανιχνεύτηκε Domain Controller από τα Windows. Η πρόσβαση σε σημαντικές πόρτες
    είναι απενεργοποιημένη.

     

    Internet (Client)

     
    Παρέχει εξερχόμενη πρόσβαση στο Internet όταν ο
    χρήστης είναι συνδεδεμένος σε δίκτυα που αναγνωρίστηκαν ως Δημόσια (Public)

     

    Internet (Client & Server)

     
    Παρέχει εισερχόμενη και εξερχόμενη πρόσβαση στο Internet όταν
    ο χρήστης είναι συνδεδεμένος σε δημόσια δίκτυα. Η πρόσβαση σε σημαντικές πόρτες
    είναι απενεργοποιημένη.

     

    Proximity

     
    Δίκτυα Proximity θεωρούνται τα δίκτυα Near Field Communication (NFC)
    ,κάτι σαν το Bluetooth ή το RFID.
    Σε αυτό το δίκτυο μπορεί η εφαρμογή να επικοινωνήσει με την άλλη ελεύθερα.


     
     

    Εκτός όμως από τα δίκτυα υπάρχουν και δυνατότητες ή απαιτήσεις των εφαρμογών στο θέμα της πρόσβασης.
    Document Library Access Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει έγγραφα ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Η εφαρμογή δεν έχει πρόσβαση όμως σε δίκτυα HomeGroup.
    Picture Library Access Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει εικόνες ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Εδώ η εφαρμογή έχει πρόσβαση σε δίκτυα HomeGroup και σε Media Servers.
    Video Library Access Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει βίντεο ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Εδώ η εφαρμογή έχει πρόσβαση σε δίκτυα HomeGroup και σε Media Servers.
    Music Library Access Το οποίο παρέχει την απαραίτητη πρόσβαση στην εφαρμογή να προσθέσει , να αλλάξει ή να διαγράψει αρχεία μουσικής ,οι τύποι των οποίων περιγράφονται στον κώδικα της εφαρμογής. Εδώ η εφαρμογή έχει πρόσβαση σε δίκτυα HomeGroup και σε Media Servers.
    Default Windows Credentials Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να συνδεθεί στο δίκτυο με την ταυτότητα του χρήστη σας.
    Removable Storage Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να προσθέσει,να αλλάξει ή να σβήσει αρχεία από αφαιρούμενα μέσα αποθήκευσης όπως τα USB Stick.
    Shared User Certificates Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στα πιστοποιητικά του χρήστη όπως για παράδειγμα πιστοποιητικά που παρέχουν οι τράπεζες.
    Location Το οποίο παρέχει στην εφαρμογή τη δυνατότητα να προσδιορίσει τη γεωγραφική θέση του χρήστη.
    Microphone Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στο μικρόφωνο του υπολογιστή σας.
    Near Field Proximity Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης σε συσκευές NFC
    Τext Messaging Το οποίο παρέχει στην εφαρμογή τη δυνατότητα ανταλλαγής σύντομων μηνυμάτων.
    WebCam Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης στην κάμερα του υπολογιστή σας
    Other Devices Το οποίο παρέχει στην εφαρμογή τη δυνατότητα πρόσβασης σε άλλες συσκευές με τη χρήση GUID.
     
    Για να μπορέσετε να παραμετροποιήσετε τις επιλογές των εφαρμογών Metro μέσα από το Τείχος Προστασίας ,φυσικά ο ενδεδειγμένος τρόπος είναι το Group Policy. Το παράδειγμα που ακολουθεί ρυθμίζει τις παραμέτρους για όλες τις Metro εφαρμογές ανεξαιρέτως στο OU που θα διαλέξουμε.
    Θα πρέπει λοιπόν να δημιουργήσετε μια νέα πολιτική στο OU που θέλετε να ισχύσουν οι ρυθμίσεις και έπειτα να ανοίξετε το Computer Configuration->Windows Settings->Windows Firewall with Advanced Security

    Μέσα στο Inbound ή στο Outbound ,ανάλογα με τον κανόνα που θέλετε να φτιάξετε εισερχόμενο ή εξερχόμενο, θα πρέπει να πατήσετε δεξί κλικ και New Rule. Έπειτα να διαλέξετε Custom

    Στις σελίδες Program , Protocol and Ports και Scope δεν θα επιλέξουμε κάτι αφού στοχεύουμε σε όλες τις εφαρμογές και όλα τα δίκτυα και πόρτες.
    Στη σελίδα Action όμως θα πρέπει να διαλέξουμε τι θέλουμε να συμβαίνει Allow για να επιτρέπουμε την πρόσβαση, Allow the connection if it is secure για να ελέγχουμε την πρόσβαση με IPSec και Block the Connection για να μην επιτρέπουμε την πρόσβαση.

    Στα δίκτυα που περιγράφει το Profile δεν επιλέγουμε κάτι και τέλος δίνουμε ένα όνομα στην τελευταία σελίδα.
    Αφού φτιάξαμε τον κανόνα θα τον επιλέξουμε και με δεξί κλικ και Properties θα πάμε στις ιδιότητες του κανόνα. Και έπειτα στο Tab Local Principals.
    Εκεί θα διαλέξουμε το Application Package Properties για να εμφανιστούν οι δυνατότητες



    Για να ισχύσει αυτός ο κανόνας μόνο στις Metro εφαρμογές και να μην αλλάξουν οι ρυθμίσεις στις κλασσικές εφαρμογές  (οι εφαρμογές που δεν είναι Metro δηλώνουν όλες τις δυνατότητες και έτσι θα επηρεάζονταν από τις ρυθμίσεις)
    θα πρέπει να επιλέξετε επίσης από το Tab Programs And Services το Application Packages και να διαλέξετε το Apply to application packages only

     
    Και τώρα η το μικρό tip για το Active Directory! !!!!
    Με αυτόν τον τρόπο μπορείτε να επιλέξετε ποιοι χρήστες ή ομάδες θα έχουν πρόσβαση δικτύου σε μια συγκεκριμένη εφαρμογή ή πόρτα ! απλά επιλέξτε το Local User αντί για το Application Package Properties και διαλέξτε το πρόγραμμα ή την πόρτα χωρίς να αλλάξετε την πολιτική στο Programs and Services! Μπορείτε δηλαδή να απαγορεύσετε την πρόσβαση στον Remote Desktop Server ή στην εμπορική σας εφαρμογή ανά χρήστη ή ομάδα.
    Το θέμα της διαβαθμισης του Τείχους Προστασίας θα πρέπει να θεωρείται λήξαν με τον Windows Server 2012 και το Metro!
     
