Introduktion til Windows Server 2016

Transkript

1 1 Introduktion til Windows Server 2016 Introduktion til Windows Server 2016 Introduktion Windows Server er et server operativsystem fra Microsoft. Windows Server bruges til at levere serverorienterede tjenester, så som fildeling, styring af brugere, styring af ressourcer og applikationer, sikkerhed, autorisation og mange andre server tjenester. Windows Server inkluderer punktioner så som Active Directory, DNS Server, DHCP Server, Group Policy, Webserver og mange andre funktioner. Windows Server 2016 er efterfølgeren til Windows 2003/2008/2008r2/2012. Windows 2016 laves kun til 64 bit processorer og fås kun i 2 versioner Standard og Datacenter. Den eneste forskel er antallet af virtuelle maskiner man kan køre. Man kan køre op til to Virtuelle Maskiner på to processorer med en Standard Edition. Begge versioner af 2016 kan installeres uden GUI (Graphical User Interface), dette kaldes Server Core versionen og er uden grafisk brugerflade hvilket reducerer hardware behovet og får systemet til at arbejde hurtigere. Desuden er systemet mere beskyttet, idet mange angreb på operativsystemer sker via den grafiske brugerflade. Versionen med grafisk brugerflade kalder Server with Desktop Experience. Den har en grafisk brugerflade som Windows 10. De 2/4 installationer leveres på samme DVD/ISO fil og man vælger selv under installationen hvilken af de 2/4 typer der skal installeres. Hardware krav Der er følgende krav til den hardware som Windows server 2016 skal installeres på: Enhed Krav Processor Minimum: 1.4 GHz (x64 processor) Memory Minimum: 512 MB RAM (2 GBytes for Server with Desktop Experience) Disk plads Minimum: 32 GB eller større Bemærk: Computere med mere end 16 GB RAM har behov for mere disk plads til Paging (bruger harddisk som RAM), Hibernation (dvaletilstand hvor indholdet af RAM hukommelsen gemmes på harddisken før der slukkes) og dump filer. Fortsættes på næste side 01 Introduktion til Windows Frede Haahr TEC

2 Introduktion til Windows Server Specifikationer Standard Datacenter Processor 64 bit 64 bit Memory max 4 TB 4 TB Antal brugere Ubegrænset Ubegrænset Antal File Services Ubegrænset Ubegrænset Virtualization rights 2 VMs Ubegrænset DHCP rolle Ja Ja DNS server rolle Ja Ja Fax server rolle Ja Ja Print and Document Services Ja Ja Web Services Ja Ja Windows Deployment Services Ja Ja Windows Server Update Services Ja Ja Active Directory Lightweight Directory Services Ja Ja Active Directory Rights Management Services Ja Ja Application server rolle Ja Ja Server Manager Ja Ja Windows Powershell Ja Ja Active Directory Domain Services Ja Ja Active Directory Certificate Services Ja Ja Active Directory Federation Services Ja Ja Server Core mode Ja Ja Hyper-V Ja Ja TEC 01 Introduktion til Windows Frede Haahr

3 01 Introduktion til Windows Frede Haahr TEC 3 Introduktion til Windows Server 2012

4 1 Virtualiseringsteknologier og Hyper-V Virtualiseringsteknologier og Hyper-V Introduktion til virtualiseringsteknologier Virtualisering er en af de teknologier inden for IT branchen som virkeligt har bidt sig fast inden for de sidste 15 år og det er ikke tilfældigt. Der er nemlig mange penge at spare på hardware (ved at samle mange virtuelle servere i en fysisk server) og på strømforbruget. Desuden er der naturligvis også miljøbelastning som bliver meget mindre. Uden virtualisering For at forstå moderne virtualisering, så tænk først om et system uden. Forestil dig for eksempel at køre et program som Microsoft Word på en computer (se billede herunder). Operating System Hardware Physical Machine Application Programmet er installeret og kører direkte på operativsystemet, hvilket igen kører direkte på computerens hardware. Programmets brugergrænseflade præsenteres via et display, der er direkte knyttet til denne maskine. 02 Virtualiseringsteknologier og Hyper-V Frede Haahr TEC

5 Virtualiseringsteknologier og Hyper-V 2 Hardware virtualisering I dag betyder ordet "virtualisering" for de fleste IT personer noget med at køre flere operativsystemer på en enkelt fysisk maskine. Dette er hardware virtualisering, og selv om det ikke er den eneste virtualiserings type, er det uden tvivl den mest kendte i dag. Den centrale idé i hardware virtualisering er enkel: Man bruger software til at skabe en virtuel maskine (VM), der emulerer en fysisk computer. På billedet herunder kan man se hvordan der er startet flere VM er med hver deres operativsystem på en enkelt fysisk maskine. Operating System 1 Operating System 2... Hardware Virtualization Hardware Physical Machine Application Virtual Machine Hyper-V Det grundlæggende problem i hardware virtualisering er at skabe virtuelle maskiner i software. Den mest effektive måde at gøre dette på er at basere sig på et tyndt lag af software, der kaldes en Hypervisor og kører den direkte på hardwaren. Hyper-V der er en del af Windows Server 2016, Windows 10 og er Microsofts hypervisor. Hver VM Hyper-V tilbyder en helt isoleret maskine, der kører sit eget operativ system (se billede herunder). Parent Partition Child Partitions Windows Server 2016 Windows SUSE Linux 2008 Server... Hyper-V Hardware Physical Machine Application Virtual Machine Som det fremgår af billedet er VM s benævnt partitioner i Hyper-V verdenen. En af disse partitioner, forældre (parent) partitionen skal køre Windows Server 2016 eller Windows 10. Børne (child) partitionerne kan køre andre understøttede operativsystem, herunder Windows Server 2016, TEC 02 Virtualiseringsteknologier og Hyper-V Frede haahr

6 3 Virtualiseringsteknologier og Hyper-V Windows server 2012, Windows 2008, Windows Server 2003, Windows Server 2000, Windows NT 4,0, og Linux-distributioner som f.eks. SUSE Linux. Hvis du vil oprette eller administrere partitioner, kan det gøres fra Hyper-V Manager forældre partitionen. Hyper-V metoden er grundlæggende forskellig fra Microsofts tidligere server-teknologi til hardware virtualisering. Virtual Server 2005 R2, virtualiseringsteknologi bruges sammen med Windows Server 2003, kørte stort set på toppen af operativsystemet snarere end som en hypervisor. Den vigtigste forskel mellem disse to tilgange er at Windows hypervisor lader virtualisering køre på en mere effektiv måde, hvilket giver en bedre ydeevne. I Hyper-V det muligt at tildele flere CPU'er til en enkelt VM. Hyper-V giver også mulighed for VM's der har op til 64 Gigabytes hukommelse per virtuelle maskine. Hyper-V er i sig selv en 64- bit-teknologi, men den understøtter alligevel både 32-bit og 64 - bit VM'er. VM s af begge typer kan køre samtidig på en enkelt Windows Server 2016 / Windows 10 maskine. Hyper-V virtuelle og fysiske netværk Dette afsnit beskriver de grundlæggende principper for virtuelle netværk på Hyper-V og de forskellige typer af virtuelle netværk, der kan konfigureres. Før vi konfigurerer et virtuelt netværk, bør vi bestemme os for hvordan vores setup skal fungere. Du skal være opmærksom på, at Hyper-V ikke understøtter trådløse netværk. Hyper-V indeholder en Virtual Network Manager som er ansvarlig for at oprette og kontrollere virtuelle switche. Der er ingen grænse for antallet af virtuelle switche som kan oprettes, det afhænger af det virtuelle netværk der arbejdes med. For eksempel er External virtual network grundlæggende fysiske netkort, så man kan kun få det antal eksterne netværk som antallet af fysiske netkort der er i maskinen. Begrebet et virtuelt netværk er vigtigt at forstå. Et virtuelt netværk er som en switch, men i stedet for en fysisk switch, er det en virtuel switch. Alle de virtuelle maskiner, der forbindes til det samme virtuelle netværk er tilsluttet samme virtuelle switch. Hver virtuel switch er logisk isoleret fra alle andre virtuelle switche. Hvis man ønsker virtuelle maskiner der er sluttet til en virtuel switch til at kommunikere med andre virtuelle maskiner der er på en anden virtuel switch, kan man oprette en virtuel router, VPN server, firewall eller lignende dem man har på et fysisk netværk. 02 Virtualiseringsteknologier og Hyper-V Frede Haahr TEC

7 Virtualiseringsteknologier og Hyper-V 4 Ved at bruge Virtual Network Manager (tilgængelig fra Hyper-V Manager), har du tre forskellige typer af virtuelle netværk at vælge imellem: External virtual networks. Brug denne type, hvis du vil tillade virtuelle maskiner at kommunikere med eksternt placerede servere og vores fysiske maskines operativsystem. Denne type netværk gør også at de forskellige virtuelle maskiner på samme fysiske server kan kommunikere med hinanden. TEC 02 Virtualiseringsteknologier og Hyper-V Frede haahr

8 5 Virtualiseringsteknologier og Hyper-V Internal virtual networks. Brug denne type, hvis du vil tillade kommunikation mellem virtuelle maskiner på samme fysiske server og vores fysiske maskines operativsystem (via Internal Virtual Network virtual switch). Man skal her være opmærksom på at der ikke er DHCP server funktion på de virtuelle switche. Det betyder at man manuelt skal tildele IP adresse opsætning på de virtuelle maskiner og/eller opsætte en DHCP server på en af de virtuelle maskiner. Det er muligt at share (dele) den fysiske maskines netkort så de virtuelle maskiner kan få adgang til internettet via den fysiske maskines netkort. Et Internal virtual network er et virtuelt netværk, der ikke er bundet til et fysisk netkort men til en virtuel switch. Det er almindeligt brugt i testmiljøer, hvor du skal oprette forbindelse til virtuelle maskiner fra den fysiske maskines operativsystem. Internal virtual networks bruges på dette kursus. Hvor vi så deler den fysiske maskines netkort så de virtuelle maskiner kan få adgang til internettet via den fysiske maskines netkort. Private virtual networks. Brug denne type, når du kun vil tillade kommunikation mellem virtuelle maskiner på samme fysiske server. Et private virtual network er et virtuelt netværk uden et virtuelt netværkskort i den fysiske maskines operativsystem. Private virtual network er almindeligt anvendt, når du ønsker at isolere virtuelle maskiner fra netværkstrafik i den fysiske maskines operativsystem og i eksterne netværk. Men de kan være problematiske, hvis du har brug for at kopiere filer til virtuelle maskiner, da der ikke er nogen forbindelse til et fysisk netværk eller til den fysiske maskines operativsystem. 02 Virtualiseringsteknologier og Hyper-V Frede Haahr TEC

9 Virtualiseringsteknologier og Hyper-V 6 Hyper-V virtuelle og fysiske harddiske Vi kan vælge at bruge enten virtuelle eller fysiske harddiske, der er direkte knyttet til en virtuel maskine. De virtuelle harddiske gemmes i en.vhd eller.vhdx (Virtual Hard Disk) fil. Virtuelle harddiske kan have en kapacitet på op til 2 Terabytes og omfatter følgende typer: Fixed size. En fixed size virtuel harddisk er en disk, som fylder fysisk diskplads på den fysiske maskines operativsystem. Størrelsen på den virtuelle harddisk fylder den givne størrelse uanset om den virtuel maskine bruger pladsen eller ej. En fixed size virtuel harddisk tager længere tid at skabe end andre typer af diske, fordi den tildelte størrelse.vhd /.vhdx fil bestemmes, når den bliver oprettet. Denne type af virtuel harddisk giver forbedret ydeevne i forhold til andre typer, fordi fixed size virtuelle harddiske er gemt i én sammenhængende blok på den fysiske maskines operativsystem. Dynamically expanding. En dynamically expanding virtuel harddisk er en disk, hvor størrelsen på.vhd /.vhdx filen vokser som data bliver skrevet til disken. Denne type giver den mest effektive udnyttelse af diskplads da.vhd /.vhdx filen reelt ikke fylder mere end hvad vi bruger. Man skal huske at overvåge den tilgængelige diskplads på den fysiske maskine for at undgå at løbe tør. Differencing. En differencing virtuel harddisk kan rumme de forskelle der måtte være fra én virtuel harddisk til en anden. Dette giver os mulighed for at isolere ændringer i en virtuel maskine og holde en virtuel harddisk i en uændret tilstand. Differencing disk giver os mulighed for at installere f.eks. én Windows 10 maskine, gemme den som en basedisk og derefter kan vi oprette flere kørende Windows 10 maskiner som peger på vores differencing disk. Det eneste der vil blive gemt i vores nye Windows 10 maskiner er de forskelle der måtte være fra den oprindelige basedisk. En sådan basedisk, skal være read-only. Hvis den ikke er skrivebeskyttet, vil den virtuelle harddisk være ugyldig. Windows 10 basedisk Fixed size virtual harddisk (30Gb read-only) Windows 10 Differencing virtual harddisk Windows 10 Differencing virtual harddisk Fysiske diske, der er direkte knyttet til en virtuel maskine har ingen grænser for størrelsen andet end hvad der er støttet af den fysiske maskines operativsystem. TEC 02 Virtualiseringsteknologier og Hyper-V Frede haahr

10 02 Virtualiseringsteknologier og Hyper-V Frede Haahr TEC 7 Virtualiseringsteknologier og Hyper-V

11 1 Installation af Windows 2016 og Hyper-V Installation af Windows 2016 og Hyper-V Indledning PC en som vi skal arbejde på er installeret med Windows 10. Windows 10 er født med Hyper-V fra Microsofts side og det er Hyper-V vi skal bruge til at opbygge det virtuelle netværk som vi skal anvende på kurset. Grundmaskinen (Windows 10) er opsat til at anvende DHCP server så den får automatisk en IP adresse og kan gå på internettet. Maskinen skal altså kun bruges som vært for vores virtuelle netværk. Hyper-V er en rolle i Windows 10 og Windows Server 2016 som giver os de redskaber og tjenester vi har brug for, for at oprette et virtualiseret server miljø. Denne type miljø er nyttigt, fordi vi kan oprette og administrere virtuelle maskiner på en meget nem måde. Desuden kan vi køre flere operativsystemer på én fysisk computer og isolere operativsystemerne fra hinanden. I denne øvelse skal vi oprette et Internal virtuelt netværk som skal bruges af alle de maskiner vi opretter på kurset. Desuden skal I installere en Windows 2016 og konfigurere den. Installation af Hyper-V på grundmaskinen For at installerer Hyper-V på vores grundmaskine (Windows 10) udføres følgende: Klik på Start, vælg Windows System i rulle menuen og herefter Kontrolpanel dernæst Programmer og Programmer og funktioner. Her vælges Slå Windows-funktioner til eller Fra. Her sættes i flueben i Hyper-V som vist herunder på billedet. Afslut med at klikke på Ok. Hvis man ikke kan installere Hyper-V kan det skylder at det ikke er aktiveret i hardwaren på maskinen. Bemærk jeres maskiner er installeret med Hyper-V 03 installation af windows 2016 og hyper-v Frede Haahr TEC

12 Installation af Windows 2016 og Hyper-V 2 Oprettelse af Internal virtual networks Vi starter med at oprette det interne virtuelle netværk som vi skal bruge på kurset. Vi skal først have startet Hyper-V Manager. For at gøre det vælges følgende: Klik på Start, vælge Windows Administration i rulle menuen og her klikker I på Hyper-V Manager I Hyper-V Manger vælger I Virtuel switchstyring Vælg Intern og tryk på Opret virtuel switch Konfigurations opstilling for kurset Windows 10 Grundmaskine Server01 WS-1 WS Virtuel Fysisk x Switch Netkort Internettet TEC 03 installation af windows 2016 og hyper-v FH

13 3 Installation af Windows 2016 og Hyper-V For at kunne kende det virtuelle netværk giver vi det navnet: Windows 2016 kursus Virtual switch og klikker på Ok for at oprette switchen/netværket. På grundmaskinen (Windows10) er der nu oprette et nyt netkort som er Microsoft Virtual Network Switch Adaptor, altså en software switch som vi kan forbinde vores virtuelle maskiner til. For at se det skal man vælge: Start Kontrol panelet og vælg Netværk og Internet > Netværk og delingscenter > Rediger indstillinger for netværkskort > højre klik på Windows 2016 kursus virtual switch og vælg status og derefter Detaljer 03 installation af windows 2016 og hyper-v Frede Haahr TEC

14 Installation af Windows 2016 og Hyper-V 4 Deling af internet forbindelsen på den fysiske maskine/netkort For at de virtuelle maskiner kan få adgang til internettet skal det fysiske netkort på den fysiske maskine deles (share). For at opsætte det vælges følgende menu: Start Kontrol panelet og vælg Netværk og Internet > Netværk og delingscenter > Rediger indstillinger for netværkskort Højreklik på Ethernet for det fysiske netkort og vælg Egenskaber. Under fanen Deling sættes flueben i Tillad andre brugere på netværket at oprette forbindelse gennem denne computers internetforbindelse og vælg OK. Fjern fluebenet i Tillad andre brugere på netværket at kontrollerer eller de aktivere den delte internetforbindelse. Fortsættes på næste side TEC 03 installation af windows 2016 og hyper-v FH

15 5 Installation af Windows 2016 og Hyper-V På den virtuelle switch (Windows 2016 kursus virtual switch) opsættes IP adressen: med netmasken og det bliver dermed gateway for de virtuelle maskiner. Højre klik vethernet, vælg Egenskaber og klik på TCP/IPv4 (Internet Protocol V 4) og vælg Egenskaber. Her indtastes IP adressen og netmasken ( og ) som vist på billedet. Afslut med at trykke på Ok 2 gange og luk vindue til netværksforbindelser. Fortsættes på næste side 03 installation af windows 2016 og hyper-v Frede Haahr TEC

16 Installation af Windows 2016 og Hyper-V 6 Oprettelse af virtuel Windows 2012 maskine Vi kan nu begynde at oprette en virtuel maskine og installere et styresystem på den. Før du opretter den virtuelle maskine, kan det være klogt at overveje følgende spørgsmål, som du vil blive stillet i den guide (wizard) der bruges. Er installationsmediet til rådighed for det operativsystem du vil installere på den virtuelle maskine? Du kan bruge fysiske medier eller en ISO-fil. Den metode du bruger bestemmer hvordan du skal konfigurere den virtuelle maskine. Hvor meget hukommelse vil du afsætte til den virtuelle maskine? Hvor vil du gemme den virtuelle maskine, og hvad vil du kalde den? Når vi har svaret på ovenstående spørgsmål kan vi gå i gang med at oprette den første virtuelle maskine. 1. I Hyper-V Manager vælges Ny, og klik derefter på Virtuel Maskine. 2. Fra Guiden Ny virtuel maskine klik på Næste. På Angiv navn og placering siden angiver vi navnet på den virtuelle maskine og hvor vi vil gemme den. Vi giver maskinen navnet Server01 og gemmer den i mappen C:\Hyper-V\ som vist på billedet. TEC 03 installation af windows 2016 og hyper-v FH

17 7 Installation af Windows 2016 og Hyper-V 3. På Angiv generation vælger vi Generation 1 så Hyper-V understøtter virtuel hardware i alle tidligere versioner af Hyper-V. Generation 2 understøtter den seneste firmware-brugergrænseflade, UEFI (Unified Extensible Firmware Interface). UEFI indeholder nye funktioner, herunder hurtigere start og forbedret sikkerhed. Det erstatter BIOS (basic input/output system). 4. På Tildel hukommelse siden angiver vi hvor meget hukommelse vi vil bruge operativsystemet som vi installerer på den virtuelle maskine. Vi vælger at bruge 2000 Mbytes. 03 installation af windows 2016 og hyper-v Frede Haahr TEC

18 Installation af Windows 2016 og Hyper-V 8 5. På Konfigurer netværk siden, tilslutter vi netværkskortet til en eksisterende virtuelt switch. Hvis vi ikke ønsker at etablere en netværksforbindelse på dette tidspunkt kan vi springe det over og gøre det senere. Vi vælger at forbinde os til Windows 2016 kursus Virtual switch som vi lige har oprettet. 6. Vi skal nu oprette en harddisk til vores virtuelle Windows 2016 server. Vi kan vælge at bruge virtuelle eller fysiske harddiske og knytte dem til en virtuel maskine. De virtuelle harddiske gemmes i en.vhdx (Virtual Hard Disk) fil. Vi vælger at oprette en 32 GBytes disk. TEC 03 installation af windows 2016 og hyper-v FH

19 9 Installation af Windows 2016 og Hyper-V 7. Vi skal nu angive hvor et eventuelt installations medie befinder sig. Vi vælger at installere fra en.iso fil som ligger på C:\Data filens har navnet (en Server 2016 iso fil): RS1_REFRESH_SERVER_EVAL_X64FRE_EN-US.ISO Afslut med at trykke på Udfør. 8. Vi har nu oprettet den virtuelle maskine og skal nu til at installere operativsystemet. For at starte den uinstallerede Server01 højre klikkes i Hyper-V på Server01 og her vælges Start. For at tilslutte sig maskinen højre klikkes igen på Server01 og nu vælges Opret forbindelse. 03 installation af windows 2016 og hyper-v Frede Haahr TEC

20 Installation af Windows 2016 og Hyper-V Herefter starter installationen og I vælger at der skal være dansk tid og dansk tastatur. Herefter klikkes på Next. 10. På næste billede vælge Install Now og installation starter. 11. På Windows setup siden vælges Windows Server 2016 Datacenter Evaluation (Desktop Experience). Denne version alle features og er med GUI det vil sige et grafisk interface. TEC 03 installation af windows 2016 og hyper-v FH

21 11 Installation af Windows 2016 og Hyper-V 12. På næste billede skal I sætte flueben i I accept the license terms og klik på Next 13. På næste billede vælges en Custom: Install windows only (advanced). 14. På næste billede vælger I at installere Windows på Drive 0 og klikke på Next. Hvorefter den egentlige installation/udpakning starter. 15. Når installationen genstarter skal I indtaste et password, brug venligst Password1 som password fordi det vil lette undervisningen hvis I har problemer. NB! Vælge følgende så maskinen ikke prøver at starte fra xxx.iso filen hver gang den starter. Medie > Dvd-drev > Skub ud fortsættes på næste side 03 installation af windows 2016 og hyper-v Frede Haahr TEC

22 Installation af Windows 2016 og Hyper-V Derefter starter den virtuelle Server (Server01) og I bliver bedt om at logge ind med password. Bemærk at Ctrl + Alt + Del i Hyper-V miljøet er ændret til Ctrl + Alt + End så man ikke logger ind/ud af grundmaskinen. Programmet Server Manager starter automatisk på serveren. Alle administrations opgaver udføres fra Server Manager. I skal nu give maskinen en fast IP adr. og Serveren navnet Server01. Dette udføres i Server Manager (se billede). Klik på Local Server og derefter på Computer name hvorefter system properties startes. Her klikes på change og navnet indtastes (Server01), afslut med klik på OK. Bemærk at maskinen skal genstartes efter dette. TEC 03 installation af windows 2016 og hyper-v FH

23 13 Installation af Windows 2016 og Hyper-V 17. Herefter skal I give maskinen en fast IP adr. I Server Manager klikes på Local Server og derefter på Ethernet IPv4 hvorefter Network Connections startes. Højre klik på Ethernet og vælg Properties. I Ethernet properties vælges Internet Protocol Version 4 og her indtastes IP adresse opsætningen Som vist på billedet. IP adr.: Netmaske: Gateway adr.: (Gateway er den virtuelle switch Windows 2016 kursus ) DNS adr.: (Serveren bliver senere til installeret med DNS server rolle) 18. Prøv fra Kommando prompten at pinge google s DNS server på adressen Hvis I kan det er der adgang til internettet. Hvis I ikke kan skal fejlen rettes før I kan fortsætte. Herefter er Serveren klar til brug! 03 installation af windows 2016 og hyper-v Frede Haahr TEC

24 Installation af Windows 2016 og Hyper-V 14 TEC 03 installation af windows 2016 og hyper-v FH

25 03 installation af windows 2016 og hyper-v Frede Haahr TEC 15 Installation af Windows 2012 og Hyper-V

26 1 Installation af Windows 10 Installation af Windows 10 Indledning I denne øvelse skal I installere Windows 10 i Hyper-V. Det kommer til at foregår næsten som i Windows 2016 installationen nu bare med Windows 10. Oprettelse af Virtuel Windows 10 maskine WS1 Udfør følgende for at oprette en ny virtuel Windows 10 maskine. 1. I Hyper-V Manager vælges Ny, og klik derefter på Virtuel Maskine. 2. På siden Inden du starter klikkes på Næste. 3. På Angiv navn og placering siden angiver vi navnet på den virtuelle maskine og hvor vi vil gemme den. Vi giver maskinen navnet WS1 og gemmer den i mappen C:\Hyper-V og herefter klikes på Næste 4. På Angiv generation siden vælges Generation 1 5. På Tildel hukommelse siden vælger vi at bruge 1024 Mbytes. 6. På Konfigurer netværk siden vælges Windows 2016 kursus Virtuelt Netværk 7. På Opret forbindelse til Virtuel HardDisk siden vælger vi at oprette en harddisk på 20 GBytes som gemmes i C:\Hyper-V\WS1\Virtual Hard Disks\ med navnet WS1.vhdx 8. Vi kan nu angive hvor et eventuelt installations medie befinder sig. Vi vælger at installere fra en.iso fil som ligger på C:\Data og har navnet: SW_DVD5_WIN_ENT_10_1607_64BIT_Danish_MLF_X ISO Afslut med at trykke på Udfør. 9. Vi har nu oprettet den virtuelle maskine og skal nu til at installere operativsystemet. For at starte den uinstallerede Windows 10 maskine WS1 højre klikkes i Hyper-V på WS1 og her vælges Start. For at tilslutte sig maskinen højre klikkes igen på WS1 og nu vælges Opret forbindelse. 10. Herefter starter installationen og I vælger at der skal være dansk tid og dansk tastatur. Herefter klikkes på Næste. 11. På billedet vælges Installer og installation starter. 12. På billedet skal I sætte flueben i Jeg accepterer licensbetingelserne og klik på Næste 04 installation af windows Frede Haahr TEC

27 Installation af Windows På næste billedet vælges: Brugerdefineret: Installer kun Windows (avanceret) installation. 14. På næste billede vælger I at installere Windows på drev 0 og klikke på Næste. Hvorefter den egentlige installation/udpakning starter. 15. Når installationen genstarter vælger I Brug Hurtigkonfiguration. 16. Herefter Fredeskal I indtaste et brugernavn (f.eks. Frede) og derefter et password, brug venligst Password1 som password fordi det vil lette undervisningen hvis I har problemer. Noter bruger navn: 17. Herefter skal I give maskinen en fast IP adr. opsætning som vist på billedet herunder. For at opsætte adressen vælges følgende: Højre klik på netværksikonet som er placeret i nederste højre hjørne på skærmen og vælg: Åbn Netværks- og delingscenteret > Forbindelser: Ethernet > Egenskaber > TCP/IPv4 (Internet protokol version 4) Egenskaber Afprøvning: Start kommando prompten og prøv at pinge google s DNS server på adressen Hvis I kan det er der adgang til internettet og I kan fortsætte. Hvis I ikke kan pinge skal fejlen findes inden I fortsætter. Fortsættes på næste side TEC 04 installation af windows Frede Haahr

28 3 Installation af Windows Herefter skal I give maskinen navnet WS1. For at gøre det vælges følgende: Klik på Start og vælg Windows System i rulle menuen og her vælges: Kontrolpanel > System og Sikkerhed > System > Skift indstillinger > Skift indstillinger > Skift herefter indtastes computernavnet WS1 som vist på billedet herunder. 19. NB! Vælg følgende så maskinen ikke prøver at starte fra xxx.iso filen hver gang den starter. Medie > Dvd-drev > Skub ud Herefter er WS1 klar til brug! Oprettelse af WS2 I skal nu oprette en ny virtuel Windows 10 maskine med navnet WS2 og give den følgende IP opsætning: IP adr.: Netmaske: Gateway adr.: DNS adr.: Prøv at pinge google s DNS server på adressen hvis I kan det er der adgang til internettet NB! Vælge følgende så maskinen ikke prøver at starte fra xxx.iso filen hver gang den starter. Medie > Dvd-drev > Skub ud Herefter er WS2 klar til brug! 04 installation af windows Frede Haahr TEC

29 Installation af Windows 10 4 TEC 04 installation af windows Frede Haahr

30 04 installation af windows Frede Haahr TEC 5 Installation af Windows 10

31 1 Windows 2016 filsystem Windows 2016 filsystem Introduktion I dette afsnit skal vi se på filsystemet i Windows Filsystemet er udvidet meget i forhold til Windows NT med bl.a. mere sikkerhed og distribueret file system. Windows 2016 understøtter 5 filsystemer ReFS (Resilient File System), NTFS 6 (NT File System), FAT 16 og 32 (File Allocation Tabel), GPT (GUID - Globally Unique IDentifier Partition Table) er en standard som beskriver partition tabellen på en fysisk harddisk. Af read only systemer understøttes CDFS (CD Rom file System), UDF (Universal Disk Format) og DVD. FAT 16/32 filsystemet: Understøtter lange filnavne (op til 255 karakterer). For hver fil gemmes der et langt og et kort filnavn (8.3 karakterer i ASCII format), dette gælder for både NTFS og FAT. FAT partitioner kan max. være på 4 Gbytes og filer på max. 2 Gbytes. FAT 32 partitioner kan max være på 32 Gbytes og filer på max 4 Gbytes. FAT mangler muligheden for opsætning af rettigheder til data og fejltolerance. NTFS (New Technology File System) er det filsystem som anvendes i Windows Af features i NTFS kan nævnes følgende: Størrelsen af filer kan teoretisk være op til 16 exabytes ( Gbytes) (Mega Giga Terra Peta Exabytes ) med et max. på 2 Terrabytes pr. partition. Hotspot fix dvs. automatisk overførsel at data fra sektorer der er dårlige til nogle der er ok. Med transaktionslogning og roolback, hvilket betyder at hvis systemet prøver at gemme en fil og fejler, så laver systemet roolback og bruger den oprindelige fil. Disk quota til begænsning af brugernes disk forbrug. Sikkerhed på fil og biblioteks niveau. Understøtter disk og fil komprimering. Kryptering af filer og biblioteker. Dynamisk disk og dynamisk volume Distribueret File System og File Replication Service 05 Windows 2016 filsystem Frede Haahr TEC

