Администрирование windows

#8 – Предсказуемость конфигурации системы

Успешность большинства атак объясняется высокой предсказуемостью конфигурации системы в установке по умолчанию.

В мире открытых исходных текстов администратор может (и должен!) перекомпилировать все и вся, чтобы никакой хакер ни за что не догадался, по каким адресам лежат интересующие его функции. С Windows в этом плане ситуация намного сложнее, но не полностью безнадежна. Переименование ядра – эффективный способ борьбы с rootkit’ами, определяющими адреса функций путем вызова функции LoadLibrary(«ntoskrnl.exe») без проверки реального имени ядра, задаваемого через ключ «/kernel=» файла boot.ini. Рекомендуется переименовать ядро, например, в souriz.exe, а вместо ntoskrnl.exe положить ядро от другой версии системы, чтобы адреса экспортируемых функций отличались.

Те rootkit’ы, что правят файл непосредственно на диске, уйдут лесом, не достигнув желаемой цели (ведь ntoskrnl.exe уже никак не используется). Те же rootkit’ы, что осуществляют перехват в оперативной памяти, залезут совсем не в ту степь и вызовут BSOD, что хоть и неприятно, но успешное внедрение rootkit’а было бы еще хуже.

Естественно, после переименования ядра его необходимо обновить в кэше утилиты sfc.exe (иначе она немедленно его восстановит), а перед установкой пакетов обновлений – выполнить откат назад, поскольку пакеты обновлений (как и rootkit’ы) не проверяют реального имени ядра.

Установка системы на диск, отличный от С:, также уменьшает вероятность успешной атаки – большинство зловредных программ слишком бестолковы, а их создатели слишком ленивы, чтобы проверить переменные окружения, вот они и используют фиксированные абсолютные пути.

Что такое Windows Admin Center?

Windows Admin Center (WAC) – это инструмент удаленного управления серверами с помощью браузера. Он предоставляет полный функционал управления серверами, так же как уже привычные инструменты «Диспетчер серверов» и «Консоль MMC». Например, с помощью него можно:


  • Устанавливать и удалять роли и компоненты сервера;
  • Управлять пользователями (добавление, удаление и так далее);
  • Управлять процессами (что-то своего рода удаленного «Диспетчера задач»);
  • Управлять обновлениями;
  • Управлять сетевыми адаптерами;
  • Управлять службами;
  • Подключаться к реестру;
  • Управлять файлами и каталогами (можно сказать у WAC есть удаленный файловый менеджер);
  • И другой функционал управления серверами.

Системные требования и ограничения Windows Admin Center

Windows Admin Center можно установить на следующие операционные системы Windows:

  • Windows 10 (1709 или более поздняя версия);
  • Windows Server 2016;
  • Windows Server 2019.

С помощью Windows Admin Center можно управлять не всеми операционными системами Windows, а только перечисленными ниже:

  • Windows 10 (1709 или более поздняя версия);
  • Windows Server 2008 R2 (ограниченные возможности);
  • Windows Server 2012;
  • Windows Server 2012 R2;
  • Windows Server 2016;
  • Windows Server 2019.

При этом в случае с Windows Server 2008 R2, 2012 и 2012 R2, для того чтобы управлять серверами на базе этих операционных систем, требуется, чтобы на этих серверах был установлен Windows Management Framework (WMF) версии 5.1 или более поздней версии.

Также обязательно стоит отметить, что установка Windows Admin Center на контроллер домена не поддерживается.

Кроме того, использовать браузер Internet Explorer для работы с Windows Admin Center не получится, так как он не поддерживается, Microsoft рекомендует использовать современные браузеры, такие как Microsoft Edge или Google Chrome.

Варианты развертывания Windows Admin Center

Существует несколько вариантов развертывания Windows Admin Center.

1. Локальный клиент

Подразумевает установку на клиенте под управлением операционной системой Windows 10. Иными словами, Windows Admin Center Вы устанавливаете на своем рабочем клиентском компьютере и управляете серверами, т.е. на серверах ничего не нужно устанавливать и настраивать, все идет с клиента.