  17. giotis
    Μετά από την
    εγκατάσταση των File
    Services θα εξετάσουμε άλλον ένα ρόλο που είναι αρκετά σημαντικός στην
    καθημερινή ενασχόληση των διαχειριστών, το Windows Deployment Services.
    To Windows Deployment Services χρησιμοποιείται για την εγκατάσταση λειτουργικών συστημάτων σε υπολογιστές ή εξυπηρετητές μέσα από το δίκτυο.
     

    Φυσικά ο WDS ήταν ήδη σχεδόν τέλειος από την έκδοση 2008,του
    έλειπαν όμως κάποια πράγματα για να γίνει πραγματικά ένα εξαίσιο εργαλείο. Ας
    περάσουμε απευθείας στην εγκατάσταση του ρόλου.
    Διαλέγουμε στην εγκατάσταση του ρόλου τον WDS και ο Server Manager θα μας ενημερώσει για τα απαραίτητα εργαλεία.

    Στα Features δεν έχουμε να επιλέξουμε κάτι και απλά πατάμε Next

    Η επόμενη σελίδα του "μάγου" μας ενημερώνει για το ρόλο του WDS

    Στις επιλογές του ρόλου θα επιλέξουμε και το Deployment Services και το Transport Server τα οποία είναι απαραίτητα για τον WDS ρόλο . Ο Transport Server χρησιμοποιείται και μόνος του ώς Cache με απλά λόγια του πρώτου Server αν έχουμε μεγάλο φόρτο στον WDS Server μας.

    Οι επόμενες δύο σελίδες είναι η επιβεβαίωση και η πορεία της εγκατάστασης.


    Μετά την εγκατάσταση του ρόλου θα περάσουμε στην παραμετροποίηση του ρόλου. Για να ανοίξουμε την κονσόλα του WDS επιλέγουμε από τον Server Manager το Tools και έπειτα το Windows Deployment Services.

    Μόλις ανοίξει η κονσόλα βλέπουμε στα αριστερά τον Server μας με το κίτρινο θαυμαστικό που δείχνει πως δεν έχουμε προχωρήσει σε παραμετροποίηση.
    Ενδιαφέρον παρουσιάζει το μενού "Active Directory Prestaged Devices" , το οποίο μας επιτρέπει να παραμετροποιήσουμε τις επιλογές εγκατάστασης σε υπολογιστές που έχουμε προκαθορίσει μέσα από το Active Directory.

    Για να ξεκινήσουμε τη διαδικασία κάνουμε δεξί κλικ πάνω στο Server και διαλέγουμε Configure . Η πρώτη μεγάλη έκπληξη έρχεται στο Welcome Screen το οποίο μας ενημερώνει πως ο WDS μπορεί πλέον να δουλέψει και χωρίς Active Directory υποδομή! Μέχρι και τον Server 2008 R2 το Active Directory ήταν προυπόθεση ,όμως με το νέο Server μπορούμε να τρέξουμε το WDS και σε έναν απλό Server.

    Η επόμενη σελίδα του μάγου απλά επιβεβαιώνει την υποστήριξη Standalone Server, για το Demo μας όμως θα χρήσιμοποιήσουμε το Active Directory Integration.

    Στην επόμενη σελίδα θα ερωτηθούμε για το που θέλουμε να αποθηκεύουμε τις εικόνες εγκατάστασης. Αφού είμαστε σε δοκιμαστικό περιβάλλον απλά θα αφήσω το c:\remoteinstall , σε πραγματικό περιβάλλον θα προτιμούσα ξεχωριστούς δίσκους για να αποθηκεύσω τα δεδομένα. Ο μάγος θα μας ενημερώσει πως αυτή η θέση περιέχει και την εγκατάσταση των Windows κάτι που δεν προτείνεται.


    Στις επιλογές τις λειτουργίας του PXE θα επιλέξω να απαντάει ο Server σε όλους τους υπολογιστές που ζητούν εγκατάσταση από το δίκτυο αλλά να μην προχωράει σε εγκατάσταση μέχρι ο διαχειριστής να το επιλέξει.

    Και το μόνο που θα μείνει είναι να πατήσω Finish για να περάσω στις επιλογές του Server.

     
  18. giotis
    Οι νέες δυνατότητες του SMB είναι τόσες πολλές με αποτέλεσμα η Microsoft να αποφασίσει να το ονομάσει SMB 3.0 αντί για SMB 2.2 Ας δούμε τα χαρακτηριστικά του.
    SMB για εφαρμογές Server
    Το SMB πλέον μπορεί να χρησιμοποιηθεί για εφαρμογές Server όπως ο SQL Server και ο Hyper-V. Μέχρι σήμερα θα έπρεπε να είχαμε κάποιο ξεχωριστό Storage για να φιλοξενούμε τα δεδομένα των εφαρμογών αυτών. Με το SMB 3.0 έχουμε τη δυνατότητα να φιλοξενήσουμε μια βάση δεδομένων για παράδειγμα σε ένα απλό κοινόχρηστο φάκελλο.
    SMB Scale Out
    Με το SMB Scale Out μπορούμε να προσθέσουμε Cluster Nodes για να αυξήσουμε την ταχύτητα διαμοιρασμού των αρχείων. Με τη νέα τεχνική χρησιμοποιούμε την ταχύτητα του δικτύου από όλους τους Server σε σχέση με την προηγούμενη γενιά που μπορούσαμε να χρησιμοποιήσουμε μόνο ενός. Επιπλέον οι διαχειριστές μπορούν να ελέγχουν την κίνηση στους File Servers και να μεταφέρουν τους χρήστες σε διαφορετικά Cluster Nodes.
    SMB Direct
    Με το SMB Direct μπορούμε να μειώσουμε την χρήση του επεξεργαστή στη διαχείριση των αρχείων και να εκμεταλευτούμε την επιπλέον επεξεργαστική ισχύ σε μια άλλη εφαρμογή. Το SMB Direct επιτρέπει τους File Servers να ανταλλάσουν αρχέια απευθείας απο τη μνήμη απελευθερώνοντας τον επεξεργαστή.
    SMB Multichannel
    Το SMB Multichannel μας επιτρέπει να χρησιμοποιήσουμε όλες τις κάρτες δικτύου Server και να επιτύχουμε μεγαλύτερο Bandwidth αλλά και προστασία από σφάλματα με τη χρήση πολλαπλών διαδρομών από και προς το Server.
    Transparent Failover
    Με το νέο SMB η μεταφορά των συνδέσεων μεταξύ των Clustered File Servers είναι διαφανής και δεν διακόπονται οι συνδέσεις των χρηστών ή των εφαρμογών.
    VSS για SMB Shares
    Αφού πλέον μπορούμε να τρέξουμε εφαρμογές Server σε απλά File Shares θα πρέπει κάπως να μπορούμε να πάρουμε ένα αντίγραφο ή να κάνουμε μια επαναφορά. Έτσι το Volume Shadow Copy Service αναβαθμίστηκε για να υποστηρίζει το SMB 3.0 και μας επιτρέπει πλεόν να πάρουμε ένα αντίγραφο ασφαλείας από ένα κοινόχρηστο φάκελλο με τη χρήση του.
    SMB Encryption
    Το SMB πλεόν έχει κρυπτογράφηση. Η ενεργοποίηση του είναι απλή και επιτρέπει την κρυπτογράφηση των δεδομένων από και προς τον File Server.
    SMB Directory Leasing
    Με το SMB Directory Leasing οι υπολογιστές σε απομακρυσμένα δίκτυα μπορούν να αποθηκεύουν πληροφορίες για έναν κατάλογο ή πληροφορίες metadata για κάποιο αρχείο, μειώνοντας τις συνεχείς ανανεώσεις. Αυτό έχει ως αποτέλεσμα τη γρηγορότερη απόκριση κατά την πλοήγηση στο δίκτυο από απομακρυσμένα σημεία.
     
