windows server 2008
DESCRIPTION
predstavljamo windows server 2008TRANSCRIPT
-
5/28/2018 Windows Server 2008
1/15
-
5/28/2018 Windows Server 2008
2/15
Top 10 razloga da preete na njega
Prolo je mnogo vremena od kada smo videli novu verziju Windows Server-a. Teko je
poverovati da je prolo pet godina od kada je izaao Windows Server 2003. E pa ove
godine moemo da prestanemo da ekamo. Windows Server 2008 je zvanino izaaoovog meseca i sada imamo pristup svim njegovim elementima. Prolo je mnogo vremena
i Microsoft je uloio jako mnogo truda i rada u Windows Server 2008 kako bi bio najbolji
do sada.
Napravljeno je hiljade izmena u Windows Server-u 2008 u poreenju sa Windows
Server-om 2003. Neke su veoma male, ali neke su veoma velike i znaajne. Ali pitanjekoje svi postavljaju je ta to Windows Server 2008 nudi da vredi nadgraditi na njega?
Odgovor na ovo pitanje e biti glavna tema ove serije kratkih lanaka.
Postoji suvie mnogo izmena i poboljanja u Windows Server-u 2008 da bi mogla sva da
se pokriju u jednom lanku, zato emo izlaganje podeliti na nekoliko kraih lanaka. Uovim lancima fokusiraemo se samo na funkcije i mogunosti za koje mi mislimo da su
one zbog kojih vredi nadgraditi na Windows Server 2008.
Mnogi e pomisliti da sam izostavio neke vane stvari u ovom opisu mogunostiWindows Server-a 2008 i bie u pravu, jer nisu svima bitne iste stvari. Zato u ja ovde
govoriti samo o velikim izmenama za koje se ja nadam da e usreiti veinu korisnika.
Sledi lista novosti i pobljanja kojima emo se baviti u ovim lancima o Windows
Server-u 2008 jer mislimo da e one biti najzaslunije za prelazak korisnika sa Windows
Server-a 2003 na Windows Server 2008.
Server Manager i Advanced Event Viewer Server Core Terminal Services Gateway Terminal Services RemoteApps Izvorna podrka za IPv6 Read Only kontroleri domena Hyper-V
-
5/28/2018 Windows Server 2008
3/15
Network Access Protection (NAP) Secure Sockets Tunneling Protocol (SSTP) Windows Advanced Firewall QoS zasnovan na polisama
-
5/28/2018 Windows Server 2008
4/15
Server Manager i napredni Event Viewer
Windows Server 2008 poseduje potpuno novi interfejs za upravljanje poznat pod imenomServer Manager. Server Manager je jedino mesto koje e vam trebati za konfigurisanje,
upravljanje i praenje servera. On nije kao menaderi servera koje ste koristili u prolosti;
ovaj stvarno radi i njega ete definitivno koristiti svaki dan za upravljanje WindowsServer 2008 raunarima.
U Server Manager, vi moete da instalirate Server Roles-ove (kao to je DNS, DHCP,Active Directory) i Role servise (kao to je Terminal Services Gateway i RRAS). Kada
instalirate Server Roles-ove (serverske uloge) i Role Services-e (servise uloga), MMCkonzole za ove servise se instaliraju u Server Manager-u. Vie ne treba da kreirate
sopstvene MMC-ove!
Server Manager takoe moe da se pohvali sa novim Event Viewer-om. Ovo nije Event
Viewer vaeg oca koji poseduje samo System, Security i Application nodove. Windows
Server 2008 Event Viewer vam obezbeuje logove dogaaja koje moete da koristite. Tusu standardni Windows Event Log-ovi: Application, Security i System. Ali sada imate
mogunost da vidite dogaaje za sve aplikacije i servise instalirane na raunaru. Pored
toga, vi moete da kreirate Custom View-ove Event Log-ova, tako da moete da kreirate
sopstvene kontejnere za dogaaje na osnovu filtera koje izaberete.