32 Windows 2016 filsystem 2 ReFS (Resilient File System)er det nye filsystem fra Microsoft som på sigt skal erstatte NTSF. ReFS kom sammen med Windows 2012 og nu i en forbedret udgave til Windows Bemærk at der ikke kan bootes fra en ReFS harddisk. Af features i ReFS (Resilient File System) kan nævnes følgende: Max. filstørrelse 18 EB (Exa bytes) Gbytes Max. volume størrelse 4,7 ZB (Zetta Bytes) GBytes Max. filnavn længde 255 Unicode tegn Max. længde på stinavn Unicode tegn Integrity-streams - ReFS bruger checksum til metadata og eventuelt til fildata, hvilket giver ReFS evnen til pålideligt at registrere data korruption. Storage Spaces integration - Når det bruges sammen med et mirror eller diske med paritet (RAID), kan ReFS automatisk reparere detekterede korrumperinger ved hjælp af den alternative kopi af dataene fra Storage Spaces. Reparationsprocesser er begge lokaliseret til korruptionsområdet og udføres online, hvilket kræver ingen nedetid i volumen. Proaktiv fejlretning - Foruden at validere data før læsning og skriving anvender ReFS en dataintegritetscanner, kendt som en skrubber. Denne scrubber scanner periodisk volumet og identificerer data fejl før de opstår og proaktivt reparere korrupte data. Sikkerhed på fil og biblioteks niveau. Dynamisk disk og dynamisk volume Distribueret File System og File Replication Service understøttelse TEC 05 Windows 2016 filsystem Frede Haahr

33 3 Windows 2016 filsystem Lager typer - Storage types Før man kan sætte harddiske op i Windows 2016 er det nødvendigt at vide lidt om de storage typer der findes. Storage opdeles i to typer Basic og Dynamic. Hvor Basic er som i DOS og ældre Windows typer, hvorimod Dynamic kun findes i Windows En fysisk disk kan enten være opsat som Basic eller Dynamic disk og kun en af delene på samme tid. Basic storage I Basic storage opdeler man en harddisk i partitioner. En partition kan omfatte en hel disk eller en del af en disk og den fungerer som en selvstændig enhed. Der kan på en disk laves 4 primære partitioner dvs. partitioner der kan bootes (startes) fra og hver partition tildeles et drev bogstav. En aktiv partition er den partition som Pc en undersøger for boot filer og starter dem hvis de er på partitionen. En primær partition kan opdeles i flere extendede partitioner som tildeles logiske drev. I Windows 2016 er alle diske Basic Storage som standard, indtil de eventuelt konverteres til Dynamic disks. Et fysisk drev med 4 primære partitioner Drev C Drev D Drev E Drev F Basic storage Dynamic storage En disk som opsættes til Dynamic storage kaldes en Dynamic disk. Dynamic diske opdeles i volumer, i modsætning til Basic diske som opdeles i partitioner. For at oprette en Dynamic disk oprettes en Basic disk med en partition på hele harddisken, hvorefter disken konverteres til en dynamisk disk. Dynamic volumes har nogle helt klare fordele f.eks kan de ændres i kapacitet uden at omformatere dem og de kan udvides med flere diske, uden at genstarte maskinen. RAID (Redundant Arrays of Independet Disks) er et sikkerheds system som sikre at det er muligt at genskabe data fra en harddisk som er gået i stykker. Windows understøtter RAID 1 og 5 vha. software, men jeg vil anbefale at man anvender en hardware baseret RAID løsning. Windows Server bliver nemlig meget hårdt belastet hvis der skal genskabes data. Men til mindre netværk er det en god og billig måde at få sikkerhed på. De forskellige volume typer Dynamic disks understøtter, er forklaret i det følgende: Simple volume indeholder en eller flere data områder på een disk. Er ikke fejl tolerant. Spanned volume indeholder data områder fra flere diske - op til 32 diske. Er ikke fejl tolerant. 05 Windows 2016 filsystem Frede Haahr TEC

34 Windows 2016 filsystem 4 Stripe volume er en samling af fri områder på forskellige harddiske, disse samles så til et volume. Der kan anvendes fra 2 til 32 forskellige harddiske og diskene kan være af forskellige type fx IDE og SCSI. Denne opbygning øger hastigheden på disk systemet fordi der ikke kun skrives/læses til/fra en disk af gangen men flere. Ulemperne ved et disk stripe er at der ikke kan bootes fra det og at det ikke kan være en system partition. Er ikke fejl tolerant. Stribe volume (RAID 0) 0123, 0013, 0122, 1231, 1123, 3456, HD#1 HD#2 HD#3 HD#4 - Mirrored volume (RAID 1) systemet er blot en disk spejling (mirror/duplex), hvor to diske har det samme indhold. Denne måde er ikke særlig kapacitets venlig, idet harddisk kapaciteten reduceres til 50%. Fx 2 stk. 500 Gbytes harddiske giver 500 Gbytes plads. Fejler den ene af diskene fortsætter systemet med den anden vi siger at systemet er fejl tolerant. Mirrored volume (RAID 1) 0123, 0013, HD#1 HD# RAID 5 volume er et disk striping set med roterende paritet. Dette system gør det muligt at skrive til systemet og læse fra systemet på samme tid, det gør RAID 5 til et meget hurtigt og sikkert system. Ulemperne ved et RAID 5 system er at der ikke kan bootes fra det og at det heller ikke kan indeholde system partitionen. Der skal bruges min. 3 diske til et RAID 5 system, men man ser ofte at der anvendes 5 diske, hvilket kun giver en kapacitets reduktion på 20%. Fx 5 stk. 400 Gbytes harddiske giver 1600 Gbytes plads. Fejler en af diskene fortsætter systemet med de andre vi siger at systemet er fejl tolerant. RAID 5 volume (RAID 5) 0123, 0013, 0122, 1231, 1123, 1013, 1122, HD#1 HD#2 HD#3 HD#4 HD#5 Paritet TEC 05 Windows 2016 filsystem Frede Haahr

35 5 Windows 2016 filsystem Opsætning af diske Før man kan anvende en harddisk skal den partitioneres og formateres. En partition er en del af en disk og den fungerer som en selvstændig enhed. Der kan på en disk laves primære partitioner dvs. partitioner der kan bootes (startes) fra og hver partition tildeles et drev bogstav. En primær partition kan opdeles i flere logiske / extendede partitioner. At formatere en partition, en disk eller et volume betyder at man lægger et filsystem på som f.eks ReFS eller NTFS. Til at oprette/ændre disk partitioner og volumer anvendes programmet Disk Management under Computer Management. Disk Management mappen hvor man kan styre alle diske Oprettelse af partition For at oprette en partition højre klikkes på et tomt område (Unallocated) og i menuen vælges New Simple Volume (se billede). Herefter guides man gennem valg af: størrelse, drev bogstav, filsystem (NTFS), volume navn og aktivering af fil/biblioteks kompression. Højre klikker man på en partition der er oprettet kan man ændre drev bogstav, filsystem, volume navn mv. Oprettelse af Dynamic volume For at oprette et Dynamic volume skal et eller flere fysiske drev opgraderes til Dynamic storage. For at gøre det højre klikes på det fysiske drev som skal anvendes og i menuen vælges Convert to Dynamic Disk (se billede). Når man herefter højre klikker på et tomt område (Unallocated) på den Dynamic disk man har oprettet vises menuen Create Volume, hvor det er muligt at oprette følgende: Simple, Spanned, Striped, Mirrored og RAID 5 volumes. 05 Windows 2016 filsystem Frede Haahr TEC

36 Windows 2016 filsystem 6 Volume properties (egenskaber) For at se eller ændre et volume s properties højre klikkes på Volumet og vælge Properties. Herunder er de enkelte faner i Properties forklaret: Fane General Tools Hardware Sharing Security Quota Beskrivelse Her vises volume label (kan rettes), disk type, fil system og hvor meget plads der er brugt og hvor meget der er frit. På NTFS volumer kan man komprimere data på drevet og tillade Indexing service, så fil søgning sker hurtigere. Under denne fane gives der mulighed for at lave fejl check, backup og defragmentering af drevet. Her kan man undersøge rettighederne på de fysiske diske som er installeret på systemet og fejlfinde på dem. Her kan man share volumet på nettet og opsætte share permisssions (rettigheder). Her kan man opsætte NTFS permisssions (rettigheder) hvis fil systemet er NTFS/ReFS. Her kan man sætte disk quota for brugerne dvs. max disk forbrug på volumet. Se yderlig beskrivelse på næste side. TEC 05 Windows 2016 filsystem Frede Haahr

37 7 Windows 2016 filsystem Disk Quota Disk quota blev indført i Windows 2000 og betyder at man kan begrænse brugernes plads forbrug på disken. For at se/ændre i disk quota opsætningen vælges Quota fanen under Properties for volumet. For at aktivere disk quota sættes et flue ben i Enable quota management. Herefter kan man så opsætte hvor meget plads brugerne må anvende (se eks. 3 GB) og hvornår de skal advares om hvor meget plads de har tilbage (se eks. 2GB). Man kan også opsætte quota så der ikke er plads begrænsning, formålet med det kan være at man gerne vil undersøge hvor meget plads den enkelte bruger anvender. Her er også mulighed for at logge (opsamle) når en bruger ikke har mere plads eller advares om at der ikke er ret meget plads tilbage. Klikker man på knappen Quota Entries kan man se hvor meget plads den enkelte bruger anvender og eventuelt rette hvor meget plads brugeren må anvende. Hvis man ønsker at få en mere detaljeret styring anvendes File Server Ressource Manager som installeres under Server roller. 05 Windows 2016 filsystem Frede Haahr TEC

38 Windows 2016 filsystem 8 TEC 05 Windows 2016 filsystem Frede Haahr

39 05 Windows 2016 filsystem Frede Haahr TEC 9 Windows 2012 filsystem

40 1 Disk Management øvelse Disk Management øvelse Indledning I denne øvelse skal vi se på hvad Disk Management programmet på Windows 2016 serveren kan bruges til og herunder oprette en ny partition. Undersøgelse, navngivning og oprettelse af partition Undersøgelse af partition Start Disk Management på serveren ved at vælge følgende: I Server Manager vælges Tools > Computer Management > Disk Management Undersøg den primære partition på Disk 0 (logisk drev C:) og besvar følgende spørgsmål: Er partitionen ok? Hvilket filsystem er der på drev C:? Navngivning af partition Giv den første partition på disk 0 ( logisk drev C: ) navnet / label : SYSTEM Fortsættes på næste side 06 Disk Management øvelse Frede Haahr TEC

41 Disk Management øvelse 2 Oprettelse af ekstra virtuel harddisk til Server01 1. På grundmaskinen Windows 10 i Hyper-V vælges følgende: Ny Harddisk 2. Herefter klikes på næste 2 gange og på siden Vælg disktype vælges Fast størrelse og Næste 3. På navn og placerings siden vælges navnet Server01 ekstra harddisk gem den i mappen C:\Hyper-V\Server01\Virtual Hard disks. 4. På Konfigurer disk siden vælges 5 GBytes 5. Forbind harddisken til Server01 i Hyper-V. Husk at Server01 skal stoppes før I kan tilføje et ekstra drev. Se billederne herefter hvordan man tilføjer drevet. Herefter startes Server01 igen TEC 06 Disk Management øvelse Frede Haahr

42 3 Disk Management øvelse Oprettelse af partition og aktivering af den nye harddisk Opret en partition i Disk Management som beskrevet herunder: Start Disk Management på serveren og vælg følgende: 1. Normalt vil maskinen selv registrere at der er kommet en ny disk og spørge om den ikke skal initialiseres. Hvis serveren ikke gør det så højre klik på den nye disk og vælg Online. Højre klik igen på disken og vælg Initialize Disk Under Initialize Disk vælges MBR system og klik på Ok. 2. Opret en simpel partition (New Simple Volume) på den nye disk ved at højre klike på drevet og vælg at partitionen skal anvende hvad der er af plads på disken. 3. Partitionens logiske drev bogstav skal være E: 4. Formater partitionen med NTFS (quick format). Her kan der vælges (FAT32, NTFS og ReFS) 5. Giv den nye partition navnet / label : DATA. 6. Start File Explorer og se at der er kommet et drev E: 06 Disk Management øvelse Frede Haahr TEC

43 Disk Management øvelse 4 TEC 06 Disk Management øvelse Frede Haahr

44 06 Disk Management øvelse Frede Haahr TEC 5 Disk Management øvelse

45 1 Introduktion til Active Directory Introduktion til Active Directory Disposition Indledning Workgroups og Domains Active Directory Services Indledning Directory Services er en database som indeholder oplysninger om alle netværkets objekter. Man kan sammenligne Directory Services med en telefonbog som indeholder oplysninger om personer, firmaer, adresser og telefon numre. Directory services er beskrevet af organisationerne ISO/ITU i X.500 standarden, som en central database med information om netværks objekter (printere, computere, brugere, grupper, servere mv.) deres placering og rettigheder i et netværks hierarki. Directory Services er opbygget på en måde så den kan afspejle virksomhedens hierarki med afdelinger, brugere, computere, servere, printere mv. Fordelene ved Directory Service er at hele netværket kan administreres fra et sted dvs. styring af ressourcer, brugere o.l. Når en bruger logger ind, logger brugeren ind i Directory Service databasen og brugeren har derefter adgang til hele nettet, dvs. de servere og programmer brugeren har rettighed til. Skal brugeren ændre password ændres det til alle servere og programmer som er omfattet af Directory Service databasen, altså kun et brugernavn og et password. Flere producenter har udviklet deres Directory Service ud fra X.500 f.eks Novell som kalder deres Novell edirectory og Microsoft som kalder deres Active Directory Domain Services (AD DS), X.500 er en meget omfattende protokol og derfor lettede man anvendelsen ved at lave LDAP (Lightweight Directory Access Protocol) til udveksling af data mellem Directory Service databasen og klienter. LDAP indeholder store dele af den funktionalitet der er i X.500 og i dag er LDAP ændret så det den kan anvendes som en komplet Directory Service. Næsten alle operativsystemer og mange programmer understøtter i dag LDAP som adgangs protokol til Directory Service, hvilket betyder at forskellige operativsystemer og programmer kan udveksle informationer. Microsofts Active Directory Domain Services er ikke en X.500 Directory Service men Microsoft egen konstruktion. Til gengæld anvendes LDAP (Lightweight Directory Access Protocol) til udveksling af data mellem Directory Service databasen og klienter. 07 Introduktion til Active Directory Frede Haahr TEC

46 Introduktion til Active Directory 2 Workgroups og Domains Workgroup I alle versioner af Windows fra ver til Windows 7 findes et peer to peer netværk også kaldet et Workgroup net. En Workgroup er en logisk gruppering af computere som er forbundet i netværk. Peer to peer betyder at computerne har ens funktioner fx at de både er servere og workstation på samme tid. Alle kan dele alt med alle, hvilket kan være praktisk i meget små net (2-10 brugere). Men administrationsmæssigt er det besværligt, idet man skal opsætte alle bruger rettigheder og brugere til hver server på hver server. Altså lokal brugerdatabase på alle maskiner. Desuden er der ikke en rigtig logon validering af brugere. Workgroup Workstation/server Workstation/server lokal administration lokal administration Workstation/server Workstation/server lokal administration lokal administration Domain I Windows NT og 2000/2003 server finder vi et netværk som bygger på et system som kaldes Domain modellen. Et Windows NT/2000/2003 domain er logisk gruppering computere som er forbundet i netværk og som deler en fælles central brugerdatabase. Det betyder at oprettelse eller ændringer i brugerenes rettigheder fortages centralt. Det samme gælder for backup. Den første NT/2000/2003 server som installeres i Domænet får den primære (masteren) database og kaldes den Primære (Primary) Domain Controller (PDC). Hvis man herefter installere flere NT servere kan de få en kopi af databasen. Dette gør man for at øge sikkerheden så databasen ikke mistes hvis PDC'en fejler. NT servere med en kopi af databasen kaldes Backup Domain Controller (BDC). Der kan kun være en PDC i et Domain, men alle de BDC'er man mener at have brug for. Brugerdatabasen bruges til logon og rettigheds validering mv. Single Domain Central administration PDC BDC DOMAIN-FTS Workstation Normalt har man kun en PDC og et antal BDC'er. Denne model kaldes Single Domain og kan anvendes med op til brugere, men det er ikke realistisk at administrer så mange brugere fra en PDC (max. ca. 300). Desuden bliver nettet langsomt hvis der er mange brugere og ressourcer på nettet. Skal der være flere brugere oprettes flere domains (flere PDC er). Hvis brugerne i et domain skal kunne anvende ressourcer i et andet domain skal der oprettes trust relations mellem domænerne. TEC 07 Introduktion til Active Directory Frede Haahr

47 3 Introduktion til Active Directory Active Directory Services Active Directory service (ADS) er Microsoft s Directory Service i Windows 2000/2003 og i den efterfølgende.net server. I Windows har Microsoft omdøbt det til Active Directory Domain Services (AD DS). AD DS giver mulighed for at styre netværkets ressourcer og brugere mv. fra et enkelt punkt. AD DS databasen er hierarkisk opbygget og består af objekter (brugere, computere, printere mv.) som samles i Organisational Units (Afdelinger), som igen samles i Domains, som igen samles i Tree s (træer), som samles i en Forest (skov). Databasen kan skaleres fra små lokale net til verdens omspændende net og den kan udvides med flere objekt typer. Navne standard og Domain Name System (DNS) integration AD DS bruger Internettets navne standard DNS til at navngive domains, placerings service og navngive Windows 2000/2003/2008/2012/2016 domæner. Så når AD DS skal installeres på en server skal den have adgang til en DNS server eller have en installeret. DNS er altså fuldt integreret i AD DS. Følgende navne standarder understøttes og kan anvendes i AD DS: Navne standard Universal Naming Convention (UNC) Beskrivelse og eksempel ADS understøtter UNC når man skal tilsluttes shares f.eks \\server-navn\share-navn \\server-navn.skole.dk\sharenavn LDAP og X.500 URL LDAP navne bruger X.500 navngivnings attributter f.eks LDAP://servernavn.skole.dk/CN=frede,OU=kursus,DC=TEC,DC=DK CN(Common Name) OU(Organisational Unit) DC(Domain Component) RFC 822 RFC 822 navne er Internettets adresser f.eks fsha@tec.dk fh@fts-kursus.dk Active Directory struktur Objekter og Container objekter Active Directory er opbygget af objekter og kan være næsten alt muligt f.eks. brugere, grupper, E- mail adresse kartotek, computere, servere, domain controllere, printere, shares, programmer osv. Objekter indeholder informationer om objektet fx indeholder et bruger objekt navn, efternavn, tlf. osv. Objekter kan være fysiske og logiske enheder på nettet. Et container objekt er et objekt som kan indeholde andre objekter så som: Organisational Unit (afdeling) Domain (domæne) Tree (domæne træ) Forest (skov af domæne træer) 07 Introduktion til Active Directory Frede Haahr TEC

48 Introduktion til Active Directory 4 Organizational Units Objekter kan grupperes i Organizational Units (OU) som afspejler virksomhedens opbygning f.eks. OU administration og OU salgsafdeling. Netværkets OU er samles i et eller flere domæner. Domains Strukturen i AD DS er baseret på domæner. Hvert domæne gemmer oplysninger om domænets objekter. Adgang til objekterne i domænet styres af Access Control List (ACL). Et domæne er en sikkerheds enhed hvor administrative rettigheder, policies og ACL s ikke udveksles med andre domæner. Rettigheder arves ned gennem den hierarkiske orden, men kan ændres eller fjernes. Et domæne kaldes en partition i AD DS og kan indeholde op til 10 millioner objekter. Windows 2000 / 2003 / 2008 / 2012 / 2016 kan opsættes i 2 server roller: Domain Controller: Indeholder og vedligeholder en kopi af AD DS. Kan share ressourcer og autentificere brugere som vil logge på nettet. Der skal være mindst en server som er Domain Controller i Domænet. Der kan udmærket være flere Domain Controllere som backup for hinanden. Standalone (Indeholder ikke en kopi af AD DS og kan ikke autentificere brugere som vil logge på nettet. Men kan share ressourcer mv.). Under installationen af Windows 2000/2003/2008/2012/2016 server installeres den altid som standalone server, hvilket så senere kan ændres så den bliver til en DC (Domain Controller). Domain Skole.dk OU Salgsafdeling OU Administrationsafd OU Produktionsafd Eksempel på et domæne med OU og objekter TEC 07 Introduktion til Active Directory Frede Haahr

49 5 Introduktion til Active Directory Domain trees (domæne træer) Hvis der er tale om et stort netværk kan det være hensigtsmæssigt at opdele det i flere domæner som så placeres i et domæne træ. Alle domæner i et træ deler informationer og ressourcer som om de var en enkelt enhed. Der er kun et Directory i et domæne træ, men hvert domæne vedligeholder bruger informationen i deres domæne. Brugere kan hvis de har rettighed til bruge ressourcer fra et andet domæne. I AD DS er et domæne træ opbygget af følgende: Et fælles Schema, som indeholder definitioner på alle de objekter der kan oprettes i AD DS. Det øverste domæne i et træ kaldes Root domain og indeholder normalt Schemaet. En fælles navnestruktur se tegning herunder Et Globalt Catalog, som indeholder en liste med alle objekter i træet. Det øverste domæne i et træ kaldes Root domain og indeholder normalt det globale catalog. 2 vejs transitive trust relationship, som betyder at der automatisk etableres trust mellem alle domæner i træet. Trust betyder at domænerne betror hinanden deres ressourcer. Trust Skole.dk Trust Kursusafd.skole.dk Trust Administration.skole.dk Eksempel på domæne træ med navne og trust 07 Introduktion til Active Directory Frede Haahr TEC

50 Introduktion til Active Directory 6 Domain forest (domæne skove) En domæne skov er en gruppering af et eller flere domæne træer, f.eks. hvis to firmaer skal samles til et er det muligt at bibeholde de to firmaers domæne træer i en domain forest. I AD DS er en domæne skov opbygget af følgende: Et fælles Schema, som indeholder definitioner på alle de objekter som kan oprettes i ADS. Forskellige navne strukturer for alle træer i skoven. Et eller flere træer. Et globalt catalog, som indeholder en liste med alle objekter i skoven. 2 vejs transitive trust relationship, som betyder at der automatisk etableres trust mellem alle træer og domæner i skoven. Trust betyder at træer/domænerne betror hinanden deres ressourcer. Skole.dk Privatskole.dk kursus.skole.dk administration.skole.dk salg.privatskole.dk adm.privatskole.dk Eksempel på domæne skov med 2 træer Global Catalog Det globale catalog indeholder en liste med alle objekter i et domain, et tree eller en forest. Det globale catalog er normalt placeret på Root domænet og bliver automatisk replikeret (kopieret) til de domain controllere, der er defineret som Global Catalog servere. Bruges bl.a. når man skal søge efter objekter på tværs af domæner og når brugere skal logge ind. For at minimere netværks trafikken og søge tiden indeholder det globale catalog kun en del af oplysningerne om objekterne der er i AD DS databasen. Schema Schemaet indeholder definitioner på alle de objekter som kan oprettes i AD DS. Der er kun et schema, hvilket betyder at ændringer (f.eks oprettelse af nye objekt typer) i Schemaet i et af domænerne, vil blive replikeret til alle domænerne. Det øverste domæne i et træ (Root domain) indeholder normalt schemaet. TEC 07 Introduktion til Active Directory Frede Haahr

51 7 Introduktion til Active Directory Replikering Domain Controllerne (DC) replikerer (kopiere) ændringerne i Active Directory databasen til de andre DC er vha. multimaster replikering. Det betyder at ændres AD DS på en DC kopieres det automatisk til alle andre DC. Til styring af rettelserne rent tidsmæssigt anvendes Update Sequence Numbers (USN) som er et 64 bits nummer. USN opdateres automatisk sammen med ændringer i ADS. Alle DC er har en tabel til styring af USN og rettelser fra andre DC er. Når en DC vil replikere anmoder DC en om et USNummer der er højere en den sidst modtagne USN. En domain controller gemmer og replikere følgende: Alle domænets objekter og deres rettigheder, disse data replikeres til alle andre DC er i domænet. En delmængde af objekt informationerne replikeres til det globale catalog. Schema information for domain træet eller forest. Konfigurations information (domain struktur og replikerings topologi) for alle domain er i domain træet eller forest. Maskiner med et globalt catalog gemmer og replikere følgende: Schema informationen for en forest. I det domæne hvor det globale catalog er placeret gemmes alle domænets objekter og deres rettigheder. Konfigurations information (domain struktur og replikerings topologi) for alle domain er i en forest. En delmængde af objekt informationerne replikeres til de DC er som har det globale catalog. Sites Når et netværk er placeret på flere forskellige geografiske lokationer kan det være praktisk at opdele det i sites, så replikerings trafikken kan minimeres og tidsstyres så den ikke belaster den normale netværks trafik. Til opdeling i sites bruges IP netværks adresser og subnetting. Til replikering inden for et site opbygger Windows 2000/2003/2008/2012/2016 automatisk en replikerings topologi (ring), så der altid er to replikerings veje for hver domain controller. Replikerings frekvensen bestemmes automatisk af domain controllerne. Replikering mellem sites skal man selv konfigurere med hensyn til hvilken vej replikerings data skal følge og hvor ofte det skal ske. 07 Introduktion til Active Directory Frede Haahr TEC

52 Introduktion til Active Directory 8 TEC 07 Introduktion til Active Directory Frede Haahr

53 07 Introduktion til Active Directory LMA TEC 9 Introduktion til Active Directory

54 1 Installation af Active Directory øvelse Installation af Active Directory øvelse Indledning I denne øvelse skal vi installere Active Directory Services på Server01 så den bliver en Domain Controller og oprette et Forest Root Domain (domæneskov) med navnet TEC.DOM. Serverens rolle ændres altså fra at være standalone server til domain controller. Installation af Active Directory For at tilføje AD DS rollen til Server01 skal vi gøre følgende: Login som administrator på Server01 og start Server Manager hvis den ikke er startet. Klik på Manage og derefter på Add Roles and Features. På siden Before you begin klikkes på Next På siden Select installation type vælges Role-based or feature-based installation På siden Select destination server vælges Server01 08 Installation af Active Directory øvelse FH TEC

55 Installation af Active Directory øvelse 2 På siden Select server roles vælges Active Directory Domain Services og klik på Add features når du bliver spurgt om det (AD DS kan ikke installeres uden disse features) På Select feature siden klikes på Next. På Active Directory Domain Service siden klikes på Next På Confirm installation selection klikes på Install og installationen starter. Fortsættes på næste side TEC 08 Installation af Active Directory øvelse Frede Haahr

56 3 Installation af Active Directory øvelse Installation af en ny Windows Server 2012 Forest Vi skal nu oprette en Forest Root Domain (domæneskov) med navnet TEC.DOM på serveren og konfigurere Domain Controlleren Server01. Det kan vi gøre med programmet DCPROMO (Domain Controller PROMOte) (i Start skrives DCPROMO) eller i Server Manager klikke ved den lille gule trekant med udråbstegn i og på teksten Promote this server to a domain controller (som vist herunder). På siden Delpoyment Configuration vælges Add a new forest og indtaste Root domain navnet Tec.Dom 08 Installation af Active Directory øvelse FH TEC

57 Installation af Active Directory øvelse 4 På Domain Controller Options er der valgt at Domain controlleren skal installeres med DNS (Domain Name System) som bruges til navne og IP adresse registrering i AD DS og Global Catalog som indeholder en liste over alle enheder i hele domain forest. Da det er den første Domain Controller i Forest Tec.Dom anbefales det at der installeres DNS på serveren. Bemærk! domain controlleren ikke kan køre hvis der ikke er adgang til en DNS server. På siden skal vi vælge om systemet skal være bagud kompatibelt med Windows 2008, Windows 2008 R2, Windows 2012 eller Windows 2012 R2. Men vi har kun en server og det er en Windows 2016, så vi vælger at funktions niveauet skal være Windows Server Det betyder at alle faciliteter i Windows 2016 kan bruges. Hvis Active directory skal fjernes fra serveren igen skal der bruges et password. Der er det som I skal indtaste. Brug venligst password: Password1 På DNS Options siden klikes på Next Domain Controlleren mangler den en DNS server til at gemme navnet Tec.Dom og serverens navn Server01 på. Men det betyder ingen ting for DNS serveren installeres automatisk på Domain Controlleren. På Additional Options siden klikes på Next (NetBIOS domain navn : TEC) På Paths siden (her vælger hvor Active Directory databasen mv. placeres) klikes på Next På Review siden klikkes på View Script for at se installations scriptet, herefter klikes på Next På Prerequisites Check siden klikes på Next NB! Når installationen er færdig skal serveren rebootes (genstartes). TEC 08 Installation af Active Directory øvelse Frede Haahr

58 5 Installation af Active Directory øvelse Login på Domain TEC Når serveren er genstartet skal i logge ind igen og bemærk denne gang er det på TEC Domain som administrator. Undersøgelse af domæne Tec.dk i Active Directory I skal nu undersøge domæne træet som I har oprettet. Det kan man gøre fra programmerne: Active Directory Sites and Services Kan vise og administrer Sites og Services. Sites er normalt geografisk adskilte domæner og i Sites and Services kan man bestemme domæne topologien og hvornår der skal replikeres (opdateres ændringer i domænedatabasen) mellem Sites. Active Directory Domains and Trusts Bruges til at administrere Active Directory domæner og trusts. Domæner i et domæne træ har altid transitive trust, hvilket betyder at de betror hinanden deres resurser. Dette kan ændres så der f.eks. kun betro es den ene vej. Active Directory Domains and Trusts bruges mest til at oprette trust mellem to domæne træer i en Domæne Forest. Active Directory Users and Computers bruges til at oprette, slette, konfigurere brugere, grupper, organizational units, og allen andre AD DS objekter. 08 Installation af Active Directory øvelse FH TEC

59 Installation af Active Directory øvelse 6 Programmerne kan startes fra menuen Tools i Server Manager. Active Directory Sites and Services Start programmet Active Directory Sites and Services og klik på: Sites Default-First-Site-Name Servers. Undersøg Server01 ved at højre klike på den og vælge Properties. Er der installeret Global Catalog på Server01?: TEC 08 Installation af Active Directory øvelse Frede Haahr

60 7 Installation af Active Directory øvelse I programmet Active Directory Domains and Trusts klikes på domænet Tec.dom Undersøg Tec.dom ved at højre klike på det og vælge Properties. I programmet Active Directory Users and Computers klikes på domænet Tec.dom Undersøg hvilke objekter der er i de 6 mapper under domænet. 08 Installation af Active Directory øvelse FH TEC