     
  19. giotis
    Με την προσθήκη του VM-Generation ID που επιτρέπει την ασφαλή χρήση των Domain Controller μέσα σε εικονικές μηχανές , γεννήθηκε και η ιδέα της  δημιουργίας κλώνων.


    Χωρίς το φόβο του USN Rollback μπορούμε να φτιάξουμε ένα κλώνο από έναν ήδη υπάρχον  Domain Controller. Μέχρι σήμερα θα έπρεπε να περάσουμε τη διαδικασία αναβάθμισης σε Domain Controller του κάθε Server και φυσικά να τον παραμετροποιήσουμε όπως θέλαμε.


    Με τον Windows Server 8 και τη χρήση του Hyper-V  3 που αναγνωρίζει το VM-Generation ID μπορούμε να κάνουμε κλώνους του Domain Controller άμεσα.


    Τα πλεονεκτήματα μιας τέτοιας τεχνικής για παράδειγμα:


    Μπορούμε να έχουμε πρόσθετους Domain Controllers πάρα πολύ γρήγορα.


    Μπορούμε  να έχουμε επαναφορά ενός ολόκληρου Active Directory Domain με τη χρήση μόνο μιας τέτοιας κλωνοποιημένης μηχανής.


    Μπορούμε να έχουμε ένα πλήρες αντίγραφο της υποδομής μας διαθέσιμο για δοκιμές.


    Και φυσικά πάρα πολλά ακόμη.



     

    Πως δουλεύει η κλωνοποίηση:


    Με τη χρήση του VM-Generation ID και την παρουσία ενός αρχέιου του DCCloneConfig.xml στην ίδια θέση που βρίσκεται η βάση δεδομένων του Active Directory.


    Μόλις ξεκινήσει ο αντιγραμμένος Domain Controller και αντιληφθεί πως το VM-Generation ID είναι διαφορετικό και το συγκεκριμένο αρχείο υπάρχει , επικοινωνεί με τον Primary Domain Controller του Domain για να ξεκινήσει η διαδικασία. Για την επικοινωνία αυτή χρησιμοποιεί τον ίδιο λογαριασμό του Server από τον οποίο έγινε αντίγραφο.


    Ο Primary Domain Controller ελέγχει αν ο συγκεκριμένος έχει δικαίωμα να γίνει αντίγραφο. Για να έχει το δικαίωμα αυτό πρέπει να βρίσκεται σε μια νέα ομάδα που έχει δημιουργηθεί με το όνομα Cloneable Domain Controllers. Σε αυτή την ομάδα μπορεί να προσθέσει τους Servers από τους οποίους μπορούμε να κάνουμε αντίγραφα ένας διαχειριστής του Active Directory έτσι ώστε να μην μπορεί να γίνει αντίγραφο χωρίς την έγκρισή του.


    Αν η διαδικασία είναι επιτυχής τότε ο Primary Domain Controller δημιουργεί ένα νέο λογαριασμό, ένα νέο SID και ένα νέο κωδικό για τον κλώνο και του στέλνει αυτές τις πληροφορίες μαζί με τα χαρακτηριστικά που περιγράφονται στο αρχείο DCCloneConfig.xml. Αν δεν υπάρχουν χαρακτηριστικά όπως το Site ή η διεύθυνση Ip στο αρχείο , η διαδικασία τα δημιουργεί αυτόματα.

    Ο κλώνος ετοιμάζει τη βάση δεδομένων με τη χρήση των νέων χαρακτηριστικών και καθαρίζει την κατάστασή του με τη βοήθεια του sysprep .


     
    Έτσι σε χρόνο μηδέν έχουμε ένα ακριβές αντίγραφο του Domain με τη χρήση μόνο του VM-Generation ID !

  20. giotis
    Έφτασε η ώρα να το ζήσουμε. Εικονικοί  Domain Controllers! Ξέρω θα μου πείτε τόσο καιρό δε με σταματούσε κάτι από το να έχω Domain Controllers σε εικονικό περιβάλλον.


    Σίγουρα όχι , όμως υπήρχε το USN Rollback ,ο φόβος και ο τρόμος του κάθε Administrator.


    Για να καταλάβουμε το πώς δουλεύει το AD DS Virtualization θα πρέπει να καταλάβουμε πως δουλεύει το ίδιο το Active Directory σήμερα.


    Για να μεταφέρει πληροφορίες το Active Directory χρησιμοποιεί δύο attributes. Το πρώτο attribute ονομάζεται USN ή Update Sequence Number. Στην ουσία είναι ένας αριθμός ο οποίος δίνει έναν μοναδικό σειριακό αριθμό σε κάθε συναλλαγή που εκτελεί ο Domain Controller. Το δεύτερο Attribute ονομάζεται Invocation ID και βρίσκεται στην βάση δεδομένων του Domain Controller. Τα δύο αυτά μαζί δημιουργούν ένα μοναδικό κλειδί στο Active Directory το οποίο βοηθά τους Domain Controllers να καταλάβουν τι χρειάζεται να αντιγράψουν ή να δώσουν στους άλλους Domain Controllers για να έχουν όλοι τα ίδια δεδομένα.


    Αν για κάποιο λόγο ένα USN χρησιμοποιηθεί ξανά για μια συναλλαγή φτάνουμε στο USN Rollback , την κατάσταση στην οποία ένας Domain Controller πιστεύει πως έχει τις σωστές πληροφορίες για τα αντικείμενα παρόλο που είναι λανθασμένες . Τι μπορεί να είναι λάθος;

    Μπορεί να υπάρχουν αντικείμενα που έχουν σβηστεί σε άλλους Domain Controllers τα γνωστά Lingering Objects.