Именно такой вариант развертывания Windows Admin Center будет рассмотрен чуть ниже в этой статье.

2. Сервер шлюза

В данном случае Windows Admin Center устанавливается на сервере, который будет выступать как шлюз и будет доступен из любого места, т.е. для того чтобы управлять серверами, на клиентском компьютере Вы запускаете браузер, вводите адрес шлюза WAC и осуществляете управление всеми доступными серверами. Microsoft рекомендует использовать данный вариант для крупномасштабных сценариев.

3. Управляемый сервер

Этот вариант подразумевает установку на сервере, которым Вы хотите непосредственно управлять.

4. Отказоустойчивый кластер

Устанавливается в отказоустойчивом кластере, для обеспечения высокого уровня доступности службы шлюза.

Просмотр сценариев PowerShell, используемых в центре администрирования WindowsView PowerShell scripts used in Windows Admin Center

После подключения к серверу, кластеру или ПК можно просмотреть сценарии PowerShell, которые позволяют получить доступ к действиям пользовательского интерфейса в центре администрирования Windows.Once you’ve connected to a server, cluster, or PC, you can look at the PowerShell scripts that power the UI actions available in Windows Admin Center. В средстве щелкните значок PowerShell на верхней панели приложения.From within a tool, click the PowerShell icon in the top application bar. Выберите команду из раскрывающегося списка для перехода к соответствующему скрипту PowerShell.Select a command of interest from the dropdown to navigate to the corresponding PowerShell script.

Создание нового образа с помощью WDSCapture

Для создания образа операционной системы необходим компьютер без программного обеспечения. Установите на него операционную систему (подходят Vista, Server 2008, XP или Windows Server 2003, но данная статья ориентирована на Vista и Server 2008) и настройте по своему вкусу. Теперь все готово к тому, чтобы использовать утилиту Sysprep для подготовки компьютера; при этом будут удалены все уникальные идентификаторы, такие как имя компьютера и информация об IP-адресе. Для запуска Sysprep нажмите Start и выберите Run. В поле Run введите sysprep. Дважды щелкните на sysprep.exe, когда файл появится в области результатов. В диалоговом окне Sysprep установите флажок Generalize и выберите пункт Shutdown в раскрывающемся меню Shutdown Options,как показано на экране1. Нажмите кнопку OK. После выполнения Sysprep компьютер будет отключен.

Затем требуется выполнить загрузку через сеть (PXE-загрузка) на компьютере, подготовленном с помощью утилиты Sysprep. Перезапустите компьютер и приготовьтесь выполнить сетевую загрузку — это очень быстро. В одних компьютерах нужно нажать клавишу F12, в некоторых F2, а в других — специальную клавишу. Если режим сетевой загрузки отсутствует, то, возможно, потребуется заменить BIOS на версию с функцией сетевой загрузки. Редактирование BIOS для каждого компьютера имеет свои особенности, поэтому придется провести небольшое исследование конкретного типа компьютера. Экран будет черным, пока компьютер получает IP-адрес от сервера DHCP. Затем появится приглашение нажать клавишу F12 для загрузки.

Выберите пункт Create Image из списка образов загрузки, добавленных к серверу WDS. После загрузки Create Image появится картина, аналогичная показанной на экране 2. В ответ на приглашение X:\windows\system32> введите: Wdscapture


Появится экран приветствия мастера Windows Deployment Services Image Capture. Нажмите кнопку Next. На странице Image Capture Source выберите том из раскрывающего списка доступных томов. Если том C: отсутствует, значит, утилита Sysprep была выполнена неверно. Это распространенная ошибка; легко забыть о необходимости установить флажок в поле Generalize утилиты Sysprep. Если в раскрывающемся поле не видно символа дисков, нужно заново загрузить компьютер, ответить на вопросы мини-мастера установки Sysprep и вновь запустить Sysprep.После выбора обрабатываемого тома дайте образу новое имя и описание,как показано на экране 3. Нажмите Next.