61 Installation af Active Directory øvelse 8 TEC 08 Installation af Active Directory øvelse Frede Haahr

62 1 AD administrations værktøjer øvelse AD administrations værktøjer øvelse Indledning I denne øvelse skal vi se på de værktøjer der anvendes til administration af Active Directory. Alle værktøjerne er opbygget omkring Microsoft Management Console (MMC), så brugerfladen er nogenlunde ens. De forskellige værktøjer kaldes snap-in s. Det er også muligt at opbygge egne MMC er til administration. Active Directory administrations værktøjer Der findes flere forskellige værktøjer til administration af Active Directory. De vigtigste er følgende: Active Directory Users and Computers bruges til at administrere brugere, grupper, computere, printere, domain controllere og delte mapper. Er det absolut vigtigste værktøj. Active Directory Sites and Services bruges til at administrere replikering og netværks topologi Active Directory Domains and Trusts bruges til at administrere rettigheder mellem domains og Forests (hvem man betror sine data til (trust) mellem domains og forests). DNS bruges til at styre navne og IP adresser på domænet 09 AD administrations værktøjer øvelse Frede Haahr TEC

63 AD administrations værktøjer øvelse 2 Undersøgelse af tec.dom domain I skal nu undersøge domæne træet som I har oprettet. Til det formål bruger vi programmet: Active Directory Users and Computers Undersøg følgende i programmet: Noter navnet på den server som er i mappen Domain Controler: Noter hvilken mappe brugeren Administrator er i: Noter hvilken mappe gruppen Administrators er i: Noter hvor mange computere der er i mappen Computers: DNS I skal nu undersøge de domæne navne som er registreret i DNS serveren. For at starte DNS programmet vælges DNS i Tools menuen i Server Manager. Undersøg følgende i programmet: Noter de domænenavne som er i Forward Lookup Zones på Server01: Noter FQDN navne og deres IP adresser som er i Forward Lookup Zones på Tec.Dom: Oprettelse af MMC I skal nu oprette jeres egen MMC vha. MMC værktøjet. MMC er en slags menu værktøj som bruges til at starte andre programmer. For at starte værktøjet tastes MMC i Start og klike på MMC TEC 09 AD administrations værktøjer øvelse Frede Haahr

64 3 AD administrations værktøjer øvelse For at tilføje værktøjer vælges File -> Add/Remove Snap-in Herefter vælger vi hvilke værktøjer som skal med i vores mmc (Active Directory Users and Computers og DNS) 09 AD administrations værktøjer øvelse Frede Haahr TEC

65 AD administrations værktøjer øvelse 4 Her er der så valgt 2 snap- in s: Active Directory Users and Computers og DNS For at gemme mmc en vælges File -> Save og dernæst give mmc en et navn. MMC en gemmes på Desktop (skrivebordet) Opret din egen mmc og vælg selv hvilke snap-in s der skal med. Gem mmc en på skrivebordet med navnet Min-MMC. Afprøv mmc en du har oprettet. TEC 09 AD administrations værktøjer øvelse Frede Haahr

66 09 AD administrations værktøjer øvelse Frede Haahr TEC 5 AD administrations værktøjer øvelse

67 1 Active Directory objekt øvelse Active Directory objekt øvelse Indledning I denne opgave skal vi oprette, flytte og slette objekter som findes i Activ Directory. Programmet som kan oprette, konfigurere, flytte og slette objekter og OU s hedder Active Directory Users and Computers og er det program som vi her på kurset kommer til at anvende mest. Workstation oprettelse i Active directory For at kunne styre og konfigurere en workstation skal den tilsluttes og oprettes i Active Directory. I skal derfor oprette WS1 og WS2 i Tec.Dom domænet. Dette kan gøres fra WS alene eller fra Domain Controlleren og WS. Før vi starter skal vi lige se hvor maskinerne bliver placeret i Active Directory. For at gøre det skal I starte programmet Active Directory Users and Computers vælg menuen: Se under Tec.Dom -> Computers om der er nogle computer i mappen, er der det? Arbejdsbeskrivelsen herunder er baseret på at tilslutning og oprettelse af WS1 og WS2 i tec.dom udelukkende sker fra WS1 og WS2. Udfør følgende på Pc erne: Login på WS1 som lokal Administrator Højre klik på Start og klik på System og klik på Skift indstillinger (blå) Under fanen Computernavn klikkes på Skift Under Medlem af vælges Domæne og i feltet skrives Tec.Dom(se billede) afslut med ok. 10 Activ Directory objekt øvelse Frede Haahr TEC

68 Active Directory objekt øvelse 2 Det er kun administratoren af Tec.dom som kan oprette en computer i Tec.dom så derfor skal I indtaste Administrator og administratorens password og klikke på Ok. Afslut med at genstarte maskinen. For at logge på domænet Tec.dom fra WS1 skal vi nu gøre følgende: Klik på Anden bruger herefter indtastes administratoren navn og password. Husk med domæne navnet foran som vist på billedet herunder. I skal nu undersøge om WS1 er oprettet i AD træet. For at gøre det skal I anvende programmet Active Directory Users and Computers. Se under Tec.Dom -> Computers om der er nogle computere i mappen, er der det? Hvis der er oprettet en computer i Active Directory træet fortsætter I. I skal nu på samme måde oprette WS2 i Tec.dom Vigtigt: Husk at WS1 og WS2 skal bruge Server01 s DNS server altså IP adresse Fortsættes på næste side TEC 10 Activ Directory objekt øvelse Frede Haahr

69 3 Active Directory objekt øvelse Oprettelse af Organizational Units I skal nu til at oprette OU er. Normalt vil man gruppere brugere og computere mv. i OU er som afspejler firmaets opbygning. Så for at gøre det lidt realistisk skal I derfor oprette følgende OU er under domænet Tec.dom: AdministrationsAfdeling SalgsAfdeling ProduktionsAfdeling Anvend programmet Active Directory Users and Computers til at oprette OU erne med. I programmet vælges: Action New OU Flytteobjekter i Activ Directory I skal nu prøve at flytte (move) objekter fra et OU til et andet: Flyt (move) jeres workstations fra OU=Computers til OU=SalgsAfdeling. Oprette nye objekter i et OU I OU SalgsAfdelingen oprettes en Shared Folder (Delt Mappe) med navnet Offentlig-Mappe og networkpath skal være \\Server01\Offentlig-Mappe. Husk at mappen og sharet endnu ikke er oprettet på serveren men kun Active Directory træet. 10 Activ Directory objekt øvelse Frede Haahr TEC

70 Active Directory objekt øvelse 4 TEC 10 Activ Directory objekt øvelse Frede Haahr

71 10 Activ Directory objekt øvelse Frede Haahr TEC 5 Active Directory objekt øvelse

72 1 Share og NTFS permissions Share og NTFS permissions Disposition Indledning Mappe shares og share permissions NTFS mappe og fil permissions Printer permissions Indledning En af de vigtigste funktioner på et netværk er at man kan dele (share) ressourcer på nettet med andre. Med ressourcer menes adgang til mapper og printere mv. For at give brugerne på et netværk adgang til ressourcer på en Windows maskine skal de shares. For eksempel hvis en mappe på en server er sharet kan en bruger hvis han/hun har rettighed til det få adgang til mappen og filerne, som om de lå på brugerens egen maskine. Hvis man ønsker at sikre mapper og filer på en server, så de ikke bliver slettet eller ødelagt af brugere, kan det gøres med share permissions. Share permissions er kun effektive over netværk, så på den lokale maskine (serveren) har de ingen virkning. Hvis man ønsker en mere avanceret opsætning af sikkerheden kan man gøre det vha. permissions på en NTFS /ReFS partition, som også tilbyder sikkerhed på den lokale maskine (server). Se tegningen herunder om share og NTFS permissions virkefelt. Share permission Server Workstation Netværks bruger som først skal igennem share og derefter NTFS permissions Lokal bruger som kun skal igennem NTFS permissions Workstation NTFS permission (kun på en NTFS og ReFS partition) 11 Share og NTFS permissions FH TEC

73 Share og NTFS permissions 2 Mappe shares og share permissions For at dele en mappe på en server med andre, skal man oprette et share. Et share består af et share navn og en fysisk sti. Et share kunne f.eks. hedde Dokumenter og den fysiske sti være E:\ Dokumenter (bemærk at share navn og biblioteksnavn ikke behøver at være ens). Shares kan oprettes i programmerne: File Explorer, Computer Management og File and Storage Services (i Server Manager). Når brugerne fra deres computer skal have adgang til sharet, mapper de et drev (drev bogstav) til det. Hvilket betyder at når brugerne skifter til drevet har de adgang til filerne og bibliotekerne i sharet. F.eks som vist herunder med sharet Dokumenter på serveren SERVER01: Drev Z: = \\SERVER01\ Dokumenter Share permissions i hovedtræk: Rettighederne til en ressource (et share) er som standard at Everyone har Read (Læse Adgang). Så hvis man ønsker at alle har fuld adgang til en ressource retter man Everyone s rettighed til Full Control. Share permissions er kun effektive over netværk, så på den lokale server har de ingen virkning. Normalt arves rettigheder ned efter i biblioteks strukturen og de kan kun sættes på biblioteker. Det er den mindst restriktive rettighed der bestemmer. Hvis man ikke ønsker at brugerne kan se sharet i deres browser f.eks Explorer kan man sætte et dollar tegn efter share navnet, hvilket betyder at sharet er skjult Explorer f.eks. Dokumenter$ Share permission oversigt Du kan oprette følgende tilladelser for delte mapper til filer og mapper ved hjælp af en delt mappe eller et delt drev. Tilladelser til delte mapper og brugernes mulige handlinger på delte mapper for hver tilladelse vises i nedenstående tabeller på engelsk og dansk. Action Handling Viewing file names and subfolder names Få vist fil navne og navne på undermapper Traversing to subfolders Gå til undermapper Viewing data in files and running programs Få vist data i filer og køre programmer Adding files and subfolders to the shared folder Tilføje filer og undermapper i den delte mappe Changing data in files Redigere data i filer Deleting subfolders and files Slette undermapper og filer Changing permissions (NTFS only) Ændre tilladelser (kun NTFS) Taking ownership (NTFS only) Overtage ejerskab (kun NTFS) Full Control Alle tilladelser Change Redigering Read Læsning x x x x x x x x x x x x x x x x x TEC 11 Share og NTFS permissions FH

74 3 Share og NTFS permissions Oprette shares fra kommando prompt eller scripts Man kan oprette et share fra kommando prompt eller script med kommandoen Net Share. For at få vist de eksisterende shares, kan man skrive følgende: net share Net share kommandoen har følgende syntax: net share ShareName=Path [/Grant:user,[Read Change Full]] Hvis man f.eks. ønsker at share mappen F:\Dokumenter med share navnet Doku skriver man: Net share Doku=F:\Dokumenter Ønsker man at share F:\Dokumenter og give everyone Full Access skriver man: Net share Doku=F:\Dokumenter /Grant:Everyone,Full For at slette sharet Doku skriver man: Net share Doku /Delete Forbinde sig til shares fra kommando prompt eller scripts Når man skal forbinde sig til shares skal man bruge kommandoen Net Use og her anvende Universal Naming Convention (UNC) formatet: \\servernavn\sharenavn Net use kommandoen har følgende syntax: net use drevbogstav: \\servernavn\sharenavn For at tilslutte sig sharet Doku på Server01 og anvende drev bogstaver Z: skrives følgende kommando: Net use Z: \\Server01\Doku 11 Share og NTFS permissions FH TEC

75 Share og NTFS permissions 4 Oprette shares i File Explorer For at share en mappe i File Explorer højre klikker man på mappen og vælger Share (som vist herunder). Hvor efter Share dialog boksen vises. Her kan man så bestemme hvem der skal have adgang til sharet og hvilke rettigheder de skal have. 1 Husk at tilføje grupen Everyone så alle kan få adgang til sharet Dokumenter via nettet. Data beskyttelsen oprettes i NTFS Security Under properties kan man se hvordan share permission er opsat. 5 TEC 11 Share og NTFS permissions FH

76 5 Share og NTFS permissions Oprette share i File Explorer via Properties For at share en mappe i File Explorer højre klikker man på mappen og vælger Properties. På billederne herunder er vist hvordan man opretter et share (biblioteket Dokumenter) og viser/sætter share permissions (Full rettighederne) til gruppen Everyone og NTFS permissions til dette Husk at give Everyone Full Control, standard share rettigheden er Read 11 Share og NTFS permissions FH TEC

77 Share og NTFS permissions 6 Forbinde sig til shares fra File Explorer Når man skal forbinde sig til shares i Stifinder (File Explorer) kan man klike på Denne PC (This PC) og vælge Tilknyt Netværksdrev (Map network drive) (som vist herunder). Herefter vises skærm billedet Map Network Drive hvor man skal angive drev bogstav og angive UNC navnet på server-share \\Server01\Dokumenter som vist midt på siden. Husk at fjerne fluebenet i Reconnect at login hvis du ikke ønsker at der skal tilsluttes til sharet næste gang du logger ind. 1 2 Her mappes drev Z: til sharet \\Server01\Dokumenter Drev Z: er mapper til \\Server01\Dokumenter TEC 11 Share og NTFS permissions FH

78 7 Share og NTFS permissions NTFS mappe og fil permissions Som navnet "NTFS permissions" angiver, virker disse opsætninger af rettigheder kun på NTFS partitioner. NTFS permissions kan tildeles vha. programmerne File Explorer, Computer management mv. NTFS permissions i hovedtræk: Virker både lokalt på serveren og over netværk. Kan tildeles filer og biblioteker. Rettigheder adderes og arves hvis man ønsker det. NTFS og share permissions kan kombineres, og her er det den mest restriktive permission der bestemmer. NTFS mappe permissions Der er 6 overordnede NTFS permissions som består at en mængde under rettigheder som vist på de næste sider. De 6 rettigheder er følgende: List Folder Contents: Brugere kan se i en mappe, men ikke nødvendigvis åbne filene. Read: Brugere kan se filerne i en mappe og åbne filerne, men ikke starte eksekverbare filer. Read & Execute: Kan starte program filer og ellers det samme som Read. Write: Brugere kan oprette filer, men ikke nødvendigvis læse i dem. Rettigheden kan bruges til at oprette mapper hvor flere brugere kan aflevere filer, men ikke få adgang til de andre brugeres filer. Modify: Brugere kan læse, rette og slette filer og mapper. Full Control: Bruger kan alt på filer og mapper også rette permissions!. 11 Share og NTFS permissions FH TEC

79 Share og NTFS permissions 8 NTFS mappe permissions Mappe tilladelser omfatter Fuld kontrol, Redigering, Læsning & kørsel, Visning af mappe indhold, Læsning og Skrivning. Hver enkelt af disse tilladelser består af en logisk gruppe af specielle tilladelser. I nedenstående tabel finder du en liste over alle mappe tilladelser med angivelse af de specialtilladelser, der er tilknyttet de enkelte tilladelser. NTFS mappe permissions oversigt engelsk og dansk Full Special Permissions Specialtilladelser Control Fuld kontrol Modify Redigering Traverse Folder/Execute File Gennemgang af mappe/kørsel af fil List Folder/Read Data Visning af mappe/læsning af data Read Attributes Læsning af egenskaber Read Extended Attributes Læsning af udvidede egenskaber Create Files/Write Data Oprettelse af filer/skrivning af data Create Folders/Append Data Oprettelse af mapper/tilføjelse af data Write Attributes Skrivning af egenskaber Write Extended Attributes Skrivning af udvidede egenskaber Delete Subfolders and Files Sletning af filer og undermapper x Delete Sletning x x Read Permissions Læsning af tilladelser Change Permissions Ændring af tilladelser x Take Ownership Overtagelse af ejerskab x Read & Execute Læsning & kørsel List Folder Contents Visning af mappeindhold x x x x x x x x x x x x x x x x x x x Read Write Læsning Skrivning x x x x x x x x x x x x x x x x x x Synkronisering x x x x x x Bemærk at selv om Visning af mappe indhold og Læsning & kørsel ser ud til at have de samme specialtilladelser, arves disse tilladelser på forskellig vis. Visning af mappe indhold arves af mapper, ikke filer, og bør kun vises, når du får vist mappe tilladelser. Læsning & kørsel arves af både filer og mapper og vises altid, når du får vist fil- eller mappe tilladelser. Synkronisering tillader eller afviser, at forskellige tråde (threads) venter på filens eller mappens handle og synkroniserer med en anden tråd, der evt. signalerer til den. Denne tilladelse gælder kun multiprocessprogrammer med flere tråde. TEC 11 Share og NTFS permissions FH

80 9 Share og NTFS permissions NTFS fil permissions Fil tilladelser omfatter Fuld kontrol, Redigering, Læsning & kørsel, Læsning og Skrivning. Hver enkelt af disse tilladelser består af en logisk gruppe af specialtilladelser. I nedenstående tabel finder du en liste over alle fil tilladelser med angivelse af de specialtilladelser, der er associeret med de pågældende tilladelser. NTFS fil permissions oversigt engelsk Special Permissions Specialtilladelser Full Control Fuld kontrol Modify Redigering Read & Execute Læsning & kørsel Read Læsning Write Skrivning Traverse Folder/Execute File Gennemgang af mappe/kørsel af fil x x x List Folder/Read Data Visning af mappe/læsning af data x x x x Read Attributes Læsning af egenskaber x x x x Read Extended Attributes Læsning af udvidede egenskaber x x x x Create Files/Write Data Oprettelse af filer/skrivning af data x x x Create Folders/Append Data Oprettelse af mapper/tilføjelse af data x x x Write Attributes Skrivning af egenskaber x x x Write Extended Attributes Skrivning af udvidede egenskaber x x x Delete Subfolders and Files Sletning af filer og undermapper x Delete Sletning x x Read Permissions Læsning af tilladelser x x x x x Change Permissions Ændring af tilladelser x Take Ownership Overtagelse af ejerskab x Synkronisering x x x x x Bemærk at grupper eller brugere med Fuld kontrol til en mappe kan slette alle filer i den pågældende mappe, uanset hvilke tilladelser der beskytter filen. 11 Share og NTFS permissions FH TEC

81 Share og NTFS permissions 10 Tildeling af NTFS permissions (Security) På billederne herunder er vist hvordan man tildeler/viser brugeres og gruppers NTFS permissions (rettighederne) til mappen (share) Dokumenter. TEC 11 Share og NTFS permissions FH

82 11 Share og NTFS permissions På billederne herunder er vist hvordan man tildeler/viser brugeres og gruppers avancerede NTFS permissions (rettighederne) til mappen (share) Dokumenter Skift mellem Basic og Advance permission 11 Share og NTFS permissions FH TEC

83 Share og NTFS permissions 12 Skjule filer og mapper man ikke har permissions til På billederne herunder er vist hvordan man i Server Manager File and Storage Services kan aktiverer Enabled Access-based enumeration, som betyder at man kun kan se filer og mapper som man har rettighed (permission) til. TEC 11 Share og NTFS permissions FH

84 13 Share og NTFS permissions Specielle delte mapper En eller flere af følgende specielle delte mapper oprettes automatisk af Windows 2016 til administration og til brug af systemet, afhængigt af computerens konfiguration. Disse delte mapper kan ikke ses fra Stifinder, men de kan ses med snap-in-programmet Computer Management. I de fleste tilfælde bør disse specielle delte mapper ikke slettes eller ændres. drevbogstav$ En delt mappe, der gør det muligt for det administrative personale at tilslutte til rodbiblioteket på et drev. Vises f.eks. som A$, B$, C$ og D$. D$ er f.eks. navnet på en delt mappe, som en administrator kan bruge til at få adgang til drev D over netværket. Det kun medlemmer af grupperne administratorer, gruppen server- eller backup operatører, der kan tilslutte til disse delte mapper. ADMIN$ En ressource, der bruges af systemet ved fjernadministration af en computer. Stien til denne ressource er altid stien til system rodbiblioteket, det bibliotek hvor Windows 2012 er installeret, C:\Windows). IPC$ En ressource, der deler navngivne pipes, som er vigtige for kommunikationen mellem forskellige programmer. Den bruges ved fjernadministration af en computer og ved visning af en computers delte ressourcer. NETLOGON En ressource, der bruges af tjenesten Net Logon på en Windows Server under behandling af anmodninger om domæne logon. SYSVOL Ressourcen SYSVOL er en delt mappe, som indeholder serverens kopi af domænets offentlige filer, som alle skal have adgang til og replikation i domænet. Udtrykket SYSVOL henviser til en række af filer og mapper, der findes på den lokale harddisk på hver domæne controller i et domæne, og som replikeres af Distributed File System Replication (DFSR). Netværksklienter få adgang til indholdet af SYSVOL træet ved at bruge de sharede mapper NETLOGON og SYSVOL. 11 Share og NTFS permissions FH TEC

85 Share og NTFS permissions 14 Share og NTFS eksempler I det følgende skal vi se på to eksempler der viser hvordan brugernes effektive rettigheder bliver. Hvis Share permissions til en mappe er Read og NTFP permissions til mappen er Full Control betyder det at brugeren få Read permission til mappen. Share Permission Full Control Change Read NTFS Permission Full Control Modify Read and Execute Read Write Brugerens adgang (permission) Full Control Modify Read and Execute Read Write Hvis Share permissions til en mappe er Full Control og NTFP permissions til mappen er Read betyder det at brugeren få Read permission til mappen. Share Permission Full Control Change Read NTFS Permission Full Control Modify Read and Execute Read Write Brugerens adgang (permission) Full Control Modify Read and Execute Read Write Hvis Share permissions til en mappe er Full Control og brugeren er medlem af to grupper som hver har deres NTFS permissions hvad så? Den ene gruppe (Gr1) har NTFS permissions Read til mappen. Den anden gruppe (Gr2) har Modify. Det betyder at brugerens samlede permission til mappen bliver Modify fordi den giver flest rettigheder.. Share Permission Full Control Change Read NTFS Permission Full Control Modify (Gr2) Read and Execute Read (Gr1) Write Brugerens adgang (permission) Full Control Modify Read and Execute Read Write TEC 11 Share og NTFS permissions FH

86 15 Share og NTFS permissions Printer permissions Når man har oprettet og sharet en printer skal man undersøge om brugere har de rigtige permissions (rettigheder). Printer permissions kontrollere ikke kun hvem der kan printer men også hvilke opgaver brugeren kan udføre. Af sikkerhedsmæssige årsager kan det være nødvendigt at begrænse en brugers adgang til en bestem printer. I store organisationer kan det være nødvendigt at uddelegere printer administration. Der er tre niveauer af printer permissions: Print, Manage Documents og Manage Printer. Standard rettigheden er at alle brugere har Print permission, fordi de er medlem af gruppen Everyone. Herunder er vist printer permissions vist. Printer permission oversigt Print permission Print permission/rettighed Print documents Printe dokumenter Pause, resume, restart, and cancel the user's own document Pause, genstarte og slette udprintning af egne dokumenter Connect to a printer Forbinde til en printer Control job settings for all documents Kontrollere job opsætninger til alle dokumenter Pause, restart, and delete all documents Pause, genstarte og slette udprintning af alle dokumenter Share a printer Share (dele) en printer Change printer properties Ændre printer opsætninger Delete printers Slette printere Change printer permissions Ændre printer permissions Print Manage Documents Manage Printer x x x x x x x x x x x x x x x x x Standard print permission opsætningen er følgende: Administratorer på en server, print operator og server operator på en domain kontroller er Manage Printer (fuld kontrol) permission. Everyone har Print permission. Ejeren af et dokument får Manage Documents permission. For at begrænse adgangen til en printer skal man ændre printerens permission opsætning for en bestem gruppe eller bruger og for at kunne gøre det skal man være ejer af printeren eller have Manage Printer permission. 11 Share og NTFS permissions FH TEC

87 Share og NTFS permissions 16 TEC 11 Share og NTFS permissions FH

88 11 Share og NTFS permissions FH TEC 17 Share og NTFS permissions

89 1 Default share øvelse Default share øvelse Undersøgelse af shares I skal nu undersøge hvilke shares der er opsat i Windows 2016 grundlæggende. Dette kan man bla. gøre i programmet Computer Management. For at starte programmet tastes Computer Management i Start Undersøg hvilke shares der er på Server01. Share navn Lokal sti ADMIN$ IPC$ Inter Process Communication Ingen C$ E$ NETLOGON SYSVOL 12 Default shares øvelse Frede S. Haahr TEC

90 Default share øvelse 2 TEC 12 Default shares øvelse Frede Haahr

91 12 Default shares øvelse Frede S. Haahr TEC 3 Default share øvelse

92 1 Share øvelse Share øvelse Indledning I denne øvelse skal der oprettes 4 mapper med tilhørende shares på serveren. Der skal ændres på NTFS permissions til roden af E:\, så bl.a. Everyone ikke har nogen rettigheder. Oprettelse af shares i File Explorer På Server01 s drev E:\ skal der oprettes følgende mapper: E:\Bruger (mappe hvor under alle brugernes hjem mapper skal oprettes) E:\FællesMappe (fælles mappe som alle i domænet kan/må anvende) E:\Program (mappe til brugernes programmer f.eks. MS Office) E:\Dokumenter (fælles mappe til alle firmaets breve og dokumenter) Ændring af NTFS permissions på roden af E:\ Ved hjælp af File Explorer skal der på roden af E:\ ændres følgende i NTFS permissions: Gruppen Everyone skal fjernes i NTFS permission listen Gruppen Users (tec\users) skal fjernes i NTFS permission listen Administrators (TEC\Administrators) skal ikke ændres (men har Full Control permission). SYSTEM skal ikke ændres (men har Full Control permission). CREATOR OWNER skal ikke ændres (men har Special permission). 13 Share øvelse Frede Haahr TEC

93 Share øvelse 2 Oprettelse af shares Ved hjælp af File Explorer skal der oprettes shares som vist i skemaet herunder: I alle de viste mapper skal Everyone (Alle) have Share Permission Full Control. Share navn Bruger$ FællesMappe$ Program$ Dokumenter$ Sti på X-Server E:\Bruger E:\FællesMappe E:\Program E:\Dokumenter Share Permission for sharet Bruger$ Undersøg i Computer Management om de 4 shares er oprettet. Fortsættes på næste side TEC 13 Share øvelse Frede Haahr

94 3 Share øvelse Afprøvning af shares Fra Server01 skal du mappe drev Z: til sharet \\Server01\Bruger$ For at gøre det højre klikes på This PC i File Explorer og her vælges Map network drive Noter UNC navnet folder feltet: 13 Share øvelse Frede Haahr TEC

95 Share øvelse 4 1. Prøv at oprette en fil på drev Z: Hvis du ikke kan det er det en fejl som skal rettes før du går videre. 2. Hvorfor kan man ikke browser sig frem til den sharede mappe: 3. Undersøg og noter hvem der har share rettighed til share \\Server01\Bruger$: 4. Undersøg og noter hvilken share rettighed de har til share \\Server01\Bruger$: 5. Undersøg og noter hvem der har NTFS rettigheder og hvilken rettighed de har til share: \\Server01\bruger$ 6. Login som Administrator på jeres WS1 og map drev P: til sharet \\Server01\Dokumenter$ Kan man det? Prøv at oprette en fil på drev P: Hvis du ikke kan det er det en fejl som skal rettes før du går videre. TEC 13 Share øvelse Frede Haahr

96 13 Share øvelse Frede Haahr TEC 5 Share øvelse

97 1 Active Directory Grupper Active Directory Grupper Indledning I Active Directory er der to typer af enheder som hver har deres sikkerheds / rettigheds konfiguration: Bruger konti og Computer konti. Disse konti repræsenterer en fysisk enhed (en person eller en computer). For at lette administrationen med hensyn til at give en gruppe brugere rettigheder f.eks. read/write til en mappe opretter man en Gruppe en sikkerhedsgruppe. Grupperne kan indeholde Brugere, Computere, andre Grupper, Mail-brugere og Service Accounts. I Windows Server-operativsystemet er der flere indbyggede bruger-konti og computer-konti og sikkerhedsgrupper, der er for konfigureret med de relevante rettigheder og tilladelser til at udføre specifikke opgaver. F.eks. brugeren Administrator, og gruppen Administrators. Gruppe typer Der er to typer grupper i Active Directory: Distributionsgrupper Bruges til at oprette distributionslister. Security (Sikkerhedsgrupper): Bruges til at tildele tilladelser til delte ressourcer. Oprettelse af Domain local Security gruppe: Salgs-Gruppe Distributionsgrupper Distributionsgrupper kan kun bruges med -applikationer (som Exchange Server) for at sende til samlinger af brugere Active Directory Grupper Frede Haahr TEC

98 Active Directory Grupper 2 Sikkerhedsgrupper Sikkerhedsgrupper giver administratorer en effektiv måde at tildele adgang til ressourcer på, i stedet for at tildele de enkelte brugere rettigheder til ressourcer. Ved at bruge sikkerhedsgrupper kan du: Tildele grupper rettigheder til ressourcer f.eks. mapper, filer, printere. Tilladelser er tildelt sikkerhedsgruppen for den delte ressource. Tilladelser bestemmer, hvem der har adgang til ressourcen og adgangsniveauet, såsom fuld kontrol (Full Control). Tilladelserne tildeles én gang til gruppen, i stedet for flere gange for hver enkelt bruger. Hver bruger-konto, der tilføjes til en gruppe, modtager rettighederne, der er tildelt den pågældende gruppe i Active Directory, og brugeren modtager de tilladelser, der er defineret for den pågældende gruppe. Eksempel på NTFS rettigheder til en gruppe Eksempel rettigheder til Active Directory Tildel brugerrettigheder til sikkerhedsgrupper i Active Directory: Brugerrettigheder tildeles automatisk til nogle sikkerhedsgrupper, når Active Directory er installeret. Dette hjælper administratorer med at definere en persons administrative rolle i domænet. For eksempel kan en bruger, der er tilføjet til Backup Operators-gruppen i Active Directory, have mulighed for at sikkerhedskopiere og gendanne filer og mapper, der er placeret på hver domænecontroller i domænet. Dette er muligt, fordi brugerrettighederne Sikkerhedskopierede filer og mapper og Gendan filer og mapper som standard tildeles automatisk til Backup Operators-gruppen. Derfor arver medlemmerne af denne gruppe brugerrettighederne, der er tildelt den pågældende gruppe. Du kan bruge Gruppepolitik til at tildele brugerrettigheder til sikkerhedsgrupper til at delegere specifikke opgaver. TEC 13-5 Active Directory Grupper Frede Haahr