    Μπορεί να υπάρχουν λάθος κωδικοί χρηστών ή υπολογιστών.


    Μπορεί να υπάρχουν λάθος πληροφορίες για τους χρήστες ή και λάθος πληροφορίες για το σχήμα της βάσης.



     

    Κάπου εδώ έρχεται ο Windows Server 8 να απαντήσει σε όλα αυτά. Στο Active Directory περιβάλλον του Windows Server 8 προστέθηκε μια νέα πληροφορία το VM-Generation ID.


    Το VM-Generation ID είναι μια πληροφορία που προστίθεται όταν δημιουργείται ο Domain Controller και αποθηκεύεται στη βάση δεδομένων ή Directory Information Tree ( DIT)  στην ιδιότητα msDS-GenerationID .


    Ο hypervisor του Windows Server 8 έχει και αυτός μια έκδοση του VM-Generation ID για κάθε εικονικό Domain Controller .


    Όταν εκτελεί μια συναλλαγή στο Active Directory ο Domain Controller ελέγχει το VM-Generation ID στη βάση δεδομένων με αυτό που έχει ο Hypervisor. Αν οι δύο αριθμοί συμφωνούν τότε η συναλλαγή πραγματοποιείται κανονικά.


    Αν για κάποιο λόγο οι αριθμοί δεν ταιριάζουν , για παράδειγμα κάποιος Administrator βάλει πίσω ένα Snapshot του VM , τότε το Invocation ID γίνεται επαναφορά και οι διαθέσιμοι αριθμοί του RID (Relative Identification) αδειάζουν έτσι ώστε μην μπορεί να δημιουργηθούν διπλοί λογαριασμοί. Η ίδια διαδικασία επαναλαμβάνεται και κάθε φορά που ένας Domain Controller ξεκινά έτσι ώστε να μην μπορεί να συμβεί το αντίστοιχο αν για παράδειγμα βάλουμε ένα παλαιότερο VHD αρχείο στο Domain Controller.

    Ευρηματικό, το λιγότερο που μπορεί να πει κανείς.

  21. giotis
    Μιας που τελειώσαμε με την εγκατάσταση του Domain, προχωράμε στην εγκατάσταση και των άλλων Server.

    Για να μην έχω να σκέφτομαι την διευθυνσιοδότηση στο Domain μου θα χρησιμοποιήσω DHCP Server. Επειδή όμως δεν έχω άλλο Server προς το παρών εκτός απο τόν Domain Controller θα στήσω εκεί ένα DHCP.

    Ξεκινάμε όπως πάντα από τον Server Manager και το Add Roles

    Πατώντας Next μέχρι να φτάσουμε στην επιλογή των ρόλων όπου και θα διαλέξουμε τον DHCP



    Ως συνήθως θα βάλουμε και τα Tools του Server !



    Και πατάμε Next μέχρι να τελειώσει η εγκατάσταση και να περάσουμε στην παραμετροποίηση.



    Εδώ στον μάγο που θα εμφανιστεί θα πατήσουμε Next



    Θα μας ζητήσει τον λογαριασμό που είναι υπεύθυνος για το Service του DHCP απλά πατάμε Next



    Και τέλος Commit



    Στο τέλος το μόνο που απομένει είναι να πατήσουμε το Close.



    Απο την κονσόλα του Server Manager θα ανοίξω τον DHCP Manager με δεξί κλικ πάνω του



    Με το άνοιγμα της κονσόλας βρισκόμαστε σε ένα γνώριμο περιβάλλον διαχείρισης εκτός απο το Policies.

    Τι είναι τα policies; Τα policies είναι πολιτικές που μπορούμε να φτιάξουμε βάσει χαρακτηριστικών όπως η MAC Address. Για παράδειγμα να δώσουμε στους υπολογιστές με την MAC Address τάδε ένα διαφορετικό Gateway, διαφορετικά Scope Options.



    Η μεγάλη έκπληξη έρχετε με το που πατήσω δεξί κλικ για να φτιάξω ένα Scope στο IPV4. Εκεί θα δείτε το μοναδικό Configure Failover. Ναι καλά διαβάσατε Highly Available DHCP! Μπορούμε πλέον να φτιάξουμε μια failover υπηρεσία DHCP μέσα απο αυτόν το μάγο χωρίς να έχουμε κοινό storage, clusters και τα λοιπά.

    Υπάρχουν δύο λειτουργίες. H Active/Standby στην οποία ο ένας Server περιμένει στην άκρη με ένα συγκεκριμένο ποσοστό διευθύνσεων μήπως κάτι πάει στραβά στον πρώτο και η δεύτερη είναι Load Balancing στην οποία οι δύο Servers μοιράζουν διευθύνσεις ταυτόχρονα.

    Για να γίνει όμως αυτό πρώτα πρέπει να φτιάξω Scope. Η διαδικασία είναι ίδια ακριβώς με τον 2008 Server οπότε δεν θα περάσω στο πώς να φτιάξετε ένα Scope. Θα στήσω όμως τον FS8 τον File Server δηλαδή όπως είπαμε στην αρχή των μαθημάτων για να μπορέσω να βάλω και εκεί το ρόλο να τον κάνω Authorize όπως και τον πρώτο και να στήσω το Failover.



    Η διαδικασία ξεκινάει και πρέπει να επιλέξουμε το Scope για το οποίο θέλουμε να γίνει το Failover. Αν κάποιος Server είναι μέλος ήδη ώς Primary ή Secondary δεν τον αποτρέπει απο το να συμμετέχει σε ένα ακόμη διαφορετικό Scope!



    Θα γράψω το όνομα του δεύτερου Server FS8.domain8.local



    Και στην επόμενη σελίδα θα δούμε τις επιλογές. Αυτές δεν είναι δεσμευτικές καθώς μπορεί να αλλάξουν αργότερα απο τις επιλογές.

    Εδώ θα βάλω το όνομα της "σχέσης" ώς HA_DHCP , θα διαλέξω επίσης το Client Lead Time σε 10 λεπτά, είναι ο χρόνος που θα ελέγχει ο client αν είναι ΟΚ ο DHCP. Στο Shared Secret θα βάλω έναν κωδικό για να μην μπορεί κάποιος να βάλει έναν DHCP πάνω σε αυτό το Failover και θα πατήσω Next.



    Και απλά στο τέλος θα πατήσω Finish για να δώ την σελίδα που με ενημερώνει για την επιτυχία.





