windows server 2008

5/28/2018 Windows Server 2008

1/15


2/15

Top 10 razloga da preete na njega

Prolo je mnogo vremena od kada smo videli novu verziju Windows Server-a. Teko je

poverovati da je prolo pet godina od kada je izaao Windows Server 2003. E pa ove

godine moemo da prestanemo da ekamo. Windows Server 2008 je zvanino izaaoovog meseca i sada imamo pristup svim njegovim elementima. Prolo je mnogo vremena

i Microsoft je uloio jako mnogo truda i rada u Windows Server 2008 kako bi bio najbolji

do sada.

Napravljeno je hiljade izmena u Windows Server-u 2008 u poreenju sa Windows

Server-om 2003. Neke su veoma male, ali neke su veoma velike i znaajne. Ali pitanjekoje svi postavljaju je ta to Windows Server 2008 nudi da vredi nadgraditi na njega?

Odgovor na ovo pitanje e biti glavna tema ove serije kratkih lanaka.

Postoji suvie mnogo izmena i poboljanja u Windows Server-u 2008 da bi mogla sva da

se pokriju u jednom lanku, zato emo izlaganje podeliti na nekoliko kraih lanaka. Uovim lancima fokusiraemo se samo na funkcije i mogunosti za koje mi mislimo da su

one zbog kojih vredi nadgraditi na Windows Server 2008.

Mnogi e pomisliti da sam izostavio neke vane stvari u ovom opisu mogunostiWindows Server-a 2008 i bie u pravu, jer nisu svima bitne iste stvari. Zato u ja ovde

govoriti samo o velikim izmenama za koje se ja nadam da e usreiti veinu korisnika.

Sledi lista novosti i pobljanja kojima emo se baviti u ovim lancima o Windows

Server-u 2008 jer mislimo da e one biti najzaslunije za prelazak korisnika sa Windows

Server-a 2003 na Windows Server 2008.

Server Manager i Advanced Event Viewer Server Core Terminal Services Gateway Terminal Services RemoteApps Izvorna podrka za IPv6 Read Only kontroleri domena Hyper-V


3/15

Network Access Protection (NAP) Secure Sockets Tunneling Protocol (SSTP) Windows Advanced Firewall QoS zasnovan na polisama


4/15

Server Manager i napredni Event Viewer

Windows Server 2008 poseduje potpuno novi interfejs za upravljanje poznat pod imenomServer Manager. Server Manager je jedino mesto koje e vam trebati za konfigurisanje,

upravljanje i praenje servera. On nije kao menaderi servera koje ste koristili u prolosti;

ovaj stvarno radi i njega ete definitivno koristiti svaki dan za upravljanje WindowsServer 2008 raunarima.

U Server Manager, vi moete da instalirate Server Roles-ove (kao to je DNS, DHCP,Active Directory) i Role servise (kao to je Terminal Services Gateway i RRAS). Kada

instalirate Server Roles-ove (serverske uloge) i Role Services-e (servise uloga), MMCkonzole za ove servise se instaliraju u Server Manager-u. Vie ne treba da kreirate

sopstvene MMC-ove!

Server Manager takoe moe da se pohvali sa novim Event Viewer-om. Ovo nije Event

Viewer vaeg oca koji poseduje samo System, Security i Application nodove. Windows

Server 2008 Event Viewer vam obezbeuje logove dogaaja koje moete da koristite. Tusu standardni Windows Event Log-ovi: Application, Security i System. Ali sada imate

mogunost da vidite dogaaje za sve aplikacije i servise instalirane na raunaru. Pored

toga, vi moete da kreirate Custom View-ove Event Log-ova, tako da moete da kreirate

sopstvene kontejnere za dogaaje na osnovu filtera koje izaberete.