99 3 Active Directory Grupper Group Scope (omfang) Grupper er kendetegnet ved et Scope, som identificerer omfanget af gruppen i domænetræet eller skoven (forest). Gruppens Scope definerer, hvor gruppen kan få tilladelser. Følgende tre gruppestørrelser er defineret i Active Directory: Domain Local Group - Bruges til at give adgang til ressourcer i det samme domain som gruppen er i, brugerne kan være fra forskellige domains. Global Group Bruges til at give adgang til ressourcer som er i forskellige domains, til brugere fra et specifikt domain. Universal Group - Bruges til at give adgang til ressourcer som er placeret i forskellige domains til grupper af brugere fra forskellige domains. Group Scope Gruppen kan indeholde som medlemmer... Gruppen kan tildeles tilladelser i... Koncernens omfang kan konverteres til... Universal Brugere fra ethvert domæne i denne Forest, hvor denne universelle gruppe er placeret Globale grupper fra ethvert domæne i denne Forest, hvor denne universelle gruppe er placeret Universelle grupper fra ethvert domæne i denne Forest, hvor denne universelle gruppe er placeret Ethvert domæne eller Forest Domæne lokalt Global (så længe der ikke findes andre universelle grupper som medlemmer) Global Brugere fra samme domæne som den overordnede globale gruppe Globale grupper fra samme domæne som den overordnede globale gruppe Medlemstilladelser kan tildeles i ethvert domæne Universal (så længe det ikke er medlem af andre globale grupper) Domæne lokalt Brugere fra ethvert domæne Globale grupper fra ethvert domæne Universelle grupper fra ethvert domæne Domæne lokale grupper, men kun fra samme domæne som den lokale gruppe Medlemstilladelser kan kun tildeles inden for samme domæne som den overordnede domæne lokale gruppe Universal (så længe der ikke findes andre domæne lokale grupper som medlemmer) 13-5 Active Directory Grupper Frede Haahr TEC

100 Active Directory Grupper 4 TEC 13-5 Active Directory Grupper Frede Haahr

101 13-5 Active Directory Grupper Frede Haahr TEC 5 Active Directory Grupper

102 1 Oprettelse af grupper og brugere øvelse Oprettelse af grupper og brugere øvelse Indledning I denne øvelse skal I oprette en gruppe og nogle brugere i Domænet Tec.dom. Desuden skal gruppen og brugerne tildeles rettigheder. Oprettelse af gruppe og tildeling af NTFS rettigheder I skal nu oprette en gruppe. Til det formål bruger vi programmet Active Directory Users and Computers Oprette en Domain local gruppe i ou=salgsafdeling med navnet Salgs-Gruppe. Salgs-Gruppe skal have rettighederne som er vist i skemaet herunder og rettighederne tildeles i programmet File Explorer. Share og path til share FællesMappe$ ( E\FællesMappe ) NTFS permission Modify Program$ ( E:\Program ) Read & Execute Dokumenter$ ( E:\Dokumenter ) Modify Fortsættes på næste side 14 Oprettelse af grupper og brugere øvelse Frede Haahr TEC

103 Oprettelse af grupper og brugere øvelse 2 Oprettelse af brugere og hjem mappe I skal nu oprette brugerne som er vist i skemaet herunder. Brugerne skal oprettes i programmet Active Directory Users and Computers. Brugerne skal oprettes efter følgende regler: Brugerne skal oprettes i ou=salgsafdeling Brugerne være medlem af gruppen Salgs-Gruppe. Brugerne skal have en hjem mappe og det skal forbindes til drev Z: First name Last name User logon name Per Hansen Per Ole Olsen Ole Lone Rasmussen Lone Mona Christensen Mona Se linjerne herunder med fed som viser 2 metoder. Billedet viser hvor linjerne skal anvendes i Active Directory Users and Computers. Bemærk at der på denne måde oprettes en hjem mappe til brugerne under sharet Bruger$ med deres navn. Z: \\Server01\Bruger$\%Username% eller Z: \\Server01\Bruger$\loginnavn ( f.eks. loginnavn = Per ) Når I har oprettet en bruger kan Copy funktionen evt. bruges til at lave flere brugere med samme karakteristika som den første. Undersøg om alle brugerne har fået et hjem mappe. Hvis ikke skal fejlen rettes før I går videre. TEC 14 Oprettelse af grupper og brugere øvelse Frede Haahr

104 14 Oprettelse af grupper og brugere øvelse Frede Haahr TEC 3 Oprettelse af grupper og brugere øvelse

105 1 Share og NTFS rettigheds øvelse Share og NTFS rettigheds øvelse Indledning I denne øvelse skal I undersøge de Share og NTFS rettigheder, som de forskellige brugere og gruppen har. Desuden skal gruppen og brugerne tildeles rettigheder. Opsætning af filer på serveren som administrator Log ind som Administrator på Server01 og undersøg om der er oprettet en hjem mappe til alle brugerne og om de har rettigheden "Full Control" til deres hjemmappe. Undersøg om brugerne er medlem af gruppen Salgs-Gruppe, er de det? Bemærk: hvis de ikke har fået et hjem mappe og/eller Full Control til det, skal fejlen rettes inden I fortsætter. Kopier eller opret 2 filer i brugernes hjem mappe og i sharet FællesMappe$ (E:\FællesMappe). Kopier program filen C:\Windows\Write.exe til mappen E:\Program Undersøgelse af brugernes permissions (rettigheder) Log ind på WS1 som en bruger og tilslut følgende: Undersøg om brugeren har et drev Z: hvis brugeren ikke har det er det en fejl som skal findes før I fortsætter. Map Netværks drev F: til share FællesMappe Map netværks drev P: til share Program Map netværks drev T: til share Dokumenter 1. Opret en mappe under F:\ (share FællesMappe) Kan I oprette mappen og beskriv hvorfor eller hvorfor I ikke kan det? 2. Kopier program filen Write.exe fra C:\Windows til mappen på drev F: Kan I kopiere filen og beskriv hvorfor eller hvorfor I ikke kan det? 15 Share og NTFS rettigheds øvelse Frede Haahr TEC

106 Share og NTFS rettigheds øvelse 2 3. Prøv at starte filen Write.exe som I lige har kopieret. Kan filen startes og hvorfor? 4. Slet mappen I lige har oprettet på drev F: (med indhold). Kan I slette mappen og hvorfor? 5. Opret en mappe på drev P:\ (share Program$). Kan I oprette mappen og beskriv hvorfor eller hvorfor I ikke kan det? 6. Kopier program filen Notepad.exe fra C:\Windows til drev P: Kan I kopiere filen og beskriv hvorfor eller hvorfor I ikke kan det? 7. Prøv at starte filen Write.exe på drev P: Kan i starte Write.exe programmet og beskriv hvorfor eller hvorfor I ikke kan det? 8. Derefter slettes mappen med indhold. Kan I slette mappen og hvorfor? 9. Opret en mappen i brugerens hjem drev/mappe ( drev Z:\ ). Kan I oprette mappe og hvorfor? TEC 15 Share og NTFS rettigheds øvelse Frede Haahr

107 3 Share og NTFS rettigheds øvelse 10. Kopier program filen C:\Windows\Write.exe til hjem mappen. Kan I kopiere filen og hvorfor? 11. Prøv at starte filen Write.exe. Kan filen startes og hvorfor? 12. Derefter slettes mappen med indhold. Kan I slette mappen og hvorfor? Fortsættes på næste side 15 Share og NTFS rettigheds øvelse Frede Haahr TEC

108 Share og NTFS rettigheds øvelse 4 NB! Opgaver som kun skal løses hvis I har tid 13. Log ind som Administrator på Server01 og opret en fil ind i mappen E:\Dokumenter på serveren. Ret filens permissions så den ikke kan slettes eller rettes, altså er readonly. Afprøv rettelsen fra en Workstation med en almindelig bruger (f.eks. Per). Noter hvad man skal gøre for at kunne ændre rettighederne til filen: Noter hvilke rettigheder der skal fjernes fra filen: 14. I mappen Fællesmappe har brugerne rettigheden Modify, det betyder at de kan slette alle filer og mapper fællesmappen, også andre brugeres filer og mapper. I skal derfor opsætte permissions for Salgs-gruppen og CreatorOwner, så en bruger kun kan slette de filer og mapper han/hun selv har oprettet. Bemærk at en bruger som opretter en fil eller en mappe automatisk bliver medlem af gruppen CreatorOwner (dansk: Skaber Ejer) Noter Salgs-Gruppens rettigheder til Fælles-Mappe: Noter CreatorOwner gruppens rettigheder til Fælles-Mappe: TEC 15 Share og NTFS rettigheds øvelse Frede Haahr

109 15 Share og NTFS rettigheds øvelse Frede Haahr TEC 5 Share og NTFS rettigheds øvelse

110 1 Distributed File System (DFS) Distributed File System (DFS) Introduktion til DFS En af de nye ting i Windows 2008/2012/2016 er Distributed File System (DFS) Namespaces og Distributed File System Replication. Det nye i DFS er at man i et share kan have shares fra forskellige computere. Hvor man i ældre Windows systemer f.eks. Windows NT deler mapper med andre på nettet ved at share dem enkeltvis og net brugerne tilslutter sig dem enkeltvis. I DFS kan net brugerne nu tilslutte sig et share som indeholder flere shares. DFS opbygges af en DFS server som indeholder DFS root sharet. Dette share deles ud på nettet ligesom et normalt Windows share. På root sharet oprettes der DFS mapper som peger på andre shares der er på nettet, som vist på tegningen herunder. Server01 DFS Root DFS shares Server01-Spejl Eksempel på et DFS share hvor data ligger på 2 servere Eksempel på et DFS share set fra brugerens side, med DFS share mappet til drev U: Fordele ved at anvende DFS: Et DFS mappe kan pege på flere servere og dermed lave fault tolerance på mappen. Hvilket betyder at hvis en server bryder ned hentes data blot fra en anden server som DFS mappen peger på. DFS Replication i Windows sørger automatisk for at opdatere serverne som mappen peger på. Hvis en server skal serviceres kan man flytte data fra denne over på en anden og derefter flytte DFS mappen, det betyder så at brugerne slet ikke mærker at data hentes fra et andet sted. Brugerne behøver kun at tilslutte sig et share på nettet. 16 Distributed File System Frede Haahr TEC

111 Distributed File System (DFS) 2 Et DFS link kan som før nævnt pege på flere servere, det betyder at DFS også kan lave load balancing. Load balancing betyder at brugerne fordeles på serverne der hører til linket, derved forbedre ydelsen på nettet. DFS distribueres i Active Directory og en DFS root kan replikeres så den ligger på flere servere. DFS Root typer Der findes to typer af DFS roots i Windows 2016: en stand alone DFS root og en domain root type, som også kaldes den fejl tolerante type. Domain DFS root typen er klart at foretrække fordi den har mulighed for replikering af data og DFS root i AD DS, mulighed for fejltolerance og load balancing, hvor stand alone DFS ikke har nogle af delene. Tilføje DFS Namespace og Replication rollen til File Service rollen På en Windows 2016 server er File og Storage Services rollen installeret default. Under File og Storage Services kan man så vælge DFS Namespaces og DFS Replication som vist på billedet herunder. TEC 16 Distributed File System Frede Haahr

112 3 Distributed File System (DFS) Oprettelse DFS Namespace Vi skal nu bruge DFS Management til at oprette et DFS Namespace. Programmet findes under Tools i Server Manager (se billede herunder). For at oprette et nyt DFS Namespace vælger vi New Namespace og bliver så guidet gennem opsætningen. Først skal vi angive en Namespace server og vi vælger Server Distributed File System Frede Haahr TEC

113 Distributed File System (DFS) 4 Så skal vi angive et navn til vores Namespace, her vælger vi Offentlig-Mappe som navn. Desuden skal vi ændre rettighederne til sharet så vi kliker på Edit Settings. Her vælger vi: All users have read and write permissions til sharet TEC 16 Distributed File System Frede Haahr

114 5 Distributed File System (DFS) Vi skal nu vælge typen af DFS Namespace. For at få muligheden for at få redundans vælger vi Domain-based namespace. Herefter er DFS Namespace klar til at blive oprettet 16 Distributed File System Frede Haahr TEC

115 Distributed File System (DFS) 6 Oprettelse af Folder/Mapper i DFS Namespace Vi skal nu bruge DFS Management til at oprette mapper i DFS Namespace. For at gøre det vælger vi New Folder i DFS Management (se billede herunder). Mappen skal have et navn (her FællesMappe) og et eller flere fysiske shares på harddiske. Data kan altså godt gemmes på flere lokationer. Her gemmer vi kun på \\Server01\FællesMappe$ Herefter er den første mappe i DFS namespace Offentlig-Mappe oprettet og ser i DFS Manager ud som vist på billedet herunder. TEC 16 Distributed File System Frede Haahr

116 7 Distributed File System (DFS) Herefter opretter vi to mapper til i DFS namespace Offentlig-Mappe: Program og Dokumenter. Der betyder at vi nu har 3 mapper i DFS namespace Offentlig-Mappe (som vist på billedet herunder). Der betyder at vi kun behøver at tilslutte os et share for at får fat i alle de mappe shares der er i DFS namespace Offentlig-Mappe (Dokumenter, Fælles-Mappe og Program). Tilslutning til DFS Namespace For at tilslutte os til et DFS Namespace skal vi bare mappe os til Namespace mappen på samme måde som vi tilslutter os til et share. Herunder er der vist med DFS Namespace Offentlig-Mappe, hvor vi fra en workstation mapper drev U: til sharet. 16 Distributed File System Frede Haahr TEC

117 Distributed File System (DFS) 8 Oprettelse af redundans med DFS Replication Vi skal nu oprette redundans i DFS Replication så data der gemmes i en DFS mappe fysisk gemmes på flere maskiner. Det betyder at hvis en server bryder ned hentes data blot fra en anden server som mappen peger på. I eksemplet herunder er der oprettet en Server (Server01-spejl) med 3 shares som skal bruges til DFS Replication redundans sammen med den oprindelige DFS server. Vi skal nu bruge DFS Management til at oprette flere forbindelser til mapper i DFS Namespace. Første peger vi på Folderen som (her Dokumenter) have flere foldere tilsluttet. For at gøre vælge vi Add Folder Target i DFS Management (se billede herunder). Vi skal nu vælge hvilket share data også skal placeres på (Replikeres på). Her vælger vi sharet Dokument-spejl på Server01-spejl. Systemet spørger nu om vi vil oprette en replikerings gruppe så data automatisk kopieres mellem de 2 target shares og det vil vi naturligvis gerne. TEC 16 Distributed File System Frede Haahr

118 9 Distributed File System (DFS) Her vises replikerings gruppen navn og mappe navn (Dokumenter) Her undersøger systemet om de 2 shares kan være med i DFS replikering. Her vælger vi at det er Server01 som skal være den primære maskine for replikering. 16 Distributed File System Frede Haahr TEC

119 Distributed File System (DFS) 10 På Topologi Selection siden vælges Full Mesh, så alle replikerer til alle. På Replication Group Schedule and Bandwidth siden vælges Replicate countinously med fuld båndbredde TEC 16 Distributed File System Frede Haahr

120 11 Distributed File System (DFS) Herunder er vist hvordan DFS Manageren viser opsætningen hvor der er oprettet replikeing mellem de 2 shares. DFS Namespace share via netværket Herunder er vist hvordan DFS Namespace og de DFS mapper der er oprettet i det foregående ser ud fra nettet dvs. fra en workstation. På billedet vises hvordan en bruger der har mappet drev U: til DFS root sharet. DFS root Offentlig/Mappe vist via mappet drev (U:) 16 Distributed File System Frede Haahr TEC

121 Distributed File System (DFS) 12 TEC 16 Distributed File System Frede Haahr

122 16 Distributed File System Frede Haahr TEC 13 Distributed File System (DFS)

123 1 Distributed File System øvelse Distributed File System øvelse Indledning I skal i denne opgave oprette et DFS Namespace som skal indeholde de 3 oprettede shares (Dokumenter, FællesMappe og Program). DFS namespace faciliteten betyder at man ikke behøver at mappe sig til flere shares men kan samle dem under et, så man kun har et netværksdrev. Desuden giver DFS Replication mulighed for at vi kan have redundant storage. Så data gemmes på 2 eller flere servere og hvis en server bryder ned så overtager den anden. Det betyder at I skal oprette en server til en spejl-server altså et spejl af Server01. Oprettelse af Distributed File System I skal nu oprette et DFS namespace, men før I kan det skal DFS Namespace og DFS Replication rollen adderes til File Service rollen. Herefter skal I konfigurere DFS efter følgende regler: Opret en DFS Namespace server på Server01. Opret et DFS Root share på serveres drev E: med navnet Offentlig-Mappe (C:\DFSRoots\Offentlig-Mappe). Giv brugerne Read og Write rettigheder til DFS sharet Offentlig-Mappe. DFS Namespace typen skal være: Domain-based og Windows 2008 mode. Opret 3 Mappe i DFS namespace Offentlig-Mappe: o Program som peger på \\Server01\Program$ o Fælles-Mappe som peger på \\Server01\FællesMappe$ o Dokumenter som peger på \\Server01\Dokumenter$ Afprøvning af DFS Namespace I skal nu afprøve jeres DFS Offentlig-Mappe. Log ind på jeres WS1 som en almindelig bruger og map drev U: til Offentlig-Mappe fra kommando linjen eller i Windows Stifinder. Noter kommandoen: Afprøv om I har de samme rettighed som når I var tilsluttet direkte til de 3 shares i DFS. Har I de samme rettigheder? 17 Distributed File System øvelse Frede Haahr TEC

124 Distributed File System øvelse 2 OBS! OBS! OBS! Resten af øvelsen skal kun udføres hvis der er tid! Oprettelse af spejlserver Før vi kan oprette DFS redundans skal vi have oprettet en ny Windows 2012 server. Opret serveren efter følgende regler: Opret en virtuel Server med navnet: Server01-Spejl Opret den i mappen: C:\Hyper-v Maskinens memory skal være: 2000 Mbytes Windows navnet på Serveren skal være: Server01-Spejl IP adr /24 gateway: DNS: Server01-Spejl skal være Domain Controller og skal tilslutes domænet Tec.dom (dcpromo) På Server01-Spejl s drev C:\ skal der oprettes følgende biblioteker: C:\FællesMappe-spejl (fælles bibliotek som alle i domænet kan/må anvende) C:\Program-spejl (bibliotek til brugernes programmer f.eks. MS Office) C:\Dokumenter-spejl (fælles bibliotek til alle firmaets breve og dokumenter) Ved hjælp af Windows Explorer skal der oprettes shares som vist i skemaet herunder: I share permission til alle de viste biblioteker skal Everyone have fulde share rettigheder. Share navn FællesMappe-spejl$ Program-spejl$ Dokumenter-spejl$ Sti på Server01-Spejl C:\FællesMappe-spejl C:\Program-spejl C:\Dokumenter-spejl Salgs-Gruppe skal have rettighederne som er vist i skemaet herunder og rettighederne tildeles i programmet Windows Explorer. Share og path til share NTFS permission FællesMappe-spejl ( C:\FællesMappe-spejl ) Modify Program-spejl ( C:\Program-spejl ) Read & Execute Dokumenter-spejl ( C:\Dokumenter-spejl ) Modify TEC 17 Distributed File System øvelse Frede Haahr

125 3 Distributed File System øvelse Oprettelse af DFS redundans I skal nu oprette redundans i DFS namespace så data der gemmes i en DFS mappe fysisk gemmes på flere maskiner. Opret DFS redundans på Server01 Offentlig-Mappe efter følgende regler: DFS mappen Dokumenter skal pege på: o \\Server01\Dokumenter$ o \\Server01-spejl\Dokumenter-spejl$ DFS mappen FællesMappe skal pege på: o \\Server01\FællesMappe$ o \\Server01-spejl\FællesMappe-spejl$ DFS mappen Program skal pege på: o \\Server01\Program$ o \\Server01-spejl\Program-spejl$ Opret en replikerings gruppe på Server01 På alle DFS mapperne skal Server01 være Primær Member. Afprøvning af DFS redundans I skal nu afprøve jeres DFS Offentlig-Mappe. Log ind på WS1som en almindelig bruger og map drev U: til Offentlig-Mappe fra kommando linjen eller i Windows Stifinder. 1. Afprøv om I har de samme rettighed som før vi oprettede redundans. 2. Opret 2 filer på drev U:\Dokumenter og se at de bliver gemt på begge servere. Hvis de ikke oprettes på begge servere skal fejlen findes før i fortsætter. 3. Prøv at slette den ene af de filer som I oprettede på U:\Dokumenter og se at den forsvinder på begge servere. 4. I skal nu slukke for Server01-spejl. Opret 1 fil på drev U:\Dokumenter og se at den bliver gemt på Server01. Start Server01-spejl igen og undersøg om filen I oprettede også kommer over på Server01-spejl. Kommer filen over på Server01-spejl når den er startet? 17 Distributed File System øvelse Frede Haahr TEC

126 Distributed File System øvelse 4 TEC 17 Distributed File System øvelse Frede Haahr

127 17 Distributed File System øvelse lma TEC 5 Share og Distributed File System øvelse

128 1 Bruger profiler Windows 2016 Bruger profiler Windows 2016 Indledning Når en bruger logger lokalt på en Windows computer, bruger Windows den indbyggede default lokale bruger profil som skabelon til at oprette en profil til brugeren. Alle brugere som logger på computeren får en personlig brugerprofil. Man kan tilrette standard bruger profilen, når man forbereder et operativsystem image. Når man har implementeret billedet, vil alle nye brugere på computeren modtage de indstillinger, du angiver. En brugers profil er oplysninger om hvordan brugerens Windows opsætning er. Opsætningen som gemmes er den som Windows har når brugeren logger ud. Med opsætning menes: netværks drev og printer tilslutninger, alle opsætninger der er lavet i kontrol panelet skærmfarver, mus, lyd mv. En profil består af nogle biblioteker og en data fil (Ntuser.dat) på ca 500 Kb opefter. Data filen indeholder den del af registreringsdatabasen som har oplysningerne om den aktuelle bruger (hkey_current_user). Hver bruger få altså deres egen profil gemt på maskinen. Hvis man ønsker at brugerens profil skal følge med brugeren uanset hvilken maskine han/hun logger ind på skal man ændre profilen så det er en roaming (vagabondering) bruger profil. For at gøre profilen roaming skal den gemmes centralt på en server. Den lokale standard brugerprofil er placeret i følgende mapper: Windows 7, Windows Server 2008, Windows Server 2012 og Windows 2016: Drevbogstav: \ Users \ Default (f.eks. C:\Users\Default) Windows XP og Windows Server 2003: Drevbogstav: \ Documents and Settings \ Default User Lokal bruger profil for Frede 18 Bruger profiler Windows Frede S. Haahr TEC

129 Bruger profiler Windows Visning af brugerprofil på lokal maskine For at se de bruger profiler som er på den lokale maskine vælger man følgende (kun administrator kan se dem): Klik på Start, og vælg Windows System i rulle menuen og herefter Kontrolpanel dernæst System og Sikkerhed > System > Avancerede Systemindstillinger > Brugerprofiler > Indstillinger Bruger profiler på en Windows 10 PC Oprettelse af roaming bruger profil i eget hjem bibliotek Hvis brugerne har et hjem bibliotek og man ikke ønsker at have et fælles share til brugernes profiler, kan brugeren automatisk oprette profilen under deres eget hjem bibliotek. Første gang brugeren logger ind og ud oprettes brugerens profil f.eks. \\Server01\Bruger$\Per\profil. Fordi brugeren har rettigheden fuld kontrol til eget bibliotek kan han/hun oprette den nye profil. For at gøre det skal man i programmet Active Directory Users and Computers i brugerens properties under fanen Profile i feltet Profile Path skrives stien til profilen. Se billede herunder. TEC 18 Bruger profiler Windows Frede Haahr

130 3 Bruger profiler Windows 2016 Undersøgelse af roming profil For at undersøge om brugeren anvender en Roaming profile kan man logge ind som brugeren eller administrator på workstationen. Her kan man så se om filen er Local eller Roaming (vist herunder med Per som har roaming profil). Udføres på workstationen. Bruger Per med Roaming profil På serveren i Per hjemmappe kan man herunder se at profil mappen er oprettet. Årsagen til at der står V6 efter profil mappen, er at profil systemet løbende er blevet ændret. 18 Bruger profiler Windows Frede S. Haahr TEC

131 Bruger profiler Windows TEC 18 Bruger profiler Windows Frede Haahr

132 18 Bruger profiler Windows Frede S. Haahr TEC 5 Bruger profiler Windows 2016

133 1 Bruger profil øvelse Bruger profil øvelse Indledning I denne øvelse skal I oprette Roaming profiler til Brugeren Lone i Salgs-gruppen. Oprettelse af roaming profil Opsæt Lone i OU=SalgsAfdeling til at anvende Roaming bruger profiler. Profilerne skal placeres under Lone s hjem bibliotek som vist i linierne herunder: \\Server01\Bruger$\%username%\profil \\Server01\Bruger$\Lone\Profil (f.eks. Lone) Afprøv om brugeren kan ændre Windows opsætning og om ændringen gemmes når brugeren logger ud. Afprøv også om brugerens profil følger med hvis brugeren logger ind på en anden workstation f.eks.ws2. Undersøg hvilken type profil brugeren anvender og noter: Undersøg hvem der har rettigheder til biblioteket \\Server01\Bruger$\Lone\profil og hvilke rettigheder de har: 19 Bruger profil øvelse Frede S. Haahr TEC

134 Bruger profil øvelse 2 TEC 19 Bruger profil øvelse LMA

135 19 Bruger profil øvelse LMA TEC 3 Bruger profil øvelse

136 1 Net kommando syntax og Net Use NET kommando syntax og Net Use Indledning NET kommandoer bruges til at automatisere netværks opsætninger mv. på Windows. Kommandoerne virker i alle udgaver af Windows så som Windows 7, Windows 10 og alle server udgaverne. Den kommando vi skal bruge her på kurset er Net Use som kan mappe et drev til en sharet mappe. Kommandoen kan f.eks. bruges i Batch filer (.BAT). NET kommando syntax (på engelsk) NET HELP command -or- NET command /HELP Commands available are: NET ACCOUNTS NET HELP NET SHARE NET COMPUTER NET HELPMSG NET START NET CONFIG NET LOCALGROUP NET STATISTICS NET CONTINUE NET PAUSE NET STOP NET FILE NET SESSION NET TIME NET GROUP NET VIEW NET USE NET USER NET HELP SERVICES lists the network services you can start. NET HELP SYNTAX explains how to read NET HELP syntax lines. NET HELP command MORE displays Help one screen at a time. NET kommando syntax (på dansk) NET HELP commando eller NET kommando /HELP Der er følgende tilgængelige kommandoer: NET ACCOUNTS NET HELP NET SHARE NET COMPUTER NET HELPMSG NET START NET CONFIG NET LOCALGROUP NET STATISTICS NET CONTINUE NET PAUSE NET STOP NET FILE NET SESSION NET TIME NET GROUP NET VIEW NET USE NET USER NET HELP SERVICES viser netværkstjenester, som du kan få Hjælp til. NET HELP SYNTAX forklarer, hvordan syntakslinjer i NET HELP skal læses. Kommandoen NET HELP MORE viser Hjælp med et skærmbillede ad gangen. 20 NET kommando syntax og Net Use Frede Haahr TEC

137 Net kommando syntax og Net Use 2 NET USE kommando syntax dansk NET USE tilslutter en arbejdsstation til en delt ressource eller frakobler en arbejdsstation fra en delt ressource. Når kommandoen bruges uden parametre,vises arbejdsstationens tilslutninger. NET USE [enhedsnavn *] [\\computernavn\sharenavn[\enhed] [adgangskode *]] [/USER:[domænenavn\]brugernavn] [/USER:[punktumopdelt domænenavn\]brugernavn] [/USER:[bruger@punktumopdelt domænenavn\]brugernavn] [[/DELETE] [/PERSISTENT]:{YES NO}]] NET USE NET USE Enhedsnavn \sharenavn \enhed adgangskode [enhedsnavn *] [adgangskode *]] [/HOME] [/PERSISTENT]:{YES NO}] Tildeler et navn for at tilslutte sig ressourcen eller angiver den enhed, der skal frakobles. Der findes to typer enhedsnavne: diskdrev (D: til og med Z:) og printere (LPT1: til og med LPT3:). Brug *-tegnet for at tildele det næste ledige enhedsnavn. \\computernavn Er navnet på den server, der styrer den delte ressource. Hvis computernavnet indeholder blanktegn, skal du sætte de dobbelte omvendte skråstreger (\\) og computernavnet i anførselstegn (" "). Computernavnet kan indeholde 1-15 tegn. Er netværksnavnet på den delte ressource. Specificerer en NetWare-enhed på en server. Du skal have installeret Client Services for NetWare (Windows Workstation) eller Gateway Service for NetWare (Windows NT Server) for at tilslutte NetWare-servere. Er den adgangskode, der giver adgang til den delte ressource. * Beder om adgangskoden. Adgangskoden vises ikke, når du skriver den. /USER domænenavn brugernavn /HOME /DELETE Angiver et andet brugernavn, hvormed tilslutningen foretages. Angiver et andet domæne. Hvis domæne udelades, anvendes det aktuelle domæne, der er logget på. Angiver det brugernavn, som du skal logge på med. Forbinder en bruger til hjemmemappen. Annullerer en netværkstilslutning og fjerner tilslutningen fra listen over vedvarende tilslutninger. /PERSISTENT Kontrollerer brugen af vedvarende netværkstilslutninger. YES NO Standardværdien er den sidst anvendte angivelse. Gemmer foretagne tilslutninger og gendanner dem ved næste logon. Gemmer ikke den foretagne tilslutning eller efterfølgende tilslutninger. Eksisterende tilslutninger bliver gendannet ved næste logon. Brug parameteren /DELETE til at fjerne vedvarende tilslutninger. NET HELP kommando MORE viser Hjælp med et skærmbillede TEC 20 NET kommando syntax og Net Use Frede Haahr

138 20 NET kommando syntax og Net Use Frede Haahr TEC 3 Net kommando syntax og Net Use

139 1 Login Script Login Script Indledning Et login script er fil som automatisk køres når man logger ind på maskinen. Login scriptet kan indeholde Net kommandoer, DOS kommandoer, PowerShell kommandoer og VBScript (Visual Basic Script) kommandoer. Login scriptet er ofte en batch fil (.bat) og i den skriver man så de kommandoer der skal afvikles automatisk. Login script kan i dag erstattes af Group Policies, som vi arbejder med senere på kurser. Eksempel på oprettelse af login script For at vise hvordan man opretter et login script bruger vi her et eksempel som mapper et drev til en Sharet mappe. Kommandoerne som vi gerne vil have afvikler er: NET USE U: /delete (sletter mapning til drev U: hvis der allerede er en mapning til U: ) NET USE U: \\Server01\Offentlig-Mappe (mapper drev U: til sharet Offentlig-Mappe) PAUSE (eventuelt - stopper login scriptet så man kan se hvis der er fejl. Bruges kun under afprøvning ) Når man skal skrive en batch fil er det praktisk at anvende programmet NotePad fordi der ikke kommer ekstra formateringsoplysninger i filen, kun de kommandoer som vi har skrevet. Derefter starter man NOTEPAD tekstbehandleren og skriver login scriptet som vist herunder. Scriptet giver vi navnet Login.bat og det skal gemmes i biblioteket: C:\Windows\Sysvol\Sysvol\tec.dom\Scripts Mappen Scripts er sharet som NetLogon og her skal alle login scripts placeres. 21 Login Script Frede Haahr TEC