Jedna od novih Event Log funkcija koja mi se svia je mogunost da se prijavite za
dogaaje na drugim mainama u mrei. To vam omoguuje da skupljate Event Logpodatke sa drugih maina, na osnovu filtera koje ste obezbedili. Na taj nain, vi moete
da konfiguriete filtere za kritine dogaaje na najvanijim serverima u vaoj mrei. Iako
mu nedostaje prefinjenost kompletnog reenja za nadgledanje kao to je System Center
Operations Manager, ovo je veoma dobro reenje za nadgledanje za one kompanije kojene ele da plate za mogunosti koje nudi SCOM.
-
5/28/2018 Windows Server 2008
5/15
Server Core
Windows Server 2008 moe da se instalira na dva naina: kompletna instalacija full ilisamo jezgro servera. Server Core instalacija instalira podset binarnih fajlova koji su
neophodni da bi jezgro operativnog sistema radilo. Nikakvi opcioni servisi se ne
instaliraju niti se aktiviraju. Nema korisnikog interfejsa osim komandne linije. Nemakoljke Windows Explorer-a i celokupna konfiguracija mora da se uradi lokalno u
komandnoj liniji, ili udaljeno pomou MMC konzole ili nove Windows Remote Shell
(WinRS) aplikacije za udaljeno upravljanje (slino SSH-u).
Cilj jezgra servera nije da bude tei za upravljanje (mada upravljanje jeste tee uodreenom stepenu jer se mnogi zadaci moraju obavljati iz komandne linije i ne mogu da
se urade udaljeno preko MMC konzole). Pravi cilj Server Core-e je da se redukuje
povrina za napad i da se smanji broj auriranja servera. Poto veina bezbednosnihauriranja Windows-a obino ukljuuje servise i aplikacije koje ni ne koristite (kao to je
Windows Media Player ili Internet Explorer) na serveru, vi onda ni ne morate da
aurirate ove komponente. A zahvaljujui znatno smanjenom broju servisa i aplikacijakoji rade na jezgru servera, povrina koja moe da se napadne je znaajno smanjena.
Jezgro servera pokree ogranieni broj uloga servera (Server Roles), to znai da morateda se postarate da je uloga servera koja vas interesuje podrana od strane instalacije
jezgra servera. Takoe, neke od uloga servera nisu u celosti podrane, kao to je Web
Server uloga. Server Core ne podrava .NET upravljani kod, i zbog toga neete moi dakoristite IIS konzolu kao udaljeni MMC. Ovo izaziva ozbiljne upravljake glavobolje
zato to IIS konfiguracija na maini jezgra servera mora da se uradi u komandnoj liniji
pomou appcmd.exe-e. Ako ste administrator Apache-a, biete jako sretni. Ako ste
povremeni administrator IIS-a, verovatno ete eleti da priekate na unapreenja u radu
sa jezgrom servera.
Server Core je definitivno korak u dobrom smeru. Meutim, u ovom trenutku treba ga
posmatrati kao 1.0 izdanje. Sigurni smo da je cilj Server Core-a da se smanji povrina zanapade i smanji potreba za auriranjem, a ne da se njime teko upravlja. Oekujemo da e
sledea auriranja Windows Server-a 2008 omoguiti lake auriranje i tako ispuniti
svaija oekivanja.
-
5/28/2018 Windows Server 2008
6/15
Terminal Services Gateway
Jedna od prepreka za potpuno anagaovanje Terminal Services za udaljeni pristupkorisnika je bila injenica da veliki broj administratora nije imao poverenja u sekvencu
autentifikacije i nivo ifrovanja RDP tunela. Drugi problem na koji su naili je injenica
da veliki broj firewall-ova na udaljenim lokacijama nisu dozvoljavali izlazni TCP 3389.Microsoft je reio ovaj problem tako to je predstavio Terminal Services Gateway u
Windows Server-u 2008.
Terminal Services Gateway je tip SSL VPN-a, na isti nain na koji je RPC/HTTP za
Outlook-ov pristup ka Exchange Server-u SSL VPN. SSL VPN tip je onaj od proksijaprotokola aplikacije. Terminal Services Gateway radi sa RDP 6.0+ klijentom kako bi
omoguio inkapsulirane RDP konekcije ka TS Gateway raunarima.