Jedna od novih Event Log funkcija koja mi se svia je mogunost da se prijavite za

dogaaje na drugim mainama u mrei. To vam omoguuje da skupljate Event Logpodatke sa drugih maina, na osnovu filtera koje ste obezbedili. Na taj nain, vi moete

da konfiguriete filtere za kritine dogaaje na najvanijim serverima u vaoj mrei. Iako

mu nedostaje prefinjenost kompletnog reenja za nadgledanje kao to je System Center

Operations Manager, ovo je veoma dobro reenje za nadgledanje za one kompanije kojene ele da plate za mogunosti koje nudi SCOM.


5/15

Server Core

Windows Server 2008 moe da se instalira na dva naina: kompletna instalacija full ilisamo jezgro servera. Server Core instalacija instalira podset binarnih fajlova koji su

neophodni da bi jezgro operativnog sistema radilo. Nikakvi opcioni servisi se ne

instaliraju niti se aktiviraju. Nema korisnikog interfejsa osim komandne linije. Nemakoljke Windows Explorer-a i celokupna konfiguracija mora da se uradi lokalno u

komandnoj liniji, ili udaljeno pomou MMC konzole ili nove Windows Remote Shell

(WinRS) aplikacije za udaljeno upravljanje (slino SSH-u).

Cilj jezgra servera nije da bude tei za upravljanje (mada upravljanje jeste tee uodreenom stepenu jer se mnogi zadaci moraju obavljati iz komandne linije i ne mogu da

se urade udaljeno preko MMC konzole). Pravi cilj Server Core-e je da se redukuje

povrina za napad i da se smanji broj auriranja servera. Poto veina bezbednosnihauriranja Windows-a obino ukljuuje servise i aplikacije koje ni ne koristite (kao to je

Windows Media Player ili Internet Explorer) na serveru, vi onda ni ne morate da

aurirate ove komponente. A zahvaljujui znatno smanjenom broju servisa i aplikacijakoji rade na jezgru servera, povrina koja moe da se napadne je znaajno smanjena.

Jezgro servera pokree ogranieni broj uloga servera (Server Roles), to znai da morateda se postarate da je uloga servera koja vas interesuje podrana od strane instalacije

jezgra servera. Takoe, neke od uloga servera nisu u celosti podrane, kao to je Web

Server uloga. Server Core ne podrava .NET upravljani kod, i zbog toga neete moi dakoristite IIS konzolu kao udaljeni MMC. Ovo izaziva ozbiljne upravljake glavobolje

zato to IIS konfiguracija na maini jezgra servera mora da se uradi u komandnoj liniji

pomou appcmd.exe-e. Ako ste administrator Apache-a, biete jako sretni. Ako ste

povremeni administrator IIS-a, verovatno ete eleti da priekate na unapreenja u radu

sa jezgrom servera.

Server Core je definitivno korak u dobrom smeru. Meutim, u ovom trenutku treba ga

posmatrati kao 1.0 izdanje. Sigurni smo da je cilj Server Core-a da se smanji povrina zanapade i smanji potreba za auriranjem, a ne da se njime teko upravlja. Oekujemo da e

sledea auriranja Windows Server-a 2008 omoguiti lake auriranje i tako ispuniti

svaija oekivanja.


6/15

Terminal Services Gateway

Jedna od prepreka za potpuno anagaovanje Terminal Services za udaljeni pristupkorisnika je bila injenica da veliki broj administratora nije imao poverenja u sekvencu

autentifikacije i nivo ifrovanja RDP tunela. Drugi problem na koji su naili je injenica

da veliki broj firewall-ova na udaljenim lokacijama nisu dozvoljavali izlazni TCP 3389.Microsoft je reio ovaj problem tako to je predstavio Terminal Services Gateway u

Windows Server-u 2008.

Terminal Services Gateway je tip SSL VPN-a, na isti nain na koji je RPC/HTTP za

Outlook-ov pristup ka Exchange Server-u SSL VPN. SSL VPN tip je onaj od proksijaprotokola aplikacije. Terminal Services Gateway radi sa RDP 6.0+ klijentom kako bi

omoguio inkapsulirane RDP konekcije ka TS Gateway raunarima.