140 Login Script 2 Aktivering af login script I Active Directory Users and Computers under brugernes Profile skal login script navnet Login.bat noteres under punktet: Logon Script (se billede herunder). Hvis det skal bruges af flere så husk at det skal indsættes for alle brugere. TEC 21 Login Script Frede Haahr

141 21 Login Script Frede Haahr TEC 3 Login Script

142 1 Login Script øvelse Login Script øvelse Indledning I denne øvelse skal I oprette et login script til alle brugerne i SalgsAfdelingen. Brugerne skal via login scriptet have mappet følgende drev: Drev U: Mappes til share Offentlig-Mappe ( \\Server01\Offentlig-mappe ) Oprettelse af login script I skal nu oprette et login script. Inden I laver scriptet kan det være en fordel at se hvordan og om kommandoerne i scriptet udføres. Så derfor skal I starte en Kommandolinje boks (DOS boks) og afprøve de enkelte NET USE kommandoer som er vist herunder, for at se hvordan de reagere. NET USE U: /delete NET USE U: \\Server01\Offentlig-Mappe PAUSE (eventuelt) Derefter starter I Notepad tekstbehandleren og skriver login scriptet som vist herover. Scriptet skal have navnet Login.bat og skal gemmes i biblioteket: C:\Windows\Sysvol\Sysvol\tec.dom\Scripts I Active Directory Users and Computers under brugernes Profile skal login script navnet Login.bat noteres under punktet: Logon Script. Husk at gøre det for alle brugerne i SalgsAfdelingen. Login på WS1 som en af brugerne og brug Windows Stifinder til at se om alt bliver opsat som beskrevet i Login Scriptet. NB! Når I har prøvet det skal I fjerne henvisningen til Login.bat i Active Directory Users and Computers under brugernes Profile User fordi vi også skal se på en anden måde at mappe drev på. 22 Login Script øvelse Frede Haahr TEC

143 Login Script øvelse 2 TEC 22 Login Script øvelse Frede Haahr

144 22 Login Script øvelse Frede Haahr TEC 3 Login Script øvelse

145 1 Group policies Group policies Introduktion Group policies er et regelsæt eller en politik for hvordan brugere og computere på nettet skal styres og opsættes. Med group policies kan man reducere og centralisere administrationen af nettet og dermed TCO (Total Cost of Ownership). Policies kan opsættes lokalt på computeren, på sites, på domæner eller OU er. Policies kan generelt styre følgende: Konfigurering af computere og brugere. Automatisk start af programmer når en bruger logger på/af eller når en computer stopper/starter. Automatisk installation og af installation af software. Konfigurering af sikkerhed. Group Policies er opdelt i to kategorier en for brugere og en for computere. Computer policies bliver udført under opstarten af Windows 2016 og at Bruger policies bliver udført ved Logon. Opstarts række følgen i Windows 2016 er vist herunder: 1. Når netværksdelen i Windows 2016 er indlæst, udføres Computer policies. 2. Startop scripts udføres. 3. Når en Bruger logger på indlæses Bruger profilen. 4. Brugerens policies indlæses. 5. Brugerens Logon Script udføres. Group Policy komponenter I group policy er der 2 elementer man bør kende: Group Policy Objects er konfigurations objekter til forskellige Active Directory objekter, så som OU er, domæner og sites. En GPO indeholder en eller flere policy (regler) for hvordan brugere og computere skal opsættes. Group Policy Templates (skabeloner) er placeret på system volume (sysvol) på domain controllerne og er mappe strukturen til GPO erne. GPT indeholder fil og applikationer som skal distribueres, software policies, scripts og sikkerhed information. 23 Group policies Frede Haahr TEC

146 Group policies 2 GPO Afviklings rækkefølge Når man benytter Group Policies er det meget vigtigt at vide i hvilken rækkefølge de bliver udført. Generelt kan man sige at den GPO der udføres til sidst er den der bestemmer. GPO er udføres som vist herunder med den lokale maskines GPO først, derefter Sites, Domain og til slut OU er som vist på illustration herunder. L S D ou ou Local -> Site -> Domain -> OU -> OU osv. I en ou kan man selv bestemme hvilken rækkefølge GPO erne skal udføres (hvad der skal prioriteres). TEC 23 Group policies Frede Haahr

147 3 Group policies Group Policies enheder Computer og User I Group Policies kan man automatisk opsætte computere og brugere med software, mappe drev osv. ved hjælp af programmet Group Policy Management. De enkelte elementer er vist og forklaret herunder: Computer configuration Policies Software Settings node (software installation og af installation) Windows Settings node (Scripts, security, policy based QoS) Administrative templates (registrerings database ændringer) Preferences Windows Settings (kan oprette filer, shares mv.) Control Panel Settings (kan fx opsætte om der må være USB drev, power options) User configuration Policies Software Settings node (software installation og af installation) Windows Settings node (Scripts, security, policy based QoS) Administrative templates (registrerings database ændringer) Preferences Windows Settings (Mappe Drev, oprette genveje, opsætning af applikationer) Control Panel Settings (power options, VPN opsætninger, regionale opsætninger) 23 Group policies Frede Haahr TEC

148 Group policies 4 Konfigurering af Group Policies Group Policies opsættes i programmet Group Policy Management. På billedet herunder er programmet vist med Tec.dom domænet aktivt og her kan man se at Default Domain Policy GPO en er aktiv for domænet, hvilket den er default. Alle opsætninger i domænet bliver altså bestemt af den. Under mappen Group Policy Objects kan man se de GPO er der er i domænet og OU er. Der er altså 2 GPO er i domænet nemlig Default Domain Policy og Default Domain Controller Policy. I det følgende vises hvordan man i Group Policy Management opretter en GPO som kan følgende: Fjerner Ur i Taskbar på Skrivebordet. Fjerner Run i Start (kun Windows 7 maskiner). Alle brugenes Dokument mapper skal placeres i deres respektive hjem mapper. TEC 23 Group policies Frede Haahr

149 5 Group policies Oprettelse af GPO som fjerner Uret i Taskbar på skrivebordet I Group Policy Management (GPM) klikkes på Tec.dom og herefter højre klikes på Group Policy Object og vælge New. Vi skal nu navn give GPO en og det gør vi som vist på billedet herunder med navnet Fjerner Ur i Taskbar på Skrivebordet: Herefter skal vi tilrette i den nye GPO, hvilket vi gør ved at højre klikke på den nye GPO og vælge Edit som vist på billedet herunder: Vi skal nu finde den opsætning der fjerner Ur på Taskbar. Det man skal lede efter hedder: Remove clock from the system notification area og det kan godt være lidt svært at finde. Men stien til at fjerne Ur med er vist på billedet herunder: 23 Group policies Frede Haahr TEC

150 Group policies 6 Her vælger vi at Enable (aktivere) Remove clock from the system notification area og afslutter med at klike på Ok. Vi skal nu tilføje GPO en til vores Site, Domain eller Ou. Vi vil gerne have at det skal gælde for alle i domænet Tec.dom så vi tilføjer GPO en som vist på billedet. Herefter er GPO en klar til brug. Bemærk! i Link Order (rækkefølgen) står Default Domain Policy først, så det er den GPO som har 1. prioritet (den der får det sidste ord). Men det kan der rettes på med pilene til venstre for GPO erne. TEC 23 Group policies Frede Haahr

151 7 Group policies Aktivering af GPO er Før en GPO kan virke skal den aktiveres. Normalt lader man bare systemet aktivere dem. Det sker efter minutter. Computer GPO er aktiveres under system opstart eller hver min. Bruger GPO er aktiveres under login eller hver min. Men hvis man gerne vil se resultatet af GPO en med det samme, kan man bruge programme GPupdate som aktiverer GPO en omgående. For at kører programmet startes en kommando prompt og indtaste følgende: gpupdate.exe /force /boot /logoff. /force gennemtvinger GPO opdateringer til alle sites, domæner og ou er /boot gennem tvinger genstart af maskinen,men kun hvis der er behov for det. /logoff gennem tvinger bruger logoff -> logon, men kun hvis der er behov for det. Bemærk at man ikke behøver at bruge /force /boot /logoff så spørger maskinen om man ønsker at reboote eller logoff / logon Herunder er vist ur før og efter GPO fjernede det: 23 Group policies Frede Haahr TEC

152 Group policies 8 Oprettelse af GPO som fjerner Run (Kør) i Start menuen I Group Policy Management (GPM) klikkes på tec.dom og herefter højre klikes på Group Policy Object og vælge New. Vi skal nu navn give GPO en og det gør vi som vist på billedet herunder med navnet Fjerner Run i Start Menuen: Herefter skal vi tilrette i den nye GPO, hvilket vi gør ved at højre klikke på den nye GPO og vælge Edit som vist på billedet herunder: Vi skal nu finde den opsætning der retter på Run i Start menuen og det kan godt være lidt svært at finde. Men stien til at Fjerne Run i Start menuen er som vist på billedet herunder: TEC 23 Group policies Frede Haahr

153 9 Group policies Her vælger vi at Enable (aktivere) Remove Run command from Start menu og klikke på Ok. Vi skal nu tilføje GPO til vores site, domain eller ou. Vi vil gerne have at det skal gælde for alle i domænet så vi tilføjer GPO en til tec.dom som vist på billedet. Herefter er GPO en klar til brug. Bemærk! i Link Order (rækkefølgen) står Default Domain Policy først, så det er den GPO som har 1. prioritet (den der får det sidste ord). Men det kan der rettes på med pilene til venstre for GPO erne. 23 Group policies Frede Haahr TEC

154 Group policies 10 Vi skal lige se på hvordan det ser ud når Run (kør) er i Start, så det er vist herunder: Computer GPO er aktiveres under system opstart eller hver min. og bruger GPO er aktiveres under login eller hver min. Så for at aktivere GPO en omgående kører vi programmet: gpupdate.exe /force /boot /logoff. Hvor /force gennemtvinger GPO opdateringer til alle sites, domæner og ou er og /boot og /logoff gennemtvinger genstart af maskinen eller logoff -> logon respektivt, men kun hvis der er behov for det. Herefter vil Run (Kør) menupunktet være fjernet på alle Windows 7 maskiner i domænet (Se billede). TEC 23 Group policies Frede Haahr

155 11 Group policies Oprettelse af GPO som placerer bruger dokument mapper i deres respektive hjem mapper Vi skal nu oprette en GPO som flytter brugernes dokument mapper til deres respektive hjem mapper. For at gøre det opretter vi som i det foregående eksempel en GPO og giver den et navn og går ind og tilretter (editere) GPO en som vist herunder: Vi opsætter GPO en så alle brugerne får en ny mappe under deres hjem mappe. F.eks. som vist nederst på billedet med Clair. 23 Group policies Frede Haahr TEC

156 Group policies 12 Til sidst skal GPO en Linkes (tilføjes) til Tec.dom og er herefter klar til brug. Brugerne vil opleve at deres hjemdrev Z: får mappen Dokumenter tilføjet. Det betyder at når brugerne gemmer i dokument mappen på den lokale maskine de er logget ind på, gemmes data på deres eget drev. Windows Installer Windows Installer er en af de meget anvendelige ting som findes Windows 2000/2003/2008/2012/2016. Windows Installer bruges til automatisk installation og afinstallation af software på computere. Hvis et program er installeret på en maskine vha. group policy vil Windows Installer styre alt omkring installationen. Hvis en bruger f.eks. sletter dele af et program genskaber Windows Installeren automatisk de manglende dele igen. Windows Installeren anvender *.MSI (Managed Software Installer) filer til installation. MSI filer indeholder et billede af maskinen før og efter installationen af et program, og alle de indtastninger og valg der er foretaget under installation af et program. Efter oprettelsen af en MSI fil kan den startes på samme måde som et exe program. Til at oprette MSI filer kan man anvende programmet WinInstall LE (Limited Edition). Programmet kan hentes gratis fra internettet. Automatisk installation af program vha. GPO. Vi skal nu oprette en GPO som automatisk installerer programmet Sokoban på computerne i salgsafdelingen. Så brugerne i salgsafdelingen automatisk får programmet installeret første gang de prøver at starte programmet. For at gøre det opretter vi som i det foregående eksempel en ny GPO og giver den et navn. Derefter går vi ind og tilretter GPO en som vist herunder: TEC 23 Group policies Frede Haahr

157 13 Group policies Herefter vælger vi det *.MSI program (Sokoban162) som skal installeres. Bemærk at programmet skal være placeret på et netværksdrev som brugerne og computerne har adgang til. Herefter skal vi vælge hvordan programmet skal afleveres hos modtageren. Hvor Published betyder at programmet annonceres i Add/remove Programs i kontrol panelet og brugeren selv kan vælge om programmet skal installeres. Assigned betyder at programmet skal installeres. Herefter er GPO en klar til at blive linket til ou=salgsafdelingen 23 Group policies Frede Haahr TEC

158 Group policies 14 Her linker vi GPO en til ou salgsafdelingen. Nu er Sokoban klar til installation og brugere fra OU salgsafdelingen der logger ind i får programmet installeret. Billederne herunder viser hvordan man på en workstation, installerer programmet til brugeren, blot ved klike på program-ikonet (Sokoban++). TEC 23 Group policies Frede Haahr

159 23 Group policies Frede Haahr TEC 15 Group policies

160 1 Group Policy øvelse 1 Group Policy øvelse 1 Indledning I denne øvelse skal der rettes i SalgsAfdelingens group policy så deres muligheder ændres mht. til start af programmer, desuden skal brugernes mappe Dokumenter flyttes til de respektive brugeres hjem mappe. Det sidste I skal prøve er at installere et program automatisk vha. GPO GPO opsætning fjern højttaler ikonet Konfigurer følgende for alle brugere i Salgsafdelingen: Opret en GPO som fjerner højttaler ikonet i Start menuen. Afprøv om GPO en virker med en af brugerne. GPO opsætning flyt brugernes dokument mapper til deres hjem mappe Konfigurer følgende for alle brugere i Salgsafdelingen: Opret en GPO som flytter brugernes lokale dokument mapper til deres respektive netværks hjem mapper på drev Z:. Noter stien i GPME (Group Policy Management Editor) hvor du opsætter Folder Redirection: Afprøv om GPO en virker med alle brugerne. Opret en fil og gem den i brugernes dokument mappe (det er default). Undersøg om den er gemt i brugerens hjem mappe på drev Z: Hvorfor er Folder Redirect smart? GPO Lockout policy Konfigurer følgende for alle brugere i Tec.dom: Opret en Lockout policy GPO og giv den navnet 3 forsøg og du er ude i 3 minutter. GPO en skal gælde for hele Tec.dom. Reglerne for GPO en skal være følgende: Ved 3 fejl login udelukkes brugeren i 3 minutter. Noter stien i GPME (Group Policy Management Editor) hvor du opsætter lockout policy: Afprøv om GPO en virker med brugeren Per. 24 Group Policy øvelse Frede Haahr TEC

161 Group Policy øvelse 1 2 GPO installation af software Konfigurer følgende for alle brugere i Salgsafdelingen: Alle brugere i SalgsAfdelingen skal have Sokoban installeret automatisk. MSI Sokoban kan downloades fra \\ x\download og husk at downloade hele mappen! Gem Sokoban på server01 s E:\program hvor alle har læse adgang. Afprøv om GPO en virker med brugerne Per og Lone. TEC 24 Group Policy øvelse Frede Haahr

162 24 Group Policy øvelse Frede Haahr TEC 3 Group Policy øvelse 1

163 1 Group Policy øvelse Group Policy øvelse 2 Indledning I denne øvelse skal der rettes i SalgsAfdelingens group policy så de får mappet et drev og deres muligheder begrænses mht. til start af programmer og opsætning af skærmen. Group policy opsætning Konfigurer følgende for alle brugere i OU Salgsafdelingen: Opret en GPO som mapper drev U: til \\Server01\Offentlig-Mappe (brug Drive Maps i Group Policy Management Editoren). Afprøv om GPO en virker med en af brugerne. Opret en GPO som bestemmer at brugerne ikke kan køre programmerne WordPad og Paint. Afprøv om GPO en virker med en af brugerne. Opret en GPO som fjerner Pictures ikonet fra Start menuen. Afprøv om GPO en virker med en af brugerne. Fjern muligheden for at opsætte skærmen. Afprøv om GPO en virker med en af brugerne. 25 Group Policy øvelse Frede Haahr TEC

164 Group Policy øvelse 2 TEC 25 Group Policy øvelse Frede Haahr

165 25 Group Policy øvelse Frede Haahr TEC 3 Group Policy øvelse

166 1 Print Server i Windows 2016 Print Server i Windows 2016 Indledning I Windows 2016 er udskrivning og printerstyring temmelig omfattende. Af faciliteter kan f.eks. nævnes automatisk oprettelse af printertilslutning til brugere via group policy, fjern administration af alle printservere, oprette printer pools (grupper), tidsstyret udprintning, Web print, TCP/IP print osv. En af de specielle ting som skal nævnes er, at printer driverne installeres på printserveren, hvilket betyder at der ikke er behov for at installerer dem på klient computerne. Print terminologi i Windows 2016 Når man skal arbejde med printere i 2016 er det meget vigtigt at forstå den terminologi (fagudtryk) som anvendes. Der er nemlig nogle store faldgruber med fx hvad "Printing Device" og "Printer" er for noget. Herunder er print enhederne forklaret: Printer: Software som forbinder operativsystemet / applikationen med "Printing device" (den fysiske printer). Print server: Printing device: Network-interface printing device : Print spooler : Queue : Printer pool : Printer driver En computer "Printer" softwaren er installeret og kører. Printserveren er den der modtager, og behandler dokumenter fra klienterne. Den fysiske printer, som fysisk er tilsluttet en printserver og som udskriver dokumenter på papir. Som "Printing device" den er blot ikke fysisk er tilsluttet en printserver, men direkte forbundet til netværket via det indbyggede netkort. Enheden kaldes også en netport eller printserverboks og kan evt. være indbygget i en printer som f.eks. i en HP 4000N. Modtager, styrer, tidsstyrer, fordeler dokumenter fra klienterne. Print spooleren opretter for hvert dokument en spool fil på printserverens disk. En kø er en samling af dokumenter som venter på at blive udskrevet. En opsætning hvor en "Printer" er tilsluttet flere "Printing device" (fysiske printer). Dette anvendes hvis der udskrives meget og en "Printing device" ikke kan følge med. Program som konvertere print kommandoer til at specifikt printer sprog som fx Post Script eller HPGL. Hver printer type har deres egen driver. 26 Print Server i Windows Frede Haahr TEC

167 Print Server i Windows Tegningen herunder viser de fysiske enheder sammenholdt med terminologien (fagudtryk) Printer Printer Printer pool 2 stk. printing device på en printer Printing device Print server Printing device Fysiske ledninger Netværk Klienter (Win MAC) Network-interface Printing device Fortsættes på næste side TEC 26 Print Server i Windows Frede Haahr

168 3 Print Server i Windows 2016 Installation af Print Service rollen Print service rollen opretter en print server på maskinen og giver mulighed for at styre print servere og printere på nettet vha. programmet Print Management. Her kan man styre alt med hensyn til printere så som deling (share) af printer på nettet, installere printer drivere, deploye printere via group policies osv. For at installere print service rollen skal man udføre følgende punkter: Fra Server Manager vælges Add Roles and Feature og vi sætter flueben i Print and Dokument Services og klik på Next. På Select Role Services side vælges Print Server og Internet Printing og klik på Next nogle gange og afslut med Install. 26 Print Server i Windows Frede Haahr TEC

169 Print Server i Windows Installation og share af Printer Når man skal installere og share en printer kan det gøre fra Print Management eller Control Panel. Vi vælger at gøre det fra Print Management fordi det giver de bedste muligheder for at styre printeren. For at installere en printer og share den på netværket skal man udføre følgende punkter: I Print Management højre klikes på serveren hvor printeren skal oprettes og vælge Add Printer På Printer Installations siden vælger man om printeren fysisk er tilsluttet serveren og hvilken port der skal bruges (f.eks. LPT1 eller LPT2) eller om der skal søges efter printeren på nettet eller om det er en TCP/IP printer. Printeren i vores eksempel er en TCP/IP printer, hvilket er det mest almindelige i dag, vi vælger derfor Add a TCP/IP or.. Herefter skal vi indtaste printerens IP adresse ( ) og lade softwaren selv detektere hvilken printer driver som skal bruges. TEC 26 Print Server i Windows Frede Haahr

170 5 Print Server i Windows 2016 Hvis Print Management ikke automatisk kan finde driver softwaren der passer til printeren vælger man selv printer driveren. Herefter skal man navngive printeren eller beholde det automatisk tildelte navn, som vis på billedet. Desuden skal printeren have et share navn (HP-LaserJet-Lok701) og her kan det være en fordel at lade lokaleplaceringen indgå i share navnet som vist på billedet. Klik på Next til installationen slutter. Herefter kan man se printeren i Print Management (se billede). Printeren skal listes i Active Directory og for at gøre det skal vi højre klikke på printeren og vælge List in Directory. 26 Print Server i Windows Frede Haahr TEC

171 Print Server i Windows Klient tilslutning til printserver (manuel tilslutning) For at tilslutte sig til en net printer skal man have Print permission printeren, hvilket man normalt har som bruger gennem gruppen Everyone. For at opsætte en klient til at anvende en netværks printer skal man udføre følgende punkter: For at Tilføje en netværks printer til computeren vælges menuen: Højre klik på Start > Kontrolpanel > Vis Enheder og Printere og her klikke på Tilføj en printer. Herefter søger systemet efter printeren og finder vores printer, som vi vælger at tilslutte. Husk at printeren skal være List in Directory eller vises den ikke. Til slut klikkes på Næste nogle gange og printeren er herefter tilsluttet og er klar til brug. TEC 26 Print Server i Windows Frede Haahr

172 7 Print Server i Windows 2016 Opsætning og styring af printserver Til at styre en printer eller printerserver bruger vi programmet Print Manager. For at opsætte generelle ting for printserverne, spool fil mv. højre klikkes i Print Manager på den printserver man vil rette på og vælge Properties (se billede). Spool mappe placering Her kan man så rette på hvor spool mappen skal placeres. Her er den placeret på drev C: som er der hvor operativ systemet også er installeret. Det er normalt ikke en god placering, for hvis der er gået noget galt med printeren fyldes spool mappen op og Windows operativ systemet kan ikke køre hvis der ikke er plads på dens swap fil. 26 Print Server i Windows Frede Haahr TEC

173 Print Server i Windows Printer opsætning For at opsætte generelle ting for en printer højre klikkes i Print Manager på den printer man vil rette på og vælge Properties (se billede). I vinduet "Properties" er der nu 6-8 menuer/faner at vælge alt efter hvilken printer der er tale om. Disse menuer er forklaret på de næste sider: General: Her kan man vælge printerens grund opsætning eller udskrive en test side. TEC 26 Print Server i Windows Frede Haahr

174 9 Print Server i Windows 2016 Sharing: Her kan man bestemme om printeren skal shares, vises i Directory og med hvilket navn. Desuden kan der installeres printer drivere til andre klienter. Ports: Her kan man bestemme hvilke udgange (porte) der skal udskrives til. 26 Print Server i Windows Frede Haahr TEC

175 Print Server i Windows Advanced: Her kan man tidstyre printeren, hvilken kan være praktisk hvis man har flere printere til den samme printing device (fysisk printer). En printer kan så aktiveres fra 8 til 16 (dag printer) og en anden printer fra 16 til 8 (nat printer). Brugere som ikke skal have dokumentet her og nu kan så bruge nat printeren. På samme måde kan man have to printere en med høj prioritet og en med lav. Her kan man også angive om der skal anvendes separator side mellem dokumenter og om der er en processor i printeren. Se de andre muligheder på billedet. Security: Her kan man opsætte bruger og gruppe permissions til printeren. TEC 26 Print Server i Windows Frede Haahr

176 11 Print Server i Windows 2016 Automatisk tilslutning til printer med Group Policy Når man skal opsætte workstations med tilslutning til netværks printer er det praktisk at det kan ske automatisk. For at gøre det skal man anvende Group Policies som vist i det følgende: I Print Management højre klikkes på printeren som skal Deployes (automatisk installeres på klient maskiner) og vælge Deploy with Group Policy. Herefter skal der vælges en Group Policy som printeren skal deploy es med og da vi kun har Default Domain Policy på nuværende tidspunkt vælger vi den. Desuden vælger vi at den skal ud på alle computere i Domænet. 26 Print Server i Windows Frede Haahr TEC

177 Print Server i Windows Her er printeren så deploy et til domænet Når brugeren derefter logger ind på en workstation i domænet vil de automatisk få printeren tilsluttet, som vist på billedet. TEC 26 Print Server i Windows Frede Haahr

178 13 Print Server i Windows 2016 Internet Printing Under installationen af Print Service rollen valgt vi også Internet Printing. Det betyder at vi kan styre printerne via Internet Explorer. For at hente printer server hjemmesiden indtaster man følgende: f.eks. Herunder er vist hvordan hjemmesiden kunne se ud Her er printeren HP LaserJet 4200/4300 valgt. 26 Print Server i Windows Frede Haahr TEC

179 Print Server i Windows TEC 26 Print Server i Windows Frede Haahr

180 26 Print Server i Windows Frede Haahr TEC 15 Print Server i Windows 2012

181 1 Print server øvelse Print server øvelse Indledning I denne øvelse skal tilføje Printer Service rollen til Server01 og installere en printer og share den på nettet. Desuden skal printeren deployes til hele domænet vha. Group Policies. Opgaver I skal nu udføre følgende på jeres netværk: Installer Printer Service Rollen på Server01 og vælg herunder Printer server og Internet Printing. Opret en printer på serveren og giv den navnet og share navnet: Lokale-701-Laserprinter. Printeren skal bruge TCP/IP printer device Richo som har IP adressen Vælg at printeren skal Listes i Active Directory Printeren skal deployes til brugerne og computerne i hele domænet Tec.dom Afprøv printeren både som administrator og som en af brugerne, ved at udskrive et par linjer fra programmet WordPad. Undersøg printer og printer server via Web adgangen. Noter Web adressen på Print Serveren: Hvilken Group Policy er printeren deployet med? Undersøg i Group Policy Mamagement programmet hvordan printeren er Deployet. For at gøre det højre klikes på GPO en og her vælge Settings. Noter stien til printeren: Er printeren Deployet til Computere eller Brugere? 27 Print server øvelse Frede Haahr TEC

182 Print server øvelse 2 TEC 27 Print server øvelse Frede Haahr

183 1 OSI 7-lags kommunikations modellen OSI 7- lags kommunikations modellen Indledning ISO (International Organization for Standardization) er en international standardiserings organisation som har til formål at udbrede industrielle standarder. Organisationen publicerede i 1984 OSI (Open Systems Interconnection) modellen. OSI modellen beskriver hvordan to netværks enheder kommunikerer. Kommunikationen opdeles i 7 lag, som hver udfører en lille del af den samlede kommunikation. OSI modellen gør det nemmere at beskrive og forstå kommunikationen. Når to computere kommunikere anvender de begge alle 7 lag, hvorimod hvis det er 2 switche anvender de kun de 2 nederste lag (som vist på tegningerne herunder). Logisk vej Lag 7 Applikation Lag 7 Applikation Lag 6 Præsentation Lag 6 Præsentation Lag 5 Session Lag 5 Session Lag 4 Transport Lag 4 Transport Lag 3 Netværk Lag 3 Netværk Lag 2 Data Link Lag 2 Data Link Lag 1 Fysisk Lag 1 Fysisk Lag 7 Applikation Lag 7 Applikation Lag 6 Præsentation Lag 6 Præsentation Lag 5 Session Lag 5 Session Lag 4 Transport Lag 4 Transport Lag 3 Lag 2 Netværk Data Link Logisk vej Lag 3 Lag 2 Netværk Data Link Lag 1 Fysisk Lag 1 Fysisk 27-1 OSI 7-lags kommunikations model Frede S. Haahr TEC

184 OSI 7-lags kommunikations modellen 2 7- lags modellen De 3 øverste lag kaldes ofte Applikationslagene, i modsætning til de 4 nederste lag som kaldes deres respektive navne (Fysisk, Data link, Netværk og Transport). De 7 lag og deres funktion er beskrevet i skemaet herunder. OSI-model med protokol eksempler Lag 7 Applikation Giver netværks adgang for programmer uden for OSI modellen f.eks. til visning af hjemmesider, tildeling af IP adresser, navne oversættelse til IP adr. og filoverførsel. HTTP (Hypertext Transfer Protocol), DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System), FTP (File Transfer Protocol), SMB (Server Message Block- Windows netværk) Lag 6 Præsentation Kode konvertering (MP3, TIFF), kryptering dekryptering og komprimering de komprimering af data. Lag 5 Session Etablerer, styrer og afslutter sessioner (kommunikation) mellem applikationer (Simplex, half duplex, fuld duplex ). Lag 4 Transport End to end forbindelser. Opbygger virtuelle forbindelser. Flow kontrol. Fejl kontrol og fejlkorrigering. TCP (Transmission Control Protocol) og UDP (User Datagram Protocol) Lag 3 Netværk Adresserer og router pakker på nettet. Forbindelsesløs kommunikation. Logiske adresser. IP(Internet Protocol) Lag 2 Data Link Kontrollerer adgang til det fysiske medie. Fejl og flow kontrol. Fysisk adressering. Pakker data i frames. Ethernet (IEEE og ) Lag 1 Fysisk Kabler, stik, datahastighed. Sender og modtager elektriske signaler. RJ45, Cat6 kabel, 1000Base-T TEC 27-1 OSI 7-lags kommunikations model Frede Haahr

185 27-1 OSI 7-lags kommunikations model Frede S. Haahr TEC 3 OSI 7-lags kommunikations modellen