RDP klijent u stvari inkapsulira RDP protokol u dva druga protokola. Prvo, RDP
protokol se inkapsulira u RPC zaglavlje, a onda se inkapsulira drugi put pomou
ifrovanog HTTP zaglavlja (SSL). Protokol koji se koristi za konektovanje sa TSGateway-om je u stvari RDP/RPC/HTTP. Microsoft je najverovatnije ovo uradio kako bi
mogao da koristi postojei RPC/HTTP kod koji su veimali za svoj RPC/HTTP proksi.
Kada konekcija stigne do TS Gateway maine, TS Gateway uklanja RPC i HTTPzaglavlja i prosleuje RDP konekcije ka odgovarajuem Terminal Server ili Remote
Desktop raunaru.
Connection Authorization Policy ili CAP-ovi se koriste da se odredi koji korisnici moguda pristupe resursima kroz ovaj TS Gateway raunar. Windows Server 2008 poseduje
konfiguracioni interfejs za povezivanje sertifikata sa TS Gateway sajtom kako bi bile
omoguene bezbedne SSL konekcije.
Terminal Services Gateway takoe podrava Smart Card autentifikaciju a vi takoe imateopciju da uvedete NAP klijentsku kontrolu pristupa. Terminal Services Gateway je
definitivno jedan od glavnih razloga da nadgradite na Windows Server 2008.
-
5/28/2018 Windows Server 2008
7/15
Terminal Services RemoteApps
Cilj svakog administratora zaduenog za bezbednost je da svaki korisnik ima to jemogue manje privilegija. To posebno vai za ostvarivanje konekcija na daljinu.
Administratori zadueni za bezbednost ne mogu nou da spavaju razmiljajui o
obezbeivanju potpune udaljene desktop konekcije korisnicima koji nisu administratori.Sve to je potrebno da bi neki haker stekao potpunu kontrolu nad desktop okruenjem i
kompromitovao vau mreu je otkrivanje korisnikog imena i lozinke jednog korisnika.
To je zastraujua pomisao.
Ali zar korisnicima stvarno treba potpuni pristup desktopu? Ili im treba samo pristupaplikacijama na desktopu? Najverovatnije im treba samo pristup aplikacijama i
podacima. U tom sluaju, Windows Server 2008 vam obezbeuje reenje koje se zove
Terminal Services RemoteApp. Terminal Services RemoteApp vam omoguava daobezbedite korisnicima pristup samo ka specifinim aplikacijama preko RDP kanala. Na
taj nain, korisnici ne mogu da izazovu probleme na itavom desktopu, a ako neki haker
otkrije podatke datog korisnika, sve toe mo
i da kontrolie je aplikacija, koja imamnogo manju povrinu koja se moe napasti nego celokupan desktop.
TS RemoteApps je veoma fleksibilan. Vi moete da kontroliete kojim aplikacijamakorisnik moe da pristupi i kako e im pristupati preko svojih sopstvenih raunara. TS
Remote Apps zajedno sa TS Gateway-om ine Windows Server 2008 Terminal Server
veoma privlanim za kompanije koje su zainteresovane za bezbedno RDP zasnovano
reenje za udaljeni pristup.
Pored toga, aktiviranje i podeavanje TS RemoteApps-a je veoma lako i trebae vam
samo nekoliko minuta.
Pa ta biste jo mogli da poelite pored ovoga?!
-
5/28/2018 Windows Server 2008
8/15
Izvorna podrka za IPv6
Windows Server 2008 je prva verzija Windows Server-a koja ima izvornu podrku zaIPv6 kao deo IP steka. U prethodnim verzijama Windows-a pre Viste, IPv6 podrka je
bila raena paralelno sa IPv4, i nije postojala integrisana podrka za IPv6 koja bi bila
ukljuena u mreu infrastukture servisa kao to je DNS i DHCP. To vie nije sluaj i sadaje IPv6 utkan u mreni stek Windows Server-a 2008 i servise infrastrukture.
Poto Windows Server 2008 DNS sada podrava IPv6, vi moete da kreirate Quad A
(AAAA) izvetaje a moete da kreirate i IPv6 reverse lookup zone.