RDP klijent u stvari inkapsulira RDP protokol u dva druga protokola. Prvo, RDP

protokol se inkapsulira u RPC zaglavlje, a onda se inkapsulira drugi put pomou

ifrovanog HTTP zaglavlja (SSL). Protokol koji se koristi za konektovanje sa TSGateway-om je u stvari RDP/RPC/HTTP. Microsoft je najverovatnije ovo uradio kako bi

mogao da koristi postojei RPC/HTTP kod koji su veimali za svoj RPC/HTTP proksi.

Kada konekcija stigne do TS Gateway maine, TS Gateway uklanja RPC i HTTPzaglavlja i prosleuje RDP konekcije ka odgovarajuem Terminal Server ili Remote

Desktop raunaru.

Connection Authorization Policy ili CAP-ovi se koriste da se odredi koji korisnici moguda pristupe resursima kroz ovaj TS Gateway raunar. Windows Server 2008 poseduje

konfiguracioni interfejs za povezivanje sertifikata sa TS Gateway sajtom kako bi bile

omoguene bezbedne SSL konekcije.

Terminal Services Gateway takoe podrava Smart Card autentifikaciju a vi takoe imateopciju da uvedete NAP klijentsku kontrolu pristupa. Terminal Services Gateway je

definitivno jedan od glavnih razloga da nadgradite na Windows Server 2008.


7/15

Terminal Services RemoteApps

Cilj svakog administratora zaduenog za bezbednost je da svaki korisnik ima to jemogue manje privilegija. To posebno vai za ostvarivanje konekcija na daljinu.

Administratori zadueni za bezbednost ne mogu nou da spavaju razmiljajui o

obezbeivanju potpune udaljene desktop konekcije korisnicima koji nisu administratori.Sve to je potrebno da bi neki haker stekao potpunu kontrolu nad desktop okruenjem i

kompromitovao vau mreu je otkrivanje korisnikog imena i lozinke jednog korisnika.

To je zastraujua pomisao.

Ali zar korisnicima stvarno treba potpuni pristup desktopu? Ili im treba samo pristupaplikacijama na desktopu? Najverovatnije im treba samo pristup aplikacijama i

podacima. U tom sluaju, Windows Server 2008 vam obezbeuje reenje koje se zove

Terminal Services RemoteApp. Terminal Services RemoteApp vam omoguava daobezbedite korisnicima pristup samo ka specifinim aplikacijama preko RDP kanala. Na

taj nain, korisnici ne mogu da izazovu probleme na itavom desktopu, a ako neki haker

otkrije podatke datog korisnika, sve toe mo

i da kontrolie je aplikacija, koja imamnogo manju povrinu koja se moe napasti nego celokupan desktop.

TS RemoteApps je veoma fleksibilan. Vi moete da kontroliete kojim aplikacijamakorisnik moe da pristupi i kako e im pristupati preko svojih sopstvenih raunara. TS

Remote Apps zajedno sa TS Gateway-om ine Windows Server 2008 Terminal Server

veoma privlanim za kompanije koje su zainteresovane za bezbedno RDP zasnovano

reenje za udaljeni pristup.

Pored toga, aktiviranje i podeavanje TS RemoteApps-a je veoma lako i trebae vam

samo nekoliko minuta.

Pa ta biste jo mogli da poelite pored ovoga?!


8/15

Izvorna podrka za IPv6

Windows Server 2008 je prva verzija Windows Server-a koja ima izvornu podrku zaIPv6 kao deo IP steka. U prethodnim verzijama Windows-a pre Viste, IPv6 podrka je

bila raena paralelno sa IPv4, i nije postojala integrisana podrka za IPv6 koja bi bila

ukljuena u mreu infrastukture servisa kao to je DNS i DHCP. To vie nije sluaj i sadaje IPv6 utkan u mreni stek Windows Server-a 2008 i servise infrastrukture.

Poto Windows Server 2008 DNS sada podrava IPv6, vi moete da kreirate Quad A

(AAAA) izvetaje a moete da kreirate i IPv6 reverse lookup zone.