186 1 IPv6 adresser IPv6 adresser Indledning IP adresser identificerer netværksenheder lige som telefonnumre identificerer telefoner. Alle enheder (f.eks. computere) på et IP baseret netværk skal have en unik Internet Protokol adresse så de kan adresserer og kommunikere med andre enheder. Når man i dag siger en IP adresse mener man normalt en IP version 4 adresse. Men antallet af adresser i IPv4 er ved at være brugt, så vi er så småt begyndt (år 2016) at anvende IPv6 hvor der er mange flere adresser. Det vil dog i mange år frem være IPv4 som er den fremhærskende protokol. Indtil videre er det mest internet udbydere som bruger IPv6 adresser men almindelige pc brugere har allerede IPv6 adresser på deres maskiner sideløbende med IPv4 (dual stack). Behovet for IP adresser er enormt og det stiger hele tiden fordi alle de netværks enheder vi omgiver os med skal have en IP adresse. Alle kan få en Global IPv6 adresse, det vil sige at NAT bliver overflødig. IPv4 En IPv4 -adresse er opbygget af 4 bytes med punktum mellem hver byte (A.B.C.D). Hver del er et tal mellem 0 og 255 decimalt, f.eks dvs. med 4 bytes har man 232 adresser, altså adresser i alt. Adresserne vises altid decimalt. IPv6 En IPv6 adresse er opbygget af 128 bit noteret som 32 hexa-decimale tal (0-9ABCDEF). Hex cifrene grupperes i 4 hex cifre med kolon imellem f.eks. IPv6 adressen fe80:0000:0000:0000:e54b:e637:fa70:9729. Hvert ciffer er tal mellem 0 og F (15) det vil sige med 128 bit ~32 hex cifre har man 2128 = adr. eller 340 sekstillioner adresser. Hexadecimale tal I IPv6 noterer vi adresserne som hexa-decimale tal. Et hex tal består af 4 bit og cifrene kan være 0-9ABCDEF. For at få en fornemmelse for hvordan tallene hænger sammen ser vi lige på et eksempel. 2 C 8 E 4 Hex cifre [0010] [1100] [1000] [1110] 16 binære cifre [ ] = 2 [ ] = C [ ] = 8 [ ] = E Her omregner vi fra binær til decimal til Hex og får resultatet 2C8E i hex Binær Decima Hexa- D C B A l decimal A B C D E F 27-2 IPv6 adresser Frede S. Haahr TEC

187 2 IPv6 adresser IPv6 adresse format I IPv6 omregnes de 128 bit til 32 hex cifre, som igen grupperes i 4 hex cifre med kolon imellem. En adresse kunne f.eks. være: 2001:0DB8:0000:0000:0004:9000:0000:701B For at gøre det lidt letter at læse og overskue adresserne er første regel: Foranstillede nuller i hver hex ciffer gruppe kan udelades, som vist herunder 2001:DB8:0:0:4:9000:0:701B Anden regel er: Flere grupper af nuller kan samles til :: men kun en gang i en adresse 2001:DB8::4:9000:0:701B eller 2001:DB8:0:0:4:9000::701B Et andet eksempel: 2001:0DB0:CAFE:5150:0000:0000:0000: :DB0:CAFE:5150:0:0:0:1 2001:DB0:CAFE:5150::1 IPv6 adresse typer og struktur I IPv6 har vi lige som i IPv4 adresser som har et bestemt formål som vist i skemaet herunder: Adresse type IPv6 adresse Beskrivelse Uspecificeret :: Viser at vi mangler en adr. kan sammenlignes med i IPv4 Loopback ::1 Loopback adr. så maskinen kan sende til sig selv. Kan sammenlignes med IPv Link-local FE80:: /64 Kan kun bruges på det lokale net. Kan sammenlignes med en APIPA i IPv4. Automatisk tildelt. Kan ikke routes. Unique local adresse/ Site-local Global Addresses /Global unicast FC00:: /7 Site lokal adresser. Kan sammenlignes med private adresse i IPv4: /8, /16 og /24. Kan routes men ikke uden for det lokale netværk 2000:: - 3FFF:: /3 Er de offentlige adresser som må anvendes indtil videre. Som offentlige IPv4 adresser TEC 27-2 IPv6 adresser Frede Haahr

188 3 IPv6 adresser Global Unicast Adresser Globale unicast adresser er det vi kalder offentlige adresser altså adresser som kan bruges på internettet. Der er indtil videre kun frigivet adresserne 2000:: til 3FFF:: /3 men når behovet for flere adresse frigiver IANA dem. Adresserne kan naturligvis routes så data kan komme rundt på internettet. Der allokeres 16 bit til intern subnetting og masken er normalt / bit 45 bit 16 bit 64 bit 001 Global Routing Prefix Subnet ID Interface ID Prefix Styres af IANA Prefix Tildelt top-level ISP er Subnet bit så organisationer kan subnette deres net Klient interface ID Tildeling af adresser IPv6 adresser kan tildeles enheder manuelt, automatisk og vha. DHCP server. Normalt lader man enhederne selv finde en IPv6 adresse ud fra hvad routeren (gateway) har af adresse. Routere, servere og lignende har naturligvis fast adresse. Manuelt o IPv6 adressen indtastes manuelt o Skal indtastes manuelt på routere og servere DHCPv6 o Der oprettes et eller flere scopes på en IPv6 DHCP server Autokonfiguration o Enheden finder selv sin IPv6 adresse, ved at spørge routeren og de andre enheder på netværket IPv6 adresser Frede S. Haahr TEC

189 4 IPv6 adresser TEC 27-2 IPv6 adresser Frede Haahr

190 27-2 IPv6 adresser Frede S. Haahr TEC 5 IPv6 adresser

191 1 IPv6 adresse øvelse IPv6 adresse øvelse Indledning I denne øvelse skal I undersøge IPv6 opsætningen på Server01 og WS1. Desuden skal I pinge med IPv6 adresser. IPv6 adresser I skal nu finde IPV6 adresserne på Server01 og WS1 og notere adresserne. Brug Ipconfig til at finde adresserne. Server01 IPv6 adresse: Noter adressen med alle 32 hex cifre: WS1 IPv6 adresse: Noter adressen med alle 32 hex cifre: Hvad kaldes den IPv6 adresse type som computerne har: Hvad kaldes adressen ::1? Google har nogle DNS servere på internettet som alle kan bruge. Adresserne for dem er følgende: Google Public DNS IP addresses The Google Public DNS IP addresses (IggPv4) are as follows: The Google Public DNS IPv6 addresses are as follows: 2001:4860:4860:: :4860:4860::8844 Noter Googles IPv6 DNS adresse med alle 32 hex cifre: Hvad kaldes den IPv6 adresse type som Googles IPv6 DNS servere har: 27-5 IPv6 adresse øvelse Frede S. Haahr TEC

192 IPv6 adresse øvelse 2 Test af IPv6 adresser 1. I skal nu prøve at pinge fra WS1til Server01 med IPv6 adressen. Hvis der ikke kommer svar, skal I finde fejlen. 2. I skal nu prøve at pinge ::1 adressen. Kommer der svar tilbage? TEC 27-5 IPv6 adresse øvelse Frede Haahr

193 27-5 IPv6 adresse øvelse Frede S. Haahr TEC 3 IPv6 adresse øvelse

194 1 DHCP Server 2016 DHCP Server 2016 Introduktion til DHCP En DHCP servers funktion er at styre og konfigurere TCP/IP opsætningen på computere/klienter som anmoder om det. DHCP serveren letter derved administratorens arbejde betydeligt, idet han/hun ikke skal rundt på alle maskiner og tildele IP adresser mv. Desuden kan den samme adresse ikke lejes ud 2 gange på samme tid, dvs. at man ikke kan få adresse konflikt. En DHCP server kan konfigurere DHCP klienter med mange forskellige parametre som fx: En IP adresse - subnet maske En gateway adresse Adressen på en eller flere DNS servere, proxy server osv. Processen med at udleje IP adresser mv. er opdelt i følgende 4 punkter: 1. DHCP-Discover udsendes fra en DHCP klient som ønsker en IP adresse, hvilket starter udleje processen. DHCP-Discover sendes som en broadcast (send til alle) meddelelse med modtage adressen fordi klienten ikke kender IP adressen på DHCP serveren, og da klienten ikke har en IP adr. sættes afsender adressen til I meddelelsen sender klienten også dens MAC adresse (fysisk adr.) og computernavn. 2. DHCP-Offer. Den eller de DHCP servere som modtager et DHCP-Discover sender en meddelelse som et broadcast med følgende indhold: Klient 1. DHCP-Discover 2. DHCP-Offer DHCP Servere a. Klientens MAC adresse b. En IP adresse som DHCP serveren tilbyder klienten c. Leje periode d. IP adressen på DHCP serveren 3. DHCP-Request 4. DHCP-Ack 3. DHCP-Request. Når klienten modtager DHCP-Offer fra en eller flere DHCP servere, broadcaster den et DHCP-Request med IP adressen på den DHCP server som den har taget IP adressen fra. Derved kan andre DHCP servere se at det ikke er deres IP adresse der er lejet ud. 4. DHCP-Ack meddelelsen sendes som en broadcast fra DHCP serveren for at fortælle at den har accepteret udlejningen. I meddelelsen sendes den udlejde IP adr. og resten af TCP/IP opsætningen. DHCP-Nack sendes hvis der er en fejl fx hvis en klient prøver at leje dens adr. igen og den er udlejet. Desuden kan klienten sende DHCP-Decline som betyder at der er fejl i TCP/IP opsætningen den fik tilbudt. DHCP-Release sendes når klienten er færdig med at bruge IP adressen. DHCP-Renew bruges til at forny en leje periode. Hvis der er tidsbegrænsning på udlejningen, spørger klienten efter ½ delen af tidsperioden om at forny udlejningen. Det er naturligvis altid den samme DHCP server den spørger om genleje. Hver gang en klient starter prøver den på at genleje den samme IP adresse fra den oprindelige DHCP server. Hvis dette ikke er muligt fortsættes med samme IP adr. til leje perioden er udløbet. Er lejeperioden udløbet prøver den at leje fra en anden DHCP server. 28 DHCP Server Frede S. Haahr TEC

195 DHCP Server Installation af DHCP server DHCP server rollen opretter en DHCP server på maskinen og giver mulighed for at tildele klienter IP adresser, netmaske, gateway, DNS server adr. mv. For at installere DHCP server rollen skal man udføre følgende punkter: I Server Manager fra Manage menuen vælges Add Roles and features og på siden Before You begin og de næste 3 sider klikkes på Next. På Select Server Roles siden sætter vi flueben i DHCP server og kliker på Next 3 gange og afslutter med Install. Herefter skal DHCP serveren Post-deplayment konfigureres. Dette gøres ved at klike på Complete DHCP configuration Se billede herunder. Herefter skal Serveren AD autoriseres (godkendes til at udlevere IP adr. i AD et Tec.dom) og vælge hvem det kan autorisere DHCP serveren. Vi vælger TEC Administratoren. Dette gøres ved at klike på Next og afslutte med klik på Commit. TEC 28 DHCP Server Frede Haahr

196 3 DHCP Server 2016 Konfiguration af DHCP server Herefter skal DHCP serveren konfigureres, dette udføres fra DHCP Manager som startes fra Server Manager > Tools >DHCP I DHCP manageren højre klikkes på IPv4 og vælger New Scope fordi vi gerne vil opsætte DHCP serveren til at uddele IPv4 adresser På Scope Name siden indtastes navnet på scopet f.eks. Netværk skole På IP Address Range siden indtastes adresse området som skal uddeles fra DHCP serveren og netmasken. 28 DHCP Server Frede S. Haahr TEC

197 DHCP Server På siden Add Exclusions and Delay siden kan man bestemmer hvilke adresse som ikke skal uddeles fra adresse scopet. Det kunne f.eks. være til print server eller enheder som skal have fast adresse. Desuden kan man forsinke afsendelsen af DHCPoffer så andre DHCP servere kan udlevere adresser før denne DHCP server. På siden Lease Duration kan man bestemme hvor lang tid klienterne kan leje en adresse. På Configure DHCP Options siden kan man vælge om man vil opsætte Gateway og DNS server adresse eller man vil vente til senere. Vi vælger her at opsætte det nu. På siden Router (Default Gateway) opsætter vi hvilken gateway adresse klienterne skal anvende. Husk at klikke på Add når der er indtastet en IP adresse så den bliver indlæst. TEC 28 DHCP Server Frede Haahr

198 5 DHCP Server 2016 På Domain Name and DNS Servers bestemmer vi hvilke DNS servere klienterne skal anvende og vi kan specificere hvilket domæne klienterne skal bruge til DNS navne oversættelse. Husk at klikke på Add når der er indtastet en IP adresse så den bliver indlæst. På WINS Server siden tastes Next for vi bruger ikke WINS server (de er erstattet af DNS servere) Herefter aktivere vi scopet og klikker på Next 2 gange for at afslutte opsætningen af scopet. Hvis man ikke har fået autoriseret DHCP serveren kan man i DHCP manageren nu Authorize (autorisere) scopet. Det gør man for at det kun er DHCP servere som er godkendt i Domænet som klienterne må modtage adresser fra. For at Authorize scopet højre klikker man på serveren og klikker på Authorize. Når det røde ikon ved IPv4 bliver grønt begynder DHCP serveren at uddele adresser. 28 DHCP Server Frede S. Haahr TEC

199 DHCP Server DHCP Server manager Fra programmet DHCP Server Manager kan man konfigurere serveren med nye scopes, rette i scopes, se hvilke adresser der er udlejet osv. Herunder er vist hvordan DHCP server manageren gerne skulle se ud efter installationen og opsætningen af scopet. Adresse pool (højre klik på Adresse pool for at rette i det) Address Lease (viser hvilke adresser der er udlejet og hvor lang tid) Scope Options (viser hvilke ekstra opsætninger som klienterne får dvs. DNS og Gateway adr. For at rette eller tilføje options højre klikkes på Scope Options) TEC 28 DHCP Server Frede Haahr

200 7 DHCP Server 2016 Reservations (Reservering af IP adresser) Her kan man reservere IP adresser til maskiner som skal have den samme IP adresse hele tiden. Man kalder det også Fast DHCP tildelt IP adresse. DHCP serveren tildeler IP adressen ud fra hvilken MAC adresse (fysisk adresse) klienten har. For at lave en reservering højre klikes på Reservations og vælge New Reservation (se billede). Herefter indtastes den IP adresse som klienten skal have og dens MAC adresse. Opsætning af DHCP klient For at opsætte en workstation (Win 10) som DHCP klient vælges følgende i Kontrolpanel: Netværk og internet > Netværk og Delingscenter > Ethernet > Egenskaber > TCP/IPv4 (Internet Protocol Version 4) > Egenskaber og vælge som vist på billedet 28 DHCP Server Frede S. Haahr TEC

201 DHCP Server For at se hvilken TCP/IP opsætning en computer har, kan man anvende kommandoen Ipconfig. Denne kommandoen kan også frigive og forny en IP adresse og TCP/IP opsætning. Ipconfig : Viser computerens IP adr., subnet maske og gateway adr. Ipconfig /all : Viser alle netværks opsætninger for maskinen Ipconfig /renew : Fornyer IP adressen for den angivne netværkskort Ipconfig /release : Frigiver IP adressen for det angivne netværkskort TEC 28 DHCP Server Frede Haahr

202 28 DHCP Server Frede S. Haahr TEC 9 DHCP Server 2016

203 1 DHCP øvelse DHCP øvelse Indledning I denne øvelse skal I opsætte og installere en DHCP server. En DHCP server bruges til at udleje IP adresser til klienter som anmoder om det. Når man opsætter DHCP serveren sætter man dens IP adresser i en pool. Disse adr. kan DHCP serveren så udleje. Installation og opsætning af DHCP server og klient I skal nu installere og opsætte en DHCP serveren på Server01, som beskrevet herunder: DHCP serveren skal konfigurere klienterne til at anvende gateway adressen DHCP serveren skal konfigurere klienterne til at anvende DNS serveren Udlejnings perioden skal være 1 dag. Adresser som kan udlejes er til Opsætning af DHCP klient I skal nu opsætte WS1 og WS2 som DHCP klienter, hvilket betyder at den får en IP adr. fra DHCP server. Test af DHCP server For at teste om DHCP serveren virker skal I starte en DOS boks. For at hente og se den nye TCP/IP opsætning taster I: IPCONFIG /RENEW IPCONFIG /ALL Noter følgende for WS1: Workstationens IP adresse: Default Gateway: DHCP serverens IP adresse: DNS server: Noter følgende for WS2: Workstationens IP adresse: Default Gateway: DHCP serverens IP adresse: DNS server: Hvilken server har I fået IP adressen fra: 28-5 DHCP øvelse Frede Haahr TEC

204 DHCP øvelse 2 Afprøv Ping kommandoen på WS1 og WS2 og noter resultatet herunder: Ping DHCP serverens IP adr. fra WS2 Ping WS1 IP adr. fra WS2 Kan de pinges? Prøv kommandoerne: Ipconfig /release efterfulgt af Ipconfig /all fra WS2 Afprøv PING kommandoen på workstationen og noter resultatet herunder: Ping DHCP serverens IP adr. fra WS2 Ping WS1 IP adr. fra WS2 Kan de pinges? Herefter indtastes kommandoen: Ipconfig /renew Kan man i DHCP server manageren se klienternes MAC adresser og evt. hvor? Reserverede IP adresser Opsæt DHCP serveren så WS2 får fast tildelt IP adressen Noter WS2s MAC adresse: Kan man i DHCP server manageren se at WS2 har fast IP og evt. hvor? TEC 28-5 DHCP øvelse Frede Haahr

205 28-5 DHCP øvelse Frede Haahr TEC 3 DHCP øvelse

206 1 File Server Resource Manager File Server Resource Manager Introduktion File Server Resource Manager er et sæt værktøjer som kan analysere, kontrollere og styre mængden og typen af data, der er gemt og gemmes på serveren. Værktøjerne er følgende: Quota Management (kvote styring) bruges til at styre (begrænse) hvor mange bytes som må gemmes i en mappe eller på et drev og rapportere om dette når grænseværdier er nået. File Screening Management giver mulighed for at forhindre, at bestemte filtyper blive gemt i en mappe eller på et drev og rapportere når brugerne gemme disse typer af filer. Storage Reports Management giver mulighed for at planlægge og konfigurere lager rapporter. Disse rapporter indeholder oplysninger om: kvote forbrug, Fil screeningen, Filer, der kan have negativ indflydelse på kapacitetsstyring, såsom store filer, duplikere filer eller ubrugte filer. Classification Management klassificering giver dig mulighed for at identificere, kategorisere og administrere filer ved hjælp af en bred vifte af egenskaber. I dette afsnit skal vi kun se på Quota styring og Fil screening. File Server Resource Manager installation For at installer File Server Resource Manager (FSRM) vælges Add Roles and Features i Server Manager. Under File og Storage Services vælges File Server Resource Manager som vist på billedet herunder. Herefter klikkes på Next indtil installationen starter. 29 File Server Ressource Manager Frede S. Haahr TEC

207 File Server Resource Manager 2 Quota Management konfiguration Vi skal nu se på hvordan man opsætter en disk kvote på max 150 MBytes i drev E:\dokumenter. For at opsætte en kvote startes programmet File Server Resource Manager fra Tools i Server Manager. I FSRM programmet højre klikkes på Quotas og her vælges Create Quota. Her angiver vi i hvilken mappe kvoten skal virke (E:\Dokumenter) og kliker i Custom Properties fordi vi selv vil vælge opsætningen i kvota. TEC 29 File Server Ressource Manager Frede Haahr

208 3 File Server Resource Manager Vi vælger at brugerne ikke må bruge mere end 150 MBytes på E:\dokumenter. Det er også muligt at opsætte en soft kvota så brugerne bliver gjort opmærksom på når de overskrider grænsen. Vi vil gerne have at der skal skrives i loggen (Event Viewer) når brugerne har brugt 85% af pladsen og 100% af pladsen for at gøre det klikke på Add og vælge grænseværdierne. Her vælges 85% grænsen Her vælges 100% grænsen 29 File Server Ressource Manager Frede S. Haahr TEC

209 File Server Resource Manager 4 Her efter ser kvotaen således ud og er næsten klar til brug. Vi mangler kun at trykke på Create. Vi kan eventuelt gemme kvotaen som en ny skabelon (template) med navnet Max 150 MBytes som vist herunder. I FSRM under Quota kan vi nu se at der er brugt 8 % af pladsen dvs. 12,4 MBytes TEC 29 File Server Ressource Manager Frede Haahr

210 5 File Server Resource Manager File Screening Management Vi skal nu se på hvordan man opsætter File Screening så der ikke kan gemmes audio og video filer på E:\dokumenter. For at opsætte en File Screening startes programmet File Server Resource Manager fra Tools i Server Manager. I FSRM programmet højre klikkes på File Screens og her vælges Create File Screen. Her vælge vi hvor der skal File Screenes (E:\dokumenter) og klikker på Custom Properties for at vælge hvilke filer som skal screenes. Her vælger vi Audio og Video files og klikker på ok og dernæst Create. 29 File Server Ressource Manager Frede S. Haahr TEC

211 File Server Resource Manager 6 Vi bliver nu spurgt om vi vil gemme File Screeningen som en skabelon (template) og det vil vi, vi gemmer den under navnet Forbyd Audio og Video filer. FSRM under File Screens kan vi nu se at screeningen er aktiv så der ikke kan gemmes audio eller video filer (f.eks. filer af typen.mp3) TEC 29 File Server Ressource Manager Frede Haahr

212 29 File Server Ressource Manager Frede S. Haahr TEC 7 File Server Resource Manager

213 1 File Server Ressource Manager øvelse File Server Resource Manager øvelse Introduktion I denne øvelse skal I opsætte Kvote styring og File Screening med programmet File Server Resource Manager. I kvote styringern (quota management) skal brugernes pladsforbrug i mappen E:\dokumenter begrænses til 50 Mbytes og i File screening skal vi forhindre at der gemmes musik filer i E:\dokumenter. Opsætning af Kvota styring I skal nu opsætte kvota styring i FSRM programmet efter følgende regler: Brugernes pladsforbrug i mappen E:\dokumenter begrænses til 50 Mbytes Der sendes advarsler til Event loggen (hændelses log) ved 85% forbrug af harddiskplads. Der sendes advarsler til Event loggen (hændelses log) 100% forbrug af harddiskplads. Afprøvning af Kvota styring For at afprøve om kvota styringen virker kan I fra kommando prompten oprette filer vha. programmet Fsutil (file services utility) som vist herunder. FSUtil File CreateNew Frede.txt (en fil med navnet Frede.txt på 48 MBytes oprettes) Noter hvad der sker når du opretter filen: FSUtil File CreateNew Frede.txt (en fil med navnet Frede.txt på 55 MBytes oprettes) Noter hvad der sker når du opretter filen: File Screening Management I skal nu opsætte File screening styring i FSRM programmet efter følgende regler: Der må ikke gemmes musik og video filer i mappen E:\dokumenter. For at afprøve om file screeningen virker kan I oprette en fil med fil extention.mp3 og gemme den i E:\dokumenter Noter hvad der sker når du opretter filen: 30 File Server Ressource Manager øvelse Frede Haahr TEC

214 File Server Ressource Manager øvelse 2 TEC30 File Server Ressource Manager øvelse Frede Haahr

215 30 File Server Ressource Manager øvelse Frede Haahr TEC 3 File Server Ressource Manager øvelse

216 1 RSAT øvelse RSAT øvelse Formål I denne opgave skal I installerer og afprøve RSAT (Remote Server Administration Tools) for Windows 10. RSAT gør det muligt for administratorer at administrere Windows Servere fra en ekstern computer, der kører Windows 10. Installation og afprøvning af RSAT på WS1 I skal nu installere RSAT på WS-1. Husk at I skal være logget ind på maskinen som Administrator. Brug installations beskrivelsen fra Microsoft som er indsat på de følgende sider. RSAT installationen (WindowsTH-RSAT_WS2016-x64.msu) skal I hente på følgende adresse: \\ x\download. Afprøvning af RSAT 1. Prøv de forskellige administrations programmer. 2. Prøv at oprette en ny bruger i OU SalgsAfdelingen med navnet Hugo Hansen RSAT installations beskrivelse fra Microsoft To install Remote Server Administration Tools for Windows 10 IMPORTANT: You can install Remote Server Administration Tools for Windows 10 only on the full release of Windows 10 Professional or Windows 10 Enterprise. 1. Download the Remote Server Administration Tools for Windows 10 package that is appropriate for your computer's architecture. You can either run the installer from the Download Center website, or save the download package to a local computer or share. If you save the download package to a local computer or share, double-click the installer program, WindowsTH-KB x64.msu or WindowsTH- KB x86.msu, depending on the architecture of the computer on which you want to install the tools. 2. When you are prompted by the Windows Update Standalone Installer dialog box to install the update, click Yes. 3. Read and accept the license terms. Click I accept. Installation requires a few minutes to finish. Fortsættes på næste side 31 RSAT øvelse Frede S. Haahr TEC

217 RSAT øvelse 2 NOTE: All tools are enabled by default. You do not need to open Turn Windows features on or offin Windows 10 to enable tools that you want to use. To turn off specific tools 4. On the desktop, click Start, click All Apps, click Windows System, and then click Control Panel. 5. Click Programs, and then in Programs and Features, click Turn Windows features on or off. 6. In the Windows Features dialog box, expand Remote Server Administration Tools, and then expand either Role Administration Tools or Feature Administration Tools. 7. Clear the check boxes for any tools that you want to turn off. Note that if you turn off Server Manager, the computer must be restarted, and tools that were accessible from the Tools menu of Server Manager must be opened from the Administrative Tools folder. 8. When you are finished turning off tools that you do not want to use, click OK. To uninstall Remote Server Administration Tools for Windows On the desktop, click Start, click All Apps, click Windows System, and then click Control Panel. 10. Under Programs, click Uninstall a program. 11. Click View installed updates. 12. Right-click Update for Microsoft Windows (KB ), and then click Uninstall. 13. When you are asked if you are sure you want to uninstall the update, click Yes. A known issue that may impact RSAT functionality Issue: Tabs missing from MMC Properties Impact: Windows 10 clients before the Anniversary Update Resolution: Update to the latest version of Windows 10 client and reinstall RSAT TEC 31 RSAT øvelse Frede S. Haahr

218 31 RSAT øvelse Frede S. Haahr TEC 3 RSAT øvelse

219 1 DNS server Windows 2016 DNS server Windows 2016 Indledning Vi skal i dette afsnit se på DNS serveren som er i Windows server Vi skal blandt andet se på oprettelse af navne records, forward lookup zoner og reverse lookup zoner. Bemærk at en DNS server altid har fast IP adresse og serveren den er installeret på bruger normalt dens egen DNS server (adr ). DNS serveren rollen er installeret på serveren, det sker automatisk når man opretter den første domain controller i domænet Tec.dom hvor Active Directory Domain Services installeres på maskinen sammen med DNS serveren. Undersøgelse af DNS server Efter installation af DNS serveren virker den som navne server (DNS) for Active Directory og som lokal navne cache for de maskiner som anvender den. For at starte DNS Manageren vælges følgende: Server Manager > Tools > DNS På billedet herunder er DNS managerens hovedskærm vist. Her er cachen åbnet og root-servers.net er vist, hvilket er de eneste som DNS serveren kender fra starten resten lærer den. Navne server cache hvor root-servers.net er vist. 32 DNS server Frede Haahr TEC

220 DNS server Windows Undersøgelse af Cached Lookups Før vi konfigurerer DNS serveren undersøger om den virker som cache DNS server. For at gøre det henter vi en hjemmeside ( på serveren og undersøger om navnet kommer ind i DNS Cached Lookups. Som vist er Host A recorden kommet ind i cachen med adressen Oprettelse af primary zone Når man opretter en ny zone oprettes der automatisk følgende 3 records: SOA (Start Of Authority). SOA viser hvem der er zone ansvarlig for domænet. Mail adressen for den ansvarlige vises også, som man kan skrive til hvis der er problemer med domænet. Se eksempel med Hold-4.dk zonen på næste side. NS (Name Server). NS viser hvilke navne servere der er oprettet for domænet. A (adresse). A recorden er host navngivningen og er den eneste Dkhostmaster undersøger på DNS serveren ved oprettelse af et nyt domæne. Normalt oprettes A recorden automatisk med serverens navn, men hvis det ikke sker, må man selv i gang med at oprette en A record (i eksemplet er den ikke oprettet). TEC 32 DNS server Frede Haahr

221 3 DNS server Windows 2016 Oprettelse af forward lookup zone For at oprette en Forward Lookup Zone til domænet Frede.dk udføres følgende: I DNS manageren højre klikes på Forward Lookup Zones og der vælges New Zone. I New Zone Wizard klikes på Next. På Zone Type siden vælges Primary og herefter klikes på Next. På Active Directory Zone Replication Scope side vælges To all DNS servers on domain controllers in this domain : tec.dom På Zone Name siden i name feltet skrives Frede123Frede123.dk.dk og herefter klike på Next. På Dynamic Update siden vælges: Allow only secure dynamic updates og herefter klike på Next. På Completing siden afslut wizarden ved at klike på Finish. Herefter er zonen Frede123.dk oprettet, billedet herunder viser zonen i DNS manageren. Zone info for zonen Frede123.dk 32 DNS server Frede Haahr TEC

222 DNS server Windows Oprettelse af reverse lookup zone Hvis det skal være muligt at spørge om FQDN navnet og man kun kender IP adressen skal der oprettes en reverse lookup zone. Her skal zone navnet være IP net adressen bagfra plus in-addr.arpa. Fx hvis netadressen er oprettes zonen in-addr.arpa. eller hvis adressen er oprettes zonen in-addr.arpa som vist i eksemplet herunder. For at oprette en Reverse Lookup Zone til domænet Frede123.dk udføres følgende: I DNS manageren højre klikes på Reverse Lookup Zones og der vælges New Zone. I New Zone Wizard klikes på Next. På Zone Type siden vælges Primary og herefter klikes på Next. På Active Directory Zone Replication Scope side vælges To all DNS servers on domain controllers in this domain : tec.dom På Reverse Lookup Zone Name siden vælges om det skal IPv4 eller IPv6. Vi vælge IPv4. På Reverse Lookup siden indtastes network ID for nettet og herefter klikke på Next. På Dynamic Update siden vælges: Allow only secure dynamic updates og herefter Next. På Completing siden afslut wizarden ved at klike på Finish. Vi opretter en reverse lookup zone til netværket: ( klasse C) Oprettelse af reverse lookup zone for net x Reverse lookup zone x TEC 32 DNS server Frede Haahr