На странице Image Capture Destination (см. экран 4) следует перейти к папке, в которой хранится образ (должна находиться на локальном диске). Введите имя создаваемого образа и нажмите Save.

Единственный вариант — сохранить образ локально. Выберите команду Upload image to WDS server. Введите IP-адрес сервера WDS. Можно использовать имя сервера WDS, но соединение с сервером может отказать из-за проблем с разрешением имен. IP-адрес надежнее.

Далее система предложит ввести учетные данные для проверки подлинности на сервере WDS. Введите имя пользователя и пароль и нажмите кнопку OK. После проверки подлинности отображается список групп образов в раскрывающемся меню Image Group name. Выберите группу образов, в которой нужно сохранить новый образ, как показано на экране 5, и нажмите Finish. Образ появится в области результатов в оснастке WDS под Install Images и выбранной группой образов.

Благодаря группам образов сокращается пространство, необходимое для хранения образов. Предположим, первый образ операционной системы Server 2008 Enterprise добавлен в группу образов с именем Ent08. Если в группу образов Ent08 добавляется второй образ операционной системы Server 2008 Enterprise (с приложениями, отличными от первого), активируется функция проверки экземпляров, которая проверяет каждый файл перед сохранением. Файл, уже существующий в группе образов, не сохраняется повторно, вместо него создается указатель на этот файл.

Сети

Итак, в плане морального выбора — сети, это самый простой вопрос. Сети используются повсеместно, большинство протоколов открыты и стандартизованы, а потому имеют реализации для всех операционных систем и сетевого оборудования. Поэтому изучение сетевых технологий обязательно и в то же время полезно как для администраторов, так  и для любых других IT специалистов (например программистов- да, да). Вопрос только в том, на сколько глубоко Вы хотите (или Вам нужно) их изучить.  Итак, вначале я дам несколько рекомендаций по поводу источников для изучения. А потом уже сконцентрируюсь на том, какие технологии, аспекты, моменты ( и прочие детали) Вы должны учить.

CCNA

Итак, самый лучший ( в плане полноты, структуры, формата подачи материала и практики) является курс Cisco CCNA. Курс меняется каждые несколько лет — что-то добавляется, что-то убирается, но суть курса остается неизменной. Пройдя его, человек, который не был способен даже настроить домашний роутер, сможет планировать и строить (а так же обслуживать) довольно крупные корпоративные сети. А главное, закладывается очень прочный фундамент для дальнейшего изучения.

Большинстве системных администраторов этого курса будет более чем достаточно в их профессиональной карьере. Дальше — лишь более глубокое практическое изучение и накопление опыта. Если Вы не хотите специализироваться в сетевых технологиях, CCNA это то, что математики называют «необходимо и достаточно».

Отдельно хочу отметить, что практическая сторона курса построена на использовании эмулятора сетей Cisco Packet Tracer. Великолепная штука на мой взгляд (с точки зрения обучения).

К сожалению, найти этот курс в открытом виде довольно сложно. Официальный курс, со всеми методическими материалами, лекциями и лабораторнымис расчитан на год изучения в неспешном темпе (2 занятия в неделю по 2 академ. часа примерно). В случае интенсивного освоения его можно пройти за 3 месяца (личный опыт, закончившийся успешной сдачей на сертификат).

Альтернативой (конечно частичной и не полной) может служить т.н. «курс молодого бойца» от Компании NetSkils.

Еще одна альтернатива очному курсу- подготовка по офф. печатным руководствам. То есть книгам:

  •  Уэнделл Одом. Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 100-101
  •  Уэнделл Одом. Официальное руководство Cisco по подготовке к сертификационным экзаменам CCNA ICND2 200-101. 

Альтернативные варианты

Если по какой-то причине описанное выше не для Вас, я могу предложить Вам пару альтернативных вариантов.