DHCP servis je takoe auriran tako da podrava IPv6. Vi moete da konfiguriete

mrene interfejse da koriste statine IPv6 adrese, ili mogu da koriste DHCP kako bi

pribavile informacije o IP adresama.

Windows Server 2008 RRAS serveri koji se ponaaju kao ruteri mogu da se konfiguriu

kao IPv6 ruteri i obezbeuju informacije u porukama rutiranja u zavisnosti od toga kojegsu prefiksa informacije koje koristi klijent, i da li treba ili ne treba da koriste informacije

adresiranja od DHCP servera.

Windows Server 2008 takoe podrava IPv6 tranzicione tehnologije, kao to su ISATAP,

6to4 i Teredo. Bilo koji Windows Server 2008 raunar moe da se konfigurie kao

ISATAP ruter pomou Netsh interfejsa komandne linije.


9/15

Read Only Domain Controller

Sa razvojem kancelarijskih ogranaka u mnogim organizacijama, mnogi su shvatili dapostoji problem vezan za autentifikaciju. Ogranci firmi obino dobijaju kontroler domena

preko kojeg se korisnici mogu autentifikovati u lokalnom DC-u umesto da moraju da idu

na spori, ili ak srueni, WAN link, koji moe da dovede do greaka ili blokiranjaautentifikacije i nemogunosti da pristupite ak i lokalnim resursima.

Reenje je bilo da se postave kontroleri domena u kancelarijskim ograncima. Iako je ovoreilo inicijalni problem autentifikacije, javili su se bezbednsoni problemi. Poto veina

ogranaka kancelarija nema isti nivo IT strunosti kao glavna kancelarija, a svakakonemaju isti nivo fizike bezbednosti, kontroleri domena ogranaka kancelarija postaju

veoma slabe take u itavoj Active Directory infrastrukturi. Promene koje napravi

nestruan korisnik u ogranku kancelarija moe da ima efekte na itavu organizaciju i akoneko ukrade DC u ogranku kancelarije, to potencijalno moe da kompromituje sve naloge

u organizaciji.

Reenje Windows Server-a 2008 je Read Only Domain Controller (RODC). RODC

sadri read only kopiju Active Directory baze podataka i jedine informacije o nalozima

koje se skladite u RODC-u su za naloge u ogranku kancelarije. Poto se nikakve izmeneu Active Directory-ju ne mogu napraviti u RODC-u, ne postoji bojazan da e nestruni

korisnik napraviti nepopravljivu tetu u Active Directory-u. I poto obino nema

administrativnih korisnika u ograncima kancelarija, postoji relativno mali rizik da eRODC u ograncima kancelarija posedovati naloge administratora koji se mogu

kompromitovati u sluaju krae RODC-a.

RODC-ovi se takoe mogu konfigurisati da keiraju samo odreene naloge. I u sluaju da

se RODC ukrade, lista keiranih korisnikih naloga na RODC-u je dostupna krozadministraciju Active Directory-ja u glavnoj kancelariji. To omoguuje administratoru

Active Directory-ja da iskljui ili resetuje prava pristupa ovih naloga iz glavne

kancelarije.


10/15

Hyper-V

Hyper-V je hipervizor Windows Server-a 2008 koji vam omoguuje da pokreetevirtualne maine na Windows Server 2008 raunarima. Hyper-V zamenjuje Virtual

Server 2005 i sada je integralni deo operativnog sistema, koji dobijate kao deo paketa.

Krajnji delovi Hyper-V-a nisu jo dostupni, zato emo se u ovom trenutku uzdrati od

konanih zakljuaka vezanih za Hyper-V. Ali, sudei po onome to smo do sada videli,

mi smo veoma impresionirani onim to su uradili sa virtualizacijom Windows Server-a

2008.

Ako traite reenje za virtualizaciju koje vas nee kotati ni dinara, onda treba samo da

nadgradite raunar na Windows Server 2008 i neete pogreiti.