223 5 DNS server Windows 2016 Oprettelse af nye records til en zone Når man opretter en ny zone, oprettes der normalt 3 records (SOA, NS og A). Ud over de 3 records er der en mængde record typer man kan oprette. Herunder er de mest anvendte beskrevet: A (Adresse): Viser hvilken IP adresse en host har. Bruges sammen med forward lookup. Se eksempel herunder i Frede123.dk med www = MX (Mail exchanger): Specificere en post (mail) host for et domain og prioriteringen hvis der er flere post servere. Opsætningen betyder at når man skriver til fx ohansen@frede123.dk sendes brevet til post serveren på Frede123.dk zonen. CNAME (Canonical Name): Giver en host et alternativt navn, når en host skal have flere navne. Pointer (PTR): Viser hvilket host navn en IP adresse har. Bruges sammen med reverse lookup. For at oprette en Host A record i domain zonen vælges følgende: I DNS manageren klikes på zonen (Frede123.dk) hvor man ønsker at oprette en ny record. For at oprette en A record højre klikes på Frede123.dk. Her vælges New Host (A or AAAA). Hvor efter hostname (www) og IP adresse ( indtastes. Husk at sætte et flueben i Create associated pointer (PTR) record og afslut med Add Host. Oprettelse af A record www til Frede123.dk Domain zonen Frede123.dk med tilhørede records 32 DNS server Frede Haahr TEC

224 DNS server Windows Under oprettelse af hosten valgte vi at Create associated pointer (PTR) hvilket betyder at der oprettes en Reverse Lookup Pointer (PTR) som peger på Afprøvning af DNS server Til at fejlfinde på DNS servere anvendes programmet Nslookup. Programmet skal enten have IP adressen eller host navnet. Skriver man host navnet afprøver man om forward lookup på navnet virker, altså A recorden. Bruger man i stedet IP adressen afprøver man om reverse lookup virker, altså om PTR recorden er ok. Hvis der ikke angives en DNS server bruges default DNS serveren. Nslookup [host navn / IP adresse] - [DNS server navn] Primære og sekundære DNS zoner Når man på en DNS server opretter en primær zone file er der ikke nogen backup/redundans, så hvis serveren går ned kan man ikke få oversat navnet til en IP adresse. For at få en DNS infrastruktur med redundans kan man oprette Sekundære zoner på en anden DNS server, som så automatisk opdateres hvis der ændres på den Primære zone. Går Primær zone DNS serveren ned kan man få navneoversat på den sekundære. Hvilket også er de krav som DK-Hostmaster stiller til et domænenavn at det skal ligge på to uafhængige DNS servere. DNS server X (Placeret i Århus) Primær Zone: Firma-as.dk A-record = www ipadr. DNS infrastruktur med redundans. Zone Transfer DNS server Y (Placeret i København) Sekundær Zone: Firma-as.dk TEC 32 DNS server Frede Haahr

225 7 DNS server Windows 2016 Udskrift af zone fil for fts-kursus.dk via Dkhostmaster All times are listed in seconds The search for fts-kursus.dk returned: Server: Query about fts-kursus.dk for record types ANY Trying server ( )... Asking zone transfer for fts-kursus.dk... fts-kursus.dk IN SOA ftskursus.fts-kursus.dk. administrator.fts-kursus.dk. ( 24 ;serial (version) 900 ;refresh period (15 minutes) 600 ;retry interval (10 minutes) ;expire time (2 days) 3600 ;default ttl (1 hour) ) fts-kursus.dk IN NS ftskursus.fts-kursus.dk. fts-kursus.dk IN MX 10 post.fts-kursus.dk. ftskursus.fts-kursus.dk IN A post.fts-kursus.dk IN A IN A fts-kursus.dk IN SOA ftskursus.fts-kursus.dk. administrator.fts-kursus.dk. ( 24 ;serial (version) 900 ;refresh period (15 minutes) 600 ;retry interval (10 minutes) ;expire time (2 days) 3600 ;default ttl (1 hour) ) Transfer complete, 7 records received for fts-kursus.dk Found 3 hosts within fts-kursus.dk Found 1 duplicate host within fts-kursus.dk Found 0 delegated zones within fts-kursus.dk Explanations on a few of the RR's (Resource Records). Those not listed can be found in the RFC's, but you probably don't need them if you don't know which are what. MX = Mail exchanger - with preference. The lowest number handles the mail. A = Address (IP-number). AAAA = Address (IP-number, v6). CNAME = Canonical name - i.e. an alias. NS = Name Server - what servers are authoritative. HINFO = Host Information. 32 DNS server Frede Haahr TEC

226 DNS server Windows TEC 32 DNS server Frede Haahr

227 32 DNS server Frede Haahr TEC 9 DNS server Windows 2016

228 1 DNS Server Windows 2016 øvelse DNS Server Windows 2016 øvelse Indledning I skal i denne øvelse prøve at oprette DNS zoner manuelt, både forward og reverse. Desuden skal I undersøge cached lookups i DNS manager og DNS navne med kommandoen Nslookup. Opgaver 1. I DNS manager skal I undersøge cached lookups. For at gøre det skal I have vist Cached Lookup som vist på billedet herunder. Hvordan får man vist Cached Lookup? : 2. Hvordan får man vist de Root servere som DNS serveren kender? 3. Hent hjemmesiden og undersøg om den er kommet ind i Cached Lookups. Noter IP adressen for 33 DNS server 2016 øvelse Frede S. Haahr TEC

229 DNS Server Windows 2016 øvelse 2 4. Hent hjemmesiden og undersøg om den er kommet ind i Cached Lookups. Noter IP adressen for Noter IP adressen for 5. Opret en Reverse Lookup zone for netværket Opret en Forward lookup zone med navnet Superkursus.dk 7. Opret en A record (host) i Superkursus.dk med navnet www og IP adressen (husk at oprette en PTR record). Undersøg om der er oprettet en PTR record i Reverse Lookup zone og noter hvad der står i den: Prøv at pinge kan man det? 8. På server01 installerede vi rollen Print and Document Services og vi valgte at man skulle kunne se printerne via web server så derfor blev rollen Web Server (IIS) installeret. Denne webserver skal vi nu bruge sammen med DNS. Hent den hjemmeside som vi skal bruge på Server01 (Default.htm) på underviserens maskine ( x/download) og gem den i webserverens mappe som er C:\inetpub\wwwroot Start en Internet browser på WS1 maskinen og hent maskinens hjemmeside ved at indtaste adressen hvis du kan hente hjemmesiden må du fortsætte. Hent hjemmesiden kan man det? Undersøg Server01 s firewall opsætningen og se at det er rigtigt at man må henter hjemmesider fra maskinen. 9. Opret en A record (host) i tec.dom med navnet www og IP adressen TEC 33 DNS server 2016 øvelse Frede S. Haahr

230 3 DNS Server Windows 2016 øvelse 10. Til at fejlfinde på DNS servere anvendes programmet Nslookup. Programmet skal enten have IP adressen eller host navnet. Skriver man host navnet afprøver man om forward lookup på navnet virker altså A recorden. Bruger man i stedet IP adressen afprøver man om reverse lookup virker altså om PTR recorden er ok. Hvis der ikke angives en DNS server bruges default DNS serveren. Nslookup [host navn / IP adresse] - [DNS server navn] 11. For at undersøge om en DNS server svarer rigtigt skal I anvende Nslookup. I skal nu prøve at lave et forward DNS opslag på vha. Nslookup. Noter kommandoen: I skal nu prøve at lave et reverse DNS opslag på IP adr vha. Nslookup. Noter kommandoen: 12. I skal nu prøve de DNS muligheder der er med IPconfig. For at få vist de mulighed der er i Ipconfig tastes følgende: Ipconfig /? Options: /displaydns /registerdns /flushdns Display the contents of the DNS Resolver Cache Refreshes all DHCP leases and re-registers DNS names. Purges the DNS Resolver cache Prøv kommandoen Ipconfig /displaydns og noter hvad den laver: 33 DNS server 2016 øvelse Frede S. Haahr TEC

231 DNS Server Windows 2016 øvelse 4 Prøv kommandoen Ipconfig /registerdns og noter hvad den laver: Prøv kommandoen Ipconfig /flushdns og noter hvad den laver: TEC 33 DNS server 2016 øvelse Frede S. Haahr

232 33 DNS server 2016 øvelse Frede S. Haahr TEC 5 DNS Server Windows 2016 øvelse

233 1 Windows Server Backup Windows Server Backup Indledning Vi skal nu til at se på hvordan vi kan sikre vores data så de ikke forsvinder ved en fejl. De data der er tale om er kontrakter, regnskaber, bogholderi, breve osv. osv. Måden hvor på de kan forsvinde er mange f.eks.: Computernedbrud - sker altid, når du mindst har brug for det, og kan føre til tab af data. Virusinfektion - aggressive ondsindede vira kan ødelægge filer og de aktivere computere. Harddiskfejl - Harddiske har en begrænset levetid og kan svigte pludseligt og uden varsel. Den pludselige død på en harddisk kan forårsage tab af måneder eller år med uerstattelige filer, og timingen kan være katastrofal - hvis det sker tæt på en arbejds- eller skolefrist, kan det være et mareridts scenario. Fysisk computerskade hardware skade i serveren, brand, vandskade mv. Backup For at undgå problemer med data tab tager vi backup af vores data og gemmer backup fjernt fra serveren eller computeren. Backup kan foretages lokalt på en harddisk, på en NAS (Network- Attached Storage) eller på et SAN (Storage Area Network). En sikrere og mere effektiv metode til sikring af filer er online backup. Filer gemt online er sikre mod skade i firmaets servere, og hvis noget går galt med en server, har du stadig fjernadgang til dine oplysninger fra enhver computer med internetadgang. Det betyder, at filer hurtigt og nemt kan gendannes til din server fra en sikker online-server. 34 Windows Server Backup Frede S. Haahr TEC

234 Windows Server Backup 2 Windows Server Backup Til at udføre backup i Windows server 2016 har vi programmet Windows Server Backup. Programmet kan lave enkelt back (Backup Once), regelmæssig backup (Backup Schedule) og genetablering af backup (Recovery). For at starte Windows Server Backup vælges følgende: Server Manager > Tools > Windows Server Backup. På billedet herunder er Windows Server Backup skærmbilledet vist. Vi vil gerne lave en total backup af vores server og backup en skal fortages regelmæssigt hver uge. For at gøre det vælger vi Backup Scheduled og kliker på Backup Scheduled Herefter skal vi vælge hvad vi vil have med i vores Backup. Normalt vælger man alt, men under custom kan man vælge enkelt filer mv. Vi vælger Full Server dvs. alt. Vi skal nu vælge hvor ofte der skal lave backup. Det kan være en gang om dagen eller flere gange om dagen. Vi vælger en gang om dagen kl 18:30 TEC 34 Windows Server Backup Frede S. Haahr

235 3 Windows Server Backup Herefter skal vi vælge hvor vi skal placerer vores Backup data. Normalt vælger man et rigtigt backup drev dvs. et som kun skal bruges til backup. Det kunne også være et NAS (Network- Attached Storage) eller SAN (Storage Area Network) hvor vi ville gemme vores backup data. Vi vælge at anvende et drev som kun skal indeholde backup data Vi er nu klar til at start den tidstyrede backup, som laver en total backup kl 18:30 hver dag og gemme det på drev F: 34 Windows Server Backup Frede S. Haahr TEC

236 Windows Server Backup 4 Recovery af data Vi skal nu se lidt på hvor hvordan man kan genetablere (Recovery - Restore) - vores backup data. For at starte Recovery vælges Recovery i Windows Server Backup programmet. Det første vi skal er at vælge hvor backup dataene skal komme fra. Vores data ligger på Servere01 så den vælger vi. Vi skal nu vælge hvilken dato vi vil genetablere data fra. Vi vælger backup fra d.14/ TEC 34 Windows Server Backup Frede S. Haahr

237 5 Windows Server Backup Herefter skal vi vælge hvad vi vil genetablerer og her er der følgende muligheder: Files and Folders: Her kan man vælge hele serveren, et drev, en enkelt mappe eller en enkelt fil Volumes: Her kan man vælge data fra et helt drev f.eks. alle data fra C: Applications: Her kan man vælge programmer så som Active Directory, File Replication Service (FRS) eller registrerings databasen. System state: Her kan genetablerer Active Directory systemet med brugere, grupper, OU er domæner osv. Dette valg indebærer at maskinen skal genstartes i Directory Services Restore Mode (DSRM) og for at gøre det skal programmet MSconfig bruges. Her er File and foldes valgt og det som vi ønsker at genetablere er Administratorens Documents mappe. Desuden skal vi vælge hvor og hvordan data skal genetableres. Dvs. på den originale placering eller et andet sted og om data skal overskrives hvis de er der i forvejen. Vi er nu klar til at starte genetableringen af data. På Confirmation siden i Backup Recovery delen klikes på Recovery og reetableringen starter. Hvor lang tid reetableringen tager, afhænger af om det er en enkelt fil eller helt drev der skal genetableres. 34 Windows Server Backup Frede S. Haahr TEC

238 Windows Server Backup 6 Recovery af System state Hvis vi gerne vil genetablerer Active Directory systemet med brugere, grupper, OU er domæner osv. vælger man System State Recovery. Dette valg indebærer at maskinen skal genstartes i Directory Services Restore Mode (DSRM) og for at gøre det skal programmet MSconfig bruges. Vi starter med at vælge System State Recovery. Vi vil gerne have at Active Directory skal placeres på det oprindelige sted så vi vælge Original location og det skal være en Authoritative restore så alt genetableres. Hvis vi gør det vil systemet komme med en advarsel om at dette kun kan gøres i Directory Services Restore Mode (DSRM) (se billede). Hvilket vil sige at serveren skal startes uden Active Directory er indlæst og startet. For at sætte maskinen til at starte i DSRM mode har vi behov for programmet MSConfig. MSConfig bruges til system konfiguration og kan bestemme hvordan Windows skal starte op. Vi vælger Active Directory repair under Safe boot under fanen Boot. TEC 34 Windows Server Backup Frede S. Haahr

239 7 Windows Server Backup Herefter genstarter vi maskinen og når den starter igen kan man ikke logge ind på domænet fordi AD et ikke er starter. Vi skal derfor logge ind på den lokale maskine, med den lokale administrators password (Se billeder herunder). Vi er nu i Windows Safe mode og klar til at genetablere AD et. For at gøre det skal vi starte Windows Server Backup igen og her vælger vi så System State Recovery. Når vi starter recovery processen fortæller systemet at denne proces ikke kan stoppes og genstarter automatisk. 34 Windows Server Backup Frede S. Haahr TEC

240 Windows Server Backup 8 Efter genstart logger vi igen ind som lokal computer administrator. Når maskinen er klar startes programmet MSConfig igen og under fanen Boot vælger vi at fjerne fluebenet i Safe boot. Herefter klikes på Ok og vi genstarter computeren. Efter genstart logger vi igen ind så administrator på vores domæne (Tec.dom) og System State Recovery er færdig. TEC 34 Windows Server Backup Frede S. Haahr

241 34 Windows Server Backup Frede S. Haahr TEC 9 Windows Server Backup

242 1 Windows Server Backup øvelse Windows Server Backup øvelse Indledning I denne øvelse skal I lave backup og restore med værktøjet Windows Server Backup. Øvelsen foregår på Server01 som er domain controller for Tec.dom. Opsætning før backup Før I laver backup skal I oprettet følgende: På Server01 skal der installeres en ekstra harddisk (F:) på 30 Gbytes (fixed) som vi skal bruge til backup. Opret en OU med navnet Kursus-afdelingen Opret en global gruppe med navnet Ansatte og placer den i OU kursus-afdelingen Oprette en bruger med navnet Herbert i OU kursus-afdelingen og giv ham medlemskab af gruppen Ansatte Opret en fil på Mona s hjemdrev H:\ med navnet Monas backupfil.txt Start af Windows Server Backup I skal nu starte Windows Server Backup som ligger under Server Manager > Tools > Windows Server Backup. Noter hvad der sker når I starter programmet: Gør som programmet beder jer om! Total backup af Server01 I skal nu lave en total backup af server01 og gemme den på drev F: (30GB). Husk at fravælge backup af drev F: fordi det jo er destinationsdrevet for jeres backup. Når backup en er færdig skal I slette følgende: OU Kursus-afdelingen Gruppen Ansatte Brugeren Herbert Slet filen Monas backupfil.txt i Mona s hjemdrev. 35 Windows Server Backup øvelse Frede S. Haahr TEC

243 Windows Server Backup øvelse 2 Genetablering af Active Directory på Server01 I skal nu lave en System State Recovery af Server01 Active Directory og I skal bruge backup en I har på drev F: Hvilken mode skal serverens startes i for at kunne udføre System State restore? Hvorfor skal serveren starte i den mode? Når restore er færdig skal I undersøge om følgende er genetableret: OU Kursus-afdelingen Gruppen Ansatte Brugeren Herbert og han er medlem af gruppen Ansatte Om filen Monas backupfil.txt er i Mona s hjemdrev. Er alt genetableret? Genetablering af Mona s backupfil I skal nu prøve at genetablere Mona s fil Monas backupfil.txt på Mona s hjemdrev. Men før I gør det skal I eventuelt slette filen Monas backupfil.txt i Mona s hjemdrev. Når I har genetableret filen skal I undersøge om filen er på drevet, hvis den ikke er det, skal fejlen findes og der skal restores igen! Hvad betyder Scheduled backup? TEC 35 Windows Server Backup øvelse Frede S. Haahr

244 35 Windows Server Backup øvelse Frede S. Haahr TEC 3 Windows Server Backup øvelse

245 1 VPN - Virtual Private Network VPN - Virtual Private Network Indledning Virtual Private Network (VPN) bruges til at beskytte og sikre datatrafik mellem to enheder eller to netværk så andre ikke kan se hvad der bliver sendt. Man kan sige at VPN er et privat net gennem et offentligt net som f.eks. internettet. VPN er en teknik som opretter "punkt-til-punkt forbindelser (tunneler), gennem et datanet. VPN tunneller er normalt krypteret fordi man ikke ønsker at andre kan se hvad der er man sender. VPN kan give medarbejderne mulighed for sikkert at få adgang til en virksomheds LAN, mens de arbejder hjemme fra eller er uden for virksomheden. VPN bruges også til at skabe sikre forbindeles mellem geografisk adskilte kontorer i et firma. Kryptering At kryptere en besked er at prøve at gøre beskeden umulig at læse mellem afsender og modtager. På afsender siden kryptere vi beskeden og på modtager siden de-kryptere vi beskeden så den bliver læselig igen. Cæsar kryptering er et af de første systemer. Det blev benyttet af Julius Cæsar. Systemet virker ved at erstatte bogstaverne i den oprindelige tekst med det bogstav, der står 3 pladser længere fremme i alfabetet. Derved bliver A til D, B til E, C til F, D til G etc. Eksempel på Cæsar kryptering Teksten: Ghqqh whnvw hu nuøswhuhw Svaret er: Denne tekst er krypteret Symmetrisk krypteringsnøgle Når man anvender en symmetrisk krypteringsnøgle bruges den samme nøgle til kryptering og dekryptering. Bruger altså kun en nøgle, som både modtager og afsender skal have. Hvilket udgør en sikkerheds risiko når man skal udveksle den hemmelige nøgle. Krypterings algoritmerne kunne være: DES, 3DES, Blowfish, IDEA, RC4, AES. Er forholdsvis sikker ved brug af lange nøgler (mange ciffre). 36 VPN Windows Frede S. Haahr TEC

246 VPN - Virtual Private Network 2 Asymmetrisk krypteringsnøgle Public Key I asymmetrisk kryptering anvendes forskellige nøgler anvendes til kryptering og dekryptering. Der er ikke kun en nøgle men et nøgle par. Den ene nøgle kaldes den Private nøgle og den bruger afsenderen til at kryptere med. Den anden kaldes Public (offentlig) nøgle og den bruger modtageren til at dekryptere med. De to nøgler er matematisk relaterede til hinanden. Man kalder også denne form for kryptering Public-key. Udveksling af offentlige nøgler ingen sikkerheds risiko. Krypterings algoritmerne kunne være: 3DES, RSA, Diffie-Hellman, ECC, El Gamal. Public-key er en meget sikker krypterings måde. VPN (Virtual Private Network) Tunneling En tunnel er en vej mellem to enheder f.eks. som vist her med to Gateways hvorigennem trafik kan passere uændret (se tegning). Det kunne også have været mellem en VPN klient og en VPN server. En VPN tunnel kræver tre forskellige protokoller : Carrier protocol: er den protokol som overfører data mellem de to VPN enheder, F.eks. IP Encapsulation protocol: Protokollen som er pakket om vores originale data og data protokol. Kunne være GRE, IPSec, L2F, PPTP, L2TP. Passenger protocol: Det er de originale data og protokollen de ligger inden i, normalt IP. Tunnel IP-header bærer protocol Encapsulation protocol (fx GRE, IPSec, L2F, PPTP, L2TP) Indkapslet IP-datagram TEC 36 VPN Windows Frede S. Haahr

247 3 VPN - Virtual Private Network Encapsulation protokoller Der finde monge forskellige encapsulation protokoller og de har hver deres fortrin. GRE (Generic Routing Encapsulation) ældste VPN protokol, simpel og hurtig men ikke særlig sikker. PPTP (point to point tunneling protocol) Client-Server protokol som er meget benyttet i forbindelse med Microsoft klienter. L2TP (layer 2 tunneling protocol) Client-Server protokol som kombinerer mange faciliteter fra PPTP og L2F (layer 2 forwarding). Benyttes i Windows. IPSec (IP Secure Connection) Benytter 3DES kryptering (168bit) og betragtes som den mest sikre protokol. VPN tunnelling og kryptering Som sagt før, så sikre kryptering at uvedkommende ikke tyder vores data. Så hvis vi krypterer hele IP pakken, sikrer vi også hemmeligholdelse af identitet på afsender og modtager (Originale IP adresser) (se tegning). Windows server 2016 VPN I dette afsnit skal vi se på hvordan man opsætter en Windows 2016 serveren som VPN server. Der er flere måder at lave VPN på f.eks. kan man forbinde to lokal net via Internettet med en VPN forbindelse mellem de routere som forbinder lokalnettene. Her er det kun VPN serverene som skal konfigureres. Metoden kaldes Router to Router VPN. En anden måde at lave VPN på, er når en hjemarbejdsplads Pc skal forbindes til firmaets netværk via Internettet. Her skal der opsættes en VPN server i firmaet og hjemarbejdsplads Pc erne skal have en VPN klient installeret. Denne måde kaldes Remote Access VPN og det er den type der er forklaret her. 36 VPN Windows Frede S. Haahr TEC

248 VPN - Virtual Private Network 4 Installation af Remote Access Før vi kan opsætte VPN på Windows 2016 serveren skal Remote Access rollen installeres. For at gøre det skal følgende udføres: I Server Manager vælges Add Roles and Features Remote Access og i rolle servicen vælges "DirectAccess og VPN (RAS)" og herefter klike på install. Efter software installationen skal vi lige klike på Open the getting started Wizard (vejledning) og vælge Deploy VPN Only TEC 36 VPN Windows Frede S. Haahr

249 5 VPN - Virtual Private Network Konfigurering af VPN Server I skal nu konfigurere VPN serveren til at kunne modtage kald fra VPN klienter på Internettet. Dette udføres fra Routning and Remote Access i Server Manager på følgende måde: Klik på Routing and Remote Access og vælg Configure and Enable Routing and Remote Access og her klike på Next. I Configuration skal vi vælge typen af routing og remote access og her vælger vi: Custom hvor man kan vælge den kombination man ønsker i Routing and Remote Access. Vi vælger VPN access som custom konfiguration, hvorefter vi er færdige med at konfigurere. Det eneste vi mangler er at starte Servicen Routing and Remote Access, så det vælger vi. 36 VPN Windows Frede S. Haahr TEC

250 VPN - Virtual Private Network 6 Oprettelse af adresse pool til VPN klienter Vi vil gerne have et adresse pool til VPN klienterne. For at gøre det højre klikes på Server01(local) og vælge Properties. Herefter vælger vi fanen IPv4 og kliker i Static address pool. For at tilføje adresse pool et klikes på Add og indtaste start og slut adresse. Se herunder med adr. pool TEC 36 VPN Windows Frede S. Haahr

251 7 VPN - Virtual Private Network Oprettelse af VPN klient brugere på VPN serveren For at komme ind på VPN serveren skal man godkendes af VPN serveren med brugernavn og password. Vi skal derfor have oprettet VPN klient brugere og det gør vi fra programmet Active Directory Users and Computers. I Active Directory Users and Computers vælges den/de bruger som skal have VPN adgang. I brugerens Properties vælges fanen Dial-in og under Network Access Permission sættes en prik i Allow Access. Vi er nu klar til at lave en VPN connection til serveren med Per Hansen. Oprettelse af VPN forbindelse til VPN serveren Fra WS VPN Klient skal vi nu konfigurere en forbindelse til VPN server. For at gøre det vælges følgende: Start Indstillinger Netværk og internet VPN Tilføj en VPN-forbindelse 36 VPN Windows Frede S. Haahr TEC

252 VPN - Virtual Private Network 8 I Tilføj en VPN-forbindelse sætter vi navn på VPN forbindelse, IP adresse på VPN serveren, vælger VPN typen: Automatisk og at der skal bruges Brugernavn og adgangskode. For at logge på klikes på Opret forbindelse og indtaste password TEC 36 VPN Windows Frede S. Haahr

253 9 VPN - Virtual Private Network Test af VPN forbindelse For at teste VPN forbindelsen starter vi med at undersøge om vi har fået en IP adresse til VPN forbindelsen. Vi bruger Ipconfig til dette formål: IP adresse på Ethernet kortet VPN IP adresse på PPP adaptoren For at afprøve om vi kan får adgang til serveren mapper vi drev Z: til brugerens Pers hjemmappe og hvis vi kan som vist herunder er forbindelsen ok På serveren i programmet Routing and Remote Access under Remote Access Clients kan man se hvem der er logget ind på en VPN forbindelse. 36 VPN Windows Frede S. Haahr TEC

254 VPN - Virtual Private Network 10 TEC 36 VPN Windows Frede S. Haahr

255 36 VPN Windows Frede S. Haahr TEC 11 VPN - Virtual Private Network

256 1 VPN Windows 2016 server øvelse VPN Windows 2016 server øvelse Indledning I denne opgave skal I opsætte Windows 2016 serveren som VPN server. Den måde I skal opsætte VPN på er når en hjemarbejdsplads Pc skal forbindes til firmaets netværk via Internettet. Her skal der opsættes en VPN server i firmaet og hjemarbejdsplads Pc erne skal have en VPN klient installeret. Denne måde kaldes Remote Access VPN. Vores opstilling bliver kun VPN på den lokale netværk, men det kunne nemt være over internettet opstillingen og krypteringen ville være den samme. Opstillingen er vist på tegningen herunder: Switch Windows 2016 kursus Virtual WS1 VPN klient /24 VPN Server Opgave installation af VPN 1. Installer Remote Access på Server01 og vælg at der kun skal være VPN adgang. 2. Brugeren Mona skal have VPN adgang 3. Opret en VPN forbindelse fra WS1 som Mona kan anvende. Afprøving af VPN forbindelse 1. Log ind på domænet Tec.dom som brugeren Mona (på WS1). Undersøg hvilken IP adresse WS1 har og noter adressen: Log ind på Server01 og start programmet Routing and Remote Access. Undersøg om der er nogle remote access klienter. Er der det? 2. Installer Wireshark programmet på Server01. Start Wireshark programmet og opsamling af datapakker. Prøv at Pinge WS1 kontinuerligt (Ping t) fra Server01. Noter om Wireshark opsamler ICMP (Ping) pakker: 37 VPN Windows 2016 øvelse Frede S. Haahr TEC

257 VPN Windows 2016 server øvelse 2 1. Log ind på WS1 som lokal administrator af WS1. Log ind på VPN serveren01 fra WS1 som brugeren Mona. Noter IP adressen på Ethernet netkortet: Noter IP adressen på PPP adaptoren: 3. I skal nu mappe drev V: til Mona s hjemdrev og afprøve om hun kan gemme data på hendes hjemdrev. Hvis hun ikke kan det er det en fejl som skal rettes før i går videre. 4. Log ind på Server01 og start programmet Routing and Remote Access. Undersøg om der er nogle remote access klienter. Er der det? 5. Start Wireshark programmet og opsamling af datapakker. Prøv at Pinge WS1 på VPN adressen kontinuerligt (Ping x -t) fra Server01. Noter om Wireshark opsamler ICMP (Ping) pakker: TEC 37 VPN Windows 2016 øvelse Frede S. Haahr

258 37 VPN Windows 2016 øvelse Frede S. Haahr TEC 3 VPN Windows 2016 server øvelse

259 1 Firewall Firewall Indledning En firewall (på dansk brandmur) er en netværks enhed eller software, der bestemmer hvilke netværkspakker som skal have adgang fra den ene side af firewallen til den anden side efter et forud defineret regelsæt. Firewall indbygget i en router En firewall er et system som håndhæver en netværks adgangs kontrol politik, den kan således hindre uautoriseret adgang fra internettet til det interne netværk (LAN). Men den kan naturligvis også begrænse adgangen til internettet fra det interne netværk hvis det er det man ønsker. Nogle firewalls er blot simple datapakke filtre, hvor de mere avancerede kan bestemmer hvilke data flow som kan komme ind og ud af et LAN. Man kan f.eks. udmærket bestemme at trafik gennem firewallen kun må foregå hvis den er startet fra det lokalenet. Det gør man ved at kigge på SYNchronize bittet i TCP protokollen som anvendes under etablering af en forbindelse. Beskyttelses niveauet bestemmes af konfigurationen, det vil sige at det er administratoren som bestemmer hvor meget og hvordan. En firewall giver altså ikke sikkerhed automatisk, men bruges til at håndhæve de regler for netværkstrafik man har bestemt sig for er acceptable. Mange virksomheder og privatpersoner anvender ofte Firewalls som gateway (udgang) til internettet og de fleste firewalls anvender NAT (Network Address Translation). NAT er ikke en firewall funktion men en adresse oversættelses funktion. 38 Firewall Frede Haahr TEC