Вариант 1 — курс от ребят с Хабрахабр «Сети для самых маленьких».  Небольшой практико-теоретический курс. Глубоких знаний не даст, но позволит немного прояснить ситуацию для себя.


Вариант 2 — изучение по книгам — их две:

  • Эндрю Таненбаум. Компьютерные сети. Очень крупный, подробный академический труд.
  • Супруги Олифер. Компьютерные сети. Это больше учебник для вузов. Но очень хорошая книжка тем не менее.

Идеология и философия

И причем тут это, спросите Вы? Какая к лешему философия идеология- иди Операционку переставляй, драйвера ставь, обновления накатывай. И будете не правы. Это (философия и идеология) у нас должны быть и есть.

Для начала — Вы не в лесу живете и не лес рубите. Вы работаете в коллективе и с коллективом. И от того, как Вы это делаете зависит очень многое. Вам следует уяснить себе несколько очень важных вещей:

Вы не боги, а вокруг Вас не простые смертные. Да, сотрудники Вашей организации могут много не знать и не уметь. А они должны? Бухгалтерам до лампочки какой там у Вас Linux сервер, почему не встали обновления или рухнула база данных. У них свои проблемы и задачи. И в Ваших они разбираться не обязаны

Поверьте- в их головах массив информации не меньше по размере и не менее значим по Важности, чем у Вас. Попробуйте ка сходу сами сесть и разобраться, как сформировать и сдать годовой отчет налоговой, когда у Вас несколько юр лиц и Вы при этом работаете не по УСН

Поседеете, ей богу. Нет, конечно ходить за всеми и учить их как в Экселе табличку сделать Вы не должны. И если набирают абсолютно безграмотных с т.з. компьютерных знаний сотрудников на места, где эти знания необходимы — это вопрос к отделу кадров. Но в остальном — засуньте высокомерие себе куда по глубже, и идите дружите с коллегами. Они кстати, Вам за это будут благодарны. Научите тех же бухгалтеров работе с горячими клавишами и паре трюков в эксель, помогите отделу кадров и секретарям с настройкой фильтров в почтовом клиенте. Потратьте неделю своего времени на разработку регламентов и инструкций, запишите пару обучающих видео и выложите их в общий доступ. И всем будет от этого хорошо.

Вы отвечаете за ряд очень чувствительных и критичных с точки зрения бизнеса сервисов. Ошибка, из за которой не загружается компьютер у топ-менеджера это конечно плохо, но вот отсутствие нормальной схемы и системы резервного копирования может привести к таким печальным последствиям, что картина будет примерно такая:

Итак, что касается идеологии — это система идей и взглядов, которые Вы и Ваши коллеги должны исповедовать и придерживаться. Например «все должно работать, быть отказоустойчивым, доступным для легитимных пользователей и безопасным» — это идеология. В общих словах конечно но очень даже хорошая идеология. А вот «оно там как то работает, пусть и глючит, я исправлять не буду, если что- ребутом лечится» — это пример плохой идеологии, которая рано или поздно приведет к краху. Есть и отсутствие идеологии, из разряда — «позвали, я починил, не зовут, ну ок».

Философия — подход к познанию, к изучению, к работе

Например, что Вы открыты (с долей осторожности) для всего нового, а не запираетесь в мире «Windows XP лучшее что было, все прочее это свистоперделки», или «Windows must die, только Linux!»

В целом, все описанные выше книги и материалы так или иначе будут влиять на формирование Вашего мышления, подхода к работе… Но есть две книги, которые нацелены только на это. Обе принадлежат перу замечательного автора — Томаса Лимончелли:

  • Тайм-менеджмент для системных администраторов
  • Системное и сетевое администрирование. Практическое руководство

Ни одна из книг не несет в себе каких-то технических знаний. Вы не почерпнете оттуда информации, как настроить почтовый сервер postfix чтобы он авторизовался в Active Directory или подобное. Но они научат Вас правильно мыслить, передадут правильные методики и подходы по самым разным вопросам.