11/15

Network Access Protection (NAP)

Network Access Protection vam omoguuje da kontroliete pristup sa svih raunara kojisu konektovani u vau mreu. Prema Microsoft-u, Network Access Protection (NAP) nije

toliko bezbednosna metodologija koliko je mehanizam namenjen ouvanju zdravlja

klijenta. NAP vam omoguuje da kreirate polise koje odreuju minimalni nivo zdravljakoji klijent mora da ima pre nego to mu se dozvoli da se konektuje na drugi naraunar u

mrei.

NAP zavisi od infrastrukture Windows Server-a 2008. Trebae vam Windows Server

2008 Network Policy Server za skladitenje vaih polisa zdravlja. Postoji nekoliko nainana koje moete da kontroliete pristup u mrei: IPsec restrikcije, DHCP restrikcije, 801.x

restrikcije i VPN restrikcije. Hostovima koji ne ispunjavaju zahteve za bezbednom

konfiguracijom se zabranjuje pristup u mree koje koriste bilo koji od ovih metoda.

Meutim, NAP vam dozvoljava da kreirate mree u karantinu na koje klijenti koji ne

ispunjavaju bezbednosne zahteve mogu da se konektuju kako bi se "izleili". im softverNAP klijenta detektuje da raunar ispunjava bezbednosne zahteve, on e poslati

informaciju komponenti NAP servera koja e informisati NAP klijenta da sada moe da

se konektuje na mreu.

NAP je izuzetno moan metod za kontrolu pristupa u vaoj mrei, i on je ono to smo

ekali od kada je najavljen daleke 2003. godine, i poetkom 2004. Iako ekanje od pet

godina da se NAP pojavi izgleda dugo, mogu slobodno da kaem da se isplatilo.Administratori velikog broja mrea smatraju da je NAP glavni razlog za nadgranju na

Windows Server 2008.

Teko da postoje ikakvi argumenti pomou kojih bi mogao da opovrgnem miljenje ovihadministratora.

Secure Socket Tunneling Protocol (SSTP) je pravi SSL VPN. Pod terminom pravi SSLVPN mislim na to da SSTP obezbeuje potpuni mreni VPN pristup ka korporativnim

mreama, na isti nain na koji to obezbeuju PPTP i L2TP/IPSec protokoli. Meutim,prednost SSTP-a je to to za razliku od PPTP i L2TP/IPSec protokola, vi ne morate da

brinete o firewall-ovima koji blokiraju spoljanji pristup ka SSTP konekcijama.

SSTP je u sutini PPP/SSL. Poto su PPP konekcije ubaene u bezbedno HTTP zaglavlje

(SSL), SSTP moe da proe kroz bilo koji firewall ili Web proksi ureaj koji dozvoljava

SSL ka spolja.

Vie neete morati da reavate probleme korisnika u hotelima i konferencijskim salama

koji se ale na to da im firewall-ovi na njihovim lokacijama ne dozvoljavaju da VPN-uju

u mreu.

Jo jedna lepa stvar u vezi SSTP-a je to to ne morate da dozvolite pristup ka napolje

SSTP konekcijama samo zato to ste dozvolili spoljanje SSL-ove. Postoji vrednost u


12/15

CONNECT zaglavlju koje moete da konfiguriete na vaem ISA Firewall-u koje vam

omoguava da blokirate SSTP konekcije i dozvolite ostale SSL konekcije.

SSTP e vam znatno olakati udaljeni pristup ka VPN konekcijama.

Samo ovaj SSTP pristup je dovoljan razlog da nadgradite na Windows Server 2008.


13/15

Windows Advanced Firewall

Windows Vista korisnici e u ovom naslovu prepoznati Windows Advanced Firewall.Sada u Windows Server-u 2008 dobijate istu onu funkciju koja vepostoji u Visti. Ono

to je jo bolje je da vi sada moete da koristite grupne polise (Group Policy) u Windows

Server 2008 centralizovanom upravljanju sa Windows Advanced Firewall-om. Ako joniste koristili Vistin firewall, biete prijatno iznenaeni ovom novom funkcijom

Windows Servera 2008.