DHCP servis je takoe auriran tako da podrava IPv6. Vi moete da konfiguriete
mrene interfejse da koriste statine IPv6 adrese, ili mogu da koriste DHCP kako bi
pribavile informacije o IP adresama.
Windows Server 2008 RRAS serveri koji se ponaaju kao ruteri mogu da se konfiguriu
kao IPv6 ruteri i obezbeuju informacije u porukama rutiranja u zavisnosti od toga kojegsu prefiksa informacije koje koristi klijent, i da li treba ili ne treba da koriste informacije
adresiranja od DHCP servera.
Windows Server 2008 takoe podrava IPv6 tranzicione tehnologije, kao to su ISATAP,
6to4 i Teredo. Bilo koji Windows Server 2008 raunar moe da se konfigurie kao
ISATAP ruter pomou Netsh interfejsa komandne linije.
-
5/28/2018 Windows Server 2008
9/15
Read Only Domain Controller
Sa razvojem kancelarijskih ogranaka u mnogim organizacijama, mnogi su shvatili dapostoji problem vezan za autentifikaciju. Ogranci firmi obino dobijaju kontroler domena
preko kojeg se korisnici mogu autentifikovati u lokalnom DC-u umesto da moraju da idu
na spori, ili ak srueni, WAN link, koji moe da dovede do greaka ili blokiranjaautentifikacije i nemogunosti da pristupite ak i lokalnim resursima.
Reenje je bilo da se postave kontroleri domena u kancelarijskim ograncima. Iako je ovoreilo inicijalni problem autentifikacije, javili su se bezbednsoni problemi. Poto veina
ogranaka kancelarija nema isti nivo IT strunosti kao glavna kancelarija, a svakakonemaju isti nivo fizike bezbednosti, kontroleri domena ogranaka kancelarija postaju
veoma slabe take u itavoj Active Directory infrastrukturi. Promene koje napravi
nestruan korisnik u ogranku kancelarija moe da ima efekte na itavu organizaciju i akoneko ukrade DC u ogranku kancelarije, to potencijalno moe da kompromituje sve naloge
u organizaciji.
Reenje Windows Server-a 2008 je Read Only Domain Controller (RODC). RODC
sadri read only kopiju Active Directory baze podataka i jedine informacije o nalozima
koje se skladite u RODC-u su za naloge u ogranku kancelarije. Poto se nikakve izmeneu Active Directory-ju ne mogu napraviti u RODC-u, ne postoji bojazan da e nestruni
korisnik napraviti nepopravljivu tetu u Active Directory-u. I poto obino nema
administrativnih korisnika u ograncima kancelarija, postoji relativno mali rizik da eRODC u ograncima kancelarija posedovati naloge administratora koji se mogu
kompromitovati u sluaju krae RODC-a.
RODC-ovi se takoe mogu konfigurisati da keiraju samo odreene naloge. I u sluaju da
se RODC ukrade, lista keiranih korisnikih naloga na RODC-u je dostupna krozadministraciju Active Directory-ja u glavnoj kancelariji. To omoguuje administratoru
Active Directory-ja da iskljui ili resetuje prava pristupa ovih naloga iz glavne
kancelarije.
-
5/28/2018 Windows Server 2008
10/15
Hyper-V
Hyper-V je hipervizor Windows Server-a 2008 koji vam omoguuje da pokreetevirtualne maine na Windows Server 2008 raunarima. Hyper-V zamenjuje Virtual
Server 2005 i sada je integralni deo operativnog sistema, koji dobijate kao deo paketa.
Krajnji delovi Hyper-V-a nisu jo dostupni, zato emo se u ovom trenutku uzdrati od
konanih zakljuaka vezanih za Hyper-V. Ali, sudei po onome to smo do sada videli,
mi smo veoma impresionirani onim to su uradili sa virtualizacijom Windows Server-a
2008.
Ako traite reenje za virtualizaciju koje vas nee kotati ni dinara, onda treba samo da
nadgradite raunar na Windows Server 2008 i neete pogreiti.