    Απο τα Properties του Scope που έχουμε φτιάξει μπορούμε να δούμε τις ιδιότητες και το Status των Server και από τις ιδιότητες του IPV4 μπορούμε να αλλάξουμε τις ιδιότητες δηλαδή το mode απο Active/StandBy σε Loadbalancing!





    Το μόνο που απομένει είναι να επιβεβαιώσω την ύπαρξη του Scope και στον δεύτερο Server



     

    Άλλο ένα καταπληκτικό Feature που μας απαλάσει απο Clusters, Split-Scopes και όλα τα βάσανα του DHCP που είχαμε μέχρι σήμερα να αντιμετωπίσουμε. Και οι δύο ιδιότητες ,Active/Standby και η Load Balancing είναι εξαιρετικές , απλά η δεύτερη είναι εκπληκτική. Η δυνατότητα να μοιράσω τη ζώνη χωρις συμβιβασμούς ήταν δυνατή μόνο με Cluster. Τώρα δεν χρειάζομαι τίποτα τα έχω όλα εδώ.
  22. giotis
    Λοιπόν μετά από μια σύντομη ομιλία που είχα με το αφεντικό της εταιρείας(εμένα!)  πήρα μια σαφή εικόνα του τι χρειάζεται να κάνουμε.


    Η εταιρεία έχει τρία τμήματα , το λογιστήριο, την τιμολόγηση και την αποστολή παραγγελιών. Άρα έχουμε και λέμε, θα φτιάξουμε κάποια OU


    Συγκεκριμένα το


    Company


    Company\Users


    Company\Groups


    Company\Servers


    Company\ClientPcs

    Για να τα κάνουμε όμως όλα αυτά θα χρειαστούμε την νέα κονσόλα του Administrative Center!

    Χμμ που πήγε η κονσόλα του Administrative Center?


    Αφήνουμε το ποντίκι δεξιά κάτω στην οθόνη και διαλέγουμε το Search μόλις εμφανιστεί.




    Οοοο τι κόσμος μπαμπά! Η εικόνα του νέου Desktop , εγώ έτσι θα το λέω και ας είναι Metro, είναι ευανάγνωστη. Είμαστε τυχεροί που η επιλογή είναι πρώτη πρώτη. Πατάμε λοιπόν Active Directory Administrative Center.



    Ανοίγει η κονσόλα και  είναι λες και είμαστε στο 2035! Πανέμορφη. Ας αφήσουμε τα εικαστικά και ας περάσουμε στο ζουμί γιατί η ώρα περνάει. Στα αριστερά βλέπουμε το Domain8 που είναι το Domain μας , από κάτω ακριβώς το Dynamic Access Control τη νέα πολυσυζητημένη δυνατότητα. Διαλέγουμε το Domain8 για να δούμε την δομή του.





    Δεξιά πήρε το μάτι μου το Enable Recycle Bin. Μπα έχουμε αλλαγές? Γίνετε να το πατήσω και να παίξει? Δε θα κάνω τίποτα άλλο? Για να δούμε το πατάω… με ενημερώνει πως η διαδικασία είναι μη αναστρέψιμη πατάω ΟΚ.



    Θα κάνω και Refresh και εμφανίστηκε πλέον το Deleted Objects OU. Θα το δοκιμάσω μετά.



    Πατάω κατευθείαν στη δεξιά πλευρά New->Organizational Unit. Εμφανίζεται μια νέα οθόνη όπου απλά γράφεις το όνομα. Βάζω company και πατάω OK κάτω δεξιά. Μπαίνω στο OU Company Και φτιάχνω γρήγορα και τα επόμενα.






    Μέσα στο OU Users βάζω τους χρήστες. Στην αρχή προσθέτω φυσικά το αφεντικό! 

    Αριστερά στην εικόνα βλέπουμε άλλη μια αλλαγή εκτός των τυπικών, το Password Settings. Ναι καλά μαντέψατε τα γνωστά Fine Grained Password Policies είναι ένα κλικ. Θα φτιάξουμε κάποια για τους χρήστες της αποστολής δεμάτων , θα πρέπει να βάζουν κάτι σε μορφή Pin.



    Η μορφή όμως δε με βοηθά να δω τα ονόματα χρηστών. Πατάω πάνω στο Description με δεξί κλικ και προσθέτω το SamAccountName για να ξέρω πως κάνει Login!



    Προσθέτω και τους άλλους χρήστες


    Φτιάχνουμε τον accountant, τον boss, τον billing και τον shipping.




    Με την ίδια λογική φτιάχνουμε και τα αντίστοιχα Groups στο OU Company\Groups.

    Και φυσικά ορίζουμε τους χρήστες στα αντίστοιχα Group!








    Αφού τα φτιάξουμε γυρίζουμε στο Domain8 στα αριστερά. Επιλέγουμε  System και Password Settings Container. Εκεί φτιάχνουμε μια νέα πολιτική για τους χρήστες της αποστολής δεμάτων με 4 ψηφία ,χωρίς προϋποθέσεις δυσκολίας και αριθμών και με μέγιστη διάρκεια τις 90 ημέρες. Διαλέγουμε και το ShippingGroup με το Add δεξιά για να επιβάλουμε την πολιτική στους χρήστες της ομάδος. Και όλα αυτά ΧΩΡΙΣ ADSIEDIT!!!!!!!!!!!!!





    Πριν να τελειώσουμε το σημερινό quick lesson, θα δοκιμάσω να σβήσω ένα χρήστη να δώ αν δουλεύει το Recycle Bin. Θα διαλέξω το αφεντικό (τυχαίο? Δε νομίζω!) και με δεξί κλικ Delete. Με μια γρήγορη επίσκεψη στο Domain8\Deleted Objects μπορούμε να δούμε τον λογαριασμό του χρήστη και οι επιλογές δεξιά είναι :


    Restore για άμεση επαναφορά


    Restore to για να διαλέξουμε ένα άλλο OU για την επαναφορά


    Locate Parent που μας μεταφέρει στο αρχικό OU


    Properties που μας δείχνει κάποιες extra πληροφορίες για το αντικείμενο.


    Απλά διαλέγω Restore και ως δια μαγείας ο χρήστης επανήλθε χωρίς καμία ΚΑΜΙΑ ΚΑΜΙΑ περαιτέρω διαδικασία!





    Επίσης αν πατήσω στην κάτω πλευρά υπάρχει η μπάρα PowerShell History μέσω της οποίας μπορώ να δω το ιστορικό των εντολών πατώντας το Show all ,που έχει εκτελέσει η κονσόλα και να τις αντιγράψω για να τις εκτελέσω από το PowerShell μόνος.