Windows Advanced Firewall koji dolazi sa Vistom i Windows Server-om 2008 vam

omoguuje da fino podesite kontrole spoljanjeg i unutranjeg pristupa. Kontrolespoljanjeg pristupa su bile nedostajui deliu Windows XP firewall-u. Sada vi imate

kontrolu nad spoljanjim konekcijama, tako da ako detektujete u vaem firewall-u da su

hostovi inficirani virusima ili crvima koji napadaju odreene portove ili kolekcije

portova, vi moete iz centra da blokirate svakog hosta zahvaljujui grupnim polisama.

Da bi vam rad sa novom funkcijom bio jo laki, Windows Server 2008 dolazi sa novimInbound Rule Wizard-om. Ovaj arobnjak, kojeg moete da koristite preko Group Policy

Management konzole, vam omoguuje da veoma lako konfiguriete unutranja pravila.

Postoji i Outbound Rule Wizard koji vam omoguuje da blokirate spoljanje konekcije.Vi moete da kontroliete UDP ili TCP portove, kao i ICMP tipove poruka, ili moete da

blokirate aplikaciju po aplikaciju.

Jedna od najimpresivnijih karakteristika Windows Firewall-a je to koliko supojednostavljene IPsec polise. U prolosti, podeavanje IPsec polisa se svodilo na

pokuaje i pogreke. Vi ste prolazili kroz opcije arobnjaka i mogli ste samo da se nadate

da ste sve dobro podesili.

To vie nije sluaj sa Windows Advanced Firewall-om, jer sada imate na raspolaganjuNew Connection Security Rule Wizard-a, koji omoguava lako kreiranje IPsec polisa za

izolovanje domena, polise za izuzetke od autentifikacije, kao i IPsec konekcije i IPsec

tunele od servera do servera.

Tako je Windows Advanced Firewall promenio nain definisanja IPsec polisa iz posla

koji vas uasava u neto to ete voleti da radite.

Isprobajte ovu novu funkciju, siguran sam da e vam se svideti.


14/15

Secure Socket Tunneling Protocol (SSTP)

Jo jedno veliko unapreenje u Windows Server-u 2008 je centralizovano upravljanjeQoS polisama kroz grupne polise (Group Policy). Prethodne verzije Windows-a su

posedovale QoS funkciju, ali poto ona nije bila zasnovana na standardima, jako malo

ljudi je uopte koristilo. Windows Server 2008 je ovo promenio tako to je uveo novuQoS funkciju koja je zasnovana na polisama, koju ete moi odmah da ponete da

koristite.

Postoje dva naina na koje moete da implementirate QoS polise moete da tvrdo

kodirate throughput vrednosti ili moete da iskoristite Differentiated Services Code Point(DSCP) vrednosti koje su konfigurisane na vaem mrenom ruteru. DSCP je standardni

industrijski metod za implementiranje QoS-a u korporativnim mreama. Meutim, ak i

ako nemate DSCP osposobljeni ruter, ili ak i ako ne koristite DSCP, vi i dalje moete dapodesite polise tako da lokalni hostovi sprovode kontrolu protoka u TCP ili UDP

portovima, ili u specifinim aplikacijama.

Vi moete da izaberete na koje hostove e ova polisa biti primenjena. Na primer, moda

neete eleti da smanjite protok na vaem SMTP serveru, ali ete moda eleti da

ograniite SMTP saobraaj hostova u vaoj mrei. Na taj nain, moete da kontrolietekoliko e spemom inficiran raunar moi da poalje podataka pre nego to ustanovite da

se maina eksploatie.


15/15

Zakljuak

Windows Sever 2008 sadri stotine novih mogunosti i funkcija, i svaka od njih moe dapredstavlja vrednu nadgradnju za vau organizaciju. U ovim lancima mi smo se

fokusirali samo na manji deo novih i pobojanih funkcija za koje mi mislimo da su one

zbog kojih najvie vredi da nadgradite na Windows Server 2008.

Za jo vie informacija o Windows Server-u 2008 i kompletnijem listingu novih i

poboljanih funkcija, idite na Windows Server 2008 Technical Library.

windows server 2008

Documents