260 Firewall 2 Personlig firewall En personlig firewall er et program som beskytter den enkelte computer. Den bestemmer netværkstrafikken til og fra de netkort i computeren, hvor firewallen er aktiveret. Et spørgsmål om Personlig Firewall kunne lyde: Hvorfor skal jeg have en firewall, når jeg har antivirus? Det er fordi Firewallen beskytter mod angreb fra internettet, der udnytter sårbarheder på din pc. Antivirus beskytter mod virus, spyware og mail-orme. Så du har brug for begge typer beskyttelse. Et andet spørgsmål om Personlig Firewall kunne lyde: Skal jeg også slå Windows Firewall til, hvis jeg har en router med indbygget firewall? Ja, fordi routerbaserede firewalls kun yder beskyttelse mod computere på internettet og ikke mod computere på dit hjemmenetværk. Hvis en computer eller gæstecomputer på dit lokalenetværk opretter forbindelse til internettet og bliver inficeres med en computerorm (en virus), er den routerbaserede firewall ikke i stand til at forhindre, at ormen spreder sig. Hvis der kører en firewall på alle computere på netværket, kan det dog være med til at sikre, at orme ikke spreder sig. Normalt er en personlig firewall opsat til at: Tillade trafik som er starter fra maskinen. Tillade trafik fra internettet som er svar på trafik fra den lokalen maskine. Firewall og DMZ DMZ er en forkortelse af DeMilitarized Zone, ingenmandsland også kaldet demarcation zone. Formålet med en DMZ er at tilføje et ekstra sikkerhedslag i en virksomheds LAN. En virksomheds Web-, -, FTP og DNS-servere placeres ofte i DMZ. Der ved kan de både tilgås fra det lokale net (LAN) og fra internettet, men med forskellige regler for adgang til serverne alt efter om man sidder på det lokale net eller på internettet. Det betyder at man kan servicere, vedligeholde og anvende serverne fra LAN siden og på Internet siden kun kan anvende serverne. TEC 38 Firewall Frede Haahr

261 3 Firewall Firewall opsummering En firewall begrænser følgende angrebs typer: Denial of Services (DoS) Distributed Denial of Service (DDoS) TCP SYN Flooding Uautorisered adgang Port-scanning Osv. En firewall begrænser ikke følgende angrebs typer: Virus / Malware f.eks. trojanske heste, orm eller spyware. SPAM Phising Osv. Windows 2016 / Windows 10 firewall I Windows er der indbygget en Firewall. Umiddelbart ser Firewallen meget simpel ud, men det er kun fordi man normalt kun ser den simple brugerflade. I den avancerede del er der mange flere indstillinger. I Windows er der tre grund indstillinger af Firewallen: Domain-, Private-, og Public- Networks. Hvis man er tilsluttet et domæne er det altid den firewall opsætning som anvendes. 38 Firewall Frede Haahr TEC

262 Firewall 4 I den overordnede del af firewallen kan man følgende: Tillade en applikation at komme gennem Firewallen Firewall menu Bestemme om Firewallen skal meddele brugeren at den spærrer for en ny applikation Aktiverer eller deaktiverer firewallen Genetablerer firewall standard opsætning. Avancerede firewall opsætninger. TEC 38 Firewall Frede Haahr

263 5 Firewall Windows Firewall Advanced Security I Advanced Security kan konfigurere Firewallen på et meget detaljeret niveau. For at vise hvordan man anvender den, vil vi som eksempel oprette en regel som tillader at Serveren altid kan Pinges. For at starte Windows Firewall Advanced Security vælges følgende: Server Manager > Tools > Windows Firewall with Advanced Security Højre klik på Inbound Rules (indgående regel) og vælg New Rule Vi er nu klar til at oprette en ny regel som tillader at Pinge serveren. På Rule Type siden vælgen en Custom regel som skal gælde for All programs (alle programmer). 38 Firewall Frede Haahr TEC

264 Firewall 6 På Protocol and Ports siden vælger vi Protokol typen skal være ICMPv4 fordi det er ping vi gerne vil åbne for (ICMP Echo det er Ping). På Scope siden bestemmer vi at reglen skal gælde for alle IP adresser både local (lokale) og remote (fjern) adresser. På Action siden vælger vi Allow the connection (tillade forbindelsen). TEC 38 Firewall Frede Haahr

265 7 Firewall På Profile siden vælger vi at reglen skal gælde for alle profiler: Domæne, Offentlig og Privat På Name siden giver vi reglen navnet: Tillade Ping ind Så er reglen oprettet og vi kan afprøve reglen ved at Pinge Serveren. 38 Firewall Frede Haahr TEC

266 Firewall 8 Firewall opsætning med Group Policy Vi har i Windows 2016 også muligheden for at udrulle en Firewall opsætning ved hjælp af Group Policy. Herunder er det vist med tilladelse af ping. TEC 38 Firewall Frede Haahr

267 38 Firewall Frede Haahr TEC 9 Login Script øvelse

268 1 Windows 2016 Firewall øvelse Windows 2016 Firewall øvelse Indledning I denne øvelse skal I undersøge Windows Firewall og oprette en regel i Advanced Security. Oprettelse af regel i Windows Firewall I skal nu oprette en regel som forbyder WS2 at komme ind på Server01 s Webside og notere hvordan I opsætter det. Når reglen er opsat skal i afprøve om den virker. Hvad bruges den Domain profil til? Hvad bruges den Private profil til? Hvad bruges den offentlige profil til? 39 Windows 2016 Firewall øvelse Frede Haahr TEC

269 Windows 2016 Firewall øvelse 2 Ekstern test af firewall I skal nu teste skolens Firewall fra en ekstern server, for at gøre det skal I gå ind på siden: og klike på Services ShieldsUP Proceed Start med at undersøge om der er mapper som er delt (Share) i Windows, klik på File Sharing Er der mapper som er delt? Herefter undersøger I om der er porte som er åbne i Windows, klik på Common Ports Er der porte som er åbne? Herefter undersøger I om der er porte som er åbne i Windows, klik på All Service Ports Er der porte som er åbne? Afslut med at teste om vores router er sikret, klik på det orange billede med teksten GRC s Instant UPnP Exposure Test Ekstra hvis I har tid: Group Policy Firewall I skal nu oprette en Group Policy som tillader alle maskiner i domænet at kunne pinge. I skal naturligvis undersøge om reglen virker! TEC 39 Windows 2016 Firewall øvelse Frede Haahr

270 39 Windows 2016 Firewall øvelse Frede Haahr TEC 3 Windows 2016 Firewall øvelse

271 1 Sikkerhed og Antivirus Sikkerhed og Antivirus Introduktion til netværks og computer sikkerhed Computer og netværks sikkerhed handler om at beskytte personlige og virksomheders data. Så andre ikke kan udnytte eller kompromittere disse data. Det handler også om at beskytte private og virksomheders netværk, så de ikke ødelægges eller udnyttes af uvedkomne. I sidste ende handler det også om at beskytte Internettet, så det fungerer optimalt hele tiden. Det gælder altså om at implementere sikkerhed i alle led. Som en fast vending lyder: En kæde er ikke stærkere end det svageste led. I 1988 rammer den første orm/virus Internettet. Den kaldes The Internet Worm og 6000 maskiner rammes. Som en følge af denne orm/virus oprettes CERT (Computer Emergency Responce Team) som skal arbejde med sikkerhed på Internettet. Internettet og sikkerhed Internettets opbygning giver alle mulighed for at kommunikere med alle, men det betyder desværre også at virus, spam og kriminelle aktiviteter også kan nå alle brugere på nettet. At Internettet udgør en stor sikkerheds risiko er naturligvis det store antal personer og computere som hele tiden er på nettet. Det er nemt at finde ubeskyttede netværk og computere på nettet, så de kriminelle behøver ikke at lede længe. Næsten alt kører på Internettet så som: Telefon (Voice over IP), TV (TVoIP) og Web Radio Web og mail Net bank Adgang til det offentlige Danmark Adgang til firma net ol. via VPN (Virtuelt Privat Netværk) Fjernlagring af data (billeder, film, personlige data og virksomhed data). Mobilitet og sikkerhed Behovet for mobilitet er stærkt stigende. Der skal være konstant adgang til Internettet eller firma nettet uanset hvor man er i verden og vi har utallige muligheder for trådløs opkobling så som: Mobiltelefoni Bluetooth WLAN (Wireless LAN) GPRS (General Packet Radio Service) 3G og 4G (3. og 4. generations mobiltelefoni) Mange mobile enheder understøtter flere forskellige trådløse teknologier og indeholder mange funktioner så som: telefoni, kamera, GPS, mailklient, Webbrowser. Alle disse trådløse funktionaliteter giver store problemer med sikkerheden, fordi alle kan overvåge trafikken. Mobiliteten betyder at kryptering bliver en vigtig del af enhver kommunikations form. 40 Sikkerhed og Antivirus Frede Haahr TEC

272 Sikkerhed og Antivirus 2 Kilde Danmarks Statistik Risiko De fleste virksomheder er afhængige af Internettet og deres lokalnet, hvis nettet ikke kører er firmaet lammet. Produktionsudstyr og telefonsystem i virksomhederne kører via netværk. Mange virksomheder ville gå konkurs hvis de ikke havde net adgang i et par uger f.eks. banker. Hvis nettet ikke virker, ville privat personer heller ikke kunne få overført løn eller betale med kort. Netbankaftaler for private og virksomheder. Kilde: Finanstilsynet, bankernes EDB-centraler og Finansrådet. TEC 40 Sikkerhed og Antivirus Frede Haahr

273 3 Sikkerhed og Antivirus Truslen fra hackere har ændret sig De kriminelle følger værdierne I 1950 erne blev den Amerikanske bankrøver Willie Sutton spurgt hvorfor han røvede banker. Han svarede at han røvede banker fordi: Det var der pengene var. I dag er pengene i Cyberspace. Internettet giver kriminelle to fordele som de meget gerne vil have: Anonymitet og Mobilitet. Dag-nul angreb Et Dag-nul (eng. zero-day) angreb eller trussel er en computer trussel, som forsøger at udnytte ukendte sårbarheder i programmer og operativsystemer. Dag-nul angreb udnytter altså sårbarheder i software før producenten af softwaren har rettet fejlen med en patch (lap). Reaktionstiden før et angreb rammer, var i 1980 erne flere måneder. Hvor det i dag kun er få minutter. Udtrykket Dag-nul bruges også til at beskrive en ukendt virus eller dag-nul virus. Hacker tendenser Der er inden for de seneste år kommet meget mere fokus på sikkerheden i enheder som routere, servere (især mail-servere) og firewalls. Det har betydet at producenterne har øget sikkerheden i enhederne, men også at IT driftsafdelingerne er blevet bedre uddannede og dermed dygtigere. Hackerne er derfor i stigende grad blevet interesseret i applikationerne (programmer), f.eks. webapplikationer. Typisk giver virksomheder forholdsvis uhindret og ubeskyttet adgang fra Internettet og ind til web-serveren, og det er derfor sikkerheden på web-serveren selv og i webapplikationen, som skal holde hackerne ude, når de forsøger sig med SQL-injektion, cross site scripting og alle de andre populære web-hackermetoder. 40 Sikkerhed og Antivirus Frede Haahr TEC

274 Sikkerhed og Antivirus 4 Tekniske tendenser Tendensen er at det interne netværks grænser er ved at forsvinde. Før i tiden kunne netværksadministratoren nemt overskue hvor en virksomheds netværk startede og sluttede, men de dage er slut. Et virksomheds net er i dag meget større og mere forgrenet, med regionale afdelinger og afdelinger i andre lande. Det er mobile brugere, samarbejdspartnere og kunder som anvender VPN opkobling, bærbare pc er, PDA er, IP telefoner og smartphones som anvender trådløs opkobling. Det bliver derfor svære og svære at opretholde Perimeter sikkerheden (netværkets grænser mod omverdenen). Fokus skal derfor flyttes til følgende tre hovedpunkter: Opdeling af netværk Overvågning Sikkerhed på de enkelte enheder Opdeling af netværk For at kunne overskue og sikre en virksomheds net er det ofte nødvendigt at opdele det i mindre dele, så hvis der sker et angreb kan det forholdsvist nemt isoleres fra resten af nettet. Det store problem er at det kræver et godt overblik og masser af planlægning at opdele et netværk. Desuden tager det lang tid, hvilket IT-afdelinger normalt ikke har meget af. Overvågning Det er i dag svært at opretholde perimeter sikkerheden, så derfor vil enheder på det interne netværk før eller siden blive angrebet af f.eks. virus eller spyware. Det er derfor en god idé at overvåge netværket, så man opdager hvis noget går galt. Der findes flere systemer til at overvåge et netværk som f.eks.: Intrusion Detection System (IDS) som kan detektere hvis der er nogen som ændre på netværkets computere, hovedsageligt via Internettet. Intrusion Prevention System (IPS) som er et system der overvåger netværket for ondsindede eller uønskede handlinger på nettet og blokere eller forbygge disse handlinger. Det største problem med IDS/IPS systemer er opsætningen af disse. Ofte ved netværks administratorerne ikke hvad de skal kigge efter og derfor vil de måske overvåge alt. Hvilket let bliver uoverskueligt og besværligt. Anbefalingen må derfor være at starte i det små og så bygge videre ud fra de erfaringer man får. Sikkerhed på de enkelte enheder Mobile enheder er nok den type enhed som bryder netværks perimeter sikkerheden mest. Fordi de skal kunne koble op til firma nettet overalt: hjemme, i bilen, i toget, i flyet osv. De mobile enheder er bærbare computere, PDA er, IP telefoner og Smartphones og andre enheder som bruger trådløs opkobling. Samtidigt med at der kommer flere og flere at disse enheder, kommer der også flere trusler mod disse enheder. De mobile enheder skal i højre grad kunne sikre sig selv og vil i de kommende år se masser af sikkerheds features til disse. TEC 40 Sikkerhed og Antivirus Frede Haahr

275 5 Sikkerhed og Antivirus Bot-net / Zombie netværk Bot eller ro bots er ondsindet og uønsket software som får computeren til at blive til en zombie computer (en levende død) som kontrolleres af en internet kriminel også kaldet en bot master eller bot hyrde. En bot master eller bot hyrde kan foretage mange angreb på bot computeren så som stjæle passwords og kontonumre, gemme og distribuere børneporno på bot computeren. Bot eller ro bot software distribueres typisk via , virus og orme. Bot masteren kan også få bot computerne til at arbejde sammen og danne et bot-net. Bot-net bruges til: Massive DoS (Denial of Service) angreb Sende SPAM og Phishing Klik svindlere anvender bots til at øge omsætningen på Internetannoncer ved at sætte bots op til automatisk at klikke på dem. Bot-net ejere sælger adgang til deres bot-net. Computer Virus En computervirus er et program, der er i stand til at sprede sig til andre computere f.eks. via . Virussen kan ligge i et program eller en fil og udføre skadelige aktiviteter på din computer, som f.eks. slette filer eller programmer. Virus spredes nemmest ved hjælp af vedhæftede filer i s eller online meddelelser. Derfor er det meget vigtigt, at du aldrig åbner vedhæftede filer i s, medmindre du ved, hvem de er fra, og du forventer at modtage dem. Virus kan være forklædt som vedhæftede filer i form af underholdende billeder, lykønskningskort eller lyd- og videofiler. Virus kan også spredes via filer som man downloader fra internettet. De kan være skjult i software eller andre filer. Orme, trojaner, virusser de ondsindede programmer har mange navne. På de følgende sider beskrives de mest almindelige typer. Malware Malware er en sammenskrivning af "malicious software", som betyder ondsindede programmer. Malware er betegnelsen for ethvert program, som er ondsindet over for en bruger. Malware dækker både over vira, orme, trojanske heste, keyloggere, spyware og lignende. 40 Sikkerhed og Antivirus Frede Haahr TEC

276 Sikkerhed og Antivirus 6 Orm Orm (engelsk Worms) er en bestemt type virus der kan formere sig over datanetværk. En orm er ikke knyttet til et program eller en fil. Ormen spreder sig selv over det netværk, som computeren er tilkoblet. Ofte til alle i dit adressekartotek, eller ved at benytte din internet forbindelse til at søge efter andre maskiner med huller i sikkerheden. Det kan altså både være på det lokale netværk eller på internettet. Da ormen er afhængig af en forbindelse over et netværk, er servere de mest udsatte, fordi de som regel har fast forbindelse til nettet. Orm er ofte i brug før et større angreb af f.eks. DoS (Denial of Service), hvor en server bombarderes med henvendelser fra mange computere indtil de holder op med at virke. I dag har de fleste hjemmecomputere bredbåndsforbindelse til internettet i form af ADSL eller et kabelmodem. Hjemmecomputere kan lige som servere være på internettet hele tiden, hvilket gør dem mere udsatte for ormeangreb. Makrovirus Nogle programmer anvender makroer. Makroer er små programstykker, der kan udføre en række handlinger i forskellige slags programmer eksempelvis Word og Excel. En makrovirus er en virus, der er gemt i en makro. Når et dokument er ramt af makrovirus, kan virussen sprede sig til alle de dokumenter, du herefter åbner på computeren med det pågældende program. Bliver det inficerede dokumentet åbnet på en anden computer, bliver den også ramt. Eksempel på Macro Virus W97M/Azrael er en lille macro virus som indeholder én macro autoopen. Når virussen aktiveres viser en tekstboks på skærmen og hvis det er den 23. i en måned, sletter den også alle.dll filer i Windows. Trojansk hest/ trojan/bagdør En trojansk hest er i computer jargon et program, som giver en hacker / spion adgang til din computer. En trojansk hest angriber computeren indefra og kan blandt andet bruges til at indsamle password og andre login informationer, som så efterfølgende sendes til hackeren. En anden mulighed med en trojansk hest er at overtage kontrollen med computeren og derfra udfører ulovligheder, så hackerens identitet bliver sløret. En trojansk hest kan være skjult i et program, et spil eller en program opdatering som man har downloadet eller der kan være gemt i en computervirus, som så selv har installeret den trojanske hest. Den mest kendte computer-trojaner er fjernstyringsprogrammet Back Orifice. Trojansk hest er navnet på en krigslist, hvor fjenden lokkes til selv at lukke en hær ind bag sine forsvarsværker. Hæren var gemt i en meget stor træhest. Oprindelig udtænkt af Odysseus. TEC 40 Sikkerhed og Antivirus Frede Haahr

277 7 Sikkerhed og Antivirus Ransomware Ransomware er en kidnapningssoftware som låser computeren indtil man har betalt løsepengene. Ofte bliver ofret mødt af en dialog boks der truer med at der er observeret børneporno aktivitet på maskinen. For at gøre truslen effektiv checker programmet hvilket keyboard layout som bruges og hvis det er dansk oversættes truslen til dansk, men som det ses på billedet er det en robot oversættelse. Men i hvert fald skal ofret betale 100 euro. CryptoLocker er et af de alvorlige eksempler på Ransomware. Her trues ofrene med at alle dokumentfiler på pc en er krypteret og at man skal betale 300 euro for krypteringsnøglen, der kan gendanne dem. Truslens alvor understreges af et ur, der tæller ned. Ifølge bagmændene vil nøglen blive slettet fra deres server, når uret når til nul. Derefter vil ingen kunne gendanne filerne. Denne type virus er meget vanskelig at fjerne. Hvorfor får man virus? Mange virus typer udnytter de sikkerhedshuller og andre sårbarheder som er i den software vi anvender. Det er derfor meget vigtigt, at du opdaterer dine programmer. Operativsystemer og programmerne som vi anvende fungerer udmærket, selv om der er sikkerhedshuller i dem. De fleste vira er designet til at udnytte sikkerhedshuller i de mest brugte programmer som f.eks. Windows, Internet Explorer og Outlook, så de på den måde kan blive spredt til andre computere. Softwareproducenter forsøger løbende at lukke sikkerhedshullerne og sender derefter opdateringer ud til kunderne via internettet. Desværre kommer virus dem ofte i forkøbet. Så opdater dine programmer når der kommer nye opdateringer. Hvordan får man virus? Alt, hvad der kommer ude fra og ind i din computer, kan være kilde til virus. Det kan være , besøg på hjemmesider, CD er, DVD er og USB-nøgler. I dag er det , der er skyld i langt hovedparten af virusangreb. Hvis du får tilsendt en med virus, kan den sprede sig lynhurtigt til alle i din adressebog på computeren. Der er eksempler på virus, der har spredt sig jorden rundt på få minutter.nogle vira aktiveres ved, at du dobbeltklikker på en vedhæftet fil i din mail, andre kan aktiveres automatisk, hvis mailens indhold vises automatisk i et såkaldt preview-vindue i dit mailprogram. Har du adgang til Internettet, har du også mulighed for at downloade filer. Hvis du er uheldig, kan disse filer indeholde virus. Det kan være noget så uskyldigt som et tekstbehandlingsdokument eller et billede, som indeholder en virus. 40 Sikkerhed og Antivirus Frede Haahr TEC

278 Sikkerhed og Antivirus 8 Sådan undgår du virus? Der er desværre ikke nogen metoder eller produkter, der kan sikre dig 100 procent mod virusangreb. Selv om det er vigtigt at beskytte sig med antivirusprogrammer og firewalls, afhænger sikkerheden også meget af din adfærd. Det første, du skal gøre for at beskytte dig selv mod virus og hackere, er at være opmærksom på problemet. Opmærksomhed og gode vaner er vigtigt, når du bruger Internettet og computeren. Hvordan fjerner du virus? Har du fået en virus, så er det vigtigt, at du hurtigt sørger for at afbryde internetforbindelsen. Det gør du typisk ved at fjerne netværkskablet fra din pc. Det næste du skal gøre er at scanne computeren med et antivirusprogram. Herefter vil antivirus-programmet fortælle, om pc'en er inficeret eller ej, og hvordan du får virus fjernet Har du ikke et antivirusprogram, bør du anskaffe dig et og installere det på din computer. Nogle vira er nemme at komme med af med. Andre er så umulige, at man skal slette alt på computeren og begynde forfra med at geninstallere programmer og indhold. Det er derfor, det er vigtigt at tage backup af det, der ligger på pc'en - billeder, programmer, dokumenter og musik. Hvad er et Anti-virus program? Et anti-virus program kan scanne filer og advare dig inden de kommer ind på computeren. Sæt dit anti-virus program til automatisk at kontrollere for virus, hver gang du henter filer - hvor filerne end befinder sig. Sørg for at opdatere programmet ofte, da der hele tiden kommer opdateringer på grund af nye virusser. Anti-virus kan i mange tilfælde også gå ind og fjerne en virus, hvis du har fået den ind på computeren. Der findes mange forskellige Anti-virus programmet og hvilket der er det bedste må man selv undersøge. Her er et lille udsnit af Anti-virus programmer (2017): Avast Free Antivirus, AVG Internet Security, AVIRA Antivirus Pro, Bitdefender Internet Security, BullGuard Internet Security, Emsisoft Anti-Malware, escan Internet Security, ESET Smart Security, F-Secure Internet Security, Fortinet FortiClient, Kaspersky Internet Security, Lavasoft Ad-Aware Pro Security, McAfee Internet Security, Microsoft Security Essentials, Quick Heal Total Security. Gode råd mod virus Kør altid et antivirusprogram på din computer og sørg for automatisk opdatering. Hav en personlig firewall installeret Forhold dig kritisk til det, du modtager Slet fra ukendte afsendere uden at læse dem, slet e-post uden at læse dem, hvis teksten i emnelinjen ikke giver nogen mening, ser underlig ud eller undtagelsesvis er på engelsk - også selv om den er fra nogen, du kender Vær forsigtig med hjemmesider, der vil have dig til at gøre noget Vær forsigtig med hjemmesider, e-post og filer, der ser specielle ud Indtast aldrig din e-postadresse på hjemmesider, du ikke har tillid til Opdater dine programmer ofte Tag backup af vigtige filer regelmæssigt TEC 40 Sikkerhed og Antivirus Frede Haahr

279 9 Sikkerhed og Antivirus Spyware - spionsoftware Spyware er små spionprogrammer, som - uden din viden - indsamler informationer om dine interesser og vaner på Internettet. Disse informationer sender spywaren tilbage til bagmændene, som enten selv bruger oplysningerne i reklameøjemed eller sælger oplysningerne videre til andre. Spionprogrammerne indsamler typisk information om din adfærd på internettet, eksempelvis hvilke websites, du besøger, hvilke bannerreklamer, du klikker på, eller hvilke taster du klikker på. Gennem de oplysninger kan der hurtigt skabes en profil af dine interesser, og der kan derfor reklameres mere målrettet mod dig. Det er for de fleste brugere ubehageligt at blive overvåget på denne måde. Adware og Pop-ups Begrebet adware anvendes om programmer, som viser reklamer. I alle programmer, hvor der vises reklamer, kaldes med et fælles navn Adware. Reklamerne kan fremkomme som f.eks. pop-upvinduer eller via bannere. Adware kan retfærdiggøres, idet reklamerne hjælper med at nedbringe udviklings- samt købsprisen. Adware forveksles ofte med spyware, hvilket ikke er korrekt. Dog indeholder adware ofte koder, der videregiver brugerens oplysninger til tredjepart uden brugerens tilladelse eller kendskab. Denne funktion kaldes for spyware og betegner ikke adware-applikationen i sig selv. Phishing - identitetstyveri Phishing er en forholdsvis ny form for svindel (2005), hvor svindlere forsøger at stjæle dine personlige data, f.eks. CPR-nummre, kreditkortnumre, password eller andre personlige oplysninger. Typisk starter svindlen med at brugeren får tilsendt en som ligner et brev fra banken eller kreditkortselskabet, hvis indhold forsøger at få brugeren til at indsende sine oplysninger pr. eller logge ind på en falsk internetside, der f.eks. ligner bankens. En anden metode er, at en person lokkes til at opgive sine personlige oplysninger på en falsk hjemmeside. Målgruppen for phishingangreb er oftest uerfarne brugere, men forskning viser, at selv de erfarne internetbrugere bliver narret af de bedst udførte phishing angreb. Faktisk viser undersøgelser at hele 9 ud af 10 blev narret af de veludførte phishing angreb. Phishing udtales ligesom det engelske ord fishing. Spam Spam er uønskede mails, du modtager uden at have bedt om det. Det er typisk ikke et sikkerhedsproblem - bare temmelig irriterende for de fleste. Et eksempel på Spam kunne være følgende: Kendt dansk webbutik betaler danmarkshistoriens største spam-bøde (25. nov 2014). Med over spam-sms'er og mails får danske Smartguy en bøde på kroner, hvilket er en tangering af den største spam-bøde nogensinde i Danmark. Indberet den spam, du modtager, til Forbrugerombudsmanden på adressen int@spamklage.dk. Spam er en amerikansk begreb fra 1930'erne for en blandingsfødevare bestående af Spiced Pork and ham. Produktet sælges på dåse og består af flæsk og skinke, og er en art billig erstatning for "rigtigt" kød. Under 2. verdenskrig fik soldaterne i felten dette serveret og kom hurtigt til at hade det. Ordet blev derfor anvendt i negative sammenhænge. 40 Sikkerhed og Antivirus Frede Haahr TEC

280 Sikkerhed og Antivirus 10 Hoax Hoax er afledt af "Hocus pocus" og betegner et forsøg på at narre en person til at tro, at noget falsk er ægte. En hoax udbredes ofte som en practical joke med et humoristisk grundlag. Formålet er ofte blot, at få personer til at tro på historien. Hoax betyder altså spøg eller svindelnummer. En hoax er altså ikke en egentlig virus eller et program, men en falsk advarsel i en om en virus, der ikke findes. en kan indeholde en beskrivelse af en virus og en vejledning til, hvordan du fjerner den. Hvis du følger vejledningen, bliver du måske bedt om at fjerne en vigtig fil eller programdel på din computer. Hvis du gør det, virker computerens styresystem måske ikke længere. en er sandsynligvis sendt af nogen, du kender. En hoax spredes ved, at folk i god tro sender advarslen videre. En hoax kan f.eks. have en tekst, hvor der står noget i retning af: Send straks denne advarsel videre til alle dine venner. Et godt råd, som virker hver eneste gang, er at slette mails, som opfordrer dig til at sende en videre til andre i dit adressekartotek. Emne: Fw: advarsel Indhold: ADVARSEL TIL ALLE I KENDER!!!!!! Hvis du får en mail fra Powerpoint præsentation 'Welcome to the matrixpps..' så må du ABSOLUTT IKKE ÅBNE den!!! Der vises et billede i ca. 10 sek. og siden kommer en tekst 'You re harddrive is over' og så er alt for sent; alle adresser og alt som du ellers har gemt, makuleres bort. :-/ Det er et helt nyt virus som er programmeret af en fransk pirat som kalder sig Nwin2. KOPIER DETTE TIL ALLE DINE VENNER! DET ER ENORMT VIGTIGT!!! Og send dette til ALLE dine kontakter! TEC 40 Sikkerhed og Antivirus Frede Haahr

281 11 Sikkerhed og Antivirus Defender Windows Antivirus Defender er Microsoft anti-virus program. Det beskytter mod en masse forskellige ting så som: Virus beskyttelse og fjernelse af virus Malware beskyttelse og fjernelse af Malware Detektering og fjernelse af Spyware Boot-time beskyttelse Real-tids beskyttelse Netværks Gratis opdateringer 40 Sikkerhed og Antivirus Frede Haahr TEC

282 Sikkerhed og Antivirus 12 Windows Defender opsætning med Group Policy Vi har i Windows 2016 også muligheden for at styre Defender opsætning ved hjælp af Group Policy. Vi kan her styre hvor ofte der skal scannes, opdateres, hvilke filer der ikke skal scannes osv. TEC 40 Sikkerhed og Antivirus Frede Haahr

283 40 Sikkerhed og Antivirus Frede Haahr TEC 13 Sikkerhed og Antivirus

284 1 Antivirus øvelse Defender Antivirus øvelse Indledning I denne øvelse skal I undersøge anti-virus og spyware programmet Defender som følger med Windows 10 og Windows server Vi skal også prøven en online virusscanner. For at undersøge om programmet virker har vi nogle test virus. Øvelsen forgår på Windows 10 grundmaskinen altså ikke i Hyper-V. Defender anti-virus Windows Defender bruges til at undgå, at virus, spyware og anden skadelig eller uønsket software bliver installeret på din pc uden din viden. I denne øvelse skal i prøve om Defender kan finde nogle test virus (Eicar.com, Eicar.zip og Dobbeltzip-eicar.zip) og nogle andre filer som ofte betegnes som virus eller malware (Powerdkeylogger og CA som kan finde password på WLAN). Før vi kan kopiere virus over på maskinen skal vi lige deaktivere Defender. For at gøre det skal I starte Defender: Klik på Start, og vælg Windows System i rulle menuen og her vælges Windows Defender herefter vælge Indstillinger og slå beskyttelse i Realtid fra (se billede). Vigtigt: I skal nu bruge den udleverede USB stik. Fra USB stikken kopieres filerne Eicar.com, Eicar.zip, Dobbeltzip-eicar.zip, Powerd-keylogger og CA over i en mappe på skrivebordet. Herefter skal I aktivere Defenders realtidsbeskyttelse og kører en scanning af hele maskinen. 41 Antivirus øvelse Frede Haahr TEC