В дополнение к этому хочу поделиться парой интересных ссылок, касающихся автора:

  • Тест Лимончелли — вопросы, которые должен задать себе каждый сисадмин достаточно ленивый для того, что бы решать постоянные проблемы пользователей.
  • Список проверки глупых вещей — Вы решаете проблему в течение многих часов и внезапно осознаёте: «Бьюсь об заклад, дело в какой-то глупости!» Часто так и есть.

Создание новой виртуальной машиныCreate a new virtual machine

  1. В левой части панели навигации щелкните средство виртуальные машины .Click the Virtual Machines tool from the left side navigation pane.

  2. В верхней части средства «виртуальные машины» выберите вкладку » Инвентаризация «, а затем нажмите кнопку » создать «, чтобы создать виртуальную машину.At the top of the Virtual Machines tool, choose the Inventory tab, then click New to create a new virtual machine.

  3. Введите имя виртуальной машины и выберите виртуальные машины поколения 1 и 2.Enter the virtual machine name and choose between generation 1 and 2 virtual machines.

  4. При создании виртуальной машины в кластере можно выбрать узел для первоначального создания виртуальной машины.If you are creating a virtual machine on a cluster, you can choose which host to initially create the virtual machine on. При использовании Windows Server 2016 или более поздней версии средство предоставит рекомендации узла.If you are running Windows Server 2016 or later, the tool will provide a host recommendation for you.

  5. Выберите путь к файлам виртуальной машины.Choose a path for the virtual machine files. Выберите том из раскрывающегося списка или нажмите кнопку Обзор , чтобы выбрать папку с помощью средства выбора папки.Choose a volume from the dropdown list or click Browse to choose a folder using the folder picker. Файлы конфигурации виртуальной машины и файл виртуального жесткого диска будут сохранены в одной папке по пути к выбранному тому или пути.The virtual machine configuration files and virtual hard disk file will be saved in a single folder under the path of the selected volume or path.

    Совет

    В средстве выбора папок можно перейти к любой доступной общей папке SMB в сети, введя путь в поле имя папки в виде .In the folder picker, you can browse to any available SMB share on the network by entering the path in the Folder name field as . Для использования общей сетевой папки для хранилища виртуальных машин потребуется .Using a network share for VM storage will require .

  6. Выберите количество виртуальных процессоров, включить вложенную виртуализацию, настроить параметры памяти, сетевые адаптеры, виртуальные жесткие диски и выбрать, следует ли устанавливать операционную систему из файла ISO-образа или из сети.Choose the number of virtual processors, whether you want nested virtualization enabled, configure memory settings, network adapters, virtual hard disks and choose whether you want to install an operating system from an .iso image file or from the network.

  7. Щелкните создать , чтобы создать виртуальную машину.Click Create to create the virtual machine.

  8. После создания виртуальной машины и ее появления в списке виртуальных машин можно запустить виртуальную машину.Once the virtual machine is created and appears in the virtual machine list, you can start the virtual machine.

  9. После запуска виртуальной машины можно подключиться к консоли виртуальной машины через VMConnect, чтобы установить операционную систему.Once the virtual machine is started, you can connect to the virtual machine’s console via VMConnect to install the operating system. Выберите виртуальную машину из списка, щелкните » Дополнительно > Подключиться «, чтобы скачать RDP-файл.Select the virtual machine from the list, click More > Connect to download the .rdp file. Откройте RDP-файл в приложении подключение к удаленному рабочему столу.Open the .rdp file in the Remote Desktop Connection app. Так как это подключение к консоли виртуальной машины, необходимо ввести учетные данные администратора узла Hyper-V.Since this is connecting to the virtual machine’s console, you will need to enter the Hyper-V host’s admin credentials.

Особенности, требования и ограничения Windows Admin Center

Windows Admin Center поддерживает управление следующими версиями ОС: Windows Server 2016, Windows Server 2012 / R2, Hyper-V 2016/2012R2/2012, Windows 10, северами Azure, а также Core редакциями. Возможно также управление целыми кластерами: Failover Clusters, Hyper-V Clusters и виртуальными машинами Hyper-V на них.