    Αυτήν την περίεργη μπάρα την είδα και στους χρήστες ! Ανοίγωντάς της θα εκπλαγείτε! Όλες οι σημαντικές πληροφορίες για τον χρήστη στα πόδια σας!


    Αυτή είναι η δύναμη της νέας κονσόλας διαχείρησης του Active Directory,όλα γρήγορα , εύκολα , ευανάγνωστα. Θα πρέπει να σας πω επίσης πως μετά απο αυτά που είδατε ε μην περιμένετε να ξαναδουλέψετε με το Active Directory Users and Computers ! Άλλωστε και η Microsoft θα σταματήσει να το αναπτύσει απο δω και πέρα.


    Νομίζω πως το Domain μας είναι έτοιμο για να περάσουμε στο επόμενο βήμα την εγκατάσταση του Dhcp και του File Server.

  23. giotis
    Ευθύς αμέσως θα ξεκινήσουμε με την εγκατάσταση των μηχανών.


    Η διαδικασία προς το παρών στη Beta έκδοση δεν άλλαξε καθόλου εκτός από ένα ψάρι! που εμφανίζεται σε τακτά χρονικά διαστήματα.





    Διαλέγουμε τη γλώσσα ,επιλέγουμε Install now και στην επόμενη οθόνη Windows Server 8 Datacenter (Server with a gui).











    Πρέπει να αποδεχτούμε τους όρους για να συνεχίσει η εγκατάσταση.


    Και επιλέγουμε Custom για να διαλέξουμε στην επόμενη εικόνα διαμέρισμα εγκατάστασης όπου απλά επιλέγουμε το Next αφού έχουμε ένα δίσκο.










    Το μόνο που απομένει είναι να περιμένουμε το τέλος της εγκατάστασης για να βάλουμε τον κωδικό που θέλουμε για τον τοπικό διαχειριστή.





    Αφού συνδεθούμε για πρώτη φορά πρέπει να επιλέξουμε αν θέλουμε να αποστέλλονται πληροφορίες στην Microsoft σχετικά με λάθη, εγώ θα επιλέξω ναι γιατί κάποιος πρέπει να τους τα πει !




    Έπειτα θα αλλάξω το όνομα του υπολογιστή. Για να το καταφέρουμε αυτό θα πρέπει να πάμε στον Windows Explorer και να επιλέξουμε το My computer. Θα παρατηρήσετε στο Ribbon πλέον μια νέα μέθοδο πλοήγησης όπως και στο SharePoint για όσους έχετε ασχοληθεί. Εκεί μπορούμε να επιλέξουμε τις ιδιότητες για να εμφανιστεί η γνωστή εικόνα των ιδιοτήτων όπως στα Windows Server 2008 R2.



    Το μόνο που απομένει είναι να βάλω τη διεύθυνση που του έχω καθορίσει από το πρώτο επεισόδιο της σειράς! Ο τρόπος εισαγωγής μιας διεύθυνσης IP είναι ακριβώς ίδιος με την προηγούμενη έκδοση.


    Με αυτό τον τρόπο θα στήσουμε και όλες τις άλλες μηχανές που αφορούν τους εξυπηρετητές.

    Περνάμε αμέσως στην εγκατάσταση του Domain Controller.


     


     

     
  24. giotis
    Με το που πήρα στο χέρι μου (δηλαδή στο σκληρό μου δίσκο !) Τα Windows Server 8 Beta και τα Windows 8 Consumer Preview , μια ιδέα πέρασε από το μυαλό μου , τρελή :


    Να στήσω ένα πλήρες Working Demo με όλα αυτά τα συστατικά ,παλαιά και νέα, με βάση την ελληνική πραγματικότητα !


    Τι θα περιλαμβάνει αυτό το Demo? Μια τυπική εγκατάσταση.


    Ένα Domain Controller για την διαχείριση της ταυτοποίησης και της πρόσβασης.


    Έναν File Server , για να αποθηκεύουμε τα αρχεία.


    Εναν Certificate Server για τα πιστοποιητικά μας .


    Έναν Remote Desktop Server, γιατί έχουμε και απομακρυσμένους χρήστες.

    Έναν Application Server για να βάλουμε όλες τις εφαρμογές και επιπλέον ρόλους για την εγκατάστασή μας.


    Τέλος θα φτιάξουμε και μία μηχανή με Windows 8 για το τερματικό μας.


    Για όλα αυτά τα  Demo θα πρέπει να έχετε κατεβάσει τις αντίστοιχες εκδόσεις 

    Windows Server 8 Beta και Windows 8 Consumer Preview 

    Προσωπικά διαλέγω τον Windows Server 2008 R2 με Hyper-V που είναι δοκιμασμένη λύση εικονικοποίησης και δε θα μου αποσπάσει την προσοχή με διάφορα λάθη. Μπορείτε όμως να χρησιμοποιήσετε κάποια άλλη που μπορεί να τρέξει 64 bit μηχανές.

    Μπορείτε βέβαια να στήσετε απευθείας τον Windows Server 8 και να χρησιμοποιήσετε τον Hypervisor του!

    Για την εγκατάσταση δεν θα χρειαστείτε DVD καθώς μια απλή αντιγραφή των περιεχομένων του ISO αρχέιου σε USB Stick μέχρι 4 Gigabyte είναι αρκετή!!

    Αν το Usb stick είναι μεγαλύτερο θα χρειαστείτε το εργαλείο της Microsoft για να κάνετε εξαγωγή του ISO σε bootable usb.

     

    Στις μηχανές αυτές θα δώσουμε 1 gigabyte μνήμης Ram και έναν δυναμικό δίσκο.Επίσης θα  δώσουμε και 2 επεξεργαστές αν υποστηρίζει η μηχανή εικονικοποίησης που έχετε στη διάθεσή σας.


    Όσο αφορά τα  ονόματα και τις διευθύνσεις θα χρησιμοποιήσουμε τα παρακάτω:


    Server                             Όνομα             IP Διεύθυνση:


    Domain Controller      Dc8                  192.168.2.50


    File Server                      Fs8                   192.168.2.51


    Application Server      Αpp8               192.168.2.52


    Certificate Server         Cs8                  192.168.2.53


    Remote Desktop          Rd8                 192.168.2.54


    Windows Client1          Client1         192.168.2.55

    Ας μην καθυστερούμε ας περάσουμε στην εγκατάσταση!
  25. giotis

    FSMO Role-playing

    By giotis,

    Με αφορμή κάποια νήματα στο Autoexec σχετικά με τους FSMO Roles των Windows , θεώρησα σωστό να κάνουμε μια επανάληψη μιας και υπάρχει αρκετή σύγχιση γύρω απο το θέμα.

    Τι είναι οι FSMO ρόλοι?