-
5/28/2018 Windows Server 2008
11/15
Network Access Protection (NAP)
Network Access Protection vam omoguuje da kontroliete pristup sa svih raunara kojisu konektovani u vau mreu. Prema Microsoft-u, Network Access Protection (NAP) nije
toliko bezbednosna metodologija koliko je mehanizam namenjen ouvanju zdravlja
klijenta. NAP vam omoguuje da kreirate polise koje odreuju minimalni nivo zdravljakoji klijent mora da ima pre nego to mu se dozvoli da se konektuje na drugi naraunar u
mrei.
NAP zavisi od infrastrukture Windows Server-a 2008. Trebae vam Windows Server
2008 Network Policy Server za skladitenje vaih polisa zdravlja. Postoji nekoliko nainana koje moete da kontroliete pristup u mrei: IPsec restrikcije, DHCP restrikcije, 801.x
restrikcije i VPN restrikcije. Hostovima koji ne ispunjavaju zahteve za bezbednom
konfiguracijom se zabranjuje pristup u mree koje koriste bilo koji od ovih metoda.
Meutim, NAP vam dozvoljava da kreirate mree u karantinu na koje klijenti koji ne
ispunjavaju bezbednosne zahteve mogu da se konektuju kako bi se "izleili". im softverNAP klijenta detektuje da raunar ispunjava bezbednosne zahteve, on e poslati
informaciju komponenti NAP servera koja e informisati NAP klijenta da sada moe da
se konektuje na mreu.
NAP je izuzetno moan metod za kontrolu pristupa u vaoj mrei, i on je ono to smo
ekali od kada je najavljen daleke 2003. godine, i poetkom 2004. Iako ekanje od pet
godina da se NAP pojavi izgleda dugo, mogu slobodno da kaem da se isplatilo.Administratori velikog broja mrea smatraju da je NAP glavni razlog za nadgranju na
Windows Server 2008.
Teko da postoje ikakvi argumenti pomou kojih bi mogao da opovrgnem miljenje ovihadministratora.
Secure Socket Tunneling Protocol (SSTP) je pravi SSL VPN. Pod terminom pravi SSLVPN mislim na to da SSTP obezbeuje potpuni mreni VPN pristup ka korporativnim
mreama, na isti nain na koji to obezbeuju PPTP i L2TP/IPSec protokoli. Meutim,prednost SSTP-a je to to za razliku od PPTP i L2TP/IPSec protokola, vi ne morate da
brinete o firewall-ovima koji blokiraju spoljanji pristup ka SSTP konekcijama.
SSTP je u sutini PPP/SSL. Poto su PPP konekcije ubaene u bezbedno HTTP zaglavlje
(SSL), SSTP moe da proe kroz bilo koji firewall ili Web proksi ureaj koji dozvoljava
SSL ka spolja.
Vie neete morati da reavate probleme korisnika u hotelima i konferencijskim salama
koji se ale na to da im firewall-ovi na njihovim lokacijama ne dozvoljavaju da VPN-uju
u mreu.
Jo jedna lepa stvar u vezi SSTP-a je to to ne morate da dozvolite pristup ka napolje
SSTP konekcijama samo zato to ste dozvolili spoljanje SSL-ove. Postoji vrednost u
-
5/28/2018 Windows Server 2008
12/15
CONNECT zaglavlju koje moete da konfiguriete na vaem ISA Firewall-u koje vam
omoguava da blokirate SSTP konekcije i dozvolite ostale SSL konekcije.
SSTP e vam znatno olakati udaljeni pristup ka VPN konekcijama.
Samo ovaj SSTP pristup je dovoljan razlog da nadgradite na Windows Server 2008.
-
5/28/2018 Windows Server 2008
13/15
Windows Advanced Firewall
Windows Vista korisnici e u ovom naslovu prepoznati Windows Advanced Firewall.Sada u Windows Server-u 2008 dobijate istu onu funkciju koja vepostoji u Visti. Ono
to je jo bolje je da vi sada moete da koristite grupne polise (Group Policy) u Windows
Server 2008 centralizovanom upravljanju sa Windows Advanced Firewall-om. Ako joniste koristili Vistin firewall, biete prijatno iznenaeni ovom novom funkcijom
Windows Servera 2008.