На управляемый хост не нужно устанавливать никаких агентов или дополнительных расширений. Коммуникация осуществляется выполняется через Remote PowerShell и WMI over WinRM с помощью RESTful API. На управляемых серверах должен быть установлен как минимум Management Framework (WMF) 5.0 (Powershell 5.0). На Windows Server 2012 / R2 WMF 5.0 нужно становить отдельно.


Узнать поддерживаемую версию Powershell можно с помощью команды:

Сам веб интерфейс Windows Admin Centerнаписан на HTML 5 и корректно работает в Edge и Chrome (Internet Explorer пока полностью не поддерживается).

В последней доступной версии Windows Admin Center прямо из окна браузера поддерживается RDP подключение через веб-интерфейс и консоль PowerShell (см. https://winitpro.ru/index.php/2012/09/11/windows-powershell-webaccess/)

На Windows Server 2016 можно установить Windows Admin Center в режиме шлюза (Gateway Mode), в этом режиме возможно удаленно подключаться к консоли управление с других компьютерах. На Windows 10 / Windows Server 2012 клиент устанавливается в режиме Desktop Mode (консоль доступна только с локального компьютера).

Для авторизации на удаленных серверах можно вручную вводить данные для авторизации, или использовать Local Administration Password Solution (LAPS).

Что такое программный ЦОД Windows Server?What is Windows Server software-defined datacenter?

Программно-определяемый центр обработки данных (ЦОД) — распространенный отраслевой термин, который, как правило, обозначает центр обработки данных с полностью виртуализированой инфраструктурой.Software-defined datacenter (SDDC) is a common industry term that generally refers to a datacenter where all of the infrastructure is virtualized. Виртуализация играет ключевую роль. Это означает, что оборудование и программное обеспечение в центре обработки данных выходят за рамки традиционного соотношения один к одному.Virtualization is the key, and it simply means that the hardware and software in the datacenter expand beyond a traditional one-to-one ratio. За счет эмуляции оборудования с помощью гипервизора операционные системы и приложения можно абстрагировать от физического оборудования и умножить для объединения процессоров, памяти, устройств ввода-вывода и сетей в эластичные пулы ресурсов.With a software hypervisor emulating hardware, operating systems and applications can be abstracted away from physical hardware, and multiplied to form elastic resource pools of processors, memory, I/O and networks.

Реализация программного ЦОД корпорации Майкрософт состоит из технологий Windows Server, описываемых в этой статье.Microsoft’s implementation of the SDDC consists of the Windows Server technologies highlighted in this article. В ее основе лежит низкоуровневая оболочка Hyper-V, предоставляющая платформу виртуализации, на которой формируются сеть и хранилище.It starts with the Hyper-V hypervisor that provides the virtualization platform upon which networking and storage are built. Технологии безопасности, разработанные для уникальных задач виртуализированной инфраструктуры, устраняют внутренние и внешние угрозы.Security technologies, developed for the unique challenges of virtualized infrastructure, mitigate internal and external threats. Благодаря встроенной в Windows Server оболочке PowerShell в сочетании с System Center и/или Operations Management Suite можно программировать и автоматизировать подготовку, развертывание, настройку и управление.With PowerShell built into Windows Server, and the addition of System Center and/or Operations Management Suite, you can program and automate provisioning, deployment, configuration and management.

Технологии в составе Windows Server и System Center являются основными компонентами программного ЦОД Windows Server.The technologies built into Windows Server and System Center are the main building blocks of the Windows Server SDDC experience. Но несмотря на то, что это виртуализированная платформа, в ее основе должно лежать соответствующее оборудование.But even though it’s a virtualized platform, it still requires the right hardware underneath. Партнеры Майкрософт, участвующие в программах Программные решения Windows Server и Решения Azure Stack HCI помогут помочь вашей компании приобрести необходимое оборудование и ввести его в эксплуатацию в первый же день.Microsoft partners participating in the Windows Server Software-Defined (WSSD) Solutions and the Azure Stack HCI Solutions programs can help your enterprise acquire the right hardware and get it up and running on day zero.