    Οι Flexible Single Master Operation ρόλοι έχουν ως σκοπό να εξυπηρετήσουν την δομή του Active Directory να έχει πολλούς Master εξυπηρετητές. Από την αρχή του Active Directory ήταν ξεκάθαρο πως μια δομή με δυνατότητα πολλαπλών εξυπηρετητών θα ήταν η ιδανική υλοποίηση. Θα έδινε τη δυνατότητα στους διαχειριστές να μπορούν να κάνουν αλλαγές σε οποιοδήποτε ελεγκτή τομέα και να έχουν τις αλλαγές σε όλους χωρίς να ανησυχούν για πράγματα όπως σε ποιο ελεγκτή θα πρέπει να γίνουν οι αλλαγές.

    Για να μην υπάρχουν όμως αλλαγές οι οποίες θα έρχοταν σε σύγκρουση μεταξύ τους , έπρεπε με κάποιον τρόπο το Active Directory να ελέγχει με διαφάνεια τον εξυπηρετητή κατά τη διάρκεια για αποφυγή συγκρούσεων.Έτσι γεννήθηκαν οι FSMO ρόλοι.

    Τι αφορούν?

    Υπάρχουν 5 FSMO ρόλοι ο καθένας με διαφορετική λειτουργία.Οι 2 απο αυτούς αναφέρονται στο Forest Root Domain ή αλλιώς στο πρώτο Domain που φτιάχτηκε κατά την υλοποίηση του Active Directory.Αυτοί οι ρόλοι είναι μοναδικοί σε όλο το Forest.Οι υπόλοιποι 3 ρόλοι βρίσκονται στο Forest Root Domain καθώς και σε κάθε Domain που δημιουργείτε έπειτα.

    Οι ρόλοι που απευθύνονται στο Forest είναι οι εξής:

    Α) Schema Master

    Ο οποίος είναι υπεύθυνος για το σχήμα της βάσης που υπάρχει σε όλους τους τομεις (Domains). Αναλαμβάνει τις αλλαγές στο σχήμα,οπότε κάθε φορά που το σχήμα αλλάζει ,για παράδειγμα προσθέτετε έναν Exchange Server είναι υπεύθυνος να κάνει τις αλλαγές και να τις δώσει σε όλους τους τομείς εαν υπάρχουν περαν του Forest Root Domain.

    Β)Domain Naming Master

    Ο συγκεκριμένος ρόλος υπάρχει για να προσθέτει και να αφαιρεί τομείς (Domains). Κάθε φορά που προσθέτετε η αφαιρείτε κάποιον τομέα είναι υπεύθυνος για τις εγγραφές στη βάση και την ενημέρωση των υπόλοιπων Domain.

    Οι ρόλοι που αφορούν το Domain είναι οι εξής:

    A)Primary Domain Controller Emulator ή PDC Emulator.

    Αυτός ο ρόλος είναι ένας απο τους ποιο σημαντικούς.Αναλαμβάνει τις αλλαγές σε ότι αφορά τους χρήστες,το συγχρονισμό της ώρας και είναι ο ελεγκτής στον οποίο απευθύνονται οι υπόλοιποι εάν υπάρχει κάποια διαφωνία.

    Β)Relative Identification Master ή RID Master.

    Ο συγκεκριμένος ρόλος έχει ως ευθύνη την παραγωγή των ID για τα αντικείμενα.Κάθε αντικείμενο ,χρήστης,υπολογιστής,ομάδα για παράδειγμα έχουν ένα μοναδικό αριθμό στο Domain.Για να μην υπάρχει περίπτωση αυτός ο αριθμός να έιναι ίδιος μεταξύ αντικειμένων όλοι οι ελεγκτές όταν θέλουν να δημιουργήσουν ένα αντικείμενο παίρνουν έναν αριθμό από τον RID Master.

    C)Infrastructure Master.

    Ο τελευταίος ρόλος είναι ,ας μου επιτραπεί,ο τηλεφωνικός κατάλογος του Domain. Κάθε φορά που χρειάζονται πληροφορίες για κάποιο αντικείμενο σε άλλους τομεις (Domains) οι ελεγκτές συμβουλέυονται τον Infrastructure Master.

    Είναι όμως και ο ρόλος που κινδυνεύει να χαθεί γρηγορότερα.Ο λόγος είναι η ύπαρξη του Global Catalog.Όταν ένας ελεγκτής είναι και Global Catalog τότε γνωρίζει ήδη για τα αντικείμενα που βρίσκονται σε άλλους τομείς και δεν χρειάζεται να ρωτήσει τον Infrastructure Master.

     

    "Ώραια ,τώρα που κατάλαβα τι κατάλαβα;" θα αναρωτηθεί κανείς. Πως θα καταλάβω οτι υπάρχει κάποιο πρόβλημα αφού είναι μια διαφανής διαδικασία;

    Το Active Directory έχει φτιαχτεί τόσο καλά που δεν καταλαβαίνει κανείς εύκολα το τί γίνεται καθώς το παραμετροποιεί ,προσθέτει ή αφαιρεί. Τα πιο πολλά εργαλεία αυτόματα συνδέονται με τον ελεγκτή που έχει το ρόλο που είναι υπεύθυνος.Για παράδειγμα όταν ανοίγετε την κονσόλα διαχείρησης χρηστών αυτόματα μεταφέρεστε στον PDC Emulator. Ωραίο έτσι; Ναι και όχι θα έλεγα. Για να καταλάβετε οτι υπάρχει πρόβλημα πέραν του Event Viewer θα αποτύχουν κάποιες εργασίες.Στον επόμενο πίνακα μπορείτε να δείτε μερικές.

    Σύμπτωμα  : Οι χρήστες δεν μπορούν να   συνδεθούν.

    Ρόλος        : PDC                     

    Εξήγηση    : Αν τα ρολόγια των υπολογιστών δεν είναι συγχρονισμένα η ταυτοποίηση θα αποτύχει.

     

    Σύμπτωμα : Οι χρήστες δεν μπορούν να αλλάξουν κωδικό.

    Ρόλος        : PDC                      

    Εξήγηση    : Αν ο PDC είναι κάτω δεν θα είναι δυνατό να αλλάξετε κωδικό.

     

    Σύμπτωμα : To κλείδωμα των λογαριασμών δεν λειτουργεί.                     

    Ρόλος        :  PDC                     

    Εξήγηση    : Το κλείδωμα των λογαριασμών (Account Lockout) χρειάζεται αυτόν το ρόλο.

     

    Σύμπτωμα  : Δεν μπορείτε να προσθέσετε χρήστες η ομάδες.                         