Windows Advanced Firewall koji dolazi sa Vistom i Windows Server-om 2008 vam
omoguuje da fino podesite kontrole spoljanjeg i unutranjeg pristupa. Kontrolespoljanjeg pristupa su bile nedostajui deliu Windows XP firewall-u. Sada vi imate
kontrolu nad spoljanjim konekcijama, tako da ako detektujete u vaem firewall-u da su
hostovi inficirani virusima ili crvima koji napadaju odreene portove ili kolekcije
portova, vi moete iz centra da blokirate svakog hosta zahvaljujui grupnim polisama.
Da bi vam rad sa novom funkcijom bio jo laki, Windows Server 2008 dolazi sa novimInbound Rule Wizard-om. Ovaj arobnjak, kojeg moete da koristite preko Group Policy
Management konzole, vam omoguuje da veoma lako konfiguriete unutranja pravila.
Postoji i Outbound Rule Wizard koji vam omoguuje da blokirate spoljanje konekcije.Vi moete da kontroliete UDP ili TCP portove, kao i ICMP tipove poruka, ili moete da
blokirate aplikaciju po aplikaciju.
Jedna od najimpresivnijih karakteristika Windows Firewall-a je to koliko supojednostavljene IPsec polise. U prolosti, podeavanje IPsec polisa se svodilo na
pokuaje i pogreke. Vi ste prolazili kroz opcije arobnjaka i mogli ste samo da se nadate
da ste sve dobro podesili.
To vie nije sluaj sa Windows Advanced Firewall-om, jer sada imate na raspolaganjuNew Connection Security Rule Wizard-a, koji omoguava lako kreiranje IPsec polisa za
izolovanje domena, polise za izuzetke od autentifikacije, kao i IPsec konekcije i IPsec
tunele od servera do servera.
Tako je Windows Advanced Firewall promenio nain definisanja IPsec polisa iz posla
koji vas uasava u neto to ete voleti da radite.
Isprobajte ovu novu funkciju, siguran sam da e vam se svideti.
-
5/28/2018 Windows Server 2008
14/15
Secure Socket Tunneling Protocol (SSTP)
Jo jedno veliko unapreenje u Windows Server-u 2008 je centralizovano upravljanjeQoS polisama kroz grupne polise (Group Policy). Prethodne verzije Windows-a su
posedovale QoS funkciju, ali poto ona nije bila zasnovana na standardima, jako malo
ljudi je uopte koristilo. Windows Server 2008 je ovo promenio tako to je uveo novuQoS funkciju koja je zasnovana na polisama, koju ete moi odmah da ponete da
koristite.
Postoje dva naina na koje moete da implementirate QoS polise moete da tvrdo
kodirate throughput vrednosti ili moete da iskoristite Differentiated Services Code Point(DSCP) vrednosti koje su konfigurisane na vaem mrenom ruteru. DSCP je standardni
industrijski metod za implementiranje QoS-a u korporativnim mreama. Meutim, ak i
ako nemate DSCP osposobljeni ruter, ili ak i ako ne koristite DSCP, vi i dalje moete dapodesite polise tako da lokalni hostovi sprovode kontrolu protoka u TCP ili UDP
portovima, ili u specifinim aplikacijama.
Vi moete da izaberete na koje hostove e ova polisa biti primenjena. Na primer, moda
neete eleti da smanjite protok na vaem SMTP serveru, ali ete moda eleti da
ograniite SMTP saobraaj hostova u vaoj mrei. Na taj nain, moete da kontrolietekoliko e spemom inficiran raunar moi da poalje podataka pre nego to ustanovite da
se maina eksploatie.
-
5/28/2018 Windows Server 2008
15/15
Zakljuak
Windows Sever 2008 sadri stotine novih mogunosti i funkcija, i svaka od njih moe dapredstavlja vrednu nadgradnju za vau organizaciju. U ovim lancima mi smo se
fokusirali samo na manji deo novih i pobojanih funkcija za koje mi mislimo da su one
zbog kojih najvie vredi da nadgradite na Windows Server 2008.
Za jo vie informacija o Windows Server-u 2008 i kompletnijem listingu novih i
poboljanih funkcija, idite na Windows Server 2008 Technical Library.