Посмотрите видео, чтобы узнать больше о программно-определяемом ЦОД (SDDC) МайкрософтWatch a video to learn more about Microsoft’s SDDC

Скачайте PDF-файл с этой страницей в формате афишиDownload a poster size .pdf file of this page

#2 – Баги в процессорах

Ругая Windows (и отчасти Linux) за то, что программное обеспечение наших дней дыряво, как ведро без дна, мы почему-то забываем об аппаратной оснастке, считая «железо» совершенно непогрешимым. Увы, процессоры не лишены недостатков.

Самый громкий баг в Pentium был обнаружен в 1995 году и продемонстрирован на следующем примере: x — (x/y)*y, результат которого (если только y != 0) должен быть равен нулю, однако при определенных значениях x и y (x = 4195835, y = 3145727) процессор выдавал… 256! Потрясающая точность, не правда ли? Журналисты подхватили сенсацию и вынудили Intel пойти на замену процессоров, чего она изначально делать не хотела, доказывая, что людям, далеким от математики, точные вычисления не нужны, а вероятность проявления ошибки на произвольном (а не умышленно подготовленном) наборе данных близка к нулю.

С тех пор сообщений об ошибках в ЦП как будто бы не отмечалось. И потомузаявление Theo de Raadt’а (ведущего разработчика OpenBSD), что Core2Duo содержит огромное количество ошибок, многие из которых допускают удаленный захват управления, стало очередной сенсацией года.

Часть ошибок может быть исправлена программным путем (и разработчики OpenBSD сделали это, в отличие от лагеря NT-подобных систем), часть – обновлением микрокода процессора (для чего, в свою очередь, необходимо обновить версию BIOS, если только разработчики прошивки включили в нее обновленный микрокод). Но все эти меры лишь уменьшают вероятность атаки, а оставшиеся ошибки исправляются исключительно заменой процессора на более новый (кстати говоря, также содержащий ошибки, перечисленные в секции Errata обновленной спецификации от Intel, распространяемой на свободной основе).

Выход: почаще обновлять прошивку BIOS, в критических случаях использовать OpenBSD, разработчики которой прилагают все усилия для исправления ошибок ЦП, а еще лучше не использовать Core2Duo, поскольку это все-таки «бытовой» процессор, не отвечающий жестким требованиям серверной индустрии.

Установка и настройка WDS

Начнем со знакомства с механизмом работы WDS. В процессе загрузки клиенты получают IP-адреса от сервера DHCP. Затем клиент WDS отыскивает сервер WDS через широковещательную передачу или протокол DHCP, подключается к серверу WDS и загружает специальный образ среды загрузки, называемой средой предустановки Windows (WinPE). Наконец, образ операционной системы, сохраненный на сервере WDS, разворачивается на клиенте.

Роль WDS поставляется с Windows Server 2008 и требует трех дополнительных ролей: DNS для поиска контроллеров домена (DC); Active Directory (AD) 2003 или 2008 для проверки подлинности; DHCP для сведений об IP-адресах и таких параметрах, как IP-адрес сервера WDS. Сервер, на котором устанавливается WDS, должен быть членом AD. Все четыре роли (AD, DNS, DHCP и WDS) могут быть установлены на одном сервере, а можно их и разделить.

Чтобы установить WDS на Server 2008, требуется открыть Server Manager, выделить Roles и нажать кнопку Add Roles в правом верхнем углу. Запускается мастер добавления ролей, который выводит на экран страницу Before You Begin. Нажмите кнопку Next. Прокрутите список ролей и выберите Windows Deployment Services. Нажмите кнопку Next три раза, принимая значения по умолчанию на каждой из страниц Overview of WDS, Select Role Services, Confirm Installation Selections. Нажмите Install. После завершения установки нужно щелкнуть кнопку Close, и можно приступать к настройке нового сервера WDS. Перезагрузка не требуется.