    Ρόλος        : RID                      

    Εξήγηση    : O RID Master δεν λειτουργεί ή δεν έχει ελεύθερους μοναδικούς αριθμούς για να σας δώσει.

     

    Σύμπτωμα  : Δεν δουλεύουν σωστά τα Universal Groups.                               

    Ρόλος        : Infrastructure       

    Εξήγηση    : Αν δεν λειτουργεί σωστά ο Infrastructure Master δεν θα μπορείτε να εκμεταλευτείτε τα Universal Groups που περιέχουν χρήστες απο άλλα Domains.

     

    Σύμπτωμα  : Δε μπορείτε να προσθέσετε η να αφαιρέσετε ένα ελεγκτή.           

    Ρόλος        : Domain Naming     

    Εξήγηση    : Αν δε μπορείτε να προσθέσετε έναν ελεγκτή ή να δημιουργήσετε ένα νέο τομέα πολύ πιθανόν να μην δουλεύει σωστά ο Domain Naming Master.

     

    Σύμπτωμα  : Δε μπορείτε να αλλαξετε το σχήμα της βάσης.                           

    Ρόλος        : Schema                 

    Εξήγηση    : Αν δε δουλεύει ο Schema Master τότε αλλαγές στο σχήμα της βάσης δεν είναι εφικτές.

     

    Η παραπάνω λίστα είναι ενδεικτική και φυσικά υπάρχουν πολλά πράγματα παραπάνω που είναι άμεσα συνδεδεμένα με τους ρόλους.

    "Μάλιστα και τώρα που κατάλαβα που βρίσκω που είναι οι ρόλοι?"

    Μπορείτε πολύ εύκολα να βρείτε τους ρόλους απλώς πηγαίνωντας σε μια γραμμή εντολών και δίνοντας "netdom query fsmo" απο έναν ελεγκτή τομέα.

    Αν δε σας αρέσει η γραμμή εντολών μπορείτε να βρείτε τους ρόλους και απο το γραφικό περιβάλλον.

    Για να δείτε πληροφορίες για τον ελεγκτή του Schema master θα πρέπει πρώτα να τρέξετε την εντολή "regsvr32 schmmgmt.dll" απο την εκτέλεση του μενού έναρξης. Ο υπολογιστής θα σας ενημερώσει για την επιτυχή καταχώρηση. Έπειτα θα πρέπει να ανοίξετε ένα παράθυρο κονσόλας MMC και να προσθέσετε την κονσόλα του σχήματος με τη χρήση του File->Add/Remove Snap-ins. Εκεί θα πατήσετε δεξί κλικ πάνω στο Active Directory Schema και θα διαλέξετε το Operations Master.

    Για πληροφορίες του Domain Naming Master θα ανοίξετε την κονσόλα Active Directory Domains and Trusts απο τα διαχειριστικά εργαλεία και θα διαλέξετε με δεξί κλικ πάνω στο Active Directory Domains and Trusts απο τα αριστερά Operations Master.

    Για τους ρόλους σε επίπεδο Domain απλά μπορείτε να ανοίξετε την κονσόλα Active Directory Users and Computers διαχειριστικά εργαλεία και θα διαλέξετε με δεξί κλικ πάνω στο Domain σας απο τα αριστερά Operations Master.

    "Ωραία τώρα που κατάλαβα χρειάζεται να ξέρω ποιος server πρέπει να φιλοξενεί το ρόλο;"

    Υπάρχουν κάποιες γενικές γραμμές για το πως πρέπει να μπουν οι ρόλοι.

    Ρόλοι του Domain.

    Γενικά o PDC emulator καθώς και ο RID master θα πρέπει να βρίσκονται στον ίδιο εξυπηρετητή. Αυτό γίνεται γιατί ο PDC είναι αυτός που θα χρησιμοποιεί πιο συχνά τον RID master για νέους αριθμούς.

    Ο Infrastructure master θα πρέπει να είναι σε ένα ελεγκτή που δεν είναι Global Catalog. Αυτός ο κανόνας έχει 2 εξαιρέσεις.

    Υπάρχει ένας τομέας μόνο οπότε ο ρόλος είναι σχεδόν άχρηστος και όλοι οι ελεγκτές είναι και Global Catalog οπότε γνωρίζουν ήδη τα αντικείμενα του τομέα.

    Ρόλοι του Forest.

    Οι δύο ρόλοι του Forest μπορούν να είναι στον ίδιο ελεγκτή για απλούστευση της διαχείρισης.

    Φυσικά δεν πρέπει να ξεχνάμε πως χρειάζονται τουλάχιστον 2 ελεγκτές τομέα για κάθε Domain. Για να μπορείτε να κάνετε αλλαγές στους ρόλους με επιτυχία καλό είναι οι εφεδρικοί ελεγκτές να είναι καλά συνδεδεμένοι με τον ελεγκτή που έχει το ρόλο. Με αυτήν την τακτική θα είναι σίγουρο πως σε περίπτωση προβλήματος αν χρειαστεί να μεταφέρω τους ρόλους τότε ο ελεγκτής που θα τον φιλοξενήσει θα είναι ενημερωμένος όσο το δυνατόν περισσότερο.

    "Μάλλον υπάρχει κάποιο πρόβλημα/θέλω να αλλάξω ελεγκτή, μπορώ να αλλάξω  ελεγκτή που φιλοξενεί το ρόλο;"

    Φυσικά, μπορείτε να αλλάξετε τους ελεγκτές που φιλοξενούν το ρόλο χρησιμοποιώντας είτε τις κονσόλες διαχείρησης , είτε το εργαλείο ntdsutil.exe το οποίο μας δίνει και τη δυνατότητα βίαιης μεταφοράς σε περίπτωση σφάλματος . Επίσης εαν αποφασίσετε να καταργήσετε έναν ελεγκτή τομέα που φιλοξενεί κάποιο ρόλο τότε αυτόματα τα Windows θα μεταφέρουν το ρόλο.

    Αν όμως ένας ελεγκτής δεν δουλεύει σωστά και χρειαστεί να μεταφέρετε τους ρόλους με το Ntdsutil τότε θα πρέπει να ξέρετε πως αν καταφέρετε να επισκευάσετε τον ελεγκτή τότε δε θα μπορείτε να επιστρέψετε τους ρόλους πίσω σε αυτόν. Συγκεκριμένα  ο RID master,ο Domain Naming master και ο Schema Master δεν θα πρέπει να μεταφερθούν πίσω στον αρχικό. Θα πρέπει να γίνει καθαρή εγκατάσταση του λειτουργικού και να μεταφερθεί πάλι πίσω σωστά με τη χρήση της κονσόλας του ρόλου.

     

     

     

     

     

     
×
×
  • Create New...