Для настройки WDS следует открыть оснастку WDS в меню Start, Administrative Tools, Windows Deployment Services или Server Manager. Возможно, чтобы увидеть новую оснастку, потребуется закрыть и вновь открыть Server Manager. Разверните пункт Servers; рядом с именем сервера должен быть желтый значок «Уступи дорогу». Щелкните правой кнопкой мыши на имени сервера и выберите команду Configure Server. На странице приветствия перечислены требования WDS; нажмите Next. На странице Remote Installation Folder Location выберите диск, на котором нужно сохранить образы, и нажмите Next. Выбранный диск должен быть предназначен исключительно для хранения образов из-за величины необходимого пространства. Следующая отображаемая страница зависит от того, установлен ли протокол DHCP на сервере WDS или нет. Если (и только в этом случае) DHCP установлен на том же сервере, что и WDS, на экране появится страница DHCP Option 60. Более подробно о DHCP Option 60 и взаимосвязи между DHCP и WDS рассказано во врезке «Настройка DHCP и WDS».

На следующей странице, PXE Server Initial Setting, указывается, будет ли сервер WDS отвечать на запросы клиента удаленной загрузки (PXE). Возможны четыре варианта:

  1. Не отвечать ни одному клиентскому компьютеру. В этом случае ответы WDS отключаются.
  2. Отвечать только известным клиентским компьютерам. WDS будет отвечать клиентам, предварительно настроенным в AD. Предварительная подготовка выполняется в оснастке Active Directory Users and Computers, как это делалось в RIS.
  3. Отвечать всем (известным и неизвестным) клиентским компьютерам. Этот режим сам по себе приводит к тому, что WDS отвечает на все запросы PXE; если наряду с этим режимом выбран и режим 4, конфигурация будет чуть более безопасной.
  4. Извещать администратора о неизвестных клиентах и отвечать после одобрения. В результате заранее подготовленные компьютеры могут получать ответ от сервера WDS, но неизвестные клиенты останавливаются на экране загрузки PXE, пока администратор не одобрит запрос в оснастке WDS. Чтобы одобрить запрос от неизвестного клиента, разверните Servers и выделите Pending Devices. В области результатов будет показан ожидающий запрос. Щелкните правой кнопкой мыши ожидающий запрос и выберите одну из команд — Approve, Reject или Approve and Name. Два первых варианта просты; третий одобряет запрос и дает имя объекту компьютера, который будет создан в оснастке Active Directory Users and Computers.

Выберите подходящий вариант и нажмите Finish. На странице Configuration Complete снимите флажок Add images to the Windows Deployment Server now (потому что образов, которые можно добавить, пока нет) и нажмите Finish.

Active Directory (Предварительная версия)Active Directory (Preview)

Active Directory является ранней предварительной версией, доступной в веб-канале расширений.Active Directory is an early preview that is available on the extension feed.

ФункцииFeatures

Доступны следующие возможности управления Active Directory:The following Active Directory management are available:

  • Создать пользователяCreate user
  • Создание группыCreate group
  • Поиск пользователей, компьютеров и группSearch for users, computers, and groups
  • Область сведений для пользователей, компьютеров и групп при выборе в сеткеDetails pane for users, computers, and groups when selected in grid
  • Глобальные действия с сеткой пользователи, компьютеры и группы (включение и отключение, удаление)Global Grid actions users, computers, and groups (disable/enable, remove)
  • Сброс пароля пользователяReset user password
  • Пользовательские объекты: Настройка основных свойств & членства в группахUser objects: configure basic properties & group memberships
  • Объекты компьютеров: Настройка делегирования для одного компьютераComputer objects: configure delegation to a single machine
  • Объекты групп: Управление членством (Добавление или удаление пользователя за раз)Group objects: manage membership (add/remove 1 user at a time)

Просмотрите Отзывы и предлагаемые функции для Active Directory.View feedback and proposed features for Active Directory.


С этим читают